Méthodes d'analyse des risques

February 18, 2018 | Author: HamzaOss | Category: Risk, Hazards, Safety, Risk Management, Engineer

Short Description

Techniques de l'ingénieur - Méthodes d'analyse des risques Techniques de l'ingénieur - Méthodes d'analy...

Description

ENVIRONNEMENT - SÉCURITÉ

Ti112 - Sécurité et gestion des risques

Méthodes d'analyse des risques

Réf. Internet : 42155 | 3e édition

Actualisation permanente sur www.techniques-ingenieur.fr

Tec h n ique s de l ’I n gé ni eur La plus impor tante ressource documentaire scientifique et technique en français

Une information fiable, claire et actualisée Validés par un comité scientifique et mis à jour en permanence sur Internet, les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et scientifiques, en poste ou en formation. Outil d’accompagnement de la formation et de la carrière des ingénieurs, les ressources documentaires Techniques de l’Ingénieur constituent le socle commun de connaissances des acteurs de la recherche et de l’industrie.

Les meilleurs experts techniques et scientifiques Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs, professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur scientifique et technique de référence. Les meilleurs spécialistes sont réunis pour constituer une base de connaissances inégalée, vous former et vous accompagner dans vos projets.

Une collection 100 % en ligne • Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et actualisations de votre ressource documentaire • Les articles téléchargeables en version PDF

Des services associés Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste des services associés à vos droits d’accès et les utiliser.



Des services associés Pour toute information, le service clientèle reste à votre disposition : Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : [email protected]

III

Cet ouvrage fait par tie de

Sécurité et gestion des risques (Réf. Internet ti112) composé de  : Management de la sécurité

Réf. Internet : 42154

Méthodes d'analyse des risques

Réf. Internet : 42155

Risques chimiques - Toxicologie et écotoxicologie

Réf. Internet : 42156

Risques chimiques - Pesticides et produits phytosanitaires

Réf. Internet : 42568

Encadrer le risque chimique et connaître ses obligations

Réf. Internet : 22742

Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743 dans l’entreprise Risques d'explosion

Réf. Internet : 42157

Risques d'incendie

Réf. Internet : 42583

Risques électriques

Réf. Internet : 42496

Sécurité par secteur d'activité et par technologie

Réf. Internet : 42159

Sécurité des systèmes industriels

Réf. Internet : 42830

Santé et sécurité au travail

Réf. Internet : 42158

Menaces et vulnérabilités : protection des sites industriels

Réf. Internet : 42648

Risques naturels et impacts industriels

Réf. Internet : 42828



Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires

IV

Cet ouvrage fait par tie de

Sécurité et gestion des risques (Réf. Internet ti112) dont les exper ts scientifiques sont  : Jean-Pierre DAL PONT Président de la Société Française de Génie des Procédés (SFGP), Secrétaire Général de la Fédération Européenne du Génie Chimique (EFCE), Président de la Société des Experts Chimistes de France (SECF)

François FONTAINE Responsable « Sécurité Globale et Sécurité Globale et terrorisme », INERIS

Didier GASTON Responsable Agence, CETE APAVE Nord-Ouest

Jean-Louis GUSTIN Expert en sécurité des procédés Rhodia Recherches et Technologies

André LAURENT Professeur émérite, Nancy Université, LRGP, CNRS, INPL, ENSIC

Yves MORTUREUX Expert en maîtrise des risques à la Direction de la sécurité de la SNCF

Jean-Paul PERES Ancien Directeur Responsable Care de Rhodia



Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires

V

Les auteurs ayant contribué à cet ouvrage sont :

Alain DESROCHES

Pierre PERILHON

Pour l’article : SE4015

Pour les articles : SE4060 – SE4061

Michel FEDERIGHI

Michel ROYER

Pour l’article : SL6210

Pour les articles : SE4030 – SE4031 – SE4032

Emmanuel GARBOLINO Pour l’article : SE2065

Jean-Pierre SIGNORET

Olivier GRANDAMAS

Pour les articles : SE4070 – SE4071 – SE4072 – SE4073

Pour l’article : SE4062

Samantha THIEBOT Franck GUARNIERI

Pour l’article : SE1212

Pour l’article : SE2065

Jacques VALANCOGNE Olivier IDDIR

Pour l’article : SE2525

Pour les articles : SE4055 – SE4075 – SE4077 – SE2090 – SE5080

Gilles ZWINGELSTEIN

Yves MORTUREUX

Pour les articles : SE4004 – SE4005 – SE4006 – SE4007

Pour les articles : SE4010 – SE4040 – SE4050 – AG4670



Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires

VI

Méthodes d'analyse des risques (Réf. Internet 42155)

SOMMAIRE Réf. Internet

page

Analyse préliminaire de risques

SE4010

9

Analyse globale des risques (AGR)

SE4015

11

HAZOP : une méthode d'analyse des risques. Présentation et contexte

SE4030

17

HAZOP : une méthode d'analyse des risques. Principe

SE4031

21

HAZOP : une méthode d'analyse des risques. Mise en oeuvre

SE4032

27

AMDE (C)

SE4040

29

Arbres de défaillance, des causes et d'événement

SE4050

33

Le noeud papillon : une méthode de quantiication du risque

SE4055

39

MOSAR. Présentation de la méthode

SE4060

45

MOSAR. Cas industriel

SE4061

49

Analyse des risques des systèmes dynamiques  : préliminaires

SE4070

55

Méthode MADS-MOSAR. Pour en favoriser la mise en oeuvre

SE4062

57

Analyse des risques des systèmes dynamiques  : approche markovienne

SE4071

61

Analyse des risques des systèmes dynamiques : réseaux de Petri. Principes

SE4072

67

Analyse des risques des systèmes dynamiques : réseaux de Petri. Exemples de modélisation

SE4073

71

La méthode LOPA : principe et exemple d'application

SE4075

75

Méthode PDS

SE4077

83

Méthode HACCP- Approche pragmatique

SL6210

87

La sûreté de fonctionnement : méthodes pour maîtriser les risques

AG4670

91

Mesures de maîtrise des risques instrumentées (MMRI). État zéro et iche de vie

SE2090

95

Pondération des fréquences de fuite dans le cadre des analyses de risques industriels

SE5080

101



Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires

VII

Évaluation de la criticité des équipements. Méthodes d'exploitation des jugements d'experts

SE4004

109

Évaluation de la criticité des équipements. Méthodes analytiques

SE4005

115

Méthodes d'évaluation de la criticité des équipements. Métriques et indicateurs de performance

SE4006

123

Évaluation de la criticité des équipements. Méthodologie globale

SE4007

129

La méthode B pour la spéciication et la réalisation de logiciels et de systèmes critiques SE2525 prouvés

135

Concept de défense en profondeur : contribution à la sécurité des ICPE

SE2065

141

Méthodes d'analyse de la vulnérabilité des sites industriels

SE1212

145



Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＰ

Analyse préliminaire de risques par

Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert Sûreté de fonctionnement à la direction Déléguée Système d’exploitation et sécurité à la SNCF Vice-Président de l’Institut de Sûreté de fonctionnement

1. 1.1 1.2 1.3

Objectifs de la démarche APR.............................................................. Identification des événements redoutés.................................................... Évaluation des risques ................................................................................ Proposition de couverture des risques ......................................................

2.

Usages de la démarche APR .................................................................

—

3

3. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9

Divers acteurs et leurs relations à l’APR........................................... Acteurs ......................................................................................................... Autorité......................................................................................................... Maître d’ouvrage ......................................................................................... Organisme évaluateur................................................................................. Maître d’œuvre ............................................................................................ Exploitant ..................................................................................................... Mainteneur ................................................................................................... Organisme de contrôle................................................................................ Sous-traitants...............................................................................................

— — — — — — — — — —

4 4 4 5 5 6 6 6 6 7

4.

Méthodes de la démarche APR ............................................................

—

7

5. 5.1 5.2 5.3

Méthode APR............................................................................................. Présentation ................................................................................................. Typologies. Listes ........................................................................................ Fréquence et gravité....................................................................................

— — — —

7 7 8 9

Bibliographie ......................................................................................................

—

10

SE 4 010 - 2 — 2 — 3 — 3

’analyse préliminaire de risques (APR) est une démarche, un processus dont l’objectif est d’évaluer les problèmes à résoudre en matière de maîtrise des risques. La méthode APR est dédiée à cette démarche. Cette démarche peut prendre des formes très différentes dans sa mise en œuvre suivant le domaine technique ou la filière industrielle considérés. Dans bien des cas une analyse préliminaire de risques met en œuvre des méthodes plus connues dans les phases ultérieures de l’analyse de risques comme l’arbre de défaillance (cf. article [SE 4 050]), l’AMDE(C) (analyse des modes de défaillance, de leurs effets et de leurs criticités, cf. article La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] dans le traité L’entreprise industrielle) ou des blocs-diagrammes de fiabilité, etc. Mais une méthode particulière a aussi été développée pour cette phase initiale d’analyse préliminaire de risques. On parle alors de méthode APR. La confusion des termes est totale, la confusion des notions est à éviter : disons qu’une démarche APR ne se fait pas forcément avec la méthode APR. La première partie de l’article (§ 1, 2, 3, 4) sera consacrée à la démarche : les objectifs, le processus, la pertinence de l’analyse préliminaire de risques. La seconde partie (§ 5) sera consacrée à la méthode : la méthode APR, particulièrement adaptée à la conduite d’une démarche d’analyse préliminaire de risques.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＲ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｭ｡ｲｳ＠ＲＰＱＶ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

Ｙ

SE 4 010 − 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＰ

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

L’analyse préliminaire de risques est essentielle et très structurante, surtout en matière de sécurité, pour tout projet innovant, qu’il s’agisse de modifications de systèmes connus ou de nouveaux systèmes. Comme son nom le suggère, l’APR est une démarche qui commence dès qu’une démarche de maîtrise des risques apparaît nécessaire dans un projet avant qu’il soit question de méthodes d’évaluations de risques (AMDE, AMDEC, arbres de défaillance et autres...). Le gros de cette démarche se déroule au début du projet et peut inclure l’utilisation de méthodes comme les arbres de défaillance. Ensuite l’APR accompagne toute la vie du projet et peut être révisée et complétée au fur et à mesure que le projet se précise, les méthodes comme l’arbre de défaillance étant utilisées au cours des études précises et détaillées que la maîtrise des risques du projet va nécessiter. La démarche d’APR est très utilisée dans les domaines où les préoccupations de sécurité sont les plus présentes comme les transports et la chimie. Le lecteur se reportera utilement aux articles du même traité : — La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] ; — Arbres de défaillance, des causes et d’événement [SE 4 050].

1. Objectifs de la démarche APR

divers sous-projets susciteront des démarches APR partielles dont les démarrages peuvent être postérieurs non seulement à celui de l’APR globale mais même à des analyses détaillées entreprises dans d’autres sous-projets plus avancés du même projet.

La démarche APR peut prendre des formes extrêmement diverses. Néanmoins, sous des apparences variées, on retrouve systématiquement trois phases qui sont aussi trois objectifs : — identification des dangers, des événements redoutés à prendre en compte (§ 1.1) ; — évaluation et classement des risques associés ; — propositions des mesures de couverture des risques.

1.1 Identification des événements redoutés Cette première phase de la démarche APR consiste à identifier quels accidents peuvent arriver et comment. Ici l’exhaustivité est un objectif essentiel. La valeur d’une démarche APR dépend directement de la confiance que l’on peut placer dans le fait de n’avoir « oublié » aucun scénario d’accident. Par contre, à ce stade, il est normal de ne pas pouvoir être très précis sur ces scénarios et de ne pas pouvoir distinguer des scénarios vraisemblables, d’autres, théoriquement possibles, mais qui se révèleront ensuite invraisemblables.

Globalement, on peut dire que l’objectif général d’une démarche APR est d’évaluer les problèmes à résoudre en matière de maîtrise des risques. Une APR doit permettre : — de se rendre compte si le projet pourrait devoir être abandonné parce que certains risques inacceptables se révèleraient irréductibles ; — de dimensionner a priori les efforts d’études et de réduction de risques ; — de localiser les domaines du système qui demanderont le plus d’efforts et donc, les compétences requises en matière de maîtrise des risques.

En effet, le but est d’identifier les événements redoutés à prendre en considération. Toutes les informations disponibles (connaissance a priori d’événements redoutés mais aussi modes de défaillance des composants du système, potentiel d’énergie des composants du système, etc.) doivent être exploitées. À partir de ces informations on se pose la question des scénarios qui peuvent se développer à partir des phénomènes évoqués et on recense donc les événements (redoutés) sur lesquels ces scénarios pourraient déboucher.

Inversement la démarche APR permet d’anticiper sur la nature des faiblesses en sûreté de fonctionnement et les limites des performances sûreté de fonctionnement qu’il est raisonnable de vouloir atteindre.

Rappel : le risque est un triplet (événement redouté, fréquence, gravité). Identifier, recenser des risques, c’est donc identifier des événements redoutés ; évaluer les risques consiste à leur associer fréquence et gravité (ou criticité) (cf. [AG 4670]). On peut connaître a priori les événements redoutés à envisager mais il est aussi courant que l’on connaisse mieux les sources de danger et que l’on doive en déduire les scénarios puis les accidents à craindre.

En poursuivant l’objectif essentiel de repérer les difficultés et les efforts les plus importants de réduction de risque et de démonstration de la sûreté de fonctionnement, une démarche APR bien menée contribue de façon décisive à la maîtrise des risques « projet », c’est-à-dire à la maîtrise des coûts, des délais du projet en lien avec l’atteinte des objectifs de performance du produit ou du service. En particulier, la démarche APR doit permettre très tôt de construire une vision commune et un accord entre les parties concernées par le projet sur les mesures à prendre pour assurer la sûreté de fonctionnement requise et les rôles de chacun dans ces efforts.

Cette recherche s’appuie naturellement avant tout sur les spécifications fonctionnelles, car au stade initial les solutions ne sont pas encore choisies. La démarche peut être menée de façon systématique sur les fonctions du système. Néanmoins, en matière de sécurité, il faut prendre en compte les dangers créés par les techniques choisies indépendamment des exigences fonctionnelles (notamment en chimie) dans le cadre de la méthode HAZOP). Pour réaliser une même fonction, une solution électrique amène à se poser la question du risque d’électrocution, une solution pneumatique celle du risque d’explosion par surpression, tout cela indépendamment des risques liés à l’échec total ou partiel de la fonction.

Si la démarche APR est unique par son esprit, chacun la conduit à son niveau en fonction des risques qui le concernent. Si une démarche APR globale peut démarrer dès les origines d’un projet,

SE 4 010 − 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

ＱＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＵ

Analyse globale des risques (AGR) par

Alain DESROCHES Professeur à l’École CentraleSupélec Ex expert en sûreté de fonctionnement et gestion des risques au Centre national d’études spatiales (CNES) Ex président de la Commission risques accidentels et membre du Conseil scientifique de l’Institut national de l’environnement industriel et des risques (INERIS), Paris, France

1.

Concepts préliminaires.......................................................................

2. 2.1 2.2 2.3 2.4

Présentation de l’AGR ........................................................................ Principe de la méthode............................................................................ AGR Système ........................................................................................... AGR Scénarios ......................................................................................... Résultats et valorisation de l’AGR ..........................................................

— — — — —

4 4 5 6 11

3. 3.1 3.2 3.3 3.4

Exemple d’application industrielle.................................................. Données de l’exemple d’application industrielle .................................. Analyse des scénarios ............................................................................. Principaux résultats d’analyse et d’évaluation...................................... Valorisation de l’AGR ..............................................................................

— — — — —

11 11 14 14 20

4.

Conclusion .............................................................................................

—

27

Pour en savoir plus ........................................................................................

SE 4 015 - 2

Doc. SE 4 015

et article traite de l’analyse globale des risques (AGR) qui couvre l’identification, l’évaluation et la gestion des risques structurels, des risques fonctionnels et des risques conjoncturels pendant tout le cycle de vie du système étudié, depuis le début de sa conception jusqu’à la fin de son démantèlement. Elle existe en version semi qualitative (notée AGR), présentée dans cet article, et en version quantitative ou probabiliste (notée AGRq) [3]. L’AGR est applicable à l’analyse des risques de projet, des risques d’entreprise ou des risques produits. Les quatre catégories de dangers génériques prises en compte sont : – les dangers extérieurs au système ; – les dangers liés à la gouvernance du système ; – les dangers liés aux moyens techniques du système ; – les dangers liés aux études et production du système. Le but de l’AGR est : – d’identifier les principaux risques pendant l’activité du système à partir des dangers, des situations dangereuses, des événements redoutés ou accidents consécutifs et de leurs conséquences ; – de caractériser les scénarios d’accident à partir des trois facteurs de risques : facteur d’exposition, facteur déclenchant et facteur aggravant ; – d’élaborer les cartographies des risques ; – d’identifier les risques majeurs ; – d’évaluer les bilans efforts/pertes en termes financiers ; – d’élaborer le plan d’actions en réduction des risques ; – d’élaborer le catalogue des paramètres de sécurité correspondant aux activités de sécurisation ultérieures. De plus, l’AGR prend en compte la gestion financière du traitement des risques et permet la réalisation d’allocations d’objectifs de risques sur la performance et la sécurité (allocations de sûreté de fonctionnement).

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＶ

C

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

ＱＱ

SE 4 015 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＵ

ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

1. Concepts préliminaires

crée l’exposition du système S au danger D (repère 1) et donc la situation dangereuse SD (repère 3). À partir de laquelle l’occurrence d’une cause amorce ou facteur de risque déclenchant FD (repère 4) entraîne l’accident A (repère 5). Puis l’occurrence d’une cause circonstancielle ou facteur de risque aggravant FA (repère 6) qui définit et caractérise l’occurrence, la nature et la gravité des conséquences K (repère 7).

Le danger [1] dont la notion précède celle de risque est défini comme un potentiel de préjudice ou de nuisance aux personnes, aux biens ou à l’environnement. Ce concept abstrait couvre aussi bien des éventualités physiques ou matérielles accessibles par nos sens que des éventualités immatérielles comme l’énergie potentielle ou cinétique. De façon plus générale, un danger peut être une substance (produit toxique...), un objet (virus, astéroïde...), un phénomène (inondation, séisme...) ou un processus (erreur de diagnostic, erreur d’administration, erreur opératoire...).

Les causes contact FE, amorce FD et circonstancielle FA sont des noms génériques pour définir l’ensemble des causes qui engendre respectivement la situation dangereuse SD, l’accident A et les conséquences K. Les uns comme les autres peuvent être des événements programmés, donc attendus, ou des événements non programmés, donc non attendus. Les noms génériques peuvent correspondre chacun à plusieurs causes.

Ce préliminaire étant fait, le risque met en jeu deux notions. L’une, qualitative, qui concerne son origine, à savoir sa genèse par l’exposition du système au danger, appelée situation dangereuse, qui, suivant les circonstances, peut se transformer en situation accidentelle avec des conséquences de différentes natures et importances. L’autre, quantitative, qui est la mesure en termes de probabilité d’occurrence et de gravité de l’incertitude de la situation dangereuse ou de la situation accidentelle, appelée aussi événement redouté.

L’ensemble des étapes d’identification et l’évaluation des risques est généralement appelé appréciation des risques. Dans la pratique, l’identification des risques est faite en utilisant un ensemble d’outils méthodologiques traitant de façon complémentaire de la nature des événements, de leur localisation spatiale et temporelle. L’évaluation des risques est faite d’une part sur l’incertitude de l’occurrence du risque en utilisant soit une échelle d’index de vraisemblance V ou de valeurs de probabilité P, et d’autre part sur les conséquences en utilisant une échelle d’index de gravité G complétée ou non par des index ou des valeurs de pertes et d’efforts, notés respectivement IP ou VP et IE et VE.

Si sur une échelle de temps l’événement redouté est considéré à l’instant présent, alors sa probabilité d’occurrence concerne ses causes qui appartiennent à son passé, tandis que la gravité concerne ses conséquences qui appartiennent à son futur. Le risque d’un événement est un concept abstrait qui nécessite donc de prendre en compte de façon globale son passé, son présent et son futur.

De sa nature bidimensionnelle, pour laquelle il n’existe pas de relation d’ordre, il découle que l’on ne peut hiérarchiser formellement deux risques de façon directe par le couple gravité-probabilité.

La maîtrise des risques [2] est associée directement aux actions de réduction et de contrôle faites sur les composantes du risque : la prévention regroupe les actions qui ont pour but de diminuer la probabilité d’occurrence du risque, tandis que la protection regroupe les actions qui ont pour but de diminuer la gravité de ses conséquences. Plus précisément, la prévention vise à réduire conjointement les probabilités d’occurrence des causes contact, amorce et circonstancielle « non programmées ». En premier, la réduction de la probabilité d’occurrence de la cause contact sera recherchée, ce qui peut aboutir à l’absence d’occurrence de situation dangereuse. En deuxième, ce sera celle de la cause amorce jusqu’à l’élimination éventuelle de l’occurrence de l’accident. En troisième, ce sera celle de la cause circonstancielle.

Un scénario d’accident visualisé sur la figure 1 est défini comme l’enchaînement ou la combinaison d’événements aboutissant à un accident A (repère 5) puis à ses conséquences K (repère 7). Sa réalisation est liée à l’occurrence d’une cause contact ou facteur de risque d’exposition FE (repère 2) qui

Le processus de réduction des risques est basé sur le concept de criticité du risque C. Plus précisément, la criticité du risque, est le résultat d’une fonction de décision fD associée à une échelle de valeurs politique, éthique, religieuse, économique, etc. qui pour chaque risque évalué R (G, V ) associe ou non une action de réduc-

Il en résulte que le couple probabilité-gravité est indissociable et doit être considéré comme une variable bidimensionnelle. Par là même, un risque n’est ni une probabilité, ni une gravité, mais les deux en même temps. Il s’ensuit qu’une décision associée à un risque ne peut être prise sur la base d’une seule de ses deux composantes.

Système (S) 1

3 Danger (D)

Cause contact ou facteur d’exposition (FE)

Situation dangereuse (SD)

5 Événement redouté ou accident (A)

Cause amorce ou facteur déclenchant (FO)

Conséquence (K)

4 Cause circonstancielle ou facteur aggravant (FA)

Figure 1 – Arborescence d’un scénario d’accident

SE 4 015 – 2

7

2

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

ＱＲ

6

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＵ

_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)

Classe de criticité

Intitulé de la classe

Intitulés des décisions et des actions

C1

Acceptable en l’état

Aucune action n’est à entreprendre

C2

Tolérable sous contrôle

On doit organiser un suivi en termes de gestion du risque tel que contrôle ou transfert

C3

Inacceptable

On doit refuser la situation et prendre des mesures de réduction des risques Sinon... on doit refuser toute ou partie de l’activité

Figure 2 – Arborescence d’un scénario d’accident

Probabilité

Probabilité Pr (G > g) < p

V5 p4 V4

Pr (G

p3

V5 p4

>

g) <

V4

p

V3

Protection

p3 Prévention

V3 p2

p2

V2

V2

Pr (G > g) < p p1

p1

V1

V1 g1 G1

g2 G2

g3 G3

g4 G4

g1

Gravité G1

G5

g2 G2

g3 G3

g4 G4

Gravité G5

Figure 3 – Diagrammes d’acceptabilité des risques

Le management des risques repose d’une part sur l’assignation d’objectifs de risques acceptables ou tolérables définis par le référentiel d’acceptabilité des risques et d’autre part par la mise en place de ressources ou moyens de traitement pour permettre d’atteindre les objectifs (par la réduction des risques initiaux) et d’assurer leur maintien (par le contrôle des risques résiduels).

tion ou de contrôle. Ce qui s’exprime en posant C = fD (G, V ). L’« ensemble de définition » de fD est l’ensemble des couples (G, V). L’« ensemble des valeurs » de fD correspond à l’ensemble des criticités, appelé échelle de criticité (figure 2), réparti en trois classes suivant le principe ALARA (As Low As Reasonably Achievable).

Autrement dit, le plan de réduction des risques comme le catalogue des paramètres de sécurité n’ont de réalité que dans la mesure où un plan de financement des actions, appelé financement du risque a été prévu et consolidé. Ce dernier doit être orienté par la contrainte « effort/perte ⭐ 1 » qui exprime que l’effort correspondant au coût de traitement (des conséquences) du risque doit rester inférieur à la perte correspondant au coût (des conséquences) du risque en l’absence de traitement.

Nota : la criticité du risque ne doit pas être confondue avec le risque moyen qui est le produit de la probabilité par la gravité du risque et n’est qu’un paramètre d’évaluation et non de décision.

Cette classification de l’ensemble des risques de l’activité en trois classes doit être validée par la gouvernance du risque qui dispose des ressources associées aux décisions rattachées à chaque classe. Les trois classes sont visualisées par zone respectivement en vert, jaune et rouge sur le premier diagramme de la figure 3 appelé référentiel d’acceptabilité des risques ou diagramme ou tableau de criticité. Le second diagramme visualise les actions de maîtrise des risques.

Le principe du financement du risque est défini ainsi : « Toute action de réduction ou de contrôle pour maîtriser un risque générant une perte est un effort qui a un coût ». Nota : effort de traitement du risque, que ce soit en termes de financement de l’élimination du risque, de sa réduction (prévention ou protection) ou de sa gestion telle que la prise d’une assurance ou encore de son contrôle.

Des exemples de diagrammes qualitatif et probabiliste sont donnés sur la figure 4.

Il est naturel de considérer le rapport : K = effort/perte, où : – perte est le coût du risque correspondant au montant (ou équivalent) de la perte financière brute en l’absence de traitement de maîtrise du risque ; – effort est le coût investi dans le traitement du risque, c’est-à-dire au montant (ou équivalent) financier des actions de réduction, et plus globalement de maîtrise des risques.

Le regroupement structuré des actions de prévention et de protection est appelé plan de réduction des risques. Les actions de contrôle permettent d’assurer la traçabilité des actions précédentes et de garantir dans le temps le maintien du niveau de risque acceptable ou tolérable atteint. Ces actions sont regroupées dans le catalogue des paramètres de sécurité.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

ＱＳ

SE 4 015 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＵ

ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

Gravité G2

G1

G3

G4

G5

V5 Vraisemblance

V4 V3 V2 V1

Référentiel d’acceptabilité des risques

Référentiel d’acceptabilité des risques Pr (G > g) = p

Classes de gravité G1

G2

G3

G4

G5 Probabilité (p)

1 × 10 0

1 × 10–1 5,0 × 10–2

Probabilité

1 × 10–2

1 × 100

1 × 101

1 × 102

1,0 × 10–2

1 × 103

1 × 10–3 5,0 × 10–4

5,0 × 10–4

1 × 10–4

1 × 104 5,0 × 10–5

1 × 10–5

1 × 105

1 × 106

1 × 10–6 5,0 × 10–7 1 × 10–7

1,0 × 10–7 1,0 × 10–7 C1

C2

1 × 107

10

100

1 000

10 000

C3

100 000 Gravité (g)

Figure 4 – Exemples de diagrammes d’acceptabilité des risques

2. Présentation de l’AGR

Dans le cadre du traitement pour maîtriser le risque deux cas sont donc à considérer : – K < 1, autrement dit le coût de la perte est supérieur au coût de l’effort de traitement. Dans ce cas il y a un intérêt sans restriction à traiter et on parlera de traitement économique du risque ; – K ⭓ 1 , autrement dit le coût de la perte est inférieur au coût de l’effort de traitement. Dans ce cas il n’y a pas d’intérêt logique à traiter, sauf cas de force et on parlera de traitement politique du risque.

2.1 Principe de la méthode L’AGR est une méthode globale d’analyse semi qualitative ou probabiliste qui permet d’apprécier et de maîtriser les risques d’activités de nature différente, tels que les risques d’entreprise, les risques projet ou les risques produit suivant un processus invariant [2]. La spécificité tient à la nature du système considéré et de la cartographie des dangers considérés (structurels, conjoncturels ou fonctionnels) et non au processus d’analyse proprement dit. Il en est de même des cartographies des risques comme le visualise la figure 5.

Nota : les pertes et les efforts doivent être définis dans les mêmes unités (valeurs monétaires, ressources, etc.).

Cette contrainte ne doit pas être confondue avec le principe plus abstrait appelé bénéfice/risque qui exprime que le bénéfice ou gain tiré de la prise de risque doit être a priori supérieur à la perte ou inconvénient qui peut en résulter.

SE 4 015 – 4

Nota : l’AGR est conforme à la norme ISO 31000 [4].

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

ＱＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＵ

_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)

2.2 AGR Système 2.2.1 Modélisation du système Le système est modélisé sous forme de processus (Φ), de fonctions (F ) et/ou de sous-systèmes de ressources humaines ou matérielles (S/S ) décrit en trois lignes. Le tableau 1 visualise un exemple de modélisation générique par phase de système.

2.2.2 Élaboration de la cartographie des dangers La cartographie des dangers est une liste structurée de dangers définie en trois colonnes auxquels le système est susceptible d’être exposé. Son format est présenté sur le tableau 2. La cartographie des dangers est élaborée à partir d’une liste de vingt-six rubriques de dangers génériques qui couvre les quatre grandes catégories suivantes : – les dangers externes au système ; – les dangers de gouvernance du système ; – les dangers liés aux moyens techniques du système ; – les dangers liés aux études et production du système. La figure 7 présente cette liste de façon détaillée. Figure 5 – Exemples de cartographies des risques

2.2.3 Élaboration de la cartographie des situations dangereuses

Le diagramme de la figure 5 visualise des cartographies des risques obtenues par AGR des trois catégories d’activités.

La structure de la cartographie des situations dangereuses est réalisée par la juxtaposition croisée du système et de la cartographie des dangers. Les interactions dangers/système sont les facteurs de génération de situations dangereuses. Celles-ci sont créées autant par la sensibilité ou la vulnérabilité intrinsèque des

Le processus de l’AGR est réalisé en trois étapes comme le montre la figure 6. Nota : les trois étapes-clés de la figure 6 regroupent plusieurs sous-étapes.

1

AGR SYSTÈME Modélisation du système et élaboration de la cartographie des dangers Identification des situations dangereuses Cartographie des situations dangereuses

2

AGR SCÉNARIOS Analyse des situations dangereuses Évaluation des risques initiaux et traitement des conséquences des événements redoutés Évaluation des index de pertes et d’efforts Évaluation des risques résiduels Cartographies des risques (/aux situations dangereuses, au système ou aux dangers) Diagrammes de décision (/au système ou aux dangers)

3 Gestion des actions Plan d’actions de réduction des risques (risques initiaux) Catalogue des paramètres de sécurité (risques résiduels) Plan de financement des risques (actions et paramètres)

Figure 6 – Étapes du processus de l’AGR

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

ＱＵ

SE 4 015 – 5

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＱＵ

ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

Tableau 1 – Exemple de modélisation d’un système

DG1

Dangers spécifiques

ED111

DS2

ED121

DS3

ED131

DS4

ED141

DS2

DS3

DS1 DG3 DS2 DS1 DG4

DS2

Fonction 34 Ressource 342

Ressource 341

Fonction 33 Ressource 331

Fonction 32 Ressource 322

Ressource 321

Ressource 312

Fonction 31

2.3.1 Éléments d’évaluation et de décision

ED213

Cinq échelles ou tableaux de données permettent d’évaluer les risques et d’orienter leur gestion.

ED221

1) L’échelle de gravité est à cinq niveaux d’index correspondant à cinq natures différentes de conséquences impactant la mission ou la performance du système, ainsi que son intégrité ou sa sécurité comme le montre le tableau 3.

ED222 ED231 ED232

Les cinq niveaux peuvent aussi être associés à quatre seuils d’une variable caractéristique des conséquences VCC caractérisant des seuils de gravité tels que le retard calendaire de livraison d’un produit comme visualisé dans le tableau 4.

ED311 ED312

Nota : dans le tableau 4 on peut lire qu’un retard de livraison inférieur ou égal à 1 semaine est considéré comme mineur (G1). Tandis qu’un retard de livraison supérieur ou égal à 6 mois est considéré comme catastrophique (G5).

ED321 ED322

2) L’échelle d’occurrence peut-être quantitative (probabiliste), ou qualitative par la définition de cinq niveaux de vraisemblance associés à des périodes de récurrence comme le montre le tableau 5.

ED411 ED411 ED422

3) L’échelle et le référentiel de criticité : comme rappelé plus haut le référentiel d’acceptabilité des risques ou tableau de criticité permet d’associer une décision de traitement à une classe de risque. Ce référentiel est quantitatif ou qualitative suivant que la mesure de l’incertitude est définie par vraisemblance ou de façon probabiliste (figure 4).

éléments du système (identifiés dans les fonctions, S/S ou phases) que par l’importance du niveau de danger auquel ils sont exposés. Les interactions doivent être considérées a priori comme déterministes. L'estimation de la potentialité et de l’importance de ces interactions permet ensuite de caractériser les situations dangereuses potentielles et de définir les index de priorités d'actions consécutives. La figure 8 regroupe ces critères et éléments de décision.

4) L’échelle de pertes est à quatre niveaux d’index qui sont assignés à chacune des conséquences de criticité C2 ou C3. Les tableaux 6 et 7 présentent respectivement la définition des index de pertes et un exemple générique de valeurs moyennes associées aux index de pertes pour un système composé de trois phases.

Nota : le report volontaire (priorité 10) a pour origine soit l’absence de spécialiste du domaine, soit la limitation de la suite des analyses à des situations dangereuses en relation avec des éléments systèmes ciblés (zoom) ou des classes de dangers.

SE 4 015 – 6

Ressource 311

2.3 AGR Scénarios

ED212

ED214

DG2

Fonction 26

Fonction 24 Ressource 241

Nota : une situation dangereuse peut être définie sur une ou plusieurs cases qui apparaissent fusionnées. Ainsi, si un danger impacte plusieurs éléments contigus du système, alors la fusion sera horizontale. Si plusieurs éléments dangereux contigus impactent un élément système, alors la fusion sera verticale. La combinaison des deux est aussi possible.

ED211 DS1

Ressource 261

Fonction 23 Ressource 231

Événements ou éléments dangereux

DS1

Fonction 25

Fonction 22 Ressource 221

La cartographie des situations dangereuses est définie par l’ensemble des éléments du référentiel système/danger. Chaque élément correspond à une case qui repère une interaction potentielle d’un événement dangereux sur un élément système à laquelle doit alors être affecté un index de priorité. La figure 9 visualise un exemple de cartographie des situations dangereuses.

Tableau 2 – Exemple de format de la cartographie des dangers Dangers génériques

Phase 3

Ressource 251

Fonction 21 Ressource 211

Ressource 142

Ressource 141

Fonction 14

Phase 2

Fonction 13 Ressource 132

Fonction 12 Ressource 121

Ressource 131

Fonction 11 Ressource 111

Phase 1

Nota : les valeurs des incertitudes IPi sont données par élément système pour chacune des données financières de pertes associées.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

ＱＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＰ

HAZOP : une méthode d’analyse des risques Présentation et contexte

par

Michel ROYER Ingénieur chimiste

1.

Présentation...............................................................................................

2. 2.1 2.2

Définition, objectifs et domaines d’applications ............................ Définition et objectifs ................................................................................... Notions de base ........................................................................................... 2.2.1 Définition du danger et de corollaires ............................................... 2.2.2 Définition de l’accident et de ses corollaires .................................... 2.2.3 Définition du risq ue et de ses corollaires.......................................... Domaines d’application de la méthode ..................................................... 2.3.1 Secteurs d’activité............................................................................... 2.3.2 Comparaison avec les autres méthodes d’analyse de risque ......... Limites de la méthode ................................................................................. 2.4.1 Consommatrice de temps .................................................................. 2.4.2 Qualitative ou non............................................................................... 2.4.3 Exigeante ............................................................................................. Points forts.................................................................................................... 2.5.1 Principe simple.................................................................................... 2.5.2 Méthode systématique ....................................................................... 2.5.3 Méthode pluridisciplinaire ................................................................. 2.5.4 Large domaine applicatif ....................................................................

2.3

2.4

2.5

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ

Pour en savoir plus ...........................................................................................

SE 4 030 - 2 — — — — — — — — — — — — — — — — — —

2 2 3 3 4 4 7 7 8 8 8 10 10 10 10 10 10 10

Doc. SE 4 033

a méthode HAZOP est un outil formalisé, systémique et semi-empirique utilisé et développé depuis q uarante ans pour analyser les risques potentiels associés à l’exploitation d’une installation industrielle. Inventée en 1965 en Grande-Bretagne par la société ICI (I mperial chemical industries), elle était conçue comme une technique et s’adressait particulièrement à la phase d’ingénierie de détail de nouvelles installations chimiques ou pétrochimiques. Elle innovait par rapport aux pratiques des codes de construction et des revues sécurité sur schémas employées à l’époque par les sociétés d’ingénierie, toutes basées sur l’analyse d’évènements passés. Son originalité résidait dans son approche a priori des dangers et des dysfonctionnements d’une installation par l’étude systématique des déviations des paramètres gouvernant le procédé à analyser. Cette technique s’est développée hors des limites de la société ICI, au sein de l’industrie chimique et pétrochimique après l’explosion catastrophique, en 1974, d’un nuage de 40 tonnes de cyclohexane à Flixborough en Grande-Bretagne qui fit 28 morts et 89 blessés. De simple technique, la méthode HAZOP est devenue une pratique d’identification des dangers et des problèmes d’exploitabilité, adoptée par de nombreuses industries « à risques », en particulier, l’industrie

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＱＷ

SE 4 030 –1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＰ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

pétrolière caractérisée par des dangers similaires à ceux de l’industrie chimique ou pétrochimique, mais aussi dans des industries où les dangers sont d’une autre nature, comme ceux rencontrés dans le nucléaire, l’alimentaire et les transports. La méthode HAZOP est abordée en trois parties : – ce premier article [SE 4 030] est consacré aux définitions, objectifs et domaines d’application ; – le deuxième, [SE 4 031] en présente le principe ; – le troisième, [SE 4 032] est consacré à la mise en œuvre et à l’illustration de cette méthode. Les références bibliographiques sont regroupées dans la fiche documentaire [Doc. SE 4 033].

• L’analyse des déviations fait l’objet d’un enregistrement sous forme de tableaux des déviations, base indispensable pour la mise en place ultérieure des actions recommandées par le groupe de travail.

1. Présentation La gestion des risques est une exigence incontournable dans nos sociétés industrielles modernes pour lesquelles l’accident majeur est devenu inacceptable. En entreprise, l’importanc e de la sécurité n’est plus à démontrer. Le moyen le mieux adapté pour maîtriser les risques d’accident est la sûreté de fonctionnement (SdF), laquelle est un ensemble de méthodes et de concepts ([1] [2]).

■ Dans le cas de risques majeurs, la réglementation des sites

industriels classés SEVESO impose une évaluation du risque. La méthode HAZOP conventionnelle, telle que décrite plus haut, comporte alors une estimation a priori de la probabilité d’apparition des déviations et de la gravité de leurs conséquences. On obtient une estimation semi-quantitative du risque, se poursuivant par une évaluation permettant de définir l’acceptabilité ou non du risque. On qualifie alors la méthode HAZOP de « probabiliste » par rapport à l’approche originelle qualifiée de « déterministe ».

La méthode H A Z O P(Haz ard and operability studies) s’inscrit dans la SdF en proposant une démarche d’amélioration de la sécurité et des procédés d’un système (installation industrielle en projet ou existante). Elle est traduite en français dans la norme CEI 61882 (voir [Doc. SE 4 033]).

