Méthodes d'analyse des risques

ENVIRONNEMENT - SÉCURITÉ

Ti112 - Sécurité et gestion des risques

Méthodes d'analyse des risques

Réf. Internet : 42155 | 3e édition

Actualisation permanente sur www.techniques-ingenieur.fr

Tec h n ique s de l ’I n gé ni eur La plus impor tante ressource documentaire scientifique et technique en français

Une information fiable, claire et actualisée Validés par un comité scientifique et mis à jour en permanence sur Internet, les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et scientifiques, en poste ou en formation. Outil d’accompagnement de la formation et de la carrière des ingénieurs, les ressources documentaires Techniques de l’Ingénieur constituent le socle commun de connaissances des acteurs de la recherche et de l’industrie.

Les meilleurs experts techniques et scientifiques Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs, professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur scientifique et technique de référence. Les meilleurs spécialistes sont réunis pour constituer une base de connaissances inégalée, vous former et vous accompagner dans vos projets.

Une collection 100 % en ligne • Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et actualisations de votre ressource documentaire • Les articles téléchargeables en version PDF

Des services associés Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste des services associés à vos droits d’accès et les utiliser.



Des services associés Pour toute information, le service clientèle reste à votre disposition : Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : [email protected]

III

Cet ouvrage fait par tie de

Sécurité et gestion des risques (Réf. Internet ti112) composé de : Management de la sécurité

Réf. Internet : 42154

Méthodes d'analyse des risques


Risques chimiques - Toxicologie et écotoxicologie


Risques chimiques - Pesticides et produits phytosanitaires


Encadrer le risque chimique et connaître ses obligations


Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743 dans l’entreprise Risques d'explosion


Risques d'incendie


Risques électriques


Sécurité par secteur d'activité et par technologie


Sécurité des systèmes industriels


Santé et sécurité au travail


Menaces et vulnérabilités : protection des sites industriels


Risques naturels et impacts industriels




Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires

IV

Cet ouvrage fait par tie de

Sécurité et gestion des risques (Réf. Internet ti112) dont les exper ts scientifiques sont : Jean-Pierre DAL PONT Président de la Société Française de Génie des Procédés (SFGP), Secrétaire Général de la Fédération Européenne du Génie Chimique (EFCE), Président de la Société des Experts Chimistes de France (SECF)

François FONTAINE Responsable « Sécurité Globale et Sécurité Globale et terrorisme », INERIS

Didier GASTON Responsable Agence, CETE APAVE Nord-Ouest

Jean-Louis GUSTIN Expert en sécurité des procédés Rhodia Recherches et Technologies

André LAURENT Professeur émérite, Nancy Université, LRGP, CNRS, INPL, ENSIC

Yves MORTUREUX Expert en maîtrise des risques à la Direction de la sécurité de la SNCF

Jean-Paul PERES Ancien Directeur Responsable Care de Rhodia




V

Les auteurs ayant contribué à cet ouvrage sont :

Alain DESROCHES

Pierre PERILHON

Pour l’article : SE4015

Pour les articles : SE4060 – SE4061

Michel FEDERIGHI

Michel ROYER

Pour l’article : SL6210

Pour les articles : SE4030 – SE4031 – SE4032

Emmanuel GARBOLINO Pour l’article : SE2065

Jean-Pierre SIGNORET

Olivier GRANDAMAS

Pour les articles : SE4070 – SE4071 – SE4072 – SE4073


Samantha THIEBOT Franck GUARNIERI



Jacques VALANCOGNE Olivier IDDIR


Pour les articles : SE4055 – SE4075 – SE4077 – SE2090 – SE5080

Gilles ZWINGELSTEIN

Yves MORTUREUX

Pour les articles : SE4004 – SE4005 – SE4006 – SE4007

Pour les articles : SE4010 – SE4040 – SE4050 – AG4670




VI

Méthodes d'analyse des risques (Réf. Internet 42155)

SOMMAIRE Réf. Internet

page

Analyse préliminaire de risques

SE4010

9

Analyse globale des risques (AGR)

SE4015

11

HAZOP : une méthode d'analyse des risques. Présentation et contexte

SE4030

17

HAZOP : une méthode d'analyse des risques. Principe

SE4031

21

HAZOP : une méthode d'analyse des risques. Mise en oeuvre

SE4032

27

AMDE (C)

SE4040

29

Arbres de défaillance, des causes et d'événement

SE4050

33

Le noeud papillon : une méthode de quantiication du risque

SE4055

39

MOSAR. Présentation de la méthode

SE4060

45

MOSAR. Cas industriel

SE4061

49

Analyse des risques des systèmes dynamiques : préliminaires

SE4070

55

Méthode MADS-MOSAR. Pour en favoriser la mise en oeuvre

SE4062

57

Analyse des risques des systèmes dynamiques : approche markovienne

SE4071

61

Analyse des risques des systèmes dynamiques : réseaux de Petri. Principes

SE4072

67

Analyse des risques des systèmes dynamiques : réseaux de Petri. Exemples de modélisation

SE4073

71

La méthode LOPA : principe et exemple d'application

SE4075

75

Méthode PDS

SE4077

83

Méthode HACCP- Approche pragmatique

SL6210

87

La sûreté de fonctionnement : méthodes pour maîtriser les risques

AG4670

91

Mesures de maîtrise des risques instrumentées (MMRI). État zéro et iche de vie

SE2090

95

Pondération des fréquences de fuite dans le cadre des analyses de risques industriels

SE5080

101




VII

Évaluation de la criticité des équipements. Méthodes d'exploitation des jugements d'experts

SE4004

109

Évaluation de la criticité des équipements. Méthodes analytiques

SE4005

115

Méthodes d'évaluation de la criticité des équipements. Métriques et indicateurs de performance

SE4006

123

Évaluation de la criticité des équipements. Méthodologie globale

SE4007

129

La méthode B pour la spéciication et la réalisation de logiciels et de systèmes critiques SE2525 prouvés

135

Concept de défense en profondeur : contribution à la sécurité des ICPE

SE2065

141

Méthodes d'analyse de la vulnérabilité des sites industriels

SE1212

145




ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＰ

Analyse préliminaire de risques par

Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert Sûreté de fonctionnement à la direction Déléguée Système d’exploitation et sécurité à la SNCF Vice-Président de l’Institut de Sûreté de fonctionnement

1. 1.1 1.2 1.3

Objectifs de la démarche APR.............................................................. Identification des événements redoutés.................................................... Évaluation des risques ................................................................................ Proposition de couverture des risques ......................................................

2.

Usages de la démarche APR .................................................................

—

3

3. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9

Divers acteurs et leurs relations à l’APR........................................... Acteurs ......................................................................................................... Autorité......................................................................................................... Maître d’ouvrage ......................................................................................... Organisme évaluateur................................................................................. Maître d’œuvre ............................................................................................ Exploitant ..................................................................................................... Mainteneur ................................................................................................... Organisme de contrôle................................................................................ Sous-traitants...............................................................................................

— — — — — — — — — —

4 4 4 5 5 6 6 6 6 7

4.

Méthodes de la démarche APR ............................................................

—

7

5. 5.1 5.2 5.3

Méthode APR............................................................................................. Présentation ................................................................................................. Typologies. Listes ........................................................................................ Fréquence et gravité....................................................................................

— — — —

7 7 8 9

Bibliographie ......................................................................................................

—

10

SE 4 010 - 2 — 2 — 3 — 3

’analyse préliminaire de risques (APR) est une démarche, un processus dont l’objectif est d’évaluer les problèmes à résoudre en matière de maîtrise des risques. La méthode APR est dédiée à cette démarche. Cette démarche peut prendre des formes très différentes dans sa mise en œuvre suivant le domaine technique ou la filière industrielle considérés. Dans bien des cas une analyse préliminaire de risques met en œuvre des méthodes plus connues dans les phases ultérieures de l’analyse de risques comme l’arbre de défaillance (cf. article [SE 4 050]), l’AMDE(C) (analyse des modes de défaillance, de leurs effets et de leurs criticités, cf. article La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] dans le traité L’entreprise industrielle) ou des blocs-diagrammes de fiabilité, etc. Mais une méthode particulière a aussi été développée pour cette phase initiale d’analyse préliminaire de risques. On parle alors de méthode APR. La confusion des termes est totale, la confusion des notions est à éviter : disons qu’une démarche APR ne se fait pas forcément avec la méthode APR. La première partie de l’article (§ 1, 2, 3, 4) sera consacrée à la démarche : les objectifs, le processus, la pertinence de l’analyse préliminaire de risques. La seconde partie (§ 5) sera consacrée à la méthode : la méthode APR, particulièrement adaptée à la conduite d’une démarche d’analyse préliminaire de risques.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＲ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｭ｡ｲｳ＠ＲＰＱＶ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

Ｙ

SE 4 010 − 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＰ

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

L’analyse préliminaire de risques est essentielle et très structurante, surtout en matière de sécurité, pour tout projet innovant, qu’il s’agisse de modifications de systèmes connus ou de nouveaux systèmes. Comme son nom le suggère, l’APR est une démarche qui commence dès qu’une démarche de maîtrise des risques apparaît nécessaire dans un projet avant qu’il soit question de méthodes d’évaluations de risques (AMDE, AMDEC, arbres de défaillance et autres...). Le gros de cette démarche se déroule au début du projet et peut inclure l’utilisation de méthodes comme les arbres de défaillance. Ensuite l’APR accompagne toute la vie du projet et peut être révisée et complétée au fur et à mesure que le projet se précise, les méthodes comme l’arbre de défaillance étant utilisées au cours des études précises et détaillées que la maîtrise des risques du projet va nécessiter. La démarche d’APR est très utilisée dans les domaines où les préoccupations de sécurité sont les plus présentes comme les transports et la chimie. Le lecteur se reportera utilement aux articles du même traité : — La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] ; — Arbres de défaillance, des causes et d’événement [SE 4 050].

1. Objectifs de la démarche APR

divers sous-projets susciteront des démarches APR partielles dont les démarrages peuvent être postérieurs non seulement à celui de l’APR globale mais même à des analyses détaillées entreprises dans d’autres sous-projets plus avancés du même projet.

La démarche APR peut prendre des formes extrêmement diverses. Néanmoins, sous des apparences variées, on retrouve systématiquement trois phases qui sont aussi trois objectifs : — identification des dangers, des événements redoutés à prendre en compte (§ 1.1) ; — évaluation et classement des risques associés ; — propositions des mesures de couverture des risques.

1.1 Identification des événements redoutés Cette première phase de la démarche APR consiste à identifier quels accidents peuvent arriver et comment. Ici l’exhaustivité est un objectif essentiel. La valeur d’une démarche APR dépend directement de la confiance que l’on peut placer dans le fait de n’avoir « oublié » aucun scénario d’accident. Par contre, à ce stade, il est normal de ne pas pouvoir être très précis sur ces scénarios et de ne pas pouvoir distinguer des scénarios vraisemblables, d’autres, théoriquement possibles, mais qui se révèleront ensuite invraisemblables.

Globalement, on peut dire que l’objectif général d’une démarche APR est d’évaluer les problèmes à résoudre en matière de maîtrise des risques. Une APR doit permettre : — de se rendre compte si le projet pourrait devoir être abandonné parce que certains risques inacceptables se révèleraient irréductibles ; — de dimensionner a priori les efforts d’études et de réduction de risques ; — de localiser les domaines du système qui demanderont le plus d’efforts et donc, les compétences requises en matière de maîtrise des risques.

En effet, le but est d’identifier les événements redoutés à prendre en considération. Toutes les informations disponibles (connaissance a priori d’événements redoutés mais aussi modes de défaillance des composants du système, potentiel d’énergie des composants du système, etc.) doivent être exploitées. À partir de ces informations on se pose la question des scénarios qui peuvent se développer à partir des phénomènes évoqués et on recense donc les événements (redoutés) sur lesquels ces scénarios pourraient déboucher.

Inversement la démarche APR permet d’anticiper sur la nature des faiblesses en sûreté de fonctionnement et les limites des performances sûreté de fonctionnement qu’il est raisonnable de vouloir atteindre.

Rappel : le risque est un triplet (événement redouté, fréquence, gravité). Identifier, recenser des risques, c’est donc identifier des événements redoutés ; évaluer les risques consiste à leur associer fréquence et gravité (ou criticité) (cf. [AG 4670]). On peut connaître a priori les événements redoutés à envisager mais il est aussi courant que l’on connaisse mieux les sources de danger et que l’on doive en déduire les scénarios puis les accidents à craindre.

En poursuivant l’objectif essentiel de repérer les difficultés et les efforts les plus importants de réduction de risque et de démonstration de la sûreté de fonctionnement, une démarche APR bien menée contribue de façon décisive à la maîtrise des risques « projet », c’est-à-dire à la maîtrise des coûts, des délais du projet en lien avec l’atteinte des objectifs de performance du produit ou du service. En particulier, la démarche APR doit permettre très tôt de construire une vision commune et un accord entre les parties concernées par le projet sur les mesures à prendre pour assurer la sûreté de fonctionnement requise et les rôles de chacun dans ces efforts.

Cette recherche s’appuie naturellement avant tout sur les spécifications fonctionnelles, car au stade initial les solutions ne sont pas encore choisies. La démarche peut être menée de façon systématique sur les fonctions du système. Néanmoins, en matière de sécurité, il faut prendre en compte les dangers créés par les techniques choisies indépendamment des exigences fonctionnelles (notamment en chimie) dans le cadre de la méthode HAZOP). Pour réaliser une même fonction, une solution électrique amène à se poser la question du risque d’électrocution, une solution pneumatique celle du risque d’explosion par surpression, tout cela indépendamment des risques liés à l’échec total ou partiel de la fonction.

Si la démarche APR est unique par son esprit, chacun la conduit à son niveau en fonction des risques qui le concernent. Si une démarche APR globale peut démarrer dès les origines d’un projet,

SE 4 010 − 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

ＱＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＵ

Analyse globale des risques (AGR) par

Alain DESROCHES Professeur à l’École CentraleSupélec Ex expert en sûreté de fonctionnement et gestion des risques au Centre national d’études spatiales (CNES) Ex président de la Commission risques accidentels et membre du Conseil scientifique de l’Institut national de l’environnement industriel et des risques (INERIS), Paris, France

1.

Concepts préliminaires.......................................................................

2. 2.1 2.2 2.3 2.4

Présentation de l’AGR ........................................................................ Principe de la méthode............................................................................ AGR Système ........................................................................................... AGR Scénarios ......................................................................................... Résultats et valorisation de l’AGR ..........................................................

— — — — —

4 4 5 6 11

3. 3.1 3.2 3.3 3.4

Exemple d’application industrielle.................................................. Données de l’exemple d’application industrielle .................................. Analyse des scénarios ............................................................................. Principaux résultats d’analyse et d’évaluation...................................... Valorisation de l’AGR ..............................................................................

— — — — —

11 11 14 14 20

4.

Conclusion .............................................................................................

—

27

Pour en savoir plus ........................................................................................

SE 4 015 - 2

Doc. SE 4 015

et article traite de l’analyse globale des risques (AGR) qui couvre l’identification, l’évaluation et la gestion des risques structurels, des risques fonctionnels et des risques conjoncturels pendant tout le cycle de vie du système étudié, depuis le début de sa conception jusqu’à la fin de son démantèlement. Elle existe en version semi qualitative (notée AGR), présentée dans cet article, et en version quantitative ou probabiliste (notée AGRq) [3]. L’AGR est applicable à l’analyse des risques de projet, des risques d’entreprise ou des risques produits. Les quatre catégories de dangers génériques prises en compte sont : – les dangers extérieurs au système ; – les dangers liés à la gouvernance du système ; – les dangers liés aux moyens techniques du système ; – les dangers liés aux études et production du système. Le but de l’AGR est : – d’identifier les principaux risques pendant l’activité du système à partir des dangers, des situations dangereuses, des événements redoutés ou accidents consécutifs et de leurs conséquences ; – de caractériser les scénarios d’accident à partir des trois facteurs de risques : facteur d’exposition, facteur déclenchant et facteur aggravant ; – d’élaborer les cartographies des risques ; – d’identifier les risques majeurs ; – d’évaluer les bilans efforts/pertes en termes financiers ; – d’élaborer le plan d’actions en réduction des risques ; – d’élaborer le catalogue des paramètres de sécurité correspondant aux activités de sécurisation ultérieures. De plus, l’AGR prend en compte la gestion financière du traitement des risques et permet la réalisation d’allocations d’objectifs de risques sur la performance et la sécurité (allocations de sûreté de fonctionnement).

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＶ

C

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

ＱＱ

SE 4 015 – 1


ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

1. Concepts préliminaires

crée l’exposition du système S au danger D (repère 1) et donc la situation dangereuse SD (repère 3). À partir de laquelle l’occurrence d’une cause amorce ou facteur de risque déclenchant FD (repère 4) entraîne l’accident A (repère 5). Puis l’occurrence d’une cause circonstancielle ou facteur de risque aggravant FA (repère 6) qui définit et caractérise l’occurrence, la nature et la gravité des conséquences K (repère 7).

Le danger [1] dont la notion précède celle de risque est défini comme un potentiel de préjudice ou de nuisance aux personnes, aux biens ou à l’environnement. Ce concept abstrait couvre aussi bien des éventualités physiques ou matérielles accessibles par nos sens que des éventualités immatérielles comme l’énergie potentielle ou cinétique. De façon plus générale, un danger peut être une substance (produit toxique...), un objet (virus, astéroïde...), un phénomène (inondation, séisme...) ou un processus (erreur de diagnostic, erreur d’administration, erreur opératoire...).

Les causes contact FE, amorce FD et circonstancielle FA sont des noms génériques pour définir l’ensemble des causes qui engendre respectivement la situation dangereuse SD, l’accident A et les conséquences K. Les uns comme les autres peuvent être des événements programmés, donc attendus, ou des événements non programmés, donc non attendus. Les noms génériques peuvent correspondre chacun à plusieurs causes.

Ce préliminaire étant fait, le risque met en jeu deux notions. L’une, qualitative, qui concerne son origine, à savoir sa genèse par l’exposition du système au danger, appelée situation dangereuse, qui, suivant les circonstances, peut se transformer en situation accidentelle avec des conséquences de différentes natures et importances. L’autre, quantitative, qui est la mesure en termes de probabilité d’occurrence et de gravité de l’incertitude de la situation dangereuse ou de la situation accidentelle, appelée aussi événement redouté.

L’ensemble des étapes d’identification et l’évaluation des risques est généralement appelé appréciation des risques. Dans la pratique, l’identification des risques est faite en utilisant un ensemble d’outils méthodologiques traitant de façon complémentaire de la nature des événements, de leur localisation spatiale et temporelle. L’évaluation des risques est faite d’une part sur l’incertitude de l’occurrence du risque en utilisant soit une échelle d’index de vraisemblance V ou de valeurs de probabilité P, et d’autre part sur les conséquences en utilisant une échelle d’index de gravité G complétée ou non par des index ou des valeurs de pertes et d’efforts, notés respectivement IP ou VP et IE et VE.

Si sur une échelle de temps l’événement redouté est considéré à l’instant présent, alors sa probabilité d’occurrence concerne ses causes qui appartiennent à son passé, tandis que la gravité concerne ses conséquences qui appartiennent à son futur. Le risque d’un événement est un concept abstrait qui nécessite donc de prendre en compte de façon globale son passé, son présent et son futur.

De sa nature bidimensionnelle, pour laquelle il n’existe pas de relation d’ordre, il découle que l’on ne peut hiérarchiser formellement deux risques de façon directe par le couple gravité-probabilité.

La maîtrise des risques [2] est associée directement aux actions de réduction et de contrôle faites sur les composantes du risque : la prévention regroupe les actions qui ont pour but de diminuer la probabilité d’occurrence du risque, tandis que la protection regroupe les actions qui ont pour but de diminuer la gravité de ses conséquences. Plus précisément, la prévention vise à réduire conjointement les probabilités d’occurrence des causes contact, amorce et circonstancielle « non programmées ». En premier, la réduction de la probabilité d’occurrence de la cause contact sera recherchée, ce qui peut aboutir à l’absence d’occurrence de situation dangereuse. En deuxième, ce sera celle de la cause amorce jusqu’à l’élimination éventuelle de l’occurrence de l’accident. En troisième, ce sera celle de la cause circonstancielle.

Un scénario d’accident visualisé sur la figure 1 est défini comme l’enchaînement ou la combinaison d’événements aboutissant à un accident A (repère 5) puis à ses conséquences K (repère 7). Sa réalisation est liée à l’occurrence d’une cause contact ou facteur de risque d’exposition FE (repère 2) qui

Le processus de réduction des risques est basé sur le concept de criticité du risque C. Plus précisément, la criticité du risque, est le résultat d’une fonction de décision fD associée à une échelle de valeurs politique, éthique, religieuse, économique, etc. qui pour chaque risque évalué R (G, V ) associe ou non une action de réduc-

Il en résulte que le couple probabilité-gravité est indissociable et doit être considéré comme une variable bidimensionnelle. Par là même, un risque n’est ni une probabilité, ni une gravité, mais les deux en même temps. Il s’ensuit qu’une décision associée à un risque ne peut être prise sur la base d’une seule de ses deux composantes.

Système (S) 1

3 Danger (D)

Cause contact ou facteur d’exposition (FE)

Situation dangereuse (SD)

5 Événement redouté ou accident (A)

Cause amorce ou facteur déclenchant (FO)

Conséquence (K)

4 Cause circonstancielle ou facteur aggravant (FA)

Figure 1 – Arborescence d’un scénario d’accident

SE 4 015 – 2

7

2


ＱＲ

6


_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)

Classe de criticité

Intitulé de la classe

Intitulés des décisions et des actions

C1

Acceptable en l’état

Aucune action n’est à entreprendre

C2

Tolérable sous contrôle

On doit organiser un suivi en termes de gestion du risque tel que contrôle ou transfert

C3

Inacceptable

On doit refuser la situation et prendre des mesures de réduction des risques Sinon... on doit refuser toute ou partie de l’activité

Figure 2 – Arborescence d’un scénario d’accident

Probabilité

Probabilité Pr (G > g) < p

V5 p4 V4

Pr (G

p3

V5 p4

>

g) <

V4

p

V3

Protection

p3 Prévention

V3 p2

p2

V2

V2

Pr (G > g) < p p1

p1

V1

V1 g1 G1

g2 G2

g3 G3

g4 G4

g1

Gravité G1

G5

g2 G2

g3 G3

g4 G4

Gravité G5

Figure 3 – Diagrammes d’acceptabilité des risques

Le management des risques repose d’une part sur l’assignation d’objectifs de risques acceptables ou tolérables définis par le référentiel d’acceptabilité des risques et d’autre part par la mise en place de ressources ou moyens de traitement pour permettre d’atteindre les objectifs (par la réduction des risques initiaux) et d’assurer leur maintien (par le contrôle des risques résiduels).

tion ou de contrôle. Ce qui s’exprime en posant C = fD (G, V ). L’« ensemble de définition » de fD est l’ensemble des couples (G, V). L’« ensemble des valeurs » de fD correspond à l’ensemble des criticités, appelé échelle de criticité (figure 2), réparti en trois classes suivant le principe ALARA (As Low As Reasonably Achievable).

Autrement dit, le plan de réduction des risques comme le catalogue des paramètres de sécurité n’ont de réalité que dans la mesure où un plan de financement des actions, appelé financement du risque a été prévu et consolidé. Ce dernier doit être orienté par la contrainte « effort/perte ⭐ 1 » qui exprime que l’effort correspondant au coût de traitement (des conséquences) du risque doit rester inférieur à la perte correspondant au coût (des conséquences) du risque en l’absence de traitement.

Nota : la criticité du risque ne doit pas être confondue avec le risque moyen qui est le produit de la probabilité par la gravité du risque et n’est qu’un paramètre d’évaluation et non de décision.

Cette classification de l’ensemble des risques de l’activité en trois classes doit être validée par la gouvernance du risque qui dispose des ressources associées aux décisions rattachées à chaque classe. Les trois classes sont visualisées par zone respectivement en vert, jaune et rouge sur le premier diagramme de la figure 3 appelé référentiel d’acceptabilité des risques ou diagramme ou tableau de criticité. Le second diagramme visualise les actions de maîtrise des risques.

Le principe du financement du risque est défini ainsi : « Toute action de réduction ou de contrôle pour maîtriser un risque générant une perte est un effort qui a un coût ». Nota : effort de traitement du risque, que ce soit en termes de financement de l’élimination du risque, de sa réduction (prévention ou protection) ou de sa gestion telle que la prise d’une assurance ou encore de son contrôle.

Des exemples de diagrammes qualitatif et probabiliste sont donnés sur la figure 4.

Il est naturel de considérer le rapport : K = effort/perte, où : – perte est le coût du risque correspondant au montant (ou équivalent) de la perte financière brute en l’absence de traitement de maîtrise du risque ; – effort est le coût investi dans le traitement du risque, c’est-à-dire au montant (ou équivalent) financier des actions de réduction, et plus globalement de maîtrise des risques.

Le regroupement structuré des actions de prévention et de protection est appelé plan de réduction des risques. Les actions de contrôle permettent d’assurer la traçabilité des actions précédentes et de garantir dans le temps le maintien du niveau de risque acceptable ou tolérable atteint. Ces actions sont regroupées dans le catalogue des paramètres de sécurité.


ＱＳ

SE 4 015 – 3



Gravité G2

G1

G3

G4

G5

V5 Vraisemblance

V4 V3 V2 V1

Référentiel d’acceptabilité des risques

Référentiel d’acceptabilité des risques Pr (G > g) = p

Classes de gravité G1

G2

G3

G4

G5 Probabilité (p)

1 × 10 0

1 × 10–1 5,0 × 10–2

Probabilité

1 × 10–2

1 × 100

1 × 101

1 × 102

1,0 × 10–2

1 × 103

1 × 10–3 5,0 × 10–4

5,0 × 10–4

1 × 10–4

1 × 104 5,0 × 10–5

1 × 10–5

1 × 105

1 × 106

1 × 10–6 5,0 × 10–7 1 × 10–7

1,0 × 10–7 1,0 × 10–7 C1

C2

1 × 107

10

100

1 000

10 000

C3

100 000 Gravité (g)

Figure 4 – Exemples de diagrammes d’acceptabilité des risques

2. Présentation de l’AGR

Dans le cadre du traitement pour maîtriser le risque deux cas sont donc à considérer : – K < 1, autrement dit le coût de la perte est supérieur au coût de l’effort de traitement. Dans ce cas il y a un intérêt sans restriction à traiter et on parlera de traitement économique du risque ; – K ⭓ 1 , autrement dit le coût de la perte est inférieur au coût de l’effort de traitement. Dans ce cas il n’y a pas d’intérêt logique à traiter, sauf cas de force et on parlera de traitement politique du risque.

2.1 Principe de la méthode L’AGR est une méthode globale d’analyse semi qualitative ou probabiliste qui permet d’apprécier et de maîtriser les risques d’activités de nature différente, tels que les risques d’entreprise, les risques projet ou les risques produit suivant un processus invariant [2]. La spécificité tient à la nature du système considéré et de la cartographie des dangers considérés (structurels, conjoncturels ou fonctionnels) et non au processus d’analyse proprement dit. Il en est de même des cartographies des risques comme le visualise la figure 5.

Nota : les pertes et les efforts doivent être définis dans les mêmes unités (valeurs monétaires, ressources, etc.).

Cette contrainte ne doit pas être confondue avec le principe plus abstrait appelé bénéfice/risque qui exprime que le bénéfice ou gain tiré de la prise de risque doit être a priori supérieur à la perte ou inconvénient qui peut en résulter.

SE 4 015 – 4

Nota : l’AGR est conforme à la norme ISO 31000 [4].


ＱＴ


_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)

2.2 AGR Système 2.2.1 Modélisation du système Le système est modélisé sous forme de processus (Φ), de fonctions (F ) et/ou de sous-systèmes de ressources humaines ou matérielles (S/S ) décrit en trois lignes. Le tableau 1 visualise un exemple de modélisation générique par phase de système.

2.2.2 Élaboration de la cartographie des dangers La cartographie des dangers est une liste structurée de dangers définie en trois colonnes auxquels le système est susceptible d’être exposé. Son format est présenté sur le tableau 2. La cartographie des dangers est élaborée à partir d’une liste de vingt-six rubriques de dangers génériques qui couvre les quatre grandes catégories suivantes : – les dangers externes au système ; – les dangers de gouvernance du système ; – les dangers liés aux moyens techniques du système ; – les dangers liés aux études et production du système. La figure 7 présente cette liste de façon détaillée. Figure 5 – Exemples de cartographies des risques

2.2.3 Élaboration de la cartographie des situations dangereuses

Le diagramme de la figure 5 visualise des cartographies des risques obtenues par AGR des trois catégories d’activités.

La structure de la cartographie des situations dangereuses est réalisée par la juxtaposition croisée du système et de la cartographie des dangers. Les interactions dangers/système sont les facteurs de génération de situations dangereuses. Celles-ci sont créées autant par la sensibilité ou la vulnérabilité intrinsèque des

Le processus de l’AGR est réalisé en trois étapes comme le montre la figure 6. Nota : les trois étapes-clés de la figure 6 regroupent plusieurs sous-étapes.

1

AGR SYSTÈME Modélisation du système et élaboration de la cartographie des dangers Identification des situations dangereuses Cartographie des situations dangereuses

2

AGR SCÉNARIOS Analyse des situations dangereuses Évaluation des risques initiaux et traitement des conséquences des événements redoutés Évaluation des index de pertes et d’efforts Évaluation des risques résiduels Cartographies des risques (/aux situations dangereuses, au système ou aux dangers) Diagrammes de décision (/au système ou aux dangers)

3 Gestion des actions Plan d’actions de réduction des risques (risques initiaux) Catalogue des paramètres de sécurité (risques résiduels) Plan de financement des risques (actions et paramètres)

Figure 6 – Étapes du processus de l’AGR


ＱＵ

SE 4 015 – 5



Tableau 1 – Exemple de modélisation d’un système

DG1

Dangers spécifiques

ED111

DS2

ED121

DS3

ED131

DS4

ED141

DS2

DS3

DS1 DG3 DS2 DS1 DG4

DS2

Fonction 34 Ressource 342

Ressource 341



Ressource 321

Ressource 312

Fonction 31

2.3.1 Éléments d’évaluation et de décision

ED213

Cinq échelles ou tableaux de données permettent d’évaluer les risques et d’orienter leur gestion.

ED221

1) L’échelle de gravité est à cinq niveaux d’index correspondant à cinq natures différentes de conséquences impactant la mission ou la performance du système, ainsi que son intégrité ou sa sécurité comme le montre le tableau 3.

ED222 ED231 ED232

Les cinq niveaux peuvent aussi être associés à quatre seuils d’une variable caractéristique des conséquences VCC caractérisant des seuils de gravité tels que le retard calendaire de livraison d’un produit comme visualisé dans le tableau 4.

ED311 ED312

Nota : dans le tableau 4 on peut lire qu’un retard de livraison inférieur ou égal à 1 semaine est considéré comme mineur (G1). Tandis qu’un retard de livraison supérieur ou égal à 6 mois est considéré comme catastrophique (G5).

ED321 ED322

2) L’échelle d’occurrence peut-être quantitative (probabiliste), ou qualitative par la définition de cinq niveaux de vraisemblance associés à des périodes de récurrence comme le montre le tableau 5.

ED411 ED411 ED422

3) L’échelle et le référentiel de criticité : comme rappelé plus haut le référentiel d’acceptabilité des risques ou tableau de criticité permet d’associer une décision de traitement à une classe de risque. Ce référentiel est quantitatif ou qualitative suivant que la mesure de l’incertitude est définie par vraisemblance ou de façon probabiliste (figure 4).

éléments du système (identifiés dans les fonctions, S/S ou phases) que par l’importance du niveau de danger auquel ils sont exposés. Les interactions doivent être considérées a priori comme déterministes. L'estimation de la potentialité et de l’importance de ces interactions permet ensuite de caractériser les situations dangereuses potentielles et de définir les index de priorités d'actions consécutives. La figure 8 regroupe ces critères et éléments de décision.

4) L’échelle de pertes est à quatre niveaux d’index qui sont assignés à chacune des conséquences de criticité C2 ou C3. Les tableaux 6 et 7 présentent respectivement la définition des index de pertes et un exemple générique de valeurs moyennes associées aux index de pertes pour un système composé de trois phases.

Nota : le report volontaire (priorité 10) a pour origine soit l’absence de spécialiste du domaine, soit la limitation de la suite des analyses à des situations dangereuses en relation avec des éléments systèmes ciblés (zoom) ou des classes de dangers.

SE 4 015 – 6

Ressource 311

2.3 AGR Scénarios

ED212

ED214

DG2

Fonction 26


Nota : une situation dangereuse peut être définie sur une ou plusieurs cases qui apparaissent fusionnées. Ainsi, si un danger impacte plusieurs éléments contigus du système, alors la fusion sera horizontale. Si plusieurs éléments dangereux contigus impactent un élément système, alors la fusion sera verticale. La combinaison des deux est aussi possible.

ED211 DS1

Ressource 261


Événements ou éléments dangereux

DS1

Fonction 25


La cartographie des situations dangereuses est définie par l’ensemble des éléments du référentiel système/danger. Chaque élément correspond à une case qui repère une interaction potentielle d’un événement dangereux sur un élément système à laquelle doit alors être affecté un index de priorité. La figure 9 visualise un exemple de cartographie des situations dangereuses.

Tableau 2 – Exemple de format de la cartographie des dangers Dangers génériques

Phase 3

Ressource 251


Ressource 142

Ressource 141

Fonction 14

Phase 2



Ressource 131


Phase 1

Nota : les valeurs des incertitudes IPi sont données par élément système pour chacune des données financières de pertes associées.


ＱＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＰ

HAZOP : une méthode d’analyse des risques Présentation et contexte

par

Michel ROYER Ingénieur chimiste

1.

Présentation...............................................................................................

2. 2.1 2.2

Définition, objectifs et domaines d’applications ............................ Définition et objectifs ................................................................................... Notions de base ........................................................................................... 2.2.1 Définition du danger et de corollaires ............................................... 2.2.2 Définition de l’accident et de ses corollaires .................................... 2.2.3 Définition du risq ue et de ses corollaires.......................................... Domaines d’application de la méthode ..................................................... 2.3.1 Secteurs d’activité............................................................................... 2.3.2 Comparaison avec les autres méthodes d’analyse de risque ......... Limites de la méthode ................................................................................. 2.4.1 Consommatrice de temps .................................................................. 2.4.2 Qualitative ou non............................................................................... 2.4.3 Exigeante ............................................................................................. Points forts.................................................................................................... 2.5.1 Principe simple.................................................................................... 2.5.2 Méthode systématique ....................................................................... 2.5.3 Méthode pluridisciplinaire ................................................................. 2.5.4 Large domaine applicatif ....................................................................

2.3

2.4

2.5

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ

Pour en savoir plus ...........................................................................................

SE 4 030 - 2 — — — — — — — — — — — — — — — — — —

2 2 3 3 4 4 7 7 8 8 8 10 10 10 10 10 10 10

Doc. SE 4 033

a méthode HAZOP est un outil formalisé, systémique et semi-empirique utilisé et développé depuis q uarante ans pour analyser les risques potentiels associés à l’exploitation d’une installation industrielle. Inventée en 1965 en Grande-Bretagne par la société ICI (I mperial chemical industries), elle était conçue comme une technique et s’adressait particulièrement à la phase d’ingénierie de détail de nouvelles installations chimiques ou pétrochimiques. Elle innovait par rapport aux pratiques des codes de construction et des revues sécurité sur schémas employées à l’époque par les sociétés d’ingénierie, toutes basées sur l’analyse d’évènements passés. Son originalité résidait dans son approche a priori des dangers et des dysfonctionnements d’une installation par l’étude systématique des déviations des paramètres gouvernant le procédé à analyser. Cette technique s’est développée hors des limites de la société ICI, au sein de l’industrie chimique et pétrochimique après l’explosion catastrophique, en 1974, d’un nuage de 40 tonnes de cyclohexane à Flixborough en Grande-Bretagne qui fit 28 morts et 89 blessés. De simple technique, la méthode HAZOP est devenue une pratique d’identification des dangers et des problèmes d’exploitabilité, adoptée par de nombreuses industries « à risques », en particulier, l’industrie

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＱＷ

SE 4 030 –1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＰ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

pétrolière caractérisée par des dangers similaires à ceux de l’industrie chimique ou pétrochimique, mais aussi dans des industries où les dangers sont d’une autre nature, comme ceux rencontrés dans le nucléaire, l’alimentaire et les transports. La méthode HAZOP est abordée en trois parties : – ce premier article [SE 4 030] est consacré aux définitions, objectifs et domaines d’application ; – le deuxième, [SE 4 031] en présente le principe ; – le troisième, [SE 4 032] est consacré à la mise en œuvre et à l’illustration de cette méthode. Les références bibliographiques sont regroupées dans la fiche documentaire [Doc. SE 4 033].

• L’analyse des déviations fait l’objet d’un enregistrement sous forme de tableaux des déviations, base indispensable pour la mise en place ultérieure des actions recommandées par le groupe de travail.

1. Présentation La gestion des risques est une exigence incontournable dans nos sociétés industrielles modernes pour lesquelles l’accident majeur est devenu inacceptable. En entreprise, l’importanc e de la sécurité n’est plus à démontrer. Le moyen le mieux adapté pour maîtriser les risques d’accident est la sûreté de fonctionnement (SdF), laquelle est un ensemble de méthodes et de concepts ([1] [2]).

■ Dans le cas de risques majeurs, la réglementation des sites

industriels classés SEVESO impose une évaluation du risque. La méthode HAZOP conventionnelle, telle que décrite plus haut, comporte alors une estimation a priori de la probabilité d’apparition des déviations et de la gravité de leurs conséquences. On obtient une estimation semi-quantitative du risque, se poursuivant par une évaluation permettant de définir l’acceptabilité ou non du risque. On qualifie alors la méthode HAZOP de « probabiliste » par rapport à l’approche originelle qualifiée de « déterministe ».

La méthode H A Z O P(Haz ard and operability studies) s’inscrit dans la SdF en proposant une démarche d’amélioration de la sécurité et des procédés d’un système (installation industrielle en projet ou existante). Elle est traduite en français dans la norme CEI 61882 (voir [Doc. SE 4 033]).

La méthode HAZOP est aujourd’hui, parmi la soixantaine de méthodes d’analyses de risques existantes, l’une des plus pratiquées dans le monde.

C’est un examen structuré, en profondeur, rigoureux, systématique, participatif, de type inductif, d’identification des dangers et des dysfonctionnements d’un système, mais qui ne propose pas de solution. Pour ce faire, le système « siège du danger » est modélisé et analysé pour définir comment son fonctionnement peut conduire à des dérives par rapport à l’intention de son concepteur.

Les autres méthodes, parmi les plus utilisées, sont : – l’A nalyse préliminaire de risques (APR) [3] ; – l’Analyse des modes de défaillance, de leurs effets (AMDE), et de leur criticité (AMDEC) [1] [4] ; – l’Arbres de défaillances (AdD) [1] [5] ; – la What-if.

■ La méthode est particulièrement adaptée aux systèmes complexes de type thermo-hydrauliques, rencontrés sur des sites industriels mettant en jeu des produits ou/et des procédés dangereux, et entraînant des conséquences immédiates graves pour le personnel, la population, les biens et l’environnement. Son domaine d’application comprend les procédés et les processus dans des secteurs aussi divers que la chimie, la pétrochimie (son application originelle), le pétrole, l’hydraulique, le nucléaire, l’industrie alimentaire et les transports.

Certaines de ces méthodes peuvent être complémentaires (l’APR se situe avant l’HAZOP), ou en concurrence entre elles. Un choix des méthodes s’impose donc avant de lancer une étude HAZOP.

2. Définition, objectifs et domaines d’application

■ Sa mise en œuvre nécessite la constitution d’un groupe de tra-

vail rassemblant autour d’un animateur, garant de la méthode, une équipe pluridisciplinaire ayant une connaissance approfondie de l’installation décrite sur des plans détaillés. La méthode consiste à décomposer le système considéré en sous-ensembles, appelés « nœuds », puis à l’aide de mots–clés, ou mots guides, spécifiques à la méthode, faire varier les paramètres du système par rapport à ses points de consignes, appelées « intentions du procédé ».

2.1 Définition et objectifs ■ Définition La société Chemetics International Ltd., dans son guide à l’introduction de la méthode HAZOP [10] retient la définition suivante.

• On obtient ainsi une déviation dont l’équipe examinera les causes possibles et en déduira leurs conséquences potentielles pour l’ensemble du système, d’où l’emploi fréquent d’« analyse des déviations » pour caractériser la méthode HAZOP.

Méthode HAZOP : « ...application d’un examen critJ ue formel et systématique aux intentions du procédé et de l’ingénierie d’une installation neuve ou existante afin d’évaluer le potentiel de danger lié à la mauvaise utilisation, ou au mauvais fonctionnement, d’éléments d’équipement et leurs effets sur l’installation dans son ensemble... ».

L’équipe se concentre alors sur les déviations conduisant à des risques potentiels pour la sécurité des personnes, des biens et de l’environnement. Elle examine et définit ensuite les actions recommandées pour éliminer, en priorité, la cause et/ou éliminer ou atténuer les conséquences.

SE 4 030 – 2


ＱＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＰ ________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

■ Objectifs

■ Dommage

L’objectif de la méthode HAZOP est, à l’origine, d’identifier les dysfonctionnements de nature technique et opératoire dont l’enchaînement peut conduire à des événements non souhaités. Il s’agit donc de déterminer, pour chaque sous-ensemble ou élément d’un système bien défini, les conséquences d’un fonctionnement hors du domaine d’utilisation pour lequel ce système a été conçu.

Le guide ISO/CEI 51 (voir [Doc. SE 4 033]) définit les notions de dommage et de danger : – dommage : blessure physique ou atteinte à la santé des personnes, aux biens ou à l’environnement ; – la notion de danger a fait l’objet d’une définition plus spécifique, dans la Directive SEVESO II concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses présentes dans les Installations classées pour la protection de l’environnement (ICPE) : danger : « ...propriété intrinsèque d’une substance dangereuse ou d’une situation physue, de pouvoir provoquer des dommages pour la santé humaine et/ou l’environnement... ».

• La norme CEI 6 1882 (voir [Doc. SE 4 033]) définit les objectifs de la méthode HAZOP originelle, à savoir : – « ...identification des dangers potentiels dans le système. Le danger peut se limiter à la proximité immédiate du système ou étendre ses effets bien au-delà, comme dans le cas des dangers environnementaux... » ; – « ...identification des problèmes potentiels d’exploitabilité posés par le système et, en particulier, l’identification des causes, des perturbations du fonctionnement et des déviations dans la production susceptibles d’entraîner la fabrication de produits non conformes... ».

Exemples : une falaise (situation physique), un fl_on de lessive de soude (substance dangereuse car corrosive) sont des dangers pour l’homme (élément vulnérable) car ils peuvent provoquer des dommages (blessure en cas de chute depuis le bord de la falaise, brûlure grave dans le cas d’un contact du corps avec la lessive de soude).

• Avec l’apparition de la Directive SEVESO II et des nouvelles exigences du ministère de l’Écologie et du développement durable (MEDD) en matière de prévention des risques industriels, la méthode HAZOP originelle s’avère insuffisante pour l’analyse des risques majeurs. Il faut lui adjoindre une phase d’évaluation du risque. C’est ainsi que, de purement qualitative, la méthode HAZOP devient semi-quantitative, contribuant ainsi à améliorer la connaissance du risque et, de ce fait, la sécurité des installations.

Sont rattachées à la notion de « danger » les caractéristiques suivantes : – les propriétés inhérentes à une substance ou une préparation : inflammabilité, toxicité... ; – l’énergie disponible dans le système : pneumatique, potentielle...

• Les raisons qui vont conduire à engager une étude HAZOP sur une installation industrielle peuvent répondre à de multiples objectifs qui sont en fait des exigences : – satisfaire aux exigences de la politique « Hygiène-sécuritéenvironnement » (HSE) de l’entreprise propriétaire de l’installation ; – satisfaire aux exigences de l’Administration, représentée, en particulier, par les Directions régionales de l’Industrie, de la recherche et de l’environnement (DRIRE) : assurer la conformité avec la réglementation des Installations classées pour la protection de l’environnement (ICPE), les codes du travail et de l’environnement, la Directive SEVESO ; – établir les plans d’urgence : Plan d’opération interne (POI) pour les installations industrielles, Plan d’urgence interne (PUI) pour les installations nucléaires, tous deux établis sous la responsabilité de l’exploitant, et le Plan particulier d’intervention (PPI) et le Plan de prévention des risques technologiques (PPRT) établis sous l’autorité du Préfet ; – renforcer la confiance des parties prenantes (stakeholders ) : populations, personnels, dirigeants, actionnaires, clients ; – satisfaire aux exigences des assureurs qui vont devoir couvrir financièrement le risque résiduel.

On pourra résumer la notion de danger en indiquant qu’il est une caractéristique d’un système, d’une machine, d’un atelier, d’un procédé, d’une situation, ayant un certain potentiel à causer des atteintes aux personnes, aux biens, à l’environnement. Nous ajouterons qu’un danger est vérifiable et quantifiable. On observera que de nombreuses substances ou préparations non dangereuses peuvent le devenir lorsqu’elles se trouvent dans d’autres conditions. Exemple : l’eau à la c haleur ambiante ne constitue pas un danger alors que, portée dès 6 0oC, elle le dev ient. À cette notion de danger peuvent être associées les notions de : potentiel de danger, phénomène dangereux, et situation de danger.

■ Potentiel de danger La définition du potentiel de danger retenue par le MEDD est : « ...système (naturel ou créé par l’homme) ou disposition adoptée et comportant un (ou plusieurs) danger(s) ». Dans le domaine des risques technologiques, un « potentiel de danger » correspond à un ensemble technique nécessaire au fonctionnement du processus envisagé. Il est aussi appelé source de danger ou élément porteur de danger ou élément dangereux... ».

2.2 Notions de base

Exemple : un flacon contenant de la lessive de soude (système) constitue un potentiel de danger lié à la corrosivité de la substance pour le corps humain.

2.2.1 Définition du danger et de ses corollaires ■ Danger Il existe plusieurs définitions de la notion de danger (hazard). La plus récente émane du MEDD qui a publié, en octobre 2005, un « Glossaire technique des risques technologiques » [11] avec les termes suivants : – danger : « propriété intrinsèque à une substance (élément ou composé chimique), à un système technique (mise sous pression d’un gaz), à une disposition (élévation d’une charge...), à un organisme (microbes), etc., de nature à entraîner un dommage sur un « élément vulnérable » ; – élément vulnérable : personne, bien et environnement. Un élément vulnérable est aussi appelé « cible ».

■ Phénomène dangereux La définition du phénomène dangereux retenue par le MEDD est : « ...libération d’énergie ou de substance produisant des effets au sens de l’arrêté du 29 septembre 2005 susceptible d’infliger un dommage à des cibles vivantes ou matérielles sans préjuger l’existence de ces dernières... ».

■ Situation de danger La définition d’une situation retenue par l’INERIS est : « ...situation, si elle n’est pas maîtrisée, peut conduire à l’exposition de cibles à un ou plusieurs phénomènes dangereux... ».


ＱＹ

SE 4 030 – 3

ＲＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ

HAZOP : une méthode d’analyse des risques Principe par

Michel ROYER Ingénieur chimiste SE 4 031 - 2 — 2 — 2

1. 1.1 1.2

Analyse du système ................................................................................. Objectifs de l’analyse................................................................................... Définition du système ..................................................................................

2. 2.1 2.2 2.3

Paramètres et mots-clés......................................................................... Paramètres.................................................................................................... Mots-clés ou mots guides ........................................................................... Déviations .....................................................................................................

— — — —

3 3 3 3

3. 3.1 3.2 3.3 3.4

É tude des déviations ............................................................................... Logigramme de l’étude ............................................................................... Causes des déviations ................................................................................. Conséquences des déviations..................................................................... Exemples de déviations, causes et conséquences....................................

— — — — —

5 5 5 7 7

4. 4.1 4.2 4.3 4.4

Estimation et évaluation du risque ..................................................... Probabilité d’occurrence.............................................................................. Gravité des conséquences .......................................................................... Niveaux de risque ........................................................................................ Évaluation du risque ....................................................................................

— — — — —

8 8 10 13 16

5. 5.1 5.2

Détection et barrières de sécurité....................................................... Détection ....................................................................................................... Barrières de sécurité ....................................................................................

— — —

16 16 16


Doc. SE 4 033

a méthode HAZOP (Hazard and operability studies) consiste à décomposer un système donné en sous-ensembles appelés « nœuds » puis, à l’aide de mots-clés ou mots guides spécifiques (voir [SE 4 030]) et à faire varier les paramètres du système étudié par rapport à ses points de consignes appelés « intentions du procédé ». Les déviations ainsi obtenues sont examinées par une équipe pluridisciplinaire dédiée (voir [SE 4 032]) afin d’en déduire leurs conséquences potentielles pour l’ensemble du système et de déterminer celles conduisant à des risques potentiels pour la sécurité des personnes, des biens et de l’environnement. Le groupe de travail examine et définit ensuite les actions recommandées pour éliminer en priorité la cause ou atténuer, voire éliminer les conséquences. L’analyse des déviations fait l’objet d’un enregistrement sous forme de tableaux, base indispensable pour la mise en place ultérieure des actions recommandées par le groupe de travail. Dans cet article, nous aborderons donc l’analyse du système, la détermination des paramètres, le choix des mots- clés et l’étude des déviations. Après avoir présenté la méthode HAZOP et ses domaines d’application dans l’article [SE 4 030], le principe en est donc ici donné avec les différents points à prendre en compte. Par la suite dans [SE 4 032], nous verrons comment cette méthode peut être appliquée. Les références bibliographiques ici citées sont consultables dans la fiche documentaire [Doc. SE 4 033].

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ

L


ＲＱ

SE 4 031 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

La modélisation la mieux adaptée pour l’analyse de risque par la méthode HAZOP est le schéma détaillé de circulation des produits tels que présents dans l’installation considérée, d’où l’emploi fréquent « d’analyse sécurité sur schémas ». Ce type de schéma dit « PID », très répandu dans l’industrie chimique et pétrochimique, comprend une représentation graphique de l’ensemble des appareils et équipements, des tuyauteries les reliant entre eux (flux procédés, mais aussi utilités), ainsi que la totalité de l’instrumentation. Le PID est, par définition, plus complet que le schéma dit « PFD » qui se limite à la représentation des flux procédés et à l’instrumentation de base.

1. Analyse du système 1.1 Objectifs de l’analyse L’analyse du système a pour objectif le maintien de ses performances dans le temps, dans les conditions de sa conception et au moindre coût. Pour cela, il convient, comme pour toute étude de SdF, de procéder à une modélisation du comportement fonctionnel et dysfonctionnel du système, puis à évaluer ses performances.

La modélisation d’une installation industrielle peut requérir plusieurs dizaines de PID. À partir d’un PID, il convient alors de le fractionner en « nœuds » dont on donnera la définition suivante pour une installation : sous ensemble ou élément spécifique réalisant une fonction dans le procédé.

La sécurité des processus industriels dépend de l’interaction, du contrôle et de la maîtrise permanente de trois variables essentielles : le produit, le procédé et le facteur humain.

1.2 Définition du système

Exemple : un équipement (réacteur, réservoir ou pompe) avec ses connexions (tuyauteries) et son instrumentation réalise une fonction (réaction, stockage ou transfert).

1.2.1 Notion de système La notion de système fait l’objet de la définition suivante [1] : « ...ensemble de matériels, de logiciels, d’hommes, organisé pour assurer des fonctions données dans des conditions données... ».

Le tableau 1 présente une liste de seize équipements issus du projet européen ARAMIS [18] qui peuvent constituer autant de nœuds.

Le système est constitué de l’ensemble du processus industriel, de l’acheminement des produits à leur transformation, en passant par les conditions de stockage.

Dans un nœud, le comportement fonctionnel du procédé doit être clairement défini, ce que la méthode HAZOP qualifie d’« intention » du procédé et qui peut se définir simplement ainsi : « ...description de la façon dont le procédé doit se comporter dans le nœud... ».

Exemples : un site ou une installation (le plus souvent de type industriel), un équipement, sont parmi les systèmes le plus souvent considérés pour les études HAZOP.

La norme ISO/CEI 61882 (voir [Doc. SE 4 033]) retient une définition plus précise en se référant au concepteur de l’installation : « ...façon dont les éléments et les caractéristues doivent se comporter pour être conformes aux désirs du concepteur ou à une plage spécifiée... ».

1.2.2 Périmètre du système La première des actions à engager dans une étude HAZOP est de fixer le périmètre du système à étudier. Les enjeux et les moyens humains à mettre en œuvre sont différents selon que l’on s’adresse à un site, une installation, ou un équipement.

Tableau 1 – C lasses d’équipements selon le projet européen ARAMIS (d’après [18])

1.2.3 Modélisation du système

Classes « nœuds »

La deuxième action consiste à modéliser le système. Une installation industrielle peut être modélisée comme un ensemble composé essentiellement de matériels (M1, M2...) et d’opérateurs (O1, O2...) en interaction entre eux et avec l’environnement comme le présente la figure 1 [8].

EQ1

On entend par matériels et opérateurs les éléments suivants : – matériels : bâtiments, stockages, machines, appareils, équipements ; – opérateurs : tous les acteurs de l’installation, de la direction aux exécutants.

Figure 1 – Exemple de modélisation d’une installation industrielle

SE 4 031 – 2

É quipements Silo de stockage de solides

EQ2

Stockage de solides en petits emballages

EQ3

Stockage de fluides en petits emballages

EQ4

Réservoir sous pression

EQ5

Réservoir de liquide stocké à une pression supérieure à la pression de saturation par inertage

EQ6

Réservoir atmosphérique

EQ7

Réservoir cryogénique

EQ8

Équipement de transport sous pression

EQ9

Équipement de transport atmosphérique

EQ10

Tuyauterie

EQ11

Réservoir intermédiaire intégré dans un procédé

EQ12

Équipement impliquant des réactions chimiques

EQ13

Équipement dédié aux séparations physiques et chimiques des substances

EQ14

Équipement de production et de fourniture d’énergie

EQ15

Équipement pour emballage

EQ16

Autres équipements


ＲＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ _________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

Depuis, se sont ajoutés quatre mots-clés relatifs aux notions de temps et de séquence : – plus tôt que (earlier than) ; – plus tard que (later than) ; – avant (before) ; – après (later).

La norme entend par caractéristique « une propriété quantitative ou qualitative d’un élément ». L’intention concerne aussi bien le design (équipement) que la conduite (exploitation) de l’installation. L’intention du procédé peut être une grandeur physique (T, P, débit), ou une activité (phases de chargement d’un réactif, distillation d’un produit).

Soit un total aujourd’hui de onze mots-clés. La recherche d’autres mots-clés est ouverte à l’imagination.

Le premier cas concerne plus particulièrement les procédés continus en fonctionnement normal où les paramètres sont fixés par le procédé et le second cas les procédés discontinus ou semi-continus où les paramètres varient avec le temps et la séquence. On intégrera dans ce dernier cas l’étude des phases transitoires de démarrages et d’arrêts rencontrées dans les procédés continus.

2.3 Déviations 2.3.1 Définition La combinaison de mots-clés et de paramètres va constituer une dérive, ou déviation, de ce paramètre : MOT-CLÉ + PARAMÈTRE = DÉVIATION

2. Paramètres et mots-clés

La définition retenue pour la méthode HAZOP est : « ...écart par rapport aux intentions du design et de la conduite des opérations... » [10].

2.1 Paramètres La méthode HAZOP fait appel à des paramètres spécifiques qui s’expriment par de simples mots (noms ou verbes) caractéristiques de l’intention de la conception et que l’on peut définir ainsi : randeur physiquement mesurable, action ou opération à «g réaliser ». Le tableau 2 regroupe des listes de paramètres parmi les plus fréquemment employés dans l’industrie des procédés.

Exemple : le paramètre grandeur physique « température » appliqué au mot-clé « plus de » conduit à la déviation « plus de température », sous-entendu par rapport à l’intention du procédé, déviation qui s’exprimera plus clairement par « température haute ». De la même façon, le paramètre opératoire « agitation » appliqué au mot-clé « pas de » conduit à la déviation « pas d’agitation ».

On observera que l’homme est partie prenante dans les opérations et les actions à réaliser. On conçoit donc aisément que son rôle dans la sécurité des installations soit déterminant.

On notera que l’état de référence du paramètre soumis à déviation dépend notamment de l’état du système considéré : fonctionnement normal ou transitoire (démarrage, arrêt).

2.2 Mots-clés ou mots guides

2.3.2 Domaines d’application

Parallèlement, la méthode introduit un nombre limité (sept à l’origine) de mots-clés appelés aussi « mots guides » et définis originellement ainsi [10] :

Les déviations peuvent s’appliquer aux procédés continus (tableau 3), discontinus et semi-continus (tableau 4) et aux procédés en développement (tableau 5). Ces tableaux, issus respectivement des références [10] et [19], reprennent les mots-clés adaptés, leur signification, ainsi que des exemples de déviations.

« ...simple mot ou courte phrase qualifiant l’intention en vue de guider et de stimuler le processus créatif et ainsi de permettre la découverte de déviations... ».

Toutes les combinaisons paramètres/mots-clés ne conduisent pas nécessairement à des déviations pertinentes.

Liste des sept mots-clés (keywords) : – non ou pas de (no ou not) ; – plus de (more) ; – moins de (less) ; – en plus de (as w ell as) ; – en partie (part of) ; – autre que (other than) ; – inverse (reverse).

Exemple : le paramètre « température » appliqué au mot-clé « Pas de » conduit à la déviation « Pas de température », non pertinente hormis si l’on considère le zéro absolu ! Le tableau 6 montre plus généralement les déviations pertinentes notées X issues des onze mots-clés et de douze paramètres (six grandeurs physiques, trois opérations et trois actions à réaliser).

Tableau 2 – Exemples de paramètres de la méthode HAZOP Grandeurs physiques mesurables

Opérations à réaliser

Actions à réaliser

Fonctions-situations

Température

pH

Chargement

Contrôle

Démarrer

Protection

Pression

Intensité

Dilution

Séparation

Échantillonner

Fuite

Niveau

Vitesse

Chauffage

Refroidissement

Arrêter

Défaut d’utilités

Débit

Fréquence

Agitation

Transfert

Isoler

Gel

Concentration

Quantité

Mélange

Maintenance

Purger

Séisme

Contamination

Temps

Réaction

Corrosion

Fermer

Malveillance


ＲＳ

SE 4 031 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

Tableau 3 – Liste de mots-clés applicables aux procédés continus Types de déviations Négative

Mots-clés (K eywords)

Substitution

Exemples de déviations

Pas de, Non, Plus du tout (No, Not, None)

Aucune partie de l’intention n’est remplie, mais il ne se passe rien.

Pas de flux matière (débit nul), réacteur vide (niveau liquide nul).

Plus de (More than)

Dépassement, ou augmentation, quantitatif. Se réfère aux quantités et aux propriétés (T, P), mais aussi aux activités (chauffage, réaction).

Température de réaction supérieure à la valeur prévue, temps de séjour plus long que prévu, niveau liquide trop élevé, augmentation du chauffage.

Moins de (Less than)

Insuffisance ou diminution quantitative. Se réfère aux quantités et aux propriétés (T, P), mais aussi aux activités (chauffage, réaction).

Flux matière inférieur à la valeur prévue, niveau trop bas dans un réacteur, composition plus faible qu’attendue, diminution du chauffage.

Aussi, Ailleurs, En plus de (Also, As well as)

Accroissement qualitatif. L’intention (design et opératoire) est réalisée avec une activité additionnelle. Effet concomitant indésirable.

Présence d’une impureté dans une matière première ou dans un produit de réaction, orientation d’un produit vers un autre bac de stockage que le sien (contamination).

En partie, en moins (Part of)

Diminution qualitative. Une partie seulement de l’intention est réalisée.

Présence d’une phase aqueuse au stockage d’un des réactifs, entraînée en réaction.

Autre que (Other than)

Substitution complète. Résultat obtenu différent de celui de l’intention.

Fuite de produit par corrosion de canalisation.

Inverse, au contraire (Reverse)

Résultat logiquement opposé à celui de l’intention. Se réfère principalement aux activités, mais aussi aux substances.

Inversion de l’écoulement dans les canalisations, inversion des réactions chimiques, antidote au lieu de poison.

Modification quantitative

Modification qualitative

Signification des mots-clés et commentaires

Tableau 4 – Liste de mots-clés spécifiques aux procédés discontinus et semi-continus Types de déviations

Temps

Ordre

Séquence

Mots-clés, (K eywords)

Signification des mots-clés


Plus tôt que (Earlier than)

Événement se produisant avant l’heure (ou le moment) prévu par l’intention

Introduction des réactifs A et B réalisée plus tôt que la mise en chauffe du réacteur

Plus tard que (Later than)

Événement se produisant après l’heure (ou le moment) prévu par l’intention

Introduction du catalyseur C dans le réacteur après l’addition du solvant S

Avant (Before)

Événement se produisant plus tôt que prévu dans une séquence

Introduction du catalyseur C dans le réacteur avant le démarrage de l’agitation

Après (After)

Événement qui se produit plus tard que prévu dans une séquence

Introduction du réactif B avant le réactif A

Plus vite (Faster)

Séquence plus rapide que l’intention

Durée d’introduction d’un des réactifs deux fois plus rapide que prévue

Plus lente (Slower)

Séquence plus lente que l’intention

Allongement de la durée de la vidange du réacteur en fin d’opération

Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement Types de déviation

Mots-clés (K eywords)


Négative

Pas de, Non, Plus du tout (No, Not)

Aucune partie de l’intention n’est remplie

Élimination d’un solvant ou d’un catalyseur

Plus de (More)

Augmentation quantitative

Augmentation de la température de réaction ou de la quantité d’un solvant

Moins de (Less)

Réduction quantitative

Réduction de la température ou de la quantité de solvant

Modification quantitative

SE 4 031 – 4



ＲＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ _________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement (suite) Types de déviation

Mots-clés (Keywords)

Modification qualitative

Autant que, Aussi, En même temps (As well as)

Activité concomitante à celle de l’intention

Présence d’une impureté contenue dans une matière première, exécution d’une autre opération ou étape

Autre que (Other than)

Activité substituée à celle de l’intention

Substitution d’une matière première ou d’un solvant par une autre matière première ou un autre solvant

Inverse (Reverse)

Activité opposée à celle de l’intention

Flux inverse de matière ou inversion de réaction chimique

Plus tôt que, Plus tard que (Earlier than, Later than)

Activité se produisant au mauvais moment (avant ou après d’autres activités)

Changement des enchaînements ou des séquences


Substitution

Temps


Tableau 6 – Exemple de matrice mots-clés/paramètres HAZOP Mots-clés Paramètres HAZOP

Pas de

Plus de

Moins de

Température

Grandeurs physiques

Opérations

Actions

En partie

Aussi

X

X

Pression

X

X

X

Niveau

X

X

X

Débit

X

X

X

X

Concentration

X

X

X

X

Contamination

X

X

X

X

Chargement

X

X

X

Inverse

Autre que

Plus tôt

Plus tard

Avant

Après

X

X

X

X

X

X

X

X

X X X

X

X X X

X

X

X

Agitation

X

X

X

X

X

X

X

X

X

X

Chauffage

X

X

X

X

X

X

X

X

X

X

Démarrer

X

X

X

X

X

X

X

Mesurer

X

X

X

X

X

X

X

Arrêter

X

X

X

X

X

X

X

3. Étude des déviations

environnement. Cette approche est commune à de nombreuses méthodes comme le montre le tableau 7.

3.1 Logigramme de l’étude

Les causes des déviations sont les raisons ou problèmes pour lesquels ces déviations ont lieu.

Cette phase de l’étude constitue le cœur de la méthode HAZOP. Par un mécanisme itératif sur chacun des nœuds, l’association systématique paramètres/mots-clés doit permettre de couvrir de façon exhaustive toutes les dérives potentielles ou problèmes imaginables dans l’installation étudiée. Le logigramme de l’étude des déviations HAZOP est présenté à la figure 2.

Le tableau 8 présente divers types de causes possibles de déviations, leur origine et des exemples. On notera que les défaillances opérateur peuvent recouvrir de nombreux aspects correspondant aux erreurs humaines. L’homme intervient comme événement initiateur d’accident, d’autant plus qu’il est aussi responsable des défaillances de matériel.

Remarque. Il est possible de conduire l’analyse des déviations en appliquant, à l’inverse, un mot-clé à chacun des paramètres.

La cause fondamentale de ces défaillances humaines est liée à une mauvaise gestion de la sécurité.

3.2 Causes des déviations

3.2.2 Recherche des causes de déviations

3.2.1 Définitions et origine

La recherche des causes de déviations de chaque paramètre nécessite de se poser systématiquement la question suivante : que faut-il faire pour que le paramètre étudié soit différent de celui de l’intention ?

La méthode HAZOP d’analyse de risques procède selon une démarche dite « inductive », partant de la cause de la déviation d’un paramètre afin d’identifier ses effets sur le système et son


ＲＵ

SE 4 031 – 5

ＲＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＲ

HAZOP : une méthode d’analyse des risques

par

Michel ROYER Ingénieur chimiste

1 . 1.1

1.2

1.3

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ

1.4

Mise en œuvre de la méthode............................................................... Documentation ............................................................................................. 1.1.1 Documents relatifs aux produits........................................................ 1.1.2 Documents relatifs au procédé .......................................................... 1.1.3 Documents relatifs aux opérations.................................................... Acteurs .......................................................................................................... 1.2.1 Mise en place du groupe de travail ................................................... 1.2.2 Le chef de projet.................................................................................. 1.2.3 L’animateur HAZOP ............................................................................ 1.2.4 Les spécialistes techniques ................................................................ 1.2.5 Autres fonctions .................................................................................. 1.2.6 Règles de conduite de l’équipe .......................................................... Déroulement ................................................................................................. 1.3.1 Préparation des sessions.................................................................... 1.3.2 Sessions HAZOP ................................................................................. Délivrables .................................................................................................... 1.4.1 Recommandations d’actions.............................................................. 1.4.2 Documents de fin de session ............................................................. 1.4.3 Document de fin d’études ..................................................................

SE 4 032 - 2 — 2 — 2 — 2 — 2 — 2 — 2 — 3 — 3 — 4 — 4 — 4 — 4 — 4 — 5 — 7 — 7 — 8 — 8

2 .

Illustration de la méthode......................................................................

—

8

3 .

C ..................................................................................................

—

10


Doc. SE 4 033

omme nous l’indiquions dans le dossier [SE 4 030], la mise en œuvre de la méthode HAZOP (Hazard and operability studies) nécessite la constitution d'un groupe de travail rassemblant autour d'un animateur, garant de la méthode, une équipe pluridisciplinaire ayant une connaissance approfondie de l’installation décrite sur des plans détaillés. Elle demande donc la mobilisation d’une équipe pluridisciplinaire pendant de longues périodes, et la collecte de nombreux documents pour modéliser l’installation [SE 4 031]. Dans ce troisième volet consacré à la mise en œuvre de la méthode HAZOP, une présentation des différentes composantes de l’équipe de travail est faite après avoir établi la liste des différents documents à réunir. Sont ensuite abordés le déroulement des différentes réunions de travail et les documents finaux à produire. Enfin, une courte illustration d’application est donnée. Les références bibliographiques sont regroupées dans la fiche documentaire [Doc. SE 4 033].

C


ＲＷ

S E 4 0 3 2 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＲ

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

1. Mise en œuvre de la méthode

1.2 Acteurs 1.2.1 Mise en place du groupe de travail Exemple : cas d’un projet d’industrialisation Pour un projet rendu au stade avancé correspondant aux phases d’ingénierie de détail et de construction, l’entreprise (maître d’ouvrage) doit mettre en place une organisation appropriée, du type de celle présentée par la figure 1 [9].

1.1 Documentation 1.1.1 Documents relatifs aux produits Le tableau 1 détaille les cinq thèmes majeurs à documenter, ainsi que la nature des documents à collecter. Nombre de documents doivent être déjà disponibles si l’on a procédé préalablement à une APR (Analyse préliminaire de risques).

Comité de pilotage

Maître d'ouvrage (entreprise)

Environnement socio économique

Directeur de projet Représentant du Maître d'ouvrage

1.1.2 Documents relatifs au procédé Le tableau 2 détaille les thèmes à documenter, ainsi que la nature des documents à collecter.

Chef de projet (maître d'oeuvre)

1.1.3 Documents relatifs aux opérations

- société d'ingénierie - entrepreneurs - spécialistes

Le tableau 3 détaille les thèmes à documenter, ainsi que la nature des documents à collecter.

Exploitant Site d'accueil Opérateurs

Figure 1 – Schéma de l’organisation à mettre en place pour mener un projet d’industrialisation

Tableau 1 – Liste des documents à collecter relatifs aux produits pour une étude HAZOP Thèmes à documenter

Documents à collecter

Caractéristiques des produits et utilités

Matières premières, intermédiaires, produits finis, sous-produits, impuretés, auxiliaires (solvants, catalyseurs), utilités, déchets, rejets liquides et gazeux

Fiches produits* : propriétés physiques, chimiques thermodynamiques, inflammabilité, réactivité, instabilité, toxicité, écotoxicité, modes de stockage, indices Dow et CHETAH, PEM, critères NFPA, traitement et destruction des produits, réglementation (ICPE, transport.). Document unique

Caractéristiques des déchets

Rejets, déchets chroniques et accidentels

Études déchets

Réactions principales, secondaires, parasites

Fiches réactions : équations chimiques, chaleurs de réaction (exo ou endo-thermie), opérations (continues, discontinues, semi-continues...), modes opératoires (état physique, quantités, flux, T, P, compositions...), cinétique, risques associés (explosion thermique, rejet de produit toxique...), dispositifs de maîtrise des réactions, mesures de prévention des pannes et fausses manœuvres, moyens de collecte, traitement et destruction des rejets potentiels de produits dans l’environnement

Caractéristiques des séparations physiques

Opérations de génie chimique

Fiches opérations : nature (distillation, filtration...), conditions opératoires (état physique, quantités, flux, T, P, compositions, phases...), risques associés (explosion physique, rejet de produit toxique...), mesures de prévention des pannes et des fausses manœuvres, moyens de collecte, traitement et destruction des rejets potentiels de produits dans l’environnement

Incompatibilités des produits, utilités et matériaux

Produit-produit, produit-matériau, produit-utilité, produit-auxiliaire

Matrice d’incompatibilité : risques associés à réaction, explosion, incendie, polymérisation, corrosion, échauffement, décomposition, précipitation...

Flux matières et flux thermiques

Bilan matières Rejets dans l’environnement

Bilan matières : flux par flux, prévisionnel et cohérent (par analyse de chacun des flux), bilan thermique par nœud ou opération

Caractéristiques des réactions

* On se procurera auprès des fournisseurs (fabricants, importateurs ou vendeurs) les fiches de données de sécurité (ou FDS (MSDS)) à jour et, auprès de l’INRS, les fiches toxicologiques des produits (quand elles existent).

SE 4 032 – 2


ＲＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＴＰ

AMDE (C) par

Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert en sûreté de fonctionnement à la Direction déléguée Système d’exploitation et sécurité à la SNCF Vice-président de l’Institut de sûreté de fonctionnement

1.

Introduction...............................................................................................

2. 2.1 2.2 2.3 2.4

Sens et pertinence de l’AMDE(C)......................................................... Principe de l’AMDE(C) ................................................................................. Utilité de l’AMDE(C) ..................................................................................... Conditions de réussite de l’AMDE(C) ......................................................... Place de l’AMDE(C) dans une démarche de maîtrise des risques ...........

— — — — —

2 2 2 3 3

3. 3.1 3.2

Réalisation d’une AMDE(C) ................................................................... Préparation à l’AMDE(C).............................................................................. Conduite de la méthode.............................................................................. 3.2.1 Première étape : décomposition et modes de défaillance .............. 3.2.2 Deuxième étape : effets et criticité .................................................... 3.2.3 Le tableau AMDE(C) ........................................................................... 3.2.4 Troisième étape : synthèse ................................................................

— — — — — — —

4 4 5 5 6 6 7

4. 4.1

— — — — —

7 7 7 7 8

4.2

Exploitations de l’AMDE(C) ................................................................... Produits directs d’une AMDE(C)................................................................. 4.1.1 Évaluation des défaillances................................................................ 4.1.2 Actions correctives ............................................................................. 4.1.3 Suivi des corrections .......................................................................... 4.1.4 Constitution d’un dossier. Documents complémentaires du tableau ................................................................................................. Impacts de l’AMDE(C).................................................................................. 4.2.1 Conséquences à tirer des résultats d’une AMDE(C) ........................ 4.2.2 Impacts sur la conception.................................................................. 4.2.3 Validation de la conception ............................................................... 4.2.4 Prescriptions d’exploitation ............................................................... 4.2.5 Organisation de la maintenance ....................................................... 4.2.6 Exploitation, maintenance et retour d’expérience........................... 4.2.7 Communication ..................................................................................

— — — — — — — — —

8 8 8 9 9 9 9 9 9

5. 5.1 5.2 5.3 5.4

Recommandations sur le processus ................................................... Échanges entre l’analyste, le commanditaire et les experts .................... L’animation du groupe de travail................................................................ Pousser les limites de la méthode ............................................................. Soigner la synthèse .....................................................................................

— — — — —

10 10 10 11 11

6. 6.1 6.2

Limites de l’AMDE(C) .............................................................................. Réputation d’exhaustivité de l’AMDE ........................................................ Domaines d’application ..............................................................................

— — —

11 11 11

7.

Conclusion .................................................................................................

—

12

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＵ

Pour en savoir plus...........................................................................................

SE 4 040 – 2

Doc. SE 4 040

e texte a pour ambition de présenter la démarche et les méthodes AMDE (analyse des modes de défaillance et de leurs effets)/AMDEC (analyse des modes de défaillance, de leurs effets et de leur criticité), non pour faire double

C

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur

ＲＹ

SE 4 040 − 1


AMDE (C) _____________________________________________________________________________________________________________________________

emploi avec les nombreux fascicules, articles, supports de formation ou chapitres d’ouvrages consacrés à la qualité ou la sûreté de fonctionnement qui décrivent l’AMDE(C). L’auteur a tenté de recueillir et de restituer la riche expérience de plusieurs spécialistes qui ont pratiqué ces méthodes dans des contextes divers. Aussi la valeur qu’il espère avoir ajoutée est-elle formée surtout de commentaires et de recommandations visant à aider à mieux comprendre et à mieux utiliser ces méthodes très largement répandues. Ce dossier commence par situer l’AMDE(C) dans son environnement, lui donner son sens. Ensuite, il aborde le déroulement de la démarche ; puis il illustre l’usage de ces méthodes avant de mettre en avant les principales recommandations et limites. Un exemple plus scolaire pour être bref rend concrète la démarche avant de conclure.

1. Introduction

2. Sens et pertinence de l’AMDE(C)

L’AMDE et l’AMDEC sont si connues et utilisées qu’elles sont pratiquement devenues le symbole de la sûreté de fonctionnement. L’AMDE (analyse des modes de défaillance et de leurs effets) étant incluse dans l’AMDEC (analyse des modes de défaillance, de leurs effets et de leur criticité), nous parlerons dans ce texte généralement d’AMDEC ou d’AMDE(C). Cette démarche est effectivement très utilisée et très utile dans toute approche des risques. Pourtant, il ne faudrait pas confondre « analyse des risques » et AMDE(C) ou croire que toute analyse de risque passe par une AMDE(C).

2.1 Principe de l’AMDE(C) Ne perdons jamais de vue le principe de l’AMDE. Principe de L’AMDE ● Point de départ : décomposition du système en composants. ● Étape 1 : recensement des modes de défaillance des composants. ● Étape 2 : effets et conséquences des modes de défaillance des composants. ● Sortie : risques découlant des défaillances des composants.

Notre but n’est pas de minimiser les apports de cette méthode à la sûreté de fonctionnement, bien au contraire, mais il faut néanmoins lui redonner sa vraie place. Si la plupart des méthodes méritent une certaine promotion tant elles peuvent apporter plus que l’usage qui en est fait habituellement, l’AMDE(C) bénéficie au contraire d’une réputation extraordinaire au point que certains dirigeants industriels voulant exprimer l’exigence d’une étude de risques avant mise en service d’un système complexe et innovant ont écrit qu’une AMDE(C) du système devait être réalisée.

L’AMDE est une méthode inductive qui part des défaillances élémentaires des composants pour en déduire ce qui en résulte et donc à quelles situations, dues à ces défaillances, il faut s’attendre. L’AMDEC ajoute une dimension d’évaluation de la gravité de ces situations.

Nous nous attacherons dans ce texte à expliquer de notre mieux le sens et la pertinence de l’AMDE(C), à décrire le processus de réalisation d’une AMDE(C) utile et à rappeler les recommandations les plus importantes issues de l’expérience pour réussir une AMDE(C) de façon qu’elle soit utile.

L’AMDE(C) consiste à identifier et évaluer l’impact des défaillances des éléments du système sur celui-ci, ses fonctions, son environnement.

Le contenu de ce dossier doit tout aux membres de feu l’Institut de Sûreté de Fonctionnement et aux membres de l’actuel Institut de Maîtrise des risques par la Sûreté de fonctionnement qui ont partagé leurs savoirs et leurs expériences dont l’auteur de ce dossier a largement bénéficié. Les membres du Groupe de Travail et de Réflexion « Méthodes, Outils Standards » ont particulièrement travaillé sur cette méthode AMDE(C) et sont auteurs d’un guide pédagogique qui lui est consacré et dont l’auteur de ce dossier s’inspire au même titre que de leurs expériences et conseils pour ce texte. Qu’ils en soient remerciés comme ils le méritent ici.

2.2 Utilité de l’AMDE(C) Comme avec toute méthode, on est beaucoup plus efficace quand on comprend le but de la démarche que quand on se contente d’appliquer les règles d’un manuel si bon soit-il. Aussi est-il plus profitable de conduire une AMDE(C) en fonction de l’usage qui va en être fait qu’en application d’une consigne ou d’une exigence contractuelle ou réglementaire du type « réaliser une AMDE(C) sur le système… conformément à la norme X ». Nous ne pourrons faire le tour de tous les usages possibles d’une AMDE(C), mais nous en évoquerons quelques-uns caractéristiques.

En anglais, la méthode est connue sous le sigle FMECA (Failure Modes Effects and Criticality Analysis) ou FMEA.

L’AMDE(C) identifie les problèmes auxquels exposent les défaillances internes du système étudié. En tenant compte des limites de la méthode auxquelles nous reviendrons plus tard, cela permet : — d’évaluer la gravité des situations auxquelles il faudra peutêtre faire face ;

On considère généralement que la méthode est apparue fin des années 1950, début des années 1960 dans l’industrie aéronautique militaire américaine.

SE 4 040 − 2


ＳＰ


____________________________________________________________________________________________________________________________

AMDE (C)

produit », « AMDEC processus » ou « AMDEC moyen » et bien d’autres encore. Il importe surtout de bien s’imprégner de l’esprit de la démarche qui est exactement le même.

— d’évaluer globalement les risques auxquels les défaillances des composants exposent ; — d’identifier et de hiérarchiser les faiblesses du système ; — de prévoir la maintenance corrective nécessaire ; — d’évaluer l’intérêt de modifications de la conception ou de maintenance préventive pour réduire ces risques ; — de prévoir des mesures d’exploitation adaptées aux situations à venir ; — de hiérarchiser l’importance des règles d’exploitation et de maintenance ; — d’intégrer dans une vision globale du système les compétences des diverses sciences et techniques sollicitées par le système en faisant dialoguer les spécialistes de celles-ci.

2.3 Conditions de réussite de l’AMDE(C) L’AMDE(C) a toute sa pertinence quand les conditions suivantes sont réunies : — il faut savoir décomposer l’ensemble du système étudié en composants d’un niveau de finesse tel que à chaque composant on sache associer tous les modes de défaillance qui peuvent l’affecter ; — il faut connaître les fonctionnements du système pour pouvoir décrire ce qui se passe quand apparaît un mode de défaillance d’un composant et suivre la chaîne de la cause vers les conséquences.

L’AMDE, appliquée à un produit destiné au grand public, incluant comme « composant » l’utilisateur et lui associant comme « modes de défaillance » les mauvais usages, erreurs ou manques de soin auxquels il peut raisonnablement soumettre son appareil, permet d’imaginer les risques (dysfonctionnements ou accidents) auxquels il s’expose du fait des défaillances, intrinsèques ou induites par son action, de l’appareil. Sur cette base, l’entreprise, qui commercialise le produit, peut ajouter une dimension criticité à ces événements (responsabilité du constructeur du fait du produit en cas d’accident, perte de clientèle, perte d’image, coût d’après-vente…) et évaluer l’intérêt de mesures de réduction de risque (avertissements sur la notice, indications sur le produit, ajout de protections ou de détrompeurs, modification de la conception ou de la fabrication, voire retrait du marché…).

Dans ces conditions, l’AMDE(C) va se dérouler au mieux et produire les résultats attendus ! Il faut combattre avec fermeté l’illusion assez répandue que, en présence d’un système mal connu ou qui nous apparaît comme une « boîte noire », une AMDE(C) serait bienvenue pour se couvrir. Une AMDE(C) sur un système dont on ne connaît pas les fonctionnements est un leurre. Si l’aura de la méthode donne de l’assurance dans de telles conditions, c’est de la tromperie. Comme toute méthode, l’AMDE(C) exploite de l’information, elle n’en crée pas à partir de rien.

L’AMDEC, appliquée à une chaîne de production, permet de hiérarchiser et de valoriser les conséquences des défaillances des pièces composant la chaîne et, en conséquence, d’évaluer l’intérêt :

2.4 Place de l’AMDE(C) dans une démarche de maîtrise des risques

— des stocks de pièces de rechange ; — de modifications de la chaîne pour réduire les temps de remplacement de certaines pièces ; — de renforcer ou d’alléger la maintenance préventive sur telle ou telle pièce ; — de choisir tels ou tels points de contrôle pour garantir la qualité du produit fini de façon optimale ; — de payer plus cher des pièces plus fiables ; — de doubler tout ou partie de la chaîne ; — de privilégier une série ou un fournisseur pour telle ou telle pièce…

Si on fait le bilan des expériences réussies ici et là, on trouvera l’AMDE(C) à pratiquement tous les stades du cycle de vie d’un système. Toutefois, on peut souligner le caractère à peu près incontournable de l’AMDE(C) à la fin de la conception, à la charnière avec la réalisation ou l’exploitation et la maintenance. En effet, quand le système est décrit de façon précise, les composants choisis, l’AMDE(C) s’applique à merveille pour compléter la connaissance des fonctionnements (fonctionnements souhaités décrits par la conception) avec les fonctionnements non souhaités, mais inévitables du fait qu’aucun composant n’est infaillible. Il faut bien prendre en compte ce qui peut résulter des défaillances des composants choisis. À ce stade, les spécialités diverses sollicitées par la conception ont dû réunir leurs apports et c’est une caractéristique intéressante de l’AMDE(C) de réunir et faire dialoguer les connaissances (modes de défaillance et comportements des divers éléments du système) de toutes les spécialités.

L’AMDE appliquée à l’alimentation électrique d’un important domaine, a permis d’identifier toutes les défaillances élémentaires susceptibles de provoquer des conséquences sensibles sur l’alimentation d’un établissement du domaine. On a alors pu reprendre chacune de ces défaillances pour s’assurer que des précautions étaient prises pour que une ou deux défaillances simultanées n’aient pas de conséquences dommageables. Le caractère systématique de l’AMDE a permis d’identifier quelques cas qui n’étaient pas bien couverts et de renforcer les précautions. Du seul point de vue d’un fabricant, l’AMDEC s’applique à plusieurs « systèmes ». Elle s’applique au produit de ce fabricant. Ses résultats vont alors permettre d’améliorer la conception de ce produit en vue de la meilleure satisfaction possible des exigences du client. Elle s’applique aussi au processus de fabrication du produit. Ses résultats permettent d’améliorer la conception du processus de fabrication pour mieux garantir la satisfaction du client (tenue des délais, conformité de la fabrication…) et maîtriser les risques de la production (rebuts, pertes de production…). Enfin à l’échelle inférieure, elle s’applique à chacun des moyens de production. Ses résultats vont influer sur les exigences à l’égard du moyen de production et sur la maintenance en vue de réduire les impacts négatifs des pannes du moyen sur la production. De telles AMDEC sont des études différentes, mais dont les enjeux et les résultats ne sont pas totalement indépendants. Aussi peut-il y avoir des allers et retours entre les équipes menant ces analyses. On emploie couramment des termes différents pour désigner ces analyses comme « AMDEC

Exemple : quelle défaillance peut affecter l’alimentation électrique qui produit quel effet sur le moteur de la pompe qui produit quoi pour le fluide qui se traduit comment sur la température qui a quel effet sur les circuits électroniques qui produit quel résultat sur le traitement des données, etc. À ce stade, l’AMDE(C) permet de s’assurer que les conséquences des défaillances internes au système sont compatibles avec les objectifs ou de reprendre la conception pour y remédier. Puis, elle permet de transmettre aux exploitants et mainteneurs (autorisons-nous ce néologisme pour désigner les équipes en charge de la maintenance !) une description réaliste du système tel que les concepteurs l’ont étudié. Non seulement ce qu’on en attend positivement (contenu dans les spécifications techniques de besoins) mais aussi ce qu’on a accepté de négatif décrit et évalué dans l’AMDE(C).


ＳＱ

SE 4 040 − 3


AMDE (C) _____________________________________________________________________________________________________________________________

Toutefois, on pratique aussi souvent l’AMDE(C) sur un système ancien ou acheté sur étagère pour anticiper les pannes et optimiser les réactions à ces pannes (maintenance mais pas seulement). On trouve aussi l’AMDE(C) comme un moyen dans une démarche d’APR (analyse préliminaire de risques), cf. [SE 4 010] Analyse préliminaire de risques. L’APR ayant globalement comme objectif d’identifier les risques nécessitant une démarche spécifique et de proposer une démarche de maintien de ces risques à un niveau acceptable, une AMDE(C) sur une partie du système est la démarche adéquate si les défaillances des composants du système sont susceptibles d’être à l’origine de risques importants. Ces deux exemples illustrent le fait qu’on peut trouver utilité à l’AMDE(C) aussi bien très en amont que très en aval d’un cycle de vie.

dépendent très lourdement des dysfonctionnements des moyens de production ; c’est pourquoi l’AMDE(C) est très utilisée avec grand bénéfice sur les moyens de production. Et pourquoi plusieurs AMDE(C) par phase par exemple En présence d’un système complexe qui passe par diverses phases ou diverses configurations… l’AMDE(C) unique qui couvre tous les cas devient pratiquement très difficile à réaliser, encore plus difficile à exploiter et le risque d’être gravement incomplète est très élevé : au moment de l’analyse, il est fort à craindre que les diverses configurations n’aient pas été réellement envisagées. Il est plus sage de réaliser plusieurs AMDE(C) par phase ou par configuration, quitte à s’interroger sur la nécessité de les étudier toutes par une AMDE(C).

Enfin, on doit même souligner l’intérêt de démarrer une AMDE(C) très tôt dans le développement d’un nouveau produit ou service : avant même de savoir précisément comment une fonction sera réalisée, donc avant de connaître vraiment les composants et leurs modes de défaillance, on peut émettre des hypothèses et imaginer les conséquences des défaillances envisagées. Cette démarche a très souvent permis d’améliorer considérablement la complétude des spécifications. En effet, s’il est naturel d’exprimer ce qu’on attend d’un nouveau système, il n’est ni naturel ni facile d’exprimer ce qu’on ne veut pas qu’il fasse. Une AMDE(C) fondée sur des hypothèses de conception et de défaillances est très efficace pour tendre à la complétude des spécifications.

Le critère de sagesse est d’éviter que, au moment de répondre à la question « quels sont les effets de tel mode de défaillance ? », la réponse pertinente commence par « ça dépend de… ».

3. Réalisation d’une AMDE(C) 3.1 Préparation à l’AMDE(C)

Ainsi, en présence d’un système complexe, l’AMDE(C) revient généralement plusieurs fois dans le cycle d’étude du système. Chaque projet doit déterminer les revues (articulations entre phases du projet) pour lesquelles une AMDE(C) sur telle ou telle partie du projet serait nécessaire. Les normes ayant essayé de donner des critères généraux identifient trois niveaux de décomposition pour un système important et trois sujets d’AMDE(C) : — le niveau « système » ; — le niveau « sous-système » ; — le niveau « composants » ; — l’AMDE(C) fonctionnelle ; — l’AMDE(C) produit ; — l’AMDE(C) processus.

La méthode s’inscrit dans un cycle d’activités. En amont de l’AMDE ou AMDEC proprement dite, une analyse fonctionnelle doit avoir été réalisée. L’analyse fonctionnelle externe du système décrit ce qu’on attend de lui. Cette description est essentielle pour donner du sens à l’analyse des dysfonctionnements. Il s’agit de savoir si les fonctionnements identifiés sont conformes à ces exigences, empêchent la réalisation d’une fonction exigée, dégradent l’accomplissement d’une fonction ou encore s’ils produisent un résultat indifférent par rapport au cahier des charges, mais dont on devra s’assurer qu’il ne présente pas un danger. L’analyse fonctionnelle interne décrit comment les fonctions exigées par le cahier des charges pour le client sont réalisées à travers des fonctions décrites aux spécifications techniques de besoin en tant que fonctions à accomplir, performances associées à ces fonctions, conditions dans lesquelles ces fonctions sont réputées exigibles, contraintes à respecter. Cette analyse fonctionnelle interne décrit, au niveau fonctionnel, comment le système fonctionne quand il fonctionne « bien », elle est donc nécessaire pour évaluer les effets des modes de défaillance identifiés.

Pourquoi plusieurs niveaux : — d’une part pour pouvoir découper en parties matériellement réalisables et lisibles l’AMDE(C) qui, réalisée d’un seul morceau pour un système aussi complexe qu’un avion moderne ou une centrale d’énergie, serait un monstre. Un monstre trop difficile à exploiter et un monstre inutile, car les conséquences mises en évidence par une analyse à la fois globale et exhaustive seront de niveau de criticité très différents. Il vaut bien mieux réserver la méthode à ce qui, à chaque étape, est de premier ordre, en vaut la peine ; — d’autre part, pour tirer des conclusions qui peuvent l’être à des stades intermédiaires. Imaginer des dysfonctionnements globaux de sous-systèmes (à un stade où on ne sait peut-être pas encore à quels composants on les devra et si on saura intervenir sur leur propagation) et réaliser l’importance de leurs conséquences permet d’améliorer l’architecture pour s’en protéger plutôt que se trouver plus tard confronté à l’alternative : soit remettre en cause l’architecture et revenir loin en arrière, soit être contraint d’éliminer les causes de ces dysfonctionnements ce qui peut se révéler impossible ou très coûteux. L’AMDE(C) s’applique aussi bien à une décomposition fonctionnelle (à condition de disposer d’une décomposition en fonctions élémentaires dont on connaît les échecs possibles) qu’à une décomposition matérielle. Une bonne AMDE(C) fonctionnelle, quand elle est possible, prépare très utilement et permet de cibler la ou les AMDE(C) matérielles.

Ces analyses fonctionnelles sont explicites dans le cadre de grands projets menés selon les référentiels qui les exigent. Dans de nombreux cas, elles sont implicites ou incomplètes. Il importe pour mener une AMDE(C) pertinente de rendre explicite ces informations. Le déroulement de l’AMDE(C) peut sembler parfait sans être passé par cette étape dans la mesure où les participants partagent une vision commune du système. Le déroulement sans heurt de l’analyse peut masquer des divergences de conception sur ce qui est attendu du système, sur ce qui est acceptable ou non. Le responsable de l’analyse, faute de référence, ne peut s’assurer d’avoir bien couvert les exigences du système et des exigences importantes (tellement d’ailleurs qu’elles sont implicites pour tout le monde) auront été oubliées. Des fonctionnements, dysfonctionnels pour la conception, mais banalisés par les exploitants parce que, en l’absence de malchance, ils permettent quand même de produire, seront traités comme des fonctionnements nominaux au lieu d’être traités comme des situations au moins de fragilité. L’absence d’explicitation des exigences fonctionnelles externes et internes rend l’exploitation de l’AMDE(C) très périlleuse et potentiellement trompeuse.

L’AMDE(C) s’applique aussi bien au produit ou service à produire qu’aux moyens de le produire. La production d’un produit ou service conforme aux engagements pris et le coût de cette production

La validation des analyses fonctionnelles existantes ou la réalisation d’analyses fonctionnelles est une étape d’initialisation nécessaire pour aborder l’AMDE(C). Elle devrait impliquer tous les futurs

Pourquoi plusieurs sujets

SE 4 040 − 4


ＳＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＰ

Arbres de défaillance, des causes et d’événement par

Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert sûreté de fonctionnement à la Direction déléguée Système d’exploitation et sécurité à la SNCF Vice-Président de l’Institut de sûreté de fonctionnement

1. 1.1 1.2

Trois arbres mais trois démarches distinctes .................................. Principes et objectifs de ces méthodes...................................................... Choix et complémentarité de ces méthodes.............................................

2. 2.1 2.2 2.3 2.4 2.5 2.6 2.7

Arbre de défaillance................................................................................ Principes. Caractéristiques. Objectifs......................................................... Construction d’un arbre de défaillance...................................................... Recherche des coupes minimales .............................................................. Quantification d’un arbre de défaillance pas à pas .................................. Exploitation d’un arbre de défaillance ....................................................... Conclusion.................................................................................................... Exemple........................................................................................................

— — — — — — — —

3 3 4 9 12 13 14 15

3. 3.1 3.2 3.3 3.4

Arbre des causes...................................................................................... Principe. Caractéristiques. Objectifs .......................................................... Construction d’un arbre des causes........................................................... Exploitation de l’arbre des causes ............................................................. Exemple........................................................................................................

— — — — —

17 17 17 19 20

4. 4.1 4.2 4.3

Arbre d’événement .................................................................................. Principes. Caractéristiques. Objectifs......................................................... Construction de l’arbre d’événement ........................................................ Exploitation de l’arbre d’événement..........................................................

— — — —

21 21 21 22

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＲ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＱＷ


SE 4 050 - 2 — 2 — 3

Doc. SE 4 050

a sûreté de fonctionnement (comme expliqué dans les articles La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] et Sûreté de fonctionnement : démarches pour maîtriser les risques [SE 1 020]) au service de la maîtrise des risques, décrit les mécanismes qui conduisent aux incidents et aux accidents. On trouve donc naturellement dans cette discipline des méthodes destinées à représenter la logique des combinaisons de faits ou de conditions qui ont conduit, conduisent ou pourraient conduire à des incidents ou accidents. Rien d’étonnant donc que des représentations arborescentes fassent partie des outils usuels de la sûreté de fonctionnement. Nous présentons dans cet article les trois méthodes les plus courantes : l’arbre de défaillance, l’arbre des causes et l’arbre d’événement. Ces trois méthodes ont en commun de produire des représentations de la logique d’un système (ou d’une partie) sous des formes arborescentes. Cette ressemblance superficielle est trompeuse : ces trois méthodes répondent à des besoins nettement différents et les arbres produits ne contiennent pas les mêmes informations. Cette ressemblance dans la forme et, naturellement, dans l’appellation nous a motivés à les présenter ensemble afin d’aider le lecteur à les distinguer.

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

ＳＳ

S E 4 0 5 0

−1


ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Il ne faut donc pas prendre ces trois méthodes pour des variantes d’une même méthode ou pour trois façons de conduire le même raisonnement mais bien pour trois méthodes différentes.

1. Trois arbres mais trois démarches distinctes 1.1 Principes et objectifs de ces méthodes ■

L’a r b r e de défaillance est une méthode qui part d’un événement final pour remonter vers les causes et conditions dont les combinaisons peuvent le produire. Il vise à représenter l’ensemble des combinaisons qui peuvent induire l’événement étudié d’où sa représentation schématique donnée à titre d’exemple figure 1 a.

On construit et on utilise un arbre de défaillance dans le cadre d’une étude a priori d’un système. Ayant pour point de départ un événement redouté (dysfonctionnement ou accident), la démarche consiste à s’appuyer sur la connaissance des éléments constitutifs du système étudié pour identifier tous les scénarios conduisant à l’événement redouté. L’arbre de défaillance est une représentation en deux dimensions (cf. figure 1 a) des enchaînements qui peuvent conduire à l’événement redouté, le point de départ de la démarche. On peut ensuite utiliser cette représentation pour calculer la probabilité de l’événement redouté à partir des probabilités des événements élémentaires qui se combinent pour le provoquer. Des logiciels sont commercialisés qui permettent de réaliser commodément la mise en forme d’arbres pouvant comporter un grand nombre d’éléments et qui permettent d’effectuer les calculs de probabilités. Les exemples d’arbres que nous pouvons donner dans cet article pour illustrer nos propos sont naturellement très petits, très simples. Les arbres qu’il est utile de construire pour étudier des systèmes importants et assez complexes comportent tellement plus d’éléments que l’apport des logiciels de mise en forme et de calcul est décisif.

a arbre de défaillance

Nous attirons l’attention du lecteur sur deux précautions d’usage : — des calculs de probabilité sont toujours fondés sur des approximations. Celles-ci sont généralement valables pour les cas usuels, mais il vaut mieux prendre attentivement connaissance des algorithmes de calcul utilisés pour s’assurer que les approximations faites sont valables pour le cas particulier que l’on traite ;

b arbre des causes

— par ailleurs, ce marché, assez réduit est assez volatil : certains produits font des apparitions fugitives. On ne peut généralement pas convertir un arbre construit avec un logiciel en un arbre à utiliser avec un autre. Comme dans les autres domaines, il est prudent de s’assurer (dans la mesure du possible) de la pérennité de l’outil informatique. En effet un arbre de défaillance peut être un document de référence à faire vivre au long de la vie du système étudié (tout dépend des circonstances et objectifs de l’étude). Un arbre de défaillance est une méthode-type pour répondre à une question du genre : « quelles ” chances ” y a-t-il que le dispositif de détection et extinction automatique d’incendie manque à se déclencher en présence d’un feu et sur quoi peut-on agir pour diminuer cette probabilité ? » ou « dans un système avec redondances, quelle est la probabilité finale d’échec en fonction des probabilités élémentaires des composants et de l’architecture ? ».

SE 4 050 − 2

c arbre d'événement Figure 1 – Silhouettes des arbres de défaillance, de cause et d’événement


ＳＴ


_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

■ L’arbre des causes part d’un événement qui s’est produit et organise l’ensemble des événements ou conditions qui se sont combinés pour le produire. Il repose sur un raisonnement dans le même sens que l’arbre de défaillance mais ne décrit qu’un scénario. Sa représentation est illustrée à titre d’exemple figure 1 b.

sent pas à l’accident sont identifiées, l’arbre d’événement est recommandé pour évaluer l’efficacité du système et les progrès les plus intéressants. ● Un arbre est souvent un moyen satisfaisant de présenter synthétiquement les résultats des études montrant les relations entre causes et conséquences (qualitativement-logiquement mais aussi quantitativement), études qui ont pu solliciter bien d’autres méthodes (AMDE(C), graphes d’état, simulations de Monte-Carlo...) (cf. article [AG 4 670]).

On construit un arbre des causes dans une démarche de retour d’expérience, ou, de façon isolée, pour apprendre le maximum d’un accident. L’arbre des causes est très utilisé pour décrire le scénario d’un incident ou accident, pour soutenir la démarche d’analyse de l’accident. Des logiciels sont également disponibles pour guider et réaliser la mise en forme d’un arbre des causes.

En présence d’un système où de nombreux événements initiateurs sont possibles (pannes de nombreux composants, interventions humaines importantes donc possibilités d’erreurs, agressions environnementales, etc.) mais pour lequel la préoccupation porte sur la survenue ou non, du fait de tous ces incidents d’un ou deux événements redoutés du niveau du système entier, l’arbre de défaillance (ou les arbres de défaillance) s’impose(nt).

La démarche de réalisation d’un arbre des causes consiste à répondre à la question : « quels faits ont joué un rôle dans la survenue de cet accident et en se combinant de quelle façon ? » ■ L’arbre d’événement part d’un événement et décrit les différentes conséquences qu’il peut avoir en fonction des conditions dans lesquelles il s’est produit et des événements avec lesquels il se combine. Il repose sur un raisonnement inverse des arbres précédents : de la cause vers les conséquences (d’où sa représentation donnée à titre d’exemple figure 1 c). Comme l’arbre de défaillance, il vise à représenter l’ensemble des possibles, ici, des conséquences possibles de l’événement étudié.

En présence d’un système où la préoccupation est que les deux ou trois événements redoutés (panne d’un composant critique, erreur typique...) n’aient pas de conséquences graves malgré la variété des scénarios dans lesquels ils peuvent intervenir, l’arbre d’événement (les arbres d’événement) s’impose(nt). ■ Bien entendu, ces méthodes peuvent se compléter. Les approches inverses de l’arbre d’événement et de l’arbre de défaillance peuvent être utilisées conjointement au même niveau, ce qu’on peut ne pas voir ou négliger dans l’une pouvant apparaître dans l’autre. Elles peuvent aussi se compléter à des niveaux différents, l’une servant à évaluer en entrant dans le détail ce qui est un élément de l’autre.

On construit et on utilise un arbre d’événement dans une démarche d’évaluation a priori. Le point de départ est un incident, une défaillance, une erreur, une agression... dont on veut évaluer les conséquences possibles qui dépendent d’un certain nombre d’autres facteurs. Si on connaît les probabilités associées à ces facteurs on peut calculer en s’appuyant sur l’arbre d’événement la probabilité associée à chacune des conséquences possibles de l’incident initial.

Exemple : la probabilité de succès d’un dispositif à utiliser dans un arbre d’événement peut résulter d’un arbre de défaillance développé pour l’échec de ce dispositif.

1.2 C hoix et complémentarité de ces méthodes

2. Arbre de défaillance

Ces méthodes sont conçues pour mettre en œuvre des logiques différentes. Elles ne se présentent donc nullement comme des choix alternatifs pour un même problème. Chacune correspond à une approche différente.

2.1 Principes. Caractéristiques. Objectifs

■ Le choix entre arbre d’événement et arbre de défaillance dépend d’abord de la question posée : l’arbre d’événement cerne la question des conséquences d’un événement initiateur donné et l’arbre de défaillance cerne la question des scénarios conduisant à un événement redouté donné.

■

P incipes Un arbre de défaillance représente de façon synthétique l’ensemble des combinaisons d’événements qui, dans certaines conditions produisent un événement donné, point de départ de l’étude. Construire un arbre de défaillance revient à répondre à la question « comment tel événement peut-il arriver ? », ou encore « quels sont tous les enchaînements possibles qui peuvent aboutir à cet événement ? ».

L’arbre des causes est proposé pour assembler les éléments d’explication d’un accident ou incident. Il s’agit préférentiellement d’analyse a posteriori. Ces méthodes peuvent servir à initier une analyse ou à la synthétiser. ● Pour initier une analyse de sûreté de fonctionnement, en présence d’une question peu précise, la méthode à recommander est celle dont les bases sont les mieux connues : — un arbre de défaillance si la question tourne autour de la vraisemblance d’un ou de quelques événements redoutés ; — plutôt un arbre d’événement si la question tourne autour de la gravité de certaines défaillances ou agressions ; — un arbre des causes si il s’agit de tirer parti d’un scénario d’incident qui s’est réalisé et dont la compréhension peut améliorer la connaissance générale du système.

■ Caractéristiques Un arbre de défaillance est généralement présenté de haut en bas (cf. figure 1 a). La ligne la plus haute ne comporte que l’événement dont on cherche à décrire comment il peut se produire. Chaque ligne détaille la ligne supérieure en présentant la combinaison ou les combinaisons susceptibles de produire l’événement de la ligne supérieure auquel elles sont rattachées. Ces relations sont représentées par des liens logiques OU ou ET. ■ Objectifs ● L’objectif « qualitatif » est de construire une synthèse de tout ce qui peut conduire à un événement redouté et d’évaluer l’effet d’une modification du système, de comparer les conséquences des mesures qui peuvent être envisagées pour réduire l’occurrence de l’événement redouté étudié.

Si la liste des événements redoutés finaux est bien établie et que les questions « Qu’est-ce qui peut produire... ? » trouvent facilement réponses, l’arbre de défaillance est recommandé. Si, à l’inverse, les événements initiateurs qui peuvent affecter le système sont bien connus et que les mesures pour qu’ils ne condui-


ＳＵ

SE 4 050 − 3


ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

● L ’ objectif « quantitatif » est d’évaluer la vraisemblance de la survenue de l’événement étudié à partir des combinaisons d’événements élémentaires qui peuvent le produire. Si on connaît les probabilités de ces événements on peut en déduire la probabilité de l’événement étudié et l’impact sur celle-ci d’une réduction (ou augmentation) de telle ou telle des probabilités élémentaires.

définition requiert les mêmes précisions : définition de la fonction et des conditions à prendre en compte. Le responsable de l’étude doit s’assurer que : — l’événement étudié est bien celui qui convient eu égard à la démarche dans laquelle s’inscrit la construction de l’arbre ; — les conditions extérieures ou les agressions à prendre en compte (et celles à ne pas envisager) sont cohérentes avec les objectifs de l’étude ; — les participants à l’analyse et les futurs utilisateurs de l’arbre ou des conclusions qui en seront tirées partagent la même définition de l’événement étudié.

À défaut d’une quantification par probabilités, l’arbre permet d’apprécier le nombre de scénarios conduisant à l’événement étudié, le nombre minimum d’événements ou de conditions suffisant pour qu’il arrive, etc.

Dans l’arbre qui est une représentation synthétique, le libellé de l’événement devra être court. Ce libellé sera, en général, trop court pour définir précisément l’événement et lever les ambiguïtés. Il devra donc y avoir : — un libellé bref, mais aussi évocateur que possible dans la boîte qui représente l’événement-sommet dans l’arbre ; — un texte complémentaire apportant toutes les précisions utiles sur la définition de l’événement.

2.2 Construction d’un arbre de défaillance 2.2.1 Événement-sommet

Dans certains modèles d’arbres (en particulier quand on utilise certains logiciels), chaque boîte reçoit un nom. On voit alors la boîte qui contient le libellé en quelques mots de l’événement et, dessous, un seul mot (idéalement) qui est le nom de l’événement pour l’arbre. Il faut alors veiller à ne pas donner le même nom à deux boîtes (ce que les logiciels qui utilisent ce formalisme contrôlent généralement).

■ La première étape est la définition de l’événement qui doit être étudié. Dans l’arbre, ce sera l’événement-sommet. Un arbre n’a qu’un événement-sommet ; il réunit tout ce qui et uniquement ce qui peut provoquer cet événement-sommet. La définition de cet événement est totalement déterminante pour la valeur des conclusions qui seront tirées de l’analyse. Le risque n’est pas de développer un arbre qui serait faux mais un arbre qui réponde à une autre question que celle posée :

Ce qui vient d’être dit sur la définition commune, claire, précise de l’événement et le libellé bref de la boîte vaut non seulement pour l’événement-sommet mais aussi pour tous les événements qui vont figurer dans l’arbre ; ce commentaire ne sera pas repris dans chaque paragraphe consacré aux événements.

— soit l’utilisateur des résultats s’en rend compte et la conséquence est qu’après le travail effectué, l’arbre attendu est toujours à faire et à exploiter ; — soit l’utilisateur ne s’en rend pas compte et il tire des conclusions tout à fait injustifiées de l’analyse.

2.2.2 Événements intermédiaires

Il importe donc de définir l’événement étudié de façon explicite et précise.

L’événement étudié étant défini, l’étape suivante est de le décrire en une combinaison logique (conjonction ou disjonction) de deux ou plusieurs événements plus réduits.

Exemple : les événements suivants ne sont pas du tout équivalents : — collision de deux trains ; — collision impliquant un train ; — collision impliquant une circulation ferroviaire ; — collision impliquant un train due à une défaillance du système ferroviaire ; — dommages à une circulation ferroviaire ou à des passagers ou du personnel de bord ou au chargement, dus à une collision... On peut croiser de toutes les façons chacune des précisions ou restrictions qui figurent dans ces exemples (et bien d’autres) et chacun des événements produits sera différent des autres (certains plus généraux en incluant d’autres). Les conséquences sont importantes : par exemple, des actes de sabotage ou d’imprudence de tiers sont ou ne sont pas pris en compte ; l’accident de tiers percuté par un train à la traversée des voies (sans dommage au train) est ou n’est pas inclus dans cette analyse-là, etc.

Exemple : une défaillance d’éclairage peut résulter de la défaillance de l’ampoule ou de la défaillance de l’alimentation ou de la défaillance du circuit entre alimentation et ampoule. On voit donc apparaître des événements moins globaux que l’événement-sommet que l’on appellera événements intermédiaires (si ils sont eux-mêmes appelés à être décrits en combinaison d’événements plus détaillés) et un connecteur logique qui les relie à l’événement-sommet.

2.2.3 Connecteurs logiques Les deux connecteurs logiques de base sont ET et OU (figure 2). Toutes les combinaisons logiques s’expriment avec ces deux connecteurs (et la négation logique qui exprime le contraire de l’événement qu’elle affecte), mais il peut être pratique d’utiliser quelques autres connecteurs : vote n/p, OU exclusif...

Pour bien comprendre les enjeux de cette définition de l’événement, on fera le parallèle avec les définitions de la fiabilité (disponibilité, maintenabilité, sécurité...) (cf. article [AG 4 670]). Les définitions habituellement reconnues de ces notions incluent des formules comme « accomplir des fonctions requises dans des conditions données ». Un événement à étudier est généralement un échec (non accomplissement d’une fonction) ou une agression. Sa

SE 4 050 − 4

Exemple : si un système tombe en panne si deux sur trois des équipements A, B, C tombent en panne, il est pratique de représenter ce lien logique par un seul connecteur « 2/3 », mais c’est équivalent à (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a. De même A OU exclusif B est équivalent à [A ET (non B)] OU [(non A) ET B] (cf. figure 3 b).


ＳＶ


_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

Les boîtes qui les représentent sont au bout de l’arbre, ce pourquoi elles sont couramment appelées les feuilles.

2.2.5 Conditions

Connecteur ET

Quand on s’interroge sur ce qui peut produire tel événement-conséquence, on est couramment amené à dire que tel autre événement-cause entraîne l’événement-conséquence étudié si telle condition est présente. Nous sommes donc conduits à introduire dans l’arbre des conditions dont la réalisation conditionne l’enchaînement cause-conséquence.

Connecteur OU

Pour qu’un événement (sommet ou intermédiaire) se produise, il faut une combinaison d’événements mais aussi souvent de conditions (on pourrait dire d’états ou de situations). Ces conditions interviennent dans la construction d’un arbre exactement comme des événements intermédiaires (sauf qu’elles ne sont plus décomposées et donc deviennent « de base » même si les événements de même niveau avec lesquels elles se combinent sont eux, décomposés plus finement) ou comme des événements de base, mais ne sont pas à proprement parler des événements.

Figure 2 – Connecteurs ET et OU

Équivalent à 2/3

A

B

C

A.B

A

A.C

B

A

Exemple : dans un système formé de deux chaînes en parallèle qui fonctionnent en alternance, l’interruption de fonctionnement du système est provoquée par le dysfonctionnement d’une chaîne seulement si celle-ci est celle qui assure le fonctionnement à ce moment-là. Donc l’événement « Interruption du fonctionnement du système » se décompose en (« Défaillance de la chaîne A » « ET » « Chaîne A en service ») « OU » (« Défaillance de la chaîne B » « ET » « Chaîne B en service »). Dans cette décomposition, « Défaillance de la chaîne A » est un événement, « Chaîne A en service » est une condition.

B.C

C

B

Cette distinction n’est pas essentielle au stade de construction de l’arbre, elle devient intéressante quand on affecte des probabilités aux événements et conditions.

C

Connecteur n/p

2.2.6 Symboles normalisés

Équivalent à

Les symboles normalisés des connecteurs, événements et conditions sont représentés sur la figure 4.

OU exclusif

A.B

A

nonB

Nous plaçons donc dans un arbre : — un événement-sommet ; — des événements intermédiaires ; — des événements de base ; — éventuellement des conditions ; — des connecteurs OU ; — des connecteurs ET ; — éventuellement des connecteurs particuliers.

A.B

nonA

Les événements et les conditions sont représentés par des rectangles à l’intérieur desquels figurent les libellés de ces événements ou conditions. L’événement-sommet et les événements intermédiaires se décomposent en une combinaison ; on trouve donc immédiatement sous la boîte qui les représente le symbole du connecteur qui lie les événements dont la combinaison est nécessaire et suffisante à le provoquer.

B

Connecteur OU exclusif Figure 3 – Connecteurs 2/3 et OU exclusif

Les événements de base ou les conditions ne se décomposent pas ; on trouve donc immédiatement sous la boîte qui les représente un symbole particulier : un cercle pour les événements de base et un pentagone (en forme de maison) pour les conditions.

Certains ajoutent à cette panoplie la possibilité de représenter un aspect temporel avec un connecteur ET séquentiel. Si deux événements A et B sont liés par ce connecteur, cela signifie que si A se produit puis B, l’événement supérieur se produit, mais pas si B se produit puis A.

Comme un arbre peut occuper plusieurs pages et se construire progressivement pour un système un peu important, il existe deux autres symboles. Le triangle permet de renvoyer d’une page à une autre : un triangle est placé sous un événement intermédiaire dont la décomposition commencera sur une autre page. Sur cette autre page, cet événement apparaît en tête, mais un triangle est attaché à la boîte qui le représente pour indiquer qu’il ne s’agit pas de l’événement-sommet d’un arbre, mais d’une partie d’un arbre plus important.

2.2.4 Événements de base ou feuilles Un événement de base est un événement qui ne se décompose plus en événements plus fins.


ＳＷ

SE 4 050 − 5

ＳＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ

Nœud papillon : une méthode de quantification du risque par

Olivier IDDIR Ingénieur quantification des risques – Service expertise et modélisation – Membre du réseau des experts de TECHNIP TECHNIP France, Paris-La Défense

1.

Quantification du risque : une nécessité........................................

2.

Notion d’acceptabilité du risque ......................................................

—

2

3.

Présentation de la méthode ...............................................................

—

5

4.

Quantification du nœud papillon ......................................................

—

15

5.

Limites liées à la quantification d’un nœud papillon..................

—

22

6.

Exemple de nœud papillon quantifié ...............................................

—

25

7.

Conclusion...............................................................................................

—

29

8.

Glossaire – Définitions .........................................................................

—

29

SE 4 055v2 - 2

Pour en savoir plus ........................................................................................ Doc. SE 4 055v2

ans de nombreux secteurs d’activité tels que l’aéronautique, l’industrie chimique, l’industrie pétrolière, le nucléaire, il est nécessaire d’évaluer les risques afin de pouvoir se prononcer sur leur acceptabilité. Les notions de danger et de risque sont très souvent confondues, le risque étant toujours lié à l’existence d’un danger, ou d’une situation dangereuse. Pour les différencier, il est possible de considérer que le danger est « réel » et le risque « potentiel ». Certaines installations industrielles présentent, de par leurs activités, de nombreux dangers. Citons, par exemple, le stockage ou la synthèse de produits inflammables et/ou toxiques. Sur de telles installations, un des événements redoutés est la perte de confinement qui peut aboutir à des phénomènes dangereux de type incendie, jet enflammé ou explosion dans le cas d’un produit inflammable et dispersion atmosphérique dans celui d’un produit toxique. L’évaluation d’un risque nécessite d’évaluer les deux composantes du couple probabilité/gravité. La gravité des phénomènes dangereux est habituellement estimée par modélisation de l’intensité des effets à l’aide d’outils ou de logiciels. L’estimation de la probabilité d’occurrence pour les risques liés au secteur de l’industrie nécessite aujourd’hui d’avoir recours à des méthodologies utilisées depuis de nombreuses années dans d’autres domaines, tels que le nucléaire ou l’aéronautique. En effet, en France, avant les années 2000 et contrairement aux pays anglo-saxons, l’évaluation des risques reposait sur une approche déterministe. Les probabilités d’occurrence d’accidents étaient alors en grande majorité estimées par avis d’experts. Le tragique accident survenu à Toulouse le 21 septembre 2001 a initié un profond remaniement de la réglementation française qui prône aujourd’hui l’approche probabiliste. L’objectif de cet article est de présenter la méthode d’analyse de risques nommée « nœud papillon » qui résulte de la combinaison d’un arbre de défaillances et d’un arbre d’événements, centrée sur un même événement redouté. Après avoir exposé les fondements de cette méthode, il sera dressé un panorama des diverses banques de données pouvant être utilisées lors de la phase de quantification. Enfin, l’article abordera les limites de la méthode.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｮ＠ＲＰＱＵ

D

Copyright © –Techniques de l’Ingénieur –Tous droits réservés

ＳＹ

SE 4 055v2 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

1. Quantification du risque : une nécessité

Gravité Gk 5 Gravité croissante

Depuis une trentaine d’années, la succession d’accidents significatifs en termes de dommages matériels et humains, majoritairement liés à l’expansion de l’activité industrielle, vient mettre en lumière la question primordiale de la sécurité. En 1966, à Feyzin, 18 personnes ont trouvé la mort suite au BLEVE de plusieurs sphères de stockage. Par la suite, les accidents de Flixborough (Grande-Bretagne) en 1974, Seveso (Italie) en 1976, AZF (Toulouse) en 2001 ou plus récemment Buncefield (GrandeBretagne) en 2005 sont tous des accidents qui rappellent si besoin la nécessité de disposer de méthodes et d’outils performants pour estimer les risques.

3 2 1

En France, depuis 2001, la réglementation visant à garantir que les industriels maîtrisent leurs risques a beaucoup évolué. En fonction de la dangerosité des installations, les industriels doivent réaliser des études démontrant qu’ils ont pris l’ensemble des mesures de prévention et de protection permettant de garantir que les risques liés à leurs activités sont acceptables. Pour évaluer ces risques, différentes méthodes d’analyse peuvent être déployées (APR, HAZOP, etc.). Cependant, le nœud papillon constitue aujourd’hui la méthodologie d’analyse quantifiée du risque recommandée par l’administration française pour étudier les scénarios d’accidents les plus critiques.

E

D

C

B

A

Probabilité Pk

Probabilité décroissante A : niveau de probabilité le plus fort E : niveau de probabilité le plus faible 1 : niveau de gravité le plus faible 5 : niveau de gravité le plus fort Risque jugé inacceptable Risque ALARP

2. Notion d’acceptabilité du risque

Risque jugé acceptable

2.1 Estimation

Figure 1 – Exemple de matrice de criticité 5 2 5

2.1.1 Matrices de criticité

La matrice de criticité, présentée en figure 1, comporte trois zones de risque :

Dans le domaine du risque industriel, la quantification des risques constitue une étape incontournable. Elle permet, au regard de la probabilité et de la gravité d’un accident, de juger de la suffisance ou non des mesures de prévention dont l’objectif est de prévenir l’apparition d’accident, et des mesures de mitigation/ protection dont le but est de limiter les effets en cas d’accident. Or, afin de se prononcer sur l’acceptabilité d’un risque, il faut pouvoir le mesurer en le comparant à une échelle.

– « acceptable » : dans cette zone, les accidents présentent une probabilité suffisamment faible au regard de la gravité des conséquences associées ; – dite « ALARP » (As Low As Reasonably Practicable ) : dans cette zone, l’ensemble des mesures envisageables a été mis en place et il n’est plus possible, avec un coût économique raisonnable, de diminuer ni la probabilité, ni la gravité ; – « inacceptable » : dans cette zone, il est nécessaire de mettre en place des actions qui visent à réduire la gravité et/ou la probabilité, en définissant de nouvelles mesures de prévention et/ou de mitigation, afin de ramener si possible le risque dans la zone acceptable, ou a minima dans la zone ALARP.

Reprenant la philosophie du diagramme de Farmer, la matrice de criticité permet de juger de l’acceptabilité d’un risque. Mais contrairement au diagramme de Farmer, les matrices de criticité ne font pas intervenir une frontière linéaire, mais un ensemble de couples de valeurs de probabilité/gravité (Pk/Gk ) au-delà desquels le risque passe du domaine de l’acceptable à celui de l’inacceptable. Pour limiter les erreurs de jugement sur des événements dont le couple (Pk/Gk ) se rapprocherait de la frontière, une notion de risque, dite « ALARP » (As Low As Reasonably Practicable), est fréquemment utilisée.

La notion d’acceptabilité d’un risque peut sembler subjective, surtout lorsque la vie d’individus est en jeu. En effet, la distinction entre les différentes zones de risque n’est pas aisée et dépend essentiellement des définitions données aux différents niveaux de probabilité et de gravité qui constituent la matrice de criticité.

2.1.2 Matrice de criticité réglementaire en France

Il est à noter que le nombre de niveaux de probabilité et de gravité, constituant une matrice de criticité, n’a rien d’universel. Néanmoins les matrices de criticité, dites 5 × 5, c’est-à-dire composées de 5 niveaux de probabilité et de 5 niveaux de gravité, sont couramment utilisées.

Avant la circulaire du 29 septembre 2005 (reprise dans la circulaire du 10 mai 2010), relative aux critères d’appréciation de la démarche de maîtrise des risques d’accidents susceptibles de survenir dans les établissements dits « Seveso », visés par l’arrêté du 10 mai 2000 modifié, il n’existait pas de matrice de criticité réglementaire. Les matrices utilisées étaient soit celles proposées par les industriels eux-mêmes, soit celles réalisées par des sociétés

La figure 1 présente un exemple de matrice de criticité. Le découpage entre les différentes catégories de risque est uniquement donné à titre indicatif.

SE 4 055v2 – 2

4


ＴＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ ___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

(/an). L’unité de temps associée à la notion de probabilité confirme que les notions de fréquence et de probabilité sont bien souvent confondues.

expertes dans l’évaluation des risques. Dans un souci d’homogénéité, le ministère de l’Environnement (MEDAD à l’époque) a donc proposé une matrice de criticité 5 × 5 (grille d’appréciation des risques), telle que présentée en figure 2. Elle se subdivise en 25 cases, correspondant à des couples probabilité/gravité des conséquences identiques à ceux du modèle figurant à l’annexe V de l’arrêté du 10 mai 2000 modifié, que les industriels doivent utiliser pour positionner chacun des accidents potentiels dans leur étude de dangers. Cette matrice délimite trois zones de risque accidentel : – risque élevé, figuré par le mot « non » ; – risque intermédiaire, figuré par le sigle « MMR » (mesures de maîtrise des risques), dans laquelle une démarche d’amélioration continue est particulièrement pertinente, en vue d’atteindre, dans des conditions économiquement acceptables, un niveau de risque aussi bas que possible, compte tenu de l’état des connaissances, des pratiques et de la vulnérabilité de l’environnement de l’installation ; – risque moindre, qui ne comporte ni « non » ni « MMR ».

La fréquence est une grandeur observée issue d’une exploitation d’un retour d’expérience. Elle s’exprime généralement en unité de temps–1 ou opération–1. Dans le cas où le temps est le critère d’observation, la fréquence est définie par le quotient entre le nombre d’événements observés sur la période d’observation et ce temps d’observation. Lorsque la période d’observation est exprimée en années, les fréquences sont alors données en unité an–1. La probabilité d’occurrence d’un accident est assimilée à sa fréquence d’occurrence future estimée sur l’installation considérée.

En France, les accidents potentiels ou les phénomènes dangereux identifiés dans les études de dangers sont étudiés sur un intervalle temporel donné. La période de temps retenue dans le cadre réglementaire est celle rappelée dans l’échelle de probabilité de l’arrêté PCIG, à savoir l’année. L’INERIS a donc introduit la notion de probabilité d’occurrence annuelle (POA).

La gradation des cases « non » ou « MMR » en « rangs », correspond à un risque croissant, depuis le rang 1 jusqu’au rang 4 pour les cases « non », et depuis le rang 1 jusqu’au rang 2 pour les cases « MMR ». Cette gradation correspond à la priorité que l’on peut accorder à la réduction des risques, en s’attachant d’abord à réduire les risques les plus importants (rangs les plus élevés).

Dans la suite de cet article, nous retiendrons donc la terminologie suivante : – fréquence d’occurrence pour les événements redoutés (ER) ; – probabilité d’occurrence pour les événements redoutés secondaires (ERS) et pour les phénomènes dangereux (PhD). Néanmoins, en toute rigueur, le produit entre une fréquence et une probabilité donne une fréquence.

Les niveaux de probabilité et de gravité retenus pour constituer cette matrice sont respectivement présentés dans les tableaux 1 et 2. Concernant l’échelle rapportée dans le tableau 1, on peut noter qu’il est fait mention de la notion de probabilité d’occurrence et que les données quantitatives sont exprimées en unité de temps–1.

Gravité des conséquences sur les personnes exposées au risque (1)

PROBABILITÉ (sens croissant de E vers A) (1) E

D

C

B

A

Désastreux

Non partiel (sites nouveaux : (2)) /MMR rang 2 (sites existants : (3))

Non rang 1

Non rang 2

Non rang 3

Non rang 4

Catastrophique

MMR rang 1

MMR rang 2 (3)

Non rang 1

Non rang 2

Non rang 3

Important

MMR rang 1

MMR rang 1

MMR rang 2 (3)

Non rang 1

Non rang 2

MMR rang 1

MMR rang 2

Non rang 1

Sérieux

MMR rang 1

Modéré

(1) Probabilité et gravité des conséquences sont évaluées conformément à l’arrêté ministériel relatif à l’évaluation et à

la prise en compte de la probabilité d’occurrence, de la cinétique, de l’intensité des effets, et de la gravité des conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation.

(2) L’exploitant doit mettre en œuvre des mesures techniques complémentaires permettant de conserver le niveau

de probabilité E en cas de défaillance de l’une des mesures de maîtrise du risque.

(3) S’il s’agit d’une demande d’autorisation « AS », il faut également vérifier le critère C du 3 de l’annexe L. (4) Dans le cas particulier des installations pyrotechniques, les critères d’appréciation de la maîtrise du risque

accidentel à considerer sont ceux de l’arrêté ministériel réglementant ce type d’installations. Figure 2 – Matrice de criticité rapportée dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)


ＴＱ

SE 4 055v2 – 3


Tableau 1 – Échelle de probabilité proposée dans l’arrêté du 29 septembre 2005 Classe de probabilité

Type d’appréciation

Qualitative (les définitions entre guillemets ne sont valables que si le nombre d’installations et le retour d’expérience sont suffisants)

Semi-quantitative

E « Événement possible mais extrêmement peu probable » : n’est pas impossible au vu des connaissances actuelles, mais non rencontré, au niveau mondial, sur un très grand nombre d’années d’installations

D

C

« Événement très improbable » : s’est déjà produit dans ce secteur d’activité, mais a fait l’objet de mesures correctives réduisant significativement sa probabilité

« Événement improbable » : un événement similaire déjà rencontré dans le secteur d’activité ou dans ce type d’organisation au niveau mondial, sans que les éventuelles corrections intervenues depuis apportent une garantie de réduction significative de sa probabilité

B

A

« Événement probable sur site » : s’est produit et/ou peut se produire pendant la durée de vie des installations

« Événement courant » : se produit sur le site considéré et/ou peut se produire à plusieurs reprises pendant la durée de vie des installations, malgré d’éventuelles mesures correctives

Cette échelle est intermédiaire entre les échelles qualitative et quantitative, et permet de tenir compte de la cotation des mesures de maîtrise des risques mises en place

Quantitative (par unité et par an)

j 10−5

10–5 à 10–4

10–4 à 10–3

10–3 à 10–2

h 10−2

Ces définitions sont conventionnelles et servent d’ordre de grandeur à la probabilité moyenne d’occurrences, observable sur un grand nombre d’installations pendant x années. Elles sont inappropriées pour qualifier des événements très rares dans des installations peu nombreuses ou faisant l’objet de modifications techniques ou organisationnelles. En outre, elles ne préjugent pas de l’attribution d’une classe de probabilité pour un événement dans une installation particulière, qui découle de l’analyse de risque et peut être différent de l’ordre de grandeur moyen, afin de tenir compte du contexte particulier, de l’historique des installations, ou de leur mode de gestion.

Un retour d’expérience mesuré en nombre d’années x installations est dit « suffisant », s’il est statistiquement représentatif de la fréquence du phénomène (et pas seulement des événements ayant réellement conduit à des dommages) étudié dans le contexte de l’installation considérée, à condition que cette dernière soit semblable aux installations composant l’échantillon sur lequel ont été observées les données de retour d’expérience. Si le retour d’expérience est limité, les détails (figurant en italique) ne sont, en général, pas représentatifs de la probabilité réelle. L’évaluation de la probabilité doit être effectuée par d’autres moyens (études, expertises, essais) que le seul examen du retour d’expérience.

Tableau 2 – Échelle de gravité proposée dans l’arrêté du 29 septembre 2005 Niveau de gravité des conséquences

Zone délimitée par le seuil des effets létaux significatifs (personnes exposées)

Zone délimitée par le seuil des effets létaux (personnes exposées)

Zone délimitée par le seuil des effets irréversibles sur la vie humaine (personnes exposées)

Désastreux

Plus de 10

Plus de 100

Plus de 1 000

Catastrophique

Moins de 10

Entre 10 et 100

Entre 100 et 1 000

Important

Au plus 1

Entre 1 et 10

Entre 10 et 100

Sérieux

Aucune

Au plus 1

Moins de 10

Modéré

Pas de zone de létalité hors établissement

Présence humaine exposée à des effets irréversibles inférieure à 1

Personne exposée : en tenant compte, le cas échéant, des mesures constructives visant à protéger les personnes contre certains effets, et la possibilité de mise à l’abri des personnes en cas d’occurrence d’un phénomène dangereux, si la cinétique de ce dernier et la propagation de ses effets le permettent.

Pouvoir positionner des situations dangereuses dans une matrice de criticité suppose qu’il soit possible d’évaluer la probabilité d’occurrence et la gravité d’un événement, de sorte que se tromper de zone de risque est exclu. Or, les événements les plus graves sont aussi généralement les plus rares, l’accidentologie révèle ainsi que ces accidents sont souvent la conséquence de combinaisons de plusieurs événements. On parle alors de « séquence accidentelle ».

de causes, nécessite de recourir à des méthodologies qui permettent une analyse exhaustive : – des combinaisons de causes pouvant aboutir à la réalisation de tels accidents ; – des conséquences en cas de survenue de tels accidents. C’est donc lors de l’étape d’évaluation de la probabilité d’occurrence des événements redoutés et de leurs conséquences qu’il est primordial de disposer d’une méthode « robuste » pour estimer au plus juste ces valeurs.

Évaluer la probabilité d’occurrence d’accidents « complexes », c’est-à-dire dont l’origine peut être de nombreuses combinaisons

SE 4 055v2 – 4


ＴＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ ___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

3. Présentation de la méthode

Le point central du nœud papillon est constitué par un événement redouté qui peut être par exemple une perte de confinement. La partie en amont de l’événement redouté est constituée par un arbre de défaillances qui permet d’analyser les combinaisons de causes, et de valoriser les barrières de prévention mises en place pour prévenir l’apparition de l’événement redouté. La partie en aval est, quant à elle, constituée par un arbre d’événements qui permet de différencier les conséquences en fonction du fonctionnement ou non des mesures de mitigation/protection. Le synoptique, présenté en figure 3, présente la structure d’un nœud papillon. Le tableau 3 détaille les définitions associées à chacun des événements figurant sur le modèle du nœud papillon de la figure 3.

3.1 Principe Le concept du nœud papillon a été introduit par la compagnie ICI (Imperial Chemical Industries ). Après l’accident survenu sur la plate-forme pétrolière Piper Alfa, la compagnie Royal Dutch/Shell a développé cette technique d’analyse au début des années 1990 afin d’améliorer la sécurité sur de telles installations. L’utilisation de la méthode du nœud papillon tend aujourd’hui à se démocratiser et son application au secteur de l’industrie est de plus en plus répandue. Le programme de recherche européen ARAMIS (Accidental Risk Assessment Methodology for Industries in the framework of Seveso II directive ) portant sur l’évaluation des risques dans le contexte de l’application de la directive Seveso II met en avant les avantages de cette méthode. Pour rappel, ce programme avait pour but :

En France, différents groupes de travail nationaux ont travaillé sur la réalisation de nœuds papillons « génériques ». S’il est possible de s’en inspirer, il est indispensable de les adapter au cas étudié en prenant en compte les spécificités du site.

– le développement d’une méthodologie plus précise et harmonisée d’analyse de risque pour les études de dangers (ou safety reports ), dans le contexte de l’application de la directive Seveso II ; – l’identification et la qualification des principaux phénomènes accidentels majeurs (appréciation de la probabilité et de la gravité des effets physiques en utilisant, par exemple, la représentation sous forme de nœud papillon) ; – l’évaluation de la performance des fonctions et éléments de sécurité liés à la prévention des phénomènes accidentels ; – l’identification de la vulnérabilité de l’environnement des sites.

En fonction de la nature de l’événement redouté, les événements de base peuvent être dits « indésirables ». Citons, par exemple, un choc mécanique sur une canalisation pouvant aboutir à l’événement redouté : « brèche sur canalisation », ou bien la combinaison entre un événement courant et une défaillance, tel que le montage d’un bras de dépotage et l’absence de contrôle de bonne étanchéité pouvant aboutir à l’événement redouté « mauvaise étanchéité au niveau d’un bras de dépotage », en cas de montage défectueux. Le principal intérêt du nœud papillon est qu’il permet de visualiser l’ensemble des chemins conduisant des événements de base jusqu’à l’apparition des phénomènes dangereux. Chaque chemin décrit un scénario d’accident. Un scénario d’accident est défini comme un enchaînement d’événements aboutissant à un événement redouté, conduisant lui-même à des conséquences lourdes ou effets majeurs. Cette notion est présentée dans les articles relatifs à la méthode MOSAR [SE 4 060] [SE 4 061].

Le fondement de la méthode du « nœud papillon » est relativement simple. Elle propose pour un même événement redouté de réunir un arbre de défaillances pour expliciter les causes et un arbre d’événements pour expliciter les conséquences.

Différenciation des phénomènes dangereux

Valorisation des barrières de mitigation

PhD 1 EB1

ERS 1 EI1 ERS 2

EB2

PhD 2

ER ERS 3 EI2

ERS 4

Arbre de défaillances

Arbre d’événements

Arbre des conséquences

Identification des combinaisons de causes

Identification des événements redoutés secondaires

Identification des phénomènes dangereux

Figure 3 – Schéma d’un nœud papillon


ＴＳ

SE 4 055v2 – 5


Tableau 3 – Définition des événements composant un nœud papillon Identification

Signification

Définition

Exemples Dérive ou défaillance sortant du cadre des conditions d’exploitation usuelles définies (montée en température, sur remplissage, etc.)

EB

Événement de base

Événement dont la réalisation, seule ou combinée, est susceptible d’aboutir à la matérialisation d’un événement intermédiaire (EI)

EI

Événement intermédiaire

Événement dont la réalisation, seule ou combinée, est susceptible d’aboutir à la matérialisation de l’événement redouté (ER)

Montée en température non détectée, corrosion non détectée lors de test d’inspection, etc.

ER

Événement redouté

Événement résultant de dérives de paramètres de fonctionnement, ou de défaillances d’éléments, pouvant avoir des conséquences dommageables sur l’environnement

Rupture de capacité, brèche sur canalisation, décomposition de substance, etc.

ERS

Événement redouté secondaire

Conséquence directe de l’événement redouté

Formation d’une nappe d’hydrocarbure, fuite de gaz toxique, sur une durée de 10 min, etc.

PhD

Phénomène dangereux

Libération d’énergie ou de substance susceptible d’infliger un dommage à des cibles (ou éléments vulnérables) vivantes ou matérielles

Jet enflammé, BLEVE, Boil Over, explosion, etc.

Le nœud papillon permet alors de juger de la bonne maîtrise ou non des risques, en explicitant clairement le rôle de chacune des barrières de sécurité sur le déroulement d’un accident.

La méthode du nœud papillon est habituellement réservée pour l’analyse d’événements dont les combinaisons de causes sont complexes à identifier, et/ou lorsque des barrières de mitigation/protection sont prévues pour limiter les conséquences de l’événement redouté.

La figure 4 présente un exemple de ce type de représentation. Il est à noter que ces représentations simplifiées s’apparentent plus à la combinaison d’un arbre des causes et d’un arbre des conséquences qu’à un réel nœud papillon. En effet, pour la partie avale du nœud papillon, les différents ERS ne sont généralement pas tous détaillés et plus particulièrement ceux consécutifs au fonctionnement des barrières. Sur la représentation de la figure 4, les deux ERS possibles en fonction du fonctionnement ou non de la BM1 sont envisagés.

En fonction de l’utilisation du nœud papillon, il est possible que ces nœuds soient plus ou moins complexes (arborescence plus ou moins développée). La complexité d’un nœud papillon tient en effet : – au niveau de développement de l’arbre de défaillances ; – à la mise en évidence, explicite ou non, de la défaillance des barrières de prévention dans l’arbre de défaillances ; – à la mise en évidence, explicite ou non, de la défaillance des barrières de mitigation/protection dans l’arbre d’événements.

Lorsque les ERS consécutifs au fonctionnement des barrières sont susceptibles d’être à l’origine de phénomènes dangereux pouvant avoir des conséquences non négligeables, il est impératif de ne pas oublier de faire apparaître ces scénarios.

Ainsi, deux utilisations du nœud papillon sont à distinguer : – l’analyse qualitative des risques qui vise à identifier les différents scénarios d’accidents ; – l’analyse quantitative des risques qui vise à quantifier les probabilités des différents scénarios d’accidents.

Lorsque le nœud papillon est élaboré dans l’objectif de quantifier les probabilités des phénomènes dangereux, cet outil peut s’avérer relativement lourd à mettre en place et son utilisation ne doit être réservée qu’à des événements jugés particulièrement critiques pour lesquels une analyse détaillée du risque est indispensable. En d’autres termes, comme cet outil d’analyse peut être particulièrement coûteux en temps, il doit être utilisé à bon escient.

Lorsque le nœud papillon est réalisé uniquement dans le but de formaliser une démarche d’analyse des risques, les barrières de sécurité sont le plus souvent représentées sous la forme de barres verticales pour symboliser le fait qu’elles s’opposent au développement d’un chemin critique aboutissant à un accident. De ce fait, dans cette représentation, chaque chemin, conduisant d’une défaillance d’origine (événements de base de l’arbre de défaillances) jusqu’à l’apparition des phénomènes dangereux, désigne un scénario d’accident particulier pour un même événement redouté.

SE 4 055v2 – 6

Événement courant survenant de façon récurrente dans la vie d’une installation (vibration, maintenance, etc.)

Habituellement, les événements redoutés étudiés par un nœud papillon sont présélectionnés lors d’une étape d’évaluation préliminaire qui permet de hiérarchiser les risques.


ＴＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＰ

MOSAR Présentation de la méthode par

Pierre PERILHON Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM) Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)

1. 1.1 1.2 1.3 1.4

Nécessité d’une méthode d’analyse des risques d’une installation industrielle .............................................................. Problématique.............................................................................................. Les besoins d’analyse de risques............................................................... Les outils existants ...................................................................................... Nécessité d’une méthode ...........................................................................

2. 2.1

Structure générale de la méthode MOSAR ...................................... Les deux modules et les dix étapes ...........................................................

— —

4 4

3. 3.1 3.2

Modèles mis en œuvre : MADS............................................................ Description de MADS .................................................................................. Applications à une démarche méthodique ...............................................

— — —

4 4 5

4. 4.1 4.2 4.3 4.4 4.5

Différents modes de mise en œuvre de la méthode ...................... MOSAR comme boîte à outils .................................................................... Les parcours de MOSAR ............................................................................. Genèse de scénarios dans l’analyse de risques d’un site industriel ....... Extraits d’exemple d’analyse en conception d’une installation .............. Extrait d’exemple d’analyse en diagnostic d’une installation existante .

— — — — — —

7 7 8 9 10 13

5. 5.1 5.2 5.3 5.4 5.5

Avantages de la méthode ...................................................................... La réponse aux besoins .............................................................................. Exhaustivité.................................................................................................. Coordination des outils ............................................................................... Souplesse ..................................................................................................... Mise en œuvre en situation opérationnelle et pédagogique ...................

— — — — — —

14 14 15 15 15 15

Références bibliographiques .........................................................................

—

16


Doc. SE 4 062

SE 4 060 - 2 — 2 — 3 — 3 — 3

’analyse des risques d’une installation industrielle est une démarche complexe car cette dernière est elle-même une structure complexe constituée de machines, de stockages, en interaction entre eux, avec les opérateurs ainsi qu’avec l’environnement. Pour se donner le maximum de chances de mettre en évidence la majorité des risques d’une installation, une méthode logique est proposée : la méthode organisée systémique d’analyse des risques ou MOSAR. Elle fait appel à la modélisation systémique [1] car après avoir décomposé l’installation en sous-systèmes et recherché systématiquement les dangers présentés par chacun d’entre eux, ces sous-systèmes sont remis en relation pour faire apparaître des scénarios de risques majeurs. Cette partie de l’analyse est une APR (Analyse préliminaire des risques) évoluée car elle ne se contente pas de passer l’installation au crible de grilles préétablies issues du retour d’expérience. Elle construit, à partir d’une modélisation des différents types de dangers par le modèle MADS (Méthodologie d’analyse de dysfonctionnement des systèmes), les scénarios possibles. La négociation d’objectifs permet de hiérarchiser ces scénarios. La recherche systématique de barrières permet de neutraliser ces scénarios

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＳ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＴＵ

SE 4 060 − 1


MOSAR

______________________________________________________________________________________________________________________________

et leur qualification dans le temps en assure la pérennité. La démarche peut se poursuivre par une analyse détaillée de type sûreté de fonctionnement avec mise en œuvre d’outils comme les AMDEC (Analyse des modes de défaillance, de leurs effets et de leur criticité) (cf. article AMDEC-Moyen [AG 4 220] dans le traité l’Entreprise industrielle), les arbres de défaillances (cf. article Arbres de défaillance, des causes et d’événement [SE 4 050] dans ce traité), HAZOP (Hazard and Operability study) [4]. Sa constitution modulaire permet une grande souplesse d’utilisation. Elle se termine sur la construction des plans d’intervention. Le modèle MADS, élaboré dans les années 1980 par un groupe d’ingénieurs du CEA (Commissariat à l’énergie atomique) et d’universitaires de l’IUT de sécurité de Bordeaux, est une modélisation systémique générale du danger mise en œuvre ici de manière spécifique dans la méthode MOSAR. La méthode MOSAR complète fait l’objet d’un support [5], d’un résumé [8] et d’un logiciel d’apprentissage [6]. Cet article constitue la première partie d’une série consacrée à la méthode MOSAR : — MOSAR - Présentation de la méthode [SE 4 060] ; — MOSAR - Cas industriel [SE 4 061]. Terminologie Problématique

Une certaine façon de poser un ou des problèmes propres à une notion ou à un domaine de connaissance.

Méthodologie

Réflexion qui a pour objet d’examiner la nature, la valeur et le choix des matériaux avec lesquels nous pouvons construire notre connaissance en vue de déterminer à quels usages ils sont propres ou impropres.

Méthode

Programme réglant d’avance une suite d’opérations à accomplir et signalant certains errements à éviter, en vue d’atteindre un résultat déterminé.

Outils

Procédés techniques de calcul ou d’expérimentation utilisés pour le développement d’une méthode.

Analyse de risques

Toute démarche structurée permettant d’identifier, évaluer, maîtriser, manager et gérer des risques et notamment les risques industriels.

1. Nécessité d’une méthode d’analyse des risques d’une installation industrielle

O1 M1

O3

Une installation industrielle peut être modélisée comme un système ouvert sur son environnement, et composé essentiellement de matériels (M1 , M2 , M3 ...) et d’opérateurs (O1 , O2 , O3 ...), en interaction entre eux et avec l’environnement (figure 1).

O2

Les matériels (machines, stockages, appareils, bâtiments...) peuvent : — interagir de manière séquentielle (séquences linéaires, parallèles ou en réseaux) lorsqu’ils constituent des chaînes de fabrication ; — ou être isolés.

M3

Figure 1 – Modélisation d’une installation industrielle

Analyser les risques d’une installation va consister essentiellement à identifier les dysfonctionnements de nature technique et opératoire (opérationnelle, relationnelle, organisationnelle) dont l’enchaînement peut conduire à des événements non souhaités par rapport à des cibles (individus, populations, écosystèmes, systèmes matériels ou symboliques).

Les opérateurs sont tous les acteurs de l’installation depuis le responsable jusqu’à l’exécutant. Ils peuvent être aussi isolés ou en relation à travers des hiérarchies linéaires ou parallèles, des groupes en réseau ou des structures diverses.

SE 4 060 − 2

O4

M2

1.1 Problématique


ＴＶ


______________________________________________________________________________________________________________________________ MOSAR

Ces dysfonctionnements proviennent des matériels, de leurs liaisons et de leur proximité, ainsi que des opérateurs, de leurs liaisons entre eux et avec les matériels.

— de faciliter la communication avec le public ; — indispensable pour la construction des Plans d’Intervention : le Plan d’Opération Interne (POI) qui gère l’organisation des secours en cas d’accident à l’intérieur du périmètre de l’installation, sous la responsabilité du directeur de cette dernière ; le Plan Particulier d’Intervention (PPI) qui gère l’organisation des secours à l’extérieur du périmètre de l’installation, si les conséquences de l’accident franchissent ce périmètre, sous l’autorité du Préfet.

Il est possible d’imaginer analyser les risques d’une installation à un instant donné, par exemple à t 1 ou à t 2 . On dira alors que l’on a travaillé dans une coupe synchronique de l’installation. Mais entre les instants t 1 et t 2 , l’installation a évolué (diachronie). Il est donc impossible de faire l’analyse des risques d’une installation dans sa diachronie. Tout au plus pourra-t-on la pratiquer à certains moments discrets de cette dernière, que nous allons identifier, et l’on pourra éventuellement mettre en évidence des risques de transition entre ces moments.

1.3 Les outils existants Le contexte d’une analyse de risques peut être défini par deux situations principales : — on s’intéresse à un objet technique, par exemple un avion, un véhicule, une machine ; — on s’intéresse à un milieu plus complexe, par exemple un atelier de fabrication, une usine, une installation industrielle, agricole, urbaine... Ce milieu comportera bien sûr des objets comme des machines, des stockages, des alimentations en fluides, des engins de manutention..., mais il y aura beaucoup de relations entre ces objets et avec leur environnement.

Ces moments de vie d’une installation ou phases de vie sont les suivants : — conception (CO). C’est le travail de bureau d’études qui définit un cahier des charges, un dossier d’appel d’offre, un descriptif, un dossier de réalisation. Il est évidemment très intéressant d’analyser les risques en conception car on peut intégrer leur maîtrise dès le départ et cela est moins coûteux que de modifier par la suite l’installation pour des raisons de sécurité ; — montage (MO). C’est la phase de réalisation qui correspond au chantier avec des risques très spécifiques notamment de manutention ; — essais (ES) ou recette. C’est la phase qui permet de faire les vérifications de conformité par rapport au cahier des charges. Elle est souvent l’objet de risques spécifiques car les éléments de l’installation peuvent être testés jusqu’à leurs performances maximales voire au-delà ; — exploitation. Cette phase correspond aux périodes de mise en œuvre de l’installation. On peut la diviser en : • fonctionnement normal (on la symbolisera par EX) : l’installation fonctionne dans le cadre de ses caractéristiques nominales. Elle peut alors générer des nuisances et être la source d’accidents, • maintenance qui comprend : l’entretien (EN), préventif ou curatif, le dépannage (DE), • arrêt (AR). L’installation peut présenter des dangers spécifiques à l’arrêt ; — transformation. Cette phase concerne les transformations générant des risques spécifiques liés aux chantiers nécessaires pour les réaliser ou à l’installation transformée ; — démantèlement (DEM) ou déconstruction. Cette phase correspond aussi à une phase de chantier très spécifique.

Les méthodes et outils mis en œuvre pour l’analyse de risques ne seront pas les mêmes dans chacun des deux cas : — dans le premier cas ce sont plutôt les outils classiques de la Sûreté de fonctionnement qui seront utilisés (consulter à ce propos les articles Analyse préliminaire des risques [SE 4 010] et Arbres de défaillance, des causes et d’événement [SE 4 050] et la référence [4]) ; — dans le deuxième cas, ces outils seuls ne permettront qu’une analyse parcellaire, notamment des objets de l’installation, et il sera nécessaire de disposer de méthodes, c’est-à-dire de démarches complètes incluant bien sûr les outils, mais capables d’en organiser la mise en œuvre. Les outils disponibles peuvent être classés en deux catégories : — des outils semi-empiriques comme l’APR (Analyse Préliminaire des Risques) qui a donné lieu au développement de grilles issues du retour d’expérience, l’AMDE (Analyse des modes de défaillance et de leurs effets) et l’AMDEC (bien que normalisé il reste dans cette catégorie), HAZOP, l’Analyse Fonctionnelle ; — des outils logiques comme les arbres logiques (arbre de défaillances, arbres causes conséquences ou arbres d’événement) et des outils de type réseaux comme les chaînes de Markov (cf. article Relations entre probabilités et équations aux dérivées partielles [A 565] dans le traité Sciences fondamentales) ou les réseaux de Pétri (cf. articles Réseaux de Petri [R 7 252] dans le traité Mesures et Contrôle, Applications des réseaux de Petri [S 7 254] dans le traité Informatique industrielle et la Sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] § 5.5 dans le traité L’Entreprise industrielle). Tous ces outils permettent des approches par le calcul notamment en matière de probabilité.

Il est donc nécessaire de préciser la phase de vie de l’installation dans laquelle l’analyse est réalisée. Il est aussi possible de se situer dans une phase et de faire apparaître les risques principaux des autres phases. Une vision systémique consiste par exemple à prévoir et à maîtriser les risques apparaissant dans les autres phases dès la phase de conception.

La mise en œuvre de ces outils présente un certain nombre de difficultés. Ce sont en effet pour la plupart des outils dont l’origine est liée à l’analyse de fiabilité « d’objets » ou d’éléments « d’objets » et leur adéquation à l’analyse de risques n’est pas totale. Par ailleurs, leur mise en œuvre nécessite de l’information et l’outil en lui-même n’est pas générique de cette dernière.

1.2 Les besoins d’analyse de risques Nota : le lecteur consultera utilement sur ce sujet l’article Importance de la sécurité dans l’entreprise [AG 4 600] dans le traité l’Entreprise industrielle.

1.4 Nécessité d’une méthode

Les besoins dans ce domaine sont multiples. Si la connaissance et la maîtrise des risques de l’entreprise sont tout d’abord un problème d’éthique, ce sont aussi un moyen : — d’accroître la confiance du public, du personnel, des investisseurs et de conserver une bonne image de marque ; — de satisfaire les contraintes réglementaires multiples : Code du travail, installations classées pour la protection de l’environnement, circulaire Seveso, règles des services de prévention des CRAM (Caisses régionales d’assurance maladie) et des assurances ;

On voit donc apparaître une double nécessité : — essayer de rationaliser les outils à caractère empirique. Le modèle MADS (Méthodologie d’analyse de dysfonctionnement des systèmes) tente de répondre à ce besoin. Modélisation systémique générale du danger, le modèle MADS constitue la structure conceptuelle des outils et méthodes empiriques ou semi-empiriques qui se sont développés sur le terrain. MADS permet par exemple de faire apparaître les concepts de l’AMDEC ;


ＴＷ

SE 4 060 − 3


MOSAR

______________________________________________________________________________________________________________________________

blir un consensus sur les risques acceptables sous forme d’une grille Gravité-Probabilité ; — une vision microscopique conduisant à un module B qui consiste à faire une analyse détaillée et complémentaire des dysfonctionnements techniques et opératoires identifiés dans le module A. C’est en fait une approche de type « sûreté de fonctionnement » qui vient faire foisonner l’analyse précédente. Dans les scénarios établis dans le module A, on va développer les dysfonctionnements de nature opératoire et ceux de nature technique. C’est à ce niveau que l’on mettra en œuvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le module se termine par le rassemblement et l’organisation de l’information acquise pour la gestion des risques c’est-à-dire des scénarios identifiés s’ils surviennent.

— construire des méthodes qui assurent à la fois une cohérence dans le déroulement de la démarche analytique, qui facilitent et articulent la mise en œuvre des outils précités, et qui participent à la genèse de l’information nécessaire à la bonne utilisation de ces derniers. MOSAR essaie de répondre à ces contraintes. Dans MOSAR, MADS permet de faire apparaître la structuration des dangers et par conséquent de les identifier de manière rationnelle.

2. Structure générale de la méthode MOSAR

3. Modèles mis en œuvre : MADS

2.1 Les deux modules et les dix étapes La méthode s’articule autour de deux visions, d’où les deux modules qui la composent (figure 2) : — une vision macroscopique conduisant à un module A qui consiste à faire une analyse des risques de proximité ou analyse principale de sécurité ou analyse des risques principaux. C’est parce que les éléments qui constituent l’installation (stockages, machines, chaînes de fabrication, opérateurs) sont à proximité les uns des autres que des risques apparaissent, souvent majeurs. Ces éléments sont modélisés sous forme de systèmes ce qui va permettre d’identifier en quoi ils peuvent être sources de danger. On recherche ensuite comment ils peuvent interférer entre eux et avec leur environnement pour générer des scénarios d’accidents. Ce travail nécessite la mise en œuvre du modèle MADS (Méthodologie d’Analyse de Dysfonctionnement des Systèmes) [2] [3]. Ce module comporte aussi une phase de négociation avec les acteurs concernés, qui va permettre d’éta-

À partir d'une modélisation de l'installation

3.1 Description de MADS Le modèle MADS (Méthodologie de dysfonctionnement des systèmes, figure 3), appelé aussi Univers du danger est un outil initialement à vocation pédagogique qui permet de construire et de comprendre la problématique de l’analyse des risques. Il est construit sur les bases des principes de la modélisation systémique développés par Jean-Louis Le Moigne dans « La Théorie du Système général » [1]. L’univers du danger est formé de deux systèmes appelés système source de danger et système cible, en interaction et immergés dans un environnement dit actif.

Identifier les sources de dangers

Module A : vision macroscopique de l'installation Analyse principale de risques ou Analyse des risques principaux Identifier les scénarios de dangers Évaluer les scénarios de risques

Identifier les risques de fonctionnement

Négocier des objectifs et hiérarchiser les scénarios

Évaluer les risques en construisant des ADD et en les quantifiant

Définir les moyens de prévention et les qualifier

Négocier des objectifs précis de prévention Module B : vision microscopique de l'installation Analyse des risques de fonctionnement ou Sûreté de fonctionnement

Affiner les moyens de prévention Gérer les risques

ADD : arbre de défaillance

Figure 2 – Les deux modules et les dix étapes de MOSAR : le parcours complet du MOSAR

SE 4 060 − 4


ＴＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＱ

MOSAR Cas industriel par

Pierre PERILHON Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM) Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)

1. 1.1

Définition de l’exemple. Modélisation ............................................... Décomposition du système étudié et des systèmes environnement et opérateurs en sous-systèmes.................................................................

SE 4 061 - 2 —

2

2. 2.1 2.2 2.3 2.4 2.5 2.6

Le module A de la méthode et ses cinq étapes............................... Identification des sources de danger ......................................................... Identifier les scénarios de danger .............................................................. Évaluation des scénarios à risques ............................................................ Négociation d’objectifs et hiérarchisation des scénarios......................... Définition et qualification des moyens de prévention et de protection.. Conclusion sur le module A........................................................................

— — — — — — —

3 3 5 9 9 11 12

3. 3.1 3.2

Le module B de la méthode et ses cinq étapes ............................... Identifier les risques de fonctionnement ................................................... Évaluer les risques en construisant des arbres de défaillances et en les quantifiant ..................................................................................... Négocier des objectifs précis de prévention ............................................. Affiner les moyens de prévention .............................................................. Gérer les risques..........................................................................................

— —

13 13

— — — —

17 18 18 21

L’organisation des barrières dans une stratégie de défense en profondeur ...........................................................................................

—

22


—

24


Doc. SE 4 062

3.3 3.4 3.5 4.

a méthode MOSAR, décrite dans l’article MOSAR - Présentation de la méthode [SE 4 060], est ici développée à partir d’un exemple concret. Le choix de ce dernier répond à plusieurs contraintes : — difficulté de décrire un exemple industriel réel qui serait ainsi mis dans le domaine public ; — nécessité de choisir un exemple que l’on peut mettre sous forme pédagogique pour montrer l’intérêt de la méthode. Il doit être ni trop simple, ni trop compliqué et doit cependant montrer toute l’amplitude de la méthode ; — impossibilité de développer complètement l’exemple mais obligation d’en détailler suffisamment certaines phases pour en montrer l’efficacité. Nous avons donc retenu et construit en partie un exemple réaliste, par ailleurs suffisamment connu pour ne pas désarçonner les lecteurs et suffisamment riche pour en retenir l’attention.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＴ

L


ＴＹ

SE 4 061 − 1


MOSAR

______________________________________________________________________________________________________________________________

1. Définition de l’exemple. Modélisation

tions pour lesquelles une telle décomposition n’a pas d’intérêt, voire est impossible.

Nous prendrons comme exemple une installation de dépotage de propane alimentant des ateliers présentée sur la figure 1.

Elle permet cependant de générer des scénarios d’interférence ou de proximité entre les sous-systèmes si ces derniers peuvent être identifiés. Il existe plusieurs manières de décomposer une installation en sous-systèmes : — décomposition hiérarchique en fonction des relations des éléments de l’installation entre eux ; — décomposition topologique en fonction de la position des éléments de l’installation dans l’espace ; — décomposition fonctionnelle de par la situation des éléments de l’installation dans la chaîne de fonctionnement de cette dernière. Nous utiliserons une association des deux dernières en répondant à trois conditions : — les sous-systèmes répondent aux cinq critères d’un système (structure, fonction, finalité, évolution et environnement selon le modèle canonique de Le Moigne [1]) ; — chacun doit être homogène ; — leur nombre doit être le plus limité possible, en tout cas inférieur ou égal à 12.

C’est le cas d’un laboratoire qui comprend une multitude d’objets sans sous-systèmes clairement identifiables.

Les manières de segmenter le contexte sont multiples mais il faut remarquer que pour un découpage donné définissant le système à analyser, le reste du contexte se trouve dans l’environnement du système. Ainsi, quelle que soit la situation de la frontière retenue entre le système et son environnement, la somme des deux redonne toujours l’ensemble du contexte. Le système le plus dangereux dans ce contexte est l’installation de dépotage de propane. Elle sera donc le système sur lequel va porter l’analyse (figure 2).

1.1 Décomposition du système étudié et des systèmes environnement et opérateurs en sous-systèmes La décomposition du système étudié (ici, le système de dépotage) en sous-systèmes n’est pas obligatoire. Il existe des installa-

Lotissement

Lotissement

30 m

Voie ferrée

45 m

Dépotage 120 m Ateliers 250 m Parking

90 m Bâtiment administratif

70 m

30 m 20 m

Route

10 m 250 m

300 m Rivière

Figure 1 – L’installation étudiée

SE 4 061 − 2


ＵＰ


______________________________________________________________________________________________________________________________ MOSAR

Soupape

Sphère

Systèmes de connexion

Bras mobile Tuyau souple Opérateur Canalisations fixes

Wagon

Pompe

Vanne trois voies pour prélèvement contrôle qualité

Figure 2 – Le système étudié

2. Le module A de la méthode et ses cinq étapes

Dans le cas de l’installation de dépotage de propane, ceci conduit à cinq sous-systèmes (figure 3) : — SS1 - la sphère et ses équipements ; — SS2 - les tuyauteries de remplissage et d’équilibrage ;

Le lecteur consultera la figure 2 de l’article [SE 4 060].

— SS3 - le wagon et ses équipements ; — SS4 - le bras mobile ;

2.1 Identification des sources de danger

— SS5 - la pompe.

2.1.1 Identification des sources de danger de chaque sous-système du système dépotage

Pour ce qui concerne l’environnement on considère que celui-ci est constitué d’un ensemble d’environnements emboîtés [environnement spécifique directement lié à l’installation, environnement proche (ville, campagne), environnement lointain (département, régional)].

Il s’agit d’identifier en quoi chaque sous-système peut être source de danger.

On ne prend en compte, dans l’exemple, que l’environnement spécifique que l’on appellera pour simplifier, sous-système environnement.

Pour effectuer ce travail, on lit chaque sous-système à travers la grille de typologie des systèmes sources de danger décrite au § 2.2, encadré 1 de l’article [SE 4 060]. On remplit la première colonne du tableau A (figure 4).

Dans l’exemple, en ajoutant le sous-système opérateur et le sous-système environnement (figure 3), on arrive pour le contexte au total à sept sous-systèmes, dont on étudie d’abord l’interaction des cinq qui constituent le système dangereux (système étudié) et à partir du résultat obtenu dont on étudiera l’interaction avec les deux autres sous-systèmes.

En faisant cette identification pour tous les sous-systèmes, on obtient donc une liste exhaustive des dangers de l’installation dépotage. La colonne phases de vie permet de préciser certains dangers. Par exemple dans le cas de la sphère, si l’on fait l’analyse dans la phase d’exploitation normale, il n’y a pas de danger de manutention. En revanche, dans les phases montage et entretien il apparaît un danger de manutention avec les organes tels que les vannes et la soupape. Il est donc possible de faire l’analyse soit phase par phase, soit en cherchant à identifier les principaux dangers apparaissant dans les différentes phases.

On pourrait aussi étudier les interactions des éléments qui composent les sous-systèmes environnement et opérateurs et faire apparaître ainsi les interférences internes à ces systèmes avant d’étudier les interférences avec les autres sous-systèmes. C’est une approche complémentaire qui n’est pas développée dans ce document.

Remarque : Deux phrases mnémotechniques pour s’aider à trouver des réponses dans la recherche des processus de danger et stimuler son imagination : — qu’est-ce qui est et qui pourrait ne pas être ? Par exemple, il y a du courant électrique et il pourrait ne pas y en avoir ; — qu’est-ce qui n’est pas et qui pourrait être ? Plus difficile. Par exemple, il n’y a pas de fuite mais il pourrait y en avoir une.

Il en est de même pour les opérateurs. Ils sont constitués en équipes, structures hiérarchiques (services, départements...). Dans l’exemple, pour simplifier aussi, et d’une manière générale dans la méthode d’analyse, on ne modélisera dans un premier temps, d’une manière globale, qu’un opérateur que l’on appellera : sous-système opérateur.


ＵＱ

SE 4 061 − 3


MOSAR

______________________________________________________________________________________________________________________________

SS1 Sphère est ses équipements

SS5 Wagon et ses équipements

SS2 tuyauteries d'équilibrage et de remplissage

SS4 Bras mobile

SS6 sous-système opérateur

SS3 Pompe

Système analysé

Route Parking

CONTEXE

Lotissement Ateliers Bâtiments administratifs Voie ferrée Rivière

SS : Sous-système

SS7 Sous-système environnement

Figure 3 – La décomposition du contexte en sept sous-systèmes

2.1.2 Identification des processus de danger

comme tel. Il nous aide à faire apparaître des événements et leurs enchaînements pouvant avoir des effets non souhaités sur des cibles qui, à ce niveau, ne sont pas encore identifiées. Il appartient à l’analyste de se servir des identifications d’événements pour construire des chaînes plus ou moins longues d’enchaînements.

Ce travail se fait ligne par ligne en recherchant les événements qui constituent les processus de danger. On utilise le tableau A (figure 4) en commençant par la colonne des événements initiaux. Ces derniers peuvent provenir soit du contenant, c’est-à-dire de l’enveloppe du système source, soit de son contenu. On recherche ensuite les événements initiateurs qui peuvent engendrer les événements initiaux et on les note dans la colonne correspondante du tableau A. Ces événements peuvent être d’origine interne ou externe au système source de danger. Dans ce dernier cas ils sont générés par les champs.

Exemple : l’événement surpression apparaît à deux endroits différents dans la recherche des processus de danger liés à la pression : — c’est un événement initiateur interne d’une rupture ou d’une fissure de l’enveloppe ; — c’est un événement initial interne dont l’événement initiateur interne est un dysfonctionnement de soupape et l’événement initiateur externe un flux thermique. La chaîne complète devient :

La chaîne événements initiateurs – événements initiaux génère des événements principaux que l’on note dans la dernière colonne à droite du tableau A (figure 4).

Flux thermique

surpression interne

&

fissure rupture

Dysfonctionnement de soupape

2.1.3 Remarques Cette technique nous donne un outil de génération d’un ensemble d’événements. Ce n’est qu’un outil qu’il faut utiliser

SE 4 061 − 4

& &

Dans l’identification des événements principaux, il faut prendre garde à ne pas noter des interférences avec les autres sous-


ＵＲ


______________________________________________________________________________________________________________________________ MOSAR

Phases de vie : Conception Montage Essais Exploitation : Entretien Dépannage Arrêt Transformation Démantèlement

CO MO ES EX EN DE AR TR DEM

Événements renforçateurs : Sources d'allumage Densité de population Densité de circulation de trains et de véhicules

Influence des champs : Conditions météo Corrosivité de l'air Productivité Réglementation Maintenance Organisation des équipes Qualité de formation du personnel

Événements initiateurs (3)

Types de systèmes sources de danger (1) Application de la grille

Phases de vie

A 1 - sphère et ses équipements

Externes (environnement actif)

EX

A 2 - support

Événements initiaux (2) Événements principaux

Internes

Liés au contenant

Liés au contenu

Choc Corrosion Flux thermique

Corrosion Surpression Dysfonctionnement soupape

Rupture Fissure

Surpression

EX

Corrosion

Corrosion Surcharge

Rupture Déformation

A 3 - propane vannes, soupape

EX

Erreur de remplissage Choc, Givrage Obstacle

Dysfonctionnement de la vanne Prélèvement

Blocage

A 4 - vannes, soupape

EN MO

Choc manutention en cours de montage ou de remontage

Déformation Fissuration

A 5 - sphère

EX

Énergie thermique

Diminution de résistance mécanique

A 6 - sphère

EN DE EX

Pluie Gel Maladresse

Structure glissante Accès hauteur

Accès en hauteur dangereux

A 7 - cuvette de rétention

EN DE EX

Maladresse Fatigue

Dénivellement

Circulation à pied dangereuse

A 8 - équipements

EN DE EX

Maladresse

Aspérités

Possibilité de blessures

B 2 - sphère

EX

Entrée d'air

Explosion

Explosion de la sphère

D 3 - propane

EX

Électricité statique

Fuite

Fuite enflammée

EX

Mauvaise mise à la terre

Déplacement propane


E 2 - électricité statique

Fuite de propane : gaz liquide Déformation Effondrement Renversement

Débit trop grand

Sphère trop pleine Fuite

Fuite

Montée en température

BLEVE

Figure 4 – Tableau A : établissement des processus de danger du sous-système sphère

2.2 Identifier les scénarios de danger

systèmes sinon la génération de scénarios deviendra confuse par la suite.

Dans les installations industrielles, notamment celles présentant des risques de nature chimique, on admet que les scénarios d’accidents majeurs sont connus notamment grâce au retour d’expérience. On en retient généralement six principaux [2] : — incendie ; — explosion ; — libération de produits toxiques ; — libération de produits inflammables ; — pollution des sols ; — pollution des eaux.

Ne pas écrire explosion dans l’événement principal du processus de danger lié à la pression. Encore faut-il que la nappe de propane générée par la fuite rencontre une source d’allumage (dans une cible) pour qu’il y ait explosion. De la même manière, ne pas écrire chute de hauteur dans le processus de danger lié à l’accès en hauteur de la sphère car encore faut-il qu’un opérateur ait à accéder sur la sphère pour que cela entraîne sa chute. On ne tient pas compte des barrières de prévention et de protection existantes notamment pour une installation en fonctionnement. En effet, si l’on veut pouvoir juger de la pertinence des barrières prévues (projet) ou existantes (diagnostic), il est nécessaire de faire un point zéro sans barrières.

Il est intéressant, voire indispensable de pouvoir générer des scénarios d’accidents possibles [ou plus généralement des scénarios d’événement non souhaité (ENS)] et notamment de faire apparaître les principaux. Ceci permet en effet :


ＵＳ

SE 4 061 − 5

ＵＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＰ

Analyse des risques des systèmes dynamiques : préliminaires par

Jean-Pierre SIGNORET Maître ès sciences. Ingénieur fiabiliste Total Ancien Président de European Safety & Reliability Society (ESRA) Animateur du groupe de travail « Recherche méthodologique » de l’IMdR-SdF

1.

Notion de « Risque »...............................................................................

2.

Démarche générale..................................................................................

—

2

3.

Sécurité versus disponibilité (de production)..................................

—

2

4.

Méthodes et outils...................................................................................

—

4

5.

Systèmes dynamiques ............................................................................

—

5


—

5

SE 4 070 - 2

nalyse des risques des systèmes dynamiques : choisi pour ne comporter que des mots du langage courant, un tel titre ne devrait générer aucune ambiguïté sur son objet. Cependant, dans le domaine fiabiliste, beaucoup de termes font l’objet d’une certaine dérive sémantique qui brouille les propos à l’insu même des interlocuteurs. Ainsi nous aurions pu substituer Sûreté de fonctionnement (SdF) à Analyse des risques, mais ce terme restant encore très fortement connoté sécurité, cela n’aurait pas correspondu complètement à l’esprit de cet article où nous nous préoccupons aussi d’aspects économiques comme la disponibilité de production, par exemple. En effet, défini comme une grandeur à deux dimensions (probabilité × conséquences), le risque a l’immense avantage d’appréhender, dans le même concept, des risques de nature complètement différente et, dans cet exposé préliminaire, nous nous efforcerons de montrer comment le corpus de méthodes et d’outils fiabilistes développés ces cinquante dernières années permet de faire face aux divers types de risques rencontrés. De même, tout système industriel étant peu ou prou « dynamique », l’appellation système dynamique constitue un raccourci pour désigner les méthodes et modèles fiabilistes auxquels nous allons nous intéresser pour représenter le comportement des systèmes étudiés. Les travaux réalisés par l’ingénieur fiabiliste s’inscrivent en effet dans une démarche d’analyse systématique, systémique et probabiliste mettant en œuvre toute une batterie de méthodes et d’outils que l’on peut globalement répartir en trois grandes classes : — méthodes de base pour aborder et dégrossir les problèmes ; — méthodes statiques pour analyser les systèmes d’un point de vue structurel (topologique) ; — méthodes dynamiques pour appréhender les aspects comportementaux. Cette classification traduit une certaine gradation dans le degré d’expertise nécessaire à la mise en œuvre des méthodes et surtout des outils qui prennent de plus en plus l’allure de boîtes noires dont les limitations échappent souvent à ceux qui les utilisent.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＵ

A

Le but de cet article introductif est de discuter rapidement des différentes classes de méthodes et d’outils afin de mettre en lumière leurs rôles respectifs ainsi que quelques-uns des problèmes attachés à leurs limitations, puis de situer plus précisément dans cette démarche générale les méthodes dynamiques qui feront l’objet d’articles spécifiques ultérieurs : — processus de Markov (méthode analytique) [SE 4 071] ; — réseaux de Petri stochastiques (simulation de Monte Carlo) [SE 4 072].


ＵＵ

SE 4 070 − 1

ＵＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＲ

Méthode MADS-MOSAR Pour en favoriser la mise en œuvre par

Olivier GRANDAMAS Docteur en génie de l’environnement Directeur d’Asphaleia

1.

Problématique ...........................................................................................

2.

Modèle de référence ................................................................................

—

2

3.

Mise en œuvre de MADS-MOSAR ........................................................

—

3

4.

Mises en œuvre complémentaires .......................................................

—

8

5.

Adéquation méthode/problématique ..................................................

—

9

6.

Autre champs d’application ..................................................................

—

9

7.

Exemple d’application.............................................................................

—

9

8.

Avantages et inconvénients ..................................................................

—

14

9.

Mise en œuvre ...........................................................................................

—

15

10.

Conclusion..................................................................................................

—

15


SE 4 062 - 2

Doc. SE 4 062

’objectif de cette présentation est d’apporter, en complément des articles [SE 4 060] et [SE 4 061] sur la méthode MOSAR, un regard très « pratique » sur la mise en œuvre de MADS-MOSAR. Force est de constater à ce jour que, si cette méthode est toujours enseignée, elle est très peu appliquée. On retient aujourd’hui que ses principes sont bons mais que sa mise en œuvre est lourde et fastidieuse, qu’elle est réservée à des experts et que le rapport temps passé sur travail produit est beaucoup trop important. L’objectif est donc ici d’inverser cette perception et de convaincre le lecteur des très nombreux avantages de MADS-MOSAR, en comparaison notamment avec d’autres méthodologies. Ce travail est le fruit d’une expérience de près de 20 ans dans la mise en œuvre de MADS-MOSAR pour analyser les risques de systèmes divers et variés. Utiliser cette méthodologie comme support pour assurer des prestations dans un bureau d’études oblige à se poser beaucoup de questions et à trouver obligatoirement des réponses permettant de produire une analyse conforme aux attentes, notamment réglementaires, tout en étant rentable. Toute cette expérience et ce travail vont être restitués dans cet article, avec le souci permanent d’axer la présentation de la méthode sous un aspect « pratique », indispensable à son appropriation. Certains y trouveront probablement une rupture avec ce qui est classiquement présenté sur MADS-MOSAR, notamment dans les articles précédents. Une telle rupture semble être le prix de son opérationnalité.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＰ

L


ＵＷ

SE 4 062 – 1


MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________

1. Problématique

tème industriel. Les responsables de ces systèmes doivent assurer la protection de leur personnel et de l’environnement, mais doivent également assurer la pérennité de leurs installations et de leur production. Ce sont sur ces fondements que sont nés les plans de continuité d’activité (PCA). Quels sont tous les risques qui peuvent se produire et in fine entraîner la perte d’exploitation de tout ou partie du système ? Y répondre nécessite la réalisation d’une analyse de risques.

MADS-MOSAR est une méthode d’analyse de risques élaborée par Pierre Périlhon [1] [2]. L’analyse de risques est « née » au début des années 1960. Le besoin d’analyser les risques est parti de la nécessité de fiabiliser des systèmes, militaires à l’origine. On a donc mis en œuvre des méthodologies pour assurer la sûreté de fonctionnement de systèmes complexes. Ces méthodologies liées à la sûreté de fonctionnement ont été ensuite appliquées à des systèmes plus industriels pour répondre notamment à des exigences réglementaires. La loi de 1977 sur les installations classées, renforcée par la première réglementation européenne dite « Seveso » ont poussé les industriels à produire des analyses de risques afin de démontrer qu’ils avaient non seulement identifié les risques liés à l’exploitation de leur système, mais qu’ils avaient également pris toutes les dispositions pour en assurer la maîtrise.

La perte d’activité a également des effets domino sur les finances. Il y a donc obligatoirement un lien entre analyse de risques et risques financiers. Enfin, avec la conjoncture actuelle et son lot de mutations, de reclassements, de fermetures de sites, de préretraites, savoir analyser les risques psycho-sociaux entre également dans le spectre de l’analyse de risques sur des systèmes industriels. La nécessité de réaliser des analyses de risques ne se limite cependant pas aux risques industriels.

Pour produire ces analyses, les industriels, accompagnés par les bureaux d’études, ont utilisé les méthodes qu’ils maîtrisaient pour la sûreté de fonctionnement. Par des analyses HAZOP ou AMDEC, deux méthodologies issues de la sûreté de fonctionnement, ils ont produit les études de danger réglementairement demandées. Jusqu’à la fin du siècle dernier, 99 % de ces analyses de risques étaient produites à partir de ces méthodes.

Les risques naturels, les risques urbains et leurs interactions avec les risques industriels nécessitent également de mener à bien des analyses de risques. Pour établir son plan communal de sauvegarde, un maire doit avoir au préalable analysé les risques auxquels ses administrés peuvent être exposés. Il doit aussi et surtout avoir pris les mesures de prévention et de protection pour les protéger.

Les retours d’expériences ont démontré des lacunes dans ces analyses de risques. Un certain nombre de pré-accidents, voire d’accidents, se sont produits sur des sites à risques. Leur analyse a montré que des scénarios non étudiés dans les analyses de risques produites se matérialisaient. Un manque d’exhaustivité et de systématisme était mis en évidence.

En conclusion, il n’y a pas aujourd’hui un système industriel, naturel ou urbain qui échappe à l’analyse de risques. Compte tenu de ce spectre, il existe presque autant de méthodologies que de problématiques. Ne peut-on pas utiliser une seule et même référence méthodologique pour analyser les risques de ces différents systèmes avec différents objectifs ?

Les législateurs ont fait évoluer la réglementation et, pour les installations classées pour la protection de l’environnement (ICPE), « Seveso 2 » a vu le jour. Une des évolutions de la réglementation est de réaliser une analyse de risques systématique d’un site, sans se focaliser uniquement sur les potentiels de danger les plus importants. La notion d’effets domino en est la concrétisation.

Le modèle de référence de MADS-MOSAR le permet, encore faut-il le démontrer.

2. Modèle de référence

Force est de constater que les méthodes utilisées jusqu’ici ne sont plus pleinement adaptées. Réaliser une HAZOP est faire l’analyse de risques d’un procédé. Son application, de par sa logique, ne permet pas de prendre en compte systématiquement les interactions de ce procédé avec son environnement. L’HAZOP doit être complétée par une approche plus macroscopique. L’AMDEC, de par son formalisme ne permet pas une prise en compte systématique des effets domino. C’est à celui qui utilise cette méthodologie de bien identifier les « causes » et les « conséquences » des potentiels de danger qu’il a identifiés.

Afin de bien situer la méthode MADS-MOSAR, il est nécessaire de faire le point sur la problématique de la maîtrise des risques. La maîtrise des risques est le corps de connaissances transversales qui a pour objectif de traiter (identifier, maîtriser, gérer et manager) des événements non souhaités ou indésirés (des dysfonctionnements) issus de la structure, de l’activité, de l’évolution, de la finalité ou de l’environnement des systèmes naturels ou artificiels.

On constate dès lors que les analyses de risques réalisées aujourd’hui sont des patchworks de méthodologies différentes dans l’objectif de couvrir l’ensemble des exigences réglementaires.

Ces événements provoquent ou sont susceptibles de provoquer des impacts sur des installations et/ou êtres vivants tels que les individus, les populations, les écosystèmes.

Il faut dire que la réglementation en la matière a considérablement évolué, et qu’aujourd’hui, produire une analyse de risques en bonne et due forme ne s’invente pas.

L’application de cette connaissance au problème des analyses de risques nécessite au préalable une réflexion épistémologique afin de dégager un langage unitaire, des concepts transversaux.

Cette vision des analyses de risques dans le contexte des installations classées pour la protection de l’environnement est cependant très restrictive.

L’approche systémique propose des principes méthodologiques d’investigation des systèmes naturels et artificiels pour améliorer leur conception, leur fonctionnement et leur gestion.

L’analyse de risques est donc devenue omniprésente dans nos problématiques actuelles.

Sur la base de la systémique et en particulier du concept de systèmes proposé par J.L. Lemoigne [3], le groupe MADS (Méthode d’analyse du dysfonctionnement des systèmes) a développé un modèle de référence appelé processus qui s’adapte à la problématique de la maîtrise des risques [4] [5].

Dans le monde industriel et les sites de production, il est aujourd’hui nécessaire de réaliser une analyse de risques pour produire le document unique né de l’évaluation des risques professionnels conformément au Code du travail (réglementation remise au goût du jour en novembre 2001). Réaliser une étude ATEX (atmosphère explosible) nécessite également de réaliser une analyse de risques.

Pour établir ce modèle, on appelle flux des transactions non désirées d’un système avec son environnement et champ, l’environnement actif dont les fluctuations produisent des ruptures de stabilité du système.

Ces besoins en analyse de risques vont également au-delà des problématiques hygiène, sécurité et environnement de tout sys-

SE 4 062 – 2


ＵＸ


_____________________________________________________________________________________________________________ MÉTHODE MADS-MOSAR

Source

Cible

Source de flux

Effets du flux

miner la recherche de processus source-flux-cible par simple positionnement des sous-systèmes les uns par rapport aux autres. La méthode MADS-MOSAR n’impose pas de règle de modélisation. La personne qui réalise l’analyse de risques avec MADS-MOSAR est libre de modéliser comme bon lui semble. Cependant, par expérience, il est important de donner quelques conseils.

Flux Figure 1 – Modèle de référence

■ Conseils pratiques L’origine du flux sera appelée source ; la rupture d’équilibre concernant sa forme et/ou son comportement sera nommée source de flux. La partie influée par le flux sera appelée cible ; sa rupture d’équilibre sera nommée effet.

• La modélisation est réalisée indépendamment de la problématique de risques. On ne se dit pas : « Je ne prends pas en compte ce sous-système parce qu’il n’y a pas de risque ». Un tel raisonnement s’avérerait dangereux. Modéliser un sous-système sans lui associer de source signifie que ce système a bien été étudié et qu’il ne comporte pas de source.

Il est à noter que cet effet peut lui-même être source (transformant ainsi une cible en une source), ce qui traduit le phénomène d’enchaînement d’événements non désirés que l’on appelle scénario.

• La modélisation est indépendante de la problématique analysée. Que je fasse du document unique ou de l’étude de danger, je dois disposer de la même modélisation.

Une analyse de risque consiste donc à étudier le processus, c’est-à-dire la mise en relation d’une source avec une cible au moyen de phénomènes appelés flux dans un environnement actif appelé champ.

• Si possible, la modélisation doit reprendre les termes qui caractérisent le système étudié et qui sont communément utilisés par les personnes qui exploitent le système.

Le modèle de référence est présenté figure 1.

• Il faut privilégier une modélisation géographique et fonctionnelle à une modélisation organisationnelle. En effet, une organisation, cela évolue sans cesse. Si à chaque fois que l’organisation changeait, il fallait actualiser l’analyse de risques, cette contrainte serait rédhibitoire. En revanche, l’organisation peut se greffer à la modélisation. On peut associer un service, une personne à un sous-système modélisé.

3. Mise en œuvre de MADS-MOSAR

• Il faut privilégier une modélisation géographique à une modélisation fonctionnelle. Une modélisation géographique est beaucoup plus parlante. Elle peut être couplée à un plan. Une modélisation fonctionnelle est à réserver pour des réseaux. On ne va pas créer un sous-système « Réseau d’air comprimé » dans chaque local desservi. On va prendre en compte un seul et même système.

En appliquant MADS-MOSAR, pour réaliser une analyse de risques avec ce moteur de référence, il est nécessaire de procéder étape par étape : 1. modélisation sous-systèmes ;

du

système

étudié

en

le

découpant

en

2. identification des sources ;

• Les sous-systèmes modélisés peuvent être regroupés par finalité. On va créer un système « Réseaux » et dans ce sous-système, créer « Réseau d’air comprimé », « Réseau de vapeur ». Les mêmes règles peuvent être appliquées aux véhicules, aux engins.

3. association des événements ; 4. construction des processus ; 5. construction des scénarios ;

• Quel que soit le système étudié, quelle que soit son échelle, il est conseillé de prendre en compte par défaut trois sous-systèmes, indépendamment du système étudié : sous-systèmes « Environnement naturel », « Environnement technologique » et « Environnement urbain ». La prise en compte systématique de ces soussystèmes garantit l’exhaustivité dans la prise en compte des effets domino entre le système étudié et son environnement.

6. construction des arbres logiques ; 7. identification des mesures de maîtrise des risques ; 8. identification des mesures de pérennité.

3.1 Modélisation

Le fait de ne pas oublier de sous-systèmes est primordial ; c’est le garant de l’exhaustivité. Dans la suite de l’analyse, il va falloir identifier les sources. Cette identification se fera sous-système par sous-système, de manière systématique, indépendamment les uns des autres. Oublier un sous-système, c’est oublier des sources ou des cibles, c’est donc oublier des scénarios et donc occulter la mise en œuvre des mesures de maîtrise des risques nécessaires.

• Toujours par souci de simplification, il est préconisé de prendre en compte systématiquement un système « Hommes » et de le décomposer en sous-systèmes : « Personnel », « Entreprises extérieurs », « Visiteurs » et « Population ». Une telle décomposition se justifie pour un système industriel, mais serait différente pour un système naturel ou urbain. L’homme est omniprésent dans le système étudié et son environnement. Considérer l’homme comme une source et une cible est un minimum. Malheureusement, si l’on considère l’homme seulement comme une source et une cible, on va obligatoirement le retrouver dans tous les systèmes modélisés. On va alors démultiplier l’analyse et considérablement l’alourdir en répétant à chaque système des mesures de maîtrise des risques pour l’homme qui, finalement s’avèrent génériques. Rien n’empêche de décomposer le sous-système « Personnel » en « Personnel administratif » et « Personnel technique », ce dernier pouvant encore être décomposé en « Cariste », « Pontier », « Soudeur ». Une telle modélisation s’applique parfaitement aux objectifs de l’évaluation des risques professionnels.

Quant à l’optimisation, elle est liée au simple fait que des sous-systèmes physiquement éloignés ne pourront pas être à l’origine de flux susceptibles de les impacter. On va donc pouvoir éli-

• La modélisation peut s’envisager par étapes. On peut la faire évoluer, non pas dans sa transversalité, ce qui est plus délicat, mais dans sa profondeur. On réalise une étude de danger, on

La modélisation du système à étudier consiste en une décomposition sous forme de sous-systèmes à partir : – de représentations du système (descriptions, schémas, plans, etc.) ; – d’une visite du système ; – d’échanges avec les acteurs du système. La modélisation du système étudié permet d’atteindre deux objectifs cruciaux en analyse de risques : l’exhaustivité et l’optimisation.


ＵＹ

SE 4 062 – 3


MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________

modélise un sous-système « Local transformateur ». Compte tenu des objectifs de l’analyse, il ne s’avère pas nécessaire de le redécomposer en sous-systèmes. Les risques identifiés seront liés à l’incendie et à la pollution. En revanche, si l’on a pour objectif une évaluation du risque professionnel ou un plan de continuité d’activité, il va être nécessaire de décomposer ce système.

Tableau 1 – Typologie associée aux sources Code

Type de danger

A.1

Appareils sous pressions

A.2

Éléments sous contraintes mécaniques

3.2 Identification des sources

A.3

Éléments en mouvement

A.4

Éléments nécessitant une manutention

La première étape dans la construction des processus source-flux-cible est bien évidemment l’identification des sources à l’origine potentielle des flux susceptibles d’impacter une cible. La source est le potentiel de danger susceptible de générer un flux pouvant impacter une cible. La méthodologie MADS-MOSAR consiste à identifier toutes les sources, sous-système par sous-système. Cette identification peut être réalisée de différentes manières : en groupe de travail, à travers des documents (fiches de données de sécurité), par retour d’expérience, etc. MADS-MOSAR met à la disposition de ses utilisateurs une liste de typologie des sources. La grille de typologie des sources, présentée dans le tableau 1 distingue les systèmes sources de danger d’origine mécanique (A), chimique (B), électrique (C), les systèmes sources de danger d’incendie (D), radiologiques (E), les systèmes sources de danger biologique (F), sources de perte d’activité (G) et les systèmes sources d’origine humaine (H). Cette grille a pour premier objectif d’aider dans l’identification des sources. Pour ce faire, sous-système par sous-système, on parcourt cette grille en se posant systématiquement les questions suivantes : dans ce sous-système, y a-t-il des éléments sous pression ? Y a-t-il des éléments sous contraintes mécaniques ? Y a-t-il des éléments en mouvement ? Si oui, on associe au sous-système étudié les noms des sources correspondantes, avec leur typologie : bouteille d’azote – A.1, poutre du pont-roulant – A.2, chariot élévateur – A.3... On peut identifier plusieurs sources pour un même système. Une source peut porter le même nom mais pas la même typologie. Une bouteille de gaz sous pression présente une source du fait qu’elle soit sous pression (A.1) mais aussi du fait qu’elle soit source de chute de hauteur (A.6). On notera alors : bouteille de gaz – A.1 et bouteille de gaz – A.6. Cette typologie a aussi pour objectif de classer les sources et en faciliter ainsi l’exploitation. Il est possible alors de rechercher par exemple toutes les sources d’explosion présentes dans un sous-système donné.

A.5

Systèmes sources d’explosions d’origine physique autres que A.1

A.6

Systèmes sources de chute de hauteur

A.7

Systèmes sources de chute de plain-pied

A.8

Autres systèmes sources de blessures

A.9

Systèmes sources de bruit et de vibrations

B.1

Systèmes sources de réactions chimiques

B.2

Systèmes sources d’explosion

B.3

Systèmes sources de toxicité et d’agressivité

B.4

Systèmes sources de pollution de l’atmosphère et d’odeurs

B.5

Systèmes sources de manque d’oxygène

C.1

Électricité à courant continu ou alternatif

C.2


C.3

Condensateurs de puissance

D

Systèmes sources d’incendie

E.1

Systèmes sources radiologiques

E.2

UV – IR – Visible

E.3

Lasers

E.4

Micro-ondes

E.5

Champs magnétiques

F.1

Virus – Bactéries

F.2

Toxines

G

Source de par sa fonction

H

Source d’origine humaine

■ Conseils pratiques • L’identification des sources ne doit s’envisager qu’une fois la modélisation terminée. On procède ainsi étape par étape. L’analyse n’en sera que plus cohérente et plus efficace.

3.3 Association des événements Une fois les sources identifiées, il faut leur associer des événements, conformément au modèle MADS. On distingue (figure 2) : – l’événement initial (EI) ; – les événements initiateurs internes (EII) ; – les événements initiateurs externes (EIE) ; – les événements principaux (EP).

• Il est plus aisé de regrouper les sous-systèmes par problématique. On va identifier les sources dans tous les réseaux, puis dans tous les engins, puis dans tous les véhicules, etc. • Au couple source-typologie, il est indispensable d’associer une phase de vie. En effet, on peut retrouver une source qualifiée par un même nom et par une même typologie, mais identifiée dans une phase de vie du système différente. Par exemple, un chariot élévateur en mouvement (A.3) peut être identifié en « Exploitation », mais aussi en « Maintenance ». Il est crucial de les distinguer ainsi car ils ne présenteront pas les mêmes risques ; on ne mettra pas en œuvre les mêmes mesures de maîtrise des risques. En conséquence, une source doit être obligatoirement définie par un nom, une typologie et une phase de vie. Ce conseil trouve toute sa raison d’être quand on constate que la réglementation sur les ICPE impose de réaliser une analyse de risques dans toutes les phases de vie du système.

SE 4 062 – 4

L’événement initial (EI) : c’est l’événement redouté lié à la source (rupture de confinement, incendie, explosion, etc.). Les événements initiateurs internes (EII) : ce sont les événements internes propres à la source et qui peuvent initier à eux seuls l’occurrence EI (usure, corrosion, dysfonctionnement, etc.). Les événements initiateurs externes (EIE) : ce sont les événements extérieurs à la source de danger et qui peuvent initier à eux seuls l’occurrence EI (flux thermique chaud, flux liquide, action involontaire, etc.).


ＶＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ

>ÞÃiÊìÃÊÀÃµÕiÃÊìÃÊÃÞÃÌmiÃÊ `Þ>µÕiÃÊ\Ê>««ÀViÊ>ÀÛii «>À

i>*iÀÀi - ", / >ÌÀiÊmÃÊÃViViÃ°Ê}jiÕÀÊw>LÃÌiÊ/Ì> ViÊÛVi«ÀjÃìÌÊìÊ½ÃÌÌÕÌÊìÊ-×ÀiÌjÊìÊVÌiiÌÊ-`® ViÊ*ÀjÃìÌÊìÊ ÕÀ«i>Ê->viÌÞÊEÊ,i>LÌÞÊÃÃV>ÌÊ -,® >ÌiÕÀÊ`ÕÊ}ÀÕ«iÊìÊÌÀ>Û>ÊÊ,iViÀViÊjÌ`}µÕiÊÊìÊ½`,-`

£°

ÃÌÀÕVÌÊ}À>«µÕiÊ`½ÕÊ}À>«iÊìÊ>ÀÛ °°°°°°°°°°°°°°°°°°°°°°°°°°°°

Ó° Ó°£ Ó°Ó Ó°Î

««ÀViÊ>ÀÛiiÊV>ÃÃµÕi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° +ÕiµÕiÃÊ`jwÌÃÊìÊL>Ãi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° À>«iÊìÊ>ÀÛÊÛiÀÃÕÃÊ«>À>mÌÀiÃÊV>ÃÃµÕiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° +ÕiµÕiÃÊjjiÌÃÊÌjÀµÕiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p p p p

Î Î { x

Î° Î°£ Î°Ó Î°Î

««ÀViÊÊÕÌjÌ>ÌÊ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ÌÀ`ÕVÌ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Ýi«iÃÊìÊ}À>«iÃÊìÊ>ÀÛÊ«ÕÀÊìÃÊÃÞÃÌmiÃÊÃ«iÃ°°°°°°°°°°°°°°°° ,j`ÕVÌÊìÊ>ÊÌ>iÊìÃÊ}À>«iÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p p p p

n n £Ó £{

{° {°£ {°Ó

*ÀViÃÃÕÃÊÕÌ«>ÃiÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ÌÀ`ÕVÌ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Ýi«iÃÊÃ«iÃÊìÊÃÞÃÌmiÃÊÕÌ«>ÃiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p p p

£n £n £n

x° x°£ x°Ó

Ì>ÌÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° />ÕÝÊìÊÌÀ>ÃÌÊVÃÌ>ÌÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° }>ÌÃiÊ`ÕÊLÀiÊ`½jÌ>ÌÃÊiÌÊ`vwVÕÌjÃÊìÊVÃÌÀÕVÌ°°°°°°°°°°°°°°°°°°

p p p

ÓÓ ÓÓ ÓÓ

È°

VÕÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p

ÓÎ

,jvjÀiViÃÊLL}À>«µÕiÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p

ÓÎ

- Ê{ÊäÇ£ÊÊÓ

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＵ

½>««ÀViÊ >ÀÛiiÊ iÃÌÊ >Ê `Þii]Ê `VÊ >Ê «ÕÃÊ VÕiÊ iÌÊ >Ê «ÕÃ ÕÌÃji]ÊìÃÊjÌìÃÊÃiÃÊiÊ ÕÛÀiÊ«ÕÀÊiÊÌÀ>ÌiiÌÊ«ÀL>LÃÌiÊìÃ ÃÞÃÌmiÃÊÃiÊV«ÀÌ>ÌÊ`Þ>µÕiiÌ°

iÊiÌÀiÊ`>ÃÊ>ÊV>ÃÃiÊìÃÊÊ>««ÀViÃÊ>>ÞÌµÕiÃÊ«>ÀÊjÌ>ÌÃ ÊL>ÃjiÃÊÃÕÀ ½ìÌwV>ÌÊ ìÃÊ `vvjÀiÌÃÊ jÌ>ÌÃÊ `ÕÊ ÃÞÃÌmiÊ VViÀjÊ «ÕÃÊ ÃÕÀÊ ½>>ÞÃiÊ ì ½jÛÕÌÊ`Õ`ÌÊÃÞÃÌmiÊiÌÀiÊiÃ`ÌÃÊjÌ>ÌÃ° 1iÊ ìÊ ÃiÃÊ V>À>VÌjÀÃÌµÕiÃÊ >Ê «ÕÃÊ ÌjÀiÃÃ>ÌiÊ iÃÌÊ Ã>Ê «ÃÃLÌjÊ ìÊ Ài«Àj ÃiÌ>ÌÊ }À>«µÕiÊ µÕÊ >ÕÌÀÃiÊ ÃÊ ÕÌÃ>ÌÊ Ã>ÃÊ >ÛÀÊ ÀjiiiÌÊ D V>ÌÀiÊiÊ`jÌ>ÊìÊ>Ê>Ìj>ÌµÕiÊÃÕÃ>ViÌi°Ê i«i`>Ì]ÊViÊÊv>ÕÌ ÃiÊ}>ÀìÀÊìÊÃiÃÊiÊ ÕÛÀiÊ`ÕÊÌÞ«iÊÊLÌiÊÀiÊÊÃÕÛiÌÊÃÕÀViÃÊ`½iÀÀiÕÀÃ iÌÊìÊVÌÀiÃiÃ]ÊViÊ`ÃÃiÀÊÃ½>ÌÌ>ViÊDÊ`j}>}iÀ]ÊiÊ>ÃÊ>ÛiVÊiÃÊ«ÀLmiÃ VVÀiÌÃÊ ÀiVÌÀjÃÊ «>ÀÊ iÃÊ >>ÞÃÌiÃ]Ê iÃÊ «ÀV«iÃÊ iÃÃiÌiÃÊ ìÊ ViÌÌi >Ìj>ÌµÕi° "ÕÌÀiÊ ÃÊ ÕÌÃ>ÌÊ VÕÀ>ÌiÊ «ÕÀÊ iÃÊ V>VÕÃÊ ìÊ w>LÌjÊ iÌÊ `Ã«LÌj V>ÃÃµÕiÃ]Ê ViÌÌiÊ >««ÀViÊ ÀiVmiÊ ìÃÊ ÀiÃÃÕÀViÃÊ LiÊ ÃÕÛiÌÊ ÃÕ«XjiÃ kiÊìÊÃiÃÊÕÌÃ>ÌiÕÀÃÊiÃÊ«ÕÃÊ>ÃÃ`ÕÃ°Ê ½iÃÌÊ«ÕÀµÕÊViÊ`ÃÃiÀÊÃ½>««µÕi DÊ iÌÌÀiÊ iÊ ÕmÀiÊ iÃÊ V>«>VÌjÃÊ ìÊ ViÌÌiÊ >««ÀViÊ DÊ Àj«`ÀiÊ >ÕÊ ÌÀ>ÌiiÌ ìÃÊ ÃÞÃÌmiÃÊ «ÀjÃiÌ>ÌÊ ìÃÊ jÌ>ÌÃÊ `j}À>`jÃÊViÊ iÃÊ ÃÞÃÌmiÃÊ ìÊ «À`ÕV ÌÊ ÃÞÃÌmiÃÊ ÊÕÌjÌ>ÌÃÊ®]Ê «>ÀÊ iÝi«i]Ê ÕÉiÌÊ «ÕÃiÕÀÃÊ «>ÃiÃÊ ì

/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊìÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi° ^Ê/iVµÕiÃÊìÊ½}jiÕÀ

ＶＱ

- Ê{ÊäÇ£ vª£

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6

ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ

Ì>ÌÃ

£

Ó

Î

{ /i«Ã

}ÕÀiÊ q *ÀViÃÃÕÃÊÃÌV>ÃÌµÕi

vVÌiiÌÊ ViÊ iÃÊ ÃÞÃÌmiÃÊ ìÊ ÃjVÕÀÌjÊ «jÀ`µÕiiÌÊ ÌiÃÌjÃÊ ÃÞÃ ÌmiÃÊÊÕÌ«>ÃiÃÊ®° ÕìDÊìÊ½jÛ>Õ>ÌÊ>LÌÕiiÊìÃÊ«ÀL>LÌjÃÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊ`ÕÊÃÞÃ ÌmiÊ jÌÕ`j]Ê ViÊ `ÃÃiÀÊ ÌÀiÊ ViÌÊ ½jÛ>Õ>ÌÊ ìÃÊ Ìi«ÃÊ ÞiÃÊ ì ÃjÕÀÃÊ VÕÕjÃÊ /- ®Ê «>ÃÃjÃÊ `>ÃÊ iÃÊ `ÛiÀÃÊ jÌ>ÌÃÊ ÕÛÀiÊ >Ê ÛiÊ >ÕÊ ÌÀ>Ìi iÌÊìÊÌÕÌiÊÕiÊV>ÃÃiÊ`½jÌÕìÃÊÀiÌjiÊÛiÀÃÊ½jViÊ«ÕÌÌÊµÕiÊÛiÀÃÊ> ÃjVÕÀÌjÊiÌÊViÌ]Ê«>ÀÊiÝi«i]Ê>ÊÌÊìÊ`Ã«LÌjÊÞiiÊÃiÊ«À }iÊ>ÌÕÀiiiÌÊiÊ`Ã«LÌjÊìÊ«À`ÕVÌ° iÊµÕiÊÌÀmÃÊyiÝLiÊiÌÊ«ÕÃÃ>Ìi]ÊViÌÌiÊ>««ÀViÊ½iÊÃÕvvÀiÊ«>ÃÊÃÊì µÕiµÕiÃÊÌ>ÌÃÊµÕÊ«ÀÛiiÌÊ«ÀV«>iiÌÊìÊ½«ÃÃLÌjÊDÊÕÌÃiÀ `½>ÕÌÀiÃÊ ÃÊ µÕiÊ ìÃÊ ÃÊ iÝ«iÌiiÃÊ iÌÊ ìÊ ½iÝ«ÃÊ VL>ÌÀiÊ `Õ LÀiÊ ìÃÊ jÌ>ÌÃÊ ÀÃµÕiÊ iÊ LÀiÊ ìÊ V«Ã>ÌÃÊ jjiÌ>ÀiÃÊ >Õ}iÌi°

i>ÊÌiÊÃ>ÊÃiÊiÊ ÕÛÀiÊÀ}ÕÀiÕÃiÊ>ÕÝÊ«iÌÌÃÊÃÞÃÌmiÃ]Ê>ÃÊiÃÊjÌ ìÃÊ >««ÀVjiÃÊ `jVÀÌiÃÊ `>ÃÊ ViÊ `ÃÃiÀÊ «iÀiÌÌiÌÊ ìÊ Ài«ÕÃÃiÀÊ ViÃÊ ÌiÃ `>ÃÊÕiÊViÀÌ>iÊiÃÕÀi° iÊ `ÃÃiÀÊ «ÀjVjìÌÊQ- Ê{ÊäÇäRÊ ÃÕÀÊ iÃÊ VÃ`jÀ>ÌÃÊ «Àj>ÀiÃ VViÀ>ÌÊ½>>ÞÃiÊìÃÊÀÃµÕiÃÊìÃÊÃÞÃÌmiÃÊ`Þ>µÕiÃÊ`j}>}iÊiÃÊ}À>ìÃ }iÃÊìÃÊjjiÌÃÊDÊ«Ài`ÀiÊiÊV«ÌiÊ«ÕÀÊivviVÌÕiÀÊÕÊVÝÊ«iÀÌiÌÊì >ÊjÌìÊDÊiÌÌÀiÊiÊ ÕÛÀiÊ«ÕÀÊÀj>ÃiÀÊÕiÊjÌÕìÊw>LÃÌi°Ê ÕÃÊ½ÞÊÀiÛi `ÀÃÊ«>ÃÊVÊiÌÊÕÃÊÃÕ««ÃiÀÃÊµÕiÊ½>>ÞÃiÊ`ÕÊV«ÀÌiiÌÊ`ÕÊÃÞÃÌmi VViÀjÊ>ÊÕÃÌwjÊ>ÊÃiÊiÊ ÕÛÀiÊ`½ÕiÊ`jÃ>ÌÊ«>ÀÊ«ÀViÃÃÕÃÊÃÌV>Ã ÌµÕiÊw}ÕÀiÊ®° jÌìÊ>>ÞÌµÕiÊL>ÃjiÊÃÕÀÊiÃÊ«ÀViÃÃÕÃÊìÊ>ÀÛ]ÊiiÊiÃÌÊÌÀmÃÊ«À>ÌµÕji `>ÃÊ ÃÊ ÕÛiÀÃÌjÃÊ iÌÊ iÊ LÕÌÊ ìÊ ViÊ `ÃÃiÀÊ iÃÌÊ ìÊ v>ÀiÊ >Ê «ÀjÃiÌ>ÌÊ ìÊ ÃiÃ `vvjÀiÌiÃÊV>À>VÌjÀÃÌµÕiÃ°

£° ÃÌÀÕVÌÊ}À>«µÕiÊ `½ÕÊ}À>«iÊìÊ>ÀÛ

*£ £ääÊ¯

ÕÊ «ÌÊ ìÊ ÛÕiÊ ìÊ ½}jiÕÀ]Ê ½ÌjÀkÌÊ v`>iÌ>Ê ì ½>««ÀViÊ>ÀÛiiÊiÃÌÊÃÊ>Ã«iVÌÊ}À>«µÕiÊµÕÊ«iÀiÌÊìÊ> iÌÌÀiÊ iÊ ÕÛÀiÊ Ã>ÃÊ >ÛÀÊ ÀjiiiÌÊ LiÃÊ `½iÊ V>ÌÀiÊ i «ÀvìÕÀÊÌÕÃÊiÃÊ>Ã«iVÌÃÊÌjÀµÕiÃ°

ÌÀji *ÀÀÌ>Ài £ääÊ¯

*ÕÀÊ ÕÃÌÀiÀÊ Vi>]Ê iÊ «ÕÃÊ Ã«iÊ iÃÌÊ ìÊ ÀiVÕÀÀÊ DÊ ½iÝi«i V>ÃÃµÕiÊQ£R QRÊ «ÀjÃiÌjÊ w}ÕÀiÊ£Ê iÌÊ vÀjÊ ìÊ ìÕÝÊ ««iÃÊ *£Ê iÌ *ÓÊ ÌiÀ`j«i`>ÌiÃÊ «>ÀÊ iÊ L>ÃÊ `½ÕiÊ jµÕ«iÊ ìÊ Àj«>À>ÌiÕÀÃÊ Õ µÕiÊ «ÕÀÊ iÊ >ÃÃÕÀiÀÊ >Ê >Ìi>Vi°ÊÃ]Ê ÀÃµÕiÊ *£Ê iÌÊ *ÓÊ ÃÌ

- Ê{ÊäÇ£ vªÓ

-ÀÌi

*Ó }ÕÀiÊ£ q ÀVÕÌÊìÊ««>}i


ＶＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6

Ã>ÃÊjÀi°Ê i>Ê«µÕiÊµÕ½ÊVÛiÀ}iÊ>ÕÊLÕÌÊ`½ÕÊ`j>Ê«ÕÃ ÕÊÃÊ}ÊÛiÀÃÊÕÊjÌ>ÌÊ`½jµÕLÀiÊ`j«i`>ÌÊìÃÊV`ÌÃ Ì>iÃ°

Î

o£

*£ *Ó

oÓ

ÊÃ½>}ÌÊVÊìÃÊV>À>VÌjÀÃÌµÕiÃÊv`>iÌ>iÃÊìÃÊ«ÀViÃÃÕÃ ìÊ>ÀÛÊ}miÃÊ`ÌÊÊVÛiÌÊìÊLiÊÃiÊÃÕÛiÀ°

x£

£

xÓ *ÓÊ«ÀÀÌ>Ài «ÕÀÊ> Àj«>À>Ì

*£ *Ó

*£ *Ó

ÀÃµÕiÊ iÃÊ Ì>ÕÝÊ ìÊ ÌÀ>ÃÌÃÊ iÊ ÃÌÊ «>ÃÊ VÃÌ>ÌÃ]Ê Ê «>Ài ìÊ «ÀViÃÃÕÃÊ Ãi>ÀÛiÃ°Ê ÕÃÊ iÊ iÃÊ >LÀìÀÃÊ «>ÃÊ `>Ã ViÊ`ÃÃiÀÊV>ÀÊiÕÀÊÌÀ>ÌiiÌÊ>>ÞÌµÕiÊiÃÌÊLi>ÕVÕ«ÊÃÊv>Vi µÕiÊ iÃÊ «ÀViÃÃÕÃÊ >ÀÛiÃÊ }miÃ°Ê *ÕÀÊ ìÃÊ ÃÞÃÌmiÃÊ ì Ì>iÊ `ÕÃÌÀii]Ê iÌÊ Ã>ÕvÊ V>ÃÊ «>ÀÌVÕiÀÃ]Ê ÃiÕiÊ >Ê ÃÕ>ÌÊ ì Ìi >ÀÊ «iÀiÌÊ ìÊ iÃÊ ÌÀ>ÌiÀÊ ÀjiiiÌ°Ê i>Ê ÃiÀ>Ê `jVÀÌÊ i `jÌ>Ê `>ÃÊ iÊ `ÃÃiÀÊ VViÀ>ÌÊ ½ÕÌÃ>ÌÊ ìÃÊ ÀjÃi>ÕÝÊ ìÊ *iÌÀ ÃÌV>ÃÌµÕiÃ°

{

xÓ oÓ

*£ *Ó

o£

Ó >ÀVi *£] *Ó *£]Ê*Ó

*>i

Ó° ««ÀViÊ>ÀÛiiÊ V>ÃÃµÕi

««iÃ i jÌ>ÌÊì >ÀVi ««iÃ iÊ«>i

}ÕÀiÊÓ q Ýi«iÊìÊ}À>«iÊìÊ>ÀÛ

Ó°£ +ÕiµÕiÃÊ`jwÌÃÊìÊL>Ãi ÃÕÌ>jiÌÊ iÊ «>i]Ê Ê ìÛiÌÊ jViÃÃ>ÀiÊ ìÊ `jwÀÊ >Ê «Ì µÕiÊìÊ>Ìi>ViÊDÊiÌÌÀiÊiÊ ÕÛÀiÊiÌ]Ê`>ÃÊÕÊ«ÀiiÀÊÌi«Ã] ÕÃÊVÃ`jÀiÀÃÊµÕiÊ*ÓÊiÃÌÊ«ÀÀÌ>ÀiÊ«ÕÀÊ>ÊÀj«>À>Ì°

Û>ÌÊ `½>iÀÊ «ÕÃÊ ]Ê Ê VÛiÌÊ ìÊ À>««iiÀÊ µÕiµÕiÃÊ ÌÃ jjiÌ>ÀiÃÊ `ÕÊ `>iÊ ìÊ >Ê Ã×ÀiÌjÊ ìÊ vVÌiiÌ°Ê iÃ ìÛÀ>iÌÊ kÌÀiÊ «>Àv>ÌiiÌÊ VÕiÃÊ >Ã]Ê DÊ ½iÝ«jÀiVi]Ê Ê iÃ `jVÕÛÀiÊÕÊ«iÕÊÕLjiÃÊÕÊ>Ê>ÃÃjiÃÊ«>ÀÊiÃÊ}jiÕÀÃÊµÕ iÃÊÕÌÃiÌÊ\ p v>LÌjÊ , Ì ®Ê\Ê «ÀL>LÌjÊ ìÊ LÊ vVÌiiÌÊ ÃÕÀÊ Õ ÌiÀÛ>iÊìÊÌi«ÃÊ`jÊQä]ÊÌ RÊiÌÊ`>ÃÊìÃÊV`ÌÃÊ`jiÃÊÆ p `Ã«LÌjÊ Ì ®Ê\Ê «ÀL>LÌjÊ ìÊ LÊ vVÌiiÌÊ DÊ Õ ÃÌ>ÌÊ`jÊÌÊiÌÊ`>ÃÊìÃÊV`ÌÃÊ`jiÃ°

>Ê VÃÌÀÕVÌÊ `ÕÊ }À>«iÊ ìÊ >ÀÛÊ Ài>ÌvÊ DÊ ÕÊ ÌiÊ ÃÞÃÌmi Ã½ivviVÌÕiÊiÊìÕÝÊjÌ>«iÃÊw}ÕÀiÊÓ®Ê\ p ìÌvV>ÌÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊµÕiÊiÊÃÞÃÌmiÊ«iÕÌÊVVÕ«iÀ >ÕÊVÕÀÃÊìÊÃÊiÝ«Ì>Ì U ÊÞÊiÊ>ÊµÕ>ÌÀiÊ`jjÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊÆ p VÃÌÀÕVÌÊ`ÕÊ}À>«iÊìÊ>ÀÛÊ«À«ÀiiÌÊ`ÌÊ\

Ê ÀjÃÕÌiÊ ìÊ ViÃÊ `jwÌÃÊ µÕiÊ >Ê w>LÌj]Ê >ÕÊ ÃiÃÊ >Ìj>Ì µÕiÊ `ÕÊ ÌiÀi]Ê VÀÀiÃ«`Ê DÊ ÕÊ vVÌiiÌÊ Ã>ÃÊ ÌiÀÀÕ«Ì ÃÕÀÊ ÕiÊ ViÀÌ>iÊ «jÀì°Ê >Ê ÌÊ ìÊ w>LÌjÊ iÃÌÊ `VÊ ÌÀmÃÊ ÕÌi «ÕÀÊ ÌÀ>ÌiÀÊ ìÃÊ «ÀLmiÃÊ jÃÊ DÊ >Ê ÃjVÕÀÌj]Ê V>ÀÊ iiÊ Ã½ÌjÀiÃÃiÊ D ½VVÕÀÀiViÊ ìÊ >Ê «ÀimÀiÊ «>iÊ ÕÊ «ÀiiÀÊ >VVìÌ®Ê `Õ ÃÞÃÌmiÊVViÀj°

U Ài«ÀjÃiÌ>ÌÊìÊV>VÕÊìÃÊjÌ>ÌÃÊ«>ÀÊÕÊViÀVi] U Ài«ÀjÃiÌ>ÌÊìÃÊÌÀ>ÃÌÃÊiÌÀiÊiÃÊjÌ>ÌÃÊ«>ÀÊìÃÊymViÃ°

>µÕiÊÌÀ>ÃÌÊÃÞLÃiÊ>Êv>XÊ`ÌÊiÊÃÞÃÌmiÊÃ>ÕÌiÊ`½Õ jÌ>ÌÊÛiÀÃÊÕÊ>ÕÌÀi°

i>Ê ÕÃÊ V`ÕÌÊ DÊ ÌÀ`ÕÀiÊ ÕiÊ >ÕÌÀiÊ ÌÊ ìÊ L>ÃiÊ `Ã ÃV>LiÊìÊViiÊìÊw>LÌjÊ\

Ýi«i \ ìÊ½jÌ>ÌÊìÊ>ÀViÊ«>Àv>ÌÊ £]ÊÊ«iÕÌÊÃ>ÕÌiÀÊÛiÀÃÊ ÓÊÕ

ÎÊ«>ÀÊ`jv>>ViÊìÊ*ÓÊÕÊ*£]ÊìÊ½jÌ>ÌÊ ÓÊÊ«iÕÌÊ>iÀÊÃÌÊÛiÀÃÊ½jÌ>Ì ìÊ«>iÊÌÌ>iÊ {Ê«>ÀÊ`jv>>ViÊìÊ*£ÊÕÊÀiÛiÀÊDÊ½jÌ>ÌÊ £Ê«>ÀÊÀj«> À>ÌÊìÊ*Ó]Ê°°°]ÊiÌÊw>iiÌÊìÊ½jÌ>ÌÊ {ÊÊ«iÕÌÊÀiÛiÀÊÕµÕiiÌ ÛiÀÃÊ ÎÊ«>ÀÊÀj«>À>ÌÊìÊ*ÓÊµÕÊiÃÌÊ«ÀÀÌ>ÀiÊ«ÕÀÊ>ÊÀj«>À>Ì°

p //Ê\Ê Ìi«ÃÊ ÞiÊ >Û>ÌÊ >Ê «ÀimÀiÊ `jv>>ViÊ i> /iÊ/Ê> ®° Ê iÃÌÊ DÊ ÌiÀÊ µÕi]Ê «ÕÀÊ ÕÊ V«Ã>ÌÊ jjiÌ>ÀiÊ Àj}Ê «>ÀÊ Õi Ê iÝ«iÌiiÊ ìÊ Ì>ÕÝÊ ìÊ `jv>>ViÊ o]Ê iÊ //Ê iÃÌÊ >ÀÃÊ j}> DÊ£Éo°Ê->ÕvÊV>ÃÊÌÀmÃÊ«>ÀÌVÕiÀ]ÊViÌÌiÊ«À«ÀjÌjÊ½iÃÌÊiÊ}jjÀ>Ê«>Ã ÛÀ>iÊ >ÕÊ Ûi>ÕÊ `ÕÊ ÃÞÃÌmiÊ }L>]Ê kiÊ ÃÊ ViÕVÊ iÊ V«ÀÌi µÕiÊìÃÊV«Ã>ÌÃÊÀj}ÃÊ«>ÀÊìÃÊÃÊiÝ«iÌiiÃ°Ê ½>ÕÌÀiÊ«>ÀÌ iÊ //Ê iÃÌÊ ÕÊ «>À>mÌÀiÊ µÕÊ «iÕÌÊ kÌÀiÊ iÃÌjÊ ÃÌ>ÌÃÌµÕiiÌÊ D «>ÀÌÀÊ ìÊ `jiÃÊ LÃiÀÛjiÃÊ `>ÃÊ iÊ ìÊ «ÞÃµÕiÊ ÀiÌÕÀ `½iÝ«jÀiVi®°Ê Ê «iÀiÌÊ `VÊ ìÊ v>ÀiÊ iÊ iÊ iÌÀiÊ iÃÊ >Ìj >ÌµÕiÃÊiÌÊiÊìÊÀji°

Ê>ÊwÊìÊViÌÊiÝiÀVVi]ÊÊÃiÊÀiÌÀÕÛiÊiÊ«ÀjÃiViÊ`½ÕÊ}À>«i `½jÌ>ÌÃÊ µÕÊ `jÃiÊ iÊ V«ÀÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ vÀjÊ ìÊ ìÕÝ ««iÃ°Ê *ÕÀÊ µÕ½Ê Ài«ÀjÃiÌiÊ >ÕÃÃÊ iÊ «ÀViÃÃÕÃÊ ìÊ >ÀÛ >ÃÃVj]ÊÊÀiÃÌiÊDÊ«ÀjVÃiÀÊµÕiiÃÊÃÌÊiÃÊV>ViÃÊµÕiÊV>VÕiÊì ViÃÊÌÀ>ÃÌÃÊÃÌÊÀjiiiÌÊi«ÀÕÌjiÊ>ÕÊVÕÀÃÊìÊ>ÊÛiÊ`ÕÊÃÞÃ Ìmi°Ê i>ÊiÃÌÊLÌiÕÊiÊ>vviVÌ>ÌÊìÃÊÌ>ÕÝÊìÊÌÀ>ÃÌ o ÊDÊV> VÕiÊ`½iiÃ°

Ê ½««ÃjÊ ìÊ >Ê w>LÌj]Ê >Ê `Ã«LÌjÊ Ã½ÌjÀiÃÃiÊ DÊ >Ê «ÀL> LÌjÊ µÕiÊ iÊ ÃÞÃÌmiÊ vVÌiÊ DÊ ÕÊ ÃÌ>ÌÊ `jÊ Ã>ÃÊ ÃiÊ «Àj VVÕ«iÀÊìÊViÊµÕÊÃ½iÃÌÊ«>ÃÃjÊ>Õ«>À>Û>Ì°Ê iÊV>À>VÌjÀÃiÊ`VÊÕ vVÌiiÌÊ«ÕÛ>ÌÊkÌÀiÊÌiÀÀ«ÕÊ«ÕÃÊÀi«ÀÃ°

>Ìj>ÌµÕiiÌ]Ê o ±Ê`ÌÊ iÃÌÊ >Ê «ÀL>LÌjÊ V`ÌiiÊ ì Ã>ÕÌiÀÊ ìÊ Ê ÛiÀÃÊ Ê iÌÀiÊ ÌÊ iÌÊ Ì ³Ê`ÌÊ ÀÃµÕ½Ê iÃÌÊ `>ÃÊ ½jÌ>ÌÊ Ê D ½ÃÌ>ÌÊÌ°Ê >ÃÊiÊV>ÃÊÕÃÕi]ÊiÃÊÌ>ÕÝÊìÊÌÀ>ÃÌÊÃÌÊ VÃÌ>ÌÃ iÌÊVÀÀiÃ«ìÌÊ>ÕÝÊÌ>ÕÝÊìÊ`jv>>ViÊÕÊ>ÕÝÊÌ>ÕÝÊìÊÀj«>À>Ì ìÃÊV«Ã>ÌÃÊµÕÊV>ÕÃiÌÊiÃÊV>}iiÌÃÊ`½jÌ>Ì°Ê/ÕÌiÃÊiÃÊÃ ìÊ «ÀL>LÌjÃÊ µÕÊ Àj}ÃÃiÌÊ iÃÊ `ÛiÀÃÊ «jmiÃÊ «ÀÃÊ i V«ÌiÊÃÌÊ`VÊìÊ>ÌÕÀiÊiÝ«iÌiiÊiÌÊÕÊÌiÊ«ÀViÃÃÕÃÊÃÌ V>ÃÌµÕiÊiÃÌÊ`jjÊ«ÀViÃÃÕÃÊìÊ>ÀÛÊ}mi°

>Ê`Ã«LÌjÊ Ì ®Ê>ÊÃÕÀÌÕÌÊÕÊÌjÀkÌÊÌjÀµÕiÊiÌ]ÊiÊ«À>ÌµÕi] V½iÃÌÊ«ÕÌÌÊDÊÃ>ÊÛ>iÕÀÊÞiiÊµÕiÊ½ÊÃ½ÌjÀiÃÃi°Ê ½ÙÊ½ÌÀ `ÕVÌÊìÊìÕÝÊ>ÕÌÀiÃÊ`jwÌÃÊ\ p `Ã«LÌjÊÞiiÊ«ÕÀÊÕiÊÃÃÊ Ì £ ]ÊÌ Ó®Ê\ U ÞiiÊìÊ Ì ®ÊÃÕÀÊ½ÌiÀÛ>iÊQÌ £ ]ÊÌ ÓR] U À>ÌÊÌi«ÃÊÞiÊìÊLÊvVÌiiÌÉÌ Ó qÊÌ £®] U «ÕÀViÌ>}iÊ `ÕÊ Ìi«ÃÊ ÞiÊ ìÊ LÊ vVÌiiÌÊ ÃÕÀ QÌ £ ]ÊÌ ÓRÊÆ

i]Ê `>ÃÊ ViÊ V>Ã]Ê >Ê «ÀL>LÌjÊ ìÊ Ã>ÕÌiÀÊ ìÊ Ê ÛiÀÃÊ Ê i `j«i`Ê µÕiÊ ìÊ >Ê «ÀjÃiViÊ `>ÃÊ Ê DÊ ½ÃÌ>ÌÊ ÌÊ >ÃÊ «>ÃÊ ìÊ > >mÀiÊ`ÌÊÊÞÊiÃÌÊ>ÀÀÛjÊiÌÀiÊäÊiÌÊÌ]ÊiÊìÛiÀÊ`ÕÊÃÞÃÌmiÊi `j«i`Ê µÕiÊ ìÊ ÃÊ jÌ>ÌÊ DÊ ½ÃÌ>ÌÊ Ì°Ê Ê Ã½>}ÌÊ `VÊ `½ÕÊ «ÀViÃÃÕÃ


ＶＳ

- Ê{ÊäÇ£ vªÎ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6

ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ

p `Ã«LÌjÊÌiÊ \

/>Li>ÕÊ£ÊqÊ Ã«LÌjÊiÊvVÌÊ`ÕÊÌi«ÃÊ£®

U Û>iÕÀÊÌiÊìÊ Ì ®ÊµÕ>`ÊÌÊÌi`ÊÛiÀÃÊ½w] U Û>iÕÀÊÞiiÊìÊ Ì ®ÊÃÕÀÊÕiÊ`ÕÀjiÊwi] U Û>iÕÀÊÌiÊìÊ ä]ÊÌ ®ÊµÕ>`ÊÌÊÌi`ÊÛiÀÃÊ½w] U Û>iÕÀÊÌiÊ`ÕÊÀ>ÌÊÞiÊ`ÕÊÌi«ÃÊìÊ>ÀViÉÌi«ÃÊÌÌ>] U «ÕÀViÌ>}iÊ`ÕÊÌi«ÃÊÞiÊìÊLÊvVÌiiÌÊÃÕÀÊÕi `ÕÀjiÊwi°

*>À>mÌÀiÃ /i«Ã ®

Ã«LÌjÊÞiiÊiÌÊ`Ã«LÌjÊÌiÊ«ÃÃmìÌÊ`VÊ`v vjÀiÌiÃÊ ÌiÀ«ÀjÌ>ÌÃ°Ê Ê v>ÕÌÊ v>ÀiÊ ÕiÊ iÌÊ Ã«jV>iÊ «ÕÀ ViiÊ VÀÀiÃ«`>ÌÊ >ÕÊ À>ÌÊ `ÕÊ Ìi«ÃÊ ìÊ LÊ vVÌiiÌ À>««ÀÌjÊ >ÕÊ Ìi«ÃÊ `½LÃiÀÛ>ÌÊ V>ÀÊ iiÊ «iÀiÌÊ ìÊ Àj>ÃiÀÊ ìÃ iÃÌ>ÌÃÊ ÃÌ>ÌÃÌµÕiÃÊ DÊ «>ÀÌÀÊ ìÊ `jiÃÊ LÃiÀÛjiÃÊ `>ÃÊ i ìÊ «ÞÃµÕi°Ê "Ê ÀiÌÀÕÛiÊ >ÕÃÃÊ VÊ iÊ iÊ iÌÀiÊ iÃÊ >Ìj >ÌµÕiÃÊiÌÊiÊìÊÀji° iÃÊ «ÀL>LÌjÃÊ V«jiÌ>ÀiÃÊ Ì ®Ê iÌÊ 1 Ì ®Ê ìÊ >Ê w>LÌjÊ iÌ ìÊ >Ê `Ã«LÌjÊ ÃÌÊ `jjiÃÊ Ê`jw>LÌjÊÊ iÌ Ê`Ã«LÌjÊ \ p Ì ®ÊrÊ£ÊqÊ, Ì ®ÊÆ p 1 Ì ®ÊrÊ£ÊqÊ Ì ®°

Ó°Ó À>«iÊìÊ>ÀÛÊÛiÀÃÕÃ «>À>mÌÀiÃÊV>ÃÃµÕiÃ ,iÛiÃÊ >ÕÊ }À>«iÊ ìÊ >ÀÛÊ ìÊ >Ê w}ÕÀiÊÓ°Ê ÕÃÊ ½>ÛÃ iVÀiÊ ÀiÊ `ÌÊ ÃÕÀÊ >Ê >ÌÕÀiÊ ìÃÊ jÌ>ÌÃÊ ÀiVÌÀjÃ°Ê >ÃÊ iÊ V>`Ài V>ÃÃµÕi]Ê >Ê «ÀimÀiÊ jÌ>«iÊ iÃÌÊ ìÊ iÃÊ Àj«>ÀÌÀÊ iÊ ìÕÝÊ V>ÃÃiÃ `ÃÌVÌiÃÊ qÊ >ÀViÉ*>iÊ qÊ >wÊ ìÊ «ÕÛÀÊ iiÀÊ DÊ LiÊ iÃ V>VÕÃÊìÊw>LÌjÉ`Ã«LÌjÊÀ`>ÀiÃ°

£]Êä ÊqÊäx

R£

£]Êä ÊqÊä£

QÓ

x]Êä ÊqÊä{

RÓ

{]ÊÓ ÊqÊäÓ

£

Ó

Î

{

Ì>ÌÃ

ä

£]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää

Óä

]ÊÎÓ ÊqÊä£ È]ÊÇÎx ÊqÊäÎ n]Êxx ÊqÊäx £]Êäää ÊqÊäÈ

{ä

]ÊäÎ ÊqÊä£ ]ÊÈ£Î ÊqÊäÎ ]ÊÇxn ÊqÊäx Ó]ÊÓÓ ÊqÊäÈ

Èä

]Ên£ ÊqÊä£ £]Êän{ ÊqÊäÓ ]ÊÎ{ ÊqÊäx Î]ÊäÎn ÊqÊäÈ

nä

]Ênnx ÊqÊä£ £]Ê£ÎÇ ÊqÊäÓ ]ÊÇÓ ÊqÊäx Î]Ê{n ÊqÊäÈ

£ää

]ÊnnÎ ÊqÊä£ £]Ê£x ÊqÊäÓ ]ÊnÈ ÊqÊäx Î]ÊÇ{Î ÊqÊäÈ

£Óä

]ÊnnÓ ÊqÊä£ £]Ê£È ÊqÊäÓ ]ÊÓ ÊqÊäx Î]ÊnÈ ÊqÊäÈ

£{ä

]ÊnnÓ ÊqÊä£ £]Ê£ÇÎ ÊqÊäÓ ]ÊÈ ÊqÊäx Î]ÊÎ£ ÊqÊäÈ

£Èä

]Ênn£ ÊqÊä£ £]Ê£Çx ÊqÊäÓ ]ÊÇ ÊqÊäx Î]ÊÈÓ ÊqÊäÈ

£nä

]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ên ÊqÊäx Î]ÊÇÇ ÊqÊäÈ

Óää

]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Ên{ ÊqÊäÈ

Îää

]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Êä ÊqÊäÈ

{ää

]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Ê£ ÊqÊäÈ

£® "ÊÀ>««iiÊµÕiÊ>ÊÌ>ÌÊ äx]Ê«>ÀÊiÝi«i]ÊÃ}wiÊy £äqx°

Ó°Ó°Ó >LÌjÊ«ÀjÛÃii

iÊiÃÊìÕÝÊ««iÃÊÃÌÊÀi``>ÌiÃ]ÊViÌÌiÊÀj«>ÀÌÌÊiÃÌ ÌÀmÃÊ Ã«iÊ\Ê iÃÊ jÌ>ÌÃÊ O £]Ê Ó]Ê ÎPÊ VÀÀiÃ«ìÌÊ >ÕÊ LÊ vVÌ iiÌÊiÌÊ½jÌ>ÌÊO {PÊDÊ>Ê«>iÊ`ÕÊÃÞÃÌmi°

*ÕÃµÕiÊiÊ}À>«iÊìÊ>Êw}ÕÀiÊÓÊ«iÀiÌÊ`½jÛ>ÕiÀÊ>Ê`Ã«LÌj `ÕÊ ÃÞÃÌmi]Ê ViÌÊ v>ÕÌÊ iÊ `wiÀÊ «ÕÀÊ LÌiÀÊ ÕÊ `mi «iÀiÌÌ>ÌÊ`½jÛ>ÕiÀÊ>Êw>LÌjÊ`Õ`ÌÊÃÞÃÌmiÊ¶

Ó°Ó°£ Ã«LÌjÊ«ÀjÛÃii

>Ê Àj«ÃiÊ ÃiÊ ÌÀÕÛiÊ `>ÃÊ >Ê `jwÌÊ kiÊ ìÊ >Ê w>LÌjÊ\Ê v>ÕÌÊ >ÃÃÕÀiÀÊ >Ê VÌÕÌjÊ `ÕÊ LÊ vVÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ ÃÕÀ ½ÌiÀÛ>iÊQä]ÊÌ R°ÊÊiÃÌÊ`VÊjViÃÃ>ÀiÊìÊ`wiÀÊiÊ}À>«iÊìÊ> w}ÕÀiÊÓÊìÊ>mÀiÊµÕ½>ÕVÕÊViÊ>LÕÌÃÃ>ÌÊDÊ½ÕÊÕÊ½>ÕÌÀi ìÃÊjÌ>ÌÃÊìÊ>ÀViÊ £]Ê ÓÊÕÊ ÎÊDÊ½ÃÌ>ÌÊÌÊiÊÃÌÊ>>ÃÊ«>ÃÃj «>ÀÊ ½jÌ>ÌÊ ìÊ «>iÊ {Ê `>ÃÊ ½ÌiÀÛ>iÊ Qä]Ê Ì RÊ Õ]Ê ViÊ µÕÊ ÀiÛiÌÊ >Õ ki]Êv>ÀiÊiÊÃÀÌiÊµÕ½>ÕVÕÊViÊ«>ÃÃ>ÌÊ«>ÀÊ½jÌ>ÌÊìÊ«>i

{ÊiÊÀiÛiiÊ>>ÃÊÛiÀÃÊÕÊìÃÊjÌ>ÌÃÊìÊ>ÀViÊ £]Ê ÓÊÕÊ Î°

1iÊ vÃÊ >Ê `VÌiÊ Àj>ÃjiÊ iÌÀiÊ iÃÊ jÌ>ÌÃÊ ìÊ >ÀViÊ iÌÊ ì «>i]Ê Ê «iÕÌÊ ÃiÊ ì>ìÀÊ ViÊ µÕiÊ «iÀiÌÊ ìÊ V>VÕiÀÊ ivviVÌ ÛiiÌÊiÊ}À>«iÊìÊ>ÀÛÊìÃÃjÊ«ÀjVjìiÌÊiÌÊÀi«ÀjÃiÌj w}ÕÀiÊÓ° *ÕÀÊ Àj«`ÀiÊ DÊ ViÌÌiÊ µÕiÃÌ]Ê Ê ÃÕvwÌÊ ìÊ Ài>ÀµÕiÀÊ µÕ½ÕÊ Ìi }À>«iÊ Ài«ÀjÃiÌi]Ê ìÊ >mÀiÊ ÃÞÌjÌµÕi]Ê ÌÕÃÊ iÃÊ ViÃ ÃjµÕiViÃÊ`½jÛjiiÌÃ®ÊµÕiÊiÊÃÞÃÌmiÊ«iÕÌÊi«ÀÕÌiÀÊDÊ«>ÀÌÀ ìÊÃÊjÌ>ÌÊÌ>Ê`ÕÀ>ÌÊÃÊjÛÕÌÊ>ÕÊVÕÀÃÊ`ÕÊÌi«Ã°

>Ê `wV>ÌÊ ìÊ ÌÀiÊ }À>«iÊ iÃÌÊ >ÀÃÊ ÌÀmÃÊ Ã«iÊ DÊ Àj>ÃiÀ «ÕÃµÕ½Ê ÃÕvwÌÊ ìÊ ÃÕ««ÀiÀÊ iÃÊ ÌÀ>ÃÌÃÊ ìÊ O {PÊ ÛiÀÃÊ O £]Ê Ó]

ÎP°Ê Ê v>Ì]Ê Ê ½ÞÊ iÊ >Ê µÕ½ÕiÊ ÃiÕiÊ DÊ ÃÕ««ÀiÀÊ ìÊ {Ê ÛiÀÃÊ ÎÊ iÌ Vi>ÊÕÃÊV`ÕÌÊ>ÕÊ}À>«iÊ«ÀjÃiÌjÊÃÕÀÊ>Êw}ÕÀiÊÎ°

1Ê ÌiÊ ViÊ ÃiÀ>Ê «>ÀÊ iÝi«iÊ £]Ê Ó]Ê £]Ê Î]Ê {]Ê Ó]Ê £°°°Ê i }À>«iÊ ÀiviÀiÊ `VÊ ìÃÊ ViÃÊ «iÀiÌÌ>ÌÊ >ÕÊ ÃÞÃÌmiÊ ì «>ÃÃiÀÊ «>ÀÊ ½jÌ>ÌÊ ìÊ «>iÊ {Ê «ÕÃÊ ìÊ ÀiÛiÀÊ `>ÃÊ ÕÊ jÌ>ÌÊ ì >ÀViÊ Ó°Ê Ê `jVÀÌÊ `VÊ iÊ V«ÀÌiiÌÊ `½ÕÊ ÃÞÃÌmiÊ µÕÊ «iÕÌ kÌÀiÊ iÊ >ÀViÊ DÊ ÕÊ ÃÌ>ÌÊ `jÊ iÊ >Þ>ÌÊ jÌjÊ ÕiÊ ÕÊ «ÕÃiÕÀÃ vÃÊiÊ«>iÊ>Õ«>À>Û>Ì°ÊÊÃ½>}ÌÊ`VÊÌÞ«µÕiiÌÊ`½ÕÊ`mi ìÊ`Ã«LÌj°

À@ViÊ DÊ ViÌÌiÊ ÌÀ>ÃvÀ>Ì]Ê * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê Ài«ÀjÃiÌi >Ìi>ÌÊ>Ê«ÀL>LÌjÊ`½kÌÀiÊiÊ>ÀViÊDÊ½ÃÌ>ÌÊÌÊÃ>ÃÊ>>Ã kÌÀiÊ ÌLjÊ iÊ «>iÊ >Õ«>À>Û>Ì]Ê V½iÃÌD`ÀiÊ >Ê «ÀL>LÌjÊ `½kÌÀi ÀiÃÌjÊ iÊ LÊ jÌ>ÌÊ ìÊ vVÌiiÌÊ ÃÕÀÊ ÌÕÌiÊ >Ê `ÕÀjiÊ Qä]Ê Ì RÊ Õ >ÕÌÀiiÌÊ`ÌÊ>Êw>LÌjÊ`ÕÊÃÞÃÌmiÊjÌÕ`j°

>Ê`Ã«LÌjÊ Ì ®Ê`ÕÊÃÞÃÌmiÊjÌÕ`jÊiÃÌÊ`VÊj}>iÊDÊ>Ê«À L>LÌjÊìÊÃiÊÌÀÕÛiÀÊDÊ½ÃÌ>ÌÊÌÊ`>ÃÊ½ÕÊÕÊ½>ÕÌÀiÊìÃÊÌÀÃÊjÌ>ÌÃ ìÊ >ÀViÊ £]Ê ÓÊ ÕÊ ÎÊ iÌÊ ÃÊ `Ã«LÌjÊ 1 Ì ®Ê iÃÌÊ j}>iÊ DÊ > «ÀL>LÌjÊìÊÃiÊÌÀÕÛiÀÊ`>ÃÊ½jÌ>ÌÊìÊ«>iÊ {°

iÊkiÊµÕiÊ«ÀjVjìiÌ]ÊÊ>Ê`VÊ\ p * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê³Ê* { Ì ®ÊrÊ£ÊÆ p , Ì ®ÊrÊ* £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®ÊÆ p Ì ®ÊrÊ* { Ì ®° iÃÊ vÀÕiÃÊ VìÃÃÕÃÊ ÃÌÊ ìÌµÕiÃÊ DÊ ViiÃÊ «iÀiÌÌ>ÌÊ ì V>VÕiÀÊ >Ê `Ã«LÌj°Ê iÊ µÕÊ iÃÌÊ `vvjÀiÌ]Ê V½iÃÌÊ iÊ }À>«iÊ µÕ «iÀiÌÊ `½jÛ>ÕiÀÊ iÃÊ «ÀL>LÌjÃÊ ìÃÊ `vvjÀiÌÃÊ jÌ>ÌÃ°Ê i«i`>Ì] >Ìi>Ì]Ê Ê ½iÃÌÊ «ÕÃÊ «ÃÃLiÊ ìÊ ÃÀÌÀÊ ìÊ ½jÌ>ÌÊ {Ê ÕiÊ vÃ µÕ½Ê ÞÊ iÃÌÊ iÌÀjÊ\Ê Ê `ÌÊ µÕiÊ ViÕVÊ iÃÌÊ ìÛiÕÊ >LÃÀL>Ì°Ê iÌÌi `vvjÀiVi]Ê µÕÊ «iÕÌÊ «>À>ÌÀiÊ i]Ê iÌÀ>iÊ Vi«i`>ÌÊ Õ V«ÀÌiiÌÊ ÌÀmÃÊ `vvjÀiÌÊ `ÕÊ «ÀViÃÃÕÃÊ ìÊ >ÀÛ°Ê iÊ ½iÝÃÌiÊ «ÕÃÊ ìÊ «ÃÃLÌjÊ ìÊ ÃÀÌÀÊ ìÊ {]Ê ÌÕÌiÊ >Ê «ÀL>LÌjÊ Û> ÃiÊ ÀiÌÀÕÛiÀÊ VViÌÀjiÊ `>ÃÊ ViÌÊ jÌ>ÌÊ ÀÃµÕiÊ iÊ Ìi«ÃÊ Û>Ê Ìi`Ài ÛiÀÃÊ ½w°Ê i>Ê iÊ v>ÌÊ µÕiÊ ÌÀ>`ÕÀiÊ >Ê ViÀÌÌÕìÊ µÕiÊ iÊ ÃÞÃÌmi

*ÃÃÊ* Ì ®ÊrÊ«ÀL>LÌjÊ`½kÌÀiÊ`>ÃÊ½jÌ>ÌÊ ÊDÊ½ÃÌ>ÌÊÌ°

ä®

iÊ iÊ ÃÞÃÌmiÊ iÊ «iÕÌÊ «>ÃÊ ÃiÊ ÌÀÕÛiÀÊ `>ÃÊ «ÕÃiÕÀÃÊ jÌ>ÌÃ DÊ>ÊvÃ]ÊiÃÊjÌ>ÌÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊÃÌÊ`ÃÌÃ°ÊÊiÊÀjÃÕÌiÊ\ p * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê³Ê* { Ì ®ÊrÊ£ÊÆ p Ì ®ÊrÊ* £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®ÊÆ p 1 Ì ®ÊrÊ* { Ì ®° iÊ Ì>Li>ÕÊ£Ê ÌÀiÊ ½jÛÕÌÊ ìÊ >Ê «ÀL>LÌjÊ ìÃÊ `vvjÀiÌÃ jÌ>ÌÃÊ`ÕÊÃÞÃÌmiÊiÊvVÌÊ`ÕÊÌi«ÃÊiÌÊ>Ê«ÀL>LÌjÊìÊ½jÌ>ÌÊ{ ìÊ`ÀiVÌiiÌÊ½`Ã«LÌjÊÃÌ>Ì>jiÊ1 Ì ®° ä®

- Ê{ÊäÇ£ v {

Q£


ＶＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6

ViÌÌiÊ«jÀì°ÊÊÃÕvwÌÊ`VÊìÊ`ÛÃiÀÊViÌÌiÊÃiÊ«>ÀÊ>Ê`ÕÀjiÊì >`ÌiÊ«jÀìÊ«ÕÀÊLÌiÀÊ>Ê`Ã«LÌjÊÞiiÊ`ÕÊÃÞÃÌmiÊi µÕiÃÌ°

Î

o£

*£ *Ó

iÊ ki]Ê >Ê ÃiÊ ìÃÊ/- Ê «>ÃÃjÃÊ `>ÃÊ iÃÊ jÌ>ÌÃÊ ìÊ «>i qÊ VÊ ÃiÕiiÌÊ {Ê qÊ V`ÕÌÊ DÊ ½jÛ>Õ>ÌÊ ìÊ ½`Ã«LÌj ÞiiÊ`ÕÊÃÞÃÌmiÊVViÀj°

oÓ xÓ

x£

£

-ÕÀÊiÊ}À>«iÊìÊ>Êw}ÕÀiÊÎ]Ê>ÊÃiÊìÃÊ/- Ê«>ÃÃjÃÊ`>ÃÊiÃ jÌ>ÌÃÊ £]Ê ÓÊ iÌÊ ÎÊ VÀÀiÃ«`Ê >ÕÃÃÊ DÊ ÕiÊ `ÕÀjiÊ ÞiiÊ ìÊ L vVÌiiÌÊ >Ã]Ê V]Ê Ê Ã½>}ÌÊ ìÊ >Ê `ÕÀjiÊ ÞiiÊ ìÊ L vVÌiiÌÊ Ã>ÃÊ LÃiÀÛiÀÊ ìÊ `jv>>ViÊ ÃÕÀÊ >Ê «jÀìÊ Qä]Ê Ì R° ÀÃµÕiÊÌÊÌi`ÊÛiÀÃÊ½w]ÊViÌÌiÊ`ÕÀjiÊÞiiÊ½iÃÌÊ>ÕÌÀiÊµÕiÊi V>ÃÃµÕiÊ//Êi>Ê/iÊ/Ê> ®Ê`ÕÊÃÞÃÌmiÊjÌÕ`j°

-Õ««ÀiÃÃ

*£ *Ó

Ì>ÌÊ>LÃÀL>Ì

*£ *Ó

{

xÓ oÓ

ÀÃµÕiÊÌÊ½iÃÌÊ«>ÃÊw]Ê>Ê`ÕÀjiÊÞiiÊÃ>ÃÊ`jv>>ViÊiÃÌ ÕiÊ >ÕÌÀiÊ >mÀiÊ `½>««ÀjiìÀÊ iÃÊ V>ViÃÊ `½LÃiÀÛiÀÊ Õi `jv>>ViÊÃÕÀÊ>Ê«jÀìÊ`½iÝ«Ì>ÌÊÕÊ>Ê«jÀìÊìÊ}>À>Ìi® `ÕÊ ÃÞÃÌmiÊ VViÀj°Ê iÊ «iÕÌÊ `VÊ iÌÀiÀÊ `>ÃÊ iÃÊ VÀÌmÀiÃÊ ì VVi«ÌÊ >ÕÊ kiÊ ÌÌÀiÊ µÕiÊ >Ê w>LÌj]Ê >Ê `Ã«LÌjÊ ÕÊ i //°

o£

*£ *Ó

Ó

iÊiÌi`Õ]ÊViÊÊiÃÌÊ>LÃÀL>Ì]ÊiÊ/- ÊìÊ½jÌ>ÌÊ {ÊÌi` ÛiÀÃÊ½wÊÀÃµÕiÊ>Ê`ÕÀjiÊÌi`ÊÛiÀÃÊ½w°

£ÀiÊ«>i

>ÀViÊVÌÕi

}ÕÀiÊÎ q À>«iÊìÊ>ÀÛÊ«ÕÀÊiÊV>VÕÊìÊ>Êw>LÌj

Ó°Î +ÕiµÕiÃÊjjiÌÃÊÌjÀµÕiÃ 1iÊvÃÊiÊ}À>«iÊìÊ>ÀÛÊVÃÌÀÕÌ]ÊÊiÃÌÊjViÃÃ>ÀiÊ`½jÌ>LÀ iÃÊ µÕiµÕiÃÊ vÀÕiÃÊ ÌjÀµÕiÃÊ ìÊ L>ÃiÊ «iÀiÌÌ>ÌÊ ìÊ Àj>ÃiÀ ivviVÌÛiiÌÊ iÃÊ V>VÕÃÊ «ÀL>LÃÌiÃÊ jÛµÕjÃÊ `>ÃÊ iÃÊ «>À> }À>«iÃÊ«ÀjVjìÌÃ°

/>Li>ÕÊÓÊqÊ>LÌjÊiÊvVÌÊ`ÕÊÌi«Ã /i«Ã >Ã® ä

Ì>ÌÃ £

Ó

Î

{

ÌÃÊ`mÃÊiÊ`j«>ÀÌÊµÕi]ÊÃ>ÕvÊ«ÕÀÊìÊÌÀmÃÊ«iÌÌÃÊÃÞÃÌmiÃ]ÊÊiÃÌ «>Àv>ÌiiÌÊ ÕÃÀiÊ `½iÛÃ>}iÀÊ ìÊ V`ÕÀiÊ iÃÊ V>VÕÃÊ >Õi iiÌ°Ê ÕÃÊiÊ`jVÀÀÃÊ`VÊVÊµÕiÊiÃÊvÀÕiÃÊ>Ìj>ÌµÕiÃ `Ã«iÃ>LiÃÊ «ÕÀÊ V«Ài`ÀiÊ >Ê «Ã«iÊ ìÊ >Ê jÌìÊ iÌ iÊViÀiÀÊiÃÊ>Û>Ì>}iÃÊiÌÊiÃÊVÛjiÌÃ°

£]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää

xä

]Ê£n£ ÊqÊä£ £]Ê£ä£ ÊqÊäÓ ]Ê£Îx ÊqÊäx Ç]Êän£ ÊqÊäÓ

£ää

n]ÊxÎ£ ÊqÊä£ £]ÊäÓÎ ÊqÊäÓ n]Ê{nn ÊqÊäx £]ÊÎÈÈ ÊqÊä£

£xä

Ç]ÊÓÇ ÊqÊä£ ]Êx£ä ÊqÊäÎ Ç]ÊnnÇ ÊqÊäx £]ÊÇn ÊqÊä£

Óxä

È]Ên{{ ÊqÊä£ n]ÊÓ£ä ÊqÊäÎ È]Ên£ä ÊqÊäx Î]ÊäÇ{ ÊqÊä£

{ää

x]Ê{ä ÊqÊä£ È]ÊxnÇ ÊqÊäÎ x]Ê{ÈÎ ÊqÊäx {]Ê{{Î ÊqÊä£

xää

{]ÊÇ{ä ÊqÊä£ x]ÊÈnÇ ÊqÊäÎ {]ÊÇ£Ç ÊqÊäx x]ÊÓäÎ ÊqÊä£

Çää

Î]ÊxÎÎ ÊqÊä£ {]ÊÓÎ ÊqÊäÎ Î]Êx£È ÊqÊäx È]Ê{Ó{ ÊqÊä£

£äää

Ó]ÊÓÇ{ ÊqÊä£ Ó]ÊÇÓn ÊqÊäÎ Ó]ÊÓÈÎ ÊqÊäx Ç]ÊÈn ÊqÊä£

Îäää

£]ÊÓäx ÊqÊäÓ £]Ê{{x ÊqÊä{ £]Ê£ ÊqÊäÈ ]ÊnÇn ÊqÊä£

xäää

È]ÊÎn£ ÊqÊä{ Ç]ÊÈxx ÊqÊäÈ È]ÊÎ{ ÊqÊän ]Ê{ ÊqÊä£

*ÕÀÊ iÊ ÌÀ>ÌiiÌÊ ìÊ ÃÞÃÌmiÃÊ Ê`ÕÃÌÀiÃÊ]Ê iÃÊ V>VÕÃÊ «À «ÀiiÌÊ `ÌÃÊ jViÃÃÌiÌÊ >Ê ÃiÊ iÊ ÕÛÀiÊ ìÊ }ViÃÊ `ÌÊ iÝÃÌiÊ ÕÊ ViÀÌ>Ê LÀiÊ ÃÕÀÊ iÊ >ÀVj°Ê iÃÊ V>À>VÌjÀÃÌµÕiÃ] «ÃÃLÌjÃÊ iÌÊ «iÀvÀ>ViÃÊ iÊ ÃÌÊ `ÛiÀÃiÃÊ iÌÊ ÕÃÊ ÕÃ i«iÀÃ]Ê `>ÃÊ ViÌÌiÊ «>ÀÌiÊ ÌjÀµÕi]Ê DÊ `jVÀÀiÊ «ÕÃÊ «>ÀÌVÕm ÀiiÌÊ ViÊ µÕÊ iÃÌÊ «jiÌjÊ `>ÃÊ iÊ }ViÊQÓRÊ µÕiÊ ÕÃÊ >ÛÃ `jÛi««jÊiÌÊ>ÌiÕÊì«ÕÃÊ>Ìi>ÌÊÕiÊÛ}Ì>iÊ`½>jiÃ°

Ó°Î°£ ÀÕiÊìÊL>Ãi >ÊvÀÕiÊìÊ`j«>ÀÌÊìÃÊ«ÀViÃÃÕÃÊìÊ>ÀÛÊiÃÌÊÌÀmÃÊÃ«iÊD `jwÀ°Ê iÊ VÃÃÌiÊ Ã«iiÌÊ DÊ jÌ>LÀÊ >Ê «ÀL>LÌjÊ * Ì ³Ê`Ì ® `½kÌÀiÊ `>ÃÊ ½jÌ>ÌÊ Ê DÊ ½ÃÌ>ÌÊ Ì ³Ê`ÌÊ iÊ vVÌÊ ìÃÊ «ÀL>LÌjÃ * Ì ®ÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊ ®ÊDÊ½ÃÌ>ÌÊÌ°

ÌLiÊiÊ«>iÊÃÕÀÊÕiÊ`ÕÀjiÊwi°ÊÊiÊÀjÃÕÌiÊµÕiÊ Ì ®ÊÌi` ÛiÀÃÊ£ÊiÌÊ, Ì ®ÊÛiÀÃÊäÊÀÃµÕiÊiÊÌi«ÃÊÌÊÌi`ÊÛiÀÃÊ½w°

iÌÌiÊ «ÀL>LÌjÊ ÃiÊ `ÛÃiÊ iÊ ìÕÝÊ «>ÀÌiÃÊ V«jiÌ>ÀiÃ w}ÕÀiÊ{®Ê\ £® Ê>ÀÀÛiÊ`>ÃÊ½jÌ>ÌÊÊiÌÀiÊÌÊiÌÊÌ ³Ê`Ì Æ Ó® Ê iÃÌÊ `>ÃÊ ½jÌ>ÌÊ Ê DÊ ½ÃÌ>ÌÊ ÌÊ iÌÊ Ê ½iÊ ÃÀÌÊ «>ÃÊ iÌÀiÊ ÌÊ iÌ Ì ³Ê`Ì°

iÊ Ì>Li>ÕÊÓÊ ÌÀiÊ ½jÛÕÌÊ ìÊ >Ê «ÀL>LÌjÊ ìÃÊ `vvjÀiÌÃ jÌ>ÌÃÊ`ÕÊÃÞÃÌmiÊiÊvVÌÊ`ÕÊÌi«ÃÊiÌÊ>Ê«ÀL>LÌjÊìÊ½jÌ>ÌÊ{ ìÊ`ÀiVÌiiÌÊ>Ê`jw>LÌjÊ Ì ®°

>Ê ìÕÝmiÊ «>ÀÌiÊ jÌ>ÌÊ Ã«iiÌÊ iÊ V«jiÌÊ DÊ £Ê ìÊ > «ÀL>LÌjÊ ìÊ ÃÀÌÀÊ ìÊ ]Ê Ê >LÕÌÌÊ v>ViiÌÊ DÊ >Ê vÀÕi ÃÕÛ>ÌiÊ\

Ó°Ó°Î /i«ÃÊÞiÃÊìÊÃjÕÀÃÊVÕÕjÃ° Ã«LÌjÊÞiiÊiÌÊ// ÕÊ VÕÀÃÊ ìÊ ÃÊ jÛÕÌ]Ê iÊ ÃÞÃÌmiÊ Ã>ÕÌiÊ `½jÌ>ÌÊ iÊ jÌ>ÌÊ iÌ ÃjÕÀiÊ`>ÃÊV>VÕÊ`½iÕÝÊ«i`>ÌÊÕiÊViÀÌ>iÊ`ÕÀji°Ê iÊ «iÕÌÊ «>ÃÃiÀÊ «ÕÃiÕÀÃÊ vÃÊ «>ÀÊ iÊ kiÊ jÌ>Ì]Ê ÕÃÊ «>ÀiÀÃÊ ì Ìi«ÃÊÞiÃÊìÊÃjÕÀÊVÕÕjÃÊ/- ®Ê>wÊ`½jÛÌiÀÊ>ÊVvÕÃ >ÛiVÊ iÊ Ìi«ÃÊ ÞiÊ ìÊ ÃjÕÀÊ /-®Ê LÃiÀÛjÊ DÊ V>µÕiÊ «>ÃÃ>}i `Û`Õi°

* Ì ´ `Ì r

* Ì o `Ì ´ * Ì M£ q o `Ì N

|

£®

|

Ê ÌiÀÊ µÕi]Ê ÃÕÀÊ >Ê w}ÕÀiÊ{]Ê iÊ v>ÌÊ µÕiÊ iÊ ÃÞÃÌmiÊ ÀiÃÌiÊ `>Ã ½jÌ>ÌÊ Ê >Ê jÌjÊ Ài«ÀjÃiÌjÊ «>ÀÊ ÕiÊ ÌÀ>ÃÌÊ LÕVjiÊ ÃÕÀÊ ½jÌ>ÌÊ °Ê i }iÀiÊìÊLÕViÊiÃÌÊ«VÌiÊiÌÊ}jjÀ>iiÌÊÃÊÃÕÀÊiÃÊ}À>«iÃ ìÊ>ÀÛ°

Ã`jÀÃÊiÊ}À>«iÊìÊ>Êw}ÕÀiÊÓ \Ê>Ê`ÕÀjiÊÞiiÊìÊL vVÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ jÌÕ`jÊ «ÕÀÊ ÕiÊ «jÀìÊ `ji VÀÀiÃ«`Ê DÊ >Ê ÃiÊ ìÃÊ Ìi«ÃÊ ÞiÃÊ ìÊ ÃjÕÀÃÊ VÕÕjÃ «>ÃÃjÃÊ`>ÃÊiÃÊjÌ>ÌÃÊìÊLÊvVÌiiÌÊ £]Ê ÓÊiÌÊ ÎÊ«i`>Ì

*ÃÃÊ o rÊ o Ê «ÕÀÊ Ã«wiÀÊ >Ê vÀÕiÊ£®°Ê o Ê Ài«ÀjÃiÌi `VÊ iÊ Ì>ÕÝÊ ìÊ ÌÀ>ÃÌÊ ìÊ Ê ÛiÀÃÊ ½«ÀÌiÊ µÕiÊ >ÕÌÀiÊ jÌ>ÌÊ `v vjÀiÌÊiÌÊÊ«>ÃÊiÊÌ>ÕÝÊìÊÌÀ>ÃÌÊìÊÊÛiÀÃÊÕki®°


ＶＵ

- Ê{ÊäÇ£ vªx

ＶＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＲ

Analyse des risques des systèmes dynamiques : réseaux de Petri Principes par

Jean-Pierre SIGNORET Maître ès-Sciences - Expert Fiabiliste TOTAL Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF) Ancien Président de European Safety & Reliability Association (ESRA) Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF

SE 4 072 –

2

1.

Contexte......................................................................................................

2.

Analytique versus Monte-Carlo ............................................................

–

2

3.

Modèles de comportement ....................................................................

–

3

4. 4.1 4.2 4.3 4.4

Simulation de Monte-Carlo.................................................................... Principe ......................................................................................................... Exemple simple............................................................................................ Génération des lois de probabilité ............................................................. Précision des résultats.................................................................................

– – – – –

4 4 4 5 6

5. 5.1 5.2 5.3

Réseaux de Petri ....................................................................................... Historique ..................................................................................................... Réseaux de Petri – RdP – de base ............................................................... Extensions ....................................................................................................

– – – –

7 7 7 11

6.

RdP versus processus de Markov ........................................................

–

13

7.

Réseaux de Petri colorés ........................................................................

–

14

8.

Conclusion..................................................................................................

–

14


Doc. SE 4 073

algré tout son intérêt, l’approche analytique par processus de Markov (cf. dossier [SE 4 070] « Analyse des risques des systèmes dynamiques : préliminaires ») trouve rapidement des limites lorsque la complexité des systèmes industriels à étudier ou des paramètres probabilistes à évaluer augmente. Un saut qualitatif devient nécessaire qui impose l’abandon de l’approche analytique pour l’approche statistique connue sous le nom de simulation de MonteCarlo. Elle consiste à tirer des nombres au hasard pour animer un modèle représentant le comportement du système étudié dont l’évolution ainsi simulée sur un grand nombre d’histoires permet d’évaluer les informations probabilistes – fiabilité, disponibilité, disponibilité de production, etc. – recherchées. Une fois franchi le pas de la simulation, reste à sélectionner un modèle de comportement efficace sur lequel s’exerce cette simulation. Le comportement des systèmes industriels présentant beaucoup d’analogie avec celui des automates à états finis – états discrets et dénombrables – l’un d’entre eux s’est détaché et a été adopté et adapté à ce propos dès la fin des années soixantedix : le réseau de Petri (RdP).

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＸ

M


ＶＷ

SE 4 072 – 1


ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________

C’est la représentation graphique du réseau de Petri qui lui confère ses caractéristiques les plus intéressantes : construction maîtrisée de grands modèles complexes à partir d’un nombre très limité d’éléments, visualisation synthétique du modèle obtenu, animation manuelle pas à pas pour en vérifier le comportement, etc. Après avoir jeté les bases de la simulation de Monte-Carlo, ce dossier s’attache à montrer comment les réseaux de Petri constituent un formidable support de simulation permettant d’appréhender pratiquement tous les problèmes probabilistes rencontrés dans le domaine industriel. Dans la continuité des approches analytiques (cf. les dossiers [SE 4 070] et [SE 4 071] « Analyse des risques des systèmes dynamiques : préliminaires et approche markovienne »), ce premier dossier [SE 4 072] se penche ensuite rapidement sur l’utilisation primitive des réseaux de Petri pour générer de gros graphes de Markov. Dans un second dossier [SE 4 073], des exemples simples sont proposés pour présenter de manière progressive la façon d’aborder les problèmes classiques – fiabilité et disponibilité – les plus élémentaires avant de se confronter aux situations autrement plus ardues de la disponibilité de production impliquant une modélisation très détaillée des procédures de maintenance et des niveaux de production du système étudié. Au cours du temps, les réseaux de Petri de base ont subi des évolutions qui les ont conduits progressivement aux réseaux de Petri à prédicats et assertions que nous utilisons aujourd’hui. Grâce à la grande capacité de cette approche à absorber les améliorations, aucune remise en question drastique des choix initiaux n’a jamais été nécessaire. Bien que pourvus maintenant d’une puissance de modélisation incomparable, les réseaux de Petri n’ont pas encore dit leur dernier mot. Des possibilités d’amélioration existent qui sont abordées succinctement à la fin de ce dossier. Pour un investissement intellectuel somme toute très minime, les réseaux de Petri fournissent un outil d’une souplesse d’utilisation et d’une puissance de modélisation aux possibilités quasi illimitées. Ils offrent indubitablement à l’heure actuelle le meilleur rapport qualité/prix en cette matière. Mettre le doigt dans l’engrenage des réseaux de Petri, c’est prendre le risque de trouver désormais les autres approches beaucoup trop pauvres et de ne plus pouvoir s’en passer !

1. Contexte

2. Analytique versus Monte-Carlo

Même si l’approche markovienne n’est pas démunie d’atouts, et nous l’avons montré précédemment [SE 4 071], il n’en reste pas moins qu’elle atteint rapidement ses limites lorsqu’il s’agit de s’attaquer à des problèmes dont la nature s’écarte des simples calculs de fiabilité/disponibilité classiques comme c’est le cas lorsque les paramètres de fiabilité cessent d’être exponentiels ou lorsque la taille du système étudié occasionne l’explosion du nombre des états. Dans une telle conjoncture, la situation de l’ingénieur fiabiliste estelle désespérée pour autant ? Non, bien sûr, mais il doit se résoudre à réaliser le grand saut qualitatif méthodologique lui faisant abandonner la douce quiétude du calcul analytique orthodoxe pour les rivages plus tourmentés des générateurs de nombres aléatoires et des estimations statistiques connus sous le nom de simulation de Monte-Carlo. Une fois le pas franchi se pose immédiatement la question corollaire suivante : simulation de Monte-Carlo d’accord, mais sur quel type de modèle de comportement du système étudié ? Le but de ce document est de répondre aux questions précédentes. Après avoir montré rapidement les aspects complémentaires des approches analytiques et par simulation il s’attache à décrire les grands principes de la simulation de Monte-Carlo. Il expose ensuite en détail le modèle reconnu comme l’un des plus efficaces en la matière : le réseau de Petri stochastique qui prête son nom au titre de ce dossier.

SE 4 072 – 2

Avant de se focaliser sur le sujet de ce dossier, il est bon de s’attaquer à l’idée reçue, courante par le passé et qui, bien qu’encore propagée par certains sectateurs, tend fort heureusement à s’estomper que l’approche analytique serait propre alors que la simulation de Monte-Carlo, elle, serait sale. Pour les départager, il suffit de constater que les problèmes rencontrés par les ingénieurs fiabilistes se classent globalement en deux grandes familles, sécurité et disponibilité, dont les objets sont différents : – la sécurité se préoccupe d’événements rares dont l’occurrence entraîne des conséquences extrêmement graves et elle est mise en jeu dès le premier accident. Les études servent généralement à démontrer à des autorités de sûreté compétentes donnant les autorisations d’exploiter que le risque de l’installation industrielle concernée est acceptable. La sécurité se satisfait donc d’approches conservatives ; – la disponibilité se préoccupe d’événements fréquents dont l’occurrence n’entraîne que des conséquences minimes et c’est le cumul de petites pertes fréquentes qui fait le risque. Les études servent généralement à démontrer à des décideurs donnant leur feu vert pour concrétiser les projets que l’exploitation sera


ＶＸ


____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

rentable. Un trop fort conservatisme risquant de faire rejeter des projets en fait rentables, la disponibilité demande donc de rester au plus près de la réalité (approche best estimate).

États

Cela tombe bien puisque c’est justement selon les deux axes ci-dessus que les approches analytiques et par simulation se distinguent réellement : – l’approche analytique n’est pratiquement jamais utilisable sans approximation mais ces approximations sont généralement d’autant moins sensibles que les probabilités mises en jeu sont petites. Cela s’accorde donc plutôt bien avec les problèmes liés à la sécurité ; – l’approche par simulation de Monte-Carlo permet de modéliser au plus près le comportement des systèmes étudiés mais son efficacité est d’autant plus grande que les événements concernés sont plus fréquents. Cela s’accorde donc plutôt bien avec les problèmes liés à la disponibilité. Donc, les approches analytiques et par simulation ne sont pas interchangeables. Elles sont complémentaires et chacune est bien adaptée à des types de problèmes particuliers. Cependant, avec l’augmentation de la puissance des ordinateurs, les problèmes de sécurité sont de plus en plus accessibles à la simulation, comme nous le montrerons au cours de cet exposé.

A B

E1 E2 E3 E4 Temps Figure 1 – Processus stochastique 70 90 50

100

0 40 50

D

70

B

Puits 40

70

Effet rétroactif

Avant de clore ce paragraphe, il nous faut aussi tuer le présupposé qui veut que la simulation de Monte-Carlo soit imprécise par rapport à l’approche analytique qui, elle, serait précise. Comme nous le verrons plus loin, la simulation de Monte-Carlo délivre toujours l’intervalle de confiance des résultats obtenus. Ce n’est que rarement le cas des méthodes analytiques pour lesquelles il est souvent difficile, sinon impossible, de mesurer l’impact des approximations réalisées pour arriver à obtenir un résultat.

90

C

Effet direct

Chiffres donnés en milliers de barils par jour Figure 2 – Diagramme de flux

Pour évaluer la disponibilité de production d’un tel système, il suffit d’évaluer le temps cumulé moyen passé dans chacun de ses niveaux de production. Un cas particulier de ce genre de modèle est celui pour lequel chaque bloc ne possède que deux états (marche/panne). On retombe alors sur un diagramme fiabilité et les calculs de fiabilité/ disponibilité classiques. La disponibilité moyenne est un cas particulier de disponibilité de production mais, cela étant très similaire avec ce que l’on l’a déjà vu en détail dans le dossier [SE 4 071] sur l’approche markovienne, nous ne nous étendrons pas davantage sur le sujet. À partir de considérations sur l’installation représentée sur la figure 2, il est assez facile de dresser un inventaire « à la Prévert » des problèmes qu’il convient d’aborder, sinon de maîtriser, pour une modélisation à la fois fonctionnelle et dysfonctionnelle réaliste : – niveaux de production ; – effets amont et aval des défaillances ; – blocs en attente (redondance froide/chaude/mixte/tiède) ; – blocs périodiquement testés ; – défaillances de cause commune ; – défaillances induites (la perte d’un bloc induit un état de production dégradée chez un autre) ; – arrêt induit (la perte d’un bloc induit l’arrêt des blocs en série avec lui) ; – reconfigurations lors de la perte d’un bloc pour recouvrer tout ou partie de la production ; – mobilisation des supports d’intervention pour les interventions lourdes ; – mobilisation des spécialistes pour les réparations de certains équipements ; – politique de maintenance curative (nombre d’équipes, défaillances critiques / dégradées, ...) ; – politique de maintenance préventive ; – politique d’approvisionnement des pièces de rechange ; – activités se déroulant en parallèle ou en séquence ; – délais de transport des équipes de maintenance (hélicoptère, bateau, ...) ; – rythme jour/nuit (suspension des réparations la nuit, par exemple) ; – présence normale ou non de personnel à bord ; – stockages ; – conditions météo océanologiques pour les installations en mer ; – délais quelconques pour les événements à prendre en compte ; – etc. Plus on se rapproche de la réalité et plus le nombre d’états à prendre en compte augmente mais la caractéristique principale est que ces états restent bien individualisés (discrets) même s’ils deviennent

3. Modèles de comportement La modélisation probabiliste des systèmes industriels dynamiques nécessite l’utilisation de processus stochastiques. Cela a déjà été évoqué dans les dossiers [SE 4 070] et [SE 4 071] concernant ce type de systèmes dont le comportement typique correspond à celui présenté sur la figure 1. Sur cette figure, on voit un système évoluer entre 4 états distincts en fonction de délais aléatoires liés aux défaillances et aux réparations des 2 composants individuels qui le constituent. Ces états peuvent être interprétés de manières différentes selon le type d’étude à réaliser, par exemple : – pour une étude de sécurité ou de disponibilité classiques, les états 1, 2 et 3 sont les états de bon fonctionnement et l’état 4, l’état de panne ; – pour une étude de disponibilité de production, l’état 1 est l’état de production à 100 %, l’état 4 est l’état de panne totale et les états 2 et 3 des états de marche dégradés. À ce système un peu trop simple pour illustrer l’ensemble des difficultés rencontrées lors de la réalisation d’études probabilistes, nous allons préférer celui qui est représenté sur la figure 2. Il s’agit d’un diagramme de flux modélisant une chaîne typique de production, par exemple le traitement des hydrocarbures sortant d’un puits de pétrole. Chaque bloc est caractérisé par sa capacité de traitement du flux circulant dans le système. Les capacités varient en fonction d’événements internes (défaillance, réparation du bloc) mais aussi d’événements externes (états des autres blocs, politique d’exploitation, etc.). Le puits a, par exemple, deux niveaux de production : 50 000 barils/jour en éruption naturelle et 90 000 barils/jours lorsqu’il est activé. Selon l’état de chacun des blocs, ce petit système possède ainsi 5 niveaux de production : 0, 40, 50, 70, 90 milliers de barils/jour. À un moment donné, le niveau de production est fixé par le (les) bloc(s) qui impose(nt) la production minimale (goulot d’étranglement). Par exemple, lorsque le bloc C est en panne, la production tombe à 70 000 barils/jours.


ＶＹ

SE 4 072 – 3

ＷＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＳ

Analyse des risques des systèmes dynamiques : réseaux de Petri Exemples de modélisation par

Jean-Pierre SIGNORET Maître ès-Sciences - Expert Fiabiliste TOTAL Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF) Ancien Président de European Safety & Reliability Association (ESRA) Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF

1.

Contexte .....................................................................................................

SE 4 073 – 2

2. 2.1 2.2

Traitement de problèmes typiques ..................................................... Exemple d’un système fonctionnant en 2 sur 3 (2/3)................................ Disponibilité ................................................................................................. 2.2.1 Modélisation........................................................................................ 2.2.2 Résultats typiques et MTBF ............................................................... 2.2.3 Influence de la dispersion des temps de réparation ........................ 2.2.4 Observateurs de la simulation........................................................... Fiabilité ......................................................................................................... 2.3.1 Modélisation........................................................................................ 2.3.2 Résultats typiques............................................................................... 2.3.3 Influence de la dispersion des temps de réparation ........................ 2.3.4 MTTF .................................................................................................... Lien Réseaux de Petri et diagrammes de fiabilité ..................................... 2.4.1 Réseaux de Petri de base ................................................................... 2.4.2 Réseaux de Petri à prédicats et assertions ....................................... Systèmes périodiquement testés ............................................................... 2.5.1 Modélisation naïve ............................................................................. 2.5.2 Modélisation efficace.......................................................................... Disponibilité de production......................................................................... 2.6.1 Identification des niveaux de production ......................................... 2.6.2 Extrapolation des BDF aux diagrammes de flux .............................. 2.6.3 Éléments de modélisation des systèmes de production ................. 2.6.4 Modélisation des effets directs et rétroactifs des défaillances .......

– – – – – – – – – – – – – – – – – – – – – – –

2 2 3 3 3 4 4 6 6 6 6 7 7 7 8 8 8 9 9 9 10 10 13

Conclusion .................................................................................................

–

13

2.3

2.4

2.5

2.6

3.


Doc. SE 4 073

e traitement d’exemples caractéristiques auxquels l’ingénieur fiabiliste est journellement confronté lors de l’analyse et de la modélisation de systèmes industriels permet d’aller plus loin dans la découverte des immenses possibilités de modélisation par les réseaux de Petri entrevues dans le dossier précédent [SE 4 072]. Le dessein de ce second dossier est donc d’ouvrir des pistes pour démarrer du bon pied les modélisation par réseaux de Petri aussi bien pour l’évaluation des paramètres fiabilistes classiques, comme la fiabilité, la disponibilité ou le MTTF (Mean Time To Failure) des dispositifs de sécurité, que pour l’évaluation de paramètre fiabilistes plus sophistiqués et nécessitant des modélisations très approfondies, comme la disponibilité de production, la fréquence des pannes ou la charge de maintenance des systèmes de production.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＸ

L


ＷＱ

SE 4 073 – 1


ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________

Même si les réseaux de Petri tirent une grande partie de leur puissance d’expression de leur aspect graphique, la construction maîtrisée de grand modèles implique à la fois discipline et rigueur. Le lien avec les diagrammes de fiabilité et les diagrammes de flux est mis à profit dans ce dossier pour donner la ligne directrice d’une modélisation modulaire incontournable pour qui veut maîtriser ses modèles au cours de leur développement. Le succès d’une simulation de Monte-Carlo résidant dans la rapidité des calculs, les astuces à connaître et les écueils à éviter sont indiqués au détour des exemples servant de support. Enfin, cet ensemble d’exemples vient conforter l’affirmation exprimée dans le dossier [SE 4 072] : les réseaux de Petri constituent bien au début des années 2000, dans le domaine de la sûreté de fonctionnement, le meilleur rapport investissement intellectuel/puissance de modélisation. Attention l’addiction guette... ! Concernant les notations et les graphismes utilisés, le lecteur se reportera utilement au dossier [SE 4 072].

1. Contexte

2. Traitement de problèmes typiques

Dans le dossier [SE 4 072], un pan du voile a été soulevé sur les immenses possibilités de modélisation des réseaux de Petri. Le traitement d’un ensemble d’exemples typiques correspondant aux problèmes auxquels l’ingénieur fiabiliste est journellement confronté permet de continuer cette aventure.

2.1 Exemple d’un système fonctionnant en 2 sur 3 (2/3)

Un petit système fonctionnant en vote majoritaire en 2/3 sert de fil rouge pour introduire les éléments relatifs aux calculs classiques de fiabilité et de disponibilité. Les problèmes de disponibilité de production sont ensuite mis à profit pour montrer tout l’intérêt de la modélisation modulaire au profit de la maîtrise des grands systèmes industriels. La publication récente de la norme internationale IEC 61508 [Doc. SE 4 073] concernant l’évaluation des « niveaux d’intégrité de sécurité » (Safety Integrity Levels SIL) met en lumière les lacunes actuelles en ce qui concerne la modélisation et les calculs de systèmes testés périodiquement. Un paragraphe spécifique (§ 2) est consacré à ce problème que les réseaux de Petri permettent d’aborder sans difficultés particulières.

Pour montrer comment les réseaux de Petri permettent d’appréhender les divers paramètres d’intérêt dans les études probabilistes, nous allons commencer par nous appuyer sur la figure 1 dont le but est de modéliser le comportement d’un système en 2/3. Ce système est composé de 3 composants identiques partageant la même équipe de réparateurs et le lecteur reconnaîtra facilement les modules que nous avons disséqués en [SE 4 072] avec cependant quelques ajouts. En effet, pour modéliser un 2/3, il faut connaître précisément le nombre de composants fonctionnant à un instant donné. Avec les réseaux de Petri, il existe plusieurs manières possibles pour ce faire et nous avons décidé d’introduire ici deux places auxiliaires, une pour compter le nombre de composants en marche NbM et une autre pour compter le nombre de composants en panne NbP.

Quand on parle de modélisation fiabiliste, le traitement des défaillances de cause commune (DCC) est incontournable. La modélisation des systèmes de production est mise à profit pour montrer comment appréhender facilement cette question. Enfin, comme le succès ou l’échec de l’approche par simulation de Monte-Carlo est directement tributaire de la rapidité des calculs, les astuces à connaître et les écueils à éviter sont indiqués au détour des exemples servant de support. De la négligence de cet aspect, des échecs cuisants peuvent résulter !

Chaque fois qu’un composant tombe en panne, NbP reçoit un jeton et NbM en perd un et, réciproquement, chaque fois qu’un composant est réparé NbM reçoit un jeton et NbP en perd un. À chaque instant, ces places permettent donc de connaître l’état du système et, bien entendu, à l’instant initial, NbM doit contenir 3 jetons et NbP aucun.

M_1 NbM

M_2 NbM

NbM

! RD P_1

R_1

! RD Fin_R2

NbP

? RD !-RD A_1

NbP

P_2

Fin_R3 NbP

? RD !-RD R_2

St_R1 NbM

NbM

NbM

! RD Fin_R1

NbP

M_3 NbM

A_2

NbP R_3

Nombre de composants en panne

Figure 1 – Comptage des composants en panne et en marche

SE 4 073 – 2


ＷＲ

A_3 St_R3

NbP

NbP

? RD !-RD

St_R2 Nombre de composants en marche

P_3


____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

2.2 Disponibilité Marche

2.2.1 Modélisation

NbM -2

Telle qu’elle est, la figure 1 ne permet pas encore d’évaluer la disponibilité du système. Il faut lui adjoindre un sous-réseau de Petri auxiliaire qui saura détecter quand le système 2/3 est en Marche ou en Panne. C’est celui qui est représenté sur la figure 2.

Réparation

δ=0 δ=0

Panne

-2

NbP

Panne

Deux arcs inhibiteurs permettent de faire passer le système 2/3 alternativement en panne et en marche selon le nombre de jetons dans les places NbM et NbP. Le passage est immédiat (délai δ = 0) dès que les conditions sont réunies (deux composants en panne ou deux composants en marche). L’utilisation de tels arcs inhibiteurs est très pratique car elle ne perturbe pas du tout le modèle de la figure 1, qui pourrait tout aussi bien être utilisé pour analyser un 1/3 ou un 3/3 en modifiant seulement le poids des arcs inhibiteurs de la figure 2.

Figure 2 – RdP auxiliaire « Disponibilité »

Tableau 1 – Nombre moyen de tir des transitions T = 10 000 h, β = 2, 106 histoires

Composant 1

2.2.2 Résultats typiques et MTBF Figure 1

Les tableaux 1 et 2 montrent les résultats pouvant être obtenus directement à partir du réseau de Petri ci-dessus. Pour réaliser ces calculs, nous avons adopté un classique taux de défaillances (λ) de 2.10−3/h pour chacun des composants mais, pour les réparations, nous avons choisi des lois de Weibull de moyenne 15 h afin de pouvoir analyser l’influence de la dispersion du temps de réparation autour de cette moyenne en faisant varier le paramètre de forme β.

Composant 2

Composant 3

Les premiers résultats standards sont présentés sur le tableau 1. Ils ont été établis en réalisant 106 histoires et avec β = 2. Ils concernent la fréquence de tir de chacune des transitions. On constate qu’en moyenne chaque composant subit de l’ordre de 19,4 pannes au cours des 10 000 h simulées et que cela a conduit à 3,35 défaillances du système en 2/3. Il en résulte que l’équipe de maintenance a été mobilisée environ 58,2 fois.

Figure 2

Disponibilité

Figure 6

Fiabilité

Nom

Fréquence

P_1

19,39

St_R1

19,38

Fin_R1

19,36

P_2

19,41

St_R2

19,41

Fin_R2

19,38

P_3

19,37

St_R3

19,37

Fin_R3

19,34

Panne

3,35

Réparation

3,35

Défaillance

0,96

Tableau 2 – Temps moyen de séjour dans les places et marquage moyen des places T = 10 000 h, β = 2, 106 histoires

Figure 1

Composant 1

Composant 2

Composant 3

Temps moyen (h)

Écart type (h)

Marquage moyen (%)

Écart type (%)

M_1

9 698,55

75,4

96,99

0,75

A_1

10,94

12,8

0,11

0,13

R_1

290,52

72,2

2,91

0,72

M_2

9 698,02

75,5

96,98

0,76

A_2

11,17

13,3

0,11

0,13

R_2

290,81

72,3

2,91

0,72

M_3

9 697,99

75,6

96,98

0,76

A_3

11,61

13,9

0,12

0,14

R_3

290,40

72,1

2,90

0,72

9 966,79

23,8

99,67

0,24

33,21

23,8

0,33

0,24

2 997,77

2670

29,98

26,71

Nom

Marche Figure 2

Disponibilité Panne

Figure 6

Fiabilité

Marche_en_continu


ＷＳ

SE 4 073 – 3

ＷＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＵ

Méthode LOPA : principe et exemple d’application par

Olivier IDDIR Ingénieur en analyse de risques industriels Technip France Service expertise et modélisation – Division QHSES

1. 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8

Présentation de la méthode LOPA...................................................... Objectif de la méthode................................................................................ Origines de la méthode............................................................................... Déroulement d’une revue LOPA ................................................................ Quelques rappels sur la notion de barrière de sécurité ........................... Principe des couches de protection ........................................................... Critères de performance des barrières ...................................................... Principales étapes de la méthode .............................................................. Définition et quantification des fréquences des événements initiateurs......................................................................... 1.9 Définition des barrières............................................................................... 1.10 Quantification des probabilités de défaillance des barrières .................. 1.11 Évaluation de la fréquence d’occurrence résiduelle du scénario............ 1.12 Exemple d’application.................................................................................

SE 4 075 - 3 — 3 — 4 — 4 — 8 — 8 — 13 — 15 — — — — —

16 17 19 20 22

2.1 2.2

Parallèle entre la méthode LOPA et les autres méthodes d’analyse des risques.......................................................... Lien privilégié avec l’HAZOP ...................................................................... Différences avec la méthode du nœud papillon .......................................

— — —

26 26 26

3.

Conclusion .................................................................................................

—

29

2.

Pour en savoir plus ............................................................................................ Doc. SE 4 075

n France, depuis 2003, l’influence de la loi Bachelot et l’introduction des plans de prévention des risques technologiques (PPRT) ont eu comme effet une évolution notable dans la manière d’évaluer les risques. En effet, les évolutions réglementaires ont conduit à un plébiscite des analyses dites probabilistes. De ce fait, les études de dangers (EDD) ne se limitent plus à une approche uniquement déterministe, et il est demandé aux industriels d’expliciter le lien entre les résultats de leur EDD et leurs choix en termes de mesures de maîtrise des risques (MMR). De manière beaucoup plus large, lors de la réalisation d’analyses de risques, des barrières de sécurité sont valorisées dans le but de justifier que les risques sont prévenus et maîtrisés. Dès lors, plusieurs questions viennent spontanément à l’esprit : – Ai-je suffisamment de barrières de sécurité ? – Comment définir précisément le besoin en termes de réduction du risque ? – Les barrières mises en place sont elles suffisantes pour justifier d’un risque résiduel acceptable ? Pour justifier d’un risque résiduel faible, une tendance naturelle pourrait être de chercher à valoriser un maximum de barrières. Une telle démarche peut malheureusement se révéler contre-productive car l’empilement des barrières ne garantit en rien d’une bonne maîtrise de risques. De surcroît, ce biais de raisonnement peut instaurer un faux sentiment de sursécurité et mener finalement à un accident.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＲ

E


ＷＵ

SE 4 075 – 1


MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

L’émergence de la norme IEC 61511 relative au niveau d’intégrité des fonctions instrumentées de sécurité (SIF) a mis en lumière le besoin de disposer de méthodologies permettant de déterminer le niveau d’intégrité ou niveau de SIL (Safety Integrity Level) requis pour les SIF. De ce fait, la norme IEC 61511 décrit un certain nombre de méthodes permettant d’atteindre cet objectif. L’une d’entre elles est la méthode LOPA (Layer Of Protection Analysis). Si les normes citées précédemment sont spécifiques aux SIF, le principe des méthodes proposées dans les normes est « déclinable » à tous les types de barrières. Le retour d’expérience montre que de nombreuses barrières de sécurité mises en place sur les sites industriels sont le résultat : – d’une réponse à des prescriptions réglementaires ; – du bon sens ; – de la prise en compte du retour d’expérience et de l’accidentologie. De manière générale, il n’est pas rare dans les EDD d’aboutir à la conclusion que les barrières de sécurité mises en œuvre par les industriels permettent de justifier d’un niveau de risque résiduel acceptable. Par conséquent, une approche pragmatique basée sur un ou plusieurs des trois critères précédents peut se révéler efficiente. L’idée de faire correspondre des barrières de sécurité à un besoin (facteur de réduction du risque) est finalement relativement récente. Si avec du recul, ce concept peut paraître évident, sa mise en œuvre s’avère beaucoup plus difficile et nécessite de disposer de méthodes permettant de garantir de la pertinence de l’analyse. Pour mener une telle approche, il faut disposer : – d’un référentiel d’acceptabilité des risques : sans référentiel, il est impossible de proportionner le besoin en termes de barrières à un facteur de réduction du risque ; – d’une méthode de quantification des risques : l’estimation du facteur de réduction du risque nécessite inévitablement de recourir à une estimation de la criticité de l’événement indésirable. Cet article s’attache à présenter les principes fondamentaux de la méthode et à illustrer son application au travers d’exemples pratiques.

Acronyme APS

Définition

Acronyme

Automate programmable de sécurité

LOPA

Définition Layer Of Protection Analysis

BPCS

Basic Process Control System

CCPs

Center for Chemical Process Safety

MMRI

Mesure de maîtrise des risques instrumentée

DGPR

Direction générale de la prévention des risques

MMR

Mesure de maîtrise des risques

EI FCV HAZOP

Événement initiateur

PFD

Flow Control Valve/Vanne de régulation de débit

PPRT

Hazard and OPerability analysis

HSE

Health and Safety Executive

HSL

Health and Safety Laboratory

IEC

International Electrotechnical Commission

IPL

Independant Protection Layer/Couche de protection indépendante

ISA

International Society of Automation

SE 4 075 − 2

LT

Level Transmitter/Transmetteur de niveau

Probability of Failure on Demand Plan de prévention des risques technologiques

RRF

Risk Reduction Factor/Facteur de réduction du risque

SIF

Safety Instrumented Function/Fonction instrumentée de sécurité

SIL

Safety Intergrity Level/Niveau d’intégrité

TESEO

Tecnica Empirica Stima Errori Operatori

THERP

Technique for Human Error Rate Prediction

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. − © Editions T.I.

ＷＶ


___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

1. Présentation de la méthode LOPA

Nota : pour être prises en compte dans le calcul de fréquence d’occurrence résiduelle du scénario, il faudra que les barrières de sécurité vérifient les critères qui permettent de répondre à la définition d’une couche de protection indépendante (IPL).

Cette méthode intègre toutes les couches de protection de l’entreprise, tant organisationnelles que techniques. La méthode LOPA évalue la réduction du risque en analysant la contribution des différentes couches (qui englobe l’ensemble des barrières depuis la conception du procédé jusqu’aux mesures de secours) en cas d’accident. L’ouvrage du CCPs [1] introduit la notion de barrière de sécurité indépendante (IPL). Dans le cadre de l’application de la méthode, seules les barrières de sécurité qui vérifient les conditions pour être retenues comme IPL sont à valoriser dans le calcul de la fréquence d’occurrence résiduelle du scénario.

1.1 Objectif de la méthode La méthode LOPA est une méthode semi-quantitative développée dans l’optique : – de juger de l’adéquation entre les barrières mises en œuvre et le niveau de risque visé ; – de statuer sur le besoin de mise en œuvre de nouvelles barrières ; – de définir les « exigences » minimales sur la probabilité de défaillance des barrières à mettre en place dans le cas où les barrières existantes ne permettraient pas de justifier d’un risque acceptable ; – d’évaluer la fréquence d’occurrence résiduelle d’un scénario d’accident.

La méthode LOPA trouve plusieurs applications : – compléter l’analyse menée dans l’HAZOP si le groupe de travail considère le scénario trop complexe ou que les conséquences sont trop importantes ; – déterminer les niveaux de SIL requis pour les fonctions instrumentées de sécurité (SIF) ; – évaluer l’impact de la modification du procédé ou des barrières de sécurité ; – analyser de manière plus détaillée certains scénarios d’accidents.

Nota : la méthode LOPA sert aussi à identifier les actions humaines (réponses et actions des opérateurs) qui peuvent permettre de rétablir le fonctionnement du système. Par la suite, il faut alors définir des procédures dans le but de garantir que les opérateurs seront formés pour accomplir ces actions.

D’après l’ouvrage [1], un scénario est jugé complexe en cas de doute : – sur la compréhension du déroulement du scénario identifié ; – sur l’indépendance des barrières valorisées.

Remarque Le CCPs considère la méthode LOPA comme semi-quantitative car la fréquence d’occurrence, ainsi que la gravité des conséquences, constituent des approximations qui utilisent en règle générale une cotation à l’aide de puissance de dix.

Aujourd’hui, le retour d’expérience montre que la méthode LOPA est principalement utilisée dans le cadre de l’application des normes SIL (IEC ou ISA). En revanche, les propositions de mise en place de barrières supplémentaires dans le but de réduire un risque ne doivent pas se limiter aux seules SIF.

La première étape de la méthode LOPA consiste à définir le scénario d’accident. Un scénario est composé a minima de deux éléments : – un événement initiateur ; – une conséquence.

Remarque Si l’émergence des normes IEC 61508 et 61511 a eu pour effet de « démocratiser » la méthode LOPA, celle-ci ne doit pas être limitée à la définition des niveaux de SIL et elle peut être utilisée plus largement dans le cadre des analyses de risques.

L’un des principes de base de la méthode est qu’un scénario doit être composé d’un unique couple événement initiateur/ conséquence. Dans le cas où un même événement initiateur peut mener à différentes conséquences, il est alors nécessaire de définir autant de scénarios que de conséquences.

La méthode LOPA peut aussi être utilisée comme une alternative à une analyse quantifiée en termes de fréquence d’occurrence et de gravité. À ce titre, la figure 1 présente l’exemple de répartition des méthodes d’analyse de risques proposé par le CCPs dans l’ouvrage [1].

Un scénario peut, en plus des deux éléments définis précédemment, inclure : – des conditions de réalisation qui correspondent à des conditions nécessaires pour que l’événement initiateur puisse aboutir à la conséquence envisagée ; – la défaillance des barrières de sécurité mises en place vis-à-vis du scénario d’accident.

Analyse qualitative des risques (100 % des scénarios)

Nota : pour faire le parallèle avec le contexte ICPE, dans les études de dangers, il est demandé aux industriels français de traiter à l’aide d’une méthode semi-quantifiée ou quantifiée 100 % des scénarios d’accident qui sortent des limites de l’établissement.

Analyse semiquantitative des risques (10 à 20 % des scénarios)

Analyse quantitative des risques (environ 1 % des scénarios)

Ex : LOPA

Figure 1 – Répartition des méthodes d’analyse (d’après [1])


ＷＷ

SE 4 075 – 3



CCPs décida de réunir des industriels et des experts en risques afin de démarrer un groupe de travail sur la méthode LOPA. Pour rendre accessible au grand public cette méthode, le CCPs publia en 2001 l’ouvrage « Layer Of Protection Analysis » (LOPA) [1]. De ce fait, la méthode LOPA est souvent considérée comme une méthode d’analyse de risques récente.

La méthode LOPA est aujourd’hui principalement utilisée pour déterminer le niveau de SIL à allouer aux SIF. De manière plus large, elle permet de déterminer le nombre de barrières de sécurité indépendantes (IPL) à mettre en œuvre dans le but de pouvoir justifier d’un niveau de risque acceptable. La finalité de la méthode est d’estimer le niveau de risque résiduel en considérant l’effet des IPL. Pour ce faire, il est nécessaire : – d’une part, de calculer la fréquence d’occurrence du scénario d’accident (par an), ce qui nécessite d’évaluer la fréquence d’occurrence des événements initiateurs et les probabilités de défaillances de chaque IPL ; – d’autre part, d’évaluer la gravité associée à la conséquence en cas de survenue de l’accident.

Remarque Il semble qu’une nouvelle version de l’ouvrage LOPA pourrait prochainement être publiée par le CCPs [2]. Cette nouvelle version aurait pour objectif de prendre en compte le retour d’expérience des utilisateurs de la méthode. La liste d’événements initiateurs types et de barrières serait aussi plus détaillée.

1.2 Origines de la méthode

1.3 Déroulement d’une revue LOPA

La genèse de la méthode LOPA est présentée par le CPPS dans [1]. D’après cet ouvrage, la méthode LOPA trouve ses origines dans deux publications : – à la fin des années 1980, le Chemical Manufacturers Association (maintenant American Chemistry Council ) publie « Responsible Care® Process Safety Code of Management Practices » qui introduit la notion de couches de protection et qui recommande de les prendre en considération dans le cadre du système de management ; – en 1993, le Center of Chemical Process Safety (CCPs) introduisait dans le « Guidelines for Safe Automation of Chemical Processes » la méthode LOPA. Dans cet ouvrage, la méthode décrite était à un stade d’avancement préliminaire, mais était déjà proposée comme alternative pour déterminer le niveau de SIL des SIF. En octobre 1997, lors du congrès international à Atlanta sur les méthodes d’analyses de risques organisé par le CCPs, le besoin de publier un ouvrage présentant la méthode LOPA a émergé des différentes présentations et discussions.

1.3.1 Compétences nécessaires La LOPA est une méthode d’analyse de risques menée en groupe de travail pluridisciplinaire. Dans l’idéal, le groupe doit être composé de représentants des disciplines suivantes : – sécurité ; – instrumentation ; – procédé ; – maintenance et inspection ; – exploitation. La revue LOPA doit nécessairement être menée en groupe de travail car l’expertise de chaque discipline est nécessaire. Le tableau 1 précise les domaines pour lesquels l’expertise de chaque discipline est nécessaire au bon déroulement de la revue. Le groupe de travail est généralement piloté par un chairman (animateur de la revue) qui connaît bien la méthodologie. Le chairman est en charge de conduire la revue, c’est-à-dire d’organiser les « échanges » entre les différents membres. Ces échanges sont formalisés sous la forme de tableau d’analyse tel que présenté au paragraphe 1.3.3.

En parallèle, en Europe et aux États-Unis, les normes relatives au SIL (respectivement les normes IEC 61508/61511 et ISA S84.01) étaient en pleine évolution et dans leurs premières versions, aucune de ces normes ne recommandait la méthode LOPA pour déterminer le niveau de SIL des SIF. Pour faire face aux évolutions normatives mais aussi méthodologiques initiées pour certaines par des industriels, en 1998, le

1.3.2 Processus général de la méthode Les principales étapes de la méthode LOPA décrites au paragraphe 1.7.1 sont reprises sur la figure 2.

Tableau 1 – Domaines d’expertise des différents participants à une revue LOPA Discipline

Domaine d’expertise

Sécurité

Définition des scénarios d’accidents Évaluation des fréquences d’occurrence des événements initiateurs Évaluation des conséquences et des niveaux de gravité qui y sont associés Évaluation de la probabilité de défaillance des barrières de sécurité

Instrumentation

Définition de l’architecture des fonctions instrumentées de sécurité (SIF) Évaluation de la probabilité de défaillance des SIF Connaissances sur les exigences des normes relatives au SIL (IEC 61508 – 61511)

Procédé

Connaissance du fonctionnement du procédé (permet d’identifier les dérives, définir des modes et seuils de détection, etc.)

Maintenance et Inspection

Connaissance des fréquences d’inspection des équipements (données qui influent sur la fréquence d’occurrence des événements de type « perte de confinement ») Connaissance des périodes de test pour les barrières de sécurité (données nécessaires à l’évaluation de la probabilité de défaillance des SIF) Connaissance des temps de réparation des barrières de sécurité (données nécessaires à l’évaluation de la probabilité de défaillance des SIF)

Exploitation

Connaissance du fonctionnement des installations

SE 4 075 – 4


ＷＸ



Sélection des scénarios d’accident devant faire l’objet d’une analyse par la méthode LOPA ÉTAPE 1 Sélection du premier scénario d’accident

Développement du scénario d’accident ÉTAPE 2 ÉTAPE 4 Identification des barrières de sécurité existantes

Évaluation de la fréquence d’occurrence de l’événement initiateur

Validation/Évaluation de la gravité des conséquences associées au scénario

ÉTAPE 5

ÉTAPE 3

Identification des couche de protection indépendantes (IPL)

Évaluation de la fréquence résiduelle du scénario d’accident (avec prise en compte des barrières)

Évaluation de la probabilité de défaillance des IPL ÉTAPE 6

OUI

ÉTAPE 7

NON

Évaluation de la criticité du scénario d’accident

Peut-on définir une nouvelle barrière ?

Le risque est-il acceptable ?

ÉTAPE 8

OUI

NON Envisager de modifier le procédé

Y a-t-il un autre scénario ?

OUI

NON Fin de l’analyse

Figure 2 – Processus général de la méthode LOPA

Comme pour toutes les méthodes d’analyse de risques, il est important : – que toutes les phases d’exploitation de l’installation soient étudiées (démarrage, arrêt programmé, fonctionnement nominal, etc.) ; – que toutes les causes pouvant mener à un événement initiateur soient identifiées et étudiées séparément car les barrières et IPL valorisables ne seront pas nécessairement les mêmes.

et hypothèses émises par le groupe de travail lors des 8 étapes décrites au paragraphe 1.7. Le tableau 2 présente le formalisme de la fiche d’analyse proposé dans l’ouvrage LOPA [1]. Dans cette fiche, les cases non cochées sont celles qui doivent être renseignées par le groupe de travail. Dans la pratique, les revues sont généralement conduites avec des tableaux d’analyse qui diffèrent (dans la forme) du tableau 2. À titre d’exemple, le tableau 4 présente le formalisme de tableau proposé au chapitre 3 de la norme IEC 61511.

1.3.3 Contenu des tableaux d’une revue LOPA

Afin de guider l’utilisateur, le CCPs précise dans l’ouvrage décrivant la méthode LOPA [1] les attentes vis-à-vis des différents items qui doivent être renseignés dans le tableau 2. Ces précisions sont résumées dans le tableau 3.

Lors d’une revue LOPA, des tableaux d’analyse sont remplis en temps réel. Ces tableaux ont pour objectif de formaliser les décisions


ＷＹ

SE 4 075 – 5



Tableau 2 – Définitions des différents items à renseigner dans la fiche de synthèse pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) Numéro du scénario :

Numéro de l’équipement :

Titre du scénario :

Date :

Description

Probabilité

Fréquence

Conséquences/Niveau de gravité associé

×

×

Fréquence « cible » pour atteindre le niveau de risque acceptable

×

Événement initiateur du scénario

×

Conditions de réalisation du scénario Facteurs conditionnels de réalisation (si applicables au scénario)

× ×

Probabilité d’inflammation

×

Probabilité de présence du personnel dans la zone d’effet atteinte par le scénario

×

Probabilité de blessures mortelles

×

Autres

×

Fréquence du scénario sans les barrières

×

Barrières de sécurité respectant les critères d’indépendance explicités dans la méthode LOPA (IPL) et valeur de PFD associée

×

Autres barrières de sécurité ne respectant pas les critères d’indépendance explicités dans la méthode LOPA

×

Total des PFD associées aux barrières de sécurité indépendantes (IPL)

×

×

Fréquence du scénario avec les barrières indépendantes

×

La fréquence « cible » permettant de justifier d’un risque acceptable est elle atteinte ? (Oui/Non) : Actions requises pour atteindre le niveau de risque acceptable : Notes : Références (PID, etc.) : Identité des membres ayant participés à la revue LOPA :

Tableau 3 – Définitions des différents items à renseigner dans la fiche de synthèse pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) Item

Définition/précision

Conséquences/Niveau de gravité associé

Cet item peut être renseigné de deux manières : qualitativement : la conséquence est décrite avec le plus de précision possible. Par exemple, montée en pression dans une capacité générant une fuite sur une bride quantitativement : la conséquence est décrite en termes d’effet. Par exemple, mise à l’atmosphère de X kg de produit inflammable Dans les deux cas, un niveau de gravité doit être associé à la conséquence

Fréquence « cible » pour atteindre le niveau de risque acceptable

Cet item indique la fréquence d’occurrence maximale admissible pour la conséquence au regard du niveau de gravité défini précédemment. Pour ce faire, en fonction de la finalité de l’étude, les critères d’acceptabilité du risque à utiliser peuvent être, soit réglementaires, soit internes à un groupe ou à un industriel

Événement initiateur du scénario

Cet item doit être renseigné avec le plus de précision possible. Si l’événement initiateur est lié au dépassement d’un seuil, il est nécessaire que celui-ci soit clairement indiqué. Par exemple, montée en température dans le réacteur au-dessus de T1 (en précisant la valeur de T1)

Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

SE 4 075 – 6


ＸＰ



Tableau 3 – Définitions des différents items à renseigner dans la fiche de synthèse pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) (suite) Item

Définition/précision

Conditions de réalisation du scénario

Cet item doit être renseigné précisément dans le but de pouvoir par la suite évaluer la probabilité à associer à chacune des conditions. Par exemple, si un emballement de réaction ne peut se produire que durant une phase spécifique de la réaction, il est nécessaire de préciser la durée de cette phase par rapport à la durée totale de la réaction

Facteurs conditionnels de réalisation (si applicables au scénario)

Cet item doit préciser la nature et les valeurs associées aux facteurs pris en compte dans le calcul de la fréquence d’occurrence du scénario. En général, trois facteurs sont pris en compte : la probabilité d’inflammation (dans le cas de mise à l’atmosphère de produit inflammable) la probabilité de présence du personnel dans la zone d’effet la probabilité de blessure ou de mort dans la zone d’effet

Barrières de sécurité respectant les critères d’indépendance explicités dans la méthode LOPA (IPL) et valeur de PFD associée

Cet item permet de lister des barrières de sécurité qui sont retenues comme IPL vis-à-vis du scénario d’accident étudié. Les probabilités de défaillances associées à ces IPL doivent être justifiées. De même, la démonstration de l’efficacité des IPL vis-à-vis du scénario d’accident doit être documentée

Autres barrières de sécurité ne respectant pas les critères d’indépendance explicités dans la méthode LOPA

Cet item doit préciser les barrières de sécurité qui n’ont pas été retenues comme IPL. L’objectif est d’assurer une traçabilité du raisonnement en expliquant pourquoi ces barrières ne constituent pas des IPL

Total des PFD associées aux barrières de sécurité indépendantes (IPL)

Cet item correspond au produit des PFD associées à chaque IPL

Fréquence du scénario avec les barrières indépendantes

Cet item correspond à la fréquence d’occurrence résiduelle du scénario d’accident, c’est-à-dire en considérant la défaillance de l’ensemble des IPL valorisées

La fréquence « cible » permettant de justifier d’un risque acceptable est-elle atteinte ? (Oui/Non)

Cet item permet de statuer sur l’acceptabilité du risque. Si la fréquence d’occurrence résiduelle calculée est supérieure à la fréquence cible, alors le risque n’est pas acceptable. Au contraire, si la fréquence d’occurrence résiduelle calculée est inférieure à la fréquence cible, alors le risque est acceptable

Actions requises pour atteindre le niveau de risque acceptable

Cet item doit préciser quelles actions sont envisagées pour rendre le risque acceptable. Dans le cas où une nouvelle barrière est proposée, il est nécessaire de la détailler et en parallèle de démontrer qu’elle peut être considérée comme une IPL

Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

Tableau 4 – Tableau d’analyse proposé pour la conduite d’une revue LOPA d’après le chapitre 3 de la norme IEC 61511 PFD des couches de protection No

EI

G

CI

P(CI)

Conception générale du procédé

BPCS

Alarmes

Atténuation supplémentaire accès limité, etc.

Barrière de mitigation (non SIF)

Probabilité d’occurrence intermédiaire

PFD (SIF)

Probabilité d’occurrence résiduelle (avec SIF)

Note

EI : événement indésirable/événement initiateur. G : niveau de gravité de l’événement indésirable. CI : cause initiatrice (événement initiateur). P(CI) : probabilité d’occurrence de la cause initiatrice. BPCS : Basic Process Control System. PFD(SIF) : probabilité de défaillance à la sollicitation de la fonction instrumentée de sécurité.


ＸＱ

SE 4 075 – 7

ＸＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＷ

Méthode PDS par

Olivier IDDIR Ingénieur quantification des risques – Membre du réseau des experts de TECHNIP Service Expertise & Modélisation – TECHNIP, La défense, France

1. 1.1 1.2 1.3 1.4

1.5

Présentation de la méthode....................................................................... Les origines ................................................................................................. Estimation de l’indisponibilité critique de sécurité .................................. Les différents types de défaillances pris en compte ................................ Prise en compte des causes communes de défaillances......................... 1.4.1 Définition ............................................................................................ 1.4.2 Le modèle PDS................................................................................... Les formules de calcul ................................................................................ 1.5.1 Calcul de la PFD et PFH ..................................................................... 1.5.2 Calcul de la DTU................................................................................. 1.5.3 Calcul de PTIF ......................................................................................

SE 4 077 - 2 — 2 — 3 — 5 — 6 — 6 — 6 — 6 — 6 — 9 — 9

2. 2.1 2.2 2.3 2.4

Différences avec l’IEC 61508 ...................................................................... Les types d’indisponibilité considérés ...................................................... La prise en compte des modes communs de défaillance ....................... L’hypothèse AGAN ..................................................................................... La prise en compte des erreurs systématiques........................................

— — — — —

11 11 11 11 13

3. 3.1 3.2 3.3

Cas d’application......................................................................................... Présentation du cas..................................................................................... Estimation de la CSU par la méthode PDS ............................................... Estimation de la PFD par application des formules IEC 61508-6 ............

— — — —

13 13 14 14

4.

Conclusion ...................................................................................................

—

16

Pour en savoir plus ..............................................................................................

Doc. SE 4 077

our prévenir et limiter les risques, les industriels sont amenés à mettre en œuvre des barrières de sécurité. Il existe différents types de barrières de sécurité tels que les fonctions instrumentées de sécurité (SIF) ; réalisées par des systèmes instrumentés de sécurité (SIS), elles ont connu un essor croissant depuis la parution des normes encadrant leurs conception, utilisation, suivi et maintien dans le temps (normes IEC 61508 et 61511). La conception d’un SIS nécessite d’estimer le niveau d’intégrité (SIL) des SIF pour justifier que les risques sont maîtrisés. L’objectif est de démontrer que les architectures proposées pour les SIF permettent bien d’atteindre les niveaux de SIL requis. Pour ce faire, il est nécessaire de calculer la probabilité de défaillance de chaque SIF (PFDavg pour les systèmes en mode sollicitation ou PFH pour les systèmes en mode continu). La méthode PDS, largement utilisée dans l’industrie offshore (et plus particulièrement en Norvège), permet de répondre à ce besoin. Cet article présente les principes de la méthode PDS et met en lumière les principales différences avec l’approche présentée dans l’IEC 61508-6. Plus précisément : – il retrace les origines de la méthode ;

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＶ

P


ＸＳ

SE 4 077 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＷ MÉTHODE PDS _____________________________________________________________________________________________________________________

– il présente les formules permettant de calculer la probabilité de défaillance à la sollicitation d’une SIF (PFDavg) ; – il compare les valeurs de PFDavg obtenues par application de la méthode PDS à celles obtenues par application des formules de l’IEC 61508-6.

1. Présentation de la méthode

Mode continu : Mode de fonctionnement dans lequel la SIF maintient le processus dans un état de sécurité en fonctionnement normal. Définition IEC 61511-1. Pour chaque classe de SIL, les facteurs de réduction du risque et valeurs cibles de PFDavg et PFH sont rappelés dans les tableaux 1 et 2.

1.1 Les origines PDS est un acronyme norvégien pour désigner la fiabilité et la sécurité des systèmes instrumentés de sécurité (SIS). La méthode PDS a été développée par le SINTEF en étroite collaboration avec :

Les normes IEC 61508 et 61511 introduisent différentes approches permettant d’estimer la probabilité de défaillance d’un système (pour en déduire le niveau de SIL), parmi elles : • les formules analytiques [SE4058] ; • les arbres de défaillance [SE4050] ; • les blocs diagramme de fiabilité ; • les graphes de Markov [SE8250] [SE4071] ; • les réseaux de Pétri [SE4073].

• des compagnies pétrolières ; • des fournisseurs et concepteurs de système de logique de traitement ; • des organismes spécialistes sur les systèmes de contrôle et de sécurité. Elle permet de quantifier l’indisponibilité de la sécurité et de la perte de production pour les systèmes instrumentés de sécurité (SIS). Son principe est détaillé dans l’ouvrage PDS Method Handbook [1].

Ces normes n’imposent pas le type d’approche à retenir mais incitent l’utilisateur à retenir celle qui semble le mieux adaptée à son besoin. La méthode PDS s’inscrit donc comme un exemple d’utilisation de formules analytiques dans le but de vérifier les niveaux de SIL requis. Même si cette méthode est relativement développée et qu’elle peut être considérée comme « réaliste », elle reste relativement simple à mettre en œuvre et doit être considérée comme un outil dédié à des non spécialistes en matière de sureté de fonctionnement. En effet, cette méthode a pour finalité d’améliorer la prise en compte des approches « fiabilistes » dans les disciplines de l’ingénierie, et ainsi combler le fossé entre la théorie et son application.

Cette méthode est couramment mise en œuvre dans l’industrie offshore, plus particulièrement en Norvège (en lien avec le NOG GL 070 [2]). Note : la méthode est également applicable à d’autres secteurs d’activité que l’offshore.

Plus généralement, elle permet d’estimer les niveaux de SIL des fonctions instrumentées de sécurité, et donc de répondre à l’une des exigences des normes IEC 61508 et 61511 et du NOG GL 070. Système instrumenté de sécurité (SIS) : ensemble de matériels qui composent le système de sécurité. Il comprend tous les capteurs, les logiques et les actionneurs. Fonction instrumentée de sécurité (SIF) : automatisme de sécurité composé par un ou plusieurs capteurs, une logique et un ou plusieurs actionneurs dans le but de remplir une fonction de sécurité.

Tableau 1 – Définition des niveaux SIL pour un système en mode faible sollicitation d’après IEC 61511-1 Niveau d’intégrité de sécurité

À titre de rappel, les normes IEC 61508 et 61511 distinguent quatre niveaux de réduction de risques appelés niveaux de SIL. Les niveaux de SIL sont rattachés à : • une probabilité de défaillance sur sollicitation (notée PFDavg) pour les systèmes en mode faible sollicitation ; • une probabilité de défaillance par heure (notée PFH) pour les systèmes en mode continu ou en mode sollicitation élevée.

SIL 1

10–2

PFDavg < 10–1

SIL 2

10–3

PFDavg

< 10–2

100 < FRR

SIL 3

10–4

PFDavg < 10–3

1 000 < FRR

10 000

SIL 4

10–5

< 10–4

10 000 < FRR

100 000

PFDavg

10 < FRR

100 1 000

Tableau 2 – Définition des niveaux SIL pour un système en mode continu ou en mode sollicitation élevée d’après IEC 61511-1

Mode à faible sollicitation : Mode de fonctionnement dans lequel la SIF n’est réalisée que sur sollicitation, afin de faire passer le processus dans un état de sécurité spécifié, et où la fréquence des sollicitations n’est pas supérieure à une par an. Définition IEC 61511-1. Mode à sollicitation élevée : Mode de fonctionnement dans lequel la SIF n’est réalisée que sur sollicitation, afin de faire passer le processus dans un état de sécurité spécifié, et où la fréquence des sollicitations est supérieure à une par an. Définition IEC 61511-1.

SE 4 077 – 2

Facteur de réduction du risque (FRR)

avg avg

Niveau d’intégrité de sécurité

PFH

SIL 1

10–6

PFH < 10–5

10 < FRR

SIL 2

10–7

PFH < 10–6

100 < FRR

SIL 3

10–8

PFH < 10–7

1 000 < FRR

10 000

SIL 4

10–9

PFH < 10–8

10 000 < FRR

100 000


ＸＴ

Facteur de réduction du risque (FRR) 100 1 000

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＷ _____________________________________________________________________________________________________________________ MÉTHODE PDS

Identification des SIF

Allocation des niveaux de SIL requis pour les SIF

Proposition d’architectures pour atteindre les niveaux de SIL requis

Calcul des probabilités de défaillance

Comparaison des probabilités de défaillance aux classes de SIL (tableaux 1 et 2)

Figure 1 – Les différentes étapes pour estimer le niveau de SIL

Trois contributeurs à la CSU sont désignés : 1/ L’indisponibilité liée aux défaillances dangereuses non détectées (λDU) qui couvre :

La méthode PDS peut être considérée comme « réaliste » car elle prend en compte les principaux paramètres qui ont une influence sur la disponibilité d’un système, tels que :

a) l’indisponibilité liée aux défaillances aléatoires de matériels (λDU-RH) ;

• les différentes catégories de défaillances/causes ; • les défaillances de cause commune ;

b) l’indisponibilité liée aux défaillances systématiques (λDU-

• les autotests (internes aux équipements dotés de cette fonctionnalité) ;

SYST).

Cette indisponibilité est associée à la probabilité de défaillance sur demande notée PFD (Probability of Failure on Demand). 2/ L’indisponibilité liée aux arrêts qui couvre :

• les tests périodiques de bon fonctionnement ; • les défaillances systématiques ;

a) l’indisponibilité liée à la réparation d’équipements décelés en panne (maintenance corrective) → DTUR ;

• les redondances d’équipements. Comme présenté en figure 1, la méthode PDS constitue une alternative aux formules de calculs proposées dans l’annexe B de l’IEC 61508-6 lors de l’étape de calcul de la probabilité de défaillance pour justifier de l’atteinte du niveau SIL requis.

b) l’indisponibilité liée à l’inhibition d’équipements afin de réaliser les tests périodiques de bon fonctionnement et la maintenance préventive → DTUT. Cette indisponibilité est associée à l’indisponibilité pour arrêts planifiés notée DTU (Down Time Unavailability). 3/ L’indisponibilité liée à des défaillances dangereuses cachées qui ne peuvent pas être décelées pendant les tests périodiques de bon fonctionnement, mais uniquement lors d’une sollicitation réelle.

Toutes les approches précitées pour déterminer le niveau de SIL nécessitent d’utiliser des données de fiabilité pour caractériser les équipements qui permettent de remplir la fonction de sécurité (détecteur, automate, vanne d’isolement, etc.). Pour faciliter la mise en œuvre de la méthode PDS, le SINTEF propose en complément un recueil de données de fiabilité (PDS Data Handbook [3]).

Cette indisponibilité est associée aux défaillances cachées notée PTIF (Test Independant Failure Probability).

1.2 Estimation de l’indisponibilité critique de sécurité

PTIF : probabilité qu’un composant ou système ne remplisse pas sa fonction de sécurité à cause d’une défaillance latente non détectable lors des tests périodiques de bon fonctionnement.

La méthode PDS introduit la notion d’indisponibilité critique de sécurité (traduction de Critical Safety Unavailability notée CSU). L’ouvrage [1] définit cette indisponibilité comme la probabilité qu’un système ou composant ne remplisse pas sa fonction de sécurité au moment où un événement dangereux ou accident survient.

La CSU s’exprime comme la somme de ces différents contributeurs :

Copyright © – Techniques de l’Ingénieur – Tous droits réservés.

ＸＵ

SE 4 077 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＷ MÉTHODE PDS _____________________________________________________________________________________________________________________

Sur la figure 3, il est possible d’observer que la PFD et la CSU atteignent leurs maximums juste avant la période de test et leurs minimums juste après. Cependant, la valeur de CSU généralement retenue correspond à la moyenne. Par conséquent, il est possible que la valeur moyenne permette de justifier de l’atteinte de l’objectif visé, mais qu’il ne le soit plus en considérant la valeur maximum. Pour cette raison, il peut être intéressant de déterminer le temps passé dans chaque classe de SIL.

Ces contributeurs à l’indisponibilité critique de sécurité (CSU) sont repris en figure 2. La figure 3 inspirée de [1] illustre la contribution à la CSU de la PFD et de PTIF. Sur cet exemple, la contribution de la DTU n’est pas considérée. L’évolution de la PFD(t) est donnée pour un équipement en 1oo1 et est approximée comme suit :

Indisponibilité liée aux arrêts → DTU : 2a (DTUR = réparation) et 2b (DTUT = tests)

Indisponibilité associée aux défaillances dangereuses → PFD : 1a (défaillances aléatoires de matériel) et 1b (défaillances systématiques)

Indisponibilité associée aux pannes cachées (non révélées par les tests) → PTIF : 3

Indisponibilité critique de sécurité (CSU) CSU = PFD + DTUR + DTUT + PTIF

Figure 2 – Contributeurs à l’indisponibilité critique de sécurité (CSU)

Évolution de la PFD en fonction du temps

CSU = PFD (t) + PTIF

Évolution de la CSU en fonction du temps

CSU maximum

Valeur moyenne de la CSU

PFD maximum

PFDavg = λDU × 0,5 × T PTIF 2T

T

3T

4T

Période de test Figure 3 – Contribution à l’indisponibilité critique de sécurité de la PFD et de PTIF

SE 4 077 – 4


ＸＶ

Temps

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｌＶＲＱＰ

Méthode HACCP – Approche pragmatique par

Michel FEDERIGHI Professeur, Oniris, unité Hygiène et Qualité des Aliments, Nantes, France

1.

Étape 1 : constitution de l’équipe HACCP – délimitation du champ de l’étude ............................................................................

2.

Étape 2 : description du produit.......................................................

—

3

3.

Étape 3 : identification de l’utilisation attendue.........................

—

3

4.

Étape 4 : établir le diagramme des opérations ............................

—

4

5.

Étape 5 : confirmation sur site du diagramme des opérations

—

4

6.

Étape 6 : analyse des dangers – détermination des causes – identification des mesures de maîtrise ..........................................

—

5

7.

Étape 7 : identifier les CCP (Critical Control Point) ...................

—

7

8.

Étape 8 : établir les limites critiques ..............................................

—

8

9.

Étape 9 : mise en place d’un système de surveillance...............

—

9

10. Étape 10 : identification des actions correctives........................

—

9

11. Étape 11 : établir les procédures de vérification ........................

—

10

12. Étape 12 : établir un système de documentation........................

—

10

13. Conclusion ..............................................................................................

—

11

14. Glossaire..................................................................................................

—

11

SL 6 210v2 - 2

Pour en savoir plus ........................................................................................ Doc. SL 6 210v2

nalyse des risques – point critique pour leur maîtrise », telle a été la traduction de l’acronyme anglais HACCP (Hazard Analysis Critical Control Point) adoptée par la commission du « Codex Alimentarius » en 1997 dans la troisième révision du texte fondateur [1]. L’évolution de la terminologie a cependant conduit à préférer par la suite « analyse des dangers et des points critiques pour leur maîtrise ». Cette terminologie rend mieux compte de la mission dévolue à la méthode au sein de chaque entreprise, se démarque et évite la confusion avec la démarche globale d’analyse des risques, décrite également par le Codex, qui est du ressort des États au sein de l’Organisation Mondiale du Commerce. L’HACCP est donc une méthode, une approche structurée par sept principes permettant de se prémunir de tous problèmes d’insécurité des aliments par la mise en place d’activités opérationnelles, moyens et solutions techniques préétablies et d’en apporter la preuve ! Ainsi, l’HACCP va rassurer et donner confiance en démontrant la capacité de l’organisme à identifier les dangers menaçant véritablement l’hygiène de ses productions et à organiser ses activités pour les maîtriser. Initialement développée à la fin des années soixante pour l’industrie chimique aux États-Unis, la méthode HACCP fut rapidement reprise par les IAA (industries agroalimentaires) toujours aux États-Unis, avant d’être aujourd’hui mondialisée. De nos jours, après quelques années de flottement dues à des textes décrivant la méthode avec un nombre d’étapes variant de 11 à 14, le texte du « Codex

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＵ

«A


ＸＷ

SL 6 210v2 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｌＶＲＱＰ MÉTHODE HACCP – APPROCHE PRAGMATIQUE ___________________________________________________________________________________________

Alimentarius » fait référence et a fixé ce nombre à 12. De fait, une façon très simple de présenter globalement la méthode HACCP est d’indiquer qu’il s’agit, dans ses dernières étapes, des sept principes de la méthode, précédées de cinq étapes préliminaires destinées à collecter toutes les informations nécessaires à l’accomplissement des fameux sept principes (tableau 1). Ce caractère global de la méthode en fait un de ses atouts, chacun utilisant le même déroulement de méthode. Le statut réglementaire de la méthode HACCP a lui aussi évolué, en particulier sur le territoire européen. D’abord fortement recommandée, puis obligatoire (après transposition dans la loi nationale) pour l’application de ses principes dans la célèbre directive hygiène 93/43 (aujourd’hui abrogée), la méthode HACCP est maintenant ancrée fortement dans la réglementation (règlement CE 178/2002 ou « food law ») et largement répandue dans les entreprises. Au-delà de son caractère obligatoire, la méthode HACCP représente pour celles-ci un véritable outil d’amélioration continue et, appliquée de façon pragmatique dans la logique de ses 12 étapes, constitue le meilleur moyen pour assurer la sécurité de leurs produits finis. Cet article se propose de décrire les différentes étapes de la méthode en les accompagnant, à des fins didactiques, de commentaires, remarques et autres retours d’expérience de l’utilisation de cette méthode.

1. Étape 1 : constitution de l’équipe HACCP – délimitation du champ de l’étude

C’est un truisme que de dire que la mise en place d’une démarche HACCP est un véritable travail d’équipe. C’est au moins, et à l’évidence, une démarche pluridisciplinaire nécessitant pour sa mise en œuvre des compétences très variées. Mais c’est également, et plus particulièrement, l’affaire d’une ou deux personnes. À ce titre, le rôle de l’animateur est primordial pour la réussite de la démarche et sa compétence reconnue en matière de méthode HACCP doit le conforter. Il veille en particulier à l’adéquation entre la composition de l’équipe et les besoins de l’étude. Dans l’idéal, une équipe de 5 à 6 personnes compétentes, volontaires et motivées doit constituer une structure fonctionnelle non hiérarchique avec un animateur et un secrétaire technique. Au-delà des fonctions qualité (assurance, contrôle) et production – incontournables –, les fonctions recherche et développement, entretien et maintenance, achats, logistique, commercial peuvent faire partie de l’équipe HACCP. Il s’agit de constituer une équipe avec un noyau dur qui va accompagner la démarche du début jusqu’à la fin. De fait, la formation à la méthode HACCP de tous les membres de l’équipe est indispensable. Le référent HACCP de l’équipe peut, par exemple, s’appuyer sur le manuel de formation édité par la FAO (Food and Agriculture Organization) « Système de qualité et de sécurité sanitaire des aliments : manuel de formation » [2]. Il insiste en particulier sur les liens, ainsi que la chronologie à respecter dans leur mise en place respective, entre bonnes pratiques hygiéniques et HACCP. Après la formation, l’équipe HACCP s’accorde sur une définition des points critiques de maîtrise (CCP) et autres points d’attention (voir étape 7, § 7), ainsi que sur un calendrier de réalisation. Un secrétaire technique seconde l’animateur et veille à l’établissement des comptes rendus des réunions de l’équipe HACCP et, surtout, au suivi des actions entre les réunions.

Hygiène des aliments : ensemble des conditions et mesures nécessaires pour assurer la sécurité et la salubrité des aliments à toutes les étapes de la chaîne alimentaire : – sécurité des aliments : assurance que les aliments ne causeront pas de dommage au consommateur quand ils sont préparés et/ou consommés conformément à l’usage auquel ils sont destinés ; – salubrité des aliments : assurance que les aliments lorsqu’ils sont consommés conformément à l’usage auquel ils sont destinés, sont acceptables pour la consommation humaine. Ainsi, l’hygiène des aliments n’est pas l’hygiène alimentaire (apport raisonné par l’alimentation des éléments et nutriments nécessaires à la vie). De même, la sécurité des aliments n’est pas la sécurité alimentaire (sécurité des approvisionnements, suffisance alimentaire). Les notions de « dangers » et de « risques » sont souvent employées de manière inappropriée, laissant penser que cela puisse être confondu, ce qui ne devrait pas être le cas. Danger : agent biologique, chimique ou physique, présent dans un aliment, ou état de cet aliment, pouvant entraîner un effet néfaste sur la santé.

Il est possible et recommandé d’adjoindre à ce noyau dur, au gré des besoins et de la progression de l’étude, toute personne jugée collectivement comme indispensable à l’avancée du projet. Cette personne peut être extérieure à l’organisme (fournisseur, consultant, experts divers et variés...). Il est important toutefois de « garder la main » sur le sujet et de ne pas dépendre entièrement de personnes extérieures, et il convient d’être très prudent vis-à-vis de la promesse d’un système complet « clés en main ». Il faut comprendre, assimiler et s’approprier la méthode HACCP pour

Risque : fonction de la probabilité d’un effet néfaste sur la santé et de la gravité de cet effet résultant d’un ou de plusieurs dangers dans un aliment. Ces confusions sémantiques sont très répandues et devraient être bannies, car elles ne participent pas à simplifier le débat et la communication.

SL 6 210v2 − 2


ＸＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｌＶＲＱＰ ___________________________________________________________________________________________ MÉTHODE HACCP – APPROCHE PRAGMATIQUE

2. Étape 2 : description du produit

l’appliquer à son site de production. Il convient de rappeler ici qu’un plan HACCP complet doit envisager tous les dangers significatifs pour tous les produits fabriqués par un organisme. Cependant, pour des raisons pratiques et d’efficacité, il est recommandé de délimiter le champ de l’étude.

Il est important de noter que cette description ne doit pas se limiter au produit fini mais doit inclure les matières premières, les produits intermédiaires le cas échéant, ainsi que les divers ingrédients, matériaux d’emballage et les procédés de traitement entrant dans la formulation du produit. Il s’agit, lors de cette étape, d’effectuer un véritable « audit » produit. Un soin tout particulier est accordé aux exigences légales et réglementaires et aux informations pertinentes au regard de la sécurité des aliments : – caractéristiques sanitaires : critères microbiologiques, physiques ou chimiques ; – caractéristiques physico-chimiques en relation avec des dangers significatifs (activité de l’eau aw , pH, potentiel d’oxydoréduction (Eh ), concentrations en divers composés, composition (incluant les teneurs en sel, sucres et substances grasses), etc.) ; – traitements subis, surtout ceux qui peuvent avoir un impact sur la sécurité des aliments (traitements chimiques et physiques de préservation, ces derniers permettront de retracer, si nécessaire, l’historique des procédés pouvant conduire à une obligation d’étiquetage [3]) ; – conditions de stockage en interne et les conditions de distribution et de conservation du produit fini.

Par exemple, l’équipe HACCP peut concentrer ses efforts, lors d’une période limitée dans le temps, sur un triptyque illustré par la figure 1. De la même façon, face à un processus de fabrication particulièrement complexe ou comprenant un grand nombre d’opérations et/ou de produits intermédiaires, il est recommandé de subdiviser le processus de fabrication en deux ou trois phases dont chacune fait l’objet d’une étude HACCP particulière. Bien évidemment, la conséquence pratique de ces délimitations est que plusieurs études successives sont nécessaires pour aboutir à un plan HACCP complet. Même si elle va bien au-delà de cela, on est en droit de considérer que la démarche HACCP s’apparente à un « plan de travail » logique et chronologique. Le franchissement successif des douze étapes constitue la séquence d’application du plan de travail. À ce titre, le recours à des outils de gestion de projet comme le diagramme de Gantt ou des rétroplanning peut être très utile dans la planification des tâches et le positionnement des « jalons » de l’étude.

Les informations liées aux produits ne doivent pas être négligées car elles peuvent se révéler capitales lors des étapes 6, 7 et 8 qui soulèvent de nombreuses questions ; par exemple et de manière non exhaustive : – le pH, le potentiel d’oxydoréduction, l’activité de l’eau du produit peuvent-ils inhiber la croissance microbienne ou la toxinogénèse ? – comment l’emballage affecte la survie des micro-organismes ? – des micro-organismes ou des substances toxiques sont-ils affectés par les traitements subis ? – les temps d’attente à température ambiante en cours de production sont-ils acceptables ? Y a-t-il des données scientifiques pour étayer la réponse ? – l’un des facteurs de production constitue-t-il un moyen de maîtrise d’un danger significatif ? Se prête-t-il à une surveillance rapide et facile ? etc.

Le diagramme de Gantt est un outil permettant de modéliser la planification de tâches nécessaires à la réalisation d’un projet. Un rétroplanning est un planning inversé, conçu en partant de la date de fin du projet puis en remontant dans le temps afin de positionner les jalons.

Il est important de noter également que, comme pour toute démarche planifiée et systématisée que l’on souhaite efficace, l’engagement de la direction dans la démarche HACCP doit être clair et sans faille. La direction doit être informée de la nécessité de la mettre en œuvre et consciente de l’investissement que cela représente. En retour, la démarche HACCP assure la sécurité sanitaire des produits fabriqués et peut se révéler un élément d’amélioration organisationnelle de l’organisme.

3. Étape 3 : identification de l’utilisation attendue Cette étape doit permettre de compléter les informations précédentes et conduit notamment à préciser la durabilité attendue, les modalités « normales » d’utilisation du produit ainsi que des instructions qui peuvent être données pour l’utilisation. L’utilisateur peut être le consommateur final ou bien le transformateur qui se sert du produit comme d’une matière première ou d’un ingrédient. De plus, il y a lieu de considérer toutes possibilités « raisonnablement prévisibles » d’utilisation fautive [4]. Ce concept est contenu dans l’article L. 221-1 du Code de la consommation. Le « raisonnablement prévisible » est important ; il ne s’agit en aucun cas pour l’équipe HACCP d’anticiper des utilisations imprévisibles inadéquates et/ou dangereuses : on ne peut prévoir l’imprévisible ! Par contre, des fautes ou des pratiques erronées peuvent être anticipées comme : – une remontée en température du produit lors du transport entre le centre de distribution et le domicile ; – une consommation légèrement postérieure à la date limite ; – une consommation en plusieurs fois ; – l’utilisateur va vouloir prolonger la durée de vie d’un produit réfrigéré « à date » par la congélation dudit produit ; etc.

Un danger ou une catégorie de dangers

Un process ou une catégorie de process

Un produit ou une catégorie de produits

Figure 1 – Champ d’étude de l’équipe HACCP


ＸＹ

SL 6 210v2 – 3

ＹＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴａｇＴＶＷＰ

La sûreté de fonctionnement : méthodes pour maîtriser les risques par

Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert Sûreté de Fonctionnement à la Direction déléguée Système d’exploitation et sécurité à la SNCF Vice-Président de l’Institut de Sûreté de Fonctionnement

1. 1.1 1.2 1.3

Caractérisation de la sûreté de fonctionnement ............................ Considérer avec réalisme les entités auxquelles on a affaire.................. Exploiter toutes les connaissances disponibles, rechercher le juste nécessaire..................................................................................................... Produire de la confiance partageable grâce à la sûreté de fonctionnement ......................................................................................

AG 4 670 - 3 — 3 —

3

—

4 4 4 4 6 7 7 7

2. 2.1 2.2 2.3 2.4 2.5 2.6

Notions fondamentales .......................................................................... Sûreté de fonctionnement .......................................................................... Risque ........................................................................................................... Fiabilité ......................................................................................................... Maintenabilité .............................................................................................. Disponibilité ................................................................................................. Sécurité.........................................................................................................

— — — — — — —

3.

Taux de défaillance, MTBF, MTTF, MUT ..............................................

—

8

4. 4.1 4.2 4.3

Données de fiabilité (ou de maintenabilité) ..................................... Généralités ................................................................................................... Bases de données........................................................................................ Retour d’expérience ....................................................................................

— — — —

10 10 10 11

5. 5.1 5.2 5.3

— — —

12 12 12

5.4 5.5 5.6

Démarches et méthodes fondamentales d’une approche SdF .... Présentation des caractéristiques .............................................................. Analyse préliminaire de risques (APR) ...................................................... Analyse des modes de défaillance, de leurs effets et de leurs criticités (AMDEC) ....................................................................................................... Arbres de causes, d’événement, de défaillances...................................... Graphes d’états. Réseaux de Petri ............................................................. Complémentarités entre ces méthodes.....................................................

— — — —

13 13 15 16

6.

Fiabilités électronique, mécanique, logicielle, humaine... ...........

—

16


—

17

ans l’industrie, on parle de plus en plus de sûreté de fonctionnement. Cette discipline, qui a acquis ce nom et sa forme actuelle principalement au cours du dernier demi-siècle et dans les secteurs de la défense, de l’aéronautique, de l’espace, du nucléaire, puis des télécommunications et des transports, serait désormais utile, voire indispensable, à tous les secteurs de l’industrie et même d’autres activités. De quoi s’agit il ? La sûreté de fonctionnement est une riche palette de méthodes et de concepts au service de la maîtrise des risques.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＱ

D

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité L’entreprise industrielle

ＹＱ

A G 4 670 − 1


LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________

La sûreté de fonctionnement n’est pas un but en soi, mais un moyen ou un ensemble de moyens : des démarches, des méthodes, des outils et un vocabulaire. Le but qui impose le recours à la sûreté de fonctionnement est plus reconnaissable sous le terme de « maîtrise des risques ». ■ Comme il est habituel avec ce type de mots ou d’expressions, « sûreté de fonctionnement » désigne à la fois un ensemble de moyens et un ensemble de résultats produits par ces moyens : — une forme d’esprit particulière dans la considération portée aux systèmes (en particulier industriels, mais rien ne justifie de se limiter à l’industrie) ; des démarches, méthodes et outils propres à connaître, caractériser et maîtriser les effets des aléas, des pannes, des erreurs... ; — des caractéristiques des systèmes (produits, services, systèmes de production, installations, etc.), exprimant la conformité dans le temps (constance, fréquence de la conformité) de leurs comportements et actions avec des attentes plus ou moins explicites (on note la proximité de ces notions avec la qualité) : sécurité, fiabilité, disponibilité, maintenabilité, voire invulnérabilité, capabilité, coût global de possession, survivabilité... Par extension, on parle de la « sûreté de fonctionnement d’un système » comme la caractéristique de ce système qui permet de placer en lui une confiance justifiée. C’est d’une simplicité séduisante et trompeuse. La confiance dépend de ce à quoi on accorde de l’importance (innocuité, productivité, qualité... ?) et des valeurs relatives de ces caractéristiques ; elle repose sur un ensemble de démarches et s’exprime par un ensemble de caractéristiques, en particulier des disponibilités et de la sécurité. C’est un atout majeur du concept de sûreté de fonctionnement de réunir des approches motivées par la fiabilité, la disponibilité, la maintenabilité et la sécurité, mais c’est un piège de vouloir réduire à une valeur (qui s’appellerait la sûreté de fonctionnement du système) le résultat de ces démarches. ■ Les caractéristiques pertinentes pour exprimer les fondements de la confiance que l’on place et que l’on veut transmettre dans son système prennent des formes (des noms et des définitions) propres au système dont il s’agit, aux cultures des acteurs concernés et à leurs vocabulaires. Fondamentalement, il s’agit toujours de disponibilité et de sécurité fondées sur des fiabilités et des maintenabilités élémentaires, mais le foisonnement des vocabulaires en usage dans les différentes branches de l’industrie (et encore plus si on élargit au-delà du monde industriel) prouve que chacun a besoin de notions propres adaptées à son contexte. Par contre, les démarches et méthodes, même cachées sous des noms divers et variés, s’avèrent universelles. Plutôt que les caractéristiques, ce sont les méthodes qui seront au cœur de ce premier article. En matière de sûreté de fonctionnement (et pas seulement là), il nous paraît infiniment plus important de comprendre une démarche et un raisonnement, quitte à réinventer le vocabulaire en l’appliquant, que d’apprendre des définitions et des règles, d’utiliser des outils en se laissant guider par eux. Cette dernière pratique, très répandue, conduit malheureusement assez souvent à des conclusions gravement erronées. La sûreté de fonctionnement n’est que du bon sens organisé et systématisé. S’en éloigner en se laissant conduire par une recette ou une méthode à l’encontre du bon sens est, à coup sûr, s’exposer aux pires dangers d’erreurs graves. ■ Maîtriser les risques est une attitude naturelle que chacun pratique ; mettre en œuvre la sûreté de fonctionnement, c’est professionnaliser cette attitude, la systématiser, l’optimiser, l’expliciter. Concrètement, cela peut se limiter à un état d’esprit spécifique, à quelques questions que l’on se pose systématiquement ; cela peut aussi, à l’inverse, mobiliser des équipes hautement spécialisées en calcul de probabilités, essais, modélisations, analyses, recueil et traitement de données... À chacun son activité, son besoin, ses enjeux, à chacun sa sûreté de fonctionnement, mais le principe en est toujours le même. Nota : Le lecteur pourra utilement se reporter au CD-Rom Sécurité/Prévention des risques (projet 2002) et, plus particulièrement, à l’article [SE 1 020] « La sûreté de fonctionnement : démarches pour maîtriser les risques ».

A G 4 670 − 2


ＹＲ


___________________________________________________________________ LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES

1. Caractérisation de la sûreté de fonctionnement

Une première caractéristique d’une approche sûreté de fonctionnement, c’est le principe de considérer un système pour tout ce qu’il peut être et non seulement pour ce qu’on veut qu’il soit.

La sûreté de fonctionnement (SdF) est peut-être d’abord un état d’esprit avant d’être un ensemble de méthodes. Qu’est-ce qui caractérise cet esprit ?

1.2 Exploiter toutes les connaissances disponibles, rechercher le juste nécessaire

1.1 Considérer avec réalisme les entités auxquelles on a affaire

L’application du principe évoqué au paragraphe 1.1 met donc en présence de nombreuses éventualités d’échecs ou d’accidents. Il y a l’attitude qui consiste à les ignorer et celle qui consiste à les éliminer totalement. La SdF consiste à remplacer le choix binaire entre ces deux extrêmes par le choix continu entre toutes les positions intermédiaires. Entre excès de précautions (coûteux, contraignant) et jeu avec le feu (tout va bien jusqu’à la catastrophe), il y a un juste milieu en harmonie avec les grands principes, la politique de son entité (entreprise, association...).

Un composant, un sous-système peut tomber en panne. Un homme peut avoir une activité différente de ce qu’on a voulu lui prescrire. Les conditions d’environnement peuvent être défavorables, etc. La sûreté de fonctionnement consiste à ne pas considérer un système uniquement à travers son cahier des charges comme s’il ne devait jamais avoir comme comportements et comme effets que ceux pour lesquels il a été conçu.

Entre la connaissance déterministe que la panne va toucher tel composant à tel moment et l’ignorance totale (on ne sait pas quelle panne va survenir, ni où, ni quand), il y a des connaissances incomplètes ou incertaines. La sûreté de fonctionnement, loin de les écarter (comme si on ne pouvait rien faire d’une incertitude) les exploite.

Exemple : un frein de bicyclette est conçu, fabriqué, installé pour ralentir et arrêter la bicyclette. Premièrement, la SdF considère qu’il n’est pas acquis, parce qu’il peut le faire, qu’il va le faire. Il peut ne pas remplir totalement, instantanément, à chaque sollicitation sa fonction. Deuxièmement, la SdF considère que, à partir du moment où il existe, il va avoir des effets, peut-être sans rapport avec sa fonction. Normalement, un frein de bicyclette produit de la chaleur, peut faire du bruit, occupe de la place, ajoute du poids à certains endroits. Un frein de bicyclette, ce sont des pièces qui pourraient, accidentellement, tomber dans les rayons, des câbles tendus qui pourraient, accidentellement, casser, cingler, blesser, etc. Il y a lieu d’en examiner les conséquences pour faire des choix appropriés.

Le cas des composants électroniques après la Seconde Guerre mondiale est caractéristique, puisqu’il est à l’origine de l’essor évoqué dans l’« historique » : en présence d’un lot de composants « identiques » (fabriqués ensemble), il n’était pas possible (techniquement ou économiquement) de déterminer lesquels allaient tomber en panne et quand. Par contre, le retour d’expérience montrait une très grande régularité dans le nombre de pannes rapporté au nombre de composants par unité de temps.

Historique Selon A. Leroy et J.P. Signoret [1], l’entre-deux-guerres voit émerger les concepts de fiabilité et de taux de défaillance dans l’aéronautique suite à la comparaison des fréquences des pannes des avions bimoteurs et quadrimoteurs et au calcul de ratios, nombre de pannes/nombre d’heures de vol. ■ À partir de la deuxième guerre mondiale, une discipline se développe sous le nom de « théorie de la fiabilité ». Les décennies 1940 et 1950 sont caractérisées par la découverte de l’efficacité d’une approche probabiliste appliquée à l’électronique dans l’aéronautique, la défense et le nucléaire. La formulation de ce qui nous paraît évident aujourd’hui – la probabilité de succès d’une chaîne de composants est le produit des probabilités de succès de chacun des composants – fut l’origine d’un développement très rapide dans les domaines cités. Cette période fut aussi celle d’un développement rapide de l’électronique qui introduit des composants nombreux dont les défaillances individuelles sont imprévisibles à ce stade des connaissances, mais dont les défaillances collectives présentent des régularités statistiques ; sur un lot de composants homogène, on sait prédire avec une bonne confiance le nombre de défaillances par unité de temps qui vont se produire alors qu’on reste totalement incapable de prédire quel composant va tomber en panne et quand. ■ Les décennies 1960 et 1970 sont marquées par les tentatives de généraliser cette approche probabiliste si réussie à d’autres « composants » : mécaniques, hydrauliques, électriques, puis aux hommes, aux logiciels... et l’extension de l’approche au retour à la normale (à la fiabilité vient s’ajouter la maintenabilité). En même temps se développent des méthodes permettant de maîtriser les risques de systèmes complexes (centrale nucléaire, supersonique...) et non plus simplement de chaînes de composants (même complexes). Ces démarches sont conduites par les équipes constituées autour de la « théorie de la fiabilité ». Cependant elles rejoignent la prise en compte des risques qui a toujours accompagné les activités à risque comme le transport.

Ces activités, dès leur prime jeunesse, ont dû maîtriser les risques d’accidents. Elles ont développé des approches déterministes très poussées et se sont essentiellement appuyées sur le surdimensionnement, la redondance et l’analyse logique pour assurer la sécurité. L’apport des approches probabilistes permet de chercher à ajuster les mesures de prévention des événements aléatoires au lieu de rester abrité derrière des normes de dimensionnement larges et coûteuses.

■ À partir de la décennie 1980, les efforts entrepris dans tant de directions s’approfondissent, mais aussi tendent à se rejoindre pour constituer cette discipline d’application très étendue qu’est aujourd’hui la sûreté de fonctionnement. On note les développements suivants : — constitution de bases de données de fiabilité ; — début de normalisation en matière de sûreté de fonctionnement ; — développement des méthodes d’analyse, de modélisation, de représentation des systèmes complexes ; — développement de logiciels de calculs ; — développement de logiciels de modélisation ; — campagnes d’essais pour recueillir des données de fiabilité ; — utilisation large ou ciblée de la sûreté de fonctionnement dans la plupart des industries ; — utilisation de la sûreté de fonctionnement pour maîtriser tout type de risque industriel (et peu à peu des risques juridiques, individuels, financiers, etc.) et non seulement la sécurité ; — apparition et développement des clauses contractuelles de sûreté de fonctionnement et des exigences légales et réglementaires de sûreté de fonctionnement ; — besoin croissant de connaissances pointues dans les domaines scientifiques concernés dans les systèmes complexes : systèmes programmés, sciences humaines et sociales. A ujourd’hui, le terme « sûreté de fonctionnement » recouvre l’ensemble des moyens qui permettent de se donner et de transmettre une confiance justifiée dans le succès d’un projet, d’une activité et son innocuité.


ＹＳ

AG 4 670 − 3


LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________

La sûreté de fonctionnement est souvent définie comme :

Entre une position très prudente consistant à ne pas utiliser ces composants faute de pouvoir éviter les pannes, en les remplaçant à temps par exemple, et une position très risquée consistant à espérer ne pas subir trop de pannes aux mauvais moments, la SdF permet d’évaluer statistiquement le risque pris en fonction des choix d’architecture, de politique de maintenance, etc., mais elle ne le permet que parce qu’il y a une information utile qui est, ici, la loi de probabilité de défaillance des composants en fonction du temps !

— fiabilité, disponibilité, maintenabilité et sécurité ; — science des défaillances ; — maintien de la qualité dans le temps. Toutes ces définitions sont reconnues à divers titres par l’Institut de Sûreté de Fonctionnement (ISDF). Chacune de ces définitions est porteuse de beaucoup du contenu de la SdF, mais chacune est cependant réductrice, trop étroite.

1.3 Produire de la confiance partageable grâce à la sûreté de fonctionnement

■ La définition « fiabilité, maintenabilité, disponibilité et sécurité » fait donc référence aux définitions de ces termes (§ 2.3 à § 2.6) et met en avant la cohérence de ces approches. Par contre, si la fiabilité (ou la maintenabilité, la disponibilité et la sécurité) est aussi une performance d’un système, la SdF ne se réduit pas facilement à une performance.

En vertu du principe évoqué en premier dans le paragraphe 1.1, la sûreté de fonctionnement tend à « tout prévoir » (à ne pas confondre avec « empêcher tout accident »). En vertu du deuxième principe (§ 1.2), elle tend à prendre en compte toute information accessible. Elle offre donc les meilleures garanties possibles que choix et décisions ont pu être faits et pris en toute connaissance de cause.

■ La définition « science des défaillances » met l’accent sur la prise en compte des défaillances, de leurs causes, de leurs effets et souligne, en parlant de science, l’importance de la connaissance sur les défaillances (causes, effets, mécanismes...) sans laquelle il n’y a pas d’approche SdF. Mais elle est réductrice en ce sens que la SdF prend en compte et traite plus que des défaillances.

Il n’y a pas à proprement parler de décisions de SdF. Il y a des décisions techniques, politiques, des choix de conception, d’organisation, d’exploitation, etc., toutes les décisions qui peuvent se prendre dans la vie professionnelle, associative, publique, privée... La SdF permet de prendre en compte de façon explicite les défaillances, les incertitudes, les aléas... dans toute la mesure, mais seulement dans la mesure, des connaissances qu’on détient à leur propos. Ce caractère explicite permet de justifier, de montrer, de discuter, de faire partager la représentation des conséquences (souhaitées et non souhaitées, mais maîtrisées) des décisions que l’on prend ou que l’on veut faire prendre.

En ce qui concerne les événements finaux (les conséquences), la SdF ne prend pas en compte que les défaillances dans l’accomplissement des fonctions requises (ce qui serait seulement une approche fiabilité, maintenabilité, disponibilité ou « dependability »), mais aussi des événements sans rapport avec le cahier des charges fonctionnel du système (approche orientée sécurité). En ce qui concerne les événements initiateurs (les causes), la SdF ne se limite pas aux défaillances, mais peut permettre de prendre en compte aussi bien des agressions de l’environnement, des actions inattendues ou interdites des utilisateurs ou des tiers, des phénomènes aléatoires...

Utiliser la sûreté de fonctionnement, c’est rechercher et exploiter les informations relatives aux événements non voulus : pannes, agressions, aléas..., les prendre en compte pour des décisions plus fines, plus justes, inspirant plus confiance.

■ La définition « maintien de la qualité dans le temps » souligne l’importance de la durée et l’importance de la référence à des exigences (explicites ou non). Elle a le défaut de laisser supposer qu’une activité SdF se conduit nécessairement dans le cadre d’une démarche qualité, ce qui est faux. C’est le choix – explicable historiquement – de certains secteurs industriels où la sûreté de fonctionnement est très développée à l’intérieur de l’organisation Qualité, mais n’est pas une nécessité ; d’autres secteurs ont une forte expérience de la sûreté de fonctionnement antérieure à la Qualité au sens moderne incarné par les normes ISO 9 000 et bien d’autres, en particulier une expérience de la sûreté de fonctionnement orientée vers la sécurité.

Cela souligne aussi le fait qu’il n’y a pas de démarche sûreté de fonctionnement possible s’il n’y a pas de connaissances. La SdF est toujours totalement dépendante de la connaissance du système étudié et de l’état des sciences concernées. La recherche de ces informations, en particulier par le retour d’expérience et les essais, est donc indissociable de la SdF.

2. Notions fondamentales

Nota : la recherche de termes équivalents dans d’autres langues pose de sérieux problèmes.

La démarche, le raisonnement « sûreté de fonctionnement » s’appuient sur quelques notions de base qui se sont précisées au cours de l’évolution (cf. Historique) et qui continuent à s’affiner. Parcourir ce vocabulaire de base est donc une introduction classique à la sûreté de fonctionnement. Le lecteur trouvera d’autres définitions importantes dans un glossaire.

2.2 Risque Événement redouté évalué en terme de fréquence et de gravité. En sûreté de fonctionnement, il s’agit d’identifier les événements indésirables, d’évaluer la fréquence de leurs survenues et de quoi elle dépend, d’évaluer la gravité de leurs survenues et de quoi elle dépend ; de prendre ses décisions en fonction de leurs impacts sur le triplet « événement, fréquence, gravité » qu’on appelle risque.

2.1 Sûreté de fonctionnement Aptitude d’une entité à satisfaire une ou plusieurs fonctions requises dans des conditions données. On notera que ce concept peut englober la fiabilité, la disponibilité, la maintenabilité, la sécurité, la durabilité... ou des combinaisons de ces aptitudes. Au sens large, la SdF est considérée comme la science des défaillances et des pannes [2].

AG 4 670 − 4

Reformuler en terme de risque les éléments de décision qui relèvent de la prise en compte des dysfonctionnements, des aléas, des erreurs, des agressions de l’extérieur... c’est déjà intégrer l’esprit de la sûreté de fonctionnement.


ＹＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＲＰＹＰ

Mesures de maîtrise des risques instrumentées (MMRI) État zéro et fiche de vie par

Olivier IDDIR Ingénieur analyse des risques Membre du réseau des experts TECHNIP France, Paris la-Défense

1. 1.1 1.2 1.3 1.4 1.5 1.6

Caractérisation d’une mesures de maîtrise des risques instrumentées (MMRI) ................................................... Contexte : plan de modernisation des installations industrielles ......... Vieillissement des MMRI .......................................................................... MMRI parmi les MMR ............................................................................... Contexte réglementaire ............................................................................ Différents types de MMRI ......................................................................... Performances des MMRI – Rappels .........................................................

2. 2.1 2.2 2.3

SE 2 090 - 2 — — — — — —

2 4 5 6 8 11

Identification des MMRI ...................................................................... Guide DT 93 ............................................................................................... Méthode de sélection du guide DT 93..................................................... Référentiels d’évaluation des MMRI........................................................

— — — —

11 11 12 15

3. 3.1 3.2 3.3 3.4 3.5

Indépendance des MMRI ..................................................................... Plusieurs notions d’indépendance .......................................................... Indépendance entre la MMRI et le scénario ........................................... Indépendance des équipements dans une MMRI .................................. Critère d’indépendance des MMRI .......................................................... Indépendance des MMR et des MMRI : clarification..............................

— — — — — —

15 15 15 16 16 18

4. 4.1 4.2

État zéro et ficher de vie ..................................................................... Contenu d’une fiche de vie....................................................................... Exemple de fiche de vie – Proposition de l’EXERA ................................

— — —

19 19 21

5.

Programme et plan de surveillance des MMRI..............................

—

24

6.

Conclusion...............................................................................................

—

25


Doc. SE 2 090

uite à une recrudescence de pertes de confinement dans les secteurs de l’industrie chimique et pétrolière survenues à partir de 2007, un plan de modernisation des installations industrielles (PMII) a été initié en 2008. Ce plan a conduit à définir pour les industriels soumis au régime des installations classées pour la protection de l’environnement (ICPE) de nouvelles obligations sur le recensement, l’évaluation et le suivi des équipements critiques. Au travers de l’arrêté du 4 octobre 2010, il est demandé aux industriels de mettre en place une méthodologie de gestion et de maîtrise du vieillissement des mesures de maîtrise des risques instrumentées (MMRI). L’objectif visé est de pouvoir garantir un maintien dans le temps des performances des MMRI valorisées dans le cadre des études de dangers pour les sites classés SEVESO. Cette nouvelle exigence a pour finalité de mieux prévenir le vieillissement en imposant un suivi rigoureux de l’ensemble des systèmes instrumentés de

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＴ

S


ＹＵ

SE 2 090 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＲＰＹＰ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI) _____________________________________________________________________________

sécurité (SIS) ainsi que certaines MMR qui couplent des équipements techniques (capteur, vanne, etc.) et des actions humaines. Pour ce type de MMR, plus connu sous le nom de système à action manuelle de sécurité (SAMS), des conditions quant à la nature de l’action humaine sont à vérifier avant de pouvoir les considérer comme des MMRI. Le présent article s’attache à donner les clés au lecteur lui permettant de comprendre comment identifier les MMRI et compiler les informations nécessaires à la réalisation des fiches de vie. Les aspects liés à l’exploitation et à la gestion des compétences ne seront pas abordés dans cet article. Le lecteur pourra se référer aux recommandations présentées dans la guide méthodologique pour la gestion et la maîtrise du vieillissement des MMRI (guide DT 93).

1. Caractérisation d’une mesures de maîtrise deRs risques instrumentées (MMRI)

Glossaire Acronyme

Signification

ADR

Analyse détaillée des risques

APS

Automate programmable de sécurité (aussi nommé APidS pour automate programmable dédié à la sécurité)

AU

Arrêt d’urgence

BPCS BTS

Barrière technique de sécurité

EDD

Étude de dangers

EI


ER


FCV GMAO ICPE LT

Flow Control Valve

Level Transmitter

MMRI

Mesure de maîtrise des risques instrumentée

MMRI C

Mesure de maîtrise des risques instrumentée de conduite

MMRI S

Mesure de maîtrise des risques instrumentée de sécurité

NC

Niveau de confiance

PID

Piping and Instrumentation Diagram

PMII

Plan de modernisation des installations industrielles

PPRT SAMS SGS

Les équipements concernés sont : – les capacités et tuyauteries ; – les bacs de stockage de liquides inflammables ou dangereux pour l’environnement et bacs cryogéniques ; – les canalisations de transport de gaz, d’hydrocarbures et de produits dangereux ; – certains ouvrages de génie civil ;

Probability of Failure per Hour

– l’instrumentation de sécurité.

Plan de prévention des risques technologiques

Le tableau 2 précise la nature des équipements visés, les échéances réglementaires, ainsi que les guides professionnels sur lesquels il est recommandé de s’appuyer.

Système à action manuelle de sécurité Système de gestion de la sécurité Safety Intrumented Function

SIL

Safety Integrity Level

SIS

Safety Instrumented System

SV

Il est demandé aux industriels d’évaluer si la défaillance de leurs installations est susceptible de conduire à un risque technologique direct ou indirect. Dans l’affirmative, ils doivent alors se conformer aux obligations du plan de modernisation des installations industrielles.

Average Probability of Failure on Demand

SIF

SNCC

Au regard des accidents listés dans le tableau 1 et de l’âge moyen de l’outil industriel en France, le ministère du Développement a décidé d’initier fin 2008 par sa note du 12 décembre 2008 (note BRTICP 2008-601-CBO) un plan pour la maîtrise du vieillissement dans les installations industrielles. Ce plan avait pour objectif annoncé de prévenir la survenue d’incidents dont les causes seraient liées à l’âge des installions.

Installations classées pour la protection de l’environnement Mesure de maîtrise des risques

PFH

Entre 2007 et 2009, les pertes de confinements survenues à Ambès (11 janvier 2007), Donges (16 mars 2008) et la Plainede-la-Crau (7 août 2009) avec des conséquences environnementales importantes ont mis en lumière la problématique du vieillissement des installations. Le tableau 1 présente les causes et les conséquences associées à ces trois pertes de confinement.

Gestion de la maintenance assistée par ordinateur

MMR

PFDavg

1.1 Contexte : plan de modernisation des installations industrielles

Basic Process Control System

Les exigences liées à la mise en œuvre de ce plan sont formalisées au travers des prescriptions de la section I de l’arrêté du 4 octobre 2010 relatif à la prévention des risques accidentels au sein des installations classées pour la protection de l’environnement soumises à autorisation. Plus particulièrement, les articles 7 et 8 concernent les mesures de maîtrise des risques instrumentées (MMRI).

Système numérique de contrôle commande Safety Valve

SE 2 090 − 2


ＹＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＲＰＹＰ _____________________________________________________________________________ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI)

Tableau 1 – Accidents industriels attribués au vieillissement des installations Localisation/ date

Cause

Conséquence

Ouverture brutale d’un fond de bac contenant 12 000 m3 de pétrole brut dans un dépôt

2 000 m3 passent au-dessus des merlons en terre entourant la cuvette 50 m3 rejoignent les chenaux d’une zone marécageuse → 2 km de fossés pollués et infiltration jusqu’à la nappe superficielle 50 m3 s’écoulent dans la Garonne → avec les marées, 40 km de berges polluées sur la Gironde, la Dordogne et la Garonne

Ambès 11 janvier 2007

Déversement de fioul lourd dans l’estuaire de la Loire au cours d’un chargement de 31 000 m3 de fioul de soute dans un navire Donges 16 mars 2008

Plaine de la Crau 7 août 2009

Rupture d’une canalisation de transport de pétrole brut dans la réserve naturelle de la Crau (site Natura 2000) Brèche « boutonnière » de 15 cm de large et 1,8 m de long due à l’effet de toit

À l’origine, une fuite sur une canalisation de transfert de la raffinerie Brèche de 16 cm due à une corrosion Fuite décelée seulement 5 h après 478 t de fioul déversées dont 180 t qui ont rejoint la Loire 750 personnes mobilisées pendant 3 mois et demi pour nettoyer 90 km de berges souillées Dommages, coûts de dépollution et indemnisations estimés à environ 50 millions€

5 400 m3 de pétrole brut déversés sur 5 ha de réserve naturelle 73 000 t de terres polluées décaissées, transportées et traitées

Source : présentation faite par le ministère de l’Environnement sur l’état d’avancement du plan de modernisation du 13 janvier 2010

Cet arrêté définit une MMRI comme une mesure de maîtrise des risques faisant appel à de l’instrumentation de sécurité. Le guide DT 93 vient préciser cette définition : MMR constituée par une chaîne de

traitement comprenant une prise d’information (capteur, détecteur...), un système de traitement (automate, calculateur, relais...) et une action (actionneur avec ou sans intervention d’un opérateur).


ＹＷ

SE 2 090 – 3


Tableau 2 – Équipements entrant dans le cadre du plan de modernisation des installations industrielles – échéances et guides professionnels (source UIC) État initial

Programme d’inspection/surveillance

Réservoirs cryogéniques

30 juin 2011

31 décembre 2011

Réservoirs de stockages

31 décembre 2011

30 juin 2012

Capacités/tuyauteries

31 décembre 2012

31 décembre 2013

Rack interunités

31 décembre 2012

31 décembre 2013

Guide de surveillance des ouvrages de génie civil et structures – DT 98

Caniveaux/fosses humides béton

31 décembre 2012

31 décembre 2013

Guide de surveillance des ouvrages de génie civil et structures – Caniveaux et fosses humides – DT 100

Cuvettes/massifs de réservoirs

31 décembre 2011

31 décembre 2012

Guide de surveillance des ouvrages de génie civil et structure – DT 92

Mesures de maîtrise des risques instrumentales

31 décembre 2013

31 décembre 2014

Guide méthodologique pour la gestion et la maîtrise du vieillissement des mesures de maîtrise des risques instrumentées (MMRI) – DT 93

Thème

Guide professionnel Guide d’inspection et de maintenance des réservoirs cryogéniques – DT 97 Guide d’inspection et de maintenance des réservoirs aériens cylindriques verticaux – DT 94 Guide tuyauterie d’usine – DT 96

en compte par le biais de calcul de fiabilité. En effet, pour un système de sécurité, le seul bon fonctionnement (absence de panne) peut s’avérer insuffisant et il est nécessaire de prévenir la dégradation dans le temps des performances pour pouvoir justifier de la maîtrise du risque dans le temps.

Seuls les établissements soumis à l’arrêté du 10 mai 2000 modifié (SEVESO seuil haut ou SEVESO seuil bas) sont concernés par l’identification des MMRI.

Par exemple, pour les MMRI dont le mode de détection repose sur de la détection de gaz ambiante, il est connu que les détecteurs de gaz (comme d’autres instruments de mesure) ont tendance à dériver dans le temps et que leur fonctionnement peut être altéré par des paramètres extérieurs. De ce fait, le temps de réponse peut être allongé avec pour conséquence une augmentation du délai avant la mise en sécurité des installations. Plus précisément, pour les détecteurs de gaz toxiques, suite à une campagne d’évaluation des détecteurs d’ammoniac, l’INERIS concluait que ces dispositifs entraient dans « une période d’endormissement » s’ils n’étaient pas régulièrement mis en présence de gaz ammoniac [2]. Cet endormissement ayant pour conséquence d’allonger les temps de réponse et donc les temps de déclenchement d’alarme de façon non négligeable.

1.2 Veillissement des MMRI Il existe de nombreuses définitions possibles du vieillissement. Dans l’article [SE 2 080], les auteurs proposent de retenir la définition proposée par l’Agence pour l’énergie nucléaire et reprise par l’Electric Power Research Institute (EPRI) : Processus par lequel les caractéristiques d’un système, structure ou composant (SSC) se modifient graduellement avec le temps ou l’utilisation. D’après [1], ces mêmes auteurs définissent le vieillissement comme suit : Le vieillissement est un phénomène continu et progressif qui dépend bien souvent d’un grand nombre de covariables influentes telles que le temps de fonctionnement, les chargements appliqués, les propriétés des matériaux, le régime d’exploitation... Il se traduit par une altération des performances due à un mécanisme de dégradations physique ou chimique, propre au matériel et aux matériaux qui le constituent et à ses conditions d’environnement.

La prise en compte des dérives dans le temps de performances des MMRI valorisées dans le cadre d’une étude de dangers est nécessaire puisque les niveaux performances retenus ont un impact sur la criticité du risque vis-à-vis duquel la MMRI est valorisée.

De la définition précédente, il ressort que pour juger du vieillissement d’un système, la prise en compte du seul âge n’est pas suffisante. En effet, le vieillissement dépend d’une part des conditions susceptibles de modifier dans le temps ces caractéristiques, et d’autre part des actions mises en œuvre dans le but d’atténuer ou de ralentir les mécanismes de dégradation. Les MMRI sont concernées par la problématique du vieillissement puisqu’il peut mener à leur indisponibilité ou à la dégradation des performances, ce qui a pour conséquence d’abaisser le niveau de sécurité d’une installation.

Par exemple, pour une MMRI dont la fonction de sécurité serait d’isoler une canalisation par la fermeture d’une vanne d’isolement automatique, une dérive (à la hausse) de son temps de réponse aboutirait à un délai d’isolement plus long et donc potentiellement à une masse explosible formée plus importante. À titre d’exemple, le tableau 3 présente l’évolution de la masse explosible en fonction de la durée d’une fuite de propane liquéfié à pression de saturation (To = 15 oC) suite à une rupture de canalisation de diamètre 6″.

Pour les systèmes instrumentés, il est important de ne pas limiter la prévention du phénomène de vieillissement à sa seule prise

Nota : l’isolement d’une fuite ne permet de limiter la masse explosible formée que dans le cas où le temps de réponse de la MMR est inférieur au temps de stabilisation du nuage. Si le délai d’isolement est supérieur au temps de stabilisation, isoler aura pour effet de réduire le temps de persistance du nuage explosible.

SE 2 090 – 4


ＹＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＲＰＹＰ _____________________________________________________________________________ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI)

Tableau 3 – Exemple d’évolution de la masse explosible en fonction de la durée d’isolement Temps de réponse de la MMRI 15 s Conditions atmosphériques Masse explosible ..............................................(kg)

20 s

30 s

3–F

5–D

3–F

5–D

3–F

5–D

543

440

638

471

726

480

3-F : vent 3 m/s et classe de Pasquill « moyennement à très stable » 5-D : vent 5 m/s et classe de Pasquill « neutre » Nota : les distances d’effets présentées dans ce tableau ne sont pas génériques, mais liées à des hypothèses de modélisation non présentées dans le cadre de cet article

1.3 MMRI parmi les MMR

Les différents types de MMR sont présentés sur le schéma de la figure 1.

Dans son rapport Ω 10 [3], l’INERIS propose de retenir la classification présentée en figure 1 pour caractériser les MMR. Les définitions sont les suivantes : – MMR humaine : MMR constituée d’une activité humaine qui s’oppose à l’enchaînement d’événements susceptible d’aboutir à un accident ; – MMR technique : MMR constituée d’un dispositif de sécurité ou d’un système instrumenté de sécurité (SIS) qui s’oppose à l’enchaînement d’événements susceptible d’aboutir à un accident ; – système à action manuelle de sécurité (SAMS) : MMR faisant intervenir des éléments techniques et humains.

Nota : dans le rapport OMEGA 10 datant de décembre 2008, la terminologie utilisée est le terme de barrière (remplacé ici par MMR).

À l’heure actuelle, la sémantique retenue par les inspecteurs DREAL dans le cadre des instructions des EDD et PPRT est celle rapportée sur le schéma de la figure 1. Il est important de bien comprendre que comme représenté sur la figure 1, les MMRI sont tout d’abord des MMR et que de ce fait, elles doivent répondre aux exigences de l’article 4 de l’arrêté du 29 septembre 2005. Les MMRI peuvent donc être considérées comme un sousgroupe de MMR. Deux types de MMRI sont à différencier : – les MMRI qui couplent des dispositifs techniques (capteurs, automate, etc.) et une action humaine (action opérateur). Ces MMRI sont assimilables à des systèmes à action manuelle de sécurité (SAMS) dans lesquels l’action humaine est limitée (§ 1.5.1) ;

En croisant les définitions précédentes à celle d’une MMRI (cf. arrêté du 4 octobre 2010), il apparaît que les SIS et certains SAMS peuvent entrer dans la catégorie des MMRI.

MMR

MMR humaines

MMR techniques

MMR pouvant répondre à la définition d'une MMRI au sens de l'arrêté du 4 octobre 2010

Systèmes à action manuelle de sécurité (SAMS)

Dispositif de sécurité

Systèmes instrumentés de sécurité (SIS)

Actif

Passif

Figure 1 – Caractérisation des mesures de maîtrise des risques d’après l’INERIS [3]


ＹＹ

SE 2 090 – 5


1.4 Contexte réglementaire 1.4.1 Arrêté du 4 octobre 2010 MMR de l’EDD

L’arrêté du 4 octobre 2010, relatif à la prévention des risques accidentels au sein des ICPE soumises à autorisation, définit des dispositions relatives à la prévention des risques liés au vieillissement de certains équipements (réservoirs aériens cylindriques verticaux, capacités, tuyauteries, massifs des réservoirs, cuvettes de rétention, mesures de maîtrise des risques instrumentées). Les articles 7 et 8 sont applicables aux MMR faisant appel à l’instrumentation de sécurité et préconisent : – la réalisation d’un état initial des MMRI ; – l’élaboration d’un plan et d’un programme de surveillance des MMRI ; – l’élaboration d’un dossier pour chaque MMRI.

MMRI de l’EDD

À titre de rappel, seuls les établissements soumis à l’arrêté du 10 mai 2000 modifié (SEVESO seuil haut ou SEVESO seuil bas) sont concernés par les exigences précitées.

MMRI PMII

Pour établir l’état initial, le programme de surveillance et le plan de surveillance, les industriels peuvent s’appuyer soit : – sur la base du guide professionnel reconnu par le ministère en charge de l’Écologie ; – sur la base d’une méthodologie développée par l’exploitant, pour laquelle le préfet peut exiger une analyse critique par un organisme extérieur expert, choisi par l’exploitant en accord avec l’administration.

Figure 2 – MMRI : un type de MMR

Ci-après les articles 7 et 8 extraits de l’arrêté du 4 octobre 2010. Art. 7. – Le présent article est applicable aux mesures de maîtrise des risques, c’est-à-dire aux ensembles d’éléments techniques et/ou organisationnels nécessaires et suffisants pour assurer une fonction de sécurité, faisant appel à de l’instrumentation de sécurité visées par l’article 4 de l’arrêté du 29 septembre 2005 susvisé et présentes au sein d’un établissement soumis à l’arrêté du 10 mai 2000 susvisé.

– les MMRI qui ne comportent que des dispositifs techniques. Ces MMRI sont assimilables à des fonctions instrumentées de sécurité (SIF).

Valorisation des MMRI avec action humaine pour les « filtres probabilité » EDD et PPRT

Sont exclues du champ d’application de cet article les mesures de maîtrise des risques faisant appel à de l’instrumentation de sécurité dont la défaillance n’est pas susceptible de remettre en cause de façon importante la sécurité lorsque cette estimation de l’importance est réalisée selon une méthodologie issue d’un guide professionnel reconnu par le ministre chargé de l’Environnement.

Le guide qui accompagne la note de doctrine précise que les MMRI avec action humaine ne peuvent pas être considérées comme des « MMR techniques » au sens de la circulaire du 10 mai 2010. Seules les MMRI ne comportant pas d’intervention humaine peuvent être assimilées à des MMR techniques et entrer dans le cadre de l’application des « filtres probabilité » PPRT et MMR.

L’exploitant réalise un état initial des équipements techniques contribuant à ces mesures de maîtrise des risques faisant appel à de l’instrumentation de sécurité. À l’issue de cet état initial, il élabore un programme de surveillance des équipements contribuant à ces mesures de maîtrise des risques.

Pour les MMRI qui ne comportent pas d’action humaine, comme le présente le tableau 4, il est nécessaire de préciser que ce type de MMRI et les SIF répondent à des exigences et à des cadres différents.

L’état initial, le programme de surveillance et le plan de surveillance sont établis soit sur la base d’un guide professionnel reconnu par le ministre chargé de l’Environnement, soit sur la

Tableau 4 – MMRI et SIF MMRI

SIF

Les MMRI sont définies en lien avec les scénarios d’accidents étudiés dans l’étude de dangers

Les SIF sont définies à partir d’une analyse des risques (pas nécessairement réglementaires) qui vise à définir le niveau de SIL requis nécessaire pour rendre le risque acceptable

Les MMRI doivent répondre aux exigences de la réglementation ICPE : 1. loi du 30 juillet 2003 2. arrêté du 29 septembre 2005 3. circulaire du 10 mai 2010 4. arrêté du 4 octobre 2010

Les SIF doivent répondre aux exigences des normes de sécurité fonctionnelle : IEC 61508 et IEC 61511

SE 2 090 – 6


ＱＰＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＵＰＸＰ

Pondération des fréquences de fuite dans le cadre des analyses de risques industriels par

Olivier IDDIR Ingénieur en analyse de risques industriels Technip France Service Expertise et Modélisation Division Procédés et Technologies

1.

Introduction ...............................................................................................

2.

Quantification des fréquences de fuite : une nécessité dans les analyses de risques quantifiées ...............

—

3

3.

Principe de la pondération des fréquences de fuite ......................

—

5

4.

Répartition des causes de fuite sur canalisation ............................

—

8

5.

Méthodologies et propositions en lien avec la pondération........

—

11

6.

Comment choisir la banque de données à pondérer ? ..................

—

26

7.

Influence du système de management de la sécurité sur la fréquence de fuite ........................................................................

—

29

8.

Influence des méthodes risk based inspection (RBI) sur la fréquence de fuite ........................................................................

—

30

9.

Conclusion..................................................................................................

—

31

SE 5 080 - 3

Pour en savoir plus ........................................................................................... Doc. SE 5 080

es fuites sur canalisation représentent une part importante des événements redoutés identifiés dans les analyses de risques réalisées dans le cadre des études réglementaires françaises (étude de dangers), mais aussi dans le cadre des études dites QRA (quantitative risk assessment). Pour quantifier l’occurrence d’une fuite sur canalisation, l’une des méthodes couramment utilisée consiste à extraire une fréquence d’occurrence dite linéique (/an · m) d’une banque de données, et à la multiplier par le métré de la canalisation. Cette manière de procéder a pour principal intérêt d’être relativement simple à mettre en œuvre. En revanche, un certain nombre de questions se posent quant à l’utilisation des valeurs « moyennes » rapportées dans les banques de données. Il est alors nécessaire de distinguer deux types de banques de données : – les banques de données qui sont spécifiques à un secteur d’activité, telle que l’EGIG 6th pour les canalisations de transport de gaz (pipe) ou l’UKOPA 4th pour les canalisations de transport d’hydrocarbures (pipe) ; – les banques de données « multisecteurs », telle que le CPR 18 E, plus connu sous le nom de Purple Book.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪ｡ｮｶｩ･ｲ＠ＲＰＱＱ

L


ＱＰＱ

SE 5 080 – 1


PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________

Utiliser les fréquences de fuite rapportées par l’EGIG 6th dans le cadre d’une analyse de risques portant sur une canalisation de transport de gaz ne pose a priori pas de problème, puisque les valeurs rapportées dans cette banque de données sont spécifiques à ce secteur d’activité. En d’autres termes, les valeurs rapportées dans cette banque constituent de bons estimateurs des fréquences de fuite. En revanche, lorsque l’on souhaite évaluer la fréquence de fuite sur une canalisation pour un secteur d’activité qui n’est pas couvert par une banque de données spécifique, il se pose la question de la représentativité des valeurs. En effet, comment juger si la valeur rapportée dans la banque est trop pessimiste, ou au contraire trop optimiste, au regard des différentes causes de fuite et mesures de prévention identifiées lors de l’analyse des risques. Pouvoir s’écarter à la hausse ou à la baisse des valeurs rapportées dans les banques de données devient alors nécessaire si l’on souhaite mener une analyse des risques spécifique en prenant en compte les particularités du système étudié (nature et intensité des causes pouvant mener à la fuite, performance des mesures de prévention mises en place par l’industriel, etc.). Cet article propose de faire un point sur l’état des connaissances actuelles sur le thème de la pondération des fréquences de fuite dans le cadre des analyses de risques quantifiées.

Termes et acronymes

Définition

API

American Petroleum Institute

ARAMIS

Projet européen débuté en janvier 2002 dont l’objectif général était de proposer une nouvelle méthodologie d’analyse des risques combinant les avantages des différentes méthodes rencontrées en Europe, à savoir les approches probabilistes et les approches déterministes

CCPs (Center for Chemical Process Safety)

Centre créé en 1985 par l’American Institute of Chemical Engineers (AIChE). Le CCPs a pour objectif de promouvoir l’amélioration de la sécurité

CPR 18 E

Ouvrage rapportant des données probabilistes nécessaires à la réalisation d’analyse de risques de type QRA. Ces données sont issues d’un consensus établi entre les représentants des industries, les autorités compétentes et le gouvernement des Pays-Bas. L’ouvrage a été rédigé par le RIVM (National Institute of Public Health and the Environment ) et supervisé par une sous-commission sur l’évaluation du risque du Committee for Prevention of Disasters (CPR)

CODETI

Code de construction des tuyauteries industrielles

COMAH

Control of major accidents hazards

DAE

Dossier d’autorisation d’exploiter

EGIG

European gas pipeline incident data group


Événement, courant ou anormal, interne ou externe au système, situé en amont de l’événement redouté dans l’enchaînement causal, et qui constitue une cause directe dans les cas simples ou une combinaison d’événements à l’origine de cette cause directe. Dans la représentation en « nœud papillon », cet événement est situé à l’extrémité gauche (définition issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)


Événement conventionnellement défini, dans le cadre d’une analyse de risques, au centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte de confinement pour les fluides et d’une perte d’intégrité physique pour les solides. Les événements situés en amont sont conventionnellement appelés « phase pré-accidentelle » et les événements situés en aval « phase post-accidentelle » (définition issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)

MARS

Major accident reporting system Banque de données de l’Union européenne dont la finalité est de recenser les accidents majeurs

SE 5 080 − 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. − © Editions T.I.

ＱＰＲ


_____________________________________________ PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS

Termes et acronymes

Définition

Mesure de prévention

Mesures visant à prévenir un risque en réduisant la probabilité d’occurrence d’un phénomène dangereux (définition issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)

Mesure de protection

Mesures visant à limiter l’étendue ou/et la gravité des conséquences d’un accident sur les éléments vulnérables (définition issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)

Performance des MMR

L’évaluation de la performance des barrières de sécurité s’effectue au travers de leur efficacité, temps de réponse et niveau de confiance au regard de leur architecture (en référence à la norme EN NF 61 508) (définition issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)

PPRT

Plan de prévention des risques technologiques

Probabilité d’occurrence

Au sens de l’article L. 512-1 du Code de l’environnement, la probabilité d’occurrence d’un accident est assimilée à sa fréquence d’occurrence future estimée sur l’installation considérée. Elle est en général différente de la fréquence historique et peut s’écarter, pour une installation donnée, de la probabilité d’occurrence moyenne évaluée sur un ensemble d’installations similaires

RBI

Risk based inspection

Risque

« Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73) « Combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51)

QRA

Quantitative risk assessment = analyse quantifiée des risques Analyse probabiliste dont le but est d’évaluer le niveau de risque pour un individu (risque individuel) ou pour un groupe d’individus (risque sociétal)

UFIP

Union française des industries pétrolières

UKOOA

United Kingdom off shore operators association

1. Introduction

2. Quantification des fréquences de fuite : une nécessité dans les analyses de risques quantifiées

Les enjeux liés à la réalisation d’analyses des risques deviennent de plus en plus cruciaux pour les industriels. En effet, à gravité constante, un scénario d’accident peut, en fonction de sa probabilité, nécessiter des modifications des concepts de sécurité, voire dans le cas de la réglementation française, aboutir : – au refus de l’autorisation d’exploiter (étude de danger réalisée dans le cadre de DAE) ; – à la fermeture de site industriel dans le cas où l’acceptabilité du site ne pourrait être démontrée au sens de la circulaire du 29 septembre 2005 ; – à l’expropriation de riverains consécutivement à la mise en œuvre d’un plan de prévention des risques technologiques (PPRT).

2.1 Rappel sur la quantification des risques La quantification des risques implique l’évaluation de la probabilité et de la gravité des accidents. Cette dernière repose généralement sur une évaluation des distances d’effets, puis sur le décompte des cibles impactées. L’évaluation de la probabilité, repose de plus en plus sur la mise en œuvre de méthodologies qui nécessitent le recourt à l’utilisation de banques de données. La figure 1 présente de manière simplifiée les différentes étapes menées lors d’un processus de quantification des risques.

L’évaluation des probabilités d’occurrence des accidents industriels nécessite un degré de détail de plus en plus poussé, et donc le recours à l’utilisation de méthodologies de plus en plus complexes (arbre de défaillances, arbre d’événements, etc.) pour lesquelles l’utilisation de banques de données est souvent nécessaire. Afin d’éviter de surestimer ou de sous-estimer les risques, ou encore de réaliser des études « standard », il parait indispensable de s’écarter à la hausse ou à la baisse des valeurs rapportées dans les banques de données. Mener une réflexion sur la nécessité de pondérer ces valeurs est aujourd’hui essentiel au regard des enjeux liés aux analyses des risques. Ainsi, dans le cadre des projets d’ingénierie, estimer au plus juste les fréquences de fuite est impératif, d’une part pour démontrer l’acceptabilité des risques, et d’autre part pour optimiser les coûts liés aux résultats des études de sécurité (implantation des équipements, performances à allouer aux chaînes de sécurité, etc.).

Lors de l’évaluation des probabilités des accidents, trois principaux facteurs doivent être évalués : – 1) la fréquence de l’événement redouté à l’origine de l’accident [SE 4 055] ; – 2) la probabilité de défaillance des mesures de mitigation [SE 4 057] [SE 4 058] ; – 3) la probabilité d’inflammation (dans le cas des produits inflammables) [SE 4 020].


ＱＰＳ

SE 5 080 – 3



Définition des scénarios accidentels

Fréquence des événements redoutés Probabilité de défaillance des barrières de sécurité Probabilité d'inflammation

Évaluation de la probabilité (P)

Évaluation de la gravité (G)

Divers (direction des vents, etc.) Évaluation du risque (P x G) Critères d'acceptabilité Risque acceptable ?

NON

Barrière(s) de sécurité supplémentaire(s)

OUI Fin de l'analyse

Figure 1 – Principe d’évaluation des risques

– substances inflammables (12,5 %) ; – substances extrêmement inflammables (8,9 %) ; – substances très toxiques (6 %).

D’autres paramètres sont parfois introduits dans le cadre de l’évaluation des probabilités d’accident ; on peut citer par exemple la répartition statistique des directions de vent. Bien que l’objet de cet article ne soit pas de détailler les différentes méthodologies permettant de quantifier les fréquences des événements redoutés, il est important de rappeler qu’il existe deux approches : 1) l’approche dite « directe » qui consiste à allouer à l’événement redouté une fréquence extraite d’une banque de données ; 2) l’approche dite « par calcul » qui consiste à évaluer la fréquence de l’événement redouté à partir de la connaissance des fréquences des événements initiateurs et des probabilités de défaillances des mesures de prévention. À ce jour, l’approche directe est généralement retenue pour les événements redoutés de type perte de confinement sur capacité. Cette approche est aussi préférée dans le cadre de la réalisation des analyses QRA du fait du très grand nombre d’événements redoutés traités dans ce type d’étude.

Cette étude permet aussi d’identifier le poids des différents équipements à l’origine de la plupart des pertes de confinement recensées. Cette répartition est présentée dans le tableau 1. La majorité des incidents se produit lors du fonctionnement normal de l’installation ; seuls 15,6 % des incidents se sont produits durant une opération de maintenance. Les canalisations (en incluant les brides, les soudures, le corps et les open end ) sont à l’origine de 23,3 % des pertes de confinement ; celles-ci se produisent dans 51 % des cas durant le fonctionnement normal de l’installation et 32 % durant une phase de maintenance. Une analyse plus profonde de la causalité des pertes de confinement permet de mettre en évidence une « défaillance » du système de management de la sécurité. L’analyse démontre que 81 % des incidents sont le résultat de plans ou d’application de procédures inadéquats qui incluent :

2.2 Perte de confinement sur capacité : événement redouté « type » dans les analyses de risques

– la conception de l’installation dans 25,6 % des cas ; – la planification d’opération d’exploitation ou de maintenance qui représentent respectivement 15,6 % et 22,6 % des cas ; – la gestion des modifications dans 5,7 % des cas ; – la gestion du permis feu dans 4,9 % des cas ; – les procédures d’inspection dans 3,5 % des cas ; – l’évaluation des compétences dans 1,7 % des cas.

Le rapport de projet mené par le Health & Safety laboratory, qui vise à fournir des informations au HID (hazardous installations directorate ) [1], apporte des éléments qui permettent de mettre en évidence l’importance du poids des pertes de confinement au travers des incidents et accidents recensés. Cette étude, effectuée en Grande Bretagne sur une durée de onze ans (entre 1991 et 2002) démontre que sur 2 500 incidents, 718 impliquent une perte de confinement d’équipement. La nature des produits impliqués dans ces incidents sont en majorité (63,6 %) soumis aux réglementations COMAH (control of major accidents hazards ) en Grande Bretagne. Ces produits sont des : – produits toxiques (15,3 %) ; – liquides très inflammables (13,2 %) ;

SE 5 080 – 4

À retenir : l’étude du HSL permet de confirmer que la perte de confinement sur équipement constitue l’un des événements redoutés récurrents lors de l’analyse des incidents et accidents recensés dans l’accidentologie. Il ressort aussi l’importance du système de management de la sécurité dans la prévention des accidents, puisque 81 % des incidents recensés dans cette étude sont le résultat de plan ou d’application de procédures inadéquats.


ＱＰＴ



Tableau 1 – Répartition statistique des différents équipements à l’origine des pertes de confinement (d’après l’étude du HSL [1]) Composant de l’équipement

Nombre de perte de confinement

Pourcentage (%)

Bride

50

7

Soudure

9

1,3

Corps de la canalisation

46

6,4

Open end

62

8,6

Bride

7

1

Équipement

Canalisation (pipe work)

Réacteur

Vanne

Réservoir de stockage

Flexible

Autre équipement

Corps du réacteur

29

4

Open end

128

17,8

Bride

4

0,6

Corps de vanne

22

3,1

Open end

87

12,1

Bride

4

0,6

Corps du réservoir

22

3,1

Open end

64

8,9

Raccordement

28

3,9

Corps du flexible

19

2,6

Open end

23

3,2

Bride

4

0,6

Corps

14

1,9

Étanchéité

18

2,5

Camion citerne durant phase de déchargement

–

19

2,6

Pompe

–

19

2,6

Scrubber

–

13

1,8

3. Principe de la pondération des fréquences de fuite

sans apporter d’informations sur le secteur d’activité, la nature du produit ou encore les conditions d’exploitation. Ces données sont donc considérées comme des données « génériques ». La plupart des banques de données présentent comme principal défaut de rapporter des valeurs « moyennes » qui peuvent ne pas être représentatives du site faisant l’objet de l’analyse de risques. Il est indéniable qu’en fonction du niveau de sécurité (nombre, nature, fiabilité et efficacité des barrières de sécurité), la probabilité d’occurrence des accidents peut être plus ou moins grande. Il apparaît alors nécessaire : – d’identifier les facteurs susceptibles de modifier (à la hausse ou à la baisse) les fréquences d’occurrence d’événements redoutés, tels que les brèches sur canalisation, les ruptures de piquage, etc. ; – de proposer des facteurs de correction permettant de pondérer les valeurs rapportées par les banques de données en fonction des mesures de prévention mises en place.

3.1 Pourquoi pondérer les fréquences de fuite ? Dans le cadre des analyses de risques quantifiées (QRA ou autres), il est nécessaire de pouvoir estimer les probabilités d’occurrence de phénomènes dangereux pouvant survenir consécutivement à des événements, tels que des pertes de confinement de capacité (brèche sur tuyauterie, rupture d’enceinte sous pression, etc.). Il existe à ce jour un certain nombre de banques de données (HCRD, UKOPA, EGIG, etc.) dont l’analyse du contenu a fait l’objet d’un développement au sein de l’article [SE 4 055]. Ces banques de données rapportent des fréquences de fuite issues d’une exploitation statistique du retour d’expérience. Ainsi, ces données peuvent être considérées comme « spécifiques » (puisqu’elles sont représentatives d’un échantillon d’équipements similaires). En parallèle de ces banques coexistent des banques de données qui rapportent des fréquences de fuite pour différents types d’équipements (canalisation, réservoir, etc.)

Bien qu’il soit couramment admis que les calculs réalisés dans le cadre des analyses de risques permettent d’obtenir une évaluation des fréquences, et donc une incertitude sur les résultats, il reste nécessaire d’évaluer au plus juste ces valeurs. En effet, une surévaluation des risques peut avoir des conséquences sur le coût des installations (du fait de la mise en place de dispositifs de sécu-


ＱＰＵ

SE 5 080 – 5



E R

3 × 10–5

E R

3 × 10–4

3 × 10–5 3 × 10–4

A

B

C

A

B

C

10–5

10–5

10–5

3 × 10–5

ε

ε

10–4

10–4

10–4

3 × 10–4

ε

ε

Décote d'un facteur 10

Décote d'un facteur 10

Cas d'une répartition de causes « équiprobables »

Cas d'une répartition de causes avec une cause prépondérante

Figure 2 – Principe de la décote

rité qui peuvent parfois ne pas se justifier au regard des risques). Au contraire, une sous-évaluation des risques peut conduire à des accidents majeurs préjudiciables pour l’industriel. L’évaluation des fréquences d’occurrence des événements redoutés de type perte de confinement sur capacité constitue une étape prépondérante lors de la quantification des probabilités d’occurrence des phénomènes dangereux de type incendie, explosion ou dispersion de toxique. Une erreur lors de cette étape peut avoir des conséquences significatives sur les conclusions de l’analyse des risques et mener à des prises de décisions non pertinentes. À retenir : dans le cadre des analyses de risques industriels, la perte de confinement (brèche ou rupture) constitue un événement type qui est systématiquement étudié. La question de la quantification des fréquences de fuite sur équipement revêt alors toute son importance pour évaluer au plus juste les probabilités des phénomènes dangereux qui y sont associés.

Figure 3 – Arbre des causes non exhaustif dédié à l’illustration de l’approche 1

Pondérer une fréquence de fuite peut se faire par différentes approches :

3.2 Comment pondérer ?

– approche 1 : pondération de la fréquence de fuite d’un équipement en prenant en compte le poids des différentes causes et la performance des mesures de prévention mises en œuvre (approche par arbre de défaillances) ; – approche 2 : pondération de la fréquence de fuite d’un équipement par application directe de facteurs de pondération sans une analyse préalable des causes et des mesures de prévention mises en place.

Dès lors qu’une fréquence de fuite est disponible dans une banque de données, il n’est pas aisé de justifier d’une éventuelle surcote ou décote de cette valeur. En effet, les analyses de risques ont parfois tendance à surévaluer l’impact des barrières de prévention sur la fréquence d’occurrence des événements redoutés de type perte de confinement. Ainsi, il est courant de trouver des décotes d’un facteur 10, voire 100, sans justification probante portant sur les fréquences issues des banques de données. Supposons, comme le montre la figure 2, que trois causes de fuite (A, B, C) sur capacité soient identifiées et que la banque de données consultée rapporte une fréquence de fuite de 3 · 10–5/an. Pouvoir décoter cette fréquence d’un facteur 10 suppose donc :

3.2.1 Principe de l’approche 1 Dans cette approche, il est nécessaire de disposer au préalable d’une fréquence de fuite issue de banque de données et d’une répartition statistique des causes de fuite.

1) de pouvoir décoter d’un facteur 10 chacune des branches (dans le cas où toutes les branches de l’arbre seraient équiprobables) ; 2) de pouvoir décoter une branche qui représente la quasi-totalité de la fréquence d’occurrence (dans le cas où une cause prépondérante serait identifiée).

Une fois ces données disponibles, une analyse de risques visant à identifier les causes qui peuvent mener à la fuite doit alors être effectuée afin de construire un arbre des causes. Pour chacune d’elles, il faut recenser les mesures de prévention mises en place par l’industriel et leur allouer une probabilité de défaillance.

La difficulté consiste à proposer des facteurs de pondération qui puissent être justifiés. Si l’on souhaite donner du crédit à une telle démarche, il est indispensable de pouvoir argumenter quant au choix des valeurs.

SE 5 080 – 6

L’arbre des causes présentées en figure 3 illustre l’application de cette approche qui permet de décoter la fréquence de fuite rapportée dans une banque de données.


ＱＰＶ



Tableau 2 – Difficulté de mise en œuvre de la démarche « idéale » Phase

Difficulté

Évaluation du poids statistique de chaque cause

Effectuer une répartition statistique des causes de fuite par taille de brèche qui correspond au secteur d’activité faisant l’objet de l’étude.

Évaluation de l’effet des mesures de prévention

• Savoir quelles sont les mesures de prévention mises en place sur les installations qui composent le retour d’expérience. Les banques de données ne fournissent pas un tel degré de détail et il est difficile de savoir quelles sont les barrières dont la « performance » est déjà inclue dans la fréquence d’occurrence rapportée par la banque. En effet, il est important de ne pas prendre en compte deux fois l’effet des mesures de prévention. En d’autres termes, seules des mesures de prévention jugées « spécifiques » peuvent être prises en compte lors de l’application de cette démarche. • Allouer une probabilité de défaillance aux différentes barrières de prévention sachant que certaines sont des barrières basées sur de l’organisationnel (plan d’inspection basé sur une approche de criticité des lignes, etc.) ou sur des coefficients de sécurité par rapport aux standards ou codes de conception (sur épaisseur de corrosion, etc.).

Identification des causes pouvant mener à la fuite

Évaluation du poids de chacune des causes à l’aide d’une répartition statistique (wi)

Identification des barrières de prévention mises en place

Sélection d’une fréquence de fuite générique dans une banque de données (FBdD)

Évaluation de la fréquence de fuite pondérée (Fp) n

Fp = FBdD × ∑i =1(wi × Pdi ) Identification des barrières de prévention spécifiques au secteur d’activité étudié*

Évaluation de l’impact de ces barrières de prévention (Pdi)

Figure 4 – Principales étapes de l’approche de pondération no 1

Nota : seules les barrières qui sont supposées ne pas être déjà prises en compte dans la valeur de fréquence issue de la banque de données peuvent être retenues.

À retenir : l’approche décrite dans ce paragraphe ne doit pas être confondue avec la démarche de quantification d’un arbre des causes ou de défaillances. Dans l’approche faisant l’objet de ce paragraphe, la fréquence de l’événement redouté F(ER) est évaluée à partir d’une valeur issue d’une banque de données F(BdD) qui est pondérée à l’aide de la répartition statistique des causes et des probabilités de défaillance allouées aux barrières de prévention. A contrario, la quantification d’un arbre des causes permet d’évaluer la fréquence de l’événement redouté à partir des fréquences des événements initiateurs (ou causes) et des probabilités de défaillance des barrières de prévention.

À partir de l’arbre présenté en figure 3, la fréquence de l’événement redouté « Rupture guillotine de canalisation » se calcule comme suit : F(ER) = F′(C1) + F′(C2) + F′(C3) + F′(C4) F(ER) = F(C1)) × (Pd1) + F(C2) × (Pd2) + F(C3) × (Pd3) + F(C4) × (Pd4)) avec F(Ci)

= F(BdD) × wi,

F(BdD)

fréquence de fuite issue de la banque de données,

wi

poids statistique de la cause no i,

Pdi

probabilité de défaillance de la barrière no i.

3.2.2 Principe de l’approche 2

Cette approche, qui paraît relativement simple à mettre en œuvre, implique de détenir des données difficiles à trouver. Tout d’abord, il est impératif de disposer d’une répartition statistique de causes pouvant amener à la réalisation de l’événement redouté, afin de pouvoir évaluer le poids de chacune des causes. Ensuite, il faut être en mesure de quantifier l’effet des barrières de prévention mises en place sur la fréquence des événements initiateurs. Pour chacune des deux phases de cette démarche « idéale », le tableau 2 liste les difficultés de mise en œuvre.

Contrairement à l’approche 1, celle-ci est plus macroscopique. En effet, elle ne se base pas sur une pondération de chacune des causes pouvant mener à l’événement redouté, mais pondère directement la fréquence issue de la banque de données. Cette pondération repose généralement sur une identification au préalable d’une liste de paramètres qui sont supposés avoir une influence sur la fréquence de fuite. Ces paramètres font généralement intervenir : – la conception des installations (code utilisé, prise en compte de facteur de sécurité, etc.) ;

La figure 4 présente les différentes étapes de cette approche.


ＱＰＷ

SE 5 080 – 7

ＱＰＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＴ

Évaluation de la criticité des équipements Méthodes d’exploitation des jugements d’experts par

Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique, d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur – Docteur ès sciences Professeur associé des universités retraité, Université Paris Est Créteil, France

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＱＴ

1. 1.1 1.2 1.3 1.4 1 .5 1.6

Brainstorming Origine et domaines d’applications ........................................................ Principes originaux du brainstorming .................................................... Adaptation de la méthode du brainstorming pour la recherche de la criticité des équipements ................................................................ Déroulement d’une séance de brainstorming........................................ Avantages et inconvénients de la méthode du brainstorming............. Conclusions ...............................................................................................

2. 2.1 2.2 2.3 2.4 2 .5

SE 4 004 - 3 — 3 — 3 — — — —

3 3 4 4

Méthode Delphi ....................................................................... Origine et domaines d’applications ........................................................ Description de la méthode Delphi initiale............................................... Variantes de la méthode Delphi .............................................................. Avantages et inconvénients de la méthode Delphi ............................... Conclusions ...............................................................................................

— — — — — —

4 4

3. 3.1 3.2 3.3 3.4 3.5 3.6

Méthode de l’Abaque de Régnier® ........................................... Origine et domaines d’applications ........................................................ Principe original de la méthode............................................................... Adaptation de la méthode pour la détermination de la criticité ........... Variante de la méthode Delphi : méthode de Delphi Régnier® ............ Avantages et inconvénients de l’Abaque de Régnier® .......................... Conclusions ...............................................................................................

— — — — — — —

8 8 8 8 11 12 12

4. 4.1 4.2 4.3 4.4 4.5

Méthode de notation Pieu ....................................................... Origine et domaines d’applications ........................................................ Principe de la méthode............................................................................. Variantes de la méthode Pieu .................................................................. Avantages et inconvénients de la méthode Pieu ................................... Conclusions ...............................................................................................

— — — — — —

12 12 12 14 16 17

5. 5.1 5.2 5.3 5.4

— — — —

17 17 17 18

5.5

Méthodes fondées de la maintenance basée sur la fiabilité (MBF) Origine et domaines d’applications ........................................................ Principes de la maintenance basée sur la fiabilité ................................. Méthodes de détermination de la criticité pour la MBF : RCM ............. Avantages et inconvénients des méthodes fondées sur la maintenance basée sur la fiabilité ................................................ Conclusions ...............................................................................................

— —

22 22

6. 6.1 6.2 6.3

Méthode d’Ishikawa (arbres causes-conséquence-5M) .............. Origine et domaines d’applications ........................................................ Principe général de la construction du diagramme d’Ishikawa............ Avantages et inconvénients du diagramme d’Ishikawa........................

— — — —

22 22 22 25

7.

Études comparatives des méthodes d’élaboration de la criticité par jugements d’experts ...........................................

—

26

Conclusion ..............................................................................................

—

26

8.



ＱＰＹ

5 7 7 7

Doc. SE 4 004

SE 4 004 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＴ

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

a criticité de certains équipements d’installations industrielles doit impérativement être évaluée ; la défaillance de ces équipements peut avoir des conséquences graves sur le personnel, l’environnement, le respect de la réglementation, sans parler des conséquences d’arrêts de production. Cependant, la détermination de la criticité des équipements en cours de conception, ou déjà en phase d’exploitation, pose de nombreuses difficultés si l’on ne dispose pas de données réelles de retour d’expérience archivées dans les banques de données spécialisées. Cette situation se rencontre très fréquemment dans de nombreuses entreprises où la connaissance est mémorisée par les différents experts qui conçoivent, exploitent ou maintiennent ces équipements. On notera cependant que souvent la qualité d’expert est ambiguë, voire contestée. Pour pallier cette difficulté, il devient nécessaire de faire appel à des méthodes qui reposent sur les connaissances d’un panel d’experts en comportement des équipements. Pour obtenir un consensus d’experts, la majorité de ces techniques repose sur les votes des experts en utilisant des questionnaires où chaque réponse est codée suivant une échelle prédéfinie ou un codage par couleur. La première méthode présentée dans cet article, le Brainstorming d’Osborn, est un outil de créativité libre et ordonné qui permet de rechercher en groupe et en toute liberté un maximum d’idées sur un sujet donné ou d’inventer des solutions pour résoudre un problème. Cette méthode s’adapte à la recherche de la criticité des équipements, en demandant à chacun des membres du panel d’experts de donner leur avis sur la criticité du même équipement dont ils connaissent parfaitement le fonctionnement en toute liberté et indépendamment des autres experts. La seconde méthode Delphi a été mise au point dans les années 1950 par Olaf Helmer à la Rand Corporation. La méthode implique un groupe d’experts qui, sous la direction d’un animateur, répondent anonymement et de façon individuelle aux questionnaires et reçoivent ensuite de la part de l’animateur la synthèse des informations sous la forme d’une représentation statistique de la réponse collective. Ensuite, l’animateur renvoie une autre série de questionnaires et assure le dépouillement et la synthèse, éventuellement sous forme statistique, des réponses. Après quoi le processus se répète. L’objectif est de réduire l’éventail des réponses pour obtenir un consensus. On présente également les versions apparues avec Internet. La troisième méthode correspond à celle de l’Abaque de Régnier®. Le groupe d’experts se voit proposer une liste de questions (items) à laquelle chaque expert doit répondre de façon non verbale en utilisant un code de sept couleurs. Ensuite, en affectant une valeur numérique à chaque avis, on construit plusieurs tableaux colorés pour définir des entités spécifiques à la méthode. Leurs interprétations visuelles permettent de déterminer les items qui font l’objet d’un consensus et d’identifier les experts minoritaires qui envoient des « signaux faibles » définis par cette méthode. La quatrième méthode décrit la méthode Pieu (pannes, importance de l’équipement, état de l’équipement, utilisation). Avec cette méthode, la criticité des équipements peut être définie avec précision par notation. Suivant le domaine et les avis des experts, il est possible de choisir des grilles d’évaluation avec différents poids associés à des critères définis de façon interne. La méthode Méride (méthode d’évaluation des risques industriels) est succinctement décrite. La cinquième méthode présente succinctement les concepts de la maintenance basée sur la fiabilité (MBF) qui a pour objectifs de définir un programme de maintenance préventive uniquement sur les équipements critiques. On y présente les critères recommandés dans les normes internationales sur la RCM (reliability centered maintenance). Finalement, la sixième méthode décrite est celle d’Ishikiwa, également appelée le diagramme de causes-effet. Après une description de la méthode formelle, on présente le diagramme d’Ishikawa pondérée et une adaptation pour la détermination de la criticité des équipements. Pour chacune de ces méthodes, les avantages et inconvénients sont présentés en insistant sur la robustesse des résultats compte tenu du fait que l’on fait appel aux jugements d’experts et aux aspects psychologiques qui y sont liés.

L

SE 4 004 − 2


ＱＱＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＴ _________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

1. Brainstorming Analyse fonctionnelle

Brainstorming

1.1 Origine et domaines d’applications

Identification des défaillances des équipements

Pour la détermination de la criticité des équipements d’une installation industrielle et en absence de retour d’expérience, il est possible d’adapter la méthode dite du « brainstorming » ou « remue-méninges », utilisée dans les entreprises pour trouver des solutions innovantes, en réunissant un groupe d’experts des équipements, piloté par un animateur, pour obtenir un consensus sur les différents attributs associés à la criticité des équipements.

Identification des conséquences des défaillances des équipements

Pour atteindre cet objectif, il est indispensable de s’inspirer de la méthode définie ci-dessous par son concepteur Alex Osborn [1] et de faire les adaptations nécessaires.

Classification de la criticité des équipements

1.2 Principes originaux du brainstorming « On est plus intelligent à plusieurs que seul », tel est le principe de base du brainstorming. Le brainstorming (association des termes anglais « brain » [cerveau] et « storm » [tempête]) est une technique de créativité en groupe élaborée en 1940 par le publicitaire Alex Osborn. Selon lui, la qualité d’une idée ou d’une solution naît de la quantité des propositions d’un groupe. Le principal intérêt de la méthode provient du fait que des idées très nombreuses et originales sont produites. Pour cela, les suggestions absurdes sont admises durant la phase de production d’idées et de stimulation mutuelle. En effet, des personnes ayant une certaine réserve peuvent alors être incitées à s’exprimer, par la dynamique de la formule et/ou par les effets volontaires (interventions) de l’animation. Résultat : en dépit de la peur première de formuler une idée absurde, des idées excellentes peuvent se mettre à surgir. C’est pour amener à l’accouchement de ces bonnes idées en toute quiétude que l’absence de critique, la suggestion d’idées sans aucun fondement réaliste et le rythme, sont des éléments vitaux pour la réussite du processus.

Figure 1 – Étapes d’une session de brainstorming – analyse fonctionnelle

conception, exploitation, maintenance, sécurité et environnement et d’une personne prenant les notes.

1.4.1 Nomination d’un modérateur expérimenté sur le sujet La principale tâche de l’animateur est de rendre les séances de brainstorming aussi productives que possible. Son rôle est capital et il doit en particulier maîtriser le comportement des équipements et les effets de leurs défaillances. Il énonce le but recherché lors des séances de travail, distribue le temps de parole lors d’un tour de table par exemple, et finalement il réalise les documents de synthèse. Cette tâche est complexe car elle implique de faire respecter strictement les règles de base du brainstorming, de noter les avis émis et de piloter subtilement le processus de classification de la criticité des équipements, surtout si les séances de brainstorming sont des occasions uniques de rassembler les experts en raison de leur faible disponibilité.

1.3 Adaptation de la méthode du brainstorming pour la recherche de la criticité des équipements La méthode du brainstorming a fait l’objet d’une adaptation pour la définition de la criticité des équipements en fonction des conséquences fonctionnelles des défaillances [2]. Cette adaptation a été réalisée dans le domaine de la sécurité aéronautique et combine une approche fonctionnelle et la méthode classique du brainstorming.

1.4.2 Constitution de l’équipe de travail et planification des réunions et préparation du brainstorming

Dans la phase fonctionnelle préliminaire de détermination de la criticité, on procède en trois étapes : – réalisation de l’inventaire des fonctions ; – identification des défaillances du système (perte ou dégradation des fonctions) et des équipements qui en sont la cause ; – identification des conséquences potentielles des défaillances des équipements et de leurs fréquences acceptables d’occurrence.

Le modérateur sélectionne les experts représentant les différents spécialistes des équipements et planifie les réunions. Ce sont des acteurs essentiels pour la détermination des équipements critiques. L’expérience montre qu’un groupe de quatre à six personnes est tout à fait adéquat pour le brainstorming.

Comme cette première approche n’est que rarement exhaustive, il devient nécessaire de faire appel à l’étape de brainstorming réunissant un animateur et un panel d’experts spécialistes des différents aspects liés à l’exploitation, à la maintenance, à la sécurité et aux aspects réglementaires.

Comme en général les participants sont très sollicités par leurs responsabilités opérationnelles quotidiennes, le modérateur doit s’assurer auprès de leurs responsables hiérarchiques de leur disponibilité, sinon leur absence entraînera obligatoirement des retards. Pour une bonne efficacité des séances, il est indispensable de procéder en plusieurs étapes : – sélectionner et organiser les participants, en particulier les experts opérationnels ; – présenter aux membres du groupe les objectifs ; – réparer l’approche de la méthode du brainstorming ; – préparer et préciser le contenu de la méthode de détermination des défaillances des équipements ; – présenter les aspects pratiques de la détermination de la criticité des équipements.

La figure 1 montre les étapes de la méthode.

1.4 Déroulement d’une séance de brainstorming Le brainstorming suppose le respect de certaines règles et un déroulement en plusieurs étapes pendant les réunions de travail. Un groupe optimal pour obtenir la meilleure efficacité des séances de brainstorming est composé d’un modérateur, d’experts en


ＱＱＱ

SE 4 004 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＴ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

1.4.3 Déroulement du brainstorming

1.5.2 Inconvénients

Le rôle de l’animateur est de s’assurer que les règles d’or du brainstorming sont respectées. Il veille à ce que le groupe ne soit pas dominé par certaines personnes et que le dialogue reste cordial et constructif. Tous les jugements émis sur la criticité de chaque équipement sont inscrits sur un tableau visible ou sur des feuilles séparées de « paper-board » visible par chaque participant.

Cependant, des expériences de psychologie sociale réalisées en laboratoire semblent démentir l’efficacité de cette méthode. En particulier, les travaux réalisés par Thomas A. Timmerman [3] démontrent à partir de séances de brainstorming qu’un groupe d’individus ne conduit pas obligatoirement à un résultat meilleur qu’un individu très expérimenté, d’où sa faible efficacité. Au niveau productivité, le « remue-méninges » apparaît en fait presque comme une perte de temps.

Chacun se doit de respecter certains principes.

■ Pas de censure

Parmi les autres inconvénients, on peut citer les points suivants : – nécessité d’une formation préalable de l’animateur à la pratique de cet outil ; – efficacité conditionnée par le respect de règles strictes de fonctionnement ; – risques de manque de réalisme dans les idées émises ; – n’est pas efficace si une méthode essais-erreurs est indispensable ; – beaucoup d’idées sont superficielles ; – est mieux adapté à la résolution de problèmes simples ou spécifiques ; – limite souvent la reconnaissance des idées.

Le brainstorming n’est pas une séance de règlements de compte entre collègues. Aucun jugement ou aucune critique sur les idées ne doit être émis afin de ne pas freiner le processus créatif de chacun. Cela suppose que chaque participant dépasse le stade de l’inimitié, de la rivalité ou de l’inhibition pour donner libre cours à l’expression de ses idées.

■ Un moment d’égalité Durant cette séance de réflexion collective, les rapports hiérarchiques sont laissés de côté. Ainsi, la présence du chef ne doit pas paralyser les participants dans leur réflexion.

C’est la raison pour laquelle la technique du brainstorming est remplacée de plus en plus par des techniques telles que le vote par la méthode Delphi ou de l’Abaque de Régnier®. Ces méthodes feront l’objet des paragraphes ultérieurs.

■ Un moment de liberté Exprimer le plus grand nombre possible d’idées, de suggestions, de propositions, c’est le but de cette réunion de réflexion, qui laisse toute sa place à l’originalité. La quantité des propositions formulées permettra d’augmenter les probabilités de trouver des idées valables. Chaque participant est donc invité à s’inspirer des idées émises, à les développer, les enrichir, les compléter.

1.6 Historiquement, le brainstorming est la technique la plus ancienne pour trouver des solutions en utilisant un groupe de personnes à qui l’on demande de se prononcer ou d’émettre des idées nouvelles pour résoudre un problème donné. Sa mise en place semble particulièrement simple, mais elle nécessite tout de même un minimum de préparation et de définition méthodologique. Pour être efficace pour le problème de la détermination de la criticité des équipements, un panel d’experts doit être sélectionné avec soins et les règles qui régissent le brainstorming doivent être strictement suivies sous la responsabilité d’un animateur bien rodé aux conduites de réunions. L’expérience montre que cette approche porte ses fruits si les thèmes abordés sont suffisamment bien identifiés. Dans le cas contraire, elle s’avère inefficace et conduit à des pertes de temps.

Après la phase de production des suggestions, l’animateur procède à l’exploitation des idées. Il reformule ou fait préciser les idées floues ou peu claires, il élimine les idées sans lien exploitable avec le sujet traité, il supprime les redondances ou les formulations différentes ayant le même sens. Il hiérarchise les idées en utilisant éventuellement d’autres outils pour la sélection et le choix des idées (matrice multicritères, vote pondéré, etc.). Après la séance, le modérateur, dans un délai de quelques jours, distribue les comptes-rendus de la réunion avec la liste numérotée des équipements considérés comme critiques par les participants en leur demandant des corrections et des ajouts. Il doit également décider si une séance supplémentaire est nécessaire. Pour obtenir un rendement optimal d’une séance de brainstorming, il est très important de prendre en compte les contraintes principales logistiques suivantes :

2 . Méthode Delphi

– utilisation d’une salle de réunion si possible dans un lieu éloigné du lieu de travail habituel des experts (pour éviter leur dérangement) ; – demander aux membres du groupe de ne pas utiliser leurs téléphones portables ou consulter leurs courriels pendant les séances de travail (challenge très difficile pour le modérateur! ) .

2.1 Origine et domaines d’applications La méthode Delphi a été développée par les militaires américains dans les années 1950 par O. Helmer à la Rand Corporation [4]. Pour éviter les écueils des facteurs psychologiques liés au travail de groupe, la technique Delphi a été mise au point pour éviter l’effet d’opinion de groupe. Les résultats obtenus avec les méthodes traditionnelles de discussion de groupe au cours de réunion en commun sont très souvent faussées par des facteurs psychologiques tels que la présence d’une personnalité dominante et persuasive, la tendance de certains experts à camper sur leur position pour imposer leur point de vue sans vouloir accepter des contradicteurs. La technique Delphi a été mise au point pour éviter ces travers en empêchant l’effet d’opinion de groupe et, de ce fait, en diminuant les contraintes psychologiques en réunion telle la persuasion spécieuse (ou fallacieuse ou fausse), le refus de revenir sur une opinion fausse énoncée en public ou l’effet train en marche (band wagon effect ) sans esprit critique pour suivre la majorité (effet mouton de panurge). La méthode Delphi évite ces

1.5 Avantages et inconvénients de la méthode du brainstorming 1.5.1 Avantages Le brainstorming traditionnel permet d’apporter des solutions à un problème donné grâce à un recoupement d’avis effectué par le groupe de travail. Notamment, une bonne séance de brainstorming : – produit de nombreux avis ; – diffère le jugement et ainsi encourage la participation.

SE 4 004 – 4


ＱＱＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＴ _________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

COORDINATEUR

Rappels statistiques

Panel experts

A

B

C

D

E

Soit une série statistique définie dans le tableau suivant : Valeur x1 x2 ........ xp Effectif n1 n2 ....... np Fréquences f1 f2 ....... fp L’effectif total est donné par : N = n1 + n2 + .... + np et la fré-

F

Questionnaires

ni . N • Moyenne : la moyenne de cette série statistique (xk ; nk)

quence par fi =

Envoi aux experts

notée x ou µ est telle que :

Envoi aux experts après analyses RÉSULTATS, ANALYSES, DISCUSSIONS

x=

Figure 2 – Principes d’une étude Delphi

n1 × 1+ n 2 × 2 + ... + n p p N

• Variance : on appelle variance de la série statistique (xk ; nk ) le nombre :

travers observés pendant des discussions directes en réunion par une méthode définie avec beaucoup de soins avec une interrogation personnelle et anonyme de chaque expert à l’aide de questionnaires consécutifs et individuels sous la responsabilité d’un animateur. Entre chaque nouveau questionnaire, de nouvelles informations et de nouvelles justifications sont demandées à chaque expert jusqu’au moment où l’animateur aura obtenu un consensus parmi tous les experts. La procédure est représentée sur la figure 2. Cette procédure appelée « élicitation » d’experts permet d’obtenir les avis des différents experts qui ne se connaissent pas ; le département de la Défense américain définit l’« élicitation » (intelligence) comme l’acquisition d’information auprès d’une personne ou d’un groupe avec une procédure qui ne dévoile pas l’utilisation des réponses qui seront fournies.

V=

n1 (x1 − x ) 2 + n 2 (x 2 − x ) 2 + ... + n p (x p − x ) 2 N

• Écart type : l’écart type d’une série statistique est défini par : σ = V . Elle caractérise la dispersion autour de la moyenne. • Médiane : la médiane Me d’une série ordonnée par ordre croissant partage cette série en deux parties telles que la moitié au moins prend des valeurs inférieures ou égales à la médiane : – si le nombre de données est pair, N = 2p : la médiane est la moyenne des pième et (p + 1) ième valeurs ; – si le nombre de données est impair, N = 2 p + 1 : la médiane est la (p + 1) ième valeur. • Les quartiles : les valeurs d’une série d’effectif N sont rangées par ordre croissant : – le premier quartile Q1 de la série est la valeur xi dont

L’objectif de ces questionnaires successifs est de diminuer l’espace interquartile tout en précisant la médiane (encadré « Rappels statistiques »). La méthode Delphi utilise une interrogation personnelle et anonyme de chaque expert à l’aide de questionnaires consécutifs et individuels sous la responsabilité d’un animateur. Entre chaque nouveau questionnaire, de nouvelles informations et de nouvelles justifications leur sont demandées jusqu’au moment où l’animateur aura obtenu un consensus de tous les experts. Dans cette procédure d’élicitation d’experts, l’animateur renvoie de nouveaux questionnaires pour demander des justifications détaillées sur leurs réponses. Il rassemble les différents avis et les envoie aux autres experts pour commentaires et critiques, et éventuellement pour obtenir un changement d’avis. Ainsi, les experts peuvent réviser leurs jugements initiaux et prendre en compte des faits qu’ils avaient négligés en les considérant comme non importants ou totalement négligeables.

N ; 4 – le troisième quartile Q3 de la série est la valeur xj dont

l’indice i est le plus petit entier supérieur à

3N . 4 • Intervalle interquartile : c’est une mesure de dispersion. L’intervalle interquartile est l’intervalle [Q1 ; Q3]. • L’écart interquartile : l’écart interquartile est la différence Q = Q3 – Q1. l’indice j est le plus petit entier supérieur à

2.2 Description de la méthode Delphi initiale

Le schéma ci-dessous permet de visualiser ces caractéristiques statistiques.

Dans un premier temps la démarche d’origine est présentée sachant que de nombreuses variantes ont été développées par la suite avec l’émergence des nouvelles technologies (Internet, réseaux sociaux) et qui feront l’objet de paragraphes spécifiques dans ce chapitre.

75 % 25 %

■ Phase 1 : formulation du problème L’élaboration du questionnaire doit se faire selon certaines règles : les questions doivent être précises, quantifiables (elles portent par exemple sur les probabilités de réalisation d’hypothèses et/ou d’événements, le plus souvent sur des dates de réalisation d’événements) et indépendantes (la réalisation supposée d’une des questions à une date donnée n’a pas d’influence sur la réalisation d’une autre question).

Min

Q1

Médiane

Q3

Max

Remarques : le couple (médiane ; écart interquartile) est robuste par rapport aux valeurs extrêmes, mais sa détermination (les quartiles) n’est pas très pratique. Plus l’écart interquartile est grand, plus la dispersion est importante.


ＱＱＳ

SE 4 004 – 5

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＴ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

■ Phase 2 : choix des experts

explicitement si celle-ci se situe hors de l’intervalle (Q1-Q3). Les experts renvoient les réponses, éventuellement les raisons.

Le manque d’indépendance des experts peut constituer un inconvénient ; c’est pourquoi, par précaution, les experts sont isolés et leurs avis sont recueillis par voie postale ou par courrier électronique et de façon anonyme : on obtient donc l’opinion de chaque expert et non une opinion plus ou moins faussée par un processus de groupe (pas de leader ).

Il comporte deux parties principales : d’abord, les résultats et les réponses du premier questionnaire sont présentés sous forme de liste ou de tableau ; ensuite, les experts classent les éléments de résultats afin d’établir des priorités et sont autorisés à examiner leurs réponses à la lumière de l’avis d’autres experts, à ajouter des commentaires et à modifier leurs réponses.

■ Phase 3 : déroulement pratique et exploitation des résultats

L’animateur traite ces informations et prépare le troisième questionnaire.

Une fois le processus de sélection des experts achevé, un questionnaire est distribué à chaque membre du panel. Les membres sont encouragés à tirer parti de leurs expériences et à utiliser toutes les données historiques ou d’autres ressources pour les aider à répondre aux questions posées. Toutefois, les experts du panel ne doivent pas se consulter entre eux pour éviter un biais dans les réponses.

Le troisième questionnaire et tous les questionnaires suivants contiennent trois grandes parties. D’abord, ils comprennent les réponses à toutes les questions précédentes, avec quelques données statistiques permettant aux experts de voir comment leurs réponses sont liées à celles des autres membres du groupe.

Le premier questionnaire se compose généralement d’une ou de deux questions. Celles-ci sont destinées à être ouvertes sur le domaine concerné. Les experts donnent leur avis et retournent le questionnaire à l’animateur.

Deuxièmement, ils incluent des commentaires et des raisonnements que les experts mettent dans leurs réponses. Troisièmement, ils donnent l’occasion aux experts d’examiner et de réviser leurs réponses précédentes. Puis le questionnaire est retourné à l’animateur. Ce troisième questionnaire vise à opposer les réponses extrêmes en rapprochant leurs arguments. Il est en outre demandé à chaque expert de critiquer les arguments de ceux qui se situent en-deçà de Q1 et au-delà de Q3. Comme on le voit, la convergence est forcée, voire manipulée, puisque seuls les extrêmes sont opposés, alors qu’ensemble, ils représentent autant de réponses qu’il y en a dans l’intervalle (Q1-Q3). En outre, il n’est jamais demandé aux extrêmes de critiquer les arguments de ceux qui sont dans l’espace interquartile. La procédure Delphi est représentée sur la figure 3.

Celui-ci examine les réponses et utilise cette information pour élaborer des questions plus spécifiques qui seront utilisées dans le deuxième questionnaire. On notera que selon les versions de la méthode Delphi, on peut utiliser une échelle de cotation comme l’échelle de Likert, fréquemment utilisée dans les questionnaires de psychologie. Elle a été développée par le spécialiste en psychologie organisationnelle Rensis Likert [5]. Dans la majorité des cas, une échelle à cinq ou sept niveaux est utilisée. Ce premier questionnaire a pour objectif de repérer la médiane et l’intervalle interquartile (encadré « rappels statistiques »). La médiane (deuxième quartile) est l’item au-dessous duquel 50 % des experts pensent que l’évolution sera négative et au-dessus duquel 50 % des experts pensent qu’au contraire, elle sera positive. En prenant des seuils de 25 et 75 %, puis 75 et 25 %, on définit aussi respectivement le premier quartile (Q1) et le troisième quartile (Q3). L’espace interquartile est constitué par l’intervalle (Q1-Q3). L’animateur réalise une première synthèse pour élaborer le second questionnaire.

Ce processus se poursuit jusqu’à ce qu’un consensus définitif soit atteint par le groupe (nombre de tours pouvant aller de 3 à 7). Un ingrédient clé de ce processus est l’anonymat des membres du panel d’experts car il élimine de nombreux problèmes qui découlent de préjugés et de l’influence de ses pairs. Cette méthode a été utilisée pendant la guerre froide pour connaître par exemple le nombre de bombes soviétiques nécessaires pour détruire des sites industriels aux États-Unis. La consultation de sept experts après trois questionnaires successifs a permis de réduire de façon significative les premières estimations comme indiqué sur le tableau 1.

Le second questionnaire est élaboré et a pour objectif de réduire les positions contradictoires (c’est-à-dire l’intervalle Q1-Q3). Ce questionnaire est envoyé aux experts pour qu’ils révisent leurs positions et on demande explicitement aux experts ayant des jugements extrêmes de se justifier. Cela signifie qu’il est demandé à chaque expert de fournir une nouvelle réponse et de se justifier

Tour 1 Questionnaire 1

On peut noter que le rapport initial maximum/minimum qui était de 100 a été réduit à 360/167 très proche de 2 d’où l’efficacité remarquable de la méthode Delphi.



Coordinateur • questionnaires • dépouillements • analyse • synthèse • statistiques

Groupe d’experts

Figure 3 – Différents votes d’une étude Delphi

SE 4 004 – 6


ＱＱＴ

Tour n Questionnaire n

Rapport final

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＵ

Évaluation de la criticité des équipements. Méthodes analytiques par

Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique, d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-ingénieur Docteur ès-sciences Professeur associé des universités retraité Université Paris-Est-Créteil, France

1. 1.1 1.2

Classification des méthodes analytiques d’évaluation et de réduction de la criticité ............................................................ Évolution des méthodes analytiques et leurs références ...................... Typologie des méthodes d’évaluation de la criticité .............................

2. 2.1 2.2 2.3 2.4 2.5 2.6 2.7

Méthodes analytiques d’évaluation de la criticité....................... Analyse préliminaire des risques (APR) .................................................. AMDEC....................................................................................................... HAZOP........................................................................................................ What-if Arbre de défaillances ................................................................................ Blocs diagrammes de fiabilité – Arbre des succès ................................. Comparaison des méthodes analytiques utilisant le retour d’expérience...............................................................................

3.

3.8

Méthodes de réduction de la criticité des conséquences des défaillances des équipements.................................................... Présentation et principes .......................................................................... Barrières – mesure de maîtrise des risques............................................ Principe de la méthode des arbres d’événements ................................. Principe de la méthode du nœud papillon.............................................. Principe de la méthode MOSAR .............................................................. Principe de la méthode LOPA .................................................................. Comparaison des méthodes de réduction de la criticité des conséquences d’une défaillance ....................................................... Recommandations ....................................................................................

4.

Conclusion...............................................................................................

3.1 3.2 3.3 3.4 3.5 3.6 3.7


SE 4 005 - 2 — —

2 3

— — — — — — —

4 4 6 8 9 10 12

—

14

— — — — — — —

14 14 15 16 17 18 21

— —

25 26

—

26

Doc. SE 4 005

et article présente les principales méthodes d’évaluation de la criticité des défaillances des équipements industriels et les outils contribuant à la réduction des conséquences des défaillances critiques des équipements. En effet, dans de nombreux secteurs industriels, l’évaluation de criticité des défaillances des équipements installés sur les installations représentent des enjeux stratégiques. Le terme « criticité » faisant l’objet de différentes définitions et interprétations, il sera considéré dans cet article comme une mesure combinée des conséquences et de la fréquence d’occurrence des défaillances d’un équipement. Son évaluation permet, en particulier, de déterminer les

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＴ

C


ＱＱＵ

SE 4 005 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＵ

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES __________________________________________________________________

impacts des dysfonctionnements sur la sécurité des personnels, les arrêts de production, la qualité de service, les contraintes réglementaires pour les installations classées et le respect de l’environnement. En fonction des résultats obtenus, il peut s’avérer nécessaire ou obligatoire vis-à-vis des réglementations d’avoir recours à des dispositifs matériels ou immatériels permettant de réduire la criticité des conséquences des défaillances. Des outils ont été mis au point pour répondre à ces besoins et à ces exigences. Cet article présente les principales méthodes analytiques qui exploitent les données de fiabilité extraites du retour d’expérience sur le comportement des équipements. Dans le cas contraire, en absence du retour d’expérience, l’article [SE 4 004] propose les méthodes utilisables pour l’évaluation de la criticité à base de jugement d‘experts. La première partie de l’article sera consacrée à la typologie des méthodes d’évaluation et de réduction de la criticité. La seconde partie sera dédiée aux descriptions succinctes des principaux outils analytiques utilisables pour quantifier la criticité des défaillances des équipements. Pour chaque méthode, la trame d’analyse sera : origine, principe, étapes. Seront ainsi passés en revue l’APR (analyse préliminaire des risques), l’AMDEC (analyse des modes de défaillance de leurs effets et de leur criticité), l’HAZOP (HAZard and OPerability study) utilisée pour l’analyse des risques industriels, What-If (Que se passe-t-il si ?), les arbres de défaillances, les blocs diagrammes de fiabilité-arbres des succès. Pour guider le lecteur sur le choix le plus adapté à sa problématique, une grille comparative des principaux attributs des méthodes est ensuite proposée. Dans l’éventualité où la criticité des défaillances s’avérerait inacceptable, la troisième partie résumera les principes des méthodes les plus utilisées pour réduire les conséquences des défaillances critiques (barrières de sécurité, arbres d’événement, nœud papillon, méthode MOSAR, méthode LOPA (Layer Of Protection Analysis), avec également une comparaison des avantages et inconvénients de ces méthodes de réduction de la criticité. La conclusion portera sur l’évolution de ces démarches compte tenu de leurs mises en œuvre de plus en plus fréquentes dans de nombreux secteurs industriels, grâce notamment à la mise sur le marché de nombreux logiciels commerciaux dédiés aux études de risques. Elle s’accompagnera également d’une mise en garde sur des utilisations et interprétations inappropriées des résultats obtenus en matière de maîtrise des risques.

1. Classification des méthodes analytiques d’évaluation et de réduction de la criticité

suivant cette norme en fonction de leurs impacts sur l’accomplissement de la mission et sur la sécurité des équipements et des personnels. À partir de cette date, de nouveaux besoins de méthodes liés à l’évaluation et à la prévention des risques ont vu le jour suite aux nombreux accidents ayant entraîné la mort de milliers de personnes et des impacts irréparables sur l’environnement. Des années 1950 jusqu’à nos jours, plusieurs dizaines de méthodes analytiques ont été développées dans différents secteurs industriels et font l’objet de normes internationales de guides d’applications spécifiques et d’ouvrages spécialisés. Afin de guider le lecteur pour un approfondissement des connaissances de ces outils, les principales références sont proposées en fonction de leur date de publication :

1.1 Évolution des méthodes analytiques et leurs références

– 1988 : Alain Villemeur [2] présente dans son ouvrage neuf méthodes d’analyse en sûreté de fonctionnement ; – 2002 : Jérôme Tixier et al. [3] ont établi un inventaire de 62 méthodes pour l’analyse des risques pour les installations industrielles. Il classe les méthodes en deux groupes : qualitatifs et quantitatifs, qui sont à leur tour divisés en trois catégories : déterministes, probabilistes et mixtes ;

Le 9 novembre 1949, l’armée américaine a publié la norme MIL-P-1629 [1] qui a défini l’un des tous premiers outils analytiques de la sûreté de fonctionnement : l’AMDEC (analyse des modes de défaillances, de leurs effets et de leur criticité). Initialement conçu pour les systèmes d’armement, cette norme avait pour objectifs de déterminer les effets des défaillances des systèmes et des équipements. La criticité des défaillances s’évalue

SE 4 005 − 2


ＱＱＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＵ __________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES

– 2006 : l’INERIS [4] dans son document sur les méthodes d’analyse des risques générés par une installation industrielle, fournit une typologie pour onze méthodes ; – 2009 : la norme ISO/CEI 31010 [5] présente une sélection de vingt-huit outils et techniques d’analyse de risques. Elle propose également une classification suivant leurs caractéristiques pour l’identification, l’évaluation et l’analyse des risques ; – 2011 : André Laurent [6] présente, dans son ouvrage dédié à la sécurité des procédés chimiques, dix méthodes d’analyse de risques incluant les méthodes de fiabilité humaine. Les définitions de méthodes qualitatives et/ou quantitatives y sont également fournies ; – 2012 : Sam Mannan [7] propose une douzaine de méthodes d’identification et d’évaluation des risques dans la quatrième édition de son ouvrage sur la prévention des risques dans les industries classées dangereuses.

Événements pouvant conduire à la défaillance

Défaillance

Analyse par approche inductive (Bottom Up approach) Figure 1 – Principe d’une démarche inductive

On constate un foisonnement de définitions relatives à la criticité dans les différentes publications et certaines d’entre elles sont parfois ambiguës. La définition suivante sera retenue dans cet article en se basant sur sa première définition élaborée en 1949 lors de la miseau point des AMDEC : « La criticité est une évaluation relative des conséquences et de la fréquence d’occurrence des défaillances d’un équipement ». L’inventaire des métriques relatives aux différentes définitions de la criticité est donnée dans cet article. Ici, les termes employés correspondent aux définitions données dans les normes internationales ou bien sont requis dans les clauses des cahiers des charges d’appels d’offres. Ils feront l’objet du glossaire définissant les principaux termes les plus communément admis à la fin de cet article.

Causes possibles pouvant conduire à la défaillance

Défaillance Événements non désiré

Analyse par approche déductive (Top Down approach) Figure 2 – Principe d’une démarche déductive

Pour les méthodes déductives basées sur la déduction logique qui est un procédé par lequel « on va du général au particulier », suivant le dictionnaire de l’Académie des Sciences, la démarche est inversée puisque l’on part de l’événement non désiré, la défaillance, et l’on recherche ensuite par une approche descendante toutes les causes possibles. Le système est supposé défaillant et l’analyse porte sur l’identification des causes susceptibles de conduire à cet état. On part alors des défaillances pour remonter aux causes. Il s’agit à partir de l’événement majeur d’identifier les combinaisons et enchaînements successifs d’événements pour remonter jusqu’aux événements initiateurs comme le montre la figure 2.

1.2 Typologie des méthodes d’évaluation de la criticité Une analyse approfondie de l’ensemble des méthodes d’évaluation de la criticité décrites dans les documents de référence énumérés au paragraphe précédent fait apparaître que les concepts, les démarches mises en œuvre et les résultats obtenus couvrent un spectre très large. Par conséquent, pour aider le lecteur à choisir la méthode la plus appropriée, il est indispensable de mettre en œuvre une typologie pour classer de façon non ambiguë les méthodes d’évaluation de la criticité.

Dans la terminologie anglo-saxonne, cette méthode est appelée « Top-Down approach ».

1.2.2 Méthodes qualitatives, semi-quantitatives et quantitatives

Cet article ne concernant qu’un nombre réduit de méthodes (AMDEC, HAZOP, What-if, arbres de défaillances, blocs diagrammes de fiabilité, barrières, arbres d’événement, nœud papillon, MOSAR, LOPA), une grille comparative de leurs principales caractéristiques sera présentée.

Les méthodes qualitatives d’analyse des risques sont utilisées dans la phase préliminaire d’évaluation des risques. Elles consistent à identifier l’ensemble des situations dangereuses susceptibles de survenir. Une analyse qualitative a pour objectif de fournir principalement une appréciation. Une analyse qualitative s’utilise dans des domaines où les connaissances sont peu formalisées ou difficilement quantifiables.

1.2.1 Méthodes déductives et inductives Basée sur l’induction logique définie par le dictionnaire de l’Académie des Sciences comme la « manière de raisonner qui consiste à inférer du particulier au général », les méthodes inductives sont basées sur une analyse « montante » où l’on identifie toutes les combinaisons d’événements élémentaires possibles qui peuvent entraîner la réalisation d’un événement unique indésirable : la défaillance. À partir des événements initiateurs, on identifie les combinaisons et enchaînements d’événements pouvant mener jusqu’à l’accident.

L’analyse qualitative définit les conséquences, leurs probabilités d’occurrence et les risques en les qualifiant par exemple avec des mots tels que : très faible, faible, moyenne ou forte. Elle peut combiner les conséquences et leurs probabilités d’occurrence et évaluer le risque à l’aide de critères qualitatifs. Il est possible également d’utiliser une matrice de hiérarchisation qualitative de risques. Les méthodes semi-quantitatives utilisent des échelles de notation numériques pour les probabilités d’occurrence et leurs conséquences. Les échelles de notation peuvent être linéaires ou logarithmiques. Elles combinent ensuite ces valeurs en utilisant des formules spécifiques au secteur industriel concerné.

On dit généralement que l’on part des causes pour identifier les effets. Dans la terminologie anglo-saxonne, cette méthode est appelée « Bottom-Up approach ». La figure 1 représente le principe de la démarche inductive.


ＱＱＷ

SE 4 005 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＵ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES __________________________________________________________________

2. Méthodes analytiques d’évaluation de la criticité

En prenant comme définition du risque : la « combinaison de la probabilité d’un événement et de ses conséquences » suivant ISO/CEI 73 [8], ou la « combinaison de la probabilité d’un dommage et de sa gravité » suivant (ISO/CEI 51) [9], les méthodes quantitatives permettent de quantifier et d’analyser les conséquences des défaillances, les fréquences et les risques. Les méthodes quantitatives, pour être fiables et crédibles, doivent faire appel aux données de retour d’expérience de très bonne qualité. Il est important de souligner que les valeurs fournies sont des estimations dont la précision dépend des données utilisées et qu’elles doivent être considérées comme telles.

Pour les systèmes industriels en cours de conception ou en phase d’exploitation, il est primordial de déterminer la gravité des conséquences des défaillances des équipements mis en œuvre et leurs fréquences d’occurrence. En s’appuyant sur les données de retour d’expérience d’équipements analogues pendant la phase de conception, ou bien sur les données réelles collectées sur les équipements en exploitations, il devient possible d’évaluer la criticité des défaillances potentielles ou effectives des équipements. Les méthodes décrites dans les paragraphes suivants sont essentiellement dédiées à ces deux cas de figure.

1.2.3 Méthodes pour défaillance indépendante ou pour défaillances combinées Les méthodes analytiques peuvent se classer en deux catégories en fonction du nombre de défaillances considérées ; les méthodes à défaillance indépendante considèrent uniquement le cas où une seule défaillance se produit sur l’équipement. Les résultats des analyses sont fonction des caractéristiques de cette seule défaillance (taux de défaillance, probabilité d’occurrence, etc.). Inversement, les méthodes d’analyses qui considèrent les probabilités d’occurrence de défaillances pouvant survenir simultanément sont appelées méthodes pour défaillances combinées.

2.1 Analyse préliminaire des risques (APR) 2.1.1 Historique et domaines d’applications La méthode d’analyse préliminaire des dangers (APD) (Preliminary Hazard Analysis ) [SE 4 010] [10] a été utilisée au début des années 1960 aux États-Unis pour l’analyse de sécurité des missiles. La méthode initiale a pour objet d’identifier les dangers d’une installation et ses causes (éléments dangereux) et d’évaluer la gravité des conséquences liées aux situations dangereuses et aux accidents potentiels. L’identification des dangers est effectuée grâce à l’expérience et à la connaissance des spécialistes, à l’aide de listes-guides (check-lists ) d’éléments et situations dangereuses qui dépendent du domaine d’application. Par extension, on appelle analyse préliminaire des risques (APR), la même analyse complétée par une estimation de la probabilité d’occurrence des situations dangereuses et accidents potentiels, ainsi que leurs effets et conséquences.

1.2.4 Méthodes déterministes et probabilistes Dans le domaine particulier des installations à risques industriels majeurs où l’on souhaite prévenir ou réduire les causes d’un accident technologique (nucléaire, chimie, etc.). Il existe deux grandes approches pour l’évaluation quantitative du risque industriel : l’approche déterministe et l’approche probabiliste. Les méthodes déterministes tiennent compte des défaillances réelles des équipements et quantifient les conséquences pour différentes cibles comme les personnes, les installations. Les méthodes probabilistes sont basées sur l’évaluation de la probabilité d’occurrence des situations dangereuses ou de la survenance d’un accident potentiel en fonction des probabilités d’occurrence des défaillances des équipements.

2.1.2 Principes Le principe de l’APR est d’étudier de façon préliminaire la sécurité afin de mettre en évidence les dangers potentiels et les mesures ou exigences de sécurité à mettre en œuvre pour obtenir un niveau de sécurité acceptable. Les dangers potentiels concernent souvent les substances dangereuses sous forme de matières premières, d’équipements dangereux ou des opérations dangereuses associées à l’installation industrielle.

Les méthodes déterministes mettent l’accent sur l’évaluation et le contrôle des conséquences d’un accident, tandis que les méthodes probabilistes se concentrent sur l’estimation de la probabilité d’occurrence de cet accident. L’approche déterministe consiste en effet à vérifier que les conséquences sont maîtrisées, tandis que l’approche probabiliste se propose de démontrer que la probabilité est maintenue à des valeurs considérées comme acceptables. Ces deux approches sont donc fondamentalement différentes puisqu’elles sont deux interprétations distinctes de la notion de risque. Ces approches sont cependant complémentaires, et sont entreprises, par exemple, dans le domaine de la sûreté des centrales nucléaires françaises.

Ces méthodes sont utilisées pour la phase d’identification des risques et orientées vers la sécurité prévisionnelle pour des équipements en cours de conception. L’identification de ces éléments dangereux est fonction du type d’installation étudiée. Le tableau 2 montre un exemple partiel d’entités dangereuses en aéronautique.

1.2.5 Grille des caractéristiques principales des méthodes analytiques

2.1.3 Déroulement

Étant donné la richesse de la typologie des méthodes analytiques, la majorité des publications référencées au paragraphe 1.1 proposent des grilles décrivant les attributs des méthodes analytiques d’analyse de risque. Le lecteur pourra s’y référer pour plus d’informations complémentaires. Cette article présentant seulement les principes des méthodes APR, AMDEC HAZOP, What-If, arbres de défaillances, blocs diagrammes de fiabilité-arbres des succès, barrières de sécurité, arbres d’événement, nœud papillon, MOSAR, LOPA, la grille du tableau 1 fournit leurs principales caractéristiques. Concernant les caractéristiques de méthodes déterministes et probabilistes, et compte tenu de leurs domaines d’applications très spécifiques, le lecteur se reportera à la grille d’évaluation établie par Tixier [3].

SE 4 005 – 4

Il n’y a pas de méthodologie unique pour l’APR ni de standard unique. Deux démarches sont possibles pour ce type de démarche : – démarche déductive : on part du général vers le particulier et on identifie les accidents potentiels et l’on recherche tout (élément + situation) ce qui peut conduire à cet accident (démarche type recherche des causes) ; – démarche inductive : on part du particulier vers le général et on part des éléments du système ; on recherche comment ils peuvent, combinés à une situation dangereuse, conduire à un accident potentiel.


ＱＱＸ


Tableau 1 – Grille d’évaluation des caractéristiques des méthodes analytiques Approche logique

Domaines d’applications

Objectifs

Défaillances envisagées

Approche quantitative/qualitative

Niveau de complexité

APR

Inductive

Toutes installations simples

Identification des dangers, évaluation et classement des risques associés et proposition des mesures de couvertures des risques

Indépendantes

Qualitative

+

AMDEC

Inductive

Systèmes techniques

Analyse des modes de défaillances, de leurs effets et de leur criticité

Indépendantes

Quantitative

+++

HAZOP

Inductive

Procédés thermo hydrauliques

Identification des dysfonctionnements de nature technique et opératoire pouvant conduire à des événements non souhaités

Indépendantes

Qualitative

++

What-if

Inductive

Toutes installations simples

Inventaire des équipements pouvant être défaillants et évalution de la probabilité et la gravité de leurs effets

Indépendantes

Semiquantitative

+

Arbres de défaillance (quantitatifs)

Déductive

Toutes installations

Évaluation de la probabilité d’occurrence d’un événement redouté à partir de l’occurrence des événements qui peuvent le produire

Combinées

Quantitative

+++

Blocs diagramme de fiabilité (quantitatifs)

Inductive


Détermination de la fiabilité globale d’un système à partir de la fiabilité des composants élémentaires

Combinées

Quantitative

+++


Analyse des barrières ayant pour but la réduction de la probabilité d’occurrence et/ou des effets et conséquences d’un événement non souhaité dans un système

Combinées

Quantitative

++++


Détermination de l’ensemble des séquences accidentelles susceptibles de se réaliser suivant que les barrières de protection remplissent ou non leur fonction de sécurité

Combinées

Quantitative

+++

Combinées

Quantitative

++++

Méthodes

Barrières

Arbres d’événement

Inductive Déductive


Nœud papillon



Visualisation et quantification des scénarios d’accident qui pourraient survenir en partant des causes initiales de l’accident jusqu’aux conséquences sur les éléments vulnérables environnants

MOSAR



Analyse des risques d’un système à différents niveaux d’analyse et mise en évidence des moyens de maîtrise des risques

Combinées

Quantitative

++++

LOPA



Évaluation du niveau de maîtrise de risque avec les barrières existantes sur un système et détermination éventuelle de nouvelles barrières

Quantitative

Quantitative

++++

[SE 4 010], il est important de retenir une trame qui contient les notions de gravité et d’occurrence des conséquences des défaillances des équipements dans le cadre d’une étude sur la criticité des équipements. Dans le cadre de la recherche de la criticité des équipements, il est recommandé de mettre en œuvre des tableaux utilisés pour ces analyses qui contiennent :

L’utilisation d’un tableau d’analyse tabulaire constitue un outil utile pour synthétiser le raisonnement et assurer le raisonnement intellectuel du groupe de travail chargé de la détermination de la criticité des équipements. On remarquera qu’il n’y a pas de trame unique, mais celle-ci doit au minimum contenir les résultats attendus de l’analyse et éventuellement d’autres colonnes (structuration, traçabilité). Cependant, comme indiqué dans


ＱＱＹ

SE 4 005 – 5

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＵ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES __________________________________________________________________

Analysis : FMECA), développée aux États-Unis et utilisée depuis septembre 1949 en spatial et en aéronautique, a été depuis généralisée à de nombreux domaines de l’industrie. Elle permet l’étude systématique des causes et des effets des défaillances (modes de défaillance et effets) et de définir la gravité, la fréquence d’occurrence, la détectabilité et la criticité des conséquences des modes de défaillances qui affectent les composants d’un système.

Tableau 2 – Exemple d’événements dangereux en aéronautique Entités et situations dangereuses en aéronautique Entités dangereuses

Situations dangereuses

Combustible

Accélération

Propergols

Depuis sa première mise en œuvre en 1949, des adaptations ont été apportées et concernent les AMDEC : produit, procédé, machines, moyens de production et organisationnelles. De très nombreuses normes internationales, nationales et sectorielles ont vu le jour depuis plusieurs décennies. Parmi les standards les plus utilisés et proposés dans la majorité des logiciels commerciaux d’AMDEC figurent :

Contamination

Catalyseurs chimiques

Corrosion

Charges explosives

Réactions chimiques

Conteneurs sous pression

Explosion

– MIL – STD-1629A [11] ; – IEC – NF EN 60812 [12] ; – SAE J1739 [13] ; – SAE ARP 5580 [14] ; – AIAG FMEA-4 [15].

– le système ou la fonction étudiée ; – la phase de la mission où le danger peut se manifester ; – l’entité dangereuse ; – le (ou les) événement(s) causant une situation dangereuse ; – la situation dangereuse ; – le (ou les) événement(s) transformant la situation dangereuse en accident potentiel ; – l’accident potentiel ; – les conséquences de l’accident ; – une classification par gravité ; – une estimation préliminaire de probabilité s’il s’agit d’une étude APR ; – les mesures préventives éventuelles. Le tableau 3 donne un exemple de trame APR.

La norme CEI 60812 [16] sert en particulier très souvent de base aux normes nationales ou européennes et dans plusieurs secteurs industriels (Norme Cnomo dans l’automobile française par exemple). La méthode comprend quatre étapes et se caractérise par une présentation sous forme de tableaux qui sont très souvent spécifiques à un secteur industriel concerné.

2.2.2 Principes Le principe de l’AMDEC, décrit dans de multiples ouvrages et publications dont [SE 4 040] est d’identifier et de hiérarchiser les modes potentiels de défaillance susceptibles de se produire sur un équipement, d’en rechercher les effets sur les fonctions principales des équipements et d’en identifier les causes. Pour la détermination de la criticité des modes de défaillance, l’AMDEC requiert pour chaque mode de défaillance la recherche de la gravité de ses effets, la fréquence de son apparition et la probabilité de sa détectabilité. Quand toutes ces informations sont disponibles, différentes méthodes existent pour déduire une valeur de la criticité du mode de défaillance. Si la criticité est jugée non acceptable, il est alors impératif de définir des actions correctives pour pouvoir corriger la gravité nouvelle du mode de défaillance (si cela est effectivement possible), de modifier sa fréquence d’apparition et d’améliorer éventuellement sa détectabilité.

2.1.4 Limites et avantages Un avantage principal de l’analyse préliminaire des risques est de permettre un examen rapide des situations dangereuses sur des installations industrielles. Elle possède l’avantage de ne pas requérir des analyses très approfondies et est donc économique en regard du temps requis. La méthode APR fournit une bonne vision d’ensemble sur les dangers et points critiques et une bonne vision d’ensemble des principes de mise en sécurité. Une de ses limites est son champ d’application à des installations simples et ne permet pas de prendre en compte de combinaisons d’événements complexes simultanés.

2.2 AMDEC

2.2.3 Déroulement 2.2.1 Historique et domaines d’applications

L’objectif de la méthode AMDEC est de compléter les informations contenues dans des colonnes que l’on renseigne avec les données indispensables.

La méthode AMDEC (analyse des modes de défaillance de leurs effets et de leur criticité (Failure Mode and Effects and Criticality

Tableau 3 – Trame type d’une étude APR Tableau type de la méthode APR

Soussystème ou Phase équipement

Entité dangereuse

Événement Événement Situation causant causant un une situation dangereuse accident dangereuse

Effets – Accident Gravité conséquences

Occurrence (fréquence)

Mesures de prévention ou de protection

SE 4 005 – 6


ＱＲＰ


■ Définition du système, de ses fonctions et de ses composants

■ Établissement de leurs effets et de leur criticité

Dans cette première étape, on identifie les principales fonctions du système, ses limites fonctionnelles (systèmes et composants) les spécifications relatives au fonctionnement du système, de ses composants ou de l’environnement du système.

Dans cette étape, on recense les effets ou conséquences que peut avoir chaque mode de défaillance. Il convient de les évaluer sur le (ou les) niveau(x) supérieur(s), jusqu’au niveau le plus haut (effet local, effet au niveau immédiatement supérieur, effet final).

Ensuite, il est impératif de définir le niveau de définition de l’AMDEC : niveau procédé, niveau système, niveau composant ou niveau pièce élémentaire.

La criticité est l’expression de l’importance globale d’une défaillance donnée.

■ Établissement des modes de défaillance des composants et

Elle permet de hiérarchiser les défaillances selon leur influence globale sur le système, le process, le client, etc. vis-à-vis des objectifs à maîtriser (sécurité, maintenance…).

leurs causes Cette phase doit être la plus complète possible et demeure le point faible de la méthode. Un mode de défaillance décrit l’altération d’une fonction attendue. Les modes de défaillance sont définis par rapport à un fonctionnement précis du système et sont donc dépendants de celui-ci. Pour aider l’analyse, on utilise des tableaux comme le tableau 4 donnant quelques modes de défaillance de la liste-guide de modes génériques de défaillance (norme EN 60812 [16] qui remplace la norme AFNOR X 60-510).

Elle peut être exprimée par un paramètre ou une combinaison de paramètres tels que : – gravité : classe ou degré sur les effets des défaillances ; – probabilité d’occurrence : taux de défaillance, fréquence d’apparition ; – détection : probabilité ou niveau, de détectabilité du mode de défaillance ; – autres paramètres spécifiques aux particularités de l’étude (durée de fonctionnement, temps moyen de réparation...).

Suivant les besoins de l’étude, on recherche les causes attribuables à chaque mode de défaillance et un mode de défaillance peut avoir plusieurs causes. On recherche souvent la cause la plus élémentaire (cause des causes).

Pour évaluer la criticité, il existe plusieurs solutions. La première solution consiste à utiliser un indice numérique de criticité souvent appelé IPR (indice de priorité de risques) qui est le produit des valeurs numériques données à la gravité, la probabilité d’occurrence et la détectabilité du mode de défaillance suivant des échelles propres à la norme d’AMDEC retenue :

Remarques sur les notions de causes, modes et effets Selon le niveau où l’on situe le problème, la cause devient le mode ou bien l’effet. En raison du décalage dans l’arborescence fonctionnelle, l’effet devient le mode de défaillance au niveau supérieur, et le mode devient la cause au niveau supérieur.

Indice de priorité de risque (IPR) = gravité × probabilités × détection Pour définir si un mode de défaillance est critique, il appartient au groupe de travail de définir un seuil au-delà duquel l’équipement sera considéré comme critique. Dans de nombreux cas, on choisit le seuil au quart de la valeur maximale de la criticité.

Tableau 4 – Exemple de modes génériques de défaillance

■ Définition des actions correctives et nouveau calcul de la criticité

Modes génériques de défaillance suivant la norme EN 60812

Dans certaines études, si la criticité n’est pas acceptable, il est demandé de définir des actions correctives telles que reconception, maintenance préventive, moyens de prévention. Pour juger de l’efficacité de ces actons correctives, il est de nouveau indispensable de recalculer le nouvel IPR :

1 Défaillance structurelle 2 Blocage physique 9 Fuite externe 13 Fonctionnement intempestif

IPR = gravité × probabilité × détection

14 Fonctionnement intermittent 19 Ne s’arrête pas

Le tableau 5 donne un exemple de trame d’AMDEC.

Tableau 5 – Exemple de trame d’AMDEC EXEMPLE DE TRAME d’AMDEC

Fonction

Mode

Effet local

Effet au niveau supérieur

Effet final

Cause

Gravité initiale

Fréquence initiale

Détection initiale

IPR initial

Action correctives


ＱＲＱ

Gravité finale

Fréquence finale

Détection finale

IPR finale

SE 4 005 – 7

ＱＲＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＶ

Évaluation de la criticité des équipements Métriques et indicateurs de performance

par

Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-ingénieur Docteur ès-sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. 1.1 1.2 1.3 1.4

Typologie des impacts des défaillances critiques ....................... Notions de défaillance critique ................................................................ Classification des secteurs d’activités ..................................................... Classification des défaillances et de leurs conséquences ..................... Recommandations ....................................................................................

2. 2.1 2.2 2.3 2.4

Métriques et indicateurs de performance ...................................... Préambule.................................................................................................. Métriques pour les indicateurs de performance .................................... Données ..................................................................................................... Recommandations ....................................................................................

— — — — —

8 8 9 10 12

3.

Métriques et indicateurs de performance pour les secteurs d’activités conventionnelles ............................ Préambule.................................................................................................. Indicateurs et métriques pour la maintenance ....................................... Indicateurs et métriques liés à la sûreté de fonctionnement ................ Recommandations ....................................................................................

— — — — —

12 12 12 13 15

— — —

16 16 16

—

17

—

19

— —

21 24

—

24

3.1 3.2 3.3 3.4 4.

4.6

Métriques et indicateurs de performance pour les secteurs d’activités dangereuses ..................................... Préambule.................................................................................................. Éléments de terminologie pour les dangers et les risques ................... Métriques et indicateurs de performance pour les installations classés ICPE........................................................... Métriques et indicateurs de performance pour les transports aériens et ferroviaires .............................................. Métriques et indicateurs de performance pour les industries pétrolières et chimiques dangereuses .................................................... Recommandations ....................................................................................

5.

Conclusion...............................................................................................

4.1 4.2 4.3 4.4 4.5

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＴ


SE 4 006 - 3 — 3 — 3 — 4 — 7

Doc. SE 4 006

et article présente les métriques et indicateurs de performance utilisés dans les différents secteurs industriels pour évaluer et/ou contribuer à réduire la criticité des conséquences des défaillances des équipements.

C


ＱＲＳ

SE 4 006 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＶ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

Les responsables des entreprises et les organismes chargés d’établir et de faire appliquer les réglementations doivent impérativement disposer de tableaux de bord pour contrôler l’efficacité des dispositions mises en place pour prévenir ou minimiser les conséquences des défaillances des équipements. Le terme métrique utilisé dans cet article vient de l’anglicisme du mot « metrics » et se réfère aux méthodes de mesure par laquelle l’efficacité d’un processus ou d’un produit peut être évaluée. La grande majorité de ces moyens de suivi a été définie pour quantifier et qualifier les impacts des défaillances critiques sur la rentabilité économique des investissements, la sécurité des biens et des personnes, la disponibilité opérationnelle, le respect des contraintes réglementaires pour les installations dangereuses et l’environnement. Compte tenu du foisonnement des métriques et des indicateurs de performance, un utilisateur non averti a toujours du mal à sélectionner le jeu d’indicateurs le plus pertinent, et cet article a pour but de lui servir de guide. L’analyse approfondie de leurs définitions permet de séparer leurs domaines d’application en deux catégories : d’une part le domaine des secteurs d’activités classiques et non dangereuses pour le législateur, et d’autre part le secteur des activités dangereuses et classées. Deux familles d’indicateurs de performance ont été définies pour chacune de ces catégories. La première famille est conçue pour évaluer les performances calculées à partir des données collectées sur les installations : elle permet d’avoir des informations sur les conséquences des décisions du management prises en amont. Ces indicateurs de performance sont appelés « lagging indicators » dans la terminologie anglo-saxonne et appelés dans cet article « indicateurs d’impact ». La seconde famille concerne des indicateurs liés à des dispositions techniques ou organisationnelles contribuant à terme à réduire la criticité d’une défaillance. Qualifiés de « leading indicators » dans la terminologie anglo-saxonne, ils seront appelés par la suite« indicateurs d’activités ». La notion de criticité d’un équipement a de multiples interprétations, souvent ambigües ; la première partie en proposera une définition. Les défaillances n’ayant pas nécessairement les mêmes conséquences en fonction des secteurs d’activités, une classification des secteurs d’activités conventionnelles et des secteurs d’activités classées dangereuses sera présentée avec les réglementations associées pour cette dernière catégorie. Ensuite, une typologie des défaillances identifiera trois classes de défaillances : organisationnelles, humaines et techniques. Les défaillances organisationnelles et humaines étant prépondérantes, le modèle « Swiss cheese » de James Reason sera développé. Deux méthodes d’amélioration seront brièvement exposées : les méthodes Tripod et ALARM. Ensuite, l’inventaire des impacts des défaillances sera détaillé ; il concerne les impacts sur la sécurité des personnes, l’environnement, la disponibilité, les conséquences financières, l’image de marque et l’intégrité des biens. Enfin, pour les défaillances techniques des équipements, une analyse des causes est proposée : conception, exploitation, maintenance, facteurs organisationnels et humains (FOH) et les facteurs externes. La deuxième partie explique le rôle fondamental des indicateurs de performance pour les dirigeants et les différents responsables d’une entreprise. Les sept étapes de processus d’élaboration d’un indicateur de performance sont décrites dans la seconde partie. Elles concernent la définition des objectifs recherchés à l’aide d’un indicateur, la sélection de l’indicateur de performance, le choix des métriques, la collecte des données brutes, le calcul des valeurs des indicateurs, la définition des actions correctives suite aux valeurs obtenues et sa redéfinition s’il s’avère non pertinent. La troisième partie est consacrée aux applications dans le secteur des activités conventionnelles. Dans la mesure où des normes internationales ont été rédigées pour la maintenance et pour la

SE 4 006 − 2


ＱＲＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＶ _________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

sûreté de fonctionnement, les indicateurs de performance associés seront proposés. La quatrième partie sera dédiée aux activités classées dangereuses. Après un rappel sur les différentes définitions relatives aux dangers et aux risques, le cas des installations classées ICPE en France sera traité. Le cas de la réglementation internationale de l’OACI pour les transports aériens fera l’objet d’un paragraphe particulier, ainsi que le cas des secteurs du transport ferroviaire. Pour les industries chimiques et pétrolières, les pays anglo-saxons se basent sur des recommandations et normes particulières. Les principes de la norme API 754 – Process Safety Performance Indicators de l’American Petroleum Institute seront succinctement décrits. Pour les industries chimiques, les recommandations de l’American Institute of Chemical Engineers (AIChE) feront l’objet de développements. La conclusion énoncera des recommandations pour la mise en place d’indicateurs et de leurs métriques avec également une vue perspective sur les développements en cours.

1. Typologie des impacts des défaillances critiques

geants et de leurs actionnaires est de fournir un retour sur investissements optimisé. Cependant, toute activité industrielle implique des équipements et des personnels pour les exploiter. Les responsables de ces entreprises sont obligatoirement soumis à des réglementations concernant la santé et la sécurité des personnels et le respect de l’environnement. Très souvent, une installation conventionnelle comporte une partie dangereuse soumise à réglementation.

1.1 Notions de défaillance critique Le choix des métriques et des indicateurs de performance, et la collecte des données associées impliquent de définir les notions de criticité et de défaillance critique. En effet, depuis la naissance des premiers concepts de la sûreté de fonctionnement dans les années 1930, de nombreuses définitions ont vu le jour. Dans cet article, la définition de la criticité sera déduite de la norme américaine sur les AMDEC (analyse des modes de défaillance, de leurs effets et de leur criticité) qui a vu le jour le 10 septembre 1949 sous le nom de Military Procedure 1629 (MIL-P-1629) et remise à jour par la Mil-STD 1629A [1] et qui définit la criticité comme étant une « mesure relative des conséquences d’un mode de défaillance et de sa fréquence d’occurrence ». À partir de cette mesure relative, il est possible de définir un seuil au-delà duquel la conséquence sera considérée comme critique. La gravité des conséquences d’un mode de défaillance critique, conformément à cette même norme, prend en considération ses pires conséquences finales : par exemple, mort de personnes, blessures, atteintes aux biens et aux systèmes. Les paragraphes suivants décrivent les typologies des causes et des conséquences des défaillances pour deux familles de secteurs d’activités : les secteurs d’activités conventionnelles et les secteurs d’activités soumises à règlementation.

1.2.2 Secteurs d’activités soumises à règlementation Lorsque des atteintes à la santé et la sécurité des personnes ou à l’environnement sont susceptibles de se produire dans un secteur d’activités donné, des réglementations nationales ou internationales ont été élaborées pour les encadrer. Ainsi, dans le domaine des activités industrielles dangereuses, le ministère de l’Écologie, du Développement durable et de l’Énergie réglemente et fait inspecter les installations classées pour la protection de l’environnement (ICPE) [2]. Les installations classées ICPE sont susceptibles de générer des risques ou des dangers, ou de provoquer des pollutions ou nuisances, notamment pour la sécurité et la santé des riverains et pour l’environnement. Il existe quatre catégories d’installations classées : 1. les installations soumises à déclaration : pour les activités les moins polluantes et les moins dangereuses ; 2. les installations soumises à autorisation : pour les installations présentant les risques ou pollutions les plus importants ; 3. les installations dites « Seveso seuil bas » : cette catégorie correspond au seuil bas de la directive européenne Seveso II ; 4. les installations soumises à autorisation avec servitudes d’utilité publique (AS) : cette catégorie inclut les installations dites « Seveso seuil haut » de la directive européenne Seveso II.

1.2 Classification des secteurs d’activités Les conséquences des défaillances des équipements varient de façon très notable suivant leurs potentialités à induire des risques ou des dangers pour la sécurité et la santé des personnels des entreprises ou des riverains. Pour ces raisons, il est important de différencier le cas des secteurs d’activités conventionnelles de celui des secteurs d’activités présentant des dangers et des risques.

À partir de 2015, la réglementation SEVESO III remplacera la réglementation SEVESO II. Dans le domaine des transports ferroviaires, de nombreux règlements régissent leur sécurité. L’Union européenne [3] a établi le règlement (UE) no 1078/2012 du 16 novembre 2012 concernant une méthode de sécurité commune aux fins du contrôle que doivent exercer les entreprises ferroviaires et les gestionnaires d’infrastructure après l’obtention d’un certificat de sécurité ou d’un agrément de sécurité, ainsi que les entités chargées de l’entretien.

1.2.1 Secteurs d’activités conventionnelles Les secteurs d’activités conventionnelles directement liés à l’industrie représentent environ 80 % de toutes les activités recensées en France. La principale préoccupation de leurs diri-


ＱＲＵ

SE 4 006 – 3


Pour les transports aériens, l’Organisation de l’aviation civile internationale (OACI) est l’organisme qui assure la normalisation internationale des règles de sécurité. La DGAC (Direction générale de l’aviation civile) est chargée de sa transcription dans le droit français [4].

Financières Image de marque

Pour information, l’Autorité de sûreté nucléaire (ASN), réglemente et contrôle la sûreté nucléaire et la radioprotection en France. Les références [SE 3 010] et [SE 12] donnent des informations complémentaires sur la sécurité et gestion des risques et les facteurs organisationnels de la sécurité.

Disponibilité Défaillances • organisationnelles • techniques • humaines Intégrité des biens

Environnement

1.3 Classification des défaillances et de leurs conséquences

Sécurité des personnes

Pour les secteurs d’activités conventionnelles ou classées dangereuses, les défaillances d’origine différentes sont inévitables car les objectifs « zéro défaut », « zéro panne » et « zéro accident » sont irréalisables en pratique. Une étape préalable à la définition des métriques et d’indicateurs de performance consiste à établir une classification des défaillances conduisant à des situations jugées critiques. Elle permettra d’identifier les leviers appropriés pour entreprendre des actions de prévention et d’anticipation de l’occurrence de défaillances. La figure 1 représente les conséquences principales des trois catégories principales de défaillance : – défaillances organisationnelles ; – défaillances humaines ; – défaillances techniques.

Figure 1 – Causes et conséquences des défaillances

majeure et non encore parfaitement résolue concerne les définitions de facteurs humains, d’erreurs humaines et de fiabilité humaine. Ce paragraphe donnera des exemples de définitions les plus appropriées pour une étude de criticité en soulignant qu’elles ne réunissent pas obligatoirement un consensus au sein des communautés scientifiques dans cette discipline. Dans les années 1950 avec l’école des « Human Factors », l’homme était considéré essentiellement comme un élément de défaillance et était fréquemment mis en cause dans l’analyse des catastrophes industrielles et les accidents du travail [5]. Pendant plusieurs décennies, cette conception négative de l’intervention humaine reposait sur une confiance sans faille dans la technique et sur une méconnaissance des sciences humaines. On attribuait presque toujours les causes des accidents aux facteurs humains liés aux erreurs et aux fautes des opérateurs. Grace aux leçons tirées des analyses des grandes catastrophes industrielles (Bhopal, Three Mile Island, Tchernobyl, Piper Alpha, etc.), ce point de vue réducteur a changé notablement pour prendre en compte les facteurs organisationnels dans lequel évolue l’opérateur humain [6]. Cambon [7] dans sa thèse présente les quatre « ères » qui replacent ces évolutions depuis les années 1930 : – l’ère technique : fiabilité des systèmes techniques ; – l’ère de l’erreur humaine : facteur humain ; – l’ère organisationnelle : facteurs organisationnels ; – l’ère interorganisationnelle : culture de sécurité et résilience. La résilience est la capacité d’un système à maintenir ou à rétablir un niveau de fonctionnement acceptable malgré des perturbations ou des défaillances [8]. Aujourd’hui, les facteurs humains et organisationnels (FOH) sont pris en considération dans la majorité des activités industrielles ou de services. Samson [AG 1 520] définit ainsi le facteur humain : « L’homme, ses comportements et ses modalités de fonctionnement, les facteurs internes et externes qui influencent ces comportements. L’incidence de ces comportements sur la qualité et la fiabilité » ou : « L’homme et ses interactions avec les sous-systèmes humains, techniques, sociaux et organisationnels d’un système, le résultat de ces interactions en termes de sécurité et de production ».

Sur la figure 1, les différentes conséquences des défaillances sont représentées, ainsi que leurs interrelations.

1.3.1 Typologie des défaillances Il est important de noter que les défaillances ne font pas l’objet de définitions uniques et il convient de s’assurer de la bonne acceptation de ces concepts au sein d’une étude de criticité particulière. Les paragraphes suivants proposent les définitions les plus communément admises pour les défaillances et leurs conséquences. 1.3.1.1 Défaillances organisationnelles Les défaillances organisationnelles relèvent principalement de problèmes de management car elles mettent en cause les méthodes et les procédures de travail, la communication entre les acteurs, l’organisation des équipes de travail et la fourniture des moyens humains et logistiques. Elles peuvent contribuer de façon indirecte à la défaillance d’un équipement ou à un accident majeur. Ainsi les enquêtes menées, suite aux accidents des navettes Columbia et Challenger, ont pointé du doigt de nombreuses défaillances organisationnelles. Par exemple, une procédure de maintenance inadaptée d’un équipement peut conduire à une défaillance technique. De nombreuses normes et référentiels proposent des systèmes de management pour la qualité, la santé et sécurité au travail, l’environnement, la communication et les relations humaines et le management des risques. Dans la suite de cet article, les normes directement liées à la détermination de la criticité des défaillances feront l’objet de descriptions plus détaillées.

Les facteurs internes relèvent des caractéristiques individuelles de l’opérateur, et les facteurs externes concernent particulièrement l’organisation du travail et l’environnement des conditions de travail. L’erreur humaine peut être considérée comme l’incapacité à atteindre un objectif donné selon une procédure prévue par suite d’un comportement involontaire ou délibéré, ou bien l’erreur est un écart ou une déviation involontaire entre l’action et l’intention.

1.3.1.2 Défaillances humaines Les défaillances humaines représentent dans beaucoup d’industries la source prépondérante de défaillances induisant la majorité des conséquences décrites sur la figure 1. Selon l’Institut de radioprotection et de sûreté nucléaire (IRSN), les défaillances humaines et organisationnelles étaient à l’origine de 85 % des événements significatifs pour la sûreté nucléaire en 2009. Dans le domaine de l’étude des défaillances humaines, une difficulté

SE 4 006 – 4

La fiabilité humaine est l’aptitude d’une entité (individu ou équipe) à effectuer ses tâches de façon sûre, dans les délais et les exigences attendus. Depuis les années 1990, de nouveaux concepts et modélisations ont été introduits pour comprendre pourquoi et comment les


ＱＲＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＶ _________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

cachées pour les opérateurs, peuvent se propager à l’intérieur du système de barrière et conduire à des erreurs actives.

accidents surviennent. Incontestablement, le modèle « Swiss cheese » ou « gruyère » développé par le Professeur James Reason de la Manchester University au Royaume-Uni est actuellement le plus répandu. Ces travaux considèrent que l’erreur humaine n’est plus la cause d’un accident, mais la conséquence d’un environnement organisationnel défaillant [9]. La figure 2 représente le modèle de Reason. Il utilise un système de plaques correspondant à des barrières redondantes qui s’interposent entre le danger et l’accident. L’occurrence d’un accident se produit si toutes les barrières mises en place s’avèrent défaillantes. Les points faibles d’une barrière sont représentés par « trous » d’où le surnom de la méthode « Swiss cheese » ou « gruyère ». L’apparition simultanée de trous dans chacune des barrières peut alors provoquer l’accident. Le chemin ainsi défini entre le danger, les trous et l’accident est alors appelé la « trajectoire accidentelle ». Les travaux de Reason se sont penchés sur les conditions d’apparition de ces trous. Les erreurs actives correspondent aux conséquences d’erreurs commises par les opérateurs de première ligne. Selon son modèle, ces erreurs actives sont les conséquences de mauvaises décisions organisationnelles prises par le management (conception, communication, planification, etc.). Ces dysfonctionnements organisationnels sont appelés « conditions latentes » et sont les sources « d’erreurs latentes ». Ces erreurs latentes,

La figure 3 représente toute la chaîne causale pouvant conduire à un accident. Le modèle initial de Reason a fait l’objet depuis son premier concept de nombreuses modifications pour l’améliorer et le compléter. Parmi ces améliorations, on peut citer la méthode Tripod développée par Cambon et Guarniéri dans le domaine de la sécurité du travail et celle de la méthode ALARM dans le domaine médical. La méthode Tripod [10] repose sur les analyses faites a posteriori sur les rapports d’accidents et d’incidents. Les conclusions de ces analyses permettent de classer les défaillances latentes en un nombre limité de onze facteurs types de risques organisationnels. La méthode ALARM a été développée dans le domaine de la prévention des risques hospitalier par Charles Vincent et son équipe et publiée en 1998 [11]. Elle est inspirée directement du modèle de REASON. Les fondements de la méthode ALARM repose sur les constatations et définitions suivantes : Tout opérateur fait des erreurs, et il est même impossible d’imaginer un opérateur qui n’en fasse pas. Ces erreurs sont « patentes », visibles de tous.

Conditions latentes Barrière Barrière Barrière Barrière

n° 3

DANGER

n° 3

n° 2

n° 1

Erreurs actives Accident

Figure 2 – Modèle « Swiss cheese » à plaques de Reason

Erreurs latentes

Conditions de travail

Erreurs actives

Facteurs : • charge de travail • supervision • communication • outillage • connaissances • aptitude

Actes dangeureux : • oublis • report des tâches • erreurs cognitives (pertes mémoire et fautes) • violations

Barrières/ défenses Accident

Décisions du management Processus organisationnel

Figure 3 – Chaîne causale d’un accident


ＱＲＷ

SE 4 006 – 5


Erreurs latentes

Erreurs patentes

Défenses en profondeur

Pression à l’erreur par défaut d’organisation,de communication ou de conceptions sûre des interfaces

Erreurs et violation par les acteurs

Dont certaines sont érodées par la routine le manque de moyens

Auto détection et récupération

Événement indésirable

Arrêt de progression par une barrière

Pression à Mauvaise Fatigue la production organisation stress interface

Figure 4 – Le modèle ALARM de Vincent

• La sécurité repose sur des « défenses en profondeur » qui sont des procédures organisées pour récupérer les erreurs des opérateurs (aucune de ces procédures ou barrières n’est suffisante pour procurer une sécurité totale, mais leur empilement bloque presque toutes les propagations d’erreurs dans le système. • L’organisation du travail, sa conception et son management par la hiérarchie, pèsent sur la fréquence et le type d’erreur des opérateurs. Mais les dysfonctionnements à ce niveau sont longtemps invisibles : on les appelle des « erreurs latentes ». La méthode ALARM fournit un guide pour retrouver ces erreurs latentes de l’organisation et de son management. La figure 4 illustre les principes et concepts de la méthode ALARM.

fréquente de l’occurrence des défaillances techniques. Ainsi, le choix d’une mauvaise nuance d’un acier entraînera à terme sa rupture par fatigue lors de sollicitations mécaniques répétées.

1.3.1.3 Défaillances techniques

Comme largement développé au paragraphe 1.3.1.2 les facteurs humains opérationnels et humains (FOH) sont des contributeurs majeurs à l’apparition de défaillances techniques. Ainsi, un personnel mal formé ou non habilité pourra endommager un équipement et conduire à la défaillance, ou bien une procédure de maintenance non remise à jour peut engendrer à terme une défaillance technique. Un inventaire exhaustif de toutes les causes liées aux FOH est impossible à réaliser en pratique. Chaque secteur d’activités dispose de son propre référentiel lié aux FOH. Les facteurs extérieurs qui conduisent à des défaillances techniques correspondent à des agressions externes non prévues lors de la conception de l’équipement. Parmi ces facteurs on peut prendre en compte :

Une exploitation de l’équipement ne respectant les spécifications techniques d’exploitation est une source de défaillance classique. Par exemple, si l’opérateur d’un pont roulant manipule une charge dépassant la valeur limite de conception, cela induira sa destruction structurelle. Il est important de noter que dans ce cas, le facteur humain y joue également un rôle important. Une politique de maintenance mal maîtrisée et/ou inefficace est une source majeure de défaillances. À titre d’exemple, une mauvaise périodicité du graissage d’un palier conduit inévitablement à une défaillance.

Les défaillances techniques sont définies dans la discipline de la sûreté de fonctionnement comme est la cessation de l’aptitude d’une entité à accomplir une fonction requise (norme NF EN 13306 Maintenance – Terminologie de la maintenance) [12]. La défaillance est observée à travers son mode et résulte d’une cause initiale. Elle se caractérise donc par le couple cause-mode. Le mode de défaillance est la manière par laquelle la défaillance est observée et correspond à une perte totale ou partielle de fonctions assurées par l’équipement. La cause potentielle de la défaillance représente l’événement initial susceptible de conduire au mode de défaillance. L’effet est la conséquence du mode de défaillance sur le bon fonctionnement du moyen de production ou sur l’utilisateur final du moyen. La figure 5 représente les facteurs qui contribuent à l’occurrence des défaillances techniques. Une mauvaise conception des équipements conjuguée à la sélection de matériaux inadaptés ou trop fragiles est une cause

– les environnements d’exploitation en dehors des plages spécifiées (humidité, pression atmosphérique, température, vibrations, champs électriques et magnétiques, poussières, atmosphère corrosive) ; – les sabotages ou actes de malveillance ;

Facteurs influants sur les défaillances techniques

Conception

Exploitation

Maintenance

Facteurs organisationnels et humains (FOH)

Figure 5 – Causes des défaillances techniques

SE 4 006 – 6


ＱＲＸ

Facteurs externes

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＷ

Évaluation de la criticité des équipements Méthodologie globale par

Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès Sciences Professeur associé des universités en retraite Université Paris Est Créteil , France

1. 1.1 1.2

Présentation de la méthodologie...................................................... Objectifs ..................................................................................................... Étapes de la démarche méthodologique ................................................

2. 2.1

Méthodes d’analyse fonctionnelle associées aux outils ............ Rôle et objectifs .........................................................................................

— —

4 4

3.

Sélection de la caractéristique mesurant la criticité de l’équipement ..................................................................................... Préambule.................................................................................................. Caractéristiques qualitatives et quantitatives ......................................... Recommandations ....................................................................................

— — — —

7 7 9 9

4.1 4.2 4.3

Typologies des données de fiabilité pour la détermination de la criticité........................................................................................... Préambule.................................................................................................. Données de fiabilité .................................................................................. Recommandations ....................................................................................

— — — —

10 10 10 11

5. 5.1 5.2 5.3 5.4

Typologie des banques de données de retour d’expérience ..... Préambule et historique ........................................................................... Typologie des données contenues dans les banques de données ...... Principales banques de données de fiabilité .......................................... Recommandations ....................................................................................

— — — — —

11 11 11 12 12

6. 6.1 6.2 6.3 6.4

Différentes méthodes d’évaluation de la criticité ....................... Préambule.................................................................................................. Méthodes d’évaluation de la criticité par jugements d’experts ........... Méthodes analytiques d’évaluation de la criticité .................................. Méthodes de réduction de la criticité des conséquences des défaillances.........................................................................................

— — — —

12 12 12 17

—

22

7.

Conclusion...............................................................................................

—

24

3.1 3.2 3.3 4.


SE 4 007 - 3 — 3 — 3

Doc. SE 4 007

et article présente la méthodologie globale pour évaluer la criticité des conséquences des défaillances d’un équipement d’un système complexe industriel. Cette évaluation est d’une importance stratégique pour les dirigeants en leur fournissant une vision instantanée des performances de leurs entreprises pour mettre en œuvre ensuite des actions de progrès si cela s’avère nécessaire. La méthodologie préconisée dans cet article repose sur sept étapes principales.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪ｡ｮｶｩ･ｲ＠ＲＰＱＵ

C


ＱＲＹ

SE 4 007 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＷ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

La première étape insiste sur le besoin de définir les objectifs précis d’une étude de criticité qui doivent être validés et entérinés par les dirigeants de l’entreprise. En effet, ces évaluations de la criticité peuvent concerner des aspects économiques, stratégiques, financiers, réglementaires, techniques, organisationnels. Elles pourront servir à l’établissement d’indicateurs de performance et/ou à l’élaboration de tableaux de bord. La deuxième étape propose une organisation du groupe de travail regroupant tous les acteurs indispensables pour mener à bien l’étude de criticité. En fonction des objectifs définis dans la première étape, la troisième étape correspond à la définition précise du système, de ses équipements et de ses limites. La quatrième étape décrit les principales méthodes d’analyse fonctionnelle. Ces méthodes sont indispensables pour réaliser des arborescences fonctionnelles et/ou matérielles d’un procédé industriel complexe. L’objectif de ces méthodes est d’aider à comprendre les raisonnements en visualisant le cheminement entre les causes et les différents effets des défaillances et à définir le niveau approprié du critère. Les méthodes FAST, SADT®, IDEF0 et Apte® feront l’objet de descriptions succinctes. La cinquième étape propose une sélection des métriques et indicateurs de performances les plus appropriés aux objectifs recherchés. Les indicateurs d’impacts « lagging indicators » et les indicateurs d’activité « leading indicators » feront l’objet de descriptions spécifiques. Parmi le grand foisonnement de métriques et d’indicateurs de performance « clés », les échelles de cotation de la gravité et de la fréquence d’occurrence, les ordres de priorité de risque (RPN) et la courbe de Farmer seront exposés. Il sera fait également référence aux principales normes internationales définissant des indicateurs de criticité organisationnels, économiques et techniques. La sixième étape fournit une typologie des données de fiabilité nécessaires à la construction des métriques de mesure de la criticité. Ces données étant par nature des variables aléatoires, seules des estimations statistiques sont possibles. Les méthodes d’estimation ponctuelles ou par intervalles sont décrites et les principes des estimations des lois de probabilité par les approches fréquentistes et bayésiennes y sont rappelés. La septième étape établit un inventaire des banques internationales de données de fiabilité (MIL-HDBK-217F, OREDA, NSWC, Telcordia Issue 3, RIAC 217Plus, IEC TR 62380, FIDES, CHINA GJB/z 299B, Weibull Database Barringer) en mentionnant le degré d’obsolescence de certaines d’entre elles. Il y sera souligné que pratiquement toutes ces banques donnent des taux constants de défaillance suivant la loi exponentielle. La liste des autres banques sera mentionnée par souci d’exhaustivité. Dans la septième étape, les principaux outils pour évaluer la criticité des défaillances des équipements sont présentés en suivant pour chaque méthode la trame suivante : origine, principe, avantages et inconvénients. La première famille d’outils est consacrée aux méthodes qualitatives à base des jugements des experts quand les données de fiabilité ne sont pas disponibles (brainstrorming, Delphi, Abaque de Régnier®, méthodes PIEU et Méride, Méthode de la MBF (maintenance basée sur la fiabilité et le diagramme d’Ishikawa). La seconde famille est dédiée aux outils quantitatifs d’évaluation de la criticité en soulignant les métriques utilisées. Seront passés en revue : l’APR (analyse préliminaire des risques), l’AMDEC (analyse des modes de défaillance de leurs effets et de leur criticité), l’HAZOP (HAZard and OPerability study) utilisé pour l’analyse des risques industriels, What-If (Que se passe-t-il si ?), les arbres de défaillances, les blocs diagrammes de fiabilité. Pour guider le lecteur sur le choix le plus adapté à leur problématique, une grille comparative des méthodes est ensuite proposée. Dans l’éventualité où la criticité des défaillances s’avérerait inacceptable, on recense les méthodes les plus utilisées pour réduire leurs conséquences (barrières de sécurité, arbres d’événements, nœud papillon, méthode MOSAR, méthode LOPA (Layer Of Protection Analysis). En conclusion, des recommandations seront émises pour s’assurer que les résultats obtenus sont conformes aux objectifs recherchés et de nouvelles approches seront mises en perspective.

SE 4 007 − 2


ＱＳＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＷ _________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

1. Présentation de la méthodologie

1.2.1 Définitions des objectifs de la détermination de la criticité Les définitions des objectifs recherchés sont primordiales dans une étude de la détermination de la criticité car elles conditionnent le contenu et le niveau de détail de toutes les étapes suivantes. Elles doivent également prendre en compte la structure des systèmes étudiés, leurs environnements et leurs interactions avec d’autres systèmes. La criticité d’un équipement peut être utilisée en fonction de la sévérité des conséquences des défaillances, comme les impacts sur :

1.1 Objectifs Suivant les secteurs d’activités (industriels, aéronautiques, transports, médicaux, agroalimentaires, pharmaceutiques, nucléaires, etc.) plusieurs dizaines de méthodes ont été mises au point et appliquées avec succès. L’objet de cet article est de présenter la méthodologie à mettre en œuvre pour obtenir une évaluation pertinente de la criticité.

– la vie des personnes internes ou externes à l’entreprise ; – l’intégrité des installations ; – les pertes de production ou de qualité ; – la réglementation sur l’environnement ; – le respect de la réglementation en matière de risques ; – les coûts de maintenance ; – l’image de marque de l’entreprise.

Un procédé industriel, représenté sur la figure 1, est un ensemble complexe d’équipements, logiciels, personnels et processus d’utilisation organisé de manière à satisfaire les besoins et remplir les services attendus dans un environnement donné [1].

Les utilisateurs des résultats d’une étude de la détermination de la criticité peuvent rentrer dans les catégories suivantes :

Parmi toutes les définitions de la criticité disponibles, celle de la norme CEI 60812 [2] sera retenue : La criticité, est la combinaison de la sévérité d’un effet et de la fréquence de son apparition, ou d’autres attributs d’une défaillance, comme une mesure de la nécessité d’un traitement ou d’une atténuation.

1) les organismes chargés de faire respecter les réglementations ; 2) les dirigeants des entreprises qui souhaitent disposer d’indicateurs de performance ; 3) les concepteurs d’installations industrielles nouvelles ; 4) les responsables de maintenance.

1.2 Étapes de la démarche méthodologique

La criticité servira de métrique pour définir des indicateurs de performance d’activités ou d’impact. Suivant [SE 4 006] les indicateurs d’impact (lagging indicator ) permettent de constater et de mesurer les impacts des décisions organisationnelles ou techniques prises auparavant dans l’entreprise par le management. Ils fournissent des « photographies instantanées » des performances réelles et sont ainsi appelés indicateurs « réactifs », a posteriori. Les indicateurs d’activités (leading indicators ), par opposition, ont été développés pour identifier si les entreprises ont mis en place des mesures permettant de corriger de façon proactive des indicateurs d’impact jugés non satisfaisants.

Quel que soit l’outil final retenu pour définir la criticité des équipements, la démarche méthodologique rassemblant un ensemble de méthodes se décompose en plusieurs étapes : – définition des objectifs de la détermination de la criticité ; – mise en œuvre du groupe de travail ; – définitions du système à étudier et de ses limites ; – analyse fonctionnelle de l’équipement ;

Une fois les objectifs définis, il convient de mettre en place un groupe de travail spécifique qui réalisera les études de criticité et qui rendra compte de l’avancement des travaux au niveau des dirigeants.

– sélection de la caractéristique mesurant la criticité de l’équipement ; – établissement de la typologie des données de fiabilité ;

1.2.2 Mise en œuvre du groupe de travail

– établissement de la typologie des banques de données de retour d’expérience ;

Pour être aussi exhaustive que possible, l’analyse de la criticité doit être menée au sein d’un groupe de travail réunissant des spécialistes des installations étudiées.

– sélection et mise en œuvre de la méthode d’évaluation de la criticité.

De manière générale, les outils d’analyse de la criticité sont mis en œuvre dans le cadre de groupe de travail animé par le responsable du projet. La composition conseillée du groupe d’experts techniques contribuant à l’étude sur la criticité peut être, à titre d’exemple, la suivante :

Équipements Personnels

– responsable du projet ; – personne chargée de la conception ; – personne chargée de la sécurité des personnes ; – spécialiste du fonctionnement du procédé ; – personne chargée de la maintenance ; – spécialiste du contrôle commande ; – personne travaillant en production ; – personne chargée de la réglementation du travail ; – personne chargée de la réglementation sur les risques et l’environnement.

PROCESSUS INDUSTRIEL Techniques

Logiciels

Pour être efficace, une équipe ne doit pas comporter plus de sept ou huit personnes au total.

Figure 1 – Schéma d’un procédé industriel


ＱＳＱ

SE 4 007 – 3


1.2.3 Définition du système à étudier et de ses limites

1.2.8 Sélection et mise en œuvre de l’outil d’évaluation de la criticité

Pour éviter toute ambiguïté sur le domaine de validité de l’étude de criticité, la définition du système et ses limites physiques doivent être clairement identifiées. Il est indispensable de fournir :

Dans cette étape, il faut sélectionner un ou plusieurs outils pour mener l’analyse de la criticité. Parmi les dizaines d’outils développés depuis plusieurs décennies, il est possible de proposer une classification basée sur les modes de raisonnement liant les causes aux conséquences des défaillances : méthodes inductives (Bottom-up ) des causes aux conséquences ou déductives (Top-down ) des conséquences aux causes.

– une description détaillée sur les composants de l’équipement avec leurs caractéristiques, leurs rôles et leurs fonctions ; – les entrées fournies par des systèmes « serviteurs » (électricité, air comprimé, etc.) ; – les sorties du système vers des systèmes extérieurs « utilisateurs » ; – le niveau et la nature des redondances ; – les phases de la mission du système (arrêt, marche continue, nombre de sollicitations, etc.) ; – la topologie de l’environnement du système.

En absence de données de retour d’expérience, les méthodes basées sur les jugements des experts peuvent être mises en œuvre. Le paragraphe 6 donnera les principes des techniques suivantes d’élicitation d’experts : brainstrorming, Delphi, Abaque de Régnier®, méthodes PIEU et Méride, méthode de la MBF (maintenance basée sur la fiabilité et le diagramme d’Ishikawa). En présence de données de retour d’expérience, la majorité des outils propose des indicateurs quantifiés. Ce chapitre donnera un résumé très succinct des principes des méthodes analytiques (APR, AMDEC, HAZOP, What-if, arbres de défaillances, blocs diagrammes de fiabilité) et les principes généraux des méthodes de réduction de la criticité des conséquences (barrières, arbres d’événements, nœud papillon, MOSAR, LOPA).

1.2.4 Analyse fonctionnelle du système Les objectifs de l’analyse de criticité sont très souvent rattachés à un niveau particulier dans l’architecture d’une installation industrielle : usine, unités de production, systèmes, composants. Différentes méthodes d’analyse fonctionnelle ont été mises au point pour aider les experts à visualiser la chaîne causale entre les causes et les effets des défaillances au niveau retenu. Compte tenu de l’importance de ces techniques de modélisation fonctionnelles et matérielles utilisées dans la majorité des outils quantitatifs ou qualitatifs, elles feront l’objet du paragraphe 2 de cet article.

2. Méthodes d’analyse fonctionnelle associées aux outils

1.2.5 Sélection de la caractéristique mesurant la criticité de l’équipement

2.1 Rôle et objectifs

Les objectifs définis dans la première étape n’indiquent pas souvent les modalités précises de sélection de la caractéristique permettant de mesurer la criticité de l’équipement. Il convient alors de rechercher les métriques et les caractéristiques les plus pertinentes satisfaisant les objectifs recherchés. La grande majorité des caractéristiques est élaborée de façon quantitative à partir de données numériques disponibles dans les banques de données réalisées à partir de la collecte des données de retour d’expérience. De nombreuses normes internationales et guides de recommandation ont vu le jour depuis plusieurs décennies pour sélectionner la caractéristique la plus adaptée. Pour guider le lecteur dans sa recherche de la caractéristique la plus pertinente le paragraghe 3 sera consacré à cette problématique.

Les méthodes d’analyse fonctionnelle, par leurs caractères systématiques et exhaustifs, représentent une garantie formelle pour décomposer une installation industrielle en niveaux fonctionnels et matériels nécessaires pour identifier les modes de défaillances et leurs conséquences sur les objectifs opérationnels retenus pour l’installation ou l’équipement concerné. L’analyse fonctionnelle consiste à recenser, caractériser, ordonner, hiérarchiser et éventuellement valoriser les fonctions. Les méthodes d’analyse fonctionnelle permettent : – en cours de conception de décrire le besoin d’un utilisateur en termes de fonctions, en faisant abstraction des solutions pour le réaliser ; – pour un équipement existant de décrire sa structure en termes de fonctions, en prenant en compte les composants utilisés.

1.2.6 Typologie des données de fiabilité

Pour chaque fonction, des critères d’appréciation et de performance sont attribués.

Dans l’éventualité où la métrique ou l’indicateur de performance retenu possède un caractère quantitatif, il est indispensable d’avoir accès aux données sur le comportement des équipements. Comme ces données sont brutes et correspondent à des grandeurs aléatoires, l’application des méthodes statistiques d’estimation des paramètres ou des lois de fiabilité devient incontournable. Le paragraphe 4 présentera les bases des techniques d’estimation fréquentiste ou bayésienne.

Les résultats des analyses fonctionnelles sont matérialisés par trois éléments : le cahier des charges fonctionnel (CDCF), le bloc diagramme fonctionnel (BdF) et le tableau d’analyse fonctionnelle (TAF). Le lecteur trouvera les détails dans la norme NF-EN1325-avril 2014 [3].

2.1.1 Arbres fonctionnels et matériels 1.2.7 Typologie des banques de données de fiabilité et retour d’expérience

Certains outils et logiciels utilisés pour la détermination de la criticité se basent sur des arborescences fonctionnelles ou matérielles qui se déduisent directement de la structure du système. À titre d’exemple, la figure 2 représente le schéma d’un système de production et de distribution d’air comprimé qui a pour fonction principale de fournir de l’air comprimé à 50 bar avec un débit de 30 m3/h. Les contraintes sur la qualité de l’air comprimé concernent : la quantité d’eau par kilogramme d’air inférieure à 1,5 g, la concentration de gaz hydrocarbonés inférieure à 50 ppm

Cette étape vise à sélectionner et à caractériser les banques de données de retour d’expérience disponibles au niveau international et qui seront les plus pertinentes pour les études de criticité. Le paragraphe 5 fournira les caractéristiques des principales banques de données de fiabilité et une description de leur contenu.

SE 4 007 – 4


ＱＳＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＰＷ _________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

et des tailles des particules inférieures à 5 µ. À partir des fonctions des composants représentés sur le schéma, il est possible de réaliser des arborescences fonctionnelles et matérielles avec une approche intuitive comme indiqué sur les figures 3 et 4.

Entrée d'air Chapeau pare-pluie

L’inconvénient de cette approche est de ne pas être totalement exhaustive contrairement aux méthodes FAST, SADT®, IDEF0 et APTE®.

Filtre entrée d'air Capteur de pression

Groupe moto compresseur

P1 C

2.1.2 Méthode FAST La méthode FAST (Function Analysis System Technique ) [4] est couramment employée en matière d’analyse de la valeur. Elle permet : – d’ordonner les fonctions identifiées ; – de vérifier la logique fonctionnelle ; – d’avoir une bonne connaissance du produit ou du système étudié ; – de prendre conscience de l’importance relative des éléments ou des structures vis-à-vis des fonctions qu’ils assurent ; – de mettre en évidence des synchronisations entre les fonctions indépendantes.

Soupape de sécurité

AP Automate programmable

V1

S1

Sécheur 1

Vannes

V3

S2

V2

V4

Sécheur 2

AH Réseau de distribution P2 R

Le diagramme FAST se construit de gauche à droite en plaçant à gauche la fonction principale réalisée par l’équipement et ensuite en se déplaçant vers la droite ou vers le bas. Les liaisons entre blocs fonctionnels sont établies en répondant à trois questions : – pourquoi ou dans quel but la fonction existe-t-elle ? – comment la fonction d’ordre supérieur est-elle réalisée avec des fonctions d’ordre inférieur ? – quand est-il nécessaire de disposer simultanément de plusieurs fonctions ?

Vannes Alarme humidité Capteur de pression

Réservoir

Le système est représenté à l’aide d’un diagramme comportant trois régions délimitées par des traits pointillés verticaux :

RV

1) la partie centrale correspond au domaine fonctionnel propre au système ;

Regard de visite

2) dans la partie gauche, on trouve les fonctions principales du système ;

Vanne de purge V5

3) dans la partie droite, on trouve les ressources extérieures au système, ressources qui, si elles n’existaient pas, ne modifieraient pas la capacité du système à satisfaire les fonctions.

Figure 2 – Schéma d’une installation de production d’air comprimé

Chapeau pare-pluie Filtre Capteur pression P1 Tuyauterie

Sous-système entrée d’air/filtration

Moto compresseur Automate programmable Soupape de sécurité Tuyauterie

Système de compression Sous-système Ensemble compressueur

Sécheur n° 1 Sécheur n° 1 Vannes 1, 2, 3, 4 Tuyauterie Capteur d'alarme humidité

Système de séchage

Réservoir d’air Vanne de purge V5 Capteur presssion P2 Regard de visite Tuyauterie

Système de stockage distribution

Système de production air comprimé

Figure 3 – Arbre matériel du système de production d’air comprimé


ＱＳＳ

SE 4 007 – 5


Admettre l’air extérieur Comprimer l’air à 50 bars Contenir l’air Distribuer l’air

Fournir de l’air comprimé à 50 bars

Fournir et distribuer de l’air comprimé

Enlever l’humidité dans les sécheurs Enlever l’humidité dans le réservoir d’air Enlever l’humidité dans les pots de condensation

Enlever l’humidité de l'air Enlever l’humidité de l’air et les polluants Enlever les polluants de l’air

Figure 4 – Arbre fonctionnel du système de production d’air comprimé

Intérieur du système Pourquoi ?

Comment ?

Fonction 2 Fonction principale à satisfaire par l’équipement

Fonction 1

Fonction 5

CHEMIN CRITIQUE

Fonction 3

Fonction supports externes

Fonction 6

Quand ? Fonction 4

Figure 5 – Diagramme fonctionnel d’un FAST

– les datagrammes, où les données sont générées par des fonctions de génération, utilisées par des fonctions d’utilisation, sous la surveillance des activités de contrôle.

Les fonctions sont ordonnées et représentées dans des « boîtes » rectangulaires. Le graphe se construit progressivement sur une ligne baptisée « chemin critique ». Au-dessus ou en dessous d’une fonction, on placera les fonctions qui se produisent dans le temps, ou en même temps (on se pose la question « Quand ? ») comme l’indique la figure 5.

SADT® définit une décomposition fonctionnelle hiérarchisée entre les différents niveaux de détail, la décomposition à un niveau donné doit faire apparaître des fonctions ou des données qui sont à leur tour décomposées (approche descendante top-down ). Pour la validation, on doit s’assurer que les entrées d’une fonction d’un niveau donné doivent impérativement se retrouver dans sa décomposition, et celle-ci ne doit produire que les sorties de la fonction de niveau supérieur.

2.1.3 Méthode SADT® La méthode SADT® (Structure Analysis Design Technique ) est une méthode graphique d’analyse et de conception des systèmes importants et complexes. Elle met en œuvre deux représentations complémentaires : – les actigrammes, où les fonctions transforment les données d’entrées en données de sortie, suivant les contraintes imposées pour cette transformation, en utilisant certains moyens ou supports de l’activité ;

SE 4 007 – 6

L’accent est porté tout d’abord sur l’analyse et la spécification du « Quoi ? » (ce que le système doit faire) et ensuite sur les considérations sur le « Comment ? » (avec quels moyens on réalise le « Quoi ? »). SADT® utilise un seul type de boîte rectangulaire dont chacun des quatre côtés possède une signification particulière (figure 6).


ＱＳＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＲＵＲＵ

Méthode B pour la spécification et la réalisation de logiciels et de systèmes critiques prouvés par

Jacques VALANCOGNE IMdR Membre du Conseil scientifique du CSFRS (Conseil supérieur de la Formation et de la Recherche stratégiques)

1.

Complexité croissante des systèmes et des logiciels – Les logiciels critiques et leur processus de réalisation ................

SE 2 525 - 2

2.

Petit panorama des méthodes de fiabilisation des logiciels .......

—

3

3.

Principes de la méthode B .....................................................................

—

4

4.

Méthode B et processus de réalisation des logiciels .....................

—

15

5.

Avantages actuels de la méthode B vis-à-vis d’autres méthodes ...................................................................................

—

15

6.

Limites de B ...............................................................................................

—

16

7.

B système ou B événementiel ...............................................................

—

17

8.

Autres aspects de B .................................................................................

—

19

9.

Applications industrielles ......................................................................

—

21

10. Perspectives d’avenir ..............................................................................

—

22

11. Conclusions sur la méthode B ..............................................................

—

22


Doc. SE 2 525

’objectif de cet article ne vise pas à ce que le lecteur puisse tout connaître sur la méthode B ; ce serait impossible et prétentieux. The B-BOOK – Assigning Programs to Meanings de Jean-Raymond ABRIAL, l’inventeur de la méthode B, qui est à la base du langage B, possède déjà plus de 750 pages et est basé sur de nombreuses connaissances en mathématiques et en logique ; de plus, de nombreuses formations sur la méthode B existent aujourd’hui. L’objectif se limitera à donner des éclairages pour mieux porter une appréciation sur une telle méthode en essayant d’en comprendre les principaux concepts. Il n’est donc pas question de trop développer les aspects mathématiques, bien que ceux-ci soient essentiels. Le propos restera toujours assez général, en simplifiant volontairement parfois pour rester compréhensible.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪ｡ｮｶｩ･ｲ＠ＲＰＱＲ

L


ＱＳＵ

SE 2 525 – 1


MÉTHODE B POUR LA SPÉCIFICATION ET LA RÉALISATION DE LOGICIELS ET DE SYSTÈMES CRITIQUES PROUVÉS ______________________________________

1. Complexité croissante des systèmes et des logiciels – Les logiciels critiques et leur processus de réalisation

les-ci doivent être interprétées par l’homme et traduites manuellement et progressivement en des exigences plus précises qui tiennent compte d’un certain nombre de contraintes. Des optimisations de l’architecture sont effectuées à l’aide de regroupements de fonctions (architecture fonctionnelle) puis de modules logiciels (architecture logicielle) par exemple. Quand on passe au langage de programmation, un certain nombre de vérifications peuvent être effectuées par des outils. La traduction du langage de programmation en langage machine s’effectue à l’aide d’un outil qui peut générer des erreurs si celui-ci n’a pas un niveau de garantie suffisant, et qui doit être cohérent avec l’objectif que l’on s’est fixé concernant le logiciel. Les transformations et allocations doivent être suivies et vérifiées tout au long du projet. Il existe des outils de traçabilité, mais ils ne garantissent pas les transformations elles-mêmes. Heureusement, lorsque le logiciel est réalisé, on peut le tester afin de vérifier s’il répond au fonctionnel demandé. Les tests effectués sont d’abord unitaires (chaque module du logiciel est testé unitairement par rapport à sa spécification), puis on passe aux tests d’intégration une fois que les différents modules d’une entité sont intégrés par rapport à la spécification de cette dernière, qui est elle-même intégrée pour former un ensemble plus vaste jusqu’à l’intégration complète de l’ensemble du logiciel sur le calculateur de développement. Des tests portent ensuite sur le logiciel et son calculateur (tests sur calculateur cible avec simulateur ou directement in situ ), puis sur l’ensemble des calculateurs jusqu’à l’intégration complète du système.

Depuis des décennies, la complexité des systèmes et des logiciels s’est accrue pour différentes raisons : d’une part à cause de la puissance des calculateurs qui a sans cesse augmenté (tant en vitesse qu’en capacité mémoire), mais aussi à cause de la demande croissante des industriels et des clients qui, en général, demandent toujours plus de fonctionnalités parce que le logiciel ne semble pas avoir de limite, étant immatériel (il suffit d’écrire du code, seules les idées pourraient manquer, et les frais ne sont importants que pour la conception et la réalisation, et de plus en plus faibles lorsqu’il s’agit de multiplier les exemplaires). La majorité des capteurs, des actionneurs et des interfaces contiennent aujourd’hui du logiciel. Un autre aspect important est l’utilisation de l’informatique dans le monde industriel (automatismes, postes de commande, process), le développement des télécommunications, l’utilisation de réseaux avec des calculateurs répartis et les systèmes d’information auxquels une disponibilité élevée est exigée. Cela nécessite d’y associer des redondances qui doivent être gérées convenablement si l’on veut éviter des problèmes, par perte d’informations rendant le système global incohérent, lorsqu’il y a des commutations suite à des défaillances.

Deux problèmes de fond existent. Le premier est lié à la manière dont les scénarios de tests sont générés. Ceux-ci sont issus des spécifications, ce qui signifie que les tests unitaires et d’intégration ne sont valables que si la spécification correspondante est correcte. Or, celle-ci est issue de transformations manuelles de la spécification d’origine, certes vérifiées. Une erreur dans une spécification intermédiaire se traduira par le fait que le test, si celui-ci est réalisé convenablement, est correct. Il reste malgré tout le test fonctionnel global, mais celui-ci ne peut être exhaustif ; c’est le deuxième problème. En effet, sur des systèmes complexes, il est impossible de parcourir tous les chemins (cela pourrait demander un nombre excessif d’années pour certains systèmes dont la combinatoire de scénarios possibles est extrêmement élevée). En général, on teste au moins chaque branche et on complète par des tests plus ou moins agressifs bien ciblés en couvrant le domaine des entrées. Cela ne garantit souvent pas qu’une erreur n’a pas pu s’introduire dans le processus de conception du logiciel. Reste enfin le réel problème de la qualité de la spécification de départ sur lequel nous reviendrons.

Des logiciels sont devenus critiques parce qu’ils sont utilisés pour supporter des fonctions de sécurité, pouvant en cas de défaillance (erreur) porter atteinte aux hommes, aux biens, à l’environnement, ou parce qu’ils sont utilisés pour supporter des applications qui peuvent entraîner des pertes financières importantes, la désorganisation d’entreprise ou de territoire entier. On peut citer leur importance dans le secteur du transport, de l’énergie, des télécommunications, des processus de fabrication (chimique, chaîne d’assemblage, etc.), dans le secteur bancaire ou de la prévision (météorologie) qui ne sont pas sans lourdes conséquences si certaines erreurs apparaissent lors de l’utilisation de ces logiciels. De plus, le fait de réaliser des fonctions en logiciel à la place de matériel a compliqué certaines applications industrielles parce que la part des fonctions de conception nécessaires est devenue prépondérante par rapport à celle des fonctions principales proprement dites.

1.1.2 Aspect cohérence d’ensemble et interactions entre éléments Quand un logiciel est important, peut se poser le problème de la cohérence d’ensemble et d’interaction entre éléments. Les éléments doivent conserver un certain niveau d’indépendance de manière à minimiser les interactions, source souvent de complexité et donc d’erreurs à la conception.

1.1 Principales difficultés de réalisation d’un logiciel critique La réalisation d’un logiciel critique ou complexe n’est pas sans poser un certain nombre de problèmes théoriques que nous allons aborder dans les paragraphes suivants.

1.1.3 Aspect modification et réutilisation de composants

1.1.1 Aspect traçabilité des exigences

Quand il est nécessaire d’effectuer une modification sur un logiciel, qu’elle soit liée à des évolutions du besoin ou de la technique (traitement d’obsolescence ou diminution des coûts de maintenance par exemple) ou qu’elle soit corrective (suite à la découverte d’erreurs), se pose le problème de mesurer l’impact de la modification sur le reste du logiciel (et du système). Cela n’est pas a priori évident car cela dépend beaucoup des architectures fonctionnelles et logicielles retenues et du niveau d’indépendance entre les éléments modifiés et leurs variables, et les autres éléments et leurs variables. Souvent, pour éviter de se poser la question à laquelle il serait difficile de répondre facilement, on fait des tests de

Tout au long du processus de conception/réalisation du logiciel, peuvent se glisser des erreurs, les difficultés se situant en premier lieu au niveau de la spécification des exigences, puis au niveau des transformations successives ou de l’allocation sur plusieurs éléments logiciels à mesure que la solution se concrétise, enfin au niveau du code, installé dans les mémoires des calculateurs, qui traduit la solution en langage machine compréhensible par le calculateur. Un premier problème existe au niveau des exigences de départ car elles doivent être exhaustives par rapport au problème posé et cohérentes entre elles (non contradictoires) ; ensuite, cel-

SE 2 525 – 2


ＱＳＶ


______________________________________ MÉTHODE B POUR LA SPÉCIFICATION ET LA RÉALISATION DE LOGICIELS ET DE SYSTÈMES CRITIQUES PROUVÉS

1.3 Analyses de sécurité et exigences de sécurité

non-régression complets comme sur le logiciel d’origine. Cela ne s’applique pas toujours si les logiciels deviennent importants ou sur des systèmes avec des logiciels répartis sur des réseaux de calculateurs. Malgré tout, par mesure de précaution, on évite, dans la mesure du possible, de modifier un logiciel critique si celui-ci ne présente pas d’anomalie qui pourrait avoir de graves conséquences.

Lorsque l’on traite des fonctions de sécurité, il est nécessaire d’effectuer des analyses de sécurité associées à l’environnement, aux principes utilisés, aux architectures fonctionnelles et techniques et aux défaillances internes au système (techniques ou humaines) afin de générer une liste d’exigences de sécurité qui devront être respectées par le système à réaliser.

1.2 Lien entre niveau de qualité du processus (méthodes et outils) et SIL (Safety Integrity Level )

2. Petit panorama des méthodes de fiabilisation des logiciels

Comment fait-on pour garantir le niveau de sécurité d’un logiciel ? Peut-on en mesurer le niveau ? Pour des logiciels critiques, compte tenu du niveau de « fiabilité » exigé, il n’est pas possible d’effectuer des mesures de fiabilité en comptabilisant les erreurs détectées. En effet, cela nécessiterait une expérimentation sur une période extrêmement longue. Pour tester un seul exemplaire logiciel, dont on vise 10–n/heure (en moyenne une erreur sur 10n heures de fonctionnement), cela nécessite au moins n × 10n heures de fonctionnement sans erreur. Les modèles de fiabilité prévisionnelle sont inadaptés pour les niveaux recherchés dans les logiciels critiques. De plus, la mise en parallèle de plusieurs logiciels, comme on le fait avec du matériel, n’apporte probablement pas les gains que l’on pourrait espérer. La redondance est plutôt un élément supplémentaire de confiance, sans diminuer l’effort porté sur chacun des logiciels élémentaires. Il est difficile d’évaluer ces gains. En effet, le taux d’erreurs communes à plusieurs logiciels en parallèle n’est pas négligeable, même avec des équipes diversifiées. Il serait possible d’obtenir des résultats valables si on avait deux systèmes totalement différents (capteurs, actionneurs) mais il resterait pour certains systèmes l’algorithme lié à des principes physiques attachés à la nature même du problème à traiter. Il est à noter que le terme fiabilité n’a pas une grande signification en logiciel s’agissant pour celui-ci d’erreurs systématiques et non d’erreurs aléatoires comme pour de nombreuses défaillances du matériel ; des erreurs latentes ne peuvent donc se révéler que dans un certain contexte. On a vu des erreurs se révéler plus de dix ans après une mise en service parce que certaines combinaisons de défaillances sont apparues.

Il existe de nombreuses méthodes (et outils associés) qui permettent d’améliorer la fiabilité des logiciels. Ces méthodes sont basées sur un formalisme parfois complexe qui autorise un niveau plus ou moins pertinent de vérification. Elles peuvent porter sur une phase particulière du cycle de développement ou sur l’ensemble des phases, sur certaines propriétés (statiques ou dynamiques) ou sur l’ensemble des propriétés du logiciel. L’effort est fonction bien entendu du champ sur lequel porte les méthodes. Un contrôle de type (comme le font la plupart des langages de programmation) est d’un apport moindre qu’une analyse statique, qui elle-même est moins efficace qu’une vérification par modèle ou qu’une abstraction automatisée. Le maximum de confiance est obtenu sur des logiciels développés avec un langage sur lequel on peut effectuer directement la preuve de théorèmes. Pour éviter des erreurs sur le logiciel, on peut, pour chaque phase de la conception, disposer de plusieurs principes de solutions. Nous avons vu que les erreurs sont issues des transformations que l’on effectue successivement sur les exigences (transformations directes et/ou allocations). Pour vérifier qu’une transformation/allocation faisant passer de l’état i à l’état i + 1 a bien été effectuée, on peut : 1) comparer, en utilisant la transformation inverse du résultat, T (i + 1) · T1 (i + 1) à l’état initial T (i) ; 2) comparer, en utilisant une transformation analogue mais présentant une forme différente (un modèle de la transformation), T (i + 1) à T′ (i + 1) ; 3) s’assurer que la transformation est intrinsèquement sûre en y apportant une preuve mathématique.

Dans tous les secteurs industriels ont été développées les notions très voisines de SIL (Safety Integrity Level) dans le domaine du transport ferroviaire et de l’industrie, d’ASIL (Automotive Safety Integrity Level ) dans le domaine automobile ou de DAL (Development Assurance Level) dans le domaine aéronautique. Un SIL est lié au niveau de confiance que l’on peut avoir dans un système. Ce niveau de confiance est associé au niveau de qualité du processus de conception/réalisation pour éviter les erreurs systématiques (principalement pour le logiciel ou des circuits intégrés complexes) et est associé à un niveau de probabilité par heure (et par ensemble) d’obtenir une défaillance contraire à la sécurité pour les erreurs aléatoires (principalement pour le matériel). Un processus de conception/réalisation est caractérisé par une organisation, des méthodes, des outils et des techniques spécifiques pour répondre au niveau de confiance exigé. Plus un logiciel est critique, plus on doit disposer d’une organisation robuste et des méthodes et outils qui permettent d’éviter les erreurs ou de les détecter si elles apparaissent malgré tout. Par exemple, dans le secteur ferroviaire, la norme EN50128 précise que pour un logiciel SIL3 et SIL4, les méthodes formelles sont hautement recommandées, et cela a tendance à se généraliser à l’ensemble du monde industriel.

Mais à une étape donnée de la réalisation du logiciel, il existe des méthodes plus ou moins complètes qui prennent en compte partiellement ou totalement les caractéristiques ou propriétés de l’exigence transformée. Certaines méthodes concernent plus l’aspect dynamique et comportemental, d’autres l’aspect statique dans lequel certaines se limitent à vérifier le typage (de variable par exemple), d’autres des caractéristiques générales (non division par zéro par exemple), d’autres enfin portent sur des caractéristiques plus spécifiques à l’application. D’autres méthodes sont basées sur la génération automatique de code et/ou la génération automatique de tests de conformité à partir d’un modèle issu de la spécification. Les outils de génération doivent être bien entendu qualifiés, et le modèle est souvent de plus bas niveau. Pour les tests, une difficulté existe entre les cas de tests abstraits générés et les données concrètes.

Nota : la norme européenne EN 50128 (IEC62270) est aussi appelée norme CENELEC (Comité européen de normalisation électrotechnique) « Application ferroviaire, système de signalisation, de télécommunication et de traitement – Logiciels pour systèmes de commande et de protection ferroviaire ». Elle complète la norme 50126 (IEC62278) qui définit la specification et la démonstration de la FDMS (fiabilité, disponibilité, maintenabilité et sécurité) équivalent du RAMS en anglais (Reliability, Availability, Maintenability, Safety) des systèmes ferroviaires dans leur ensemble, et la norme 50129 (pas d’équivalent IEC) qui définit les conditions d’acceptation et d’approbation de la sécurité du matériel électronique. La norme générique qui chapote l’ensemble des normes des équipements électroniques industriels est l’EN61508.

Pour développer un logiciel, deux catégories d’approches alternatives existent : 1) celles visant l’absence de défaut par vérification mathématiques formelles ; 2) celles permettant la détection de défauts par des logiciels diversifiés.


ＱＳＷ

SE 2 525 – 3


MÉTHODE B POUR LA SPÉCIFICATION ET LA RÉALISATION DE LOGICIELS ET DE SYSTÈMES CRITIQUES PROUVÉS ______________________________________

tes inhérentes à l’application que l’on en fait. Par exemple, partir d’une spécification très détaillée ne conduit pas au même résultat que d’entamer le processus du logiciel par une spécification de haut niveau. Si une approche est du type formel sur une partie du processus (par exemple, appliquer la méthode formelle uniquement à la spécification pour la « blinder ») sera meilleure qu’une approche ne l’utilisant pas, mais moins bonne qu’une approche qui l’utilisera à toutes les étapes de la conception. Cela ne signifie d’ailleurs pas qu’une approche partielle ne soit pas suffisante dans un certain nombre de cas ou que l’on ne puisse pas appliquer une démarche limitée aux seules parties critiques d’un logiciel.

En ce qui concerne la première approche, il existe un foisonnement de méthodes. Cette première approche peut être classée en deux grandes catégories : 1) vérification par modèle ; 2) analyse statique. La vérification par modèle est basée le plus souvent sur une représentation de la spécification sous forme de diagrammes transitions/états (automates à états finis, réseaux de Petri) qui permettent la vérification d’un certain nombre de propriétés, à condition de simplifier le modèle et les propriétés si l’on ne veut pas avoir une explosion combinatoire.

Les notations utilisées peuvent être orientées vers des données de type algébrique (Larch, OBJ et Specware) ou modèles (VDM, Z et B), vers le comportement et les interactions (Statecharts, SCR et CSP), ou vers le langage de programmation (ADA, C). Il peut aussi y avoir des notations mixtes comme RSL qui cumule VDM, CSP et l’algébrique, ou Lustre qui regroupe à la fois le langage de programmation et l’aspect comportemental.

Nota : le réseau de Petri est un graphe, avec places et transitions, non déterministe développé au départ par Carl Adam Petri. Un cas particulier est l’automate à état fini, chaque transition ayant une seule entrée et une seule sortie.

La vérification peut être automatisée au niveau de la syntaxe par un compilateur (comme pour le langage de haut niveau), pour des propriétés génériques (absence de blocage ou déterminisme dans des automates, division par zéro, overflow...) ou des propriétés spécifiques (par comparaison de deux énoncés formels, par comparaison des traces de deux automates, par preuve de raffinement en B...) à l’application (par comparaison de deux énoncés formel, comparaison). À partir du modèle, on peut aussi générer du code et des tests. Il est possible pour certains modèles d’effectuer des simulations (par exemple, prototypage par SADT complété le plus souvent par des automates à états finis), et ainsi de faire des tests au plus tôt de la spécification.

Les techniques de vérification peuvent être la preuve avec le prouveur B, PVS et Caveat qui utilisent des axiomes et des règles d’inférence, le model-checking qui permet une exploration exhaustive du graphe d’exécution pour SVM et SPIN, la résolution de contraintes par instanciation et propagation avec Design Verifier, miniSAT, Yices, Ilog Solver, l’interprétation abstraite (analyseur de code) par la vérification d’une abstraction sûre du système pour une propriété donnée par l’implantation d’un algorithme pour le calcul de l’abstraction avec ASTREE, Absint et Polyspace. SCADE, qui intervient au niveau de la conception détaillée avec un seul niveau d’abstraction, associe un simulateur, un générateur de code, un outil de vérification formelle qui vérifie le modèle globalement et l’analyse de couverture au niveau du modèle. Enfin, Altarica possède un langage de haut niveau adapté au domaine de la sûreté de fonctionnement et peut générer en particulier des arbres de défaillance et des séquences.

Nota : SADT (Structured Analysis and Design Technic) est une méthode de représentation d’analyse fonctionnelle et non de conception comme son nom l’indique.

Se pose ici le problème de la conformité de l’implantation par rapport au modèle. On peut classer dans la vérification de modèle l’approche par langages synchrones qui traitent de systèmes réactifs avec des contraintes de synchronisme et de flots de données, dont le langage Lustre en est une illustration (par exemple dans l’outil SCADE) ou les outils de model-checking.

3. Principes de la méthode B

Nota : Lustre est un langage de programmation synchrone de type déclaratif et par flots de données développé conjointement par Paul Caspi et Nicolas Halbwachs au laboratoire VERIMAG de Grenoble SCADE (Safety Critical Application Development Environment) est un environnement de développement intégré diffusé par Esterel Technologies fondé sur le langage Lustre. Model checking est une famille de techniques de vérification automatique de propriétés des systèmes dynamiques par comparaison avec un modèle.

Il y a seulement quelques décennies, l’unique formalisme utilisé dans un logiciel était celui du code, qui était obligatoire si l’on voulait que la machine comprenne ce qu’on lui demandait d’exécuter ! Pour donner une définition simple, la méthode B est une méthode pour spécifier, concevoir, coder et prouver des logiciels de manière rigoureuse et progressive.

L’analyse statique s’effectue à partir du code source du logiciel et s’attache à détecter des erreurs qui se produiraient à l’exécution. Elle complète ou remplace des tests effectués sur le code source d’un logiciel. Le contrôle de type qui vérifie la syntaxe d’un modèle et l’abstraction automatisée, qui vise à établir un pont entre vérification de modèle et preuve de théorème, sont d’autres méthodes. La plupart des méthodes ci-dessus visent à révéler et éliminer des défauts introduits durant la production du logiciel, soit par essence comme l’analyse statique, soit en raison de leur limitation comme la vérification de modèle, alors que le développement formel vise à éviter leur introduction. Le niveau de confiance croît en fonction de l’effort depuis le contrôle de type jusqu’à la preuve par théorème, en passant par l’analyse statique, la vérification de modèle et l’abstraction automatisée.

3.1 Principes généraux de la méthode B Cette méthode utilise un langage mathématique unique tout au long du processus de conception afin de permettre la vérification de chaque étape à l’aide de preuves mathématiques. La difficulté de la vérification de toutes les transformations qui font passer de la spécification initiale au code (voir B0) qui sera transformé dans un langage classique, se trouve par là même résolue. C’est une méthode progressive, le langage lui-même prenant en compte l’aspect preuve, un modèle supplémentaire n’est donc pas nécessaire.

La deuxième approche, par diversification logicielle, si elle est utilisée seule, n’apporte pas d’amélioration sensible du niveau de confiance parce que des erreurs communes sont toujours possibles au niveau de parties délicates, sauf si l’on travaille à partir de deux systèmes totalement diversifiés quant aux principes utilisés au niveau des actionneurs et des capteurs pris au sens large, et en modifiant complètement la manière d’effectuer les traitements (algorithme, états/transitions du système, etc.).

La méthode B est donc plus qu’un langage de programmation car elle introduit en elle-même la possibilité de vérification. En effet, il n’est pas nécessaire de réaliser une modélisation supplémentaire et d’effectuer une comparaison pour vérifier si ce qui a été fait est correct. Bien appliqué (nous verrons ce que cela signifie), B est un langage intrinsèquement sûr. On peut comparer le concept utilisé dans la méthode au concept de sécurité intrinsèque (false-safe ) qui a cours au niveau de la sécurité du matériel.

Les approches purement processus, fondées sur une organisation et un ensemble de méthodes et d’outils associés aux différentes phases de conception/réalisation, ne peuvent apporter qu’une confiance subjective, alors que les approches formelles donnent une confiance objective, avec toutefois, pour ces dernières, les limi-

SE 2 525 – 4

Nota : la sécurité intrinsèque suit la règle suivante : toute défaillance ou ensemble de défaillances qui pourrait se révéler contraire à la sécurité doit être détectée par la conception même du système de manière à positionner l’état du système dans un état sûr. Pour un logiciel, la preuve, si elle ne peut être faite, montre que celui-ci a probablement une anomalie.


ＱＳＸ


______________________________________ MÉTHODE B POUR LA SPÉCIFICATION ET LA RÉALISATION DE LOGICIELS ET DE SYSTÈMES CRITIQUES PROUVÉS

Les bases mathématiques sur lesquelles est fondée la méthode apportent la rigueur et la notation proposée élimine les ambigüités bien connues du langage naturel, source d’erreur parfois très grave. La vérification mathématique de chaque étape est si étroitement imbriquée qu’il est impossible de séparer les choix de conception du processus de vérification garantissant la justesse vis-à-vis des spécifications initiales.

Le set comprehension : si P est un prédicat, on peut définir un ensemble par compréhension comme l’ensemble de tous les objets d’un ensemble E qui vérifient le prédicat P (la formule P ). On note cet ensemble {x ∈ E | P (x )}. Le choice (v ) est un élément particulier de l’ensemble v.

3.2.2 Relations binaires La relation binaire est une relation p (un ensemble de paires) depuis un ensemble u vers un ensemble v (noté p ∈ u ↔ v). On peut définir la relation inverse de p de u vers v qui est p–1 de v vers u, la notion de domaine dom (p ) (le membre a ∈ u de la paire {a ֏ b } , avec b ∈ v, ne figure qu’une seule fois) et de distance (range ) ran (p ) d’une relation [ran (p ) est le domaine de la relation inverse qui est égal à dom (p–1)], de composition relationnelle (p ; q ou p · q ), de relation d’identité [id (u )] qui est la relation de l’ensemble sur lui-même, des formes plus restrictives de relations, l’image ([]) d’un ensemble sous une relation, l’overriding d’une relation par une autre (<+), le produit direct (⊗) de deux relations, les deux projections pour des paires ordonnées et le produit parallèle de deux relations (||). Ces concepts permettent de développer un calcul relationnel très riche qui facilite la preuve.

La méthode B introduit un langage rigoureux pour représenter les programmes et leurs propriétés en utilisant le concept de substitution généralisée. Elle utilise la notion simple de machine abstraite qui est assez voisine de la notion d’objet, mais qui, en plus, intègre la notion d’invariant assurant la préservation de propriétés des variables d’état de la machine, quelles que soient les opérations appliquées.

3.2 Bases mathématiques La méthode B conçue par J.-R. ABRIAL, qui avait participé à la conception de Z dans les années 1980, est fondée sur les travaux d’un certain nombre de mathématiciens ou de scientifiques : par exemple ceux de E.-W. DIJKSTRA, C.-A.-R. HOARE, R. FLOYD, C.-B. JONES, C. MORGAN et Jifeng He. Ces travaux font eux-mêmes suite à ceux d’A.-M. TURING.

3.2.3 Fonctions C’est un cas particulier de relation où il n’existe pas deux points à distance qui peuvent être en relation avec un seul point du domaine : f (a) est unique (s ֏ t ) . Plus simplement, une fonction est une relation telle que chaque élément a une image au maximum. On peut définir aussi des fonctions totales (domaine = s ) et partielles (domaine inclus dans s ), des injections partielles (fonction partielle de s à t dont l’inverse est une fonction partielle de t à s ), des surjections partielles (fonction partielle de s à t dont la distance = t ) ou des bijections partielles (surjection partielle et injection partielle). Les injections, surjections et bijections peuvent être aussi totales. On peut aussi définir les concepts d’abstraction fonctionnelle (appelée aussi Abstraction Lamda) et d’évaluation fonctionnelle. Il existe là aussi un certain nombre de théorèmes. Aux constructions de fonction peuvent être aussi associées des vérifications de type. Il existe aussi toute une liste de propriétés associées (monotonicité, inclusion, lois d’égalité, lois d’adhésion, etc.).

Nota : Hoare, puis Floyd et Dijkstra ont développé les premiers l’idée de preuve des programmes. Cela nécessitait de les représenter en se donnant des règles et des méthodes de preuve. Hoare raisonnait sur les valeurs des variables apparaissant dans les programmes, les fonctions étant vues comme des transformateurs de prédicats.

Pour prouver un logiciel, il faut le soumettre à une analyse mathématique ; cela nécessite que chaque construction de la notation utilisée par le langage ne soit pas seulement syntaxiquement correcte, mais, ce qui est le plus important, reçoive une définition axiomatique très précise. La notation doit être capable d’aider non seulement à produire des descriptions formelles, mais aussi à exprimer et à prouver des théorèmes. Le formalisme de modélisation s’appuie sur plusieurs concepts : la théorie des ensembles, la logique des prédicats du premier ordre et le langage de substitutions généralisées, composantes que nous allons présenter brièvement.

3.2.1 Notation ensembliste

3.2.4 Objets mathématiques

La notation ensembliste rend possible l’utilisation d’objets de haut niveau, tels les ensembles, les relations et les fonctions pour des quantifications du premier ordre, qui sont indispensables pour spécifier à un certain niveau d’abstraction des logiciels. Nous verrons que pour B Système, il faut encore aller plus loin. La théorie des ensembles permet aussi de manipuler de manière contrôlée la négation : le complément d’un ensemble est encore un ensemble. En logique classique, la négation d’un prédicat pourrait correspondre à une propriété trop large, ce qui ne serait pas très intéressant pour l’utilisation que l’on veut en faire au niveau des preuves. La théorie des ensembles permet aussi, très souvent, d’éliminer les quantificateurs. La syntaxe est une extension de ce qui sera vu dans la suite du texte en ajoutant des expressions qui appartiennent à un ensemble, les ensembles eux-mêmes et un certain nombre d’opérations sur ces ensembles, notamment le produit cartésien de deux ensembles : Set × Set, le power-set (ensemble des parties) : ⺠ (Set ), le set-comprehension (ensemble par compréhension) : { | }, choice(v) et l’ensemble constant BIG, l’inclusion d’ensemble (⊆, ⊂). Des définitions et des axiomes peut être déduit un certain nombre de propriétés classiques (réflexivité, transitivité, inclusion, etc.).

Un certain nombre d’objet supplémentaires sont encore nécessaires. On peut citer les ensembles finis, les nombres naturels, les séquences finies et les arbres finis. Ils utilisent tous la même méthode inductive basée sur le fixpoint theorem de Knaster et Tarski. Cela permet d’unifier complètement ces constructions. En mathématique, les objets avec des définitions circulaires sont fréquemment utilisés ; par exemple, ajout d’un simple élément à un ensemble fini déjà donné (cas des nombres naturels, d’une séquence ou d’un arbre). À partir de là, sont définis la notion de minimum d’un nombre, les fonctions récursives sur un nombre naturel, les opérations arithmétiques (addition, multiplication et exponentiation, soustraction, division, logarithme), la réitération d’une relation, le cardinal d’un ensemble fini (nombre d’éléments de l’ensemble), les entiers, le principe d’induction, le principe d’induction forte (si une propriété tient pour un nombre n sous l’hypothèse qu’elle tienne pour chaque nombre naturel m strictement plus petit que n, alors la propriété P tient pour tout nombre naturel n ). Il est possible de définir également récursivement la taille d’une séquence, la concaténation de deux séquences, l’insertion d’un élément à la fin d’une séquence, la composition généralisée d’une séquence de relations, la somme et le produit d’une séquence d’entiers. La définition des arbres étiquetés (ou numérotés) et les arbres binaires numérotés servent à construire d’autres types d’arbres. Il est possible d’effectuer des opérations récursives sur un arbre et d’effectuer des preuves par induction.

Nota : le produit cartésien de deux ensembles v et w est l’ensemble constitué par toutes les paires ordonnées dont les deux éléments sont respectivement des éléments de v et w. Le power-set ⺠ (s ) (ou ensemble des parties) d’un ensemble s est l’ensemble dont les élémens sont tous des sous-ensembles de s.


ＱＳＹ

SE 2 525 – 5

ＱＴＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＲＰＶＵ

Concept de de´fense en profondeur : contribution a` la sećurite´ des ICPE par

Emmanuel GARBOLINO Docteur, HDR Maıˆtre assistant, MINES ParisTech, CRC (Centre de recherche sur les risques et les crises)

et

Franck GUARNIERI Docteur, HDR Maıˆtre de recherches, MINES ParisTech, CRC (Centre de recherche sur les risques et les crises)

1.

Motivations pour la transposition du concept de de´fense en profondeur dans l’industrie.....................................................

2.

Formalisation du concept de de´fense en profondeur dans le nucleáire ............................................................................. Du technique a` l’organisationnel ....................................................... Pre´requis et cadre d’imple´mentation d’une de´fense en profondeur Importance des niveaux de protection ..............................................

2.1 2.2 2.3 3. 3.1 3.2

3.3 3.4 4. 4.1

4.2

4.3

5.

Strate´gie de transposition pour les activite´s industrielles .... Un cadre re´glementaire structurant .................................................. Tentatives de transposition ................................................................ 3.2.1 Les industries europeénnes .................................................... 3.2.2 Les transports .......................................................................... 3.2.3 Le re´seau de transport d’e´lectricite´ ........................................ 3.2.4 La suˆrete´ des hoˆpitaux et des laboratoires de recherche sur la sante´ .............................................................................. 3.2.5 L’informatique .......................................................................... Me´thodologie de transposition pour les ICPE .................................. Contributions majeures de la transposition ...................................... Exemple de transposition de la DEP dans l’industrie de proce´de´s ...................................................................................... Contexte geńe´ral de l’installation ...................................................... 4.1.1 Description de l’installation .................................................... 4.1.2 Fonctionnement de l’installation ............................................ 4.1.3 Environnement de l’installation .............................................. Exemple d’un sceńario d’accident ..................................................... 4.2.1 Analyse des dispositifs de sećurite´ sous l’angle de la de´fense en profondeur ................................................... 4.2.2 Bilan ......................................................................................... La DEP pour formaliser le retour d’expe´rience d’accidents ............. 4.3.1 Contexte geńe´ral ..................................................................... 4.3.2 Description du sous-syste`me implique´ dans l’accident ......... 4.3.3 Identification des causes techniques, organisationnelles et structurelles de l’accident ................................................... 4.3.4 Bilan ......................................................................................... Conclusion : une de´marche organisationnelle de maıˆtrise des risques industriels ...................................................................

Pour en savoir plus..................................................................................

SE 2 065 – 2 — — — —

2 3 3 4

— — — — — —

5 5 5 5 6 6

— — — —

6 6 7 7

— — — — — —

8 8 8 8 8 8

— — — — —

9 10 10 10 11

— —

11 11

—

12

Doc. SE 2 065

’origine du terme « de´fense en profondeur » est lieé au domaine militaire, notamment dans le but d’organiser les fortifications et de´ployer les troupes sur le territoire pour contrer les tentatives d’agression de tous ordres. Les rećits d’historiens relatent qu’une technique de de´fense en profondeur avait e´te´

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＱＲ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＱＴＱ

SE 2 065 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＲＰＶＵ CONCEPT DE DE´FENSE EN PROFONDEUR : CONTRIBUTION A` LA SEĆURITE´ DES ICPE ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

utiliseé vers 2900 avant J.-C. a` Hie´rakonpolis en E´gypte, fondeé sur un dispositif de de´fense mettant en jeu deux murailles paralle`les et inde´pendantes, renforçant la protection de cette citeé. Ce dispositif e´tait comple´te´ par une organisation particulie`re des troupes qui beńe´ficiaient elles-meˆmes de la protection qu’offraient les murailles. Le but d’un tel dispositif e´tait d’obliger l’assaillant a` rencontrer plusieurs barrie`res et lignes de de´fenses successives afin de l’affaiblir et de ralentir sa progression dans la ville. Cette strate´gie de´fensive a e´te´ par la suite reprise par le domaine nucleáire dans le but de prote´ger les ope´rateurs, la population et l’environnement de tout rejet de radioe´le´ments. Elle s’est d’abord appuyeé sur la structuration de trois barrie`res physiques organiseés selon trois niveaux de protection. Puis, au fur et a` mesure des travaux en suˆrete´ nucleáire, cette strate´gie a inte´gre´ des aspects organisationnels. Aujourd’hui, le concept de de´fense en profondeur repose sur l’organisation de moyens de pre´vention des risques, de protection de leurs conse´quences et de sauvegarde a` la fois techniques, structurels et organisationnels agence´s selon cinq niveaux de protection. L’objectif de cet article est donc de comprendre, dans un premier temps, comment la de´fense en profondeur est de´finie dans le nucleáire, sur quels principes repose-t-elle et quel est son mode d’application. Dans un second temps, la transposition de ce concept et son inte´reˆt pour la maıˆtrise des risques industriels sont e´tudie´s, notamment a` l’aide de deux exemples.

Cependant, cette circulaire a e´te´ abrogeé par celle du 28 dećembre 2006 et celle du 10 mai 2010 et, de`s lors, le concept n’est plus apparu dans ces dernie`res. Il s’agit donc d’une premie`re tentative d’inte´gration du concept de de´fense en profondeur dans la re´glementation des ICPE, mais cette dernie`re n’a pas e´te´ suivie par la suite. Malgre´ ce constat, l’effort de transposition de ce concept dans l’industrie semble toujours justifie´ en raison de la rigueur qu’impose l’e´valuation de la gestion des risques des ICPE. Mais avant d’e´valuer l’inte´reˆt de cette transposition, il convient d’approfondir la de´finition de ce concept.

1. Motivations pour la transposition du concept de de´fense en profondeur dans l’industrie L’accident d’AZF, survenu le 21 septembre 2001 a` Toulouse, a e´te´ le moteur de changements importants au niveau des pratiques et de la re´glementation française pour la pre´vention et la gestion des risques lie´s aux activite´s industrielles. La Commission d’enqueˆte parlementaire dirigeé par François Loos et Jean-Yves Le Deáut a` la suite de cet accident a publie´ un rapport dans lequel apparaissent 90 recommandations pour ame´liorer la sećurite´ des activite´s industrielles et technologiques en France [1]. Parmi ces recommandations, la treizie`me prećonise « la multiplication des prećautions pour la suˆrete´ industrielle en vue de la mise en œuvre geńe´raliseé du concept de de´fense en profondeur ». De`s lors, ce concept a e´te´ repris dans diverses e´tudes et rapports de groupes de re´flexion associant industriels, chercheurs, autorite´s publiques, etc. A` la suite de ces travaux, une circulaire a e´te´ publieé le 25 juin 2003 concernant les principes geńe´raux des e´tudes de dangers des installations classeés, dans laquelle l’utilisation du concept de de´fense en profondeur est proposeé. Il s’agit, a` notre connaissance, du seul texte sur les ICPE (installations classeés pour la protection de l’environnement) ou` ce concept fut clairement de´fini et ou` son application fut demandeé. En effet, le paragraphe 9 de cette circulaire, qui traite des « points importants relatifs a` la de´marche d’analyse et de hie´rarchisation des risques », prećise que l’analyse des risques repre´sente le point central de l’e´tude de danger. Dans cette optique il convient de « recenser et dećrire, pour chacun des sceńarios d’accident majeur au sens de l’arreˆte´ ministe´riel du 10 mai 2000 identifie´, les e´le´ments de maıˆtrise des risques permettant une de´fense en profondeur a` savoir : – les mesures de pre´vention adopteés a` la conception et lors des modifications pour en re´duire la probabilite´ d’occurrence ; – les dispositions de surveillance et de conduite appliqueés pour l’exploitation afin d’anticiper les accidents ; – les mesures de protection et d’intervention pre´vues pour en limiter la gravite´ des conse´quences sur les populations et sur l’environnement ou pour en ralentir la cine´tique ».

SE 2 065 – 2

2. Formalisation du concept de de´fense en profondeur dans le nucleáire D’abord utilise´ dans le domaine militaire pour assurer la protection du territoire et des places fortes, le concept de de´fense en profondeur a ensuite e´te´ applique´ dans le nucleáire civil de`s les anneés 1960, dans le but de formaliser la politique de suˆrete´ des centrales aux E´tats-Unis, puis dans les autres pays nucleárise´s. L’objectif de ce concept est d’assurer la protection du personnel, de la population et de l’environnement contre l’e´mission de matie`res radioactives hors du reácteur ou de la centrale. Comme le souligne Jacques Libmann [3], « le concept de de´fense en profondeur n’est pas un guide d’examen d’une installation associeé a` une solution technique particulie`re comme un ećhelonnement de barrie`res particulie`res, mais une me´thode de raisonnement et un cadre geńe´ral permettant d’examiner plus comple`tement l’ensemble d’une installation, tant pour la concevoir que pour l’analyser ». Ainsi, les principales me´thodes employeés dans l’industrie nucleáire pour l’e´tude des risques engendre´s par ce type d’activite´ ont pour objectif d’e´valuer la suˆrete´ d’une installation. Cette e´valuation proce`de par l’e´tude des conditions de fonctionnement de la centrale selon une ećhelle croissante de criticite´ des e´veńements, depuis les situations normales jusqu’aux situations accidentelles graves. Elles permettent alors d’e´valuer la de´fense en profondeur d’une installation en mesurant la performance des moyens de pre´vention, de protection et de gestion de crise mis en œuvre.


ＱＴＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＲＰＶＵ ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– CONCEPT DE DE´FENSE EN PROFONDEUR : CONTRIBUTION A` LA SEĆURITE´ DES ICPE

2.1 Du technique a` l’organisationnel

explicitement a` la mise en place de syste`mes physiques de protection de la centrale, du personnel, de l’environnement et des populations externes (gaine du combustible, cuve du reácteur etc.) ; – la notion de « ligne de de´fense » s’adresse aux moyens humains, organisationnels et structurels (consignes de sećurite´, proce´dures, syste`mes de de´tection, syste`mes de protection actifs, ergonomie des interfaces homme/machine, etc.) de suˆrete´ de la centrale ; – la notion de « niveau de protection » correspond a` l’agencement des barrie`res et des lignes de de´fense selon cinq objectifs structure´s suivant la gravite´ de l’aleá et de l’atteinte a` l’inte´grite´ de l’installation. Ces niveaux de protection doivent nećessairement eˆtre aussi inde´pendants que possible entre eux pour e´viter leur de´faillance simultaneé en cas d’accident : ils sont parfois de´finis diffe´remment selon les pays et les exploitants, mais ils recouvrent en geńe´ral les meˆmes objectifs. Le de´ploiement des barrie`res et des lignes de de´fense dans ces niveaux de protection est aussi fonde´ sur les principes de redondance, d’inde´pendance et de comple´mentarite´.

Initialement, la de´fense en profondeur e´tait focaliseé sur la partie mate´rielle de la centrale, celle mettant en jeu la pre´vention des de´faillances techniques, ce qui rejoint le domaine de la suˆrete´ de conception et de construction. Elle s’articule encore aujourd’hui autour de trois barrie`res physiques inde´pendantes (figure 1) comprenant la gaine du combustible nucleáire, la cuve du reácteur et l’enceinte de confinement [2] a` [5]. Mais apre`s l’accident de Three Mile Island (TMI) survenu le 28 mars 1979 aux USA, la prise en compte des facteurs humains et organisationnels comme e´le´ments de suˆrete´ s’est imposeé. En effet, l’une des conclusions majeures de la Commission pre´sidentielle sur l’accident de Three Mile Island [6] rapporte que « pour pre´venir des accidents nucleáires aussi graves que celui de Three Mile Island, des changements fondamentaux seront nećessaires au niveau de l’organisation, des proce´dures, et des pratiques… ». La de´fense en profondeur dut ainsi e´tendre le champ de son influence, en prenant en compte les erreurs humaines et les de´faillances organisationnelles et mate´rielles de tout type.

Ces notions permettent ainsi d’inventorier les moyens de suˆrete´ de la centrale et de les organiser pour assurer la de´fense en profondeur de l’installation. Ces notions repre´sentent le cadre conceptuel permettant l’application de la de´fense en profondeur dans la mesure ou` des pre´requis en matie`re de suˆrete´ ont e´te´ e´tablis.

En 1988, deux ans apre`s l’accident de Tchernobyl, l’INSAG (International Nuclear Safety Advisory Group), groupe de travail constitue´ aupre`s de l’IAEA (International Atomic Energy Agency), publia un nume´ro spećial intitule´ « Defence in depth in nuclear safety » [4]. Dans cet ouvrage de re´fe´rence qui fut reé´dite´ en 1996, la de´fense en profondeur est de´finie et peut eˆtre traduite comme suit : « Toutes les activite´s de sećurite´, tant organisationnelles que comportementales, ou celles lieés a` l’e´quipement, sont sujettes a` des couches superposeés de mesures, de sorte que si une de´faillance se produit, elle doit eˆtre compenseé ou corrigeé sans causer de dommages aux individus ou au public dans son ensemble. Cette ideé de multiples niveaux de protection est le point central de la de´fense en profondeur ».

2.2 Pre´requis et cadre d’imple´mentation d’une de´fense en profondeur Ces pre´requis sont de´terminants car sans eux, il n’est pas possible de pre´tendre mettre en place une strate´gie de de´fense en profondeur d’une installation. Ces pre´requis concernent notamment la de´finition d’une politique de suˆrete´ par l’exploitant sur les bases du « conservatisme » (premier niveau de de´fense : conception, construction, de´finition des ope´rations normales, etc.), la conduite d’une de´marche d’« assurance qualite´ » (a` chaque niveau de de´fense), et la mise en œuvre de moyens pour construire une « culture de suˆrete´ » instaureé au niveau des responsables, des unite´s et des individus.

L’INSAG prećise aussi que les niveaux hie´rarchise´s de protection ont pour objectif de maintenir l’efficacite´ des barrie`res physiques placeés entre le mate´riel radioactif et le personnel, la population et l’environnement. Ainsi, trois notions fondamentales sont rattacheés au concept de de´fense en profondeur : – la notion de « barrie`re » est la notion la plus fre´quemment associeé dans les propos relatifs a` la de´fense en profondeur. Dans le cadre de l’industrie du nucleáire, le terme de barrie`re correspond

La de´marche de suˆrete´ des INB (installations nucleáires de base) commence par l’identification des risques et l’e´valuation de leur importance. L’e´valuation des risques concerne l’e´tude des conditions de fonctionnement de la centrale selon une ećhelle croissante de criticite´ des e´veńements, depuis les situations normales jusqu’aux situations accidentelles graves. En France, l’approche de´terministe et l’approche probabiliste sont utiliseés paralle`lement. L’approche de´terministe suppose que l’incident ou l’accident se produit et qu’il faut ramener l’installation a` un niveau acceptable de risque. Il convient alors d’e´valuer si les actions, les e´quipements ou les proce´dures caracte´risant la de´fense en profondeur de l’installation remplissent bien leurs objectifs de pre´servation des niveaux de protection. L’e´tude probabiliste de suˆrete´ (EPS) consiste, a` partir de donneés de fiabilite´s fournies par des bases de donneés de constructeurs et de retour d’expe´rience d’exploitation, a` quantifier la probabilite´ d’occurrence d’un e´veńement redoute´ selon des e´le´ments du syste`me. La prise en compte du facteur humain est e´tablie a` la fois pour des actions positives et pe´joratives de la suˆrete´. Sa quantification repose sur les travaux internationaux de mode´lisation du comportement humain face a` des situations diverses via le retour d’expe´rience en exploitation ou en simulation.

Enceinte de confinement

Cuve du réacteur

Gaine du combustible

En comple´ment des analyses de risques, il est demande´ par les autorite´s que l’exploitant proce`de a` l’e´valuation des justifications de suˆrete´ pour de´montrer que les mesures qu’il a mises en œuvre permettent d’atteindre les objectifs de suˆrete´ et qu’elles sont conformes a` la re´glementation. Par ailleurs, le suivi de la suˆrete´ de la centrale est aussi effectue´ par l’exploitant qui, graˆce a` l’apport des e´tudes de suˆrete´, de´finit des re`gles geńe´rales d’exploitation qui inte`grent les diffe´rents niveaux de la de´fense en profondeur. Parmi ces re`gles sont de´finis les programmes de controˆle de la centrale et les essais pe´riodiques permettant de valider la suˆrete´ d’exploitation de la centrale. Ces essais contribuent a` ve´rifier l’absence d’e´volution de´favorable des caracte´ristiques des syste`mes et des mate´riels

Figure 1 – Les trois principales barrie`res physiques relatives a` la de´fense en profondeur d’une centrale nucleáire


ＱＴＳ

SE 2 065 – 3

ＱＴＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＱＲＱＲ

Méthodes d’analyse de la vulnérabilité des sites industriels par

Samantha LIM THIEBOT Chef de projets, risques industriels et sécurité globale INERIS, Verneuil-en-Halatte, France

1. 1.1

Méthodes d’analyse de la vulnérabilité dans le domaine du nucléaire et du transport de marchandises dangereuses .......... Méthodes d’analyse de la vulnérabilité développées dans le nucléaire ....................................................................................... Méthodes d’analyse de la vulnérabilité développées dans le transport des marchandises dangereuses................................. Commentaires sur ces méthodes ............................................................

SE 1 212 - 2 —

2

— —

3 5

Analyses de la vulnérabilité des sites industriels issues de la méthode du CCPS....................................................................... Présentation de méthodes américaines.................................................. Approches par scénarios développées en France et en Europe ........... Commentaires sur ces méthodes ............................................................

— — — —

6 6 9 10

3.1 3.2 3.3

Autres approches pour l’analyse de la vulnérabilité des sites industriels.............................................................................. RAMCAP .................................................................................................... Guide du NIJ et de Sandia National Laboratoires.................................. Guide de l’American Chemistry Council .................................................

— — — —

10 10 12 12

4.

Conclusion...............................................................................................

—

13

5.

Glossaire ..................................................................................................

—

13

1.2 1.3 2. 2.1 2.2 2.3 3.


Doc. SE 1 212

es attaques sur les tours jumelles du World Trade Center à New York aux États-Unis le 11 septembre 2001 ont marqué un changement de dimension dans les modes d’actions terroristes. Elles ont notamment mis en lumière les menaces potentielles pouvant peser sur les activités économiques. Les attaques terroristes qui se sont succédées par la suite ont porté sur les transports en commun (Madrid en 2004, Londres en 2005), le domaine maritime (USS Cole et le Limburg au Yémen en 2000 et 2002) ou le domaine industriel avec la tentative d’attentat suicide sur la raffinerie de Baqiq en Irak en 2006. Outre les menaces terroristes, des actes de malveillance dans le domaine industriel ont montré également leur potentiel de menace. En France, des conflits sociaux durs avec occupation de site par des salariés et menaces d’atteinte à l’environnement ont été particulièrement médiatisés : Cellatex en 2000 (menace de déversement de produits toxiques dans l’environnement), Daewoo en 2003, Sublistatic en 2007 ou New Fabris en 2009. Ainsi, loin d’être isolés, les actes de malveillance représentent plus de 10 % des incidents technologiques. Au lendemain de ces attaques, des guides d’analyse de la vulnérabilité ont été publiés aux États-Unis dans différents secteurs, notamment dans le domaine de l’industrie chimique en raison du potentiel de danger inhérent à

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｭ｡ｩ＠ＲＰＱＶ

L


ＱＴＵ

SE 1 212 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＱＲＱＲ MÉTHODES D’ANALYSE DE LA VULNÉRABILITÉ DES SITES INDUSTRIELS ______________________________________________________________________

son activité de stockage, de production ou de manipulation. En effet, une attaque sur un site chimique, telle que la France a connu sur son territoire en 2015 (Air Liquide, St Quentin Fallavier le 26 juin et LyondellBasell, Berre l’Etang le 14 juillet, même si ces attaques n’ont pas eu l’ampleur escomptée), pourrait porter atteinte à la population environnante et générer une perturbation de l’économie locale, voire nationale. Les sites chimiques doivent également se prémunir d’actes de vol puisqu’ils peuvent constituer une source d’approvisionnement non négligeable en précurseurs d’explosifs et d’armes chimiques. Le présent article a pour objectif de présenter différentes méthodes d’analyse de la vulnérabilité pour les sites industriels sans prétendre toutefois à l’exhaustivité. Nous allons donc tout d’abord nous intéresser au domaine du nucléaire et des transports de matières dangereuses où l’analyse de la vulnérabilité est davantage prescriptive au regard de l’homogénéité des installations chez l’une et de l’homogénéité du mode de transport chez l’autre. Puis, nous présenterons des méthodes d’analyse de la vulnérabilité essentiellement développées aux États-Unis, dont la méthode développée par le CCPS qui a inspiré plusieurs méthodes et qui a été adaptée au contexte français et européen. Enfin, nous décrirons des méthodes parallèles à celles du CCPS élaborées aux États-Unis également suite aux attentats du 11 septembre 2001 aux États-Unis. Le lecteur trouvera en fin d’article un glossaire des termes et expressions importants de l’article, ainsi qu’un tableau des sigles, notations et symboles utilisés tout au long de l’article.

1. Méthodes d’analyse de la vulnérabilité dans le domaine du nucléaire et du transport de marchandises dangereuses

1.1.1.1 Contexte et champ du document Le document Recommandations de sécurité nucléaire sur la protection physique des matières nucléaires et des installations nucléaires (INFCIRC/225/Révision 5) [1] est un document émanant de l’Agence internationale de l’énergie atomique (AEIA) édité en novembre 2011. Ces recommandations publiées pour la première fois en 1975 ont été depuis régulièrement révisées. Le document « vise à aider les États membres à mettre en place un régime de protection physique complet [...] relatif à la protection physique des matières nucléaires et des installations nucléaires ».

1.1 Méthodes d’analyse de la vulnérabilité développées dans le nucléaire

Les trois événements redoutés pour les matières nucléaires à considérer sont : – le risque d’enlèvement non autorisé dans l’intention de fabriquer un dispositif nucléaire explosif ; – le risque d’enlèvement non autorisé pouvant entraîner ultérieurement une dispersion ; – le risque de sabotage.

Dans le domaine du nucléaire, le terme de « sécurité nucléaire » renvoie aux dispositions visant à lutter contre l’utilisation malveillante de substances nucléaires, tandis que le terme de « sûreté nucléaire » renvoie aux dispositions visant à se prémunir d’accidents technologiques. Dans les autres domaines industriels, les termes de « sûreté » et de « sécurité » ont un sens opposé, à savoir que la « sécurité » (safety ) est associée à la lutte contre les accidents technologiques non intentionnels et la « sûreté » (security ) à la lutte contre les actes intentionnels malveillants.

1.1.1.2 Présentation de la démarche La démarche de gestion du risque vise à atteindre les objectifs suivants : – prévention d’un acte malveillant par la dissuasion et la protection des informations sensibles ; – lutte contre une tentative d’acte malveillant ou un acte malveillant grâce à un système intégré de détection, de retardement et d’intervention ; – atténuation des conséquences d’un acte malveillant.

1.1.1 Présentation des recommandations de l’AIEA

Le concept d’approche graduée est préconisé dans la définition des prescriptions de protection physique tenant compte de « l’évaluation actuelle de la menace, de l’attractivité relative, de la nature des matières nucléaires et des conséquences » potentielles en cas d’enlèvement non autorisé ou de sabotage.

Dans cette section consacrée au nucléaire, nous conserverons les termes de « sécurité » et de « sûreté » tels qu’ils sont définis pour ce domaine particulier, mais userons des définitions plus usuelles dans la suite de la publication.

SE 1 212 – 2


ＱＴＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＱＲＱＲ _______________________________________________________________________ MÉTHODES D’ANALYSE DE LA VULNÉRABILITÉ DES SITES INDUSTRIELS

Le principe de défense en profondeur, défini comme la combinaison de plusieurs niveaux de systèmes et de mesures techniques ou organisationnelles qui doivent être surmontés ou contournés avant que la protection physique soit compromise, est retenu pour le choix des prescriptions en matière de protection physique. Des prescriptions sont apportées pour chacun de ces types de risque selon la catégorie de matières nucléaire concernée, et cela de manière proportionnée.

L’United States Nuclear Regulatory Commission (US NRC) a développé en 2007 un guide d’évaluation de la sécurité nucléaire, au sens « security » qui a été remis à jour en 2013. Le Nuclear Power Plant Security Assessment Guide, NUREG/CR-7145 [2] a pour objectif de fournir le plan et le contenu d’une évaluation de la sécurité. Il s’applique sur la base du volontariat et en lien avec le Nuclear Power Plant Security Assessment Technical Manual [3]. Bien que développé pour la certification de la conception de nouvelles centrales nucléaires, ce guide s’applique également aux centrales existantes voulant améliorer ou modifier leurs systèmes de protection physique face aux menaces contre la conception (design-basis threat – DBT) fournies par la US NRC [4]. Ce guide : – décrit les six étapes de l’évaluation de la sécurité ; – propose un plan pour l’étude de sécurité à valider par les agents de l’US NRC ; – en annexes, décrit succinctement des méthodes de modélisation d’évaluation de la sûreté.

d’efficacité

globale

l’agresseur

(dont

la

1.2.1 Présentation du chapitre 1.10 de l’ADR/RID/ADNR 1.2.1.1 Contexte et champ du document Afin de prévenir les actes de terrorisme, la réglementation internationale des transports terrestres de matières dangereuses (ADR pour la route, RID pour le fer, ADNR pour la voie d’eau) comprend depuis le 1er janvier 2005 un chapitre nouveau, le chapitre 1.10 sur la sûreté [5]. Ces dispositions sont obligatoires depuis le 1er juillet 2005. Depuis, quelques amendements ont été adoptés et incorporés. Dans l’ADR de 2013, les exigences pour les marchandises radioactives à haut risque ont été séparées de celles des autres marchandises à haut risque.

Les étapes de l’évaluation de sécurité sont présentées dans la figure 1. La méthode d’évaluation, en six étapes, vise à s’assurer de l’efficacité de la conception du système de protection physique (équipements, processus supports, procédures, etc.) et de la défense en profondeur de ce système en utilisant une méthodologie acceptable, plusieurs d’entre elles étant présentées en annexe C du guide. Celle-ci est évaluée selon l’équation :

ou

probabilité de neutralisation de l’agresseur.

de

1.2 Méthodes d’analyse de la vulnérabilité développées dans le transport des marchandises dangereuses

1.1.2.2 Présentation de la démarche

d’efficacité

PN

d’interruption

Il s’agit d’une méthode probabiliste et itérative basée sur les scénarios, sur le temps de réponse et les itinéraires (pathway ) possibles face à un acte malveillant par rapport au système de protection physique mis en place selon le principe « deter/detect/respond » (dissuader/détecter/intervenir).

1.1.2.1 Contexte et champ du document

probabilité système,

probabilité détection),

La gravité de l’événement n’est pas cotée car on doit considérer que l’on ne peut pas agir sur cette composante. L’interface entre sécurité et sûreté est également abordée. En effet, l’ajout d’un élément de sécurité peut avoir un effet sur la sûreté d’un réacteur, et inversement.

1.1.2 Présentation du guide de l’US NRC

avec PE

PI

Cette réglementation ne s’applique ni lorsque les quantités transportées sont inférieures à certains seuils, ni aux marchandises emballées en quantités limitées. Elle n’est pas exclusive des réglementations spécifiques applicables aux explosifs et aux matières nucléaires. La « sûreté » est définie comme « les mesures ou les précautions à prendre pour minimiser le vol ou l’utilisation impropre de marchandises dangereuses pouvant mettre en danger des personnes, des biens ou l’environnement ».

du

Conception terminée

OUI Étape 1 Déterminer les objectifs

Étape 2 Etablir la conception du site

Étape 3 Concevoir le système de protection physique

Étape 4 Conduire l’évaluation

Objectif de haute assurance atteint ? NON

Reconcevoir le système de sécurité physique Figure 1 – Processus d’évaluation de sûreté de l’US NRC


ＱＴＷ

SE 1 212 – 3

GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE Techniques de l’Ingénieur propose la plus importante collection documentaire technique et scientifique en français ! Grâce à vos droits d’accès, retrouvez l’ensemble des articles et fiches pratiques de votre offre, leurs compléments et mises à jour, et bénéficiez des services inclus.









RÉDIGÉE ET VALIDÉE PAR DES EXPERTS

MISE À JOUR PERMANENTE

100 % COMPATIBLE SUR TOUS SUPPORTS NUMÉRIQUES

SERVICES INCLUS DANS CHAQUE OFFRE

   

+ de 350 000 utilisateurs + de 10 000 articles de référence + de 80 offres 15 domaines d’expertise Automatique - Robotique Biomédical - Pharma Construction et travaux publics Électronique - Photonique Énergies Environnement - Sécurité Génie industriel Ingénierie des transports

Innovation Matériaux Mécanique Mesures - Analyses Procédés chimie - Bio - Agro Sciences fondamentales Technologies de l’information

Pour des offres toujours plus adaptées à votre métier, découvrez les offres dédiées à votre secteur d’activité

Depuis plus de 70 ans, Techniques de l’Ingénieur est la source d’informations de référence des bureaux d’études, de la R&D et de l’innovation. www.techniques-ingenieur.fr CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : [email protected]

SERVICES ET OUTILS PRATIQUES

ACCÈS

LES AVANTAGES ET SERVICES compris dans les offres Techniques de l’Ingénieur 





Accès illimité aux articles en HTML

Téléchargement des articles au format PDF

Consultation sur tous les supports numériques

Enrichis et mis à jour pendant toute la durée de la souscription

Pour un usage en toute liberté

Des contenus optimisés pour ordinateurs, tablettes et mobiles





Questions aux experts*

Articles Découverte

Dictionnaire technique multilingue

Les meilleurs experts techniques et scientifiques vous répondent

La possibilité de consulter des articles en dehors de votre offre

45 000 termes en français, anglais, espagnol et allemand





Archives

Impression à la demande

Alertes actualisations

Technologies anciennes et versions antérieures des articles

Commandez les éditions papier de vos ressources documentaires

Recevez par email toutes les nouveautés de vos ressources documentaires

*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.

ILS NOUS FONT CONFIANCE

www.techniques-ingenieur.fr CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : [email protected]

Méthodes d'analyse des risques

Recommend Documents