(Extrait) Méthodes D'analyse Des Risques

ENVIRONNEMENT - SÉCURITÉ
Ti112 - Sécurité et gestion des risques
Méthodes d'analyse des risques
Réf. Internet : 42155 | 3e édition
Actualisation permanente sur

www.techniques-ingenieur.fr
Tec h n ique s de l ’I n gé ni eur
La plus impor tante ressource documentaire scientifique
et technique en français
Une information fiable, claire et actualisée

Validés par un comité scientifique et mis à jour en permanence sur Internet,
les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et
scientifiques, en poste ou en formation.
Outil d’accompagnement de la formation et de la carrière des ingénieurs,
les ressources documentaires Techniques de l’Ingénieur constituent le socle
commun de connaissances des acteurs de la recherche et de l’industrie.
Les meilleurs experts techniques et scientifiques

Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs,
professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur
scientifique et technique de référence.
Les meilleurs spécialistes sont réunis pour constituer une base de
connaissances inégalée, vous former et vous accompagner dans vos projets.
Une collection 100 % en ligne

• Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et
actualisations de votre ressource documentaire
• Les articles téléchargeables en version PDF
Des services associés

Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste
des services associés à vos droits d’accès et les utiliser.
 Des services associés

Pour toute information, le service clientèle reste à votre disposition :
Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : infos.clients@teching.com
III
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)
composé de :
Management de la sécurité Réf. Internet : 42154
Méthodes d'analyse des risques Réf. Internet : 42155
Risques chimiques - Toxicologie et écotoxicologie Réf. Internet : 42156
Risques chimiques - Pesticides et produits phytosanitaires Réf. Internet : 42568
Encadrer le risque chimique et connaître ses obligations Réf. Internet : 22742
Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743

dans l’entreprise
Risques d'explosion Réf. Internet : 42157
Risques d'incendie Réf. Internet : 42583
Risques électriques Réf. Internet : 42496
Sécurité par secteur d'activité et par technologie Réf. Internet : 42159
Sécurité des systèmes industriels Réf. Internet : 42830
Santé et sécurité au travail Réf. Internet : 42158
Menaces et vulnérabilités : protection des sites industriels Réf. Internet : 42648
Risques naturels et impacts industriels Réf. Internet : 42828
 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
IV
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)
dont les exper ts scientifiques sont :
Jean-Pierre DAL PONT

Président de la SFGP (Société française de génie des procédés), Secrétaire
général de l'EFCE (Fédération européenne du génie chimique), Président de la
SECF (Société des experts chimistes de France)
François FONTAINE
Responsable « Sécurité Globale et Sécurité Globale et terrorisme », INERIS
Didier GASTON
Responsable Agence, CETE APAVE Nord-Ouest
Jean-Louis GUSTIN
Expert en sécurité des procédés Rhodia Recherches et Technologies
André LAURENT
Professeur émérite, Nancy Université, LRGP, CNRS, INPL, ENSIC
Yves MORTUREUX
Expert en maîtrise des risques à la Direction de la sécurité de la SNCF
Jean-Paul PERES
Ancien Directeur Responsable Care de Rhodia
V
Les auteurs ayant contribué à cet ouvrage sont :
Alain DESROCHES Yves MORTUREUX

Pour l’article : SE4015 Pour les articles : SE4010 – SE4040 –
SE4050 – AG4670
Michel FEDERIGHI
Pour l’article : SL6210 Pierre PERILHON
Pour les articles : SE4060 – SE4061
Emmanuel GARBOLINO
Pour l’article : SE2065 Michel ROYER
Pour les articles : SE4030 – SE4031 –
Olivier GRANDAMAS SE4032
Pour l’article : SE4062
Jean-Pierre SIGNORET
Franck GUARNIERI Pour les articles : SE4052 – SE4053 –
Pour l’article : SE2065 SE4070 – SE4071 – SE4072 – SE4073
Olivier IDDIR Samantha THIEBOT

Pour les articles : SE4055 – SE4075 – Pour l’article : SE1212
SE4077 – SE2090 – SE5080
Jacques VALANCOGNE
André LAURENT Pour l’article : SE2525
Pour l’article : SE4064
Gilles ZWINGELSTEIN
Pour les articles : SE4004 – SE4005 –
SE4006 – SE4007
VI
Méthodes d'analyse des risques
(Réf. Internet 42155)
SOMMAIRE
Réf. Internet page
Analyse préliminaire de risques SE4010 9
Analyse globale des risques (AGR) SE4015 11
HAZOP : une méthode d'analyse des risques. Présentation et contexte SE4030 17
HAZOP : une méthode d'analyse des risques. Principe SE4031 21
HAZOP : une méthode d'analyse des risques. Mise en oeuvre SE4032 27
AMDE (C) SE4040 29
Arbres de défaillance, des causes et d'événement SE4050 33
Arbre de défaillance. Contexte booléen, analyse et bases mathématiques SE4052 39
Arbre de défaillance. Aspects temporels SE4053 45
Le noeud papillon : une méthode de quantiication du risque SE4055 49
MOSAR. Présentation de la méthode SE4060 55
MOSAR. Cas industriel SE4061 59
Analyse des risques des systèmes dynamiques : préliminaires SE4070 65
Méthode MADS-MOSAR. Pour en favoriser la mise en oeuvre SE4062 67
Évaluations qualitative et quantitative des risques d'efet domino dans l'industrie SE4064 71
Analyse des risques des systèmes dynamiques : approche markovienne SE4071 77
Analyse des risques des systèmes dynamiques : réseaux de Petri. Principes SE4072 83
Analyse des risques des systèmes dynamiques : réseaux de Petri. Exemples de SE4073 87
modélisation
La méthode LOPA : principe et exemple d'application SE4075 91
Méthode PDS SE4077 99
Méthode HACCP- Approche pragmatique SL6210 103
VII
La sûreté de fonctionnement : méthodes pour maîtriser les risques AG4670 107
Mesures de maîtrise des risques instrumentées (MMRI). État zéro et iche de vie SE2090 111
Pondération des fréquences de fuite dans le cadre des analyses de risques industriels SE5080 117
Évaluation de la criticité des équipements. Méthodes d'exploitation des jugements SE4004 125
d'experts
Évaluation de la criticité des équipements. Méthodes analytiques SE4005 131
Méthodes d'évaluation de la criticité des équipements. Métriques et indicateurs de SE4006 139

performance
Évaluation de la criticité des équipements. Méthodologie globale SE4007 145
La méthode B pour la spéciication et la réalisation de logiciels et de systèmes critiques SE2525 151

prouvés
Concept de défense en profondeur : contribution à la sécurité des ICPE SE2065 157
Méthodes d'analyse de la vulnérabilité des sites industriels SE1212 161
ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴ
ｓｅＴＰＱＰ
Analyse préliminaire de risques
par Yves MORTUREUX

Ingénieur civil des Ponts et Chaussées
Expert Sûreté de fonctionnement à la direction Déléguée Système d’exploitation
et sécurité à la SNCF
Vice-Président de l’Institut de Sûreté de fonctionnement
1. Objectifs de la démarche APR.............................................................. SE 4 010 - 2

1.1 Identification des événements redoutés.................................................... — 2
1.2 Évaluation des risques ................................................................................ — 3
1.3 Proposition de couverture des risques ...................................................... — 3
2. Usages de la démarche APR ................................................................. — 3
3. Divers acteurs et leurs relations à l’APR........................................... — 4
3.1 Acteurs ......................................................................................................... — 4
3.2 Autorité......................................................................................................... — 4
3.3 Maître d’ouvrage ......................................................................................... — 5
3.4 Organisme évaluateur................................................................................. — 5
3.5 Maître d’œuvre ............................................................................................ — 6
3.6 Exploitant ..................................................................................................... — 6
3.7 Mainteneur ................................................................................................... — 6
3.8 Organisme de contrôle................................................................................ — 6
3.9 Sous-traitants............................................................................................... — 7
4. Méthodes de la démarche APR ............................................................ — 7
5. Méthode APR............................................................................................. — 7
5.1 Présentation ................................................................................................. — 7
5.2 Typologies. Listes ........................................................................................ — 8
5.3 Fréquence et gravité.................................................................................... — 9
Bibliographie ...................................................................................................... — 10
’analyse préliminaire de risques (APR) est une démarche, un processus dont

L l’objectif est d’évaluer les problèmes à résoudre en matière de maîtrise des
risques. La méthode APR est dédiée à cette démarche.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＲ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｭ｡ｲｳ＠ＲＰＱＶ
Cette démarche peut prendre des formes très différentes dans sa mise en
œuvre suivant le domaine technique ou la filière industrielle considérés. Dans
bien des cas une analyse préliminaire de risques met en œuvre des méthodes
plus connues dans les phases ultérieures de l’analyse de risques comme l’arbre
de défaillance (cf. article [SE 4 050]), l’AMDE(C) (analyse des modes de
défaillance, de leurs effets et de leurs criticités, cf. article La sûreté de
fonctionnement : méthodes pour maîtriser les risques [AG 4 670] dans le traité
L’entreprise industrielle) ou des blocs-diagrammes de fiabilité, etc. Mais une
méthode particulière a aussi été développée pour cette phase initiale d’analyse
préliminaire de risques. On parle alors de méthode APR. La confusion des
termes est totale, la confusion des notions est à éviter : disons qu’une démarche
APR ne se fait pas forcément avec la méthode APR.
La première partie de l’article (§ 1, 2, 3, 4) sera consacrée à la démarche : les
objectifs, le processus, la pertinence de l’analyse préliminaire de risques. La
seconde partie (§ 5) sera consacrée à la méthode : la méthode APR, particuliè-
rement adaptée à la conduite d’une démarche d’analyse préliminaire de risques.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 1
Ｙ
ｓｅＴＰＱＰ
ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________
L’analyse préliminaire de risques est essentielle et très structurante, surtout

en matière de sécurité, pour tout projet innovant, qu’il s’agisse de modifications
de systèmes connus ou de nouveaux systèmes.
Comme son nom le suggère, l’APR est une démarche qui commence dès
qu’une démarche de maîtrise des risques apparaît nécessaire dans un projet
avant qu’il soit question de méthodes d’évaluations de risques (AMDE, AMDEC,
arbres de défaillance et autres...). Le gros de cette démarche se déroule au début
du projet et peut inclure l’utilisation de méthodes comme les arbres de
défaillance. Ensuite l’APR accompagne toute la vie du projet et peut être révisée
et complétée au fur et à mesure que le projet se précise, les méthodes comme
l’arbre de défaillance étant utilisées au cours des études précises et détaillées
que la maîtrise des risques du projet va nécessiter. La démarche d’APR est très
utilisée dans les domaines où les préoccupations de sécurité sont les plus pré-
sentes comme les transports et la chimie.
Le lecteur se reportera utilement aux articles du même traité :

— La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] ;
— Arbres de défaillance, des causes et d’événement [SE 4 050].
1. Objectifs de la démarche APR divers sous-projets susciteront des démarches APR partielles dont
les démarrages peuvent être postérieurs non seulement à celui de
l’APR globale mais même à des analyses détaillées entreprises
dans d’autres sous-projets plus avancés du même projet.
La démarche APR peut prendre des formes extrêmement
diverses. Néanmoins, sous des apparences variées, on retrouve
systématiquement trois phases qui sont aussi trois objectifs :
— identification des dangers, des événements redoutés à 1.1 Identification des événements redoutés
prendre en compte (§ 1.1) ;
— évaluation et classement des risques associés ; Cette première phase de la démarche APR consiste à identifier
— propositions des mesures de couverture des risques. quels accidents peuvent arriver et comment.
Ici l’exhaustivité est un objectif essentiel. La valeur d’une démar-
che APR dépend directement de la confiance que l’on peut placer
Globalement, on peut dire que l’objectif général d’une démarche dans le fait de n’avoir « oublié » aucun scénario d’accident. Par
APR est d’évaluer les problèmes à résoudre en matière de maîtrise contre, à ce stade, il est normal de ne pas pouvoir être très précis
des risques. Une APR doit permettre : sur ces scénarios et de ne pas pouvoir distinguer des scénarios
— de se rendre compte si le projet pourrait devoir être aban- vraisemblables, d’autres, théoriquement possibles, mais qui se
donné parce que certains risques inacceptables se révèleraient révèleront ensuite invraisemblables.
irréductibles ; En effet, le but est d’identifier les événements redoutés à pren-
— de dimensionner a priori les efforts d’études et de réduction dre en considération. Toutes les informations disponibles (connais-
de risques ; sance a priori d’événements redoutés mais aussi modes de
— de localiser les domaines du système qui demanderont le plus défaillance des composants du système, potentiel d’énergie des
d’efforts et donc, les compétences requises en matière de maîtrise composants du système, etc.) doivent être exploitées. À partir de
des risques. ces informations on se pose la question des scénarios qui peuvent
Inversement la démarche APR permet d’anticiper sur la nature se développer à partir des phénomènes évoqués et on recense
des faiblesses en sûreté de fonctionnement et les limites des per- donc les événements (redoutés) sur lesquels ces scénarios pour-
formances sûreté de fonctionnement qu’il est raisonnable de vou- raient déboucher.
loir atteindre. Rappel : le risque est un triplet (événement redouté, fréquence, gravité). Identifier, recen-
ser des risques, c’est donc identifier des événements redoutés ; évaluer les risques consiste
En poursuivant l’objectif essentiel de repérer les difficultés et les à leur associer fréquence et gravité (ou criticité) (cf. [AG 4670]). On peut connaître a priori
efforts les plus importants de réduction de risque et de démons- les événements redoutés à envisager mais il est aussi courant que l’on connaisse mieux les
sources de danger et que l’on doive en déduire les scénarios puis les accidents à craindre.
tration de la sûreté de fonctionnement, une démarche APR bien
menée contribue de façon décisive à la maîtrise des risques Cette recherche s’appuie naturellement avant tout sur les spéci-
« projet », c’est-à-dire à la maîtrise des coûts, des délais du projet fications fonctionnelles, car au stade initial les solutions ne sont
en lien avec l’atteinte des objectifs de performance du produit ou pas encore choisies. La démarche peut être menée de façon
du service. En particulier, la démarche APR doit permettre très tôt systématique sur les fonctions du système. Néanmoins, en matière
de construire une vision commune et un accord entre les parties de sécurité, il faut prendre en compte les dangers créés par les
concernées par le projet sur les mesures à prendre pour assurer la techniques choisies indépendamment des exigences fonctionnel-
sûreté de fonctionnement requise et les rôles de chacun dans ces les (notamment en chimie) dans le cadre de la méthode HAZOP).
efforts. Pour réaliser une même fonction, une solution électrique amène à se
Si la démarche APR est unique par son esprit, chacun la conduit poser la question du risque d’électrocution, une solution pneumatique
à son niveau en fonction des risques qui le concernent. Si une celle du risque d’explosion par surpression, tout cela indépendamment
démarche APR globale peut démarrer dès les origines d’un projet, des risques liés à l’échec total ou partiel de la fonction.
SE 4 010 − 2 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques
ＱＰ
ｓｅＴＰＱＵ
Analyse globale des risques (AGR)

par Alain DESROCHES
Professeur à l’École CentraleSupélec
Ex expert en sûreté de fonctionnement et gestion des risques au Centre national d’études
spatiales (CNES)
Ex président de la Commission risques accidentels et membre du Conseil scientifique
de l’Institut national de l’environnement industriel et des risques (INERIS), Paris, France
1. Concepts préliminaires....................................................................... SE 4 015 - 2

2. Présentation de l’AGR ........................................................................ — 4
2.1 Principe de la méthode............................................................................ — 4
2.2 AGR Système ........................................................................................... — 5
2.3 AGR Scénarios ......................................................................................... — 6
2.4 Résultats et valorisation de l’AGR .......................................................... — 11
3. Exemple d’application industrielle.................................................. — 11
3.1 Données de l’exemple d’application industrielle .................................. — 11
3.2 Analyse des scénarios ............................................................................. — 14
3.3 Principaux résultats d’analyse et d’évaluation...................................... — 14
3.4 Valorisation de l’AGR .............................................................................. — 20
4. Conclusion ............................................................................................. — 27
Pour en savoir plus ........................................................................................ Doc. SE 4 015
et article traite de l’analyse globale des risques (AGR) qui couvre l’identi-
C fication, l’évaluation et la gestion des risques structurels, des risques
fonctionnels et des risques conjoncturels pendant tout le cycle de vie du
système étudié, depuis le début de sa conception jusqu’à la fin de son
démantèlement.
Elle existe en version semi qualitative (notée AGR), présentée dans cet
article, et en version quantitative ou probabiliste (notée AGRq) [3].
L’AGR est applicable à l’analyse des risques de projet, des risques d’entre-
prise ou des risques produits.
Les quatre catégories de dangers génériques prises en compte sont :
– les dangers extérieurs au système ;
– les dangers liés à la gouvernance du système ;
– les dangers liés aux moyens techniques du système ;
– les dangers liés aux études et production du système.
Le but de l’AGR est :
– d’identifier les principaux risques pendant l’activité du système à partir
des dangers, des situations dangereuses, des événements redoutés ou acci-
dents consécutifs et de leurs conséquences ;
– de caractériser les scénarios d’accident à partir des trois facteurs de
risques : facteur d’exposition, facteur déclenchant et facteur aggravant ;
– d’élaborer les cartographies des risques ;
– d’identifier les risques majeurs ;
– d’évaluer les bilans efforts/pertes en termes financiers ;
– d’élaborer le plan d’actions en réduction des risques ;
– d’élaborer le catalogue des paramètres de sécurité correspondant aux acti-
vités de sécurisation ultérieures.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＶ
De plus, l’AGR prend en compte la gestion financière du traitement des

risques et permet la réalisation d’allocations d’objectifs de risques sur la per-
formance et la sécurité (allocations de sûreté de fonctionnement).
Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 015 – 1
ＱＱ
ｓｅＴＰＱＵ
ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________
1. Concepts préliminaires crée l’exposition du système S au danger D (repère 1) et donc la

situation dangereuse SD (repère 3). À partir de laquelle l’occur-
rence d’une cause amorce ou facteur de risque déclenchant
Le danger [1] dont la notion précède celle de risque est défini FD (repère 4) entraîne l’accident A (repère 5). Puis l’occurrence
comme un potentiel de préjudice ou de nuisance aux personnes, d’une cause circonstancielle ou facteur de risque aggravant
aux biens ou à l’environnement. Ce concept abstrait couvre aussi FA (repère 6) qui définit et caractérise l’occurrence, la nature et la
bien des éventualités physiques ou matérielles accessibles par nos gravité des conséquences K (repère 7).
sens que des éventualités immatérielles comme l’énergie poten- Les causes contact FE, amorce FD et circonstancielle FA sont des
tielle ou cinétique. De façon plus générale, un danger peut être une noms génériques pour définir l’ensemble des causes qui engendre
substance (produit toxique...), un objet (virus, astéroïde...), un phé- respectivement la situation dangereuse SD, l’accident A et les
nomène (inondation, séisme...) ou un processus (erreur de dia- conséquences K. Les uns comme les autres peuvent être des évé-
gnostic, erreur d’administration, erreur opératoire...). nements programmés, donc attendus, ou des événements non
Ce préliminaire étant fait, le risque met en jeu deux notions. programmés, donc non attendus. Les noms génériques peuvent
L’une, qualitative, qui concerne son origine, à savoir sa genèse par correspondre chacun à plusieurs causes.
l’exposition du système au danger, appelée situation dange- L’ensemble des étapes d’identification et l’évaluation des risques
reuse, qui, suivant les circonstances, peut se transformer en est généralement appelé appréciation des risques.
situation accidentelle avec des conséquences de différentes
natures et importances. L’autre, quantitative, qui est la mesure en Dans la pratique, l’identification des risques est faite en utilisant
termes de probabilité d’occurrence et de gravité de l’incerti- un ensemble d’outils méthodologiques traitant de façon complé-
tude de la situation dangereuse ou de la situation accidentelle, mentaire de la nature des événements, de leur localisation spatiale
appelée aussi événement redouté. et temporelle. L’évaluation des risques est faite d’une part sur
l’incertitude de l’occurrence du risque en utilisant soit une échelle
Si sur une échelle de temps l’événement redouté est considéré à d’index de vraisemblance V ou de valeurs de probabilité P, et
l’instant présent, alors sa probabilité d’occurrence concerne ses d’autre part sur les conséquences en utilisant une échelle d’index
causes qui appartiennent à son passé, tandis que la gravité de gravité G complétée ou non par des index ou des valeurs de
concerne ses conséquences qui appartiennent à son futur. Le pertes et d’efforts, notés respectivement IP ou VP et IE et VE.
risque d’un événement est un concept abstrait qui nécessite donc
de prendre en compte de façon globale son passé, son présent et La maîtrise des risques [2] est associée directement aux
son futur. actions de réduction et de contrôle faites sur les composantes du
risque : la prévention regroupe les actions qui ont pour but de
Il en résulte que le couple probabilité-gravité est indissociable et diminuer la probabilité d’occurrence du risque, tandis que la pro-
doit être considéré comme une variable bidimensionnelle. Par là tection regroupe les actions qui ont pour but de diminuer la gra-
même, un risque n’est ni une probabilité, ni une gravité, mais les vité de ses conséquences. Plus précisément, la prévention vise à
deux en même temps. Il s’ensuit qu’une décision associée à un réduire conjointement les probabilités d’occurrence des causes
risque ne peut être prise sur la base d’une seule de ses deux com- contact, amorce et circonstancielle « non programmées ». En pre-
posantes. mier, la réduction de la probabilité d’occurrence de la cause
De sa nature bidimensionnelle, pour laquelle il n’existe pas de contact sera recherchée, ce qui peut aboutir à l’absence d’occur-
relation d’ordre, il découle que l’on ne peut hiérarchiser formelle- rence de situation dangereuse. En deuxième, ce sera celle de la
ment deux risques de façon directe par le couple gravité-probabi- cause amorce jusqu’à l’élimination éventuelle de l’occurrence de
lité. l’accident. En troisième, ce sera celle de la cause circonstancielle.
Un scénario d’accident visualisé sur la figure 1 est défini Le processus de réduction des risques est basé sur le concept de
comme l’enchaînement ou la combinaison d’événements aboutis- criticité du risque C. Plus précisément, la criticité du risque, est
sant à un accident A (repère 5) puis à ses conséquences K le résultat d’une fonction de décision fD associée à une échelle
(repère 7). Sa réalisation est liée à l’occurrence d’une cause de valeurs politique, éthique, religieuse, économique, etc. qui pour
contact ou facteur de risque d’exposition FE (repère 2) qui chaque risque évalué R (G, V ) associe ou non une action de réduc-
Système
(S)
1 3
Danger Situation 5
(D) dangereuse
(SD)
Événement redouté ou
accident
(A)
7
2
Cause contact
Conséquence
ou
4 (K)
facteur d’exposition (FE)
Cause amorce
ou
Cause circonstancielle 6
facteur déclenchant (FO)
ou
facteur aggravant (FA)
Figure 1 – Arborescence d’un scénario d’accident
SE 4 015 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
ＱＲ
ｓｅＴＰＱＵ
_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)
Classe de criticité Intitulé de la classe Intitulés des décisions et des actions
C1 Acceptable en l’état Aucune action n’est à entreprendre
C2 Tolérable sous contrôle On doit organiser un suivi en termes de gestion du risque tel que contrôle ou transfert
Inacceptable On doit refuser la situation et prendre des mesures de réduction des risques
C3
Sinon... on doit refuser toute ou partie de l’activité
Figure 2 – Arborescence d’un scénario d’accident
Probabilité Probabilité
Pr (G > g) < p
V5 V5
p4 p4
Pr Protection
(G
V4 > V4
p3 g) p3
<
p Prévention
V3 V3
p2 p2
V2 Pr (G > g) < p V2
p1 p1
V1 V1
g1 g2 g3 g4 Gravité g1 g2 g3 g4 Gravité
G1 G2 G3 G4 G5 G1 G2 G3 G4 G5
Figure 3 – Diagrammes d’acceptabilité des risques
tion ou de contrôle. Ce qui s’exprime en posant C = fD (G, V ). Le management des risques repose d’une part sur l’assigna-
L’« ensemble de définition » de fD est l’ensemble des couples (G, tion d’objectifs de risques acceptables ou tolérables définis par le
V). L’« ensemble des valeurs » de fD correspond à l’ensemble des référentiel d’acceptabilité des risques et d’autre part par la mise en
criticités, appelé échelle de criticité (figure 2), réparti en trois place de ressources ou moyens de traitement pour permettre
classes suivant le principe ALARA (As Low As Reasonably Achie- d’atteindre les objectifs (par la réduction des risques initiaux) et
vable). d’assurer leur maintien (par le contrôle des risques résiduels).
Nota : la criticité du risque ne doit pas être confondue avec le risque moyen qui est Autrement dit, le plan de réduction des risques comme le cata-
le produit de la probabilité par la gravité du risque et n’est qu’un paramètre d’évaluation logue des paramètres de sécurité n’ont de réalité que dans la
et non de décision. mesure où un plan de financement des actions, appelé finance-
ment du risque a été prévu et consolidé. Ce dernier doit être
Cette classification de l’ensemble des risques de l’activité en orienté par la contrainte « effort/perte ⭐ 1 » qui exprime que
trois classes doit être validée par la gouvernance du risque qui l’effort correspondant au coût de traitement (des conséquences) du
dispose des ressources associées aux décisions rattachées à risque doit rester inférieur à la perte correspondant au coût (des
chaque classe. conséquences) du risque en l’absence de traitement.
Les trois classes sont visualisées par zone respectivement en Le principe du financement du risque est défini ainsi : « Toute
vert, jaune et rouge sur le premier diagramme de la figure 3 action de réduction ou de contrôle pour maîtriser un risque géné-
appelé référentiel d’acceptabilité des risques ou diagramme rant une perte est un effort qui a un coût ».
ou tableau de criticité. Le second diagramme visualise les
actions de maîtrise des risques. Nota : effort de traitement du risque, que ce soit en termes de financement de l’élimi-
nation du risque, de sa réduction (prévention ou protection) ou de sa gestion telle que la
Des exemples de diagrammes qualitatif et probabiliste sont don- prise d’une assurance ou encore de son contrôle.
nés sur la figure 4.
Il est naturel de considérer le rapport : K = effort/perte, où :
Le regroupement structuré des actions de prévention et de pro- – perte est le coût du risque correspondant au montant (ou
tection est appelé plan de réduction des risques. équivalent) de la perte financière brute en l’absence de traitement
Les actions de contrôle permettent d’assurer la traçabilité des de maîtrise du risque ;
actions précédentes et de garantir dans le temps le maintien du – effort est le coût investi dans le traitement du risque,
niveau de risque acceptable ou tolérable atteint. Ces actions sont c’est-à-dire au montant (ou équivalent) financier des actions de
regroupées dans le catalogue des paramètres de sécurité. réduction, et plus globalement de maîtrise des risques.
ＱＳ
ｓｅＴＰＱＵ
Gravité
G1 G2 G3 G4 G5
V5
V4
Vraisemblance
V3
V2
V1
Référentiel d’acceptabilité des risques Référentiel d’acceptabilité des risques

Classes de gravité Pr (G > g) = p
G1 G2 G3 G4 G5
1 × 10 0 1 × 100
Probabilité (p)
1 × 10–1 1 × 101
5,0 × 10–2
1 × 10–2 1 × 102
1,0 × 10–2
Probabilité
1 × 10–3 1 × 103
5,0 × 10–4
5,0 × 10–4
1 × 10–4 1 × 104
5,0 × 10–5
1 × 10–5 1 × 105
1 × 106
1 × 10–6
5,0 × 10–7
1 × 107
1 × 10–7 10 100 1 000 10 000 100 000
1,0 × 10–7 1,0 × 10–7
C1 C2 C3 Gravité (g)
Figure 4 – Exemples de diagrammes d’acceptabilité des risques
Dans le cadre du traitement pour maîtriser le risque deux cas

sont donc à considérer : 2. Présentation de l’AGR
– K < 1, autrement dit le coût de la perte est supérieur au coût de
l’effort de traitement. Dans ce cas il y a un intérêt sans restriction à
traiter et on parlera de traitement économique du risque ;
2.1 Principe de la méthode
– K ⭓ 1 , autrement dit le coût de la perte est inférieur au coût de L’AGR est une méthode globale d’analyse semi qualitative ou
l’effort de traitement. Dans ce cas il n’y a pas d’intérêt logique à probabiliste qui permet d’apprécier et de maîtriser les risques
traiter, sauf cas de force et on parlera de traitement politique du d’activités de nature différente, tels que les risques d’entreprise,
risque. les risques projet ou les risques produit suivant un processus
Nota : les pertes et les efforts doivent être définis dans les mêmes unités (valeurs invariant [2]. La spécificité tient à la nature du système considéré
monétaires, ressources, etc.). et de la cartographie des dangers considérés (structurels, conjonc-
turels ou fonctionnels) et non au processus d’analyse proprement
Cette contrainte ne doit pas être confondue avec le principe plus dit. Il en est de même des cartographies des risques comme le
abstrait appelé bénéfice/risque qui exprime que le bénéfice ou visualise la figure 5.
gain tiré de la prise de risque doit être a priori supérieur à la perte
ou inconvénient qui peut en résulter. Nota : l’AGR est conforme à la norme ISO 31000 [4].
ＱＴ
ｓｅＴＰＱＵ
_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)
2.2 AGR Système
2.2.1 Modélisation du système

Le système est modélisé sous forme de processus (Φ), de fonc-
tions (F ) et/ou de sous-systèmes de ressources humaines ou maté-
rielles (S/S ) décrit en trois lignes.
Le tableau 1 visualise un exemple de modélisation générique
par phase de système.
2.2.2 Élaboration de la cartographie des dangers

La cartographie des dangers est une liste structurée de dangers
définie en trois colonnes auxquels le système est susceptible
d’être exposé. Son format est présenté sur le tableau 2.
La cartographie des dangers est élaborée à partir d’une liste de
vingt-six rubriques de dangers génériques qui couvre les quatre
grandes catégories suivantes :
– les dangers externes au système ;
– les dangers de gouvernance du système ;
– les dangers liés aux moyens techniques du système ;
– les dangers liés aux études et production du système.
La figure 7 présente cette liste de façon détaillée.
Figure 5 – Exemples de cartographies des risques
2.2.3 Élaboration de la cartographie
Le diagramme de la figure 5 visualise des cartographies des des situations dangereuses
risques obtenues par AGR des trois catégories d’activités. La structure de la cartographie des situations dangereuses est
Le processus de l’AGR est réalisé en trois étapes comme le réalisée par la juxtaposition croisée du système et de la cartogra-
montre la figure 6. phie des dangers. Les interactions dangers/système sont les fac-
teurs de génération de situations dangereuses. Celles-ci sont
Nota : les trois étapes-clés de la figure 6 regroupent plusieurs sous-étapes. créées autant par la sensibilité ou la vulnérabilité intrinsèque des
1
AGR SYSTÈME
Modélisation du système et élaboration de la cartographie des dangers
Identification des situations dangereuses
Cartographie des situations dangereuses
2
AGR SCÉNARIOS
Analyse des situations dangereuses

Évaluation des risques initiaux et traitement des conséquences des événements redoutés
Évaluation des index de pertes et d’efforts
Évaluation des risques résiduels
Cartographies des risques (/aux situations dangereuses, au système ou aux dangers)

Diagrammes de décision (/au système ou aux dangers)
3
Gestion des actions
Plan d’actions de réduction des risques (risques initiaux)

Catalogue des paramètres de sécurité (risques résiduels)
Plan de financement des risques (actions et paramètres)
Figure 6 – Étapes du processus de l’AGR
ＱＵ
ｓｅＴＰＱＵ
Tableau 1 – Exemple de modélisation d’un système

Phase 1 Phase 2 Phase 3
Fonction 11
Fonction 12
Fonction 13
Fonction 14
Fonction 21
Fonction 22
Fonction 23
Fonction 24
Fonction 25
Fonction 26
Fonction 31
Fonction 32
Fonction 33
Fonction 34
Ressource 111
Ressource 121
Ressource 131
Ressource 132
Ressource 141
Ressource 142
Ressource 211
Ressource 221
Ressource 231
Ressource 241
Ressource 251
Ressource 261
Ressource 311
Ressource 312
Ressource 321
Ressource 322
Ressource 331
Ressource 341
Ressource 342
La cartographie des situations dangereuses est définie par
Tableau 2 – Exemple de format de la cartographie l’ensemble des éléments du référentiel système/danger. Chaque
des dangers élément correspond à une case qui repère une interaction poten-
Dangers Dangers Événements tielle d’un événement dangereux sur un élément système à
génériques spécifiques ou éléments dangereux laquelle doit alors être affecté un index de priorité. La figure 9
visualise un exemple de cartographie des situations dangereuses.
DS1 ED111
Nota : une situation dangereuse peut être définie sur une ou plusieurs cases qui appa-
DS2 ED121 raissent fusionnées. Ainsi, si un danger impacte plusieurs éléments contigus du système,
DG1 alors la fusion sera horizontale. Si plusieurs éléments dangereux contigus impactent un
élément système, alors la fusion sera verticale. La combinaison des deux est aussi
DS3 ED131 possible.
DS4 ED141
ED211 2.3 AGR Scénarios
ED212
DS1
ED213 2.3.1 Éléments d’évaluation et de décision
ED214 Cinq échelles ou tableaux de données permettent d’évaluer les

DG2 risques et d’orienter leur gestion.
ED221
DS2 1) L’échelle de gravité est à cinq niveaux d’index correspon-
ED222 dant à cinq natures différentes de conséquences impactant la mis-
sion ou la performance du système, ainsi que son intégrité ou sa
ED231 sécurité comme le montre le tableau 3.
DS3
ED232 Les cinq niveaux peuvent aussi être associés à quatre seuils
d’une variable caractéristique des conséquences VCC caractérisant
ED311 des seuils de gravité tels que le retard calendaire de livraison d’un
DS1
ED312 produit comme visualisé dans le tableau 4.
DG3
ED321 Nota : dans le tableau 4 on peut lire qu’un retard de livraison inférieur ou égal à 1
semaine est considéré comme mineur (G1). Tandis qu’un retard de livraison supérieur ou
DS2 égal à 6 mois est considéré comme catastrophique (G5).
ED322
DS1 ED411 2) L’échelle d’occurrence peut-être quantitative (probabiliste),
ou qualitative par la définition de cinq niveaux de vraisemblance
DG4 ED411 associés à des périodes de récurrence comme le montre le
DS2 tableau 5.
ED422
3) L’échelle et le référentiel de criticité : comme rappelé
plus haut le référentiel d’acceptabilité des risques ou tableau de
éléments du système (identifiés dans les fonctions, S/S ou phases) criticité permet d’associer une décision de traitement à une classe
que par l’importance du niveau de danger auquel ils sont exposés. de risque. Ce référentiel est quantitatif ou qualitative suivant que la
mesure de l’incertitude est définie par vraisemblance ou de façon
Les interactions doivent être considérées a priori comme déter- probabiliste (figure 4).
ministes. L'estimation de la potentialité et de l’importance de ces
interactions permet ensuite de caractériser les situations dange- 4) L’échelle de pertes est à quatre niveaux d’index qui sont
reuses potentielles et de définir les index de priorités d'actions assignés à chacune des conséquences de criticité C2 ou C3. Les
consécutives. tableaux 6 et 7 présentent respectivement la définition des index
de pertes et un exemple générique de valeurs moyennes associées
La figure 8 regroupe ces critères et éléments de décision.
aux index de pertes pour un système composé de trois phases.
Nota : le report volontaire (priorité 10) a pour origine soit l’absence de spécialiste du
domaine, soit la limitation de la suite des analyses à des situations dangereuses en rela- Nota : les valeurs des incertitudes IPi sont données par élément système pour
tion avec des éléments systèmes ciblés (zoom) ou des classes de dangers. chacune des données financières de pertes associées.
ＱＶ
ｓｅＴＰＳＰ
HAZOP : une méthode d’analyse

des risques
Présentation et contexte
par Michel ROYER

Ingénieur chimiste
1. Présentation............................................................................................... SE 4 030 - 2
2. Définition, objectifs et domaines d’applications ............................ — 2
2.1 Définition et objectifs ................................................................................... — 2
2.2 Notions de base ........................................................................................... — 3
2.2.1 Définition du danger et de corollaires ............................................... — 3
2.2.2 Définition de l’accident et de ses corollaires .................................... — 4
2.2.3 Définition du risq ue et de ses corollaires.......................................... — 4
2.3 Domaines d’application de la méthode ..................................................... — 7
2.3.1 Secteurs d’activité............................................................................... — 7
2.3.2 Comparaison avec les autres méthodes d’analyse de risque ......... — 8
2.4 Limites de la méthode ................................................................................. — 8
2.4.1 Consommatrice de temps .................................................................. — 8
2.4.2 Qualitative ou non............................................................................... — 10
2.4.3 Exigeante ............................................................................................. — 10
2.5 Points forts.................................................................................................... — 10
2.5.1 Principe simple.................................................................................... — 10
2.5.2 Méthode systématique ....................................................................... — 10
2.5.3 Méthode pluridisciplinaire ................................................................. — 10
2.5.4 Large domaine applicatif .................................................................... — 10
Pour en savoir plus ........................................................................................... Doc. SE 4 033
a méthode HAZOP est un outil formalisé, systémique et semi-empirique

L
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ
utilisé et développé depuis q uarante ans pour analyser les risques poten-
tiels associés à l’exploitation d’une installation industrielle.
Inventée en 1965 en Grande-Bretagne par la société ICI (I mperial chemical
industries), elle était conçue comme une technique et s’adressait particuliè-
rement à la phase d’ingénierie de détail de nouvelles installations chimiques
ou pétrochimiques. Elle innovait par rapport aux pratiques des codes de
construction et des revues sécurité sur schémas employées à l’époque par les
sociétés d’ingénierie, toutes basées sur l’analyse d’évènements passés. Son
originalité résidait dans son approche a priori des dangers et des dysfonction-
nements d’une installation par l’étude systématique des déviations des
paramètres gouvernant le procédé à analyser.
Cette technique s’est développée hors des limites de la société ICI, au sein de
l’industrie chimique et pétrochimique après l’explosion catastrophique, en 1974,
d’un nuage de 40 tonnes de cyclohexane à Flixborough en Grande-Bretagne qui
fit 28 morts et 89 blessés. De simple technique, la méthode HAZOP est devenue
une pratique d’identification des dangers et des problèmes d’exploitabilité,
adoptée par de nombreuses industries « à risques », en particulier, l’industrie
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. SE 4 030 –1
ＱＷ
ｓｅＴＰＳＰ
HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________
pétrolière caractérisée par des dangers similaires à ceux de l’industrie chimique

ou pétrochimique, mais aussi dans des industries où les dangers sont d’une
autre nature, comme ceux rencontrés dans le nucléaire, l’alimentaire et les
transports.
La méthode HAZOP est abordée en trois parties :
– ce premier article [SE 4 030] est consacré aux définitions, objectifs et
domaines d’application ;
– le deuxième, [SE 4 031] en présente le principe ;
– le troisième, [SE 4 032] est consacré à la mise en œuvre et à l’illustration
de cette méthode.
Les références bibliographiques sont regroupées dans la fiche documentaire
[Doc. SE 4 033].
• L’analyse des déviations fait l’objet d’un enregistrement sous

1. Présentation forme de tableaux des déviations, base indispensable pour la mise
en place ultérieure des actions recommandées par le groupe de
La gestion des risques est une exigence incontournable dans nos travail.
sociétés industrielles modernes pour lesquelles l’accident majeur
est devenu inacceptable. En entreprise,l’importanc e de la sécurité ■ Dans le cas de risques majeurs, la réglementation des sites
n’est plus à démontrer. Le moyen le mieux adapté pour maîtriser industriels classés SEVESO impose une évaluation du risque. La
les risques d’accident est la sûreté de fonctionnement (SdF), méthode HAZOP conventionnelle, telle que décrite plus haut,
laquelle est un ensemble de méthodes et de concepts ([1] [2]). comporte alors une estimation a priori de la probabilité d’appari-
tion des déviations et de la gravité de leurs conséquences. On
La méthode HAZOP (Haz ard and operability studies) s’inscrit obtient une estimation semi-quantitative du risque, se poursuivant
dans la SdF en proposant une démarche d’amélioration de la par une évaluation permettant de définir l’acceptabilité ou non du
sécurité et des procédés d’un système (installation industrielle risque. On qualifie alors la méthode HAZOP de « probabiliste » par
en projet ou existante). rapport à l’approche originelle qualifiée de « déterministe ».
Elle est traduite en français dans la norme CEI 61882 (voir
[Doc. SE 4 033]). La méthode HAZOP est aujourd’hui, parmi la soixantaine de
méthodes d’analyses de risques existantes, l’une des plus pra-
C’est un examen structuré, en profondeur, rigoureux, systéma- tiquées dans le monde.
tique, participatif, de type inductif, d’identification des dangers et Les autres méthodes, parmi les plus utilisées, sont :
des dysfonctionnements d’un système, mais qui ne propose pas de – l’Analyse préliminaire de risques (APR) [3] ;
solution. Pour ce faire, le système « siège du danger » est modélisé – l’Analyse des modes de défaillance, de leurs effets
et analysé pour définir comment son fonctionnement peut conduire (AMDE), et de leur criticité (AMDEC) [1] [4] ;
à des dérives par rapport à l’intention de son concepteur. – l’Arbres de défaillances (AdD) [1] [5] ;
■ La méthode est particulièrement adaptée aux systèmes – la What-if.
complexes de type thermo-hydrauliques, rencontrés sur des sites
industriels mettant en jeu des produits ou/et des procédés dange-
Certaines de ces méthodes peuvent être complémentaires (l’APR
reux, et entraînant des conséquences immédiates graves pour le
se situe avant l’HAZOP), ou en concurrence entre elles. Un choix
personnel, la population, les biens et l’environnement. Son
des méthodes s’impose donc avant de lancer une étude HAZOP.
domaine d’application comprend les procédés et les processus
dans des secteurs aussi divers que la chimie, la pétrochimie (son
application originelle), le pétrole, l’hydraulique, le nucléaire,
l’industrie alimentaire et les transports.
■ Sa mise en œuvre nécessite la constitution d’un groupe de tra-
2. Définition, objectifs
vail rassemblant autour d’un animateur, garant de la méthode, une
équipe pluridisciplinaire ayant une connaissance approfondie de
et domaines d’application
l’installation décrite sur des plans détaillés. La méthode consiste à
décomposer le système considéré en sous-ensembles, appelés 2.1 Définition et objectifs
« nœuds », puis à l’aide de mots–clés, ou mots guides, spécifiques
à la méthode, faire varier les paramètres du système par rapport à ■ Définition
ses points de consignes, appelées « intentions du procédé ».
La société Chemetics International Ltd., dans son guide à l’intro-
• On obtient ainsi une déviation dont l’équipe examinera les
duction de la méthode HAZOP [10] retient la définition suivante.
causes possibles et en déduira leurs conséquences potentielles
pour l’ensemble du système, d’où l’emploi fréquent d’« analyse
des déviations » pour caractériser la méthode HAZOP. Méthode HAZOP : « ...application d’un examen critJ ue
L’équipe se concentre alors sur les déviations conduisant à des formel et systématique aux intentions du procédé et de l’ingé-
risques potentiels pour la sécurité des personnes, des biens et de nierie d’une installation neuve ou existante afin d’évaluer le
l’environnement. Elle examine et définit ensuite les actions potentiel de danger lié à la mauvaise utilisation, ou au mauvais
fonctionnement, d’éléments d’équipement et leurs effets sur
recommandées pour éliminer, en priorité, la cause et/ou éliminer
ou atténuer les conséquences. l’installation dans son ensemble... ».

SE 4 030 – 2 est strictement interdite. – © Editions T.I.
ＱＸ
ｓｅＴＰＳＰ
________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES
■ Objectifs ■ Dommage
L’objectif de la méthode HAZOP est, à l’origine, d’identifier les Le guide ISO/CEI 51 (voir [Doc. SE 4 033]) définit les notions de
dysfonctionnements de nature technique et opératoire dont dommage et de danger :
l’enchaînement peut conduire à des événements non souhaités. Il – dommage : blessure physique ou atteinte à la santé des
s’agit donc de déterminer, pour chaque sous-ensemble ou élément personnes, aux biens ou à l’environnement ;
d’un système bien défini, les conséquences d’un fonctionnement – la notion de danger a fait l’objet d’une définition plus spéci-
hors du domaine d’utilisation pour lequel ce système a été conçu. fique, dans la Directive SEVESO II concernant la maîtrise des dan-
• La norme CEI 6 1882 (voir [Doc. SE 4 033]) définit les objectifs gers liés aux accidents majeurs impliquant des substances
de la méthode HAZOP originelle, à savoir : dangereuses présentes dans les Installations classées pour la pro-
tection de l’environnement (ICPE) : danger : « ...propriété intrin-
– « ...identification des dangers potentiels dans le système. Le sèque d’une substance dangereuse ou d’une situation physique,
danger peut se limiter à la proximité immédiate du système ou de pouvoir provoquer des dommages pour la santé humaine et/ou
étendre ses effets bien au-delà, comme dans le cas des dangers l’environnement... ».
environnementaux... » ;
– « ...identification des problèmes potentiels d’exploitabilité Exemples : une falaise (situation physique), un fl_on de lessive de
posés par le système et, en particulier, l’identification des causes, soude (substance dangereuse car corrosive) sont des dangers pour
des perturbations du fonctionnement et des déviations dans la l’homme (élément vulnérable) car ils peuvent provoquer des
production susceptibles d’entraîner la fabrication de produits non dommages (blessure en cas de chute depuis le bord de la falaise, brû-
conformes... ». lure grave dans le cas d’un contact du corps avec la lessive de
soude).
• Avec l’apparition de la Directive SEVESO II et des nouvelles
exigences du ministère de l’Écologie et du développement durable Sont rattachées à la notion de « danger » les caractéristiques
(MEDD) en matière de prévention des risques industriels, la suivantes :
méthode HAZOP originelle s’avère insuffisante pour l’analyse des
– les propriétés inhérentes à une substance ou une préparation :
risques majeurs. Il faut lui adjoindre une phase d’évaluation du ris-
inflammabilité, toxicité... ;
que. C’est ainsi que, de purement qualitative, la méthode HAZOP
devient semi-quantitative, contribuant ainsi à améliorer la – l’énergie disponible dans le système : pneumatique, poten-
connaissance du risque et, de ce fait, la sécurité des installations. tielle...
• Les raisons qui vont conduire à engager une étude HAZOP sur On pourra résumer la notion de danger en indiquant qu’il est
une installation industrielle peuvent répondre à de multiples objec- une caractéristique d’un système, d’une machine, d’un atelier,
tifs qui sont en fait des exigences : d’un procédé, d’une situation, ayant un certain potentiel à cau-
– satisfaire aux exigences de la politique « Hygiène-sécurité- ser des atteintes aux personnes, aux biens, à l’environnement.
environnement » (HSE) de l’entreprise propriétaire de l’instal- Nous ajouterons qu’un danger est vérifiable et quantifiable.
lation ;
– satisfaire aux exigences de l’Administration, représentée, en
particulier, par les Directions régionales de l’Industrie, de la On observera que de nombreuses substances ou préparations
recherche et de l’environnement (DRIRE) : assurer la conformité non dangereuses peuvent le devenir lorsqu’elles se trouvent dans
avec la réglementation des Installations classées pour la protection d’autres conditions.
de l’environnement (ICPE), les codes du travail et de l’environ-
Exemple : l’eau à la chaleur ambiante ne constitue pas un danger
nement, la Directive SEVESO ;
alors que, portée dès 6 0oC, elle le dev
ient.
– établir les plans d’urgence : Plan d’opération interne (POI) pour
les installations industrielles, Plan d’urgence interne (PUI) pour les À cette notion de danger peuvent être associées les notions de :
installations nucléaires, tous deux établis sous la responsabilité de potentiel de danger, phénomène dangereux, et situation de dan-
l’exploitant, et le Plan particulier d’intervention (PPI) et le Plan de ger.
prévention des risques technologiques (PPRT) établis sous l’auto-
rité du Préfet ; ■ Potentiel de danger
– renforcer la confiance des parties prenantes (stakeholders ) : La définition du potentiel de danger retenue par le MEDD est :
populations, personnels, dirigeants, actionnaires, clients ; « ...système (naturel ou créé par l’homme) ou disposition adoptée
– satisfaire aux exigences des assureurs qui vont devoir couvrir et comportant un (ou plusieurs) danger(s) ». Dans le domaine des
financièrement le risque résiduel. risques technologiques, un « potentiel de danger » correspond à
un ensemble technique nécessaire au fonctionnement du proces-
sus envisagé. Il est aussi appelé source de danger ou élément
2.2 Notions de base porteur de danger ou élément dangereux... ».
Exemple : un flacon contenant de la lessive de soude (système)
2.2.1 Définition du danger et de ses corollaires constitue un potentiel de danger lié à la corrosivité de la substance
pour le corps humain.
■ Danger
Il existe plusieurs définitions de la notion de danger (hazard). La ■ Phénomène dangereux
plus récente émane du MEDD qui a publié, en octobre 2005, un La définition du phénomène dangereux retenue par le MEDD
« Glossaire technique des risques technologiques » [11] avec les est : « ...libération d’énergie ou de substance produisant des effets
termes suivants : au sens de l’arrêté du 29 septembre 2005 susceptible d’infliger un
– danger : « propriété intrinsèque à une substance (élément ou dommage à des cibles vivantes ou matérielles sans préjuger l’exis-
composé chimique), à un système technique (mise sous pression tence de ces dernières... ».
d’un gaz), à une disposition (élévation d’une charge...), à un orga-
nisme (microbes), etc., de nature à entraîner un dommage sur un ■ Situation de danger
« élément vulnérable » ; La définition d’une situation retenue par l’INERIS est :
– élément vulnérable : personne, bien et environnement. Un élé- « ...situation, si elle n’est pas maîtrisée, peut conduire à l’expo-
ment vulnérable est aussi appelé « cible ». sition de cibles à un ou plusieurs phénomènes dangereux... ».

est strictement interdite. – © Editions T.I. SE 4 030 – 3
ＱＹ
ＲＰ
ｓｅＴＰＳＱ

des risques
Principe
par Michel ROYER
Ingénieur chimiste
1. Analyse du système ................................................................................. SE 4 031 - 2

1.1 Objectifs de l’analyse................................................................................... — 2
1.2 Définition du système .................................................................................. — 2
2. Paramètres et mots-clés......................................................................... — 3
2.1 Paramètres.................................................................................................... — 3
2.2 Mots-clés ou mots guides ........................................................................... — 3
2.3 Déviations ..................................................................................................... — 3
3. Étude des déviations ............................................................................... — 5
3.1 Logigramme de l’étude ............................................................................... — 5
3.2 Causes des déviations ................................................................................. — 5
3.3 Conséquences des déviations..................................................................... — 7
3.4 Exemples de déviations, causes et conséquences.................................... — 7
4. Estimation et évaluation du risque ..................................................... — 8
4.1 Probabilité d’occurrence.............................................................................. — 8
4.2 Gravité des conséquences .......................................................................... — 10
4.3 Niveaux de risque ........................................................................................ — 13
4.4 Évaluation du risque .................................................................................... — 16
5. Détection et barrières de sécurité....................................................... — 16
5.1 Détection ....................................................................................................... — 16
5.2 Barrières de sécurité .................................................................................... — 16
a méthode HAZOP (Hazard and operability studies) consiste à décomposer

L un système donné en sous-ensembles appelés « nœuds » puis, à l’aide de
mots-clés ou mots guides spécifiques (voir [SE 4 030]) et à faire varier les para-
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ
mètres du système étudié par rapport à ses points de consignes appelés

« intentions du procédé ». Les déviations ainsi obtenues sont examinées par
une équipe pluridisciplinaire dédiée (voir [SE 4 032]) afin d’en déduire leurs
conséquences potentielles pour l’ensemble du système et de déterminer celles
conduisant à des risques potentiels pour la sécurité des personnes, des biens
et de l’environnement. Le groupe de travail examine et définit ensuite les
actions recommandées pour éliminer en priorité la cause ou atténuer, voire
éliminer les conséquences. L’analyse des déviations fait l’objet d’un enregis-
trement sous forme de tableaux, base indispensable pour la mise en place
ultérieure des actions recommandées par le groupe de travail.
Dans cet article, nous aborderons donc l’analyse du système, la détermina-
tion des paramètres, le choix des mots- clés et l’étude des déviations.
Après avoir présenté la méthode HAZOP et ses domaines d’application dans
l’article [SE 4 030], le principe en est donc ici donné avec les différents points à
prendre en compte.
Par la suite dans [SE 4 032], nous verrons comment cette méthode peut être
appliquée. Les références bibliographiques ici citées sont consultables dans la
fiche documentaire [Doc. SE 4 033].

ＲＱ
ｓｅＴＰＳＱ
La modélisation la mieux adaptée pour l’analyse de risque par la

1. Analyse du système méthode HAZOP est le schéma détaillé de circulation des produits
tels que présents dans l’installation considérée, d’où l’emploi fré-
1.1 Objectifs de l’analyse quent « d’analyse sécurité sur schémas ». Ce type de schéma dit
« PID », très répandu dans l’industrie chimique et pétrochimique,
L’analyse du système a pour objectif le maintien de ses perfor- comprend une représentation graphique de l’ensemble des appa-
mances dans le temps, dans les conditions de sa conception et au reils et équipements, des tuyauteries les reliant entre eux (flux pro-
moindre coût. Pour cela, il convient, comme pour toute étude de cédés, mais aussi utilités), ainsi que la totalité de l’instrumentation.
SdF, de procéder à une modélisation du comportement fonction- Le PID est, par définition, plus complet que le schéma dit « PFD »
nel et dysfonctionnel du système, puis à évaluer ses performances. qui se limite à la représentation des flux procédés et à l’instrumen-
tation de base.
La sécurité des processus industriels dépend de l’interaction, La modélisation d’une installation industrielle peut requérir plu-
du contrôle et de la maîtrise permanente de trois variables sieurs dizaines de PID. À partir d’un PID, il convient alors de le frac-
essentielles : le produit, le procédé et le facteur humain. tionner en « nœuds » dont on donnera la définition suivante pour
une installation : sous ensemble ou élément spécifique réalisant
une fonction dans le procédé.
1.2 Définition du système Exemple : un équipement (réacteur, réservoir ou pompe) avec ses
connexions (tuyauteries) et son instrumentation réalise une fonction
1.2.1 Notion de système (réaction, stockage ou transfert).
La notion de système fait l’objet de la définition suivante [1] : Le tableau 1 présente une liste de seize équipements issus du
« ...ensemble de matériels, de logiciels, d’hommes, organisé pour projet européen ARAMIS [18] qui peuvent constituer autant de
assurer des fonctions données dans des conditions données... ». nœuds.
Le système est constitué de l’ensemble du processus industriel, Dans un nœud, le comportement fonctionnel du procédé doit
de l’acheminement des produits à leur transformation, en passant être clairement défini, ce que la méthode HAZOP qualifie
par les conditions de stockage. d’« intention » du procédé et qui peut se définir simplement ainsi :
« ...description de la façon dont le procédé doit se comporter dans
Exemples : un site ou une installation (le plus souvent de type le nœud... ».
industriel), un équipement, sont parmi les systèmes le plus souvent
considérés pour les études HAZOP. La norme ISO/CEI 61882 (voir [Doc. SE 4 033]) retient une défini-
tion plus précise en se référant au concepteur de l’installation :
« ...façon dont les éléments et les caractéristues doivent se
1.2.2 Périmètre du système comporter pour être conformes aux désirs du concepteur ou à une
plage spécifiée... ».
La première des actions à engager dans une étude HAZOP est
de fixer le périmètre du système à étudier. Les enjeux et les
moyens humains à mettre en œuvre sont différents selon que l’on
s’adresse à un site, une installation, ou un équipement. Tableau 1 – C lasses d’équipements
selon le projet européen ARAMIS (d’après [18])
1.2.3 Modélisation du système Classes
É
quipements
« nœuds »
La deuxième action consiste à modéliser le système. Une instal-
lation industrielle peut être modélisée comme un ensemble EQ1 Silo de stockage de solides
composé essentiellement de matériels (M1, M2...) et d’opérateurs
(O1, O2...) en interaction entre eux et avec l’environnement comme EQ2 Stockage de solides en petits emballages
le présente la figure 1 [8]. EQ3 Stockage de fluides en petits emballages
On entend par matériels et opérateurs les éléments suivants : EQ4 Réservoir sous pression
– matériels : bâtiments, stockages, machines, appareils, équipe- EQ5 Réservoir de liquide stocké à une pression
ments ; supérieure à la pression de saturation
– opérateurs : tous les acteurs de l’installation, de la direction par inertage
aux exécutants.
EQ6 Réservoir atmosphérique
EQ7 Réservoir cryogénique
EQ8 Équipement de transport sous pression
EQ9 Équipement de transport atmosphérique
EQ10 Tuyauterie
EQ11 Réservoir intermédiaire intégré dans un procédé
EQ12 Équipement impliquant des réactions chimiques
EQ13 Équipement dédié aux séparations physiques
et chimiques des substances
EQ14 Équipement de production et de fourniture
d’énergie
EQ15 Équipement pour emballage
Figure 1 – Exemple de modélisation d’une installation industrielle EQ16 Autres équipements

ＲＲ
ｓｅＴＰＳＱ
_________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES
La norme entend par caractéristique « une propriété quantitative Depuis, se sont ajoutés quatre mots-clés relatifs aux notions de
ou qualitative d’un élément ». temps et de séquence :
L’intention concerne aussi bien le design (équipement) que la – plus tôt que (earlier than) ;
conduite (exploitation) de l’installation. – plus tard que (later than) ;
L’intention du procédé peut être une grandeur physique (T, P, – avant (before) ;
débit), ou une activité (phases de chargement d’un réactif, distilla- – après (later).
tion d’un produit). Soit un total aujourd’hui de onze mots-clés. La recherche
Le premier cas concerne plus particulièrement les procédés d’autres mots-clés est ouverte à l’imagination.
continus en fonctionnement normal où les paramètres sont fixés
par le procédé et le second cas les procédés discontinus ou 2.3 Déviations
semi-continus où les paramètres varient avec le temps et la
séquence. On intégrera dans ce dernier cas l’étude des phases 2.3.1 Définition
transitoires de démarrages et d’arrêts rencontrées dans les procé-
dés continus. La combinaison de mots-clés et de paramètres va constituer une
dérive, ou déviation, de ce paramètre :
MOT-CLÉ + PARAMÈTRE = DÉVIATION

2. Paramètres et mots-clés
La définition retenue pour la méthode HAZOP est : « ...écart par
2.1 Paramètres rapport aux intentions du design et de la conduite des
opérations... » [10].
La méthode HAZOP fait appel à des paramètres spécifiques qui
Exemple : le paramètre grandeur physique « température » appli-
s’expriment par de simples mots (noms ou verbes) caractéris-
qué au mot-clé « plus de » conduit à la déviation « plus de
tiques de l’intention de la conception et que l’on peut définir ainsi :
température », sous-entendu par rapport à l’intention du procédé,
« grandeur physiquement mesurable, action ou opération à
déviation qui s’exprimera plus clairement par « température haute ».
réaliser ». Le tableau 2 regroupe des listes de paramètres parmi
les plus fréquemment employés dans l’industrie des procédés. De la même façon, le paramètre opératoire « agitation » appliqué
au mot-clé « pas de » conduit à la déviation « pas d’agitation ».
On observera que l’homme est partie prenante dans les opé-
rations et les actions à réaliser. On conçoit donc aisément que On notera que l’état de référence du paramètre soumis à
son rôle dans la sécurité des installations soit déterminant. déviation dépend notamment de l’état du système considéré :
fonctionnement normal ou transitoire (démarrage, arrêt).
2.2 Mots-clés ou mots guides 2.3.2 Domaines d’application

Parallèlement, la méthode introduit un nombre limité (sept à Les déviations peuvent s’appliquer aux procédés continus
l’origine) de mots-clés appelés aussi « mots guides » et définis ori- (tableau 3), discontinus et semi-continus (tableau 4) et aux procé-
ginellement ainsi [10] : dés en développement (tableau 5). Ces tableaux, issus respective-
« ...simple mot ou courte phrase qualifiant l’intention en vue de ment des références [10] et [19], reprennent les mots-clés adaptés,
guider et de stimuler le processus créatif et ainsi de permettre la leur signification, ainsi que des exemples de déviations.
découverte de déviations... ». Toutes les combinaisons paramètres/mots-clés ne conduisent
Liste des sept mots-clés (keywords) : pas nécessairement à des déviations pertinentes.
– non ou pas de (no ou not) ; Exemple : le paramètre « température » appliqué au mot-clé « Pas
– plus de (more) ; de » conduit à la déviation « Pas de température », non pertinente
– moins de (less) ; hormis si l’on considère le zéro absolu !
– en plus de (as w ell as) ;
– en partie (part of) ; Le tableau 6 montre plus généralement les déviations pertinen-
– autre que (other than) ; tes notées X issues des onze mots-clés et de douze paramètres (six
– inverse (reverse). grandeurs physiques, trois opérations et trois actions à réaliser).
Tableau 2 – Exemples de paramètres de la méthode HAZOP

Grandeurs physiques
Opérations à réaliser Actions à réaliser Fonctions-situations
mesurables
Température pH Chargement Contrôle Démarrer Protection
Pression Intensité Dilution Séparation Échantillonner Fuite
Niveau Vitesse Chauffage Refroidissement Arrêter Défaut d’utilités
Débit Fréquence Agitation Transfert Isoler Gel
Concentration Quantité Mélange Maintenance Purger Séisme
Contamination Temps Réaction Corrosion Fermer Malveillance

ＲＳ
ｓｅＴＰＳＱ
Tableau 3 – Liste de mots-clés applicables aux procédés continus

Types de Mots-clés Signification des mots-clés
Exemples de déviations
déviations (Keywords) et commentaires
Pas de, Non, Plus du tout Aucune partie de l’intention n’est remplie, Pas de flux matière (débit nul), réacteur
Négative
(No, Not, None) mais il ne se passe rien. vide (niveau liquide nul).
Dépassement, ou augmentation,
Température de réaction supérieure à la
quantitatif.
Plus de valeur prévue, temps de séjour plus long
Se réfère aux quantités et aux propriétés (T,
(More than) que prévu, niveau liquide trop élevé,
P), mais aussi aux activités (chauffage, réac-
Modification augmentation du chauffage.
tion).
quantitative
Insuffisance ou diminution quantitative. Flux matière inférieur à la valeur prévue,
Moins de Se réfère aux quantités et aux propriétés (T, niveau trop bas dans un réacteur,
(Less than) P), mais aussi aux activités (chauffage, réac- composition plus faible qu’attendue,
tion). diminution du chauffage.
Accroissement qualitatif. Présence d’une impureté dans une matière
Aussi, Ailleurs, En plus de L’intention (design et opératoire) première ou dans un produit de réaction,
Modification (Also, As well as) est réalisée avec une activité additionnelle. orientation d’un produit vers un autre bac
qualitative Effet concomitant indésirable. de stockage que le sien (contamination).
En partie, en moins Diminution qualitative. Présence d’une phase aqueuse au stockage
(Part of) Une partie seulement de l’intention est réalisée. d’un des réactifs, entraînée en réaction.
Autre que Substitution complète. Fuite de produit par corrosion
(Other than) Résultat obtenu différent de celui de l’intention. de canalisation.
Substitution Résultat logiquement opposé à celui de l’inten-

Inversion de l’écoulement dans
Inverse, au contraire tion.
les canalisations, inversion des réactions
(Reverse) Se réfère principalement aux activités, mais
chimiques, antidote au lieu de poison.
aussi aux substances.
Tableau 4 – Liste de mots-clés spécifiques aux procédés discontinus et semi-continus

Types de Mots-clés,
Signification des mots-clés Exemples de déviations
déviations (Keywords)
Plus tôt que Événement se produisant avant l’heure (ou le Introduction des réactifs A et B réalisée
(Earlier than) moment) prévu par l’intention plus tôt que la mise en chauffe du réacteur
Temps
Plus tard que Événement se produisant après l’heure (ou le Introduction du catalyseur C dans
(Later than) moment) prévu par l’intention le réacteur après l’addition du solvant S
Avant Événement se produisant plus tôt que prévu Introduction du catalyseur C dans le
(Before) dans une séquence réacteur avant le démarrage de l’agitation
Ordre
Après Événement qui se produit plus tard que prévu
Introduction du réactif B avant le réactif A
(After) dans une séquence
Plus vite Durée d’introduction d’un des réactifs deux
Séquence plus rapide que l’intention
(Faster) fois plus rapide que prévue
Séquence
Plus lente Allongement de la durée de la vidange
Séquence plus lente que l’intention
(Slower) du réacteur en fin d’opération
Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement

Types de Mots-clés
déviation (Keywords)
Pas de, Non, Plus du tout Aucune partie de l’intention n’est
Négative Élimination d’un solvant ou d’un catalyseur
(No, Not) remplie
Augmentation de la température de réaction
Plus de (More) Augmentation quantitative
Modification ou de la quantité d’un solvant
quantitative Réduction de la température ou de la quantité
Moins de (Less) Réduction quantitative
de solvant

ＲＴ
ｓｅＴＰＳＱ
_________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES
Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement (suite)

Types de Mots-clés
déviation (Keywords)
Modification Autant que, Aussi, En Activité concomitante à celle de Présence d’une impureté contenue dans une matière
qualitative même temps (As well as) l’intention première, exécution d’une autre opération ou étape
Activité substituée à celle de Substitution d’une matière première ou d’un solvant
Autre que (Other than)
l’intention par une autre matière première ou un autre solvant
Substitution
Activité opposée à celle de Flux inverse de matière ou inversion de réaction
Inverse (Reverse)
l’intention chimique
Activité se produisant
Plus tôt que, Plus tard que
Temps au mauvais moment (avant Changement des enchaînements ou des séquences
(Earlier than, Later than)
ou après d’autres activités)
Tableau 6 – Exemple de matrice mots-clés/paramètres HAZOP

Mots-clés
Paramètres HAZOP Pas Plus Moins En Autre Plus Plus
Aussi Inverse Avant Après
de de de partie que tôt tard
Température X X X
Pression X X X
Grandeurs Niveau X X X X
physiques Débit X X X X X X X X X X X
Concentration X X X X X
Contamination X X X X X
Chargement X X X X X X X X X X
Opérations Agitation X X X X X X X X X X
Chauffage X X X X X X X X X X
Démarrer X X X X X X X
Actions Mesurer X X X X X X X
Arrêter X X X X X X X
3. Étude des déviations environnement. Cette approche est commune à de nombreuses

méthodes comme le montre le tableau 7.
Les causes des déviations sont les raisons ou problèmes pour
3.1 Logigramme de l’étude lesquels ces déviations ont lieu.
Cette phase de l’étude constitue le cœur de la méthode HAZOP. Le tableau 8 présente divers types de causes possibles de dévia-
Par un mécanisme itératif sur chacun des nœuds, l’association sys- tions, leur origine et des exemples.
tématique paramètres/mots-clés doit permettre de couvrir de
façon exhaustive toutes les dérives potentielles ou problèmes ima- On notera que les défaillances opérateur peuvent recouvrir de
ginables dans l’installation étudiée. Le logigramme de l’étude des nombreux aspects correspondant aux erreurs humaines. L’homme
déviations HAZOP est présenté à la figure 2. intervient comme événement initiateur d’accident, d’autant plus
qu’il est aussi responsable des défaillances de matériel.
Remarque. Il est possible de conduire l’analyse des déviations
en appliquant, à l’inverse, un mot-clé à chacun des paramètres. La cause fondamentale de ces défaillances humaines est liée
à une mauvaise gestion de la sécurité.
3.2 Causes des déviations

3.2.2 Recherche des causes de déviations
3.2.1 Définitions et origine
La recherche des causes de déviations de chaque paramètre
La méthode HAZOP d’analyse de risques procède selon une nécessite de se poser systématiquement la question suivante : que
démarche dite « inductive », partant de la cause de la déviation faut-il faire pour que le paramètre étudié soit différent de celui de
d’un paramètre afin d’identifier ses effets sur le système et son l’intention ?

ＲＵ
ＲＶ
ｓｅＴＰＳＲ

des risques
Mise en œuvre
par Michel ROYER

Ingénieur chimiste
1 . Mise en œuvre de la méthode............................................................... SE 4 032 - 2

1.1 Documentation ............................................................................................. — 2
1.1.1 Documents relatifs aux produits........................................................ — 2
1.1.2 Documents relatifs au procédé .......................................................... — 2
1.1.3 Documents relatifs aux opérations.................................................... — 2
1.2 Acteurs .......................................................................................................... — 2
1.2.1 Mise en place du groupe de travail ................................................... — 2
1.2.2 Le chef de projet.................................................................................. — 3
1.2.3 L’animateur HAZOP ............................................................................ — 3
1.2.4 Les spécialistes techniques ................................................................ — 4
1.2.5 Autres fonctions .................................................................................. — 4
1.2.6 Règles de conduite de l’équipe .......................................................... — 4
1.3 Déroulement ................................................................................................. — 4
1.3.1 Préparation des sessions.................................................................... — 4
1.3.2 Sessions HAZOP ................................................................................. — 5
1.4 Délivrables .................................................................................................... — 7
1.4.1 Recommandations d’actions.............................................................. — 7
1.4.2 Documents de fin de session ............................................................. — 8
1.4.3 Document de fin d’études .................................................................. — 8
2 . Illustration de la méthode...................................................................... — 8
3 . Conclusion.................................................................................................. — 10
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ
omme nous l’indiquions dans le dossier [SE 4 030], la mise en œuvre de

C la méthode HAZOP (Hazard and operability studies) nécessite la
constitution d'un groupe de travail rassemblant autour d'un animateur, garant
de la méthode, une équipe pluridisciplinaire ayant une connaissance appro-
fondie de l’installation décrite sur des plans détaillés. Elle demande donc la
mobilisation d’une équipe pluridisciplinaire pendant de longues périodes, et la
collecte de nombreux documents pour modéliser l’installation [SE 4 031].
Dans ce troisième volet consacré à la mise en œuvre de la méthode HAZOP,
une présentation des différentes composantes de l’équipe de travail est faite
après avoir établi la liste des différents documents à réunir. Sont ensuite
abordés le déroulement des différentes réunions de travail et les documents
finaux à produire. Enfin, une courte illustration d’application est donnée.
Les références bibliographiques sont regroupées dans la fiche documentaire
[Doc. SE 4 033].

ＲＷ
ｓｅＴＰＳＲ
1. Mise en œuvre 1.2 Acteurs

de la méthode 1.2.1 Mise en place du groupe de travail
Exemple : cas d’un projet d’industrialisation
1.1 Documentation Pour un projet rendu au stade avancé correspondant aux phases
d’ingénierie de détail et de construction, l’entreprise (maître
d’ouvrage) doit mettre en place une organisation appropriée, du type
1.1.1 Documents relatifs aux produits de celle présentée par la figure 1 [9].
Le tableau 1 détaille les cinq thèmes majeurs à documenter,

ainsi que la nature des documents à collecter. Nombre de docu-
ments doivent être déjà disponibles si l’on a procédé préalable- Comité de Maître d'ouvrage Environnement
ment à une APR (Analyse préliminaire de risques). pilotage (entreprise) socio économique
Directeur de projet
1.1.2 Documents relatifs au procédé Représentant du
Maître d'ouvrage
Le tableau 2 détaille les thèmes à documenter, ainsi que la
Chef de projet
nature des documents à collecter. Exploitant
(maître d'oeuvre)
- société d'ingénierie Site d'accueil
- entrepreneurs Opérateurs
1.1.3 Documents relatifs aux opérations - spécialistes
Le tableau 3 détaille les thèmes à documenter, ainsi que la Figure 1 – Schéma de l’organisation à mettre en place pour mener
nature des documents à collecter. un projet d’industrialisation
Tableau 1 – Liste des documents à collecter relatifs aux produits pour une étude HAZOP
Thèmes à documenter Documents à collecter
Fiches produits* : propriétés physiques, chimiques
Matières premières, intermédiaires, thermodynamiques, inflammabilité, réactivité, instabilité,
Caractéristiques produits finis, sous-produits, impuretés, toxicité, écotoxicité, modes de stockage, indices Dow et
des produits et utilités auxiliaires (solvants, catalyseurs), utilités, CHETAH, PEM, critères NFPA, traitement et destruction
déchets, rejets liquides et gazeux des produits, réglementation (ICPE, transport.).
Document unique
Caractéristiques
Rejets, déchets chroniques et accidentels Études déchets
des déchets
Fiches réactions : équations chimiques, chaleurs de réaction
(exo ou endo-thermie), opérations (continues, discontinues,
semi-continues...), modes opératoires (état physique, quantités,
flux, T, P, compositions...), cinétique, risques associés
Caractéristiques Réactions principales, secondaires,
(explosion thermique, rejet de produit toxique...), dispositifs de
des réactions parasites
maîtrise des réactions, mesures de prévention des pannes et
fausses manœuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans l’environnement
Fiches opérations : nature (distillation, filtration...), conditions
opératoires (état physique, quantités, flux, T, P, compositions,
phases...), risques associés (explosion physique, rejet de
Caractéristiques
Opérations de génie chimique produit toxique...), mesures de prévention des pannes et des
des séparations physiques
fausses manœuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans l’environnement
Incompatibilités Matrice d’incompatibilité : risques associés à réaction,
Produit-produit, produit-matériau,
des produits, utilités et explosion, incendie, polymérisation, corrosion, échauffement,
produit-utilité, produit-auxiliaire
matériaux décomposition, précipitation...
Bilan matières : flux par flux, prévisionnel et cohérent
Flux matières et flux Bilan matières
(par analyse de chacun des flux), bilan thermique par nœud ou
thermiques Rejets dans l’environnement
opération
* On se procurera auprès des fournisseurs (fabricants, importateurs ou vendeurs) les fiches de données de sécurité (ou FDS (MSDS)) à
jour et, auprès de l’INRS, les fiches toxicologiques des produits (quand elles existent).