La méthode HAZOP est aujourd’hui, parmi la soixantaine de méthodes d’analyses de risques existantes, l’une des plus pratiquées dans le monde.

C’est un examen structuré, en profondeur, rigoureux, systématique, participatif, de type inductif, d’identification des dangers et des dysfonctionnements d’un système, mais qui ne propose pas de solution. Pour ce faire, le système « siège du danger » est modélisé et analysé pour définir comment son fonctionnement peut conduire à des dérives par rapport à l’intention de son concepteur.

Les autres méthodes, parmi les plus utilisées, sont : – l’A nalyse préliminaire de risques (APR) [3] ; – l’Analyse des modes de défaillance, de leurs effets (AMDE), et de leur criticité (AMDEC) [1] [4] ; – l’Arbres de défaillances (AdD) [1] [5] ; – la What-if.

■ La méthode est particulièrement adaptée aux systèmes complexes de type thermo-hydrauliques, rencontrés sur des sites industriels mettant en jeu des produits ou/et des procédés dangereux, et entraînant des conséquences immédiates graves pour le personnel, la population, les biens et l’environnement. Son domaine d’application comprend les procédés et les processus dans des secteurs aussi divers que la chimie, la pétrochimie (son application originelle), le pétrole, l’hydraulique, le nucléaire, l’industrie alimentaire et les transports.

Certaines de ces méthodes peuvent être complémentaires (l’APR se situe avant l’HAZOP), ou en concurrence entre elles. Un choix des méthodes s’impose donc avant de lancer une étude HAZOP.

2. Définition, objectifs et domaines d’application

■ Sa mise en œuvre nécessite la constitution d’un groupe de tra-

vail rassemblant autour d’un animateur, garant de la méthode, une équipe pluridisciplinaire ayant une connaissance approfondie de l’installation décrite sur des plans détaillés. La méthode consiste à décomposer le système considéré en sous-ensembles, appelés « nœuds », puis à l’aide de mots–clés, ou mots guides, spécifiques à la méthode, faire varier les paramètres du système par rapport à ses points de consignes, appelées « intentions du procédé ».

2.1 Définition et objectifs ■ Définition La société Chemetics International Ltd., dans son guide à l’introduction de la méthode HAZOP [10] retient la définition suivante.

• On obtient ainsi une déviation dont l’équipe examinera les causes possibles et en déduira leurs conséquences potentielles pour l’ensemble du système, d’où l’emploi fréquent d’« analyse des déviations » pour caractériser la méthode HAZOP.

Méthode HAZOP : « ...application d’un examen critJ ue formel et systématique aux intentions du procédé et de l’ingénierie d’une installation neuve ou existante afin d’évaluer le potentiel de danger lié à la mauvaise utilisation, ou au mauvais fonctionnement, d’éléments d’équipement et leurs effets sur l’installation dans son ensemble... ».

L’équipe se concentre alors sur les déviations conduisant à des risques potentiels pour la sécurité des personnes, des biens et de l’environnement. Elle examine et définit ensuite les actions recommandées pour éliminer, en priorité, la cause et/ou éliminer ou atténuer les conséquences.

SE 4 030 – 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＱＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＰ ________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

■ Objectifs

■ Dommage

L’objectif de la méthode HAZOP est, à l’origine, d’identifier les dysfonctionnements de nature technique et opératoire dont l’enchaînement peut conduire à des événements non souhaités. Il s’agit donc de déterminer, pour chaque sous-ensemble ou élément d’un système bien défini, les conséquences d’un fonctionnement hors du domaine d’utilisation pour lequel ce système a été conçu.

Le guide ISO/CEI 51 (voir [Doc. SE 4 033]) définit les notions de dommage et de danger : – dommage : blessure physique ou atteinte à la santé des personnes, aux biens ou à l’environnement ; – la notion de danger a fait l’objet d’une définition plus spécifique, dans la Directive SEVESO II concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses présentes dans les Installations classées pour la protection de l’environnement (ICPE) : danger : « ...propriété intrinsèque d’une substance dangereuse ou d’une situation physue, de pouvoir provoquer des dommages pour la santé humaine et/ou l’environnement... ».

• La norme CEI 6 1882 (voir [Doc. SE 4 033]) définit les objectifs de la méthode HAZOP originelle, à savoir : – « ...identification des dangers potentiels dans le système. Le danger peut se limiter à la proximité immédiate du système ou étendre ses effets bien au-delà, comme dans le cas des dangers environnementaux... » ; – « ...identification des problèmes potentiels d’exploitabilité posés par le système et, en particulier, l’identification des causes, des perturbations du fonctionnement et des déviations dans la production susceptibles d’entraîner la fabrication de produits non conformes... ».

Exemples : une falaise (situation physique), un fl_on de lessive de soude (substance dangereuse car corrosive) sont des dangers pour l’homme (élément vulnérable) car ils peuvent provoquer des dommages (blessure en cas de chute depuis le bord de la falaise, brûlure grave dans le cas d’un contact du corps avec la lessive de soude).

• Avec l’apparition de la Directive SEVESO II et des nouvelles exigences du ministère de l’Écologie et du développement durable (MEDD) en matière de prévention des risques industriels, la méthode HAZOP originelle s’avère insuffisante pour l’analyse des risques majeurs. Il faut lui adjoindre une phase d’évaluation du risque. C’est ainsi que, de purement qualitative, la méthode HAZOP devient semi-quantitative, contribuant ainsi à améliorer la connaissance du risque et, de ce fait, la sécurité des installations.

Sont rattachées à la notion de « danger » les caractéristiques suivantes : – les propriétés inhérentes à une substance ou une préparation : inflammabilité, toxicité... ; – l’énergie disponible dans le système : pneumatique, potentielle...

• Les raisons qui vont conduire à engager une étude HAZOP sur une installation industrielle peuvent répondre à de multiples objectifs qui sont en fait des exigences : – satisfaire aux exigences de la politique « Hygiène-sécuritéenvironnement » (HSE) de l’entreprise propriétaire de l’installation ; – satisfaire aux exigences de l’Administration, représentée, en particulier, par les Directions régionales de l’Industrie, de la recherche et de l’environnement (DRIRE) : assurer la conformité avec la réglementation des Installations classées pour la protection de l’environnement (ICPE), les codes du travail et de l’environnement, la Directive SEVESO ; – établir les plans d’urgence : Plan d’opération interne (POI) pour les installations industrielles, Plan d’urgence interne (PUI) pour les installations nucléaires, tous deux établis sous la responsabilité de l’exploitant, et le Plan particulier d’intervention (PPI) et le Plan de prévention des risques technologiques (PPRT) établis sous l’autorité du Préfet ; – renforcer la confiance des parties prenantes (stakeholders ) : populations, personnels, dirigeants, actionnaires, clients ; – satisfaire aux exigences des assureurs qui vont devoir couvrir financièrement le risque résiduel.

On pourra résumer la notion de danger en indiquant qu’il est une caractéristique d’un système, d’une machine, d’un atelier, d’un procédé, d’une situation, ayant un certain potentiel à causer des atteintes aux personnes, aux biens, à l’environnement. Nous ajouterons qu’un danger est vérifiable et quantifiable. On observera que de nombreuses substances ou préparations non dangereuses peuvent le devenir lorsqu’elles se trouvent dans d’autres conditions. Exemple : l’eau à la c haleur ambiante ne constitue pas un danger alors que, portée dès 6 0oC, elle le dev ient. À cette notion de danger peuvent être associées les notions de : potentiel de danger, phénomène dangereux, et situation de danger.

■ Potentiel de danger La définition du potentiel de danger retenue par le MEDD est : « ...système (naturel ou créé par l’homme) ou disposition adoptée et comportant un (ou plusieurs) danger(s) ». Dans le domaine des risques technologiques, un « potentiel de danger » correspond à un ensemble technique nécessaire au fonctionnement du processus envisagé. Il est aussi appelé source de danger ou élément porteur de danger ou élément dangereux... ».

2.2 Notions de base

Exemple : un flacon contenant de la lessive de soude (système) constitue un potentiel de danger lié à la corrosivité de la substance pour le corps humain.

2.2.1 Définition du danger et de ses corollaires ■ Danger Il existe plusieurs définitions de la notion de danger (hazard). La plus récente émane du MEDD qui a publié, en octobre 2005, un « Glossaire technique des risques technologiques » [11] avec les termes suivants : – danger : « propriété intrinsèque à une substance (élément ou composé chimique), à un système technique (mise sous pression d’un gaz), à une disposition (élévation d’une charge...), à un organisme (microbes), etc., de nature à entraîner un dommage sur un « élément vulnérable » ; – élément vulnérable : personne, bien et environnement. Un élément vulnérable est aussi appelé « cible ».

■ Phénomène dangereux La définition du phénomène dangereux retenue par le MEDD est : « ...libération d’énergie ou de substance produisant des effets au sens de l’arrêté du 29 septembre 2005 susceptible d’infliger un dommage à des cibles vivantes ou matérielles sans préjuger l’existence de ces dernières... ».

■ Situation de danger La définition d’une situation retenue par l’INERIS est : « ...situation, si elle n’est pas maîtrisée, peut conduire à l’exposition de cibles à un ou plusieurs phénomènes dangereux... ».

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＱＹ

SE 4 030 – 3

ＲＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ

HAZOP : une méthode d’analyse des risques Principe par

Michel ROYER Ingénieur chimiste SE 4 031 - 2 — 2 — 2

1. 1.1 1.2

Analyse du système ................................................................................. Objectifs de l’analyse................................................................................... Définition du système ..................................................................................

2. 2.1 2.2 2.3

Paramètres et mots-clés......................................................................... Paramètres.................................................................................................... Mots-clés ou mots guides ........................................................................... Déviations .....................................................................................................

— — — —

3 3 3 3

3. 3.1 3.2 3.3 3.4

É tude des déviations ............................................................................... Logigramme de l’étude ............................................................................... Causes des déviations ................................................................................. Conséquences des déviations..................................................................... Exemples de déviations, causes et conséquences....................................

— — — — —

5 5 5 7 7

4. 4.1 4.2 4.3 4.4

Estimation et évaluation du risque ..................................................... Probabilité d’occurrence.............................................................................. Gravité des conséquences .......................................................................... Niveaux de risque ........................................................................................ Évaluation du risque ....................................................................................

— — — — —

8 8 10 13 16

5. 5.1 5.2

Détection et barrières de sécurité....................................................... Détection ....................................................................................................... Barrières de sécurité ....................................................................................

— — —

16 16 16

Pour en savoir plus ...........................................................................................

Doc. SE 4 033

a méthode HAZOP (Hazard and operability studies) consiste à décomposer un système donné en sous-ensembles appelés « nœuds » puis, à l’aide de mots-clés ou mots guides spécifiques (voir [SE 4 030]) et à faire varier les paramètres du système étudié par rapport à ses points de consignes appelés « intentions du procédé ». Les déviations ainsi obtenues sont examinées par une équipe pluridisciplinaire dédiée (voir [SE 4 032]) afin d’en déduire leurs conséquences potentielles pour l’ensemble du système et de déterminer celles conduisant à des risques potentiels pour la sécurité des personnes, des biens et de l’environnement. Le groupe de travail examine et définit ensuite les actions recommandées pour éliminer en priorité la cause ou atténuer, voire éliminer les conséquences. L’analyse des déviations fait l’objet d’un enregistrement sous forme de tableaux, base indispensable pour la mise en place ultérieure des actions recommandées par le groupe de travail. Dans cet article, nous aborderons donc l’analyse du système, la détermination des paramètres, le choix des mots- clés et l’étude des déviations. Après avoir présenté la méthode HAZOP et ses domaines d’application dans l’article [SE 4 030], le principe en est donc ici donné avec les différents points à prendre en compte. Par la suite dans [SE 4 032], nous verrons comment cette méthode peut être appliquée. Les références bibliographiques ici citées sont consultables dans la fiche documentaire [Doc. SE 4 033].

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＲＱ

SE 4 031 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

La modélisation la mieux adaptée pour l’analyse de risque par la méthode HAZOP est le schéma détaillé de circulation des produits tels que présents dans l’installation considérée, d’où l’emploi fréquent « d’analyse sécurité sur schémas ». Ce type de schéma dit « PID », très répandu dans l’industrie chimique et pétrochimique, comprend une représentation graphique de l’ensemble des appareils et équipements, des tuyauteries les reliant entre eux (flux procédés, mais aussi utilités), ainsi que la totalité de l’instrumentation. Le PID est, par définition, plus complet que le schéma dit « PFD » qui se limite à la représentation des flux procédés et à l’instrumentation de base.

1. Analyse du système 1.1 Objectifs de l’analyse L’analyse du système a pour objectif le maintien de ses performances dans le temps, dans les conditions de sa conception et au moindre coût. Pour cela, il convient, comme pour toute étude de SdF, de procéder à une modélisation du comportement fonctionnel et dysfonctionnel du système, puis à évaluer ses performances.

La modélisation d’une installation industrielle peut requérir plusieurs dizaines de PID. À partir d’un PID, il convient alors de le fractionner en « nœuds » dont on donnera la définition suivante pour une installation : sous ensemble ou élément spécifique réalisant une fonction dans le procédé.

La sécurité des processus industriels dépend de l’interaction, du contrôle et de la maîtrise permanente de trois variables essentielles : le produit, le procédé et le facteur humain.

1.2 Définition du système

Exemple : un équipement (réacteur, réservoir ou pompe) avec ses connexions (tuyauteries) et son instrumentation réalise une fonction (réaction, stockage ou transfert).

1.2.1 Notion de système La notion de système fait l’objet de la définition suivante [1] : « ...ensemble de matériels, de logiciels, d’hommes, organisé pour assurer des fonctions données dans des conditions données... ».

Le tableau 1 présente une liste de seize équipements issus du projet européen ARAMIS [18] qui peuvent constituer autant de nœuds.

Le système est constitué de l’ensemble du processus industriel, de l’acheminement des produits à leur transformation, en passant par les conditions de stockage.

Dans un nœud, le comportement fonctionnel du procédé doit être clairement défini, ce que la méthode HAZOP qualifie d’« intention » du procédé et qui peut se définir simplement ainsi : « ...description de la façon dont le procédé doit se comporter dans le nœud... ».

Exemples : un site ou une installation (le plus souvent de type industriel), un équipement, sont parmi les systèmes le plus souvent considérés pour les études HAZOP.

La norme ISO/CEI 61882 (voir [Doc. SE 4 033]) retient une définition plus précise en se référant au concepteur de l’installation : « ...façon dont les éléments et les caractéristues doivent se comporter pour être conformes aux désirs du concepteur ou à une plage spécifiée... ».

1.2.2 Périmètre du système La première des actions à engager dans une étude HAZOP est de fixer le périmètre du système à étudier. Les enjeux et les moyens humains à mettre en œuvre sont différents selon que l’on s’adresse à un site, une installation, ou un équipement.

Tableau 1 – C lasses d’équipements selon le projet européen ARAMIS (d’après [18])

1.2.3 Modélisation du système

Classes « nœuds »

La deuxième action consiste à modéliser le système. Une installation industrielle peut être modélisée comme un ensemble composé essentiellement de matériels (M1, M2...) et d’opérateurs (O1, O2...) en interaction entre eux et avec l’environnement comme le présente la figure 1 [8].

EQ1

On entend par matériels et opérateurs les éléments suivants : – matériels : bâtiments, stockages, machines, appareils, équipements ; – opérateurs : tous les acteurs de l’installation, de la direction aux exécutants.

Figure 1 – Exemple de modélisation d’une installation industrielle

SE 4 031 – 2

É quipements Silo de stockage de solides

EQ2

Stockage de solides en petits emballages

EQ3

Stockage de fluides en petits emballages

EQ4

Réservoir sous pression

EQ5

Réservoir de liquide stocké à une pression supérieure à la pression de saturation par inertage

EQ6

Réservoir atmosphérique

EQ7

Réservoir cryogénique

EQ8

Équipement de transport sous pression

EQ9

Équipement de transport atmosphérique

EQ10

Tuyauterie

EQ11

Réservoir intermédiaire intégré dans un procédé

EQ12

Équipement impliquant des réactions chimiques

EQ13

Équipement dédié aux séparations physiques et chimiques des substances

EQ14

Équipement de production et de fourniture d’énergie

EQ15

Équipement pour emballage

EQ16

Autres équipements

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＲＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ _________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

Depuis, se sont ajoutés quatre mots-clés relatifs aux notions de temps et de séquence : – plus tôt que (earlier than) ; – plus tard que (later than) ; – avant (before) ; – après (later).

La norme entend par caractéristique « une propriété quantitative ou qualitative d’un élément ». L’intention concerne aussi bien le design (équipement) que la conduite (exploitation) de l’installation. L’intention du procédé peut être une grandeur physique (T, P, débit), ou une activité (phases de chargement d’un réactif, distillation d’un produit).

Soit un total aujourd’hui de onze mots-clés. La recherche d’autres mots-clés est ouverte à l’imagination.

Le premier cas concerne plus particulièrement les procédés continus en fonctionnement normal où les paramètres sont fixés par le procédé et le second cas les procédés discontinus ou semi-continus où les paramètres varient avec le temps et la séquence. On intégrera dans ce dernier cas l’étude des phases transitoires de démarrages et d’arrêts rencontrées dans les procédés continus.

2.3 Déviations 2.3.1 Définition La combinaison de mots-clés et de paramètres va constituer une dérive, ou déviation, de ce paramètre : MOT-CLÉ + PARAMÈTRE = DÉVIATION

2. Paramètres et mots-clés

La définition retenue pour la méthode HAZOP est : « ...écart par rapport aux intentions du design et de la conduite des opérations... » [10].

2.1 Paramètres La méthode HAZOP fait appel à des paramètres spécifiques qui s’expriment par de simples mots (noms ou verbes) caractéristiques de l’intention de la conception et que l’on peut définir ainsi : randeur physiquement mesurable, action ou opération à «g réaliser ». Le tableau 2 regroupe des listes de paramètres parmi les plus fréquemment employés dans l’industrie des procédés.

Exemple : le paramètre grandeur physique « température » appliqué au mot-clé « plus de » conduit à la déviation « plus de température », sous-entendu par rapport à l’intention du procédé, déviation qui s’exprimera plus clairement par « température haute ». De la même façon, le paramètre opératoire « agitation » appliqué au mot-clé « pas de » conduit à la déviation « pas d’agitation ».

On observera que l’homme est partie prenante dans les opérations et les actions à réaliser. On conçoit donc aisément que son rôle dans la sécurité des installations soit déterminant.

On notera que l’état de référence du paramètre soumis à déviation dépend notamment de l’état du système considéré : fonctionnement normal ou transitoire (démarrage, arrêt).

2.2 Mots-clés ou mots guides

2.3.2 Domaines d’application

Parallèlement, la méthode introduit un nombre limité (sept à l’origine) de mots-clés appelés aussi « mots guides » et définis originellement ainsi [10] :

Les déviations peuvent s’appliquer aux procédés continus (tableau 3), discontinus et semi-continus (tableau 4) et aux procédés en développement (tableau 5). Ces tableaux, issus respectivement des références [10] et [19], reprennent les mots-clés adaptés, leur signification, ainsi que des exemples de déviations.

« ...simple mot ou courte phrase qualifiant l’intention en vue de guider et de stimuler le processus créatif et ainsi de permettre la découverte de déviations... ».

Toutes les combinaisons paramètres/mots-clés ne conduisent pas nécessairement à des déviations pertinentes.

Liste des sept mots-clés (keywords) : – non ou pas de (no ou not) ; – plus de (more) ; – moins de (less) ; – en plus de (as w ell as) ; – en partie (part of) ; – autre que (other than) ; – inverse (reverse).

Exemple : le paramètre « température » appliqué au mot-clé « Pas de » conduit à la déviation « Pas de température », non pertinente hormis si l’on considère le zéro absolu ! Le tableau 6 montre plus généralement les déviations pertinentes notées X issues des onze mots-clés et de douze paramètres (six grandeurs physiques, trois opérations et trois actions à réaliser).

Tableau 2 – Exemples de paramètres de la méthode HAZOP Grandeurs physiques mesurables

Opérations à réaliser

Actions à réaliser

Fonctions-situations

Température

pH

Chargement

Contrôle

Démarrer

Protection

Pression

Intensité

Dilution

Séparation

Échantillonner

Fuite

Niveau

Vitesse

Chauffage

Refroidissement

Arrêter

Défaut d’utilités

Débit

Fréquence

Agitation

Transfert

Isoler

Gel

Concentration

Quantité

Mélange

Maintenance

Purger

Séisme

Contamination

Temps

Réaction

Corrosion

Fermer

Malveillance

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＲＳ

SE 4 031 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

Tableau 3 – Liste de mots-clés applicables aux procédés continus Types de déviations Négative

Mots-clés (K eywords)

Substitution

Exemples de déviations

Pas de, Non, Plus du tout (No, Not, None)

Aucune partie de l’intention n’est remplie, mais il ne se passe rien.

Pas de flux matière (débit nul), réacteur vide (niveau liquide nul).

Plus de (More than)

Dépassement, ou augmentation, quantitatif. Se réfère aux quantités et aux propriétés (T, P), mais aussi aux activités (chauffage, réaction).

Température de réaction supérieure à la valeur prévue, temps de séjour plus long que prévu, niveau liquide trop élevé, augmentation du chauffage.

Moins de (Less than)

Insuffisance ou diminution quantitative. Se réfère aux quantités et aux propriétés (T, P), mais aussi aux activités (chauffage, réaction).

Flux matière inférieur à la valeur prévue, niveau trop bas dans un réacteur, composition plus faible qu’attendue, diminution du chauffage.

Aussi, Ailleurs, En plus de (Also, As well as)

Accroissement qualitatif. L’intention (design et opératoire) est réalisée avec une activité additionnelle. Effet concomitant indésirable.

Présence d’une impureté dans une matière première ou dans un produit de réaction, orientation d’un produit vers un autre bac de stockage que le sien (contamination).

En partie, en moins (Part of)

Diminution qualitative. Une partie seulement de l’intention est réalisée.

Présence d’une phase aqueuse au stockage d’un des réactifs, entraînée en réaction.

Autre que (Other than)

Substitution complète. Résultat obtenu différent de celui de l’intention.

Fuite de produit par corrosion de canalisation.

Inverse, au contraire (Reverse)

Résultat logiquement opposé à celui de l’intention. Se réfère principalement aux activités, mais aussi aux substances.

Inversion de l’écoulement dans les canalisations, inversion des réactions chimiques, antidote au lieu de poison.

Modification quantitative

Modification qualitative

Signification des mots-clés et commentaires

Tableau 4 – Liste de mots-clés spécifiques aux procédés discontinus et semi-continus Types de déviations

Temps

Ordre

Séquence

Mots-clés, (K eywords)

Signification des mots-clés

Exemples de déviations

Plus tôt que (Earlier than)

Événement se produisant avant l’heure (ou le moment) prévu par l’intention

Introduction des réactifs A et B réalisée plus tôt que la mise en chauffe du réacteur

Plus tard que (Later than)

Événement se produisant après l’heure (ou le moment) prévu par l’intention

Introduction du catalyseur C dans le réacteur après l’addition du solvant S

Avant (Before)

Événement se produisant plus tôt que prévu dans une séquence

Introduction du catalyseur C dans le réacteur avant le démarrage de l’agitation

Après (After)

Événement qui se produit plus tard que prévu dans une séquence

Introduction du réactif B avant le réactif A

Plus vite (Faster)

Séquence plus rapide que l’intention

Durée d’introduction d’un des réactifs deux fois plus rapide que prévue

Plus lente (Slower)

Séquence plus lente que l’intention

Allongement de la durée de la vidange du réacteur en fin d’opération

Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement Types de déviation

Mots-clés (K eywords)

Signification des mots-clés

Négative

Pas de, Non, Plus du tout (No, Not)

Aucune partie de l’intention n’est remplie

Élimination d’un solvant ou d’un catalyseur

Plus de (More)

Augmentation quantitative

Augmentation de la température de réaction ou de la quantité d’un solvant

Moins de (Less)

Réduction quantitative

Réduction de la température ou de la quantité de solvant

Modification quantitative

SE 4 031 – 4

Exemples de déviations

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＲＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＱ _________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement (suite) Types de déviation

Mots-clés (Keywords)

Modification qualitative

Autant que, Aussi, En même temps (As well as)

Activité concomitante à celle de l’intention

Présence d’une impureté contenue dans une matière première, exécution d’une autre opération ou étape

Autre que (Other than)

Activité substituée à celle de l’intention

Substitution d’une matière première ou d’un solvant par une autre matière première ou un autre solvant

Inverse (Reverse)

Activité opposée à celle de l’intention

Flux inverse de matière ou inversion de réaction chimique

Plus tôt que, Plus tard que (Earlier than, Later than)

Activité se produisant au mauvais moment (avant ou après d’autres activités)

Changement des enchaînements ou des séquences

Signification des mots-clés

Substitution

Temps

Exemples de déviations

Tableau 6 – Exemple de matrice mots-clés/paramètres HAZOP Mots-clés Paramètres HAZOP

Pas de

Plus de

Moins de

Température

Grandeurs physiques

Opérations

Actions

En partie

Aussi

X

X

Pression

X

X

X

Niveau

X

X

X

Débit

X

X

X

X

Concentration

X

X

X

X

Contamination

X

X

X

X

Chargement

X

X

X

Inverse

Autre que

Plus tôt

Plus tard

Avant

Après

X

X

X

X

X

X

X

X

X X X

X

X X X

X

X

X

Agitation

X

X

X

X

X

X

X

X

X

X

Chauffage

X

X

X

X

X

X

X

X

X

X

Démarrer

X

X

X

X

X

X

X

Mesurer

X

X

X

X

X

X

X

Arrêter

X

X

X

X

X

X

X

3. Étude des déviations

environnement. Cette approche est commune à de nombreuses méthodes comme le montre le tableau 7.

3.1 Logigramme de l’étude

Les causes des déviations sont les raisons ou problèmes pour lesquels ces déviations ont lieu.

Cette phase de l’étude constitue le cœur de la méthode HAZOP. Par un mécanisme itératif sur chacun des nœuds, l’association systématique paramètres/mots-clés doit permettre de couvrir de façon exhaustive toutes les dérives potentielles ou problèmes imaginables dans l’installation étudiée. Le logigramme de l’étude des déviations HAZOP est présenté à la figure 2.

Le tableau 8 présente divers types de causes possibles de déviations, leur origine et des exemples. On notera que les défaillances opérateur peuvent recouvrir de nombreux aspects correspondant aux erreurs humaines. L’homme intervient comme événement initiateur d’accident, d’autant plus qu’il est aussi responsable des défaillances de matériel.

Remarque. Il est possible de conduire l’analyse des déviations en appliquant, à l’inverse, un mot-clé à chacun des paramètres.

La cause fondamentale de ces défaillances humaines est liée à une mauvaise gestion de la sécurité.

3.2 Causes des déviations

3.2.2 Recherche des causes de déviations

3.2.1 Définitions et origine

La recherche des causes de déviations de chaque paramètre nécessite de se poser systématiquement la question suivante : que faut-il faire pour que le paramètre étudié soit différent de celui de l’intention ?

La méthode HAZOP d’analyse de risques procède selon une démarche dite « inductive », partant de la cause de la déviation d’un paramètre afin d’identifier ses effets sur le système et son

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＲＵ

SE 4 031 – 5

ＲＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＲ

HAZOP : une méthode d’analyse des risques

par

Michel ROYER Ingénieur chimiste

1 . 1.1

1.2

1.3

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＰＹ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＶ

1.4

Mise en œuvre de la méthode............................................................... Documentation ............................................................................................. 1.1.1 Documents relatifs aux produits........................................................ 1.1.2 Documents relatifs au procédé .......................................................... 1.1.3 Documents relatifs aux opérations.................................................... Acteurs .......................................................................................................... 1.2.1 Mise en place du groupe de travail ................................................... 1.2.2 Le chef de projet.................................................................................. 1.2.3 L’animateur HAZOP ............................................................................ 1.2.4 Les spécialistes techniques ................................................................ 1.2.5 Autres fonctions .................................................................................. 1.2.6 Règles de conduite de l’équipe .......................................................... Déroulement ................................................................................................. 1.3.1 Préparation des sessions.................................................................... 1.3.2 Sessions HAZOP ................................................................................. Délivrables .................................................................................................... 1.4.1 Recommandations d’actions.............................................................. 1.4.2 Documents de fin de session ............................................................. 1.4.3 Document de fin d’études ..................................................................

SE 4 032 - 2 — 2 — 2 — 2 — 2 — 2 — 2 — 3 — 3 — 4 — 4 — 4 — 4 — 4 — 5 — 7 — 7 — 8 — 8

2 .

Illustration de la méthode......................................................................

—

8

3 .

C ..................................................................................................

—

10

Pour en savoir plus ...........................................................................................

Doc. SE 4 033

omme nous l’indiquions dans le dossier [SE 4 030], la mise en œuvre de la méthode HAZOP (Hazard and operability studies) nécessite la constitution d'un groupe de travail rassemblant autour d'un animateur, garant de la méthode, une équipe pluridisciplinaire ayant une connaissance approfondie de l’installation décrite sur des plans détaillés. Elle demande donc la mobilisation d’une équipe pluridisciplinaire pendant de longues périodes, et la collecte de nombreux documents pour modéliser l’installation [SE 4 031]. Dans ce troisième volet consacré à la mise en œuvre de la méthode HAZOP, une présentation des différentes composantes de l’équipe de travail est faite après avoir établi la liste des différents documents à réunir. Sont ensuite abordés le déroulement des différentes réunions de travail et les documents finaux à produire. Enfin, une courte illustration d’application est donnée. Les références bibliographiques sont regroupées dans la fiche documentaire [Doc. SE 4 033].

C

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＲＷ

S E 4 0 3 2 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＳＲ

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

1. Mise en œuvre de la méthode

1.2 Acteurs 1.2.1 Mise en place du groupe de travail Exemple : cas d’un projet d’industrialisation Pour un projet rendu au stade avancé correspondant aux phases d’ingénierie de détail et de construction, l’entreprise (maître d’ouvrage) doit mettre en place une organisation appropriée, du type de celle présentée par la figure 1 [9].

1.1 Documentation 1.1.1 Documents relatifs aux produits Le tableau 1 détaille les cinq thèmes majeurs à documenter, ainsi que la nature des documents à collecter. Nombre de documents doivent être déjà disponibles si l’on a procédé préalablement à une APR (Analyse préliminaire de risques).

Comité de pilotage

Maître d'ouvrage (entreprise)

Environnement socio économique

Directeur de projet Représentant du Maître d'ouvrage

1.1.2 Documents relatifs au procédé Le tableau 2 détaille les thèmes à documenter, ainsi que la nature des documents à collecter.

Chef de projet (maître d'oeuvre)

1.1.3 Documents relatifs aux opérations

- société d'ingénierie - entrepreneurs - spécialistes

Le tableau 3 détaille les thèmes à documenter, ainsi que la nature des documents à collecter.

Exploitant Site d'accueil Opérateurs

Figure 1 – Schéma de l’organisation à mettre en place pour mener un projet d’industrialisation

Tableau 1 – Liste des documents à collecter relatifs aux produits pour une étude HAZOP Thèmes à documenter

Documents à collecter

Caractéristiques des produits et utilités

Matières premières, intermédiaires, produits finis, sous-produits, impuretés, auxiliaires (solvants, catalyseurs), utilités, déchets, rejets liquides et gazeux

Fiches produits* : propriétés physiques, chimiques thermodynamiques, inflammabilité, réactivité, instabilité, toxicité, écotoxicité, modes de stockage, indices Dow et CHETAH, PEM, critères NFPA, traitement et destruction des produits, réglementation (ICPE, transport.). Document unique

Caractéristiques des déchets

Rejets, déchets chroniques et accidentels

Études déchets

Réactions principales, secondaires, parasites

Fiches réactions : équations chimiques, chaleurs de réaction (exo ou endo-thermie), opérations (continues, discontinues, semi-continues...), modes opératoires (état physique, quantités, flux, T, P, compositions...), cinétique, risques associés (explosion thermique, rejet de produit toxique...), dispositifs de maîtrise des réactions, mesures de prévention des pannes et fausses manœuvres, moyens de collecte, traitement et destruction des rejets potentiels de produits dans l’environnement

Caractéristiques des séparations physiques

Opérations de génie chimique

Fiches opérations : nature (distillation, filtration...), conditions opératoires (état physique, quantités, flux, T, P, compositions, phases...), risques associés (explosion physique, rejet de produit toxique...), mesures de prévention des pannes et des fausses manœuvres, moyens de collecte, traitement et destruction des rejets potentiels de produits dans l’environnement

Incompatibilités des produits, utilités et matériaux

Produit-produit, produit-matériau, produit-utilité, produit-auxiliaire

Matrice d’incompatibilité : risques associés à réaction, explosion, incendie, polymérisation, corrosion, échauffement, décomposition, précipitation...

Flux matières et flux thermiques

Bilan matières Rejets dans l’environnement

Bilan matières : flux par flux, prévisionnel et cohérent (par analyse de chacun des flux), bilan thermique par nœud ou opération

Caractéristiques des réactions

* On se procurera auprès des fournisseurs (fabricants, importateurs ou vendeurs) les fiches de données de sécurité (ou FDS (MSDS)) à jour et, auprès de l’INRS, les fiches toxicologiques des produits (quand elles existent).

SE 4 032 – 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＲＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＴＰ

AMDE (C) par

Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert en sûreté de fonctionnement à la Direction déléguée Système d’exploitation et sécurité à la SNCF Vice-président de l’Institut de sûreté de fonctionnement

1.

Introduction...............................................................................................

2. 2.1 2.2 2.3 2.4

Sens et pertinence de l’AMDE(C)......................................................... Principe de l’AMDE(C) ................................................................................. Utilité de l’AMDE(C) ..................................................................................... Conditions de réussite de l’AMDE(C) ......................................................... Place de l’AMDE(C) dans une démarche de maîtrise des risques ...........

— — — — —

2 2 2 3 3

3. 3.1 3.2

Réalisation d’une AMDE(C) ................................................................... Préparation à l’AMDE(C).............................................................................. Conduite de la méthode.............................................................................. 3.2.1 Première étape : décomposition et modes de défaillance .............. 3.2.2 Deuxième étape : effets et criticité .................................................... 3.2.3 Le tableau AMDE(C) ........................................................................... 3.2.4 Troisième étape : synthèse ................................................................

— — — — — — —

4 4 5 5 6 6 7

4. 4.1

— — — — —

7 7 7 7 8

4.2

Exploitations de l’AMDE(C) ................................................................... Produits directs d’une AMDE(C)................................................................. 4.1.1 Évaluation des défaillances................................................................ 4.1.2 Actions correctives ............................................................................. 4.1.3 Suivi des corrections .......................................................................... 4.1.4 Constitution d’un dossier. Documents complémentaires du tableau ................................................................................................. Impacts de l’AMDE(C).................................................................................. 4.2.1 Conséquences à tirer des résultats d’une AMDE(C) ........................ 4.2.2 Impacts sur la conception.................................................................. 4.2.3 Validation de la conception ............................................................... 4.2.4 Prescriptions d’exploitation ............................................................... 4.2.5 Organisation de la maintenance ....................................................... 4.2.6 Exploitation, maintenance et retour d’expérience........................... 4.2.7 Communication ..................................................................................

— — — — — — — — —

8 8 8 9 9 9 9 9 9

5. 5.1 5.2 5.3 5.4

Recommandations sur le processus ................................................... Échanges entre l’analyste, le commanditaire et les experts .................... L’animation du groupe de travail................................................................ Pousser les limites de la méthode ............................................................. Soigner la synthèse .....................................................................................

— — — — —

10 10 10 11 11

6. 6.1 6.2

Limites de l’AMDE(C) .............................................................................. Réputation d’exhaustivité de l’AMDE ........................................................ Domaines d’application ..............................................................................

— — —

11 11 11

7.

Conclusion .................................................................................................

—

12

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＵ

Pour en savoir plus...........................................................................................

SE 4 040 – 2

Doc. SE 4 040

e texte a pour ambition de présenter la démarche et les méthodes AMDE (analyse des modes de défaillance et de leurs effets)/AMDEC (analyse des modes de défaillance, de leurs effets et de leur criticité), non pour faire double

C

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur

ＲＹ

SE 4 040 − 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＴＰ

AMDE (C) _____________________________________________________________________________________________________________________________

emploi avec les nombreux fascicules, articles, supports de formation ou chapitres d’ouvrages consacrés à la qualité ou la sûreté de fonctionnement qui décrivent l’AMDE(C). L’auteur a tenté de recueillir et de restituer la riche expérience de plusieurs spécialistes qui ont pratiqué ces méthodes dans des contextes divers. Aussi la valeur qu’il espère avoir ajoutée est-elle formée surtout de commentaires et de recommandations visant à aider à mieux comprendre et à mieux utiliser ces méthodes très largement répandues. Ce dossier commence par situer l’AMDE(C) dans son environnement, lui donner son sens. Ensuite, il aborde le déroulement de la démarche ; puis il illustre l’usage de ces méthodes avant de mettre en avant les principales recommandations et limites. Un exemple plus scolaire pour être bref rend concrète la démarche avant de conclure.

1. Introduction

2. Sens et pertinence de l’AMDE(C)

L’AMDE et l’AMDEC sont si connues et utilisées qu’elles sont pratiquement devenues le symbole de la sûreté de fonctionnement. L’AMDE (analyse des modes de défaillance et de leurs effets) étant incluse dans l’AMDEC (analyse des modes de défaillance, de leurs effets et de leur criticité), nous parlerons dans ce texte généralement d’AMDEC ou d’AMDE(C). Cette démarche est effectivement très utilisée et très utile dans toute approche des risques. Pourtant, il ne faudrait pas confondre « analyse des risques » et AMDE(C) ou croire que toute analyse de risque passe par une AMDE(C).

2.1 Principe de l’AMDE(C) Ne perdons jamais de vue le principe de l’AMDE. Principe de L’AMDE ● Point de départ : décomposition du système en composants. ● Étape 1 : recensement des modes de défaillance des composants. ● Étape 2 : effets et conséquences des modes de défaillance des composants. ● Sortie : risques découlant des défaillances des composants.

Notre but n’est pas de minimiser les apports de cette méthode à la sûreté de fonctionnement, bien au contraire, mais il faut néanmoins lui redonner sa vraie place. Si la plupart des méthodes méritent une certaine promotion tant elles peuvent apporter plus que l’usage qui en est fait habituellement, l’AMDE(C) bénéficie au contraire d’une réputation extraordinaire au point que certains dirigeants industriels voulant exprimer l’exigence d’une étude de risques avant mise en service d’un système complexe et innovant ont écrit qu’une AMDE(C) du système devait être réalisée.

L’AMDE est une méthode inductive qui part des défaillances élémentaires des composants pour en déduire ce qui en résulte et donc à quelles situations, dues à ces défaillances, il faut s’attendre. L’AMDEC ajoute une dimension d’évaluation de la gravité de ces situations.

Nous nous attacherons dans ce texte à expliquer de notre mieux le sens et la pertinence de l’AMDE(C), à décrire le processus de réalisation d’une AMDE(C) utile et à rappeler les recommandations les plus importantes issues de l’expérience pour réussir une AMDE(C) de façon qu’elle soit utile.

L’AMDE(C) consiste à identifier et évaluer l’impact des défaillances des éléments du système sur celui-ci, ses fonctions, son environnement.

Le contenu de ce dossier doit tout aux membres de feu l’Institut de Sûreté de Fonctionnement et aux membres de l’actuel Institut de Maîtrise des risques par la Sûreté de fonctionnement qui ont partagé leurs savoirs et leurs expériences dont l’auteur de ce dossier a largement bénéficié. Les membres du Groupe de Travail et de Réflexion « Méthodes, Outils Standards » ont particulièrement travaillé sur cette méthode AMDE(C) et sont auteurs d’un guide pédagogique qui lui est consacré et dont l’auteur de ce dossier s’inspire au même titre que de leurs expériences et conseils pour ce texte. Qu’ils en soient remerciés comme ils le méritent ici.

2.2 Utilité de l’AMDE(C) Comme avec toute méthode, on est beaucoup plus efficace quand on comprend le but de la démarche que quand on se contente d’appliquer les règles d’un manuel si bon soit-il. Aussi est-il plus profitable de conduire une AMDE(C) en fonction de l’usage qui va en être fait qu’en application d’une consigne ou d’une exigence contractuelle ou réglementaire du type « réaliser une AMDE(C) sur le système… conformément à la norme X ». Nous ne pourrons faire le tour de tous les usages possibles d’une AMDE(C), mais nous en évoquerons quelques-uns caractéristiques.

En anglais, la méthode est connue sous le sigle FMECA (Failure Modes Effects and Criticality Analysis) ou FMEA.

L’AMDE(C) identifie les problèmes auxquels exposent les défaillances internes du système étudié. En tenant compte des limites de la méthode auxquelles nous reviendrons plus tard, cela permet : — d’évaluer la gravité des situations auxquelles il faudra peutêtre faire face ;

On considère généralement que la méthode est apparue fin des années 1950, début des années 1960 dans l’industrie aéronautique militaire américaine.

SE 4 040 − 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur

ＳＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＴＰ

____________________________________________________________________________________________________________________________

AMDE (C)

produit », « AMDEC processus » ou « AMDEC moyen » et bien d’autres encore. Il importe surtout de bien s’imprégner de l’esprit de la démarche qui est exactement le même.

— d’évaluer globalement les risques auxquels les défaillances des composants exposent ; — d’identifier et de hiérarchiser les faiblesses du système ; — de prévoir la maintenance corrective nécessaire ; — d’évaluer l’intérêt de modifications de la conception ou de maintenance préventive pour réduire ces risques ; — de prévoir des mesures d’exploitation adaptées aux situations à venir ; — de hiérarchiser l’importance des règles d’exploitation et de maintenance ; — d’intégrer dans une vision globale du système les compétences des diverses sciences et techniques sollicitées par le système en faisant dialoguer les spécialistes de celles-ci.

2.3 Conditions de réussite de l’AMDE(C) L’AMDE(C) a toute sa pertinence quand les conditions suivantes sont réunies : — il faut savoir décomposer l’ensemble du système étudié en composants d’un niveau de finesse tel que à chaque composant on sache associer tous les modes de défaillance qui peuvent l’affecter ; — il faut connaître les fonctionnements du système pour pouvoir décrire ce qui se passe quand apparaît un mode de défaillance d’un composant et suivre la chaîne de la cause vers les conséquences.

L’AMDE, appliquée à un produit destiné au grand public, incluant comme « composant » l’utilisateur et lui associant comme « modes de défaillance » les mauvais usages, erreurs ou manques de soin auxquels il peut raisonnablement soumettre son appareil, permet d’imaginer les risques (dysfonctionnements ou accidents) auxquels il s’expose du fait des défaillances, intrinsèques ou induites par son action, de l’appareil. Sur cette base, l’entreprise, qui commercialise le produit, peut ajouter une dimension criticité à ces événements (responsabilité du constructeur du fait du produit en cas d’accident, perte de clientèle, perte d’image, coût d’après-vente…) et évaluer l’intérêt de mesures de réduction de risque (avertissements sur la notice, indications sur le produit, ajout de protections ou de détrompeurs, modification de la conception ou de la fabrication, voire retrait du marché…).

Dans ces conditions, l’AMDE(C) va se dérouler au mieux et produire les résultats attendus ! Il faut combattre avec fermeté l’illusion assez répandue que, en présence d’un système mal connu ou qui nous apparaît comme une « boîte noire », une AMDE(C) serait bienvenue pour se couvrir. Une AMDE(C) sur un système dont on ne connaît pas les fonctionnements est un leurre. Si l’aura de la méthode donne de l’assurance dans de telles conditions, c’est de la tromperie. Comme toute méthode, l’AMDE(C) exploite de l’information, elle n’en crée pas à partir de rien.

L’AMDEC, appliquée à une chaîne de production, permet de hiérarchiser et de valoriser les conséquences des défaillances des pièces composant la chaîne et, en conséquence, d’évaluer l’intérêt :

2.4 Place de l’AMDE(C) dans une démarche de maîtrise des risques

— des stocks de pièces de rechange ; — de modifications de la chaîne pour réduire les temps de remplacement de certaines pièces ; — de renforcer ou d’alléger la maintenance préventive sur telle ou telle pièce ; — de choisir tels ou tels points de contrôle pour garantir la qualité du produit fini de façon optimale ; — de payer plus cher des pièces plus fiables ; — de doubler tout ou partie de la chaîne ; — de privilégier une série ou un fournisseur pour telle ou telle pièce…

Si on fait le bilan des expériences réussies ici et là, on trouvera l’AMDE(C) à pratiquement tous les stades du cycle de vie d’un système. Toutefois, on peut souligner le caractère à peu près incontournable de l’AMDE(C) à la fin de la conception, à la charnière avec la réalisation ou l’exploitation et la maintenance. En effet, quand le système est décrit de façon précise, les composants choisis, l’AMDE(C) s’applique à merveille pour compléter la connaissance des fonctionnements (fonctionnements souhaités décrits par la conception) avec les fonctionnements non souhaités, mais inévitables du fait qu’aucun composant n’est infaillible. Il faut bien prendre en compte ce qui peut résulter des défaillances des composants choisis. À ce stade, les spécialités diverses sollicitées par la conception ont dû réunir leurs apports et c’est une caractéristique intéressante de l’AMDE(C) de réunir et faire dialoguer les connaissances (modes de défaillance et comportements des divers éléments du système) de toutes les spécialités.

L’AMDE appliquée à l’alimentation électrique d’un important domaine, a permis d’identifier toutes les défaillances élémentaires susceptibles de provoquer des conséquences sensibles sur l’alimentation d’un établissement du domaine. On a alors pu reprendre chacune de ces défaillances pour s’assurer que des précautions étaient prises pour que une ou deux défaillances simultanées n’aient pas de conséquences dommageables. Le caractère systématique de l’AMDE a permis d’identifier quelques cas qui n’étaient pas bien couverts et de renforcer les précautions. Du seul point de vue d’un fabricant, l’AMDEC s’applique à plusieurs « systèmes ». Elle s’applique au produit de ce fabricant. Ses résultats vont alors permettre d’améliorer la conception de ce produit en vue de la meilleure satisfaction possible des exigences du client. Elle s’applique aussi au processus de fabrication du produit. Ses résultats permettent d’améliorer la conception du processus de fabrication pour mieux garantir la satisfaction du client (tenue des délais, conformité de la fabrication…) et maîtriser les risques de la production (rebuts, pertes de production…). Enfin à l’échelle inférieure, elle s’applique à chacun des moyens de production. Ses résultats vont influer sur les exigences à l’égard du moyen de production et sur la maintenance en vue de réduire les impacts négatifs des pannes du moyen sur la production. De telles AMDEC sont des études différentes, mais dont les enjeux et les résultats ne sont pas totalement indépendants. Aussi peut-il y avoir des allers et retours entre les équipes menant ces analyses. On emploie couramment des termes différents pour désigner ces analyses comme « AMDEC

Exemple : quelle défaillance peut affecter l’alimentation électrique qui produit quel effet sur le moteur de la pompe qui produit quoi pour le fluide qui se traduit comment sur la température qui a quel effet sur les circuits électroniques qui produit quel résultat sur le traitement des données, etc. À ce stade, l’AMDE(C) permet de s’assurer que les conséquences des défaillances internes au système sont compatibles avec les objectifs ou de reprendre la conception pour y remédier. Puis, elle permet de transmettre aux exploitants et mainteneurs (autorisons-nous ce néologisme pour désigner les équipes en charge de la maintenance !) une description réaliste du système tel que les concepteurs l’ont étudié. Non seulement ce qu’on en attend positivement (contenu dans les spécifications techniques de besoins) mais aussi ce qu’on a accepté de négatif décrit et évalué dans l’AMDE(C).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur

ＳＱ

SE 4 040 − 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＴＰ

AMDE (C) _____________________________________________________________________________________________________________________________

Toutefois, on pratique aussi souvent l’AMDE(C) sur un système ancien ou acheté sur étagère pour anticiper les pannes et optimiser les réactions à ces pannes (maintenance mais pas seulement). On trouve aussi l’AMDE(C) comme un moyen dans une démarche d’APR (analyse préliminaire de risques), cf. [SE 4 010] Analyse préliminaire de risques. L’APR ayant globalement comme objectif d’identifier les risques nécessitant une démarche spécifique et de proposer une démarche de maintien de ces risques à un niveau acceptable, une AMDE(C) sur une partie du système est la démarche adéquate si les défaillances des composants du système sont susceptibles d’être à l’origine de risques importants. Ces deux exemples illustrent le fait qu’on peut trouver utilité à l’AMDE(C) aussi bien très en amont que très en aval d’un cycle de vie.

dépendent très lourdement des dysfonctionnements des moyens de production ; c’est pourquoi l’AMDE(C) est très utilisée avec grand bénéfice sur les moyens de production. Et pourquoi plusieurs AMDE(C) par phase par exemple En présence d’un système complexe qui passe par diverses phases ou diverses configurations… l’AMDE(C) unique qui couvre tous les cas devient pratiquement très difficile à réaliser, encore plus difficile à exploiter et le risque d’être gravement incomplète est très élevé : au moment de l’analyse, il est fort à craindre que les diverses configurations n’aient pas été réellement envisagées. Il est plus sage de réaliser plusieurs AMDE(C) par phase ou par configuration, quitte à s’interroger sur la nécessité de les étudier toutes par une AMDE(C).

Enfin, on doit même souligner l’intérêt de démarrer une AMDE(C) très tôt dans le développement d’un nouveau produit ou service : avant même de savoir précisément comment une fonction sera réalisée, donc avant de connaître vraiment les composants et leurs modes de défaillance, on peut émettre des hypothèses et imaginer les conséquences des défaillances envisagées. Cette démarche a très souvent permis d’améliorer considérablement la complétude des spécifications. En effet, s’il est naturel d’exprimer ce qu’on attend d’un nouveau système, il n’est ni naturel ni facile d’exprimer ce qu’on ne veut pas qu’il fasse. Une AMDE(C) fondée sur des hypothèses de conception et de défaillances est très efficace pour tendre à la complétude des spécifications.

Le critère de sagesse est d’éviter que, au moment de répondre à la question « quels sont les effets de tel mode de défaillance ? », la réponse pertinente commence par « ça dépend de… ».

3. Réalisation d’une AMDE(C) 3.1 Préparation à l’AMDE(C)

Ainsi, en présence d’un système complexe, l’AMDE(C) revient généralement plusieurs fois dans le cycle d’étude du système. Chaque projet doit déterminer les revues (articulations entre phases du projet) pour lesquelles une AMDE(C) sur telle ou telle partie du projet serait nécessaire. Les normes ayant essayé de donner des critères généraux identifient trois niveaux de décomposition pour un système important et trois sujets d’AMDE(C) : — le niveau « système » ; — le niveau « sous-système » ; — le niveau « composants » ; — l’AMDE(C) fonctionnelle ; — l’AMDE(C) produit ; — l’AMDE(C) processus.

La méthode s’inscrit dans un cycle d’activités. En amont de l’AMDE ou AMDEC proprement dite, une analyse fonctionnelle doit avoir été réalisée. L’analyse fonctionnelle externe du système décrit ce qu’on attend de lui. Cette description est essentielle pour donner du sens à l’analyse des dysfonctionnements. Il s’agit de savoir si les fonctionnements identifiés sont conformes à ces exigences, empêchent la réalisation d’une fonction exigée, dégradent l’accomplissement d’une fonction ou encore s’ils produisent un résultat indifférent par rapport au cahier des charges, mais dont on devra s’assurer qu’il ne présente pas un danger. L’analyse fonctionnelle interne décrit comment les fonctions exigées par le cahier des charges pour le client sont réalisées à travers des fonctions décrites aux spécifications techniques de besoin en tant que fonctions à accomplir, performances associées à ces fonctions, conditions dans lesquelles ces fonctions sont réputées exigibles, contraintes à respecter. Cette analyse fonctionnelle interne décrit, au niveau fonctionnel, comment le système fonctionne quand il fonctionne « bien », elle est donc nécessaire pour évaluer les effets des modes de défaillance identifiés.

Pourquoi plusieurs niveaux : — d’une part pour pouvoir découper en parties matériellement réalisables et lisibles l’AMDE(C) qui, réalisée d’un seul morceau pour un système aussi complexe qu’un avion moderne ou une centrale d’énergie, serait un monstre. Un monstre trop difficile à exploiter et un monstre inutile, car les conséquences mises en évidence par une analyse à la fois globale et exhaustive seront de niveau de criticité très différents. Il vaut bien mieux réserver la méthode à ce qui, à chaque étape, est de premier ordre, en vaut la peine ; — d’autre part, pour tirer des conclusions qui peuvent l’être à des stades intermédiaires. Imaginer des dysfonctionnements globaux de sous-systèmes (à un stade où on ne sait peut-être pas encore à quels composants on les devra et si on saura intervenir sur leur propagation) et réaliser l’importance de leurs conséquences permet d’améliorer l’architecture pour s’en protéger plutôt que se trouver plus tard confronté à l’alternative : soit remettre en cause l’architecture et revenir loin en arrière, soit être contraint d’éliminer les causes de ces dysfonctionnements ce qui peut se révéler impossible ou très coûteux. L’AMDE(C) s’applique aussi bien à une décomposition fonctionnelle (à condition de disposer d’une décomposition en fonctions élémentaires dont on connaît les échecs possibles) qu’à une décomposition matérielle. Une bonne AMDE(C) fonctionnelle, quand elle est possible, prépare très utilement et permet de cibler la ou les AMDE(C) matérielles.

Ces analyses fonctionnelles sont explicites dans le cadre de grands projets menés selon les référentiels qui les exigent. Dans de nombreux cas, elles sont implicites ou incomplètes. Il importe pour mener une AMDE(C) pertinente de rendre explicite ces informations. Le déroulement de l’AMDE(C) peut sembler parfait sans être passé par cette étape dans la mesure où les participants partagent une vision commune du système. Le déroulement sans heurt de l’analyse peut masquer des divergences de conception sur ce qui est attendu du système, sur ce qui est acceptable ou non. Le responsable de l’analyse, faute de référence, ne peut s’assurer d’avoir bien couvert les exigences du système et des exigences importantes (tellement d’ailleurs qu’elles sont implicites pour tout le monde) auront été oubliées. Des fonctionnements, dysfonctionnels pour la conception, mais banalisés par les exploitants parce que, en l’absence de malchance, ils permettent quand même de produire, seront traités comme des fonctionnements nominaux au lieu d’être traités comme des situations au moins de fragilité. L’absence d’explicitation des exigences fonctionnelles externes et internes rend l’exploitation de l’AMDE(C) très périlleuse et potentiellement trompeuse.

L’AMDE(C) s’applique aussi bien au produit ou service à produire qu’aux moyens de le produire. La production d’un produit ou service conforme aux engagements pris et le coût de cette production

La validation des analyses fonctionnelles existantes ou la réalisation d’analyses fonctionnelles est une étape d’initialisation nécessaire pour aborder l’AMDE(C). Elle devrait impliquer tous les futurs

Pourquoi plusieurs sujets

SE 4 040 − 4

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur

ＳＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＰ

Arbres de défaillance, des causes et d’événement par

Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert sûreté de fonctionnement à la Direction déléguée Système d’exploitation et sécurité à la SNCF Vice-Président de l’Institut de sûreté de fonctionnement

1. 1.1 1.2

Trois arbres mais trois démarches distinctes .................................. Principes et objectifs de ces méthodes...................................................... Choix et complémentarité de ces méthodes.............................................

2. 2.1 2.2 2.3 2.4 2.5 2.6 2.7

Arbre de défaillance................................................................................ Principes. Caractéristiques. Objectifs......................................................... Construction d’un arbre de défaillance...................................................... Recherche des coupes minimales .............................................................. Quantification d’un arbre de défaillance pas à pas .................................. Exploitation d’un arbre de défaillance ....................................................... Conclusion.................................................................................................... Exemple........................................................................................................

— — — — — — — —

3 3 4 9 12 13 14 15

3. 3.1 3.2 3.3 3.4

Arbre des causes...................................................................................... Principe. Caractéristiques. Objectifs .......................................................... Construction d’un arbre des causes........................................................... Exploitation de l’arbre des causes ............................................................. Exemple........................................................................................................

— — — — —

17 17 17 19 20

4. 4.1 4.2 4.3

Arbre d’événement .................................................................................. Principes. Caractéristiques. Objectifs......................................................... Construction de l’arbre d’événement ........................................................ Exploitation de l’arbre d’événement..........................................................

— — — —

21 21 21 22

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＲ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＱＷ

Pour en savoir plus ...........................................................................................

SE 4 050 - 2 — 2 — 3

Doc. SE 4 050

a sûreté de fonctionnement (comme expliqué dans les articles La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] et Sûreté de fonctionnement : démarches pour maîtriser les risques [SE 1 020]) au service de la maîtrise des risques, décrit les mécanismes qui conduisent aux incidents et aux accidents. On trouve donc naturellement dans cette discipline des méthodes destinées à représenter la logique des combinaisons de faits ou de conditions qui ont conduit, conduisent ou pourraient conduire à des incidents ou accidents. Rien d’étonnant donc que des représentations arborescentes fassent partie des outils usuels de la sûreté de fonctionnement. Nous présentons dans cet article les trois méthodes les plus courantes : l’arbre de défaillance, l’arbre des causes et l’arbre d’événement. Ces trois méthodes ont en commun de produire des représentations de la logique d’un système (ou d’une partie) sous des formes arborescentes. Cette ressemblance superficielle est trompeuse : ces trois méthodes répondent à des besoins nettement différents et les arbres produits ne contiennent pas les mêmes informations. Cette ressemblance dans la forme et, naturellement, dans l’appellation nous a motivés à les présenter ensemble afin d’aider le lecteur à les distinguer.

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

ＳＳ

S E 4 0 5 0

−1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＰ

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Il ne faut donc pas prendre ces trois méthodes pour des variantes d’une même méthode ou pour trois façons de conduire le même raisonnement mais bien pour trois méthodes différentes.

1. Trois arbres mais trois démarches distinctes 1.1 Principes et objectifs de ces méthodes ■

L’a r b r e de défaillance est une méthode qui part d’un événement final pour remonter vers les causes et conditions dont les combinaisons peuvent le produire. Il vise à représenter l’ensemble des combinaisons qui peuvent induire l’événement étudié d’où sa représentation schématique donnée à titre d’exemple figure 1 a.

On construit et on utilise un arbre de défaillance dans le cadre d’une étude a priori d’un système. Ayant pour point de départ un événement redouté (dysfonctionnement ou accident), la démarche consiste à s’appuyer sur la connaissance des éléments constitutifs du système étudié pour identifier tous les scénarios conduisant à l’événement redouté. L’arbre de défaillance est une représentation en deux dimensions (cf. figure 1 a) des enchaînements qui peuvent conduire à l’événement redouté, le point de départ de la démarche. On peut ensuite utiliser cette représentation pour calculer la probabilité de l’événement redouté à partir des probabilités des événements élémentaires qui se combinent pour le provoquer. Des logiciels sont commercialisés qui permettent de réaliser commodément la mise en forme d’arbres pouvant comporter un grand nombre d’éléments et qui permettent d’effectuer les calculs de probabilités. Les exemples d’arbres que nous pouvons donner dans cet article pour illustrer nos propos sont naturellement très petits, très simples. Les arbres qu’il est utile de construire pour étudier des systèmes importants et assez complexes comportent tellement plus d’éléments que l’apport des logiciels de mise en forme et de calcul est décisif.

a arbre de défaillance

Nous attirons l’attention du lecteur sur deux précautions d’usage : — des calculs de probabilité sont toujours fondés sur des approximations. Celles-ci sont généralement valables pour les cas usuels, mais il vaut mieux prendre attentivement connaissance des algorithmes de calcul utilisés pour s’assurer que les approximations faites sont valables pour le cas particulier que l’on traite ;

b arbre des causes

— par ailleurs, ce marché, assez réduit est assez volatil : certains produits font des apparitions fugitives. On ne peut généralement pas convertir un arbre construit avec un logiciel en un arbre à utiliser avec un autre. Comme dans les autres domaines, il est prudent de s’assurer (dans la mesure du possible) de la pérennité de l’outil informatique. En effet un arbre de défaillance peut être un document de référence à faire vivre au long de la vie du système étudié (tout dépend des circonstances et objectifs de l’étude). Un arbre de défaillance est une méthode-type pour répondre à une question du genre : « quelles ” chances ” y a-t-il que le dispositif de détection et extinction automatique d’incendie manque à se déclencher en présence d’un feu et sur quoi peut-on agir pour diminuer cette probabilité ? » ou « dans un système avec redondances, quelle est la probabilité finale d’échec en fonction des probabilités élémentaires des composants et de l’architecture ? ».

SE 4 050 − 2

c arbre d'événement Figure 1 – Silhouettes des arbres de défaillance, de cause et d’événement

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

ＳＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＰ

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

■ L’arbre des causes part d’un événement qui s’est produit et organise l’ensemble des événements ou conditions qui se sont combinés pour le produire. Il repose sur un raisonnement dans le même sens que l’arbre de défaillance mais ne décrit qu’un scénario. Sa représentation est illustrée à titre d’exemple figure 1 b.

sent pas à l’accident sont identifiées, l’arbre d’événement est recommandé pour évaluer l’efficacité du système et les progrès les plus intéressants. ● Un arbre est souvent un moyen satisfaisant de présenter synthétiquement les résultats des études montrant les relations entre causes et conséquences (qualitativement-logiquement mais aussi quantitativement), études qui ont pu solliciter bien d’autres méthodes (AMDE(C), graphes d’état, simulations de Monte-Carlo...) (cf. article [AG 4 670]).

On construit un arbre des causes dans une démarche de retour d’expérience, ou, de façon isolée, pour apprendre le maximum d’un accident. L’arbre des causes est très utilisé pour décrire le scénario d’un incident ou accident, pour soutenir la démarche d’analyse de l’accident. Des logiciels sont également disponibles pour guider et réaliser la mise en forme d’un arbre des causes.

En présence d’un système où de nombreux événements initiateurs sont possibles (pannes de nombreux composants, interventions humaines importantes donc possibilités d’erreurs, agressions environnementales, etc.) mais pour lequel la préoccupation porte sur la survenue ou non, du fait de tous ces incidents d’un ou deux événements redoutés du niveau du système entier, l’arbre de défaillance (ou les arbres de défaillance) s’impose(nt).

La démarche de réalisation d’un arbre des causes consiste à répondre à la question : « quels faits ont joué un rôle dans la survenue de cet accident et en se combinant de quelle façon ? » ■ L’arbre d’événement part d’un événement et décrit les différentes conséquences qu’il peut avoir en fonction des conditions dans lesquelles il s’est produit et des événements avec lesquels il se combine. Il repose sur un raisonnement inverse des arbres précédents : de la cause vers les conséquences (d’où sa représentation donnée à titre d’exemple figure 1 c). Comme l’arbre de défaillance, il vise à représenter l’ensemble des possibles, ici, des conséquences possibles de l’événement étudié.

En présence d’un système où la préoccupation est que les deux ou trois événements redoutés (panne d’un composant critique, erreur typique...) n’aient pas de conséquences graves malgré la variété des scénarios dans lesquels ils peuvent intervenir, l’arbre d’événement (les arbres d’événement) s’impose(nt). ■ Bien entendu, ces méthodes peuvent se compléter. Les approches inverses de l’arbre d’événement et de l’arbre de défaillance peuvent être utilisées conjointement au même niveau, ce qu’on peut ne pas voir ou négliger dans l’une pouvant apparaître dans l’autre. Elles peuvent aussi se compléter à des niveaux différents, l’une servant à évaluer en entrant dans le détail ce qui est un élément de l’autre.

On construit et on utilise un arbre d’événement dans une démarche d’évaluation a priori. Le point de départ est un incident, une défaillance, une erreur, une agression... dont on veut évaluer les conséquences possibles qui dépendent d’un certain nombre d’autres facteurs. Si on connaît les probabilités associées à ces facteurs on peut calculer en s’appuyant sur l’arbre d’événement la probabilité associée à chacune des conséquences possibles de l’incident initial.

Exemple : la probabilité de succès d’un dispositif à utiliser dans un arbre d’événement peut résulter d’un arbre de défaillance développé pour l’échec de ce dispositif.

1.2 C hoix et complémentarité de ces méthodes

2. Arbre de défaillance

Ces méthodes sont conçues pour mettre en œuvre des logiques différentes. Elles ne se présentent donc nullement comme des choix alternatifs pour un même problème. Chacune correspond à une approche différente.

2.1 Principes. Caractéristiques. Objectifs

■ Le choix entre arbre d’événement et arbre de défaillance dépend d’abord de la question posée : l’arbre d’événement cerne la question des conséquences d’un événement initiateur donné et l’arbre de défaillance cerne la question des scénarios conduisant à un événement redouté donné.

■

P incipes Un arbre de défaillance représente de façon synthétique l’ensemble des combinaisons d’événements qui, dans certaines conditions produisent un événement donné, point de départ de l’étude. Construire un arbre de défaillance revient à répondre à la question « comment tel événement peut-il arriver ? », ou encore « quels sont tous les enchaînements possibles qui peuvent aboutir à cet événement ? ».

L’arbre des causes est proposé pour assembler les éléments d’explication d’un accident ou incident. Il s’agit préférentiellement d’analyse a posteriori. Ces méthodes peuvent servir à initier une analyse ou à la synthétiser. ● Pour initier une analyse de sûreté de fonctionnement, en présence d’une question peu précise, la méthode à recommander est celle dont les bases sont les mieux connues : — un arbre de défaillance si la question tourne autour de la vraisemblance d’un ou de quelques événements redoutés ; — plutôt un arbre d’événement si la question tourne autour de la gravité de certaines défaillances ou agressions ; — un arbre des causes si il s’agit de tirer parti d’un scénario d’incident qui s’est réalisé et dont la compréhension peut améliorer la connaissance générale du système.

■ Caractéristiques Un arbre de défaillance est généralement présenté de haut en bas (cf. figure 1 a). La ligne la plus haute ne comporte que l’événement dont on cherche à décrire comment il peut se produire. Chaque ligne détaille la ligne supérieure en présentant la combinaison ou les combinaisons susceptibles de produire l’événement de la ligne supérieure auquel elles sont rattachées. Ces relations sont représentées par des liens logiques OU ou ET. ■ Objectifs ● L’objectif « qualitatif » est de construire une synthèse de tout ce qui peut conduire à un événement redouté et d’évaluer l’effet d’une modification du système, de comparer les conséquences des mesures qui peuvent être envisagées pour réduire l’occurrence de l’événement redouté étudié.

Si la liste des événements redoutés finaux est bien établie et que les questions « Qu’est-ce qui peut produire... ? » trouvent facilement réponses, l’arbre de défaillance est recommandé. Si, à l’inverse, les événements initiateurs qui peuvent affecter le système sont bien connus et que les mesures pour qu’ils ne condui-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

ＳＵ

SE 4 050 − 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＰ

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

● L ’ objectif « quantitatif » est d’évaluer la vraisemblance de la survenue de l’événement étudié à partir des combinaisons d’événements élémentaires qui peuvent le produire. Si on connaît les probabilités de ces événements on peut en déduire la probabilité de l’événement étudié et l’impact sur celle-ci d’une réduction (ou augmentation) de telle ou telle des probabilités élémentaires.

définition requiert les mêmes précisions : définition de la fonction et des conditions à prendre en compte. Le responsable de l’étude doit s’assurer que : — l’événement étudié est bien celui qui convient eu égard à la démarche dans laquelle s’inscrit la construction de l’arbre ; — les conditions extérieures ou les agressions à prendre en compte (et celles à ne pas envisager) sont cohérentes avec les objectifs de l’étude ; — les participants à l’analyse et les futurs utilisateurs de l’arbre ou des conclusions qui en seront tirées partagent la même définition de l’événement étudié.

À défaut d’une quantification par probabilités, l’arbre permet d’apprécier le nombre de scénarios conduisant à l’événement étudié, le nombre minimum d’événements ou de conditions suffisant pour qu’il arrive, etc.

Dans l’arbre qui est une représentation synthétique, le libellé de l’événement devra être court. Ce libellé sera, en général, trop court pour définir précisément l’événement et lever les ambiguïtés. Il devra donc y avoir : — un libellé bref, mais aussi évocateur que possible dans la boîte qui représente l’événement-sommet dans l’arbre ; — un texte complémentaire apportant toutes les précisions utiles sur la définition de l’événement.

2.2 Construction d’un arbre de défaillance 2.2.1 Événement-sommet

Dans certains modèles d’arbres (en particulier quand on utilise certains logiciels), chaque boîte reçoit un nom. On voit alors la boîte qui contient le libellé en quelques mots de l’événement et, dessous, un seul mot (idéalement) qui est le nom de l’événement pour l’arbre. Il faut alors veiller à ne pas donner le même nom à deux boîtes (ce que les logiciels qui utilisent ce formalisme contrôlent généralement).

■ La première étape est la définition de l’événement qui doit être étudié. Dans l’arbre, ce sera l’événement-sommet. Un arbre n’a qu’un événement-sommet ; il réunit tout ce qui et uniquement ce qui peut provoquer cet événement-sommet. La définition de cet événement est totalement déterminante pour la valeur des conclusions qui seront tirées de l’analyse. Le risque n’est pas de développer un arbre qui serait faux mais un arbre qui réponde à une autre question que celle posée :

Ce qui vient d’être dit sur la définition commune, claire, précise de l’événement et le libellé bref de la boîte vaut non seulement pour l’événement-sommet mais aussi pour tous les événements qui vont figurer dans l’arbre ; ce commentaire ne sera pas repris dans chaque paragraphe consacré aux événements.

— soit l’utilisateur des résultats s’en rend compte et la conséquence est qu’après le travail effectué, l’arbre attendu est toujours à faire et à exploiter ; — soit l’utilisateur ne s’en rend pas compte et il tire des conclusions tout à fait injustifiées de l’analyse.

2.2.2 Événements intermédiaires

Il importe donc de définir l’événement étudié de façon explicite et précise.

L’événement étudié étant défini, l’étape suivante est de le décrire en une combinaison logique (conjonction ou disjonction) de deux ou plusieurs événements plus réduits.

Exemple : les événements suivants ne sont pas du tout équivalents : — collision de deux trains ; — collision impliquant un train ; — collision impliquant une circulation ferroviaire ; — collision impliquant un train due à une défaillance du système ferroviaire ; — dommages à une circulation ferroviaire ou à des passagers ou du personnel de bord ou au chargement, dus à une collision... On peut croiser de toutes les façons chacune des précisions ou restrictions qui figurent dans ces exemples (et bien d’autres) et chacun des événements produits sera différent des autres (certains plus généraux en incluant d’autres). Les conséquences sont importantes : par exemple, des actes de sabotage ou d’imprudence de tiers sont ou ne sont pas pris en compte ; l’accident de tiers percuté par un train à la traversée des voies (sans dommage au train) est ou n’est pas inclus dans cette analyse-là, etc.

Exemple : une défaillance d’éclairage peut résulter de la défaillance de l’ampoule ou de la défaillance de l’alimentation ou de la défaillance du circuit entre alimentation et ampoule. On voit donc apparaître des événements moins globaux que l’événement-sommet que l’on appellera événements intermédiaires (si ils sont eux-mêmes appelés à être décrits en combinaison d’événements plus détaillés) et un connecteur logique qui les relie à l’événement-sommet.

2.2.3 Connecteurs logiques Les deux connecteurs logiques de base sont ET et OU (figure 2). Toutes les combinaisons logiques s’expriment avec ces deux connecteurs (et la négation logique qui exprime le contraire de l’événement qu’elle affecte), mais il peut être pratique d’utiliser quelques autres connecteurs : vote n/p, OU exclusif...

Pour bien comprendre les enjeux de cette définition de l’événement, on fera le parallèle avec les définitions de la fiabilité (disponibilité, maintenabilité, sécurité...) (cf. article [AG 4 670]). Les définitions habituellement reconnues de ces notions incluent des formules comme « accomplir des fonctions requises dans des conditions données ». Un événement à étudier est généralement un échec (non accomplissement d’une fonction) ou une agression. Sa

SE 4 050 − 4

Exemple : si un système tombe en panne si deux sur trois des équipements A, B, C tombent en panne, il est pratique de représenter ce lien logique par un seul connecteur « 2/3 », mais c’est équivalent à (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a. De même A OU exclusif B est équivalent à [A ET (non B)] OU [(non A) ET B] (cf. figure 3 b).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

ＳＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＰ

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

Les boîtes qui les représentent sont au bout de l’arbre, ce pourquoi elles sont couramment appelées les feuilles.

2.2.5 Conditions

Connecteur ET

Quand on s’interroge sur ce qui peut produire tel événement-conséquence, on est couramment amené à dire que tel autre événement-cause entraîne l’événement-conséquence étudié si telle condition est présente. Nous sommes donc conduits à introduire dans l’arbre des conditions dont la réalisation conditionne l’enchaînement cause-conséquence.

Connecteur OU

Pour qu’un événement (sommet ou intermédiaire) se produise, il faut une combinaison d’événements mais aussi souvent de conditions (on pourrait dire d’états ou de situations). Ces conditions interviennent dans la construction d’un arbre exactement comme des événements intermédiaires (sauf qu’elles ne sont plus décomposées et donc deviennent « de base » même si les événements de même niveau avec lesquels elles se combinent sont eux, décomposés plus finement) ou comme des événements de base, mais ne sont pas à proprement parler des événements.

Figure 2 – Connecteurs ET et OU

Équivalent à 2/3

A

B

C

A.B

A

A.C

B

A

Exemple : dans un système formé de deux chaînes en parallèle qui fonctionnent en alternance, l’interruption de fonctionnement du système est provoquée par le dysfonctionnement d’une chaîne seulement si celle-ci est celle qui assure le fonctionnement à ce moment-là. Donc l’événement « Interruption du fonctionnement du système » se décompose en (« Défaillance de la chaîne A » « ET » « Chaîne A en service ») « OU » (« Défaillance de la chaîne B » « ET » « Chaîne B en service »). Dans cette décomposition, « Défaillance de la chaîne A » est un événement, « Chaîne A en service » est une condition.

B.C

C

B

Cette distinction n’est pas essentielle au stade de construction de l’arbre, elle devient intéressante quand on affecte des probabilités aux événements et conditions.

C

Connecteur n/p

2.2.6 Symboles normalisés

Équivalent à

Les symboles normalisés des connecteurs, événements et conditions sont représentés sur la figure 4.

OU exclusif

A.B

A

nonB

Nous plaçons donc dans un arbre : — un événement-sommet ; — des événements intermédiaires ; — des événements de base ; — éventuellement des conditions ; — des connecteurs OU ; — des connecteurs ET ; — éventuellement des connecteurs particuliers.

A.B

nonA

Les événements et les conditions sont représentés par des rectangles à l’intérieur desquels figurent les libellés de ces événements ou conditions. L’événement-sommet et les événements intermédiaires se décomposent en une combinaison ; on trouve donc immédiatement sous la boîte qui les représente le symbole du connecteur qui lie les événements dont la combinaison est nécessaire et suffisante à le provoquer.

B

Connecteur OU exclusif Figure 3 – Connecteurs 2/3 et OU exclusif

Les événements de base ou les conditions ne se décomposent pas ; on trouve donc immédiatement sous la boîte qui les représente un symbole particulier : un cercle pour les événements de base et un pentagone (en forme de maison) pour les conditions.

Certains ajoutent à cette panoplie la possibilité de représenter un aspect temporel avec un connecteur ET séquentiel. Si deux événements A et B sont liés par ce connecteur, cela signifie que si A se produit puis B, l’événement supérieur se produit, mais pas si B se produit puis A.

Comme un arbre peut occuper plusieurs pages et se construire progressivement pour un système un peu important, il existe deux autres symboles. Le triangle permet de renvoyer d’une page à une autre : un triangle est placé sous un événement intermédiaire dont la décomposition commencera sur une autre page. Sur cette autre page, cet événement apparaît en tête, mais un triangle est attaché à la boîte qui le représente pour indiquer qu’il ne s’agit pas de l’événement-sommet d’un arbre, mais d’une partie d’un arbre plus important.

2.2.4 Événements de base ou feuilles Un événement de base est un événement qui ne se décompose plus en événements plus fins.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

ＳＷ

SE 4 050 − 5

ＳＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ

Nœud papillon : une méthode de quantification du risque par

Olivier IDDIR Ingénieur quantification des risques – Service expertise et modélisation – Membre du réseau des experts de TECHNIP TECHNIP France, Paris-La Défense

1.

Quantification du risque : une nécessité........................................

2.

Notion d’acceptabilité du risque ......................................................

—

2

3.

Présentation de la méthode ...............................................................

—

5

4.

Quantification du nœud papillon ......................................................

—

15

5.

Limites liées à la quantification d’un nœud papillon..................

—

22

6.

Exemple de nœud papillon quantifié ...............................................

—

25

7.

Conclusion...............................................................................................

—

29

8.

Glossaire – Définitions .........................................................................