ＲＸ
ｓｅＴＰＴＰ
AMDE (C)
par Yves MORTUREUX

Expert en sûreté de fonctionnement à la Direction déléguée Système d’exploitation et
sécurité à la SNCF
Vice-président de l’Institut de sûreté de fonctionnement
1. Introduction............................................................................................... SE 4 040 – 2
2. Sens et pertinence de l’AMDE(C)......................................................... — 2
2.1 Principe de l’AMDE(C) ................................................................................. — 2
2.2 Utilité de l’AMDE(C) ..................................................................................... — 2
2.3 Conditions de réussite de l’AMDE(C) ......................................................... — 3
2.4 Place de l’AMDE(C) dans une démarche de maîtrise des risques ........... — 3
3. Réalisation d’une AMDE(C) ................................................................... — 4
3.1 Préparation à l’AMDE(C).............................................................................. — 4
3.2 Conduite de la méthode.............................................................................. — 5
3.2.1 Première étape : décomposition et modes de défaillance .............. — 5
3.2.2 Deuxième étape : effets et criticité .................................................... — 6
3.2.3 Le tableau AMDE(C) ........................................................................... — 6
3.2.4 Troisième étape : synthèse ................................................................ — 7
4. Exploitations de l’AMDE(C) ................................................................... — 7
4.1 Produits directs d’une AMDE(C)................................................................. — 7
4.1.1 Évaluation des défaillances................................................................ — 7
4.1.2 Actions correctives ............................................................................. — 7
4.1.3 Suivi des corrections .......................................................................... — 8
4.1.4 Constitution d’un dossier. Documents complémentaires du
tableau ................................................................................................. — 8
4.2 Impacts de l’AMDE(C).................................................................................. — 8
4.2.1 Conséquences à tirer des résultats d’une AMDE(C) ........................ — 8
4.2.2 Impacts sur la conception.................................................................. — 9
4.2.3 Validation de la conception ............................................................... — 9
4.2.4 Prescriptions d’exploitation ............................................................... — 9
4.2.5 Organisation de la maintenance ....................................................... — 9
4.2.6 Exploitation, maintenance et retour d’expérience........................... — 9
4.2.7 Communication .................................................................................. — 9
5. Recommandations sur le processus ................................................... — 10
5.1 Échanges entre l’analyste, le commanditaire et les experts .................... — 10
5.2 L’animation du groupe de travail................................................................ — 10
5.3 Pousser les limites de la méthode ............................................................. — 11
5.4 Soigner la synthèse ..................................................................................... — 11
6. Limites de l’AMDE(C) .............................................................................. — 11
6.1 Réputation d’exhaustivité de l’AMDE ........................................................ — 11
6.2 Domaines d’application .............................................................................. — 11
7. Conclusion ................................................................................................. — 12
Pour en savoir plus........................................................................................... Doc. SE 4 040
e texte a pour ambition de présenter la démarche et les méthodes AMDE

C
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＵ
(analyse des modes de défaillance et de leurs effets)/AMDEC (analyse des

modes de défaillance, de leurs effets et de leur criticité), non pour faire double
© Techniques de l’Ingénieur SE 4 040 − 1
ＲＹ
ｓｅＴＰＴＰ
AMDE (C) _____________________________________________________________________________________________________________________________
emploi avec les nombreux fascicules, articles, supports de formation ou chapitres

d’ouvrages consacrés à la qualité ou la sûreté de fonctionnement qui décrivent
l’AMDE(C). L’auteur a tenté de recueillir et de restituer la riche expérience de plu-
sieurs spécialistes qui ont pratiqué ces méthodes dans des contextes divers.
Aussi la valeur qu’il espère avoir ajoutée est-elle formée surtout de commentai-
res et de recommandations visant à aider à mieux comprendre et à mieux utiliser
ces méthodes très largement répandues.
Ce dossier commence par situer l’AMDE(C) dans son environnement, lui don-
ner son sens. Ensuite, il aborde le déroulement de la démarche ; puis il illustre
l’usage de ces méthodes avant de mettre en avant les principales recomman-
dations et limites. Un exemple plus scolaire pour être bref rend concrète la
démarche avant de conclure.
1. Introduction 2. Sens et pertinence

de l’AMDE(C)
L’AMDE et l’AMDEC sont si connues et utilisées qu’elles sont pra-
tiquement devenues le symbole de la sûreté de fonctionnement.
L’AMDE (analyse des modes de défaillance et de leurs effets) étant 2.1 Principe de l’AMDE(C)
incluse dans l’AMDEC (analyse des modes de défaillance, de leurs
effets et de leur criticité), nous parlerons dans ce texte générale- Ne perdons jamais de vue le principe de l’AMDE.
ment d’AMDEC ou d’AMDE(C). Cette démarche est effectivement
très utilisée et très utile dans toute approche des risques. Pourtant, il
Principe de L’AMDE
ne faudrait pas confondre « analyse des risques » et AMDE(C) ou
● Point de départ : décomposition du système en compo-
croire que toute analyse de risque passe par une AMDE(C).
sants.
Notre but n’est pas de minimiser les apports de cette méthode à la ● Étape 1 : recensement des modes de défaillance des compo-
sûreté de fonctionnement, bien au contraire, mais il faut néanmoins sants.
lui redonner sa vraie place. Si la plupart des méthodes méritent une ● Étape 2 : effets et conséquences des modes de défaillance
certaine promotion tant elles peuvent apporter plus que l’usage qui des composants.
en est fait habituellement, l’AMDE(C) bénéficie au contraire d’une ● Sortie : risques découlant des défaillances des composants.
réputation extraordinaire au point que certains dirigeants industriels
voulant exprimer l’exigence d’une étude de risques avant mise en L’AMDE est une méthode inductive qui part des défaillances élé-
service d’un système complexe et innovant ont écrit qu’une mentaires des composants pour en déduire ce qui en résulte et donc
AMDE(C) du système devait être réalisée. à quelles situations, dues à ces défaillances, il faut s’attendre.
L’AMDEC ajoute une dimension d’évaluation de la gravité de ces
Nous nous attacherons dans ce texte à expliquer de notre mieux situations.
le sens et la pertinence de l’AMDE(C), à décrire le processus de réa-
L’AMDE(C) consiste à identifier et évaluer l’impact des défaillan-
lisation d’une AMDE(C) utile et à rappeler les recommandations les
ces des éléments du système sur celui-ci, ses fonctions, son
plus importantes issues de l’expérience pour réussir une AMDE(C) environnement.
de façon qu’elle soit utile.
Le contenu de ce dossier doit tout aux membres de feu l’Institut

de Sûreté de Fonctionnement et aux membres de l’actuel Institut de 2.2 Utilité de l’AMDE(C)
Maîtrise des risques par la Sûreté de fonctionnement qui ont par-
tagé leurs savoirs et leurs expériences dont l’auteur de ce dossier a Comme avec toute méthode, on est beaucoup plus efficace quand
largement bénéficié. Les membres du Groupe de Travail et de on comprend le but de la démarche que quand on se contente
Réflexion « Méthodes, Outils Standards » ont particulièrement tra- d’appliquer les règles d’un manuel si bon soit-il. Aussi est-il plus
vaillé sur cette méthode AMDE(C) et sont auteurs d’un guide péda- profitable de conduire une AMDE(C) en fonction de l’usage qui va en
gogique qui lui est consacré et dont l’auteur de ce dossier s’inspire être fait qu’en application d’une consigne ou d’une exigence
contractuelle ou réglementaire du type « réaliser une AMDE(C) sur
au même titre que de leurs expériences et conseils pour ce texte.
le système… conformément à la norme X ».
Qu’ils en soient remerciés comme ils le méritent ici.
Nous ne pourrons faire le tour de tous les usages possibles d’une
En anglais, la méthode est connue sous le sigle FMECA (Failure AMDE(C), mais nous en évoquerons quelques-uns caractéristiques.
Modes Effects and Criticality Analysis) ou FMEA. L’AMDE(C) identifie les problèmes auxquels exposent les défaillan-
ces internes du système étudié. En tenant compte des limites de la
On considère généralement que la méthode est apparue fin des méthode auxquelles nous reviendrons plus tard, cela permet :
années 1950, début des années 1960 dans l’industrie aéronautique — d’évaluer la gravité des situations auxquelles il faudra peut-
militaire américaine. être faire face ;
SE 4 040 − 2 © Techniques de l’Ingénieur
ＳＰ
ｓｅＴＰＴＰ
____________________________________________________________________________________________________________________________ AMDE (C)
— d’évaluer globalement les risques auxquels les défaillances produit », « AMDEC processus » ou « AMDEC moyen » et bien
des composants exposent ; d’autres encore. Il importe surtout de bien s’imprégner de l’esprit de
— d’identifier et de hiérarchiser les faiblesses du système ; la démarche qui est exactement le même.
— de prévoir la maintenance corrective nécessaire ;
— d’évaluer l’intérêt de modifications de la conception ou de
maintenance préventive pour réduire ces risques ;
— de prévoir des mesures d’exploitation adaptées aux situations
2.3 Conditions de réussite de l’AMDE(C)
à venir ;
— de hiérarchiser l’importance des règles d’exploitation et de
L’AMDE(C) a toute sa pertinence quand les conditions suivantes
maintenance ;
sont réunies :
— d’intégrer dans une vision globale du système les compétences
des diverses sciences et techniques sollicitées par le système en fai- — il faut savoir décomposer l’ensemble du système étudié en
sant dialoguer les spécialistes de celles-ci. composants d’un niveau de finesse tel que à chaque composant on
sache associer tous les modes de défaillance qui peuvent l’affecter ;
L’AMDE, appliquée à un produit destiné au grand public, incluant
comme « composant » l’utilisateur et lui associant comme « modes — il faut connaître les fonctionnements du système pour pouvoir
de défaillance » les mauvais usages, erreurs ou manques de soin décrire ce qui se passe quand apparaît un mode de défaillance d’un
auxquels il peut raisonnablement soumettre son appareil, permet composant et suivre la chaîne de la cause vers les conséquences.
d’imaginer les risques (dysfonctionnements ou accidents) auxquels Dans ces conditions, l’AMDE(C) va se dérouler au mieux et pro-
il s’expose du fait des défaillances, intrinsèques ou induites par son duire les résultats attendus !
action, de l’appareil. Sur cette base, l’entreprise, qui commercialise
le produit, peut ajouter une dimension criticité à ces événements Il faut combattre avec fermeté l’illusion assez répandue que, en
(responsabilité du constructeur du fait du produit en cas d’accident, présence d’un système mal connu ou qui nous apparaît comme une
perte de clientèle, perte d’image, coût d’après-vente…) et évaluer « boîte noire », une AMDE(C) serait bienvenue pour se couvrir. Une
l’intérêt de mesures de réduction de risque (avertissements sur la AMDE(C) sur un système dont on ne connaît pas les fonctionne-
notice, indications sur le produit, ajout de protections ou de détrom- ments est un leurre. Si l’aura de la méthode donne de l’assurance
peurs, modification de la conception ou de la fabrication, voire dans de telles conditions, c’est de la tromperie. Comme toute
retrait du marché…). méthode, l’AMDE(C) exploite de l’information, elle n’en crée pas à
partir de rien.
L’AMDEC, appliquée à une chaîne de production, permet de hié-
rarchiser et de valoriser les conséquences des défaillances des
pièces composant la chaîne et, en conséquence, d’évaluer l’intérêt :
— des stocks de pièces de rechange ; 2.4 Place de l’AMDE(C)
— de modifications de la chaîne pour réduire les temps de rem- dans une démarche de maîtrise
placement de certaines pièces ; des risques
— de renforcer ou d’alléger la maintenance préventive sur telle
ou telle pièce ;
— de choisir tels ou tels points de contrôle pour garantir la qualité Si on fait le bilan des expériences réussies ici et là, on trouvera
du produit fini de façon optimale ; l’AMDE(C) à pratiquement tous les stades du cycle de vie d’un
— de payer plus cher des pièces plus fiables ; système. Toutefois, on peut souligner le caractère à peu près
— de doubler tout ou partie de la chaîne ; incontournable de l’AMDE(C) à la fin de la conception, à la charnière
— de privilégier une série ou un fournisseur pour telle ou telle avec la réalisation ou l’exploitation et la maintenance. En effet,
pièce… quand le système est décrit de façon précise, les composants choi-
sis, l’AMDE(C) s’applique à merveille pour compléter la
L’AMDE appliquée à l’alimentation électrique d’un important
connaissance des fonctionnements (fonctionnements souhaités
domaine, a permis d’identifier toutes les défaillances élémentaires
décrits par la conception) avec les fonctionnements non souhaités,
susceptibles de provoquer des conséquences sensibles sur l’alimen-
mais inévitables du fait qu’aucun composant n’est infaillible. Il faut
tation d’un établissement du domaine. On a alors pu reprendre cha-
bien prendre en compte ce qui peut résulter des défaillances des
cune de ces défaillances pour s’assurer que des précautions étaient
composants choisis. À ce stade, les spécialités diverses sollicitées
prises pour que une ou deux défaillances simultanées n’aient pas de par la conception ont dû réunir leurs apports et c’est une caractéris-
conséquences dommageables. Le caractère systématique de tique intéressante de l’AMDE(C) de réunir et faire dialoguer les
l’AMDE a permis d’identifier quelques cas qui n’étaient pas bien cou-
connaissances (modes de défaillance et comportements des divers
verts et de renforcer les précautions.
éléments du système) de toutes les spécialités.
Du seul point de vue d’un fabricant, l’AMDEC s’applique à plu-
Exemple : quelle défaillance peut affecter l’alimentation électrique
sieurs « systèmes ». Elle s’applique au produit de ce fabricant. Ses
qui produit quel effet sur le moteur de la pompe qui produit quoi pour le
résultats vont alors permettre d’améliorer la conception de ce pro-
fluide qui se traduit comment sur la température qui a quel effet sur les
duit en vue de la meilleure satisfaction possible des exigences du
circuits électroniques qui produit quel résultat sur le traitement des
client. Elle s’applique aussi au processus de fabrication du produit.
données, etc.
Ses résultats permettent d’améliorer la conception du processus de
fabrication pour mieux garantir la satisfaction du client (tenue des À ce stade, l’AMDE(C) permet de s’assurer que les conséquences
délais, conformité de la fabrication…) et maîtriser les risques de la des défaillances internes au système sont compatibles avec les
production (rebuts, pertes de production…). Enfin à l’échelle infé- objectifs ou de reprendre la conception pour y remédier.
rieure, elle s’applique à chacun des moyens de production. Ses
résultats vont influer sur les exigences à l’égard du moyen de pro- Puis, elle permet de transmettre aux exploitants et mainteneurs
duction et sur la maintenance en vue de réduire les impacts négatifs (autorisons-nous ce néologisme pour désigner les équipes en
des pannes du moyen sur la production. De telles AMDEC sont des charge de la maintenance !) une description réaliste du système tel
études différentes, mais dont les enjeux et les résultats ne sont pas que les concepteurs l’ont étudié. Non seulement ce qu’on en attend
totalement indépendants. Aussi peut-il y avoir des allers et retours positivement (contenu dans les spécifications techniques de
entre les équipes menant ces analyses. On emploie couramment besoins) mais aussi ce qu’on a accepté de négatif décrit et évalué
des termes différents pour désigner ces analyses comme « AMDEC dans l’AMDE(C).
ＳＱ
ｓｅＴＰＴＰ
AMDE (C) _____________________________________________________________________________________________________________________________
Toutefois, on pratique aussi souvent l’AMDE(C) sur un système dépendent très lourdement des dysfonctionnements des moyens de
ancien ou acheté sur étagère pour anticiper les pannes et optimiser production ; c’est pourquoi l’AMDE(C) est très utilisée avec grand
les réactions à ces pannes (maintenance mais pas seulement). On bénéfice sur les moyens de production.
trouve aussi l’AMDE(C) comme un moyen dans une démarche d’APR Et pourquoi plusieurs AMDE(C) par phase par exemple
(analyse préliminaire de risques), cf. [SE 4 010] Analyse préliminaire
de risques. L’APR ayant globalement comme objectif d’identifier les En présence d’un système complexe qui passe par diverses
risques nécessitant une démarche spécifique et de proposer une phases ou diverses configurations… l’AMDE(C) unique qui couvre
démarche de maintien de ces risques à un niveau acceptable, une tous les cas devient pratiquement très difficile à réaliser, encore plus
AMDE(C) sur une partie du système est la démarche adéquate si les difficile à exploiter et le risque d’être gravement incomplète est très
défaillances des composants du système sont susceptibles d’être à élevé : au moment de l’analyse, il est fort à craindre que les diverses
l’origine de risques importants. Ces deux exemples illustrent le fait configurations n’aient pas été réellement envisagées. Il est plus
qu’on peut trouver utilité à l’AMDE(C) aussi bien très en amont que sage de réaliser plusieurs AMDE(C) par phase ou par configuration,
très en aval d’un cycle de vie. quitte à s’interroger sur la nécessité de les étudier toutes par une
AMDE(C).
Enfin, on doit même souligner l’intérêt de démarrer une AMDE(C)
très tôt dans le développement d’un nouveau produit ou service : Le critère de sagesse est d’éviter que, au moment de répondre à
avant même de savoir précisément comment une fonction sera réa- la question « quels sont les effets de tel mode de défaillance ? », la
lisée, donc avant de connaître vraiment les composants et leurs réponse pertinente commence par « ça dépend de… ».
modes de défaillance, on peut émettre des hypothèses et imaginer
les conséquences des défaillances envisagées. Cette démarche a
très souvent permis d’améliorer considérablement la complétude
des spécifications. En effet, s’il est naturel d’exprimer ce qu’on
attend d’un nouveau système, il n’est ni naturel ni facile d’exprimer
3. Réalisation d’une AMDE(C)
ce qu’on ne veut pas qu’il fasse. Une AMDE(C) fondée sur des hypo-
thèses de conception et de défaillances est très efficace pour tendre
à la complétude des spécifications. 3.1 Préparation à l’AMDE(C)
Ainsi, en présence d’un système complexe, l’AMDE(C) revient
généralement plusieurs fois dans le cycle d’étude du système. Cha-
que projet doit déterminer les revues (articulations entre phases du La méthode s’inscrit dans un cycle d’activités. En amont de
projet) pour lesquelles une AMDE(C) sur telle ou telle partie du l’AMDE ou AMDEC proprement dite, une analyse fonctionnelle doit
projet serait nécessaire. Les normes ayant essayé de donner des cri- avoir été réalisée. L’analyse fonctionnelle externe du système décrit
tères généraux identifient trois niveaux de décomposition pour un ce qu’on attend de lui. Cette description est essentielle pour donner
système important et trois sujets d’AMDE(C) : du sens à l’analyse des dysfonctionnements. Il s’agit de savoir si les
fonctionnements identifiés sont conformes à ces exigences, empê-
— le niveau « système » ;
chent la réalisation d’une fonction exigée, dégradent l’accomplisse-
— le niveau « sous-système » ; ment d’une fonction ou encore s’ils produisent un résultat
— le niveau « composants » ; indifférent par rapport au cahier des charges, mais dont on devra
— l’AMDE(C) fonctionnelle ; s’assurer qu’il ne présente pas un danger.
— l’AMDE(C) produit ;
L’analyse fonctionnelle interne décrit comment les fonctions exi-
— l’AMDE(C) processus. gées par le cahier des charges pour le client sont réalisées à travers
Pourquoi plusieurs niveaux : des fonctions décrites aux spécifications techniques de besoin en
— d’une part pour pouvoir découper en parties matériellement tant que fonctions à accomplir, performances associées à ces fonc-
réalisables et lisibles l’AMDE(C) qui, réalisée d’un seul morceau tions, conditions dans lesquelles ces fonctions sont réputées exigi-
pour un système aussi complexe qu’un avion moderne ou une cen- bles, contraintes à respecter. Cette analyse fonctionnelle interne
trale d’énergie, serait un monstre. Un monstre trop difficile à exploi- décrit, au niveau fonctionnel, comment le système fonctionne
ter et un monstre inutile, car les conséquences mises en évidence quand il fonctionne « bien », elle est donc nécessaire pour évaluer
par une analyse à la fois globale et exhaustive seront de niveau de les effets des modes de défaillance identifiés.
criticité très différents. Il vaut bien mieux réserver la méthode à ce Ces analyses fonctionnelles sont explicites dans le cadre de
qui, à chaque étape, est de premier ordre, en vaut la peine ; grands projets menés selon les référentiels qui les exigent. Dans de
— d’autre part, pour tirer des conclusions qui peuvent l’être à des nombreux cas, elles sont implicites ou incomplètes. Il importe pour
stades intermédiaires. Imaginer des dysfonctionnements globaux mener une AMDE(C) pertinente de rendre explicite ces informa-
de sous-systèmes (à un stade où on ne sait peut-être pas encore à tions. Le déroulement de l’AMDE(C) peut sembler parfait sans être
quels composants on les devra et si on saura intervenir sur leur passé par cette étape dans la mesure où les participants partagent
propagation) et réaliser l’importance de leurs conséquences permet une vision commune du système. Le déroulement sans heurt de
d’améliorer l’architecture pour s’en protéger plutôt que se trouver l’analyse peut masquer des divergences de conception sur ce qui
plus tard confronté à l’alternative : soit remettre en cause l’architec- est attendu du système, sur ce qui est acceptable ou non. Le res-
ture et revenir loin en arrière, soit être contraint d’éliminer les cau- ponsable de l’analyse, faute de référence, ne peut s’assurer d’avoir
ses de ces dysfonctionnements ce qui peut se révéler impossible ou bien couvert les exigences du système et des exigences importantes
très coûteux. (tellement d’ailleurs qu’elles sont implicites pour tout le monde)
auront été oubliées. Des fonctionnements, dysfonctionnels pour la
Pourquoi plusieurs sujets
conception, mais banalisés par les exploitants parce que, en
L’AMDE(C) s’applique aussi bien à une décomposition fonction- l’absence de malchance, ils permettent quand même de produire,
nelle (à condition de disposer d’une décomposition en fonctions élé- seront traités comme des fonctionnements nominaux au lieu d’être
mentaires dont on connaît les échecs possibles) qu’à une traités comme des situations au moins de fragilité. L’absence
décomposition matérielle. Une bonne AMDE(C) fonctionnelle, d’explicitation des exigences fonctionnelles externes et internes
quand elle est possible, prépare très utilement et permet de cibler la rend l’exploitation de l’AMDE(C) très périlleuse et potentiellement
ou les AMDE(C) matérielles. trompeuse.
L’AMDE(C) s’applique aussi bien au produit ou service à produire La validation des analyses fonctionnelles existantes ou la réalisa-
qu’aux moyens de le produire. La production d’un produit ou ser- tion d’analyses fonctionnelles est une étape d’initialisation néces-
vice conforme aux engagements pris et le coût de cette production saire pour aborder l’AMDE(C). Elle devrait impliquer tous les futurs
SE 4 040 − 4 © Techniques de l’Ingénieur
ＳＲ
ｓｅＴＰＵＰ
Arbres de défaillance, des causes

et d’événement
par Yves MORTUREUX

Expert sûreté de fonctionnement à la Direction déléguée Système d’exploitation et sécurité
à la SNCF
Vice-Président de l’Institut de sûreté de fonctionnement
1. Trois arbres mais trois démarches distinctes .................................. SE 4 050 - 2

1.1 Principes et objectifs de ces méthodes...................................................... — 2
1.2 Choix et complémentarité de ces méthodes............................................. — 3
2. Arbre de défaillance................................................................................ — 3
2.1 Principes. Caractéristiques. Objectifs......................................................... — 3
2.2 Construction d’un arbre de défaillance...................................................... — 4
2.3 Recherche des coupes minimales .............................................................. — 9
2.4 Quantification d’un arbre de défaillance pas à pas .................................. — 12
2.5 Exploitation d’un arbre de défaillance ....................................................... — 13
2.6 Conclusion.................................................................................................... — 14
2.7 Exemple........................................................................................................ — 15
3. Arbre des causes...................................................................................... — 17
3.1 Principe. Caractéristiques. Objectifs .......................................................... — 17
3.2 Construction d’un arbre des causes........................................................... — 17
3.3 Exploitation de l’arbre des causes ............................................................. — 19
3.4 Exemple........................................................................................................ — 20
4. Arbre d’événement .................................................................................. — 21
4.1 Principes. Caractéristiques. Objectifs......................................................... — 21
4.2 Construction de l’arbre d’événement ........................................................ — 21
4.3 Exploitation de l’arbre d’événement.......................................................... — 22
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＲ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＱＷ
a sûreté de fonctionnement (comme expliqué dans les articles La sûreté de

L fonctionnement : méthodes pour maîtriser les risques [AG 4 670] et Sûreté
de fonctionnement : démarches pour maîtriser les risques [SE 1 020]) au service
de la maîtrise des risques, décrit les mécanismes qui conduisent aux incidents et
aux accidents. On trouve donc naturellement dans cette discipline des méthodes
destinées à représenter la logique des combinaisons de faits ou de conditions
qui ont conduit, conduisent ou pourraient conduire à des incidents ou accidents.
Rien d’étonnant donc que des représentations arborescentes fassent partie
des outils usuels de la sûreté de fonctionnement. Nous présentons dans cet arti-
cle les trois méthodes les plus courantes : l’arbre de défaillance, l’arbre des cau-
ses et l’arbre d’événement.
Ces trois méthodes ont en commun de produire des représentations de la logi-
que d’un système (ou d’une partie) sous des formes arborescentes. Cette res-
semblance superficielle est trompeuse : ces trois méthodes répondent à des
besoins nettement différents et les arbres produits ne contiennent pas les
mêmes informations. Cette ressemblance dans la forme et, naturellement, dans
l’appellation nous a motivés à les présenter ensemble afin d’aider le lecteur à les
distinguer.
T oute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 1
ＳＳ
ｓｅＴＰＵＰ
ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________
Il ne faut donc pas prendre ces trois méthodes pour des variantes d’une même
méthode ou pour trois façons de conduire le même raisonnement mais bien
pour trois méthodes différentes.
1. Trois arbres mais trois

démarches distinctes
1.1 Principes et objectifs

de ces méthodes
■ L’arbre de défaillance est une méthode qui part d’un événement

final pour remonter vers les causes et conditions dont les combinai-
sons peuvent le produire. Il vise à représenter l’ensemble des com-
binaisons qui peuvent induire l’événement étudié d’où sa
représentation schématique donnée à titre d’exemple figure 1 a.
On construit et on utilise un arbre de défaillance dans le cadre
d’une étude a priori d’un système. Ayant pour point de départ un
événement redouté (dysfonctionnement ou accident), la démarche
consiste à s’appuyer sur la connaissance des éléments constitutifs
du système étudié pour identifier tous les scénarios conduisant à
l’événement redouté. L’arbre de défaillance est une représentation
en deux dimensions (cf. figure 1 a) des enchaînements qui peuvent
conduire à l’événement redouté, le point de départ de la démarche.
On peut ensuite utiliser cette représentation pour calculer la proba-
bilité de l’événement redouté à partir des probabilités des événe-
ments élémentaires qui se combinent pour le provoquer.
Des logiciels sont commercialisés qui permettent de réaliser com-
modément la mise en forme d’arbres pouvant comporter un grand a arbre de défaillance
nombre d’éléments et qui permettent d’effectuer les calculs de pro-
babilités. Les exemples d’arbres que nous pouvons donner dans cet
article pour illustrer nos propos sont naturellement très petits, très
simples. Les arbres qu’il est utile de construire pour étudier des sys-
tèmes importants et assez complexes comportent tellement plus
d’éléments que l’apport des logiciels de mise en forme et de calcul
est décisif.
Nous attirons l’attention du lecteur sur deux précautions
d’usage :
— des calculs de probabilité sont toujours fondés sur des
approximations. Celles-ci sont généralement valables pour les cas
usuels, mais il vaut mieux prendre attentivement connaissance des
algorithmes de calcul utilisés pour s’assurer que les approximations
faites sont valables pour le cas particulier que l’on traite ; b arbre des causes
— par ailleurs, ce marché, assez réduit est assez volatil : certains

produits font des apparitions fugitives. On ne peut généralement
pas convertir un arbre construit avec un logiciel en un arbre à utiliser
avec un autre. Comme dans les autres domaines, il est prudent de
s’assurer (dans la mesure du possible) de la pérennité de l’outil
informatique. En effet un arbre de défaillance peut être un document
de référence à faire vivre au long de la vie du système étudié (tout
dépend des circonstances et objectifs de l’étude).
Un arbre de défaillance est une méthode-type pour répondre à
une question du genre : « quelles ” chances ” y a-t-il que le disposi-
tif de détection et extinction automatique d’incendie manque à se c arbre d'événement
déclencher en présence d’un feu et sur quoi peut-on agir pour dimi-
nuer cette probabilité ? » ou « dans un système avec redondances,
quelle est la probabilité finale d’échec en fonction des probabilités Figure 1 – Silhouettes des arbres de défaillance, de cause
élémentaires des composants et de l’architecture ? ». et d’événement
SE 4 050 − 2 © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques
ＳＴ
ｓｅＴＰＵＰ
_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT
■ L’arbre des causes part d’un événement qui s’est produit et orga- sent pas à l’accident sont identifiées, l’arbre d’événement est
nise l’ensemble des événements ou conditions qui se sont combi- recommandé pour évaluer l’efficacité du système et les progrès les
nés pour le produire. Il repose sur un raisonnement dans le même plus intéressants.
sens que l’arbre de défaillance mais ne décrit qu’un scénario. Sa ● Un arbre est souvent un moyen satisfaisant de présenter
représentation est illustrée à titre d’exemple figure 1 b. synthétiquement les résultats des études montrant les relations
On construit un arbre des causes dans une démarche de retour entre causes et conséquences (qualitativement-logiquement mais
d’expérience, ou, de façon isolée, pour apprendre le maximum d’un aussi quantitativement), études qui ont pu solliciter bien d’autres
accident. L’arbre des causes est très utilisé pour décrire le scénario méthodes (AMDE(C), graphes d’état, simulations de Monte-Carlo...)
d’un incident ou accident, pour soutenir la démarche d’analyse de (cf. article [AG 4 670]).
l’accident. Des logiciels sont également disponibles pour guider et En présence d’un système où de nombreux événements initia-
réaliser la mise en forme d’un arbre des causes. teurs sont possibles (pannes de nombreux composants, interven-
La démarche de réalisation d’un arbre des causes consiste à tions humaines importantes donc possibilités d’erreurs, agressions
répondre à la question : « quels faits ont joué un rôle dans la surve- environnementales, etc.) mais pour lequel la préoccupation porte
nue de cet accident et en se combinant de quelle façon ? » sur la survenue ou non, du fait de tous ces incidents d’un ou deux
événements redoutés du niveau du système entier, l’arbre de
■ L’arbre d’événement part d’un événement et décrit les différentes défaillance (ou les arbres de défaillance) s’impose(nt).
conséquences qu’il peut avoir en fonction des conditions dans les-
quelles il s’est produit et des événements avec lesquels il se com- En présence d’un système où la préoccupation est que les deux
bine. Il repose sur un raisonnement inverse des arbres précédents : ou trois événements redoutés (panne d’un composant critique,
de la cause vers les conséquences (d’où sa représentation donnée à erreur typique...) n’aient pas de conséquences graves malgré la
titre d’exemple figure 1 c). Comme l’arbre de défaillance, il vise à variété des scénarios dans lesquels ils peuvent intervenir, l’arbre
représenter l’ensemble des possibles, ici, des conséquences possi- d’événement (les arbres d’événement) s’impose(nt).
bles de l’événement étudié. ■ Bien entendu, ces méthodes peuvent se compléter. Les appro-
On construit et on utilise un arbre d’événement dans une démar- ches inverses de l’arbre d’événement et de l’arbre de défaillance
che d’évaluation a priori. Le point de départ est un incident, une peuvent être utilisées conjointement au même niveau, ce qu’on
défaillance, une erreur, une agression... dont on veut évaluer les peut ne pas voir ou négliger dans l’une pouvant apparaître dans
conséquences possibles qui dépendent d’un certain nombre l’autre. Elles peuvent aussi se compléter à des niveaux différents,
d’autres facteurs. Si on connaît les probabilités associées à ces fac- l’une servant à évaluer en entrant dans le détail ce qui est un élé-
teurs on peut calculer en s’appuyant sur l’arbre d’événement la pro- ment de l’autre.
babilité associée à chacune des conséquences possibles de
l’incident initial. Exemple : la probabilité de succès d’un dispositif à utiliser dans un
arbre d’événement peut résulter d’un arbre de défaillance développé
pour l’échec de ce dispositif.
1.2 Choix et complémentarité

de ces méthodes
2. Arbre de défaillance
Ces méthodes sont conçues pour mettre en œuvre des logiques
différentes. Elles ne se présentent donc nullement comme des choix
alternatifs pour un même problème. Chacune correspond à une 2.1 Principes. Caractéristiques. Objectifs
approche différente.
■ Le choix entre arbre d’événement et arbre de défaillance dépend ■ Principes
d’abord de la question posée : l’arbre d’événement cerne la ques-
tion des conséquences d’un événement initiateur donné et l’arbre
de défaillance cerne la question des scénarios conduisant à un évé- Un arbre de défaillance représente de façon synthétique
nement redouté donné. l’ensemble des combinaisons d’événements qui, dans certaines
L’arbre des causes est proposé pour assembler les éléments conditions produisent un événement donné, point de départ de
d’explication d’un accident ou incident. Il s’agit préférentiellement l’étude. Construire un arbre de défaillance revient à répondre à
d’analyse a posteriori. la question « comment tel événement peut-il arriver ? », ou
encore « quels sont tous les enchaînements possibles qui peu-
Ces méthodes peuvent servir à initier une analyse ou à la synthé- vent aboutir à cet événement ? ».
tiser.
● Pour initier une analyse de sûreté de fonctionnement, en pré-
sence d’une question peu précise, la méthode à recommander est ■ Caractéristiques
celle dont les bases sont les mieux connues : Un arbre de défaillance est généralement présenté de haut en bas
— un arbre de défaillance si la question tourne autour de la vrai- (cf. figure 1 a). La ligne la plus haute ne comporte que l’événement
semblance d’un ou de quelques événements redoutés ; dont on cherche à décrire comment il peut se produire. Chaque ligne
— plutôt un arbre d’événement si la question tourne autour de la détaille la ligne supérieure en présentant la combinaison ou les
gravité de certaines défaillances ou agressions ; combinaisons susceptibles de produire l’événement de la ligne
— un arbre des causes si il s’agit de tirer parti d’un scénario supérieure auquel elles sont rattachées. Ces relations sont repré-
d’incident qui s’est réalisé et dont la compréhension peut améliorer sentées par des liens logiques OU ou ET.
la connaissance générale du système.
■ Objectifs
Si la liste des événements redoutés finaux est bien établie et que ● L’objectif « qualitatif » est de construire une synthèse de tout ce
les questions « Qu’est-ce qui peut produire... ? » trouvent facilement qui peut conduire à un événement redouté et d’évaluer l’effet d’une
réponses, l’arbre de défaillance est recommandé. modification du système, de comparer les conséquences des mesu-
Si, à l’inverse, les événements initiateurs qui peuvent affecter le res qui peuvent être envisagées pour réduire l’occurrence de l’évé-
système sont bien connus et que les mesures pour qu’ils ne condui- nement redouté étudié.
ＳＵ
ｓｅＴＰＵＰ
ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________
● L’objectif « quantitatif » est d’évaluer la vraisemblance de la définition requiert les mêmes précisions : définition de la fonction et
survenue de l’événement étudié à partir des combinaisons d’événe- des conditions à prendre en compte.
ments élémentaires qui peuvent le produire. Si on connaît les pro-
babilités de ces événements on peut en déduire la probabilité de
Le responsable de l’étude doit s’assurer que :
l’événement étudié et l’impact sur celle-ci d’une réduction (ou aug-
— l’événement étudié est bien celui qui convient eu égard à la
mentation) de telle ou telle des probabilités élémentaires.
démarche dans laquelle s’inscrit la construction de l’arbre ;
— les conditions extérieures ou les agressions à prendre en
À défaut d’une quantification par probabilités, l’arbre permet
compte (et celles à ne pas envisager) sont cohérentes avec les
d’apprécier le nombre de scénarios conduisant à l’événement étu- objectifs de l’étude ;
dié, le nombre minimum d’événements ou de conditions suffisant — les participants à l’analyse et les futurs utilisateurs de
pour qu’il arrive, etc. l’arbre ou des conclusions qui en seront tirées partagent la
même définition de l’événement étudié.
Dans l’arbre qui est une représentation synthétique, le libellé de

2.2 Construction d’un arbre l’événement devra être court. Ce libellé sera, en général, trop court
de défaillance pour définir précisément l’événement et lever les ambiguïtés. Il
devra donc y avoir :
— un libellé bref, mais aussi évocateur que possible dans la boîte
qui représente l’événement-sommet dans l’arbre ;
2.2.1 Événement-sommet — un texte complémentaire apportant toutes les précisions utiles
sur la définition de l’événement.
■ La première étape est la définition de l’événement qui doit être Dans certains modèles d’arbres (en particulier quand on utilise
étudié. Dans l’arbre, ce sera l’événement-sommet. Un arbre n’a certains logiciels), chaque boîte reçoit un nom. On voit alors la boîte
qu’un événement-sommet ; il réunit tout ce qui et uniquement ce qui contient le libellé en quelques mots de l’événement et, dessous,
qui peut provoquer cet événement-sommet. un seul mot (idéalement) qui est le nom de l’événement pour
l’arbre. Il faut alors veiller à ne pas donner le même nom à deux boî-
La définition de cet événement est totalement déterminante pour tes (ce que les logiciels qui utilisent ce formalisme contrôlent géné-
ralement).
la valeur des conclusions qui seront tirées de l’analyse. Le risque
n’est pas de développer un arbre qui serait faux mais un arbre qui
réponde à une autre question que celle posée : Ce qui vient d’être dit sur la définition commune, claire, pré-
cise de l’événement et le libellé bref de la boîte vaut non seule-
— soit l’utilisateur des résultats s’en rend compte et la consé- ment pour l’événement-sommet mais aussi pour tous les
quence est qu’après le travail effectué, l’arbre attendu est toujours à événements qui vont figurer dans l’arbre ; ce commentaire ne
faire et à exploiter ; sera pas repris dans chaque paragraphe consacré aux événe-
ments.
— soit l’utilisateur ne s’en rend pas compte et il tire des conclu-
sions tout à fait injustifiées de l’analyse.
Il importe donc de définir l’événement étudié de façon explicite et 2.2.2 Événements intermédiaires
précise.
L’événement étudié étant défini, l’étape suivante est de le décrire
Exemple : les événements suivants ne sont pas du tout en une combinaison logique (conjonction ou disjonction) de deux
équivalents : ou plusieurs événements plus réduits.
— collision de deux trains ;
— collision impliquant un train ; Exemple : une défaillance d’éclairage peut résulter de la défaillance
— collision impliquant une circulation ferroviaire ; de l’ampoule ou de la défaillance de l’alimentation ou de la défaillance
— collision impliquant un train due à une défaillance du système du circuit entre alimentation et ampoule.
ferroviaire ; On voit donc apparaître des événements moins globaux que
— dommages à une circulation ferroviaire ou à des passagers ou du l’événement-sommet que l’on appellera événements intermédiaires
personnel de bord ou au chargement, dus à une collision... (si ils sont eux-mêmes appelés à être décrits en combinaison d’évé-
On peut croiser de toutes les façons chacune des précisions ou res- nements plus détaillés) et un connecteur logique qui les relie à l’évé-
trictions qui figurent dans ces exemples (et bien d’autres) et chacun nement-sommet.
des événements produits sera différent des autres (certains plus géné-
raux en incluant d’autres).
Les conséquences sont importantes : par exemple, des actes de 2.2.3 Connecteurs logiques
sabotage ou d’imprudence de tiers sont ou ne sont pas pris en
compte ; l’accident de tiers percuté par un train à la traversée des voies Les deux connecteurs logiques de base sont ET et OU (figure 2).
(sans dommage au train) est ou n’est pas inclus dans cette analyse-là, Toutes les combinaisons logiques s’expriment avec ces deux
etc. connecteurs (et la négation logique qui exprime le contraire de
l’événement qu’elle affecte), mais il peut être pratique d’utiliser
Pour bien comprendre les enjeux de cette définition de l’événe- quelques autres connecteurs : vote n/p, OU exclusif...
ment, on fera le parallèle avec les définitions de la fiabilité (disponi- Exemple : si un système tombe en panne si deux sur trois des
bilité, maintenabilité, sécurité...) (cf. article [AG 4 670]). Les équipements A, B, C tombent en panne, il est pratique de représenter
définitions habituellement reconnues de ces notions incluent des ce lien logique par un seul connecteur « 2/3 », mais c’est équivalent à
formules comme « accomplir des fonctions requises dans des con- (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a.
ditions données ». Un événement à étudier est généralement un De même A OU exclusif B est équivalent à [A ET (non B)] OU [(non A)
échec (non accomplissement d’une fonction) ou une agression. Sa ET B] (cf. figure 3 b).
SE 4 050 − 4 © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques
ＳＶ
ｓｅＴＰＵＰ
_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT
Les boîtes qui les représentent sont au bout de l’arbre, ce pour-

quoi elles sont couramment appelées les feuilles.
2.2.5 Conditions
Quand on s’interroge sur ce qui peut produire tel événement-con-

séquence, on est couramment amené à dire que tel autre événe-
ment-cause entraîne l’événement-conséquence étudié si telle
condition est présente. Nous sommes donc conduits à introduire
dans l’arbre des conditions dont la réalisation conditionne l’enchaî-
Connecteur ET Connecteur OU nement cause-conséquence.
Pour qu’un événement (sommet ou intermédiaire) se produise, il
Figure 2 – Connecteurs ET et OU faut une combinaison d’événements mais aussi souvent de condi-
tions (on pourrait dire d’états ou de situations). Ces conditions inter-
viennent dans la construction d’un arbre exactement comme des
événements intermédiaires (sauf qu’elles ne sont plus
Équivalent à décomposées et donc deviennent « de base » même si les événe-
ments de même niveau avec lesquels elles se combinent sont eux,
décomposés plus finement) ou comme des événements de base,
2/3
mais ne sont pas à proprement parler des événements.
Exemple : dans un système formé de deux chaînes en parallèle qui
fonctionnent en alternance, l’interruption de fonctionnement du sys-
A B C A.B A.C B.C tème est prov oquée par le dysfonctionnement d’une chaîne seulement
si celle-ci est celle qui assure le fonctionnement à ce moment-là. Donc
l’événement « Interruption du fonctionnement du système » se
décompose en (« Défaillance de la chaîne A » « ET » « Chaîne A en
service ») « OU » (« Défaillance de la chaîne B » « ET » « Chaîne B en
service »). Dans cette décomposition, « Défaillance de la chaîne A »
est un événement, « Chaîne A en service » est une condition.
Cette distinction n’est pas essentielle au stade de construction de
A B A C B C
l’arbre, elle devient intéressante quand on affecte des probabilités
aux événements et conditions.
Connecteur n/p
2.2.6 Symboles normalisés

Équivalent à
Les symboles normalisés des connecteurs, événements et condi-

OU tions sont représentés sur la figure 4.
exclusif
Nous plaçons donc dans un arbre :
— un événement-sommet ;
— des événements intermédiaires ;
A.B A.B
— des événements de base ;
— éventuellement des conditions ;
— des connecteurs OU ;
— des connecteurs ET ;
— éventuellement des connecteurs particuliers.
Les événements et les conditions sont représentés par des rectan-
gles à l’intérieur desquels figurent les libellés de ces événements ou
A nonB nonA B conditions. L’événement-sommet et les événements intermédiaires
se décomposent en une combinaison ; on trouve donc immédiate-
Connecteur OU exclusif ment sous la boîte qui les représente le symbole du connecteur qui
lie les événements dont la combinaison est nécessaire et suffisante
Figure 3 – Connecteurs 2/3 et OU exclusif à le provoquer.
Les événements de base ou les conditions ne se décomposent
pas ; on trouve donc immédiatement sous la boîte qui les repré-
Certains ajoutent à cette panoplie la possibilité de représenter un sente un symbole particulier : un cercle pour les événements de
aspect temporel avec un connecteur ET séquentiel. Si deux événe- base et un pentagone (en forme de maison) pour les conditions.
ments A et B sont liés par ce connecteur, cela signifie que si A se pro- Comme un arbre peut occuper plusieurs pages et se construire
duit puis B, l’événement supérieur se produit, mais pas si B se progressivement pour un système un peu important, il existe deux
produit puis A. autres symboles. Le triangle permet de renvoyer d’une page à une
autre : un triangle est placé sous un événement intermédiaire dont
la décomposition commencera sur une autre page. Sur cette autre
2.2.4 Événements de base ou feuilles page, cet événement apparaît en tête, mais un triangle est attaché à
la boîte qui le représente pour indiquer qu’il ne s’agit pas de l’évé-
Un événement de base est un événement qui ne se décompose nement-sommet d’un arbre, mais d’une partie d’un arbre plus
plus en événements plus fins. important.
ＳＷ
ＳＸ
ｓｅＴＰＵＲ
Arbre de défaillance
Contexte booléen, analyse et bases
mathématiques
par Jean-Pierre SIGNORET
Spécialiste en sûreté de fonctionnement
Ancien président de la commission UF56 (sûreté de fonctionnement) de l’UTE
puis de l’AFNOR
Chef de projet de la norme IEC 61025 Arbre de défaillance
Membre de TOTAL professeurs associés
64160 Sedzère, France
1. Considérations générales sur les arbres de défaillance .......................... SE 4 052 - 3

1.1 Notions de base sur les arbres de défaillance.......................................... — 3
1.2 Construction d’un arbre simple ................................................................. — 4
2. Liens avec les autres méthodes d’analyse SdF........................................ — 4
2.1 Lien avec les BDF ........................................................................................ — 4
2.2 Liens avec les arbres d’événements et les arbres des diagrammes
cause-conséquence..................................................................................... — 5
2.3 Liens avec les arbres des causes INRS ..................................................... — 7
3. Hypothèses principales et bases mathématiques des ADD ................... — 8
4. Analogie électrique et notions de chemins de fermeture et de coupure
minimaux..................................................................................................... — 9
4.1 Analogie électrique ..................................................................................... — 9
4.2 Notion de chemins de coupure.................................................................. — 10
4.3 Notion de chemins de fermeture............................................................... — 10
4.4 Analyse qualitative par les coupes minimales ......................................... — 11
5. Calculs probabilistes statiques.................................................................. — 11
5.1 Considérations générales sur les calculs probabilistes ........................... — 11
5.2 Calcul de probabilité des portes OU et des portes ET ............................. — 12
5.3 Formule de Sylvester-Poincaré.................................................................. — 12
5.3.1 Cas général ......................................................................................... — 12
5.3.2 Application à la logique 2/3............................................................... — 13
5.3.3 Analyse de la convergence de la formule de Sylvester-Poincaré.. — 13
5.4 Analyse semi-quantitative et facteur d’importance de Vesely-Fussel .... — 14
5.5 Traitement des grands systèmes............................................................... — 15
5.5.1 Principe ............................................................................................... — 15
5.5.2 Décomposition de Shannon et diagrammes de décision binaires .... — 15
5.5.3 Calculs probabilistes avec les DDB................................................... — 15
5.6 Notion de système non cohérent .............................................................. — 17
6. Conclusion ................................................................................................... — 19
7. Glossaire ...................................................................................................... — 19
Pour en savoir plus .............................................................................................. Doc. SE 4 052
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＱＷ
Copyright © – Techniques de l’Ingénieur – Tous droits réservés

SE 4 052 – 1
ＳＹ
ｓｅＴＰＵＲ
ARBRE DE DÉFAILLANCE _____________________________________________________________________________________________________________
ontrairement aux diagrammes de fiabilité (BDF) dont la date de création

C est inconnue, celle des arbres de défaillance (ADD) est clairement identi-
fiée [1], [2]. La méthode ADD a été développée en 1962 par H.A. Watson dans
le cadre du projet américain Minuteman de l’US Air Force. Elle se révéla immé-
diatement tellement efficace qu’elle fut rapidement adoptée dans
l’aéronautique, puis dans l’industrie spatiale [3] et nucléaire [4], pour être fina-
lement utilisée de nos jours dans la plupart des secteurs industriels où elle fait
partie de la panoplie des méthodes couramment mise en œuvre dans le
domaine de la sûreté de fonctionnement (diagrammes de fiabilité [SE 4074],
norme CEI 61078, arbres d’événements [SE 4050], norme CEI 62502, graphes
de Markov, norme CEI 61165, [SE 4071], [10] réseaux de Petri, [SE 4072],
[SE 4073], [5], norme CEI 62551, etc.).
Alors que le diagramme de fiabilité décrit le bon fonctionnement d’un sys-
tème, l’arbre de défaillance, lui, décrit sa défaillance, ou plus exactement, sa
panne. Les deux approches sont duales et un ADD peut toujours être traduit en
BDF et réciproquement. Elles partagent les mêmes mathématiques sous-
jacentes et font partie des approches statiques et booléennes qui modélisent
des structures logiques indépendantes du temps et s’intéressent à des compo-
sants/systèmes/fonctions à deux états (par exemple, marche et panne, bon
fonctionnement/défaillant, réalisé/non réalisé). Outre les BDF, les ADD par-
tagent des liens étroits avec d’autres méthodes utilisées en sûreté de
fonctionnement : diagramme cause-conséquence [6], arbre d’événements
[SE 4050], norme CEI 62502, LOPA [SE 4075], nœud papillon [SE 4055], arbre
des causes [7], [SE 4050].
L’approche déductive (effet → causes, top down) des ADD leur confère une
puissance d’analyse incomparable et unique parmi les techniques SdF dont la
nature est majoritairement inductive (cause → effets, bottom up).
Du point de vue qualitatif, les ADD héritent du concept fondamental de
coupe minimale défini à partir des BDF (ensemble de composants en panne
nécessaires et suffisants pour entraîner la panne du système) et, du point de
vue quantitatif, ils permettent, essentiellement, de calculer la probabilité de
panne du système modélisé en fonction des probabilités de panne de ses com-
posants lorsque celles-ci sont constantes. Cependant, lorsque les composants
évoluent indépendamment les uns des autres au cours du temps, l’ADD
permet de calculer facilement l’indisponibilité du système modélisé et aussi,
mais avec des calculs plus compliqués, la fréquence de défaillance du système
et une approximation de sa défiabilité (complément à 1 de la fiabilité). Cela est
exposé en détail dans l’article [SE 4053] relatif aux aspects temporels des ADD.
Pendant longtemps, l’utilisation des ADD, comme celle des BDF, a été limitée
par la taille des systèmes modélisés (explosion combinatoire du nombre de
coupes minimales) et le nombre des éléments répétés plusieurs fois dans les
modèles (durée de calcul augmentant exponentiellement avec ce nombre). Ces
limitations ont été levées depuis la mise en œuvre des diagrammes de déci-
sion binaires (DDB) qui permettent de traiter très rapidement des ADD ou des
BDF relatifs à des systèmes industriels de grande taille (c’est-à-dire de plu-
sieurs centaines de composants) [8], [9]. En outre, les DDB ont ouvert la voie
aux calculs de probabilités conditionnelles et de facteurs d’importance, à la
propagation des incertitudes sur les données par simulation de Monte Carlo
[SE 4053] et au traitement des systèmes dits « non cohérents » difficiles à
traiter avec les méthodes antérieures.
Cet article se propose de décrire la symbolique graphique des ADD,
d’explorer les divers aspects évoqués ci-dessus en les illustrant avec des
exemples pédagogiques.

SE 4 052 – 2
ＴＰ
ｓｅＴＰＵＲ
_____________________________________________________________________________________________________________ ARBRE DE DÉFAILLANCE
1. Considérations générales – la porte logique OU modélise un système S1 qui est en panne

lorsqu’au moins un des deux composants A ou B est tombé en
sur les arbres de défaillance panne ;
– la porte logique ET modélise un système S2 qui est en panne
lorsque les composants A et B sont tombés en panne ;
– la porte logique vote majoritaire k/m modélise un système S3
1.1 Notions de base sur les arbres qui est en panne si au moins k composants parmi m sont en
de défaillance panne. Sur la figure 1, k est égal à 2 et m est égal à 3.
L’arbre de défaillance est défini de la manière suivante par la Les approches par ADD et par BDF (voir CEI 61078, [SE 4074])
norme internationale CEI 61025 qui lui est consacrée : sont des méthodes duales : alors que le BDF modélise la bonne
marche d’un système, l’arbre de défaillance modélise comment il
tombe en panne. La figure 2 donne les équivalences permettant
Arbre de défaillance : diagramme logique montrant les pannes de passer de l’ADD au BDF et vice-versa. Les feuilles de l’arbre
des sous-entités, les événements externes ou leurs combinai- (pannes des composants) sont remplacées par les blocs corres-
sons, à l’origine d’un événement prédéfini non souhaité pondants (bon fonctionnement des mêmes composants) et les dif-
férentes portes logiques (OU, ET, k/m) par des structures (série,
Nota : le vocabulaire électrotechnique international IEV 192 parle d’« arbre de panne » parallèle, r /m avec r = m – k + 1) équivalentes. Il en résulte que les
au lieu d’« arbre de défaillance ». L’appellation de l’IEV 192 est plus pertinente car développements mathématiques présentés dans cet article sont
« panne » est la traduction de « fault », c’est-à-dire l’état atteint lorsqu’une défaillance est
survenue. Cependant, en France, c’est l’appellation « arbre de défaillance » qui prévaut et
aussi pertinents pour les diagrammes de fiabilité. Il en est de
que nous avons retenue pour cet article. L’appellation « arbre de défaillance » (au singu- même pour les arbres d’événements qui font aussi partie des
lier) fait référence à la défaillance du système modélisé mais l’appellation « arbre de approches booléennes.
défaillances » (au pluriel) est aussi utilisée en référence à l’ensemble des défaillances des
sous-entités (par exemple des composants) du système modélisé. Nota : dans l’exemple choisi, k/m = 2/3, la structure BDF correspondante, m-k+1/m est
aussi un vote majoritaire 2/3. Il s’agit d’une logique souvent choisie car elle permet un
La figure 1 présente les structures de base utilisées pour repré- bon équilibre entre le bon fonctionnement du système (deux composants sur trois en
senter un ADD : marche) et la panne du système (deux composants sur trois en panne).
S1 S2 S3
Système S1 Système S2 Système S3

défaillant défaillant défaillant
Événements 2/3
primaires
(feuilles)
A B C D E F G
A défaillant B défaillant C défaillant D défaillant E défaillant F défaillant G défaillant
LA LB LC LD LE LF LG
Porte OU Porte ET Porte vote majoritaire k/m
Figure 1 – Principales portes logiques graphiques relatives aux ADD
Porte OU Porte ET Porte k/m
Blocs C E
A B F 2/3
Système S1 D S2 G S3
Structure série Structure parallèle Structure vote majoritaire r/m

(r = m – k + 1)
Figure 2 – Équivalence entre les portes logiques des ADD et les structures logiques des BDF
Copyright © – Techniques de l’Ingénieur – Tous droits réservés.

SE 4 052 – 3
ＴＱ
ｓｅＴＰＵＲ
1.2 Construction d’un arbre simple événement intermédiaire identifié devient un effet dont il faut
rechercher les causes directes. Ceci est réalisé aux étapes 4 et 5
À l’aide des structures logiques très simples ci-dessus, il est illustrées sur la figure 4 :
possible, par exemple, de modéliser un système instrumenté de – l’événement « Échec de l’isolement de l’alimentation » étant
sécurité (SIS) typique comme celui illustré en bleu sur la figure 3. causé par la panne simultanée des deux vannes d’isolement E et F,
Trois capteurs, A, B et C, mesurent la pression du réservoir et ils les deux événements « Vanne E défaillante » et « Vanne F défail-
envoient leurs mesures à un automate, D, qui, lorsque deux cap- lante » sont connectés à l’aide d’une porte ET ;
teurs sur les trois indiquent un dépassement de seuil, commande – l’événement « Détection surpression défaillante » étant causé
aux deux vannes de sécurité, E et F, de se fermer afin de couper par la panne simultanée de deux capteurs sur trois, les trois événe-
l’alimentation du réservoir. ments « Capteur A défaillant », « Capteur B défaillant » et « Cap-
L’approche par ADD procède d’une démarche déductive (effet → teur C défaillant » sont connectés à l’aide d’une porte 2/3.
causes) et cela en fait une approche originale, à part et complé- À l’issue des étapes 4 et 5, plus aucun des événements identi-
mentaire des autres approches de la sûreté de fonctionnement qui fiés ne nécessite d’analyse plus détaillée, tous les événements pri-
procèdent plutôt de démarches inductives (cause → effet). Ainsi, maires ont été identifiés et la construction de l’arbre est terminée.
un arbre de défaillance est construit de manière récursive en par-
La démarche déductive est donc une vraie démarche d’analyse
tant d’un événement indésiré pour remonter à ses causes, comme
prenant l’analyste par la main et lui permettant de construire
cela est illustré sur la figure 4.
l’ADD pas à pas en identifiant les causes les unes après les autres
La première étape est donc d’identifier précisément l’événe- jusqu’à ce que le niveau de détail pertinent soit atteint et l’arbre
ment indésiré car de la pertinence de cet événement dépend toute terminé. Ceci est très différent, par exemple, de l’approche par
la suite de la construction de l’arbre. Pour le SIS présenté sur la BDF où l’analyste doit fixer le niveau de détail avant de commen-
figure 3 l’événement indésiré est la défaillance du système en cas cer à construire le modèle.
de surpression dans le réservoir. Il est noté par « SIS défaillant »
Outre l’aspect déductif, l’approche possède aussi des symboles
sur la figure 4 et constitue la sortie de l’arbre en cours de
graphiques propres à aider l’analyste dans son travail de
construction.
construction. Il en est ainsi pour les symboles graphiques cou-
L’étape n° 2 consiste à rechercher tout d’abord la cause immé- rants disponibles pour les événements primaires (figure 5) :
diate de l’événement indésiré (échec de l’isolement de l’installa- – événement de base : événement qui ne nécessite pas d’analyse
tion) qui est la non-fermeture des deux vannes E et F. Cette non- plus détaillée ;
fermeture est imputable soit aux vannes elles-mêmes (« Défail- – événement élémentaire : événement qui pourrait être détaillé
lance des vannes »), soit à l’« absence de sollicitation » desdites mais dont le niveau de détail est considéré comme suffisant pour
vannes. Ces deux causes sont des événements intermédiaires qui l’arbre considéré ;
nécessitent une analyse plus approfondie.
– événement à développer : événement nécessitant une analyse
L’étape n° 3 consiste, par exemple, à rechercher les causes plus détaillée et pour lequel des informations complémentaires
directes de l’événement intermédiaire « Absence de sollicitation doivent être réunies. L’utilisation de ce symbole permet à l’ana-
des vannes ». Cela conduit à identifier deux causes distinctes, lyste de repérer facilement le travail restant à faire.
« Solveur logique défaillant » et « Détection surpression défail- Les portes de transfert de sortie et d’entrée présentées à droite
lante ». L’événement « Solveur logique défaillant » est un événe- de la figure 5 permettent de découper un arbre volumineux en
ment ne nécessitant pas de développement plus détaillé : sous-arbres plus petits ou de faire le lien avec un diagramme
l’analyse s’arrête là et cette cause est considérée comme un évé- cause-conséquence. Ainsi, la porte transfert n° 3 figurée au som-
nement primaire de l’ADD. L’autre cause, en revanche, est un évé- met de l’arbre de la figure 4 permet de faire le lien avec l’entrée
nement intermédiaire nécessitant une analyse plus approfondie correspondante du diagramme cause-conséquence de la figure 8
concernant les capteurs. et de l’ADD de la figure 9.
L’analyse des événements intermédiaires « Défaillance des Les symboles graphiques spéciaux présentés sur la figure 6
vannes » et « Détection surpression défaillante » est réalisée en sont aussi utilisés assez souvent pour préciser la nature des évé-
appliquant le même processus déductif que ci-dessus : chaque nements primaires :
– événement devant se produire (événement maison) pendant la
durée d’utilisation du système modélisé ;
Solveur – conditions permettant de valider une partie d’un ADD ;
logique Capteurs – panne dormante indiquant une panne existante mais non
A de pression détectée ;
– événement intermédiaire permettant d’ajouter des informa-
D B Soupape tions dans les branches des ADD.
Système de sécurité L’utilisation des symboles de la figure 6 facilite la lecture et la
instrumenté C compréhension de l’arbre et fait de l’ADD un excellent instrument
de sécurité Capteurs d’échange entre les différentes parties concernées.
de niveau
L
Alimentation
2. Liens avec les autres
Vanne
Réservoir de régulation
méthodes d’analyse SdF

E F R
2.1 Liens avec les BDF

Vannes
de sécurité L’équivalence entre les portes logiques et les structures utili-
sées pour les diagrammes de fiabilité (figure 2) permet de passer
Figure 3 – Système instrumenté de sécurité typique de l’ADD de la figure 4 au diagramme de fiabilité de la figure 7.

SE 4 052 – 4
ＴＲ
ｓｅＴＰＵＲ
Porte Événement S 1
3
transfert indésiré Étapes
SIS de la construction
défaillant
Porte
2
OU
Absence Événements
Défaillance
de sollicitation intermédiaires
des vannes
des vannes
Sens de l’analyse
Porte
3 4
ET
E F
Détection Solveur logique Vanne E Vanne F
surpression D
défaillant défaillante défaillante
défaillante
LD LE LF
Porte
2/3 5
2/3
Événements
primaires
A B C
Capteur A Capteur B Capteur C
défaillant défaillant défaillant
LA LB LC
Figure 4 – Modélisation par ADD d’un SIS typique
O O O
Événement Événement Événement Transfert de sortie

de base élémentaire à développer et d’entrée
Figure 5 – Symbole courant pour les événements primaires et les portes de transfert
Les éléments équivalents à ceux identifiés sur l’arbre de la deux vannes en série du point de vue physique sont en fait redon-
figure 4 ont été reportés sur la figure 7 : la structure série à dantes et donc en parallèle du point de vue fonctionnel.
droite est duale du sous-arbre développé à l’étape 3 (porte ET),
la structure 2/3 à gauche est duale du sous-arbre développé à
l’étape 4 (porte 2/3), le bloc D est dual de l’événement « Solveur 2.2 Liens avec les arbres d’événements
logique défaillant » et la structure série englobant le tout est et les arbres des diagrammes cause-
duale de la porte logique OU développée à l’étape 2. Quant à la
sortie du BDF, elle est duale de l’événement indésiré identifié à
conséquence
l’étape 1.
Les diagrammes cause-conséquence ont été inventés dans les
Il est à remarquer que la structure logique du BDF est différente années 1970 pour décrire le déroulement des événements suscep-
de l’architecture matérielle du système modélisé. En effet, les tibles de conduire à un accident dans le domaine nucléaire [6]. Ils

SE 4 052 – 5
ＴＳ
ＴＴ
ｓｅＴＰＵＳ
Arbre de défaillance
Aspects temporels
Spécialiste en sûreté de fonctionnement
Ancien président de la commission UF56 (sûreté de fonctionnement) de l’UTE
puis de l’AFNOR
Chef de projet de la norme IEC 61025 – Arbre de défaillance
Membre de TOTAL professeurs associés
64160 Sedzère, France
1. Calculs probabilistes en fonction du temps ............................................. SE4053 - 2

1.1 Considérations générales sur l’introduction du temps............................ — 2
1.2 Indisponibilité d’un système modélisé par ADD ...................................... — 3
1.3 Fréquence de défaillance d’un système modélisé par ADD.................... — 5
1.4 Calculs de fiabilité d’un système modélisé par ADD ............................... — 8
2. Prise en compte des incertitudes .............................................................. — 11
3. Prise en compte des dépendances, ADD dynamiques ............................ — 12
3.1 Considérations générales sur les dépendances ....................................... — 12
3.2 Défaillances de cause commune ............................................................... — 12
3.3 Dépendances entre quelques événements primaires.............................. — 13
3.4 Réseaux de Petri pilotés par ADD.............................................................. — 14
4. Conclusion ................................................................................................... — 16
5. Glossaire ...................................................................................................... — 17
6. Sigles notations et symboles .................................................................... — 17
et article consacré aux arbres de défaillance (ADD) fait suite à l’article

C [SE 4052] qui en décrit l’histoire, le contexte booléen et les liens avec les
autres approches mises en œuvre dans le domaine de la sûreté de fonctionne-
ment. L’article [SE 4052] décrit en détail l’utilisation des ADD comme outil
d’analyse qualitative, ainsi que les bases mathématiques des calculs probabi-
listes liés à la défaillance du système modélisé. L’ADD représente une fonction
logique statique (c’est-à-dire où le temps n’intervient pas) qui permet essentiel-
lement de calculer, avec des probabilités constantes, la probabilité de panne du
système modélisé en fonction des probabilités de panne de ses composants.
Cependant, lorsque les composants évoluent indépendamment les uns des
autres au cours du temps, il est tout de même possible, dans une certaine
mesure, de prendre en compte certains aspects temporels avec cette approche.
Ceci est l’objet de cet article qui explique comment l’ADD permet de calculer
facilement l’indisponibilité, U(t), du système modélisé en fonction des indispo-
nibilités de ses composants, Ui(t). Il explique aussi comment l’ADD permet,
mais avec des calculs plus compliqués, d’obtenir la fréquence de défaillance,
w(t) et la défiabilité, F(t), du système étudié (probabilité d’observer une panne
sur la durée [0, t]). Le calcul par ADD de la défiabilité, F(t), n’est généralement
pas possible sans approximation.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＱＷ

SE 4 053 – 1
ＴＵ
ｓｅＴＰＵＳ
Ces calculs ont pendant longtemps été limités par la taille des ADD consi-
dérés, la puissance des ordinateurs disponibles et la faible efficacité des
algorithmes utilisés en présence d’éléments répétés plusieurs fois dans les
modèles. Ces limitations ont été levées depuis la mise œuvre des diagrammes
de décision binaires (DDB). Cela a d’abord été mis à profit dans le cas statique
[SE 4052], puis pour l’introduction des aspects temporels et l’utilisation de la
simulation de Monte Carlo pour évaluer l’impact des incertitudes sur les
données d’entrée des ADD. Ces derniers points font l’objet de cet article.
Lorsque les probabilités de défaillance des composants évoluent en fonction
du temps, les ADD peuvent être utilisés pour combiner des processus de
Markov (CEI 61165, [SE 4071]) ou des réseaux de Petri stochastiques
(CEI 62551, [SE 4072], [SE 4073]). Cela conduit aux processus de Markov
pilotés par ADD et aux réseaux de Petri pilotés par ADD. Dans ce cas, le com-
portement des composants est modélisé par des processus de Markov
(respectivement réseaux de Petri) individuels, indépendants les uns des autres,
et la logique de combinaison est fournie par l’ADD.
Lorsque les composants ne sont pas indépendants, les ADD peuvent être
étendus aux ADD dynamiques (ADDD). Dans les cas simples, cela peut être
couvert par les processus de Markov pilotés par ADD mais, dans le cas général,
le traitement analytique doit être abandonné au profit de la simulation de Monte
Carlo et les réseaux de Petri pilotés par ADD peuvent être utilisés à cet effet.
Dans ce cas, il est possible de traiter des composants/systèmes/fonctions à plus
de deux états et sortir du strict contexte booléen et de la logique classique.
Les divers aspects évoqués ci-dessus sont illustrés par des exemples
pédagogiques.
1. Calculs probabilistes Indisponibilité instantanée, U(t) : probabilité que l’entité soit

en fonction du temps en panne à un instant donné t. C’est le complément à un de la
disponibilité, U(t) = 1 – A(t).
Défiabilité, F(t) : probabilité que l’entité concernée tombe en
panne avant l’instant t. C’est le complément à un de la fiabilité,
1.1 Considérations générales F(t) = 1 – R(t). C’est aussi la fonction de répartition,
sur l’introduction du temps , du délai avant défaillance (TTF) de l’entité
concernée.
La formule logique relative à un ADD ne change pas en fonction
du temps et les calculs probabilistes développés dans l’article de Nota : la moyenne du délai avant défaillance est appelée MTTF et c’est un para-
mètre couramment utilisé en sûreté de fonctionnement.
base [SE 4052] ne sont valides, en principe, que pour des valeurs
ponctuelles des probabilités (c’est-à-dire des probabilités
constantes indépendantes du temps). C’est pourquoi les
approches booléennes (ADD, diagrammes de fiabilité, arbres
d’événements) sont considérées comme des approches statiques
par opposition aux approches markoviennes [SE 4071] ou par
réseaux de Petri [SE 4072], [SE 4073] qui sont qualifiées de dyna-
miques [SE 4070] car elles font apparaître explicitement la Pr(S,t) = Pr(A,t ) · Pr(B,t) + Pr(A,t) · Pr(C,t) + Pr(B,t) · Pr(C,t)
variable temps dans les calculs.
Cependant, lorsque les composants évoluent indépendamment s=a·b+a·c+b·c
Probabilité
les uns des autres, il est quand même possible d’introduire les de panne de S à t
aspects temporels dans les calculs. Ainsi, pour l’exemple du 2/3 de 2/3 Porte
la figure 1 qui récapitule les notations utilisées dans le document, Fonction logique logique 2 sur 3
de la panne de S
les probabilités d’occurrence , et évoluent
indépendamment les unes des autres à partir du moment où les Probabilité
de panne de A à t Pr(A,t) Pr(B,t) Pr(C,t)
événements primaires , et sont indépendants. Donc, à un ins-
Variable
tant donné ti, les probabilités , et sont des d'état de A
a b c
valeurs ponctuelles évaluées indépendamment les unes des autres LA LB LC
conformément aux résultats développés à la section 5 de l’article Feuille
[SE 4052] dans le cas statique. (panne de A) Composant A Composant B Composant C
Cependant, cette introduction du temps ne peut pas se faire

sans précaution supplémentaire, car il convient de bien distinguer
deux cas (voir les normes CEI 60050-192, CEI 61078 ou CEI
61025) : l’indisponibilité instantanée et la défiabilité. Figure 1 – Arbre de défaillance relatif à une logique 2/3

SE 4 053 – 2
ＴＶ
ｓｅＴＰＵＳ
Les concepts d’indisponibilité et de défiabilité dépendent du – à gauche de la figure 3 sont représentées les indisponibilités
temps, et c’est pourquoi ils ont été soigneusement évités dans instantanées liées aux trois événements primaires ;
l’article de base [SE 4052], car seules des probabilités constantes – un instant ti a été sélectionné et les valeurs correspondantes
étaient considérées. L’indisponibilité concerne les entités réparées des indisponibilités relatives à chaque événement primaire ont été
lorsqu’elles tombent en panne alors que la défiabilité concerne les repérées par des petits cercles ;
entités non réparées quand elles tombent en panne. Ces deux – ces valeurs sont utilisées pour calculer la valeur de l’indisponi-
concepts sont confondus quand les pannes ne sont pas réparées. bilité du système à l’instant ti. Ceci est repéré par le petit cercle
tracé sur la courbe à droite de la figure 3 ;
Nota : attention, ce qui est dit ci-dessus concerne les pannes totales de l’entité
concernée. Les défaillances partielles peuvent être réparées ou non si leur occurrence – la répétition de cette opération pour de nombreux instants
n’entraîne pas la défaillance totale de l’entité. Cela est analysé plus en détail dans la conduit à la courbe complète de l’indisponibilité du système, US(t)
section relative aux calculs de défiabilité. sur un intervalle [0, T].
Si l’on considère la probabilité d’occurrence d’un évé- À partir des points obtenus, il est facile de calculer la moyenne
nement primaire appartenant à un ADD, cette probabilité peut de cette courbe, ce qui donne l’indisponibilité moyenne du sys-
correspondre soit à l’indisponibilité du composant concerné, soit tème sur la durée considérée.
à sa défiabilité. Aussi, pour distinguer les deux cas, les notations Il est à noter que l’indépendance des blocs implique qu’il y ait
suivantes sont utilisées par la suite : autant d’équipes de maintenance que d’événements primaires
– dans le cas d’une panne réparée ; dans l’ADD. Donc, s’il y a une seule équipe disponible, les résul-
– dans le cas d’une panne non réparée ; tats obtenus sont optimistes.
– et pour les probabilités Nota : le temps de réparation d’un composant estimé à partir du retour d’expérience
inclut le délai avant réparation, la réparation proprement dite et le délai avant remise en
complémentaires (disponibilité et fiabilité). service. Outre les délais administratifs, le délai avant réparation inclut aussi le délai dû à
l’attente de l’équipe de réparation occupée ailleurs. Donc la dépendance du temps de
réparation au nombre de réparateurs est en quelque sorte incluse dans le temps de répa-
ration, et cela limite l’impact de l’hypothèse d’indépendance des blocs vis-à-vis des
1.2 Indisponibilité d’un système modélisé réparations.
par ADD De nombreux calculs sont nécessaires pour obtenir une courbe
précise de l’indisponibilité du système. Aussi, des algorithmes
1.2.1 Cas général performants sont-ils indispensables pour pouvoir traiter les
grands systèmes rencontrés dans l’industrie. D’autre part, dans
L’évolution des états d’un système en logique 2/3 en fonction certains cas (systèmes peu disponibles, présence de conditions)
de l’état de ses composants est illustrée sur la figure 2 : les calculs d’indisponibilité peuvent nécessiter de réaliser des
– les chronogrammes en haut de la figure 2 concernent les trois calculs exacts avec des probabilités élevées. Tout cela est prati-
composants du système qui évoluent indépendamment les uns quement impossible avec la formule de Sylvester-Poincaré, et
des autres ; c’est grâce à l’introduction des DDB que cette approche est main-
– le chronogramme en bas de la figure 2 donne l’évolution cor- tenant utilisée de manière efficace [SE 4052]. C’est ce qui a été
respondante de l’état du système. implémenté dans le progiciel GRIF-Workshop (graphique interactif
Ainsi, le système est en marche à l’instant t1 (où A et C sont en et calculs de fiabilité) dont le module TREE dévolu aux ADD a été
marche) et en panne à l’instant t2 (où B et C sont en panne). Seul utilisé pour obtenir la majorité des courbes présentées dans cet
importe l’état du système à un instant donné, mais pas ce qui article.
s’est passé auparavant. Ainsi, le système est disponible à l’instant
t3 même s’il est tombé en panne (et a été réparé) auparavant. 1.2.2 Processus markoviens pilotés par ADD
La probabilité US(ti), pour le système d’être en panne à un ins-
tant ti ne dépend que des probabilités UA(ti), UB(ti) et UC(ti) d’être Dans les développements ci-dessus, les indisponibilités rela-
en panne de ses composants au même instant t. Comme les évé- tives aux événements primaires de l’ADD sont des données
nements primaires , et sont indépendants, les indisponibili- d’entrée et aucune hypothèse particulière n’a été faite sur la
tés UA(ti), UB(ti) et UC(ti) sont évaluées indépendamment les unes manière dont elles sont calculées. Donc, en particulier, les proces-
des autres et US(ti) peut être calculée en les combinant à l’aide sus markoviens peuvent être utilisés à cet effet [SE 4071] et c’est,
des formules développées dans le cas statique. Cela est illustré en fait, ce qui a été utilisé pour calculer les indisponibilités rela-
sur la figure 3 : tives aux événements primaires de la figure 3. Ceci est illustré sur
la figure 4 où chaque composant est modélisé par un petit graphe
de Markov avec deux états (marche, M et panne, P), un taux de
défaillance (λA, λB ou λC) et un taux de réparation (μA, μB ou μC).
Comme condition initiale la probabilité est de 100 % d’être en
marche à l’instant t = 0 pour les composants B et C et seulement
États Marche Panne de 50 % pour le composant A (γA = 0,5). C’est ce qui explique
A(t) l’évolution différente de l’indisponibilité de A par rapport à celles
A(t) de B et C.
B(t)
B (t) Les paramètres des blocs ont été choisis de manière à bien faire
C(t) apparaître la période transitoire sur les courbes de la figure 3.
Pour des systèmes comportant des défaillances détectées et dont
C(t)
Disponible Indisponible Disponible la réparation commence immédiatement, l’indisponibilité asymp-
S(t) totique est atteinte après environ trois ou quatre fois la valeur du
S (t) plus grand MRT (temps moyen de réparation) desdites défail-
lances. Comme les taux de réparation sont égaux à 10–2 h–1, le
t1 t2 t3 Temps
plus grand MRT est égal à 100 h et la valeur asymptotique est
atteinte entre 300 et 400 h.
Nota : l’acronyme MRT est utilisé ici pour éviter les ambigüités de l’acronyme
Figure 2 – Évolution de l’état d’un système 2/3 en fonction MTTR qui signifie « temps moyen de réparation » pour les uns et « temps moyen de
de l’évolution des événements primaires restauration » pour les autres. La différence est que le temps de détection est exclu

SE 4 053 – 3
ＴＷ
ｓｅＴＰＵＳ
0,60 0,50
UA(t ) US(t) US(t ) Moyenne
0,40 0,10
UC(t )
0,20 UB(t ) 2/3 0,05
as
Asymptote US
0 0
0 ti 100 h 200 h 300 h 400 h 500 h 0 ti 100 h 200 h 300 h 400 h 500 h
UA(t) U B(t ) U C(t)
LA LB LC
Figure 3 – Illustration du calcul d’indisponibilité pour un 2/3
indisponibilité moyenne et aussi de multiplier par trois la fré-

quence de détection des défaillances de cause commune éven-
US(t) tuelles (non représentées ici). L’indisponibilité du système
étudié est assez forte, mais les paramètres ont été choisis pour
illustrer le comportement de l’indisponibilité des systèmes
Processus 2/3 périodiquement testés, plutôt que pour traiter un cas industriel
de Markov réel.
La courbe représentant l’indisponibilité du système est obtenue
point par point par le même processus que celui expliqué pour la
UA(t) UB(t) UC(t) figure 4.
LA LB LC Nota : lorsqu’une panne est détectée par un test, elle est survenue en moyenne depuis
la moitié dudit intervalle (donc depuis 6 mois pour un test annuel). Les temps de répara-
tion (en général quelques heures) sont donc négligeables vis-à-vis du temps de
γA λA 1–γ λB λC restauration global. Il en résulte que la dépendance des événements primaires au
A nombre d’équipes de réparateurs est beaucoup plus ténue que dans le cas des défail-
M P M P M P lances détectées dont les réparations commencent immédiatement.
μA μB μC
λA = 8,0 10–4 h–1 Le module TREE du progiciel GRIF Workshop a été utilisé pour
λB = 2,0 10–3 h–1 λC = 5,0 10–3 h–1
μA = 1,0 10–2 h–1, réaliser la figure 5, mais le module SIL développé pour faciliter la
μB = 1,0 10–2 h–1 μC = 1,0 10–2 h–1 saisie et le traitement des modèles relatifs aux systèmes instru-
γA = 0,5 A B C
mentés de sécurité aurait pu aussi être utilisé.
Figure 4 – Exemple de processus de Markov piloté par ADD

1.2.3 Indisponibilité moyenne
du temps de réparation et inclus dans le temps de restauration. Cela n’a pas d’impor- Outre l’indisponibilité instantanée US(t), un ADD permet aussi de
tance pour les défaillances détectées rapidement, mais la distinction est capitale pour
les défaillances détectées après un délai important lié, par exemple, à des tests
calculer l’indisponibilité moyenne du système modélisé.
périodiques.
Mathématiquement parlant, l’indisponibilité moyenne est don-
Le processus de Markov de la figure 4 modélise des compo- née par la formule suivante :
sants dont les défaillances sont détectées dès qu’elles se pro-
duisent. La même technique peut être utilisée pour modéliser (1)
des défaillances qui ne se révèlent pas d’elles-mêmes et qui, de
ce fait, nécessitent la réalisation de tests périodiques pour être Numériquement parlant, l’indisponibilité moyenne est obtenue
détectées. Le plus souvent, ce type de défaillances se rencontre en calculant la moyenne des points de la courbe relative à l’indis-
sur les systèmes de sécurité qui sont en attente de fonctionne- ponibilité instantanée. Ainsi, l’indisponibilité moyenne
ment jusqu’à ce qu’ils reçoivent une demande pour réaliser une du système S sur l’intervalle [0, T] est obtenue en faisant la
action de sécurité. Dans le cadre de la sécurité fonctionnelle des moyenne de la courbe US(t) sur cette période. À noter que cela
systèmes instrumentés de sécurité (voir normes CEI 61508, CEI implique que le nombre de points calculés pour définir cette
61511, etc.), ce type de défaillances est dénommé défaillances courbe soit suffisant.
non détectées. Pour être modélisées, de telles défaillances Sur la figure 3, et après une période transitoire, l’indisponibilité
nécessitent la mise en œuvre de processus markoviens multi- du système atteint une valeur asymptotique . Ceci est dû aux
phases [SE 4071], comme cela a été réalisé pour les calculs de
la figure 5. processus markoviens utilisés pour modéliser la disponibilité rela-
tive aux événements primaires et qui atteignent, eux aussi, des
Les trois composants correspondant aux événements pri- valeurs asymptotiques. Sur le long terme, cette indisponibilité
maires ont des taux de défaillance différents et les mêmes taux asymptotique donne aussi l’indisponibilité moyenne du système
de réparation et intervalles entre tests. Cependant, les tests ont modélisé :
été décalés (paramètres θA, θB et θC) de manière à ne pas tester
la présence des pannes en même temps. Cette pratique permet (2)
d’homogénéiser l’indisponibilité du système, d’améliorer son

SE 4 053 – 4
ＴＸ
ｓｅＴＰＵＵ
Nœud papillon : une méthode

de quantification du risque
par Olivier IDDIR

Ingénieur quantification des risques – Service expertise et modélisation – Membre du
réseau des experts de TECHNIP
TECHNIP France, Paris-La Défense
1. Quantification du risque : une nécessité........................................ SE 4 055v2 - 2

2. Notion d’acceptabilité du risque ...................................................... — 2
3. Présentation de la méthode ............................................................... — 5
4. Quantification du nœud papillon ...................................................... — 15
5. Limites liées à la quantification d’un nœud papillon.................. — 22
6. Exemple de nœud papillon quantifié ............................................... — 25
7. Conclusion............................................................................................... — 29
8. Glossaire – Définitions ......................................................................... — 29
Pour en savoir plus ........................................................................................ Doc. SE 4 055v2
ans de nombreux secteurs d’activité tels que l’aéronautique, l’industrie

D chimique, l’industrie pétrolière, le nucléaire, il est nécessaire d’évaluer les
risques afin de pouvoir se prononcer sur leur acceptabilité. Les notions de
danger et de risque sont très souvent confondues, le risque étant toujours lié à
l’existence d’un danger, ou d’une situation dangereuse. Pour les différencier, il
est possible de considérer que le danger est « réel » et le risque « potentiel ».
Certaines installations industrielles présentent, de par leurs activités, de nom-
breux dangers. Citons, par exemple, le stockage ou la synthèse de produits
inflammables et/ou toxiques. Sur de telles installations, un des événements
redoutés est la perte de confinement qui peut aboutir à des phénomènes dange-
reux de type incendie, jet enflammé ou explosion dans le cas d’un produit
inflammable et dispersion atmosphérique dans celui d’un produit toxique.
L’évaluation d’un risque nécessite d’évaluer les deux composantes du couple
probabilité/gravité. La gravité des phénomènes dangereux est habituellement
estimée par modélisation de l’intensité des effets à l’aide d’outils ou de logi-
ciels. L’estimation de la probabilité d’occurrence pour les risques liés au
secteur de l’industrie nécessite aujourd’hui d’avoir recours à des méthodolo-
gies utilisées depuis de nombreuses années dans d’autres domaines, tels que
le nucléaire ou l’aéronautique. En effet, en France, avant les années 2000 et
contrairement aux pays anglo-saxons, l’évaluation des risques reposait sur une
approche déterministe. Les probabilités d’occurrence d’accidents étaient alors
en grande majorité estimées par avis d’experts. Le tragique accident survenu à
Toulouse le 21 septembre 2001 a initié un profond remaniement de la régle-
mentation française qui prône aujourd’hui l’approche probabiliste.
L’objectif de cet article est de présenter la méthode d’analyse de risques
nommée « nœud papillon » qui résulte de la combinaison d’un arbre de
défaillances et d’un arbre d’événements, centrée sur un même événement
redouté. Après avoir exposé les fondements de cette méthode, il sera dressé
un panorama des diverses banques de données pouvant être utilisées lors de
la phase de quantification. Enfin, l’article abordera les limites de la méthode.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｮ＠ＲＰＱＵ
Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 055v2 – 1
ＴＹ
ｓｅＴＰＵＵ
NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________
1. Quantification du risque : Gravité

une nécessité Gk
5
Depuis une trentaine d’années, la succession d’accidents signifi-
catifs en termes de dommages matériels et humains, majoritaire-
Gravité croissante
ment liés à l’expansion de l’activité industrielle, vient mettre en 4
lumière la question primordiale de la sécurité.
En 1966, à Feyzin, 18 personnes ont trouvé la mort suite au 3

BLEVE de plusieurs sphères de stockage. Par la suite, les accidents
de Flixborough (Grande-Bretagne) en 1974, Seveso (Italie) en 1976, 2
AZF (Toulouse) en 2001 ou plus récemment Buncefield (Grande-
Bretagne) en 2005 sont tous des accidents qui rappellent si besoin
la nécessité de disposer de méthodes et d’outils performants pour 1
estimer les risques.
En France, depuis 2001, la réglementation visant à garantir que E D C B A Probabilité Pk

les industriels maîtrisent leurs risques a beaucoup évolué. En fonc-
tion de la dangerosité des installations, les industriels doivent réali-
ser des études démontrant qu’ils ont pris l’ensemble des mesures Probabilité décroissante
de prévention et de protection permettant de garantir que les ris-
ques liés à leurs activités sont acceptables. Pour évaluer ces risques, A : niveau de probabilité le plus fort
différentes méthodes d’analyse peuvent être déployées (APR, E : niveau de probabilité le plus faible
HAZOP, etc.). Cependant, le nœud papillon constitue aujourd’hui la 1 : niveau de gravité le plus faible
méthodologie d’analyse quantifiée du risque recommandée par 5 : niveau de gravité le plus fort
l’administration française pour étudier les scénarios d’accidents les
plus critiques.
Risque jugé inacceptable
Risque ALARP
2. Notion d’acceptabilité
du risque Risque jugé acceptable
2.1 Estimation Figure 1 – Exemple de matrice de criticité 5 2 5
2.1.1 Matrices de criticité La matrice de criticité, présentée en figure 1, comporte trois

zones de risque :
Dans le domaine du risque industriel, la quantification des ris- – « acceptable » : dans cette zone, les accidents présentent une
ques constitue une étape incontournable. Elle permet, au regard probabilité suffisamment faible au regard de la gravité des
de la probabilité et de la gravité d’un accident, de juger de la suffi- conséquences associées ;
sance ou non des mesures de prévention dont l’objectif est de pré-
– dite « ALARP » (As Low As Reasonably Practicable ) : dans
venir l’apparition d’accident, et des mesures de mitigation/
cette zone, l’ensemble des mesures envisageables a été mis en
protection dont le but est de limiter les effets en cas d’accident. Or,
place et il n’est plus possible, avec un coût économique raisonna-
afin de se prononcer sur l’acceptabilité d’un risque, il faut pouvoir
ble, de diminuer ni la probabilité, ni la gravité ;
le mesurer en le comparant à une échelle.
– « inacceptable » : dans cette zone, il est nécessaire de mettre
Reprenant la philosophie du diagramme de Farmer, la matrice en place des actions qui visent à réduire la gravité et/ou la proba-
de criticité permet de juger de l’acceptabilité d’un risque. Mais con- bilité, en définissant de nouvelles mesures de prévention et/ou de
trairement au diagramme de Farmer, les matrices de criticité ne mitigation, afin de ramener si possible le risque dans la zone
font pas intervenir une frontière linéaire, mais un ensemble de acceptable, ou a minima dans la zone ALARP.
couples de valeurs de probabilité/gravité (Pk/Gk ) au-delà desquels La notion d’acceptabilité d’un risque peut sembler subjective,
le risque passe du domaine de l’acceptable à celui de l’inaccepta- surtout lorsque la vie d’individus est en jeu. En effet, la distinction
ble. Pour limiter les erreurs de jugement sur des événements dont entre les différentes zones de risque n’est pas aisée et dépend
le couple (Pk/Gk ) se rapprocherait de la frontière, une notion de essentiellement des définitions données aux différents niveaux de
risque, dite « ALARP » (As Low As Reasonably Practicable), est fré- probabilité et de gravité qui constituent la matrice de criticité.
quemment utilisée.
Il est à noter que le nombre de niveaux de probabilité et de gra- 2.1.2 Matrice de criticité réglementaire en France
vité, constituant une matrice de criticité, n’a rien d’universel. Néan-
moins les matrices de criticité, dites 5 × 5, c’est-à-dire composées Avant la circulaire du 29 septembre 2005 (reprise dans la circu-
de 5 niveaux de probabilité et de 5 niveaux de gravité, sont cou- laire du 10 mai 2010), relative aux critères d’appréciation de la
ramment utilisées. démarche de maîtrise des risques d’accidents susceptibles de sur-
venir dans les établissements dits « Seveso », visés par l’arrêté du
La figure 1 présente un exemple de matrice de criticité. Le 10 mai 2000 modifié, il n’existait pas de matrice de criticité régle-
découpage entre les différentes catégories de risque est unique- mentaire. Les matrices utilisées étaient soit celles proposées par
ment donné à titre indicatif. les industriels eux-mêmes, soit celles réalisées par des sociétés
SE 4 055v2 – 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
ＵＰ
ｓｅＴＰＵＵ
___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE
expertes dans l’évaluation des risques. Dans un souci d’homogé- (/an). L’unité de temps associée à la notion de probabilité confirme
néité, le ministère de l’Environnement (MEDAD à l’époque) a donc que les notions de fréquence et de probabilité sont bien souvent
proposé une matrice de criticité 5 × 5 (grille d’appréciation des ris- confondues.
ques), telle que présentée en figure 2. Elle se subdivise en La fréquence est une grandeur observée issue d’une exploitation
25 cases, correspondant à des couples probabilité/gravité des con- d’un retour d’expérience. Elle s’exprime généralement en unité de
séquences identiques à ceux du modèle figurant à l’annexe V de temps–1 ou opération–1.
l’arrêté du 10 mai 2000 modifié, que les industriels doivent utiliser
pour positionner chacun des accidents potentiels dans leur étude Dans le cas où le temps est le critère d’observation, la fréquence
de dangers. Cette matrice délimite trois zones de risque est définie par le quotient entre le nombre d’événements observés
accidentel : sur la période d’observation et ce temps d’observation. Lorsque la
période d’observation est exprimée en années, les fréquences sont
– risque élevé, figuré par le mot « non » ; alors données en unité an–1.
– risque intermédiaire, figuré par le sigle « MMR » (mesures de
maîtrise des risques), dans laquelle une démarche d’amélioration La probabilité d’occurrence d’un accident est assimilée à sa fré-
continue est particulièrement pertinente, en vue d’atteindre, dans quence d’occurrence future estimée sur l’installation considérée.
des conditions économiquement acceptables, un niveau de risque
aussi bas que possible, compte tenu de l’état des connaissances,
des pratiques et de la vulnérabilité de l’environnement de En France, les accidents potentiels ou les phénomènes dan-
l’installation ; gereux identifiés dans les études de dangers sont étudiés sur
– risque moindre, qui ne comporte ni « non » ni « MMR ». un intervalle temporel donné. La période de temps retenue
La gradation des cases « non » ou « MMR » en « rangs », corres- dans le cadre réglementaire est celle rappelée dans l’échelle de
pond à un risque croissant, depuis le rang 1 jusqu’au rang 4 pour probabilité de l’arrêté PCIG, à savoir l’année. L’INERIS a donc
les cases « non », et depuis le rang 1 jusqu’au rang 2 pour les introduit la notion de probabilité d’occurrence annuelle (POA).
cases « MMR ». Cette gradation correspond à la priorité que l’on
peut accorder à la réduction des risques, en s’attachant d’abord à
réduire les risques les plus importants (rangs les plus élevés). Dans la suite de cet article, nous retiendrons donc la terminologie
Les niveaux de probabilité et de gravité retenus pour constituer suivante :
cette matrice sont respectivement présentés dans les tableaux 1 – fréquence d’occurrence pour les événements redoutés (ER) ;
et 2. – probabilité d’occurrence pour les événements redoutés secon-
Concernant l’échelle rapportée dans le tableau 1, on peut noter daires (ERS) et pour les phénomènes dangereux (PhD).
qu’il est fait mention de la notion de probabilité d’occurrence et Néanmoins, en toute rigueur, le produit entre une fréquence et
que les données quantitatives sont exprimées en unité de temps–1. une probabilité donne une fréquence.
Gravité des PROBABILITÉ (sens croissant de E vers A) (1)

conséquences
sur les personnes
exposées E D C B A
au risque (1)
Non partiel
(sites nouveaux : (2))
Désastreux Non rang 1 Non rang 2 Non rang 3 Non rang 4
/MMR rang 2
(sites existants : (3))
Catastrophique MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2 Non rang 3
Important MMR rang 1 MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2
Sérieux MMR rang 1 MMR rang 2 Non rang 1
Modéré MMR rang 1
(1) Probabilité et gravité des conséquences sont évaluées conformément à l’arrêté ministériel relatif à l’évaluation et à
la prise en compte de la probabilité d’occurrence, de la cinétique, de l’intensité des effets, et de la gravité des
conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation.
(2) L’exploitant doit mettre en œuvre des mesures techniques complémentaires permettant de conserver le niveau
de probabilité E en cas de défaillance de l’une des mesures de maîtrise du risque.
(3) S’il s’agit d’une demande d’autorisation « AS », il faut également vérifier le critère C du 3 de l’annexe L.
(4) Dans le cas particulier des installations pyrotechniques, les critères d’appréciation de la maîtrise du risque
accidentel à considerer sont ceux de l’arrêté ministériel réglementant ce type d’installations.
Figure 2 – Matrice de criticité rapportée dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)
ＵＱ
ｓｅＴＰＵＵ
Tableau 1 – Échelle de probabilité proposée dans l’arrêté du 29 septembre 2005

Classe de probabilité
Type d’appréciation
E D C B A
« Événement
« Événement possi- improbable » : un
ble mais extrême- événement similaire « Événement
« Événement très
Qualitative ment peu déjà rencontré dans courant » : se produit
improbable » : s’est
(les définitions entre probable » : n’est pas le secteur d’activité « Événement proba- sur le site considéré
déjà produit dans ce
guillemets ne sont impossible au vu des ou dans ce type ble sur site » : s’est et/ou peut se pro-
secteur d’activité,
valables que si le connaissances d’organisation au produit et/ou peut se duire à plusieurs
mais a fait l’objet de
nombre d’installa- actuelles, mais non niveau mondial, sans produire pendant la reprises pendant la
mesures correctives
tions et le retour rencontré, au niveau que les éventuelles durée de vie des durée de vie des ins-
réduisant significati-
d’expérience sont mondial, sur un très corrections interve- installations tallations, malgré
vement sa probabi-
suffisants) grand nombre nues depuis appor- d’éventuelles mesu-
lité
d’années d’installa- tent une garantie de res correctives
tions réduction significa-
tive de sa probabilité
Semi-quantitative Cette échelle est intermédiaire entre les échelles qualitative et quantitative, et permet de tenir compte de la cotation
des mesures de maîtrise des risques mises en place
Quantitative
j 10−5 10–5 à 10–4 10–4 à 10–3 10–3 à 10–2 h 10−2
(par unité et par an)
Ces définitions sont conventionnelles et servent d’ordre de grandeur à la probabilité moyenne d’occurrences, observable sur un grand nombre d’installations
pendant x années. Elles sont inappropriées pour qualifier des événements très rares dans des installations peu nombreuses ou faisant l’objet de modifications
techniques ou organisationnelles. En outre, elles ne préjugent pas de l’attribution d’une classe de probabilité pour un événement dans une installation particu-
lière, qui découle de l’analyse de risque et peut être différent de l’ordre de grandeur moyen, afin de tenir compte du contexte particulier, de l’historique des
installations, ou de leur mode de gestion.
Un retour d’expérience mesuré en nombre d’années x installations est dit « suffisant », s’il est statistiquement représentatif de la fréquence
du phénomène (et pas seulement des événements ayant réellement conduit à des dommages) étudié dans le contexte de l’installation
considérée, à condition que cette dernière soit semblable aux installations composant l’échantillon sur lequel ont été observées les don-
nées de retour d’expérience. Si le retour d’expérience est limité, les détails (figurant en italique) ne sont, en général, pas représentatifs de
la probabilité réelle. L’évaluation de la probabilité doit être effectuée par d’autres moyens (études, expertises, essais) que le seul examen
du retour d’expérience.
Tableau 2 – Échelle de gravité proposée dans l’arrêté du 29 septembre 2005

Zone délimitée par le seuil Zone délimitée par le seuil Zone délimitée par le seuil
Niveau de gravité
des effets létaux significatifs des effets létaux des effets irréversibles sur la vie humaine
des conséquences
(personnes exposées) (personnes exposées) (personnes exposées)
Désastreux Plus de 10 Plus de 100 Plus de 1 000
Catastrophique Moins de 10 Entre 10 et 100 Entre 100 et 1 000
Important Au plus 1 Entre 1 et 10 Entre 10 et 100
Sérieux Aucune Au plus 1 Moins de 10
Présence humaine exposée à des effets
Modéré Pas de zone de létalité hors établissement
irréversibles inférieure à 1
Personne exposée : en tenant compte, le cas échéant, des mesures constructives visant à protéger les personnes contre certains effets, et la possibilité de mise
à l’abri des personnes en cas d’occurrence d’un phénomène dangereux, si la cinétique de ce dernier et la propagation de ses effets le permettent.
Pouvoir positionner des situations dangereuses dans une de causes, nécessite de recourir à des méthodologies qui permet-
matrice de criticité suppose qu’il soit possible d’évaluer la probabi- tent une analyse exhaustive :
lité d’occurrence et la gravité d’un événement, de sorte que se – des combinaisons de causes pouvant aboutir à la réalisation
tromper de zone de risque est exclu. Or, les événements les plus de tels accidents ;
graves sont aussi généralement les plus rares, l’accidentologie
révèle ainsi que ces accidents sont souvent la conséquence de – des conséquences en cas de survenue de tels accidents.
combinaisons de plusieurs événements. On parle alors de
« séquence accidentelle ». C’est donc lors de l’étape d’évaluation de la probabilité d’occur-
rence des événements redoutés et de leurs conséquences qu’il est
Évaluer la probabilité d’occurrence d’accidents « complexes », primordial de disposer d’une méthode « robuste » pour estimer au
c’est-à-dire dont l’origine peut être de nombreuses combinaisons plus juste ces valeurs.
ＵＲ
ｓｅＴＰＵＵ
___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE
3. Présentation de la méthode Le point central du nœud papillon est constitué par un événe-
ment redouté qui peut être par exemple une perte de confinement.
La partie en amont de l’événement redouté est constituée par un
3.1 Principe arbre de défaillances qui permet d’analyser les combinaisons de
causes, et de valoriser les barrières de prévention mises en place
Le concept du nœud papillon a été introduit par la compagnie pour prévenir l’apparition de l’événement redouté. La partie en
ICI (Imperial Chemical Industries ). Après l’accident survenu sur la aval est, quant à elle, constituée par un arbre d’événements qui
plate-forme pétrolière Piper Alfa, la compagnie Royal Dutch/Shell a permet de différencier les conséquences en fonction du fonction-
développé cette technique d’analyse au début des années 1990 nement ou non des mesures de mitigation/protection. Le synopti-
afin d’améliorer la sécurité sur de telles installations. L’utilisation que, présenté en figure 3, présente la structure d’un nœud
de la méthode du nœud papillon tend aujourd’hui à se démocra- papillon. Le tableau 3 détaille les définitions associées à chacun
tiser et son application au secteur de l’industrie est de plus en plus des événements figurant sur le modèle du nœud papillon de la
répandue. Le programme de recherche européen ARAMIS (Acci- figure 3.
dental Risk Assessment Methodology for Industries in the fra-
mework of Seveso II directive ) portant sur l’évaluation des risques
dans le contexte de l’application de la directive Seveso II met en En France, différents groupes de travail nationaux ont tra-
avant les avantages de cette méthode. Pour rappel, ce programme vaillé sur la réalisation de nœuds papillons « génériques ». S’il
avait pour but : est possible de s’en inspirer, il est indispensable de les adapter
au cas étudié en prenant en compte les spécificités du site.
– le développement d’une méthodologie plus précise et harmo-
nisée d’analyse de risque pour les études de dangers (ou safety
reports ), dans le contexte de l’application de la directive En fonction de la nature de l’événement redouté, les événe-
Seveso II ; ments de base peuvent être dits « indésirables ». Citons, par exem-
ple, un choc mécanique sur une canalisation pouvant aboutir à
– l’identification et la qualification des principaux phénomènes
l’événement redouté : « brèche sur canalisation », ou bien la
accidentels majeurs (appréciation de la probabilité et de la gravité
combinaison entre un événement courant et une défaillance, tel
des effets physiques en utilisant, par exemple, la représentation
que le montage d’un bras de dépotage et l’absence de contrôle de
sous forme de nœud papillon) ;
bonne étanchéité pouvant aboutir à l’événement redouté
– l’évaluation de la performance des fonctions et éléments de « mauvaise étanchéité au niveau d’un bras de dépotage », en cas
sécurité liés à la prévention des phénomènes accidentels ; de montage défectueux.
– l’identification de la vulnérabilité de l’environnement des sites.
Le principal intérêt du nœud papillon est qu’il permet de visua-
liser l’ensemble des chemins conduisant des événements de base
jusqu’à l’apparition des phénomènes dangereux. Chaque chemin
Le fondement de la méthode du « nœud papillon » est rela-
décrit un scénario d’accident. Un scénario d’accident est défini
tivement simple. Elle propose pour un même événement
comme un enchaînement d’événements aboutissant à un événe-
redouté de réunir un arbre de défaillances pour expliciter les ment redouté, conduisant lui-même à des conséquences lourdes
causes et un arbre d’événements pour expliciter les
ou effets majeurs. Cette notion est présentée dans les articles rela-
conséquences.
tifs à la méthode MOSAR [SE 4 060] [SE 4 061].
Différenciation des
Valorisation des barrières phénomènes dangereux
de mitigation
PhD 1
EB1 ERS 1
EI1
PhD 2
EB2 ERS 2
ER
ERS 3
EI2
ERS 4
Arbre de défaillances Arbre d’événements Arbre des conséquences
Identification des Identification des événements Identification des

combinaisons de causes redoutés secondaires phénomènes dangereux
Figure 3 – Schéma d’un nœud papillon
ＵＳ
ｓｅＴＰＵＵ
Tableau 3 – Définition des événements composant un nœud papillon
Identification Signification Définition Exemples
Dérive ou défaillance sortant du cadre des conditions

Événement dont la réalisation, seule d’exploitation usuelles définies
ou combinée, est susceptible d’abou- (montée en température, sur remplissage, etc.)
EB Événement de base
tir à la matérialisation d’un événement Événement courant survenant de façon récurrente
intermédiaire (EI) dans la vie d’une installation
(vibration, maintenance, etc.)
Événement dont la réalisation, seule

Événement ou combinée, est susceptible d’abou- Montée en température non détectée, corrosion non
EI
intermédiaire tir à la matérialisation de l’événement détectée lors de test d’inspection, etc.
redouté (ER)
Événement résultant de dérives de

paramètres de fonctionnement, ou de
Rupture de capacité, brèche sur canalisation,
ER Événement redouté défaillances d’éléments, pouvant avoir
décomposition de substance, etc.
des conséquences dommageables sur
l’environnement
Événement redouté Conséquence directe de l’événement Formation d’une nappe d’hydrocarbure, fuite de gaz
ERS
secondaire redouté toxique, sur une durée de 10 min, etc.
Libération d’énergie ou de substance

susceptible d’infliger un dommage à
PhD Phénomène dangereux Jet enflammé, BLEVE, Boil Over, explosion, etc.
des cibles (ou éléments vulnérables)
vivantes ou matérielles
Le nœud papillon permet alors de juger de la bonne maîtrise ou

La méthode du nœud papillon est habituellement réservée non des risques, en explicitant clairement le rôle de chacune des
pour l’analyse d’événements dont les combinaisons de causes barrières de sécurité sur le déroulement d’un accident.
sont complexes à identifier, et/ou lorsque des barrières de
mitigation/protection sont prévues pour limiter les consé- La figure 4 présente un exemple de ce type de représentation. Il
quences de l’événement redouté. est à noter que ces représentations simplifiées s’apparentent plus
à la combinaison d’un arbre des causes et d’un arbre des
conséquences qu’à un réel nœud papillon. En effet, pour la partie
En fonction de l’utilisation du nœud papillon, il est possible que avale du nœud papillon, les différents ERS ne sont généralement
ces nœuds soient plus ou moins complexes (arborescence plus ou pas tous détaillés et plus particulièrement ceux consécutifs au
moins développée). fonctionnement des barrières. Sur la représentation de la figure 4,
La complexité d’un nœud papillon tient en effet : les deux ERS possibles en fonction du fonctionnement ou non de
la BM1 sont envisagés.
– au niveau de développement de l’arbre de défaillances ;
– à la mise en évidence, explicite ou non, de la défaillance des
barrières de prévention dans l’arbre de défaillances ; Lorsque les ERS consécutifs au fonctionnement des barriè-
– à la mise en évidence, explicite ou non, de la défaillance des res sont susceptibles d’être à l’origine de phénomènes dange-
barrières de mitigation/protection dans l’arbre d’événements. reux pouvant avoir des conséquences non négligeables, il est
impératif de ne pas oublier de faire apparaître ces scénarios.
Ainsi, deux utilisations du nœud papillon sont à distinguer :
– l’analyse qualitative des risques qui vise à identifier les diffé-
rents scénarios d’accidents ; Lorsque le nœud papillon est élaboré dans l’objectif de quantifier
– l’analyse quantitative des risques qui vise à quantifier les les probabilités des phénomènes dangereux, cet outil peut s’avérer
probabilités des différents scénarios d’accidents. relativement lourd à mettre en place et son utilisation ne doit être
réservée qu’à des événements jugés particulièrement critiques pour
Lorsque le nœud papillon est réalisé uniquement dans le but de lesquels une analyse détaillée du risque est indispensable. En
formaliser une démarche d’analyse des risques, les barrières de d’autres termes, comme cet outil d’analyse peut être particulière-
sécurité sont le plus souvent représentées sous la forme de barres ment coûteux en temps, il doit être utilisé à bon escient.
verticales pour symboliser le fait qu’elles s’opposent au déve-
loppement d’un chemin critique aboutissant à un accident. De ce
fait, dans cette représentation, chaque chemin, conduisant d’une
Habituellement, les événements redoutés étudiés par un nœud
défaillance d’origine (événements de base de l’arbre de défaillan-
papillon sont présélectionnés lors d’une étape d’évaluation préli-
ces) jusqu’à l’apparition des phénomènes dangereux, désigne un
minaire qui permet de hiérarchiser les risques.
scénario d’accident particulier pour un même événement redouté.
ＵＴ
ｓｅＴＰＶＰ
MOSAR
Présentation de la méthode
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)
1. Nécessité d’une méthode d’analyse des risques

d’une installation industrielle .............................................................. SE 4 060 - 2
1.1 Problématique.............................................................................................. — 2
1.2 Les besoins d’analyse de risques............................................................... — 3
1.3 Les outils existants ...................................................................................... — 3
1.4 Nécessité d’une méthode ........................................................................... — 3
2. Structure générale de la méthode MOSAR ...................................... — 4
2.1 Les deux modules et les dix étapes ........................................................... — 4
3. Modèles mis en œuvre : MADS............................................................ — 4
3.1 Description de MADS .................................................................................. — 4
3.2 Applications à une démarche méthodique ............................................... — 5
4. Différents modes de mise en œuvre de la méthode ...................... — 7
4.1 MOSAR comme boîte à outils .................................................................... — 7
4.2 Les parcours de MOSAR ............................................................................. — 8
4.3 Genèse de scénarios dans l’analyse de risques d’un site industriel ....... — 9
4.4 Extraits d’exemple d’analyse en conception d’une installation .............. — 10
4.5 Extrait d’exemple d’analyse en diagnostic d’une installation existante . — 13
5. Avantages de la méthode ...................................................................... — 14
5.1 La réponse aux besoins .............................................................................. — 14
5.2 Exhaustivité.................................................................................................. — 15
5.3 Coordination des outils ............................................................................... — 15
5.4 Souplesse ..................................................................................................... — 15
5.5 Mise en œuvre en situation opérationnelle et pédagogique ................... — 15
Références bibliographiques ......................................................................... — 16
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＳ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＸ
’analyse des risques d’une installation industrielle est une démarche

L complexe car cette dernière est elle-même une structure complexe constituée
de machines, de stockages, en interaction entre eux, avec les opérateurs ainsi
qu’avec l’environnement. Pour se donner le maximum de chances de mettre en
évidence la majorité des risques d’une installation, une méthode logique est
proposée : la méthode organisée systémique d’analyse des risques ou MOSAR.
Elle fait appel à la modélisation systémique [1] car après avoir décomposé l’instal-
lation en sous-systèmes et recherché systématiquement les dangers présentés
par chacun d’entre eux, ces sous-systèmes sont remis en relation pour faire appa-
raître des scénarios de risques majeurs. Cette partie de l’analyse est une APR
(Analyse préliminaire des risques) évoluée car elle ne se contente pas de passer
l’installation au crible de grilles préétablies issues du retour d’expérience. Elle
construit, à partir d’une modélisation des différents types de dangers par le
modèle MADS (Méthodologie d’analyse de dysfonctionnement des systèmes), les
scénarios possibles. La négociation d’objectifs permet de hiérarchiser ces scéna-
rios. La recherche systématique de barrières permet de neutraliser ces scénarios
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 060 − 1
ＵＵ
ｓｅＴＰＶＰ
MOSAR ______________________________________________________________________________________________________________________________
et leur qualification dans le temps en assure la pérennité. La démarche peut se

poursuivre par une analyse détaillée de type sûreté de fonctionnement avec mise
en œuvre d’outils comme les AMDEC (Analyse des modes de défaillance, de leurs
effets et de leur criticité) (cf. article AMDEC-Moyen [AG 4 220] dans le traité
l’Entreprise industrielle), les arbres de défaillances (cf. article Arbres de
défaillance, des causes et d’événement [SE 4 050] dans ce traité), HAZOP (Hazard
and Operability study) [4].
Sa constitution modulaire permet une grande souplesse d’utilisation. Elle se
termine sur la construction des plans d’intervention.
Le modèle MADS, élaboré dans les années 1980 par un groupe d’ingénieurs
du CEA (Commissariat à l’énergie atomique) et d’universitaires de l’IUT de
sécurité de Bordeaux, est une modélisation systémique générale du danger
mise en œuvre ici de manière spécifique dans la méthode MOSAR.
La méthode MOSAR complète fait l’objet d’un support [5], d’un résumé [8] et
d’un logiciel d’apprentissage [6].
Cet article constitue la première partie d’une série consacrée à la méthode MOSAR :
— MOSAR - Présentation de la méthode [SE 4 060] ;
— MOSAR - Cas industriel [SE 4 061].
Terminologie
Problématique Une certaine façon de poser un ou des problèmes propres à une notion
ou à un domaine de connaissance.
Méthodologie Réflexion qui a pour objet d’examiner la nature, la valeur et le choix des
matériaux avec lesquels nous pouvons construire notre connaissance
en vue de déterminer à quels usages ils sont propres ou impropres.
Méthode Programme réglant d’avance une suite d’opérations à accomplir et
signalant certains errements à éviter, en vue d’atteindre un résultat
déterminé.
Outils Procédés techniques de calcul ou d’expérimentation utilisés pour le
développement d’une méthode.
Analyse de risques Toute démarche structurée permettant d’identifier, évaluer, maîtriser,
manager et gérer des risques et notamment les risques industriels.
1. Nécessité d’une méthode

d’analyse des risques
d’une installation industrielle M1
O1
O4
M2
1.1 Problématique
O3
Une installation industrielle peut être modélisée comme un sys-
tème ouvert sur son environnement, et composé essentiellement de M3
O2
matériels (M1 , M2 , M3 ...) et d’opérateurs (O1 , O2 , O3 ...), en inter-
action entre eux et avec l’environnement (figure 1).
Les matériels (machines, stockages, appareils, bâtiments...)
peuvent :
Figure 1 – Modélisation d’une installation industrielle
— interagir de manière séquentielle (séquences linéaires, paral-
lèles ou en réseaux) lorsqu’ils constituent des chaînes de fabrica-
tion ; Analyser les risques d’une installation va consister essentiel-
— ou être isolés. lement à identifier les dysfonctionnements de nature technique et
Les opérateurs sont tous les acteurs de l’installation depuis le opératoire (opérationnelle, relationnelle, organisationnelle) dont
responsable jusqu’à l’exécutant. Ils peuvent être aussi isolés ou en l’enchaînement peut conduire à des événements non souhaités par
relation à travers des hiérarchies linéaires ou parallèles, des groupes rapport à des cibles (individus, populations, écosystèmes, systèmes
en réseau ou des structures diverses. matériels ou symboliques).
SE 4 060 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
ＵＶ
ｓｅＴＰＶＰ
______________________________________________________________________________________________________________________________ MOSAR
Ces dysfonctionnements proviennent des matériels, de leurs — de faciliter la communication avec le public ;
liaisons et de leur proximité, ainsi que des opérateurs, de leurs — indispensable pour la construction des Plans d’Intervention : le
liaisons entre eux et avec les matériels. Plan d’Opération Interne (POI) qui gère l’organisation des secours en
Il est possible d’imaginer analyser les risques d’une installation à cas d’accident à l’intérieur du périmètre de l’installation, sous la
un instant donné, par exemple à t 1 ou à t 2 . On dira alors que l’on a responsabilité du directeur de cette dernière ; le Plan Particulier
travaillé dans une coupe synchronique de l’installation. Mais entre d’Intervention (PPI) qui gère l’organisation des secours à l’extérieur
les instants t 1 et t 2 , l’installation a évolué (diachronie). Il est donc du périmètre de l’installation, si les conséquences de l’accident fran-
impossible de faire l’analyse des risques d’une installation dans sa chissent ce périmètre, sous l’autorité du Préfet.
diachronie. Tout au plus pourra-t-on la pratiquer à certains moments
discrets de cette dernière, que nous allons identifier, et l’on pourra
éventuellement mettre en évidence des risques de transition entre 1.3 Les outils existants
ces moments.
Le contexte d’une analyse de risques peut être défini par deux
Ces moments de vie d’une installation ou phases de vie sont les situations principales :
suivants :
— on s’intéresse à un objet technique, par exemple un avion, un
— conception (CO). C’est le travail de bureau d’études qui définit véhicule, une machine ;
un cahier des charges, un dossier d’appel d’offre, un descriptif, un — on s’intéresse à un milieu plus complexe, par exemple un
dossier de réalisation. Il est évidemment très intéressant d’analyser atelier de fabrication, une usine, une installation industrielle, agri-
les risques en conception car on peut intégrer leur maîtrise dès le cole, urbaine... Ce milieu comportera bien sûr des objets comme des
départ et cela est moins coûteux que de modifier par la suite l’instal- machines, des stockages, des alimentations en fluides, des engins
lation pour des raisons de sécurité ; de manutention..., mais il y aura beaucoup de relations entre ces
— montage (MO). C’est la phase de réalisation qui correspond au objets et avec leur environnement.
chantier avec des risques très spécifiques notamment de manu-
tention ; Les méthodes et outils mis en œuvre pour l’analyse de risques ne
— essais (ES) ou recette. C’est la phase qui permet de faire les seront pas les mêmes dans chacun des deux cas :
vérifications de conformité par rapport au cahier des charges. Elle — dans le premier cas ce sont plutôt les outils classiques de la
est souvent l’objet de risques spécifiques car les éléments de l’ins- Sûreté de fonctionnement qui seront utilisés (consulter à ce propos
tallation peuvent être testés jusqu’à leurs performances maximales les articles Analyse préliminaire des risques [SE 4 010] et Arbres
voire au-delà ; de défaillance, des causes et d’événement [SE 4 050] et la réfé-
— exploitation. Cette phase correspond aux périodes de mise en rence [4]) ;
œuvre de l’installation. On peut la diviser en : — dans le deuxième cas, ces outils seuls ne permettront qu’une
• fonctionnement normal (on la symbolisera par EX) : l’installa- analyse parcellaire, notamment des objets de l’installation, et il
tion fonctionne dans le cadre de ses caractéristiques nomina- sera nécessaire de disposer de méthodes, c’est-à-dire de démar-
les. Elle peut alors générer des nuisances et être la source ches complètes incluant bien sûr les outils, mais capables d’en
d’accidents, organiser la mise en œuvre.
• maintenance qui comprend : Les outils disponibles peuvent être classés en deux catégories :
l’entretien (EN), préventif ou curatif, — des outils semi-empiriques comme l’APR (Analyse Préliminaire
le dépannage (DE), des Risques) qui a donné lieu au développement de grilles issues du
• arrêt (AR). L’installation peut présenter des dangers spéci- retour d’expérience, l’AMDE (Analyse des modes de défaillance et de
fiques à l’arrêt ; leurs effets) et l’AMDEC (bien que normalisé il reste dans cette caté-
— transformation. Cette phase concerne les transformations gorie), HAZOP, l’Analyse Fonctionnelle ;
générant des risques spécifiques liés aux chantiers nécessaires — des outils logiques comme les arbres logiques (arbre de
pour les réaliser ou à l’installation transformée ; défaillances, arbres causes conséquences ou arbres d’événement) et
— démantèlement (DEM) ou déconstruction. Cette phase cor- des outils de type réseaux comme les chaînes de Markov (cf. article
respond aussi à une phase de chantier très spécifique. Relations entre probabilités et équations aux dérivées partielles
[A 565] dans le traité Sciences fondamentales) ou les réseaux de Pétri
Il est donc nécessaire de préciser la phase de vie de l’installation
(cf. articles Réseaux de Petri [R 7 252] dans le traité Mesures et
dans laquelle l’analyse est réalisée. Il est aussi possible de se situer
Contrôle, Applications des réseaux de Petri [S 7 254] dans le traité
dans une phase et de faire apparaître les risques principaux des
Informatique industrielle et la Sûreté de fonctionnement : méthodes
autres phases.
pour maîtriser les risques [AG 4 670] § 5.5 dans le traité L’Entreprise
industrielle). Tous ces outils permettent des approches par le calcul
Une vision systémique consiste par exemple à prévoir et à notamment en matière de probabilité.
maîtriser les risques apparaissant dans les autres phases dès la La mise en œuvre de ces outils présente un certain nombre de dif-
phase de conception. ficultés. Ce sont en effet pour la plupart des outils dont l’origine est
liée à l’analyse de fiabilité « d’objets » ou d’éléments « d’objets » et
leur adéquation à l’analyse de risques n’est pas totale. Par ailleurs,
leur mise en œuvre nécessite de l’information et l’outil en lui-même
1.2 Les besoins d’analyse de risques n’est pas générique de cette dernière.
Nota : le lecteur consultera utilement sur ce sujet l’article Importance de la sécurité dans
l’entreprise [AG 4 600] dans le traité l’Entreprise industrielle. 1.4 Nécessité d’une méthode
Les besoins dans ce domaine sont multiples. Si la connaissance et
la maîtrise des risques de l’entreprise sont tout d’abord un problème On voit donc apparaître une double nécessité :
d’éthique, ce sont aussi un moyen : — essayer de rationaliser les outils à caractère empirique. Le modèle
— d’accroître la confiance du public, du personnel, des investis- MADS (Méthodologie d’analyse de dysfonctionnement des systèmes)
seurs et de conserver une bonne image de marque ; tente de répondre à ce besoin. Modélisation systémique générale du
— de satisfaire les contraintes réglementaires multiples : Code du danger, le modèle MADS constitue la structure conceptuelle des outils
travail, installations classées pour la protection de l’environnement, et méthodes empiriques ou semi-empiriques qui se sont développés
circulaire Seveso, règles des services de prévention des CRAM sur le terrain. MADS permet par exemple de faire apparaître les
(Caisses régionales d’assurance maladie) et des assurances ; concepts de l’AMDEC ;
ＵＷ
ｓｅＴＰＶＰ
MOSAR ______________________________________________________________________________________________________________________________
— construire des méthodes qui assurent à la fois une cohérence blir un consensus sur les risques acceptables sous forme d’une
dans le déroulement de la démarche analytique, qui facilitent et arti- grille Gravité-Probabilité ;
culent la mise en œuvre des outils précités, et qui participent à la — une vision microscopique conduisant à un module B qui consiste
genèse de l’information nécessaire à la bonne utilisation de ces der- à faire une analyse détaillée et complémentaire des dysfonctionne-
niers. MOSAR essaie de répondre à ces contraintes. Dans MOSAR, ments techniques et opératoires identifiés dans le module A. C’est en
MADS permet de faire apparaître la structuration des dangers et fait une approche de type « sûreté de fonctionnement » qui vient faire
par conséquent de les identifier de manière rationnelle. foisonner l’analyse précédente. Dans les scénarios établis dans le
module A, on va développer les dysfonctionnements de nature opéra-
toire et ceux de nature technique. C’est à ce niveau que l’on mettra en
œuvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le
2. Structure générale module se termine par le rassemblement et l’organisation de l’infor-
mation acquise pour la gestion des risques c’est-à-dire des scénarios
de la méthode MOSAR identifiés s’ils surviennent.
2.1 Les deux modules et les dix étapes 3. Modèles mis en œuvre :
La méthode s’articule autour de deux visions, d’où les deux MADS
modules qui la composent (figure 2) :
— une vision macroscopique conduisant à un module A qui
consiste à faire une analyse des risques de proximité ou analyse prin- 3.1 Description de MADS
cipale de sécurité ou analyse des risques principaux. C’est parce
que les éléments qui constituent l’installation (stockages, machines, Le modèle MADS (Méthodologie de dysfonctionnement des sys-
chaînes de fabrication, opérateurs) sont à proximité les uns des autres tèmes, figure 3), appelé aussi Univers du danger est un outil initia-
que des risques apparaissent, souvent majeurs. Ces éléments sont lement à vocation pédagogique qui permet de construire et de
modélisés sous forme de systèmes ce qui va permettre d’identifier en comprendre la problématique de l’analyse des risques. Il est
quoi ils peuvent être sources de danger. On recherche ensuite construit sur les bases des principes de la modélisation systémique
comment ils peuvent interférer entre eux et avec leur environnement développés par Jean-Louis Le Moigne dans « La Théorie du Sys-
pour générer des scénarios d’accidents. Ce travail nécessite la mise tème général » [1].
en œuvre du modèle MADS (Méthodologie d’Analyse de Dysfonction- L’univers du danger est formé de deux systèmes appelés système
nement des Systèmes) [2] [3]. Ce module comporte aussi une phase source de danger et système cible, en interaction et immergés dans
de négociation avec les acteurs concernés, qui va permettre d’éta- un environnement dit actif.
À partir
d'une Identifier les Module A : vision macroscopique de l'installation
modélisation sources de Analyse principale de risques ou
de dangers Analyse des risques principaux
l'installation
Identifier les
scénarios de
dangers
Évaluer les
scénarios de
risques
Identifier les
risques de Négocier des
fonctionnement objectifs et
hiérarchiser
Évaluer les risques les scénarios
en construisant
des ADD et en Définir les
les quantifiant moyens de
prévention et
les qualifier
Négocier des
objectifs précis
de prévention
Module B : vision microscopique de l'installation Affiner les

Analyse des risques de fonctionnement ou moyens de
Sûreté de fonctionnement prévention
ADD : arbre de défaillance Gérer

les
risques
Figure 2 – Les deux modules et les dix étapes de MOSAR : le parcours complet du MOSAR
ＵＸ
ｓｅＴＰＶＱ
MOSAR
Cas industriel
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)
1. Définition de l’exemple. Modélisation ............................................... SE 4 061 - 2

1.1 Décomposition du système étudié et des systèmes environnement
et opérateurs en sous-systèmes................................................................. — 2
2. Le module A de la méthode et ses cinq étapes............................... — 3
2.1 Identification des sources de danger ......................................................... — 3
2.2 Identifier les scénarios de danger .............................................................. — 5
2.3 Évaluation des scénarios à risques ............................................................ — 9
2.4 Négociation d’objectifs et hiérarchisation des scénarios......................... — 9
2.5 Définition et qualification des moyens de prévention et de protection.. — 11
2.6 Conclusion sur le module A........................................................................ — 12
3. Le module B de la méthode et ses cinq étapes ............................... — 13
3.1 Identifier les risques de fonctionnement ................................................... — 13
3.2 Évaluer les risques en construisant des arbres de défaillances
et en les quantifiant ..................................................................................... — 17
3.3 Négocier des objectifs précis de prévention ............................................. — 18
3.4 Affiner les moyens de prévention .............................................................. — 18
3.5 Gérer les risques.......................................................................................... — 21
4. L’organisation des barrières dans une stratégie de défense
en profondeur ........................................................................................... — 22
a méthode MOSAR, décrite dans l’article MOSAR - Présentation de la

L méthode [SE 4 060], est ici développée à partir d’un exemple concret.
Le choix de ce dernier répond à plusieurs contraintes :
— difficulté de décrire un exemple industriel réel qui serait ainsi mis dans le
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＴ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＸ
domaine public ;
— nécessité de choisir un exemple que l’on peut mettre sous forme
pédagogique pour montrer l’intérêt de la méthode. Il doit être ni trop simple, ni
trop compliqué et doit cependant montrer toute l’amplitude de la méthode ;
— impossibilité de développer complètement l’exemple mais obligation d’en
détailler suffisamment certaines phases pour en montrer l’efficacité.
Nous avons donc retenu et construit en partie un exemple réaliste, par ailleurs
suffisamment connu pour ne pas désarçonner les lecteurs et suffisamment riche
pour en retenir l’attention.
ＵＹ
ｓｅＴＰＶＱ
MOSAR ______________________________________________________________________________________________________________________________
1. Définition de l’exemple. tions pour lesquelles une telle décomposition n’a pas d’intérêt,
voire est impossible.
Modélisation C’est le cas d’un laboratoire qui comprend une multitude d’objets sans
sous-systèmes clairement identifiables.
Nous prendrons comme exemple une installation de dépotage Elle permet cependant de générer des scénarios d’interférence
de propane alimentant des ateliers présentée sur la figure 1. ou de proximité entre les sous-systèmes si ces derniers peuvent
Les manières de segmenter le contexte sont multiples mais il être identifiés.
faut remarquer que pour un découpage donné définissant le sys- Il existe plusieurs manières de décomposer une installation en
tème à analyser, le reste du contexte se trouve dans l’environne- sous-systèmes :
ment du système. Ainsi, quelle que soit la situation de la frontière — décomposition hiérarchique en fonction des relations des
retenue entre le système et son environnement, la somme des éléments de l’installation entre eux ;
deux redonne toujours l’ensemble du contexte. — décomposition topologique en fonction de la position des
Le système le plus dangereux dans ce contexte est l’installation éléments de l’installation dans l’espace ;
de dépotage de propane. Elle sera donc le système sur lequel va — décomposition fonctionnelle de par la situation des éléments
porter l’analyse (figure 2). de l’installation dans la chaîne de fonctionnement de cette der-
nière.
Nous utiliserons une association des deux dernières en répon-
1.1 Décomposition du système étudié dant à trois conditions :
et des systèmes environnement — les sous-systèmes répondent aux cinq critères d’un système
(structure, fonction, finalité, évolution et environnement selon le
et opérateurs en sous-systèmes modèle canonique de Le Moigne [1]) ;
— chacun doit être homogène ;
La décomposition du système étudié (ici, le système de dépo- — leur nombre doit être le plus limité possible, en tout cas infé-
tage) en sous-systèmes n’est pas obligatoire. Il existe des installa- rieur ou égal à 12.
Lotissement Lotissement
30 m
Voie ferrée 45 m
Dépotage
120 m
Ateliers
250 m
Parking
90 m
70 m Bâtiment administratif
30 m
Route 20 m
10 m
250 m 300 m
Rivière
Figure 1 – L’installation étudiée
ＶＰ
ｓｅＴＰＶＱ
______________________________________________________________________________________________________________________________ MOSAR
Soupape
Sphère
Systèmes de Bras mobile

connexion Tuyau souple
Opérateur
Wagon Canalisations fixes
Pompe Vanne trois voies pour

prélèvement contrôle qualité
Figure 2 – Le système étudié
Dans le cas de l’installation de dépotage de propane, ceci

conduit à cinq sous-systèmes (figure 3) : 2. Le module A de la méthode
— SS1 - la sphère et ses équipements ; et ses cinq étapes
— SS2 - les tuyauteries de remplissage et d’équilibrage ;
— SS3 - le wagon et ses équipements ; Le lecteur consultera la figure 2 de l’article [SE 4 060].
— SS4 - le bras mobile ;

— SS5 - la pompe.
2.1 Identification des sources de danger
Pour ce qui concerne l’environnement on considère que celui-ci 2.1.1 Identification des sources de danger de
est constitué d’un ensemble d’environnements emboîtés [environ- chaque sous-système du système dépotage
nement spécifique directement lié à l’installation, environnement
proche (ville, campagne), environnement lointain (département, Il s’agit d’identifier en quoi chaque sous-système peut être
régional)]. source de danger.
Pour effectuer ce travail, on lit chaque sous-système à travers la
On ne prend en compte, dans l’exemple, que l’environnement grille de typologie des systèmes sources de danger décrite au
spécifique que l’on appellera pour simplifier, sous-système envi- § 2.2, encadré 1 de l’article [SE 4 060].
ronnement. On remplit la première colonne du tableau A (figure 4).
Il en est de même pour les opérateurs. Ils sont constitués en En faisant cette identification pour tous les sous-systèmes, on
équipes, structures hiérarchiques (services, départements...). Dans obtient donc une liste exhaustive des dangers de l’installation
l’exemple, pour simplifier aussi, et d’une manière générale dans la dépotage.
méthode d’analyse, on ne modélisera dans un premier temps, La colonne phases de vie permet de préciser certains dangers.
d’une manière globale, qu’un opérateur que l’on appellera : Par exemple dans le cas de la sphère, si l’on fait l’analyse dans la
sous-système opérateur. phase d’exploitation normale, il n’y a pas de danger de manuten-
tion. En revanche, dans les phases montage et entretien il apparaît
Dans l’exemple, en ajoutant le sous-système opérateur et le un danger de manutention avec les organes tels que les vannes et
sous-système environnement (figure 3), on arrive pour le contexte la soupape.
au total à sept sous-systèmes, dont on étudie d’abord l’interaction
des cinq qui constituent le système dangereux (système étudié) et Il est donc possible de faire l’analyse soit phase par phase, soit
à partir du résultat obtenu dont on étudiera l’interaction avec les en cherchant à identifier les principaux dangers apparaissant dans
deux autres sous-systèmes. les différentes phases.
Remarque : Deux phrases mnémotechniques pour s’aider à

On pourrait aussi étudier les interactions des éléments qui trouver des réponses dans la recherche des processus de danger
composent les sous-systèmes environnement et opérateurs et et stimuler son imagination :
faire apparaître ainsi les interférences internes à ces systèmes — qu’est-ce qui est et qui pourrait ne pas être ? Par exemple,
avant d’étudier les interférences avec les autres sous-systèmes. il y a du courant électrique et il pourrait ne pas y en avoir ;
C’est une approche complémentaire qui n’est pas développée — qu’est-ce qui n’est pas et qui pourrait être ? Plus difficile.
dans ce document. Par exemple, il n’y a pas de fuite mais il pourrait y en avoir une.
ＶＱ
ｓｅＴＰＶＱ
MOSAR ______________________________________________________________________________________________________________________________
SS1 Sphère est ses SS2 tuyauteries d'équilibrage

équipements et de remplissage
SS5 Wagon et ses SS4 Bras SS3

SS6 sous-système
équipements mobile Pompe opérateur
Système analysé
Route
Parking
CONTEXE
Lotissement
Ateliers
Bâtiments administratifs
Voie ferrée
Rivière
SS7 Sous-système
environnement
SS : Sous-système
Figure 3 – La décomposition du contexte en sept sous-systèmes
2.1.2 Identification des processus de danger comme tel. Il nous aide à faire apparaître des événements et leurs
enchaînements pouvant avoir des effets non souhaités sur des
Ce travail se fait ligne par ligne en recherchant les événements cibles qui, à ce niveau, ne sont pas encore identifiées. Il appartient
qui constituent les processus de danger. On utilise le tableau A à l’analyste de se servir des identifications d’événements pour
(figure 4) en commençant par la colonne des événements initiaux. construire des chaînes plus ou moins longues d’enchaînements.
Ces derniers peuvent provenir soit du contenant, c’est-à-dire de
l’enveloppe du système source, soit de son contenu. Exemple : l’événement surpression apparaît à deux endroits diffé-
On recherche ensuite les événements initiateurs qui peuvent rents dans la recherche des processus de danger liés à la pression :
engendrer les événements initiaux et on les note dans la colonne — c’est un événement initiateur interne d’une rupture ou d’une fis-
correspondante du tableau A. Ces événements peuvent être d’ori- sure de l’enveloppe ;
gine interne ou externe au système source de danger. Dans ce — c’est un événement initial interne dont l’événement initiateur
dernier cas ils sont générés par les champs. interne est un dysfonctionnement de soupape et l’événement initia-
La chaîne événements initiateurs – événements initiaux génère teur externe un flux thermique. La chaîne complète devient :
des événements principaux que l’on note dans la dernière colonne
à droite du tableau A (figure 4). Flux thermique surpression interne fissure
& & rupture
2.1.3 Remarques
&
Dysfonctionnement de soupape
Cette technique nous donne un outil de génération d’un Dans l’identification des événements principaux, il faut prendre
ensemble d’événements. Ce n’est qu’un outil qu’il faut utiliser garde à ne pas noter des interférences avec les autres sous-
ＶＲ
ｓｅＴＰＶＱ
______________________________________________________________________________________________________________________________ MOSAR
Phases de vie : Influence des champs : Événements renforçateurs :

Conception CO Conditions météo Sources d'allumage
Montage MO Corrosivité de l'air Densité de population
Essais ES Productivité Densité de circulation de trains et de véhicules
Exploitation : EX Réglementation
Entretien EN Maintenance
Dépannage DE Organisation des équipes
Arrêt AR Qualité de formation du personnel
Transformation TR
Démantèlement DEM
Événements initiateurs Événements initiaux

(3) (2)
Types de systèmes
Phases Événements
sources de danger (1)
de vie Externes principaux
Application de la grille Liés Liés
(environnement Internes
au contenant au contenu
actif)
Corrosion
A 1 - sphère Choc
Surpression Rupture Fuite de propane :
et ses EX Corrosion Surpression
Dysfonctionnement Fissure gaz liquide
équipements Flux thermique
soupape
Déformation
Corrosion Rupture
A 2 - support EX Corrosion Effondrement
Surcharge Déformation
Renversement
Erreur de
A 3 - propane Dysfonctionnement
remplissage Débit Sphère trop pleine
vannes, EX de la vanne Blocage
Choc, Givrage trop grand Fuite
soupape Prélèvement
Obstacle
Choc manutention
A 4 - vannes, EN en cours de Déformation
Fuite
soupape MO montage ou de Fissuration
remontage
Diminution
Montée en
A 5 - sphère EX Énergie thermique de résistance BLEVE
température
mécanique
EN Pluie Structure
Accès en hauteur
A 6 - sphère DE Gel glissante
dangereux
EX Maladresse Accès hauteur
EN
A 7 - cuvette Maladresse Circulation à pied
DE Dénivellement
de rétention Fatigue dangereuse
EX
EN
Possibilité
A 8 - équipements DE Maladresse Aspérités
de blessures
EX
B 2 - sphère EX Entrée d'air Explosion Explosion de la sphère
D 3 - propane EX Électricité statique Fuite Fuite enflammée
E 2 - électricité Mauvaise mise Déplacement
EX Électricité statique
statique à la terre propane
Figure 4 – Tableau A : établissement des processus de danger du sous-système sphère
systèmes sinon la génération de scénarios deviendra confuse par 2.2 Identifier les scénarios de danger
la suite.
Ne pas écrire explosion dans l’événement principal du processus Dans les installations industrielles, notamment celles présentant
de danger lié à la pression. Encore faut-il que la nappe de propane des risques de nature chimique, on admet que les scénarios d’acci-
générée par la fuite rencontre une source d’allumage (dans une cible) dents majeurs sont connus notamment grâce au retour d’expé-
pour qu’il y ait explosion. rience. On en retient généralement six principaux [2] :
De la même manière, ne pas écrire chute de hauteur dans le — incendie ;
processus de danger lié à l’accès en hauteur de la sphère car encore — explosion ;
faut-il qu’un opérateur ait à accéder sur la sphère pour que cela — libération de produits toxiques ;
entraîne sa chute.
— libération de produits inflammables ;
— pollution des sols ;
On ne tient pas compte des barrières de prévention et de pro- — pollution des eaux.
tection existantes notamment pour une installation en fonction- Il est intéressant, voire indispensable de pouvoir générer des
nement. En effet, si l’on veut pouvoir juger de la pertinence des scénarios d’accidents possibles [ou plus généralement des scéna-
barrières prévues (projet) ou existantes (diagnostic), il est néces- rios d’événement non souhaité (ENS)] et notamment de faire appa-
saire de faire un point zéro sans barrières. raître les principaux. Ceci permet en effet :
ＶＳ
ＶＴ
ｓｅＴＰＷＰ
Analyse des risques des systèmes

dynamiques : préliminaires
Maître ès sciences. Ingénieur fiabiliste Total
Ancien Président de European Safety & Reliability Society (ESRA)
Animateur du groupe de travail « Recherche méthodologique » de l’IMdR-SdF
1. Notion de « Risque »............................................................................... SE 4 070 - 2

2. Démarche générale.................................................................................. — 2
3. Sécurité versus disponibilité (de production).................................. — 2
4. Méthodes et outils................................................................................... — 4
5. Systèmes dynamiques ............................................................................ — 5
nalyse des risques des systèmes dynamiques : choisi pour ne comporter

A que des mots du langage courant, un tel titre ne devrait générer aucune
ambiguïté sur son objet. Cependant, dans le domaine fiabiliste, beaucoup de
termes font l’objet d’une certaine dérive sémantique qui brouille les propos à
l’insu même des interlocuteurs.
Ainsi nous aurions pu substituer Sûreté de fonctionnement (SdF) à Analyse
des risques, mais ce terme restant encore très fortement connoté sécurité, cela
n’aurait pas correspondu complètement à l’esprit de cet article où nous nous
préoccupons aussi d’aspects économiques comme la disponibilité de produc-
tion, par exemple. En effet, défini comme une grandeur à deux dimensions
(probabilité × conséquences), le risque a l’immense avantage d’appréhender,
dans le même concept, des risques de nature complètement différente et, dans
cet exposé préliminaire, nous nous efforcerons de montrer comment le corpus
de méthodes et d’outils fiabilistes développés ces cinquante dernières années
permet de faire face aux divers types de risques rencontrés.
De même, tout système industriel étant peu ou prou « dynamique », l’appel-
lation système dynamique constitue un raccourci pour désigner les méthodes
et modèles fiabilistes auxquels nous allons nous intéresser pour représenter le
comportement des systèmes étudiés. Les travaux réalisés par l’ingénieur fiabi-
liste s’inscrivent en effet dans une démarche d’analyse systématique, systé-
mique et probabiliste mettant en œuvre toute une batterie de méthodes et
d’outils que l’on peut globalement répartir en trois grandes classes :
— méthodes de base pour aborder et dégrossir les problèmes ;
— méthodes statiques pour analyser les systèmes d’un point de vue structurel
(topologique) ;
— méthodes dynamiques pour appréhender les aspects comportementaux.
Cette classification traduit une certaine gradation dans le degré d’expertise
nécessaire à la mise en œuvre des méthodes et surtout des outils qui prennent
de plus en plus l’allure de boîtes noires dont les limitations échappent souvent
à ceux qui les utilisent.
Le but de cet article introductif est de discuter rapidement des différentes classes de métho-
des et d’outils afin de mettre en lumière leurs rôles respectifs ainsi que quelques-uns des pro-
blèmes attachés à leurs limitations, puis de situer plus précisément dans cette démarche
générale les méthodes dynamiques qui feront l’objet d’articles spécifiques ultérieurs :
— processus de Markov (méthode analytique) [SE 4 071] ;
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＵ
— réseaux de Petri stochastiques (simulation de Monte Carlo) [SE 4 072].
ＶＵ
ＶＶ
ｓｅＴＰＶＲ
Méthode MADS-MOSAR
Pour en favoriser la mise en œuvre
par Olivier GRANDAMAS

Docteur en génie de l’environnement
Directeur d’Asphaleia
1. Problématique ........................................................................................... SE 4 062 - 2

2. Modèle de référence ................................................................................ — 2
3. Mise en œuvre de MADS-MOSAR ........................................................ — 3
4. Mises en œuvre complémentaires ....................................................... — 8
5. Adéquation méthode/problématique .................................................. — 9
6. Autre champs d’application .................................................................. — 9
7. Exemple d’application............................................................................. — 9
8. Avantages et inconvénients .................................................................. — 14
9. Mise en œuvre ........................................................................................... — 15
10. Conclusion.................................................................................................. — 15
’objectif de cette présentation est d’apporter, en complément des

L articles [SE 4 060] et [SE 4 061] sur la méthode MOSAR, un regard très
« pratique » sur la mise en œuvre de MADS-MOSAR.
Force est de constater à ce jour que, si cette méthode est toujours enseignée,
elle est très peu appliquée. On retient aujourd’hui que ses principes sont bons
mais que sa mise en œuvre est lourde et fastidieuse, qu’elle est réservée à des
experts et que le rapport temps passé sur travail produit est beaucoup trop
important.
L’objectif est donc ici d’inverser cette perception et de convaincre le lecteur
des très nombreux avantages de MADS-MOSAR, en comparaison notamment
avec d’autres méthodologies.
Ce travail est le fruit d’une expérience de près de 20 ans dans la mise en
œuvre de MADS-MOSAR pour analyser les risques de systèmes divers et
variés. Utiliser cette méthodologie comme support pour assurer des presta-
tions dans un bureau d’études oblige à se poser beaucoup de questions et à
trouver obligatoirement des réponses permettant de produire une analyse
conforme aux attentes, notamment réglementaires, tout en étant rentable.
Toute cette expérience et ce travail vont être restitués dans cet article, avec le
souci permanent d’axer la présentation de la méthode sous un aspect
« pratique », indispensable à son appropriation.
Certains y trouveront probablement une rupture avec ce qui est classique-
ment présenté sur MADS-MOSAR, notamment dans les articles précédents.
Une telle rupture semble être le prix de son opérationnalité.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＰ

ＶＷ
ｓｅＴＰＶＲ
MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________
1. Problématique tème industriel. Les responsables de ces systèmes doivent assurer

la protection de leur personnel et de l’environnement, mais doi-
vent également assurer la pérennité de leurs installations et de
MADS-MOSAR est une méthode d’analyse de risques élaborée leur production. Ce sont sur ces fondements que sont nés les
par Pierre Périlhon [1] [2]. plans de continuité d’activité (PCA). Quels sont tous les risques qui
peuvent se produire et in fine entraîner la perte d’exploitation de
L’analyse de risques est « née » au début des années 1960. Le
tout ou partie du système ? Y répondre nécessite la réalisation
besoin d’analyser les risques est parti de la nécessité de fiabiliser
d’une analyse de risques.
des systèmes, militaires à l’origine. On a donc mis en œuvre des
méthodologies pour assurer la sûreté de fonctionnement de La perte d’activité a également des effets domino sur les
systèmes complexes. Ces méthodologies liées à la sûreté de fonc- finances. Il y a donc obligatoirement un lien entre analyse de
tionnement ont été ensuite appliquées à des systèmes plus indus- risques et risques financiers.
triels pour répondre notamment à des exigences réglementaires. Enfin, avec la conjoncture actuelle et son lot de mutations, de
La loi de 1977 sur les installations classées, renforcée par la pre- reclassements, de fermetures de sites, de préretraites, savoir ana-
mière réglementation européenne dite « Seveso » ont poussé les lyser les risques psycho-sociaux entre également dans le spectre
industriels à produire des analyses de risques afin de démontrer de l’analyse de risques sur des systèmes industriels.
qu’ils avaient non seulement identifié les risques liés à l’exploita-
tion de leur système, mais qu’ils avaient également pris toutes les La nécessité de réaliser des analyses de risques ne se limite
dispositions pour en assurer la maîtrise. cependant pas aux risques industriels.
Pour produire ces analyses, les industriels, accompagnés par les Les risques naturels, les risques urbains et leurs interactions
bureaux d’études, ont utilisé les méthodes qu’ils maîtrisaient pour avec les risques industriels nécessitent également de mener à bien
la sûreté de fonctionnement. Par des analyses HAZOP ou AMDEC, des analyses de risques. Pour établir son plan communal de sau-
deux méthodologies issues de la sûreté de fonctionnement, ils ont vegarde, un maire doit avoir au préalable analysé les risques
produit les études de danger réglementairement demandées. auxquels ses administrés peuvent être exposés. Il doit aussi et sur-
Jusqu’à la fin du siècle dernier, 99 % de ces analyses de risques tout avoir pris les mesures de prévention et de protection pour les
étaient produites à partir de ces méthodes. protéger.
Les retours d’expériences ont démontré des lacunes dans ces En conclusion, il n’y a pas aujourd’hui un système industriel,
analyses de risques. Un certain nombre de pré-accidents, voire naturel ou urbain qui échappe à l’analyse de risques.
d’accidents, se sont produits sur des sites à risques. Leur analyse a Compte tenu de ce spectre, il existe presque autant de méthodo-
montré que des scénarios non étudiés dans les analyses de logies que de problématiques.
risques produites se matérialisaient. Un manque d’exhaustivité et
de systématisme était mis en évidence. Ne peut-on pas utiliser une seule et même référence méthodolo-
gique pour analyser les risques de ces différents systèmes avec
Les législateurs ont fait évoluer la réglementation et, pour les
différents objectifs ?
installations classées pour la protection de l’environnement (ICPE),
« Seveso 2 » a vu le jour. Une des évolutions de la réglementation Le modèle de référence de MADS-MOSAR le permet, encore
est de réaliser une analyse de risques systématique d’un site, sans faut-il le démontrer.
se focaliser uniquement sur les potentiels de danger les plus
importants. La notion d’effets domino en est la concrétisation.
Force est de constater que les méthodes utilisées jusqu’ici ne
sont plus pleinement adaptées. Réaliser une HAZOP est faire l’ana- 2. Modèle de référence
lyse de risques d’un procédé. Son application, de par sa logique,
ne permet pas de prendre en compte systématiquement les inte-
Afin de bien situer la méthode MADS-MOSAR, il est nécessaire
ractions de ce procédé avec son environnement. L’HAZOP doit être
de faire le point sur la problématique de la maîtrise des risques.
complétée par une approche plus macroscopique. L’AMDEC, de
par son formalisme ne permet pas une prise en compte systémati- La maîtrise des risques est le corps de connaissances transver-
que des effets domino. C’est à celui qui utilise cette méthodologie sales qui a pour objectif de traiter (identifier, maîtriser, gérer et
de bien identifier les « causes » et les « conséquences » des poten- manager) des événements non souhaités ou indésirés (des dys-
tiels de danger qu’il a identifiés. fonctionnements) issus de la structure, de l’activité, de l’évolution,
On constate dès lors que les analyses de risques réalisées de la finalité ou de l’environnement des systèmes naturels ou arti-
aujourd’hui sont des patchworks de méthodologies différentes ficiels.
dans l’objectif de couvrir l’ensemble des exigences réglementaires. Ces événements provoquent ou sont susceptibles de provoquer
Il faut dire que la réglementation en la matière a des impacts sur des installations et/ou êtres vivants tels que les
considérablement évolué, et qu’aujourd’hui, produire une analyse individus, les populations, les écosystèmes.
de risques en bonne et due forme ne s’invente pas. L’application de cette connaissance au problème des analyses
Cette vision des analyses de risques dans le contexte des instal- de risques nécessite au préalable une réflexion épistémologique
lations classées pour la protection de l’environnement est cepen- afin de dégager un langage unitaire, des concepts transversaux.
dant très restrictive. L’approche systémique propose des principes méthodologiques
L’analyse de risques est donc devenue omniprésente dans nos d’investigation des systèmes naturels et artificiels pour améliorer
problématiques actuelles. leur conception, leur fonctionnement et leur gestion.
Dans le monde industriel et les sites de production, il est Sur la base de la systémique et en particulier du concept de sys-
aujourd’hui nécessaire de réaliser une analyse de risques pour tèmes proposé par J.L. Lemoigne [3], le groupe MADS (Méthode
produire le document unique né de l’évaluation des risques profes- d’analyse du dysfonctionnement des systèmes) a développé un
sionnels conformément au Code du travail (réglementation remise modèle de référence appelé processus qui s’adapte à la probléma-
au goût du jour en novembre 2001). Réaliser une étude ATEX tique de la maîtrise des risques [4] [5].
(atmosphère explosible) nécessite également de réaliser une ana- Pour établir ce modèle, on appelle flux des transactions non
lyse de risques. désirées d’un système avec son environnement et champ, l’envi-
Ces besoins en analyse de risques vont également au-delà des ronnement actif dont les fluctuations produisent des ruptures de
problématiques hygiène, sécurité et environnement de tout sys- stabilité du système.

ＶＸ
ｓｅＴＰＶＲ
_____________________________________________________________________________________________________________ MÉTHODE MADS-MOSAR
miner la recherche de processus source-flux-cible par simple

Source Cible positionnement des sous-systèmes les uns par rapport aux autres.
Source Effets La méthode MADS-MOSAR n’impose pas de règle de modélisa-
de flux du flux tion. La personne qui réalise l’analyse de risques avec
Flux MADS-MOSAR est libre de modéliser comme bon lui semble.
Cependant, par expérience, il est important de donner quelques
Figure 1 – Modèle de référence conseils.
■ Conseils pratiques
L’origine du flux sera appelée source ; la rupture d’équilibre • La modélisation est réalisée indépendamment de la probléma-
concernant sa forme et/ou son comportement sera nommée tique de risques. On ne se dit pas : « Je ne prends pas en compte
source de flux. La partie influée par le flux sera appelée cible ; sa ce sous-système parce qu’il n’y a pas de risque ». Un tel raison-
rupture d’équilibre sera nommée effet. nement s’avérerait dangereux. Modéliser un sous-système sans lui
Il est à noter que cet effet peut lui-même être source (transfor- associer de source signifie que ce système a bien été étudié et
mant ainsi une cible en une source), ce qui traduit le phénomène qu’il ne comporte pas de source.
d’enchaînement d’événements non désirés que l’on appelle scéna- • La modélisation est indépendante de la problématique analy-
rio. sée. Que je fasse du document unique ou de l’étude de danger, je
Une analyse de risque consiste donc à étudier le processus, dois disposer de la même modélisation.
c’est-à-dire la mise en relation d’une source avec une cible au • Si possible, la modélisation doit reprendre les termes qui
moyen de phénomènes appelés flux dans un environnement actif caractérisent le système étudié et qui sont communément utilisés
appelé champ. par les personnes qui exploitent le système.
Le modèle de référence est présenté figure 1. • Il faut privilégier une modélisation géographique et fonction-
nelle à une modélisation organisationnelle. En effet, une organisa-
tion, cela évolue sans cesse. Si à chaque fois que l’organisation
changeait, il fallait actualiser l’analyse de risques, cette contrainte
3. Mise en œuvre serait rédhibitoire. En revanche, l’organisation peut se greffer à la
modélisation. On peut associer un service, une personne à un
de MADS-MOSAR sous-système modélisé.
• Il faut privilégier une modélisation géographique à une modé-
En appliquant MADS-MOSAR, pour réaliser une analyse de lisation fonctionnelle. Une modélisation géographique est beau-
risques avec ce moteur de référence, il est nécessaire de procéder coup plus parlante. Elle peut être couplée à un plan. Une
étape par étape : modélisation fonctionnelle est à réserver pour des réseaux. On ne
va pas créer un sous-système « Réseau d’air comprimé » dans
1. modélisation du système étudié en le découpant en
chaque local desservi. On va prendre en compte un seul et même
sous-systèmes ;
système.
2. identification des sources ;
• Les sous-systèmes modélisés peuvent être regroupés par fina-
3. association des événements ; lité. On va créer un système « Réseaux » et dans ce sous-système,
4. construction des processus ; créer « Réseau d’air comprimé », « Réseau de vapeur ». Les
mêmes règles peuvent être appliquées aux véhicules, aux engins.
5. construction des scénarios ;
• Quel que soit le système étudié, quelle que soit son échelle, il
6. construction des arbres logiques ;
est conseillé de prendre en compte par défaut trois sous-systèmes,
7. identification des mesures de maîtrise des risques ; indépendamment du système étudié : sous-systèmes « Environne-
8. identification des mesures de pérennité. ment naturel », « Environnement technologique » et « Environne-
ment urbain ». La prise en compte systématique de ces sous-
systèmes garantit l’exhaustivité dans la prise en compte des effets
3.1 Modélisation domino entre le système étudié et son environnement.
• Toujours par souci de simplification, il est préconisé de
La modélisation du système à étudier consiste en une prendre en compte systématiquement un système « Hommes » et
décomposition sous forme de sous-systèmes à partir : de le décomposer en sous-systèmes : « Personnel », « Entreprises
– de représentations du système (descriptions, schémas, plans, extérieurs », « Visiteurs » et « Population ». Une telle décomposi-
etc.) ; tion se justifie pour un système industriel, mais serait différente
– d’une visite du système ; pour un système naturel ou urbain. L’homme est omniprésent
– d’échanges avec les acteurs du système. dans le système étudié et son environnement. Considérer l’homme
comme une source et une cible est un minimum. Malheureuse-
La modélisation du système étudié permet d’atteindre deux ment, si l’on considère l’homme seulement comme une source et
objectifs cruciaux en analyse de risques : l’exhaustivité et l’optimi- une cible, on va obligatoirement le retrouver dans tous les systè-
sation. mes modélisés. On va alors démultiplier l’analyse et considérable-
Le fait de ne pas oublier de sous-systèmes est primordial ; c’est ment l’alourdir en répétant à chaque système des mesures de
le garant de l’exhaustivité. Dans la suite de l’analyse, il va falloir maîtrise des risques pour l’homme qui, finalement s’avèrent géné-
identifier les sources. Cette identification se fera sous-système par riques. Rien n’empêche de décomposer le sous-système «
sous-système, de manière systématique, indépendamment les uns Personnel » en « Personnel administratif » et « Personnel tech-
des autres. Oublier un sous-système, c’est oublier des sources ou nique », ce dernier pouvant encore être décomposé en « Cariste »,
des cibles, c’est donc oublier des scénarios et donc occulter la « Pontier », « Soudeur ». Une telle modélisation s’applique parfai-
mise en œuvre des mesures de maîtrise des risques nécessaires. tement aux objectifs de l’évaluation des risques professionnels.
Quant à l’optimisation, elle est liée au simple fait que des • La modélisation peut s’envisager par étapes. On peut la faire
sous-systèmes physiquement éloignés ne pourront pas être à l’ori- évoluer, non pas dans sa transversalité, ce qui est plus délicat,
gine de flux susceptibles de les impacter. On va donc pouvoir éli- mais dans sa profondeur. On réalise une étude de danger, on

ＶＹ
ｓｅＴＰＶＲ
MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________
modélise un sous-système « Local transformateur ». Compte tenu

des objectifs de l’analyse, il ne s’avère pas nécessaire de le redé- Tableau 1 – Typologie associée aux sources
composer en sous-systèmes. Les risques identifiés seront liés à Code Type de danger
l’incendie et à la pollution. En revanche, si l’on a pour objectif une
évaluation du risque professionnel ou un plan de continuité d’acti- A.1 Appareils sous pressions
vité, il va être nécessaire de décomposer ce système.
A.2 Éléments sous contraintes mécaniques
A.3 Éléments en mouvement
3.2 Identification des sources
A.4 Éléments nécessitant une manutention
La première étape dans la construction des processus A.5 Systèmes sources d’explosions d’origine
source-flux-cible est bien évidemment l’identification des sources physique autres que A.1
à l’origine potentielle des flux susceptibles d’impacter une cible.
La source est le potentiel de danger susceptible de générer un A.6 Systèmes sources de chute de hauteur
flux pouvant impacter une cible. A.7 Systèmes sources de chute de plain-pied
La méthodologie MADS-MOSAR consiste à identifier toutes les
sources, sous-système par sous-système. A.8 Autres systèmes sources de blessures
Cette identification peut être réalisée de différentes manières : A.9 Systèmes sources de bruit et de vibrations
en groupe de travail, à travers des documents (fiches de données
de sécurité), par retour d’expérience, etc. B.1 Systèmes sources de réactions chimiques
MADS-MOSAR met à la disposition de ses utilisateurs une liste B.2 Systèmes sources d’explosion
de typologie des sources.
B.3 Systèmes sources de toxicité et d’agressivité
La grille de typologie des sources, présentée dans le tableau 1
distingue les systèmes sources de danger d’origine mécanique (A), B.4 Systèmes sources de pollution de l’atmosphère
chimique (B), électrique (C), les systèmes sources de danger et d’odeurs
d’incendie (D), radiologiques (E), les systèmes sources de danger
biologique (F), sources de perte d’activité (G) et les systèmes B.5 Systèmes sources de manque d’oxygène
sources d’origine humaine (H). C.1 Électricité à courant continu ou alternatif
Cette grille a pour premier objectif d’aider dans l’identification
des sources. Pour ce faire, sous-système par sous-système, on par- C.2 Électricité statique
court cette grille en se posant systématiquement les questions C.3 Condensateurs de puissance
suivantes : dans ce sous-système, y a-t-il des éléments sous
pression ? Y a-t-il des éléments sous contraintes mécaniques ? Y D Systèmes sources d’incendie
a-t-il des éléments en mouvement ?
E.1 Systèmes sources radiologiques
Si oui, on associe au sous-système étudié les noms des sources
correspondantes, avec leur typologie : bouteille d’azote – A.1, pou- E.2 UV – IR – Visible
tre du pont-roulant – A.2, chariot élévateur – A.3... On peut identi-
fier plusieurs sources pour un même système. Une source peut E.3 Lasers
porter le même nom mais pas la même typologie. Une bouteille de E.4 Micro-ondes
gaz sous pression présente une source du fait qu’elle soit sous
pression (A.1) mais aussi du fait qu’elle soit source de chute de E.5 Champs magnétiques
hauteur (A.6). On notera alors : bouteille de gaz – A.1 et bouteille F.1 Virus – Bactéries
de gaz – A.6.
Cette typologie a aussi pour objectif de classer les sources et en F.2 Toxines
faciliter ainsi l’exploitation. Il est possible alors de rechercher par G Source de par sa fonction
exemple toutes les sources d’explosion présentes dans un
sous-système donné. H Source d’origine humaine
■ Conseils pratiques
• L’identification des sources ne doit s’envisager qu’une fois la
modélisation terminée. On procède ainsi étape par étape. L’ana- 3.3 Association des événements
lyse n’en sera que plus cohérente et plus efficace.
• Il est plus aisé de regrouper les sous-systèmes par probléma- Une fois les sources identifiées, il faut leur associer des événe-
tique. On va identifier les sources dans tous les réseaux, puis dans ments, conformément au modèle MADS. On distingue (figure 2) :
tous les engins, puis dans tous les véhicules, etc. – l’événement initial (EI) ;
• Au couple source-typologie, il est indispensable d’associer – les événements initiateurs internes (EII) ;
une phase de vie. En effet, on peut retrouver une source qualifiée – les événements initiateurs externes (EIE) ;
par un même nom et par une même typologie, mais identifiée – les événements principaux (EP).
dans une phase de vie du système différente. Par exemple, un L’événement initial (EI) : c’est l’événement redouté lié à la source
chariot élévateur en mouvement (A.3) peut être identifié en (rupture de confinement, incendie, explosion, etc.).
« Exploitation », mais aussi en « Maintenance ». Il est crucial de les
distinguer ainsi car ils ne présenteront pas les mêmes risques ; on Les événements initiateurs internes (EII) : ce sont les événe-
ne mettra pas en œuvre les mêmes mesures de maîtrise des ments internes propres à la source et qui peuvent initier à eux
risques. En conséquence, une source doit être obligatoirement seuls l’occurrence EI (usure, corrosion, dysfonctionnement, etc.).
définie par un nom, une typologie et une phase de vie. Ce conseil Les événements initiateurs externes (EIE) : ce sont les événe-
trouve toute sa raison d’être quand on constate que la réglementa- ments extérieurs à la source de danger et qui peuvent initier à eux
tion sur les ICPE impose de réaliser une analyse de risques dans seuls l’occurrence EI (flux thermique chaud, flux liquide, action
toutes les phases de vie du système. involontaire, etc.).