—

29

SE 4 055v2 - 2

Pour en savoir plus ........................................................................................ Doc. SE 4 055v2

ans de nombreux secteurs d’activité tels que l’aéronautique, l’industrie chimique, l’industrie pétrolière, le nucléaire, il est nécessaire d’évaluer les risques afin de pouvoir se prononcer sur leur acceptabilité. Les notions de danger et de risque sont très souvent confondues, le risque étant toujours lié à l’existence d’un danger, ou d’une situation dangereuse. Pour les différencier, il est possible de considérer que le danger est « réel » et le risque « potentiel ». Certaines installations industrielles présentent, de par leurs activités, de nombreux dangers. Citons, par exemple, le stockage ou la synthèse de produits inflammables et/ou toxiques. Sur de telles installations, un des événements redoutés est la perte de confinement qui peut aboutir à des phénomènes dangereux de type incendie, jet enflammé ou explosion dans le cas d’un produit inflammable et dispersion atmosphérique dans celui d’un produit toxique. L’évaluation d’un risque nécessite d’évaluer les deux composantes du couple probabilité/gravité. La gravité des phénomènes dangereux est habituellement estimée par modélisation de l’intensité des effets à l’aide d’outils ou de logiciels. L’estimation de la probabilité d’occurrence pour les risques liés au secteur de l’industrie nécessite aujourd’hui d’avoir recours à des méthodologies utilisées depuis de nombreuses années dans d’autres domaines, tels que le nucléaire ou l’aéronautique. En effet, en France, avant les années 2000 et contrairement aux pays anglo-saxons, l’évaluation des risques reposait sur une approche déterministe. Les probabilités d’occurrence d’accidents étaient alors en grande majorité estimées par avis d’experts. Le tragique accident survenu à Toulouse le 21 septembre 2001 a initié un profond remaniement de la réglementation française qui prône aujourd’hui l’approche probabiliste. L’objectif de cet article est de présenter la méthode d’analyse de risques nommée « nœud papillon » qui résulte de la combinaison d’un arbre de défaillances et d’un arbre d’événements, centrée sur un même événement redouté. Après avoir exposé les fondements de cette méthode, il sera dressé un panorama des diverses banques de données pouvant être utilisées lors de la phase de quantification. Enfin, l’article abordera les limites de la méthode.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｮ＠ＲＰＱＵ

D

Copyright © –Techniques de l’Ingénieur –Tous droits réservés

ＳＹ

SE 4 055v2 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

1. Quantification du risque : une nécessité

Gravité Gk 5 Gravité croissante

Depuis une trentaine d’années, la succession d’accidents significatifs en termes de dommages matériels et humains, majoritairement liés à l’expansion de l’activité industrielle, vient mettre en lumière la question primordiale de la sécurité. En 1966, à Feyzin, 18 personnes ont trouvé la mort suite au BLEVE de plusieurs sphères de stockage. Par la suite, les accidents de Flixborough (Grande-Bretagne) en 1974, Seveso (Italie) en 1976, AZF (Toulouse) en 2001 ou plus récemment Buncefield (GrandeBretagne) en 2005 sont tous des accidents qui rappellent si besoin la nécessité de disposer de méthodes et d’outils performants pour estimer les risques.

3 2 1

En France, depuis 2001, la réglementation visant à garantir que les industriels maîtrisent leurs risques a beaucoup évolué. En fonction de la dangerosité des installations, les industriels doivent réaliser des études démontrant qu’ils ont pris l’ensemble des mesures de prévention et de protection permettant de garantir que les risques liés à leurs activités sont acceptables. Pour évaluer ces risques, différentes méthodes d’analyse peuvent être déployées (APR, HAZOP, etc.). Cependant, le nœud papillon constitue aujourd’hui la méthodologie d’analyse quantifiée du risque recommandée par l’administration française pour étudier les scénarios d’accidents les plus critiques.

E

D

C

B

A

Probabilité Pk

Probabilité décroissante A : niveau de probabilité le plus fort E : niveau de probabilité le plus faible 1 : niveau de gravité le plus faible 5 : niveau de gravité le plus fort Risque jugé inacceptable Risque ALARP

2. Notion d’acceptabilité du risque

Risque jugé acceptable

2.1 Estimation

Figure 1 – Exemple de matrice de criticité 5 2 5

2.1.1 Matrices de criticité

La matrice de criticité, présentée en figure 1, comporte trois zones de risque :

Dans le domaine du risque industriel, la quantification des risques constitue une étape incontournable. Elle permet, au regard de la probabilité et de la gravité d’un accident, de juger de la suffisance ou non des mesures de prévention dont l’objectif est de prévenir l’apparition d’accident, et des mesures de mitigation/ protection dont le but est de limiter les effets en cas d’accident. Or, afin de se prononcer sur l’acceptabilité d’un risque, il faut pouvoir le mesurer en le comparant à une échelle.

– « acceptable » : dans cette zone, les accidents présentent une probabilité suffisamment faible au regard de la gravité des conséquences associées ; – dite « ALARP » (As Low As Reasonably Practicable ) : dans cette zone, l’ensemble des mesures envisageables a été mis en place et il n’est plus possible, avec un coût économique raisonnable, de diminuer ni la probabilité, ni la gravité ; – « inacceptable » : dans cette zone, il est nécessaire de mettre en place des actions qui visent à réduire la gravité et/ou la probabilité, en définissant de nouvelles mesures de prévention et/ou de mitigation, afin de ramener si possible le risque dans la zone acceptable, ou a minima dans la zone ALARP.

Reprenant la philosophie du diagramme de Farmer, la matrice de criticité permet de juger de l’acceptabilité d’un risque. Mais contrairement au diagramme de Farmer, les matrices de criticité ne font pas intervenir une frontière linéaire, mais un ensemble de couples de valeurs de probabilité/gravité (Pk/Gk ) au-delà desquels le risque passe du domaine de l’acceptable à celui de l’inacceptable. Pour limiter les erreurs de jugement sur des événements dont le couple (Pk/Gk ) se rapprocherait de la frontière, une notion de risque, dite « ALARP » (As Low As Reasonably Practicable), est fréquemment utilisée.

La notion d’acceptabilité d’un risque peut sembler subjective, surtout lorsque la vie d’individus est en jeu. En effet, la distinction entre les différentes zones de risque n’est pas aisée et dépend essentiellement des définitions données aux différents niveaux de probabilité et de gravité qui constituent la matrice de criticité.

2.1.2 Matrice de criticité réglementaire en France

Il est à noter que le nombre de niveaux de probabilité et de gravité, constituant une matrice de criticité, n’a rien d’universel. Néanmoins les matrices de criticité, dites 5 × 5, c’est-à-dire composées de 5 niveaux de probabilité et de 5 niveaux de gravité, sont couramment utilisées.

Avant la circulaire du 29 septembre 2005 (reprise dans la circulaire du 10 mai 2010), relative aux critères d’appréciation de la démarche de maîtrise des risques d’accidents susceptibles de survenir dans les établissements dits « Seveso », visés par l’arrêté du 10 mai 2000 modifié, il n’existait pas de matrice de criticité réglementaire. Les matrices utilisées étaient soit celles proposées par les industriels eux-mêmes, soit celles réalisées par des sociétés

La figure 1 présente un exemple de matrice de criticité. Le découpage entre les différentes catégories de risque est uniquement donné à titre indicatif.

SE 4 055v2 – 2

4

Copyright © –Techniques de l’Ingénieur –Tous droits réservés

ＴＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ ___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

(/an). L’unité de temps associée à la notion de probabilité confirme que les notions de fréquence et de probabilité sont bien souvent confondues.

expertes dans l’évaluation des risques. Dans un souci d’homogénéité, le ministère de l’Environnement (MEDAD à l’époque) a donc proposé une matrice de criticité 5 × 5 (grille d’appréciation des risques), telle que présentée en figure 2. Elle se subdivise en 25 cases, correspondant à des couples probabilité/gravité des conséquences identiques à ceux du modèle figurant à l’annexe V de l’arrêté du 10 mai 2000 modifié, que les industriels doivent utiliser pour positionner chacun des accidents potentiels dans leur étude de dangers. Cette matrice délimite trois zones de risque accidentel : – risque élevé, figuré par le mot « non » ; – risque intermédiaire, figuré par le sigle « MMR » (mesures de maîtrise des risques), dans laquelle une démarche d’amélioration continue est particulièrement pertinente, en vue d’atteindre, dans des conditions économiquement acceptables, un niveau de risque aussi bas que possible, compte tenu de l’état des connaissances, des pratiques et de la vulnérabilité de l’environnement de l’installation ; – risque moindre, qui ne comporte ni « non » ni « MMR ».

La fréquence est une grandeur observée issue d’une exploitation d’un retour d’expérience. Elle s’exprime généralement en unité de temps–1 ou opération–1. Dans le cas où le temps est le critère d’observation, la fréquence est définie par le quotient entre le nombre d’événements observés sur la période d’observation et ce temps d’observation. Lorsque la période d’observation est exprimée en années, les fréquences sont alors données en unité an–1. La probabilité d’occurrence d’un accident est assimilée à sa fréquence d’occurrence future estimée sur l’installation considérée.

En France, les accidents potentiels ou les phénomènes dangereux identifiés dans les études de dangers sont étudiés sur un intervalle temporel donné. La période de temps retenue dans le cadre réglementaire est celle rappelée dans l’échelle de probabilité de l’arrêté PCIG, à savoir l’année. L’INERIS a donc introduit la notion de probabilité d’occurrence annuelle (POA).

La gradation des cases « non » ou « MMR » en « rangs », correspond à un risque croissant, depuis le rang 1 jusqu’au rang 4 pour les cases « non », et depuis le rang 1 jusqu’au rang 2 pour les cases « MMR ». Cette gradation correspond à la priorité que l’on peut accorder à la réduction des risques, en s’attachant d’abord à réduire les risques les plus importants (rangs les plus élevés).

Dans la suite de cet article, nous retiendrons donc la terminologie suivante : – fréquence d’occurrence pour les événements redoutés (ER) ; – probabilité d’occurrence pour les événements redoutés secondaires (ERS) et pour les phénomènes dangereux (PhD). Néanmoins, en toute rigueur, le produit entre une fréquence et une probabilité donne une fréquence.

Les niveaux de probabilité et de gravité retenus pour constituer cette matrice sont respectivement présentés dans les tableaux 1 et 2. Concernant l’échelle rapportée dans le tableau 1, on peut noter qu’il est fait mention de la notion de probabilité d’occurrence et que les données quantitatives sont exprimées en unité de temps–1.

Gravité des conséquences sur les personnes exposées au risque (1)

PROBABILITÉ (sens croissant de E vers A) (1) E

D

C

B

A

Désastreux

Non partiel (sites nouveaux : (2)) /MMR rang 2 (sites existants : (3))

Non rang 1

Non rang 2

Non rang 3

Non rang 4

Catastrophique

MMR rang 1

MMR rang 2 (3)

Non rang 1

Non rang 2

Non rang 3

Important

MMR rang 1

MMR rang 1

MMR rang 2 (3)

Non rang 1

Non rang 2

MMR rang 1

MMR rang 2

Non rang 1

Sérieux

MMR rang 1

Modéré

(1) Probabilité et gravité des conséquences sont évaluées conformément à l’arrêté ministériel relatif à l’évaluation et à

la prise en compte de la probabilité d’occurrence, de la cinétique, de l’intensité des effets, et de la gravité des conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation.

(2) L’exploitant doit mettre en œuvre des mesures techniques complémentaires permettant de conserver le niveau

de probabilité E en cas de défaillance de l’une des mesures de maîtrise du risque.

(3) S’il s’agit d’une demande d’autorisation « AS », il faut également vérifier le critère C du 3 de l’annexe L. (4) Dans le cas particulier des installations pyrotechniques, les critères d’appréciation de la maîtrise du risque

accidentel à considerer sont ceux de l’arrêté ministériel réglementant ce type d’installations. Figure 2 – Matrice de criticité rapportée dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)

Copyright © –Techniques de l’Ingénieur –Tous droits réservés

ＴＱ

SE 4 055v2 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 1 – Échelle de probabilité proposée dans l’arrêté du 29 septembre 2005 Classe de probabilité

Type d’appréciation

Qualitative (les définitions entre guillemets ne sont valables que si le nombre d’installations et le retour d’expérience sont suffisants)

Semi-quantitative

E « Événement possible mais extrêmement peu probable » : n’est pas impossible au vu des connaissances actuelles, mais non rencontré, au niveau mondial, sur un très grand nombre d’années d’installations

D

C

« Événement très improbable » : s’est déjà produit dans ce secteur d’activité, mais a fait l’objet de mesures correctives réduisant significativement sa probabilité

« Événement improbable » : un événement similaire déjà rencontré dans le secteur d’activité ou dans ce type d’organisation au niveau mondial, sans que les éventuelles corrections intervenues depuis apportent une garantie de réduction significative de sa probabilité

B

A

« Événement probable sur site » : s’est produit et/ou peut se produire pendant la durée de vie des installations

« Événement courant » : se produit sur le site considéré et/ou peut se produire à plusieurs reprises pendant la durée de vie des installations, malgré d’éventuelles mesures correctives

Cette échelle est intermédiaire entre les échelles qualitative et quantitative, et permet de tenir compte de la cotation des mesures de maîtrise des risques mises en place

Quantitative (par unité et par an)

j 10−5

10–5 à 10–4

10–4 à 10–3

10–3 à 10–2

h 10−2

Ces définitions sont conventionnelles et servent d’ordre de grandeur à la probabilité moyenne d’occurrences, observable sur un grand nombre d’installations pendant x années. Elles sont inappropriées pour qualifier des événements très rares dans des installations peu nombreuses ou faisant l’objet de modifications techniques ou organisationnelles. En outre, elles ne préjugent pas de l’attribution d’une classe de probabilité pour un événement dans une installation particulière, qui découle de l’analyse de risque et peut être différent de l’ordre de grandeur moyen, afin de tenir compte du contexte particulier, de l’historique des installations, ou de leur mode de gestion.

Un retour d’expérience mesuré en nombre d’années x installations est dit « suffisant », s’il est statistiquement représentatif de la fréquence du phénomène (et pas seulement des événements ayant réellement conduit à des dommages) étudié dans le contexte de l’installation considérée, à condition que cette dernière soit semblable aux installations composant l’échantillon sur lequel ont été observées les données de retour d’expérience. Si le retour d’expérience est limité, les détails (figurant en italique) ne sont, en général, pas représentatifs de la probabilité réelle. L’évaluation de la probabilité doit être effectuée par d’autres moyens (études, expertises, essais) que le seul examen du retour d’expérience.

Tableau 2 – Échelle de gravité proposée dans l’arrêté du 29 septembre 2005 Niveau de gravité des conséquences

Zone délimitée par le seuil des effets létaux significatifs (personnes exposées)

Zone délimitée par le seuil des effets létaux (personnes exposées)

Zone délimitée par le seuil des effets irréversibles sur la vie humaine (personnes exposées)

Désastreux

Plus de 10

Plus de 100

Plus de 1 000

Catastrophique

Moins de 10

Entre 10 et 100

Entre 100 et 1 000

Important

Au plus 1

Entre 1 et 10

Entre 10 et 100

Sérieux

Aucune

Au plus 1

Moins de 10

Modéré

Pas de zone de létalité hors établissement

Présence humaine exposée à des effets irréversibles inférieure à 1

Personne exposée : en tenant compte, le cas échéant, des mesures constructives visant à protéger les personnes contre certains effets, et la possibilité de mise à l’abri des personnes en cas d’occurrence d’un phénomène dangereux, si la cinétique de ce dernier et la propagation de ses effets le permettent.

Pouvoir positionner des situations dangereuses dans une matrice de criticité suppose qu’il soit possible d’évaluer la probabilité d’occurrence et la gravité d’un événement, de sorte que se tromper de zone de risque est exclu. Or, les événements les plus graves sont aussi généralement les plus rares, l’accidentologie révèle ainsi que ces accidents sont souvent la conséquence de combinaisons de plusieurs événements. On parle alors de « séquence accidentelle ».

de causes, nécessite de recourir à des méthodologies qui permettent une analyse exhaustive : – des combinaisons de causes pouvant aboutir à la réalisation de tels accidents ; – des conséquences en cas de survenue de tels accidents. C’est donc lors de l’étape d’évaluation de la probabilité d’occurrence des événements redoutés et de leurs conséquences qu’il est primordial de disposer d’une méthode « robuste » pour estimer au plus juste ces valeurs.

Évaluer la probabilité d’occurrence d’accidents « complexes », c’est-à-dire dont l’origine peut être de nombreuses combinaisons

SE 4 055v2 – 4

Copyright © –Techniques de l’Ingénieur –Tous droits réservés

ＴＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ ___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

3. Présentation de la méthode

Le point central du nœud papillon est constitué par un événement redouté qui peut être par exemple une perte de confinement. La partie en amont de l’événement redouté est constituée par un arbre de défaillances qui permet d’analyser les combinaisons de causes, et de valoriser les barrières de prévention mises en place pour prévenir l’apparition de l’événement redouté. La partie en aval est, quant à elle, constituée par un arbre d’événements qui permet de différencier les conséquences en fonction du fonctionnement ou non des mesures de mitigation/protection. Le synoptique, présenté en figure 3, présente la structure d’un nœud papillon. Le tableau 3 détaille les définitions associées à chacun des événements figurant sur le modèle du nœud papillon de la figure 3.

3.1 Principe Le concept du nœud papillon a été introduit par la compagnie ICI (Imperial Chemical Industries ). Après l’accident survenu sur la plate-forme pétrolière Piper Alfa, la compagnie Royal Dutch/Shell a développé cette technique d’analyse au début des années 1990 afin d’améliorer la sécurité sur de telles installations. L’utilisation de la méthode du nœud papillon tend aujourd’hui à se démocratiser et son application au secteur de l’industrie est de plus en plus répandue. Le programme de recherche européen ARAMIS (Accidental Risk Assessment Methodology for Industries in the framework of Seveso II directive ) portant sur l’évaluation des risques dans le contexte de l’application de la directive Seveso II met en avant les avantages de cette méthode. Pour rappel, ce programme avait pour but :

En France, différents groupes de travail nationaux ont travaillé sur la réalisation de nœuds papillons « génériques ». S’il est possible de s’en inspirer, il est indispensable de les adapter au cas étudié en prenant en compte les spécificités du site.

– le développement d’une méthodologie plus précise et harmonisée d’analyse de risque pour les études de dangers (ou safety reports ), dans le contexte de l’application de la directive Seveso II ; – l’identification et la qualification des principaux phénomènes accidentels majeurs (appréciation de la probabilité et de la gravité des effets physiques en utilisant, par exemple, la représentation sous forme de nœud papillon) ; – l’évaluation de la performance des fonctions et éléments de sécurité liés à la prévention des phénomènes accidentels ; – l’identification de la vulnérabilité de l’environnement des sites.

En fonction de la nature de l’événement redouté, les événements de base peuvent être dits « indésirables ». Citons, par exemple, un choc mécanique sur une canalisation pouvant aboutir à l’événement redouté : « brèche sur canalisation », ou bien la combinaison entre un événement courant et une défaillance, tel que le montage d’un bras de dépotage et l’absence de contrôle de bonne étanchéité pouvant aboutir à l’événement redouté « mauvaise étanchéité au niveau d’un bras de dépotage », en cas de montage défectueux. Le principal intérêt du nœud papillon est qu’il permet de visualiser l’ensemble des chemins conduisant des événements de base jusqu’à l’apparition des phénomènes dangereux. Chaque chemin décrit un scénario d’accident. Un scénario d’accident est défini comme un enchaînement d’événements aboutissant à un événement redouté, conduisant lui-même à des conséquences lourdes ou effets majeurs. Cette notion est présentée dans les articles relatifs à la méthode MOSAR [SE 4 060] [SE 4 061].

Le fondement de la méthode du « nœud papillon » est relativement simple. Elle propose pour un même événement redouté de réunir un arbre de défaillances pour expliciter les causes et un arbre d’événements pour expliciter les conséquences.

Différenciation des phénomènes dangereux

Valorisation des barrières de mitigation

PhD 1 EB1

ERS 1 EI1 ERS 2

EB2

PhD 2

ER ERS 3 EI2

ERS 4

Arbre de défaillances

Arbre d’événements

Arbre des conséquences

Identification des combinaisons de causes

Identification des événements redoutés secondaires

Identification des phénomènes dangereux

Figure 3 – Schéma d’un nœud papillon

Copyright © –Techniques de l’Ingénieur –Tous droits réservés

ＴＳ

SE 4 055v2 – 5

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＵＵ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 3 – Définition des événements composant un nœud papillon Identification

Signification

Définition

Exemples Dérive ou défaillance sortant du cadre des conditions d’exploitation usuelles définies (montée en température, sur remplissage, etc.)

EB

Événement de base

Événement dont la réalisation, seule ou combinée, est susceptible d’aboutir à la matérialisation d’un événement intermédiaire (EI)

EI

Événement intermédiaire

Événement dont la réalisation, seule ou combinée, est susceptible d’aboutir à la matérialisation de l’événement redouté (ER)

Montée en température non détectée, corrosion non détectée lors de test d’inspection, etc.

ER

Événement redouté

Événement résultant de dérives de paramètres de fonctionnement, ou de défaillances d’éléments, pouvant avoir des conséquences dommageables sur l’environnement

Rupture de capacité, brèche sur canalisation, décomposition de substance, etc.

ERS

Événement redouté secondaire

Conséquence directe de l’événement redouté

Formation d’une nappe d’hydrocarbure, fuite de gaz toxique, sur une durée de 10 min, etc.

PhD

Phénomène dangereux

Libération d’énergie ou de substance susceptible d’infliger un dommage à des cibles (ou éléments vulnérables) vivantes ou matérielles

Jet enflammé, BLEVE, Boil Over, explosion, etc.

Le nœud papillon permet alors de juger de la bonne maîtrise ou non des risques, en explicitant clairement le rôle de chacune des barrières de sécurité sur le déroulement d’un accident.

La méthode du nœud papillon est habituellement réservée pour l’analyse d’événements dont les combinaisons de causes sont complexes à identifier, et/ou lorsque des barrières de mitigation/protection sont prévues pour limiter les conséquences de l’événement redouté.

La figure 4 présente un exemple de ce type de représentation. Il est à noter que ces représentations simplifiées s’apparentent plus à la combinaison d’un arbre des causes et d’un arbre des conséquences qu’à un réel nœud papillon. En effet, pour la partie avale du nœud papillon, les différents ERS ne sont généralement pas tous détaillés et plus particulièrement ceux consécutifs au fonctionnement des barrières. Sur la représentation de la figure 4, les deux ERS possibles en fonction du fonctionnement ou non de la BM1 sont envisagés.

En fonction de l’utilisation du nœud papillon, il est possible que ces nœuds soient plus ou moins complexes (arborescence plus ou moins développée). La complexité d’un nœud papillon tient en effet : – au niveau de développement de l’arbre de défaillances ; – à la mise en évidence, explicite ou non, de la défaillance des barrières de prévention dans l’arbre de défaillances ; – à la mise en évidence, explicite ou non, de la défaillance des barrières de mitigation/protection dans l’arbre d’événements.

Lorsque les ERS consécutifs au fonctionnement des barrières sont susceptibles d’être à l’origine de phénomènes dangereux pouvant avoir des conséquences non négligeables, il est impératif de ne pas oublier de faire apparaître ces scénarios.

Ainsi, deux utilisations du nœud papillon sont à distinguer : – l’analyse qualitative des risques qui vise à identifier les différents scénarios d’accidents ; – l’analyse quantitative des risques qui vise à quantifier les probabilités des différents scénarios d’accidents.

Lorsque le nœud papillon est élaboré dans l’objectif de quantifier les probabilités des phénomènes dangereux, cet outil peut s’avérer relativement lourd à mettre en place et son utilisation ne doit être réservée qu’à des événements jugés particulièrement critiques pour lesquels une analyse détaillée du risque est indispensable. En d’autres termes, comme cet outil d’analyse peut être particulièrement coûteux en temps, il doit être utilisé à bon escient.

Lorsque le nœud papillon est réalisé uniquement dans le but de formaliser une démarche d’analyse des risques, les barrières de sécurité sont le plus souvent représentées sous la forme de barres verticales pour symboliser le fait qu’elles s’opposent au développement d’un chemin critique aboutissant à un accident. De ce fait, dans cette représentation, chaque chemin, conduisant d’une défaillance d’origine (événements de base de l’arbre de défaillances) jusqu’à l’apparition des phénomènes dangereux, désigne un scénario d’accident particulier pour un même événement redouté.

SE 4 055v2 – 6

Événement courant survenant de façon récurrente dans la vie d’une installation (vibration, maintenance, etc.)

Habituellement, les événements redoutés étudiés par un nœud papillon sont présélectionnés lors d’une étape d’évaluation préliminaire qui permet de hiérarchiser les risques.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés

ＴＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＰ

MOSAR Présentation de la méthode par

Pierre PERILHON Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM) Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)

1. 1.1 1.2 1.3 1.4

Nécessité d’une méthode d’analyse des risques d’une installation industrielle .............................................................. Problématique.............................................................................................. Les besoins d’analyse de risques............................................................... Les outils existants ...................................................................................... Nécessité d’une méthode ...........................................................................

2. 2.1

Structure générale de la méthode MOSAR ...................................... Les deux modules et les dix étapes ...........................................................

— —

4 4

3. 3.1 3.2

Modèles mis en œuvre : MADS............................................................ Description de MADS .................................................................................. Applications à une démarche méthodique ...............................................

— — —

4 4 5

4. 4.1 4.2 4.3 4.4 4.5

Différents modes de mise en œuvre de la méthode ...................... MOSAR comme boîte à outils .................................................................... Les parcours de MOSAR ............................................................................. Genèse de scénarios dans l’analyse de risques d’un site industriel ....... Extraits d’exemple d’analyse en conception d’une installation .............. Extrait d’exemple d’analyse en diagnostic d’une installation existante .

— — — — — —

7 7 8 9 10 13

5. 5.1 5.2 5.3 5.4 5.5

Avantages de la méthode ...................................................................... La réponse aux besoins .............................................................................. Exhaustivité.................................................................................................. Coordination des outils ............................................................................... Souplesse ..................................................................................................... Mise en œuvre en situation opérationnelle et pédagogique ...................

— — — — — —

14 14 15 15 15 15

Références bibliographiques .........................................................................

—

16

Pour en savoir plus...........................................................................................

Doc. SE 4 062

SE 4 060 - 2 — 2 — 3 — 3 — 3

’analyse des risques d’une installation industrielle est une démarche complexe car cette dernière est elle-même une structure complexe constituée de machines, de stockages, en interaction entre eux, avec les opérateurs ainsi qu’avec l’environnement. Pour se donner le maximum de chances de mettre en évidence la majorité des risques d’une installation, une méthode logique est proposée : la méthode organisée systémique d’analyse des risques ou MOSAR. Elle fait appel à la modélisation systémique [1] car après avoir décomposé l’installation en sous-systèmes et recherché systématiquement les dangers présentés par chacun d’entre eux, ces sous-systèmes sont remis en relation pour faire apparaître des scénarios de risques majeurs. Cette partie de l’analyse est une APR (Analyse préliminaire des risques) évoluée car elle ne se contente pas de passer l’installation au crible de grilles préétablies issues du retour d’expérience. Elle construit, à partir d’une modélisation des différents types de dangers par le modèle MADS (Méthodologie d’analyse de dysfonctionnement des systèmes), les scénarios possibles. La négociation d’objectifs permet de hiérarchiser ces scénarios. La recherche systématique de barrières permet de neutraliser ces scénarios

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＳ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＴＵ

SE 4 060 − 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＰ

MOSAR

______________________________________________________________________________________________________________________________

et leur qualification dans le temps en assure la pérennité. La démarche peut se poursuivre par une analyse détaillée de type sûreté de fonctionnement avec mise en œuvre d’outils comme les AMDEC (Analyse des modes de défaillance, de leurs effets et de leur criticité) (cf. article AMDEC-Moyen [AG 4 220] dans le traité l’Entreprise industrielle), les arbres de défaillances (cf. article Arbres de défaillance, des causes et d’événement [SE 4 050] dans ce traité), HAZOP (Hazard and Operability study) [4]. Sa constitution modulaire permet une grande souplesse d’utilisation. Elle se termine sur la construction des plans d’intervention. Le modèle MADS, élaboré dans les années 1980 par un groupe d’ingénieurs du CEA (Commissariat à l’énergie atomique) et d’universitaires de l’IUT de sécurité de Bordeaux, est une modélisation systémique générale du danger mise en œuvre ici de manière spécifique dans la méthode MOSAR. La méthode MOSAR complète fait l’objet d’un support [5], d’un résumé [8] et d’un logiciel d’apprentissage [6]. Cet article constitue la première partie d’une série consacrée à la méthode MOSAR : — MOSAR - Présentation de la méthode [SE 4 060] ; — MOSAR - Cas industriel [SE 4 061]. Terminologie Problématique

Une certaine façon de poser un ou des problèmes propres à une notion ou à un domaine de connaissance.

Méthodologie

Réflexion qui a pour objet d’examiner la nature, la valeur et le choix des matériaux avec lesquels nous pouvons construire notre connaissance en vue de déterminer à quels usages ils sont propres ou impropres.

Méthode

Programme réglant d’avance une suite d’opérations à accomplir et signalant certains errements à éviter, en vue d’atteindre un résultat déterminé.

Outils

Procédés techniques de calcul ou d’expérimentation utilisés pour le développement d’une méthode.

Analyse de risques

Toute démarche structurée permettant d’identifier, évaluer, maîtriser, manager et gérer des risques et notamment les risques industriels.

1. Nécessité d’une méthode d’analyse des risques d’une installation industrielle

O1 M1

O3

Une installation industrielle peut être modélisée comme un système ouvert sur son environnement, et composé essentiellement de matériels (M1 , M2 , M3 ...) et d’opérateurs (O1 , O2 , O3 ...), en interaction entre eux et avec l’environnement (figure 1).

O2

Les matériels (machines, stockages, appareils, bâtiments...) peuvent : — interagir de manière séquentielle (séquences linéaires, parallèles ou en réseaux) lorsqu’ils constituent des chaînes de fabrication ; — ou être isolés.

M3

Figure 1 – Modélisation d’une installation industrielle

Analyser les risques d’une installation va consister essentiellement à identifier les dysfonctionnements de nature technique et opératoire (opérationnelle, relationnelle, organisationnelle) dont l’enchaînement peut conduire à des événements non souhaités par rapport à des cibles (individus, populations, écosystèmes, systèmes matériels ou symboliques).

Les opérateurs sont tous les acteurs de l’installation depuis le responsable jusqu’à l’exécutant. Ils peuvent être aussi isolés ou en relation à travers des hiérarchies linéaires ou parallèles, des groupes en réseau ou des structures diverses.

SE 4 060 − 2

O4

M2

1.1 Problématique

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＴＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＰ

______________________________________________________________________________________________________________________________ MOSAR

Ces dysfonctionnements proviennent des matériels, de leurs liaisons et de leur proximité, ainsi que des opérateurs, de leurs liaisons entre eux et avec les matériels.

— de faciliter la communication avec le public ; — indispensable pour la construction des Plans d’Intervention : le Plan d’Opération Interne (POI) qui gère l’organisation des secours en cas d’accident à l’intérieur du périmètre de l’installation, sous la responsabilité du directeur de cette dernière ; le Plan Particulier d’Intervention (PPI) qui gère l’organisation des secours à l’extérieur du périmètre de l’installation, si les conséquences de l’accident franchissent ce périmètre, sous l’autorité du Préfet.

Il est possible d’imaginer analyser les risques d’une installation à un instant donné, par exemple à t 1 ou à t 2 . On dira alors que l’on a travaillé dans une coupe synchronique de l’installation. Mais entre les instants t 1 et t 2 , l’installation a évolué (diachronie). Il est donc impossible de faire l’analyse des risques d’une installation dans sa diachronie. Tout au plus pourra-t-on la pratiquer à certains moments discrets de cette dernière, que nous allons identifier, et l’on pourra éventuellement mettre en évidence des risques de transition entre ces moments.

1.3 Les outils existants Le contexte d’une analyse de risques peut être défini par deux situations principales : — on s’intéresse à un objet technique, par exemple un avion, un véhicule, une machine ; — on s’intéresse à un milieu plus complexe, par exemple un atelier de fabrication, une usine, une installation industrielle, agricole, urbaine... Ce milieu comportera bien sûr des objets comme des machines, des stockages, des alimentations en fluides, des engins de manutention..., mais il y aura beaucoup de relations entre ces objets et avec leur environnement.

Ces moments de vie d’une installation ou phases de vie sont les suivants : — conception (CO). C’est le travail de bureau d’études qui définit un cahier des charges, un dossier d’appel d’offre, un descriptif, un dossier de réalisation. Il est évidemment très intéressant d’analyser les risques en conception car on peut intégrer leur maîtrise dès le départ et cela est moins coûteux que de modifier par la suite l’installation pour des raisons de sécurité ; — montage (MO). C’est la phase de réalisation qui correspond au chantier avec des risques très spécifiques notamment de manutention ; — essais (ES) ou recette. C’est la phase qui permet de faire les vérifications de conformité par rapport au cahier des charges. Elle est souvent l’objet de risques spécifiques car les éléments de l’installation peuvent être testés jusqu’à leurs performances maximales voire au-delà ; — exploitation. Cette phase correspond aux périodes de mise en œuvre de l’installation. On peut la diviser en : • fonctionnement normal (on la symbolisera par EX) : l’installation fonctionne dans le cadre de ses caractéristiques nominales. Elle peut alors générer des nuisances et être la source d’accidents, • maintenance qui comprend : l’entretien (EN), préventif ou curatif, le dépannage (DE), • arrêt (AR). L’installation peut présenter des dangers spécifiques à l’arrêt ; — transformation. Cette phase concerne les transformations générant des risques spécifiques liés aux chantiers nécessaires pour les réaliser ou à l’installation transformée ; — démantèlement (DEM) ou déconstruction. Cette phase correspond aussi à une phase de chantier très spécifique.

Les méthodes et outils mis en œuvre pour l’analyse de risques ne seront pas les mêmes dans chacun des deux cas : — dans le premier cas ce sont plutôt les outils classiques de la Sûreté de fonctionnement qui seront utilisés (consulter à ce propos les articles Analyse préliminaire des risques [SE 4 010] et Arbres de défaillance, des causes et d’événement [SE 4 050] et la référence [4]) ; — dans le deuxième cas, ces outils seuls ne permettront qu’une analyse parcellaire, notamment des objets de l’installation, et il sera nécessaire de disposer de méthodes, c’est-à-dire de démarches complètes incluant bien sûr les outils, mais capables d’en organiser la mise en œuvre. Les outils disponibles peuvent être classés en deux catégories : — des outils semi-empiriques comme l’APR (Analyse Préliminaire des Risques) qui a donné lieu au développement de grilles issues du retour d’expérience, l’AMDE (Analyse des modes de défaillance et de leurs effets) et l’AMDEC (bien que normalisé il reste dans cette catégorie), HAZOP, l’Analyse Fonctionnelle ; — des outils logiques comme les arbres logiques (arbre de défaillances, arbres causes conséquences ou arbres d’événement) et des outils de type réseaux comme les chaînes de Markov (cf. article Relations entre probabilités et équations aux dérivées partielles [A 565] dans le traité Sciences fondamentales) ou les réseaux de Pétri (cf. articles Réseaux de Petri [R 7 252] dans le traité Mesures et Contrôle, Applications des réseaux de Petri [S 7 254] dans le traité Informatique industrielle et la Sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] § 5.5 dans le traité L’Entreprise industrielle). Tous ces outils permettent des approches par le calcul notamment en matière de probabilité.

Il est donc nécessaire de préciser la phase de vie de l’installation dans laquelle l’analyse est réalisée. Il est aussi possible de se situer dans une phase et de faire apparaître les risques principaux des autres phases. Une vision systémique consiste par exemple à prévoir et à maîtriser les risques apparaissant dans les autres phases dès la phase de conception.

La mise en œuvre de ces outils présente un certain nombre de difficultés. Ce sont en effet pour la plupart des outils dont l’origine est liée à l’analyse de fiabilité « d’objets » ou d’éléments « d’objets » et leur adéquation à l’analyse de risques n’est pas totale. Par ailleurs, leur mise en œuvre nécessite de l’information et l’outil en lui-même n’est pas générique de cette dernière.

1.2 Les besoins d’analyse de risques Nota : le lecteur consultera utilement sur ce sujet l’article Importance de la sécurité dans l’entreprise [AG 4 600] dans le traité l’Entreprise industrielle.

1.4 Nécessité d’une méthode

Les besoins dans ce domaine sont multiples. Si la connaissance et la maîtrise des risques de l’entreprise sont tout d’abord un problème d’éthique, ce sont aussi un moyen : — d’accroître la confiance du public, du personnel, des investisseurs et de conserver une bonne image de marque ; — de satisfaire les contraintes réglementaires multiples : Code du travail, installations classées pour la protection de l’environnement, circulaire Seveso, règles des services de prévention des CRAM (Caisses régionales d’assurance maladie) et des assurances ;

On voit donc apparaître une double nécessité : — essayer de rationaliser les outils à caractère empirique. Le modèle MADS (Méthodologie d’analyse de dysfonctionnement des systèmes) tente de répondre à ce besoin. Modélisation systémique générale du danger, le modèle MADS constitue la structure conceptuelle des outils et méthodes empiriques ou semi-empiriques qui se sont développés sur le terrain. MADS permet par exemple de faire apparaître les concepts de l’AMDEC ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＴＷ

SE 4 060 − 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＰ

MOSAR

______________________________________________________________________________________________________________________________

blir un consensus sur les risques acceptables sous forme d’une grille Gravité-Probabilité ; — une vision microscopique conduisant à un module B qui consiste à faire une analyse détaillée et complémentaire des dysfonctionnements techniques et opératoires identifiés dans le module A. C’est en fait une approche de type « sûreté de fonctionnement » qui vient faire foisonner l’analyse précédente. Dans les scénarios établis dans le module A, on va développer les dysfonctionnements de nature opératoire et ceux de nature technique. C’est à ce niveau que l’on mettra en œuvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le module se termine par le rassemblement et l’organisation de l’information acquise pour la gestion des risques c’est-à-dire des scénarios identifiés s’ils surviennent.

— construire des méthodes qui assurent à la fois une cohérence dans le déroulement de la démarche analytique, qui facilitent et articulent la mise en œuvre des outils précités, et qui participent à la genèse de l’information nécessaire à la bonne utilisation de ces derniers. MOSAR essaie de répondre à ces contraintes. Dans MOSAR, MADS permet de faire apparaître la structuration des dangers et par conséquent de les identifier de manière rationnelle.

2. Structure générale de la méthode MOSAR

3. Modèles mis en œuvre : MADS

2.1 Les deux modules et les dix étapes La méthode s’articule autour de deux visions, d’où les deux modules qui la composent (figure 2) : — une vision macroscopique conduisant à un module A qui consiste à faire une analyse des risques de proximité ou analyse principale de sécurité ou analyse des risques principaux. C’est parce que les éléments qui constituent l’installation (stockages, machines, chaînes de fabrication, opérateurs) sont à proximité les uns des autres que des risques apparaissent, souvent majeurs. Ces éléments sont modélisés sous forme de systèmes ce qui va permettre d’identifier en quoi ils peuvent être sources de danger. On recherche ensuite comment ils peuvent interférer entre eux et avec leur environnement pour générer des scénarios d’accidents. Ce travail nécessite la mise en œuvre du modèle MADS (Méthodologie d’Analyse de Dysfonctionnement des Systèmes) [2] [3]. Ce module comporte aussi une phase de négociation avec les acteurs concernés, qui va permettre d’éta-

À partir d'une modélisation de l'installation

3.1 Description de MADS Le modèle MADS (Méthodologie de dysfonctionnement des systèmes, figure 3), appelé aussi Univers du danger est un outil initialement à vocation pédagogique qui permet de construire et de comprendre la problématique de l’analyse des risques. Il est construit sur les bases des principes de la modélisation systémique développés par Jean-Louis Le Moigne dans « La Théorie du Système général » [1]. L’univers du danger est formé de deux systèmes appelés système source de danger et système cible, en interaction et immergés dans un environnement dit actif.

Identifier les sources de dangers

Module A : vision macroscopique de l'installation Analyse principale de risques ou Analyse des risques principaux Identifier les scénarios de dangers Évaluer les scénarios de risques

Identifier les risques de fonctionnement

Négocier des objectifs et hiérarchiser les scénarios

Évaluer les risques en construisant des ADD et en les quantifiant

Définir les moyens de prévention et les qualifier

Négocier des objectifs précis de prévention Module B : vision microscopique de l'installation Analyse des risques de fonctionnement ou Sûreté de fonctionnement

Affiner les moyens de prévention Gérer les risques

ADD : arbre de défaillance

Figure 2 – Les deux modules et les dix étapes de MOSAR : le parcours complet du MOSAR

SE 4 060 − 4

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＴＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＱ

MOSAR Cas industriel par

Pierre PERILHON Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM) Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)

1. 1.1

Définition de l’exemple. Modélisation ............................................... Décomposition du système étudié et des systèmes environnement et opérateurs en sous-systèmes.................................................................

SE 4 061 - 2 —

2

2. 2.1 2.2 2.3 2.4 2.5 2.6

Le module A de la méthode et ses cinq étapes............................... Identification des sources de danger ......................................................... Identifier les scénarios de danger .............................................................. Évaluation des scénarios à risques ............................................................ Négociation d’objectifs et hiérarchisation des scénarios......................... Définition et qualification des moyens de prévention et de protection.. Conclusion sur le module A........................................................................

— — — — — — —

3 3 5 9 9 11 12

3. 3.1 3.2

Le module B de la méthode et ses cinq étapes ............................... Identifier les risques de fonctionnement ................................................... Évaluer les risques en construisant des arbres de défaillances et en les quantifiant ..................................................................................... Négocier des objectifs précis de prévention ............................................. Affiner les moyens de prévention .............................................................. Gérer les risques..........................................................................................

— —

13 13

— — — —

17 18 18 21

L’organisation des barrières dans une stratégie de défense en profondeur ...........................................................................................

—

22

Références bibliographiques .........................................................................

—

24

Pour en savoir plus...........................................................................................

Doc. SE 4 062

3.3 3.4 3.5 4.

a méthode MOSAR, décrite dans l’article MOSAR - Présentation de la méthode [SE 4 060], est ici développée à partir d’un exemple concret. Le choix de ce dernier répond à plusieurs contraintes : — difficulté de décrire un exemple industriel réel qui serait ainsi mis dans le domaine public ; — nécessité de choisir un exemple que l’on peut mettre sous forme pédagogique pour montrer l’intérêt de la méthode. Il doit être ni trop simple, ni trop compliqué et doit cependant montrer toute l’amplitude de la méthode ; — impossibilité de développer complètement l’exemple mais obligation d’en détailler suffisamment certaines phases pour en montrer l’efficacité. Nous avons donc retenu et construit en partie un exemple réaliste, par ailleurs suffisamment connu pour ne pas désarçonner les lecteurs et suffisamment riche pour en retenir l’attention.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＴ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＴＹ

SE 4 061 − 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＱ

MOSAR

______________________________________________________________________________________________________________________________

1. Définition de l’exemple. Modélisation

tions pour lesquelles une telle décomposition n’a pas d’intérêt, voire est impossible.

Nous prendrons comme exemple une installation de dépotage de propane alimentant des ateliers présentée sur la figure 1.

Elle permet cependant de générer des scénarios d’interférence ou de proximité entre les sous-systèmes si ces derniers peuvent être identifiés. Il existe plusieurs manières de décomposer une installation en sous-systèmes : — décomposition hiérarchique en fonction des relations des éléments de l’installation entre eux ; — décomposition topologique en fonction de la position des éléments de l’installation dans l’espace ; — décomposition fonctionnelle de par la situation des éléments de l’installation dans la chaîne de fonctionnement de cette dernière. Nous utiliserons une association des deux dernières en répondant à trois conditions : — les sous-systèmes répondent aux cinq critères d’un système (structure, fonction, finalité, évolution et environnement selon le modèle canonique de Le Moigne [1]) ; — chacun doit être homogène ; — leur nombre doit être le plus limité possible, en tout cas inférieur ou égal à 12.

C’est le cas d’un laboratoire qui comprend une multitude d’objets sans sous-systèmes clairement identifiables.

Les manières de segmenter le contexte sont multiples mais il faut remarquer que pour un découpage donné définissant le système à analyser, le reste du contexte se trouve dans l’environnement du système. Ainsi, quelle que soit la situation de la frontière retenue entre le système et son environnement, la somme des deux redonne toujours l’ensemble du contexte. Le système le plus dangereux dans ce contexte est l’installation de dépotage de propane. Elle sera donc le système sur lequel va porter l’analyse (figure 2).

1.1 Décomposition du système étudié et des systèmes environnement et opérateurs en sous-systèmes La décomposition du système étudié (ici, le système de dépotage) en sous-systèmes n’est pas obligatoire. Il existe des installa-

Lotissement

Lotissement

30 m

Voie ferrée

45 m

Dépotage 120 m Ateliers 250 m Parking

90 m Bâtiment administratif

70 m

30 m 20 m

Route

10 m 250 m

300 m Rivière

Figure 1 – L’installation étudiée

SE 4 061 − 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＵＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＱ

______________________________________________________________________________________________________________________________ MOSAR

Soupape

Sphère

Systèmes de connexion

Bras mobile Tuyau souple Opérateur Canalisations fixes

Wagon

Pompe

Vanne trois voies pour prélèvement contrôle qualité

Figure 2 – Le système étudié

2. Le module A de la méthode et ses cinq étapes

Dans le cas de l’installation de dépotage de propane, ceci conduit à cinq sous-systèmes (figure 3) : — SS1 - la sphère et ses équipements ; — SS2 - les tuyauteries de remplissage et d’équilibrage ;

Le lecteur consultera la figure 2 de l’article [SE 4 060].

— SS3 - le wagon et ses équipements ; — SS4 - le bras mobile ;

2.1 Identification des sources de danger

— SS5 - la pompe.

2.1.1 Identification des sources de danger de chaque sous-système du système dépotage

Pour ce qui concerne l’environnement on considère que celui-ci est constitué d’un ensemble d’environnements emboîtés [environnement spécifique directement lié à l’installation, environnement proche (ville, campagne), environnement lointain (département, régional)].

Il s’agit d’identifier en quoi chaque sous-système peut être source de danger.

On ne prend en compte, dans l’exemple, que l’environnement spécifique que l’on appellera pour simplifier, sous-système environnement.

Pour effectuer ce travail, on lit chaque sous-système à travers la grille de typologie des systèmes sources de danger décrite au § 2.2, encadré 1 de l’article [SE 4 060]. On remplit la première colonne du tableau A (figure 4).

Dans l’exemple, en ajoutant le sous-système opérateur et le sous-système environnement (figure 3), on arrive pour le contexte au total à sept sous-systèmes, dont on étudie d’abord l’interaction des cinq qui constituent le système dangereux (système étudié) et à partir du résultat obtenu dont on étudiera l’interaction avec les deux autres sous-systèmes.

En faisant cette identification pour tous les sous-systèmes, on obtient donc une liste exhaustive des dangers de l’installation dépotage. La colonne phases de vie permet de préciser certains dangers. Par exemple dans le cas de la sphère, si l’on fait l’analyse dans la phase d’exploitation normale, il n’y a pas de danger de manutention. En revanche, dans les phases montage et entretien il apparaît un danger de manutention avec les organes tels que les vannes et la soupape. Il est donc possible de faire l’analyse soit phase par phase, soit en cherchant à identifier les principaux dangers apparaissant dans les différentes phases.

On pourrait aussi étudier les interactions des éléments qui composent les sous-systèmes environnement et opérateurs et faire apparaître ainsi les interférences internes à ces systèmes avant d’étudier les interférences avec les autres sous-systèmes. C’est une approche complémentaire qui n’est pas développée dans ce document.

Remarque : Deux phrases mnémotechniques pour s’aider à trouver des réponses dans la recherche des processus de danger et stimuler son imagination : — qu’est-ce qui est et qui pourrait ne pas être ? Par exemple, il y a du courant électrique et il pourrait ne pas y en avoir ; — qu’est-ce qui n’est pas et qui pourrait être ? Plus difficile. Par exemple, il n’y a pas de fuite mais il pourrait y en avoir une.

Il en est de même pour les opérateurs. Ils sont constitués en équipes, structures hiérarchiques (services, départements...). Dans l’exemple, pour simplifier aussi, et d’une manière générale dans la méthode d’analyse, on ne modélisera dans un premier temps, d’une manière globale, qu’un opérateur que l’on appellera : sous-système opérateur.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＵＱ

SE 4 061 − 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＱ

MOSAR

______________________________________________________________________________________________________________________________

SS1 Sphère est ses équipements

SS5 Wagon et ses équipements

SS2 tuyauteries d'équilibrage et de remplissage

SS4 Bras mobile

SS6 sous-système opérateur

SS3 Pompe

Système analysé

Route Parking

CONTEXE

Lotissement Ateliers Bâtiments administratifs Voie ferrée Rivière

SS : Sous-système

SS7 Sous-système environnement

Figure 3 – La décomposition du contexte en sept sous-systèmes

2.1.2 Identification des processus de danger

comme tel. Il nous aide à faire apparaître des événements et leurs enchaînements pouvant avoir des effets non souhaités sur des cibles qui, à ce niveau, ne sont pas encore identifiées. Il appartient à l’analyste de se servir des identifications d’événements pour construire des chaînes plus ou moins longues d’enchaînements.

Ce travail se fait ligne par ligne en recherchant les événements qui constituent les processus de danger. On utilise le tableau A (figure 4) en commençant par la colonne des événements initiaux. Ces derniers peuvent provenir soit du contenant, c’est-à-dire de l’enveloppe du système source, soit de son contenu. On recherche ensuite les événements initiateurs qui peuvent engendrer les événements initiaux et on les note dans la colonne correspondante du tableau A. Ces événements peuvent être d’origine interne ou externe au système source de danger. Dans ce dernier cas ils sont générés par les champs.

Exemple : l’événement surpression apparaît à deux endroits différents dans la recherche des processus de danger liés à la pression : — c’est un événement initiateur interne d’une rupture ou d’une fissure de l’enveloppe ; — c’est un événement initial interne dont l’événement initiateur interne est un dysfonctionnement de soupape et l’événement initiateur externe un flux thermique. La chaîne complète devient :

La chaîne événements initiateurs – événements initiaux génère des événements principaux que l’on note dans la dernière colonne à droite du tableau A (figure 4).

Flux thermique

surpression interne

&

fissure rupture

Dysfonctionnement de soupape

2.1.3 Remarques Cette technique nous donne un outil de génération d’un ensemble d’événements. Ce n’est qu’un outil qu’il faut utiliser

SE 4 061 − 4

& &

Dans l’identification des événements principaux, il faut prendre garde à ne pas noter des interférences avec les autres sous-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＵＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＱ

______________________________________________________________________________________________________________________________ MOSAR

Phases de vie : Conception Montage Essais Exploitation : Entretien Dépannage Arrêt Transformation Démantèlement

CO MO ES EX EN DE AR TR DEM

Événements renforçateurs : Sources d'allumage Densité de population Densité de circulation de trains et de véhicules

Influence des champs : Conditions météo Corrosivité de l'air Productivité Réglementation Maintenance Organisation des équipes Qualité de formation du personnel

Événements initiateurs (3)

Types de systèmes sources de danger (1) Application de la grille

Phases de vie

A 1 - sphère et ses équipements

Externes (environnement actif)

EX

A 2 - support

Événements initiaux (2) Événements principaux

Internes

Liés au contenant

Liés au contenu

Choc Corrosion Flux thermique

Corrosion Surpression Dysfonctionnement soupape

Rupture Fissure

Surpression

EX

Corrosion

Corrosion Surcharge

Rupture Déformation

A 3 - propane vannes, soupape

EX

Erreur de remplissage Choc, Givrage Obstacle

Dysfonctionnement de la vanne Prélèvement

Blocage

A 4 - vannes, soupape

EN MO

Choc manutention en cours de montage ou de remontage

Déformation Fissuration

A 5 - sphère

EX

Énergie thermique

Diminution de résistance mécanique

A 6 - sphère

EN DE EX

Pluie Gel Maladresse

Structure glissante Accès hauteur

Accès en hauteur dangereux

A 7 - cuvette de rétention

EN DE EX

Maladresse Fatigue

Dénivellement

Circulation à pied dangereuse

A 8 - équipements

EN DE EX

Maladresse

Aspérités

Possibilité de blessures

B 2 - sphère

EX

Entrée d'air

Explosion

Explosion de la sphère

D 3 - propane

EX

Électricité statique

Fuite

Fuite enflammée

EX

Mauvaise mise à la terre

Déplacement propane

Électricité statique

E 2 - électricité statique

Fuite de propane : gaz liquide Déformation Effondrement Renversement

Débit trop grand

Sphère trop pleine Fuite

Fuite

Montée en température

BLEVE

Figure 4 – Tableau A : établissement des processus de danger du sous-système sphère

2.2 Identifier les scénarios de danger

systèmes sinon la génération de scénarios deviendra confuse par la suite.

Dans les installations industrielles, notamment celles présentant des risques de nature chimique, on admet que les scénarios d’accidents majeurs sont connus notamment grâce au retour d’expérience. On en retient généralement six principaux [2] : — incendie ; — explosion ; — libération de produits toxiques ; — libération de produits inflammables ; — pollution des sols ; — pollution des eaux.

Ne pas écrire explosion dans l’événement principal du processus de danger lié à la pression. Encore faut-il que la nappe de propane générée par la fuite rencontre une source d’allumage (dans une cible) pour qu’il y ait explosion. De la même manière, ne pas écrire chute de hauteur dans le processus de danger lié à l’accès en hauteur de la sphère car encore faut-il qu’un opérateur ait à accéder sur la sphère pour que cela entraîne sa chute. On ne tient pas compte des barrières de prévention et de protection existantes notamment pour une installation en fonctionnement. En effet, si l’on veut pouvoir juger de la pertinence des barrières prévues (projet) ou existantes (diagnostic), il est nécessaire de faire un point zéro sans barrières.

Il est intéressant, voire indispensable de pouvoir générer des scénarios d’accidents possibles [ou plus généralement des scénarios d’événement non souhaité (ENS)] et notamment de faire apparaître les principaux. Ceci permet en effet :

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

ＵＳ

SE 4 061 − 5

ＵＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＰ

Analyse des risques des systèmes dynamiques : préliminaires par

Jean-Pierre SIGNORET Maître ès sciences. Ingénieur fiabiliste Total Ancien Président de European Safety & Reliability Society (ESRA) Animateur du groupe de travail « Recherche méthodologique » de l’IMdR-SdF

1.

Notion de « Risque »...............................................................................

2.

Démarche générale..................................................................................

—

2

3.

Sécurité versus disponibilité (de production)..................................

—

2

4.

Méthodes et outils...................................................................................

—

4

5.

Systèmes dynamiques ............................................................................

—

5

Références bibliographiques .........................................................................

—

5

SE 4 070 - 2

nalyse des risques des systèmes dynamiques : choisi pour ne comporter que des mots du langage courant, un tel titre ne devrait générer aucune ambiguïté sur son objet. Cependant, dans le domaine fiabiliste, beaucoup de termes font l’objet d’une certaine dérive sémantique qui brouille les propos à l’insu même des interlocuteurs. Ainsi nous aurions pu substituer Sûreté de fonctionnement (SdF) à Analyse des risques, mais ce terme restant encore très fortement connoté sécurité, cela n’aurait pas correspondu complètement à l’esprit de cet article où nous nous préoccupons aussi d’aspects économiques comme la disponibilité de production, par exemple. En effet, défini comme une grandeur à deux dimensions (probabilité × conséquences), le risque a l’immense avantage d’appréhender, dans le même concept, des risques de nature complètement différente et, dans cet exposé préliminaire, nous nous efforcerons de montrer comment le corpus de méthodes et d’outils fiabilistes développés ces cinquante dernières années permet de faire face aux divers types de risques rencontrés. De même, tout système industriel étant peu ou prou « dynamique », l’appellation système dynamique constitue un raccourci pour désigner les méthodes et modèles fiabilistes auxquels nous allons nous intéresser pour représenter le comportement des systèmes étudiés. Les travaux réalisés par l’ingénieur fiabiliste s’inscrivent en effet dans une démarche d’analyse systématique, systémique et probabiliste mettant en œuvre toute une batterie de méthodes et d’outils que l’on peut globalement répartir en trois grandes classes : — méthodes de base pour aborder et dégrossir les problèmes ; — méthodes statiques pour analyser les systèmes d’un point de vue structurel (topologique) ; — méthodes dynamiques pour appréhender les aspects comportementaux. Cette classification traduit une certaine gradation dans le degré d’expertise nécessaire à la mise en œuvre des méthodes et surtout des outils qui prennent de plus en plus l’allure de boîtes noires dont les limitations échappent souvent à ceux qui les utilisent.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＵ

A

Le but de cet article introductif est de discuter rapidement des différentes classes de méthodes et d’outils afin de mettre en lumière leurs rôles respectifs ainsi que quelques-uns des problèmes attachés à leurs limitations, puis de situer plus précisément dans cette démarche générale les méthodes dynamiques qui feront l’objet d’articles spécifiques ultérieurs : — processus de Markov (méthode analytique) [SE 4 071] ; — réseaux de Petri stochastiques (simulation de Monte Carlo) [SE 4 072].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur

ＵＵ

SE 4 070 − 1

ＵＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＲ

Méthode MADS-MOSAR Pour en favoriser la mise en œuvre par

Olivier GRANDAMAS Docteur en génie de l’environnement Directeur d’Asphaleia

1.

Problématique ...........................................................................................

2.

Modèle de référence ................................................................................

—

2

3.

Mise en œuvre de MADS-MOSAR ........................................................

—

3

4.

Mises en œuvre complémentaires .......................................................

—

8

5.

Adéquation méthode/problématique ..................................................

—

9

6.

Autre champs d’application ..................................................................

—

9

7.

Exemple d’application.............................................................................

—

9

8.

Avantages et inconvénients ..................................................................

—

14

9.

Mise en œuvre ...........................................................................................

—

15

10.

Conclusion..................................................................................................

—

15

Pour en savoir plus ...........................................................................................

SE 4 062 - 2

Doc. SE 4 062

’objectif de cette présentation est d’apporter, en complément des articles [SE 4 060] et [SE 4 061] sur la méthode MOSAR, un regard très « pratique » sur la mise en œuvre de MADS-MOSAR. Force est de constater à ce jour que, si cette méthode est toujours enseignée, elle est très peu appliquée. On retient aujourd’hui que ses principes sont bons mais que sa mise en œuvre est lourde et fastidieuse, qu’elle est réservée à des experts et que le rapport temps passé sur travail produit est beaucoup trop important. L’objectif est donc ici d’inverser cette perception et de convaincre le lecteur des très nombreux avantages de MADS-MOSAR, en comparaison notamment avec d’autres méthodologies. Ce travail est le fruit d’une expérience de près de 20 ans dans la mise en œuvre de MADS-MOSAR pour analyser les risques de systèmes divers et variés. Utiliser cette méthodologie comme support pour assurer des prestations dans un bureau d’études oblige à se poser beaucoup de questions et à trouver obligatoirement des réponses permettant de produire une analyse conforme aux attentes, notamment réglementaires, tout en étant rentable. Toute cette expérience et ce travail vont être restitués dans cet article, avec le souci permanent d’axer la présentation de la méthode sous un aspect « pratique », indispensable à son appropriation. Certains y trouveront probablement une rupture avec ce qui est classiquement présenté sur MADS-MOSAR, notamment dans les articles précédents. Une telle rupture semble être le prix de son opérationnalité.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＱＰ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＵＷ

SE 4 062 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＲ

MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________

1. Problématique

tème industriel. Les responsables de ces systèmes doivent assurer la protection de leur personnel et de l’environnement, mais doivent également assurer la pérennité de leurs installations et de leur production. Ce sont sur ces fondements que sont nés les plans de continuité d’activité (PCA). Quels sont tous les risques qui peuvent se produire et in fine entraîner la perte d’exploitation de tout ou partie du système ? Y répondre nécessite la réalisation d’une analyse de risques.

MADS-MOSAR est une méthode d’analyse de risques élaborée par Pierre Périlhon [1] [2]. L’analyse de risques est « née » au début des années 1960. Le besoin d’analyser les risques est parti de la nécessité de fiabiliser des systèmes, militaires à l’origine. On a donc mis en œuvre des méthodologies pour assurer la sûreté de fonctionnement de systèmes complexes. Ces méthodologies liées à la sûreté de fonctionnement ont été ensuite appliquées à des systèmes plus industriels pour répondre notamment à des exigences réglementaires. La loi de 1977 sur les installations classées, renforcée par la première réglementation européenne dite « Seveso » ont poussé les industriels à produire des analyses de risques afin de démontrer qu’ils avaient non seulement identifié les risques liés à l’exploitation de leur système, mais qu’ils avaient également pris toutes les dispositions pour en assurer la maîtrise.

La perte d’activité a également des effets domino sur les finances. Il y a donc obligatoirement un lien entre analyse de risques et risques financiers. Enfin, avec la conjoncture actuelle et son lot de mutations, de reclassements, de fermetures de sites, de préretraites, savoir analyser les risques psycho-sociaux entre également dans le spectre de l’analyse de risques sur des systèmes industriels. La nécessité de réaliser des analyses de risques ne se limite cependant pas aux risques industriels.

Pour produire ces analyses, les industriels, accompagnés par les bureaux d’études, ont utilisé les méthodes qu’ils maîtrisaient pour la sûreté de fonctionnement. Par des analyses HAZOP ou AMDEC, deux méthodologies issues de la sûreté de fonctionnement, ils ont produit les études de danger réglementairement demandées. Jusqu’à la fin du siècle dernier, 99 % de ces analyses de risques étaient produites à partir de ces méthodes.

Les risques naturels, les risques urbains et leurs interactions avec les risques industriels nécessitent également de mener à bien des analyses de risques. Pour établir son plan communal de sauvegarde, un maire doit avoir au préalable analysé les risques auxquels ses administrés peuvent être exposés. Il doit aussi et surtout avoir pris les mesures de prévention et de protection pour les protéger.

Les retours d’expériences ont démontré des lacunes dans ces analyses de risques. Un certain nombre de pré-accidents, voire d’accidents, se sont produits sur des sites à risques. Leur analyse a montré que des scénarios non étudiés dans les analyses de risques produites se matérialisaient. Un manque d’exhaustivité et de systématisme était mis en évidence.

En conclusion, il n’y a pas aujourd’hui un système industriel, naturel ou urbain qui échappe à l’analyse de risques. Compte tenu de ce spectre, il existe presque autant de méthodologies que de problématiques. Ne peut-on pas utiliser une seule et même référence méthodologique pour analyser les risques de ces différents systèmes avec différents objectifs ?

Les législateurs ont fait évoluer la réglementation et, pour les installations classées pour la protection de l’environnement (ICPE), « Seveso 2 » a vu le jour. Une des évolutions de la réglementation est de réaliser une analyse de risques systématique d’un site, sans se focaliser uniquement sur les potentiels de danger les plus importants. La notion d’effets domino en est la concrétisation.

Le modèle de référence de MADS-MOSAR le permet, encore faut-il le démontrer.

2. Modèle de référence

Force est de constater que les méthodes utilisées jusqu’ici ne sont plus pleinement adaptées. Réaliser une HAZOP est faire l’analyse de risques d’un procédé. Son application, de par sa logique, ne permet pas de prendre en compte systématiquement les interactions de ce procédé avec son environnement. L’HAZOP doit être complétée par une approche plus macroscopique. L’AMDEC, de par son formalisme ne permet pas une prise en compte systématique des effets domino. C’est à celui qui utilise cette méthodologie de bien identifier les « causes » et les « conséquences » des potentiels de danger qu’il a identifiés.

Afin de bien situer la méthode MADS-MOSAR, il est nécessaire de faire le point sur la problématique de la maîtrise des risques. La maîtrise des risques est le corps de connaissances transversales qui a pour objectif de traiter (identifier, maîtriser, gérer et manager) des événements non souhaités ou indésirés (des dysfonctionnements) issus de la structure, de l’activité, de l’évolution, de la finalité ou de l’environnement des systèmes naturels ou artificiels.

On constate dès lors que les analyses de risques réalisées aujourd’hui sont des patchworks de méthodologies différentes dans l’objectif de couvrir l’ensemble des exigences réglementaires.

Ces événements provoquent ou sont susceptibles de provoquer des impacts sur des installations et/ou êtres vivants tels que les individus, les populations, les écosystèmes.

Il faut dire que la réglementation en la matière a considérablement évolué, et qu’aujourd’hui, produire une analyse de risques en bonne et due forme ne s’invente pas.

L’application de cette connaissance au problème des analyses de risques nécessite au préalable une réflexion épistémologique afin de dégager un langage unitaire, des concepts transversaux.

Cette vision des analyses de risques dans le contexte des installations classées pour la protection de l’environnement est cependant très restrictive.

L’approche systémique propose des principes méthodologiques d’investigation des systèmes naturels et artificiels pour améliorer leur conception, leur fonctionnement et leur gestion.

L’analyse de risques est donc devenue omniprésente dans nos problématiques actuelles.

Sur la base de la systémique et en particulier du concept de systèmes proposé par J.L. Lemoigne [3], le groupe MADS (Méthode d’analyse du dysfonctionnement des systèmes) a développé un modèle de référence appelé processus qui s’adapte à la problématique de la maîtrise des risques [4] [5].

Dans le monde industriel et les sites de production, il est aujourd’hui nécessaire de réaliser une analyse de risques pour produire le document unique né de l’évaluation des risques professionnels conformément au Code du travail (réglementation remise au goût du jour en novembre 2001). Réaliser une étude ATEX (atmosphère explosible) nécessite également de réaliser une analyse de risques.

Pour établir ce modèle, on appelle flux des transactions non désirées d’un système avec son environnement et champ, l’environnement actif dont les fluctuations produisent des ruptures de stabilité du système.

Ces besoins en analyse de risques vont également au-delà des problématiques hygiène, sécurité et environnement de tout sys-

SE 4 062 – 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＵＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＲ

_____________________________________________________________________________________________________________ MÉTHODE MADS-MOSAR

Source

Cible

Source de flux

Effets du flux

miner la recherche de processus source-flux-cible par simple positionnement des sous-systèmes les uns par rapport aux autres. La méthode MADS-MOSAR n’impose pas de règle de modélisation. La personne qui réalise l’analyse de risques avec MADS-MOSAR est libre de modéliser comme bon lui semble. Cependant, par expérience, il est important de donner quelques conseils.

Flux Figure 1 – Modèle de référence

■ Conseils pratiques L’origine du flux sera appelée source ; la rupture d’équilibre concernant sa forme et/ou son comportement sera nommée source de flux. La partie influée par le flux sera appelée cible ; sa rupture d’équilibre sera nommée effet.

• La modélisation est réalisée indépendamment de la problématique de risques. On ne se dit pas : « Je ne prends pas en compte ce sous-système parce qu’il n’y a pas de risque ». Un tel raisonnement s’avérerait dangereux. Modéliser un sous-système sans lui associer de source signifie que ce système a bien été étudié et qu’il ne comporte pas de source.

Il est à noter que cet effet peut lui-même être source (transformant ainsi une cible en une source), ce qui traduit le phénomène d’enchaînement d’événements non désirés que l’on appelle scénario.

• La modélisation est indépendante de la problématique analysée. Que je fasse du document unique ou de l’étude de danger, je dois disposer de la même modélisation.

Une analyse de risque consiste donc à étudier le processus, c’est-à-dire la mise en relation d’une source avec une cible au moyen de phénomènes appelés flux dans un environnement actif appelé champ.

• Si possible, la modélisation doit reprendre les termes qui caractérisent le système étudié et qui sont communément utilisés par les personnes qui exploitent le système.

Le modèle de référence est présenté figure 1.

• Il faut privilégier une modélisation géographique et fonctionnelle à une modélisation organisationnelle. En effet, une organisation, cela évolue sans cesse. Si à chaque fois que l’organisation changeait, il fallait actualiser l’analyse de risques, cette contrainte serait rédhibitoire. En revanche, l’organisation peut se greffer à la modélisation. On peut associer un service, une personne à un sous-système modélisé.

3. Mise en œuvre de MADS-MOSAR

• Il faut privilégier une modélisation géographique à une modélisation fonctionnelle. Une modélisation géographique est beaucoup plus parlante. Elle peut être couplée à un plan. Une modélisation fonctionnelle est à réserver pour des réseaux. On ne va pas créer un sous-système « Réseau d’air comprimé » dans chaque local desservi. On va prendre en compte un seul et même système.

En appliquant MADS-MOSAR, pour réaliser une analyse de risques avec ce moteur de référence, il est nécessaire de procéder étape par étape : 1. modélisation sous-systèmes ;

du

système

étudié

en

le

découpant

en

2. identification des sources ;

• Les sous-systèmes modélisés peuvent être regroupés par finalité. On va créer un système « Réseaux » et dans ce sous-système, créer « Réseau d’air comprimé », « Réseau de vapeur ». Les mêmes règles peuvent être appliquées aux véhicules, aux engins.

3. association des événements ; 4. construction des processus ; 5. construction des scénarios ;

• Quel que soit le système étudié, quelle que soit son échelle, il est conseillé de prendre en compte par défaut trois sous-systèmes, indépendamment du système étudié : sous-systèmes « Environnement naturel », « Environnement technologique » et « Environnement urbain ». La prise en compte systématique de ces soussystèmes garantit l’exhaustivité dans la prise en compte des effets domino entre le système étudié et son environnement.

6. construction des arbres logiques ; 7. identification des mesures de maîtrise des risques ; 8. identification des mesures de pérennité.

3.1 Modélisation

Le fait de ne pas oublier de sous-systèmes est primordial ; c’est le garant de l’exhaustivité. Dans la suite de l’analyse, il va falloir identifier les sources. Cette identification se fera sous-système par sous-système, de manière systématique, indépendamment les uns des autres. Oublier un sous-système, c’est oublier des sources ou des cibles, c’est donc oublier des scénarios et donc occulter la mise en œuvre des mesures de maîtrise des risques nécessaires.

• Toujours par souci de simplification, il est préconisé de prendre en compte systématiquement un système « Hommes » et de le décomposer en sous-systèmes : « Personnel », « Entreprises extérieurs », « Visiteurs » et « Population ». Une telle décomposition se justifie pour un système industriel, mais serait différente pour un système naturel ou urbain. L’homme est omniprésent dans le système étudié et son environnement. Considérer l’homme comme une source et une cible est un minimum. Malheureusement, si l’on considère l’homme seulement comme une source et une cible, on va obligatoirement le retrouver dans tous les systèmes modélisés. On va alors démultiplier l’analyse et considérablement l’alourdir en répétant à chaque système des mesures de maîtrise des risques pour l’homme qui, finalement s’avèrent génériques. Rien n’empêche de décomposer le sous-système « Personnel » en « Personnel administratif » et « Personnel technique », ce dernier pouvant encore être décomposé en « Cariste », « Pontier », « Soudeur ». Une telle modélisation s’applique parfaitement aux objectifs de l’évaluation des risques professionnels.

Quant à l’optimisation, elle est liée au simple fait que des sous-systèmes physiquement éloignés ne pourront pas être à l’origine de flux susceptibles de les impacter. On va donc pouvoir éli-

• La modélisation peut s’envisager par étapes. On peut la faire évoluer, non pas dans sa transversalité, ce qui est plus délicat, mais dans sa profondeur. On réalise une étude de danger, on

La modélisation du système à étudier consiste en une décomposition sous forme de sous-systèmes à partir : – de représentations du système (descriptions, schémas, plans, etc.) ; – d’une visite du système ; – d’échanges avec les acteurs du système. La modélisation du système étudié permet d’atteindre deux objectifs cruciaux en analyse de risques : l’exhaustivité et l’optimisation.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＵＹ

SE 4 062 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＶＲ

MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________

modélise un sous-système « Local transformateur ». Compte tenu des objectifs de l’analyse, il ne s’avère pas nécessaire de le redécomposer en sous-systèmes. Les risques identifiés seront liés à l’incendie et à la pollution. En revanche, si l’on a pour objectif une évaluation du risque professionnel ou un plan de continuité d’activité, il va être nécessaire de décomposer ce système.

Tableau 1 – Typologie associée aux sources Code

Type de danger

A.1

Appareils sous pressions

A.2

Éléments sous contraintes mécaniques

3.2 Identification des sources

A.3

Éléments en mouvement

A.4

Éléments nécessitant une manutention

La première étape dans la construction des processus source-flux-cible est bien évidemment l’identification des sources à l’origine potentielle des flux susceptibles d’impacter une cible. La source est le potentiel de danger susceptible de générer un flux pouvant impacter une cible. La méthodologie MADS-MOSAR consiste à identifier toutes les sources, sous-système par sous-système. Cette identification peut être réalisée de différentes manières : en groupe de travail, à travers des documents (fiches de données de sécurité), par retour d’expérience, etc. MADS-MOSAR met à la disposition de ses utilisateurs une liste de typologie des sources. La grille de typologie des sources, présentée dans le tableau 1 distingue les systèmes sources de danger d’origine mécanique (A), chimique (B), électrique (C), les systèmes sources de danger d’incendie (D), radiologiques (E), les systèmes sources de danger biologique (F), sources de perte d’activité (G) et les systèmes sources d’origine humaine (H). Cette grille a pour premier objectif d’aider dans l’identification des sources. Pour ce faire, sous-système par sous-système, on parcourt cette grille en se posant systématiquement les questions suivantes : dans ce sous-système, y a-t-il des éléments sous pression ? Y a-t-il des éléments sous contraintes mécaniques ? Y a-t-il des éléments en mouvement ? Si oui, on associe au sous-système étudié les noms des sources correspondantes, avec leur typologie : bouteille d’azote – A.1, poutre du pont-roulant – A.2, chariot élévateur – A.3... On peut identifier plusieurs sources pour un même système. Une source peut porter le même nom mais pas la même typologie. Une bouteille de gaz sous pression présente une source du fait qu’elle soit sous pression (A.1) mais aussi du fait qu’elle soit source de chute de hauteur (A.6). On notera alors : bouteille de gaz – A.1 et bouteille de gaz – A.6. Cette typologie a aussi pour objectif de classer les sources et en faciliter ainsi l’exploitation. Il est possible alors de rechercher par exemple toutes les sources d’explosion présentes dans un sous-système donné.

A.5

Systèmes sources d’explosions d’origine physique autres que A.1

A.6

Systèmes sources de chute de hauteur

A.7

Systèmes sources de chute de plain-pied

A.8

Autres systèmes sources de blessures

A.9

Systèmes sources de bruit et de vibrations

B.1

Systèmes sources de réactions chimiques

B.2

Systèmes sources d’explosion

B.3

Systèmes sources de toxicité et d’agressivité

B.4

Systèmes sources de pollution de l’atmosphère et d’odeurs

B.5

Systèmes sources de manque d’oxygène

C.1

Électricité à courant continu ou alternatif

C.2

Électricité statique

C.3

Condensateurs de puissance

D

Systèmes sources d’incendie

E.1

Systèmes sources radiologiques

E.2

UV – IR – Visible

E.3

Lasers

E.4

Micro-ondes

E.5

Champs magnétiques

F.1

Virus – Bactéries

F.2

Toxines

G

Source de par sa fonction

H

Source d’origine humaine

■ Conseils pratiques • L’identification des sources ne doit s’envisager qu’une fois la modélisation terminée. On procède ainsi étape par étape. L’analyse n’en sera que plus cohérente et plus efficace.

3.3 Association des événements Une fois les sources identifiées, il faut leur associer des événements, conformément au modèle MADS. On distingue (figure 2) : – l’événement initial (EI) ; – les événements initiateurs internes (EII) ; – les événements initiateurs externes (EIE) ; – les événements principaux (EP).

• Il est plus aisé de regrouper les sous-systèmes par problématique. On va identifier les sources dans tous les réseaux, puis dans tous les engins, puis dans tous les véhicules, etc. • Au couple source-typologie, il est indispensable d’associer une phase de vie. En effet, on peut retrouver une source qualifiée par un même nom et par une même typologie, mais identifiée dans une phase de vie du système différente. Par exemple, un chariot élévateur en mouvement (A.3) peut être identifié en « Exploitation », mais aussi en « Maintenance ». Il est crucial de les distinguer ainsi car ils ne présenteront pas les mêmes risques ; on ne mettra pas en œuvre les mêmes mesures de maîtrise des risques. En conséquence, une source doit être obligatoirement définie par un nom, une typologie et une phase de vie. Ce conseil trouve toute sa raison d’être quand on constate que la réglementation sur les ICPE impose de réaliser une analyse de risques dans toutes les phases de vie du système.

SE 4 062 – 4

L’événement initial (EI) : c’est l’événement redouté lié à la source (rupture de confinement, incendie, explosion, etc.). Les événements initiateurs internes (EII) : ce sont les événements internes propres à la source et qui peuvent initier à eux seuls l’occurrence EI (usure, corrosion, dysfonctionnement, etc.). Les événements initiateurs externes (EIE) : ce sont les événements extérieurs à la source de danger et qui peuvent initier à eux seuls l’occurrence EI (flux thermique chaud, flux liquide, action involontaire, etc.).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＶＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ

>ÞÃiÊìÃÊÀÃµÕiÃÊìÃÊÃÞÃÌmiÃÊ `Þ>µÕiÃÊ\Ê>««ÀViÊ>ÀÛii «>À

i>*iÀÀi - ", / >ÌÀiÊmÃÊÃViViÃ°Ê}jiÕÀÊw>LÃÌiÊ/Ì> ViÊÛVi«ÀjÃìÌÊìÊ½ÃÌÌÕÌÊìÊ-×ÀiÌjÊìÊVÌiiÌÊ-`® ViÊ*ÀjÃìÌÊìÊ ÕÀ«i>Ê->viÌÞÊEÊ,i>LÌÞÊÃÃV>ÌÊ -,® >ÌiÕÀÊ`ÕÊ}ÀÕ«iÊìÊÌÀ>Û>ÊÊ,iViÀViÊjÌ`}µÕiÊÊìÊ½`,-`

£°

ÃÌÀÕVÌÊ}À>«µÕiÊ`½ÕÊ}À>«iÊìÊ>ÀÛ °°°°°°°°°°°°°°°°°°°°°°°°°°°°

Ó° Ó°£ Ó°Ó Ó°Î

««ÀViÊ>ÀÛiiÊV>ÃÃµÕi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° +ÕiµÕiÃÊ`jwÌÃÊìÊL>Ãi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° À>«iÊìÊ>ÀÛÊÛiÀÃÕÃÊ«>À>mÌÀiÃÊV>ÃÃµÕiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° +ÕiµÕiÃÊjjiÌÃÊÌjÀµÕiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p p p p

Î Î { x

Î° Î°£ Î°Ó Î°Î

««ÀViÊÊÕÌjÌ>ÌÊ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ÌÀ`ÕVÌ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Ýi«iÃÊìÊ}À>«iÃÊìÊ>ÀÛÊ«ÕÀÊìÃÊÃÞÃÌmiÃÊÃ«iÃ°°°°°°°°°°°°°°°° ,j`ÕVÌÊìÊ>ÊÌ>iÊìÃÊ}À>«iÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p p p p

n n £Ó £{

{° {°£ {°Ó

*ÀViÃÃÕÃÊÕÌ«>ÃiÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ÌÀ`ÕVÌ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Ýi«iÃÊÃ«iÃÊìÊÃÞÃÌmiÃÊÕÌ«>ÃiÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p p p

£n £n £n

x° x°£ x°Ó

Ì>ÌÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° />ÕÝÊìÊÌÀ>ÃÌÊVÃÌ>ÌÃ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° }>ÌÃiÊ`ÕÊLÀiÊ`½jÌ>ÌÃÊiÌÊ`vwVÕÌjÃÊìÊVÃÌÀÕVÌ°°°°°°°°°°°°°°°°°°

p p p

ÓÓ ÓÓ ÓÓ

È°

VÕÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p

ÓÎ

,jvjÀiViÃÊLL}À>«µÕiÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

p

ÓÎ

- Ê{ÊäÇ£ÊÊÓ

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＵ

½>««ÀViÊ >ÀÛiiÊ iÃÌÊ >Ê `Þii]Ê `VÊ >Ê «ÕÃÊ VÕiÊ iÌÊ >Ê «ÕÃ ÕÌÃji]ÊìÃÊjÌìÃÊÃiÃÊiÊ ÕÛÀiÊ«ÕÀÊiÊÌÀ>ÌiiÌÊ«ÀL>LÃÌiÊìÃ ÃÞÃÌmiÃÊÃiÊV«ÀÌ>ÌÊ`Þ>µÕiiÌ°

iÊiÌÀiÊ`>ÃÊ>ÊV>ÃÃiÊìÃÊÊ>««ÀViÃÊ>>ÞÌµÕiÃÊ«>ÀÊjÌ>ÌÃ ÊL>ÃjiÃÊÃÕÀ ½ìÌwV>ÌÊ ìÃÊ `vvjÀiÌÃÊ jÌ>ÌÃÊ `ÕÊ ÃÞÃÌmiÊ VViÀjÊ «ÕÃÊ ÃÕÀÊ ½>>ÞÃiÊ ì ½jÛÕÌÊ`Õ`ÌÊÃÞÃÌmiÊiÌÀiÊiÃ`ÌÃÊjÌ>ÌÃ° 1iÊ ìÊ ÃiÃÊ V>À>VÌjÀÃÌµÕiÃÊ >Ê «ÕÃÊ ÌjÀiÃÃ>ÌiÊ iÃÌÊ Ã>Ê «ÃÃLÌjÊ ìÊ Ài«Àj ÃiÌ>ÌÊ }À>«µÕiÊ µÕÊ >ÕÌÀÃiÊ ÃÊ ÕÌÃ>ÌÊ Ã>ÃÊ >ÛÀÊ ÀjiiiÌÊ D V>ÌÀiÊiÊ`jÌ>ÊìÊ>Ê>Ìj>ÌµÕiÊÃÕÃ>ViÌi°Ê i«i`>Ì]ÊViÊÊv>ÕÌ ÃiÊ}>ÀìÀÊìÊÃiÃÊiÊ ÕÛÀiÊ`ÕÊÌÞ«iÊÊLÌiÊÀiÊÊÃÕÛiÌÊÃÕÀViÃÊ`½iÀÀiÕÀÃ iÌÊìÊVÌÀiÃiÃ]ÊViÊ`ÃÃiÀÊÃ½>ÌÌ>ViÊDÊ`j}>}iÀ]ÊiÊ>ÃÊ>ÛiVÊiÃÊ«ÀLmiÃ VVÀiÌÃÊ ÀiVÌÀjÃÊ «>ÀÊ iÃÊ >>ÞÃÌiÃ]Ê iÃÊ «ÀV«iÃÊ iÃÃiÌiÃÊ ìÊ ViÌÌi >Ìj>ÌµÕi° "ÕÌÀiÊ ÃÊ ÕÌÃ>ÌÊ VÕÀ>ÌiÊ «ÕÀÊ iÃÊ V>VÕÃÊ ìÊ w>LÌjÊ iÌÊ `Ã«LÌj V>ÃÃµÕiÃ]Ê ViÌÌiÊ >««ÀViÊ ÀiVmiÊ ìÃÊ ÀiÃÃÕÀViÃÊ LiÊ ÃÕÛiÌÊ ÃÕ«XjiÃ kiÊìÊÃiÃÊÕÌÃ>ÌiÕÀÃÊiÃÊ«ÕÃÊ>ÃÃ`ÕÃ°Ê ½iÃÌÊ«ÕÀµÕÊViÊ`ÃÃiÀÊÃ½>««µÕi DÊ iÌÌÀiÊ iÊ ÕmÀiÊ iÃÊ V>«>VÌjÃÊ ìÊ ViÌÌiÊ >««ÀViÊ DÊ Àj«`ÀiÊ >ÕÊ ÌÀ>ÌiiÌ ìÃÊ ÃÞÃÌmiÃÊ «ÀjÃiÌ>ÌÊ ìÃÊ jÌ>ÌÃÊ `j}À>`jÃÊViÊ iÃÊ ÃÞÃÌmiÃÊ ìÊ «À`ÕV ÌÊ ÃÞÃÌmiÃÊ ÊÕÌjÌ>ÌÃÊ®]Ê «>ÀÊ iÝi«i]Ê ÕÉiÌÊ «ÕÃiÕÀÃÊ «>ÃiÃÊ ì

/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊìÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi° ^Ê/iVµÕiÃÊìÊ½}jiÕÀ

ＶＱ

- Ê{ÊäÇ£ vª£

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6

ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ

Ì>ÌÃ

£

Ó

Î

{ /i«Ã

}ÕÀiÊ q *ÀViÃÃÕÃÊÃÌV>ÃÌµÕi

vVÌiiÌÊ ViÊ iÃÊ ÃÞÃÌmiÃÊ ìÊ ÃjVÕÀÌjÊ «jÀ`µÕiiÌÊ ÌiÃÌjÃÊ ÃÞÃ ÌmiÃÊÊÕÌ«>ÃiÃÊ®° ÕìDÊìÊ½jÛ>Õ>ÌÊ>LÌÕiiÊìÃÊ«ÀL>LÌjÃÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊ`ÕÊÃÞÃ ÌmiÊ jÌÕ`j]Ê ViÊ `ÃÃiÀÊ ÌÀiÊ ViÌÊ ½jÛ>Õ>ÌÊ ìÃÊ Ìi«ÃÊ ÞiÃÊ ì ÃjÕÀÃÊ VÕÕjÃÊ /- ®Ê «>ÃÃjÃÊ `>ÃÊ iÃÊ `ÛiÀÃÊ jÌ>ÌÃÊ ÕÛÀiÊ >Ê ÛiÊ >ÕÊ ÌÀ>Ìi iÌÊìÊÌÕÌiÊÕiÊV>ÃÃiÊ`½jÌÕìÃÊÀiÌjiÊÛiÀÃÊ½jViÊ«ÕÌÌÊµÕiÊÛiÀÃÊ> ÃjVÕÀÌjÊiÌÊViÌ]Ê«>ÀÊiÝi«i]Ê>ÊÌÊìÊ`Ã«LÌjÊÞiiÊÃiÊ«À }iÊ>ÌÕÀiiiÌÊiÊ`Ã«LÌjÊìÊ«À`ÕVÌ° iÊµÕiÊÌÀmÃÊyiÝLiÊiÌÊ«ÕÃÃ>Ìi]ÊViÌÌiÊ>««ÀViÊ½iÊÃÕvvÀiÊ«>ÃÊÃÊì µÕiµÕiÃÊÌ>ÌÃÊµÕÊ«ÀÛiiÌÊ«ÀV«>iiÌÊìÊ½«ÃÃLÌjÊDÊÕÌÃiÀ `½>ÕÌÀiÃÊ ÃÊ µÕiÊ ìÃÊ ÃÊ iÝ«iÌiiÃÊ iÌÊ ìÊ ½iÝ«ÃÊ VL>ÌÀiÊ `Õ LÀiÊ ìÃÊ jÌ>ÌÃÊ ÀÃµÕiÊ iÊ LÀiÊ ìÊ V«Ã>ÌÃÊ jjiÌ>ÀiÃÊ >Õ}iÌi°

i>ÊÌiÊÃ>ÊÃiÊiÊ ÕÛÀiÊÀ}ÕÀiÕÃiÊ>ÕÝÊ«iÌÌÃÊÃÞÃÌmiÃ]Ê>ÃÊiÃÊjÌ ìÃÊ >««ÀVjiÃÊ `jVÀÌiÃÊ `>ÃÊ ViÊ `ÃÃiÀÊ «iÀiÌÌiÌÊ ìÊ Ài«ÕÃÃiÀÊ ViÃÊ ÌiÃ `>ÃÊÕiÊViÀÌ>iÊiÃÕÀi° iÊ `ÃÃiÀÊ «ÀjVjìÌÊQ- Ê{ÊäÇäRÊ ÃÕÀÊ iÃÊ VÃ`jÀ>ÌÃÊ «Àj>ÀiÃ VViÀ>ÌÊ½>>ÞÃiÊìÃÊÀÃµÕiÃÊìÃÊÃÞÃÌmiÃÊ`Þ>µÕiÃÊ`j}>}iÊiÃÊ}À>ìÃ }iÃÊìÃÊjjiÌÃÊDÊ«Ài`ÀiÊiÊV«ÌiÊ«ÕÀÊivviVÌÕiÀÊÕÊVÝÊ«iÀÌiÌÊì >ÊjÌìÊDÊiÌÌÀiÊiÊ ÕÛÀiÊ«ÕÀÊÀj>ÃiÀÊÕiÊjÌÕìÊw>LÃÌi°Ê ÕÃÊ½ÞÊÀiÛi `ÀÃÊ«>ÃÊVÊiÌÊÕÃÊÃÕ««ÃiÀÃÊµÕiÊ½>>ÞÃiÊ`ÕÊV«ÀÌiiÌÊ`ÕÊÃÞÃÌmi VViÀjÊ>ÊÕÃÌwjÊ>ÊÃiÊiÊ ÕÛÀiÊ`½ÕiÊ`jÃ>ÌÊ«>ÀÊ«ÀViÃÃÕÃÊÃÌV>Ã ÌµÕiÊw}ÕÀiÊ®° jÌìÊ>>ÞÌµÕiÊL>ÃjiÊÃÕÀÊiÃÊ«ÀViÃÃÕÃÊìÊ>ÀÛ]ÊiiÊiÃÌÊÌÀmÃÊ«À>ÌµÕji `>ÃÊ ÃÊ ÕÛiÀÃÌjÃÊ iÌÊ iÊ LÕÌÊ ìÊ ViÊ `ÃÃiÀÊ iÃÌÊ ìÊ v>ÀiÊ >Ê «ÀjÃiÌ>ÌÊ ìÊ ÃiÃ `vvjÀiÌiÃÊV>À>VÌjÀÃÌµÕiÃ°

£° ÃÌÀÕVÌÊ}À>«µÕiÊ `½ÕÊ}À>«iÊìÊ>ÀÛ

*£ £ääÊ¯

ÕÊ «ÌÊ ìÊ ÛÕiÊ ìÊ ½}jiÕÀ]Ê ½ÌjÀkÌÊ v`>iÌ>Ê ì ½>««ÀViÊ>ÀÛiiÊiÃÌÊÃÊ>Ã«iVÌÊ}À>«µÕiÊµÕÊ«iÀiÌÊìÊ> iÌÌÀiÊ iÊ ÕÛÀiÊ Ã>ÃÊ >ÛÀÊ ÀjiiiÌÊ LiÃÊ `½iÊ V>ÌÀiÊ i «ÀvìÕÀÊÌÕÃÊiÃÊ>Ã«iVÌÃÊÌjÀµÕiÃ°

ÌÀji *ÀÀÌ>Ài £ääÊ¯

*ÕÀÊ ÕÃÌÀiÀÊ Vi>]Ê iÊ «ÕÃÊ Ã«iÊ iÃÌÊ ìÊ ÀiVÕÀÀÊ DÊ ½iÝi«i V>ÃÃµÕiÊQ£R QRÊ «ÀjÃiÌjÊ w}ÕÀiÊ£Ê iÌÊ vÀjÊ ìÊ ìÕÝÊ ««iÃÊ *£Ê iÌ *ÓÊ ÌiÀ`j«i`>ÌiÃÊ «>ÀÊ iÊ L>ÃÊ `½ÕiÊ jµÕ«iÊ ìÊ Àj«>À>ÌiÕÀÃÊ Õ µÕiÊ «ÕÀÊ iÊ >ÃÃÕÀiÀÊ >Ê >Ìi>Vi°ÊÃ]Ê ÀÃµÕiÊ *£Ê iÌÊ *ÓÊ ÃÌ

- Ê{ÊäÇ£ vªÓ

-ÀÌi

*Ó }ÕÀiÊ£ q ÀVÕÌÊìÊ««>}i

/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊìÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi° ^Ê/iVµÕiÃÊìÊ½}jiÕÀ

ＶＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6

Ã>ÃÊjÀi°Ê i>Ê«µÕiÊµÕ½ÊVÛiÀ}iÊ>ÕÊLÕÌÊ`½ÕÊ`j>Ê«ÕÃ ÕÊÃÊ}ÊÛiÀÃÊÕÊjÌ>ÌÊ`½jµÕLÀiÊ`j«i`>ÌÊìÃÊV`ÌÃ Ì>iÃ°

Î

o£

*£ *Ó

oÓ

ÊÃ½>}ÌÊVÊìÃÊV>À>VÌjÀÃÌµÕiÃÊv`>iÌ>iÃÊìÃÊ«ÀViÃÃÕÃ ìÊ>ÀÛÊ}miÃÊ`ÌÊÊVÛiÌÊìÊLiÊÃiÊÃÕÛiÀ°

x£

£

xÓ *ÓÊ«ÀÀÌ>Ài «ÕÀÊ> Àj«>À>Ì

*£ *Ó

*£ *Ó

ÀÃµÕiÊ iÃÊ Ì>ÕÝÊ ìÊ ÌÀ>ÃÌÃÊ iÊ ÃÌÊ «>ÃÊ VÃÌ>ÌÃ]Ê Ê «>Ài ìÊ «ÀViÃÃÕÃÊ Ãi>ÀÛiÃ°Ê ÕÃÊ iÊ iÃÊ >LÀìÀÃÊ «>ÃÊ `>Ã ViÊ`ÃÃiÀÊV>ÀÊiÕÀÊÌÀ>ÌiiÌÊ>>ÞÌµÕiÊiÃÌÊLi>ÕVÕ«ÊÃÊv>Vi µÕiÊ iÃÊ «ÀViÃÃÕÃÊ >ÀÛiÃÊ }miÃ°Ê *ÕÀÊ ìÃÊ ÃÞÃÌmiÃÊ ì Ì>iÊ `ÕÃÌÀii]Ê iÌÊ Ã>ÕvÊ V>ÃÊ «>ÀÌVÕiÀÃ]Ê ÃiÕiÊ >Ê ÃÕ>ÌÊ ì Ìi >ÀÊ «iÀiÌÊ ìÊ iÃÊ ÌÀ>ÌiÀÊ ÀjiiiÌ°Ê i>Ê ÃiÀ>Ê `jVÀÌÊ i `jÌ>Ê `>ÃÊ iÊ `ÃÃiÀÊ VViÀ>ÌÊ ½ÕÌÃ>ÌÊ ìÃÊ ÀjÃi>ÕÝÊ ìÊ *iÌÀ ÃÌV>ÃÌµÕiÃ°

{

xÓ oÓ

*£ *Ó

o£

Ó >ÀVi *£] *Ó *£]Ê*Ó

*>i

Ó° ««ÀViÊ>ÀÛiiÊ V>ÃÃµÕi

««iÃ i jÌ>ÌÊì >ÀVi ««iÃ iÊ«>i

}ÕÀiÊÓ q Ýi«iÊìÊ}À>«iÊìÊ>ÀÛ

Ó°£ +ÕiµÕiÃÊ`jwÌÃÊìÊL>Ãi ÃÕÌ>jiÌÊ iÊ «>i]Ê Ê ìÛiÌÊ jViÃÃ>ÀiÊ ìÊ `jwÀÊ >Ê «Ì µÕiÊìÊ>Ìi>ViÊDÊiÌÌÀiÊiÊ ÕÛÀiÊiÌ]Ê`>ÃÊÕÊ«ÀiiÀÊÌi«Ã] ÕÃÊVÃ`jÀiÀÃÊµÕiÊ*ÓÊiÃÌÊ«ÀÀÌ>ÀiÊ«ÕÀÊ>ÊÀj«>À>Ì°

Û>ÌÊ `½>iÀÊ «ÕÃÊ ]Ê Ê VÛiÌÊ ìÊ À>««iiÀÊ µÕiµÕiÃÊ ÌÃ jjiÌ>ÀiÃÊ `ÕÊ `>iÊ ìÊ >Ê Ã×ÀiÌjÊ ìÊ vVÌiiÌ°Ê iÃ ìÛÀ>iÌÊ kÌÀiÊ «>Àv>ÌiiÌÊ VÕiÃÊ >Ã]Ê DÊ ½iÝ«jÀiVi]Ê Ê iÃ `jVÕÛÀiÊÕÊ«iÕÊÕLjiÃÊÕÊ>Ê>ÃÃjiÃÊ«>ÀÊiÃÊ}jiÕÀÃÊµÕ iÃÊÕÌÃiÌÊ\ p v>LÌjÊ , Ì ®Ê\Ê «ÀL>LÌjÊ ìÊ LÊ vVÌiiÌÊ ÃÕÀÊ Õ ÌiÀÛ>iÊìÊÌi«ÃÊ`jÊQä]ÊÌ RÊiÌÊ`>ÃÊìÃÊV`ÌÃÊ`jiÃÊÆ p `Ã«LÌjÊ Ì ®Ê\Ê «ÀL>LÌjÊ ìÊ LÊ vVÌiiÌÊ DÊ Õ ÃÌ>ÌÊ`jÊÌÊiÌÊ`>ÃÊìÃÊV`ÌÃÊ`jiÃ°

>Ê VÃÌÀÕVÌÊ `ÕÊ }À>«iÊ ìÊ >ÀÛÊ Ài>ÌvÊ DÊ ÕÊ ÌiÊ ÃÞÃÌmi Ã½ivviVÌÕiÊiÊìÕÝÊjÌ>«iÃÊw}ÕÀiÊÓ®Ê\ p ìÌvV>ÌÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊµÕiÊiÊÃÞÃÌmiÊ«iÕÌÊVVÕ«iÀ >ÕÊVÕÀÃÊìÊÃÊiÝ«Ì>Ì U ÊÞÊiÊ>ÊµÕ>ÌÀiÊ`jjÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊÆ p VÃÌÀÕVÌÊ`ÕÊ}À>«iÊìÊ>ÀÛÊ«À«ÀiiÌÊ`ÌÊ\

Ê ÀjÃÕÌiÊ ìÊ ViÃÊ `jwÌÃÊ µÕiÊ >Ê w>LÌj]Ê >ÕÊ ÃiÃÊ >Ìj>Ì µÕiÊ `ÕÊ ÌiÀi]Ê VÀÀiÃ«`Ê DÊ ÕÊ vVÌiiÌÊ Ã>ÃÊ ÌiÀÀÕ«Ì ÃÕÀÊ ÕiÊ ViÀÌ>iÊ «jÀì°Ê >Ê ÌÊ ìÊ w>LÌjÊ iÃÌÊ `VÊ ÌÀmÃÊ ÕÌi «ÕÀÊ ÌÀ>ÌiÀÊ ìÃÊ «ÀLmiÃÊ jÃÊ DÊ >Ê ÃjVÕÀÌj]Ê V>ÀÊ iiÊ Ã½ÌjÀiÃÃiÊ D ½VVÕÀÀiViÊ ìÊ >Ê «ÀimÀiÊ «>iÊ ÕÊ «ÀiiÀÊ >VVìÌ®Ê `Õ ÃÞÃÌmiÊVViÀj°

U Ài«ÀjÃiÌ>ÌÊìÊV>VÕÊìÃÊjÌ>ÌÃÊ«>ÀÊÕÊViÀVi] U Ài«ÀjÃiÌ>ÌÊìÃÊÌÀ>ÃÌÃÊiÌÀiÊiÃÊjÌ>ÌÃÊ«>ÀÊìÃÊymViÃ°

>µÕiÊÌÀ>ÃÌÊÃÞLÃiÊ>Êv>XÊ`ÌÊiÊÃÞÃÌmiÊÃ>ÕÌiÊ`½Õ jÌ>ÌÊÛiÀÃÊÕÊ>ÕÌÀi°

i>Ê ÕÃÊ V`ÕÌÊ DÊ ÌÀ`ÕÀiÊ ÕiÊ >ÕÌÀiÊ ÌÊ ìÊ L>ÃiÊ `Ã ÃV>LiÊìÊViiÊìÊw>LÌjÊ\

Ýi«i \ ìÊ½jÌ>ÌÊìÊ>ÀViÊ«>Àv>ÌÊ £]ÊÊ«iÕÌÊÃ>ÕÌiÀÊÛiÀÃÊ ÓÊÕ

ÎÊ«>ÀÊ`jv>>ViÊìÊ*ÓÊÕÊ*£]ÊìÊ½jÌ>ÌÊ ÓÊÊ«iÕÌÊ>iÀÊÃÌÊÛiÀÃÊ½jÌ>Ì ìÊ«>iÊÌÌ>iÊ {Ê«>ÀÊ`jv>>ViÊìÊ*£ÊÕÊÀiÛiÀÊDÊ½jÌ>ÌÊ £Ê«>ÀÊÀj«> À>ÌÊìÊ*Ó]Ê°°°]ÊiÌÊw>iiÌÊìÊ½jÌ>ÌÊ {ÊÊ«iÕÌÊÀiÛiÀÊÕµÕiiÌ ÛiÀÃÊ ÎÊ«>ÀÊÀj«>À>ÌÊìÊ*ÓÊµÕÊiÃÌÊ«ÀÀÌ>ÀiÊ«ÕÀÊ>ÊÀj«>À>Ì°

p //Ê\Ê Ìi«ÃÊ ÞiÊ >Û>ÌÊ >Ê «ÀimÀiÊ `jv>>ViÊ i> /iÊ/Ê> ®° Ê iÃÌÊ DÊ ÌiÀÊ µÕi]Ê «ÕÀÊ ÕÊ V«Ã>ÌÊ jjiÌ>ÀiÊ Àj}Ê «>ÀÊ Õi Ê iÝ«iÌiiÊ ìÊ Ì>ÕÝÊ ìÊ `jv>>ViÊ o]Ê iÊ //Ê iÃÌÊ >ÀÃÊ j}> DÊ£Éo°Ê->ÕvÊV>ÃÊÌÀmÃÊ«>ÀÌVÕiÀ]ÊViÌÌiÊ«À«ÀjÌjÊ½iÃÌÊiÊ}jjÀ>Ê«>Ã ÛÀ>iÊ >ÕÊ Ûi>ÕÊ `ÕÊ ÃÞÃÌmiÊ }L>]Ê kiÊ ÃÊ ViÕVÊ iÊ V«ÀÌi µÕiÊìÃÊV«Ã>ÌÃÊÀj}ÃÊ«>ÀÊìÃÊÃÊiÝ«iÌiiÃ°Ê ½>ÕÌÀiÊ«>ÀÌ iÊ //Ê iÃÌÊ ÕÊ «>À>mÌÀiÊ µÕÊ «iÕÌÊ kÌÀiÊ iÃÌjÊ ÃÌ>ÌÃÌµÕiiÌÊ D «>ÀÌÀÊ ìÊ `jiÃÊ LÃiÀÛjiÃÊ `>ÃÊ iÊ ìÊ «ÞÃµÕiÊ ÀiÌÕÀ `½iÝ«jÀiVi®°Ê Ê «iÀiÌÊ `VÊ ìÊ v>ÀiÊ iÊ iÊ iÌÀiÊ iÃÊ >Ìj >ÌµÕiÃÊiÌÊiÊìÊÀji°

Ê>ÊwÊìÊViÌÊiÝiÀVVi]ÊÊÃiÊÀiÌÀÕÛiÊiÊ«ÀjÃiViÊ`½ÕÊ}À>«i `½jÌ>ÌÃÊ µÕÊ `jÃiÊ iÊ V«ÀÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ vÀjÊ ìÊ ìÕÝ ««iÃ°Ê *ÕÀÊ µÕ½Ê Ài«ÀjÃiÌiÊ >ÕÃÃÊ iÊ «ÀViÃÃÕÃÊ ìÊ >ÀÛ >ÃÃVj]ÊÊÀiÃÌiÊDÊ«ÀjVÃiÀÊµÕiiÃÊÃÌÊiÃÊV>ViÃÊµÕiÊV>VÕiÊì ViÃÊÌÀ>ÃÌÃÊÃÌÊÀjiiiÌÊi«ÀÕÌjiÊ>ÕÊVÕÀÃÊìÊ>ÊÛiÊ`ÕÊÃÞÃ Ìmi°Ê i>ÊiÃÌÊLÌiÕÊiÊ>vviVÌ>ÌÊìÃÊÌ>ÕÝÊìÊÌÀ>ÃÌ o ÊDÊV> VÕiÊ`½iiÃ°

Ê ½««ÃjÊ ìÊ >Ê w>LÌj]Ê >Ê `Ã«LÌjÊ Ã½ÌjÀiÃÃiÊ DÊ >Ê «ÀL> LÌjÊ µÕiÊ iÊ ÃÞÃÌmiÊ vVÌiÊ DÊ ÕÊ ÃÌ>ÌÊ `jÊ Ã>ÃÊ ÃiÊ «Àj VVÕ«iÀÊìÊViÊµÕÊÃ½iÃÌÊ«>ÃÃjÊ>Õ«>À>Û>Ì°Ê iÊV>À>VÌjÀÃiÊ`VÊÕ vVÌiiÌÊ«ÕÛ>ÌÊkÌÀiÊÌiÀÀ«ÕÊ«ÕÃÊÀi«ÀÃ°

>Ìj>ÌµÕiiÌ]Ê o ±Ê`ÌÊ iÃÌÊ >Ê «ÀL>LÌjÊ V`ÌiiÊ ì Ã>ÕÌiÀÊ ìÊ Ê ÛiÀÃÊ Ê iÌÀiÊ ÌÊ iÌÊ Ì ³Ê`ÌÊ ÀÃµÕ½Ê iÃÌÊ `>ÃÊ ½jÌ>ÌÊ Ê D ½ÃÌ>ÌÊÌ°Ê >ÃÊiÊV>ÃÊÕÃÕi]ÊiÃÊÌ>ÕÝÊìÊÌÀ>ÃÌÊÃÌÊ VÃÌ>ÌÃ iÌÊVÀÀiÃ«ìÌÊ>ÕÝÊÌ>ÕÝÊìÊ`jv>>ViÊÕÊ>ÕÝÊÌ>ÕÝÊìÊÀj«>À>Ì ìÃÊV«Ã>ÌÃÊµÕÊV>ÕÃiÌÊiÃÊV>}iiÌÃÊ`½jÌ>Ì°Ê/ÕÌiÃÊiÃÊÃ ìÊ «ÀL>LÌjÃÊ µÕÊ Àj}ÃÃiÌÊ iÃÊ `ÛiÀÃÊ «jmiÃÊ «ÀÃÊ i V«ÌiÊÃÌÊ`VÊìÊ>ÌÕÀiÊiÝ«iÌiiÊiÌÊÕÊÌiÊ«ÀViÃÃÕÃÊÃÌ V>ÃÌµÕiÊiÃÌÊ`jjÊ«ÀViÃÃÕÃÊìÊ>ÀÛÊ}mi°

>Ê`Ã«LÌjÊ Ì ®Ê>ÊÃÕÀÌÕÌÊÕÊÌjÀkÌÊÌjÀµÕiÊiÌ]ÊiÊ«À>ÌµÕi] V½iÃÌÊ«ÕÌÌÊDÊÃ>ÊÛ>iÕÀÊÞiiÊµÕiÊ½ÊÃ½ÌjÀiÃÃi°Ê ½ÙÊ½ÌÀ `ÕVÌÊìÊìÕÝÊ>ÕÌÀiÃÊ`jwÌÃÊ\ p `Ã«LÌjÊÞiiÊ«ÕÀÊÕiÊÃÃÊ Ì £ ]ÊÌ Ó®Ê\ U ÞiiÊìÊ Ì ®ÊÃÕÀÊ½ÌiÀÛ>iÊQÌ £ ]ÊÌ ÓR] U À>ÌÊÌi«ÃÊÞiÊìÊLÊvVÌiiÌÉÌ Ó qÊÌ £®] U «ÕÀViÌ>}iÊ `ÕÊ Ìi«ÃÊ ÞiÊ ìÊ LÊ vVÌiiÌÊ ÃÕÀ QÌ £ ]ÊÌ ÓRÊÆ

i]Ê `>ÃÊ ViÊ V>Ã]Ê >Ê «ÀL>LÌjÊ ìÊ Ã>ÕÌiÀÊ ìÊ Ê ÛiÀÃÊ Ê i `j«i`Ê µÕiÊ ìÊ >Ê «ÀjÃiViÊ `>ÃÊ Ê DÊ ½ÃÌ>ÌÊ ÌÊ >ÃÊ «>ÃÊ ìÊ > >mÀiÊ`ÌÊÊÞÊiÃÌÊ>ÀÀÛjÊiÌÀiÊäÊiÌÊÌ]ÊiÊìÛiÀÊ`ÕÊÃÞÃÌmiÊi `j«i`Ê µÕiÊ ìÊ ÃÊ jÌ>ÌÊ DÊ ½ÃÌ>ÌÊ Ì°Ê Ê Ã½>}ÌÊ `VÊ `½ÕÊ «ÀViÃÃÕÃ

/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊìÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi° ^Ê/iVµÕiÃÊìÊ½}jiÕÀ

ＶＳ

- Ê{ÊäÇ£ vªÎ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6

ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ

p `Ã«LÌjÊÌiÊ \

/>Li>ÕÊ£ÊqÊ Ã«LÌjÊiÊvVÌÊ`ÕÊÌi«ÃÊ£®

U Û>iÕÀÊÌiÊìÊ Ì ®ÊµÕ>`ÊÌÊÌi`ÊÛiÀÃÊ½w] U Û>iÕÀÊÞiiÊìÊ Ì ®ÊÃÕÀÊÕiÊ`ÕÀjiÊwi] U Û>iÕÀÊÌiÊìÊ ä]ÊÌ ®ÊµÕ>`ÊÌÊÌi`ÊÛiÀÃÊ½w] U Û>iÕÀÊÌiÊ`ÕÊÀ>ÌÊÞiÊ`ÕÊÌi«ÃÊìÊ>ÀViÉÌi«ÃÊÌÌ>] U «ÕÀViÌ>}iÊ`ÕÊÌi«ÃÊÞiÊìÊLÊvVÌiiÌÊÃÕÀÊÕi `ÕÀjiÊwi°

*>À>mÌÀiÃ /i«Ã ®

Ã«LÌjÊÞiiÊiÌÊ`Ã«LÌjÊÌiÊ«ÃÃmìÌÊ`VÊ`v vjÀiÌiÃÊ ÌiÀ«ÀjÌ>ÌÃ°Ê Ê v>ÕÌÊ v>ÀiÊ ÕiÊ iÌÊ Ã«jV>iÊ «ÕÀ ViiÊ VÀÀiÃ«`>ÌÊ >ÕÊ À>ÌÊ `ÕÊ Ìi«ÃÊ ìÊ LÊ vVÌiiÌ À>««ÀÌjÊ >ÕÊ Ìi«ÃÊ `½LÃiÀÛ>ÌÊ V>ÀÊ iiÊ «iÀiÌÊ ìÊ Àj>ÃiÀÊ ìÃ iÃÌ>ÌÃÊ ÃÌ>ÌÃÌµÕiÃÊ DÊ «>ÀÌÀÊ ìÊ `jiÃÊ LÃiÀÛjiÃÊ `>ÃÊ i ìÊ «ÞÃµÕi°Ê "Ê ÀiÌÀÕÛiÊ >ÕÃÃÊ VÊ iÊ iÊ iÌÀiÊ iÃÊ >Ìj >ÌµÕiÃÊiÌÊiÊìÊÀji° iÃÊ «ÀL>LÌjÃÊ V«jiÌ>ÀiÃÊ Ì ®Ê iÌÊ 1 Ì ®Ê ìÊ >Ê w>LÌjÊ iÌ ìÊ >Ê `Ã«LÌjÊ ÃÌÊ `jjiÃÊ Ê`jw>LÌjÊÊ iÌ Ê`Ã«LÌjÊ \ p Ì ®ÊrÊ£ÊqÊ, Ì ®ÊÆ p 1 Ì ®ÊrÊ£ÊqÊ Ì ®°

Ó°Ó À>«iÊìÊ>ÀÛÊÛiÀÃÕÃ «>À>mÌÀiÃÊV>ÃÃµÕiÃ ,iÛiÃÊ >ÕÊ }À>«iÊ ìÊ >ÀÛÊ ìÊ >Ê w}ÕÀiÊÓ°Ê ÕÃÊ ½>ÛÃ iVÀiÊ ÀiÊ `ÌÊ ÃÕÀÊ >Ê >ÌÕÀiÊ ìÃÊ jÌ>ÌÃÊ ÀiVÌÀjÃ°Ê >ÃÊ iÊ V>`Ài V>ÃÃµÕi]Ê >Ê «ÀimÀiÊ jÌ>«iÊ iÃÌÊ ìÊ iÃÊ Àj«>ÀÌÀÊ iÊ ìÕÝÊ V>ÃÃiÃ `ÃÌVÌiÃÊ qÊ >ÀViÉ*>iÊ qÊ >wÊ ìÊ «ÕÛÀÊ iiÀÊ DÊ LiÊ iÃ V>VÕÃÊìÊw>LÌjÉ`Ã«LÌjÊÀ`>ÀiÃ°

£]Êä ÊqÊäx

R£

£]Êä ÊqÊä£

QÓ

x]Êä ÊqÊä{

RÓ

{]ÊÓ ÊqÊäÓ

£

Ó

Î

{

Ì>ÌÃ

ä

£]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää

Óä

]ÊÎÓ ÊqÊä£ È]ÊÇÎx ÊqÊäÎ n]Êxx ÊqÊäx £]Êäää ÊqÊäÈ

{ä

]ÊäÎ ÊqÊä£ ]ÊÈ£Î ÊqÊäÎ ]ÊÇxn ÊqÊäx Ó]ÊÓÓ ÊqÊäÈ

Èä

]Ên£ ÊqÊä£ £]Êän{ ÊqÊäÓ ]ÊÎ{ ÊqÊäx Î]ÊäÎn ÊqÊäÈ

nä

]Ênnx ÊqÊä£ £]Ê£ÎÇ ÊqÊäÓ ]ÊÇÓ ÊqÊäx Î]Ê{n ÊqÊäÈ

£ää

]ÊnnÎ ÊqÊä£ £]Ê£x ÊqÊäÓ ]ÊnÈ ÊqÊäx Î]ÊÇ{Î ÊqÊäÈ

£Óä

]ÊnnÓ ÊqÊä£ £]Ê£È ÊqÊäÓ ]ÊÓ ÊqÊäx Î]ÊnÈ ÊqÊäÈ

£{ä

]ÊnnÓ ÊqÊä£ £]Ê£ÇÎ ÊqÊäÓ ]ÊÈ ÊqÊäx Î]ÊÎ£ ÊqÊäÈ

£Èä

]Ênn£ ÊqÊä£ £]Ê£Çx ÊqÊäÓ ]ÊÇ ÊqÊäx Î]ÊÈÓ ÊqÊäÈ

£nä

]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ên ÊqÊäx Î]ÊÇÇ ÊqÊäÈ

Óää

]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Ên{ ÊqÊäÈ

Îää

]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Êä ÊqÊäÈ

{ää

]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ]Ê ÊqÊäx Î]Ê£ ÊqÊäÈ

£® "ÊÀ>««iiÊµÕiÊ>ÊÌ>ÌÊ äx]Ê«>ÀÊiÝi«i]ÊÃ}wiÊy £äqx°

Ó°Ó°Ó >LÌjÊ«ÀjÛÃii

iÊiÃÊìÕÝÊ««iÃÊÃÌÊÀi``>ÌiÃ]ÊViÌÌiÊÀj«>ÀÌÌÊiÃÌ ÌÀmÃÊ Ã«iÊ\Ê iÃÊ jÌ>ÌÃÊ O £]Ê Ó]Ê ÎPÊ VÀÀiÃ«ìÌÊ >ÕÊ LÊ vVÌ iiÌÊiÌÊ½jÌ>ÌÊO {PÊDÊ>Ê«>iÊ`ÕÊÃÞÃÌmi°

*ÕÃµÕiÊiÊ}À>«iÊìÊ>Êw}ÕÀiÊÓÊ«iÀiÌÊ`½jÛ>ÕiÀÊ>Ê`Ã«LÌj `ÕÊ ÃÞÃÌmi]Ê ViÌÊ v>ÕÌÊ iÊ `wiÀÊ «ÕÀÊ LÌiÀÊ ÕÊ `mi «iÀiÌÌ>ÌÊ`½jÛ>ÕiÀÊ>Êw>LÌjÊ`Õ`ÌÊÃÞÃÌmiÊ¶

Ó°Ó°£ Ã«LÌjÊ«ÀjÛÃii

>Ê Àj«ÃiÊ ÃiÊ ÌÀÕÛiÊ `>ÃÊ >Ê `jwÌÊ kiÊ ìÊ >Ê w>LÌjÊ\Ê v>ÕÌÊ >ÃÃÕÀiÀÊ >Ê VÌÕÌjÊ `ÕÊ LÊ vVÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ ÃÕÀ ½ÌiÀÛ>iÊQä]ÊÌ R°ÊÊiÃÌÊ`VÊjViÃÃ>ÀiÊìÊ`wiÀÊiÊ}À>«iÊìÊ> w}ÕÀiÊÓÊìÊ>mÀiÊµÕ½>ÕVÕÊViÊ>LÕÌÃÃ>ÌÊDÊ½ÕÊÕÊ½>ÕÌÀi ìÃÊjÌ>ÌÃÊìÊ>ÀViÊ £]Ê ÓÊÕÊ ÎÊDÊ½ÃÌ>ÌÊÌÊiÊÃÌÊ>>ÃÊ«>ÃÃj «>ÀÊ ½jÌ>ÌÊ ìÊ «>iÊ {Ê `>ÃÊ ½ÌiÀÛ>iÊ Qä]Ê Ì RÊ Õ]Ê ViÊ µÕÊ ÀiÛiÌÊ >Õ ki]Êv>ÀiÊiÊÃÀÌiÊµÕ½>ÕVÕÊViÊ«>ÃÃ>ÌÊ«>ÀÊ½jÌ>ÌÊìÊ«>i

{ÊiÊÀiÛiiÊ>>ÃÊÛiÀÃÊÕÊìÃÊjÌ>ÌÃÊìÊ>ÀViÊ £]Ê ÓÊÕÊ Î°

1iÊ vÃÊ >Ê `VÌiÊ Àj>ÃjiÊ iÌÀiÊ iÃÊ jÌ>ÌÃÊ ìÊ >ÀViÊ iÌÊ ì «>i]Ê Ê «iÕÌÊ ÃiÊ ì>ìÀÊ ViÊ µÕiÊ «iÀiÌÊ ìÊ V>VÕiÀÊ ivviVÌ ÛiiÌÊiÊ}À>«iÊìÊ>ÀÛÊìÃÃjÊ«ÀjVjìiÌÊiÌÊÀi«ÀjÃiÌj w}ÕÀiÊÓ° *ÕÀÊ Àj«`ÀiÊ DÊ ViÌÌiÊ µÕiÃÌ]Ê Ê ÃÕvwÌÊ ìÊ Ài>ÀµÕiÀÊ µÕ½ÕÊ Ìi }À>«iÊ Ài«ÀjÃiÌi]Ê ìÊ >mÀiÊ ÃÞÌjÌµÕi]Ê ÌÕÃÊ iÃÊ ViÃ ÃjµÕiViÃÊ`½jÛjiiÌÃ®ÊµÕiÊiÊÃÞÃÌmiÊ«iÕÌÊi«ÀÕÌiÀÊDÊ«>ÀÌÀ ìÊÃÊjÌ>ÌÊÌ>Ê`ÕÀ>ÌÊÃÊjÛÕÌÊ>ÕÊVÕÀÃÊ`ÕÊÌi«Ã°

>Ê `wV>ÌÊ ìÊ ÌÀiÊ }À>«iÊ iÃÌÊ >ÀÃÊ ÌÀmÃÊ Ã«iÊ DÊ Àj>ÃiÀ «ÕÃµÕ½Ê ÃÕvwÌÊ ìÊ ÃÕ««ÀiÀÊ iÃÊ ÌÀ>ÃÌÃÊ ìÊ O {PÊ ÛiÀÃÊ O £]Ê Ó]

ÎP°Ê Ê v>Ì]Ê Ê ½ÞÊ iÊ >Ê µÕ½ÕiÊ ÃiÕiÊ DÊ ÃÕ««ÀiÀÊ ìÊ {Ê ÛiÀÃÊ ÎÊ iÌ Vi>ÊÕÃÊV`ÕÌÊ>ÕÊ}À>«iÊ«ÀjÃiÌjÊÃÕÀÊ>Êw}ÕÀiÊÎ°

1Ê ÌiÊ ViÊ ÃiÀ>Ê «>ÀÊ iÝi«iÊ £]Ê Ó]Ê £]Ê Î]Ê {]Ê Ó]Ê £°°°Ê i }À>«iÊ ÀiviÀiÊ `VÊ ìÃÊ ViÃÊ «iÀiÌÌ>ÌÊ >ÕÊ ÃÞÃÌmiÊ ì «>ÃÃiÀÊ «>ÀÊ ½jÌ>ÌÊ ìÊ «>iÊ {Ê «ÕÃÊ ìÊ ÀiÛiÀÊ `>ÃÊ ÕÊ jÌ>ÌÊ ì >ÀViÊ Ó°Ê Ê `jVÀÌÊ `VÊ iÊ V«ÀÌiiÌÊ `½ÕÊ ÃÞÃÌmiÊ µÕÊ «iÕÌ kÌÀiÊ iÊ >ÀViÊ DÊ ÕÊ ÃÌ>ÌÊ `jÊ iÊ >Þ>ÌÊ jÌjÊ ÕiÊ ÕÊ «ÕÃiÕÀÃ vÃÊiÊ«>iÊ>Õ«>À>Û>Ì°ÊÊÃ½>}ÌÊ`VÊÌÞ«µÕiiÌÊ`½ÕÊ`mi ìÊ`Ã«LÌj°

À@ViÊ DÊ ViÌÌiÊ ÌÀ>ÃvÀ>Ì]Ê * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê Ài«ÀjÃiÌi >Ìi>ÌÊ>Ê«ÀL>LÌjÊ`½kÌÀiÊiÊ>ÀViÊDÊ½ÃÌ>ÌÊÌÊÃ>ÃÊ>>Ã kÌÀiÊ ÌLjÊ iÊ «>iÊ >Õ«>À>Û>Ì]Ê V½iÃÌD`ÀiÊ >Ê «ÀL>LÌjÊ `½kÌÀi ÀiÃÌjÊ iÊ LÊ jÌ>ÌÊ ìÊ vVÌiiÌÊ ÃÕÀÊ ÌÕÌiÊ >Ê `ÕÀjiÊ Qä]Ê Ì RÊ Õ >ÕÌÀiiÌÊ`ÌÊ>Êw>LÌjÊ`ÕÊÃÞÃÌmiÊjÌÕ`j°

>Ê`Ã«LÌjÊ Ì ®Ê`ÕÊÃÞÃÌmiÊjÌÕ`jÊiÃÌÊ`VÊj}>iÊDÊ>Ê«À L>LÌjÊìÊÃiÊÌÀÕÛiÀÊDÊ½ÃÌ>ÌÊÌÊ`>ÃÊ½ÕÊÕÊ½>ÕÌÀiÊìÃÊÌÀÃÊjÌ>ÌÃ ìÊ >ÀViÊ £]Ê ÓÊ ÕÊ ÎÊ iÌÊ ÃÊ `Ã«LÌjÊ 1 Ì ®Ê iÃÌÊ j}>iÊ DÊ > «ÀL>LÌjÊìÊÃiÊÌÀÕÛiÀÊ`>ÃÊ½jÌ>ÌÊìÊ«>iÊ {°

iÊkiÊµÕiÊ«ÀjVjìiÌ]ÊÊ>Ê`VÊ\ p * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê³Ê* { Ì ®ÊrÊ£ÊÆ p , Ì ®ÊrÊ* £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®ÊÆ p Ì ®ÊrÊ* { Ì ®° iÃÊ vÀÕiÃÊ VìÃÃÕÃÊ ÃÌÊ ìÌµÕiÃÊ DÊ ViiÃÊ «iÀiÌÌ>ÌÊ ì V>VÕiÀÊ >Ê `Ã«LÌj°Ê iÊ µÕÊ iÃÌÊ `vvjÀiÌ]Ê V½iÃÌÊ iÊ }À>«iÊ µÕ «iÀiÌÊ `½jÛ>ÕiÀÊ iÃÊ «ÀL>LÌjÃÊ ìÃÊ `vvjÀiÌÃÊ jÌ>ÌÃ°Ê i«i`>Ì] >Ìi>Ì]Ê Ê ½iÃÌÊ «ÕÃÊ «ÃÃLiÊ ìÊ ÃÀÌÀÊ ìÊ ½jÌ>ÌÊ {Ê ÕiÊ vÃ µÕ½Ê ÞÊ iÃÌÊ iÌÀjÊ\Ê Ê `ÌÊ µÕiÊ ViÕVÊ iÃÌÊ ìÛiÕÊ >LÃÀL>Ì°Ê iÌÌi `vvjÀiVi]Ê µÕÊ «iÕÌÊ «>À>ÌÀiÊ i]Ê iÌÀ>iÊ Vi«i`>ÌÊ Õ V«ÀÌiiÌÊ ÌÀmÃÊ `vvjÀiÌÊ `ÕÊ «ÀViÃÃÕÃÊ ìÊ >ÀÛ°Ê iÊ ½iÝÃÌiÊ «ÕÃÊ ìÊ «ÃÃLÌjÊ ìÊ ÃÀÌÀÊ ìÊ {]Ê ÌÕÌiÊ >Ê «ÀL>LÌjÊ Û> ÃiÊ ÀiÌÀÕÛiÀÊ VViÌÀjiÊ `>ÃÊ ViÌÊ jÌ>ÌÊ ÀÃµÕiÊ iÊ Ìi«ÃÊ Û>Ê Ìi`Ài ÛiÀÃÊ ½w°Ê i>Ê iÊ v>ÌÊ µÕiÊ ÌÀ>`ÕÀiÊ >Ê ViÀÌÌÕìÊ µÕiÊ iÊ ÃÞÃÌmi

*ÃÃÊ* Ì ®ÊrÊ«ÀL>LÌjÊ`½kÌÀiÊ`>ÃÊ½jÌ>ÌÊ ÊDÊ½ÃÌ>ÌÊÌ°

ä®

iÊ iÊ ÃÞÃÌmiÊ iÊ «iÕÌÊ «>ÃÊ ÃiÊ ÌÀÕÛiÀÊ `>ÃÊ «ÕÃiÕÀÃÊ jÌ>ÌÃ DÊ>ÊvÃ]ÊiÃÊjÌ>ÌÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊÃÌÊ`ÃÌÃ°ÊÊiÊÀjÃÕÌiÊ\ p * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê³Ê* { Ì ®ÊrÊ£ÊÆ p Ì ®ÊrÊ* £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®ÊÆ p 1 Ì ®ÊrÊ* { Ì ®° iÊ Ì>Li>ÕÊ£Ê ÌÀiÊ ½jÛÕÌÊ ìÊ >Ê «ÀL>LÌjÊ ìÃÊ `vvjÀiÌÃ jÌ>ÌÃÊ`ÕÊÃÞÃÌmiÊiÊvVÌÊ`ÕÊÌi«ÃÊiÌÊ>Ê«ÀL>LÌjÊìÊ½jÌ>ÌÊ{ ìÊ`ÀiVÌiiÌÊ½`Ã«LÌjÊÃÌ>Ì>jiÊ1 Ì ®° ä®

- Ê{ÊäÇ£ v {

Q£

/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊìÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi° ^Ê/iVµÕiÃÊìÊ½}jiÕÀ

ＶＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＱ ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**," Ê,"6

ViÌÌiÊ«jÀì°ÊÊÃÕvwÌÊ`VÊìÊ`ÛÃiÀÊViÌÌiÊÃiÊ«>ÀÊ>Ê`ÕÀjiÊì >`ÌiÊ«jÀìÊ«ÕÀÊLÌiÀÊ>Ê`Ã«LÌjÊÞiiÊ`ÕÊÃÞÃÌmiÊi µÕiÃÌ°

Î

o£

*£ *Ó

iÊ ki]Ê >Ê ÃiÊ ìÃÊ/- Ê «>ÃÃjÃÊ `>ÃÊ iÃÊ jÌ>ÌÃÊ ìÊ «>i qÊ VÊ ÃiÕiiÌÊ {Ê qÊ V`ÕÌÊ DÊ ½jÛ>Õ>ÌÊ ìÊ ½`Ã«LÌj ÞiiÊ`ÕÊÃÞÃÌmiÊVViÀj°

oÓ xÓ

x£

£

-ÕÀÊiÊ}À>«iÊìÊ>Êw}ÕÀiÊÎ]Ê>ÊÃiÊìÃÊ/- Ê«>ÃÃjÃÊ`>ÃÊiÃ jÌ>ÌÃÊ £]Ê ÓÊ iÌÊ ÎÊ VÀÀiÃ«`Ê >ÕÃÃÊ DÊ ÕiÊ `ÕÀjiÊ ÞiiÊ ìÊ L vVÌiiÌÊ >Ã]Ê V]Ê Ê Ã½>}ÌÊ ìÊ >Ê `ÕÀjiÊ ÞiiÊ ìÊ L vVÌiiÌÊ Ã>ÃÊ LÃiÀÛiÀÊ ìÊ `jv>>ViÊ ÃÕÀÊ >Ê «jÀìÊ Qä]Ê Ì R° ÀÃµÕiÊÌÊÌi`ÊÛiÀÃÊ½w]ÊViÌÌiÊ`ÕÀjiÊÞiiÊ½iÃÌÊ>ÕÌÀiÊµÕiÊi V>ÃÃµÕiÊ//Êi>Ê/iÊ/Ê> ®Ê`ÕÊÃÞÃÌmiÊjÌÕ`j°

-Õ««ÀiÃÃ

*£ *Ó

Ì>ÌÊ>LÃÀL>Ì

*£ *Ó

{

xÓ oÓ

ÀÃµÕiÊÌÊ½iÃÌÊ«>ÃÊw]Ê>Ê`ÕÀjiÊÞiiÊÃ>ÃÊ`jv>>ViÊiÃÌ ÕiÊ >ÕÌÀiÊ >mÀiÊ `½>««ÀjiìÀÊ iÃÊ V>ViÃÊ `½LÃiÀÛiÀÊ Õi `jv>>ViÊÃÕÀÊ>Ê«jÀìÊ`½iÝ«Ì>ÌÊÕÊ>Ê«jÀìÊìÊ}>À>Ìi® `ÕÊ ÃÞÃÌmiÊ VViÀj°Ê iÊ «iÕÌÊ `VÊ iÌÀiÀÊ `>ÃÊ iÃÊ VÀÌmÀiÃÊ ì VVi«ÌÊ >ÕÊ kiÊ ÌÌÀiÊ µÕiÊ >Ê w>LÌj]Ê >Ê `Ã«LÌjÊ ÕÊ i //°

o£

*£ *Ó

Ó

iÊiÌi`Õ]ÊViÊÊiÃÌÊ>LÃÀL>Ì]ÊiÊ/- ÊìÊ½jÌ>ÌÊ {ÊÌi` ÛiÀÃÊ½wÊÀÃµÕiÊ>Ê`ÕÀjiÊÌi`ÊÛiÀÃÊ½w°

£ÀiÊ«>i

>ÀViÊVÌÕi

}ÕÀiÊÎ q À>«iÊìÊ>ÀÛÊ«ÕÀÊiÊV>VÕÊìÊ>Êw>LÌj

Ó°Î +ÕiµÕiÃÊjjiÌÃÊÌjÀµÕiÃ 1iÊvÃÊiÊ}À>«iÊìÊ>ÀÛÊVÃÌÀÕÌ]ÊÊiÃÌÊjViÃÃ>ÀiÊ`½jÌ>LÀ iÃÊ µÕiµÕiÃÊ vÀÕiÃÊ ÌjÀµÕiÃÊ ìÊ L>ÃiÊ «iÀiÌÌ>ÌÊ ìÊ Àj>ÃiÀ ivviVÌÛiiÌÊ iÃÊ V>VÕÃÊ «ÀL>LÃÌiÃÊ jÛµÕjÃÊ `>ÃÊ iÃÊ «>À> }À>«iÃÊ«ÀjVjìÌÃ°

/>Li>ÕÊÓÊqÊ>LÌjÊiÊvVÌÊ`ÕÊÌi«Ã /i«Ã >Ã® ä

Ì>ÌÃ £

Ó

Î

{

ÌÃÊ`mÃÊiÊ`j«>ÀÌÊµÕi]ÊÃ>ÕvÊ«ÕÀÊìÊÌÀmÃÊ«iÌÌÃÊÃÞÃÌmiÃ]ÊÊiÃÌ «>Àv>ÌiiÌÊ ÕÃÀiÊ `½iÛÃ>}iÀÊ ìÊ V`ÕÀiÊ iÃÊ V>VÕÃÊ >Õi iiÌ°Ê ÕÃÊiÊ`jVÀÀÃÊ`VÊVÊµÕiÊiÃÊvÀÕiÃÊ>Ìj>ÌµÕiÃ `Ã«iÃ>LiÃÊ «ÕÀÊ V«Ài`ÀiÊ >Ê «Ã«iÊ ìÊ >Ê jÌìÊ iÌ iÊViÀiÀÊiÃÊ>Û>Ì>}iÃÊiÌÊiÃÊVÛjiÌÃ°

£]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää ä]Êäää Ê³Êää

xä

]Ê£n£ ÊqÊä£ £]Ê£ä£ ÊqÊäÓ ]Ê£Îx ÊqÊäx Ç]Êän£ ÊqÊäÓ

£ää

n]ÊxÎ£ ÊqÊä£ £]ÊäÓÎ ÊqÊäÓ n]Ê{nn ÊqÊäx £]ÊÎÈÈ ÊqÊä£

£xä

Ç]ÊÓÇ ÊqÊä£ ]Êx£ä ÊqÊäÎ Ç]ÊnnÇ ÊqÊäx £]ÊÇn ÊqÊä£

Óxä

È]Ên{{ ÊqÊä£ n]ÊÓ£ä ÊqÊäÎ È]Ên£ä ÊqÊäx Î]ÊäÇ{ ÊqÊä£

{ää

x]Ê{ä ÊqÊä£ È]ÊxnÇ ÊqÊäÎ x]Ê{ÈÎ ÊqÊäx {]Ê{{Î ÊqÊä£

xää

{]ÊÇ{ä ÊqÊä£ x]ÊÈnÇ ÊqÊäÎ {]ÊÇ£Ç ÊqÊäx x]ÊÓäÎ ÊqÊä£

Çää

Î]ÊxÎÎ ÊqÊä£ {]ÊÓÎ ÊqÊäÎ Î]Êx£È ÊqÊäx È]Ê{Ó{ ÊqÊä£

£äää

Ó]ÊÓÇ{ ÊqÊä£ Ó]ÊÇÓn ÊqÊäÎ Ó]ÊÓÈÎ ÊqÊäx Ç]ÊÈn ÊqÊä£

Îäää

£]ÊÓäx ÊqÊäÓ £]Ê{{x ÊqÊä{ £]Ê£ ÊqÊäÈ ]ÊnÇn ÊqÊä£

xäää

È]ÊÎn£ ÊqÊä{ Ç]ÊÈxx ÊqÊäÈ È]ÊÎ{ ÊqÊän ]Ê{ ÊqÊä£

*ÕÀÊ iÊ ÌÀ>ÌiiÌÊ ìÊ ÃÞÃÌmiÃÊ Ê`ÕÃÌÀiÃÊ]Ê iÃÊ V>VÕÃÊ «À «ÀiiÌÊ `ÌÃÊ jViÃÃÌiÌÊ >Ê ÃiÊ iÊ ÕÛÀiÊ ìÊ }ViÃÊ `ÌÊ iÝÃÌiÊ ÕÊ ViÀÌ>Ê LÀiÊ ÃÕÀÊ iÊ >ÀVj°Ê iÃÊ V>À>VÌjÀÃÌµÕiÃ] «ÃÃLÌjÃÊ iÌÊ «iÀvÀ>ViÃÊ iÊ ÃÌÊ `ÛiÀÃiÃÊ iÌÊ ÕÃÊ ÕÃ i«iÀÃ]Ê `>ÃÊ ViÌÌiÊ «>ÀÌiÊ ÌjÀµÕi]Ê DÊ `jVÀÀiÊ «ÕÃÊ «>ÀÌVÕm ÀiiÌÊ ViÊ µÕÊ iÃÌÊ «jiÌjÊ `>ÃÊ iÊ }ViÊQÓRÊ µÕiÊ ÕÃÊ >ÛÃ `jÛi««jÊiÌÊ>ÌiÕÊì«ÕÃÊ>Ìi>ÌÊÕiÊÛ}Ì>iÊ`½>jiÃ°

Ó°Î°£ ÀÕiÊìÊL>Ãi >ÊvÀÕiÊìÊ`j«>ÀÌÊìÃÊ«ÀViÃÃÕÃÊìÊ>ÀÛÊiÃÌÊÌÀmÃÊÃ«iÊD `jwÀ°Ê iÊ VÃÃÌiÊ Ã«iiÌÊ DÊ jÌ>LÀÊ >Ê «ÀL>LÌjÊ * Ì ³Ê`Ì ® `½kÌÀiÊ `>ÃÊ ½jÌ>ÌÊ Ê DÊ ½ÃÌ>ÌÊ Ì ³Ê`ÌÊ iÊ vVÌÊ ìÃÊ «ÀL>LÌjÃ * Ì ®ÊìÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊ ®ÊDÊ½ÃÌ>ÌÊÌ°

ÌLiÊiÊ«>iÊÃÕÀÊÕiÊ`ÕÀjiÊwi°ÊÊiÊÀjÃÕÌiÊµÕiÊ Ì ®ÊÌi` ÛiÀÃÊ£ÊiÌÊ, Ì ®ÊÛiÀÃÊäÊÀÃµÕiÊiÊÌi«ÃÊÌÊÌi`ÊÛiÀÃÊ½w°

iÌÌiÊ «ÀL>LÌjÊ ÃiÊ `ÛÃiÊ iÊ ìÕÝÊ «>ÀÌiÃÊ V«jiÌ>ÀiÃ w}ÕÀiÊ{®Ê\ £® Ê>ÀÀÛiÊ`>ÃÊ½jÌ>ÌÊÊiÌÀiÊÌÊiÌÊÌ ³Ê`Ì Æ Ó® Ê iÃÌÊ `>ÃÊ ½jÌ>ÌÊ Ê DÊ ½ÃÌ>ÌÊ ÌÊ iÌÊ Ê ½iÊ ÃÀÌÊ «>ÃÊ iÌÀiÊ ÌÊ iÌ Ì ³Ê`Ì°

iÊ Ì>Li>ÕÊÓÊ ÌÀiÊ ½jÛÕÌÊ ìÊ >Ê «ÀL>LÌjÊ ìÃÊ `vvjÀiÌÃ jÌ>ÌÃÊ`ÕÊÃÞÃÌmiÊiÊvVÌÊ`ÕÊÌi«ÃÊiÌÊ>Ê«ÀL>LÌjÊìÊ½jÌ>ÌÊ{ ìÊ`ÀiVÌiiÌÊ>Ê`jw>LÌjÊ Ì ®°

>Ê ìÕÝmiÊ «>ÀÌiÊ jÌ>ÌÊ Ã«iiÌÊ iÊ V«jiÌÊ DÊ £Ê ìÊ > «ÀL>LÌjÊ ìÊ ÃÀÌÀÊ ìÊ ]Ê Ê >LÕÌÌÊ v>ViiÌÊ DÊ >Ê vÀÕi ÃÕÛ>ÌiÊ\

Ó°Ó°Î /i«ÃÊÞiÃÊìÊÃjÕÀÃÊVÕÕjÃ° Ã«LÌjÊÞiiÊiÌÊ// ÕÊ VÕÀÃÊ ìÊ ÃÊ jÛÕÌ]Ê iÊ ÃÞÃÌmiÊ Ã>ÕÌiÊ `½jÌ>ÌÊ iÊ jÌ>ÌÊ iÌ ÃjÕÀiÊ`>ÃÊV>VÕÊ`½iÕÝÊ«i`>ÌÊÕiÊViÀÌ>iÊ`ÕÀji°Ê iÊ «iÕÌÊ «>ÃÃiÀÊ «ÕÃiÕÀÃÊ vÃÊ «>ÀÊ iÊ kiÊ jÌ>Ì]Ê ÕÃÊ «>ÀiÀÃÊ ì Ìi«ÃÊÞiÃÊìÊÃjÕÀÊVÕÕjÃÊ/- ®Ê>wÊ`½jÛÌiÀÊ>ÊVvÕÃ >ÛiVÊ iÊ Ìi«ÃÊ ÞiÊ ìÊ ÃjÕÀÊ /-®Ê LÃiÀÛjÊ DÊ V>µÕiÊ «>ÃÃ>}i `Û`Õi°

* Ì ´ `Ì r

* Ì o `Ì ´ * Ì M£ q o `Ì N

|

£®

|

Ê ÌiÀÊ µÕi]Ê ÃÕÀÊ >Ê w}ÕÀiÊ{]Ê iÊ v>ÌÊ µÕiÊ iÊ ÃÞÃÌmiÊ ÀiÃÌiÊ `>Ã ½jÌ>ÌÊ Ê >Ê jÌjÊ Ài«ÀjÃiÌjÊ «>ÀÊ ÕiÊ ÌÀ>ÃÌÊ LÕVjiÊ ÃÕÀÊ ½jÌ>ÌÊ °Ê i }iÀiÊìÊLÕViÊiÃÌÊ«VÌiÊiÌÊ}jjÀ>iiÌÊÃÊÃÕÀÊiÃÊ}À>«iÃ ìÊ>ÀÛ°

Ã`jÀÃÊiÊ}À>«iÊìÊ>Êw}ÕÀiÊÓ \Ê>Ê`ÕÀjiÊÞiiÊìÊL vVÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ jÌÕ`jÊ «ÕÀÊ ÕiÊ «jÀìÊ `ji VÀÀiÃ«`Ê DÊ >Ê ÃiÊ ìÃÊ Ìi«ÃÊ ÞiÃÊ ìÊ ÃjÕÀÃÊ VÕÕjÃ «>ÃÃjÃÊ`>ÃÊiÃÊjÌ>ÌÃÊìÊLÊvVÌiiÌÊ £]Ê ÓÊiÌÊ ÎÊ«i`>Ì

*ÃÃÊ o rÊ o Ê «ÕÀÊ Ã«wiÀÊ >Ê vÀÕiÊ£®°Ê o Ê Ài«ÀjÃiÌi `VÊ iÊ Ì>ÕÝÊ ìÊ ÌÀ>ÃÌÊ ìÊ Ê ÛiÀÃÊ ½«ÀÌiÊ µÕiÊ >ÕÌÀiÊ jÌ>ÌÊ `v vjÀiÌÊiÌÊÊ«>ÃÊiÊÌ>ÕÝÊìÊÌÀ>ÃÌÊìÊÊÛiÀÃÊÕki®°

/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊìÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi° ^Ê/iVµÕiÃÊìÊ½}jiÕÀ

ＶＵ

- Ê{ÊäÇ£ vªx

ＶＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＲ

Analyse des risques des systèmes dynamiques : réseaux de Petri Principes par

Jean-Pierre SIGNORET Maître ès-Sciences - Expert Fiabiliste TOTAL Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF) Ancien Président de European Safety & Reliability Association (ESRA) Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF

SE 4 072 –

2

1.

Contexte......................................................................................................

2.

Analytique versus Monte-Carlo ............................................................

–

2

3.

Modèles de comportement ....................................................................

–

3

4. 4.1 4.2 4.3 4.4

Simulation de Monte-Carlo.................................................................... Principe ......................................................................................................... Exemple simple............................................................................................ Génération des lois de probabilité ............................................................. Précision des résultats.................................................................................

– – – – –

4 4 4 5 6

5. 5.1 5.2 5.3

Réseaux de Petri ....................................................................................... Historique ..................................................................................................... Réseaux de Petri – RdP – de base ............................................................... Extensions ....................................................................................................

– – – –

7 7 7 11

6.

RdP versus processus de Markov ........................................................

–

13

7.

Réseaux de Petri colorés ........................................................................

–

14

8.

Conclusion..................................................................................................

–

14

Pour en savoir plus ...........................................................................................

Doc. SE 4 073

algré tout son intérêt, l’approche analytique par processus de Markov (cf. dossier [SE 4 070] « Analyse des risques des systèmes dynamiques : préliminaires ») trouve rapidement des limites lorsque la complexité des systèmes industriels à étudier ou des paramètres probabilistes à évaluer augmente. Un saut qualitatif devient nécessaire qui impose l’abandon de l’approche analytique pour l’approche statistique connue sous le nom de simulation de MonteCarlo. Elle consiste à tirer des nombres au hasard pour animer un modèle représentant le comportement du système étudié dont l’évolution ainsi simulée sur un grand nombre d’histoires permet d’évaluer les informations probabilistes – fiabilité, disponibilité, disponibilité de production, etc. – recherchées. Une fois franchi le pas de la simulation, reste à sélectionner un modèle de comportement efficace sur lequel s’exerce cette simulation. Le comportement des systèmes industriels présentant beaucoup d’analogie avec celui des automates à états finis – états discrets et dénombrables – l’un d’entre eux s’est détaché et a été adopté et adapté à ce propos dès la fin des années soixantedix : le réseau de Petri (RdP).

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＸ

M

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＶＷ

SE 4 072 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＲ

ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________

C’est la représentation graphique du réseau de Petri qui lui confère ses caractéristiques les plus intéressantes : construction maîtrisée de grands modèles complexes à partir d’un nombre très limité d’éléments, visualisation synthétique du modèle obtenu, animation manuelle pas à pas pour en vérifier le comportement, etc. Après avoir jeté les bases de la simulation de Monte-Carlo, ce dossier s’attache à montrer comment les réseaux de Petri constituent un formidable support de simulation permettant d’appréhender pratiquement tous les problèmes probabilistes rencontrés dans le domaine industriel. Dans la continuité des approches analytiques (cf. les dossiers [SE 4 070] et [SE 4 071] « Analyse des risques des systèmes dynamiques : préliminaires et approche markovienne »), ce premier dossier [SE 4 072] se penche ensuite rapidement sur l’utilisation primitive des réseaux de Petri pour générer de gros graphes de Markov. Dans un second dossier [SE 4 073], des exemples simples sont proposés pour présenter de manière progressive la façon d’aborder les problèmes classiques – fiabilité et disponibilité – les plus élémentaires avant de se confronter aux situations autrement plus ardues de la disponibilité de production impliquant une modélisation très détaillée des procédures de maintenance et des niveaux de production du système étudié. Au cours du temps, les réseaux de Petri de base ont subi des évolutions qui les ont conduits progressivement aux réseaux de Petri à prédicats et assertions que nous utilisons aujourd’hui. Grâce à la grande capacité de cette approche à absorber les améliorations, aucune remise en question drastique des choix initiaux n’a jamais été nécessaire. Bien que pourvus maintenant d’une puissance de modélisation incomparable, les réseaux de Petri n’ont pas encore dit leur dernier mot. Des possibilités d’amélioration existent qui sont abordées succinctement à la fin de ce dossier. Pour un investissement intellectuel somme toute très minime, les réseaux de Petri fournissent un outil d’une souplesse d’utilisation et d’une puissance de modélisation aux possibilités quasi illimitées. Ils offrent indubitablement à l’heure actuelle le meilleur rapport qualité/prix en cette matière. Mettre le doigt dans l’engrenage des réseaux de Petri, c’est prendre le risque de trouver désormais les autres approches beaucoup trop pauvres et de ne plus pouvoir s’en passer !

1. Contexte

2. Analytique versus Monte-Carlo

Même si l’approche markovienne n’est pas démunie d’atouts, et nous l’avons montré précédemment [SE 4 071], il n’en reste pas moins qu’elle atteint rapidement ses limites lorsqu’il s’agit de s’attaquer à des problèmes dont la nature s’écarte des simples calculs de fiabilité/disponibilité classiques comme c’est le cas lorsque les paramètres de fiabilité cessent d’être exponentiels ou lorsque la taille du système étudié occasionne l’explosion du nombre des états. Dans une telle conjoncture, la situation de l’ingénieur fiabiliste estelle désespérée pour autant ? Non, bien sûr, mais il doit se résoudre à réaliser le grand saut qualitatif méthodologique lui faisant abandonner la douce quiétude du calcul analytique orthodoxe pour les rivages plus tourmentés des générateurs de nombres aléatoires et des estimations statistiques connus sous le nom de simulation de Monte-Carlo. Une fois le pas franchi se pose immédiatement la question corollaire suivante : simulation de Monte-Carlo d’accord, mais sur quel type de modèle de comportement du système étudié ? Le but de ce document est de répondre aux questions précédentes. Après avoir montré rapidement les aspects complémentaires des approches analytiques et par simulation il s’attache à décrire les grands principes de la simulation de Monte-Carlo. Il expose ensuite en détail le modèle reconnu comme l’un des plus efficaces en la matière : le réseau de Petri stochastique qui prête son nom au titre de ce dossier.

SE 4 072 – 2

Avant de se focaliser sur le sujet de ce dossier, il est bon de s’attaquer à l’idée reçue, courante par le passé et qui, bien qu’encore propagée par certains sectateurs, tend fort heureusement à s’estomper que l’approche analytique serait propre alors que la simulation de Monte-Carlo, elle, serait sale. Pour les départager, il suffit de constater que les problèmes rencontrés par les ingénieurs fiabilistes se classent globalement en deux grandes familles, sécurité et disponibilité, dont les objets sont différents : – la sécurité se préoccupe d’événements rares dont l’occurrence entraîne des conséquences extrêmement graves et elle est mise en jeu dès le premier accident. Les études servent généralement à démontrer à des autorités de sûreté compétentes donnant les autorisations d’exploiter que le risque de l’installation industrielle concernée est acceptable. La sécurité se satisfait donc d’approches conservatives ; – la disponibilité se préoccupe d’événements fréquents dont l’occurrence n’entraîne que des conséquences minimes et c’est le cumul de petites pertes fréquentes qui fait le risque. Les études servent généralement à démontrer à des décideurs donnant leur feu vert pour concrétiser les projets que l’exploitation sera

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＶＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＲ

____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

rentable. Un trop fort conservatisme risquant de faire rejeter des projets en fait rentables, la disponibilité demande donc de rester au plus près de la réalité (approche best estimate).

États

Cela tombe bien puisque c’est justement selon les deux axes ci-dessus que les approches analytiques et par simulation se distinguent réellement : – l’approche analytique n’est pratiquement jamais utilisable sans approximation mais ces approximations sont généralement d’autant moins sensibles que les probabilités mises en jeu sont petites. Cela s’accorde donc plutôt bien avec les problèmes liés à la sécurité ; – l’approche par simulation de Monte-Carlo permet de modéliser au plus près le comportement des systèmes étudiés mais son efficacité est d’autant plus grande que les événements concernés sont plus fréquents. Cela s’accorde donc plutôt bien avec les problèmes liés à la disponibilité. Donc, les approches analytiques et par simulation ne sont pas interchangeables. Elles sont complémentaires et chacune est bien adaptée à des types de problèmes particuliers. Cependant, avec l’augmentation de la puissance des ordinateurs, les problèmes de sécurité sont de plus en plus accessibles à la simulation, comme nous le montrerons au cours de cet exposé.

A B

E1 E2 E3 E4 Temps Figure 1 – Processus stochastique 70 90 50

100

0 40 50

D

70

B

Puits 40

70

Effet rétroactif

Avant de clore ce paragraphe, il nous faut aussi tuer le présupposé qui veut que la simulation de Monte-Carlo soit imprécise par rapport à l’approche analytique qui, elle, serait précise. Comme nous le verrons plus loin, la simulation de Monte-Carlo délivre toujours l’intervalle de confiance des résultats obtenus. Ce n’est que rarement le cas des méthodes analytiques pour lesquelles il est souvent difficile, sinon impossible, de mesurer l’impact des approximations réalisées pour arriver à obtenir un résultat.

90

C

Effet direct

Chiffres donnés en milliers de barils par jour Figure 2 – Diagramme de flux

Pour évaluer la disponibilité de production d’un tel système, il suffit d’évaluer le temps cumulé moyen passé dans chacun de ses niveaux de production. Un cas particulier de ce genre de modèle est celui pour lequel chaque bloc ne possède que deux états (marche/panne). On retombe alors sur un diagramme fiabilité et les calculs de fiabilité/ disponibilité classiques. La disponibilité moyenne est un cas particulier de disponibilité de production mais, cela étant très similaire avec ce que l’on l’a déjà vu en détail dans le dossier [SE 4 071] sur l’approche markovienne, nous ne nous étendrons pas davantage sur le sujet. À partir de considérations sur l’installation représentée sur la figure 2, il est assez facile de dresser un inventaire « à la Prévert » des problèmes qu’il convient d’aborder, sinon de maîtriser, pour une modélisation à la fois fonctionnelle et dysfonctionnelle réaliste : – niveaux de production ; – effets amont et aval des défaillances ; – blocs en attente (redondance froide/chaude/mixte/tiède) ; – blocs périodiquement testés ; – défaillances de cause commune ; – défaillances induites (la perte d’un bloc induit un état de production dégradée chez un autre) ; – arrêt induit (la perte d’un bloc induit l’arrêt des blocs en série avec lui) ; – reconfigurations lors de la perte d’un bloc pour recouvrer tout ou partie de la production ; – mobilisation des supports d’intervention pour les interventions lourdes ; – mobilisation des spécialistes pour les réparations de certains équipements ; – politique de maintenance curative (nombre d’équipes, défaillances critiques / dégradées, ...) ; – politique de maintenance préventive ; – politique d’approvisionnement des pièces de rechange ; – activités se déroulant en parallèle ou en séquence ; – délais de transport des équipes de maintenance (hélicoptère, bateau, ...) ; – rythme jour/nuit (suspension des réparations la nuit, par exemple) ; – présence normale ou non de personnel à bord ; – stockages ; – conditions météo océanologiques pour les installations en mer ; – délais quelconques pour les événements à prendre en compte ; – etc. Plus on se rapproche de la réalité et plus le nombre d’états à prendre en compte augmente mais la caractéristique principale est que ces états restent bien individualisés (discrets) même s’ils deviennent

3. Modèles de comportement La modélisation probabiliste des systèmes industriels dynamiques nécessite l’utilisation de processus stochastiques. Cela a déjà été évoqué dans les dossiers [SE 4 070] et [SE 4 071] concernant ce type de systèmes dont le comportement typique correspond à celui présenté sur la figure 1. Sur cette figure, on voit un système évoluer entre 4 états distincts en fonction de délais aléatoires liés aux défaillances et aux réparations des 2 composants individuels qui le constituent. Ces états peuvent être interprétés de manières différentes selon le type d’étude à réaliser, par exemple : – pour une étude de sécurité ou de disponibilité classiques, les états 1, 2 et 3 sont les états de bon fonctionnement et l’état 4, l’état de panne ; – pour une étude de disponibilité de production, l’état 1 est l’état de production à 100 %, l’état 4 est l’état de panne totale et les états 2 et 3 des états de marche dégradés. À ce système un peu trop simple pour illustrer l’ensemble des difficultés rencontrées lors de la réalisation d’études probabilistes, nous allons préférer celui qui est représenté sur la figure 2. Il s’agit d’un diagramme de flux modélisant une chaîne typique de production, par exemple le traitement des hydrocarbures sortant d’un puits de pétrole. Chaque bloc est caractérisé par sa capacité de traitement du flux circulant dans le système. Les capacités varient en fonction d’événements internes (défaillance, réparation du bloc) mais aussi d’événements externes (états des autres blocs, politique d’exploitation, etc.). Le puits a, par exemple, deux niveaux de production : 50 000 barils/jour en éruption naturelle et 90 000 barils/jours lorsqu’il est activé. Selon l’état de chacun des blocs, ce petit système possède ainsi 5 niveaux de production : 0, 40, 50, 70, 90 milliers de barils/jour. À un moment donné, le niveau de production est fixé par le (les) bloc(s) qui impose(nt) la production minimale (goulot d’étranglement). Par exemple, lorsque le bloc C est en panne, la production tombe à 70 000 barils/jours.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＶＹ

SE 4 072 – 3

ＷＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＳ

Analyse des risques des systèmes dynamiques : réseaux de Petri Exemples de modélisation par

Jean-Pierre SIGNORET Maître ès-Sciences - Expert Fiabiliste TOTAL Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF) Ancien Président de European Safety & Reliability Association (ESRA) Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF

1.

Contexte .....................................................................................................

SE 4 073 – 2

2. 2.1 2.2

Traitement de problèmes typiques ..................................................... Exemple d’un système fonctionnant en 2 sur 3 (2/3)................................ Disponibilité ................................................................................................. 2.2.1 Modélisation........................................................................................ 2.2.2 Résultats typiques et MTBF ............................................................... 2.2.3 Influence de la dispersion des temps de réparation ........................ 2.2.4 Observateurs de la simulation........................................................... Fiabilité ......................................................................................................... 2.3.1 Modélisation........................................................................................ 2.3.2 Résultats typiques............................................................................... 2.3.3 Influence de la dispersion des temps de réparation ........................ 2.3.4 MTTF .................................................................................................... Lien Réseaux de Petri et diagrammes de fiabilité ..................................... 2.4.1 Réseaux de Petri de base ................................................................... 2.4.2 Réseaux de Petri à prédicats et assertions ....................................... Systèmes périodiquement testés ............................................................... 2.5.1 Modélisation naïve ............................................................................. 2.5.2 Modélisation efficace.......................................................................... Disponibilité de production......................................................................... 2.6.1 Identification des niveaux de production ......................................... 2.6.2 Extrapolation des BDF aux diagrammes de flux .............................. 2.6.3 Éléments de modélisation des systèmes de production ................. 2.6.4 Modélisation des effets directs et rétroactifs des défaillances .......

– – – – – – – – – – – – – – – – – – – – – – –

2 2 3 3 3 4 4 6 6 6 6 7 7 7 8 8 8 9 9 9 10 10 13

Conclusion .................................................................................................

–

13

2.3

2.4

2.5

2.6

3.

Pour en savoir plus ...........................................................................................

Doc. SE 4 073

e traitement d’exemples caractéristiques auxquels l’ingénieur fiabiliste est journellement confronté lors de l’analyse et de la modélisation de systèmes industriels permet d’aller plus loin dans la découverte des immenses possibilités de modélisation par les réseaux de Petri entrevues dans le dossier précédent [SE 4 072]. Le dessein de ce second dossier est donc d’ouvrir des pistes pour démarrer du bon pied les modélisation par réseaux de Petri aussi bien pour l’évaluation des paramètres fiabilistes classiques, comme la fiabilité, la disponibilité ou le MTTF (Mean Time To Failure) des dispositifs de sécurité, que pour l’évaluation de paramètre fiabilistes plus sophistiqués et nécessitant des modélisations très approfondies, comme la disponibilité de production, la fréquence des pannes ou la charge de maintenance des systèmes de production.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＰＸ

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＷＱ

SE 4 073 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＳ

ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________

Même si les réseaux de Petri tirent une grande partie de leur puissance d’expression de leur aspect graphique, la construction maîtrisée de grand modèles implique à la fois discipline et rigueur. Le lien avec les diagrammes de fiabilité et les diagrammes de flux est mis à profit dans ce dossier pour donner la ligne directrice d’une modélisation modulaire incontournable pour qui veut maîtriser ses modèles au cours de leur développement. Le succès d’une simulation de Monte-Carlo résidant dans la rapidité des calculs, les astuces à connaître et les écueils à éviter sont indiqués au détour des exemples servant de support. Enfin, cet ensemble d’exemples vient conforter l’affirmation exprimée dans le dossier [SE 4 072] : les réseaux de Petri constituent bien au début des années 2000, dans le domaine de la sûreté de fonctionnement, le meilleur rapport investissement intellectuel/puissance de modélisation. Attention l’addiction guette... ! Concernant les notations et les graphismes utilisés, le lecteur se reportera utilement au dossier [SE 4 072].

1. Contexte

2. Traitement de problèmes typiques

Dans le dossier [SE 4 072], un pan du voile a été soulevé sur les immenses possibilités de modélisation des réseaux de Petri. Le traitement d’un ensemble d’exemples typiques correspondant aux problèmes auxquels l’ingénieur fiabiliste est journellement confronté permet de continuer cette aventure.

2.1 Exemple d’un système fonctionnant en 2 sur 3 (2/3)

Un petit système fonctionnant en vote majoritaire en 2/3 sert de fil rouge pour introduire les éléments relatifs aux calculs classiques de fiabilité et de disponibilité. Les problèmes de disponibilité de production sont ensuite mis à profit pour montrer tout l’intérêt de la modélisation modulaire au profit de la maîtrise des grands systèmes industriels. La publication récente de la norme internationale IEC 61508 [Doc. SE 4 073] concernant l’évaluation des « niveaux d’intégrité de sécurité » (Safety Integrity Levels SIL) met en lumière les lacunes actuelles en ce qui concerne la modélisation et les calculs de systèmes testés périodiquement. Un paragraphe spécifique (§ 2) est consacré à ce problème que les réseaux de Petri permettent d’aborder sans difficultés particulières.

Pour montrer comment les réseaux de Petri permettent d’appréhender les divers paramètres d’intérêt dans les études probabilistes, nous allons commencer par nous appuyer sur la figure 1 dont le but est de modéliser le comportement d’un système en 2/3. Ce système est composé de 3 composants identiques partageant la même équipe de réparateurs et le lecteur reconnaîtra facilement les modules que nous avons disséqués en [SE 4 072] avec cependant quelques ajouts. En effet, pour modéliser un 2/3, il faut connaître précisément le nombre de composants fonctionnant à un instant donné. Avec les réseaux de Petri, il existe plusieurs manières possibles pour ce faire et nous avons décidé d’introduire ici deux places auxiliaires, une pour compter le nombre de composants en marche NbM et une autre pour compter le nombre de composants en panne NbP.

Quand on parle de modélisation fiabiliste, le traitement des défaillances de cause commune (DCC) est incontournable. La modélisation des systèmes de production est mise à profit pour montrer comment appréhender facilement cette question. Enfin, comme le succès ou l’échec de l’approche par simulation de Monte-Carlo est directement tributaire de la rapidité des calculs, les astuces à connaître et les écueils à éviter sont indiqués au détour des exemples servant de support. De la négligence de cet aspect, des échecs cuisants peuvent résulter !

Chaque fois qu’un composant tombe en panne, NbP reçoit un jeton et NbM en perd un et, réciproquement, chaque fois qu’un composant est réparé NbM reçoit un jeton et NbP en perd un. À chaque instant, ces places permettent donc de connaître l’état du système et, bien entendu, à l’instant initial, NbM doit contenir 3 jetons et NbP aucun.

M_1 NbM

M_2 NbM

NbM

! RD P_1

R_1

! RD Fin_R2

NbP

? RD !-RD A_1

NbP

P_2

Fin_R3 NbP

? RD !-RD R_2

St_R1 NbM

NbM

NbM

! RD Fin_R1

NbP

M_3 NbM

A_2

NbP R_3

Nombre de composants en panne

Figure 1 – Comptage des composants en panne et en marche

SE 4 073 – 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＷＲ

A_3 St_R3

NbP

NbP

? RD !-RD

St_R2 Nombre de composants en marche

P_3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＳ

____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

2.2 Disponibilité Marche

2.2.1 Modélisation

NbM -2

Telle qu’elle est, la figure 1 ne permet pas encore d’évaluer la disponibilité du système. Il faut lui adjoindre un sous-réseau de Petri auxiliaire qui saura détecter quand le système 2/3 est en Marche ou en Panne. C’est celui qui est représenté sur la figure 2.

Réparation

δ=0 δ=0

Panne

-2

NbP

Panne

Deux arcs inhibiteurs permettent de faire passer le système 2/3 alternativement en panne et en marche selon le nombre de jetons dans les places NbM et NbP. Le passage est immédiat (délai δ = 0) dès que les conditions sont réunies (deux composants en panne ou deux composants en marche). L’utilisation de tels arcs inhibiteurs est très pratique car elle ne perturbe pas du tout le modèle de la figure 1, qui pourrait tout aussi bien être utilisé pour analyser un 1/3 ou un 3/3 en modifiant seulement le poids des arcs inhibiteurs de la figure 2.

Figure 2 – RdP auxiliaire « Disponibilité »

Tableau 1 – Nombre moyen de tir des transitions T = 10 000 h, β = 2, 106 histoires

Composant 1

2.2.2 Résultats typiques et MTBF Figure 1

Les tableaux 1 et 2 montrent les résultats pouvant être obtenus directement à partir du réseau de Petri ci-dessus. Pour réaliser ces calculs, nous avons adopté un classique taux de défaillances (λ) de 2.10−3/h pour chacun des composants mais, pour les réparations, nous avons choisi des lois de Weibull de moyenne 15 h afin de pouvoir analyser l’influence de la dispersion du temps de réparation autour de cette moyenne en faisant varier le paramètre de forme β.

Composant 2

Composant 3

Les premiers résultats standards sont présentés sur le tableau 1. Ils ont été établis en réalisant 106 histoires et avec β = 2. Ils concernent la fréquence de tir de chacune des transitions. On constate qu’en moyenne chaque composant subit de l’ordre de 19,4 pannes au cours des 10 000 h simulées et que cela a conduit à 3,35 défaillances du système en 2/3. Il en résulte que l’équipe de maintenance a été mobilisée environ 58,2 fois.

Figure 2

Disponibilité

Figure 6

Fiabilité

Nom

Fréquence

P_1

19,39

St_R1

19,38

Fin_R1

19,36

P_2

19,41

St_R2

19,41

Fin_R2

19,38

P_3

19,37

St_R3

19,37

Fin_R3

19,34

Panne

3,35

Réparation

3,35

Défaillance

0,96

Tableau 2 – Temps moyen de séjour dans les places et marquage moyen des places T = 10 000 h, β = 2, 106 histoires

Figure 1

Composant 1

Composant 2

Composant 3

Temps moyen (h)

Écart type (h)

Marquage moyen (%)

Écart type (%)

M_1

9 698,55

75,4

96,99

0,75

A_1

10,94

12,8

0,11

0,13

R_1

290,52

72,2

2,91

0,72

M_2

9 698,02

75,5

96,98

0,76

A_2

11,17

13,3

0,11

0,13

R_2

290,81

72,3

2,91

0,72

M_3

9 697,99

75,6

96,98

0,76

A_3

11,61

13,9

0,12

0,14

R_3

290,40

72,1

2,90

0,72

9 966,79

23,8

99,67

0,24

33,21

23,8

0,33

0,24

2 997,77

2670

29,98

26,71

Nom

Marche Figure 2

Disponibilité Panne

Figure 6

Fiabilité

Marche_en_continu

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＷＳ

SE 4 073 – 3

ＷＴ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＵ

Méthode LOPA : principe et exemple d’application par

Olivier IDDIR Ingénieur en analyse de risques industriels Technip France Service expertise et modélisation – Division QHSES

1. 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8

Présentation de la méthode LOPA...................................................... Objectif de la méthode................................................................................ Origines de la méthode............................................................................... Déroulement d’une revue LOPA ................................................................ Quelques rappels sur la notion de barrière de sécurité ........................... Principe des couches de protection ........................................................... Critères de performance des barrières ...................................................... Principales étapes de la méthode .............................................................. Définition et quantification des fréquences des événements initiateurs......................................................................... 1.9 Définition des barrières............................................................................... 1.10 Quantification des probabilités de défaillance des barrières .................. 1.11 Évaluation de la fréquence d’occurrence résiduelle du scénario............ 1.12 Exemple d’application.................................................................................

SE 4 075 - 3 — 3 — 4 — 4 — 8 — 8 — 13 — 15 — — — — —

16 17 19 20 22

2.1 2.2

Parallèle entre la méthode LOPA et les autres méthodes d’analyse des risques.......................................................... Lien privilégié avec l’HAZOP ...................................................................... Différences avec la méthode du nœud papillon .......................................

— — —

26 26 26

3.

Conclusion .................................................................................................

—

29

2.

Pour en savoir plus ............................................................................................ Doc. SE 4 075

n France, depuis 2003, l’influence de la loi Bachelot et l’introduction des plans de prévention des risques technologiques (PPRT) ont eu comme effet une évolution notable dans la manière d’évaluer les risques. En effet, les évolutions réglementaires ont conduit à un plébiscite des analyses dites probabilistes. De ce fait, les études de dangers (EDD) ne se limitent plus à une approche uniquement déterministe, et il est demandé aux industriels d’expliciter le lien entre les résultats de leur EDD et leurs choix en termes de mesures de maîtrise des risques (MMR). De manière beaucoup plus large, lors de la réalisation d’analyses de risques, des barrières de sécurité sont valorisées dans le but de justifier que les risques sont prévenus et maîtrisés. Dès lors, plusieurs questions viennent spontanément à l’esprit : – Ai-je suffisamment de barrières de sécurité ? – Comment définir précisément le besoin en termes de réduction du risque ? – Les barrières mises en place sont elles suffisantes pour justifier d’un risque résiduel acceptable ? Pour justifier d’un risque résiduel faible, une tendance naturelle pourrait être de chercher à valoriser un maximum de barrières. Une telle démarche peut malheureusement se révéler contre-productive car l’empilement des barrières ne garantit en rien d’une bonne maîtrise de risques. De surcroît, ce biais de raisonnement peut instaurer un faux sentiment de sursécurité et mener finalement à un accident.

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＲ

E

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＷＵ

SE 4 075 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＵ

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

L’émergence de la norme IEC 61511 relative au niveau d’intégrité des fonctions instrumentées de sécurité (SIF) a mis en lumière le besoin de disposer de méthodologies permettant de déterminer le niveau d’intégrité ou niveau de SIL (Safety Integrity Level) requis pour les SIF. De ce fait, la norme IEC 61511 décrit un certain nombre de méthodes permettant d’atteindre cet objectif. L’une d’entre elles est la méthode LOPA (Layer Of Protection Analysis). Si les normes citées précédemment sont spécifiques aux SIF, le principe des méthodes proposées dans les normes est « déclinable » à tous les types de barrières. Le retour d’expérience montre que de nombreuses barrières de sécurité mises en place sur les sites industriels sont le résultat : – d’une réponse à des prescriptions réglementaires ; – du bon sens ; – de la prise en compte du retour d’expérience et de l’accidentologie. De manière générale, il n’est pas rare dans les EDD d’aboutir à la conclusion que les barrières de sécurité mises en œuvre par les industriels permettent de justifier d’un niveau de risque résiduel acceptable. Par conséquent, une approche pragmatique basée sur un ou plusieurs des trois critères précédents peut se révéler efficiente. L’idée de faire correspondre des barrières de sécurité à un besoin (facteur de réduction du risque) est finalement relativement récente. Si avec du recul, ce concept peut paraître évident, sa mise en œuvre s’avère beaucoup plus difficile et nécessite de disposer de méthodes permettant de garantir de la pertinence de l’analyse. Pour mener une telle approche, il faut disposer : – d’un référentiel d’acceptabilité des risques : sans référentiel, il est impossible de proportionner le besoin en termes de barrières à un facteur de réduction du risque ; – d’une méthode de quantification des risques : l’estimation du facteur de réduction du risque nécessite inévitablement de recourir à une estimation de la criticité de l’événement indésirable. Cet article s’attache à présenter les principes fondamentaux de la méthode et à illustrer son application au travers d’exemples pratiques.

Acronyme APS

Définition

Acronyme

Automate programmable de sécurité

LOPA

Définition Layer Of Protection Analysis

BPCS

Basic Process Control System

CCPs

Center for Chemical Process Safety

MMRI

Mesure de maîtrise des risques instrumentée

DGPR

Direction générale de la prévention des risques

MMR

Mesure de maîtrise des risques

EI FCV HAZOP

Événement initiateur

PFD

Flow Control Valve/Vanne de régulation de débit

PPRT

Hazard and OPerability analysis

HSE

Health and Safety Executive

HSL

Health and Safety Laboratory

IEC

International Electrotechnical Commission

IPL

Independant Protection Layer/Couche de protection indépendante

ISA

International Society of Automation

SE 4 075 − 2

LT

Level Transmitter/Transmetteur de niveau

Probability of Failure on Demand Plan de prévention des risques technologiques

RRF

Risk Reduction Factor/Facteur de réduction du risque

SIF

Safety Instrumented Function/Fonction instrumentée de sécurité

SIL

Safety Intergrity Level/Niveau d’intégrité

TESEO

Tecnica Empirica Stima Errori Operatori

THERP

Technique for Human Error Rate Prediction

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. − © Editions T.I.

ＷＶ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＵ

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

1. Présentation de la méthode LOPA

Nota : pour être prises en compte dans le calcul de fréquence d’occurrence résiduelle du scénario, il faudra que les barrières de sécurité vérifient les critères qui permettent de répondre à la définition d’une couche de protection indépendante (IPL).

Cette méthode intègre toutes les couches de protection de l’entreprise, tant organisationnelles que techniques. La méthode LOPA évalue la réduction du risque en analysant la contribution des différentes couches (qui englobe l’ensemble des barrières depuis la conception du procédé jusqu’aux mesures de secours) en cas d’accident. L’ouvrage du CCPs [1] introduit la notion de barrière de sécurité indépendante (IPL). Dans le cadre de l’application de la méthode, seules les barrières de sécurité qui vérifient les conditions pour être retenues comme IPL sont à valoriser dans le calcul de la fréquence d’occurrence résiduelle du scénario.

1.1 Objectif de la méthode La méthode LOPA est une méthode semi-quantitative développée dans l’optique : – de juger de l’adéquation entre les barrières mises en œuvre et le niveau de risque visé ; – de statuer sur le besoin de mise en œuvre de nouvelles barrières ; – de définir les « exigences » minimales sur la probabilité de défaillance des barrières à mettre en place dans le cas où les barrières existantes ne permettraient pas de justifier d’un risque acceptable ; – d’évaluer la fréquence d’occurrence résiduelle d’un scénario d’accident.

La méthode LOPA trouve plusieurs applications : – compléter l’analyse menée dans l’HAZOP si le groupe de travail considère le scénario trop complexe ou que les conséquences sont trop importantes ; – déterminer les niveaux de SIL requis pour les fonctions instrumentées de sécurité (SIF) ; – évaluer l’impact de la modification du procédé ou des barrières de sécurité ; – analyser de manière plus détaillée certains scénarios d’accidents.

Nota : la méthode LOPA sert aussi à identifier les actions humaines (réponses et actions des opérateurs) qui peuvent permettre de rétablir le fonctionnement du système. Par la suite, il faut alors définir des procédures dans le but de garantir que les opérateurs seront formés pour accomplir ces actions.

D’après l’ouvrage [1], un scénario est jugé complexe en cas de doute : – sur la compréhension du déroulement du scénario identifié ; – sur l’indépendance des barrières valorisées.

Remarque Le CCPs considère la méthode LOPA comme semi-quantitative car la fréquence d’occurrence, ainsi que la gravité des conséquences, constituent des approximations qui utilisent en règle générale une cotation à l’aide de puissance de dix.

Aujourd’hui, le retour d’expérience montre que la méthode LOPA est principalement utilisée dans le cadre de l’application des normes SIL (IEC ou ISA). En revanche, les propositions de mise en place de barrières supplémentaires dans le but de réduire un risque ne doivent pas se limiter aux seules SIF.

La première étape de la méthode LOPA consiste à définir le scénario d’accident. Un scénario est composé a minima de deux éléments : – un événement initiateur ; – une conséquence.

Remarque Si l’émergence des normes IEC 61508 et 61511 a eu pour effet de « démocratiser » la méthode LOPA, celle-ci ne doit pas être limitée à la définition des niveaux de SIL et elle peut être utilisée plus largement dans le cadre des analyses de risques.

L’un des principes de base de la méthode est qu’un scénario doit être composé d’un unique couple événement initiateur/ conséquence. Dans le cas où un même événement initiateur peut mener à différentes conséquences, il est alors nécessaire de définir autant de scénarios que de conséquences.

La méthode LOPA peut aussi être utilisée comme une alternative à une analyse quantifiée en termes de fréquence d’occurrence et de gravité. À ce titre, la figure 1 présente l’exemple de répartition des méthodes d’analyse de risques proposé par le CCPs dans l’ouvrage [1].

Un scénario peut, en plus des deux éléments définis précédemment, inclure : – des conditions de réalisation qui correspondent à des conditions nécessaires pour que l’événement initiateur puisse aboutir à la conséquence envisagée ; – la défaillance des barrières de sécurité mises en place vis-à-vis du scénario d’accident.

Analyse qualitative des risques (100 % des scénarios)

Nota : pour faire le parallèle avec le contexte ICPE, dans les études de dangers, il est demandé aux industriels français de traiter à l’aide d’une méthode semi-quantifiée ou quantifiée 100 % des scénarios d’accident qui sortent des limites de l’établissement.

Analyse semiquantitative des risques (10 à 20 % des scénarios)

Analyse quantitative des risques (environ 1 % des scénarios)

Ex : LOPA

Figure 1 – Répartition des méthodes d’analyse (d’après [1])

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＷＷ

SE 4 075 – 3

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＵ

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

CCPs décida de réunir des industriels et des experts en risques afin de démarrer un groupe de travail sur la méthode LOPA. Pour rendre accessible au grand public cette méthode, le CCPs publia en 2001 l’ouvrage « Layer Of Protection Analysis » (LOPA) [1]. De ce fait, la méthode LOPA est souvent considérée comme une méthode d’analyse de risques récente.

La méthode LOPA est aujourd’hui principalement utilisée pour déterminer le niveau de SIL à allouer aux SIF. De manière plus large, elle permet de déterminer le nombre de barrières de sécurité indépendantes (IPL) à mettre en œuvre dans le but de pouvoir justifier d’un niveau de risque acceptable. La finalité de la méthode est d’estimer le niveau de risque résiduel en considérant l’effet des IPL. Pour ce faire, il est nécessaire : – d’une part, de calculer la fréquence d’occurrence du scénario d’accident (par an), ce qui nécessite d’évaluer la fréquence d’occurrence des événements initiateurs et les probabilités de défaillances de chaque IPL ; – d’autre part, d’évaluer la gravité associée à la conséquence en cas de survenue de l’accident.

Remarque Il semble qu’une nouvelle version de l’ouvrage LOPA pourrait prochainement être publiée par le CCPs [2]. Cette nouvelle version aurait pour objectif de prendre en compte le retour d’expérience des utilisateurs de la méthode. La liste d’événements initiateurs types et de barrières serait aussi plus détaillée.

1.2 Origines de la méthode

1.3 Déroulement d’une revue LOPA

La genèse de la méthode LOPA est présentée par le CPPS dans [1]. D’après cet ouvrage, la méthode LOPA trouve ses origines dans deux publications : – à la fin des années 1980, le Chemical Manufacturers Association (maintenant American Chemistry Council ) publie « Responsible Care® Process Safety Code of Management Practices » qui introduit la notion de couches de protection et qui recommande de les prendre en considération dans le cadre du système de management ; – en 1993, le Center of Chemical Process Safety (CCPs) introduisait dans le « Guidelines for Safe Automation of Chemical Processes » la méthode LOPA. Dans cet ouvrage, la méthode décrite était à un stade d’avancement préliminaire, mais était déjà proposée comme alternative pour déterminer le niveau de SIL des SIF. En octobre 1997, lors du congrès international à Atlanta sur les méthodes d’analyses de risques organisé par le CCPs, le besoin de publier un ouvrage présentant la méthode LOPA a émergé des différentes présentations et discussions.

1.3.1 Compétences nécessaires La LOPA est une méthode d’analyse de risques menée en groupe de travail pluridisciplinaire. Dans l’idéal, le groupe doit être composé de représentants des disciplines suivantes : – sécurité ; – instrumentation ; – procédé ; – maintenance et inspection ; – exploitation. La revue LOPA doit nécessairement être menée en groupe de travail car l’expertise de chaque discipline est nécessaire. Le tableau 1 précise les domaines pour lesquels l’expertise de chaque discipline est nécessaire au bon déroulement de la revue. Le groupe de travail est généralement piloté par un chairman (animateur de la revue) qui connaît bien la méthodologie. Le chairman est en charge de conduire la revue, c’est-à-dire d’organiser les « échanges » entre les différents membres. Ces échanges sont formalisés sous la forme de tableau d’analyse tel que présenté au paragraphe 1.3.3.

En parallèle, en Europe et aux États-Unis, les normes relatives au SIL (respectivement les normes IEC 61508/61511 et ISA S84.01) étaient en pleine évolution et dans leurs premières versions, aucune de ces normes ne recommandait la méthode LOPA pour déterminer le niveau de SIL des SIF. Pour faire face aux évolutions normatives mais aussi méthodologiques initiées pour certaines par des industriels, en 1998, le

1.3.2 Processus général de la méthode Les principales étapes de la méthode LOPA décrites au paragraphe 1.7.1 sont reprises sur la figure 2.

Tableau 1 – Domaines d’expertise des différents participants à une revue LOPA Discipline

Domaine d’expertise

Sécurité

Définition des scénarios d’accidents Évaluation des fréquences d’occurrence des événements initiateurs Évaluation des conséquences et des niveaux de gravité qui y sont associés Évaluation de la probabilité de défaillance des barrières de sécurité

Instrumentation

Définition de l’architecture des fonctions instrumentées de sécurité (SIF) Évaluation de la probabilité de défaillance des SIF Connaissances sur les exigences des normes relatives au SIL (IEC 61508 – 61511)

Procédé

Connaissance du fonctionnement du procédé (permet d’identifier les dérives, définir des modes et seuils de détection, etc.)

Maintenance et Inspection

Connaissance des fréquences d’inspection des équipements (données qui influent sur la fréquence d’occurrence des événements de type « perte de confinement ») Connaissance des périodes de test pour les barrières de sécurité (données nécessaires à l’évaluation de la probabilité de défaillance des SIF) Connaissance des temps de réparation des barrières de sécurité (données nécessaires à l’évaluation de la probabilité de défaillance des SIF)

Exploitation

Connaissance du fonctionnement des installations

SE 4 075 – 4

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＷＸ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＵ

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

Sélection des scénarios d’accident devant faire l’objet d’une analyse par la méthode LOPA ÉTAPE 1 Sélection du premier scénario d’accident

Développement du scénario d’accident ÉTAPE 2 ÉTAPE 4 Identification des barrières de sécurité existantes

Évaluation de la fréquence d’occurrence de l’événement initiateur

Validation/Évaluation de la gravité des conséquences associées au scénario

ÉTAPE 5

ÉTAPE 3

Identification des couche de protection indépendantes (IPL)

Évaluation de la fréquence résiduelle du scénario d’accident (avec prise en compte des barrières)

Évaluation de la probabilité de défaillance des IPL ÉTAPE 6

OUI

ÉTAPE 7

NON

Évaluation de la criticité du scénario d’accident

Peut-on définir une nouvelle barrière ?

Le risque est-il acceptable ?

ÉTAPE 8

OUI

NON Envisager de modifier le procédé

Y a-t-il un autre scénario ?

OUI

NON Fin de l’analyse

Figure 2 – Processus général de la méthode LOPA

Comme pour toutes les méthodes d’analyse de risques, il est important : – que toutes les phases d’exploitation de l’installation soient étudiées (démarrage, arrêt programmé, fonctionnement nominal, etc.) ; – que toutes les causes pouvant mener à un événement initiateur soient identifiées et étudiées séparément car les barrières et IPL valorisables ne seront pas nécessairement les mêmes.

et hypothèses émises par le groupe de travail lors des 8 étapes décrites au paragraphe 1.7. Le tableau 2 présente le formalisme de la fiche d’analyse proposé dans l’ouvrage LOPA [1]. Dans cette fiche, les cases non cochées sont celles qui doivent être renseignées par le groupe de travail. Dans la pratique, les revues sont généralement conduites avec des tableaux d’analyse qui diffèrent (dans la forme) du tableau 2. À titre d’exemple, le tableau 4 présente le formalisme de tableau proposé au chapitre 3 de la norme IEC 61511.

1.3.3 Contenu des tableaux d’une revue LOPA

Afin de guider l’utilisateur, le CCPs précise dans l’ouvrage décrivant la méthode LOPA [1] les attentes vis-à-vis des différents items qui doivent être renseignés dans le tableau 2. Ces précisions sont résumées dans le tableau 3.

Lors d’une revue LOPA, des tableaux d’analyse sont remplis en temps réel. Ces tableaux ont pour objectif de formaliser les décisions

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＷＹ

SE 4 075 – 5

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＵ

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

Tableau 2 – Définitions des différents items à renseigner dans la fiche de synthèse pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) Numéro du scénario :

Numéro de l’équipement :

Titre du scénario :

Date :

Description

Probabilité

Fréquence

Conséquences/Niveau de gravité associé

×

×

Fréquence « cible » pour atteindre le niveau de risque acceptable

×

Événement initiateur du scénario

×

Conditions de réalisation du scénario Facteurs conditionnels de réalisation (si applicables au scénario)

× ×

Probabilité d’inflammation

×

Probabilité de présence du personnel dans la zone d’effet atteinte par le scénario

×

Probabilité de blessures mortelles

×

Autres

×

Fréquence du scénario sans les barrières

×

Barrières de sécurité respectant les critères d’indépendance explicités dans la méthode LOPA (IPL) et valeur de PFD associée

×

Autres barrières de sécurité ne respectant pas les critères d’indépendance explicités dans la méthode LOPA

×

Total des PFD associées aux barrières de sécurité indépendantes (IPL)

×

×

Fréquence du scénario avec les barrières indépendantes

×

La fréquence « cible » permettant de justifier d’un risque acceptable est elle atteinte ? (Oui/Non) : Actions requises pour atteindre le niveau de risque acceptable : Notes : Références (PID, etc.) : Identité des membres ayant participés à la revue LOPA :

Tableau 3 – Définitions des différents items à renseigner dans la fiche de synthèse pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) Item

Définition/précision

Conséquences/Niveau de gravité associé

Cet item peut être renseigné de deux manières : qualitativement : la conséquence est décrite avec le plus de précision possible. Par exemple, montée en pression dans une capacité générant une fuite sur une bride quantitativement : la conséquence est décrite en termes d’effet. Par exemple, mise à l’atmosphère de X kg de produit inflammable Dans les deux cas, un niveau de gravité doit être associé à la conséquence

Fréquence « cible » pour atteindre le niveau de risque acceptable

Cet item indique la fréquence d’occurrence maximale admissible pour la conséquence au regard du niveau de gravité défini précédemment. Pour ce faire, en fonction de la finalité de l’étude, les critères d’acceptabilité du risque à utiliser peuvent être, soit réglementaires, soit internes à un groupe ou à un industriel

Événement initiateur du scénario

Cet item doit être renseigné avec le plus de précision possible. Si l’événement initiateur est lié au dépassement d’un seuil, il est nécessaire que celui-ci soit clairement indiqué. Par exemple, montée en température dans le réacteur au-dessus de T1 (en précisant la valeur de T1)

Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

SE 4 075 – 6

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＸＰ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＵ

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

Tableau 3 – Définitions des différents items à renseigner dans la fiche de synthèse pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) (suite) Item

Définition/précision

Conditions de réalisation du scénario

Cet item doit être renseigné précisément dans le but de pouvoir par la suite évaluer la probabilité à associer à chacune des conditions. Par exemple, si un emballement de réaction ne peut se produire que durant une phase spécifique de la réaction, il est nécessaire de préciser la durée de cette phase par rapport à la durée totale de la réaction

Facteurs conditionnels de réalisation (si applicables au scénario)

Cet item doit préciser la nature et les valeurs associées aux facteurs pris en compte dans le calcul de la fréquence d’occurrence du scénario. En général, trois facteurs sont pris en compte : la probabilité d’inflammation (dans le cas de mise à l’atmosphère de produit inflammable) la probabilité de présence du personnel dans la zone d’effet la probabilité de blessure ou de mort dans la zone d’effet

Barrières de sécurité respectant les critères d’indépendance explicités dans la méthode LOPA (IPL) et valeur de PFD associée

Cet item permet de lister des barrières de sécurité qui sont retenues comme IPL vis-à-vis du scénario d’accident étudié. Les probabilités de défaillances associées à ces IPL doivent être justifiées. De même, la démonstration de l’efficacité des IPL vis-à-vis du scénario d’accident doit être documentée

Autres barrières de sécurité ne respectant pas les critères d’indépendance explicités dans la méthode LOPA

Cet item doit préciser les barrières de sécurité qui n’ont pas été retenues comme IPL. L’objectif est d’assurer une traçabilité du raisonnement en expliquant pourquoi ces barrières ne constituent pas des IPL

Total des PFD associées aux barrières de sécurité indépendantes (IPL)

Cet item correspond au produit des PFD associées à chaque IPL

Fréquence du scénario avec les barrières indépendantes

Cet item correspond à la fréquence d’occurrence résiduelle du scénario d’accident, c’est-à-dire en considérant la défaillance de l’ensemble des IPL valorisées

La fréquence « cible » permettant de justifier d’un risque acceptable est-elle atteinte ? (Oui/Non)

Cet item permet de statuer sur l’acceptabilité du risque. Si la fréquence d’occurrence résiduelle calculée est supérieure à la fréquence cible, alors le risque n’est pas acceptable. Au contraire, si la fréquence d’occurrence résiduelle calculée est inférieure à la fréquence cible, alors le risque est acceptable

Actions requises pour atteindre le niveau de risque acceptable

Cet item doit préciser quelles actions sont envisagées pour rendre le risque acceptable. Dans le cas où une nouvelle barrière est proposée, il est nécessaire de la détailler et en parallèle de démontrer qu’elle peut être considérée comme une IPL

Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

Tableau 4 – Tableau d’analyse proposé pour la conduite d’une revue LOPA d’après le chapitre 3 de la norme IEC 61511 PFD des couches de protection No

EI

G

CI

P(CI)

Conception générale du procédé

BPCS

Alarmes

Atténuation supplémentaire accès limité, etc.

Barrière de mitigation (non SIF)

Probabilité d’occurrence intermédiaire

PFD (SIF)

Probabilité d’occurrence résiduelle (avec SIF)

Note

EI : événement indésirable/événement initiateur. G : niveau de gravité de l’événement indésirable. CI : cause initiatrice (événement initiateur). P(CI) : probabilité d’occurrence de la cause initiatrice. BPCS : Basic Process Control System. PFD(SIF) : probabilité de défaillance à la sollicitation de la fonction instrumentée de sécurité.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.

ＸＱ

SE 4 075 – 7

ＸＲ

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＷ

Méthode PDS par

Olivier IDDIR Ingénieur quantification des risques – Membre du réseau des experts de TECHNIP Service Expertise & Modélisation – TECHNIP, La défense, France

1. 1.1 1.2 1.3 1.4

1.5

Présentation de la méthode....................................................................... Les origines ................................................................................................. Estimation de l’indisponibilité critique de sécurité .................................. Les différents types de défaillances pris en compte ................................ Prise en compte des causes communes de défaillances......................... 1.4.1 Définition ............................................................................................ 1.4.2 Le modèle PDS................................................................................... Les formules de calcul ................................................................................ 1.5.1 Calcul de la PFD et PFH ..................................................................... 1.5.2 Calcul de la DTU................................................................................. 1.5.3 Calcul de PTIF ......................................................................................

SE 4 077 - 2 — 2 — 3 — 5 — 6 — 6 — 6 — 6 — 6 — 9 — 9

2. 2.1 2.2 2.3 2.4

Différences avec l’IEC 61508 ...................................................................... Les types d’indisponibilité considérés ...................................................... La prise en compte des modes communs de défaillance ....................... L’hypothèse AGAN ..................................................................................... La prise en compte des erreurs systématiques........................................

— — — — —

11 11 11 11 13

3. 3.1 3.2 3.3

Cas d’application......................................................................................... Présentation du cas..................................................................................... Estimation de la CSU par la méthode PDS ............................................... Estimation de la PFD par application des formules IEC 61508-6 ............

— — — —

13 13 14 14

4.

Conclusion ...................................................................................................

—

16

Pour en savoir plus ..............................................................................................

Doc. SE 4 077

our prévenir et limiter les risques, les industriels sont amenés à mettre en œuvre des barrières de sécurité. Il existe différents types de barrières de sécurité tels que les fonctions instrumentées de sécurité (SIF) ; réalisées par des systèmes instrumentés de sécurité (SIS), elles ont connu un essor croissant depuis la parution des normes encadrant leurs conception, utilisation, suivi et maintien dans le temps (normes IEC 61508 et 61511). La conception d’un SIS nécessite d’estimer le niveau d’intégrité (SIL) des SIF pour justifier que les risques sont maîtrisés. L’objectif est de démontrer que les architectures proposées pour les SIF permettent bien d’atteindre les niveaux de SIL requis. Pour ce faire, il est nécessaire de calculer la probabilité de défaillance de chaque SIF (PFDavg pour les systèmes en mode sollicitation ou PFH pour les systèmes en mode continu). La méthode PDS, largement utilisée dans l’industrie offshore (et plus particulièrement en Norvège), permet de répondre à ce besoin. Cet article présente les principes de la méthode PDS et met en lumière les principales différences avec l’approche présentée dans l’IEC 61508-6. Plus précisément : – il retrace les origines de la méthode ;

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＶ

P

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

ＸＳ

SE 4 077 – 1

ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴｓｅＴＰＷＷ MÉTHODE PDS _____________________________________________________________________________________________________________________

– il présente les formules permettant de calculer la probabilité de défaillance à la sollicitation d’une SIF (PFDavg) ; – il compare les valeurs de PFDavg obtenues par application de la méthode PDS à celles obtenues par application des formules de l’IEC 61508-6.

1. Présentation de la méthode

Mode continu : Mode de fonctionnement dans lequel la SIF maintient le processus dans un état de sécurité en fonctionnement normal. Définition IEC 61511-1. Pour chaque classe de SIL, les facteurs de réduction du risque et valeurs cibles de PFDavg et PFH sont rappelés dans les tableaux 1 et 2.

1.1 Les origines PDS est un acronyme norvégien pour désigner la fiabilité et la sécurité des systèmes instrumentés de sécurité (SIS). La méthode PDS a été développée par le SINTEF en étroite collaboration avec :

Les normes IEC 61508 et 61511 introduisent différentes approches permettant d’estimer la probabilité de défaillance d’un système (pour en déduire le niveau de SIL), parmi elles : • les formules analytiques [SE4058] ; • les arbres de défaillance [SE4050] ; • les blocs diagramme de fiabilité ; • les graphes de Markov [SE8250] [SE4071] ; • les réseaux de Pétri [SE4073].

• des compagnies pétrolières ; • des fournisseurs et concepteurs de système de logique de traitement ; • des organismes spécialistes sur les systèmes de contrôle et de sécurité. Elle permet de quantifier l’indisponibilité de la sécurité et de la perte de production pour les systèmes instrumentés de sécurité (SIS). Son principe est détaillé dans l’ouvrage PDS Method Handbook [1].

Ces normes n’imposent pas le type d’approche à retenir mais incitent l’utilisateur à retenir celle qui semble le mieux adaptée à son besoin. La méthode PDS s’inscrit donc comme un exemple d’utilisation de formules analytiques dans le but de vérifier les niveaux de SIL requis. Même si cette méthode est relativement développée et qu’elle peut être considérée comme « réaliste », elle reste relativement simple à mettre en œuvre et doit être considérée comme un outil dédié à des non spécialistes en matière de sureté de fonctionnement. En effet, cette méthode a pour finalité d’améliorer la prise en compte des approches « fiabilistes » dans les disciplines de l’ingénierie, et ainsi combler le fossé entre la théorie et son application.

Cette méthode est couramment mise en œuvre dans l’industrie offshore, plus particulièrement en Norvège (en lien avec le NOG GL 070 [2]). Note : la méthode est également applicable à d’autres secteurs d’activité que l’offshore.

Plus généralement, elle permet d’estimer les niveaux de SIL des fonctions instrumentées de sécurité, et donc de répondre à l’une des exigences des normes IEC 61508 et 61511 et du NOG GL 070. Système instrumenté de sécurité (SIS) : ensemble de matériels qui composent le système de sécurité. Il comprend tous les capteurs, les logiques et les actionneurs. Fonction instrumentée de sécurité (SIF) : automatisme de sécurité composé par un ou plusieurs capteurs, une logique et un ou plusieurs actionneurs dans le but de remplir une fonction de sécurité.

Tableau 1 – Définition des niveaux SIL pour un système en mode faible sollicitation d’après IEC 61511-1 Niveau d’intégrité de sécurité

À titre de rappel, les normes IEC 61508 et 61511 distinguent quatre niveaux de réduction de risques appelés niveaux de SIL. Les niveaux de SIL sont rattachés à : • une probabilité de défaillance sur sollicitation (notée PFDavg) pour les systèmes en mode faible sollicitation ; • une probabilité de défaillance par heure (notée PFH) pour les systèmes en mode continu ou en mode sollicitation élevée.

SIL 1

10–2

PFDavg

Méthodes d'analyse des risques

Short Description

Description

Comments

We need your help!