ＷＰ
ｓｅＴＰＶＴ
Évaluations qualitative
et quantitative des risques
d’effet domino dans l’industrie
par André LAURENT

Laboratoire réactions et génie des procédés
Université de Lorraine, CNRS, LRGP, ENSIC
1 rue Grandville BP 20451, 54001 Nancy-Cedex, France
1. Revue de quelques accidents impliquant des effets dominos ... SE 4 064 - 2

1.1 Feyzin, France (1966) .................................................................................. — 2
1.2 Mexico, Mexique (1984) ............................................................................. — 2
1.3 Kolontar, Hongrie (2010) ............................................................................ — 3
1.4 Buncefield, UK (2005) ................................................................................. — 3
1.5 Viareggio, Italie (2009) ................................................................................ — 3
1.6 Töhoku – Fukushima, Japon (2011)........................................................... — 3
1.7 Ouragan Sandy, USA (2012) ...................................................................... — 4
2. Retour d’expérience (REX) .................................................................... — 4
3. Définitions de l’effet domino............................................................... — 5
4. Caractéristiques des effets dominos ................................................. — 7
5. Vecteurs d’escalade générés par l’accident primaire ................... — 7
6. Méthodes qualitatives d’analyse des effets dominos................... — 7
6.1 Méthode de Delvosalle [1].......................................................................... — 9
6.2 Méthode MICADO ....................................................................................... — 9
7. Méthode quantitative actuelle ............................................................ — 10
7.1 Données nécessaires .................................................................................. — 10
7.2 Identification des événements primaires.................................................. — 10
7.3 Identification des vecteurs d’escalade ...................................................... — 11
7.4 Identification des cibles potentielles ......................................................... — 12
7.5 Évaluation des fréquences potentielles des scénarios d’effet domino .. — 12
7.6 Estimation des conséquences des scénarios d’effet domino ................. — 14
7.7 Calcul du risque........................................................................................... — 19
8. Conclusion................................................................................................. — 19
9. Glossaire .................................................................................................... — 20
Pour en savoir plus .......................................................................................... Doc. SE 4 064
es directives européennes dites « Seveso II » et « Seveso III », dont les

L transpositions en droit français, qui sont entre autres assurées par les
décrets respectifs n° 99-1220 du 28 décembre 1999, n° 2000-258 du 20 mars
2000, n° 2014-284 et 285 du 3 mars 2014 et les arrêtés respectifs du 10 mai
2000 et du 26 mai 2014, ont introduit des obligations liées à la prise en compte
de l’effet domino dans la prévention des accidents majeurs impliquant des
substances ou des préparations dangereuses présentes dans certaines catégo-
ries d’installations classées pour la protection de l’environnement (ICPE)
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪ｡ｮｶｩ･ｲ＠ＲＰＱＹ
soumises à autorisation. Les directives imposent donc la nécessité d’examiner
ＷＱ
ｓｅＴＰＶＴ
ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE ________________________________________________
les conséquences d’un accident sur des installations voisines (concept d’effet
domino), soit par interaction entre les équipements ou installations d’un même
établissement, soit par interaction entre des établissements voisins ou
proches. Il en résulte que le contenu de l’étude de dangers doit contenir une
bonne description et approche des possibles effets dominos.
Cet article rapporte d’abord une revue de quelques accidents impliquant des
effets dominos. Les définitions et caractéristiques d’un effet domino sont
ensuite présentées. Les notions de vecteurs d’escalade et de vecteurs seuils
d’endommagement sont examinées. Deux méthodes qualitatives pratiques
fondées sur les distances d’effet sont décrites. Enfin, une méthode quantitative
d’estimation des risques par effet domino est détaillée étape par étape.
1. Revue de quelques limite de site. Ce terminal distribuait du GPL qu’il recevait de trois
raffineries. Au moment de l’accident, il y avait entre 11 000 et
accidents impliquant 12 000 m3 de GPL stockés sur le site. D’après les résultats des
enquêtes [11] et [12], la chronologie des séquences de l’accident
des effets dominos est la suivante :
■ Perte de confinement et rupture de canalisation

Cette section présente quelques exemples d’accidents passés
impliquant des effets dominos, qu’il est intéressant de décrire Le matin du 18 novembre 1984, alors que le site était vide, il se
brièvement pour identifier la complexité et la variété des phéno- faisait approvisionner par une raffinerie située à 400 km. À envi-
mènes et des effets constatés. Le lecteur intéressé pourra trouver ron 5 h 30, les astreintes de la salle de contrôle ainsi que d’une
dans la littérature ouverte des revues chronologiques très com- station de pompage située à 40 km du site remarquent une chute
plètes des accidents industriels par effets dominos [1] à [9]. de pression. Une canalisation de 200 mm de diamètre et sous
24 bar disposée entre une sphère et une série de cylindres venait
de se rompre. Le personnel se trouvant dans la salle de contrôle a
1.1 Feyzin, France (1966) tenté d’identifier la cause de la chute de pression mais n’a mal-
heureusement pas réussi. La fuite dura cinq à dix minutes.
Le mardi 4 janvier 1966, la sphère de stockage 443 de la raffine-
rie de Feyzin, qui contient 693 m3 de propane liquéfié sous une ■ Explosion de nuage et incendie
pression de 17 bar et à une température de –40 ˚C est l’objet en À 5 h 40, le nuage de gaz s’enflamma au niveau de la torchère
pied de sphère d’une procédure de prélèvement par trois opéra- alors qu’il occupait une surface de 200 m par 150 m avec une hau-
teurs. Lors du prélèvement et à la suite d’une fausse manœuvre teur estimée à 2 m. Le nuage, qui avait vraisemblablement péné-
d’une vanne du dispositif de purge et de son blocage consécutif tré dans les maisons environnantes, causa leur destruction suite à
par givrage, une importante fuite se produit, générant une grande son inflammation. Cette inflammation, suivie d’une explosion du
nappe gazeuse se dirigeant vers l’autoroute A7. L’alerte est don- nuage, généra une forte onde de surpression. Simultanément,
née et malgré l’interdiction à la circulation sur l’autoroute, une plusieurs autres incendies se sont déclenchés (incendies dans
voiture particulière circulant sur une voie départementale encore dix maisons, un feu au niveau du sol et au niveau de la canalisa-
libre à la circulation enflamme la nappe de propane gazeux. Le feu tion rompue).
se propageant, la sphère de stockage 443 est soumise à un feu
intense. Après ouverture en tête du jeu des soupapes de sécurité ■ BLEVE
et allumage instantané du jet, et malgré la mise en place des
moyens de lutte contre l’incendie, une gigantesque explosion À 5 h 45, a eu lieu le premier BLEVE sur l’une des petites
déchire l’air. Quatre autres explosions consécutives se produisent sphères. Environ une minute après, un autre BLEVE est survenu
le matin sur des sphères adjacentes et l’incendie a tendance à se sur une autre petite sphère. Il constitua l’une des explosions les
généraliser, et plusieurs réservoirs de carburants sont en feu. Le plus violentes observées lors de cet accident. L’un de ces deux
bilan humain de la catastrophe de Feyzin est de 18 décès dont BLEVEs a engendré la formation d’une boule de feu d’un diamètre
11 pompiers, 12 brûlés graves et 80 blessés. Cet accident techno- d’environ 300 m ainsi que l’éjection d’un ou de deux réservoirs
logique majeur a été initié par le BLEVE (boiling liquid expanding cylindriques.
vapour explosion) de la sphère 443 de propane [10].
■ Série de BLEVEs
En plus des effets de surpression et de la projection de frag-
1.2 Mexico, Mexique (1984) ments causés par les deux premiers BLEVEs, la boule de feu géné-
rée enflamma la nappe au sol de gouttelettes de GPL, ce qui
Le terminal PEMEX GPL situé à San Juan Ixhuatepec (Mexico) provoqua des effets thermiques. La combinaison de ces trois
au Mexique comptait six sphères de GPL (quatre sphères avec un effets physiques généra dans un intervalle de temps d’environ
volume unitaire de 1 600 m3, et deux sphères de 2 400 m3 cha- une heure et demie une série de BLEVEs (environ quinze explo-
cune) et quarante-huit réservoirs cylindriques horizontaux de sions au total).
diverses capacités (36 à 270 m3). Le site, créé en 1961, a été
agrandi avec de nouvelles constructions. En 1984, le site, dont la En résumé, la séquence domino a donc été : explosion de
densité d’implantation était très importante avec des distances nuage – feux – BLEVEs – feux et BLEVEs. Le bilan officiel, difficile
entre les réservoirs trop faibles, se trouvait quasiment en proche à établir, de cette catastrophe industrielle a été estimé à
zone urbaine, puisque certaines maisons étaient à 130 m de la 600 morts, 7 000 blessés et 39 000 personnes évacuées.
ＷＲ
ｓｅＴＰＶＴ
_________________________________________________ ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE
1.3 Kolontar, Hongrie (2010) ■ Incendie

Juste après l’explosion principale, un incendie s’est déclenché
L’usine de production d’aluminium est située au Sud-Ouest de et a embrasé vingt et un grands réservoirs.
Budapest à proximité de la ville d’Ajka. Le site déverse les boues
rouges, déchets résultant du processus Bayer de traitement de la ■ Explosions secondaires
bauxite, dans des bassins de décantation construits à l’ouest de
Enfin, à 6 h 27 et 6 h 28, deux explosions subséquentes se sont
l’usine dans la vallée de la rivière Torna. Le réservoir, dans lequel
produites.
a eu lieu l’accident, a une capacité de 4 500 000 m3 et sa base
occupe 19 hectares. Les murs de son enceinte sont hauts de 21 à Au regard de l’importance (violence) de l’accident, le bilan
25 m et larges de 10 m à leur sommet. humain est miraculeux. En effet, les dommages humains auraient
pu être dramatiques, car la zone industrielle est habituellement
Le 4 octobre 2010 vers 12 h, une fissure d’environ 150 m de très fréquentée. Cependant, le jour et l’heure de l’accident (un
long apparaît sur le mur d’enceinte du bassin de rétention que dimanche très tôt le matin), peu de personnes se trouvaient à
constitue le réservoir. L’effluent de boues rouges résultant, conte- proximité. De ce fait, le bilan humain a été limité à 43 blessés,
nant de l’hydroxyde de sodium, des résidus d’aluminium, de dont un gravement. En ce qui concerne les conséquences environ-
l’oxyde de fer, d’autres composés métalliques et de métaux lourds nementales, la nappe phréatique sous le site et à plus de 2 km au
toxiques, inonde immédiatement en aval la ville de Kolontar, puis Nord, à l’Est et au Sud-Est a été polluée par les hydrocarbures et
celle de Devecser, d’autres villes et des zones agricoles et de res- les eaux d’extinction. Le coût total engendré par l’accident a été
sources naturelles. La rivière Torna et sa vallée sont contaminées estimé à environ 1 000 000 000 £.
par plus d’un million de mètre cube de boues rouges alcalines. Le
panache de pollution atteint à 18 h le jour même la rivière Marcal,
alors en phase de décrue suite à une récente inondation, ce qui
ralentit le transport de la pollution. Le 5 octobre au matin, la Hon- 1.5 Viareggio, Italie (2009)
grie envoie un message d’alerte à tous les pays du bassin du
Danube et l’état d’urgence est déclaré. De nombreuses mesures Le lundi 29 juin 2009 à 23 h 48, un train de fret, comportant qua-
d’atténuation des dommages potentiels sont mises en œuvre torze wagons-citernes contenant 630 tonnes de GPL, déraille à
(épandage massif de gypse, mise en place de barrages artificiels, 1 km en amont de la gare de Viareggio, une ville côtière de
neutralisation à l’acide acétique des eaux polluées…). Les consé- 60 000 habitants située au Nord-Ouest de Pise, en Toscane. Le
quences ont été considérables. L’inventaire a dénombré 10 morts, train circulait alors à une vitesse de 90 km.h−1, inférieure à la
286 blessés (dont 121 hospitalisés), 365 maisons polluées par les vitesse limite autorisée de 100 km.h−1. Le déraillement a été pro-
boues rouges (dont 284 irrécupérables et à détruire), un millier voqué par la rupture de l’essieu avant du premier wagon. Celui-ci
d’hectares de sol contaminé (dont 400 hectares de terre agricole) s’est détaché de la locomotive, puis s’est renversé sur la voie en
et des écosystèmes gravement touchés [13]. entraînant le déraillement consécutif de huit autres wagons. Une
fissure de l’enveloppe du wagon citerne renversé a provoqué une
ouverture de forme trapézoïdale orientée vers le sol d’une surface
d’environ 90 à 220 cm2. Le déversement complet du contenu GPL
1.4 Buncefield, UK (2005) du wagon citerne génère la formation d’un nuage dense inflam-
mable, qui enveloppe progressivement l’environnement urbain,
Le dépôt terminal pétrolier de Buncefield est situé à environ en particulier le rez-de-chaussée des habitations proches. Une
4 km du centre-ville d’Hemel Hempstead (40 km au Nord de ignition de nature indéterminée entraîne l’inflammation du nuage
Londres). Il hébergeait trois entreprises qui stockaient habituelle- suivi d’un flash fire. Le bilan des conséquences de l’accident est
ment jusqu’à 150 000 tonnes de carburants (essence, gasoil, kéro- lourd avec 31 décès, 40 blessés graves et 32 000 000 € de dom-
sène). Ce dépôt alimentait notamment en kérosène, via un mages d’infrastructures matérielles. Les détails de l’analyse post-
oléoduc, les aéroports londoniens de Luton et d’Heathrow. Selon accidentelle sont accessibles dans les références [16] à [18].
les rapports Barpi [14] et Newton [15], le déroulement des
séquences accidentelles peut être résumé comme suit :
■ Perte de confinement initial due à un sur-remplissage 1.6 Töhoku – Fukushima, Japon (2011)
Le samedi 10 décembre 2005, à partir de 19 h, le bac 912 situé Le vendredi 11 mars 2011, à 14 h 46 heure locale, un séisme de
au niveau de la rétention A de l’entreprise ouest 1, est approvi- magnitude 9,0 s’est produit à 80 km à l’Est de l’île d’Honshu au
sionné en essence sans plomb à un débit de 550 m3/h. Le Japon à environ 25 km de profondeur. Ce séisme a généré un tsu-
dimanche 11 décembre 2005 à 5 h 20, le bac 912 commence à nami de grande ampleur, qui a fortement impacté l’ensemble de
déborder, car les deux systèmes automatiques de détection de la côte Est de la région de Tohoku au Nord de l’île d’Honshu. Le
niveau n’ont pas fonctionné. Un nuage explosif (mélange air-car- tsunami a pénétré dans les terres sur près de 5 km ; localement
burant) se forme alors. À 5 h 38, le nuage, qui s’est formé au pied l’eau est montée de plus de 20 m.
du bac 912, est visible sur les enregistrements vidéo, qui montrent
qu’il a atteint 1 m d’épaisseur, puis 2 m à 5 h 46. Le nuage explosif Plusieurs centrales nucléaires se situent sur la façade orientale
formé s’est répandu sur le site sur une surface de 80 000 m2, puis de l’île d’Honshu, dont celle de Fukushima Daïchi. L’ASN – IRSN
à 5 h 50 le nuage se propagea hors du site. [19] a décrit pour cette centrale, exploitée par TEPCO, le déroule-
ment de l’accident, classé au niveau 7 de l’échelle INES par l’auto-
■ Première explosion rité de sûreté japonaise. La perception du séisme a entraîné
immédiatement l’arrêt automatique des trois réacteurs en fonc-
À 6 h 01, la surface au sol du nuage explosif a été réestimée à
tionnement à pleine puissance, les trois autres réacteurs étant à
environ 120 000 m2 avec une hauteur de 2 m. Le dimanche
l’arrêt pour maintenance.
11 décembre 2005 à 6 h 01, la première et principale explosion se
produit au niveau des parkings de Fuji et Northgate. L’onde de Le tremblement de terre a entraîné :
suppression provoquée par l’explosion fut extrêmement élevée
• la perte des alimentations électriques externes au site des
(entre 700 et 1 000 mbar), par rapport à ce que peut prévoir la
réacteurs ;
modélisation du phénomène dangereux UVCE dans ces condi-
tions. L’hypothèse d’une accélération du front de flamme par les • le démarrage automatique des groupes électrogènes à
turbulences créées au passage au niveau de la végétation des moteur diesel internes au site pour maintenir le fonctionne-
allées (arbres) permettrait d’expliquer cette surpression élevée. ment des pompes de refroidissement ;
ＷＳ
ｓｅＴＰＶＴ
ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE ________________________________________________
• l’arrêt automatique des réacteurs par insertion des grappes un risque d’explosion en cas d’inondation. Le métro est inondé
de commande dans les cœurs étouffant la réaction de fission sous l’effet conjugué de la houle et de la marée. Le bilan humain
par absorption des neutrons ; pour la seule ville de New York est de 72 décès. Globalement,
• l’arrivée cinquante minutes plus tard de la vague de tsunami plus de 305 000 habitations ont été endommagées ou détruites
de 14 m de hauteur. dans l’état de New York et près de 6 000 000 d’Américains de la
côte Est des USA ont été affectés par les différentes coupures, et
La vague du tsunami a eu pour conséquences : surtout l’importance des dommages provoquées par la catas-
• l’endommagement des prises d’eau en mer conduisant à la trophe.
perte de la source froide nécessaire pour évacuer en perma-
nence toute la chaleur produite par les réacteurs ; Les quelques exemples sélectionnés d’accidents par effet
domino de cette revue montrent la diversité des cascades d’évé-
• la perte des diesels de secours de deux des réacteurs. nements, la spécificité des chemins de propagation, la nature
La perte successive et progressive des moyens de refroidisse- variée des facteurs d’aggravation et surtout l’importance des
ment de secours a entraîné un échauffement du combustible, dommages constatés.
dont l’emballement de température a provoqué la décomposi-
tion de l’eau au contact des gaines en zirconium, puis leur écla-
tement, leur fusion et la liquéfaction du combustible avec
production d’hydrogène et relâchement de produits radioactifs.
Malgré la pratique difficile de dépressurisations volontaires, une 2. Retour d’expérience (REX)
accumulation d’hydrogène a provoqué plusieurs explosions et
incendies, qui ont endommagé les bâtiments des réacteurs. Le
bilan de cet accident a entre autres conduit à la fusion partielle L’analyse statistique des accidents passés permet de recenser
des trois cœurs des réacteurs et au percement de la cuve de l’un les séquences accidentelles les plus fréquentes et les types de
d’eux. phénomènes dangereux les plus susceptibles d’initier un effet
Les rejets radioactifs atmosphériques ont conduit les autorités domino. Plusieurs articles ont été compilés à ce sujet dans la litté-
japonaises à évacuer, quelques heures après le début de la rature [2], [3], [5] à [8], [22] à [24]. En raison de sa plus grande
catastrophe, 80 000 personnes dans une zone de 20 km autour représentativité, il est proposé d’examiner essentiellement les
de la centrale, à mettre à l’abri la population située dans la zone résultats de l’article d’Hemmatian [8].
de 20 à 30 km de rayon, puis d’étendre l’évacuation de la popu-
La figure 1 présente la répartition en pourcentage des causes
lation de la zone entre 20 et 40 km en raison de la contamina-
générales, selon la nomenclature de la base de données MHIDAS,
tion des sols.
ayant généré des accidents par effet domino pour un échantillon
La gestion d’importants volumes de rejets d’effluents liquides de 330 accidents.
radioactifs n’a pas permis d’éviter rapidement la saturation des
capacités d’entreposage du site, entraînant le déversement en mer L’examen de la figure 1 montre que les défaillances méca-
avant l’installation de nouveaux réservoirs supplémentaires. niques, les événements externes et les facteurs humains consti-
Un panorama complet des principaux accidents, consécutifs au tuent les causes générales principales. Chacune des causes
séisme et au tsunami, classés par secteurs industriels a été publié générales résulte de la contribution de différentes causes spéci-
en mars 2013 par le BARPI [20]. fiques détaillées dans l’article [8]. À titre d’exemple, le tableau 1
récapitule les causes spécifiques relatives à la cause générale des
facteurs humains.
1.7 Ouragan Sandy, USA (2012) L’analyse de séquences accidentelles a été réalisée à travers
l’arbre des phénomènes dangereux, où chaque séquence acciden-
Le 22 octobre 2012, une dépression tropicale (1 003 hPa) se
telle (enchaînement d’accidents) est représentée par une branche,
forme au Sud-Ouest de la mer des Caraïbes. Le 23 octobre, cette
son événement initiateur et le nombre d’événements. La fré-
dépression tropicale évolue en une tempête tropicale nommée
quence finale relative de chaque branche a été calculée en divi-
Sandy. Le 24 octobre, la tempête se renforce, Sandy devient un
sant le nombre final d’accidents de chaque niveau par celui du
ouragan, puis le 25 octobre un cyclone avec des vents atteignant
niveau initial. Les résultats sont présentés sur la figure 2, les fré-
au moins 165 km/h et des rafales plus puissantes encore, accom-
quences d’occurrence globales d’une séquence étant données à la
pagnées d’une houle dépassant les 5 à 7 m sur le littoral. Les
fin de la branche.
côtes Nord-Est américaines sont atteintes dans la nuit du 29 au
30 octobre 2012, où l’ouragan provoque de nombreux dégâts.
Il faut remarquer que les accidents initiateurs sont soit des feux,
Plusieurs installations industrielles sont impactées. Le Barpi a soit des explosions. La dispersion de nuage n’est pas représentée
identifié plusieurs de ces conséquences [21]. À Linden, dans le sur la figure 2, car si le nuage s’enflamme, cette dernière est natu-
New Jersey, une fuite de fioul se produit dans une raffinerie dont rellement assimilée à un feu ou une explosion, selon les effets
deux quais sont endommagés. La raffinerie perd son alimenta- thermiques et/ou mécaniques observés. La dispersion de toxiques
tion électrique et son réseau vapeur, la centrale de cogénération y est considérée comme ne causant pas l’endommagement maté-
voisine étant inondée. À Sewaren, dans le New Jersey, deux riel d’un autre équipement.
réservoirs de gazole sont détruits, causant le rejet de 1 135 m3
d’hydrocarbures dans un affluent de la rivière Arthur Kill, où des Cette remarque peut être enrichie par la revue d’autres études
barrages flottants sont mis en place. À Salem, dans le New de cas désastreux, comme ceux rapportés par Kletz [25].
Jersey, un réacteur de la centrale nucléaire est mis à l’arrêt le
30 octobre 2012 à la suite de l’endommagement de quatre des six En complément, depuis les attentats meurtriers du 11 septembre
pompes d’eau de refroidissement. Les dommages aux raffineries 2001 sur les tours jumelles du World Trade Center à Manhattan
et aux installations portuaires couplés à l’arrêt préalable par (New York), le renforcement de la législation antiterroriste a
mesure de précaution entraînent une pénurie de carburant les entraîné la nécessité d’identifier et d’évaluer dans les installations
jours suivants. La ville de New York n’est pas épargnée. L’inonda- industrielles les événements initiateurs de risques dûs à la crimina-
tion provoque l’explosion d’une centrale électrique. La coupure lité, à la malveillance (vol, intrusion), au terrorisme, à la cyber-
consécutive impacte 250 000 abonnés pour plusieurs jours. Le criminalité et aux agressions externes en termes de sûreté
réseau de distribution de vapeur de la ville est arrêté pour éviter industrielle [26].
ＷＴ
ｓｅＴＰＶＴ
_________________________________________________ ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE
2,5 1,4
3,6
Défaillance mécanique
6,9
Événement externe
28,4
Facteur humain
13,5
Défaillance par impact
Emballement réactionnel
Défaillance instrumentale
19,9
Dérive des conditions procédé

23,7
Défaillance des services
Figure 1 – Répartition en pourcentage des causes générales des accidents par effet domino (adaptée d’après Hemmatian et al. [8])
Plusieurs définitions, notamment en ce qui concerne l’industrie

Tableau 1 – Les causes spécifiques chimique sont récapitulées dans la littérature [3], [24], [27] et
relatives aux facteurs humains [G 4 218]. Toutes ces définitions, qui reposent sur des bases
(adapté d’après Hemmatian et al. [8]) scientifiques et techniques, sont acceptables mais incomplètes.
Le choix d’une définition intégrant à la fois les aspects de pro-
Cause générale Causes spécifiques pagation et d’aggravation des conséquences s’avère donc néces-
saire.
Erreur de maintenance générale
Erreur opératoire
Erreur de sur-remplissage En France, le glossaire utilisé par le ministère gérant les
Erreur de conception Risques technologiques et industriels a retenu la définition
Facteurs humains Erreur de procédure suivante :
(76 accidents) Erreur de gestion L’effet domino résulte de l’action d’un phénomène acciden-
(21,8 %) Erreur de purge tel affectant une ou plusieurs installations d’un établissement
Erreur d’isolement ou de purge avant qui pourrait déclencher un phénomène accidentel sur une ins-
découplage tallation ou un établissement voisin conduisant à une aggra-
Erreur de décharge accidentelle vation générale des conséquences. L’analyse des effets
Erreur de connection ou de déconnection dominos doit donc concerner non seulement des unités d’un
même établissement, mais aussi des établissements entre
eux.
3. Définitions de l’effet La figure 3 illustre un exemple simple de l’application de la défi-

domino nition précédente pour hiérarchiser les effets observés en termes
d’aggravation ou non. Considérons un événement initiateur de
l’installation ou de la capacité A, dont la limite potentielle de la
Le terme « effet domino » est utilisé dans son sens le plus zone d’effet domino est matérialisée par le cercle en trait plein.
simple dans plusieurs domaines pour décrire un événement qui L’installation ou la capacité B présente une zone des effets induite
en cause un autre. L’origine du terme provient du jeu de renverse- par des phénomènes dangereux, qui est incluse dans la zone A
ment des dominos. Basé sur cette analogie, l’effet domino décrit d’effet domino. L’interaction entre A et B représente un effet
un phénomène, habituellement indésirable, qui est à l’origine de domino, qu’il n’est pas nécessaire d’examiner car l’effet résultant
l’occurrence d’autres événements indésirables. Il est aussi com- de B n’entraîne pas une aggravation globale de la situation géné-
munément employé par les politologues et les économistes pour rée par A. En revanche, les phénomènes dangereux générés par
décrire l’impact d’une action qui a la propension de causer ou qui l’installation ou la capacité C induisent une aggravation de la situa-
cause une crise après une autre. tion constatée pour A. L’effet domino de l’événement initiateur
généré par A impactant C doit donc être considéré.
ＷＵ
ＷＶ
ｓｅＴＰＷＱ
>ÞÃiÊìÃÊÀÃµÕiÃÊìÃÊÃÞÃÌmiÃÊ
`Þ>µÕiÃÊ\Ê>««ÀV iÊ>ÀÛii
«>À i>*iÀÀi - ", /

>ÌÀiÊmÃÊÃViViÃ°Ê}jiÕÀÊw>LÃÌiÊ/Ì>
ViÊÛVi«ÀjÃìÌÊìÊ½ÃÌÌÕÌÊìÊ-×ÀiÌjÊìÊVÌiiÌÊ-`®
ViÊ*ÀjÃìÌÊìÊ ÕÀ«i>Ê->viÌÞÊEÊ,i>LÌÞÊÃÃV>ÌÊ -,®
>ÌiÕÀÊ`ÕÊ}ÀÕ«iÊìÊÌÀ>Û>ÊÊ,iV iÀV iÊjÌ `}µÕiÊÊìÊ½`,-`
£° ÃÌÀÕVÌÊ}À>« µÕiÊ`½ÕÊ}À>« iÊìÊ>ÀÛ °°°°°°°°°°°°°°°°°°°°°°°°°°°° - Ê{ÊäÇ£ÊÊÓ

Ó° ««ÀV iÊ>ÀÛiiÊV>ÃÃµÕi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p Î
Ó°£ +ÕiµÕiÃÊ`jwÌÃÊìÊL>Ãi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p Î
Ó°Ó À>« iÊìÊ>ÀÛÊÛiÀÃÕÃÊ«>À>mÌÀiÃÊV>ÃÃµÕiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p {
Ó°Î +ÕiµÕiÃÊjjiÌÃÊÌ jÀµÕiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p x
Î° ««ÀV iÊÊÕÌjÌ>ÌÊ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p n
Î°£ ÌÀ`ÕVÌ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p n
Î°Ó Ýi«iÃÊìÊ}À>« iÃÊìÊ>ÀÛÊ«ÕÀÊìÃÊÃÞÃÌmiÃÊÃ«iÃ°°°°°°°°°°°°°°°° p £Ó
Î°Î ,j`ÕVÌÊìÊ>ÊÌ>iÊìÃÊ}À>« iÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £{
{° *ÀViÃÃÕÃÊÕÌ« >ÃiÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
{°£ ÌÀ`ÕVÌ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
{°Ó Ýi«iÃÊÃ«iÃÊìÊÃÞÃÌmiÃÊÕÌ« >ÃiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
x° Ì>ÌÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÓ
x°£ />ÕÝÊìÊÌÀ>ÃÌÊVÃÌ>ÌÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÓ
x°Ó }>ÌÃiÊ`ÕÊLÀiÊ`½jÌ>ÌÃÊiÌÊ`vwVÕÌjÃÊìÊVÃÌÀÕVÌ°°°°°°°°°°°°°°°°°° p ÓÓ
È° VÕÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÎ
,jvjÀiViÃÊLL}À>« µÕiÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÎ
½>««ÀV iÊ >ÀÛiiÊ iÃÌÊ >Ê `Þii]Ê `VÊ >Ê «ÕÃÊ VÕiÊ iÌÊ >Ê «ÕÃ
ÕÌÃji]ÊìÃÊjÌ ìÃÊÃiÃÊiÊ ÕÛÀiÊ«ÕÀÊiÊÌÀ>ÌiiÌÊ«ÀL>LÃÌiÊìÃ
ÃÞÃÌmiÃÊÃiÊV«ÀÌ>ÌÊ`Þ>µÕiiÌ°
iÊiÌÀiÊ`>ÃÊ>ÊV>ÃÃiÊìÃÊÊ>««ÀV iÃÊ>>ÞÌµÕiÃÊ«>ÀÊjÌ>ÌÃ ÊL>ÃjiÃÊÃÕÀ
½ìÌwV>ÌÊ ìÃÊ `vvjÀiÌÃÊ jÌ>ÌÃÊ `ÕÊ ÃÞÃÌmiÊ VViÀjÊ «ÕÃÊ ÃÕÀÊ ½>>ÞÃiÊ ì
½jÛÕÌÊ`Õ`ÌÊÃÞÃÌmiÊiÌÀiÊiÃ`ÌÃÊjÌ>ÌÃ°
1iÊ ìÊ ÃiÃÊ V>À>VÌjÀÃÌµÕiÃÊ >Ê «ÕÃÊ ÌjÀiÃÃ>ÌiÊ iÃÌÊ Ã>Ê «ÃÃLÌjÊ ìÊ Ài«Àj
ÃiÌ>ÌÊ }À>« µÕiÊ µÕÊ >ÕÌÀÃiÊ ÃÊ ÕÌÃ>ÌÊ Ã>ÃÊ >ÛÀÊ ÀjiiiÌÊ D
V>ÌÀiÊiÊ`jÌ>ÊìÊ>Ê>Ì j>ÌµÕiÊÃÕÃ>ViÌi°Ê i«i`>Ì]ÊViÊÊv>ÕÌ
ÃiÊ}>ÀìÀÊìÊÃiÃÊiÊ ÕÛÀiÊ`ÕÊÌÞ«iÊÊLÌiÊÀiÊÊÃÕÛiÌÊÃÕÀViÃÊ`½iÀÀiÕÀÃ
iÌÊìÊVÌÀiÃiÃ]ÊViÊ`ÃÃiÀÊÃ½>ÌÌ>V iÊDÊ`j}>}iÀ]ÊiÊ>ÃÊ>ÛiVÊiÃÊ«ÀLmiÃ
VVÀiÌÃÊ ÀiVÌÀjÃÊ «>ÀÊ iÃÊ >>ÞÃÌiÃ]Ê iÃÊ «ÀV«iÃÊ iÃÃiÌiÃÊ ìÊ ViÌÌi
>Ì j>ÌµÕi°
"ÕÌÀiÊ ÃÊ ÕÌÃ>ÌÊ VÕÀ>ÌiÊ «ÕÀÊ iÃÊ V>VÕÃÊ ìÊ w>LÌjÊ iÌÊ `Ã«LÌj
V>ÃÃµÕiÃ]Ê ViÌÌiÊ >««ÀV iÊ ÀiVmiÊ ìÃÊ ÀiÃÃÕÀViÃÊ LiÊ ÃÕÛiÌÊ ÃÕ«XjiÃ
kiÊìÊÃiÃÊÕÌÃ>ÌiÕÀÃÊiÃÊ«ÕÃÊ>ÃÃ`ÕÃ°Ê ½iÃÌÊ«ÕÀµÕÊViÊ`ÃÃiÀÊÃ½>««µÕi
DÊ iÌÌÀiÊ iÊ ÕmÀiÊ iÃÊ V>«>VÌjÃÊ ìÊ ViÌÌiÊ >««ÀV iÊ DÊ Àj«`ÀiÊ >ÕÊ ÌÀ>ÌiiÌ
ìÃÊ ÃÞÃÌmiÃÊ «ÀjÃiÌ>ÌÊ ìÃÊ jÌ>ÌÃÊ `j}À>`jÃÊViÊ iÃÊ ÃÞÃÌmiÃÊ ìÊ «À`ÕV
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＵ
ÌÊ ÃÞÃÌmiÃÊ ÊÕÌjÌ>ÌÃÊ®]Ê «>ÀÊ iÝi«i]Ê ÕÉiÌÊ «ÕÃiÕÀÃÊ « >ÃiÃÊ ì
/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊìÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi°
^Ê/iV µÕiÃÊìÊ½}jiÕÀ - Ê{ÊäÇ£ vª£
ＷＷ
ｓｅＴＰＷＱ
9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6 ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ
Ì>ÌÃ
/i«Ã
}ÕÀiÊ q *ÀViÃÃÕÃÊÃÌV >ÃÌµÕi
vVÌiiÌÊ ViÊ iÃÊ ÃÞÃÌmiÃÊ ìÊ ÃjVÕÀÌjÊ «jÀ`µÕiiÌÊ ÌiÃÌjÃÊ ÃÞÃ

ÌmiÃÊÊÕÌ« >ÃiÃÊ®°
ÕìDÊìÊ½jÛ>Õ>ÌÊ >LÌÕiiÊìÃÊ«ÀL>LÌjÃÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊ`ÕÊÃÞÃ
ÌmiÊ jÌÕ`j]Ê ViÊ `ÃÃiÀÊ ÌÀiÊ ViÌÊ ½jÛ>Õ>ÌÊ ìÃÊ Ìi«ÃÊ ÞiÃÊ ì
ÃjÕÀÃÊ VÕÕjÃÊ /- ®Ê «>ÃÃjÃÊ `>ÃÊ iÃÊ `ÛiÀÃÊ jÌ>ÌÃÊ ÕÛÀiÊ >Ê ÛiÊ >ÕÊ ÌÀ>Ìi
iÌÊìÊÌÕÌiÊÕiÊV>ÃÃiÊ`½jÌÕìÃÊÀiÌjiÊÛiÀÃÊ½jViÊ«ÕÌÌÊµÕiÊÛiÀÃÊ>
ÃjVÕÀÌjÊiÌÊViÌ]Ê«>ÀÊiÝi«i]Ê>ÊÌÊìÊ`Ã«LÌjÊÞiiÊÃiÊ«À
}iÊ>ÌÕÀiiiÌÊiÊ`Ã«LÌjÊìÊ«À`ÕVÌ°
iÊµÕiÊÌÀmÃÊyiÝLiÊiÌÊ«ÕÃÃ>Ìi]ÊViÌÌiÊ>««ÀV iÊ½iÊÃÕvvÀiÊ«>ÃÊÃÊì
µÕiµÕiÃÊÌ>ÌÃÊµÕÊ«ÀÛiiÌÊ«ÀV«>iiÌÊìÊ½«ÃÃLÌjÊDÊÕÌÃiÀ
`½>ÕÌÀiÃÊ ÃÊ µÕiÊ ìÃÊ ÃÊ iÝ«iÌiiÃÊ iÌÊ ìÊ ½iÝ«ÃÊ VL>ÌÀiÊ `Õ
LÀiÊ ìÃÊ jÌ>ÌÃÊ ÀÃµÕiÊ iÊ LÀiÊ ìÊ V«Ã>ÌÃÊ jjiÌ>ÀiÃÊ >Õ}iÌi°
i>ÊÌiÊÃ>ÊÃiÊiÊ ÕÛÀiÊÀ}ÕÀiÕÃiÊ>ÕÝÊ«iÌÌÃÊÃÞÃÌmiÃ]Ê>ÃÊiÃÊjÌ
ìÃÊ >««ÀV jiÃÊ `jVÀÌiÃÊ `>ÃÊ ViÊ `ÃÃiÀÊ «iÀiÌÌiÌÊ ìÊ Ài«ÕÃÃiÀÊ ViÃÊ ÌiÃ
`>ÃÊÕiÊViÀÌ>iÊiÃÕÀi°
iÊ `ÃÃiÀÊ «ÀjVjìÌÊQ- Ê{ÊäÇäRÊ ÃÕÀÊ iÃÊ VÃ`jÀ>ÌÃÊ «Àj>ÀiÃ
VViÀ>ÌÊ½>>ÞÃiÊìÃÊÀÃµÕiÃÊìÃÊÃÞÃÌmiÃÊ`Þ>µÕiÃÊ`j}>}iÊiÃÊ}À>ìÃ
}iÃÊìÃÊjjiÌÃÊDÊ«Ài`ÀiÊiÊV«ÌiÊ«ÕÀÊivviVÌÕiÀÊÕÊV ÝÊ«iÀÌiÌÊì
>ÊjÌ ìÊDÊiÌÌÀiÊiÊ ÕÛÀiÊ«ÕÀÊÀj>ÃiÀÊÕiÊjÌÕìÊw>LÃÌi°Ê ÕÃÊ½ÞÊÀiÛi
`ÀÃÊ«>ÃÊVÊiÌÊÕÃÊÃÕ««ÃiÀÃÊµÕiÊ½>>ÞÃiÊ`ÕÊV«ÀÌiiÌÊ`ÕÊÃÞÃÌmi
VViÀjÊ>ÊÕÃÌwjÊ>ÊÃiÊiÊ ÕÛÀiÊ`½ÕiÊ`jÃ>ÌÊ«>ÀÊ«ÀViÃÃÕÃÊÃÌV >Ã
ÌµÕiÊw}ÕÀiÊ®°
jÌ ìÊ>>ÞÌµÕiÊL>ÃjiÊÃÕÀÊiÃÊ«ÀViÃÃÕÃÊìÊ>ÀÛ]ÊiiÊiÃÌÊÌÀmÃÊ«À>ÌµÕji
`>ÃÊ ÃÊ ÕÛiÀÃÌjÃÊ iÌÊ iÊ LÕÌÊ ìÊ ViÊ `ÃÃiÀÊ iÃÌÊ ìÊ v>ÀiÊ >Ê «ÀjÃiÌ>ÌÊ ìÊ ÃiÃ
`vvjÀiÌiÃÊV>À>VÌjÀÃÌµÕiÃ°
£° ÃÌÀÕVÌÊ}À>« µÕiÊ
`½ÕÊ}À>« iÊìÊ>ÀÛ *£
£ääÊ¯
ÕÊ «ÌÊ ìÊ ÛÕiÊ ìÊ ½}jiÕÀ]Ê ½ÌjÀkÌÊ v`>iÌ>Ê ì

ÌÀji -ÀÌi
½>««ÀV iÊ>ÀÛiiÊiÃÌÊÃÊ>Ã«iVÌÊ}À>« µÕiÊµÕÊ«iÀiÌÊìÊ>
iÌÌÀiÊ iÊ ÕÛÀiÊ Ã>ÃÊ >ÛÀÊ ÀjiiiÌÊ LiÃÊ `½iÊ V>ÌÀiÊ i *ÀÀÌ>Ài
«ÀvìÕÀÊÌÕÃÊiÃÊ>Ã«iVÌÃÊÌ jÀµÕiÃ°
£ääÊ¯
*ÕÀÊ ÕÃÌÀiÀÊ Vi>]Ê iÊ «ÕÃÊ Ã«iÊ iÃÌÊ ìÊ ÀiVÕÀÀÊ DÊ ½iÝi«i *Ó
V>ÃÃµÕiÊQ£R QRÊ «ÀjÃiÌjÊ w}ÕÀiÊ£Ê iÌÊ vÀjÊ ìÊ ìÕÝÊ ««iÃÊ *£Ê iÌ
*ÓÊ ÌiÀ`j«i`>ÌiÃÊ «>ÀÊ iÊ L>ÃÊ `½ÕiÊ jµÕ«iÊ ìÊ Àj«>À>ÌiÕÀÃÊ Õ
µÕiÊ «ÕÀÊ iÊ >ÃÃÕÀiÀÊ >Ê >Ìi>Vi°ÊÃ]Ê ÀÃµÕiÊ *£Ê iÌÊ *ÓÊ ÃÌ }ÕÀiÊ£ q ÀVÕÌÊìÊ««>}i
- Ê{ÊäÇ£ vªÓ ^Ê/iV µÕiÃÊìÊ½}jiÕÀ
ＷＸ
ｓｅＴＰＷＱ
ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6
Ã>ÃÊjÀi°Ê i>Ê«µÕiÊµÕ½ÊVÛiÀ}iÊ>ÕÊLÕÌÊ`½ÕÊ`j>Ê«ÕÃ
ÕÊÃÊ}ÊÛiÀÃÊÕÊjÌ>ÌÊ`½jµÕLÀiÊ`j«i`>ÌÊìÃÊV`ÌÃ
Î Ì>iÃ°
o£ *£ oÓ
*Ó
ÊÃ½>}ÌÊVÊìÃÊV>À>VÌjÀÃÌµÕiÃÊv`>iÌ>iÃÊìÃÊ«ÀViÃÃÕÃ
ìÊ>ÀÛÊ }miÃÊ`ÌÊÊVÛiÌÊìÊLiÊÃiÊÃÕÛiÀ°
x£ xÓ
*ÓÊ«ÀÀÌ>Ài ÀÃµÕiÊ iÃÊ Ì>ÕÝÊ ìÊ ÌÀ>ÃÌÃÊ iÊ ÃÌÊ «>ÃÊ VÃÌ>ÌÃ]Ê Ê «>Ài
*£ «ÕÀÊ> Àj«>À>Ì *£
£ { ìÊ «ÀViÃÃÕÃÊ Ãi>ÀÛiÃ°Ê ÕÃÊ iÊ iÃÊ >LÀìÀÃÊ «>ÃÊ `>Ã
*Ó *Ó
ViÊ`ÃÃiÀÊV>ÀÊiÕÀÊÌÀ>ÌiiÌÊ>>ÞÌµÕiÊiÃÌÊLi>ÕVÕ«ÊÃÊv>Vi
µÕiÊ iÃÊ «ÀViÃÃÕÃÊ >ÀÛiÃÊ }miÃ°Ê *ÕÀÊ ìÃÊ ÃÞÃÌmiÃÊ ì
xÓ
Ì>iÊ `ÕÃÌÀii]Ê iÌÊ Ã>ÕvÊ V>ÃÊ «>ÀÌVÕiÀÃ]Ê ÃiÕiÊ >Ê ÃÕ>ÌÊ ì
Ìi >ÀÊ «iÀiÌÊ ìÊ iÃÊ ÌÀ>ÌiÀÊ ÀjiiiÌ°Ê i>Ê ÃiÀ>Ê `jVÀÌÊ i
oÓ o£
`jÌ>Ê `>ÃÊ iÊ `ÃÃiÀÊ VViÀ>ÌÊ ½ÕÌÃ>ÌÊ ìÃÊ ÀjÃi>ÕÝÊ ìÊ *iÌÀ
*£
ÃÌV >ÃÌµÕiÃ°
*Ó
Ó
>ÀV i *>i
*£] *Ó ««iÃ i jÌ>ÌÊì >ÀV i Ó° ««ÀV iÊ>ÀÛiiÊ

*£]Ê*Ó ««iÃ iÊ«>i
V>ÃÃµÕi
}ÕÀiÊÓ q Ýi«iÊìÊ}À>« iÊìÊ>ÀÛ
Ó°£ +ÕiµÕiÃÊ`jwÌÃÊìÊL>Ãi
ÃÕÌ>jiÌÊ iÊ «>i]Ê Ê ìÛiÌÊ jViÃÃ>ÀiÊ ìÊ `jwÀÊ >Ê «Ì
µÕiÊìÊ>Ìi>ViÊDÊiÌÌÀiÊiÊ ÕÛÀiÊiÌ]Ê`>ÃÊÕÊ«ÀiiÀÊÌi«Ã] Û>ÌÊ `½>iÀÊ «ÕÃÊ ]Ê Ê VÛiÌÊ ìÊ À>««iiÀÊ µÕiµÕiÃÊ ÌÃ
ÕÃÊVÃ`jÀiÀÃÊµÕiÊ*ÓÊiÃÌÊ«ÀÀÌ>ÀiÊ«ÕÀÊ>ÊÀj«>À>Ì° jjiÌ>ÀiÃÊ `ÕÊ `>iÊ ìÊ >Ê Ã×ÀiÌjÊ ìÊ vVÌiiÌ°Ê iÃ
ìÛÀ>iÌÊ kÌÀiÊ «>Àv>ÌiiÌÊ VÕiÃÊ >Ã]Ê DÊ ½iÝ«jÀiVi]Ê Ê iÃ
>Ê VÃÌÀÕVÌÊ `ÕÊ }À>« iÊ ìÊ >ÀÛÊ Ài>ÌvÊ DÊ ÕÊ ÌiÊ ÃÞÃÌmi `jVÕÛÀiÊÕÊ«iÕÊÕLjiÃÊÕÊ>Ê>ÃÃjiÃÊ«>ÀÊiÃÊ}jiÕÀÃÊµÕ
Ã½ivviVÌÕiÊiÊìÕÝÊjÌ>«iÃÊw}ÕÀiÊÓ®Ê\ iÃÊÕÌÃiÌÊ\
p ìÌvV>ÌÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊµÕiÊiÊÃÞÃÌmiÊ«iÕÌÊVVÕ«iÀ p v>LÌjÊ , Ì ®Ê\Ê «ÀL>LÌjÊ ìÊ LÊ vVÌiiÌÊ ÃÕÀÊ Õ
>ÕÊVÕÀÃÊìÊÃÊiÝ«Ì>Ì ÌiÀÛ>iÊìÊÌi«ÃÊ`jÊQä]ÊÌ RÊiÌÊ`>ÃÊìÃÊV`ÌÃÊ`jiÃÊÆ
p `Ã«LÌjÊ Ì ®Ê\Ê «ÀL>LÌjÊ ìÊ LÊ vVÌiiÌÊ DÊ Õ
U ÊÞÊiÊ>ÊµÕ>ÌÀiÊ`jjÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊÆ ÃÌ>ÌÊ`jÊÌÊiÌÊ`>ÃÊìÃÊV`ÌÃÊ`jiÃ°
p VÃÌÀÕVÌÊ`ÕÊ}À>« iÊìÊ>ÀÛÊ«À«ÀiiÌÊ`ÌÊ\ Ê ÀjÃÕÌiÊ ìÊ ViÃÊ `jwÌÃÊ µÕiÊ >Ê w>LÌj]Ê >ÕÊ ÃiÃÊ >Ì j>Ì
µÕiÊ `ÕÊ ÌiÀi]Ê VÀÀiÃ«`Ê DÊ ÕÊ vVÌiiÌÊ Ã>ÃÊ ÌiÀÀÕ«Ì
U Ài«ÀjÃiÌ>ÌÊìÊV >VÕÊìÃÊjÌ>ÌÃÊ«>ÀÊÕÊViÀVi]
ÃÕÀÊ ÕiÊ ViÀÌ>iÊ «jÀì°Ê >Ê ÌÊ ìÊ w>LÌjÊ iÃÌÊ `VÊ ÌÀmÃÊ ÕÌi
U Ài«ÀjÃiÌ>ÌÊìÃÊÌÀ>ÃÌÃÊiÌÀiÊiÃÊjÌ>ÌÃÊ«>ÀÊìÃÊymV iÃ° «ÕÀÊ ÌÀ>ÌiÀÊ ìÃÊ «ÀLmiÃÊ jÃÊ DÊ >Ê ÃjVÕÀÌj]Ê V>ÀÊ iiÊ Ã½ÌjÀiÃÃiÊ D
½VVÕÀÀiViÊ ìÊ >Ê «ÀimÀiÊ «>iÊ ÕÊ «ÀiiÀÊ >VVìÌ®Ê `Õ
>µÕiÊÌÀ>ÃÌÊÃÞLÃiÊ>Êv>XÊ`ÌÊiÊÃÞÃÌmiÊÃ>ÕÌiÊ`½Õ ÃÞÃÌmiÊVViÀj°
jÌ>ÌÊÛiÀÃÊÕÊ>ÕÌÀi°
i>Ê ÕÃÊ V`ÕÌÊ DÊ ÌÀ`ÕÀiÊ ÕiÊ >ÕÌÀiÊ ÌÊ ìÊ L>ÃiÊ `Ã
Ýi«i \ ìÊ½jÌ>ÌÊìÊ>ÀV iÊ«>Àv>ÌÊ £]ÊÊ«iÕÌÊÃ>ÕÌiÀÊÛiÀÃÊ ÓÊÕ ÃV>LiÊìÊViiÊìÊw>LÌjÊ\
ÎÊ«>ÀÊ`jv>>ViÊìÊ*ÓÊÕÊ*£]ÊìÊ½jÌ>ÌÊ ÓÊÊ«iÕÌÊ>iÀÊÃÌÊÛiÀÃÊ½jÌ>Ì
ìÊ«>iÊÌÌ>iÊ {Ê«>ÀÊ`jv>>ViÊìÊ*£ÊÕÊÀiÛiÀÊDÊ½jÌ>ÌÊ £Ê«>ÀÊÀj«> p //Ê\Ê Ìi«ÃÊ ÞiÊ >Û>ÌÊ >Ê «ÀimÀiÊ `jv>>ViÊ i>
À>ÌÊìÊ*Ó]Ê°°°]ÊiÌÊw>iiÌÊìÊ½jÌ>ÌÊ {ÊÊ«iÕÌÊÀiÛiÀÊÕµÕiiÌ /iÊ/Ê> ®°
ÛiÀÃÊ ÎÊ«>ÀÊÀj«>À>ÌÊìÊ*ÓÊµÕÊiÃÌÊ«ÀÀÌ>ÀiÊ«ÕÀÊ>ÊÀj«>À>Ì° Ê iÃÌÊ DÊ ÌiÀÊ µÕi]Ê «ÕÀÊ ÕÊ V«Ã>ÌÊ jjiÌ>ÀiÊ Àj}Ê «>ÀÊ Õi
Ê iÝ«iÌiiÊ ìÊ Ì>ÕÝÊ ìÊ `jv>>ViÊ o]Ê iÊ //Ê iÃÌÊ >ÀÃÊ j}>
Ê>ÊwÊìÊViÌÊiÝiÀVVi]ÊÊÃiÊÀiÌÀÕÛiÊiÊ«ÀjÃiViÊ`½ÕÊ}À>« i DÊ£Éo°Ê->ÕvÊV>ÃÊÌÀmÃÊ«>ÀÌVÕiÀ]ÊViÌÌiÊ«À«ÀjÌjÊ½iÃÌÊiÊ}jjÀ>Ê«>Ã
`½jÌ>ÌÃÊ µÕÊ `jÃiÊ iÊ V«ÀÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ vÀjÊ ìÊ ìÕÝ ÛÀ>iÊ >ÕÊ Ûi>ÕÊ `ÕÊ ÃÞÃÌmiÊ }L>]Ê kiÊ ÃÊ ViÕVÊ iÊ V«ÀÌi
««iÃ°Ê *ÕÀÊ µÕ½Ê Ài«ÀjÃiÌiÊ >ÕÃÃÊ iÊ «ÀViÃÃÕÃÊ ìÊ >ÀÛ µÕiÊìÃÊV«Ã>ÌÃÊÀj}ÃÊ«>ÀÊìÃÊÃÊiÝ«iÌiiÃ°Ê ½>ÕÌÀiÊ«>ÀÌ
>ÃÃVj]ÊÊÀiÃÌiÊDÊ«ÀjVÃiÀÊµÕiiÃÊÃÌÊiÃÊV >ViÃÊµÕiÊV >VÕiÊì iÊ //Ê iÃÌÊ ÕÊ «>À>mÌÀiÊ µÕÊ «iÕÌÊ kÌÀiÊ iÃÌjÊ ÃÌ>ÌÃÌµÕiiÌÊ D
ViÃÊÌÀ>ÃÌÃÊÃÌÊÀjiiiÌÊi«ÀÕÌjiÊ>ÕÊVÕÀÃÊìÊ>ÊÛiÊ`ÕÊÃÞÃ «>ÀÌÀÊ ìÊ `jiÃÊ LÃiÀÛjiÃÊ `>ÃÊ iÊ ìÊ « ÞÃµÕiÊ ÀiÌÕÀ
Ìmi°Ê i>ÊiÃÌÊLÌiÕÊiÊ>vviVÌ>ÌÊìÃÊÌ>ÕÝÊìÊÌÀ>ÃÌ o ÊDÊV > `½iÝ«jÀiVi®°Ê Ê «iÀiÌÊ `VÊ ìÊ v>ÀiÊ iÊ iÊ iÌÀiÊ iÃÊ >Ì j
VÕiÊ`½iiÃ° >ÌµÕiÃÊiÌÊiÊìÊÀji°
>Ì j>ÌµÕiiÌ]Ê o ±Ê`ÌÊ iÃÌÊ >Ê «ÀL>LÌjÊ V`ÌiiÊ ì Ê ½««ÃjÊ ìÊ >Ê w>LÌj]Ê >Ê `Ã«LÌjÊ Ã½ÌjÀiÃÃiÊ DÊ >Ê «ÀL>
Ã>ÕÌiÀÊ ìÊ Ê ÛiÀÃÊ Ê iÌÀiÊ ÌÊ iÌÊ Ì ³Ê`ÌÊ ÀÃµÕ½Ê iÃÌÊ `>ÃÊ ½jÌ>ÌÊ Ê D LÌjÊ µÕiÊ iÊ ÃÞÃÌmiÊ vVÌiÊ DÊ ÕÊ ÃÌ>ÌÊ `jÊ Ã>ÃÊ ÃiÊ «Àj
½ÃÌ>ÌÊÌ°Ê >ÃÊiÊV>ÃÊÕÃÕi]ÊiÃÊÌ>ÕÝÊìÊÌÀ>ÃÌÊÃÌÊ VÃÌ>ÌÃ VVÕ«iÀÊìÊViÊµÕÊÃ½iÃÌÊ«>ÃÃjÊ>Õ«>À>Û>Ì°Ê iÊV>À>VÌjÀÃiÊ`VÊÕ
iÌÊVÀÀiÃ«ìÌÊ>ÕÝÊÌ>ÕÝÊìÊ`jv>>ViÊÕÊ>ÕÝÊÌ>ÕÝÊìÊÀj«>À>Ì vVÌiiÌÊ«ÕÛ>ÌÊkÌÀiÊÌiÀÀ«ÕÊ«ÕÃÊÀi«ÀÃ°
ìÃÊV«Ã>ÌÃÊµÕÊV>ÕÃiÌÊiÃÊV >}iiÌÃÊ`½jÌ>Ì°Ê/ÕÌiÃÊiÃÊÃ >Ê`Ã«LÌjÊ Ì ®Ê>ÊÃÕÀÌÕÌÊÕÊÌjÀkÌÊÌ jÀµÕiÊiÌ]ÊiÊ«À>ÌµÕi]
ìÊ «ÀL>LÌjÃÊ µÕÊ Àj}ÃÃiÌÊ iÃÊ `ÛiÀÃÊ « jmiÃÊ «ÀÃÊ i V½iÃÌÊ«ÕÌÌÊDÊÃ>ÊÛ>iÕÀÊÞiiÊµÕiÊ½ÊÃ½ÌjÀiÃÃi°Ê ½ÙÊ½ÌÀ
V«ÌiÊÃÌÊ`VÊìÊ>ÌÕÀiÊiÝ«iÌiiÊiÌÊÕÊÌiÊ«ÀViÃÃÕÃÊÃÌ `ÕVÌÊìÊìÕÝÊ>ÕÌÀiÃÊ`jwÌÃÊ\
V >ÃÌµÕiÊiÃÌÊ`jjÊ«ÀViÃÃÕÃÊìÊ>ÀÛÊ }mi° p `Ã«LÌjÊÞiiÊ«ÕÀÊÕiÊÃÃÊ Ì £ ]ÊÌ Ó®Ê\
i]Ê `>ÃÊ ViÊ V>Ã]Ê >Ê «ÀL>LÌjÊ ìÊ Ã>ÕÌiÀÊ ìÊ Ê ÛiÀÃÊ Ê i U ÞiiÊìÊ Ì ®ÊÃÕÀÊ½ÌiÀÛ>iÊQÌ £ ]ÊÌ ÓR]
`j«i`Ê µÕiÊ ìÊ >Ê «ÀjÃiViÊ `>ÃÊ Ê DÊ ½ÃÌ>ÌÊ ÌÊ >ÃÊ «>ÃÊ ìÊ > U À>ÌÊÌi«ÃÊÞiÊìÊLÊvVÌiiÌÉÌ Ó qÊÌ £®]
>mÀiÊ`ÌÊÊÞÊiÃÌÊ>ÀÀÛjÊiÌÀiÊäÊiÌÊÌ]ÊiÊìÛiÀÊ`ÕÊÃÞÃÌmiÊi U «ÕÀViÌ>}iÊ `ÕÊ Ìi«ÃÊ ÞiÊ ìÊ LÊ vVÌiiÌÊ ÃÕÀ
`j«i`Ê µÕiÊ ìÊ ÃÊ jÌ>ÌÊ DÊ ½ÃÌ>ÌÊ Ì°Ê Ê Ã½>}ÌÊ `VÊ `½ÕÊ «ÀViÃÃÕÃ QÌ £ ]ÊÌ ÓRÊÆ
^Ê/iV µÕiÃÊìÊ½}jiÕÀ - Ê{ÊäÇ£ vªÎ
ＷＹ
ｓｅＴＰＷＱ
9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6 ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ
p `Ã«LÌjÊÌiÊ \
/>Li>ÕÊ£ÊqÊ Ã«LÌjÊiÊvVÌÊ`ÕÊÌi«ÃÊ£®
U Û>iÕÀÊÌiÊìÊ Ì ®ÊµÕ>`ÊÌÊÌi`ÊÛiÀÃÊ½w]
U Û>iÕÀÊÞiiÊìÊ Ì ®ÊÃÕÀÊÕiÊ`ÕÀjiÊwi] Q£ £]Êä ÊqÊäx R£ £]Êä ÊqÊä£
U Û>iÕÀÊÌiÊìÊ ä]ÊÌ ®ÊµÕ>`ÊÌÊÌi`ÊÛiÀÃÊ½w] *>À>mÌÀiÃ
U Û>iÕÀÊÌiÊ`ÕÊÀ>ÌÊÞiÊ`ÕÊÌi«ÃÊìÊ>ÀV iÉÌi«ÃÊÌÌ>] QÓ x]Êä ÊqÊä{ RÓ {]ÊÓ ÊqÊäÓ
U «ÕÀViÌ>}iÊ`ÕÊÌi«ÃÊÞiÊìÊLÊvVÌiiÌÊÃÕÀÊÕi
`ÕÀjiÊwi° /i«Ã Ì>ÌÃ
® £ Ó Î {
Ã«LÌjÊÞiiÊiÌÊ`Ã«LÌjÊÌiÊ«ÃÃmìÌÊ`VÊ`v
vjÀiÌiÃÊ ÌiÀ«ÀjÌ>ÌÃ°Ê Ê v>ÕÌÊ v>ÀiÊ ÕiÊ iÌÊ Ã«jV>iÊ «ÕÀ ä £]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää
ViiÊ VÀÀiÃ«`>ÌÊ >ÕÊ À>ÌÊ `ÕÊ Ìi«ÃÊ ìÊ LÊ vVÌiiÌ
À>««ÀÌjÊ >ÕÊ Ìi«ÃÊ `½LÃiÀÛ>ÌÊ V>ÀÊ iiÊ «iÀiÌÊ ìÊ Àj>ÃiÀÊ ìÃ Óä ]ÊÎÓ ÊqÊä£ È]ÊÇÎx ÊqÊäÎ n]Êxx ÊqÊäx £]Êäää ÊqÊäÈ
iÃÌ>ÌÃÊ ÃÌ>ÌÃÌµÕiÃÊ DÊ «>ÀÌÀÊ ìÊ `jiÃÊ LÃiÀÛjiÃÊ `>ÃÊ i {ä ]ÊäÎ ÊqÊä£ ]ÊÈ£Î ÊqÊäÎ ]ÊÇxn ÊqÊäx Ó]ÊÓÓ ÊqÊäÈ
ìÊ « ÞÃµÕi°Ê "Ê ÀiÌÀÕÛiÊ >ÕÃÃÊ VÊ iÊ iÊ iÌÀiÊ iÃÊ >Ì j
>ÌµÕiÃÊiÌÊiÊìÊÀji° Èä ]Ên£ ÊqÊä£ £]Êän{ ÊqÊäÓ ]ÊÎ{ ÊqÊäx Î]ÊäÎn ÊqÊäÈ
iÃÊ «ÀL>LÌjÃÊ V«jiÌ>ÀiÃÊ Ì ®Ê iÌÊ 1 Ì ®Ê ìÊ >Ê w>LÌjÊ iÌ nä ]Ênnx ÊqÊä£ £]Ê£ÎÇ ÊqÊäÓ ]ÊÇÓ ÊqÊäx Î]Ê{n ÊqÊäÈ
ìÊ >Ê `Ã«LÌjÊ ÃÌÊ `jjiÃÊ Ê`jw>LÌjÊÊ iÌ £ää ]ÊnnÎ ÊqÊä£ £]Ê£x ÊqÊäÓ ]ÊnÈ ÊqÊäx Î]ÊÇ{Î ÊqÊäÈ
Ê`Ã«LÌjÊ \
£Óä ]ÊnnÓ ÊqÊä£ £]Ê£È ÊqÊäÓ ]ÊÓ ÊqÊäx Î]ÊnÈ ÊqÊäÈ
p Ì ®ÊrÊ£ÊqÊ, Ì ®ÊÆ
p 1 Ì ®ÊrÊ£ÊqÊ Ì ®° £{ä ]ÊnnÓ ÊqÊä£ £]Ê£ÇÎ ÊqÊäÓ ]ÊÈ ÊqÊäx Î]ÊÎ£ ÊqÊäÈ
£Èä ]Ênn£ ÊqÊä£ £]Ê£Çx ÊqÊäÓ ]ÊÇ ÊqÊäx Î]ÊÈÓ ÊqÊäÈ
£nä ]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ên ÊqÊäx Î]ÊÇÇ ÊqÊäÈ
Ó°Ó À>« iÊìÊ>ÀÛÊÛiÀÃÕÃ
Óää ]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Ên{ ÊqÊäÈ
«>À>mÌÀiÃÊV>ÃÃµÕiÃ
Îää ]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Êä ÊqÊäÈ
,iÛiÃÊ >ÕÊ }À>« iÊ ìÊ >ÀÛÊ ìÊ >Ê w}ÕÀiÊÓ°Ê ÕÃÊ ½>ÛÃ {ää ]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Ê£ ÊqÊäÈ
iVÀiÊ ÀiÊ `ÌÊ ÃÕÀÊ >Ê >ÌÕÀiÊ ìÃÊ jÌ>ÌÃÊ ÀiVÌÀjÃ°Ê >ÃÊ iÊ V>`Ài
V>ÃÃµÕi]Ê >Ê «ÀimÀiÊ jÌ>«iÊ iÃÌÊ ìÊ iÃÊ Àj«>ÀÌÀÊ iÊ ìÕÝÊ V>ÃÃiÃ £® "ÊÀ>««iiÊµÕiÊ>ÊÌ>ÌÊ äx]Ê«>ÀÊiÝi«i]ÊÃ}wiÊy £äqx°
`ÃÌVÌiÃÊ qÊ >ÀV iÉ*>iÊ qÊ >wÊ ìÊ «ÕÛÀÊ iiÀÊ DÊ LiÊ iÃ
V>VÕÃÊìÊw>LÌjÉ`Ã«LÌjÊÀ`>ÀiÃ°
iÊiÃÊìÕÝÊ««iÃÊÃÌÊÀi``>ÌiÃ]ÊViÌÌiÊÀj«>ÀÌÌÊiÃÌ Ó°Ó°Ó >LÌjÊ«ÀjÛÃii
ÌÀmÃÊ Ã«iÊ\Ê iÃÊ jÌ>ÌÃÊ O £]Ê Ó]Ê ÎPÊ VÀÀiÃ«ìÌÊ >ÕÊ LÊ vVÌ
iiÌÊiÌÊ½jÌ>ÌÊO {PÊDÊ>Ê«>iÊ`ÕÊÃÞÃÌmi° *ÕÃµÕiÊiÊ}À>« iÊìÊ>Êw}ÕÀiÊÓÊ«iÀiÌÊ`½jÛ>ÕiÀÊ>Ê`Ã«LÌj
`ÕÊ ÃÞÃÌmi]Ê ViÌÊ v>ÕÌÊ iÊ `wiÀÊ «ÕÀÊ LÌiÀÊ ÕÊ `mi
«iÀiÌÌ>ÌÊ`½jÛ>ÕiÀÊ>Êw>LÌjÊ`Õ`ÌÊÃÞÃÌmiÊ¶
Ó°Ó°£ Ã«LÌjÊ«ÀjÛÃii >Ê Àj«ÃiÊ ÃiÊ ÌÀÕÛiÊ `>ÃÊ >Ê `jwÌÊ kiÊ ìÊ >Ê w>LÌjÊ\Ê
v>ÕÌÊ >ÃÃÕÀiÀÊ >Ê VÌÕÌjÊ `ÕÊ LÊ vVÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ ÃÕÀ
1iÊ vÃÊ >Ê `V ÌiÊ Àj>ÃjiÊ iÌÀiÊ iÃÊ jÌ>ÌÃÊ ìÊ >ÀV iÊ iÌÊ ì
½ÌiÀÛ>iÊQä]ÊÌ R°ÊÊiÃÌÊ`VÊjViÃÃ>ÀiÊìÊ`wiÀÊiÊ}À>« iÊìÊ>
«>i]Ê Ê «iÕÌÊ ÃiÊ ì>ìÀÊ ViÊ µÕiÊ «iÀiÌÊ ìÊ V>VÕiÀÊ ivviVÌ
w}ÕÀiÊÓÊìÊ>mÀiÊµÕ½>ÕVÕÊV iÊ>LÕÌÃÃ>ÌÊDÊ½ÕÊÕÊ½>ÕÌÀi
ÛiiÌÊiÊ}À>« iÊìÊ>ÀÛÊìÃÃjÊ«ÀjVjìiÌÊiÌÊÀi«ÀjÃiÌj
ìÃÊjÌ>ÌÃÊìÊ>ÀV iÊ £]Ê ÓÊÕÊ ÎÊDÊ½ÃÌ>ÌÊÌÊiÊÃÌÊ>>ÃÊ«>ÃÃj
w}ÕÀiÊÓ°
«>ÀÊ ½jÌ>ÌÊ ìÊ «>iÊ {Ê `>ÃÊ ½ÌiÀÛ>iÊ Qä]Ê Ì RÊ Õ]Ê ViÊ µÕÊ ÀiÛiÌÊ >Õ
*ÕÀÊ Àj«`ÀiÊ DÊ ViÌÌiÊ µÕiÃÌ]Ê Ê ÃÕvwÌÊ ìÊ Ài>ÀµÕiÀÊ µÕ½ÕÊ Ìi ki]Êv>ÀiÊiÊÃÀÌiÊµÕ½>ÕVÕÊV iÊ«>ÃÃ>ÌÊ«>ÀÊ½jÌ>ÌÊìÊ«>i
}À>« iÊ Ài«ÀjÃiÌi]Ê ìÊ >mÀiÊ ÃÞÌ jÌµÕi]Ê ÌÕÃÊ iÃÊ V iÃ {ÊiÊÀiÛiiÊ>>ÃÊÛiÀÃÊÕÊìÃÊjÌ>ÌÃÊìÊ>ÀV iÊ £]Ê ÓÊÕÊ Î°
ÃjµÕiViÃÊ`½jÛjiiÌÃ®ÊµÕiÊiÊÃÞÃÌmiÊ«iÕÌÊi«ÀÕÌiÀÊDÊ«>ÀÌÀ
>Ê `wV>ÌÊ ìÊ ÌÀiÊ }À>« iÊ iÃÌÊ >ÀÃÊ ÌÀmÃÊ Ã«iÊ DÊ Àj>ÃiÀ
ìÊÃÊjÌ>ÌÊÌ>Ê`ÕÀ>ÌÊÃÊjÛÕÌÊ>ÕÊVÕÀÃÊ`ÕÊÌi«Ã°
«ÕÃµÕ½Ê ÃÕvwÌÊ ìÊ ÃÕ««ÀiÀÊ iÃÊ ÌÀ>ÃÌÃÊ ìÊ O {PÊ ÛiÀÃÊ O £]Ê Ó]
1Ê ÌiÊ V iÊ ÃiÀ>Ê «>ÀÊ iÝi«iÊ £]Ê Ó]Ê £]Ê Î]Ê {]Ê Ó]Ê £°°°Ê i ÎP°Ê Ê v>Ì]Ê Ê ½ÞÊ iÊ >Ê µÕ½ÕiÊ ÃiÕiÊ DÊ ÃÕ««ÀiÀÊ ìÊ {Ê ÛiÀÃÊ ÎÊ iÌ
}À>« iÊ ÀiviÀiÊ `VÊ ìÃÊ V iÃÊ «iÀiÌÌ>ÌÊ >ÕÊ ÃÞÃÌmiÊ ì Vi>ÊÕÃÊV`ÕÌÊ>ÕÊ}À>« iÊ«ÀjÃiÌjÊÃÕÀÊ>Êw}ÕÀiÊÎ°
«>ÃÃiÀÊ «>ÀÊ ½jÌ>ÌÊ ìÊ «>iÊ {Ê «ÕÃÊ ìÊ ÀiÛiÀÊ `>ÃÊ ÕÊ jÌ>ÌÊ ì À@ViÊ DÊ ViÌÌiÊ ÌÀ>ÃvÀ>Ì]Ê * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê Ài«ÀjÃiÌi
>ÀV iÊ Ó°Ê Ê `jVÀÌÊ `VÊ iÊ V«ÀÌiiÌÊ `½ÕÊ ÃÞÃÌmiÊ µÕÊ «iÕÌ >Ìi>ÌÊ>Ê«ÀL>LÌjÊ`½kÌÀiÊiÊ>ÀV iÊDÊ½ÃÌ>ÌÊÌÊÃ>ÃÊ>>Ã
kÌÀiÊ iÊ >ÀV iÊ DÊ ÕÊ ÃÌ>ÌÊ `jÊ iÊ >Þ>ÌÊ jÌjÊ ÕiÊ ÕÊ «ÕÃiÕÀÃ kÌÀiÊ ÌLjÊ iÊ «>iÊ >Õ«>À>Û>Ì]Ê V½iÃÌD`ÀiÊ >Ê «ÀL>LÌjÊ `½kÌÀi
vÃÊiÊ«>iÊ>Õ«>À>Û>Ì°ÊÊÃ½>}ÌÊ`VÊÌÞ«µÕiiÌÊ`½ÕÊ`mi ÀiÃÌjÊ iÊ LÊ jÌ>ÌÊ ìÊ vVÌiiÌÊ ÃÕÀÊ ÌÕÌiÊ >Ê `ÕÀjiÊ Qä]Ê Ì RÊ Õ
ìÊ`Ã«LÌj° >ÕÌÀiiÌÊ`ÌÊ>Êw>LÌjÊ`ÕÊÃÞÃÌmiÊjÌÕ`j°
>Ê`Ã«LÌjÊ Ì ®Ê`ÕÊÃÞÃÌmiÊjÌÕ`jÊiÃÌÊ`VÊj}>iÊDÊ>Ê«À iÊkiÊµÕiÊ«ÀjVjìiÌ]ÊÊ>Ê`VÊ\
L>LÌjÊìÊÃiÊÌÀÕÛiÀÊDÊ½ÃÌ>ÌÊÌÊ`>ÃÊ½ÕÊÕÊ½>ÕÌÀiÊìÃÊÌÀÃÊjÌ>ÌÃ
ìÊ >ÀV iÊ £]Ê ÓÊ ÕÊ ÎÊ iÌÊ ÃÊ `Ã«LÌjÊ 1 Ì ®Ê iÃÌÊ j}>iÊ DÊ > p * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê³Ê* { Ì ®ÊrÊ£ÊÆ
«ÀL>LÌjÊìÊÃiÊÌÀÕÛiÀÊ`>ÃÊ½jÌ>ÌÊìÊ«>iÊ {° p , Ì ®ÊrÊ* £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®ÊÆ
p Ì ®ÊrÊ* { Ì ®°
*ÃÃÊ* Ì ®ÊrÊ«ÀL>LÌjÊ`½kÌÀiÊ`>ÃÊ½jÌ>ÌÊ ÊDÊ½ÃÌ>ÌÊÌ°
ä®
iÃÊ vÀÕiÃÊ VìÃÃÕÃÊ ÃÌÊ ìÌµÕiÃÊ DÊ ViiÃÊ «iÀiÌÌ>ÌÊ ì

iÊ iÊ ÃÞÃÌmiÊ iÊ «iÕÌÊ «>ÃÊ ÃiÊ ÌÀÕÛiÀÊ `>ÃÊ «ÕÃiÕÀÃÊ jÌ>ÌÃ V>VÕiÀÊ >Ê `Ã«LÌj°Ê iÊ µÕÊ iÃÌÊ `vvjÀiÌ]Ê V½iÃÌÊ iÊ }À>« iÊ µÕ
DÊ>ÊvÃ]ÊiÃÊjÌ>ÌÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊÃÌÊ`ÃÌÃ°ÊÊiÊÀjÃÕÌiÊ\ «iÀiÌÊ `½jÛ>ÕiÀÊ iÃÊ «ÀL>LÌjÃÊ ìÃÊ `vvjÀiÌÃÊ jÌ>ÌÃ°Ê i«i`>Ì]
p * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê³Ê* { Ì ®ÊrÊ£ÊÆ >Ìi>Ì]Ê Ê ½iÃÌÊ «ÕÃÊ «ÃÃLiÊ ìÊ ÃÀÌÀÊ ìÊ ½jÌ>ÌÊ {Ê ÕiÊ vÃ
p Ì ®ÊrÊ* £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®ÊÆ µÕ½Ê ÞÊ iÃÌÊ iÌÀjÊ\Ê Ê `ÌÊ µÕiÊ ViÕVÊ iÃÌÊ ìÛiÕÊ >LÃÀL>Ì°Ê iÌÌi
`vvjÀiVi]Ê µÕÊ «iÕÌÊ «>À>ÌÀiÊ i]Ê iÌÀ>iÊ Vi«i`>ÌÊ Õ
p 1 Ì ®ÊrÊ* { Ì ®°
V«ÀÌiiÌÊ ÌÀmÃÊ `vvjÀiÌÊ `ÕÊ «ÀViÃÃÕÃÊ ìÊ >ÀÛ°Ê iÊ
iÊ Ì>Li>ÕÊ£Ê ÌÀiÊ ½jÛÕÌÊ ìÊ >Ê «ÀL>LÌjÊ ìÃÊ `vvjÀiÌÃ ½iÝÃÌiÊ «ÕÃÊ ìÊ «ÃÃLÌjÊ ìÊ ÃÀÌÀÊ ìÊ {]Ê ÌÕÌiÊ >Ê «ÀL>LÌjÊ Û>
jÌ>ÌÃÊ`ÕÊÃÞÃÌmiÊiÊvVÌÊ`ÕÊÌi«ÃÊiÌÊ>Ê«ÀL>LÌjÊìÊ½jÌ>ÌÊ{ ÃiÊ ÀiÌÀÕÛiÀÊ VViÌÀjiÊ `>ÃÊ ViÌÊ jÌ>ÌÊ ÀÃµÕiÊ iÊ Ìi«ÃÊ Û>Ê Ìi`Ài
ìÊ`ÀiVÌiiÌÊ½`Ã«LÌjÊÃÌ>Ì>jiÊ1 Ì ®° ä® ÛiÀÃÊ ½w°Ê i>Ê iÊ v>ÌÊ µÕiÊ ÌÀ>`ÕÀiÊ >Ê ViÀÌÌÕìÊ µÕiÊ iÊ ÃÞÃÌmi
- Ê{ÊäÇ£ v { ^Ê/iV µÕiÃÊìÊ½}jiÕÀ
ＸＰ
ｓｅＴＰＷＱ
ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6
ViÌÌiÊ«jÀì°ÊÊÃÕvwÌÊ`VÊìÊ`ÛÃiÀÊViÌÌiÊÃiÊ«>ÀÊ>Ê`ÕÀjiÊì
>`ÌiÊ«jÀìÊ«ÕÀÊLÌiÀÊ>Ê`Ã«LÌjÊÞiiÊ`ÕÊÃÞÃÌmiÊi
Î µÕiÃÌ°
o£ *£ oÓ iÊ ki]Ê >Ê ÃiÊ ìÃÊ/- Ê «>ÃÃjÃÊ `>ÃÊ iÃÊ jÌ>ÌÃÊ ìÊ «>i
*Ó qÊ VÊ ÃiÕiiÌÊ {Ê qÊ V`ÕÌÊ DÊ ½jÛ>Õ>ÌÊ ìÊ ½`Ã«LÌj
ÞiiÊ`ÕÊÃÞÃÌmiÊVViÀj°
xÓ -ÕÀÊiÊ}À>« iÊìÊ>Êw}ÕÀiÊÎ]Ê>ÊÃiÊìÃÊ/- Ê«>ÃÃjÃÊ`>ÃÊiÃ
x£ -Õ««ÀiÃÃ jÌ>ÌÃÊ £]Ê ÓÊ iÌÊ ÎÊ VÀÀiÃ«`Ê >ÕÃÃÊ DÊ ÕiÊ `ÕÀjiÊ ÞiiÊ ìÊ L
vVÌiiÌÊ >Ã]Ê V]Ê Ê Ã½>}ÌÊ ìÊ >Ê `ÕÀjiÊ ÞiiÊ ìÊ L
*£ *£ vVÌiiÌÊ Ã>ÃÊ LÃiÀÛiÀÊ ìÊ `jv>>ViÊ ÃÕÀÊ >Ê «jÀìÊ Qä]Ê Ì R°
£ Ì>ÌÊ>LÃÀL>Ì {
*Ó *Ó ÀÃµÕiÊÌÊÌi`ÊÛiÀÃÊ½w]ÊViÌÌiÊ`ÕÀjiÊÞiiÊ½iÃÌÊ>ÕÌÀiÊµÕiÊi
V>ÃÃµÕiÊ//Êi>Ê/iÊ/Ê> ®Ê`ÕÊÃÞÃÌmiÊjÌÕ`j°
xÓ ÀÃµÕiÊÌÊ½iÃÌÊ«>ÃÊw]Ê>Ê`ÕÀjiÊÞiiÊÃ>ÃÊ`jv>>ViÊiÃÌ
ÕiÊ >ÕÌÀiÊ >mÀiÊ `½>««Àj iìÀÊ iÃÊ V >ViÃÊ `½LÃiÀÛiÀÊ Õi
oÓ o£ `jv>>ViÊÃÕÀÊ>Ê«jÀìÊ`½iÝ«Ì>ÌÊÕÊ>Ê«jÀìÊìÊ}>À>Ìi®
*£ `ÕÊ ÃÞÃÌmiÊ VViÀj°Ê iÊ «iÕÌÊ `VÊ iÌÀiÀÊ `>ÃÊ iÃÊ VÀÌmÀiÃÊ ì
*Ó VVi«ÌÊ >ÕÊ kiÊ ÌÌÀiÊ µÕiÊ >Ê w>LÌj]Ê >Ê `Ã«LÌjÊ ÕÊ i
//°
Ó
iÊiÌi`Õ]ÊViÊÊiÃÌÊ>LÃÀL>Ì]ÊiÊ/- ÊìÊ½jÌ>ÌÊ {ÊÌi`
>ÀV iÊVÌÕi £ÀiÊ«>i ÛiÀÃÊ½wÊÀÃµÕiÊ>Ê`ÕÀjiÊÌi`ÊÛiÀÃÊ½w°
}ÕÀiÊÎ q À>« iÊìÊ>ÀÛÊ«ÕÀÊiÊV>VÕÊìÊ>Êw>LÌj

Ó°Î +ÕiµÕiÃÊjjiÌÃÊÌ jÀµÕiÃ
1iÊvÃÊiÊ}À>« iÊìÊ>ÀÛÊVÃÌÀÕÌ]ÊÊiÃÌÊjViÃÃ>ÀiÊ`½jÌ>LÀ
/>Li>ÕÊÓÊqÊ>LÌjÊiÊvVÌÊ`ÕÊÌi«Ã iÃÊ µÕiµÕiÃÊ vÀÕiÃÊ Ì jÀµÕiÃÊ ìÊ L>ÃiÊ «iÀiÌÌ>ÌÊ ìÊ Àj>ÃiÀ
ivviVÌÛiiÌÊ iÃÊ V>VÕÃÊ «ÀL>LÃÌiÃÊ jÛµÕjÃÊ `>ÃÊ iÃÊ «>À>
/i«Ã Ì>ÌÃ
>Ã® }À>« iÃÊ«ÀjVjìÌÃ°
£ Ó Î { ÌÃÊ`mÃÊiÊ`j«>ÀÌÊµÕi]ÊÃ>ÕvÊ«ÕÀÊìÊÌÀmÃÊ«iÌÌÃÊÃÞÃÌmiÃ]ÊÊiÃÌ
ä £]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää «>Àv>ÌiiÌÊ ÕÃÀiÊ `½iÛÃ>}iÀÊ ìÊ V`ÕÀiÊ iÃÊ V>VÕÃÊ >Õi
iiÌ°Ê ÕÃÊiÊ`jVÀÀÃÊ`VÊVÊµÕiÊiÃÊvÀÕiÃÊ>Ì j>ÌµÕiÃ
xä ]Ê£n£ ÊqÊä£ £]Ê£ä£ ÊqÊäÓ ]Ê£Îx ÊqÊäx Ç]Êän£ ÊqÊäÓ
`Ã«iÃ>LiÃÊ «ÕÀÊ V«Ài`ÀiÊ >Ê « Ã« iÊ ìÊ >Ê jÌ ìÊ iÌ
£ää n]ÊxÎ£ ÊqÊä£ £]ÊäÓÎ ÊqÊäÓ n]Ê{nn ÊqÊäx £]ÊÎÈÈ ÊqÊä£ iÊViÀiÀÊiÃÊ>Û>Ì>}iÃÊiÌÊiÃÊVÛjiÌÃ°
£xä Ç]ÊÓÇ ÊqÊä£ ]Êx£ä ÊqÊäÎ Ç]ÊnnÇ ÊqÊäx £]ÊÇn ÊqÊä£ *ÕÀÊ iÊ ÌÀ>ÌiiÌÊ ìÊ ÃÞÃÌmiÃÊ Ê`ÕÃÌÀiÃÊ]Ê iÃÊ V>VÕÃÊ «À
«ÀiiÌÊ `ÌÃÊ jViÃÃÌiÌÊ >Ê ÃiÊ iÊ ÕÛÀiÊ ìÊ }ViÃÊ `ÌÊ
Óxä È]Ên{{ ÊqÊä£ n]ÊÓ£ä ÊqÊäÎ È]Ên£ä ÊqÊäx Î]ÊäÇ{ ÊqÊä£ iÝÃÌiÊ ÕÊ ViÀÌ>Ê LÀiÊ ÃÕÀÊ iÊ >ÀV j°Ê iÃÊ V>À>VÌjÀÃÌµÕiÃ]
{ää x]Ê{ä ÊqÊä£ È]ÊxnÇ ÊqÊäÎ x]Ê{ÈÎ ÊqÊäx {]Ê{{Î ÊqÊä£ «ÃÃLÌjÃÊ iÌÊ «iÀvÀ>ViÃÊ iÊ ÃÌÊ `ÛiÀÃiÃÊ iÌÊ ÕÃÊ ÕÃ
i«iÀÃ]Ê `>ÃÊ ViÌÌiÊ «>ÀÌiÊ Ì jÀµÕi]Ê DÊ `jVÀÀiÊ «ÕÃÊ «>ÀÌVÕm
xää {]ÊÇ{ä ÊqÊä£ x]ÊÈnÇ ÊqÊäÎ {]ÊÇ£Ç ÊqÊäx x]ÊÓäÎ ÊqÊä£ ÀiiÌÊ ViÊ µÕÊ iÃÌÊ «jiÌjÊ `>ÃÊ iÊ }ViÊQÓRÊ µÕiÊ ÕÃÊ >ÛÃ
Çää Î]ÊxÎÎ ÊqÊä£ {]ÊÓÎ ÊqÊäÎ Î]Êx£È ÊqÊäx È]Ê{Ó{ ÊqÊä£ `jÛi««jÊiÌÊ>ÌiÕÊì«ÕÃÊ>Ìi>ÌÊÕiÊÛ}Ì>iÊ`½>jiÃ°
£äää Ó]ÊÓÇ{ ÊqÊä£ Ó]ÊÇÓn ÊqÊäÎ Ó]ÊÓÈÎ ÊqÊäx Ç]ÊÈn ÊqÊä£
Îäää £]ÊÓäx ÊqÊäÓ £]Ê{{x ÊqÊä{ £]Ê£ ÊqÊäÈ ]ÊnÇn ÊqÊä£ Ó°Î°£ ÀÕiÊìÊL>Ãi
xäää È]ÊÎn£ ÊqÊä{ Ç]ÊÈxx ÊqÊäÈ È]ÊÎ{ ÊqÊän ]Ê{ ÊqÊä£ >ÊvÀÕiÊìÊ`j«>ÀÌÊìÃÊ«ÀViÃÃÕÃÊìÊ>ÀÛÊiÃÌÊÌÀmÃÊÃ«iÊD
`jwÀ°Ê iÊ VÃÃÌiÊ Ã«iiÌÊ DÊ jÌ>LÀÊ >Ê «ÀL>LÌjÊ * Ì ³Ê`Ì ®
`½kÌÀiÊ `>ÃÊ ½jÌ>ÌÊ Ê DÊ ½ÃÌ>ÌÊ Ì ³Ê`ÌÊ iÊ vVÌÊ ìÃÊ «ÀL>LÌjÃ
* Ì ®ÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊ ®ÊDÊ½ÃÌ>ÌÊÌ°
ÌLiÊiÊ«>iÊÃÕÀÊÕiÊ`ÕÀjiÊwi°ÊÊiÊÀjÃÕÌiÊµÕiÊ Ì ®ÊÌi`
ÛiÀÃÊ£ÊiÌÊ, Ì ®ÊÛiÀÃÊäÊÀÃµÕiÊiÊÌi«ÃÊÌÊÌi`ÊÛiÀÃÊ½w° iÌÌiÊ «ÀL>LÌjÊ ÃiÊ `ÛÃiÊ iÊ ìÕÝÊ «>ÀÌiÃÊ V«jiÌ>ÀiÃ
w}ÕÀiÊ{®Ê\
iÊ Ì>Li>ÕÊÓÊ ÌÀiÊ ½jÛÕÌÊ ìÊ >Ê «ÀL>LÌjÊ ìÃÊ `vvjÀiÌÃ
£® Ê>ÀÀÛiÊ`>ÃÊ½jÌ>ÌÊÊiÌÀiÊÌÊiÌÊÌ ³Ê`Ì Æ
jÌ>ÌÃÊ`ÕÊÃÞÃÌmiÊiÊvVÌÊ`ÕÊÌi«ÃÊiÌÊ>Ê«ÀL>LÌjÊìÊ½jÌ>ÌÊ{
Ó® Ê iÃÌÊ `>ÃÊ ½jÌ>ÌÊ Ê DÊ ½ÃÌ>ÌÊ ÌÊ iÌÊ Ê ½iÊ ÃÀÌÊ «>ÃÊ iÌÀiÊ ÌÊ iÌ
ìÊ`ÀiVÌiiÌÊ>Ê`jw>LÌjÊ Ì ®°
Ì ³Ê`Ì°
>Ê ìÕÝmiÊ «>ÀÌiÊ jÌ>ÌÊ Ã«iiÌÊ iÊ V«jiÌÊ DÊ £Ê ìÊ >
Ó°Ó°Î /i«ÃÊÞiÃÊìÊÃjÕÀÃÊVÕÕjÃ° «ÀL>LÌjÊ ìÊ ÃÀÌÀÊ ìÊ ]Ê Ê >LÕÌÌÊ v>ViiÌÊ DÊ >Ê vÀÕi
Ã«LÌjÊÞiiÊiÌÊ// ÃÕÛ>ÌiÊ\
ÕÊ VÕÀÃÊ ìÊ ÃÊ jÛÕÌ]Ê iÊ ÃÞÃÌmiÊ Ã>ÕÌiÊ `½jÌ>ÌÊ iÊ jÌ>ÌÊ iÌ
ÃjÕÀiÊ`>ÃÊV >VÕÊ`½iÕÝÊ«i`>ÌÊÕiÊViÀÌ>iÊ`ÕÀji°Ê iÊ
* Ì ´ `Ì r * Ì o `Ì ´ * Ì M£ q o `Ì N £®
| |
«iÕÌÊ «>ÃÃiÀÊ «ÕÃiÕÀÃÊ vÃÊ «>ÀÊ iÊ kiÊ jÌ>Ì]Ê ÕÃÊ «>ÀiÀÃÊ ì
Ìi«ÃÊÞiÃÊìÊÃjÕÀÊVÕÕjÃÊ/- ®Ê>wÊ`½jÛÌiÀÊ>ÊVvÕÃ Ê ÌiÀÊ µÕi]Ê ÃÕÀÊ >Ê w}ÕÀiÊ{]Ê iÊ v>ÌÊ µÕiÊ iÊ ÃÞÃÌmiÊ ÀiÃÌiÊ `>Ã
>ÛiVÊ iÊ Ìi«ÃÊ ÞiÊ ìÊ ÃjÕÀÊ /-®Ê LÃiÀÛjÊ DÊ V >µÕiÊ «>ÃÃ>}i ½jÌ>ÌÊ Ê >Ê jÌjÊ Ài«ÀjÃiÌjÊ «>ÀÊ ÕiÊ ÌÀ>ÃÌÊ LÕVjiÊ ÃÕÀÊ ½jÌ>ÌÊ °Ê i
`Û`Õi° }iÀiÊìÊLÕViÊiÃÌÊ«VÌiÊiÌÊ}jjÀ>iiÌÊÃÊÃÕÀÊiÃÊ}À>« iÃ
Ã`jÀÃÊiÊ}À>« iÊìÊ>Êw}ÕÀiÊÓ \Ê>Ê`ÕÀjiÊÞiiÊìÊL ìÊ>ÀÛ°
vVÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ jÌÕ`jÊ «ÕÀÊ ÕiÊ «jÀìÊ `ji *ÃÃÊ o rÊ o Ê «ÕÀÊ Ã«wiÀÊ >Ê vÀÕiÊ£®°Ê o Ê Ài«ÀjÃiÌi
VÀÀiÃ«`Ê DÊ >Ê ÃiÊ ìÃÊ Ìi«ÃÊ ÞiÃÊ ìÊ ÃjÕÀÃÊ VÕÕjÃ `VÊ iÊ Ì>ÕÝÊ ìÊ ÌÀ>ÃÌÊ ìÊ Ê ÛiÀÃÊ ½«ÀÌiÊ µÕiÊ >ÕÌÀiÊ jÌ>ÌÊ `v
«>ÃÃjÃÊ`>ÃÊiÃÊjÌ>ÌÃÊìÊLÊvVÌiiÌÊ £]Ê ÓÊiÌÊ ÎÊ«i`>Ì vjÀiÌÊiÌÊÊ«>ÃÊiÊÌ>ÕÝÊìÊÌÀ>ÃÌÊìÊÊÛiÀÃÊÕki®°
^Ê/iV µÕiÃÊìÊ½}jiÕÀ - Ê{ÊäÇ£ vªx
ＸＱ
ＸＲ
ｓｅＴＰＷＲ

dynamiques : réseaux de Petri
Principes
Maître ès-Sciences - Expert Fiabiliste TOTAL
Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF)
Ancien Président de European Safety & Reliability Association (ESRA)
Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF
1. Contexte...................................................................................................... SE 4 072 – 2
2. Analytique versus Monte-Carlo ............................................................ – 2
3. Modèles de comportement .................................................................... – 3
4. Simulation de Monte-Carlo.................................................................... – 4
4.1 Principe ......................................................................................................... – 4
4.2 Exemple simple............................................................................................ – 4
4.3 Génération des lois de probabilité ............................................................. – 5
4.4 Précision des résultats................................................................................. – 6
5. Réseaux de Petri ....................................................................................... – 7
5.1 Historique ..................................................................................................... – 7
5.2 Réseaux de Petri – RdP – de base ............................................................... – 7
5.3 Extensions .................................................................................................... – 11
6. RdP versus processus de Markov ........................................................ – 13
7. Réseaux de Petri colorés ........................................................................ – 14
8. Conclusion.................................................................................................. – 14
algré tout son intérêt, l’approche analytique par processus de Markov (cf.
M dossier [SE 4 070] « Analyse des risques des systèmes dynamiques :
préliminaires ») trouve rapidement des limites lorsque la complexité des sys-
tèmes industriels à étudier ou des paramètres probabilistes à évaluer augmente.
Un saut qualitatif devient nécessaire qui impose l’abandon de l’approche ana-
lytique pour l’approche statistique connue sous le nom de simulation de Monte-
Carlo. Elle consiste à tirer des nombres au hasard pour animer un modèle repré-
sentant le comportement du système étudié dont l’évolution ainsi simulée sur
un grand nombre d’histoires permet d’évaluer les informations probabilistes –
fiabilité, disponibilité, disponibilité de production, etc. – recherchées.
Une fois franchi le pas de la simulation, reste à sélectionner un modèle de
comportement efficace sur lequel s’exerce cette simulation. Le comportement
des systèmes industriels présentant beaucoup d’analogie avec celui des auto-
mates à états finis – états discrets et dénombrables – l’un d’entre eux s’est
détaché et a été adopté et adapté à ce propos dès la fin des années soixante-
dix : le réseau de Petri (RdP).
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＸ

ＸＳ
ｓｅＴＰＷＲ
ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________
C’est la représentation graphique du réseau de Petri qui lui confère ses carac-
téristiques les plus intéressantes : construction maîtrisée de grands modèles
complexes à partir d’un nombre très limité d’éléments, visualisation synthé-
tique du modèle obtenu, animation manuelle pas à pas pour en vérifier le
comportement, etc.
Après avoir jeté les bases de la simulation de Monte-Carlo, ce dossier
s’attache à montrer comment les réseaux de Petri constituent un formidable
support de simulation permettant d’appréhender pratiquement tous les pro-
blèmes probabilistes rencontrés dans le domaine industriel.
Dans la continuité des approches analytiques (cf. les dossiers [SE 4 070] et
[SE 4 071] « Analyse des risques des systèmes dynamiques : préliminaires et
approche markovienne »), ce premier dossier [SE 4 072] se penche ensuite
rapidement sur l’utilisation primitive des réseaux de Petri pour générer de gros
graphes de Markov. Dans un second dossier [SE 4 073], des exemples simples
sont proposés pour présenter de manière progressive la façon d’aborder les
problèmes classiques – fiabilité et disponibilité – les plus élémentaires avant
de se confronter aux situations autrement plus ardues de la disponibilité de
production impliquant une modélisation très détaillée des procédures de main-
tenance et des niveaux de production du système étudié.
Au cours du temps, les réseaux de Petri de base ont subi des évolutions qui
les ont conduits progressivement aux réseaux de Petri à prédicats et asser-
tions que nous utilisons aujourd’hui. Grâce à la grande capacité de cette
approche à absorber les améliorations, aucune remise en question drastique
des choix initiaux n’a jamais été nécessaire. Bien que pourvus maintenant
d’une puissance de modélisation incomparable, les réseaux de Petri n’ont pas
encore dit leur dernier mot. Des possibilités d’amélioration existent qui sont
abordées succinctement à la fin de ce dossier.
Pour un investissement intellectuel somme toute très minime, les réseaux de
Petri fournissent un outil d’une souplesse d’utilisation et d’une puissance de
modélisation aux possibilités quasi illimitées. Ils offrent indubitablement à l’heure
actuelle le meilleur rapport qualité/prix en cette matière. Mettre le doigt dans
l’engrenage des réseaux de Petri, c’est prendre le risque de trouver désormais les
autres approches beaucoup trop pauvres et de ne plus pouvoir s’en passer !
1. Contexte 2. Analytique versus

Même si l’approche markovienne n’est pas démunie d’atouts, et Monte-Carlo
nous l’avons montré précédemment [SE 4 071], il n’en reste pas
moins qu’elle atteint rapidement ses limites lorsqu’il s’agit de s’atta- Avant de se focaliser sur le sujet de ce dossier, il est bon de
quer à des problèmes dont la nature s’écarte des simples calculs de s’attaquer à l’idée reçue, courante par le passé et qui, bien
fiabilité/disponibilité classiques comme c’est le cas lorsque les para- qu’encore propagée par certains sectateurs, tend fort heureuse-
mètres de fiabilité cessent d’être exponentiels ou lorsque la taille du ment à s’estomper que l’approche analytique serait propre alors
système étudié occasionne l’explosion du nombre des états. que la simulation de Monte-Carlo, elle, serait sale.
Dans une telle conjoncture, la situation de l’ingénieur fiabiliste est- Pour les départager, il suffit de constater que les problèmes rencon-
elle désespérée pour autant ? Non, bien sûr, mais il doit se résoudre à trés par les ingénieurs fiabilistes se classent globalement en deux gran-
réaliser le grand saut qualitatif méthodologique lui faisant abandonner des familles, sécurité et disponibilité, dont les objets sont différents :
la douce quiétude du calcul analytique orthodoxe pour les rivages plus
– la sécurité se préoccupe d’événements rares dont l’occurrence
tourmentés des générateurs de nombres aléatoires et des estimations
entraîne des conséquences extrêmement graves et elle est mise en
statistiques connus sous le nom de simulation de Monte-Carlo.
jeu dès le premier accident. Les études servent généralement à
Une fois le pas franchi se pose immédiatement la question démontrer à des autorités de sûreté compétentes donnant les
corollaire suivante : simulation de Monte-Carlo d’accord, mais sur autorisations d’exploiter que le risque de l’installation industrielle
quel type de modèle de comportement du système étudié ? concernée est acceptable. La sécurité se satisfait donc d’approches
Le but de ce document est de répondre aux questions précédentes. conservatives ;
Après avoir montré rapidement les aspects complémentaires des – la disponibilité se préoccupe d’événements fréquents dont
approches analytiques et par simulation il s’attache à décrire les grands l’occurrence n’entraîne que des conséquences minimes et c’est le
principes de la simulation de Monte-Carlo. Il expose ensuite en détail le cumul de petites pertes fréquentes qui fait le risque. Les études
modèle reconnu comme l’un des plus efficaces en la matière : le servent généralement à démontrer à des décideurs donnant leur
réseau de Petri stochastique qui prête son nom au titre de ce dossier. feu vert pour concrétiser les projets que l’exploitation sera

ＸＴ
ｓｅＴＰＷＲ
____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI
rentable. Un trop fort conservatisme risquant de faire rejeter des

projets en fait rentables, la disponibilité demande donc de rester États
A
au plus près de la réalité (approche best estimate). B
Cela tombe bien puisque c’est justement selon les deux axes E1
ci-dessus que les approches analytiques et par simulation se
distinguent réellement : E2
– l’approche analytique n’est pratiquement jamais utilisable sans E3
approximation mais ces approximations sont généralement d’autant
E4
moins sensibles que les probabilités mises en jeu sont petites. Cela
s’accorde donc plutôt bien avec les problèmes liés à la sécurité ; Temps
– l’approche par simulation de Monte-Carlo permet de modéliser Figure 1 – Processus stochastique
au plus près le comportement des systèmes étudiés mais son effi-
cacité est d’autant plus grande que les événements concernés sont
plus fréquents. Cela s’accorde donc plutôt bien avec les problèmes 70
0
liés à la disponibilité. 90 B
50 100 40
Donc, les approches analytiques et par simulation ne sont pas 50
interchangeables. Elles sont complémentaires et chacune est bien Puits D 70
40 90
adaptée à des types de problèmes particuliers. Cependant, avec
70
l’augmentation de la puissance des ordinateurs, les problèmes de C
sécurité sont de plus en plus accessibles à la simulation, comme
nous le montrerons au cours de cet exposé.
Effet rétroactif Effet direct
Avant de clore ce paragraphe, il nous faut aussi tuer le présup-
posé qui veut que la simulation de Monte-Carlo soit imprécise par Chiffres donnés en milliers de barils par jour
rapport à l’approche analytique qui, elle, serait précise. Comme
Figure 2 – Diagramme de flux
nous le verrons plus loin, la simulation de Monte-Carlo délivre tou-
jours l’intervalle de confiance des résultats obtenus. Ce n’est que Pour évaluer la disponibilité de production d’un tel système, il suffit
rarement le cas des méthodes analytiques pour lesquelles il est d’évaluer le temps cumulé moyen passé dans chacun de ses niveaux
souvent difficile, sinon impossible, de mesurer l’impact des de production. Un cas particulier de ce genre de modèle est celui pour
approximations réalisées pour arriver à obtenir un résultat. lequel chaque bloc ne possède que deux états (marche/panne). On
retombe alors sur un diagramme fiabilité et les calculs de fiabilité/
disponibilité classiques. La disponibilité moyenne est un cas particu-
3. Modèles de comportement lier de disponibilité de production mais, cela étant très similaire avec
ce que l’on l’a déjà vu en détail dans le dossier [SE 4 071] sur l’appro-
La modélisation probabiliste des systèmes industriels dynami- che markovienne, nous ne nous étendrons pas davantage sur le sujet.
ques nécessite l’utilisation de processus stochastiques. Cela a déjà À partir de considérations sur l’installation représentée sur la
été évoqué dans les dossiers [SE 4 070] et [SE 4 071] concernant ce figure 2, il est assez facile de dresser un inventaire « à la Prévert »
type de systèmes dont le comportement typique correspond à des problèmes qu’il convient d’aborder, sinon de maîtriser, pour
une modélisation à la fois fonctionnelle et dysfonctionnelle réaliste :
celui présenté sur la figure 1. – niveaux de production ;
Sur cette figure, on voit un système évoluer entre 4 états dis- – effets amont et aval des défaillances ;
tincts en fonction de délais aléatoires liés aux défaillances et aux – blocs en attente (redondance froide/chaude/mixte/tiède) ;
réparations des 2 composants individuels qui le constituent. Ces – blocs périodiquement testés ;
états peuvent être interprétés de manières différentes selon le type – défaillances de cause commune ;
d’étude à réaliser, par exemple : – défaillances induites (la perte d’un bloc induit un état de pro-
– pour une étude de sécurité ou de disponibilité classiques, les duction dégradée chez un autre) ;
états 1, 2 et 3 sont les états de bon fonctionnement et l’état 4, l’état – arrêt induit (la perte d’un bloc induit l’arrêt des blocs en série
de panne ; avec lui) ;
– pour une étude de disponibilité de production, l’état 1 est l’état – reconfigurations lors de la perte d’un bloc pour recouvrer tout
de production à 100 %, l’état 4 est l’état de panne totale et les ou partie de la production ;
états 2 et 3 des états de marche dégradés. – mobilisation des supports d’intervention pour les interventions
lourdes ;
À ce système un peu trop simple pour illustrer l’ensemble des – mobilisation des spécialistes pour les réparations de certains
difficultés rencontrées lors de la réalisation d’études probabilistes, équipements ;
nous allons préférer celui qui est représenté sur la figure 2.
– politique de maintenance curative (nombre d’équipes,
Il s’agit d’un diagramme de flux modélisant une chaîne typique défaillances critiques / dégradées, ...) ;
de production, par exemple le traitement des hydrocarbures sor- – politique de maintenance préventive ;
tant d’un puits de pétrole. Chaque bloc est caractérisé par sa capa- – politique d’approvisionnement des pièces de rechange ;
cité de traitement du flux circulant dans le système. Les capacités – activités se déroulant en parallèle ou en séquence ;
varient en fonction d’événements internes (défaillance, réparation – délais de transport des équipes de maintenance (hélicoptère,
du bloc) mais aussi d’événements externes (états des autres blocs, bateau, ...) ;
politique d’exploitation, etc.). Le puits a, par exemple, deux – rythme jour/nuit (suspension des réparations la nuit, par exemple) ;
niveaux de production : 50 000 barils/jour en éruption naturelle et – présence normale ou non de personnel à bord ;
90 000 barils/jours lorsqu’il est activé. – stockages ;
Selon l’état de chacun des blocs, ce petit système possède ainsi – conditions météo océanologiques pour les installations en mer ;
5 niveaux de production : 0, 40, 50, 70, 90 milliers de barils/jour. À – délais quelconques pour les événements à prendre en compte ;
un moment donné, le niveau de production est fixé par le (les) – etc.
bloc(s) qui impose(nt) la production minimale (goulot d’étrangle- Plus on se rapproche de la réalité et plus le nombre d’états à pren-
ment). Par exemple, lorsque le bloc C est en panne, la production dre en compte augmente mais la caractéristique principale est que
tombe à 70 000 barils/jours. ces états restent bien individualisés (discrets) même s’ils deviennent

ＸＵ
ＸＶ
ｓｅＴＰＷＳ

dynamiques : réseaux de Petri
Exemples de modélisation
Maître ès-Sciences - Expert Fiabiliste TOTAL
Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF)
Ancien Président de European Safety & Reliability Association (ESRA)
Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF
1. Contexte ..................................................................................................... SE 4 073 – 2

2. Traitement de problèmes typiques ..................................................... – 2
2.1 Exemple d’un système fonctionnant en 2 sur 3 (2/3)................................ – 2
2.2 Disponibilité ................................................................................................. – 3
2.2.1 Modélisation........................................................................................ – 3
2.2.2 Résultats typiques et MTBF ............................................................... – 3
2.2.3 Influence de la dispersion des temps de réparation ........................ – 4
2.2.4 Observateurs de la simulation........................................................... – 4
2.3 Fiabilité ......................................................................................................... – 6
2.3.1 Modélisation........................................................................................ – 6
2.3.2 Résultats typiques............................................................................... – 6
2.3.3 Influence de la dispersion des temps de réparation ........................ – 6
2.3.4 MTTF .................................................................................................... – 7
2.4 Lien Réseaux de Petri et diagrammes de fiabilité ..................................... – 7
2.4.1 Réseaux de Petri de base ................................................................... – 7
2.4.2 Réseaux de Petri à prédicats et assertions ....................................... – 8
2.5 Systèmes périodiquement testés ............................................................... – 8
2.5.1 Modélisation naïve ............................................................................. – 8
2.5.2 Modélisation efficace.......................................................................... – 9
2.6 Disponibilité de production......................................................................... – 9
2.6.1 Identification des niveaux de production ......................................... – 9
2.6.2 Extrapolation des BDF aux diagrammes de flux .............................. – 10
2.6.3 Éléments de modélisation des systèmes de production ................. – 10
2.6.4 Modélisation des effets directs et rétroactifs des défaillances ....... – 13
3. Conclusion ................................................................................................. – 13
e traitement d’exemples caractéristiques auxquels l’ingénieur fiabiliste est

L journellement confronté lors de l’analyse et de la modélisation de sys-
tèmes industriels permet d’aller plus loin dans la découverte des immenses
possibilités de modélisation par les réseaux de Petri entrevues dans le dossier
précédent [SE 4 072].
Le dessein de ce second dossier est donc d’ouvrir des pistes pour démarrer
du bon pied les modélisation par réseaux de Petri aussi bien pour l’évaluation
des paramètres fiabilistes classiques, comme la fiabilité, la disponibilité ou le
MTTF (Mean Time To Failure) des dispositifs de sécurité, que pour l’évaluation
de paramètre fiabilistes plus sophistiqués et nécessitant des modélisations très
approfondies, comme la disponibilité de production, la fréquence des pannes
ou la charge de maintenance des systèmes de production.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＸ

ＸＷ
ｓｅＴＰＷＳ
ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________
Même si les réseaux de Petri tirent une grande partie de leur puissance
d’expression de leur aspect graphique, la construction maîtrisée de grand
modèles implique à la fois discipline et rigueur. Le lien avec les diagrammes
de fiabilité et les diagrammes de flux est mis à profit dans ce dossier pour
donner la ligne directrice d’une modélisation modulaire incontournable pour
qui veut maîtriser ses modèles au cours de leur développement.
Le succès d’une simulation de Monte-Carlo résidant dans la rapidité des cal-
culs, les astuces à connaître et les écueils à éviter sont indiqués au détour des
exemples servant de support.
Enfin, cet ensemble d’exemples vient conforter l’affirmation exprimée dans
le dossier [SE 4 072] : les réseaux de Petri constituent bien au début des années
2000, dans le domaine de la sûreté de fonctionnement, le meilleur rapport inves-
tissement intellectuel/puissance de modélisation. Attention l’addiction guette... !
Concernant les notations et les graphismes utilisés, le lecteur se reportera
utilement au dossier [SE 4 072].
1. Contexte 2. Traitement de problèmes

Dans le dossier [SE 4 072], un pan du voile a été soulevé sur les
typiques
immenses possibilités de modélisation des réseaux de Petri. Le
traitement d’un ensemble d’exemples typiques correspondant aux
problèmes auxquels l’ingénieur fiabiliste est journellement con- 2.1 Exemple d’un système fonctionnant
fronté permet de continuer cette aventure. en 2 sur 3 (2/3)
Un petit système fonctionnant en vote majoritaire en 2/3 sert de fil
rouge pour introduire les éléments relatifs aux calculs classiques de Pour montrer comment les réseaux de Petri permettent d’appré-
fiabilité et de disponibilité. Les problèmes de disponibilité de produc- hender les divers paramètres d’intérêt dans les études probabilis-
tion sont ensuite mis à profit pour montrer tout l’intérêt de la modélisa- tes, nous allons commencer par nous appuyer sur la figure 1 dont
tion modulaire au profit de la maîtrise des grands systèmes industriels. le but est de modéliser le comportement d’un système en 2/3.
La publication récente de la norme internationale IEC 61508 Ce système est composé de 3 composants identiques partageant
[Doc. SE 4 073] concernant l’évaluation des « niveaux d’intégrité la même équipe de réparateurs et le lecteur reconnaîtra facilement
de sécurité » (Safety Integrity Levels SIL) met en lumière les lacu- les modules que nous avons disséqués en [SE 4 072] avec cepen-
nes actuelles en ce qui concerne la modélisation et les calculs de dant quelques ajouts. En effet, pour modéliser un 2/3, il faut con-
systèmes testés périodiquement. Un paragraphe spécifique (§ 2) naître précisément le nombre de composants fonctionnant à un
est consacré à ce problème que les réseaux de Petri permettent instant donné. Avec les réseaux de Petri, il existe plusieurs maniè-
d’aborder sans difficultés particulières. res possibles pour ce faire et nous avons décidé d’introduire ici
Quand on parle de modélisation fiabiliste, le traitement des deux places auxiliaires, une pour compter le nombre de compo-
défaillances de cause commune (DCC) est incontournable. La sants en marche NbM et une autre pour compter le nombre de
modélisation des systèmes de production est mise à profit pour composants en panne NbP.
montrer comment appréhender facilement cette question. Chaque fois qu’un composant tombe en panne, NbP reçoit un
Enfin, comme le succès ou l’échec de l’approche par simulation jeton et NbM en perd un et, réciproquement, chaque fois qu’un
de Monte-Carlo est directement tributaire de la rapidité des calculs, composant est réparé NbM reçoit un jeton et NbP en perd un. À
les astuces à connaître et les écueils à éviter sont indiqués au chaque instant, ces places permettent donc de connaître l’état du
détour des exemples servant de support. De la négligence de cet système et, bien entendu, à l’instant initial, NbM doit contenir
aspect, des échecs cuisants peuvent résulter ! 3 jetons et NbP aucun.
M_1 M_2 M_3
NbM NbM NbM NbM NbM NbM

! RD ! RD ! RD
Fin_R1 P_1 Fin_R2 P_2 Fin_R3 P_3
NbP ? RD NbP NbP ? RD NbP NbP ? RD NbP

!-RD !-RD !-RD
R_1 A_1 R_2 A_2 R_3 A_3
St_R1 St_R2 St_R3
NbM Nombre de composants en marche NbP Nombre de composants en panne
Figure 1 – Comptage des composants en panne et en marche

ＸＸ
ｓｅＴＰＷＳ
____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI
2.2 Disponibilité
Marche
2.2.1 Modélisation NbM

-2
δ=0 Réparation
Telle qu’elle est, la figure 1 ne permet pas encore d’évaluer
la disponibilité du système. Il faut lui adjoindre un sous-réseau Panne δ=0 -2
de Petri auxiliaire qui saura détecter quand le système 2/3 est NbP
en Marche ou en Panne. C’est celui qui est représenté sur la
Panne
figure 2.
Deux arcs inhibiteurs permettent de faire passer le système 2/3
alternativement en panne et en marche selon le nombre de jetons Figure 2 – RdP auxiliaire « Disponibilité »
dans les places NbM et NbP. Le passage est immédiat (délai δ = 0)
dès que les conditions sont réunies (deux composants en panne ou Tableau 1 – Nombre moyen de tir
deux composants en marche). L’utilisation de tels arcs inhibiteurs des transitions
est très pratique car elle ne perturbe pas du tout le modèle de la
figure 1, qui pourrait tout aussi bien être utilisé pour analyser un 1/3 T = 10 000 h, β = 2,
Nom Fréquence
ou un 3/3 en modifiant seulement le poids des arcs inhibiteurs de la 106 histoires
figure 2.
P_1 19,39
2.2.2 Résultats typiques et MTBF Composant 1 St_R1 19,38
Les tableaux 1 et 2 montrent les résultats pouvant être obtenus Fin_R1 19,36
directement à partir du réseau de Petri ci-dessus. Pour réaliser ces P_2 19,41
Figure 1
calculs, nous avons adopté un classique taux de défaillances (λ) de
2.10−3/h pour chacun des composants mais, pour les réparations, Composant 2 St_R2 19,41
nous avons choisi des lois de Weibull de moyenne 15 h afin de Fin_R2 19,38
pouvoir analyser l’influence de la dispersion du temps de répa-
ration autour de cette moyenne en faisant varier le paramètre de P_3 19,37
forme β.
Composant 3 St_R3 19,37
Les premiers résultats standards sont présentés sur le
tableau 1. Ils ont été établis en réalisant 106 histoires et avec Fin_R3 19,34
β = 2. Ils concernent la fréquence de tir de chacune des transi-
Panne 3,35
tions. On constate qu’en moyenne chaque composant subit de Figure 2 Disponibilité
l’ordre de 19,4 pannes au cours des 10 000 h simulées et que Réparation 3,35
cela a conduit à 3,35 défaillances du système en 2/3. Il en résulte
que l’équipe de maintenance a été mobilisée environ 58,2 fois. Figure 6 Fiabilité Défaillance 0,96
Tableau 2 – Temps moyen de séjour dans les places et marquage moyen des places
T = 10 000 h, β = 2, Temps moyen Écart type Marquage moyen Écart type
Nom
106 histoires (h) (h) (%) (%)
M_1 9 698,55 75,4 96,99 0,75
Composant 1 A_1 10,94 12,8 0,11 0,13
R_1 290,52 72,2 2,91 0,72
M_2 9 698,02 75,5 96,98 0,76

Figure 1
Composant 2 A_2 11,17 13,3 0,11 0,13
R_2 290,81 72,3 2,91 0,72
M_3 9 697,99 75,6 96,98 0,76
Composant 3 A_3 11,61 13,9 0,12 0,14
R_3 290,40 72,1 2,90 0,72
Marche 9 966,79 23,8 99,67 0,24

Figure 2 Disponibilité
Panne 33,21 23,8 0,33 0,24
Figure 6 Fiabilité Marche_en_continu 2 997,77 2670 29,98 26,71

ＸＹ
ＹＰ
ｓｅＴＰＷＵ
Méthode LOPA : principe et exemple

d’application
par Olivier IDDIR

Ingénieur en analyse de risques industriels Technip France
Service expertise et modélisation – Division QHSES
1. Présentation de la méthode LOPA...................................................... SE 4 075 - 3

1.1 Objectif de la méthode................................................................................ — 3
1.2 Origines de la méthode............................................................................... — 4
1.3 Déroulement d’une revue LOPA ................................................................ — 4
1.4 Quelques rappels sur la notion de barrière de sécurité ........................... — 8
1.5 Principe des couches de protection ........................................................... — 8
1.6 Critères de performance des barrières ...................................................... — 13
1.7 Principales étapes de la méthode .............................................................. — 15
1.8 Définition et quantification des fréquences
des événements initiateurs......................................................................... — 16
1.9 Définition des barrières............................................................................... — 17
1.10 Quantification des probabilités de défaillance des barrières .................. — 19
1.11 Évaluation de la fréquence d’occurrence résiduelle du scénario............ — 20
1.12 Exemple d’application................................................................................. — 22
2. Parallèle entre la méthode LOPA et les autres
méthodes d’analyse des risques.......................................................... — 26
2.1 Lien privilégié avec l’HAZOP ...................................................................... — 26
2.2 Différences avec la méthode du nœud papillon ....................................... — 26
3. Conclusion ................................................................................................. — 29
Pour en savoir plus ............................................................................................ Doc. SE 4 075
n France, depuis 2003, l’influence de la loi Bachelot et l’introduction des

E plans de prévention des risques technologiques (PPRT) ont eu comme
effet une évolution notable dans la manière d’évaluer les risques. En effet, les
évolutions réglementaires ont conduit à un plébiscite des analyses dites proba-
bilistes. De ce fait, les études de dangers (EDD) ne se limitent plus à une
approche uniquement déterministe, et il est demandé aux industriels d’expli-
citer le lien entre les résultats de leur EDD et leurs choix en termes de mesures
de maîtrise des risques (MMR).
De manière beaucoup plus large, lors de la réalisation d’analyses de risques,
des barrières de sécurité sont valorisées dans le but de justifier que les risques
sont prévenus et maîtrisés. Dès lors, plusieurs questions viennent sponta-
nément à l’esprit :
– Ai-je suffisamment de barrières de sécurité ?
– Comment définir précisément le besoin en termes de réduction du risque ?
– Les barrières mises en place sont elles suffisantes pour justifier d’un
risque résiduel acceptable ?
Pour justifier d’un risque résiduel faible, une tendance naturelle pourrait être
de chercher à valoriser un maximum de barrières. Une telle démarche peut
malheureusement se révéler contre-productive car l’empilement des barrières
ne garantit en rien d’une bonne maîtrise de risques. De surcroît, ce biais de rai-
sonnement peut instaurer un faux sentiment de sursécurité et mener
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＲ
finalement à un accident.

ＹＱ
ｓｅＴＰＷＵ
MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________
L’émergence de la norme IEC 61511 relative au niveau d’intégrité des fonc-

tions instrumentées de sécurité (SIF) a mis en lumière le besoin de disposer de
méthodologies permettant de déterminer le niveau d’intégrité ou niveau de SIL
(Safety Integrity Level) requis pour les SIF. De ce fait, la norme IEC 61511 décrit
un certain nombre de méthodes permettant d’atteindre cet objectif. L’une
d’entre elles est la méthode LOPA (Layer Of Protection Analysis). Si les normes
citées précédemment sont spécifiques aux SIF, le principe des méthodes propo-
sées dans les normes est « déclinable » à tous les types de barrières.
Le retour d’expérience montre que de nombreuses barrières de sécurité
mises en place sur les sites industriels sont le résultat :
– d’une réponse à des prescriptions réglementaires ;
– du bon sens ;
– de la prise en compte du retour d’expérience et de l’accidentologie.
De manière générale, il n’est pas rare dans les EDD d’aboutir à la conclusion
que les barrières de sécurité mises en œuvre par les industriels permettent de
justifier d’un niveau de risque résiduel acceptable. Par conséquent, une
approche pragmatique basée sur un ou plusieurs des trois critères précédents
peut se révéler efficiente.
L’idée de faire correspondre des barrières de sécurité à un besoin (facteur de
réduction du risque) est finalement relativement récente. Si avec du recul, ce
concept peut paraître évident, sa mise en œuvre s’avère beaucoup plus difficile
et nécessite de disposer de méthodes permettant de garantir de la pertinence
de l’analyse. Pour mener une telle approche, il faut disposer :
– d’un référentiel d’acceptabilité des risques : sans référentiel, il est impos-
sible de proportionner le besoin en termes de barrières à un facteur de réduction
du risque ;
– d’une méthode de quantification des risques : l’estimation du facteur de
réduction du risque nécessite inévitablement de recourir à une estimation de la
criticité de l’événement indésirable.
Cet article s’attache à présenter les principes fondamentaux de la méthode et
à illustrer son application au travers d’exemples pratiques.
Acronyme Définition Acronyme Définition
APS Automate programmable de sécurité LOPA Layer Of Protection Analysis
BPCS Basic Process Control System LT Level Transmitter/Transmetteur de niveau

CCPs Center for Chemical Process Safety MMRI Mesure de maîtrise des risques instrumentée
DGPR Direction générale de la prévention des risques MMR Mesure de maîtrise des risques
EI Événement initiateur PFD Probability of Failure on Demand
FCV Flow Control Valve/Vanne de régulation de débit PPRT Plan de prévention des risques technologiques
HAZOP Hazard and OPerability analysis
Risk Reduction Factor/Facteur de réduction
RRF
HSE Health and Safety Executive du risque
HSL Health and Safety Laboratory Safety Instrumented Function/Fonction

SIF
instrumentée de sécurité
IEC International Electrotechnical Commission
SIL Safety Intergrity Level/Niveau d’intégrité
Independant Protection Layer/Couche
IPL TESEO Tecnica Empirica Stima Errori Operatori
de protection indépendante
ISA International Society of Automation THERP Technique for Human Error Rate Prediction

SE 4 075 − 2 est strictement interdite. − © Editions T.I.
ＹＲ
ｓｅＴＰＷＵ
___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION
Nota : pour être prises en compte dans le calcul de fréquence d’occurrence résiduelle
1. Présentation du scénario, il faudra que les barrières de sécurité vérifient les critères qui permettent de
répondre à la définition d’une couche de protection indépendante (IPL).
de la méthode LOPA Cette méthode intègre toutes les couches de protection de
l’entreprise, tant organisationnelles que techniques. La méthode
LOPA évalue la réduction du risque en analysant la contribution
1.1 Objectif de la méthode des différentes couches (qui englobe l’ensemble des barrières
La méthode LOPA est une méthode semi-quantitative dévelop- depuis la conception du procédé jusqu’aux mesures de secours)
pée dans l’optique : en cas d’accident. L’ouvrage du CCPs [1] introduit la notion de bar-
rière de sécurité indépendante (IPL). Dans le cadre de l’application
– de juger de l’adéquation entre les barrières mises en œuvre et de la méthode, seules les barrières de sécurité qui vérifient les
le niveau de risque visé ; conditions pour être retenues comme IPL sont à valoriser dans le
– de statuer sur le besoin de mise en œuvre de nouvelles calcul de la fréquence d’occurrence résiduelle du scénario.
barrières ;
– de définir les « exigences » minimales sur la probabilité de La méthode LOPA trouve plusieurs applications :
défaillance des barrières à mettre en place dans le cas où les bar- – compléter l’analyse menée dans l’HAZOP si le groupe de tra-
rières existantes ne permettraient pas de justifier d’un risque vail considère le scénario trop complexe ou que les conséquences
acceptable ; sont trop importantes ;
– d’évaluer la fréquence d’occurrence résiduelle d’un scénario – déterminer les niveaux de SIL requis pour les fonctions instru-
d’accident. mentées de sécurité (SIF) ;
– évaluer l’impact de la modification du procédé ou des barrières
Nota : la méthode LOPA sert aussi à identifier les actions humaines (réponses et de sécurité ;
actions des opérateurs) qui peuvent permettre de rétablir le fonctionnement du système.
Par la suite, il faut alors définir des procédures dans le but de garantir que les opérateurs
– analyser de manière plus détaillée certains scénarios
seront formés pour accomplir ces actions. d’accidents.
D’après l’ouvrage [1], un scénario est jugé complexe en cas de
doute :
Remarque – sur la compréhension du déroulement du scénario identifié ;
Le CCPs considère la méthode LOPA comme semi-quantita- – sur l’indépendance des barrières valorisées.
tive car la fréquence d’occurrence, ainsi que la gravité des Aujourd’hui, le retour d’expérience montre que la méthode
conséquences, constituent des approximations qui utilisent en LOPA est principalement utilisée dans le cadre de l’application des
règle générale une cotation à l’aide de puissance de dix. normes SIL (IEC ou ISA). En revanche, les propositions de mise en
place de barrières supplémentaires dans le but de réduire un
risque ne doivent pas se limiter aux seules SIF.
La première étape de la méthode LOPA consiste à définir le scéna-
rio d’accident. Un scénario est composé a minima de deux éléments :
– un événement initiateur ; Remarque
– une conséquence. Si l’émergence des normes IEC 61508 et 61511 a eu pour
L’un des principes de base de la méthode est qu’un scénario effet de « démocratiser » la méthode LOPA, celle-ci ne doit pas
doit être composé d’un unique couple événement initiateur/ être limitée à la définition des niveaux de SIL et elle peut être
conséquence. Dans le cas où un même événement initiateur peut utilisée plus largement dans le cadre des analyses de risques.
mener à différentes conséquences, il est alors nécessaire de définir
autant de scénarios que de conséquences.
La méthode LOPA peut aussi être utilisée comme une alternative
Un scénario peut, en plus des deux éléments définis précédemment, à une analyse quantifiée en termes de fréquence d’occurrence et
inclure : de gravité. À ce titre, la figure 1 présente l’exemple de répartition
– des conditions de réalisation qui correspondent à des des méthodes d’analyse de risques proposé par le CCPs dans
conditions nécessaires pour que l’événement initiateur puisse l’ouvrage [1].
aboutir à la conséquence envisagée ;
Nota : pour faire le parallèle avec le contexte ICPE, dans les études de dangers, il est
– la défaillance des barrières de sécurité mises en place vis-à-vis demandé aux industriels français de traiter à l’aide d’une méthode semi-quantifiée ou
du scénario d’accident. quantifiée 100 % des scénarios d’accident qui sortent des limites de l’établissement.
Analyse qualitative Analyse semi- Analyse quantitative

des risques quantitative des risques des risques (environ 1 %
(100 % des scénarios) (10 à 20 % des scénarios) des scénarios)
Ex : LOPA
Figure 1 – Répartition des méthodes d’analyse (d’après [1])

ＹＳ
ｓｅＴＰＷＵ
CCPs décida de réunir des industriels et des experts en risques afin

La méthode LOPA est aujourd’hui principalement utilisée de démarrer un groupe de travail sur la méthode LOPA. Pour ren-
pour déterminer le niveau de SIL à allouer aux SIF. De dre accessible au grand public cette méthode, le CCPs publia en
manière plus large, elle permet de déterminer le nombre de 2001 l’ouvrage « Layer Of Protection Analysis » (LOPA) [1]. De ce
barrières de sécurité indépendantes (IPL) à mettre en œuvre fait, la méthode LOPA est souvent considérée comme une
dans le but de pouvoir justifier d’un niveau de risque méthode d’analyse de risques récente.
acceptable. La finalité de la méthode est d’estimer le niveau
de risque résiduel en considérant l’effet des IPL. Pour ce faire,
il est nécessaire : Remarque
– d’une part, de calculer la fréquence d’occurrence du scé- Il semble qu’une nouvelle version de l’ouvrage LOPA pourrait
nario d’accident (par an), ce qui nécessite d’évaluer la fré- prochainement être publiée par le CCPs [2]. Cette nouvelle ver-
quence d’occurrence des événements initiateurs et les sion aurait pour objectif de prendre en compte le retour d’expé-
probabilités de défaillances de chaque IPL ; rience des utilisateurs de la méthode. La liste d’événements
– d’autre part, d’évaluer la gravité associée à la conséquence initiateurs types et de barrières serait aussi plus détaillée.
en cas de survenue de l’accident.
1.2 Origines de la méthode 1.3 Déroulement d’une revue LOPA

La genèse de la méthode LOPA est présentée par le CPPS 1.3.1 Compétences nécessaires
dans [1]. D’après cet ouvrage, la méthode LOPA trouve ses
origines dans deux publications : La LOPA est une méthode d’analyse de risques menée en
– à la fin des années 1980, le Chemical Manufacturers Asso- groupe de travail pluridisciplinaire. Dans l’idéal, le groupe doit être
ciation (maintenant American Chemistry Council ) publie composé de représentants des disciplines suivantes :
« Responsible Care® Process Safety Code of Management – sécurité ;
Practices » qui introduit la notion de couches de protection et qui – instrumentation ;
recommande de les prendre en considération dans le cadre du – procédé ;
système de management ; – maintenance et inspection ;
– en 1993, le Center of Chemical Process Safety (CCPs) introdui- – exploitation.
sait dans le « Guidelines for Safe Automation of Chemical La revue LOPA doit nécessairement être menée en groupe de
Processes » la méthode LOPA. Dans cet ouvrage, la méthode décrite travail car l’expertise de chaque discipline est nécessaire. Le
était à un stade d’avancement préliminaire, mais était déjà proposée tableau 1 précise les domaines pour lesquels l’expertise de chaque
comme alternative pour déterminer le niveau de SIL des SIF. discipline est nécessaire au bon déroulement de la revue.
En octobre 1997, lors du congrès international à Atlanta sur les Le groupe de travail est généralement piloté par un chairman
méthodes d’analyses de risques organisé par le CCPs, le besoin de (animateur de la revue) qui connaît bien la méthodologie. Le
publier un ouvrage présentant la méthode LOPA a émergé des dif- chairman est en charge de conduire la revue, c’est-à-dire d’organi-
férentes présentations et discussions. ser les « échanges » entre les différents membres. Ces échanges
En parallèle, en Europe et aux États-Unis, les normes relatives sont formalisés sous la forme de tableau d’analyse tel que pré-
au SIL (respectivement les normes IEC 61508/61511 et ISA S84.01) senté au paragraphe 1.3.3.
étaient en pleine évolution et dans leurs premières versions,
aucune de ces normes ne recommandait la méthode LOPA pour
déterminer le niveau de SIL des SIF. 1.3.2 Processus général de la méthode
Pour faire face aux évolutions normatives mais aussi méthodo- Les principales étapes de la méthode LOPA décrites au
logiques initiées pour certaines par des industriels, en 1998, le paragraphe 1.7.1 sont reprises sur la figure 2.
Tableau 1 – Domaines d’expertise des différents participants à une revue LOPA

Discipline Domaine d’expertise
Définition des scénarios d’accidents
Évaluation des fréquences d’occurrence des événements initiateurs
Sécurité
Évaluation des conséquences et des niveaux de gravité qui y sont associés
Évaluation de la probabilité de défaillance des barrières de sécurité
Définition de l’architecture des fonctions instrumentées de sécurité (SIF)
Instrumentation Évaluation de la probabilité de défaillance des SIF
Connaissances sur les exigences des normes relatives au SIL (IEC 61508 – 61511)
Connaissance du fonctionnement du procédé (permet d’identifier les dérives, définir des modes et seuils
Procédé
de détection, etc.)
Connaissance des fréquences d’inspection des équipements (données qui influent sur la fréquence
d’occurrence des événements de type « perte de confinement »)
Connaissance des périodes de test pour les barrières de sécurité (données nécessaires à l’évaluation
Maintenance et Inspection
de la probabilité de défaillance des SIF)
Connaissance des temps de réparation des barrières de sécurité (données nécessaires à l’évaluation
de la probabilité de défaillance des SIF)
Exploitation Connaissance du fonctionnement des installations

ＹＴ
ｓｅＴＰＷＵ
Sélection des scénarios d’accident devant faire

l’objet d’une analyse par la méthode LOPA
ÉTAPE 1
Sélection du premier
scénario d’accident
Développement
du scénario d’accident
ÉTAPE 2
ÉTAPE 4
Identification des barrières Évaluation de la fréquence Validation/Évaluation de la gravité

de sécurité existantes d’occurrence de l’événement des conséquences associées
initiateur au scénario
ÉTAPE 5 ÉTAPE 3
Identification des couche

de protection indépendantes (IPL)
Évaluation de la fréquence résiduelle

Évaluation de la probabilité du scénario d’accident (avec prise en
de défaillance des IPL compte des barrières)
ÉTAPE 6 ÉTAPE 7
Évaluation de la criticité
NON du scénario d’accident
OUI Peut-on définir Le risque

une nouvelle barrière ? est-il acceptable ?
ÉTAPE 8
OUI
NON
Envisager de modifier OUI

Y a-t-il un autre
le procédé scénario ?
NON
Fin de l’analyse
Figure 2 – Processus général de la méthode LOPA
Comme pour toutes les méthodes d’analyse de risques, il est et hypothèses émises par le groupe de travail lors des 8 étapes décri-
important : tes au paragraphe 1.7. Le tableau 2 présente le formalisme de la fiche
– que toutes les phases d’exploitation de l’installation soient étu- d’analyse proposé dans l’ouvrage LOPA [1]. Dans cette fiche, les
diées (démarrage, arrêt programmé, fonctionnement nominal, etc.) ; cases non cochées sont celles qui doivent être renseignées par le
– que toutes les causes pouvant mener à un événement initia- groupe de travail. Dans la pratique, les revues sont généralement
teur soient identifiées et étudiées séparément car les barrières et conduites avec des tableaux d’analyse qui diffèrent (dans la forme)
IPL valorisables ne seront pas nécessairement les mêmes. du tableau 2. À titre d’exemple, le tableau 4 présente le formalisme
de tableau proposé au chapitre 3 de la norme IEC 61511.
1.3.3 Contenu des tableaux d’une revue LOPA Afin de guider l’utilisateur, le CCPs précise dans l’ouvrage décri-
vant la méthode LOPA [1] les attentes vis-à-vis des différents items
Lors d’une revue LOPA, des tableaux d’analyse sont remplis en qui doivent être renseignés dans le tableau 2. Ces précisions sont
temps réel. Ces tableaux ont pour objectif de formaliser les décisions résumées dans le tableau 3.

ＹＵ
ｓｅＴＰＷＵ
Tableau 2 – Définitions des différents items à renseigner dans la fiche de synthèse

pour un scénario étudié à l’aide de la méthode LOPA (d’après [1])
Numéro du scénario : Numéro de l’équipement : Titre du scénario :
Date : Description Probabilité Fréquence
Conséquences/Niveau de gravité associé × ×
Fréquence « cible » pour atteindre le niveau
×
de risque acceptable
Événement initiateur du scénario × ×
Conditions de réalisation du scénario ×
Facteurs conditionnels de réalisation Probabilité d’inflammation ×
(si applicables au scénario)
Probabilité de présence du personnel
×
dans la zone d’effet atteinte par le scénario
Probabilité de blessures mortelles ×
Autres ×
Fréquence du scénario sans les barrières ×
Barrières de sécurité respectant les critères
d’indépendance explicités dans la méthode
LOPA (IPL) et valeur de PFD associée ×
Autres barrières de sécurité ne respectant

pas les critères d’indépendance explicités
dans la méthode LOPA × ×
Total des PFD associées aux barrières

×
de sécurité indépendantes (IPL)
Fréquence du scénario avec les barrières indépendantes ×
La fréquence « cible » permettant de justifier d’un risque acceptable est elle atteinte ? (Oui/Non) :
Actions requises pour atteindre le niveau de risque acceptable :
Notes :
Références (PID, etc.) :
Identité des membres ayant participés à la revue LOPA :

pour un scénario étudié à l’aide de la méthode LOPA (d’après [1])
Item Définition/précision
Conséquences/Niveau de gravité associé Cet item peut être renseigné de deux manières :
qualitativement : la conséquence est décrite avec le plus de précision possible.
Par exemple, montée en pression dans une capacité générant une fuite sur une bride
quantitativement : la conséquence est décrite en termes d’effet. Par exemple,
mise à l’atmosphère de X kg de produit inflammable
Dans les deux cas, un niveau de gravité doit être associé à la conséquence
Fréquence « cible » pour atteindre Cet item indique la fréquence d’occurrence maximale admissible pour la conséquence
le niveau de risque acceptable au regard du niveau de gravité défini précédemment. Pour ce faire, en fonction de la finalité
de l’étude, les critères d’acceptabilité du risque à utiliser peuvent être, soit réglementaires,
soit internes à un groupe ou à un industriel
Événement initiateur du scénario Cet item doit être renseigné avec le plus de précision possible.
Si l’événement initiateur est lié au dépassement d’un seuil, il est nécessaire que celui-ci
soit clairement indiqué. Par exemple, montée en température dans le réacteur au-dessus
de T1 (en précisant la valeur de T1)
Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

ＹＶ
ｓｅＴＰＷＵ

pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) (suite)
Item Définition/précision
Conditions de réalisation du scénario Cet item doit être renseigné précisément dans le but de pouvoir par la suite évaluer
la probabilité à associer à chacune des conditions. Par exemple, si un emballement
de réaction ne peut se produire que durant une phase spécifique de la réaction,
il est nécessaire de préciser la durée de cette phase par rapport à la durée totale
de la réaction
Facteurs conditionnels de réalisation Cet item doit préciser la nature et les valeurs associées aux facteurs pris en compte
(si applicables au scénario) dans le calcul de la fréquence d’occurrence du scénario. En général, trois facteurs sont
pris en compte :
la probabilité d’inflammation (dans le cas de mise à l’atmosphère de produit inflammable)
la probabilité de présence du personnel dans la zone d’effet
la probabilité de blessure ou de mort dans la zone d’effet
Barrières de sécurité respectant Cet item permet de lister des barrières de sécurité qui sont retenues comme IPL vis-à-vis
les critères d’indépendance explicités du scénario d’accident étudié. Les probabilités de défaillances associées à ces IPL doivent être
dans la méthode LOPA (IPL) et valeur justifiées. De même, la démonstration de l’efficacité des IPL vis-à-vis du scénario d’accident
de PFD associée doit être documentée
Autres barrières de sécurité ne respectant Cet item doit préciser les barrières de sécurité qui n’ont pas été retenues comme IPL.
pas les critères d’indépendance explicités L’objectif est d’assurer une traçabilité du raisonnement en expliquant pourquoi ces barrières
dans la méthode LOPA ne constituent pas des IPL
Total des PFD associées aux barrières Cet item correspond au produit des PFD associées à chaque IPL
de sécurité indépendantes (IPL)
Fréquence du scénario avec les barrières Cet item correspond à la fréquence d’occurrence résiduelle du scénario d’accident,
indépendantes c’est-à-dire en considérant la défaillance de l’ensemble des IPL valorisées
La fréquence « cible » permettant Cet item permet de statuer sur l’acceptabilité du risque. Si la fréquence d’occurrence
de justifier d’un risque acceptable résiduelle calculée est supérieure à la fréquence cible, alors le risque n’est pas acceptable.
est-elle atteinte ? (Oui/Non) Au contraire, si la fréquence d’occurrence résiduelle calculée est inférieure à la fréquence
cible, alors le risque est acceptable
Actions requises pour atteindre le niveau Cet item doit préciser quelles actions sont envisagées pour rendre le risque acceptable.
de risque acceptable Dans le cas où une nouvelle barrière est proposée, il est nécessaire de la détailler
et en parallèle de démontrer qu’elle peut être considérée comme une IPL
Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.
Tableau 4 – Tableau d’analyse proposé pour la conduite d’une revue LOPA d’après le chapitre 3
de la norme IEC 61511
PFD des couches de protection
Probabilité
Probabilité
PFD d’occurrence
No EI G CI P(CI) Conception Atténuation Barrière d’occurrence Note
(SIF) résiduelle
générale BPCS Alarmes supplémentaire de mitigation intermédiaire
(avec SIF)
du procédé accès limité, etc. (non SIF)
EI : événement indésirable/événement initiateur.

G : niveau de gravité de l’événement indésirable.
CI : cause initiatrice (événement initiateur).
P(CI) : probabilité d’occurrence de la cause initiatrice.
BPCS : Basic Process Control System.
PFD(SIF) : probabilité de défaillance à la sollicitation de la fonction instrumentée de sécurité.

ＹＷ
ＹＸ
ｓｅＴＰＷＷ
Méthode PDS
par Olivier IDDIR

Ingénieur quantification des risques – Membre du réseau des experts de TECHNIP
Service Expertise & Modélisation – TECHNIP, La défense, France
1. Présentation de la méthode....................................................................... SE 4 077 - 2

1.1 Les origines ................................................................................................. — 2
1.2 Estimation de l’indisponibilité critique de sécurité .................................. — 3
1.3 Les différents types de défaillances pris en compte ................................ — 5
1.4 Prise en compte des causes communes de défaillances......................... — 6
1.4.1 Définition ............................................................................................ — 6
1.4.2 Le modèle PDS................................................................................... — 6
1.5 Les formules de calcul ................................................................................ — 6
1.5.1 Calcul de la PFD et PFH ..................................................................... — 6
1.5.2 Calcul de la DTU................................................................................. — 9
1.5.3 Calcul de PTIF ...................................................................................... — 9
2. Différences avec l’IEC 61508 ...................................................................... — 11
2.1 Les types d’indisponibilité considérés ...................................................... — 11
2.2 La prise en compte des modes communs de défaillance ....................... — 11
2.3 L’hypothèse AGAN ..................................................................................... — 11
2.4 La prise en compte des erreurs systématiques........................................ — 13
3. Cas d’application......................................................................................... — 13
3.1 Présentation du cas..................................................................................... — 13
3.2 Estimation de la CSU par la méthode PDS ............................................... — 14
3.3 Estimation de la PFD par application des formules IEC 61508-6 ............ — 14
4. Conclusion ................................................................................................... — 16
our prévenir et limiter les risques, les industriels sont amenés à mettre en
P œuvre des barrières de sécurité. Il existe différents types de barrières de
sécurité tels que les fonctions instrumentées de sécurité (SIF) ; réalisées par
des systèmes instrumentés de sécurité (SIS), elles ont connu un essor crois-
sant depuis la parution des normes encadrant leurs conception, utilisation,
suivi et maintien dans le temps (normes IEC 61508 et 61511). La conception
d’un SIS nécessite d’estimer le niveau d’intégrité (SIL) des SIF pour justifier
que les risques sont maîtrisés. L’objectif est de démontrer que les architectures
proposées pour les SIF permettent bien d’atteindre les niveaux de SIL requis.
Pour ce faire, il est nécessaire de calculer la probabilité de défaillance de
chaque SIF (PFDavg pour les systèmes en mode sollicitation ou PFH pour les
systèmes en mode continu). La méthode PDS, largement utilisée dans l’indus-
trie offshore (et plus particulièrement en Norvège), permet de répondre à ce
besoin.
Cet article présente les principes de la méthode PDS et met en lumière les
principales différences avec l’approche présentée dans l’IEC 61508-6. Plus
précisément :
– il retrace les origines de la méthode ;
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＶ

SE 4 077 – 1
ＹＹ
ｓｅＴＰＷＷ
MÉTHODE PDS _____________________________________________________________________________________________________________________
– il présente les formules permettant de calculer la probabilité de défaillance

à la sollicitation d’une SIF (PFDavg) ;
– il compare les valeurs de PFDavg obtenues par application de la méthode
PDS à celles obtenues par application des formules de l’IEC 61508-6.
1. Présentation Mode continu : Mode de fonctionnement dans lequel la SIF

maintient le processus dans un état de sécurité en fonctionne-
de la méthode ment normal. Définition IEC 61511-1.
Pour chaque classe de SIL, les facteurs de réduction du risque

1.1 Les origines et valeurs cibles de PFDavg et PFH sont rappelés dans les
tableaux 1 et 2.
PDS est un acronyme norvégien pour désigner la fiabilité et la
Les normes IEC 61508 et 61511 introduisent différentes
sécurité des systèmes instrumentés de sécurité (SIS). La méthode
approches permettant d’estimer la probabilité de défaillance d’un
PDS a été développée par le SINTEF en étroite collaboration avec :
système (pour en déduire le niveau de SIL), parmi elles :
• des compagnies pétrolières ; • les formules analytiques [SE4058] ;
• des fournisseurs et concepteurs de système de logique de • les arbres de défaillance [SE4050] ;
traitement ; • les blocs diagramme de fiabilité ;
• des organismes spécialistes sur les systèmes de contrôle et • les graphes de Markov [SE8250] [SE4071] ;
de sécurité. • les réseaux de Pétri [SE4073].
Elle permet de quantifier l’indisponibilité de la sécurité et de la Ces normes n’imposent pas le type d’approche à retenir mais
perte de production pour les systèmes instrumentés de sécurité (SIS). incitent l’utilisateur à retenir celle qui semble le mieux adaptée à
Son principe est détaillé dans l’ouvrage PDS Method Handbook [1]. son besoin. La méthode PDS s’inscrit donc comme un exemple
Cette méthode est couramment mise en œuvre dans l’industrie d’utilisation de formules analytiques dans le but de vérifier les
offshore, plus particulièrement en Norvège (en lien avec le NOG niveaux de SIL requis. Même si cette méthode est relativement
GL 070 [2]). développée et qu’elle peut être considérée comme « réaliste »,
elle reste relativement simple à mettre en œuvre et doit être
Note : la méthode est également applicable à d’autres secteurs d’activité que considérée comme un outil dédié à des non spécialistes en
l’offshore.
matière de sureté de fonctionnement. En effet, cette méthode a
Plus généralement, elle permet d’estimer les niveaux de SIL des pour finalité d’améliorer la prise en compte des approches « fiabi-
fonctions instrumentées de sécurité, et donc de répondre à l’une listes » dans les disciplines de l’ingénierie, et ainsi combler le
des exigences des normes IEC 61508 et 61511 et du NOG GL 070. fossé entre la théorie et son application.
Système instrumenté de sécurité (SIS) : ensemble de maté- Tableau 1 – Définition des niveaux SIL
riels qui composent le système de sécurité. Il comprend tous pour un système en mode faible sollicitation
les capteurs, les logiques et les actionneurs. d’après IEC 61511-1
Fonction instrumentée de sécurité (SIF) : automatisme de Niveau
sécurité composé par un ou plusieurs capteurs, une logique et Facteur de réduction
d’intégrité avg avg
un ou plusieurs actionneurs dans le but de remplir une fonction du risque (FRR)
de sécurité
de sécurité.
SIL 1 10–2 PFDavg < 10–1 10 < FRR 100
À titre de rappel, les normes IEC 61508 et 61511 distinguent SIL 2 10–3 PFDavg < 10–2 100 < FRR 1 000
quatre niveaux de réduction de risques appelés niveaux de SIL.
SIL 3 10–4 PFDavg < 10–3 1 000 < FRR 10 000
Les niveaux de SIL sont rattachés à :
• une probabilité de défaillance sur sollicitation (notée PFDavg) SIL 4 10–5 PFDavg < 10–4 10 000 < FRR 100 000
pour les systèmes en mode faible sollicitation ;
• une probabilité de défaillance par heure (notée PFH) pour les
systèmes en mode continu ou en mode sollicitation élevée. Tableau 2 – Définition des niveaux SIL
pour un système en mode continu ou en mode
sollicitation élevée d’après IEC 61511-1
Mode à faible sollicitation : Mode de fonctionnement dans
Niveau
lequel la SIF n’est réalisée que sur sollicitation, afin de faire Facteur de réduction
d’intégrité PFH
passer le processus dans un état de sécurité spécifié, et où la du risque (FRR)
de sécurité
fréquence des sollicitations n’est pas supérieure à une par an.
Définition IEC 61511-1. SIL 1 10–6 PFH < 10–5 10 < FRR 100
Mode à sollicitation élevée : Mode de fonctionnement dans
SIL 2 10–7 PFH < 10–6 100 < FRR 1 000
lequel la SIF n’est réalisée que sur sollicitation, afin de faire
passer le processus dans un état de sécurité spécifié, et où la SIL 3 10–8 PFH < 10–7 1 000 < FRR 10 000
fréquence des sollicitations est supérieure à une par an. Défini-
tion IEC 61511-1. SIL 4 10–9 PFH < 10–8 10 000 < FRR 100 000

SE 4 077 – 2
ＱＰＰ
ｓｅＴＰＷＷ
_____________________________________________________________________________________________________________________ MÉTHODE PDS
Proposition Comparaison
Allocation
d’architectures Calcul des probabilités
Identification des niveaux de SIL
pour atteindre des probabilités de défaillance
des SIF requis pour
les niveaux de défaillance aux classes de SIL
les SIF
de SIL requis (tableaux 1 et 2)
Figure 1 – Les différentes étapes pour estimer le niveau de SIL
La méthode PDS peut être considérée comme « réaliste » car Trois contributeurs à la CSU sont désignés :
elle prend en compte les principaux paramètres qui ont une 1/ L’indisponibilité liée aux défaillances dangereuses non détectées
influence sur la disponibilité d’un système, tels que : (λDU) qui couvre :
• les différentes catégories de défaillances/causes ; a) l’indisponibilité liée aux défaillances aléatoires de matériels
(λDU-RH) ;
• les défaillances de cause commune ;
b) l’indisponibilité liée aux défaillances systématiques (λDU-
• les autotests (internes aux équipements dotés de cette fonc-
SYST).
tionnalité) ;
Cette indisponibilité est associée à la probabilité de défaillance
• les tests périodiques de bon fonctionnement ; sur demande notée PFD (Probability of Failure on Demand).
• les défaillances systématiques ; 2/ L’indisponibilité liée aux arrêts qui couvre :
• les redondances d’équipements. a) l’indisponibilité liée à la réparation d’équipements décelés en
panne (maintenance corrective) → DTUR ;
Comme présenté en figure 1, la méthode PDS constitue une
alternative aux formules de calculs proposées dans l’annexe B de b) l’indisponibilité liée à l’inhibition d’équipements afin de réali-
l’IEC 61508-6 lors de l’étape de calcul de la probabilité de défail- ser les tests périodiques de bon fonctionnement et la maintenance
lance pour justifier de l’atteinte du niveau SIL requis. préventive → DTUT.
Toutes les approches précitées pour déterminer le niveau de SIL Cette indisponibilité est associée à l’indisponibilité pour arrêts
nécessitent d’utiliser des données de fiabilité pour caractériser les planifiés notée DTU (Down Time Unavailability).
équipements qui permettent de remplir la fonction de sécurité 3/ L’indisponibilité liée à des défaillances dangereuses cachées qui
(détecteur, automate, vanne d’isolement, etc.). Pour faciliter la ne peuvent pas être décelées pendant les tests périodiques de bon
fonctionnement, mais uniquement lors d’une sollicitation réelle.
mise en œuvre de la méthode PDS, le SINTEF propose en complé-
ment un recueil de données de fiabilité (PDS Data Handbook [3]). Cette indisponibilité est associée aux défaillances cachées notée
PTIF (Test Independant Failure Probability).
1.2 Estimation de l’indisponibilité PTIF : probabilité qu’un composant ou système ne remplisse

critique de sécurité pas sa fonction de sécurité à cause d’une défaillance latente
non détectable lors des tests périodiques de bon fonctionne-
La méthode PDS introduit la notion d’indisponibilité critique de ment.
sécurité (traduction de Critical Safety Unavailability notée CSU).
L’ouvrage [1] définit cette indisponibilité comme la probabilité
La CSU s’exprime comme la somme de ces différents contribu-
qu’un système ou composant ne remplisse pas sa fonction de
teurs :
sécurité au moment où un événement dangereux ou accident sur-
vient.

SE 4 077 – 3
ＱＰＱ
ｓｅＴＰＷＷ
MÉTHODE PDS _____________________________________________________________________________________________________________________
Ces contributeurs à l’indisponibilité critique de sécurité (CSU) Sur la figure 3, il est possible d’observer que la PFD et la CSU
sont repris en figure 2. atteignent leurs maximums juste avant la période de test et leurs
La figure 3 inspirée de [1] illustre la contribution à la CSU de la minimums juste après. Cependant, la valeur de CSU générale-
PFD et de PTIF. Sur cet exemple, la contribution de la DTU n’est ment retenue correspond à la moyenne. Par conséquent, il est
pas considérée. L’évolution de la PFD(t) est donnée pour un équi- possible que la valeur moyenne permette de justifier de l’atteinte
pement en 1oo1 et est approximée comme suit : de l’objectif visé, mais qu’il ne le soit plus en considérant la valeur
maximum. Pour cette raison, il peut être intéressant de déterminer
le temps passé dans chaque classe de SIL.
Indisponibilité liée aux arrêts

→ DTU : 2a (DTUR = réparation) et
2b (DTUT = tests)
Indisponibilité associée
aux défaillances dangereuses Indisponibilité associée
→ PFD : 1a (défaillances aléatoires aux pannes cachées (non révélées
de matériel) et 1b (défaillances systématiques) par les tests)
→ PTIF : 3
Indisponibilité critique
de sécurité (CSU)
CSU = PFD +
DTUR + DTUT +
PTIF
Figure 2 – Contributeurs à l’indisponibilité critique de sécurité (CSU)
Évolution de la PFD en
CSU = PFD (t) + PTIF
fonction du temps
Évolution de la CSU en CSU maximum Valeur moyenne de la CSU

fonction du temps
PFD maximum
PFDavg = λDU × 0,5 × T
PTIF
Temps
T 2T 3T 4T
Période de test
Figure 3 – Contribution à l’indisponibilité critique de sécurité de la PFD et de PTIF

SE 4 077 – 4
ＱＰＲ
ｓｌＶＲＱＰ
Méthode HACCP – Approche

pragmatique
par Michel FEDERIGHI

Professeur, Oniris, unité Hygiène et Qualité des Aliments, Nantes, France
1. Étape 1 : constitution de l’équipe HACCP – délimitation SL 6 210v2 - 2

du champ de l’étude ............................................................................
2. Étape 2 : description du produit....................................................... — 3
3. Étape 3 : identification de l’utilisation attendue......................... — 3
4. Étape 4 : établir le diagramme des opérations ............................ — 4
5. Étape 5 : confirmation sur site du diagramme des opérations — 4
6. Étape 6 : analyse des dangers – détermination des causes –
identification des mesures de maîtrise .......................................... — 5
7. Étape 7 : identifier les CCP (Critical Control Point) ................... — 7
8. Étape 8 : établir les limites critiques .............................................. — 8
9. Étape 9 : mise en place d’un système de surveillance............... — 9
10. Étape 10 : identification des actions correctives........................ — 9
11. Étape 11 : établir les procédures de vérification ........................ — 10
12. Étape 12 : établir un système de documentation........................ — 10
13. Conclusion .............................................................................................. — 11
14. Glossaire.................................................................................................. — 11
Pour en savoir plus ........................................................................................ Doc. SL 6 210v2
nalyse des risques – point critique pour leur maîtrise », telle a été la
«A traduction de l’acronyme anglais HACCP (Hazard Analysis Critical
Control Point) adoptée par la commission du « Codex Alimentarius » en 1997
dans la troisième révision du texte fondateur [1]. L’évolution de la terminologie
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＵ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＸ
a cependant conduit à préférer par la suite « analyse des dangers et des points
critiques pour leur maîtrise ». Cette terminologie rend mieux compte de la
mission dévolue à la méthode au sein de chaque entreprise, se démarque et
évite la confusion avec la démarche globale d’analyse des risques, décrite éga-
lement par le Codex, qui est du ressort des États au sein de l’Organisation
Mondiale du Commerce. L’HACCP est donc une méthode, une approche struc-
turée par sept principes permettant de se prémunir de tous problèmes
d’insécurité des aliments par la mise en place d’activités opérationnelles,
moyens et solutions techniques préétablies et d’en apporter la preuve !
Ainsi, l’HACCP va rassurer et donner confiance en démontrant la capacité de
l’organisme à identifier les dangers menaçant véritablement l’hygiène de ses
productions et à organiser ses activités pour les maîtriser. Initialement déve-
loppée à la fin des années soixante pour l’industrie chimique aux États-Unis, la
méthode HACCP fut rapidement reprise par les IAA (industries agroalimen-
taires) toujours aux États-Unis, avant d’être aujourd’hui mondialisée. De nos
jours, après quelques années de flottement dues à des textes décrivant la
méthode avec un nombre d’étapes variant de 11 à 14, le texte du « Codex
Copyright © –Techniques de l’Ingénieur –Tous droits réservés SL 6 210v2 – 1
ＱＰＳ
ｓｌＶＲＱＰ
MÉTHODE HACCP – APPROCHE PRAGMATIQUE ___________________________________________________________________________________________
Alimentarius » fait référence et a fixé ce nombre à 12. De fait, une façon très
simple de présenter globalement la méthode HACCP est d’indiquer qu’il s’agit,
dans ses dernières étapes, des sept principes de la méthode, précédées de
cinq étapes préliminaires destinées à collecter toutes les informations néces-
saires à l’accomplissement des fameux sept principes (tableau 1). Ce caractère
global de la méthode en fait un de ses atouts, chacun utilisant le même dérou-
lement de méthode.
Le statut réglementaire de la méthode HACCP a lui aussi évolué, en particu-
lier sur le territoire européen. D’abord fortement recommandée, puis
obligatoire (après transposition dans la loi nationale) pour l’application de ses
principes dans la célèbre directive hygiène 93/43 (aujourd’hui abrogée), la
méthode HACCP est maintenant ancrée fortement dans la réglementation
(règlement CE 178/2002 ou « food law ») et largement répandue dans les entre-
prises. Au-delà de son caractère obligatoire, la méthode HACCP représente
pour celles-ci un véritable outil d’amélioration continue et, appliquée de façon
pragmatique dans la logique de ses 12 étapes, constitue le meilleur moyen
pour assurer la sécurité de leurs produits finis.
Cet article se propose de décrire les différentes étapes de la méthode en les
accompagnant, à des fins didactiques, de commentaires, remarques et autres
retours d’expérience de l’utilisation de cette méthode.
1. Étape 1 : constitution C’est un truisme que de dire que la mise en place d’une
démarche HACCP est un véritable travail d’équipe. C’est au moins,
de l’équipe HACCP – et à l’évidence, une démarche pluridisciplinaire nécessitant pour sa
mise en œuvre des compétences très variées. Mais c’est égale-
délimitation du champ ment, et plus particulièrement, l’affaire d’une ou deux personnes.
À ce titre, le rôle de l’animateur est primordial pour la réussite de
de l’étude la démarche et sa compétence reconnue en matière de méthode
HACCP doit le conforter. Il veille en particulier à l’adéquation entre
la composition de l’équipe et les besoins de l’étude. Dans l’idéal,
une équipe de 5 à 6 personnes compétentes, volontaires et moti-
vées doit constituer une structure fonctionnelle non hiérarchique
Hygiène des aliments : ensemble des conditions et mesures
avec un animateur et un secrétaire technique. Au-delà des fonc-
nécessaires pour assurer la sécurité et la salubrité des aliments
tions qualité (assurance, contrôle) et production – incontournables
à toutes les étapes de la chaîne alimentaire :
–, les fonctions recherche et développement, entretien et mainte-
– sécurité des aliments : assurance que les aliments ne cause- nance, achats, logistique, commercial peuvent faire partie de
ront pas de dommage au consommateur quand ils sont préparés l’équipe HACCP. Il s’agit de constituer une équipe avec un noyau
et/ou consommés conformément à l’usage auquel ils sont dur qui va accompagner la démarche du début jusqu’à la fin. De
destinés ; fait, la formation à la méthode HACCP de tous les membres de
– salubrité des aliments : assurance que les aliments lorsqu’ils l’équipe est indispensable. Le référent HACCP de l’équipe peut, par
sont consommés conformément à l’usage auquel ils sont desti- exemple, s’appuyer sur le manuel de formation édité par la FAO
nés, sont acceptables pour la consommation humaine. (Food and Agriculture Organization) « Système de qualité et de
Ainsi, l’hygiène des aliments n’est pas l’hygiène alimentaire sécurité sanitaire des aliments : manuel de formation » [2]. Il
(apport raisonné par l’alimentation des éléments et nutriments insiste en particulier sur les liens, ainsi que la chronologie à res-
nécessaires à la vie). De même, la sécurité des aliments n’est pecter dans leur mise en place respective, entre bonnes pratiques
pas la sécurité alimentaire (sécurité des approvisionnements, hygiéniques et HACCP. Après la formation, l’équipe HACCP
suffisance alimentaire). s’accorde sur une définition des points critiques de maîtrise (CCP)
et autres points d’attention (voir étape 7, § 7), ainsi que sur un
Les notions de « dangers » et de « risques » sont souvent calendrier de réalisation. Un secrétaire technique seconde l’anima-
employées de manière inappropriée, laissant penser que cela teur et veille à l’établissement des comptes rendus des réunions
puisse être confondu, ce qui ne devrait pas être le cas. de l’équipe HACCP et, surtout, au suivi des actions entre les
Danger : agent biologique, chimique ou physique, présent réunions.
dans un aliment, ou état de cet aliment, pouvant entraîner un
Il est possible et recommandé d’adjoindre à ce noyau dur, au
effet néfaste sur la santé.
gré des besoins et de la progression de l’étude, toute personne
Risque : fonction de la probabilité d’un effet néfaste sur la jugée collectivement comme indispensable à l’avancée du projet.
santé et de la gravité de cet effet résultant d’un ou de plusieurs Cette personne peut être extérieure à l’organisme (fournisseur,
dangers dans un aliment. consultant, experts divers et variés...). Il est important toutefois de
« garder la main » sur le sujet et de ne pas dépendre entièrement
Ces confusions sémantiques sont très répandues et de personnes extérieures, et il convient d’être très prudent
devraient être bannies, car elles ne participent pas à simplifier vis-à-vis de la promesse d’un système complet « clés en main ». Il
le débat et la communication. faut comprendre, assimiler et s’approprier la méthode HACCP pour
SL 6 210v2 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
ＱＰＴ
ｓｌＶＲＱＰ
___________________________________________________________________________________________ MÉTHODE HACCP – APPROCHE PRAGMATIQUE
l’appliquer à son site de production. Il convient de rappeler ici

qu’un plan HACCP complet doit envisager tous les dangers signifi- 2. Étape 2 : description
catifs pour tous les produits fabriqués par un organisme. Cepen-
dant, pour des raisons pratiques et d’efficacité, il est recommandé
du produit
de délimiter le champ de l’étude.
Il est important de noter que cette description ne doit pas se
limiter au produit fini mais doit inclure les matières premières, les
Par exemple, l’équipe HACCP peut concentrer ses efforts, lors produits intermédiaires le cas échéant, ainsi que les divers ingré-
d’une période limitée dans le temps, sur un triptyque illustré par la dients, matériaux d’emballage et les procédés de traitement
figure 1. entrant dans la formulation du produit. Il s’agit, lors de cette étape,
d’effectuer un véritable « audit » produit. Un soin tout particulier
est accordé aux exigences légales et réglementaires et aux infor-
De la même façon, face à un processus de fabrication particuliè- mations pertinentes au regard de la sécurité des aliments :
rement complexe ou comprenant un grand nombre d’opérations – caractéristiques sanitaires : critères microbiologiques, physiques
et/ou de produits intermédiaires, il est recommandé de subdiviser ou chimiques ;
le processus de fabrication en deux ou trois phases dont chacune – caractéristiques physico-chimiques en relation avec des dan-
fait l’objet d’une étude HACCP particulière. gers significatifs (activité de l’eau aw , pH, potentiel d’oxydoréduc-
tion (Eh ), concentrations en divers composés, composition
Bien évidemment, la conséquence pratique de ces délimitations (incluant les teneurs en sel, sucres et substances grasses), etc.) ;
est que plusieurs études successives sont nécessaires pour aboutir – traitements subis, surtout ceux qui peuvent avoir un impact
à un plan HACCP complet. sur la sécurité des aliments (traitements chimiques et physiques
Même si elle va bien au-delà de cela, on est en droit de consi- de préservation, ces derniers permettront de retracer, si néces-
dérer que la démarche HACCP s’apparente à un « plan de travail » saire, l’historique des procédés pouvant conduire à une obligation
logique et chronologique. Le franchissement successif des douze d’étiquetage [3]) ;
étapes constitue la séquence d’application du plan de travail. À ce – conditions de stockage en interne et les conditions de distribu-
titre, le recours à des outils de gestion de projet comme le dia- tion et de conservation du produit fini.
gramme de Gantt ou des rétroplanning peut être très utile dans la Les informations liées aux produits ne doivent pas être négligées
planification des tâches et le positionnement des « jalons » de car elles peuvent se révéler capitales lors des étapes 6, 7 et 8 qui
l’étude. soulèvent de nombreuses questions ; par exemple et de manière
non exhaustive :
– le pH, le potentiel d’oxydoréduction, l’activité de l’eau du
Le diagramme de Gantt est un outil permettant de modéliser produit peuvent-ils inhiber la croissance microbienne ou la
la planification de tâches nécessaires à la réalisation d’un toxinogénèse ?
projet. – comment l’emballage affecte la survie des micro-organismes ?
– des micro-organismes ou des substances toxiques sont-ils
Un rétroplanning est un planning inversé, conçu en partant affectés par les traitements subis ?
de la date de fin du projet puis en remontant dans le temps – les temps d’attente à température ambiante en cours de pro-
afin de positionner les jalons. duction sont-ils acceptables ? Y a-t-il des données scientifiques
pour étayer la réponse ?
– l’un des facteurs de production constitue-t-il un moyen de
maîtrise d’un danger significatif ? Se prête-t-il à une surveillance
Il est important de noter également que, comme pour toute
rapide et facile ? etc.
démarche planifiée et systématisée que l’on souhaite efficace,
l’engagement de la direction dans la démarche HACCP doit être
clair et sans faille. La direction doit être informée de la nécessité
de la mettre en œuvre et consciente de l’investissement que cela
représente. En retour, la démarche HACCP assure la sécurité sani- 3. Étape 3 : identification
taire des produits fabriqués et peut se révéler un élément d’amé-
lioration organisationnelle de l’organisme. de l’utilisation attendue
Cette étape doit permettre de compléter les informations précé-
dentes et conduit notamment à préciser la durabilité attendue, les
modalités « normales » d’utilisation du produit ainsi que des ins-
tructions qui peuvent être données pour l’utilisation. L’utilisateur
peut être le consommateur final ou bien le transformateur qui se
Un danger sert du produit comme d’une matière première ou d’un ingrédient.
ou une catégorie De plus, il y a lieu de considérer toutes possibilités
de dangers
« raisonnablement prévisibles » d’utilisation fautive [4]. Ce concept
est contenu dans l’article L. 221-1 du Code de la consommation. Le
« raisonnablement prévisible » est important ; il ne s’agit en aucun
cas pour l’équipe HACCP d’anticiper des utilisations imprévisibles
inadéquates et/ou dangereuses : on ne peut prévoir l’imprévisible !
Un produit ou Un process ou Par contre, des fautes ou des pratiques erronées peuvent être anti-
une catégorie une catégorie cipées comme :
de produits de process
– une remontée en température du produit lors du transport
entre le centre de distribution et le domicile ;
– une consommation légèrement postérieure à la date limite ;
– une consommation en plusieurs fois ;
– l’utilisateur va vouloir prolonger la durée de vie d’un produit
Figure 1 – Champ d’étude de l’équipe HACCP réfrigéré « à date » par la congélation dudit produit ; etc.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés SL 6 210v2 – 3
ＱＰＵ
ＱＰＶ
ａｇＴＶＷＰ
La sûreté de fonctionnement :
méthodes pour maîtriser les risques
par Yves MORTUREUX

Expert Sûreté de Fonctionnement
à la Direction déléguée Système d’exploitation et sécurité à la SNCF
Vice-Président de l’Institut de Sûreté de Fonctionnement
1. Caractérisation de la sûreté de fonctionnement ............................ AG 4 670 - 3

1.1 Considérer avec réalisme les entités auxquelles on a affaire.................. — 3
1.2 Exploiter toutes les connaissances disponibles, rechercher le juste
nécessaire..................................................................................................... — 3
1.3 Produire de la confiance partageable grâce à la sûreté
de fonctionnement ...................................................................................... — 4
2. Notions fondamentales .......................................................................... — 4
2.1 Sûreté de fonctionnement .......................................................................... — 4
2.2 Risque ........................................................................................................... — 4
2.3 Fiabilité ......................................................................................................... — 6
2.4 Maintenabilité .............................................................................................. — 7
2.5 Disponibilité ................................................................................................. — 7
2.6 Sécurité......................................................................................................... — 7
3. Taux de défaillance, MTBF, MTTF, MUT .............................................. — 8
4. Données de fiabilité (ou de maintenabilité) ..................................... — 10
4.1 Généralités ................................................................................................... — 10
4.2 Bases de données........................................................................................ — 10
4.3 Retour d’expérience .................................................................................... — 11
5. Démarches et méthodes fondamentales d’une approche SdF .... — 12
5.1 Présentation des caractéristiques .............................................................. — 12
5.2 Analyse préliminaire de risques (APR) ...................................................... — 12
5.3 Analyse des modes de défaillance, de leurs effets et de leurs criticités
(AMDEC) ....................................................................................................... — 13
5.4 Arbres de causes, d’événement, de défaillances...................................... — 13
5.5 Graphes d’états. Réseaux de Petri ............................................................. — 15
5.6 Complémentarités entre ces méthodes..................................................... — 16
6. Fiabilités électronique, mécanique, logicielle, humaine... ........... — 16
ans l’industrie, on parle de plus en plus de sûreté de fonctionnement. Cette

D discipline, qui a acquis ce nom et sa forme actuelle principalement au cours
du dernier demi-siècle et dans les secteurs de la défense, de l’aéronautique, de
l’espace, du nucléaire, puis des télécommunications et des transports, serait
désormais utile, voire indispensable, à tous les secteurs de l’industrie et même
d’autres activités.
De quoi s’agit il ? La sûreté de fonctionnement est une riche palette de métho-
des et de concepts au service de la maîtrise des risques.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＱ
© Techniques de l’Ingénieur, traité L’entreprise industrielle AG 4 670 − 1
ＱＰＷ
ａｇＴＶＷＰ
LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________
La sûreté de fonctionnement n’est pas un but en soi, mais un moyen ou un

ensemble de moyens : des démarches, des méthodes, des outils et un vocabu-
laire. Le but qui impose le recours à la sûreté de fonctionnement est plus recon-
naissable sous le terme de « maîtrise des risques ».
■ Comme il est habituel avec ce type de mots ou d’expressions, « sûreté de
fonctionnement » désigne à la fois un ensemble de moyens et un ensemble de
résultats produits par ces moyens :
— une forme d’esprit particulière dans la considération portée aux systèmes
(en particulier industriels, mais rien ne justifie de se limiter à l’industrie) ; des
démarches, méthodes et outils propres à connaître, caractériser et maîtriser les
effets des aléas, des pannes, des erreurs... ;
— des caractéristiques des systèmes (produits, services, systèmes de produc-
tion, installations, etc.), exprimant la conformité dans le temps (constance, fré-
quence de la conformité) de leurs comportements et actions avec des attentes
plus ou moins explicites (on note la proximité de ces notions avec la qualité) :
sécurité, fiabilité, disponibilité, maintenabilité, voire invulnérabilité, capabilité,
coût global de possession, survivabilité...
Par extension, on parle de la « sûreté de fonctionnement d’un système »
comme la caractéristique de ce système qui permet de placer en lui une
confiance justifiée. C’est d’une simplicité séduisante et trompeuse. La con-
fiance dépend de ce à quoi on accorde de l’importance (innocuité, productivité,
qualité... ?) et des valeurs relatives de ces caractéristiques ; elle repose sur un
ensemble de démarches et s’exprime par un ensemble de caractéristiques, en
particulier des disponibilités et de la sécurité. C’est un atout majeur du concept
de sûreté de fonctionnement de réunir des approches motivées par la fiabilité, la
disponibilité, la maintenabilité et la sécurité, mais c’est un piège de vouloir
réduire à une valeur (qui s’appellerait la sûreté de fonctionnement du système)
le résultat de ces démarches.
■ Les caractéristiques pertinentes pour exprimer les fondements de la
confiance que l’on place et que l’on veut transmettre dans son système pren-
nent des formes (des noms et des définitions) propres au système dont il s’agit,
aux cultures des acteurs concernés et à leurs vocabulaires. Fondamentalement,
il s’agit toujours de disponibilité et de sécurité fondées sur des fiabilités et des
maintenabilités élémentaires, mais le foisonnement des vocabulaires en usage
dans les différentes branches de l’industrie (et encore plus si on élargit au-delà
du monde industriel) prouve que chacun a besoin de notions propres adaptées
à son contexte.
Par contre, les démarches et méthodes, même cachées sous des noms
divers et variés, s’avèrent universelles. Plutôt que les caractéristiques, ce sont
les méthodes qui seront au cœur de ce premier article. En matière de sûreté de
fonctionnement (et pas seulement là), il nous paraît infiniment plus important de
comprendre une démarche et un raisonnement, quitte à réinventer le vocabu-
laire en l’appliquant, que d’apprendre des définitions et des règles, d’utiliser des
outils en se laissant guider par eux. Cette dernière pratique, très répandue,
conduit malheureusement assez souvent à des conclusions gravement erronées.
La sûreté de fonctionnement n’est que du bon sens organisé et systématisé.
S’en éloigner en se laissant conduire par une recette ou une méthode à l’encon-
tre du bon sens est, à coup sûr, s’exposer aux pires dangers d’erreurs graves.
■ Maîtriser les risques est une attitude naturelle que chacun pratique ; mettre en
œuvre la sûreté de fonctionnement, c’est professionnaliser cette attitude, la sys-
tématiser, l’optimiser, l’expliciter. Concrètement, cela peut se limiter à un état
d’esprit spécifique, à quelques questions que l’on se pose systématiquement ;
cela peut aussi, à l’inverse, mobiliser des équipes hautement spécialisées en
calcul de probabilités, essais, modélisations, analyses, recueil et traitement de
données... À chacun son activité, son besoin, ses enjeux, à chacun sa sûreté de
fonctionnement, mais le principe en est toujours le même.
Nota : Le lecteur pourra utilement se reporter au CD-Rom Sécurité/Prévention des risques (projet 2002) et, plus particuliè-
rement, à l’article [SE 1 020] « La sûreté de fonctionnement : démarches pour maîtriser les risques ».
AG 4 670 − 2 © Techniques de l’Ingénieur, traité L’entreprise industrielle
ＱＰＸ
ａｇＴＶＷＰ
___________________________________________________________________ LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES
1. Caractérisation Une première caractéristique d’une approche sûreté de fonc-

de la sûreté tionnement, c’est le principe de considérer un système pour
tout ce qu’il peut être et non seulement pour ce qu’on veut qu’il
de fonctionnement soit.
La sûreté de fonctionnement (SdF) est peut-être d’abord un état

d’esprit avant d’être un ensemble de méthodes. Qu’est-ce qui carac- 1.2 Exploiter toutes les connaissances
térise cet esprit ? disponibles, rechercher le juste
nécessaire
1.1 Considérer avec réalisme les entités
auxquelles on a affaire L’application du principe évoqué au paragraphe 1.1 met donc en
présence de nombreuses éventualités d’échecs ou d’accidents. Il y a
l’attitude qui consiste à les ignorer et celle qui consiste à les éliminer
Un composant, un sous-système peut tomber en panne. Un totalement. La SdF consiste à remplacer le choix binaire entre ces
homme peut avoir une activité différente de ce qu’on a voulu lui deux extrêmes par le choix continu entre toutes les positions inter-
prescrire. Les conditions d’environnement peuvent être défavora- médiaires. Entre excès de précautions (coûteux, contraignant) et jeu
bles, etc. avec le feu (tout va bien jusqu’à la catastrophe), il y a un juste milieu
La sûreté de fonctionnement consiste à ne pas considérer un sys- en harmonie avec les grands principes, la politique de son entité
tème uniquement à travers son cahier des charges comme s’il ne (entreprise, association...).
devait jamais avoir comme comportements et comme effets que
ceux pour lesquels il a été conçu. Entre la connaissance déterministe que la panne va toucher tel
Exemple : un frein de bicyclette est conçu, fabriqué, installé pour composant à tel moment et l’ignorance totale (on ne sait pas quelle
ralentir et arrêter la bicyclette. panne va survenir, ni où, ni quand), il y a des connaissances incom-
Premièrement, la SdF considère qu’il n’est pas acquis, parce qu’il plètes ou incertaines. La sûreté de fonctionnement, loin de les écar-
peut le faire, qu’il va le faire. Il peut ne pas remplir totalement, instanta- ter (comme si on ne pouvait rien faire d’une incertitude) les exploite.
nément, à chaque sollicitation sa fonction.
Le cas des composants électroniques après la Seconde Guerre
Deuxièmement, la SdF considère que, à partir du moment où il
existe, il va avoir des effets, peut-être sans rapport avec sa fonction. mondiale est caractéristique, puisqu’il est à l’origine de l’essor évo-
Normalement, un frein de bicyclette produit de la chaleur, peut faire du qué dans l’« historique » : en présence d’un lot de composants
bruit, occupe de la place, ajoute du poids à certains endroits. Un frein « identiques » (fabriqués ensemble), il n’était pas possible (techni-
de bicyclette, ce sont des pièces qui pourraient, accidentellement, tom- quement ou économiquement) de déterminer lesquels allaient tom-
ber dans les rayons, des câbles tendus qui pourraient, accidentelle- ber en panne et quand. Par contre, le retour d’expérience montrait
ment, casser, cingler, blesser, etc. Il y a lieu d’en examiner les une très grande régularité dans le nombre de pannes rapporté au
conséquences pour faire des choix appropriés. nombre de composants par unité de temps.
Historique
Selon A. Leroy et J.P. Signoret [1], l’entre-deux-guerres voit émerger les Ces activités, dès leur prime jeunesse, ont dû maîtriser les risques d’acci-
concepts de fiabilité et de taux de défaillance dans l’aéronautique suite à la dents. Elles ont développé des approches déterministes très poussées et se
comparaison des fréquences des pannes des avions bimoteurs et quadrimo- sont essentiellement appuyées sur le surdimensionnement, la redondance et
teurs et au calcul de ratios, nombre de pannes/nombre d’heures de vol. l’analyse logique pour assurer la sécurité. L’apport des approches probabilis-
tes permet de chercher à ajuster les mesures de prévention des événements
■ À partir de la deuxième guerre mondiale, une discipline se développe sous aléatoires au lieu de rester abrité derrière des normes de dimensionnement
le nom de « théorie de la fiabilité ». Les décennies 1940 et 1950 sont caractéri- larges et coûteuses.
sées par la découverte de l’efficacité d’une approche probabiliste appliquée à ■ À partir de la décennie 1980, les efforts entrepris dans tant de directions
l’électronique dans l’aéronautique, la défense et le nucléaire. La formulation s’approfondissent, mais aussi tendent à se rejoindre pour constituer cette dis-
de ce qui nous paraît évident aujourd’hui – la probabilité de succès d’une cipline d’application très étendue qu’est aujourd’hui la sûreté de fonctionne-
chaîne de composants est le produit des probabilités de succès de chacun des ment. On note les développements suivants :
composants – fut l’origine d’un développement très rapide dans les domaines — constitution de bases de données de fiabilité ;
cités. — début de normalisation en matière de sûreté de fonctionnement ;
Cette période fut aussi celle d’un développement rapide de l’électronique — développement des méthodes d’analyse, de modélisation, de représen-
qui introduit des composants nombreux dont les défaillances individuelles tation des systèmes complexes ;
sont imprévisibles à ce stade des connaissances, mais dont les défaillances — développement de logiciels de calculs ;
collectives présentent des régularités statistiques ; sur un lot de composants — développement de logiciels de modélisation ;
homogène, on sait prédire avec une bonne confiance le nombre de — campagnes d’essais pour recueillir des données de fiabilité ;
défaillances par unité de temps qui vont se produire alors qu’on reste totale- — utilisation large ou ciblée de la sûreté de fonctionnement dans la plupart
ment incapable de prédire quel composant va tomber en panne et quand. des industries ;
— utilisation de la sûreté de fonctionnement pour maîtriser tout type de
risque industriel (et peu à peu des risques juridiques, individuels, financiers,
■ Les décennies 1960 et 1970 sont marquées par les tentatives de généraliser etc.) et non seulement la sécurité ;
cette approche probabiliste si réussie à d’autres « composants » : — apparition et développement des clauses contractuelles de sûreté de
mécaniques, hydrauliques, électriques, puis aux hommes, aux logiciels... et fonctionnement et des exigences légales et réglementaires de sûreté de
l’extension de l’approche au retour à la normale (à la fiabilité vient s’ajouter la fonctionnement ;
maintenabilité). En même temps se développent des méthodes permettant de — besoin croissant de connaissances pointues dans les domaines scienti-
maîtriser les risques de systèmes complexes (centrale nucléaire, supersoni- fiques concernés dans les systèmes complexes : systèmes programmés,
que...) et non plus simplement de chaînes de composants (même complexes). sciences humaines et sociales.
Ces démarches sont conduites par les équipes constituées autour de la A ujourd’hui, le terme « sûreté de fonctionnement » recouvre l’ensemble
« théorie de la fiabilité ». Cependant elles rejoignent la prise en compte des des moyens qui permettent de se donner et de transmettre une confiance jus-
risques qui a toujours accompagné les activités à risque comme le transport. tifiée dans le succès d’un projet, d’une activité et son innocuité.
© Techniques de l’Ingénieur, traité L’entreprise industrielle AG 4 670 − 3
ＱＰＹ
ａｇＴＶＷＰ
LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________
Entre une position très prudente consistant à ne pas utiliser ces La sûreté de fonctionnement est souvent définie comme :
composants faute de pouvoir éviter les pannes, en les remplaçant à
temps par exemple, et une position très risquée consistant à espérer — fiabilité, disponibilité, maintenabilité et sécurité ;
ne pas subir trop de pannes aux mauvais moments, la SdF permet — science des défaillances ;
d’évaluer statistiquement le risque pris en fonction des choix — maintien de la qualité dans le temps.
d’architecture, de politique de maintenance, etc., mais elle ne le per-
met que parce qu’il y a une information utile qui est, ici, la loi de pro- Toutes ces définitions sont reconnues à divers titres par l’Institut
babilité de défaillance des composants en fonction du temps ! de Sûreté de Fonctionnement (ISDF). Chacune de ces définitions est
porteuse de beaucoup du contenu de la SdF, mais chacune est
cependant réductrice, trop étroite.
1.3 Produire de la confiance partageable ■ La définition « fiabilité, maintenabilité, disponibilité et
grâce à la sûreté de fonctionnement sécurité » fait donc référence aux définitions de ces termes (§ 2.3 à
§ 2.6) et met en avant la cohérence de ces approches. Par contre, si
En vertu du principe évoqué en premier dans le paragraphe 1.1, la la fiabilité (ou la maintenabilité, la disponibilité et la sécurité) est
sûreté de fonctionnement tend à « tout prévoir » (à ne pas confon- aussi une performance d’un système, la SdF ne se réduit pas facile-
dre avec « empêcher tout accident »). En vertu du deuxième prin- ment à une performance.
cipe (§ 1.2), elle tend à prendre en compte toute information
accessible. Elle offre donc les meilleures garanties possibles que ■ La définition « science des défaillances » met l’accent sur la
choix et décisions ont pu être faits et pris en toute connaissance de prise en compte des défaillances, de leurs causes, de leurs effets et
cause. souligne, en parlant de science, l’importance de la connaissance sur
les défaillances (causes, effets, mécanismes...) sans laquelle il n’y a
Il n’y a pas à proprement parler de décisions de SdF. Il y a des pas d’approche SdF. Mais elle est réductrice en ce sens que la SdF
décisions techniques, politiques, des choix de conception, d’organi- prend en compte et traite plus que des défaillances.
sation, d’exploitation, etc., toutes les décisions qui peuvent se pren-
dre dans la vie professionnelle, associative, publique, privée... La En ce qui concerne les événements finaux (les conséquences), la
SdF permet de prendre en compte de façon explicite les SdF ne prend pas en compte que les défaillances dans l’accomplis-
défaillances, les incertitudes, les aléas... dans toute la mesure, mais sement des fonctions requises (ce qui serait seulement une appro-
seulement dans la mesure, des connaissances qu’on détient à leur che fiabilité, maintenabilité, disponibilité ou « dependability »), mais
propos. Ce caractère explicite permet de justifier, de montrer, de dis- aussi des événements sans rapport avec le cahier des charges fonc-
cuter, de faire partager la représentation des conséquences (souhai- tionnel du système (approche orientée sécurité).
tées et non souhaitées, mais maîtrisées) des décisions que l’on En ce qui concerne les événements initiateurs (les causes), la SdF
prend ou que l’on veut faire prendre. ne se limite pas aux défaillances, mais peut permettre de prendre en
compte aussi bien des agressions de l’environnement, des actions
Utiliser la sûreté de fonctionnement, c’est rechercher et inattendues ou interdites des utilisateurs ou des tiers, des phénomè-
exploiter les informations relatives aux événements non nes aléatoires...
voulus : pannes, agressions, aléas..., les prendre en compte
pour des décisions plus fines, plus justes, inspirant plus ■ La définition « maintien de la qualité dans le temps » souli-
confiance. gne l’importance de la durée et l’importance de la référence à des
exigences (explicites ou non). Elle a le défaut de laisser supposer
Cela souligne aussi le fait qu’il n’y a pas de démarche sûreté de qu’une activité SdF se conduit nécessairement dans le cadre d’une
fonctionnement possible s’il n’y a pas de connaissances. La SdF est démarche qualité, ce qui est faux. C’est le choix – explicable histori-
toujours totalement dépendante de la connaissance du système étu- quement – de certains secteurs industriels où la sûreté de fonction-
dié et de l’état des sciences concernées. La recherche de ces infor- nement est très développée à l’intérieur de l’organisation Qualité,
mations, en particulier par le retour d’expérience et les essais, est mais n’est pas une nécessité ; d’autres secteurs ont une forte expé-
donc indissociable de la SdF. rience de la sûreté de fonctionnement antérieure à la Qualité au
sens moderne incarné par les normes ISO 9 000 et bien d’autres, en
particulier une expérience de la sûreté de fonctionnement orientée
vers la sécurité.
2. Notions fondamentales Nota : la recherche de termes équivalents dans d’autres langues pose de sérieux problè-
mes.
La démarche, le raisonnement « sûreté de fonctionnement »

s’appuient sur quelques notions de base qui se sont précisées au
cours de l’évolution (cf. Historique) et qui continuent à s’affiner. Par- 2.2 Risque
courir ce vocabulaire de base est donc une introduction classique à
la sûreté de fonctionnement. Le lecteur trouvera d’autres définitions
importantes dans un glossaire.
Événement redouté évalué en terme de fréquence et de gra-
vité. En sûreté de fonctionnement, il s’agit d’identifier les événe-
ments indésirables, d’évaluer la fréquence de leurs survenues et
2.1 Sûreté de fonctionnement de quoi elle dépend, d’évaluer la gravité de leurs survenues et
de quoi elle dépend ; de prendre ses décisions en fonction de
leurs impacts sur le triplet « événement, fréquence, gravité »
Aptitude d’une entité à satisfaire une ou plusieurs fonctions qu’on appelle risque.
requises dans des conditions données.
On notera que ce concept peut englober la fiabilité, la disponi-
bilité, la maintenabilité, la sécurité, la durabilité... ou des combi-
naisons de ces aptitudes. Reformuler en terme de risque les éléments de décision qui relè-
vent de la prise en compte des dysfonctionnements, des aléas, des
Au sens large, la SdF est considérée comme la science des erreurs, des agressions de l’extérieur... c’est déjà intégrer l’esprit de
défaillances et des pannes [2]. la sûreté de fonctionnement.
AG 4 670 − 4 © Techniques de l’Ingénieur, traité L’entreprise industrielle
ＱＱＰ
ｓｅＲＰＹＰ
Mesures de maîtrise des risques

instrumentées (MMRI)
État zéro et fiche de vie
par Olivier IDDIR

Ingénieur analyse des risques
Membre du réseau des experts
TECHNIP France, Paris la-Défense
1. Caractérisation d’une mesures de maîtrise SE 2 090 - 2

des risques instrumentées (MMRI) ...................................................
1.1 Contexte : plan de modernisation des installations industrielles ......... — 2
1.2 Vieillissement des MMRI .......................................................................... — 4
1.3 MMRI parmi les MMR ............................................................................... — 5
1.4 Contexte réglementaire ............................................................................ — 6
1.5 Différents types de MMRI ......................................................................... — 8
1.6 Performances des MMRI – Rappels ......................................................... — 11
2. Identification des MMRI ...................................................................... — 11
2.1 Guide DT 93 ............................................................................................... — 11
2.2 Méthode de sélection du guide DT 93..................................................... — 12
2.3 Référentiels d’évaluation des MMRI........................................................ — 15
3. Indépendance des MMRI ..................................................................... — 15
3.1 Plusieurs notions d’indépendance .......................................................... — 15
3.2 Indépendance entre la MMRI et le scénario ........................................... — 15
3.3 Indépendance des équipements dans une MMRI .................................. — 16
3.4 Critère d’indépendance des MMRI .......................................................... — 16
3.5 Indépendance des MMR et des MMRI : clarification.............................. — 18
4. État zéro et ficher de vie ..................................................................... — 19
4.1 Contenu d’une fiche de vie....................................................................... — 19
4.2 Exemple de fiche de vie – Proposition de l’EXERA ................................ — 21
5. Programme et plan de surveillance des MMRI.............................. — 24
6. Conclusion............................................................................................... — 25
uite à une recrudescence de pertes de confinement dans les secteurs de

S l’industrie chimique et pétrolière survenues à partir de 2007, un plan de
modernisation des installations industrielles (PMII) a été initié en 2008. Ce plan
a conduit à définir pour les industriels soumis au régime des installations clas-
sées pour la protection de l’environnement (ICPE) de nouvelles obligations sur
le recensement, l’évaluation et le suivi des équipements critiques.
Au travers de l’arrêté du 4 octobre 2010, il est demandé aux industriels de
mettre en place une méthodologie de gestion et de maîtrise du vieillissement
des mesures de maîtrise des risques instrumentées (MMRI). L’objectif visé est
de pouvoir garantir un maintien dans le temps des performances des MMRI
valorisées dans le cadre des études de dangers pour les sites classés SEVESO.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＴ
Cette nouvelle exigence a pour finalité de mieux prévenir le vieillissement en

imposant un suivi rigoureux de l’ensemble des systèmes instrumentés de
Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 2 090 – 1
ＱＱＱ
ｓｅＲＰＹＰ
MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI) _____________________________________________________________________________
sécurité (SIS) ainsi que certaines MMR qui couplent des équipements techni-
ques (capteur, vanne, etc.) et des actions humaines. Pour ce type de MMR, plus
connu sous le nom de système à action manuelle de sécurité (SAMS), des
conditions quant à la nature de l’action humaine sont à vérifier avant de
pouvoir les considérer comme des MMRI. Le présent article s’attache à donner
les clés au lecteur lui permettant de comprendre comment identifier les MMRI
et compiler les informations nécessaires à la réalisation des fiches de vie. Les
aspects liés à l’exploitation et à la gestion des compétences ne seront pas
abordés dans cet article. Le lecteur pourra se référer aux recommandations
présentées dans la guide méthodologique pour la gestion et la maîtrise du
vieillissement des MMRI (guide DT 93).
Glossaire 1. Caractérisation
Acronyme Signification d’une mesures de maîtrise
ADR
APS
Analyse détaillée des risques
Automate programmable de sécurité
deRs risques
(aussi nommé APidS pour automate instrumentées (MMRI)
programmable dédié à la sécurité)
AU Arrêt d’urgence
1.1 Contexte : plan de modernisation des
BPCS Basic Process Control System
installations industrielles
BTS Barrière technique de sécurité
Entre 2007 et 2009, les pertes de confinements survenues à
EDD Étude de dangers Ambès (11 janvier 2007), Donges (16 mars 2008) et la Plaine-
EI Événement initiateur de-la-Crau (7 août 2009) avec des conséquences environnementales
importantes ont mis en lumière la problématique du vieillissement
ER Événement redouté des installations. Le tableau 1 présente les causes et les consé-
FCV Flow Control Valve quences associées à ces trois pertes de confinement.
GMAO Gestion de la maintenance assistée Au regard des accidents listés dans le tableau 1 et de l’âge
par ordinateur moyen de l’outil industriel en France, le ministère du Développe-
ment a décidé d’initier fin 2008 par sa note du 12 décembre 2008
ICPE Installations classées pour la protection (note BRTICP 2008-601-CBO) un plan pour la maîtrise du vieillisse-
de l’environnement ment dans les installations industrielles. Ce plan avait pour objectif
LT Level Transmitter annoncé de prévenir la survenue d’incidents dont les causes
seraient liées à l’âge des installions.
MMR Mesure de maîtrise des risques
MMRI Mesure de maîtrise des risques instrumentée Il est demandé aux industriels d’évaluer si la défaillance de leurs
installations est susceptible de conduire à un risque technologique
MMRI C Mesure de maîtrise des risques instrumentée direct ou indirect. Dans l’affirmative, ils doivent alors se conformer
de conduite aux obligations du plan de modernisation des installations indus-
trielles.
MMRI S Mesure de maîtrise des risques instrumentée
de sécurité Les équipements concernés sont :
NC Niveau de confiance – les capacités et tuyauteries ;
PID Piping and Instrumentation Diagram – les bacs de stockage de liquides inflammables ou dangereux
PMII Plan de modernisation des installations pour l’environnement et bacs cryogéniques ;
industrielles – les canalisations de transport de gaz, d’hydrocarbures et de
PFDavg Average Probability of Failure on Demand produits dangereux ;
PFH Probability of Failure per Hour – certains ouvrages de génie civil ;

– l’instrumentation de sécurité.
PPRT Plan de prévention des risques technologiques
SAMS Système à action manuelle de sécurité Le tableau 2 précise la nature des équipements visés, les
échéances réglementaires, ainsi que les guides professionnels sur
SGS Système de gestion de la sécurité lesquels il est recommandé de s’appuyer.
SIF Safety Intrumented Function
Les exigences liées à la mise en œuvre de ce plan sont forma-
SIL Safety Integrity Level lisées au travers des prescriptions de la section I de l’arrêté du
4 octobre 2010 relatif à la prévention des risques accidentels au
SIS Safety Instrumented System sein des installations classées pour la protection de l’environne-
SNCC Système numérique de contrôle commande ment soumises à autorisation. Plus particulièrement, les articles 7
et 8 concernent les mesures de maîtrise des risques instrumentées
SV Safety Valve (MMRI).
SE 2 090 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
ＱＱＲ
ｓｅＲＰＹＰ
_____________________________________________________________________________ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI)
Tableau 1 – Accidents industriels attribués au vieillissement des installations
Localisation/
Cause Conséquence
date
Ouverture brutale 2 000 m3 passent au-dessus

d’un fond de bac des merlons en terre entourant
contenant 12 000 m3 la cuvette
de pétrole brut dans 50 m3 rejoignent les chenaux d’une
un dépôt zone marécageuse → 2 km de fossés
pollués et infiltration jusqu’à la nappe
superficielle
50 m3 s’écoulent dans la
Ambès
Garonne → avec les marées, 40 km
11 janvier 2007
de berges polluées sur la Gironde,
la Dordogne et la Garonne
Déversement de fioul
lourd dans l’estuaire
de la Loire au cours
d’un chargement de À l’origine, une fuite sur une cana-
31 000 m3 de fioul lisation de transfert de la raffinerie
de soute dans un Brèche de 16 cm due à une corrosion
navire Fuite décelée seulement 5 h après
478 t de fioul déversées dont 180 t
Donges qui ont rejoint la Loire
16 mars 2008 750 personnes mobilisées
pendant 3 mois et demi pour nettoyer
90 km de berges souillées
Dommages, coûts de dépollution et
indemnisations estimés à environ
50 millions€
5 400 m3 de pétrole brut déversés sur

5 ha de réserve naturelle
73 000 t de terres polluées décaissées,
Rupture d’une transportées et traitées
canalisation de
transport de pétrole
brut dans la réserve
Plaine naturelle de la Crau
de la Crau (site Natura 2000)
7 août 2009 Brèche
« boutonnière »
de 15 cm de large et
1,8 m de long due à
l’effet de toit
Source : présentation faite par le ministère de l’Environnement sur l’état d’avancement du plan de modernisation du 13 janvier 2010
Cet arrêté définit une MMRI comme une mesure de maîtrise des traitement comprenant une prise d’information (capteur, détec-
risques faisant appel à de l’instrumentation de sécurité. Le guide DT teur...), un système de traitement (automate, calculateur, relais...) et
93 vient préciser cette définition : MMR constituée par une chaîne de une action (actionneur avec ou sans intervention d’un opérateur).
ＱＱＳ
ｓｅＲＰＹＰ
Tableau 2 – Équipements entrant dans le cadre du plan de modernisation

des installations industrielles – échéances et guides professionnels (source UIC)
Programme
Thème État initial Guide professionnel
d’inspection/surveillance
Guide d’inspection et de maintenance

Réservoirs cryogéniques 30 juin 2011 31 décembre 2011
des réservoirs cryogéniques – DT 97
Guide d’inspection et de maintenance des

Réservoirs de stockages 31 décembre 2011 30 juin 2012
réservoirs aériens cylindriques verticaux – DT 94
Capacités/tuyauteries 31 décembre 2012 31 décembre 2013 Guide tuyauterie d’usine – DT 96
Guide de surveillance des ouvrages de génie

Rack interunités 31 décembre 2012 31 décembre 2013
civil et structures – DT 98

Caniveaux/fosses humides béton 31 décembre 2012 31 décembre 2013 civil et structures – Caniveaux et fosses humides
– DT 100

Cuvettes/massifs de réservoirs 31 décembre 2011 31 décembre 2012
civil et structure – DT 92
Guide méthodologique pour la gestion

Mesures de maîtrise des risques et la maîtrise du vieillissement des mesures
31 décembre 2013 31 décembre 2014
instrumentales de maîtrise des risques instrumentées (MMRI) –
DT 93
en compte par le biais de calcul de fiabilité. En effet, pour un sys-

Seuls les établissements soumis à l’arrêté du 10 mai 2000 tème de sécurité, le seul bon fonctionnement (absence de panne)
modifié (SEVESO seuil haut ou SEVESO seuil bas) sont concer- peut s’avérer insuffisant et il est nécessaire de prévenir la dégrada-
nés par l’identification des MMRI. tion dans le temps des performances pour pouvoir justifier de la
maîtrise du risque dans le temps.
Par exemple, pour les MMRI dont le mode de détection repose
1.2 Veillissement des MMRI sur de la détection de gaz ambiante, il est connu que les détecteurs
de gaz (comme d’autres instruments de mesure) ont tendance à
Il existe de nombreuses définitions possibles du vieillissement. dériver dans le temps et que leur fonctionnement peut être altéré
Dans l’article [SE 2 080], les auteurs proposent de retenir la par des paramètres extérieurs. De ce fait, le temps de réponse peut
définition proposée par l’Agence pour l’énergie nucléaire et reprise être allongé avec pour conséquence une augmentation du délai
par l’Electric Power Research Institute (EPRI) : Processus par lequel avant la mise en sécurité des installations. Plus précisément, pour
les caractéristiques d’un système, structure ou composant (SSC) se les détecteurs de gaz toxiques, suite à une campagne d’évaluation
modifient graduellement avec le temps ou l’utilisation. D’après [1], des détecteurs d’ammoniac, l’INERIS concluait que ces dispositifs
ces mêmes auteurs définissent le vieillissement comme suit : Le entraient dans « une période d’endormissement » s’ils n’étaient
vieillissement est un phénomène continu et progressif qui dépend pas régulièrement mis en présence de gaz ammoniac [2]. Cet
bien souvent d’un grand nombre de covariables influentes telles endormissement ayant pour conséquence d’allonger les temps de
que le temps de fonctionnement, les chargements appliqués, les réponse et donc les temps de déclenchement d’alarme de façon
propriétés des matériaux, le régime d’exploitation... Il se traduit par non négligeable.
une altération des performances due à un mécanisme de dégrada-
tions physique ou chimique, propre au matériel et aux matériaux La prise en compte des dérives dans le temps de performances
qui le constituent et à ses conditions d’environnement. des MMRI valorisées dans le cadre d’une étude de dangers est
nécessaire puisque les niveaux performances retenus ont un
De la définition précédente, il ressort que pour juger du vieillis- impact sur la criticité du risque vis-à-vis duquel la MMRI est
sement d’un système, la prise en compte du seul âge n’est pas suf- valorisée.
fisante. En effet, le vieillissement dépend d’une part des conditions
susceptibles de modifier dans le temps ces caractéristiques, et Par exemple, pour une MMRI dont la fonction de sécurité serait
d’autre part des actions mises en œuvre dans le but d’atténuer ou d’isoler une canalisation par la fermeture d’une vanne d’isolement
de ralentir les mécanismes de dégradation. automatique, une dérive (à la hausse) de son temps de réponse
aboutirait à un délai d’isolement plus long et donc potentiellement
à une masse explosible formée plus importante. À titre d’exemple,
Les MMRI sont concernées par la problématique du vieillis- le tableau 3 présente l’évolution de la masse explosible en fonc-
sement puisqu’il peut mener à leur indisponibilité ou à la tion de la durée d’une fuite de propane liquéfié à pression de satu-
dégradation des performances, ce qui a pour conséquence ration (To = 15 oC) suite à une rupture de canalisation de diamètre
d’abaisser le niveau de sécurité d’une installation. 6″.
Nota : l’isolement d’une fuite ne permet de limiter la masse explosible formée que
dans le cas où le temps de réponse de la MMR est inférieur au temps de stabilisation du
Pour les systèmes instrumentés, il est important de ne pas limi- nuage. Si le délai d’isolement est supérieur au temps de stabilisation, isoler aura pour
ter la prévention du phénomène de vieillissement à sa seule prise effet de réduire le temps de persistance du nuage explosible.
SE 2 090 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
ＱＱＴ
ｓｅＲＰＹＰ
_____________________________________________________________________________ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI)
Tableau 3 – Exemple d’évolution de la masse explosible en fonction de la durée d’isolement

Temps de réponse de la MMRI
15 s 20 s 30 s
Conditions atmosphériques 3–F 5–D 3–F 5–D 3–F 5–D
Masse explosible ..............................................(kg) 543 440 638 471 726 480
3-F : vent 3 m/s et classe de Pasquill « moyennement à très stable »
5-D : vent 5 m/s et classe de Pasquill « neutre »
Nota : les distances d’effets présentées dans ce tableau ne sont pas génériques, mais liées à des hypothèses de modélisation non présentées dans le cadre de
cet article
1.3 MMRI parmi les MMR Les différents types de MMR sont présentés sur le schéma de la
figure 1.
Dans son rapport Ω 10 [3], l’INERIS propose de retenir la classifi- Nota : dans le rapport OMEGA 10 datant de décembre 2008, la terminologie utilisée
cation présentée en figure 1 pour caractériser les MMR. Les défini- est le terme de barrière (remplacé ici par MMR).
tions sont les suivantes :
À l’heure actuelle, la sémantique retenue par les inspecteurs
– MMR humaine : MMR constituée d’une activité humaine qui DREAL dans le cadre des instructions des EDD et PPRT est celle
s’oppose à l’enchaînement d’événements susceptible d’aboutir à rapportée sur le schéma de la figure 1.
un accident ;
– MMR technique : MMR constituée d’un dispositif de sécurité Il est important de bien comprendre que comme représenté sur
ou d’un système instrumenté de sécurité (SIS) qui s’oppose à la figure 1, les MMRI sont tout d’abord des MMR et que de ce fait,
l’enchaînement d’événements susceptible d’aboutir à un accident ; elles doivent répondre aux exigences de l’article 4 de l’arrêté du
– système à action manuelle de sécurité (SAMS) : MMR faisant 29 septembre 2005.
intervenir des éléments techniques et humains. Les MMRI peuvent donc être considérées comme un sous-
groupe de MMR. Deux types de MMRI sont à différencier :
– les MMRI qui couplent des dispositifs techniques (capteurs,
En croisant les définitions précédentes à celle d’une MMRI automate, etc.) et une action humaine (action opérateur). Ces
(cf. arrêté du 4 octobre 2010), il apparaît que les SIS et certains MMRI sont assimilables à des systèmes à action manuelle de sécu-
SAMS peuvent entrer dans la catégorie des MMRI. rité (SAMS) dans lesquels l’action humaine est limitée (§ 1.5.1) ;
MMR
MMR pouvant répondre à la définition

MMR MMR d'une MMRI au sens de l'arrêté du 4
humaines techniques octobre 2010
Systèmes à action
manuelle de sécurité
(SAMS)
Dispositif de
sécurité Systèmes
instrumentés de
sécurité (SIS)
Passif Actif
Figure 1 – Caractérisation des mesures de maîtrise des risques d’après l’INERIS [3]
ＱＱＵ
ｓｅＲＰＹＰ
1.4 Contexte réglementaire
1.4.1 Arrêté du 4 octobre 2010

MMR de l’EDD L’arrêté du 4 octobre 2010, relatif à la prévention des risques
accidentels au sein des ICPE soumises à autorisation, définit des
dispositions relatives à la prévention des risques liés au vieillisse-
ment de certains équipements (réservoirs aériens cylindriques
verticaux, capacités, tuyauteries, massifs des réservoirs, cuvettes
MMRI de
de rétention, mesures de maîtrise des risques instrumentées). Les
l’EDD articles 7 et 8 sont applicables aux MMR faisant appel à l’instru-
mentation de sécurité et préconisent :
– la réalisation d’un état initial des MMRI ;
– l’élaboration d’un plan et d’un programme de surveillance des
MMRI ;
– l’élaboration d’un dossier pour chaque MMRI.
À titre de rappel, seuls les établissements soumis à l’arrêté du
10 mai 2000 modifié (SEVESO seuil haut ou SEVESO seuil bas)
MMRI PMII sont concernés par les exigences précitées.
Pour établir l’état initial, le programme de surveillance et le plan
de surveillance, les industriels peuvent s’appuyer soit :
– sur la base du guide professionnel reconnu par le ministère en
charge de l’Écologie ;
– sur la base d’une méthodologie développée par l’exploitant,
pour laquelle le préfet peut exiger une analyse critique par un
organisme extérieur expert, choisi par l’exploitant en accord avec
Figure 2 – MMRI : un type de MMR l’administration.
Ci-après les articles 7 et 8 extraits de l’arrêté du 4 octobre 2010.
– les MMRI qui ne comportent que des dispositifs techniques. Art. 7. – Le présent article est applicable aux mesures de maîtrise
Ces MMRI sont assimilables à des fonctions instrumentées de des risques, c’est-à-dire aux ensembles d’éléments techniques
sécurité (SIF). et/ou organisationnels nécessaires et suffisants pour assurer une
fonction de sécurité, faisant appel à de l’instrumentation de sécu-
rité visées par l’article 4 de l’arrêté du 29 septembre 2005 susvisé
et présentes au sein d’un établissement soumis à l’arrêté du 10
Valorisation des MMRI avec action humaine mai 2000 susvisé.
pour les « filtres probabilité » EDD et PPRT Sont exclues du champ d’application de cet article les mesures
de maîtrise des risques faisant appel à de l’instrumentation de
Le guide qui accompagne la note de doctrine précise que sécurité dont la défaillance n’est pas susceptible de remettre en
les MMRI avec action humaine ne peuvent pas être consi- cause de façon importante la sécurité lorsque cette estimation de
dérées comme des « MMR techniques » au sens de la circu- l’importance est réalisée selon une méthodologie issue d’un guide
laire du 10 mai 2010. Seules les MMRI ne comportant pas professionnel reconnu par le ministre chargé de l’Environnement.
d’intervention humaine peuvent être assimilées à des MMR L’exploitant réalise un état initial des équipements techniques
techniques et entrer dans le cadre de l’application des « filtres contribuant à ces mesures de maîtrise des risques faisant appel à
probabilité » PPRT et MMR. de l’instrumentation de sécurité.
À l’issue de cet état initial, il élabore un programme de sur-
veillance des équipements contribuant à ces mesures de maîtrise
Pour les MMRI qui ne comportent pas d’action humaine, comme des risques.
le présente le tableau 4, il est nécessaire de préciser que ce type L’état initial, le programme de surveillance et le plan de sur-
de MMRI et les SIF répondent à des exigences et à des cadres veillance sont établis soit sur la base d’un guide professionnel
différents. reconnu par le ministre chargé de l’Environnement, soit sur la
Tableau 4 – MMRI et SIF

MMRI SIF
Les MMRI sont définies en lien avec les scénarios d’accidents étudiés Les SIF sont définies à partir d’une analyse des risques (pas néces-
dans l’étude de dangers sairement réglementaires) qui vise à définir le niveau de SIL requis
nécessaire pour rendre le risque acceptable
Les MMRI doivent répondre aux exigences de la réglementation Les SIF doivent répondre aux exigences des normes de sécurité
ICPE : fonctionnelle : IEC 61508 et IEC 61511
1. loi du 30 juillet 2003
2. arrêté du 29 septembre 2005
3. circulaire du 10 mai 2010
4. arrêté du 4 octobre 2010
ＱＱＶ
ｓｅＵＰＸＰ
Pondération des fréquences

de fuite dans le cadre des analyses
de risques industriels
par Olivier IDDIR

Ingénieur en analyse de risques industriels
Technip France
Service Expertise et Modélisation
Division Procédés et Technologies
1. Introduction ............................................................................................... SE 5 080 - 3

2. Quantification des fréquences de fuite :
une nécessité dans les analyses de risques quantifiées ............... — 3
3. Principe de la pondération des fréquences de fuite ...................... — 5
4. Répartition des causes de fuite sur canalisation ............................ — 8
5. Méthodologies et propositions en lien avec la pondération........ — 11
6. Comment choisir la banque de données à pondérer ? .................. — 26
7. Influence du système de management de la sécurité
sur la fréquence de fuite ........................................................................ — 29
8. Influence des méthodes risk based inspection (RBI)
sur la fréquence de fuite ........................................................................ — 30
9. Conclusion.................................................................................................. — 31
es fuites sur canalisation représentent une part importante des événements

L redoutés identifiés dans les analyses de risques réalisées dans le cadre des
études réglementaires françaises (étude de dangers), mais aussi dans le cadre
des études dites QRA (quantitative risk assessment).
Pour quantifier l’occurrence d’une fuite sur canalisation, l’une des méthodes
couramment utilisée consiste à extraire une fréquence d’occurrence dite
linéique (/an · m) d’une banque de données, et à la multiplier par le métré de la
canalisation. Cette manière de procéder a pour principal intérêt d’être relative-
ment simple à mettre en œuvre. En revanche, un certain nombre de questions
se posent quant à l’utilisation des valeurs « moyennes » rapportées dans les
banques de données. Il est alors nécessaire de distinguer deux types de
banques de données :
– les banques de données qui sont spécifiques à un secteur d’activité, telle
que l’EGIG 6th pour les canalisations de transport de gaz (pipe) ou l’UKOPA 4th
pour les canalisations de transport d’hydrocarbures (pipe) ;
– les banques de données « multisecteurs », telle que le CPR 18 E, plus
connu sous le nom de Purple Book.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪ｡ｮｶｩ･ｲ＠ＲＰＱＱ

ＱＱＷ
ｓｅＵＰＸＰ
PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________
Utiliser les fréquences de fuite rapportées par l’EGIG 6th dans le cadre d’une
analyse de risques portant sur une canalisation de transport de gaz ne pose a
priori pas de problème, puisque les valeurs rapportées dans cette banque de
données sont spécifiques à ce secteur d’activité. En d’autres termes, les
valeurs rapportées dans cette banque constituent de bons estimateurs des fré-
quences de fuite. En revanche, lorsque l’on souhaite évaluer la fréquence de
fuite sur une canalisation pour un secteur d’activité qui n’est pas couvert par
une banque de données spécifique, il se pose la question de la représentativité
des valeurs. En effet, comment juger si la valeur rapportée dans la banque est
trop pessimiste, ou au contraire trop optimiste, au regard des différentes
causes de fuite et mesures de prévention identifiées lors de l’analyse des ris-
ques. Pouvoir s’écarter à la hausse ou à la baisse des valeurs rapportées dans
les banques de données devient alors nécessaire si l’on souhaite mener une
analyse des risques spécifique en prenant en compte les particularités du
système étudié (nature et intensité des causes pouvant mener à la fuite, perfor-
mance des mesures de prévention mises en place par l’industriel, etc.).
Cet article propose de faire un point sur l’état des connaissances actuelles
sur le thème de la pondération des fréquences de fuite dans le cadre des ana-
lyses de risques quantifiées.
Termes et acronymes Définition

API American Petroleum Institute
Projet européen débuté en janvier 2002 dont l’objectif général était de proposer
une nouvelle méthodologie d’analyse des risques combinant les avantages
ARAMIS
des différentes méthodes rencontrées en Europe, à savoir les approches probabilistes et les
approches déterministes
CCPs (Center for Chemical Process Centre créé en 1985 par l’American Institute of Chemical Engineers (AIChE).
Safety) Le CCPs a pour objectif de promouvoir l’amélioration de la sécurité
Ouvrage rapportant des données probabilistes nécessaires à la réalisation d’analyse
de risques de type QRA. Ces données sont issues d’un consensus établi
entre les représentants des industries, les autorités compétentes et le gouvernement
CPR 18 E
des Pays-Bas. L’ouvrage a été rédigé par le RIVM (National Institute of Public Health
and the Environment ) et supervisé par une sous-commission sur l’évaluation du risque
du Committee for Prevention of Disasters (CPR)
CODETI Code de construction des tuyauteries industrielles
COMAH Control of major accidents hazards
DAE Dossier d’autorisation d’exploiter
EGIG European gas pipeline incident data group
Événement, courant ou anormal, interne ou externe au système, situé en amont
de l’événement redouté dans l’enchaînement causal, et qui constitue une cause directe dans
Événement initiateur les cas simples ou une combinaison d’événements à l’origine de cette cause directe. Dans la
représentation en « nœud papillon », cet événement est situé à l’extrémité gauche (définition
issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
Événement conventionnellement défini, dans le cadre d’une analyse de risques,
au centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte
de confinement pour les fluides et d’une perte d’intégrité physique pour les solides.
Événement redouté
Les événements situés en amont sont conventionnellement appelés « phase
pré-accidentelle » et les événements situés en aval « phase post-accidentelle »
(définition issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
Major accident reporting system
MARS Banque de données de l’Union européenne dont la finalité est de recenser
les accidents majeurs

SE 5 080 − 2 est strictement interdite. − © Editions T.I.
ＱＱＸ
ｓｅＵＰＸＰ
_____________________________________________ PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS
Termes et acronymes Définition

Mesures visant à prévenir un risque en réduisant la probabilité d’occurrence
Mesure de prévention d’un phénomène dangereux (définition issue de la circulaire no DPPR/SEI2/MM-05-0316
du 7 octobre 2005)
Mesures visant à limiter l’étendue ou/et la gravité des conséquences d’un accident
Mesure de protection sur les éléments vulnérables (définition issue de la circulaire no DPPR/SEI2/MM-05-0316
du 7 octobre 2005)
L’évaluation de la performance des barrières de sécurité s’effectue au travers de leur
efficacité, temps de réponse et niveau de confiance au regard de leur architecture
Performance des MMR
(en référence à la norme EN NF 61 508) (définition issue de la circulaire
no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
PPRT Plan de prévention des risques technologiques
Au sens de l’article L. 512-1 du Code de l’environnement, la probabilité d’occurrence
d’un accident est assimilée à sa fréquence d’occurrence future estimée
Probabilité d’occurrence sur l’installation considérée. Elle est en général différente de la fréquence historique
et peut s’écarter, pour une installation donnée, de la probabilité d’occurrence moyenne
évaluée sur un ensemble d’installations similaires
RBI Risk based inspection
« Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73)
Risque
« Combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51)
Quantitative risk assessment = analyse quantifiée des risques
QRA Analyse probabiliste dont le but est d’évaluer le niveau de risque pour un individu
(risque individuel) ou pour un groupe d’individus (risque sociétal)
UFIP Union française des industries pétrolières
UKOOA United Kingdom off shore operators association
1. Introduction 2. Quantification
Les enjeux liés à la réalisation d’analyses des risques deviennent
des fréquences de fuite :
de plus en plus cruciaux pour les industriels. En effet, à gravité
constante, un scénario d’accident peut, en fonction de sa probabi-
une nécessité
lité, nécessiter des modifications des concepts de sécurité, voire dans les analyses
dans le cas de la réglementation française, aboutir :
– au refus de l’autorisation d’exploiter (étude de danger réalisée
de risques quantifiées
dans le cadre de DAE) ;
– à la fermeture de site industriel dans le cas où l’acceptabilité
du site ne pourrait être démontrée au sens de la circulaire du 2.1 Rappel sur la quantification
29 septembre 2005 ; des risques
– à l’expropriation de riverains consécutivement à la mise en
œuvre d’un plan de prévention des risques technologiques (PPRT). La quantification des risques implique l’évaluation de la probabi-
L’évaluation des probabilités d’occurrence des accidents indus- lité et de la gravité des accidents. Cette dernière repose générale-
triels nécessite un degré de détail de plus en plus poussé, et donc ment sur une évaluation des distances d’effets, puis sur le
le recours à l’utilisation de méthodologies de plus en plus décompte des cibles impactées. L’évaluation de la probabilité,
complexes (arbre de défaillances, arbre d’événements, etc.) pour repose de plus en plus sur la mise en œuvre de méthodologies qui
lesquelles l’utilisation de banques de données est souvent nécessitent le recourt à l’utilisation de banques de données. La
nécessaire. Afin d’éviter de surestimer ou de sous-estimer les figure 1 présente de manière simplifiée les différentes étapes
risques, ou encore de réaliser des études « standard », il parait menées lors d’un processus de quantification des risques.
indispensable de s’écarter à la hausse ou à la baisse des valeurs Lors de l’évaluation des probabilités des accidents, trois princi-
rapportées dans les banques de données. Mener une réflexion sur paux facteurs doivent être évalués :
la nécessité de pondérer ces valeurs est aujourd’hui essentiel au
regard des enjeux liés aux analyses des risques. Ainsi, dans le – 1) la fréquence de l’événement redouté à l’origine de
cadre des projets d’ingénierie, estimer au plus juste les fréquences l’accident [SE 4 055] ;
de fuite est impératif, d’une part pour démontrer l’acceptabilité des – 2) la probabilité de défaillance des mesures de mitigation
risques, et d’autre part pour optimiser les coûts liés aux résultats [SE 4 057] [SE 4 058] ;
des études de sécurité (implantation des équipements, perfor- – 3) la probabilité d’inflammation (dans le cas des produits
mances à allouer aux chaînes de sécurité, etc.). inflammables) [SE 4 020].

ＱＱＹ
ｓｅＵＰＸＰ
Définition des scénarios

Fréquence
accidentels
des événements redoutés
Probabilité de défaillance
des barrières de sécurité
Évaluation Évaluation
de la probabilité (P) de la gravité (G)
Probabilité
d'inflammation
Divers (direction
des vents, etc.)
Évaluation du risque
(P x G)
Critères
d'acceptabilité
NON Barrière(s)
Risque acceptable ? de sécurité
supplémentaire(s)
OUI
Fin de l'analyse
Figure 1 – Principe d’évaluation des risques
D’autres paramètres sont parfois introduits dans le cadre de – substances inflammables (12,5 %) ;
l’évaluation des probabilités d’accident ; on peut citer par exemple – substances extrêmement inflammables (8,9 %) ;
la répartition statistique des directions de vent. – substances très toxiques (6 %).
Bien que l’objet de cet article ne soit pas de détailler les diffé- Cette étude permet aussi d’identifier le poids des différents équi-
rentes méthodologies permettant de quantifier les fréquences des pements à l’origine de la plupart des pertes de confinement recen-
événements redoutés, il est important de rappeler qu’il existe deux sées. Cette répartition est présentée dans le tableau 1.
approches :
1) l’approche dite « directe » qui consiste à allouer à l’événement La majorité des incidents se produit lors du fonctionnement nor-
redouté une fréquence extraite d’une banque de données ; mal de l’installation ; seuls 15,6 % des incidents se sont produits
2) l’approche dite « par calcul » qui consiste à évaluer la fré- durant une opération de maintenance.
quence de l’événement redouté à partir de la connaissance des fré- Les canalisations (en incluant les brides, les soudures, le corps
quences des événements initiateurs et des probabilités de et les open end ) sont à l’origine de 23,3 % des pertes de
défaillances des mesures de prévention. confinement ; celles-ci se produisent dans 51 % des cas durant le
À ce jour, l’approche directe est généralement retenue pour les fonctionnement normal de l’installation et 32 % durant une phase
événements redoutés de type perte de confinement sur capacité. de maintenance.
Cette approche est aussi préférée dans le cadre de la réalisation Une analyse plus profonde de la causalité des pertes de
des analyses QRA du fait du très grand nombre d’événements confinement permet de mettre en évidence une « défaillance » du
redoutés traités dans ce type d’étude. système de management de la sécurité.
L’analyse démontre que 81 % des incidents sont le résultat de
plans ou d’application de procédures inadéquats qui incluent :
2.2 Perte de confinement sur capacité :
événement redouté « type » – la conception de l’installation dans 25,6 % des cas ;
– la planification d’opération d’exploitation ou de maintenance
dans les analyses de risques qui représentent respectivement 15,6 % et 22,6 % des cas ;
Le rapport de projet mené par le Health & Safety laboratory, qui – la gestion des modifications dans 5,7 % des cas ;
vise à fournir des informations au HID (hazardous installations – la gestion du permis feu dans 4,9 % des cas ;
directorate ) [1], apporte des éléments qui permettent de mettre en – les procédures d’inspection dans 3,5 % des cas ;
évidence l’importance du poids des pertes de confinement au tra- – l’évaluation des compétences dans 1,7 % des cas.
vers des incidents et accidents recensés. Cette étude, effectuée en
Grande Bretagne sur une durée de onze ans (entre 1991 et 2002)
démontre que sur 2 500 incidents, 718 impliquent une perte de À retenir : l’étude du HSL permet de confirmer que la perte
confinement d’équipement. de confinement sur équipement constitue l’un des événements
La nature des produits impliqués dans ces incidents sont en redoutés récurrents lors de l’analyse des incidents et accidents
majorité (63,6 %) soumis aux réglementations COMAH (control of recensés dans l’accidentologie. Il ressort aussi l’importance du
major accidents hazards ) en Grande Bretagne. Ces produits sont système de management de la sécurité dans la prévention des
des : accidents, puisque 81 % des incidents recensés dans cette
étude sont le résultat de plan ou d’application de procédures
– produits toxiques (15,3 %) ;
– liquides très inflammables (13,2 %) ; inadéquats.

ＱＲＰ
ｓｅＵＰＸＰ
Tableau 1 – Répartition statistique des différents équipements à l’origine des pertes

de confinement (d’après l’étude du HSL [1])
Composant Nombre de perte Pourcentage
Équipement
de l’équipement de confinement (%)
Bride 50 7
Soudure 9 1,3
Canalisation (pipe work)
Corps de la canalisation 46 6,4
Open end 62 8,6
Bride 7 1
Réacteur Corps du réacteur 29 4
Open end 128 17,8
Bride 4 0,6
Vanne Corps de vanne 22 3,1
Open end 87 12,1
Bride 4 0,6
Réservoir de stockage Corps du réservoir 22 3,1
Open end 64 8,9
Raccordement 28 3,9
Flexible Corps du flexible 19 2,6
Open end 23 3,2
Bride 4 0,6
Autre équipement Corps 14 1,9
Étanchéité 18 2,5
Camion citerne durant phase de déchargement – 19 2,6
Pompe – 19 2,6
Scrubber – 13 1,8
3. Principe de la pondération sans apporter d’informations sur le secteur d’activité, la nature du

produit ou encore les conditions d’exploitation. Ces données sont
des fréquences de fuite donc considérées comme des données « génériques ».
La plupart des banques de données présentent comme principal
défaut de rapporter des valeurs « moyennes » qui peuvent ne pas
être représentatives du site faisant l’objet de l’analyse de risques. Il
3.1 Pourquoi pondérer les fréquences est indéniable qu’en fonction du niveau de sécurité (nombre,
de fuite ? nature, fiabilité et efficacité des barrières de sécurité), la probabi-
lité d’occurrence des accidents peut être plus ou moins grande. Il
Dans le cadre des analyses de risques quantifiées (QRA ou apparaît alors nécessaire :
autres), il est nécessaire de pouvoir estimer les probabilités
d’occurrence de phénomènes dangereux pouvant survenir – d’identifier les facteurs susceptibles de modifier (à la hausse
consécutivement à des événements, tels que des pertes de ou à la baisse) les fréquences d’occurrence d’événements redou-
confinement de capacité (brèche sur tuyauterie, rupture d’enceinte tés, tels que les brèches sur canalisation, les ruptures de piquage,
sous pression, etc.). Il existe à ce jour un certain nombre de ban- etc. ;
ques de données (HCRD, UKOPA, EGIG, etc.) dont l’analyse du – de proposer des facteurs de correction permettant de pondérer
contenu a fait l’objet d’un développement au sein de les valeurs rapportées par les banques de données en fonction des
l’article [SE 4 055]. Ces banques de données rapportent des fré- mesures de prévention mises en place.
quences de fuite issues d’une exploitation statistique du retour Bien qu’il soit couramment admis que les calculs réalisés dans
d’expérience. Ainsi, ces données peuvent être considérées comme le cadre des analyses de risques permettent d’obtenir une évalua-
« spécifiques » (puisqu’elles sont représentatives d’un échantillon tion des fréquences, et donc une incertitude sur les résultats, il
d’équipements similaires). En parallèle de ces banques coexistent reste nécessaire d’évaluer au plus juste ces valeurs. En effet, une
des banques de données qui rapportent des fréquences de fuite surévaluation des risques peut avoir des conséquences sur le coût
pour différents types d’équipements (canalisation, réservoir, etc.) des installations (du fait de la mise en place de dispositifs de sécu-

ＱＲＱ
ｓｅＵＰＸＰ
3 × 10–5 3 × 10–5
ER ER
3 × 10–4 3 × 10–4
A B C A B C
10–5 10–5 10–5 Décote Décote 3 × 10–5 ε ε

d'un facteur 10 d'un facteur 10
10–4 10–4 10–4 3 × 10–4 ε ε
Cas d'une répartition de causes Cas d'une répartition de causes avec

« équiprobables » une cause prépondérante
Figure 2 – Principe de la décote
rité qui peuvent parfois ne pas se justifier au regard des risques).

Au contraire, une sous-évaluation des risques peut conduire à des
accidents majeurs préjudiciables pour l’industriel.
L’évaluation des fréquences d’occurrence des événements
redoutés de type perte de confinement sur capacité constitue une
étape prépondérante lors de la quantification des probabilités
d’occurrence des phénomènes dangereux de type incendie,
explosion ou dispersion de toxique. Une erreur lors de cette étape
peut avoir des conséquences significatives sur les conclusions de
l’analyse des risques et mener à des prises de décisions non perti-
nentes.
À retenir : dans le cadre des analyses de risques industriels,

la perte de confinement (brèche ou rupture) constitue un évé-
nement type qui est systématiquement étudié. La question de
la quantification des fréquences de fuite sur équipement revêt
Figure 3 – Arbre des causes non exhaustif dédié à l’illustration
alors toute son importance pour évaluer au plus juste les pro- de l’approche 1
babilités des phénomènes dangereux qui y sont associés.
Pondérer une fréquence de fuite peut se faire par différentes

approches :
3.2 Comment pondérer ?
– approche 1 : pondération de la fréquence de fuite d’un équipe-
Dès lors qu’une fréquence de fuite est disponible dans une ban- ment en prenant en compte le poids des différentes causes et la
que de données, il n’est pas aisé de justifier d’une éventuelle sur- performance des mesures de prévention mises en œuvre (appro-
cote ou décote de cette valeur. En effet, les analyses de risques ont che par arbre de défaillances) ;
parfois tendance à surévaluer l’impact des barrières de prévention – approche 2 : pondération de la fréquence de fuite d’un équipe-
sur la fréquence d’occurrence des événements redoutés de type ment par application directe de facteurs de pondération sans une
perte de confinement. Ainsi, il est courant de trouver des décotes analyse préalable des causes et des mesures de prévention mises
d’un facteur 10, voire 100, sans justification probante portant sur en place.
les fréquences issues des banques de données. Supposons,
comme le montre la figure 2, que trois causes de fuite (A, B, C) sur
capacité soient identifiées et que la banque de données consultée 3.2.1 Principe de l’approche 1
rapporte une fréquence de fuite de 3 · 10–5/an. Pouvoir décoter
cette fréquence d’un facteur 10 suppose donc : Dans cette approche, il est nécessaire de disposer au préalable
d’une fréquence de fuite issue de banque de données et d’une
1) de pouvoir décoter d’un facteur 10 chacune des branches répartition statistique des causes de fuite.
(dans le cas où toutes les branches de l’arbre seraient
équiprobables) ; Une fois ces données disponibles, une analyse de risques visant
2) de pouvoir décoter une branche qui représente la quasi-tota- à identifier les causes qui peuvent mener à la fuite doit alors être
lité de la fréquence d’occurrence (dans le cas où une cause pré- effectuée afin de construire un arbre des causes. Pour chacune
pondérante serait identifiée). d’elles, il faut recenser les mesures de prévention mises en place
par l’industriel et leur allouer une probabilité de défaillance.
La difficulté consiste à proposer des facteurs de pondération qui
puissent être justifiés. Si l’on souhaite donner du crédit à une telle L’arbre des causes présentées en figure 3 illustre l’application de
démarche, il est indispensable de pouvoir argumenter quant au cette approche qui permet de décoter la fréquence de fuite rappor-
choix des valeurs. tée dans une banque de données.

ＱＲＲ
ｓｅＵＰＸＰ
Tableau 2 – Difficulté de mise en œuvre de la démarche « idéale »

Phase Difficulté
Évaluation du poids statistique Effectuer une répartition statistique des causes de fuite par taille de brèche qui correspond
de chaque cause au secteur d’activité faisant l’objet de l’étude.
• Savoir quelles sont les mesures de prévention mises en place sur les installations
qui composent le retour d’expérience. Les banques de données ne fournissent pas un tel
degré de détail et il est difficile de savoir quelles sont les barrières dont la « performance »
est déjà inclue dans la fréquence d’occurrence rapportée par la banque. En effet, il est
important de ne pas prendre en compte deux fois l’effet des mesures de prévention.
Évaluation de l’effet des mesures
En d’autres termes, seules des mesures de prévention jugées « spécifiques » peuvent
de prévention
être prises en compte lors de l’application de cette démarche.
• Allouer une probabilité de défaillance aux différentes barrières de prévention sachant
que certaines sont des barrières basées sur de l’organisationnel (plan d’inspection basé
sur une approche de criticité des lignes, etc.) ou sur des coefficients de sécurité par rapport
aux standards ou codes de conception (sur épaisseur de corrosion, etc.).
Évaluation du poids de Sélection d’une fréquence

Identification des causes
chacune des causes à l’aide de fuite générique dans
pouvant mener à la fuite
d’une répartition statistique (wi) une banque de données (FBdD)
Identification des barrières

Évaluation de la fréquence
de prévention mises en
de fuite
place
pondérée (Fp)
n
Fp = FBdD × ∑i =1(wi × Pdi )
Identification des barrières Évaluation de l’impact

de prévention spécifiques de ces barrières
au secteur d’activité étudié* de prévention (Pdi)
Figure 4 – Principales étapes de l’approche de pondération no 1
Nota : seules les barrières qui sont supposées ne pas être déjà prises en compte dans
la valeur de fréquence issue de la banque de données peuvent être retenues. À retenir : l’approche décrite dans ce paragraphe ne doit pas
être confondue avec la démarche de quantification d’un arbre
À partir de l’arbre présenté en figure 3, la fréquence de l’événe- des causes ou de défaillances. Dans l’approche faisant l’objet
ment redouté « Rupture guillotine de canalisation » se calcule de ce paragraphe, la fréquence de l’événement redouté F(ER)
comme suit : est évaluée à partir d’une valeur issue d’une banque de don-
nées F(BdD) qui est pondérée à l’aide de la répartition statis-
F(ER) = F′(C1) + F′(C2) + F′(C3) + F′(C4) tique des causes et des probabilités de défaillance allouées aux
F(ER) = F(C1)) × (Pd1) + F(C2) × (Pd2) + F(C3) × (Pd3) + F(C4) × (Pd4)) barrières de prévention.
A contrario, la quantification d’un arbre des causes permet
avec F(Ci) = F(BdD) × wi, d’évaluer la fréquence de l’événement redouté à partir des fré-
quences des événements initiateurs (ou causes) et des probabi-
F(BdD) fréquence de fuite issue de la banque de données,
lités de défaillance des barrières de prévention.
wi poids statistique de la cause no i,
Pdi probabilité de défaillance de la barrière no i. 3.2.2 Principe de l’approche 2
Cette approche, qui paraît relativement simple à mettre en Contrairement à l’approche 1, celle-ci est plus macroscopique.
œuvre, implique de détenir des données difficiles à trouver. Tout En effet, elle ne se base pas sur une pondération de chacune des
d’abord, il est impératif de disposer d’une répartition statistique de causes pouvant mener à l’événement redouté, mais pondère direc-
causes pouvant amener à la réalisation de l’événement redouté, tement la fréquence issue de la banque de données. Cette pondé-
afin de pouvoir évaluer le poids de chacune des causes. Ensuite, il ration repose généralement sur une identification au préalable
faut être en mesure de quantifier l’effet des barrières de préven- d’une liste de paramètres qui sont supposés avoir une influence
tion mises en place sur la fréquence des événements initiateurs. sur la fréquence de fuite. Ces paramètres font généralement
Pour chacune des deux phases de cette démarche « idéale », le intervenir :
tableau 2 liste les difficultés de mise en œuvre.
– la conception des installations (code utilisé, prise en compte de
La figure 4 présente les différentes étapes de cette approche. facteur de sécurité, etc.) ;

ＱＲＳ
ＱＲＴ
ｓｅＴＰＰＴ
des équipements
Méthodes d’exploitation des jugements
d’experts
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique,
d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-Ingénieur – Docteur ès sciences
Professeur associé des universités retraité, Université Paris Est Créteil, France
1. Brainstorming SE 4 004 - 3
1.1 Origine et domaines d’applications ........................................................ — 3
1.2 Principes originaux du brainstorming .................................................... — 3
1.3 Adaptation de la méthode du brainstorming pour la recherche
de la criticité des équipements ................................................................ — 3
1.4 Déroulement d’une séance de brainstorming........................................ — 3
1 .5 Avantages et inconvénients de la méthode du brainstorming............. — 4
1.6 Conclusions ............................................................................................... — 4
2. Méthode Delphi ....................................................................... — 4
2.2 Description de la méthode Delphi initiale............................................... — 5
2.3 Variantes de la méthode Delphi .............................................................. — 7
2.4 Avantages et inconvénients de la méthode Delphi ............................... — 7
2 .5 Conclusions ............................................................................................... — 7
3. Méthode de l’Abaque de Régnier® ........................................... — 8
3.2 Principe original de la méthode............................................................... — 8
3.3 Adaptation de la méthode pour la détermination de la criticité ........... — 8
3.4 Variante de la méthode Delphi : méthode de Delphi Régnier® ............ — 11
3.5 Avantages et inconvénients de l’Abaque de Régnier® .......................... — 12
3.6 Conclusions ............................................................................................... — 12
4. Méthode de notation Pieu ....................................................... — 12
4.2 Principe de la méthode............................................................................. — 12
4.3 Variantes de la méthode Pieu .................................................................. — 14
4.4 Avantages et inconvénients de la méthode Pieu ................................... — 16
4.5 Conclusions ............................................................................................... — 17
5. Méthodes fondées de la maintenance basée sur la fiabilité (MBF) — 17
5.2 Principes de la maintenance basée sur la fiabilité ................................. — 17
5.3 Méthodes de détermination de la criticité pour la MBF : RCM ............. — 18
5.4 Avantages et inconvénients des méthodes fondées
sur la maintenance basée sur la fiabilité ................................................ — 22
5.5 Conclusions ............................................................................................... — 22
6. Méthode d’Ishikawa (arbres causes-conséquence-5M) .............. — 22
6.2 Principe général de la construction du diagramme d’Ishikawa............ — 22
6.3 Avantages et inconvénients du diagramme d’Ishikawa........................ — 25
7. Études comparatives des méthodes d’élaboration
de la criticité par jugements d’experts ........................................... — 26
8. Conclusion .............................................................................................. — 26
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＱＴ
ＱＲＵ
ｓｅＴＰＰＴ
ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________
a criticité de certains équipements d’installations industrielles doit impéra-

L tivement être évaluée ; la défaillance de ces équipements peut avoir des
conséquences graves sur le personnel, l’environnement, le respect de la régle-
mentation, sans parler des conséquences d’arrêts de production.
Cependant, la détermination de la criticité des équipements en cours de
conception, ou déjà en phase d’exploitation, pose de nombreuses difficultés si
l’on ne dispose pas de données réelles de retour d’expérience archivées dans les
banques de données spécialisées. Cette situation se rencontre très fréquemment
dans de nombreuses entreprises où la connaissance est mémorisée par les diffé-
rents experts qui conçoivent, exploitent ou maintiennent ces équipements. On
notera cependant que souvent la qualité d’expert est ambiguë, voire contestée.
Pour pallier cette difficulté, il devient nécessaire de faire appel à des méthodes
qui reposent sur les connaissances d’un panel d’experts en comportement des
équipements. Pour obtenir un consensus d’experts, la majorité de ces techni-
ques repose sur les votes des experts en utilisant des questionnaires où chaque
réponse est codée suivant une échelle prédéfinie ou un codage par couleur.
La première méthode présentée dans cet article, le Brainstorming d’Osborn, est
un outil de créativité libre et ordonné qui permet de rechercher en groupe et en
toute liberté un maximum d’idées sur un sujet donné ou d’inventer des solutions
pour résoudre un problème. Cette méthode s’adapte à la recherche de la criticité
des équipements, en demandant à chacun des membres du panel d’experts de
donner leur avis sur la criticité du même équipement dont ils connaissent parfaite-
ment le fonctionnement en toute liberté et indépendamment des autres experts.
La seconde méthode Delphi a été mise au point dans les années 1950 par
Olaf Helmer à la Rand Corporation. La méthode implique un groupe d’experts
qui, sous la direction d’un animateur, répondent anonymement et de façon
individuelle aux questionnaires et reçoivent ensuite de la part de l’animateur la
synthèse des informations sous la forme d’une représentation statistique de la
réponse collective. Ensuite, l’animateur renvoie une autre série de question-
naires et assure le dépouillement et la synthèse, éventuellement sous forme
statistique, des réponses. Après quoi le processus se répète. L’objectif est de
réduire l’éventail des réponses pour obtenir un consensus. On présente égale-
ment les versions apparues avec Internet.
La troisième méthode correspond à celle de l’Abaque de Régnier®. Le
groupe d’experts se voit proposer une liste de questions (items) à laquelle
chaque expert doit répondre de façon non verbale en utilisant un code de sept
couleurs. Ensuite, en affectant une valeur numérique à chaque avis, on
construit plusieurs tableaux colorés pour définir des entités spécifiques à la
méthode. Leurs interprétations visuelles permettent de déterminer les items
qui font l’objet d’un consensus et d’identifier les experts minoritaires qui
envoient des « signaux faibles » définis par cette méthode.
La quatrième méthode décrit la méthode Pieu (pannes, importance de l’équi-
pement, état de l’équipement, utilisation). Avec cette méthode, la criticité des
équipements peut être définie avec précision par notation. Suivant le domaine et
les avis des experts, il est possible de choisir des grilles d’évaluation avec
différents poids associés à des critères définis de façon interne. La méthode
Méride (méthode d’évaluation des risques industriels) est succinctement décrite.
La cinquième méthode présente succinctement les concepts de la mainte-
nance basée sur la fiabilité (MBF) qui a pour objectifs de définir un programme
de maintenance préventive uniquement sur les équipements critiques. On y
présente les critères recommandés dans les normes internationales sur la RCM
(reliability centered maintenance).
Finalement, la sixième méthode décrite est celle d’Ishikiwa, également
appelée le diagramme de causes-effet. Après une description de la méthode
formelle, on présente le diagramme d’Ishikawa pondérée et une adaptation
pour la détermination de la criticité des équipements.
Pour chacune de ces méthodes, les avantages et inconvénients sont présentés
en insistant sur la robustesse des résultats compte tenu du fait que l’on fait appel
aux jugements d’experts et aux aspects psychologiques qui y sont liés.
SE 4 004 − 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
ＱＲＶ
ｓｅＴＰＰＴ
_________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS
1. Brainstorming
Analyse
Brainstorming
fonctionnelle
1.1 Origine et domaines d’applications
Identification
Pour la détermination de la criticité des équipements d’une des défaillances
installation industrielle et en absence de retour d’expérience, il est des équipements
possible d’adapter la méthode dite du « brainstorming » ou
« remue-méninges », utilisée dans les entreprises pour trouver des
solutions innovantes, en réunissant un groupe d’experts des
équipements, piloté par un animateur, pour obtenir un consensus Identification
sur les différents attributs associés à la criticité des équipements. des conséquences
des défaillances
Pour atteindre cet objectif, il est indispensable de s’inspirer de la des équipements
méthode définie ci-dessous par son concepteur Alex Osborn [1] et
de faire les adaptations nécessaires.
Classification
1.2 Principes originaux du brainstorming de la criticité
des équipements
« On est plus intelligent à plusieurs que seul », tel est le principe
de base du brainstorming. Le brainstorming (association des
termes anglais « brain » [cerveau] et « storm » [tempête]) est une Figure 1 – Étapes d’une session de brainstorming – analyse
technique de créativité en groupe élaborée en 1940 par le publici- fonctionnelle
taire Alex Osborn. Selon lui, la qualité d’une idée ou d’une solution
naît de la quantité des propositions d’un groupe. Le principal
intérêt de la méthode provient du fait que des idées très nombreu- conception, exploitation, maintenance, sécurité et environnement
ses et originales sont produites. Pour cela, les suggestions et d’une personne prenant les notes.
absurdes sont admises durant la phase de production d’idées et de
stimulation mutuelle. En effet, des personnes ayant une certaine 1.4.1 Nomination d’un modérateur expérimenté
réserve peuvent alors être incitées à s’exprimer, par la dynamique
sur le sujet
de la formule et/ou par les effets volontaires (interventions) de
l’animation. Résultat : en dépit de la peur première de formuler La principale tâche de l’animateur est de rendre les séances de
une idée absurde, des idées excellentes peuvent se mettre à brainstorming aussi productives que possible. Son rôle est capital et
surgir. C’est pour amener à l’accouchement de ces bonnes idées il doit en particulier maîtriser le comportement des équipements et
en toute quiétude que l’absence de critique, la suggestion d’idées les effets de leurs défaillances. Il énonce le but recherché lors des
sans aucun fondement réaliste et le rythme, sont des éléments séances de travail, distribue le temps de parole lors d’un tour de table
vitaux pour la réussite du processus. par exemple, et finalement il réalise les documents de synthèse.
Cette tâche est complexe car elle implique de faire respecter
1.3 Adaptation de la méthode strictement les règles de base du brainstorming, de noter les avis
émis et de piloter subtilement le processus de classification de la
du brainstorming pour la recherche criticité des équipements, surtout si les séances de brainstorming
de la criticité des équipements sont des occasions uniques de rassembler les experts en raison de
La méthode du brainstorming a fait l’objet d’une adaptation pour la leur faible disponibilité.
définition de la criticité des équipements en fonction des
conséquences fonctionnelles des défaillances [2]. Cette adaptation a 1.4.2 Constitution de l’équipe de travail
été réalisée dans le domaine de la sécurité aéronautique et combine et planification des réunions et préparation
une approche fonctionnelle et la méthode classique du brainstorming. du brainstorming
Dans la phase fonctionnelle préliminaire de détermination de la
criticité, on procède en trois étapes : Le modérateur sélectionne les experts représentant les différents
– réalisation de l’inventaire des fonctions ; spécialistes des équipements et planifie les réunions.
– identification des défaillances du système (perte ou dégra- Ce sont des acteurs essentiels pour la détermination des équi-
dation des fonctions) et des équipements qui en sont la cause ; pements critiques.
– identification des conséquences potentielles des défaillances L’expérience montre qu’un groupe de quatre à six personnes est
des équipements et de leurs fréquences acceptables d’occurrence. tout à fait adéquat pour le brainstorming.
Comme cette première approche n’est que rarement exhaustive,
Comme en général les participants sont très sollicités par leurs
il devient nécessaire de faire appel à l’étape de brainstorming
responsabilités opérationnelles quotidiennes, le modérateur doit
réunissant un animateur et un panel d’experts spécialistes des
s’assurer auprès de leurs responsables hiérarchiques de leur
différents aspects liés à l’exploitation, à la maintenance, à la
disponibilité, sinon leur absence entraînera obligatoirement des
sécurité et aux aspects réglementaires.
retards. Pour une bonne efficacité des séances, il est indispensable
La figure 1 montre les étapes de la méthode. de procéder en plusieurs étapes :
– sélectionner et organiser les participants, en particulier les
experts opérationnels ;
1.4 Déroulement d’une séance – présenter aux membres du groupe les objectifs ;
de brainstorming – réparer l’approche de la méthode du brainstorming ;
Le brainstorming suppose le respect de certaines règles et un – préparer et préciser le contenu de la méthode de détermi-
déroulement en plusieurs étapes pendant les réunions de travail. nation des défaillances des équipements ;
Un groupe optimal pour obtenir la meilleure efficacité des séances – présenter les aspects pratiques de la détermination de la criti-
de brainstorming est composé d’un modérateur, d’experts en cité des équipements.
ＱＲＷ
ｓｅＴＰＰＴ
1.4.3 Déroulement du brainstorming 1.5.2 Inconvénients

Le rôle de l’animateur est de s’assurer que les règles d’or du Cependant, des expériences de psychologie sociale réalisées en
brainstorming sont respectées. Il veille à ce que le groupe ne soit laboratoire semblent démentir l’efficacité de cette méthode. En
pas dominé par certaines personnes et que le dialogue reste particulier, les travaux réalisés par Thomas A. Timmerman [3]
cordial et constructif. Tous les jugements émis sur la criticité de démontrent à partir de séances de brainstorming qu’un groupe
chaque équipement sont inscrits sur un tableau visible ou sur des d’individus ne conduit pas obligatoirement à un résultat meilleur
feuilles séparées de « paper-board » visible par chaque participant. qu’un individu très expérimenté, d’où sa faible efficacité.
Chacun se doit de respecter certains principes. Au niveau productivité, le « remue-méninges » apparaît en fait
presque comme une perte de temps.
■ Pas de censure Parmi les autres inconvénients, on peut citer les points suivants :
Le brainstorming n’est pas une séance de règlements de compte – nécessité d’une formation préalable de l’animateur à la
entre collègues. Aucun jugement ou aucune critique sur les idées pratique de cet outil ;
ne doit être émis afin de ne pas freiner le processus créatif de – efficacité conditionnée par le respect de règles strictes de
chacun. Cela suppose que chaque participant dépasse le stade de fonctionnement ;
l’inimitié, de la rivalité ou de l’inhibition pour donner libre cours à – risques de manque de réalisme dans les idées émises ;
l’expression de ses idées. – n’est pas efficace si une méthode essais-erreurs est
indispensable ;
■ Un moment d’égalité – beaucoup d’idées sont superficielles ;
Durant cette séance de réflexion collective, les rapports hiérar- – est mieux adapté à la résolution de problèmes simples ou
chiques sont laissés de côté. Ainsi, la présence du chef ne doit pas spécifiques ;
paralyser les participants dans leur réflexion. – limite souvent la reconnaissance des idées.
■ Un moment de liberté C’est la raison pour laquelle la technique du brainstorming est

remplacée de plus en plus par des techniques telles que le vote
Exprimer le plus grand nombre possible d’idées, de suggestions, par la méthode Delphi ou de l’Abaque de Régnier®. Ces méthodes
de propositions, c’est le but de cette réunion de réflexion, qui feront l’objet des paragraphes ultérieurs.
laisse toute sa place à l’originalité. La quantité des propositions
formulées permettra d’augmenter les probabilités de trouver des
idées valables. Chaque participant est donc invité à s’inspirer des 1.6 Conclusions
idées émises, à les développer, les enrichir, les compléter.
Après la phase de production des suggestions, l’animateur Historiquement, le brainstorming est la technique la plus
procède à l’exploitation des idées. Il reformule ou fait préciser les ancienne pour trouver des solutions en utilisant un groupe de
idées floues ou peu claires, il élimine les idées sans lien exploi- personnes à qui l’on demande de se prononcer ou d’émettre des
table avec le sujet traité, il supprime les redondances ou les formu- idées nouvelles pour résoudre un problème donné. Sa mise en
lations différentes ayant le même sens. place semble particulièrement simple, mais elle nécessite tout de
même un minimum de préparation et de définition méthodo-
Il hiérarchise les idées en utilisant éventuellement d’autres outils logique. Pour être efficace pour le problème de la détermination de
pour la sélection et le choix des idées (matrice multicritères, vote la criticité des équipements, un panel d’experts doit être sélec-
pondéré, etc.). tionné avec soins et les règles qui régissent le brainstorming
Après la séance, le modérateur, dans un délai de quelques jours, doivent être strictement suivies sous la responsabilité d’un
distribue les comptes-rendus de la réunion avec la liste numérotée animateur bien rodé aux conduites de réunions. L’expérience
des équipements considérés comme critiques par les participants montre que cette approche porte ses fruits si les thèmes abordés
en leur demandant des corrections et des ajouts. Il doit également sont suffisamment bien identifiés. Dans le cas contraire, elle
décider si une séance supplémentaire est nécessaire. s’avère inefficace et conduit à des pertes de temps.
Pour obtenir un rendement optimal d’une séance de brainstor-

ming, il est très important de prendre en compte les contraintes
principales logistiques suivantes :
2. Méthode Delphi
– utilisation d’une salle de réunion si possible dans un lieu
éloigné du lieu de travail habituel des experts (pour éviter leur
dérangement) ; 2.1 Origine et domaines d’applications
– demander aux membres du groupe de ne pas utiliser leurs La méthode Delphi a été développée par les militaires américains
téléphones portables ou consulter leurs courriels pendant les dans les années 1950 par O. Helmer à la Rand Corporation [4].
séances de travail (challenge très difficile pour le modérateur! ) .
Pour éviter les écueils des facteurs psychologiques liés au travail
de groupe, la technique Delphi a été mise au point pour éviter
l’effet d’opinion de groupe. Les résultats obtenus avec les
1.5 Avantages et inconvénients méthodes traditionnelles de discussion de groupe au cours de
de la méthode du brainstorming réunion en commun sont très souvent faussées par des facteurs
psychologiques tels que la présence d’une personnalité dominante
et persuasive, la tendance de certains experts à camper sur leur
1.5.1 Avantages position pour imposer leur point de vue sans vouloir accepter des
Le brainstorming traditionnel permet d’apporter des solutions à contradicteurs. La technique Delphi a été mise au point pour éviter
un problème donné grâce à un recoupement d’avis effectué par le ces travers en empêchant l’effet d’opinion de groupe et, de ce fait,
groupe de travail. Notamment, une bonne séance de en diminuant les contraintes psychologiques en réunion telle la
brainstorming : persuasion spécieuse (ou fallacieuse ou fausse), le refus de revenir
sur une opinion fausse énoncée en public ou l’effet train en
– produit de nombreux avis ; marche (band wagon effect ) sans esprit critique pour suivre la
– diffère le jugement et ainsi encourage la participation. majorité (effet mouton de panurge). La méthode Delphi évite ces
ＱＲＸ
ｓｅＴＰＰＴ
COORDINATEUR Rappels statistiques

Panel experts
Soit une série statistique définie dans le tableau suivant :
Valeur x1 x2 ........ xp
A B C D E F Effectif n1 n2 ....... np
Fréquences f1 f2 ....... fp
Questionnaires
L’effectif total est donné par : N = n1 + n2 + .... + np et la fré-
ni
Envoi aux experts quence par fi = .
N
• Moyenne : la moyenne de cette série statistique (xk ; nk)
Envoi aux experts après analyses notée x ou µ est telle que :
RÉSULTATS, ANALYSES, DISCUSSIONS

n1 × 1+ n 2 × 2 + ... + n p p
x=
Figure 2 – Principes d’une étude Delphi N
travers observés pendant des discussions directes en réunion par • Variance : on appelle variance de la série statistique
une méthode définie avec beaucoup de soins avec une interro- (xk ; nk ) le nombre :
gation personnelle et anonyme de chaque expert à l’aide de
questionnaires consécutifs et individuels sous la responsabilité
d’un animateur. Entre chaque nouveau questionnaire, de nouvelles n1 (x1 − x ) 2 + n 2 (x 2 − x ) 2 + ... + n p (x p − x ) 2
V=
informations et de nouvelles justifications sont demandées à N
chaque expert jusqu’au moment où l’animateur aura obtenu un
consensus parmi tous les experts. La procédure est représentée • Écart type : l’écart type d’une série statistique est défini
sur la figure 2. Cette procédure appelée « élicitation » d’experts
permet d’obtenir les avis des différents experts qui ne se par : σ = V .
connaissent pas ; le département de la Défense américain définit Elle caractérise la dispersion autour de la moyenne.
l’« élicitation » (intelligence) comme l’acquisition d’information
auprès d’une personne ou d’un groupe avec une procédure qui ne • Médiane : la médiane Me d’une série ordonnée par ordre
dévoile pas l’utilisation des réponses qui seront fournies. croissant partage cette série en deux parties telles que la
moitié au moins prend des valeurs inférieures ou égales à la
L’objectif de ces questionnaires successifs est de diminuer médiane :
l’espace interquartile tout en précisant la médiane (encadré – si le nombre de données est pair, N = 2p : la médiane est
« Rappels statistiques »). la moyenne des pième et (p + 1) ième valeurs ;
La méthode Delphi utilise une interrogation personnelle et – si le nombre de données est impair, N = 2 p + 1 : la
anonyme de chaque expert à l’aide de questionnaires consécutifs médiane est la (p + 1) ième valeur.
et individuels sous la responsabilité d’un animateur. Entre chaque • Les quartiles : les valeurs d’une série d’effectif N sont
nouveau questionnaire, de nouvelles informations et de nouvelles rangées par ordre croissant :
justifications leur sont demandées jusqu’au moment où
l’animateur aura obtenu un consensus de tous les experts. Dans – le premier quartile Q1 de la série est la valeur xi dont
cette procédure d’élicitation d’experts, l’animateur renvoie de N
nouveaux questionnaires pour demander des justifications l’indice i est le plus petit entier supérieur à ;
4
détaillées sur leurs réponses. Il rassemble les différents avis et les – le troisième quartile Q3 de la série est la valeur xj dont
envoie aux autres experts pour commentaires et critiques, et éven-
tuellement pour obtenir un changement d’avis. Ainsi, les experts 3N
l’indice j est le plus petit entier supérieur à .
peuvent réviser leurs jugements initiaux et prendre en compte des 4
faits qu’ils avaient négligés en les considérant comme non impor- • Intervalle interquartile : c’est une mesure de dispersion.
tants ou totalement négligeables.
L’intervalle interquartile est l’intervalle [Q1 ; Q3].
• L’écart interquartile : l’écart interquartile est la différence
2.2 Description de la méthode Delphi Q = Q3 – Q1.
initiale Le schéma ci-dessous permet de visualiser ces caractéris-
tiques statistiques.
Dans un premier temps la démarche d’origine est présentée sachant
que de nombreuses variantes ont été développées par la suite avec
l’émergence des nouvelles technologies (Internet, réseaux sociaux) et 75 %
qui feront l’objet de paragraphes spécifiques dans ce chapitre. 25 %
■ Phase 1 : formulation du problème
L’élaboration du questionnaire doit se faire selon certaines Min Q1 Médiane Q3 Max
règles : les questions doivent être précises, quantifiables (elles
portent par exemple sur les probabilités de réalisation d’hypo-
Remarques : le couple (médiane ; écart interquartile) est
thèses et/ou d’événements, le plus souvent sur des dates de réali-
robuste par rapport aux valeurs extrêmes, mais sa détermi-
sation d’événements) et indépendantes (la réalisation supposée
nation (les quartiles) n’est pas très pratique. Plus l’écart inter-
d’une des questions à une date donnée n’a pas d’influence sur la
quartile est grand, plus la dispersion est importante.
réalisation d’une autre question).
ＱＲＹ
ｓｅＴＰＰＴ
■ Phase 2 : choix des experts explicitement si celle-ci se situe hors de l’intervalle (Q1-Q3). Les
Le manque d’indépendance des experts peut constituer un experts renvoient les réponses, éventuellement les raisons.
inconvénient ; c’est pourquoi, par précaution, les experts sont iso- Il comporte deux parties principales : d’abord, les résultats et les
lés et leurs avis sont recueillis par voie postale ou par courrier réponses du premier questionnaire sont présentés sous forme de
électronique et de façon anonyme : on obtient donc l’opinion de liste ou de tableau ; ensuite, les experts classent les éléments de
chaque expert et non une opinion plus ou moins faussée par un résultats afin d’établir des priorités et sont autorisés à examiner
processus de groupe (pas de leader ). leurs réponses à la lumière de l’avis d’autres experts, à ajouter des
commentaires et à modifier leurs réponses.
■ Phase 3 : déroulement pratique et exploitation des résultats
Une fois le processus de sélection des experts achevé, un L’animateur traite ces informations et prépare le troisième
questionnaire est distribué à chaque membre du panel. Les questionnaire.
membres sont encouragés à tirer parti de leurs expériences et à Le troisième questionnaire et tous les questionnaires suivants
utiliser toutes les données historiques ou d’autres ressources pour contiennent trois grandes parties. D’abord, ils comprennent les
les aider à répondre aux questions posées. Toutefois, les experts réponses à toutes les questions précédentes, avec quelques
du panel ne doivent pas se consulter entre eux pour éviter un biais données statistiques permettant aux experts de voir comment
dans les réponses. leurs réponses sont liées à celles des autres membres du groupe.
Le premier questionnaire se compose généralement d’une ou de
deux questions. Celles-ci sont destinées à être ouvertes sur le Deuxièmement, ils incluent des commentaires et des raison-
domaine concerné. Les experts donnent leur avis et retournent le nements que les experts mettent dans leurs réponses. Troisiè-
questionnaire à l’animateur. mement, ils donnent l’occasion aux experts d’examiner et de réviser
leurs réponses précédentes. Puis le questionnaire est retourné à
Celui-ci examine les réponses et utilise cette information pour l’animateur. Ce troisième questionnaire vise à opposer les réponses
élaborer des questions plus spécifiques qui seront utilisées dans le extrêmes en rapprochant leurs arguments. Il est en outre demandé
deuxième questionnaire. à chaque expert de critiquer les arguments de ceux qui se situent
On notera que selon les versions de la méthode Delphi, on peut en-deçà de Q1 et au-delà de Q3. Comme on le voit, la convergence
utiliser une échelle de cotation comme l’échelle de Likert, est forcée, voire manipulée, puisque seuls les extrêmes sont oppo-
fréquemment utilisée dans les questionnaires de psychologie. Elle sés, alors qu’ensemble, ils représentent autant de réponses qu’il y
a été développée par le spécialiste en psychologie organisation- en a dans l’intervalle (Q1-Q3). En outre, il n’est jamais demandé aux
nelle Rensis Likert [5]. Dans la majorité des cas, une échelle à cinq extrêmes de critiquer les arguments de ceux qui sont dans l’espace
ou sept niveaux est utilisée. interquartile. La procédure Delphi est représentée sur la figure 3.
Ce premier questionnaire a pour objectif de repérer la médiane Ce processus se poursuit jusqu’à ce qu’un consensus définitif
et l’intervalle interquartile (encadré « rappels statistiques »). La soit atteint par le groupe (nombre de tours pouvant aller de 3 à 7).
médiane (deuxième quartile) est l’item au-dessous duquel 50 %
des experts pensent que l’évolution sera négative et au-dessus Un ingrédient clé de ce processus est l’anonymat des membres
duquel 50 % des experts pensent qu’au contraire, elle sera posi- du panel d’experts car il élimine de nombreux problèmes qui
tive. En prenant des seuils de 25 et 75 %, puis 75 et 25 %, on défi- découlent de préjugés et de l’influence de ses pairs.
nit aussi respectivement le premier quartile (Q1) et le troisième
quartile (Q3). L’espace interquartile est constitué par l’intervalle Cette méthode a été utilisée pendant la guerre froide pour
(Q1-Q3). L’animateur réalise une première synthèse pour élaborer connaître par exemple le nombre de bombes soviétiques néces-
le second questionnaire. saires pour détruire des sites industriels aux États-Unis. La
consultation de sept experts après trois questionnaires successifs
Le second questionnaire est élaboré et a pour objectif de réduire a permis de réduire de façon significative les premières
les positions contradictoires (c’est-à-dire l’intervalle Q1-Q3). Ce estimations comme indiqué sur le tableau 1.
questionnaire est envoyé aux experts pour qu’ils révisent leurs
positions et on demande explicitement aux experts ayant des On peut noter que le rapport initial maximum/minimum qui était
jugements extrêmes de se justifier. Cela signifie qu’il est demandé de 100 a été réduit à 360/167 très proche de 2 d’où l’efficacité
à chaque expert de fournir une nouvelle réponse et de se justifier remarquable de la méthode Delphi.
Tour 1 Tour 2 Tour 3 Tour n

Questionnaire 1 Questionnaire 2 Questionnaire 3 Questionnaire n
Coordinateur
Groupe • questionnaires Rapport
d’experts • dépouillements final
• analyse
• synthèse
• statistiques
Figure 3 – Différents votes d’une étude Delphi
ＱＳＰ
ｓｅＴＰＰＵ
des équipements.
Méthodes analytiques

Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique,
d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur
Docteur ès-sciences
Professeur associé des universités retraité
Université Paris-Est-Créteil, France
1. Classification des méthodes analytiques d’évaluation SE 4 005 - 2

et de réduction de la criticité ............................................................
1.1 Évolution des méthodes analytiques et leurs références ...................... — 2
1.2 Typologie des méthodes d’évaluation de la criticité ............................. — 3
2. Méthodes analytiques d’évaluation de la criticité....................... — 4
2.1 Analyse préliminaire des risques (APR) .................................................. — 4
2.2 AMDEC....................................................................................................... — 6
2.3 HAZOP........................................................................................................ — 8
2.4 What-if — 9
2.5 Arbre de défaillances ................................................................................ — 10
2.6 Blocs diagrammes de fiabilité – Arbre des succès ................................. — 12
2.7 Comparaison des méthodes analytiques utilisant
le retour d’expérience............................................................................... — 14
3. Méthodes de réduction de la criticité des conséquences
des défaillances des équipements.................................................... — 14
3.1 Présentation et principes .......................................................................... — 14
3.2 Barrières – mesure de maîtrise des risques............................................ — 15
3.3 Principe de la méthode des arbres d’événements ................................. — 16
3.4 Principe de la méthode du nœud papillon.............................................. — 17
3.5 Principe de la méthode MOSAR .............................................................. — 18
3.6 Principe de la méthode LOPA .................................................................. — 21
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＴ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＸ
3.7 Comparaison des méthodes de réduction de la criticité

des conséquences d’une défaillance ....................................................... — 25
3.8 Recommandations .................................................................................... — 26
4. Conclusion............................................................................................... — 26
et article présente les principales méthodes d’évaluation de la criticité des

C défaillances des équipements industriels et les outils contribuant à la
réduction des conséquences des défaillances critiques des équipements. En
effet, dans de nombreux secteurs industriels, l’évaluation de criticité des
défaillances des équipements installés sur les installations représentent des
enjeux stratégiques. Le terme « criticité » faisant l’objet de différentes défini-
tions et interprétations, il sera considéré dans cet article comme une mesure
combinée des conséquences et de la fréquence d’occurrence des défaillances
d’un équipement. Son évaluation permet, en particulier, de déterminer les
ＱＳＱ
ｓｅＴＰＰＵ
ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES __________________________________________________________________
impacts des dysfonctionnements sur la sécurité des personnels, les arrêts de

production, la qualité de service, les contraintes réglementaires pour les instal-
lations classées et le respect de l’environnement. En fonction des résultats
obtenus, il peut s’avérer nécessaire ou obligatoire vis-à-vis des réglementa-
tions d’avoir recours à des dispositifs matériels ou immatériels permettant de
réduire la criticité des conséquences des défaillances. Des outils ont été mis au
point pour répondre à ces besoins et à ces exigences.
Cet article présente les principales méthodes analytiques qui exploitent les
données de fiabilité extraites du retour d’expérience sur le comportement des
équipements. Dans le cas contraire, en absence du retour d’expérience, l’article
[SE 4 004] propose les méthodes utilisables pour l’évaluation de la criticité à
base de jugement d‘experts.
La première partie de l’article sera consacrée à la typologie des méthodes
d’évaluation et de réduction de la criticité. La seconde partie sera dédiée aux
descriptions succinctes des principaux outils analytiques utilisables pour quanti-
fier la criticité des défaillances des équipements. Pour chaque méthode, la trame
d’analyse sera : origine, principe, étapes. Seront ainsi passés en revue l’APR
(analyse préliminaire des risques), l’AMDEC (analyse des modes de défaillance
de leurs effets et de leur criticité), l’HAZOP (HAZard and OPerability study) uti-
lisée pour l’analyse des risques industriels, What-If (Que se passe-t-il si ?), les
arbres de défaillances, les blocs diagrammes de fiabilité-arbres des succès.
Pour guider le lecteur sur le choix le plus adapté à sa problématique, une
grille comparative des principaux attributs des méthodes est ensuite proposée.
Dans l’éventualité où la criticité des défaillances s’avérerait inacceptable, la
troisième partie résumera les principes des méthodes les plus utilisées pour
réduire les conséquences des défaillances critiques (barrières de sécurité,
arbres d’événement, nœud papillon, méthode MOSAR, méthode LOPA (Layer
Of Protection Analysis), avec également une comparaison des avantages et
inconvénients de ces méthodes de réduction de la criticité.
La conclusion portera sur l’évolution de ces démarches compte tenu de leurs
mises en œuvre de plus en plus fréquentes dans de nombreux secteurs indus-
triels, grâce notamment à la mise sur le marché de nombreux logiciels
commerciaux dédiés aux études de risques. Elle s’accompagnera également
d’une mise en garde sur des utilisations et interprétations inappropriées des
résultats obtenus en matière de maîtrise des risques.
1. Classification suivant cette norme en fonction de leurs impacts sur

l’accomplissement de la mission et sur la sécurité des
des méthodes analytiques équipements et des personnels. À partir de cette date, de
nouveaux besoins de méthodes liés à l’évaluation et à la préven-
d’évaluation tion des risques ont vu le jour suite aux nombreux accidents ayant
entraîné la mort de milliers de personnes et des impacts irrépara-
et de réduction bles sur l’environnement.
de la criticité Des années 1950 jusqu’à nos jours, plusieurs dizaines de

méthodes analytiques ont été développées dans différents
secteurs industriels et font l’objet de normes internationales de
guides d’applications spécifiques et d’ouvrages spécialisés. Afin de
1.1 Évolution des méthodes analytiques guider le lecteur pour un approfondissement des connaissances de
et leurs références ces outils, les principales références sont proposées en fonction de
leur date de publication :
Le 9 novembre 1949, l’armée américaine a publié la norme – 1988 : Alain Villemeur [2] présente dans son ouvrage neuf
MIL-P-1629 [1] qui a défini l’un des tous premiers outils méthodes d’analyse en sûreté de fonctionnement ;
analytiques de la sûreté de fonctionnement : l’AMDEC (analyse des – 2002 : Jérôme Tixier et al. [3] ont établi un inventaire de 62
modes de défaillances, de leurs effets et de leur criticité). méthodes pour l’analyse des risques pour les installations indus-
Initialement conçu pour les systèmes d’armement, cette norme trielles. Il classe les méthodes en deux groupes : qualitatifs et
avait pour objectifs de déterminer les effets des défaillances des quantitatifs, qui sont à leur tour divisés en trois catégories :
systèmes et des équipements. La criticité des défaillances s’évalue déterministes, probabilistes et mixtes ;
SE 4 005 − 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
ＱＳＲ
ｓｅＴＰＰＵ
__________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES
– 2006 : l’INERIS [4] dans son document sur les méthodes

d’analyse des risques générés par une installation industrielle,
fournit une typologie pour onze méthodes ;
– 2009 : la norme ISO/CEI 31010 [5] présente une sélection de
vingt-huit outils et techniques d’analyse de risques. Elle propose Événements
Défaillance
également une classification suivant leurs caractéristiques pour pouvant
l’identification, l’évaluation et l’analyse des risques ; conduire
à la défaillance
– 2011 : André Laurent [6] présente, dans son ouvrage dédié à la
sécurité des procédés chimiques, dix méthodes d’analyse de
risques incluant les méthodes de fiabilité humaine. Les définitions
de méthodes qualitatives et/ou quantitatives y sont également Analyse par approche inductive (Bottom Up approach)
fournies ;
– 2012 : Sam Mannan [7] propose une douzaine de méthodes
d’identification et d’évaluation des risques dans la quatrième Figure 1 – Principe d’une démarche inductive
édition de son ouvrage sur la prévention des risques dans les
industries classées dangereuses.
On constate un foisonnement de définitions relatives à la Causes

criticité dans les différentes publications et certaines d’entre possibles Défaillance
elles sont parfois ambiguës. pouvant -
La définition suivante sera retenue dans cet article en se conduire Événements
basant sur sa première définition élaborée en 1949 lors de la à la non désiré
miseau point des AMDEC : « La criticité est une évaluation défaillance
relative des conséquences et de la fréquence d’occurrence des
défaillances d’un équipement ».
Analyse par approche déductive (Top Down approach)
L’inventaire des métriques relatives aux différentes défini-
tions de la criticité est donnée dans cet article. Ici, les termes
employés correspondent aux définitions données dans les Figure 2 – Principe d’une démarche déductive
normes internationales ou bien sont requis dans les clauses
des cahiers des charges d’appels d’offres. Ils feront l’objet du
glossaire définissant les principaux termes les plus Pour les méthodes déductives basées sur la déduction logique
communément admis à la fin de cet article. qui est un procédé par lequel « on va du général au particulier »,
suivant le dictionnaire de l’Académie des Sciences, la démarche
est inversée puisque l’on part de l’événement non désiré, la
défaillance, et l’on recherche ensuite par une approche descen-
1.2 Typologie des méthodes d’évaluation dante toutes les causes possibles. Le système est supposé
de la criticité défaillant et l’analyse porte sur l’identification des causes suscepti-
bles de conduire à cet état. On part alors des défaillances pour
Une analyse approfondie de l’ensemble des méthodes remonter aux causes. Il s’agit à partir de l’événement majeur
d’évaluation de la criticité décrites dans les documents de réfé- d’identifier les combinaisons et enchaînements successifs d’événe-
rence énumérés au paragraphe précédent fait apparaître que les ments pour remonter jusqu’aux événements initiateurs comme le
concepts, les démarches mises en œuvre et les résultats obtenus montre la figure 2.
couvrent un spectre très large. Par conséquent, pour aider le lec-
Dans la terminologie anglo-saxonne, cette méthode est appelée
teur à choisir la méthode la plus appropriée, il est indispensable de
« Top-Down approach ».
mettre en œuvre une typologie pour classer de façon non ambiguë
les méthodes d’évaluation de la criticité.
Cet article ne concernant qu’un nombre réduit de méthodes 1.2.2 Méthodes qualitatives, semi-quantitatives
(AMDEC, HAZOP, What-if, arbres de défaillances, blocs et quantitatives
diagrammes de fiabilité, barrières, arbres d’événement, nœud
papillon, MOSAR, LOPA), une grille comparative de leurs principa- Les méthodes qualitatives d’analyse des risques sont utilisées
les caractéristiques sera présentée. dans la phase préliminaire d’évaluation des risques. Elles
consistent à identifier l’ensemble des situations dangereuses
susceptibles de survenir. Une analyse qualitative a pour objectif de
1.2.1 Méthodes déductives et inductives fournir principalement une appréciation. Une analyse qualitative
s’utilise dans des domaines où les connaissances sont peu
Basée sur l’induction logique définie par le dictionnaire de l’Aca-
formalisées ou difficilement quantifiables.
démie des Sciences comme la « manière de raisonner qui consiste
à inférer du particulier au général », les méthodes inductives sont L’analyse qualitative définit les conséquences, leurs probabilités
basées sur une analyse « montante » où l’on identifie toutes les d’occurrence et les risques en les qualifiant par exemple avec des
combinaisons d’événements élémentaires possibles qui peuvent mots tels que : très faible, faible, moyenne ou forte. Elle peut
entraîner la réalisation d’un événement unique indésirable : la combiner les conséquences et leurs probabilités d’occurrence et
défaillance. À partir des événements initiateurs, on identifie les évaluer le risque à l’aide de critères qualitatifs. Il est possible égale-
combinaisons et enchaînements d’événements pouvant mener ment d’utiliser une matrice de hiérarchisation qualitative de risques.
jusqu’à l’accident.
Les méthodes semi-quantitatives utilisent des échelles de
On dit généralement que l’on part des causes pour identifier les
notation numériques pour les probabilités d’occurrence et leurs
effets. Dans la terminologie anglo-saxonne, cette méthode est
conséquences. Les échelles de notation peuvent être linéaires ou
appelée « Bottom-Up approach ».
logarithmiques. Elles combinent ensuite ces valeurs en utilisant
La figure 1 représente le principe de la démarche inductive. des formules spécifiques au secteur industriel concerné.
ＱＳＳ
ｓｅＴＰＰＵ
En prenant comme définition du risque : la « combinaison de la

probabilité d’un événement et de ses conséquences » suivant 2. Méthodes analytiques
ISO/CEI 73 [8], ou la « combinaison de la probabilité d’un
dommage et de sa gravité » suivant (ISO/CEI 51) [9], les méthodes
d’évaluation de la criticité
quantitatives permettent de quantifier et d’analyser les
conséquences des défaillances, les fréquences et les risques. Les Pour les systèmes industriels en cours de conception ou en
méthodes quantitatives, pour être fiables et crédibles, doivent faire phase d’exploitation, il est primordial de déterminer la gravité des
appel aux données de retour d’expérience de très bonne qualité. Il conséquences des défaillances des équipements mis en œuvre et
est important de souligner que les valeurs fournies sont des leurs fréquences d’occurrence. En s’appuyant sur les données de
estimations dont la précision dépend des données utilisées et retour d’expérience d’équipements analogues pendant la phase de
qu’elles doivent être considérées comme telles. conception, ou bien sur les données réelles collectées sur les équi-
pements en exploitations, il devient possible d’évaluer la criticité
des défaillances potentielles ou effectives des équipements. Les
1.2.3 Méthodes pour défaillance indépendante méthodes décrites dans les paragraphes suivants sont
ou pour défaillances combinées essentiellement dédiées à ces deux cas de figure.
Les méthodes analytiques peuvent se classer en deux catégories
en fonction du nombre de défaillances considérées ; les méthodes
à défaillance indépendante considèrent uniquement le cas où une
seule défaillance se produit sur l’équipement. Les résultats des 2.1 Analyse préliminaire des risques (APR)
analyses sont fonction des caractéristiques de cette seule
défaillance (taux de défaillance, probabilité d’occurrence, etc.). 2.1.1 Historique et domaines d’applications
Inversement, les méthodes d’analyses qui considèrent les probabi-
lités d’occurrence de défaillances pouvant survenir simultanément La méthode d’analyse préliminaire des dangers (APD) (Prelimi-
sont appelées méthodes pour défaillances combinées. nary Hazard Analysis ) [SE 4 010] [10] a été utilisée au début des
années 1960 aux États-Unis pour l’analyse de sécurité des missiles.
1.2.4 Méthodes déterministes et probabilistes La méthode initiale a pour objet d’identifier les dangers d’une ins-
tallation et ses causes (éléments dangereux) et d’évaluer la gravité
Dans le domaine particulier des installations à risques des conséquences liées aux situations dangereuses et aux acci-
industriels majeurs où l’on souhaite prévenir ou réduire les causes dents potentiels. L’identification des dangers est effectuée grâce à
d’un accident technologique (nucléaire, chimie, etc.). Il existe deux l’expérience et à la connaissance des spécialistes, à l’aide de lis-
grandes approches pour l’évaluation quantitative du risque tes-guides (check-lists ) d’éléments et situations dangereuses qui
industriel : l’approche déterministe et l’approche probabiliste. dépendent du domaine d’application. Par extension, on appelle
analyse préliminaire des risques (APR), la même analyse
Les méthodes déterministes tiennent compte des défaillances
complétée par une estimation de la probabilité d’occurrence des
réelles des équipements et quantifient les conséquences pour
situations dangereuses et accidents potentiels, ainsi que leurs
différentes cibles comme les personnes, les installations.
effets et conséquences.
Les méthodes probabilistes sont basées sur l’évaluation de la
probabilité d’occurrence des situations dangereuses ou de la
survenance d’un accident potentiel en fonction des probabilités 2.1.2 Principes
d’occurrence des défaillances des équipements.
Le principe de l’APR est d’étudier de façon préliminaire la sécu-
Les méthodes déterministes mettent l’accent sur l’évaluation et rité afin de mettre en évidence les dangers potentiels et les mesu-
le contrôle des conséquences d’un accident, tandis que les res ou exigences de sécurité à mettre en œuvre pour obtenir un
méthodes probabilistes se concentrent sur l’estimation de la niveau de sécurité acceptable. Les dangers potentiels concernent
probabilité d’occurrence de cet accident. souvent les substances dangereuses sous forme de matières pre-
L’approche déterministe consiste en effet à vérifier que les mières, d’équipements dangereux ou des opérations dangereuses
conséquences sont maîtrisées, tandis que l’approche probabiliste associées à l’installation industrielle.
se propose de démontrer que la probabilité est maintenue à des Ces méthodes sont utilisées pour la phase d’identification des
valeurs considérées comme acceptables. Ces deux approches sont risques et orientées vers la sécurité prévisionnelle pour des équi-
donc fondamentalement différentes puisqu’elles sont deux inter- pements en cours de conception.
prétations distinctes de la notion de risque. Ces approches sont
cependant complémentaires, et sont entreprises, par exemple, L’identification de ces éléments dangereux est fonction du type
dans le domaine de la sûreté des centrales nucléaires françaises. d’installation étudiée.
Le tableau 2 montre un exemple partiel d’entités dangereuses
1.2.5 Grille des caractéristiques principales en aéronautique.
des méthodes analytiques
Étant donné la richesse de la typologie des méthodes 2.1.3 Déroulement
analytiques, la majorité des publications référencées au
Il n’y a pas de méthodologie unique pour l’APR ni de standard
paragraphe 1.1 proposent des grilles décrivant les attributs des
unique. Deux démarches sont possibles pour ce type de
méthodes analytiques d’analyse de risque. Le lecteur pourra s’y
démarche :
référer pour plus d’informations complémentaires. Cette article
présentant seulement les principes des méthodes APR, AMDEC – démarche déductive : on part du général vers le particulier et
HAZOP, What-If, arbres de défaillances, blocs diagrammes de fiabi- on identifie les accidents potentiels et l’on recherche tout
lité-arbres des succès, barrières de sécurité, arbres d’événement, (élément + situation) ce qui peut conduire à cet accident (démarche
nœud papillon, MOSAR, LOPA, la grille du tableau 1 fournit leurs type recherche des causes) ;
principales caractéristiques. Concernant les caractéristiques de – démarche inductive : on part du particulier vers le général et
méthodes déterministes et probabilistes, et compte tenu de leurs on part des éléments du système ; on recherche comment ils peu-
domaines d’applications très spécifiques, le lecteur se reportera à vent, combinés à une situation dangereuse, conduire à un accident
la grille d’évaluation établie par Tixier [3]. potentiel.
ＱＳＴ
ｓｅＴＰＰＵ
Tableau 1 – Grille d’évaluation des caractéristiques des méthodes analytiques

Approche quan- Niveau
Approche Domaines Défaillances
Méthodes Objectifs titative/qualita- de
logique d’applications envisagées
tive complexité
Identification des dangers, évaluation
Toutes installa- et classement des risques associés et
APR Inductive Indépendantes Qualitative +
tions simples proposition des mesures de couver-
tures des risques
Systèmes Analyse des modes de défaillances, de
AMDEC Inductive Indépendantes Quantitative +++
techniques leurs effets et de leur criticité
Identification des dysfonctionnements
Procédés
de nature technique et opératoire pou-
HAZOP Inductive thermo Indépendantes Qualitative ++
vant conduire à des événements non
hydrauliques
souhaités
Inventaire des équipements pouvant
Toutes installa- Semi-
What-if Inductive être défaillants et évalution de la pro- Indépendantes +
tions simples quantitative
babilité et la gravité de leurs effets
Arbres
Évaluation de la probabilité
de
Toutes d’occurrence d’un événement redouté
défaillance Déductive Combinées Quantitative +++
installations à partir de l’occurrence des événe-
(quantita-
ments qui peuvent le produire
tifs)
Blocs
diagramme Détermination de la fiabilité globale
Toutes
de fiabilité Inductive d’un système à partir de la fiabilité des Combinées Quantitative +++
installations
(quantita- composants élémentaires
tifs)
Analyse des barrières ayant pour but
la réduction de la probabilité
Inductive Toutes
Barrières d’occurrence et/ou des effets Combinées Quantitative ++++
Déductive installations
et conséquences d’un événement
non souhaité dans un système
Détermination de l’ensemble
des séquences accidentelles
Arbres
Inductive Toutes susceptibles de se réaliser suivant
d’événe- Combinées Quantitative +++
Déductive installations que les barrières de protection
ment
remplissent ou non leur fonction
de sécurité
Visualisation et quantification
des scénarios d’accident qui pour-
Nœud Inductive Toutes raient survenir en partant des causes
Combinées Quantitative ++++
papillon Déductive installations initiales de l’accident jusqu’aux
conséquences sur les éléments
vulnérables environnants
Analyse des risques d’un système
Inductive Toutes à différents niveaux d’analyse et mise
MOSAR Combinées Quantitative ++++
Déductive installations en évidence des moyens de maîtrise
des risques
Évaluation du niveau de maîtrise
Inductive Toutes de risque avec les barrières existantes
LOPA Quantitative Quantitative ++++
Déductive installations sur un système et détermination
éventuelle de nouvelles barrières
L’utilisation d’un tableau d’analyse tabulaire constitue un outil [SE 4 010], il est important de retenir une trame qui contient les
utile pour synthétiser le raisonnement et assurer le raisonnement notions de gravité et d’occurrence des conséquences des défaillan-
intellectuel du groupe de travail chargé de la détermination de la ces des équipements dans le cadre d’une étude sur la criticité des
criticité des équipements. On remarquera qu’il n’y a pas de trame équipements.
unique, mais celle-ci doit au minimum contenir les résultats Dans le cadre de la recherche de la criticité des équipements, il
attendus de l’analyse et éventuellement d’autres colonnes est recommandé de mettre en œuvre des tableaux utilisés pour
(structuration, traçabilité). Cependant, comme indiqué dans ces analyses qui contiennent :
ＱＳＵ
ｓｅＴＰＰＵ
Analysis : FMECA), développée aux États-Unis et utilisée depuis

Tableau 2 – Exemple d’événements dangereux septembre 1949 en spatial et en aéronautique, a été depuis géné-
en aéronautique ralisée à de nombreux domaines de l’industrie. Elle permet l’étude
Entités et situations dangereuses en aéronautique systématique des causes et des effets des défaillances (modes de
défaillance et effets) et de définir la gravité, la fréquence d’occur-
Entités dangereuses Situations dangereuses rence, la détectabilité et la criticité des conséquences des modes
de défaillances qui affectent les composants d’un système.
Combustible Accélération
Depuis sa première mise en œuvre en 1949, des adaptations ont
Propergols Contamination été apportées et concernent les AMDEC : produit, procédé, machi-
nes, moyens de production et organisationnelles. De très nom-
Catalyseurs chimiques Corrosion breuses normes internationales, nationales et sectorielles ont vu le
jour depuis plusieurs décennies. Parmi les standards les plus utili-
Charges explosives Réactions chimiques
sés et proposés dans la majorité des logiciels commerciaux
Conteneurs sous pression Explosion d’AMDEC figurent :
– MIL – STD-1629A [11] ;
– IEC – NF EN 60812 [12] ;
– le système ou la fonction étudiée ; – SAE J1739 [13] ;
– la phase de la mission où le danger peut se manifester ;
– l’entité dangereuse ; – SAE ARP 5580 [14] ;
– le (ou les) événement(s) causant une situation dangereuse ; – AIAG FMEA-4 [15].
– la situation dangereuse ; La norme CEI 60812 [16] sert en particulier très souvent de base
– le (ou les) événement(s) transformant la situation dangereuse aux normes nationales ou européennes et dans plusieurs secteurs
en accident potentiel ; industriels (Norme Cnomo dans l’automobile française par exemple).
– l’accident potentiel ;
– les conséquences de l’accident ; La méthode comprend quatre étapes et se caractérise par une
– une classification par gravité ; présentation sous forme de tableaux qui sont très souvent
– une estimation préliminaire de probabilité s’il s’agit d’une spécifiques à un secteur industriel concerné.
étude APR ;
– les mesures préventives éventuelles.
2.2.2 Principes
Le tableau 3 donne un exemple de trame APR.
Le principe de l’AMDEC, décrit dans de multiples ouvrages et
publications dont [SE 4 040] est d’identifier et de hiérarchiser les
2.1.4 Limites et avantages modes potentiels de défaillance susceptibles de se produire sur un
Un avantage principal de l’analyse préliminaire des risques est équipement, d’en rechercher les effets sur les fonctions principales
de permettre un examen rapide des situations dangereuses sur des équipements et d’en identifier les causes. Pour la détermina-
des installations industrielles. Elle possède l’avantage de ne pas tion de la criticité des modes de défaillance, l’AMDEC requiert pour
requérir des analyses très approfondies et est donc économique chaque mode de défaillance la recherche de la gravité de ses
en regard du temps requis. La méthode APR fournit une bonne effets, la fréquence de son apparition et la probabilité de sa détec-
vision d’ensemble sur les dangers et points critiques et une bonne tabilité. Quand toutes ces informations sont disponibles, différen-
vision d’ensemble des principes de mise en sécurité. Une de ses tes méthodes existent pour déduire une valeur de la criticité du
limites est son champ d’application à des installations simples et mode de défaillance. Si la criticité est jugée non acceptable, il est
ne permet pas de prendre en compte de combinaisons alors impératif de définir des actions correctives pour pouvoir cor-
d’événements complexes simultanés. riger la gravité nouvelle du mode de défaillance (si cela est effecti-
vement possible), de modifier sa fréquence d’apparition et
d’améliorer éventuellement sa détectabilité.
2.2 AMDEC
2.2.3 Déroulement
2.2.1 Historique et domaines d’applications
L’objectif de la méthode AMDEC est de compléter les informa-
La méthode AMDEC (analyse des modes de défaillance de leurs tions contenues dans des colonnes que l’on renseigne avec les
effets et de leur criticité (Failure Mode and Effects and Criticality données indispensables.
Tableau 3 – Trame type d’une étude APR
Tableau type de la méthode APR
Mesures
Événement
Sous- Événement de
Entité causant Situation Effets – Occurrence
système ou Phase causant un Accident Gravité prévention
dangereuse une situation dangereuse conséquences (fréquence)
équipement accident ou de
dangereuse
protection

ＱＳＶ
ｓｅＴＰＰＵ
■ Définition du système, de ses fonctions et de ses composants ■ Établissement de leurs effets et de leur criticité
Dans cette première étape, on identifie les principales fonctions Dans cette étape, on recense les effets ou conséquences que
du système, ses limites fonctionnelles (systèmes et composants) peut avoir chaque mode de défaillance. Il convient de les évaluer
les spécifications relatives au fonctionnement du système, de ses sur le (ou les) niveau(x) supérieur(s), jusqu’au niveau le plus haut
composants ou de l’environnement du système. (effet local, effet au niveau immédiatement supérieur, effet final).
Ensuite, il est impératif de définir le niveau de définition de La criticité est l’expression de l’importance globale d’une
l’AMDEC : niveau procédé, niveau système, niveau composant ou défaillance donnée.
niveau pièce élémentaire.
Elle permet de hiérarchiser les défaillances selon leur influence
■ Établissement des modes de défaillance des composants et globale sur le système, le process, le client, etc. vis-à-vis des
leurs causes objectifs à maîtriser (sécurité, maintenance…).
Cette phase doit être la plus complète possible et demeure le Elle peut être exprimée par un paramètre ou une combinaison
point faible de la méthode. Un mode de défaillance décrit l’altéra- de paramètres tels que :
tion d’une fonction attendue. Les modes de défaillance sont définis
par rapport à un fonctionnement précis du système et sont donc – gravité : classe ou degré sur les effets des défaillances ;
dépendants de celui-ci. Pour aider l’analyse, on utilise des tableaux – probabilité d’occurrence : taux de défaillance, fréquence
comme le tableau 4 donnant quelques modes de défaillance de la d’apparition ;
liste-guide de modes génériques de défaillance (norme – détection : probabilité ou niveau, de détectabilité du mode de
EN 60812 [16] qui remplace la norme AFNOR X 60-510). défaillance ;
Suivant les besoins de l’étude, on recherche les causes attribua- – autres paramètres spécifiques aux particularités de l’étude
bles à chaque mode de défaillance et un mode de défaillance peut (durée de fonctionnement, temps moyen de réparation...).
avoir plusieurs causes. On recherche souvent la cause la plus élé-
mentaire (cause des causes). Pour évaluer la criticité, il existe plusieurs solutions. La première
solution consiste à utiliser un indice numérique de criticité souvent
appelé IPR (indice de priorité de risques) qui est le produit des
valeurs numériques données à la gravité, la probabilité
Remarques sur les notions de causes, modes et effets d’occurrence et la détectabilité du mode de défaillance suivant des
échelles propres à la norme d’AMDEC retenue :
Selon le niveau où l’on situe le problème, la cause devient
le mode ou bien l’effet. Indice de priorité de risque (IPR) = gravité × probabilités × détection
En raison du décalage dans l’arborescence fonctionnelle,
l’effet devient le mode de défaillance au niveau supérieur, et Pour définir si un mode de défaillance est critique, il appartient
le mode devient la cause au niveau supérieur. au groupe de travail de définir un seuil au-delà duquel
l’équipement sera considéré comme critique. Dans de nombreux
cas, on choisit le seuil au quart de la valeur maximale de la
criticité.
Tableau 4 – Exemple de modes génériques
de défaillance ■ Définition des actions correctives et nouveau calcul de la
Modes génériques de défaillance suivant la norme EN 60812 criticité
1 Défaillance structurelle Dans certaines études, si la criticité n’est pas acceptable, il est
demandé de définir des actions correctives telles que reconcep-
2 Blocage physique tion, maintenance préventive, moyens de prévention. Pour juger
9 Fuite externe de l’efficacité de ces actons correctives, il est de nouveau
indispensable de recalculer le nouvel IPR :
13 Fonctionnement intempestif
14 Fonctionnement intermittent IPR = gravité × probabilité × détection
19 Ne s’arrête pas Le tableau 5 donne un exemple de trame d’AMDEC.
Tableau 5 – Exemple de trame d’AMDEC
EXEMPLE DE TRAME d’AMDEC
Effet
au Gra- Fré- Détec- Action Gra- Fré- Détec-
Fonc- Effet Effet IPR ini- IPR
Mode niveau Cause vité quence tion correc- vité quence tion
tion local final tial finale
supé- initiale initiale initiale tives finale finale finale
rieur
ＱＳＷ
ＱＳＸ
ｓｅＴＰＰＶ
des équipements
Métriques et indicateurs de performance

Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informati-
que et d’hydraulique
et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur
Docteur ès-sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France
1. Typologie des impacts des défaillances critiques ....................... SE 4 006 - 3

1.1 Notions de défaillance critique ................................................................ — 3
1.2 Classification des secteurs d’activités ..................................................... — 3
1.3 Classification des défaillances et de leurs conséquences ..................... — 4
2. Métriques et indicateurs de performance ...................................... — 8
2.1 Préambule.................................................................................................. — 8
2.2 Métriques pour les indicateurs de performance .................................... — 9
2.3 Données ..................................................................................................... — 10
3. Métriques et indicateurs de performance
pour les secteurs d’activités conventionnelles ............................ — 12
3.1 Préambule.................................................................................................. — 12
3.2 Indicateurs et métriques pour la maintenance ....................................... — 12
3.3 Indicateurs et métriques liés à la sûreté de fonctionnement ................ — 13
4. Métriques et indicateurs de performance
pour les secteurs d’activités dangereuses ..................................... — 16
4.1 Préambule.................................................................................................. — 16
4.2 Éléments de terminologie pour les dangers et les risques ................... — 16
4.3 Métriques et indicateurs de performance
pour les installations classés ICPE........................................................... — 17
4.4 Métriques et indicateurs de performance
pour les transports aériens et ferroviaires .............................................. — 19
4.5 Métriques et indicateurs de performance pour les industries
pétrolières et chimiques dangereuses .................................................... — 21
5. Conclusion............................................................................................... — 24
et article présente les métriques et indicateurs de performance utilisés

C dans les différents secteurs industriels pour évaluer et/ou contribuer à
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＴ
réduire la criticité des conséquences des défaillances des équipements.
ＱＳＹ
ｓｅＴＰＰＶ
Les responsables des entreprises et les organismes chargés d’établir et de

faire appliquer les réglementations doivent impérativement disposer de
tableaux de bord pour contrôler l’efficacité des dispositions mises en place
pour prévenir ou minimiser les conséquences des défaillances des
équipements.
Le terme métrique utilisé dans cet article vient de l’anglicisme du mot
« metrics » et se réfère aux méthodes de mesure par laquelle l’efficacité d’un
processus ou d’un produit peut être évaluée.
La grande majorité de ces moyens de suivi a été définie pour quantifier et
qualifier les impacts des défaillances critiques sur la rentabilité économique
des investissements, la sécurité des biens et des personnes, la disponibilité
opérationnelle, le respect des contraintes réglementaires pour les installations
dangereuses et l’environnement. Compte tenu du foisonnement des métriques
et des indicateurs de performance, un utilisateur non averti a toujours du mal
à sélectionner le jeu d’indicateurs le plus pertinent, et cet article a pour but de
lui servir de guide.
L’analyse approfondie de leurs définitions permet de séparer leurs domaines
d’application en deux catégories : d’une part le domaine des secteurs
d’activités classiques et non dangereuses pour le législateur, et d’autre part le
secteur des activités dangereuses et classées.
Deux familles d’indicateurs de performance ont été définies pour chacune de
ces catégories.
La première famille est conçue pour évaluer les performances calculées à
partir des données collectées sur les installations : elle permet d’avoir des
informations sur les conséquences des décisions du management prises en
amont. Ces indicateurs de performance sont appelés « lagging indicators »
dans la terminologie anglo-saxonne et appelés dans cet article « indicateurs
d’impact ».
La seconde famille concerne des indicateurs liés à des dispositions techni-
ques ou organisationnelles contribuant à terme à réduire la criticité d’une
défaillance. Qualifiés de « leading indicators » dans la terminologie
anglo-saxonne, ils seront appelés par la suite« indicateurs d’activités ».
La notion de criticité d’un équipement a de multiples interprétations, souvent
ambigües ; la première partie en proposera une définition. Les défaillances
n’ayant pas nécessairement les mêmes conséquences en fonction des secteurs
d’activités, une classification des secteurs d’activités conventionnelles et des
secteurs d’activités classées dangereuses sera présentée avec les réglementa-
tions associées pour cette dernière catégorie. Ensuite, une typologie des
défaillances identifiera trois classes de défaillances : organisationnelles,
humaines et techniques. Les défaillances organisationnelles et humaines étant
prépondérantes, le modèle « Swiss cheese » de James Reason sera développé.
Deux méthodes d’amélioration seront brièvement exposées : les méthodes
Tripod et ALARM. Ensuite, l’inventaire des impacts des défaillances sera
détaillé ; il concerne les impacts sur la sécurité des personnes, l’environ-
nement, la disponibilité, les conséquences financières, l’image de marque et
l’intégrité des biens. Enfin, pour les défaillances techniques des équipements,
une analyse des causes est proposée : conception, exploitation, maintenance,
facteurs organisationnels et humains (FOH) et les facteurs externes.
La deuxième partie explique le rôle fondamental des indicateurs de perfor-
mance pour les dirigeants et les différents responsables d’une entreprise. Les
sept étapes de processus d’élaboration d’un indicateur de performance sont
décrites dans la seconde partie. Elles concernent la définition des objectifs
recherchés à l’aide d’un indicateur, la sélection de l’indicateur de performance,
le choix des métriques, la collecte des données brutes, le calcul des valeurs
des indicateurs, la définition des actions correctives suite aux valeurs obtenues
et sa redéfinition s’il s’avère non pertinent. La troisième partie est consacrée
aux applications dans le secteur des activités conventionnelles. Dans la mesure
où des normes internationales ont été rédigées pour la maintenance et pour la
ＱＴＰ
ｓｅＴＰＰＶ
sûreté de fonctionnement, les indicateurs de performance associés seront pro-

posés. La quatrième partie sera dédiée aux activités classées dangereuses.
Après un rappel sur les différentes définitions relatives aux dangers et aux ris-
ques, le cas des installations classées ICPE en France sera traité. Le cas de la
réglementation internationale de l’OACI pour les transports aériens fera l’objet
d’un paragraphe particulier, ainsi que le cas des secteurs du transport ferro-
viaire. Pour les industries chimiques et pétrolières, les pays anglo-saxons se
basent sur des recommandations et normes particulières. Les principes de la
norme API 754 – Process Safety Performance Indicators de l’American Petro-
leum Institute seront succinctement décrits. Pour les industries chimiques, les
recommandations de l’American Institute of Chemical Engineers (AIChE) feront
l’objet de développements.
La conclusion énoncera des recommandations pour la mise en place d’indi-
cateurs et de leurs métriques avec également une vue perspective sur les
développements en cours.
1. Typologie des impacts geants et de leurs actionnaires est de fournir un retour sur inves-
tissements optimisé. Cependant, toute activité industrielle
des défaillances critiques implique des équipements et des personnels pour les exploiter.
Les responsables de ces entreprises sont obligatoirement soumis à
des réglementations concernant la santé et la sécurité des
personnels et le respect de l’environnement. Très souvent, une ins-
1.1 Notions de défaillance critique tallation conventionnelle comporte une partie dangereuse soumise
à réglementation.
Le choix des métriques et des indicateurs de performance, et la
collecte des données associées impliquent de définir les notions
de criticité et de défaillance critique. En effet, depuis la naissance 1.2.2 Secteurs d’activités soumises
des premiers concepts de la sûreté de fonctionnement dans les à règlementation
années 1930, de nombreuses définitions ont vu le jour. Dans cet
article, la définition de la criticité sera déduite de la norme Lorsque des atteintes à la santé et la sécurité des personnes ou
américaine sur les AMDEC (analyse des modes de défaillance, de à l’environnement sont susceptibles de se produire dans un sec-
leurs effets et de leur criticité) qui a vu le jour le 10 septembre teur d’activités donné, des réglementations nationales ou interna-
1949 sous le nom de Military Procedure 1629 (MIL-P-1629) et tionales ont été élaborées pour les encadrer. Ainsi, dans le
remise à jour par la Mil-STD 1629A [1] et qui définit la criticité domaine des activités industrielles dangereuses, le ministère de
comme étant une « mesure relative des conséquences d’un mode l’Écologie, du Développement durable et de l’Énergie réglemente
de défaillance et de sa fréquence d’occurrence ». À partir de cette et fait inspecter les installations classées pour la protection de
mesure relative, il est possible de définir un seuil au-delà duquel la l’environnement (ICPE) [2]. Les installations classées ICPE sont
conséquence sera considérée comme critique. La gravité des susceptibles de générer des risques ou des dangers, ou de provo-
conséquences d’un mode de défaillance critique, conformément à quer des pollutions ou nuisances, notamment pour la sécurité et la
cette même norme, prend en considération ses pires santé des riverains et pour l’environnement.
conséquences finales : par exemple, mort de personnes, blessures, Il existe quatre catégories d’installations classées :
atteintes aux biens et aux systèmes. Les paragraphes suivants 1. les installations soumises à déclaration : pour les activités les
décrivent les typologies des causes et des conséquences des moins polluantes et les moins dangereuses ;
défaillances pour deux familles de secteurs d’activités : les
2. les installations soumises à autorisation : pour les installations
secteurs d’activités conventionnelles et les secteurs d’activités sou-
présentant les risques ou pollutions les plus importants ;
mises à règlementation.
3. les installations dites « Seveso seuil bas » : cette catégorie
correspond au seuil bas de la directive européenne Seveso II ;
4. les installations soumises à autorisation avec servitudes
1.2 Classification des secteurs d’activités d’utilité publique (AS) : cette catégorie inclut les installations dites
« Seveso seuil haut » de la directive européenne Seveso II.
Les conséquences des défaillances des équipements varient de
façon très notable suivant leurs potentialités à induire des risques
ou des dangers pour la sécurité et la santé des personnels des
À partir de 2015, la réglementation SEVESO III remplacera
entreprises ou des riverains. Pour ces raisons, il est important de
la réglementation SEVESO II.
différencier le cas des secteurs d’activités conventionnelles de
celui des secteurs d’activités présentant des dangers et des
risques. Dans le domaine des transports ferroviaires, de nombreux
règlements régissent leur sécurité. L’Union européenne [3] a établi
1.2.1 Secteurs d’activités conventionnelles le règlement (UE) no 1078/2012 du 16 novembre 2012 concernant
une méthode de sécurité commune aux fins du contrôle que doi-
Les secteurs d’activités conventionnelles directement liés à vent exercer les entreprises ferroviaires et les gestionnaires
l’industrie représentent environ 80 % de toutes les activités d’infrastructure après l’obtention d’un certificat de sécurité ou d’un
recensées en France. La principale préoccupation de leurs diri- agrément de sécurité, ainsi que les entités chargées de l’entretien.
ＱＴＱ
ｓｅＴＰＰＶ
Pour les transports aériens, l’Organisation de l’aviation civile

internationale (OACI) est l’organisme qui assure la normalisation
internationale des règles de sécurité. La DGAC (Direction générale Financières
de l’aviation civile) est chargée de sa transcription dans le droit
français [4].
Image de
Pour information, l’Autorité de sûreté nucléaire (ASN), Disponibilité
marque
réglemente et contrôle la sûreté nucléaire et la radioprotection en Défaillances
France. Les références [SE 3 010] et [SE 12] donnent des informa- • organisationnelles
tions complémentaires sur la sécurité et gestion des risques et les • techniques
facteurs organisationnels de la sécurité. • humaines
Intégrité
Environnement
des biens
1.3 Classification des défaillances Sécurité des
et de leurs conséquences personnes
Pour les secteurs d’activités conventionnelles ou classées

Figure 1 – Causes et conséquences des défaillances
dangereuses, les défaillances d’origine différentes sont inévitables
car les objectifs « zéro défaut », « zéro panne » et « zéro accident »
sont irréalisables en pratique. Une étape préalable à la définition majeure et non encore parfaitement résolue concerne les défini-
des métriques et d’indicateurs de performance consiste à établir tions de facteurs humains, d’erreurs humaines et de fiabilité
une classification des défaillances conduisant à des situations humaine. Ce paragraphe donnera des exemples de définitions les
jugées critiques. Elle permettra d’identifier les leviers appropriés plus appropriées pour une étude de criticité en soulignant qu’elles
pour entreprendre des actions de prévention et d’anticipation de ne réunissent pas obligatoirement un consensus au sein des
l’occurrence de défaillances. La figure 1 représente les communautés scientifiques dans cette discipline. Dans les années
conséquences principales des trois catégories principales de 1950 avec l’école des « Human Factors », l’homme était considéré
défaillance : essentiellement comme un élément de défaillance et était fré-
– défaillances organisationnelles ; quemment mis en cause dans l’analyse des catastrophes indus-
– défaillances humaines ; trielles et les accidents du travail [5]. Pendant plusieurs décennies,
– défaillances techniques. cette conception négative de l’intervention humaine reposait sur
Sur la figure 1, les différentes conséquences des défaillances une confiance sans faille dans la technique et sur une méconnais-
sont représentées, ainsi que leurs interrelations. sance des sciences humaines. On attribuait presque toujours les
causes des accidents aux facteurs humains liés aux erreurs et aux
fautes des opérateurs. Grace aux leçons tirées des analyses des
1.3.1 Typologie des défaillances grandes catastrophes industrielles (Bhopal, Three Mile Island,
Tchernobyl, Piper Alpha, etc.), ce point de vue réducteur a changé
Il est important de noter que les défaillances ne font pas l’objet notablement pour prendre en compte les facteurs organisationnels
de définitions uniques et il convient de s’assurer de la bonne dans lequel évolue l’opérateur humain [6]. Cambon [7] dans sa
acceptation de ces concepts au sein d’une étude de criticité thèse présente les quatre « ères » qui replacent ces évolutions
particulière. Les paragraphes suivants proposent les définitions les depuis les années 1930 :
plus communément admises pour les défaillances et leurs
– l’ère technique : fiabilité des systèmes techniques ;
conséquences.
– l’ère de l’erreur humaine : facteur humain ;
– l’ère organisationnelle : facteurs organisationnels ;
1.3.1.1 Défaillances organisationnelles – l’ère interorganisationnelle : culture de sécurité et résilience.
Les défaillances organisationnelles relèvent principalement de La résilience est la capacité d’un système à maintenir ou à réta-
problèmes de management car elles mettent en cause les blir un niveau de fonctionnement acceptable malgré des pertur-
méthodes et les procédures de travail, la communication entre les bations ou des défaillances [8]. Aujourd’hui, les facteurs humains
acteurs, l’organisation des équipes de travail et la fourniture des et organisationnels (FOH) sont pris en considération dans la majo-
moyens humains et logistiques. Elles peuvent contribuer de façon rité des activités industrielles ou de services. Samson [AG 1 520]
indirecte à la défaillance d’un équipement ou à un accident définit ainsi le facteur humain : « L’homme, ses comportements et
majeur. Ainsi les enquêtes menées, suite aux accidents des navet- ses modalités de fonctionnement, les facteurs internes et externes
tes Columbia et Challenger, ont pointé du doigt de nombreuses qui influencent ces comportements. L’incidence de ces comporte-
défaillances organisationnelles. Par exemple, une procédure de ments sur la qualité et la fiabilité » ou : « L’homme et ses interac-
maintenance inadaptée d’un équipement peut conduire à une tions avec les sous-systèmes humains, techniques, sociaux et
défaillance technique. De nombreuses normes et référentiels pro- organisationnels d’un système, le résultat de ces interactions en
posent des systèmes de management pour la qualité, la santé et termes de sécurité et de production ».
sécurité au travail, l’environnement, la communication et les rela-
tions humaines et le management des risques. Dans la suite de cet Les facteurs internes relèvent des caractéristiques individuelles
article, les normes directement liées à la détermination de la de l’opérateur, et les facteurs externes concernent particulièrement
criticité des défaillances feront l’objet de descriptions plus l’organisation du travail et l’environnement des conditions de
détaillées. travail.
L’erreur humaine peut être considérée comme l’incapacité à
1.3.1.2 Défaillances humaines atteindre un objectif donné selon une procédure prévue par suite
d’un comportement involontaire ou délibéré, ou bien l’erreur est
Les défaillances humaines représentent dans beaucoup un écart ou une déviation involontaire entre l’action et l’intention.
d’industries la source prépondérante de défaillances induisant la
majorité des conséquences décrites sur la figure 1. Selon l’Institut La fiabilité humaine est l’aptitude d’une entité (individu ou
de radioprotection et de sûreté nucléaire (IRSN), les défaillances équipe) à effectuer ses tâches de façon sûre, dans les délais et les
humaines et organisationnelles étaient à l’origine de 85 % des évé- exigences attendus.
nements significatifs pour la sûreté nucléaire en 2009. Dans le Depuis les années 1990, de nouveaux concepts et modélisations
domaine de l’étude des défaillances humaines, une difficulté ont été introduits pour comprendre pourquoi et comment les
ＱＴＲ
ｓｅＴＰＰＶ
accidents surviennent. Incontestablement, le modèle « Swiss cachées pour les opérateurs, peuvent se propager à l’intérieur du
cheese » ou « gruyère » développé par le Professeur James système de barrière et conduire à des erreurs actives.
Reason de la Manchester University au Royaume-Uni est actuelle-
ment le plus répandu. Ces travaux considèrent que l’erreur La figure 3 représente toute la chaîne causale pouvant conduire
humaine n’est plus la cause d’un accident, mais la conséquence à un accident.
d’un environnement organisationnel défaillant [9]. La figure 2 Le modèle initial de Reason a fait l’objet depuis son premier
représente le modèle de Reason. Il utilise un système de plaques concept de nombreuses modifications pour l’améliorer et le
correspondant à des barrières redondantes qui s’interposent entre compléter. Parmi ces améliorations, on peut citer la méthode
le danger et l’accident. Tripod développée par Cambon et Guarniéri dans le domaine de la
L’occurrence d’un accident se produit si toutes les barrières sécurité du travail et celle de la méthode ALARM dans le domaine
mises en place s’avèrent défaillantes. Les points faibles d’une médical.
barrière sont représentés par « trous » d’où le surnom de la La méthode Tripod [10] repose sur les analyses faites a poste-
méthode « Swiss cheese » ou « gruyère ». L’apparition simultanée riori sur les rapports d’accidents et d’incidents. Les conclusions de
de trous dans chacune des barrières peut alors provoquer ces analyses permettent de classer les défaillances latentes en un
l’accident. Le chemin ainsi défini entre le danger, les trous et nombre limité de onze facteurs types de risques organisationnels.
l’accident est alors appelé la « trajectoire accidentelle ». Les tra-
vaux de Reason se sont penchés sur les conditions d’apparition de La méthode ALARM a été développée dans le domaine de la
ces trous. Les erreurs actives correspondent aux conséquences prévention des risques hospitalier par Charles Vincent et son
d’erreurs commises par les opérateurs de première ligne. Selon équipe et publiée en 1998 [11]. Elle est inspirée directement du
son modèle, ces erreurs actives sont les conséquences de modèle de REASON. Les fondements de la méthode ALARM
mauvaises décisions organisationnelles prises par le management repose sur les constatations et définitions suivantes : Tout opé-
(conception, communication, planification, etc.). Ces dysfonction- rateur fait des erreurs, et il est même impossible d’imaginer un
nements organisationnels sont appelés « conditions latentes » et opérateur qui n’en fasse pas. Ces erreurs sont « patentes »,
sont les sources « d’erreurs latentes ». Ces erreurs latentes, visibles de tous.
Conditions latentes
Barrière
DANGER
n° 3
Barrière
n° 3
Barrière
n° 2
Barrière
n° 1
Erreurs actives
Accident
Figure 2 – Modèle « Swiss cheese » à plaques de Reason
Erreurs Conditions Erreurs Barrières/

latentes de travail actives défenses
Accident
Facteurs : Actes dangeureux :
Décisions du • charge de travail • oublis
management • supervision • report des tâches
• communication • erreurs cognitives
Processus • outillage (pertes mémoire et
organisationnel • connaissances fautes)
• aptitude • violations
Figure 3 – Chaîne causale d’un accident
ＱＴＳ
ｓｅＴＰＰＶ
Erreurs latentes Erreurs patentes Défenses en profondeur

Pression à l’erreur par défaut Erreurs et violation par Dont certaines sont
d’organisation,de communication les acteurs érodées par la routine
ou de conceptions sûre des le manque de moyens
interfaces
Auto détection
et récupération
Événement
indésirable
Arrêt de progression
par une barrière
Pression à Mauvaise Fatigue
la production organisation stress
interface
Figure 4 – Le modèle ALARM de Vincent
• La sécurité repose sur des « défenses en profondeur » qui sont fréquente de l’occurrence des défaillances techniques. Ainsi, le
des procédures organisées pour récupérer les erreurs des choix d’une mauvaise nuance d’un acier entraînera à terme sa
opérateurs (aucune de ces procédures ou barrières n’est suffisante rupture par fatigue lors de sollicitations mécaniques répétées.
pour procurer une sécurité totale, mais leur empilement bloque
presque toutes les propagations d’erreurs dans le système. Une exploitation de l’équipement ne respectant les spécifica-
tions techniques d’exploitation est une source de défaillance
• L’organisation du travail, sa conception et son management classique. Par exemple, si l’opérateur d’un pont roulant manipule
par la hiérarchie, pèsent sur la fréquence et le type d’erreur des une charge dépassant la valeur limite de conception, cela induira
opérateurs. Mais les dysfonctionnements à ce niveau sont long- sa destruction structurelle. Il est important de noter que dans ce
temps invisibles : on les appelle des « erreurs latentes ». cas, le facteur humain y joue également un rôle important.
La méthode ALARM fournit un guide pour retrouver ces erreurs
latentes de l’organisation et de son management. Une politique de maintenance mal maîtrisée et/ou inefficace est
une source majeure de défaillances. À titre d’exemple, une mau-
La figure 4 illustre les principes et concepts de la méthode vaise périodicité du graissage d’un palier conduit inévitablement à
ALARM. une défaillance.
1.3.1.3 Défaillances techniques Comme largement développé au paragraphe 1.3.1.2 les facteurs
humains opérationnels et humains (FOH) sont des contributeurs
Les défaillances techniques sont définies dans la discipline de la
majeurs à l’apparition de défaillances techniques. Ainsi, un person-
sûreté de fonctionnement comme est la cessation de l’aptitude
nel mal formé ou non habilité pourra endommager un équipement
d’une entité à accomplir une fonction requise (norme NF EN 13306
et conduire à la défaillance, ou bien une procédure de maintenance
Maintenance – Terminologie de la maintenance) [12]. La
non remise à jour peut engendrer à terme une défaillance techni-
défaillance est observée à travers son mode et résulte d’une cause
que. Un inventaire exhaustif de toutes les causes liées aux FOH est
initiale. Elle se caractérise donc par le couple cause-mode. Le
impossible à réaliser en pratique. Chaque secteur d’activités dis-
mode de défaillance est la manière par laquelle la défaillance est
pose de son propre référentiel lié aux FOH. Les facteurs extérieurs
observée et correspond à une perte totale ou partielle de fonctions
qui conduisent à des défaillances techniques correspondent à des
assurées par l’équipement. La cause potentielle de la défaillance
agressions externes non prévues lors de la conception de l’équipe-
représente l’événement initial susceptible de conduire au mode de
ment. Parmi ces facteurs on peut prendre en compte :
défaillance. L’effet est la conséquence du mode de défaillance sur
le bon fonctionnement du moyen de production ou sur l’utilisateur – les environnements d’exploitation en dehors des plages spéci-
final du moyen. La figure 5 représente les facteurs qui contribuent fiées (humidité, pression atmosphérique, température, vibrations,
à l’occurrence des défaillances techniques. champs électriques et magnétiques, poussières, atmosphère
Une mauvaise conception des équipements conjuguée à la corrosive) ;
sélection de matériaux inadaptés ou trop fragiles est une cause – les sabotages ou actes de malveillance ;
Facteurs influants
sur les défaillances
techniques
Facteurs
Conception Exploitation Maintenance organisationnels Facteurs
et humains (FOH) externes
Figure 5 – Causes des défaillances techniques
ＱＴＴ
ｓｅＴＰＰＷ
des équipements
Méthodologie globale
Ingénieur de l’École nationale supérieure d’électrotechnique,
d’électronique, d’informatique et d’hydraulique et des télécommunications
de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès Sciences
Professeur associé des universités en retraite
Université Paris Est Créteil , France
1. Présentation de la méthodologie...................................................... SE 4 007 - 3

1.1 Objectifs ..................................................................................................... — 3
1.2 Étapes de la démarche méthodologique ................................................ — 3
2. Méthodes d’analyse fonctionnelle associées aux outils ............ — 4
2.1 Rôle et objectifs ......................................................................................... — 4
3. Sélection de la caractéristique mesurant la criticité
de l’équipement ..................................................................................... — 7
3.1 Préambule.................................................................................................. — 7
3.2 Caractéristiques qualitatives et quantitatives ......................................... — 9
4. Typologies des données de fiabilité pour la détermination
de la criticité........................................................................................... — 10
4.1 Préambule.................................................................................................. — 10
4.2 Données de fiabilité .................................................................................. — 10
5. Typologie des banques de données de retour d’expérience ..... — 11
5.1 Préambule et historique ........................................................................... — 11
5.2 Typologie des données contenues dans les banques de données ...... — 11
5.3 Principales banques de données de fiabilité .......................................... — 12
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪ｡ｮｶｩ･ｲ＠ＲＰＱＵ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＸ

6. Différentes méthodes d’évaluation de la criticité ....................... — 12
6.1 Préambule.................................................................................................. — 12
6.2 Méthodes d’évaluation de la criticité par jugements d’experts ........... — 12
6.3 Méthodes analytiques d’évaluation de la criticité .................................. — 17
6.4 Méthodes de réduction de la criticité des conséquences
des défaillances......................................................................................... — 22
7. Conclusion............................................................................................... — 24
et article présente la méthodologie globale pour évaluer la criticité des

C conséquences des défaillances d’un équipement d’un système complexe
industriel.
Cette évaluation est d’une importance stratégique pour les dirigeants en leur
fournissant une vision instantanée des performances de leurs entreprises pour
mettre en œuvre ensuite des actions de progrès si cela s’avère nécessaire. La
méthodologie préconisée dans cet article repose sur sept étapes principales.
ＱＴＵ
ｓｅＴＰＰＷ
La première étape insiste sur le besoin de définir les objectifs précis d’une
étude de criticité qui doivent être validés et entérinés par les dirigeants de
l’entreprise. En effet, ces évaluations de la criticité peuvent concerner des
aspects économiques, stratégiques, financiers, réglementaires, techniques,
organisationnels. Elles pourront servir à l’établissement d’indicateurs de per-
formance et/ou à l’élaboration de tableaux de bord.
La deuxième étape propose une organisation du groupe de travail regrou-
pant tous les acteurs indispensables pour mener à bien l’étude de criticité.
En fonction des objectifs définis dans la première étape, la troisième étape cor-
respond à la définition précise du système, de ses équipements et de ses limites.
La quatrième étape décrit les principales méthodes d’analyse fonctionnelle.
Ces méthodes sont indispensables pour réaliser des arborescences fonction-
nelles et/ou matérielles d’un procédé industriel complexe. L’objectif de ces
méthodes est d’aider à comprendre les raisonnements en visualisant le chemi-
nement entre les causes et les différents effets des défaillances et à définir le
niveau approprié du critère. Les méthodes FAST, SADT®, IDEF0 et Apte® feront
l’objet de descriptions succinctes.
La cinquième étape propose une sélection des métriques et indicateurs de
performances les plus appropriés aux objectifs recherchés. Les indicateurs
d’impacts « lagging indicators » et les indicateurs d’activité « leading
indicators » feront l’objet de descriptions spécifiques. Parmi le grand foisonne-
ment de métriques et d’indicateurs de performance « clés », les échelles de
cotation de la gravité et de la fréquence d’occurrence, les ordres de priorité de
risque (RPN) et la courbe de Farmer seront exposés. Il sera fait également réfé-
rence aux principales normes internationales définissant des indicateurs de
criticité organisationnels, économiques et techniques.
La sixième étape fournit une typologie des données de fiabilité nécessaires à
la construction des métriques de mesure de la criticité. Ces données étant par
nature des variables aléatoires, seules des estimations statistiques sont possi-
bles. Les méthodes d’estimation ponctuelles ou par intervalles sont décrites et
les principes des estimations des lois de probabilité par les approches fréquen-
tistes et bayésiennes y sont rappelés.
La septième étape établit un inventaire des banques internationales de
données de fiabilité (MIL-HDBK-217F, OREDA, NSWC, Telcordia Issue 3, RIAC
217Plus, IEC TR 62380, FIDES, CHINA GJB/z 299B, Weibull Database Barringer)
en mentionnant le degré d’obsolescence de certaines d’entre elles. Il y sera
souligné que pratiquement toutes ces banques donnent des taux constants de
défaillance suivant la loi exponentielle. La liste des autres banques sera men-
tionnée par souci d’exhaustivité. Dans la septième étape, les principaux outils
pour évaluer la criticité des défaillances des équipements sont présentés en
suivant pour chaque méthode la trame suivante : origine, principe, avantages
et inconvénients. La première famille d’outils est consacrée aux méthodes qua-
litatives à base des jugements des experts quand les données de fiabilité ne
sont pas disponibles (brainstrorming, Delphi, Abaque de Régnier®, méthodes
PIEU et Méride, Méthode de la MBF (maintenance basée sur la fiabilité et le
diagramme d’Ishikawa). La seconde famille est dédiée aux outils quantitatifs
d’évaluation de la criticité en soulignant les métriques utilisées. Seront passés
en revue : l’APR (analyse préliminaire des risques), l’AMDEC (analyse des
modes de défaillance de leurs effets et de leur criticité), l’HAZOP (HAZard and
OPerability study) utilisé pour l’analyse des risques industriels, What-If (Que se
passe-t-il si ?), les arbres de défaillances, les blocs diagrammes de fiabilité.
Pour guider le lecteur sur le choix le plus adapté à leur problématique, une
grille comparative des méthodes est ensuite proposée.
Dans l’éventualité où la criticité des défaillances s’avérerait inacceptable, on
recense les méthodes les plus utilisées pour réduire leurs conséquences (bar-
rières de sécurité, arbres d’événements, nœud papillon, méthode MOSAR,
méthode LOPA (Layer Of Protection Analysis). En conclusion, des recommanda-
tions seront émises pour s’assurer que les résultats obtenus sont conformes aux
objectifs recherchés et de nouvelles approches seront mises en perspective.
ＱＴＶ
ｓｅＴＰＰＷ
1. Présentation 1.2.1 Définitions des objectifs de la détermination

de la criticité
de la méthodologie Les définitions des objectifs recherchés sont primordiales dans
une étude de la détermination de la criticité car elles conditionnent
le contenu et le niveau de détail de toutes les étapes suivantes.
1.1 Objectifs Elles doivent également prendre en compte la structure des systè-
mes étudiés, leurs environnements et leurs interactions avec
d’autres systèmes. La criticité d’un équipement peut être utilisée
Suivant les secteurs d’activités (industriels, aéronautiques, trans- en fonction de la sévérité des conséquences des défaillances,
ports, médicaux, agroalimentaires, pharmaceutiques, nucléaires, comme les impacts sur :
etc.) plusieurs dizaines de méthodes ont été mises au point et
appliquées avec succès. L’objet de cet article est de présenter la – la vie des personnes internes ou externes à l’entreprise ;
méthodologie à mettre en œuvre pour obtenir une évaluation per- – l’intégrité des installations ;
tinente de la criticité. – les pertes de production ou de qualité ;
– la réglementation sur l’environnement ;
Un procédé industriel, représenté sur la figure 1, est un ensem-
ble complexe d’équipements, logiciels, personnels et processus – le respect de la réglementation en matière de risques ;
d’utilisation organisé de manière à satisfaire les besoins et remplir – les coûts de maintenance ;
les services attendus dans un environnement donné [1]. – l’image de marque de l’entreprise.
Parmi toutes les définitions de la criticité disponibles, celle de la Les utilisateurs des résultats d’une étude de la détermination de
norme CEI 60812 [2] sera retenue : La criticité, est la combinaison la criticité peuvent rentrer dans les catégories suivantes :
de la sévérité d’un effet et de la fréquence de son apparition, ou 1) les organismes chargés de faire respecter les réglementations ;
d’autres attributs d’une défaillance, comme une mesure de la 2) les dirigeants des entreprises qui souhaitent disposer d’indi-
nécessité d’un traitement ou d’une atténuation. cateurs de performance ;
3) les concepteurs d’installations industrielles nouvelles ;
4) les responsables de maintenance.
1.2 Étapes de la démarche La criticité servira de métrique pour définir des indicateurs de
méthodologique performance d’activités ou d’impact. Suivant [SE 4 006] les indica-
teurs d’impact (lagging indicator ) permettent de constater et de
Quel que soit l’outil final retenu pour définir la criticité des équi- mesurer les impacts des décisions organisationnelles ou techni-
pements, la démarche méthodologique rassemblant un ensemble ques prises auparavant dans l’entreprise par le management. Ils
de méthodes se décompose en plusieurs étapes : fournissent des « photographies instantanées » des performances
réelles et sont ainsi appelés indicateurs « réactifs », a posteriori.
– définition des objectifs de la détermination de la criticité ; Les indicateurs d’activités (leading indicators ), par opposition, ont
– mise en œuvre du groupe de travail ; été développés pour identifier si les entreprises ont mis en place
des mesures permettant de corriger de façon proactive des indica-
– définitions du système à étudier et de ses limites ; teurs d’impact jugés non satisfaisants.
– analyse fonctionnelle de l’équipement ; Une fois les objectifs définis, il convient de mettre en place un
– sélection de la caractéristique mesurant la criticité de groupe de travail spécifique qui réalisera les études de criticité et qui
l’équipement ; rendra compte de l’avancement des travaux au niveau des dirigeants.
– établissement de la typologie des données de fiabilité ;
– établissement de la typologie des banques de données de 1.2.2 Mise en œuvre du groupe de travail
retour d’expérience ;
Pour être aussi exhaustive que possible, l’analyse de la criticité
– sélection et mise en œuvre de la méthode d’évaluation de la doit être menée au sein d’un groupe de travail réunissant des spé-
criticité. cialistes des installations étudiées.
De manière générale, les outils d’analyse de la criticité sont mis
en œuvre dans le cadre de groupe de travail animé par le respon-
sable du projet.
La composition conseillée du groupe d’experts techniques
contribuant à l’étude sur la criticité peut être, à titre d’exemple, la
suivante :
– responsable du projet ;
– personne chargée de la conception ;
Équipements PROCESSUS – personne chargée de la sécurité des personnes ;
INDUSTRIEL – spécialiste du fonctionnement du procédé ;
– personne chargée de la maintenance ;
Personnels
Techniques – spécialiste du contrôle commande ;
– personne travaillant en production ;
Logiciels – personne chargée de la réglementation du travail ;
– personne chargée de la réglementation sur les risques et
l’environnement.
Pour être efficace, une équipe ne doit pas comporter plus de
Figure 1 – Schéma d’un procédé industriel sept ou huit personnes au total.
ＱＴＷ
ｓｅＴＰＰＷ
1.2.3 Définition du système à étudier 1.2.8 Sélection et mise en œuvre

et de ses limites de l’outil d’évaluation de la criticité
Pour éviter toute ambiguïté sur le domaine de validité de l’étude Dans cette étape, il faut sélectionner un ou plusieurs outils pour
de criticité, la définition du système et ses limites physiques doi- mener l’analyse de la criticité. Parmi les dizaines d’outils dévelop-
vent être clairement identifiées. Il est indispensable de fournir : pés depuis plusieurs décennies, il est possible de proposer une
classification basée sur les modes de raisonnement liant les cau-
– une description détaillée sur les composants de l’équipement ses aux conséquences des défaillances : méthodes inductives
avec leurs caractéristiques, leurs rôles et leurs fonctions ; (Bottom-up ) des causes aux conséquences ou déductives
– les entrées fournies par des systèmes « serviteurs » (électricité, (Top-down ) des conséquences aux causes.
air comprimé, etc.) ;
En absence de données de retour d’expérience, les méthodes
– les sorties du système vers des systèmes extérieurs basées sur les jugements des experts peuvent être mises en
« utilisateurs » ; œuvre. Le paragraphe 6 donnera les principes des techniques
– le niveau et la nature des redondances ; suivantes d’élicitation d’experts : brainstrorming, Delphi, Abaque
– les phases de la mission du système (arrêt, marche continue, de Régnier®, méthodes PIEU et Méride, méthode de la MBF (main-
nombre de sollicitations, etc.) ; tenance basée sur la fiabilité et le diagramme d’Ishikawa). En pré-
– la topologie de l’environnement du système. sence de données de retour d’expérience, la majorité des outils
propose des indicateurs quantifiés. Ce chapitre donnera un résumé
très succinct des principes des méthodes analytiques (APR,
1.2.4 Analyse fonctionnelle du système AMDEC, HAZOP, What-if, arbres de défaillances, blocs diagram-
mes de fiabilité) et les principes généraux des méthodes de réduc-
Les objectifs de l’analyse de criticité sont très souvent rattachés tion de la criticité des conséquences (barrières, arbres
à un niveau particulier dans l’architecture d’une installation d’événements, nœud papillon, MOSAR, LOPA).
industrielle : usine, unités de production, systèmes, composants.
Différentes méthodes d’analyse fonctionnelle ont été mises au
point pour aider les experts à visualiser la chaîne causale entre les
causes et les effets des défaillances au niveau retenu. Compte tenu
de l’importance de ces techniques de modélisation fonctionnelles
2. Méthodes d’analyse
et matérielles utilisées dans la majorité des outils quantitatifs ou
qualitatifs, elles feront l’objet du paragraphe 2 de cet article.
fonctionnelle associées
aux outils
1.2.5 Sélection de la caractéristique mesurant
la criticité de l’équipement
2.1 Rôle et objectifs
Les objectifs définis dans la première étape n’indiquent pas
souvent les modalités précises de sélection de la caractéristique Les méthodes d’analyse fonctionnelle, par leurs caractères sys-
permettant de mesurer la criticité de l’équipement. Il convient alors tématiques et exhaustifs, représentent une garantie formelle pour
de rechercher les métriques et les caractéristiques les plus perti- décomposer une installation industrielle en niveaux fonctionnels et
nentes satisfaisant les objectifs recherchés. La grande majorité des matériels nécessaires pour identifier les modes de défaillances et
caractéristiques est élaborée de façon quantitative à partir de don- leurs conséquences sur les objectifs opérationnels retenus pour
nées numériques disponibles dans les banques de données l’installation ou l’équipement concerné.
réalisées à partir de la collecte des données de retour d’expé- L’analyse fonctionnelle consiste à recenser, caractériser, ordon-
rience. De nombreuses normes internationales et guides de ner, hiérarchiser et éventuellement valoriser les fonctions.
recommandation ont vu le jour depuis plusieurs décennies pour
Les méthodes d’analyse fonctionnelle permettent :
sélectionner la caractéristique la plus adaptée. Pour guider le
lecteur dans sa recherche de la caractéristique la plus pertinente le – en cours de conception de décrire le besoin d’un utilisateur en
paragraghe 3 sera consacré à cette problématique. termes de fonctions, en faisant abstraction des solutions pour le
réaliser ;
– pour un équipement existant de décrire sa structure en termes
1.2.6 Typologie des données de fiabilité de fonctions, en prenant en compte les composants utilisés.
Pour chaque fonction, des critères d’appréciation et de perfor-
Dans l’éventualité où la métrique ou l’indicateur de performance
mance sont attribués.
retenu possède un caractère quantitatif, il est indispensable d’avoir
accès aux données sur le comportement des équipements. Les résultats des analyses fonctionnelles sont matérialisés par
Comme ces données sont brutes et correspondent à des grandeurs trois éléments : le cahier des charges fonctionnel (CDCF), le bloc
aléatoires, l’application des méthodes statistiques d’estimation des diagramme fonctionnel (BdF) et le tableau d’analyse fonctionnelle
paramètres ou des lois de fiabilité devient incontournable. Le (TAF). Le lecteur trouvera les détails dans la norme
paragraphe 4 présentera les bases des techniques d’estimation fré- NF-EN1325-avril 2014 [3].
quentiste ou bayésienne.
2.1.1 Arbres fonctionnels et matériels
1.2.7 Typologie des banques de données Certains outils et logiciels utilisés pour la détermination de la cri-
de fiabilité et retour d’expérience ticité se basent sur des arborescences fonctionnelles ou maté-
rielles qui se déduisent directement de la structure du système. À
Cette étape vise à sélectionner et à caractériser les banques de
titre d’exemple, la figure 2 représente le schéma d’un système de
données de retour d’expérience disponibles au niveau internatio-
production et de distribution d’air comprimé qui a pour fonction
nal et qui seront les plus pertinentes pour les études de criticité.
principale de fournir de l’air comprimé à 50 bar avec un débit de
Le paragraphe 5 fournira les caractéristiques des principales 30 m3/h. Les contraintes sur la qualité de l’air comprimé
banques de données de fiabilité et une description de leur concernent : la quantité d’eau par kilogramme d’air inférieure à
contenu. 1,5 g, la concentration de gaz hydrocarbonés inférieure à 50 ppm
ＱＴＸ
ｓｅＴＰＰＷ
et des tailles des particules inférieures à 5 µ. À partir des fonctions

des composants représentés sur le schéma, il est possible de réali-
ser des arborescences fonctionnelles et matérielles avec une
Entrée d'air
approche intuitive comme indiqué sur les figures 3 et 4.
Chapeau pare-pluie
L’inconvénient de cette approche est de ne pas être totalement
Filtre entrée d'air exhaustive contrairement aux méthodes FAST, SADT®, IDEF0 et
APTE®.
Capteur Groupe moto compresseur
P1
de pression 2.1.2 Méthode FAST
C La méthode FAST (Function Analysis System Technique ) [4] est
Soupape de sécurité couramment employée en matière d’analyse de la valeur. Elle
permet :
AP – d’ordonner les fonctions identifiées ;
Vannes – de vérifier la logique fonctionnelle ;
Automate V1 V3 – d’avoir une bonne connaissance du produit ou du système
programmable étudié ;
– de prendre conscience de l’importance relative des éléments
Sécheur 1 S1 S2 Sécheur 2
ou des structures vis-à-vis des fonctions qu’ils assurent ;
– de mettre en évidence des synchronisations entre les fonctions
indépendantes.
V2 V4 Le diagramme FAST se construit de gauche à droite en plaçant à
Vannes gauche la fonction principale réalisée par l’équipement et ensuite
Alarme en se déplaçant vers la droite ou vers le bas. Les liaisons entre
AH humidité blocs fonctionnels sont établies en répondant à trois questions :
Réseau de distribution – pourquoi ou dans quel but la fonction existe-t-elle ?
P2 Capteur – comment la fonction d’ordre supérieur est-elle réalisée avec
de pression des fonctions d’ordre inférieur ?
– quand est-il nécessaire de disposer simultanément de plu-
R Réservoir sieurs fonctions ?
RV
Le système est représenté à l’aide d’un diagramme comportant
trois régions délimitées par des traits pointillés verticaux :
Regard de 1) la partie centrale correspond au domaine fonctionnel propre
visite au système ;
2) dans la partie gauche, on trouve les fonctions principales du
Vanne de purge V5
système ;
3) dans la partie droite, on trouve les ressources extérieures
au système, ressources qui, si elles n’existaient pas, ne modi-
Figure 2 – Schéma d’une installation de production d’air comprimé fieraient pas la capacité du système à satisfaire les fonctions.
Chapeau pare-pluie
Filtre Sous-système
Capteur pression P1 entrée d’air/filtration
Tuyauterie
Système
de compression
Moto compresseur
Automate programmable Sous-système
Soupape de sécurité Ensemble compressueur
Tuyauterie
Sécheur n° 1
Sécheur n° 1 Système
Système
Vannes 1, 2, 3, 4 de production
de séchage
Tuyauterie air comprimé
Capteur d'alarme humidité
Réservoir d’air
Vanne de purge V5 Système
Capteur presssion P2 de stockage
Regard de visite distribution
Tuyauterie
Figure 3 – Arbre matériel du système de production d’air comprimé
ＱＴＹ
ｓｅＴＰＰＷ
Fournir de l’air Admettre l’air extérieur

comprimé Comprimer l’air à 50 bars
à 50 bars Contenir l’air
Distribuer l’air
Fournir et
distribuer de l’air Enlever l’humidité dans
comprimé les sécheurs
Enlever l’humidité dans
Enlever l’humidité
le réservoir d’air
de l'air
Enlever l’humidité dans
Enlever les pots de condensation
l’humidité de
l’air et les
polluants
Enlever les
polluants de l’air
Figure 4 – Arbre fonctionnel du système de production d’air comprimé
Intérieur du système
Comment ? Pourquoi ?
Fonction 2 Fonction 5
Fonction principale Fonction

Fonction 1 CHEMIN CRITIQUE
supports
à satisfaire par l’équipement
externes
Fonction 3 Fonction 6
Quand ?
Fonction 4
Figure 5 – Diagramme fonctionnel d’un FAST
Les fonctions sont ordonnées et représentées dans des – les datagrammes, où les données sont générées par des fonc-
« boîtes » rectangulaires. tions de génération, utilisées par des fonctions d’utilisation, sous
Le graphe se construit progressivement sur une ligne baptisée la surveillance des activités de contrôle.
« chemin critique ». Au-dessus ou en dessous d’une fonction, on
placera les fonctions qui se produisent dans le temps, ou en même SADT® définit une décomposition fonctionnelle hiérarchisée
temps (on se pose la question « Quand ? ») comme l’indique la entre les différents niveaux de détail, la décomposition à un niveau
figure 5. donné doit faire apparaître des fonctions ou des données qui sont
à leur tour décomposées (approche descendante top-down ). Pour
la validation, on doit s’assurer que les entrées d’une fonction d’un
2.1.3 Méthode SADT® niveau donné doivent impérativement se retrouver dans sa
décomposition, et celle-ci ne doit produire que les sorties de la
La méthode SADT® (Structure Analysis Design Technique ) est fonction de niveau supérieur.
une méthode graphique d’analyse et de conception des systèmes
importants et complexes. Elle met en œuvre deux représentations L’accent est porté tout d’abord sur l’analyse et la spécification
complémentaires : du « Quoi ? » (ce que le système doit faire) et ensuite sur les
– les actigrammes, où les fonctions transforment les données considérations sur le « Comment ? » (avec quels moyens on réa-
d’entrées en données de sortie, suivant les contraintes imposées lise le « Quoi ? »). SADT® utilise un seul type de boîte rectangu-
pour cette transformation, en utilisant certains moyens ou sup- laire dont chacun des quatre côtés possède une signification
ports de l’activité ; particulière (figure 6).
ＱＵＰ
ｓｅＲＵＲＵ
Méthode B pour la spécification

et la réalisation de logiciels
et de systèmes critiques prouvés
par Jacques VALANCOGNE

IMdR
Membre du Conseil scientifique du CSFRS (Conseil supérieur de la Formation
et de la Recherche stratégiques)
1. Complexité croissante des systèmes et des logiciels –

Les logiciels critiques et leur processus de réalisation ................ SE 2 525 - 2
2. Petit panorama des méthodes de fiabilisation des logiciels ....... — 3
3. Principes de la méthode B ..................................................................... — 4
4. Méthode B et processus de réalisation des logiciels ..................... — 15
5. Avantages actuels de la méthode B vis-à-vis
d’autres méthodes ................................................................................... — 15
6. Limites de B ............................................................................................... — 16
7. B système ou B événementiel ............................................................... — 17
8. Autres aspects de B ................................................................................. — 19
9. Applications industrielles ...................................................................... — 21
10. Perspectives d’avenir .............................................................................. — 22
11. Conclusions sur la méthode B .............................................................. — 22
’objectif de cet article ne vise pas à ce que le lecteur puisse tout connaître sur
L la méthode B ; ce serait impossible et prétentieux. The B-BOOK – Assigning
Programs to Meanings de Jean-Raymond ABRIAL, l’inventeur de la méthode B,
qui est à la base du langage B, possède déjà plus de 750 pages et est basé sur de
nombreuses connaissances en mathématiques et en logique ; de plus, de nom-
breuses formations sur la méthode B existent aujourd’hui. L’objectif se limitera à
donner des éclairages pour mieux porter une appréciation sur une telle méthode
en essayant d’en comprendre les principaux concepts. Il n’est donc pas question
de trop développer les aspects mathématiques, bien que ceux-ci soient essen-
tiels. Le propos restera toujours assez général, en simplifiant volontairement
parfois pour rester compréhensible.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪ｡ｮｶｩ･ｲ＠ＲＰＱＲ

ＱＵＱ
ｓｅＲＵＲＵ
MÉTHODE B POUR LA SPÉCIFICATION ET LA RÉALISATION DE LOGICIELS ET DE SYSTÈMES CRITIQUES PROUVÉS ______________________________________
1. Complexité croissante les-ci doivent être interprétées par l’homme et traduites manuelle-
ment et progressivement en des exigences plus précises qui
des systèmes tiennent compte d’un certain nombre de contraintes. Des
optimisations de l’architecture sont effectuées à l’aide de regroupe-
et des logiciels – ments de fonctions (architecture fonctionnelle) puis de modules
logiciels (architecture logicielle) par exemple. Quand on passe au
Les logiciels critiques langage de programmation, un certain nombre de vérifications peu-
vent être effectuées par des outils. La traduction du langage de pro-
et leur processus grammation en langage machine s’effectue à l’aide d’un outil qui
peut générer des erreurs si celui-ci n’a pas un niveau de garantie
de réalisation suffisant, et qui doit être cohérent avec l’objectif que l’on s’est fixé
concernant le logiciel. Les transformations et allocations doivent
Depuis des décennies, la complexité des systèmes et des logi- être suivies et vérifiées tout au long du projet. Il existe des outils de
ciels s’est accrue pour différentes raisons : d’une part à cause de la traçabilité, mais ils ne garantissent pas les transformations
puissance des calculateurs qui a sans cesse augmenté (tant en elles-mêmes. Heureusement, lorsque le logiciel est réalisé, on peut
vitesse qu’en capacité mémoire), mais aussi à cause de la le tester afin de vérifier s’il répond au fonctionnel demandé. Les
demande croissante des industriels et des clients qui, en général, tests effectués sont d’abord unitaires (chaque module du logiciel est
demandent toujours plus de fonctionnalités parce que le logiciel testé unitairement par rapport à sa spécification), puis on passe aux
ne semble pas avoir de limite, étant immatériel (il suffit d’écrire du tests d’intégration une fois que les différents modules d’une entité
code, seules les idées pourraient manquer, et les frais ne sont sont intégrés par rapport à la spécification de cette dernière, qui est
importants que pour la conception et la réalisation, et de plus en elle-même intégrée pour former un ensemble plus vaste jusqu’à
plus faibles lorsqu’il s’agit de multiplier les exemplaires). La majo- l’intégration complète de l’ensemble du logiciel sur le calculateur de
rité des capteurs, des actionneurs et des interfaces contiennent développement. Des tests portent ensuite sur le logiciel et son cal-
aujourd’hui du logiciel. Un autre aspect important est l’utilisation culateur (tests sur calculateur cible avec simulateur ou directement
de l’informatique dans le monde industriel (automatismes, postes in situ ), puis sur l’ensemble des calculateurs jusqu’à l’intégration
de commande, process), le développement des télécommunica- complète du système.
tions, l’utilisation de réseaux avec des calculateurs répartis et les Deux problèmes de fond existent. Le premier est lié à la manière
systèmes d’information auxquels une disponibilité élevée est exi- dont les scénarios de tests sont générés. Ceux-ci sont issus des
gée. Cela nécessite d’y associer des redondances qui doivent être spécifications, ce qui signifie que les tests unitaires et d’intégration
gérées convenablement si l’on veut éviter des problèmes, par ne sont valables que si la spécification correspondante est cor-
perte d’informations rendant le système global incohérent, recte. Or, celle-ci est issue de transformations manuelles de la spé-
lorsqu’il y a des commutations suite à des défaillances. cification d’origine, certes vérifiées. Une erreur dans une
Des logiciels sont devenus critiques parce qu’ils sont utilisés pour spécification intermédiaire se traduira par le fait que le test, si
supporter des fonctions de sécurité, pouvant en cas de défaillance celui-ci est réalisé convenablement, est correct. Il reste malgré tout
(erreur) porter atteinte aux hommes, aux biens, à l’environnement, le test fonctionnel global, mais celui-ci ne peut être exhaustif ; c’est
ou parce qu’ils sont utilisés pour supporter des applications qui peu- le deuxième problème. En effet, sur des systèmes complexes, il est
vent entraîner des pertes financières importantes, la désorganisa- impossible de parcourir tous les chemins (cela pourrait demander
tion d’entreprise ou de territoire entier. On peut citer leur un nombre excessif d’années pour certains systèmes dont la
importance dans le secteur du transport, de l’énergie, des télécom- combinatoire de scénarios possibles est extrêmement élevée). En
munications, des processus de fabrication (chimique, chaîne général, on teste au moins chaque branche et on complète par des
d’assemblage, etc.), dans le secteur bancaire ou de la prévision tests plus ou moins agressifs bien ciblés en couvrant le domaine
(météorologie) qui ne sont pas sans lourdes conséquences si certai- des entrées. Cela ne garantit souvent pas qu’une erreur n’a pas pu
nes erreurs apparaissent lors de l’utilisation de ces logiciels. s’introduire dans le processus de conception du logiciel. Reste
enfin le réel problème de la qualité de la spécification de départ
De plus, le fait de réaliser des fonctions en logiciel à la place de sur lequel nous reviendrons.
matériel a compliqué certaines applications industrielles parce que
la part des fonctions de conception nécessaires est devenue pré-
pondérante par rapport à celle des fonctions principales propre- 1.1.2 Aspect cohérence d’ensemble
ment dites. et interactions entre éléments
Quand un logiciel est important, peut se poser le problème de la
1.1 Principales difficultés de réalisation cohérence d’ensemble et d’interaction entre éléments. Les
d’un logiciel critique éléments doivent conserver un certain niveau d’indépendance de
manière à minimiser les interactions, source souvent de
La réalisation d’un logiciel critique ou complexe n’est pas sans complexité et donc d’erreurs à la conception.
poser un certain nombre de problèmes théoriques que nous allons
aborder dans les paragraphes suivants. 1.1.3 Aspect modification et réutilisation
de composants
1.1.1 Aspect traçabilité des exigences
Quand il est nécessaire d’effectuer une modification sur un logi-
Tout au long du processus de conception/réalisation du logiciel, ciel, qu’elle soit liée à des évolutions du besoin ou de la technique
peuvent se glisser des erreurs, les difficultés se situant en premier (traitement d’obsolescence ou diminution des coûts de mainte-
lieu au niveau de la spécification des exigences, puis au niveau des nance par exemple) ou qu’elle soit corrective (suite à la découverte
transformations successives ou de l’allocation sur plusieurs d’erreurs), se pose le problème de mesurer l’impact de la modifi-
éléments logiciels à mesure que la solution se concrétise, enfin au cation sur le reste du logiciel (et du système). Cela n’est pas a priori
niveau du code, installé dans les mémoires des calculateurs, qui tra- évident car cela dépend beaucoup des architectures fonctionnelles
duit la solution en langage machine compréhensible par le et logicielles retenues et du niveau d’indépendance entre les élé-
calculateur. Un premier problème existe au niveau des exigences de ments modifiés et leurs variables, et les autres éléments et leurs
départ car elles doivent être exhaustives par rapport au problème variables. Souvent, pour éviter de se poser la question à laquelle il
posé et cohérentes entre elles (non contradictoires) ; ensuite, cel- serait difficile de répondre facilement, on fait des tests de

ＱＵＲ
ｓｅＲＵＲＵ
______________________________________ MÉTHODE B POUR LA SPÉCIFICATION ET LA RÉALISATION DE LOGICIELS ET DE SYSTÈMES CRITIQUES PROUVÉS
non-régression complets comme sur le logiciel d’origine. Cela ne 1.3 Analyses de sécurité et exigences
s’applique pas toujours si les logiciels deviennent importants ou sur
des systèmes avec des logiciels répartis sur des réseaux de calcula-
de sécurité
teurs. Malgré tout, par mesure de précaution, on évite, dans la
Lorsque l’on traite des fonctions de sécurité, il est nécessaire
mesure du possible, de modifier un logiciel critique si celui-ci ne
d’effectuer des analyses de sécurité associées à l’environnement,
présente pas d’anomalie qui pourrait avoir de graves conséquences.
aux principes utilisés, aux architectures fonctionnelles et tech-
niques et aux défaillances internes au système (techniques ou
humaines) afin de générer une liste d’exigences de sécurité qui
1.2 Lien entre niveau de qualité devront être respectées par le système à réaliser.
du processus (méthodes et outils)
et SIL (Safety Integrity Level )
Comment fait-on pour garantir le niveau de sécurité d’un 2. Petit panorama des
logiciel ? Peut-on en mesurer le niveau ? Pour des logiciels
critiques, compte tenu du niveau de « fiabilité » exigé, il n’est pas méthodes de fiabilisation
possible d’effectuer des mesures de fiabilité en comptabilisant les
erreurs détectées. En effet, cela nécessiterait une expérimentation des logiciels
sur une période extrêmement longue. Pour tester un seul exem-
plaire logiciel, dont on vise 10–n/heure (en moyenne une erreur sur Il existe de nombreuses méthodes (et outils associés) qui per-
10n heures de fonctionnement), cela nécessite au moins n × 10n mettent d’améliorer la fiabilité des logiciels. Ces méthodes sont
heures de fonctionnement sans erreur. Les modèles de fiabilité basées sur un formalisme parfois complexe qui autorise un niveau
prévisionnelle sont inadaptés pour les niveaux recherchés dans les plus ou moins pertinent de vérification. Elles peuvent porter sur
logiciels critiques. De plus, la mise en parallèle de plusieurs logi- une phase particulière du cycle de développement ou sur l’ensem-
ciels, comme on le fait avec du matériel, n’apporte probablement ble des phases, sur certaines propriétés (statiques ou dynamiques)
pas les gains que l’on pourrait espérer. La redondance est plutôt ou sur l’ensemble des propriétés du logiciel. L’effort est fonction
un élément supplémentaire de confiance, sans diminuer l’effort bien entendu du champ sur lequel porte les méthodes. Un contrôle
porté sur chacun des logiciels élémentaires. Il est difficile d’évaluer de type (comme le font la plupart des langages de programmation)
ces gains. En effet, le taux d’erreurs communes à plusieurs logi- est d’un apport moindre qu’une analyse statique, qui elle-même
ciels en parallèle n’est pas négligeable, même avec des équipes est moins efficace qu’une vérification par modèle ou qu’une abs-
diversifiées. Il serait possible d’obtenir des résultats valables si on traction automatisée. Le maximum de confiance est obtenu sur
avait deux systèmes totalement différents (capteurs, actionneurs) des logiciels développés avec un langage sur lequel on peut effec-
mais il resterait pour certains systèmes l’algorithme lié à des prin- tuer directement la preuve de théorèmes.
cipes physiques attachés à la nature même du problème à traiter.
Il est à noter que le terme fiabilité n’a pas une grande signification Pour éviter des erreurs sur le logiciel, on peut, pour chaque
en logiciel s’agissant pour celui-ci d’erreurs systématiques et non phase de la conception, disposer de plusieurs principes de
d’erreurs aléatoires comme pour de nombreuses défaillances du solutions. Nous avons vu que les erreurs sont issues des transfor-
matériel ; des erreurs latentes ne peuvent donc se révéler que mations que l’on effectue successivement sur les exigences (trans-
dans un certain contexte. On a vu des erreurs se révéler plus de formations directes et/ou allocations). Pour vérifier qu’une
dix ans après une mise en service parce que certaines transformation/allocation faisant passer de l’état i à l’état i + 1 a
combinaisons de défaillances sont apparues. bien été effectuée, on peut :
Dans tous les secteurs industriels ont été développées les notions 1) comparer, en utilisant la transformation inverse du résultat,
très voisines de SIL (Safety Integrity Level) dans le domaine du T (i + 1) · T1 (i + 1) à l’état initial T (i) ;
transport ferroviaire et de l’industrie, d’ASIL (Automotive Safety 2) comparer, en utilisant une transformation analogue mais pré-
Integrity Level ) dans le domaine automobile ou de DAL (Develop- sentant une forme différente (un modèle de la transformation),
ment Assurance Level) dans le domaine aéronautique. Un SIL est lié T (i + 1) à T′ (i + 1) ;
au niveau de confiance que l’on peut avoir dans un système. Ce 3) s’assurer que la transformation est intrinsèquement sûre en y
niveau de confiance est associé au niveau de qualité du processus apportant une preuve mathématique.
de conception/réalisation pour éviter les erreurs systématiques Mais à une étape donnée de la réalisation du logiciel, il existe
(principalement pour le logiciel ou des circuits intégrés complexes) des méthodes plus ou moins complètes qui prennent en compte
et est associé à un niveau de probabilité par heure (et par ensemble) partiellement ou totalement les caractéristiques ou propriétés de
d’obtenir une défaillance contraire à la sécurité pour les erreurs l’exigence transformée. Certaines méthodes concernent plus
aléatoires (principalement pour le matériel). Un processus de l’aspect dynamique et comportemental, d’autres l’aspect statique
conception/réalisation est caractérisé par une organisation, des dans lequel certaines se limitent à vérifier le typage (de variable
méthodes, des outils et des techniques spécifiques pour répondre par exemple), d’autres des caractéristiques générales (non division
au niveau de confiance exigé. Plus un logiciel est critique, plus on par zéro par exemple), d’autres enfin portent sur des caractéris-
doit disposer d’une organisation robuste et des méthodes et outils tiques plus spécifiques à l’application.
qui permettent d’éviter les erreurs ou de les détecter si elles appa-
raissent malgré tout. Par exemple, dans le secteur ferroviaire, la D’autres méthodes sont basées sur la génération automatique
norme EN50128 précise que pour un logiciel SIL3 et SIL4, les métho- de code et/ou la génération automatique de tests de conformité à
des formelles sont hautement recommandées, et cela a tendance à partir d’un modèle issu de la spécification. Les outils de génération
se généraliser à l’ensemble du monde industriel. doivent être bien entendu qualifiés, et le modèle est souvent de
plus bas niveau. Pour les tests, une difficulté existe entre les cas de
Nota : la norme européenne EN 50128 (IEC62270) est aussi appelée norme CENELEC tests abstraits générés et les données concrètes.
(Comité européen de normalisation électrotechnique) « Application ferroviaire, système
de signalisation, de télécommunication et de traitement – Logiciels pour systèmes de Pour développer un logiciel, deux catégories d’approches alter-
commande et de protection ferroviaire ». Elle complète la norme 50126 (IEC62278) qui natives existent :
définit la specification et la démonstration de la FDMS (fiabilité, disponibilité,
maintenabilité et sécurité) équivalent du RAMS en anglais (Reliability, Availability, Main- 1) celles visant l’absence de défaut par vérification mathéma-
tenability, Safety) des systèmes ferroviaires dans leur ensemble, et la norme 50129 (pas tiques formelles ;
d’équivalent IEC) qui définit les conditions d’acceptation et d’approbation de la sécurité
du matériel électronique. La norme générique qui chapote l’ensemble des normes des 2) celles permettant la détection de défauts par des logiciels
équipements électroniques industriels est l’EN61508. diversifiés.

ＱＵＳ
ｓｅＲＵＲＵ
MÉTHODE B POUR LA SPÉCIFICATION ET LA RÉALISATION DE LOGICIELS ET DE SYSTÈMES CRITIQUES PROUVÉS ______________________________________
En ce qui concerne la première approche, il existe un foisonne- tes inhérentes à l’application que l’on en fait. Par exemple, partir
ment de méthodes. Cette première approche peut être classée en d’une spécification très détaillée ne conduit pas au même résultat
deux grandes catégories : que d’entamer le processus du logiciel par une spécification de haut
1) vérification par modèle ; niveau. Si une approche est du type formel sur une partie du proces-
2) analyse statique. sus (par exemple, appliquer la méthode formelle uniquement à la
spécification pour la « blinder ») sera meilleure qu’une approche ne
La vérification par modèle est basée le plus souvent sur une l’utilisant pas, mais moins bonne qu’une approche qui l’utilisera à
représentation de la spécification sous forme de diagrammes toutes les étapes de la conception. Cela ne signifie d’ailleurs pas
transitions/états (automates à états finis, réseaux de Petri) qui per- qu’une approche partielle ne soit pas suffisante dans un certain
mettent la vérification d’un certain nombre de propriétés, à nombre de cas ou que l’on ne puisse pas appliquer une démarche
condition de simplifier le modèle et les propriétés si l’on ne veut limitée aux seules parties critiques d’un logiciel.
pas avoir une explosion combinatoire.
Les notations utilisées peuvent être orientées vers des données
Nota : le réseau de Petri est un graphe, avec places et transitions, non déterministe de type algébrique (Larch, OBJ et Specware) ou modèles (VDM, Z
développé au départ par Carl Adam Petri. Un cas particulier est l’automate à état fini,
chaque transition ayant une seule entrée et une seule sortie.
et B), vers le comportement et les interactions (Statecharts, SCR et
CSP), ou vers le langage de programmation (ADA, C). Il peut aussi
La vérification peut être automatisée au niveau de la syntaxe par y avoir des notations mixtes comme RSL qui cumule VDM, CSP et
un compilateur (comme pour le langage de haut niveau), pour des l’algébrique, ou Lustre qui regroupe à la fois le langage de pro-
propriétés génériques (absence de blocage ou déterminisme dans grammation et l’aspect comportemental.
des automates, division par zéro, overflow...) ou des propriétés Les techniques de vérification peuvent être la preuve avec le
spécifiques (par comparaison de deux énoncés formels, par prouveur B, PVS et Caveat qui utilisent des axiomes et des règles
comparaison des traces de deux automates, par preuve de raf- d’inférence, le model-checking qui permet une exploration exhaus-
finement en B...) à l’application (par comparaison de deux énoncés tive du graphe d’exécution pour SVM et SPIN, la résolution de
formel, comparaison). À partir du modèle, on peut aussi générer contraintes par instanciation et propagation avec Design Verifier,
du code et des tests. Il est possible pour certains modèles d’effec- miniSAT, Yices, Ilog Solver, l’interprétation abstraite (analyseur de
tuer des simulations (par exemple, prototypage par SADT code) par la vérification d’une abstraction sûre du système pour
complété le plus souvent par des automates à états finis), et ainsi une propriété donnée par l’implantation d’un algorithme pour le
de faire des tests au plus tôt de la spécification. calcul de l’abstraction avec ASTREE, Absint et Polyspace. SCADE,
Nota : SADT (Structured Analysis and Design Technic) est une méthode de représen- qui intervient au niveau de la conception détaillée avec un seul
tation d’analyse fonctionnelle et non de conception comme son nom l’indique. niveau d’abstraction, associe un simulateur, un générateur de
code, un outil de vérification formelle qui vérifie le modèle globa-
Se pose ici le problème de la conformité de l’implantation par lement et l’analyse de couverture au niveau du modèle. Enfin,
rapport au modèle. On peut classer dans la vérification de modèle Altarica possède un langage de haut niveau adapté au domaine de
l’approche par langages synchrones qui traitent de systèmes réac- la sûreté de fonctionnement et peut générer en particulier des
tifs avec des contraintes de synchronisme et de flots de données, arbres de défaillance et des séquences.
dont le langage Lustre en est une illustration (par exemple dans
l’outil SCADE) ou les outils de model-checking.
Nota : Lustre est un langage de programmation synchrone de type déclaratif et par
flots de données développé conjointement par Paul Caspi et Nicolas Halbwachs au labo- 3. Principes de la méthode B
ratoire VERIMAG de Grenoble
SCADE (Safety Critical Application Development Environment) est un environnement
de développement intégré diffusé par Esterel Technologies fondé sur le langage Lustre. Il y a seulement quelques décennies, l’unique formalisme utilisé
Model checking est une famille de techniques de vérification automatique de pro- dans un logiciel était celui du code, qui était obligatoire si l’on vou-
priétés des systèmes dynamiques par comparaison avec un modèle. lait que la machine comprenne ce qu’on lui demandait d’exécuter !
L’analyse statique s’effectue à partir du code source du logiciel Pour donner une définition simple, la méthode B est une méthode
et s’attache à détecter des erreurs qui se produiraient à l’exécu- pour spécifier, concevoir, coder et prouver des logiciels de
tion. Elle complète ou remplace des tests effectués sur le code manière rigoureuse et progressive.
source d’un logiciel. Le contrôle de type qui vérifie la syntaxe d’un
modèle et l’abstraction automatisée, qui vise à établir un pont
entre vérification de modèle et preuve de théorème, sont d’autres 3.1 Principes généraux de la méthode B
méthodes. La plupart des méthodes ci-dessus visent à révéler et
éliminer des défauts introduits durant la production du logiciel, Cette méthode utilise un langage mathématique unique tout au
soit par essence comme l’analyse statique, soit en raison de leur long du processus de conception afin de permettre la vérification de
limitation comme la vérification de modèle, alors que le dévelop- chaque étape à l’aide de preuves mathématiques. La difficulté de la
pement formel vise à éviter leur introduction. Le niveau de vérification de toutes les transformations qui font passer de la spéci-
confiance croît en fonction de l’effort depuis le contrôle de type fication initiale au code (voir B0) qui sera transformé dans un lan-
jusqu’à la preuve par théorème, en passant par l’analyse statique, gage classique, se trouve par là même résolue. C’est une méthode
la vérification de modèle et l’abstraction automatisée. progressive, le langage lui-même prenant en compte l’aspect
preuve, un modèle supplémentaire n’est donc pas nécessaire.
La deuxième approche, par diversification logicielle, si elle est
utilisée seule, n’apporte pas d’amélioration sensible du niveau de La méthode B est donc plus qu’un langage de programmation
confiance parce que des erreurs communes sont toujours car elle introduit en elle-même la possibilité de vérification. En
possibles au niveau de parties délicates, sauf si l’on travaille à par- effet, il n’est pas nécessaire de réaliser une modélisation supplé-
tir de deux systèmes totalement diversifiés quant aux principes uti- mentaire et d’effectuer une comparaison pour vérifier si ce qui a
lisés au niveau des actionneurs et des capteurs pris au sens large, été fait est correct. Bien appliqué (nous verrons ce que cela signi-
et en modifiant complètement la manière d’effectuer les fie), B est un langage intrinsèquement sûr. On peut comparer le
traitements (algorithme, états/transitions du système, etc.). concept utilisé dans la méthode au concept de sécurité intrinsèque
(false-safe ) qui a cours au niveau de la sécurité du matériel.
Les approches purement processus, fondées sur une organisation
et un ensemble de méthodes et d’outils associés aux différentes Nota : la sécurité intrinsèque suit la règle suivante : toute défaillance ou ensemble de
phases de conception/réalisation, ne peuvent apporter qu’une défaillances qui pourrait se révéler contraire à la sécurité doit être détectée par la
conception même du système de manière à positionner l’état du système dans un état sûr.
confiance subjective, alors que les approches formelles donnent Pour un logiciel, la preuve, si elle ne peut être faite, montre que celui-ci a probablement une
une confiance objective, avec toutefois, pour ces dernières, les limi- anomalie.

ＱＵＴ
ｓｅＲＵＲＵ
______________________________________ MÉTHODE B POUR LA SPÉCIFICATION ET LA RÉALISATION DE LOGICIELS ET DE SYSTÈMES CRITIQUES PROUVÉS
Les bases mathématiques sur lesquelles est fondée la méthode Le set comprehension : si P est un prédicat, on peut définir un ensemble par
compréhension comme l’ensemble de tous les objets d’un ensemble E qui vérifient le
apportent la rigueur et la notation proposée élimine les ambigüités prédicat P (la formule P ). On note cet ensemble {x ∈ E | P (x )}.
bien connues du langage naturel, source d’erreur parfois très Le choice (v ) est un élément particulier de l’ensemble v.
grave. La vérification mathématique de chaque étape est si étroi-
tement imbriquée qu’il est impossible de séparer les choix de
conception du processus de vérification garantissant la justesse 3.2.2 Relations binaires
vis-à-vis des spécifications initiales.
La relation binaire est une relation p (un ensemble de paires)
La méthode B introduit un langage rigoureux pour représenter depuis un ensemble u vers un ensemble v (noté p ∈ u ↔ v). On
les programmes et leurs propriétés en utilisant le concept de subs- peut définir la relation inverse de p de u vers v qui est p–1 de v
titution généralisée. Elle utilise la notion simple de machine abs- vers u, la notion de domaine dom (p ) (le membre a ∈ u de la paire
traite qui est assez voisine de la notion d’objet, mais qui, en plus, {a ֏ b } , avec b ∈ v, ne figure qu’une seule fois) et de distance
intègre la notion d’invariant assurant la préservation de propriétés (range ) ran (p ) d’une relation [ran (p ) est le domaine de la relation
des variables d’état de la machine, quelles que soient les opé-
rations appliquées. inverse qui est égal à dom (p–1)], de composition relationnelle (p ;
q ou p · q ), de relation d’identité [id (u )] qui est la relation de
l’ensemble sur lui-même, des formes plus restrictives de relations,
l’image ([]) d’un ensemble sous une relation, l’overriding d’une
3.2 Bases mathématiques relation par une autre (<+), le produit direct (⊗) de deux relations,
les deux projections pour des paires ordonnées et le produit paral-
La méthode B conçue par J.-R. ABRIAL, qui avait participé à la lèle de deux relations (||). Ces concepts permettent de développer
conception de Z dans les années 1980, est fondée sur les travaux un calcul relationnel très riche qui facilite la preuve.
d’un certain nombre de mathématiciens ou de scientifiques : par
exemple ceux de E.-W. DIJKSTRA, C.-A.-R. HOARE, R. FLOYD, C.-B.
JONES, C. MORGAN et Jifeng He. Ces travaux font eux-mêmes 3.2.3 Fonctions
suite à ceux d’A.-M. TURING.
C’est un cas particulier de relation où il n’existe pas deux points
Nota : Hoare, puis Floyd et Dijkstra ont développé les premiers l’idée de preuve des à distance qui peuvent être en relation avec un seul point du
programmes. Cela nécessitait de les représenter en se donnant des règles et des domaine : f (a) est unique (s ֏ t ) . Plus simplement, une fonction
méthodes de preuve. Hoare raisonnait sur les valeurs des variables apparaissant dans les est une relation telle que chaque élément a une image au maxi-
programmes, les fonctions étant vues comme des transformateurs de prédicats.
mum. On peut définir aussi des fonctions totales (domaine = s ) et
Pour prouver un logiciel, il faut le soumettre à une analyse partielles (domaine inclus dans s ), des injections partielles
mathématique ; cela nécessite que chaque construction de la (fonction partielle de s à t dont l’inverse est une fonction partielle
notation utilisée par le langage ne soit pas seulement syntaxi- de t à s ), des surjections partielles (fonction partielle de s à t dont
quement correcte, mais, ce qui est le plus important, reçoive une la distance = t ) ou des bijections partielles (surjection partielle et
définition axiomatique très précise. La notation doit être capable injection partielle). Les injections, surjections et bijections peuvent
d’aider non seulement à produire des descriptions formelles, mais être aussi totales. On peut aussi définir les concepts d’abstraction
aussi à exprimer et à prouver des théorèmes. Le formalisme de fonctionnelle (appelée aussi Abstraction Lamda) et d’évaluation
modélisation s’appuie sur plusieurs concepts : la théorie des fonctionnelle. Il existe là aussi un certain nombre de théorèmes.
ensembles, la logique des prédicats du premier ordre et le langage Aux constructions de fonction peuvent être aussi associées des
de substitutions généralisées, composantes que nous allons pré- vérifications de type. Il existe aussi toute une liste de propriétés
senter brièvement. associées (monotonicité, inclusion, lois d’égalité, lois d’adhésion,
etc.).
3.2.1 Notation ensembliste 3.2.4 Objets mathématiques

La notation ensembliste rend possible l’utilisation d’objets de Un certain nombre d’objet supplémentaires sont encore néces-
haut niveau, tels les ensembles, les relations et les fonctions pour saires. On peut citer les ensembles finis, les nombres naturels, les
des quantifications du premier ordre, qui sont indispensables pour séquences finies et les arbres finis. Ils utilisent tous la même
spécifier à un certain niveau d’abstraction des logiciels. Nous ver- méthode inductive basée sur le fixpoint theorem de Knaster et
rons que pour B Système, il faut encore aller plus loin. La théorie Tarski. Cela permet d’unifier complètement ces constructions. En
des ensembles permet aussi de manipuler de manière contrôlée la mathématique, les objets avec des définitions circulaires sont fré-
négation : le complément d’un ensemble est encore un ensemble. quemment utilisés ; par exemple, ajout d’un simple élément à un
En logique classique, la négation d’un prédicat pourrait corres- ensemble fini déjà donné (cas des nombres naturels, d’une
pondre à une propriété trop large, ce qui ne serait pas très intéres- séquence ou d’un arbre). À partir de là, sont définis la notion de
sant pour l’utilisation que l’on veut en faire au niveau des preuves. minimum d’un nombre, les fonctions récursives sur un nombre
La théorie des ensembles permet aussi, très souvent, d’éliminer naturel, les opérations arithmétiques (addition, multiplication et
les quantificateurs. La syntaxe est une extension de ce qui sera vu exponentiation, soustraction, division, logarithme), la réitération
dans la suite du texte en ajoutant des expressions qui appar- d’une relation, le cardinal d’un ensemble fini (nombre d’éléments
tiennent à un ensemble, les ensembles eux-mêmes et un certain de l’ensemble), les entiers, le principe d’induction, le principe
nombre d’opérations sur ces ensembles, notamment le produit d’induction forte (si une propriété tient pour un nombre n sous
cartésien de deux ensembles : Set × Set, le power-set (ensemble l’hypothèse qu’elle tienne pour chaque nombre naturel m
des parties) : ⺠ (Set ), le set-comprehension (ensemble par strictement plus petit que n, alors la propriété P tient pour tout
compréhension) : { | }, choice(v) et l’ensemble constant BIG, nombre naturel n ). Il est possible de définir également récursi-
l’inclusion d’ensemble (⊆, ⊂). Des définitions et des axiomes peut vement la taille d’une séquence, la concaténation de deux
être déduit un certain nombre de propriétés classiques (réflexivité, séquences, l’insertion d’un élément à la fin d’une séquence, la
transitivité, inclusion, etc.). composition généralisée d’une séquence de relations, la somme et
le produit d’une séquence d’entiers. La définition des arbres éti-
Nota : le produit cartésien de deux ensembles v et w est l’ensemble constitué par quetés (ou numérotés) et les arbres binaires numérotés servent à
toutes les paires ordonnées dont les deux éléments sont respectivement des éléments de
v et w. construire d’autres types d’arbres. Il est possible d’effectuer des
Le power-set ⺠ (s ) (ou ensemble des parties) d’un ensemble s est l’ensemble dont les opérations récursives sur un arbre et d’effectuer des preuves par
élémens sont tous des sous-ensembles de s. induction.

ＱＵＵ
ＱＵＶ
ｓｅＲＰＶＵ
Concept de défense en profondeur :

contribution à la sécurité des ICPE
par Emmanuel GARBOLINO
Docteur, HDR
Maı̂tre assistant, MINES ParisTech, CRC (Centre de recherche sur les risques et les crises)
et Franck GUARNIERI
Docteur, HDR
Maı̂tre de recherches, MINES ParisTech, CRC (Centre de recherche sur les risques et les
crises)
1. Motivations pour la transposition du concept de défense

en profondeur dans l’industrie..................................................... SE 2 065 – 2
2. Formalisation du concept de défense en profondeur
dans le nucléaire ............................................................................. — 2
2.1 Du technique à l’organisationnel ....................................................... — 3
2.2 Prérequis et cadre d’implémentation d’une défense en profondeur — 3
2.3 Importance des niveaux de protection .............................................. — 4
3. Stratégie de transposition pour les activités industrielles .... — 5
3.1 Un cadre réglementaire structurant .................................................. — 5
3.2 Tentatives de transposition ................................................................ — 5
3.2.1 Les industries européennes .................................................... — 5
3.2.2 Les transports .......................................................................... — 6
3.2.3 Le réseau de transport d’électricité ........................................ — 6
3.2.4 La sûreté des hôpitaux et des laboratoires de recherche
sur la santé .............................................................................. — 6
3.2.5 L’informatique .......................................................................... — 6
3.3 Méthodologie de transposition pour les ICPE .................................. — 7
3.4 Contributions majeures de la transposition ...................................... — 7
4. Exemple de transposition de la DEP dans l’industrie
de procédés ...................................................................................... — 8
4.1 Contexte général de l’installation ...................................................... — 8
4.1.1 Description de l’installation .................................................... — 8
4.1.2 Fonctionnement de l’installation ............................................ — 8
4.1.3 Environnement de l’installation .............................................. — 8
4.2 Exemple d’un scénario d’accident ..................................................... — 8
4.2.1 Analyse des dispositifs de sécurité sous l’angle
de la défense en profondeur ................................................... — 9
4.2.2 Bilan ......................................................................................... — 10
4.3 La DEP pour formaliser le retour d’expérience d’accidents ............. — 10
4.3.1 Contexte général ..................................................................... — 10
4.3.2 Description du sous-système impliqué dans l’accident ......... — 11
4.3.3 Identification des causes techniques, organisationnelles
et structurelles de l’accident ................................................... — 11
4.3.4 Bilan ......................................................................................... — 11
5. Conclusion : une démarche organisationnelle de maı̂trise
des risques industriels ................................................................... — 12
Pour en savoir plus.................................................................................. Doc. SE 2 065
’origine du terme « défense en profondeur » est liée au domaine militaire,

L notamment dans le but d’organiser les fortifications et déployer les troupes
sur le territoire pour contrer les tentatives d’agression de tous ordres. Les récits
d’historiens relatent qu’une technique de défense en profondeur avait été
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＱＲ
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

ＱＵＷ
ｓｅＲＰＶＵ
CONCEPT DE DÉFENSE EN PROFONDEUR : CONTRIBUTION À LA SÉCURITÉ DES ICPE ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
utilisée vers 2900 avant J.-C. à Hiérakonpolis en Égypte, fondée sur un dispositif
de défense mettant en jeu deux murailles parallèles et indépendantes, renfor-
çant la protection de cette citée. Ce dispositif était complété par une organisa-
tion particulière des troupes qui bénéficiaient elles-mêmes de la protection
qu’offraient les murailles. Le but d’un tel dispositif était d’obliger l’assaillant à
rencontrer plusieurs barrières et lignes de défenses successives afin de l’affai-
blir et de ralentir sa progression dans la ville. Cette stratégie défensive a été par
la suite reprise par le domaine nucléaire dans le but de protéger les opérateurs,
la population et l’environnement de tout rejet de radioéléments. Elle s’est
d’abord appuyée sur la structuration de trois barrières physiques organisées
selon trois niveaux de protection. Puis, au fur et à mesure des travaux en sûreté
nucléaire, cette stratégie a intégré des aspects organisationnels. Aujourd’hui, le
concept de défense en profondeur repose sur l’organisation de moyens de pré-
vention des risques, de protection de leurs conséquences et de sauvegarde à la
fois techniques, structurels et organisationnels agencés selon cinq niveaux de
protection. L’objectif de cet article est donc de comprendre, dans un premier
temps, comment la défense en profondeur est définie dans le nucléaire, sur
quels principes repose-t-elle et quel est son mode d’application. Dans un
second temps, la transposition de ce concept et son intérêt pour la maı̂trise
des risques industriels sont étudiés, notamment à l’aide de deux exemples.
Cependant, cette circulaire a été abrogée par celle du 28 décem-

1. Motivations pour la bre 2006 et celle du 10 mai 2010 et, dès lors, le concept n’est plus
transposition du concept apparu dans ces dernières. Il s’agit donc d’une première tentative
d’intégration du concept de défense en profondeur dans la régle-
de défense en profondeur mentation des ICPE, mais cette dernière n’a pas été suivie par la
suite. Malgré ce constat, l’effort de transposition de ce concept
dans l’industrie dans l’industrie semble toujours justifié en raison de la rigueur
qu’impose l’évaluation de la gestion des risques des ICPE. Mais
avant d’évaluer l’intérêt de cette transposition, il convient d’appro-
L’accident d’AZF, survenu le 21 septembre 2001 à Toulouse, a été
fondir la définition de ce concept.
le moteur de changements importants au niveau des pratiques et
de la réglementation française pour la prévention et la gestion des
risques liés aux activités industrielles.
La Commission d’enquête parlementaire dirigée par François
Loos et Jean-Yves Le Déaut à la suite de cet accident a publié un
2. Formalisation du concept
rapport dans lequel apparaissent 90 recommandations pour amé-
liorer la sécurité des activités industrielles et technologiques en
de défense en profondeur
France [1]. Parmi ces recommandations, la treizième préconise « la
multiplication des précautions pour la sûreté industrielle en vue de
dans le nucléaire
la mise en œuvre généralisée du concept de défense en profon-
deur ». Dès lors, ce concept a été repris dans diverses études et
rapports de groupes de réflexion associant industriels, chercheurs, D’abord utilisé dans le domaine militaire pour assurer la protec-
autorités publiques, etc. tion du territoire et des places fortes, le concept de défense en pro-
fondeur a ensuite été appliqué dans le nucléaire civil dès les
À la suite de ces travaux, une circulaire a été publiée le 25 juin années 1960, dans le but de formaliser la politique de sûreté des
2003 concernant les principes généraux des études de dangers centrales aux États-Unis, puis dans les autres pays nucléarisés.
des installations classées, dans laquelle l’utilisation du concept de L’objectif de ce concept est d’assurer la protection du personnel,
défense en profondeur est proposée. Il s’agit, à notre connaissance, de la population et de l’environnement contre l’émission de matiè-
du seul texte sur les ICPE (installations classées pour la protection
res radioactives hors du réacteur ou de la centrale. Comme le sou-
de l’environnement) où ce concept fut clairement défini et où son
ligne Jacques Libmann [3], « le concept de défense en profondeur
application fut demandée. En effet, le paragraphe 9 de cette circu-
n’est pas un guide d’examen d’une installation associée à une solu-
laire, qui traite des « points importants relatifs à la démarche d’ana-
tion technique particulière comme un échelonnement de barrières
lyse et de hiérarchisation des risques », précise que l’analyse des
risques représente le point central de l’étude de danger. Dans particulières, mais une méthode de raisonnement et un cadre géné-
cette optique il convient de « recenser et décrire, pour chacun des ral permettant d’examiner plus complètement l’ensemble d’une
scénarios d’accident majeur au sens de l’arrêté ministériel du installation, tant pour la concevoir que pour l’analyser ».
10 mai 2000 identifié, les éléments de maı̂trise des risques permet- Ainsi, les principales méthodes employées dans l’industrie
tant une défense en profondeur à savoir : nucléaire pour l’étude des risques engendrés par ce type d’activité
– les mesures de prévention adoptées à la conception et lors des ont pour objectif d’évaluer la sûreté d’une installation. Cette évalua-
modifications pour en réduire la probabilité d’occurrence ; tion procède par l’étude des conditions de fonctionnement de la
– les dispositions de surveillance et de conduite appliquées pour centrale selon une échelle croissante de criticité des événements,
l’exploitation afin d’anticiper les accidents ; depuis les situations normales jusqu’aux situations accidentelles
– les mesures de protection et d’intervention prévues pour en graves. Elles permettent alors d’évaluer la défense en profondeur
limiter la gravité des conséquences sur les populations et sur d’une installation en mesurant la performance des moyens de pré-
l’environnement ou pour en ralentir la cinétique ». vention, de protection et de gestion de crise mis en œuvre.

ＱＵＸ
ｓｅＲＰＶＵ
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– CONCEPT DE DÉFENSE EN PROFONDEUR : CONTRIBUTION À LA SÉCURITÉ DES ICPE
2.1 Du technique à l’organisationnel explicitement à la mise en place de systèmes physiques de protec-

tion de la centrale, du personnel, de l’environnement et des popu-
Initialement, la défense en profondeur était focalisée sur la partie lations externes (gaine du combustible, cuve du réacteur etc.) ;
matérielle de la centrale, celle mettant en jeu la prévention des – la notion de « ligne de défense » s’adresse aux moyens
défaillances techniques, ce qui rejoint le domaine de la sûreté de humains, organisationnels et structurels (consignes de sécurité,
conception et de construction. Elle s’articule encore aujourd’hui procédures, systèmes de détection, systèmes de protection actifs,
autour de trois barrières physiques indépendantes (figure 1) com- ergonomie des interfaces homme/machine, etc.) de sûreté de la
prenant la gaine du combustible nucléaire, la cuve du réacteur et centrale ;
l’enceinte de confinement [2] à [5]. – la notion de « niveau de protection » correspond à l’agencement
Mais après l’accident de Three Mile Island (TMI) survenu le des barrières et des lignes de défense selon cinq objectifs structurés
28 mars 1979 aux USA, la prise en compte des facteurs humains suivant la gravité de l’aléa et de l’atteinte à l’intégrité de l’installa-
et organisationnels comme éléments de sûreté s’est imposée. En tion. Ces niveaux de protection doivent nécessairement être aussi
effet, l’une des conclusions majeures de la Commission présiden- indépendants que possible entre eux pour éviter leur défaillance
tielle sur l’accident de Three Mile Island [6] rapporte que « pour simultanée en cas d’accident : ils sont parfois définis différemment
prévenir des accidents nucléaires aussi graves que celui de Three selon les pays et les exploitants, mais ils recouvrent en général les
Mile Island, des changements fondamentaux seront nécessaires mêmes objectifs. Le déploiement des barrières et des lignes de
au niveau de l’organisation, des procédures, et des pratiques… ». défense dans ces niveaux de protection est aussi fondé sur les prin-
La défense en profondeur dut ainsi étendre le champ de son cipes de redondance, d’indépendance et de complémentarité.
influence, en prenant en compte les erreurs humaines et les défail- Ces notions permettent ainsi d’inventorier les moyens de sûreté
lances organisationnelles et matérielles de tout type. de la centrale et de les organiser pour assurer la défense en profon-
En 1988, deux ans après l’accident de Tchernobyl, l’INSAG (Interna- deur de l’installation. Ces notions représentent le cadre conceptuel
tional Nuclear Safety Advisory Group), groupe de travail constitué permettant l’application de la défense en profondeur dans la
auprès de l’IAEA (International Atomic Energy Agency), publia un mesure où des prérequis en matière de sûreté ont été établis.
numéro spécial intitulé « Defence in depth in nuclear safety » [4].
Dans cet ouvrage de référence qui fut réédité en 1996, la défense en
profondeur est définie et peut être traduite comme suit : « Toutes les
2.2 Prérequis et cadre d’implémentation
activités de sécurité, tant organisationnelles que comportementales, d’une défense en profondeur
ou celles liées à l’équipement, sont sujettes à des couches superpo-
Ces prérequis sont déterminants car sans eux, il n’est pas possible
sées de mesures, de sorte que si une défaillance se produit, elle doit
de prétendre mettre en place une stratégie de défense en profondeur
être compensée ou corrigée sans causer de dommages aux individus
d’une installation. Ces prérequis concernent notamment la définition
ou au public dans son ensemble. Cette idée de multiples niveaux de
d’une politique de sûreté par l’exploitant sur les bases du « conserva-
protection est le point central de la défense en profondeur ».
tisme » (premier niveau de défense : conception, construction, défi-
L’INSAG précise aussi que les niveaux hiérarchisés de protection nition des opérations normales, etc.), la conduite d’une démarche
ont pour objectif de maintenir l’efficacité des barrières physiques d’« assurance qualité » (à chaque niveau de défense), et la mise en
placées entre le matériel radioactif et le personnel, la population œuvre de moyens pour construire une « culture de sûreté » instau-
et l’environnement. Ainsi, trois notions fondamentales sont ratta- rée au niveau des responsables, des unités et des individus.
chées au concept de défense en profondeur :
La démarche de sûreté des INB (installations nucléaires de base)
– la notion de « barrière » est la notion la plus fréquemment commence par l’identification des risques et l’évaluation de leur
associée dans les propos relatifs à la défense en profondeur. Dans importance. L’évaluation des risques concerne l’étude des condi-
le cadre de l’industrie du nucléaire, le terme de barrière correspond tions de fonctionnement de la centrale selon une échelle croissante
de criticité des événements, depuis les situations normales jus-
qu’aux situations accidentelles graves. En France, l’approche déter-
ministe et l’approche probabiliste sont utilisées parallèlement.
L’approche déterministe suppose que l’incident ou l’accident se
produit et qu’il faut ramener l’installation à un niveau acceptable
de risque. Il convient alors d’évaluer si les actions, les équipements
Enceinte de confinement
ou les procédures caractérisant la défense en profondeur de l’ins-
tallation remplissent bien leurs objectifs de préservation des
niveaux de protection. L’étude probabiliste de sûreté (EPS) consiste,
à partir de données de fiabilités fournies par des bases de données
de constructeurs et de retour d’expérience d’exploitation, à quanti-
Cuve
du réacteur
fier la probabilité d’occurrence d’un événement redouté selon des
éléments du système. La prise en compte du facteur humain est
établie à la fois pour des actions positives et péjoratives de la
sûreté. Sa quantification repose sur les travaux internationaux de
modélisation du comportement humain face à des situations diver-
Gaine du ses via le retour d’expérience en exploitation ou en simulation.
combustible
En complément des analyses de risques, il est demandé par les
autorités que l’exploitant procède à l’évaluation des justifications
de sûreté pour démontrer que les mesures qu’il a mises en œuvre
permettent d’atteindre les objectifs de sûreté et qu’elles sont
conformes à la réglementation. Par ailleurs, le suivi de la sûreté
de la centrale est aussi effectué par l’exploitant qui, grâce à l’apport
des études de sûreté, définit des règles générales d’exploitation qui
intègrent les différents niveaux de la défense en profondeur. Parmi
ces règles sont définis les programmes de contrôle de la centrale et
les essais périodiques permettant de valider la sûreté d’exploitation
Figure 1 – Les trois principales barrières physiques relatives de la centrale. Ces essais contribuent à vérifier l’absence d’évolu-
à la défense en profondeur d’une centrale nucléaire tion défavorable des caractéristiques des systèmes et des matériels

ＱＵＹ
ＱＶＰ
ｓｅＱＲＱＲ
Méthodes d’analyse
de la vulnérabilité des sites
industriels
par Samantha LIM THIEBOT

Chef de projets, risques industriels et sécurité globale
INERIS, Verneuil-en-Halatte, France
1. Méthodes d’analyse de la vulnérabilité dans le domaine du

nucléaire et du transport de marchandises dangereuses .......... SE 1 212 - 2
1.1 Méthodes d’analyse de la vulnérabilité développées
dans le nucléaire ....................................................................................... — 2
1.2 Méthodes d’analyse de la vulnérabilité développées
dans le transport des marchandises dangereuses................................. — 3
1.3 Commentaires sur ces méthodes ............................................................ — 5
2. Analyses de la vulnérabilité des sites industriels issues
de la méthode du CCPS....................................................................... — 6
2.1 Présentation de méthodes américaines.................................................. — 6
2.2 Approches par scénarios développées en France et en Europe ........... — 9
2.3 Commentaires sur ces méthodes ............................................................ — 10
3. Autres approches pour l’analyse de la vulnérabilité
des sites industriels.............................................................................. — 10
3.1 RAMCAP .................................................................................................... — 10
3.2 Guide du NIJ et de Sandia National Laboratoires.................................. — 12
3.3 Guide de l’American Chemistry Council ................................................. — 12
4. Conclusion............................................................................................... — 13
5. Glossaire .................................................................................................. — 13
es attaques sur les tours jumelles du World Trade Center à New York aux
L États-Unis le 11 septembre 2001 ont marqué un changement de dimension
dans les modes d’actions terroristes. Elles ont notamment mis en lumière les
menaces potentielles pouvant peser sur les activités économiques.
Les attaques terroristes qui se sont succédées par la suite ont porté sur les
transports en commun (Madrid en 2004, Londres en 2005), le domaine mari-
time (USS Cole et le Limburg au Yémen en 2000 et 2002) ou le domaine
industriel avec la tentative d’attentat suicide sur la raffinerie de Baqiq en Irak
en 2006.
Outre les menaces terroristes, des actes de malveillance dans le domaine
industriel ont montré également leur potentiel de menace. En France, des
conflits sociaux durs avec occupation de site par des salariés et menaces
d’atteinte à l’environnement ont été particulièrement médiatisés : Cellatex en
2000 (menace de déversement de produits toxiques dans l’environnement),
Daewoo en 2003, Sublistatic en 2007 ou New Fabris en 2009. Ainsi, loin d’être
isolés, les actes de malveillance représentent plus de 10 % des incidents
technologiques.
Au lendemain de ces attaques, des guides d’analyse de la vulnérabilité ont
été publiés aux États-Unis dans différents secteurs, notamment dans le
domaine de l’industrie chimique en raison du potentiel de danger inhérent à
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｭ｡ｩ＠ＲＰＱＶ
ＱＶＱ
ｓｅＱＲＱＲ
MÉTHODES D’ANALYSE DE LA VULNÉRABILITÉ DES SITES INDUSTRIELS ______________________________________________________________________
son activité de stockage, de production ou de manipulation. En effet, une

attaque sur un site chimique, telle que la France a connu sur son territoire en
2015 (Air Liquide, St Quentin Fallavier le 26 juin et LyondellBasell, Berre l’Etang
le 14 juillet, même si ces attaques n’ont pas eu l’ampleur escomptée), pourrait
porter atteinte à la population environnante et générer une perturbation de
l’économie locale, voire nationale. Les sites chimiques doivent également se
prémunir d’actes de vol puisqu’ils peuvent constituer une source d’approvi-
sionnement non négligeable en précurseurs d’explosifs et d’armes chimiques.
Le présent article a pour objectif de présenter différentes méthodes d’analyse
de la vulnérabilité pour les sites industriels sans prétendre toutefois à
l’exhaustivité.
Nous allons donc tout d’abord nous intéresser au domaine du nucléaire et
des transports de matières dangereuses où l’analyse de la vulnérabilité est
davantage prescriptive au regard de l’homogénéité des installations chez l’une
et de l’homogénéité du mode de transport chez l’autre.
Puis, nous présenterons des méthodes d’analyse de la vulnérabilité essen-
tiellement développées aux États-Unis, dont la méthode développée par le
CCPS qui a inspiré plusieurs méthodes et qui a été adaptée au contexte fran-
çais et européen.
Enfin, nous décrirons des méthodes parallèles à celles du CCPS élaborées
aux États-Unis également suite aux attentats du 11 septembre 2001 aux
États-Unis.
Le lecteur trouvera en fin d’article un glossaire des termes et expressions importants de

l’article, ainsi qu’un tableau des sigles, notations et symboles utilisés tout au long de l’article.
1. Méthodes d’analyse 1.1.1.1 Contexte et champ du document

Le document Recommandations de sécurité nucléaire sur la pro-
de la vulnérabilité dans tection physique des matières nucléaires et des installations
nucléaires (INFCIRC/225/Révision 5) [1] est un document émanant
le domaine du nucléaire de l’Agence internationale de l’énergie atomique (AEIA) édité en
novembre 2011.
et du transport de Ces recommandations publiées pour la première fois en 1975
marchandises dangereuses ont été depuis régulièrement révisées. Le document « vise à aider
les États membres à mettre en place un régime de protection phy-
sique complet [...] relatif à la protection physique des matières
1.1 Méthodes d’analyse nucléaires et des installations nucléaires ».
de la vulnérabilité développées Les trois événements redoutés pour les matières nucléaires à
considérer sont :
dans le nucléaire
– le risque d’enlèvement non autorisé dans l’intention de fabri-
quer un dispositif nucléaire explosif ;
Dans le domaine du nucléaire, le terme de « sécurité – le risque d’enlèvement non autorisé pouvant entraîner ultérieu-
nucléaire » renvoie aux dispositions visant à lutter contre l’utili- rement une dispersion ;
sation malveillante de substances nucléaires, tandis que le – le risque de sabotage.
terme de « sûreté nucléaire » renvoie aux dispositions visant à
se prémunir d’accidents technologiques. 1.1.1.2 Présentation de la démarche
Dans les autres domaines industriels, les termes de La démarche de gestion du risque vise à atteindre les objectifs
« sûreté » et de « sécurité » ont un sens opposé, à savoir que la suivants :
« sécurité » (safety ) est associée à la lutte contre les accidents
technologiques non intentionnels et la « sûreté » (security ) à la – prévention d’un acte malveillant par la dissuasion et la protec-
lutte contre les actes intentionnels malveillants. tion des informations sensibles ;
– lutte contre une tentative d’acte malveillant ou un acte malveil-
lant grâce à un système intégré de détection, de retardement et
1.1.1 Présentation des recommandations d’intervention ;
– atténuation des conséquences d’un acte malveillant.
de l’AIEA
Le concept d’approche graduée est préconisé dans la définition
Dans cette section consacrée au nucléaire, nous conserverons des prescriptions de protection physique tenant compte de
les termes de « sécurité » et de « sûreté » tels qu’ils sont définis « l’évaluation actuelle de la menace, de l’attractivité relative, de la
pour ce domaine particulier, mais userons des définitions plus nature des matières nucléaires et des conséquences » potentielles
usuelles dans la suite de la publication. en cas d’enlèvement non autorisé ou de sabotage.
ＱＶＲ
ｓｅＱＲＱＲ
_______________________________________________________________________ MÉTHODES D’ANALYSE DE LA VULNÉRABILITÉ DES SITES INDUSTRIELS
Le principe de défense en profondeur, défini comme la combi- PI probabilité d’interruption de l’agresseur (dont la
naison de plusieurs niveaux de systèmes et de mesures tech- détection),
niques ou organisationnelles qui doivent être surmontés ou
PN probabilité de neutralisation de l’agresseur.
contournés avant que la protection physique soit compromise, est
retenu pour le choix des prescriptions en matière de protection La gravité de l’événement n’est pas cotée car on doit considérer
physique. que l’on ne peut pas agir sur cette composante. L’interface entre
Des prescriptions sont apportées pour chacun de ces types de sécurité et sûreté est également abordée. En effet, l’ajout d’un élé-
risque selon la catégorie de matières nucléaire concernée, et cela ment de sécurité peut avoir un effet sur la sûreté d’un réacteur, et
de manière proportionnée. inversement.
Il s’agit d’une méthode probabiliste et itérative basée sur les scé-
1.1.2 Présentation du guide de l’US NRC narios, sur le temps de réponse et les itinéraires (pathway ) pos-
sibles face à un acte malveillant par rapport au système de
1.1.2.1 Contexte et champ du document protection physique mis en place selon le principe
« deter/detect/respond » (dissuader/détecter/intervenir).
L’United States Nuclear Regulatory Commission (US NRC) a
développé en 2007 un guide d’évaluation de la sécurité nucléaire,
au sens « security » qui a été remis à jour en 2013. Le Nuclear
Power Plant Security Assessment Guide, NUREG/CR-7145 [2] a
1.2 Méthodes d’analyse
pour objectif de fournir le plan et le contenu d’une évaluation de la de la vulnérabilité développées
sécurité. Il s’applique sur la base du volontariat et en lien avec le dans le transport des marchandises
Nuclear Power Plant Security Assessment Technical Manual [3]. dangereuses
Bien que développé pour la certification de la conception de
nouvelles centrales nucléaires, ce guide s’applique également aux
centrales existantes voulant améliorer ou modifier leurs systèmes 1.2.1 Présentation du chapitre 1.10
de protection physique face aux menaces contre la conception de l’ADR/RID/ADNR
(design-basis threat – DBT) fournies par la US NRC [4]. Ce guide :
– décrit les six étapes de l’évaluation de la sécurité ; 1.2.1.1 Contexte et champ du document
– propose un plan pour l’étude de sécurité à valider par les Afin de prévenir les actes de terrorisme, la réglementation inter-
agents de l’US NRC ; nationale des transports terrestres de matières dangereuses (ADR
– en annexes, décrit succinctement des méthodes de modélisa- pour la route, RID pour le fer, ADNR pour la voie d’eau) comprend
tion d’évaluation de la sûreté. depuis le 1er janvier 2005 un chapitre nouveau, le chapitre 1.10 sur
la sûreté [5]. Ces dispositions sont obligatoires depuis le 1er juillet
1.1.2.2 Présentation de la démarche 2005. Depuis, quelques amendements ont été adoptés et incorpo-
Les étapes de l’évaluation de sécurité sont présentées dans la rés. Dans l’ADR de 2013, les exigences pour les marchandises
figure 1. radioactives à haut risque ont été séparées de celles des autres
marchandises à haut risque.
La méthode d’évaluation, en six étapes, vise à s’assurer de l’effi-
cacité de la conception du système de protection physique (équi- Cette réglementation ne s’applique ni lorsque les quantités
pements, processus supports, procédures, etc.) et de la défense en transportées sont inférieures à certains seuils, ni aux marchandises
profondeur de ce système en utilisant une méthodologie accep- emballées en quantités limitées. Elle n’est pas exclusive des régle-
table, plusieurs d’entre elles étant présentées en annexe C du mentations spécifiques applicables aux explosifs et aux matières
guide. Celle-ci est évaluée selon l’équation : nucléaires.
La « sûreté » est définie comme « les mesures ou les précau-
tions à prendre pour minimiser le vol ou l’utilisation impropre de
avec PE probabilité d’efficacité ou d’efficacité globale du marchandises dangereuses pouvant mettre en danger des per-
système, sonnes, des biens ou l’environnement ».
Conception
terminée
OUI
Étape 2 Étape 3 Objectif

Étape 1 Étape 4
Etablir Concevoir de haute
Déterminer Conduire
la conception le système de assurance
les objectifs l’évaluation
du site protection physique atteint ?
NON
Reconcevoir
le système
de sécurité
physique
Figure 1 – Processus d’évaluation de sûreté de l’US NRC
ＱＶＳ
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
Techniques de l’Ingénieur propose la plus importante

collection documentaire technique et scientifique
en français !
Grâce à vos droits d’accès, retrouvez l’ensemble
des articles et fiches pratiques de votre offre,
leurs compléments et mises à jour,
et bénéficiez des services inclus.
   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
 + de 350 000 utilisateurs

 + de 10 000 articles de référence
 + de 80 offres
 15 domaines d’expertise
Automatique - Robotique Innovation
Biomédical - Pharma Matériaux
Construction et travaux publics Mécanique
Électronique - Photonique Mesures - Analyses
Énergies Procédés chimie - Bio - Agro
Environnement - Sécurité Sciences fondamentales
Génie industriel Technologies de l’information
Ingénierie des transports
Pour des offres toujours plus adaptées à votre métier,

découvrez les offres dédiées à votre secteur d’activité
Depuis plus de 70 ans, Techniques de l’Ingénieur est la source

d’informations de référence des bureaux d’études,
de la R&D et de l’innovation.
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
  
ACCÈS
Accès illimité Téléchargement des articles Consultation sur tous

aux articles en HTML au format PDF les supports numériques
Enrichis et mis à jour pendant Pour un usage en toute liberté Des contenus optimisés
toute la durée de la souscription pour ordinateurs, tablettes et mobiles
 
SERVICES ET OUTILS PRATIQUES
Questions aux experts* Articles Découverte Dictionnaire technique multilingue

Les meilleurs experts techniques La possibilité de consulter des articles 45 000 termes en français, anglais,
et scientifiques vous répondent en dehors de votre offre espagnol et allemand
 
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
ILS NOUS FONT CONFIANCE
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com

(Extrait) Méthodes D'analyse Des Risques

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

(Extrait) Méthodes D'analyse Des Risques

Transféré par

Droits d'auteur :

Formats disponibles

ENVIRONNEMENT - SÉCURITÉ

Ti112 - Sécurité et gestion des risques

Méthodes d'analyse des risques

Réf. Internet : 42155 | 3e édition

Actualisation permanente sur

Une information fiable, claire et actualisée

Les meilleurs experts techniques et scientifiques

Une collection 100 % en ligne

Des services associés

 Des services associés

Management de la sécurité Réf. Internet : 42154

Méthodes d'analyse des risques Réf. Internet : 42155

Risques chimiques - Toxicologie et écotoxicologie Réf. Internet : 42156

Risques chimiques - Pesticides et produits phytosanitaires Réf. Internet : 42568

Encadrer le risque chimique et connaître ses obligations Réf. Internet : 22742

Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743

Risques d'explosion Réf. Internet : 42157

Risques d'incendie Réf. Internet : 42583

Risques électriques Réf. Internet : 42496

Sécurité par secteur d'activité et par technologie Réf. Internet : 42159

Sécurité des systèmes industriels Réf. Internet : 42830

Santé et sécurité au travail Réf. Internet : 42158

Menaces et vulnérabilités : protection des sites industriels Réf. Internet : 42648

Risques naturels et impacts industriels Réf. Internet : 42828

dont les exper ts scientifiques sont :

Jean-Pierre DAL PONT

Alain DESROCHES Yves MORTUREUX

Olivier IDDIR Samantha THIEBOT

Analyse préliminaire de risques SE4010 9

Analyse globale des risques (AGR) SE4015 11

HAZOP : une méthode d'analyse des risques. Présentation et contexte SE4030 17

HAZOP : une méthode d'analyse des risques. Principe SE4031 21

HAZOP : une méthode d'analyse des risques. Mise en oeuvre SE4032 27

AMDE (C) SE4040 29

Arbres de défaillance, des causes et d'événement SE4050 33

Arbre de défaillance. Contexte booléen, analyse et bases mathématiques SE4052 39

Arbre de défaillance. Aspects temporels SE4053 45

Le noeud papillon : une méthode de quantiication du risque SE4055 49

MOSAR. Présentation de la méthode SE4060 55

MOSAR. Cas industriel SE4061 59

Analyse des risques des systèmes dynamiques : préliminaires SE4070 65

Méthode MADS-MOSAR. Pour en favoriser la mise en oeuvre SE4062 67

Analyse des risques des systèmes dynamiques : approche markovienne SE4071 77

Méthode PDS SE4077 99

Méthode HACCP- Approche pragmatique SL6210 103

Méthodes d'évaluation de la criticité des équipements. Métriques et indicateurs de SE4006 139

La méthode B pour la spéciication et la réalisation de logiciels et de systèmes critiques SE2525 151

Méthodes d'analyse de la vulnérabilité des sites industriels SE1212 161

Analyse préliminaire de risques

par Yves MORTUREUX

1. Objectifs de la démarche APR.............................................................. SE 4 010 - 2

’analyse préliminaire de risques (APR) est une démarche, un processus dont

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

L’analyse préliminaire de risques est essentielle et très structurante, surtout

Le lecteur se reportera utilement aux articles du même traité :

Analyse globale des risques (AGR)

1. Concepts préliminaires....................................................................... SE 4 015 - 2

De plus, l’AGR prend en compte la gestion financière du traitement des

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 015 – 1

ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

1. Concepts préliminaires crée l’exposition du système S au danger D (repère 1) et donc la

Figure 1 – Arborescence d’un scénario d’accident

SE 4 015 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés