DU RISQUE A LANALYSE DE RISQUES _____

Dveloppement dune mthode MOSAR Mthode Organise et Systmique dAnalyse de Risques

Pierre PERILHON Ingnieur ENSAM

Juin 2003

PLAN __
1

Chapitre 1 PROBLEMATIQUE DU RISQUE INTRODUCTION A LA SCIENCE DU DANGER _____

Prologue 1 Un peu dhistoire du risque 2 - La vision paradigmatique actuelle du risque 2 1 La structure des vnements non souhaits 2 2 Lanalyse de risques 2 3 Les stratgies industrielles 2 4 - La sret de fonctionnement 2 5 - Une dfinition du risque 2 6 Une dfinition de lanalyse de risques 3 - Introduction la systmique pour une approche de la complexit 3 1 La notion de modle 3 2 La notion de systme 3 3 La notion de processus 3 4 Proprits des systmes 3 4 1 Proprit dmergence 3 4 2 Notions dauto-organisation et dorganisation 3 4 3 Notion de complexit 3 4 4 Notion de hasard 3 4 5 Proprits structurelles 3 4 6 Catgorisation des systmes 3 5 En rsum 3 6 Constat 4 - De la systmique la Science du Danger 4 1 Objet de la science du danger 4 2 Le modle MADS 4 3 Le dveloppement de typologies 4 4 Quelques dveloppements et applications 5 - Typologie des tudes de dysfonctionnements Page 05 05 18 18 22 23 23 24 25 27 28 30 33 35 35 36 39 40 40 41 42 42 44 44 45 49 57 64

6 - Le corps de connaissances transversale ncessaire la matrise du risque 7 Annexes Quelques lments dinformation sur lhistoire de la systmique Grille 1 : systmes sources de danger dans la fabrication, le stockage, le transport, de matire, nergie, information. Grille des systmes sources de danger en milieu urbain Description de linstallation propane Information sur le groupe MADS Chapitre 2 UNE METHODE DANALYSE DE RISQUES : MOSAR Mthode Organise et Systmique dAnalyse de Risques _____ 1234Bref historique de la mthode Problmatique de lanalyse de risques dune installation Structure de la mthode Description par application sur un exemple le module A le module B 5 - Les modes de mise en uvre de la mthode MOSAR par tapes et par niveaux (synthse en un tableau) MOSAR miss sous forme SADT 6 quelques exemples dapplication dans diffrents domaines dont le domaine industriel. 6 1 Unit de fabrication de verre plat 6 2 Appareil de dclenchement prventif davalanches 6 3 Etude de conception dune installation industrielle de type nuclaire 7 Analyse et management des risques 8 Application lenseignement de la matrise des risques. Bibliographie

66 73 74 75

84 88

90 90 98 98 98
127

145 149 158 158 160 162 168 170 171

Chapitre 1 ____ PROBLEMATIQUE DU RISQUE INTRODUCTION A LA SCIENCE DU DANGER

PROLOGUE :
Sintresser au domaine du risque, cest rflchir sa structure, la manire dont il apparat et dont il se manifeste pour les tres vivants. Sintresser aux risques cest identifier tout le spectre de ceux que rencontrent ces mmes tres vivants. Dans les deux cas, cest pntrer dans la complexit et dans tous les domaines de la connaissance. Vaste programme ! Et, paradoxe, la vie ne procde que par risque. Il ny a pas de vie sans risque, il ny a pas de progrs dans la connaissance et dans les applications quen fait la technique pour au moins accrotre notre confort, sans prise de risque. Alors, le problme est - il bien pos ? Premier constat : il existe un tas de mots correspondant tout un ensemble de connaissances qui se sont dveloppes depuis environ un sicle, de manire surtout pragmatique.
E R G O N O M I E
HYGI ENE IN TS DUST ECHE FIA RIELL DES D BIL E TION ITE GES HU SURETE MA INE E PLIQUE ON GIE AP E U SI S ECOLO NTR E H TI I IR AN TA tions NI UE Scurit des installa SA IQ IE N BL GE NT PU ME E N NE ON IE VIR YG 'EN TRAVAIL H EL MEDECINE DU N D SU IO RETE DE FO T NCTIONNE TEC MENT PRO
E

Deuxime constat : ce progrs du confort entrane de plus en plus un refus des risques imposs par les activits humaines telles que le travail et tout ce qui le concerne Un tas de mots (installations industrielles) et par la nature (risques naturels). Avec le paradoxe que les risques non imposs (lis la circulation routire, aux loisirs, la vie domestique) nentranent pas un rejet aussi grand que les premiers. Cest un peu comme si ce besoin de risque li la vie se retrouvait dans cette dernire catgorie. Ce constat introduit la perception du risque. Mme sil est en partie possible de le caractriser de manire objective, comme nous le verrons, celui-ci est avant tout un construit social. Troisime constat : de multiples enseignements se sont dvelopps ces dernires annes dans le domaine du risque : il y a maintenant plus de cinq IUT, une quinzaine de DESS, deux MASTERS, plusieurs annes spcialises dcoles dIngnieurs et une cole dINGENIEURS . Or la connaissance dans ce domaine est bien plus en milieu industriel que dans les Universits, bien peu dentre elles ayant fait leffort de dvelopper des concepts, base dune pdagogie denseignement des risques et de leur matrise. Quatrime constat : un essai a t fait de constitution dune Science du Danger ou de Sciences du Danger avec la cration du mot CINDYNIQUE (S) en 1987 lors du colloque de lUNESCO PARIS, mot forg partir du mot grec KINDYNOS qui signifie danger, la ou les cindyniques tant la ou les sciences du danger. ( 61 ) Il est donc lgitime de tenter le dveloppement de cette Science du Danger. Tout dabord pour construire une cohrence dans la modlisation de la connaissance qui lui est propre, ce qui permettra dorganiser les mots en vrac du premier constat. Ensuite pour montrer que la structure des risques est la mme dans tout leur spectre et quil ny a pas lieu de rejeter les uns plutt que les autres, mais dapprendre les valuer pour mieux les matriser et pour tre mieux mme de dfinir les objectifs qui permettront de les situer quant leur acceptabilit. Ceci pour tenir compte du deuxime constat. Le dveloppement des concepts dune science du danger sera le socle pdagogique des enseignements traitant de son domaine, rponse aux questions souleves dans le troisime constat.
Sc ur it des

SE CU bie ns RIT

1- UN PEU DHISTOIRE DU RISQUE : Comment se sont forms, transforms, changs, organiss et rorganiss les savoirs et les savoir - faire dans le domaine du risque ? DANS LES ANNEES 60 : Les savoirs se sont dvelopps autour de la scurit des machines, des relations hommes - machines et sest constitue lergonomie, technique qui essaie dadapter la machine lhomme et non pas linverse. Ceci a beaucoup fait appel aux disciplines appliques que sont la Psychologie et la Sociologie, la Physiologie, lAnatomie. Les savoir-faire avaient dj depuis plusieurs annes t dvelopps avec les outils danalyse notamment pour les systmes darmes (celles - ci devant tre fiables et sres cest dire fonctionner tout coup sur commande mais jamais intempestivement). Ils font alors lobjet dapplications dans laronautique, la plupart des bureaux dtudes tant alors forms leur mise en uvre. On voit aussi des responsables tre mis en prison, ce qui acclre les prises de conscience. Le dveloppement des mdias notamment visuels (tlvision), amplificateurs du vrai comme du faux et du manipul (audimat roi) entrane la fois une prise de conscience salutaire (apparition de contre-pouvoirs ncessaires) et une hypersensibilit certains domaines de risques rels ou fantasms qui ne feront que se dvelopper dans les annes suivantes loccasion de grandes crises de gestion de catastrophes. DANS LES ANNEES 70 : Les savoirs se centrent beaucoup sur linterface homme-machine. Apparat aussi la scurit des systmes dinformation lie au dveloppement de linformatique. La prise en compte de limpact des dangers sur les cosystmes et les populations est initie notamment par le dveloppement du nuclaire. Lies ce dernier les enqutes dopinion permettant de mieux comprendre les mcanismes de lacceptabilit des risques, sont mises au point et appliques. Enfin, on commence sintresser au comportement humain dans la conduite des systmes complexes. Les savoir-faire se centrent sur lapplication des outils danalyse dans le nuclaire. Apparat alors la sret nuclaire avec sa stratgie de dfense en profondeur et la conception dterministe des installations avec vrification probabiliste. Dans lenseignement, le premier IUT de scurit est cre BORDEAUX en 1970 et la premire MAITRISE de scurit GRENOBLE en 1979. DANS LES ANNEES 80 : Tous les savoirs des annes 70 se dveloppent ainsi que des socits savantes comme la 3SF Pour les savoir-faire, lutilisation des outils danalyse diffuse en milieu industriel. Dans lenseignement apparaissent des MASTERES, se crent dautres MAITRISES ainsi que des DES (diplmes universitaires spcifiques une universit et nayant pas de reconnaissance nationale.

DANS LES ANNEES 90 : En matire de savoirs apparat la constitution des lments dune SCIENCE DU DANGER ou CINDYNIQUE. Les Socits Savantes se dveloppent ou se rorganisent : transformation de la 3SF en IEC (institut Europen de Cindyniques ) et cration de lISDF (institut De Sret De Fonctionnement, lun des instituts du Mouvement Franais pour la Qualit ) En matire denseignement la premire Ecole dIngnieurs spcialistes est cre GRENOBLE en 1990. Une quinzaine de DESS est mise en place.

Cette approche est complte par lexamen de lapport et de limpact dun certain nombre de grands vnements survenus dans le monde pendant ces annes l. Ils sont slectionns parmi bien dautres vnements importants. Il ne faut cependant pas en dduire que les risques sont surtout apparus depuis les annes 50 ou 60 et ont fait beaucoup plus de victimes depuis, quauparavant. Cest en fait surtout la prise de conscience des risques qui sest faite dans la priode 1950-1980 qui pourrait le laisser croire. Evoquons pour sen dtromper deux grands vnements antrieurs : la catastrophe minire de COURRIERE dans le Nord de la France en 1906 qui a fait 1200 morts et la catastrophe de draillement dun train de soldats MODANE en Savoie en 1917 qui a fait 700 morts. Ce sont les risques naturels qui ont toujours t et sont toujours les plus meurtriers (par exemple le sisme survenu en CHINE dans les annes 1990 et qui a fait 900000 morts )

QUELQUES GRANDS EVENEMENTS ET LE RETOUR DEXPERIENCE QUILS ONT APPORTE : (73)

En premire dfinition on appellera Evnement Non Souhait dans la suite du texte tout vnement pouvant avoir un impact destructeur sur des tres vivants, des systmes matriels ou symboliques.

FEY ZI N 1 La va nne de pr l vem ent gi vre e t ne pe ut pa s t re referm e Le propa ne fuit et for me une na ppe de gaz d ri vante Le s oprat eurs senf uie nt

FEY ZIN 2 U ne voiture qui pass e proxi mit e nfla mm e la na ppe de gaz

FEY ZIN 3

U n c ha lume au se cr e sous la sphre parti r de la fuite Le s pompie rs qui ne peuve nt pas a pproc her refroi dissent la sph re en l a rrosa nt pa rt ir de s aut res sphres

FEY ZIN 4 La sph re souvre bruta le ment e t li bre le propa ne qui s e va porise insta ntan me nt ( B LEV E ) e t form e une gi gante sque boule de feu d fla grante 300m a u-de ssus de l a sph re qui dtruit t out dans un rayon de pl usieurs c enta ines de m tre s.

En 1966, FEYZIN, au sud de LYON, dans une raffinerie qui vient de dmarrer, au cours dune opration de prlvement pour contrle qualit sur une sphre de stockage de propane liqufi, la vanne givre et ne peut pas tre referme. Le propane schappe sous forme gazeuse, forme une nappe de gaz drivante, senflamme au contact dune voiture qui passe proximit et forme un chalumeau sous la sphre. Ce dernier ne peut pas tre approch par les pompiers de Vienne et de Lyon qui ne sont pas quips et pas encore forms ce genre daccident. Au bout de quelques heures la sphre se rompt et gnre un BLEVE, cest dire que toute la masse de propane liquide se vaporise instantanment en librant son nergie sous forme explosive et cre une boule de feu de plusieurs centaines de mtres environ 300 m au-dessus du sol, brlant tout dans un rayon de 300m. Les pompiers qui essayaient de refroidir la sphre paient un lourd tribu: 16 morts. Cet accident, lun des premiers mdiatiss en FRANCE (on est en pleine priode de dveloppement de la tlvision couleur), fait prendre conscience du risque de BLEVE et de la complexit de la gense de tels vnements. On part en effet dun vnement mineur (non respect de procdures) pour aboutir une catastrophe aprs un enchanement complexe dvnements dorigine diverse. La mme anne a lieu ABERFAN en ANGLETERRE, leffondrement dun terril minier qui engloutit un quartier dont une cole tuant 144 personnes dont 116 enfants. Cet accident fait prendre conscience de la ncessit de prvoir les risques dans tout le cycle de vie dune installation y compris aprs son arrt car ce terril comme bien dautres cette poque tait le rsidu dexploitation dune installation minire ferme depuis plusieurs annes. 8

En 1967, cest la premire grande catastrophe de pollution marine, celle cause par le TORREY CANYON qui schoue au cours dune violente tempte en BRETAGNE et qui est bris par les vagues. Cet accident pose le problme du droit international insuffisant ds cette poque, de lampleur des dgts causs lcologie du milieu marin et des problmes rencontrs par les assurances pour indemniser les victimes qui sont surtout des collectivits, autant de problmes toujours non rsolu ce tournant du sicle de lan 2000. En 1970, cest lincendie du dancing de SAINT-LAURENT DU PONT dans lIsre : 146 morts et des familles qui perdent quatre enfants. Cet incendie met en cause lutilisation inconsidre de matriaux synthtiques sous forme de mousses brlant facilement et trs vite et ce, malgr une rglementation dj existante mais dont lapplication est mal contrle (avec un trs grand nombre dinfractions aux rglements). Ceci entranera
1
SA IN T LA U REN T D U P O NT

2
Sa lon bl eu d cor ave c de la m ousse de polyur thanne souple fac ile me nt c ombustibl e

PR EMIER ETAG E
G rot tes faite s par proje ct ion de m ousse de polyurthanne rigi de di ffic ile ment c ombustibl e

G rot te s fa ite s pa r proje ct ion de m ousse de polyurtha nne rigi de di ffic ile me nt c ombustibl e

Sa lon bl eu d cor ave c de la m ousse de polyur thanne souple fac ile ment combustibl e

PR EMIER ETAG E

LE F EU DE MAR RE DU CANAPE

Sa ll e de danse

Ca na p da ns le quel pa sse le syst me de c hauffage pa r a ir puls

PO R TES

Sall e de danse

Cana p da ns le quel pa sse le syst me de c hauffage par a ir puls

ISS UES DE S ECO UR S BLO Q U EES

c hauffage

c uisine

Re sta urant ( ferm ce tte nuit -l )

REZ D E CH A US SEE
c hauffage cuisine Re sta urant ( ferm cette nuit -l )

REZ DE CH AUS SEE

Ba r ca cha nt la cc s la porte
e str ch e
ch e

Ba r ca cha nt lacc s la porte

e s tr

Sa ll e de danse

ve stia ires

Sa ll e de danse

ve stia ires

or

sa nita ires Esc ali er e n c olima on

e ntre sa nita ires c ais se Tourniquet d e ntre

Escali er e n c olima on

or

sa nita ires

e ntre sa nita ires cais se Tourniquet d e ntre

4
Sa lon bl eu d cor ave c de la m ousse de polyur thanne souple fac ile me nt c ombustibl e PR EMIER ETAGE
G rot te s fa ite s pa r proje ct ion de m ousse de polyurtha nne rigi de di ffic ile me nt c ombustibl e

G rot te s fa ite s pa r proje ct ion de m ousse de polyurtha nne rigi de di ffic ile me nt c ombustibl e

Sa lon bl eu d cor ave c de la m ousse de polyur thanne souple fac ile me nt c ombustibl e

PR EMIER ETAG E

Sa ll e de danse

Ca na p da ns le quel pa sse le syst me de c hauffage pa r a ir puls

c hauffage

c uisine

Re sta urant ( ferm ce tte nuit -l )

IL EMB RAS E TRE S V ITE TOUT LE S ALO N B LEU . LA MO U SSE FO ND , COULE ET BR ULE CO MME D E L ESS EN CE DA NS L E NTR EE, LES VES TIAIR ES E T LE S SA N ITAIRE S LA C HALEU R DE GA GE E FA IT SE SUB LI MER LA MOUS SE DE POLYUR ETHAN N E R IGI DE QU I DEGAGE D E G RA N DE S Q UANTITES DE G AZ CO MB US TIBLES ET TOXIQ U ES

Sa ll e de danse

Ca na p da ns le quel pa sse le syst me de c hauffage pa r a ir puls

AU BO U T D U N E MIN U TE ET D EMI PLU S PE RSO N N E N E SO RT ET LE S G EN S V IEN NE T SEM PI LE R EN 1 E T S EMPALER SU R LE TOU R NIQ U ET D EN TREE Q U I EST B LOQ U E( 60 CO RPS A CH AQ UE EN D RO IT )

c hauffage

c uisine

Re sta urant ( ferm ce tte nuit -l )

Ba r ca cha nt la cc s la porte
e s tr ch e
ch e

Ba r ca cha nt la cc s la porte
e str

Sa ll e de danse

ve stia ires

Sa ll e de danse

ve stia ires

or

sa nita ires Esc ali er e n c olima on

e ntre sa nita ires c ais se

or

REZ D E CH AUS SEE

Esc ali er e n c olima on

sa nita ires

e ntre sa nita ires c ais se

REZ D E CH A US SEE

Tourniquet d e ntre

Tourniquet d e ntre 1

une volution significative de la rglementation des Etablissements Recevant du Public et permettra de promouvoir le renforcement des connaissances des Corps de Sapeurs Pompiers auquel participeront beaucoup les IUT de Scurit nouvellement cres en formant des cadres trs apprcis. En 1971 et 1974 incendie de deux grands htels construits au BRESIL et en COREE dans des immeubles de grande hauteur (tours) faisant chacun plusieurs centaines de morts. Ce sont deux cas parmi une srie plus importante et qui posent le problme de la loi des sries. Cette loi na rien de mystrieux. Elle nest que le reflet de ltat des risques dans une technique donne et un moment donn. Dans le cas prsent, le gigantisme des constructions, qui gnre un problme dchelle non pris en compte en matire de risques, la mise en uvre des matriaux cits ci-dessus et la nouvelle complexit dorganisations de toutes natures (mais notamment en matire de gestion des risques et dintervention ) gnre par ce gigantisme, montrent la ncessit de mieux comprendre les mcanismes de propagation des incendies et de revoir compltement les rgles de construction des 9

Immeubles de Grande Hauteurs. Ceci sera fait travers une rglementation trs dure mais efficace. En 1974, toujours, FLIXBOROUGH (GB) une catastrophe qui na pas t mdiatise car nayant fait que 27 morts. Cest la destruction 95% dune usine anglaise de
FLIX BO RO U GH
FLIX BO RO U GH

1 - Tr ois de s six r acteu rs d e fab ric ation d e c apr olac tam e ( p rod uit de bas e d ans la fabr ic ati on d u nyl on ). Ils s ont alim en t s p ar d u c ycloh exan e , gaz tr s in flam m able . Ils s ont re li s e ntre eu x par de s can alisation s dr oites ave c un s ouffl et de dil atation .

2 - Le racte ur B se fi ssur e . Pou r viter d arr ter la produ ct ion pour le rem plac er , on d c id e d e l enl eve r pou r l e r p are r et de reli er dir e ctem e nt le s r acte urs A et C, c e qui dim in ue ra l a pr oduc tion d u n si xim e san s l arr te r.

Cyc lohe xane

Cyc lohe xane

ve rs au tr e s r acte ur s

ve rs au tr e s r acte ur s

FLIX BO RO U GH

FLIX BO RO U GH

3 - Pour re lie r A et B , on m et e n p lace un e c anal isation d oub le c oud e ave c deux souf fle ts d e d ilatation. C e m ontage est m auvais c ar les souffl et s sont sou mi s de s con tr ain tes m c aniq ue s de c omp ression ( c e pou rq uoi ils son t faits ) mai s aussi d es con trainte s m c aniq ues de ci saillem en t ( c e q uoi i ls ne rsis te nt pas ) du es aux dou bles c oud es .

4 - Au bou t d e q uelqu es jou rs, ap r s de m ultip les fu ites d ont on n e tie nt pas c omp te, le s sou fflets c asse nt , la c anali sati on tomb e p ar te rr e e t lib re le c ycloh exan e q ui se r p and dans l u sin e e n form an t avec l ai r un m lan ge e xpl osif. Ce lu i-ci e xpl ose au con tact d un e sou rce d al lum age et d tru it l u sin e 95% .

Cyc lohe xane

Cyc lohexane

A C

ve rs au tr e s ract eur s

A C

vers au tre s racte ur s

fabrication de caprolactame, lun des produits de base dans llaboration du Nylon. A lorigine, une fissure dans un des racteurs entrane la dcision de le court-circuiter, pour un ensemble de raisons (arrt de production le plus court possible, opration facile.....). Lopration ncessite la mise en place dune tuyauterie de raccordement oblique qui gnre des contraintes de cisaillement dans les soufflets de dilatation. Aucun ingnieur impliqu ne prend conscience du risque. Un soufflet lche au bout de quelques semaines et libre une quantit importante de Cyclohexane, un gaz inflammable formant avec lair une nappe explosive. Lexplosion est extrmement violente et dtruit pratiquement tout dans un rayon de 2,5 km, y compris les habitations. Heureusement, cest un samedi et il y a peu de monde dans lusine et peu dhabitant sont chez eux. Un autre jour il y aurait eu peut-tre 1500 morts. Les enseignements tirs de cette catastrophe, outre quils renforcent des lments connus (importance des contraintes conomiques, dfauts de formation et de prise de conscience), montrent la symbiose troite entre maintenance et scurit. Dans le domaine de la comprhension des mcanismes des explosions ils font se poser la question de la possibilit dexplosions de type dtonantes en plein air, ce que lon croyait exclu. En effet limportance des dgts constats laisse entendre quil y a eu dtonation de la nappe de gaz ce que lon ne croyait pas possible cause de la dilution du gaz dans lair pour des installations justement largement ares cet effet. On comprend alors que le laminage de la flamme du front de combustion dans la nappe, par passage de celle-l dans les superstructures des installations, peut entraner son acclration jusqu une vitesse supersonique dans le milieu, caractristique de la dtonation et de son onde de choc associe.

10

En 1976 SEVESO constitue laccident mdiatique par excellence. Il ny a pas eu de mort SEVESO. Mais une peur panique lie lamplification mdiatique de laccident. Celui-ci est trs simple. Il sagit de lexplosion par dfaut de refroidissement et dfaut de scurit, dun racteur chimique. Comme celui-ci est mont en temprature avant dexploser on le souponne davoir fabriqu de la Dioxine, un des produits les plus toxiques que lon connaisse, et de lavoir diffus dans latmosphre. Laccident na rien en lui-mme de particulier sinon quil pose une fois de plus de manire spectaculaire le problme de la gestion des grandes crises mdiatiques (2). Une rglementation europenne dite circulaire SEVESO sera labore pour les installations classes pour la protection de lenvironnement considres comme les plus dangereuses et fait lobjet dune deuxime version en 1999. En 1977 se produit TENERIFE (balares ) la plus grande catastrophe arienne de tous les temps qui, paradoxalement, a lieu au sol et est provoque par la collision de deux Boeing 747 avec 600 morts. Les botes noires permettent de reconstituer laccident : il y a du brouillard sur la piste et une grande partie du trafic des les est reporte sur Tnrife cause dun attentat dans un autre aroport. La tour de contrle est un peu dborde et napplique pas la procdure obligatoire qui consiste faire rpter les messages par les pilotes. Deux Boeing 747 sont sur la piste : lun est en bout de piste et sapprte dcoller. Il vient de recevoir de la tour de contrle, lordre de se prparer. Son pilote est chevronn et le copilote est en admiration devant lui. Lautre Boeing est sur la piste et a reu lordre de sortir par la premire sortie pour rejoindre la piste de dgagement et aller se mettre en position de dcollage derrire le premier. Son pilote, qui connat la piste, sait que cette sortie est angle aigu et que la suivante est plus facile car angle ouvert. Il dcide dattendre cette dernire et continue de rouler sans avertir la tour de contrle. Cette dernire autorise le premier avion dcoller croyant que lautre est sorti de la piste. Le pilote de ce dernier entend le message et prvient la tour quil est toujours sur la piste. Celle-ci donne alors un contre ordre au premier avion. Le pilote de ce dernier semble ne pas lavoir entendu et donne lordre au copilote de mettre les gaz. Celui-ci, qui a entendu le contre ordre le dit au pilote qui passe outre et le copilote, faisant confiance son chef, met les gaz et la suite est vidente. Cet accident pose de manire brutale limportance de la communication entre individus et limportance du respect des procdures.

11

TEN ERIFFE 1 La tour de c ontrle donne l ordre a u pilo te de A de se prpa rer d c olle r e t donne l ordre au pil ote de B de sor tir 1a

1b

1b

TEN ERI FFE 2 Le pilot e de B ne sort pas 1a m ai s pr fr e sor ti r 1b La tour de c ontrle a utorise le pilote de A dc oll er . Le pilote de B ent end c e m essa ge et si gnal e qu il e st touj o urs pr sent sur la piste . La tour de c ontrle donne un c ontrordr e a u pilot e de A

1a

1a B
B

1b

1a

TEN ERIFFE 3 Le pilot e de A ne ntend pas le c ontrordre et n coute pas le c opilote qui, lui , la e ntendu . Il dc olle et c es t la coll isio n

En 1978 LOS ALFAQUES, en ESPAGNE, explosion dune nappe de propylne mlange lair suite la rupture des freins dun camion citerne de propylne liqufi qui dvale une pente, manque un virage et vient sventrer sur les sanitaires dun terrain de camping en bord de mer. Bilan 216 morts et de nombreux disparus. Les tlspectateurs sont effars et lon prend conscience de la mauvaise construction et du manque de rsistance des moyens de transport de matires dangereuses, dont le nombre sest multipli, ainsi que du manque de formation des conducteurs. Plusieurs autres accidents moins meurtriers renforceront cette prise de conscience en Europe et entraneront la gense dune rglementation europenne efficace. Toujours en 1978, deuxime grande pollution marine avec lchouage de lAMOCO CADIZ. La leon du premier na pas t suffisante. En 1979, premier grand accident nuclaire, aux USA : TMI. Une suite de dfauts, y compris de dispositifs de scurit, de mauvaises interprtations dindications du contrle- commande de la centrale, lies une mconnaissance de la thermodynamique du racteur, par les oprateurs et des erreurs de conception dindicateurs, entranent le dnoyage, la fusion partielle du coeur et la destruction dune des trois barrires : la gaine du combustible, fondue et qui en ragissant avec leau gnre de grandes quantits dhydrogne. La panique des autorits sous la pression mdiatique conduit lvacuation de 250000 personnes dans des conditions difficiles bien que les lments radioactifs mis hors de lenceinte aient t trs faibles. Chaque tlspectateur effray attend sadiquement pendant plusieurs heures lexplosion de lenceinte (mlange hydrogne- air- vapeur deau ), qui ne se produit pas. Les enseignements tirs de cet accident sont de plusieurs types. Premirement, une fois de plus, limportance des procdures de maintenance et leur impact sur la scurit. Deuximement encore les problmes lis aux grandes crises mdiatiques. Troisimement, limportance du facteur humain avec la prise de conscience de ce que lon a appel limage mentale dun contexte cest--dire la manire dont un individu se reprsente, modlise un contexte donn,

12

trs lie bien sr la connaissance quil en a. Do limportance de la formation des oprateurs et notamment dans la connaissance physique des installations. Ceci a entran le dveloppement de toutes les formations sur simulateurs. Laccident montre aussi que la conception de ce type dinstallation nest pas si mauvaise puisque deux des trois barrires (la cuve et lenceinte ) ont rsist et ont jou leur rle. En 1979 aussi MISSISSAUGA (canada ) draillement et menace dexplosions dans un train qui comporte des wagons de gaz liqufis inflammables et des wagons de chlore liqufi. Pas de victimes et vacuation bien organise de 200000 personnes par la police monte du CANADA montrant la faisabilit dune telle opration si elle est bien prpare. En 1984, le plus grand accident de lindustrie chimique se produit en INDE BHOPAL. Au cours dune opration dentretien dans une usine larrt, de leau pntre dans un stockage de mthyle-isocyanate (produit extrmement agressif et toxique) entranant son hydrolyse et donc son chauffement. Par tout un ensemble de faits ngatifs (le systme de refroidissement du stockage a t dmont, il ny a pas de rservoir en rserve vide pour vidanger le premier comme ce devrait tre la rgle, le responsable nest pas le titulaire du poste qui, absent, est remplac par quelquun en ayant une moins bonne connaissance...... ) les oprateurs laissent le rservoir monter en pression cause de sa monte en temprature. Lorsque la soupape de scurit souvre celui-ci se dpressurise travers les deux dispositifs redondants de destruction du gaz. Aucun des deux ne fonctionne tant en opration dentretien ( il ny a plus de soude dans le dispositif de destruction chimique et il est impossible dallumer la torchre qui aurait permis de brler le gaz, la canalisation dalimentation en propane ayant t dmonte ) . Celui - ci se rpand donc en pleine nuit sur la ville de BHOPAL avec des conditions atmosphriques dfavorables et atteint la population et notamment celle, nombreuse, travaillant dans lusine et habitant des maisons de fortune proximit immdiate de celle-ci . On ne connat pas vraiment le nombre de victimes car il ny a pas de recensement fiable de la population : au moins 2000 morts mais des chiffres comme 5000, voire 10000, sont aussi annoncs, car il y a toujours des squelles de cet accident dans la population. Il nous apprend une fois de plus limportance de la maintenance et de lorganisation ainsi que de la formation des oprateurs dans des installations trs dangereuses. Il montre la ncessit de revoir la conception de telles installations, ce dont tiendra compte par exemple un groupe comme Rhne Poulenc en France en concevant certaines installations avec les techniques de confinement mises en uvre dans le nuclaire ( Pont de Claix / Isre ).

13

B HO PAL

1 - au c our s dun e op r ation d e n ettoyage d e l e au p n tre en A ou B dans l e r s er voir par une vann e n on tan ch e e t pr ovoqu e u ne hyd rol yse d u m thyl di-isoc yanate avec lib r ati on d ne rgi e . Le r se rvoi r m onte en pr essi on

B HO PA L

2 - Le r ser voir m onte e n p ression . Le systm e de re fr oid isse me nt est h ors s ervic e. A 13 bars, la sou pape C s ouvre et e nvoi e le gaz dan s la tour de de stru ction la soud e.

sou de

sou de

fabr ic ation th yle A isoc yanate C B az ote

C

fabr ic ation m thyl e isocyanate

B az ote

torc h re

Tou r d e d estr uc ti on la sou de

torc hre

Tou r d e d estr uc ti on la sou de

Sys t me de r efroi diss em en t Stoc kage m thyle - isocyan ate

Stockage mthyle - isocyan ate

Sys t me de r efroi diss em en t

3 - Le r ser voir de soud e e st vide e t le systm e ne fon ction ne pas. Le gaz sch app e ve rs la tor chre .

B HO PA L

B HO PA L

4 -Le gaz sch appe ve rs la torch re C el le-c i ne foncti onne pas n on p lus ( d es tuyau x d alim entati on e n pr opan e on t t d m ont s pou r e ntretie n ) Le gaz s ch app e d ans l atmos ph r e et va i ntoxiqu er la vil le .

sou de

sou de

A C

fabr ication m thyl e isoc yanate C

fabr ication m thyl e isoc yanate

B az ote

B azote

torch re

Tou r d e d estr ucti on la sou de

torch re Sys t me de r efroi diss em en t Stockage m tyle - isocyanate

Tou r d e d estr ucti on la sou de

Sys t me de r efroi diss em en t Stockage mthyle - isocyan ate

Toujours en 1984, MEXICO, explosions en srie de stockages de gaz liqufis de mme nature que celle de FEYZIN et dans le mme contexte qu BHOPAL avec des habitats denses et sommaires proximit. Bilan: au moins 700 morts. Cest lhistoire qui se rpte mais dans une autre chelle et dans un pays en voie de dveloppement. En 1986, la plus grande catastrophe du nuclaire se produit TCHERNOBYL en ex - URSS. Un racteur du type uranium naturel modr au graphite refroidit par des tubes sous pression deau (RMBK), connu pour son instabilit et sa difficult piloter, diverge brutalement suite une srie doprations incroyables faites par les oprateurs de conduite au cours dessais de scurit programms (erreurs de pilotage, court-circuitage volontaire et dbranchements de scurits primordiales ). La libration brutale dnergie thermique dorigine nuclaire entrane la rupture des tubes de force, premire explosion de dtente brutale de vapeur qui soulve la dalle fermant le coeur, tue trois oprateurs et entrane des ractions eau - combustible avec formation de grandes quantits dhydrogne lorigine dune deuxime explosion bien plus nergtique, dtruisant le coeur et lenceinte de confinement non rsistante (contrairement aux racteurs occidentaux ) et projetant dans latmosphre extrieure 10% des produits de fission, ce qui est considrable mais conforme aux calculs prvisionnels conduits dans les tudes de sret dun tel scnario. Les consquences sont normes pour les populations avoisinantes dont plus de 130000 personnes sont vacues sans retour. On ne connat que les morts survenues dans les jours et les mois suivants : une cinquantaine mais on ne sait rien des nombreux militaires qui on a fait faire les oprations les plus dangereuses et qui ont t ensuite disperss. Pour le futur les prvisions ne peuvent tre faites que par approche statistique et donnent parfois lieu aux fantasmes les plus dbrids. Les origines dun tel accident ne font que renforcer les convictions dj tablies cette poque et montrent que le pire est aussi envisager dans les tudes de risques.

14

TC HE RN OB Y L
TC HE RNOB Y L

71,3 m

1 - Un e s r ie de fau te s in vrais em blab le s dan s le pilotage du r ac te ur e ntra ne une e xcu rsion de pu issan ce qu i pr ovoqu e la r up tu re de s tub es d e au sou s pr es sion. Pr em i re explosi on de d ten te de vape ur qu i tue de ux op r ate ur s dan s la sal le d es m ach ine s e n sou levan t l e c ouve rc le qu i fer me le c u r.

71,3 m

2 - La r ac ti on d e l e au e t d e l a vape ur sur les gaine s du c omb ustib le n ucl aire ( en zi rc alloy ) , en tran e l a form ation d h ydr ogn e q ui d iffu se dans l e h all e t for me ave c l air un mlan ge e xpl osif .

50 m

50 m

21,5 m c oeu r

21,5 m coeu r

Lon gue ur base : 180 m

Lon gue ur base : 180 m

TC HE RN OB Y L TC HE RN OB Y L 71,3 m 71,3 m 3Le m lan ge e xpl ose, p ulv r isant toute l a par ti e su p rie ur e du r ac te ur et m ettant le c ur l air , avec di ffusi on dan s l atmosp h re de 10% de s pr odu its de fission . 4 - Le c ur e n fusion cou le et sen fon ce dan s le rad ier . 10% de s p rod uits de fission sont re jet s dans l atm osph r e

50 m 50 m

21,5 m 21,5 m c oeu r c oeu r

Lon gue ur base : 180 m Lon gue ur base : 180 m

1987 voit dans la Mer du Nord le naufrage dun ferry, le HERALD OF FREE ENTERPRISE, avec 189 morts. Cet accident met en dfaut la conception technique de bateaux que lon croyait srs, et probablement leur contrle. Le mauvais verrouillage des portes a entran le renversement du bateau sous les coups de boutoir des vagues. 1987 est aussi lanne dune autre grande catastrophe mdiatique vcue en direct par des millions de tlspectateurs : lexplosion, 73s aprs son dcollage, de la fuse porteuse de la navette spatiale amricaine CHALLENGER avec 7 cosmonautes bord dont une femme institutrice que ses lves suivent en direct grand renfort de soutien mdiatique. Il a fait trs froid ce matin l Cap Canaveral (-25C ) et malgr la mise en garde des ingnieurs leur hirarchie sur la simple tenue dun joint dtanchit cette temprature celle l prend la dcision, pousse par les contraintes mdiatiques et conomiques, dautoriser quand mme le dcollage. Le joint en question est un joint plastique torique qui assure ltanchit dans le raccordement des viroles constituant les boosters (ou fuses dappoint colles sur la fuse principale). Au passage du front de combustion de la poudre dun booster au droit de lun de ces joints, celui-ci se perce et laisse passer une flamme qui fait chalumeau sur la tle de la virole de la fuse principale (p 2,5 mm ), entranant son percement et celui dun des rservoirs doxygne liquide ou dhydrogne liquide de la fuse, dtruisant le deuxime et formant un mlange explosif hydrogne - oxygne lorigine de la terrible explosion finale dtruisant fuse et navette sous les yeux du public. Comment cela a-t-il pu se produire la NASA, pionnire en matire danalyse de risques ? Un organisme en drive conomique, lhabitude, la perte de connaissance par le dpart conomique de nombreux ingnieurs, la peur de la pression mdiatique pourvoyeuse dimage de marque, expliquent cet accident. Tous les ingrdients de la modernit sont runis.

15

En 1989 cest la troisime grande pollution marine avec lEXXON VALDEZ en ALASKA (2000km de ctes dtruites ), qui met en cause le gigantisme des derniers ptroliers mais les amricains prendront des mesures draconiennes pour viter ce genre de catastrophes, mesures que nous navons toujours pas su prendre en Europe en 2000. En 1992 cest laccident de lAIRBUS A320 LYON STRASBOURG qui scrase sur le Mont Saint Odile (800m ). La boite noire rvle que le pilote, lui aussi chevronn, a utilis les deux modes de descentes diffrents lors de ses deux approches de laroport. Ces deux modes de descente lun qui affiche un angle et lautre une perte daltitude par minute, sont sur le mme cran daffichage. Y a-t-il eu confusion daffichage li ce qui semble tre une erreur ergonomique? Ceci, ajout au fait que les airbus franais ntaient pas quips de la scurit redondante constitue par un radar de proximit signalant au pilote lapproche du sol, est probablement lorigine de la catastrophe qui a fait 86 morts. Guidage radar balise
Descente angle de 33 Descente 3300 pieds/mn

balise Piste

Trajectoire quil aurait d suivre

Mont Sainte-Odile (800m)

MEME ECRAN

Track flight path angle (trajectoire automatique - angle de descente

Heading vertical spead (cap et vitesse verticale)

TRK FPA

- 3. 3

HVS V/S

- 33

IL SEMBLE QUE LE PILOTE SE SOIT TROMPE DE MODE DAFFICHAGE CAR LES DEUX MODES ETAIENT SUR LE MEME ECRAN

ACCIDENT DE LAIR BUS AIR INTER DE STRASBOURG

Et pour finir en 1994, deuxime catastrophe incroyable en Mer Baltique dun ferry, lESTONIA qui coule dans les mmes circonstances que le lHERALD avec cette fois 852 morts. Au cours dune tempte les verrous de la porte avant cdent et, la mer pntre dans le bateau et celui-ci se renverse. Technique toujours en retard sur la matrise du risque, inhomognit de cette dernire dun pays lautre, contraintes conomiques toujours prpondrantes, sont lorigine de tels drames. Compltons ce parcours et ces rflexions par quelques points cls dans lvolution de la rglementation. Le dcret sur la scurit des installations lectriques a introduit en France une trs bonne prise en main de la matrise des risques lectriques.

16

Le dcret sur les INSTALLATIONS CLASSEES, qui inclue la circulaire SEVESO, a renforc la prise en compte des risques la conception des installations dangereuses par limposition des tudes de danger et des tudes dimpact. Il a par ailleurs renforc les contrles des pouvoirs publics et EVOLUTION DU CHAMP REGLEMENTAIRE du public par les instances de concertation. AYANT EU UN IMPACT FORT SUR LE TERRAIN Le dcret sur la coactivit des entreprises a tent de rsoudre la prise en 1962 DECRET SUR LA SECURITE DES INSTALLATIONS ELECTRIQUES compte des risques dans les activits de 1976 LOI SUR LES INSTALLATIONS CLASSEES POUR LA PROTECTION DE plusieurs entreprises sur un mme site L'ENVIRONNEMENT (travaux, sous traitance.....) et a clarifi les 1977 DECRET SUR LA COACTIVITE DES ENTREPRISES responsabilits. 1979 REGLEMENTATION DES MACHINES La rglementation des machines 1982 CIRCULAIRE SEVESO (toute structure ayant des lments en 1984 ARRETE QUALITE POUR LA SURETE DES INSTALLATIONS NUCLEAIRES mouvement ) est draconienne Larrt qualit pour la sret des installations nuclaires est la premire tentative de prise en compte de la qualit en matire de gestion des risques et fait apparatre que qualit, maintenance et scurit sont en symbiose.

17

2- LA VISION PARADIGMATIQUE ACTUELLE DU RISQUE :

2 1 La structure des Evnements Non Souhaits : Quels sont les diffrents concepts du risque qui prvalent aujourdhui ? De notre petit parcours historique, nous pouvons tirer une vision structurelle des vnements non souhaits. Leur analyse montre quils ont tous la mme structure : On peut les voir comme la conjonction dun ensemble de dysfonctionnements quil est possible de caractriser. Le premier ensemble est constitu par les dysfonctionnements de la connaissance des risques que lon peut partager en deux sous ensembles : lignorance et linconscience. Illustrons par quelques 1 2 exemples tirs des ENS cits dans le paragraphe 1. Lignorance est rare. A Saint Laurent du Pont le procs a montr que lun des grants, celui qui a construit le dancing de ses mains ignorait le danger des matriaux mis en EVENEMENT NON SOUHAITE 3 uvre. Linconscience est plus courante : Flixborough les ingnieurs qui ont ralis la modification de liaison des racteurs nignoraient pas que les 4 soufflets de dilatation ne rsistaient pas 5 des contraintes de flexion, mais ils nen ont pas pris conscience dans le contexte. L'EVENEMENT NON SOUHAITE -CONJONCTION DE DYSFONCTIONNEMENTS Le deuxime ensemble est constitu par les dysfonctionnements rglementaires qui touchent les rglements (nationaux, europens, internationaux ), les consignes notamment de scurit, qui ont valeur rglementaire, les rgles de lart qui sont les rgles de construction (soudure, bton arm, structures mtalliques... ) et donc les rgles de lingnieur, et les procdures crites qui dcrivent les oprations. Exemples : Ils sont nombreux. A Saint Laurent du Pont, le brleur de la chaudire de chauffage par air puls tait surdimensionn (ce qui constitue une faute aux rgles de lart pour lartisan qui la mont ) et a entran un percement de lchangeur avec passage des gaz chauds dans le circuit, lorigine du dclenchement de lincendie. Dans ce mme accident toutes les issues de secours sont bloques ou camoufles pour viter la fraude. A Feyzin il ny avait pas de sphre vide pour vidanger la premire, tout comme Bhopal.
IG NO RA IN NC CO E NS CI EN CE
DY SF ON CT DE IO CO NN DE N EM S R NA EN IS ISS TS QU A NC ES E

TS EN EM GL S T RE NE 'AR IG EL NS CO ES D GL ES RE UR ED TS OC EN PR EM S NN IO RE AI CT NT ON E SF EM DY GL RE

DYSFONCTIONNEMENTS TECHNIQUES

E NN DU IO NS CT ES IO E IR ON AT RN SF TO E RB DY EA XT TU AL EE ER T P EX NE NT ER DE ES CO INT URS NC ET NCO STA N CO RCO U CI EV PR IM

S NT ME

DY SF ON CT IO H NN UM EM AI NS EN

PH YS IO LO PS G YC IQ H UE SO O LO S C IO G IQ LO UE G EC S IQ O U NO ES M IQ UE S
TS

Le troisime ensemble et constitu par les dysfonctionnements de nature technique. Ce devraient tre les plus faciles prvoir puisque les installations ont t faites par des tres humains. Citons quelques exemples : la citerne de Los Alfaqus qui ne rsiste pas au choc, les tankers qui se brisent sous les lames, les ferry dont les verrouillages de porte lchent.

18

Le quatrime ensemble est le plus complexe car il concerne les tres humains. Il a des origines diffrentes : leur physiologie, leur comportement psychologique, leur comportement sociologique et les contraintes conomiques. Exemples: les oprateurs de la centrale de TMI taient certainement stresss, les grants du dancing de Saint Laurent du Pont taient obsds par la rentabilit de leur tablissement, les oprateurs de Tchernobyl voulaient absolument faire leurs essais. Le cinquime ensemble touche lalatoire et notamment les perturbations du contexte interne linstallation ou externes cest dire li son environnement. Edgar Morin (3 ) dfinit laccident comme la conjonction dun vnement et dun phnomne organis ou comme la rencontre vnementielle de plusieurs phnomnes organiss. Gnralisons cette dfinition. Conjonction dun ou plusieurs vnements et dun ou plusieurs phnomnes organiss. Cest limprvu. Tous les autres ensembles sont prsents:1- on met en oeuvre de la connaissance avec ses dfauts et ses manques, 2- on applique les rgles avec des manquements et des faiblesses, 3- on a des pannes techniques plus ou moins nombreuses, 4- on constate des comportements divers, et un vnement nouveau, imprvu survient qui rompt lquilibre mtastable prcdent. Cest le cas Tnriffe : il y a eu un attentat sur un aroport voisin, ce qui amne plus de trafic, et voil le brouillard qui se met de la partie. Conjonction vnementielle de deux ou plusieurs phnomnes organiss. Cest le concours de circonstances. Ce jour l tout est runi pour lENS. 1- A Saint Laurent du Pont il y a longtemps que les grants sont ignorants ou inconscients des risques, 2- que de multiples rgles sont violes, 3- que le comportement des individus laisse beaucoup dsirer y compris celui des utilisateurs, mais cette nuit l le phnomne organis (constitu par le chauffage) dclenche un dysfonctionnement technique. 4 - : le percement de la chaudire qui se conjugue tout le reste pour crer la catastrophe. Ce sont des perturbations internes ou externes au contexte qui gnrent limprvu ou le concours de circonstances. A Feyzin il fait un froid humide et la vanne givre, Aberfan il a beaucoup plu et le terril est gorg deau, Saint Laurent du Pont le restaurant ne fonctionne pas cette nuit l et toute la puissance de la chaudire alimente un circuit rduit et donc surchauffe lchangeur. Synthtisons cette approche partir dun autre exemple. Prenons le cas de la conduite automobile et des accidents de la route. 1-Parmi les conducteurs de voitures il y a ceux qui ont entendu parler de mcanique dans leur formation et qui connaissent la loi incontournable de la physique : pour un corps en mouvement lnergie cintique (celle quil faudra absorber en cas de choc ) est proportionnelle au carr de la vitesse. Mais en sont-ils conscients ? Et il y a ceux qui nen ont jamais entendu parler et donc qui lignorent. 2-Les rglements sont grs par le code de la route. Les rgles de lart sont les rgles de construction des vhicules et se traduisent par ce quon appelle la conformit au certificat du Service des Mines. Les consignes sont donnes par les signalisations routires et par le livret du constructeur pour certaines. Les procdures se trouvent en partie dans le livret du constructeur (comment changer une roue, les ampoules dclairage... ). Il est assez facile dimaginer des manquements ces rgles. 3- Les dysfonctionnements techniques possibles sont nombreux (clatement de pneu, rupture daxe de roue, dfaut de frein, rupture de direction......).

19

4- Les dysfonctionnements humains sont complexes. A titre un peu caricatural : physiologique, un conducteur qui a un bras dans le pltre aura des difficults de conduite; psychologiques, un conducteur qui sest disput avant de prendre le volant nest pas dans un tat de conduire idal ; sociologique, un conducteur qui vit dans une famille dans laquelle il y a de fortes tensions nest pas dans le mme tat de conduire quun individu qui vit dans une famille conviviale ; conomique, un conducteur qui na pas dargent entretient mal son vhicule. 5- Lalatoire peut tre caractris ainsi : limprvu : tous les jours un conducteur est inconscient de la loi de lnergie et donc il roule vite, tous les matins il grille un stop parcequil estime quil ne sert rien (il ny a jamais personne ), un jour il est particulirement excit car il sest disput avant de partir, et ce jour l survient aprs le stop un cycliste. Il tente de freiner mais ses freins, non rviss depuis longtemps, rpondent mal et cest laccident. Le concours de circonstances : tous les jours un conducteur est inconscient de la loi de lnergie et donc il roule vite ; il est assez excit car depuis quelque temps il est en souci de tensions dans son quipe de travail ; il y a longtemps quil na pas fait rviser son vhicule et ses freins ne sont pas trs efficaces ; il respecte dhabitude la rglementation, mais ce jour l, il grille un feu rouge et cest la collision avec un vhicule engag normalement car il ne peut pas sarrter temps. Perturbation du contexte interne : les enfants se chamaillent larrire du vhicule et le conducteur se retourne pour les gronder...... Perturbation du contexte externe : elles sont nombreuses car ce contexte volue en permanence. Citons titre dexemple : une averse brutale, une nappe de brouillard, un animal sur la route, une voiture qui drape... Quelles applications peut-on faire de cette approche ? La premire est le constat quun vnement non souhait, dont laccident constitue un type, nest jamais d une seule cause. La seconde est de montrer quexpliquer laccident par une erreur humaine ne veut rien dire. Il y a toujours une erreur humaine quelque part puisque lhomme est prsent dans chaque groupe de dysfonctionnements. La troisime est quexpliquer laccident par la fatalit est pour le moins rducteur ( la limite cest privilgier lensemble 5 ) La quatrime permet de faire un test rapide. Dans un contexte donn si les individus sont ignorants ou inconscient des risques prsents, sils ne respectent pas les rgles ou si les rgles sont mal faites ou absentes, sil y a beaucoup de pannes ou de dysfonctionnements techniques des matriels, si le comportement des individus est aberrant (indiffrence, excitation, laxisme,... ), alors il est possible de dire que cela constitue une situation pr-accidentelle. Il y aura de fortes chances pour quun rien dclenche un ENS.

20

Il est aussi possible de se reprsenter lensemble des insuffisances, manques, erreurs, faiblesses, sources de 1 2 dysfonctionnements. Par opposition il est alors possible de faire apparatre les paramtres qui vont prsider la prvention des risques et quil sera ncessaire de prendre en 3 EVENEMENT NON SOUHAITE compte dans toute dmarche danalyse de risques. Enfin un premier schma des mthodes et outils danalyse de risques peut tre dress. Il montre que certaines techniques et outils sont rducteurs et ne 5 4 prennent en compte que certains paramtres. INSUFFISANCES , ERREURS ET DEFAUTS , SOURCES DE DYSFONCTIONNEMENTS Lanalyse de risques priori et lanalyse daccident posteriori se devront de prendre en compte lensemble des paramtres.
MANQUE DE CONNAISSANCE MANQUE DE UALIFICATION ERREUR OU DEFAUT DE CONCEPTION MAUVAISE OU MANQUE DE PREVISION MAUVAISE ORGANISATION STRESS ERREUR DE PERCEPTION ERREUR DE DECODAGE IMAGE MENTALE ERREUR DE REPRESENTATION MAUVAISE COMMUNICATION ENTRE INDIVIDUS MAUVAISE PRISE DE DECISION MAUVAIS SEQUENCEMENT D'ACTIONS
PARAMETRES DE FORMATION PARAMETRES DE QUALIFICATION PARAMETRES DE PRISE DE CONSCIENCE DES RISQUES PARAMETRES DE BONNE REDACTION DES REGLES PARAMETRES DE QUALITE ET D'ASSURANCE QUALITE PARAMETRES DE MAINTENANCE
CONNAISSANCE DES SOURCES DE DZNGER , DES RISQUES ET DE LEUR PREVENTION

REGLES INADAPTEES , ABSENTES OU NON APPLIQUEES MANQUE DE QUALITE ET DE CONTRLE QUALITE

CONNAISSANCE DES REGLEMENTS , DES REGLES DE L'ART, DE LA REDACTION DES PROCEDURES ET DES CONTROLES D'APPLICATION

2
2

DE RISQUES 0
AN AL YS E
ET RI IO PR

CONNAISSANCES TECHNIQUES

3
D'A CC IDE NT S

PARAMETRES ECONOMIQUES

4 PARAMETRES D'ORGANISATION
PARAMETRES D'ENVIRONNEMENT 5 PARAMETRES DE PERTURBATION DES CONTEXTES INYERNES ET EXTERNES PARAMETRES PROBABILISTES

PARAMETRES DE COMMUNICATION PARAMETRES DE CHARGE MENTALE PARAMETRES DE CHARGE PHYSIQUE PARAMETRES DE DECISION PARAMETRES DE COMPORTEMENT HUMAIN

ANALYSE DE FIABILITE HUMAINE

5
CONNAISSANCE DES APPROCHES PROBABILISTES

4
CONNAISSANCE DE L'HOMME ET DE SES ORGANISATIONS

LES PARAMETRES LIES AUX DYSFONCTIONNEMENTS ET A PRENDRE EN COMPTE DANS TOUTE ANALYSE DE RISQUES

LES CONNAISSANCES NECESSAIRES ET LES TECHNIQUES DE SECURITE POUR LA PREVENTION DES ENS

Les connaissances ncessaires lanalyse de risques apparaissent aussi sur le schma ci- dessus droite. Le schma ci-contre permet de synthtiser lapproche ci-dessus. Les diffrents dysfonctionnements ne sont en effet pas indpendants entre eux et lon peut reprsenter 2 lalatoire comme la probabilit de laccident, qui croit avec la croissance des interfrences entre dysfonctionnements et avec la croissance des perturbations du contexte interne et externe. Sont donnes titre indicatif quelques perturbations importantes des contextes.
TS EN EM GL S T RE NE AR SIG E L' N CO ES D GL ES RE UR ED TS OC EN M PR NE ES ON IR TI TA NC EN FO YS EM D GL RE

1
IN CO NS C

IG NO RA NC E

NC Ex de Pe : E dqualification due aux conditions conomiques

IE

DY SF ON CT DE IO C NN DE ON EM S NA EN RI IS SQ SA TS UE NC S E

Ex de Pi : Laxisme Ex de Pe : Trop de rglements

EN EM NN O TI ES U NC Q O NI SF CH DY TE

TS

Ex de Pe : 3 Complexification Gigantisme La probabilit de l'ENS croit avec

DY EVENEMENT NON SOUHAITE SF ON CT IO H NN UM PH EM AI YS NS EN IO TS LO PS G YC IQ H UE SO O LO S C IO G IQ LO UE G EC S IQ O UE N O S M IQ U ES

Ex de Pi : travail de nuit tensions

La croissance des interfrences entre lments en frquence et en intensit La croissance des perturbations du contexte

interne Pi externe Pe

2 2 Lanalyse de risques :

ANA LYS ED E PRO CED URE S

PARAMETRES DE CONCEPTION

ENS

E YS AL AN

ES ED YS ES AL NC AN LA S IL UE FA IQ DE CHN TE

21

LE PARADIGME DE L'ANALYSE DE RISQUES Si lon admet que les ENS ont la mme METHODE ET structure, on peut se poser la question des OUTILS diffrentes manires de sintresser eux. Il arbres PREVENTION logiques ANALYSE est tout dabord indispensable danalyser D'EVENEMENTS comment ces ENS sont survenus : ceci constitue lanalyse posteriori. Elle se fait EVENEMENT NON SOUHAITE ACCIDENT A PRIORI A POSTERIORI principalement laide dune mthode qui INCIDENT ANOMALIE met en uvre un arbre logique : larbre des faits. On construit la manire logique dont RETOUR D'EXPERIENCE senchanent tous les vnements (ou OUTILS dysfonctionnements ) qui conduisent lvnement final ou ENS. Si lon cherche faire une analyse priori (avant que lENS survienne ) on va construire priori lenchanement des vnements qui pourraient conduire un ENS identifi. Pour ce faire il va falloir trouver une dmarche qui facilitera ce travail difficile. Parmi les outils les plus couramment mis en uvre se trouve larbre de dfaillances, qui est aussi un arbre logique. Cette identification priori permettra de rechercher les moyens de toute nature, que nous appellerons des barrires de prvention, qui permettront dviter que les ENS surviennent. Le bouclage entre lanalyse priori et lanalyse posteriori constitue le retour dexprience. Il va permettre dinjecter la connaissance acquise par lanalyse dvnements dans la prvention. Les ENS auxquels on sintresse le plus sont : Les accidents : ENS involontaire portant atteinte des tres vivants ou des systmes matriels ou symboliques importants : Individus accidents Populations, cosystmes, systmes techniques ou symboliques importants catastrophes Les incidents : ENS involontaire nayant quun impact matriel ou ayant failli conduire un accident. Les anomalies : dysfonctionnements lmentaires, ENS prcurseurs des deux prcdents. La malveillance : acte volontaire pouvant porter atteinte une cible.
rseaux Arbres de dfaillances Arbres des faits

Il y a bien sr beaucoup plus dincidents que daccidents et beaucoup plus danomalies que dincidents. Ce constat permet, par lanalyse danomalies, de faire des traitements statistiques, avec des outils parfois trs labors (approches Bayesiennes par exemple ) 2 3 Les stratgies industrielles : Parmi les reprsentations du risque contribuant sa vision paradigmatique, celle consistant tablir une liaison linaire entre anomalies, incidents et accidents, est trs rpandue et se trouve la base de toutes les stratgies des grands groupes industriels en matire
LES STATEGIES D'ENTREPRISES

LE TRIANGLE DES ACCIDENTS

ENS MORTEL
La chasse aux anomalies

X ENS GRAVES OU IRREVERSIBLES Y INCIDENTS

x'

Y'

ANOMALIES Z'

Z ANOMALIES PRECEDENT Y INCIDENTS QUI PRECEDENT X ENS GRAVES QUI PRECEDENT 1 ENS MORTEL

LA SUPRESSION DE Z' ANOMALIES ENTRAINE LA SUPPRESSION DE Y' INCIDENTS QUI ENTRAINENT L'ELIMINATION DE X' ENS GRAVES ET LA SUPRESSION DE L'ENS MORTEL

22

de rduction des risques (avec DUPONT DE NEMOURS comme groupe pilote). Cette relation linaire na rien de rel mais elle est utilise comme impact psychologique fort. On la reprsente la plupart du temps sous la forme du triangle des accidents : pour un ENS entranant destruction dtres vivants, reprsent par le sommet du triangle, il y a eu auparavant x ENS entranant des effets irrversibles sur les tres vivants, reprsents par la surface du premier trapze, eux-mmes prcds dy incidents, reprsents par la surface du deuxime trapze, et eux-mmes prcds de z anomalies reprsentes par la surface du deuxime trapze. La stratgie est alors simple : pour liminer lENS sommet, il suffit dliminer x ENS irrversibles, donc y incidents et par consquent z anomalies. Ceci est appel la chasse aux anomalies. Pour la mettre en uvre il est ncessaire de former tous les acteurs lanalyse danomalies par larbre des faits ce qui est un investissement considrable. Mais ce travail se retrouve car il permet damliorer la qualit et la productivit tout en diminuant les risques. Il rejoint en cela une autre approche : lOMF, Optimisation de la Maintenance par la Fiabilit, qui consiste analyser priori la fiabilit des lments dune installation pour optimiser la maintenance prventive. Ceci aura aussi comme effet de diminuer les anomalies et par consquent daugmenter la scurit, la qualit et la productivit. 2 4 La sret de fonctionnement : (78) La sret de fonctionnement est aussi une vision paradigmatique du risque. Issue de la fiabilit, elle sapplique bien des objets techniques tels quune pompe, un avion sans son pilote, un TGV.... Dans un contexte complexe elle est rductrice et fragmentaire, comme toute dmarche humaine. Elle est en plein dveloppement dans lindustrie en association troite avec la qualit et avec sa promotion par lInstitut de Sret de Fonctionnement. Cependant si certains de ses lments sont normaliss (Disponibilit, Fiabilit, Maintenabilit), elle ne fait pas lobjet dune norme dans sa dfinition gnrale, tant au niveau europen quinternational, les diffrents pays ntant pas daccord sur cette dfinition. On peut la synthtiser de la manire suivante :

23

LA SURETE DEFINIE COMME SURETE DE FONCTIONNEMENT DUN OBJET TECHNIQUE

TECHNIQUE + ORGANISATION
CONTRAINTES REGLEMENTAIRES NORMES
APTITUDE A ASSURER UN SERVICE SPECIFIE PENDANT LE CYCLE DE VIE

FONCTIONNER

SANS ACCIDENTS

DISPONIBILITE
APTITUDE A ETRE EN ETAT DE MARCHE A UN INSTANT DONNE OU PENDANT UN INTERVALLE DE TEMPS DONNE

SECURITE
APTITUDE A NE PRESENTER AUCUN DANGER POUR LES QUATRE CIBLES

SURETE
APTITUDE A FONCTIONNER SANS PROVOQUER D ' ACCIDENT : AUX HOMMES A L'ENVIRONNEMENT AUX BIENS EN FONCTIONNEMENT NORMAL A L'ARRET EN SITUATION DEGRADEE (EN TOUTES PHASES)

FIABILITE
APTITUDE A NE PAS PRESENTER DE DEFAILLANCE PENDANT UNE DUREE DETERMINEE

MAINTENABILITE
APTITUDE A ETRE REMIS EN SERVICE DANS UN DELAI DONNE

SOUTIEN LOGISTIQUE INTEGRE

2 5 Une dfinition du risque : Il est maintenant possible de tenter de donner une premire dfinition du risque.

RISQUE

DANGER PROBABILITE GRAVITE ACCEPTABILITE

R associe D * P * G * A
DEFINI PAR UN ENSEMBLE DE PROCESSUS QUI DEROULENT L'ENCHAINEMENT DES EVENEMENTS CONDUISANT A UN EVENEMENT NON SOUHAITE AYANT UN IMPACT DESTRUCTEUR SUR UNE OU PLUSIEURS DE QUATRE CIBLES POSSIBLES : INDIVIDUS POPULATIONS ECOSYSTEMES SYSTEMES MATERIELS DEFINIE PAR LA PROBABILITE D'ENCHAINEMENT DES EVENEMENTS CONDUISANT A L'EVENEMENT NON SOUHAITE DEFINIE PAR L'EFFET DE L'ENS SUR LES CIBLES

DEFINIE PAR L'ACCEPTABILITE DE L'ENS PAR LES ACTEURS DONT LES CIBLES

LA DEFINITION DU RISQUE

La meilleure semble tre celle qui mane des compagnies dassurances. Le risque est dfini comme lassociation dun DANGER, de sa PROBABILITE, de sa GRAVITE et de son ACCEPTABILITE. Ces quatre lments ne sont pas de mme nature. Cest pour cela quil nest pas possible de mettre un signe = entre R 24

et les autres lments, dont les convolutions sont par ailleurs mal connues. Pour viter de dfinir le risque par rapport au danger et le danger par rapport au risque (le danger est une potentialit de risque ), il est ncessaire de donner une dfinition originale du danger. Nous dirons que le danger est dfini par un ensemble de processus (au sens systmique du mot processus, ce qui nous obligera dvelopper cette dfinition), qui droule lenchanement des vnements conduisant un EVENEMENT NON SOUHAITE pouvant avoir un impact en gnral destructeur sur une ou plusieurs des quatre cibles possibles : un ou des individus, une ou des populations, un ou des cosystmes, un ou des systmes matriels ou symboliques. La probabilit est dfinie par la probabilit denchanement des vnements conduisant lENS. La gravit est dfinie par leffet de lENS sur les cibles. Lacceptabilit est dfinie par lacceptabilit de lENS par les acteurs dont les cibles. Nous constatons ainsi que les dfinitions rvlent des niveaux diffrents. Il est possible de dfinir scientifiquement le danger, sa probabilit bien sr et sa gravit mais il nest pas possible de dfinir scientifiquement son acceptabilit car ce niveau, les subjectivits individuelles et collectives sont prpondrantes. Le risque est un construit individuel et social. Dautres dfinitions peuvent tre rapproche de cette dfinition du risque : Par exemple la dfinition de la VULNERABILITE : Cest la sensibilit dun ENJEU face un ALEA . Cest aussi un ALEA * capacit dun systme ragir ou lui rsister. Si lon crit

D*P*G*A
joue sur ala

enjeu

2 6 UNE DEFINITION DE LANALYSE DE RISQUES : en reprenant chacun des termes de la dfinition du risque propose ci-dessus, mme si elle est rductrice, on peut donner une premire dfinition de lanalyse de risques. 1 Traiter le Danger et pour cela identifier les processus de dangers cest dire lenchanement dvnements issus de systmes sources de dangers et pouvant conduire des ENS. Ce travail dvaluation peut se faire en mettant en uvre le modle MADS dfini ciaprs. 2 Reprsenter lenchanement des vnements conduisant lENS conduit des reprsentation du type arbres logiques ou rseaux. Ce travail met en uvre des outils du type Arbres de Dfaillances (ADD), Arbres dEvnements, Arbres Causes-Consquences, Rseaux de Ptri, Chanes de Markov, qui permettent aussi de calculer les probabilits de ces vnements dans certains cas. 25

3 Pour dterminer la Gravit des ENS on dtermine leur impact sur les cibles. Celui-ci peut tre immdiat mais aussi diffr traduisant des tats de la cible dans le temps. Certains de ces tats diffrs sont difficiles prvoir, do le principe de prcaution. Les outils dvaluation des impacts sont du type nergie/effet, dose/effet, concentration/effet...... 4 La dtermination de lacceptabilit se fait par ngociation de tous les acteurs concerns dont les cibles. Dans certains cas des limites peuvent tre imposes par une rglementation (cas du nuclaire) ou par une rgle spcifique (cas des installations classes). Les outils mis en uvre pour la ngociation sont des outils dont certains font appel des approches mathmatiques. Les grilles gravit X probabilit sont des outils simples et assez faciles mettre en uvre bien que faisant lobjet de rticences. Elles permettent de situer les scnarios daccidents et de les hirarchiser. On en trouvera un exemple ci-aprs.
G = GRAVITE OU EFFET SUR UNE CIBLE , PAR EXEMPLE UN OU PLUSIEURS OPERATEURS

GRILLE G X P NIVEAU

TRES IMPORTANT MORT D'HOMME IMPORTANT EFFETS IRREVERSIBLES ACCIDENT AVEC IPP PEU IMPORTANT EFFETS REVERSIBLES ACCIDENT AVEC AT SANS IPP MINEUR BLESSURES LEGERES ACCIDENT SANS AT

INACCEPTABLE

ACCEPTABLE
1
TRES IMPROBABLE IMPROBABLE PEUT-ETRE UNE FOIS PEU PROBABLE UNE FOIS PROBABLE PLUS D' UNE FOIS

RISQUE

0 FOIS

P = PROBABILITE DE L'EFFET

dansla dure devie de l'installation ou de l'exprience NUISANCE NUISANCE TRES EXCEPTIONNELLE TEMPORAIRE NUISANCE TEMPORAIRE NUISANCE PERMANENTE

<1

NIVEAU

La ngociation de ces grilles se fait deux niveaux : tout dabord ngocier comment lon gradue les axes et ensuite ngocier la position de la frontire entre lacceptable et linacceptable. 5 La neutralisation des risques se fait par la recherche de toutes les barrires de prvention et de protection quil est possible didentifier pour viter la production dvnements et leur enchanement.

Ces barrires sont de nature technique et opratoire. Il est ncessaire de les qualifier dans le temps pour sassurer de leur prennit. Une fois ces barrires tablies on peut vrifier si le risque est devenu acceptable en resituant les scnarios dans les

26

grilles G X P.

Dans toutes ces approches il faut cependant bien garder lesprit que le risque a une dimension spatiale et une dimension temporelle quil est trs difficile voire impossible de prendre en compte. Nous sommes par ailleurs toujours dans une situation de conflit ( tout est conflit nous disait dj HERACLITE). Conflit homme/nature, justice/profit, pauvret/richesse.... Le risque est par ailleurs le moteur de lvolution, ce qui pose lnorme problme de savoir sil faut lliminer ou non. La matrise du risque apparat donc au cur des processus de dcision comme participant aux choix et aux arbitrages dans la gestion de ces conflits par tout dcideur, pour minimiser les occurrences et les effets des dangers possibles. Si nous reprenons le modle dfini au paragraphe 4 1 pour modliser la structure des ENS, nous pouvons le centrer plus gnralement sur le risque.

CULTURE domaine de complexit)

NORME (consensus)

TECHNO - SCIENCE (compliqu. Domaine dterministe)

RISQUE

ALEA (domaine complexe . Le risque zro nexiste pas)

FONCTIONNEMENT HUMAIN (domaine complexe. Gnration dinconnu dans linnovation)

Nous voyons bien apparatre que le risque dans sa structure nous fait entrer de plein pied dans les domaines du complexe. Pour mieux le comprendre, pour rendre plus cohrentes les diffrentes visions que nous en avons et pour apprendre mieux le matriser nous avons besoin de pntrer dans cette complexit avec une vision plus clairante. La systmique, langage de modlisation du complexe va nous aider dans ce travail.

3 - INTRODUCTION A LA SYSTEMIQUE POUR UNE APPROCHE DE LA COMPLEXITE : (12-13-19) (pour une petite approche historique de la systmique, voir en annexe)
27

La systmique est la fois une dmarche de lesprit et un langage de modlisation du rel. Dit dune autre manire, la systmique a dvelopp une modlisation du rel que soutient une dmarche desprit. 3 - 1 - LA NOTION DE MODELE : Un modle est la manire dont on construit (on se reprsente) la ralit. Celle-ci est en effet construite dans nos ttes ce qui fait dire Paul Valry que les modles sont dans nos ttes et pas dans la ralit. Il y a donc une infinit de modles de la ralit. Pour tenter de cerner cette dernire, lhomme a construit des langages avec des modles cods qui permettent de les partager : modles scientifiques et langages scientifiques comme les mathmatiques, langues et langages de communication. Certains modles ne sont
UNE LIGNE
UNE LIGNE LINTERSECTION DE DEUX PLANS
Le point de vue du commun des mortels

LINTERSECTION DE DEUX PLANS

Le point de vue du gomtre

Le point de vue du mathmaticien

UNE GENERATRICE DUN CYLINDRE

La droite est le plus court chemin entre deux points

UNE PHRASE DANS UN LANGAGE

UNE GENERATRICE DUN CYLINDRE

La droite est le plus court chemin entre deux points

UNE PHRASE DANS UN LANGAGE

Y = aX + b
UNE EQUATION MATHEMATIQUE
Le point de vue du dessinateur

Y = aX + b
UNE EQUATION MATHEMATIQUE

DIFFERENTS MODELES DUNE DROITE

DIFFERENTS MODELES DUNE DROITE OU LA DROITE COMME DIFFERENTS POINTS DE VUE

pas cods comme dans les langages artistiques, une autre manire de cerner la ralit. Il y a donc une pluralit des modles concevables dun mme phnomne et une pluralit des mthodes de modlisation. A titre dexemple, limage mentale dont il a t question ci-avant est une modlisation, dans lesprit des oprateurs, du contexte dans lequel ils oprent. La systmique nous propose de construire la ralit partir de la notion de systme. Nous verrons donc cette ralit comme un ensemble de systmes embots.

28

DIFFERENTS MODELES DE LA PIECE DANS LAQUELLE NOUS SOMMES

ON PEUT LA DECRIRE. CHACUN LA DECRIRA DIFFEREMENT, DONC AUTANT DE MODELES DIFFERENTS DE LA PIECE QUIL Y A DE PERSONNES.

CHAQUE PERSONNE PRESENTE PEUT EN FAIRE UNE AQUARELLE. ENCORE AUTANT DE MODELES DIFFERENTS DE LA PIECE. CEST LA PERCEPTION ARTISTIQUE DE LA PIECE.

ON PEUT EN PRENDRE UNE PHOTO AVEC DES APPAREILS PHOTO DE MEME TYPE. IL Y AURA AUTANT DE PHOTOS DIFFERENTES QUIL Y A DE PERSONNES, DONC ENCORE AUTANT DE MODELES DIFFERENTS DE LA PIECE.

ON PEUT LA DECRIRE COMME FORMEE DATOMES, ASSEMBLES EN MOLECULES, ELLE-MEMES ASSEMBLEES EN MATERIAUX, FORMANT DES OBJETS ET DES ETRES VIVANTS. CEST LA PERCEPTION SCIENTIFIQUE DE LA PIECE, IDENTIQUE POUR TOUS CAR FONDEE SUR DES MODELES SCIENTIFIQUES AYANT LE MEME CODE. ON PEUT EN FAIRE UN DESSIN INDUSTRIEL. CHACUN FERA LE MEME DESSIN CAR IL Y A UN CODE DU DESSIN INDUSTRIEL PARTAGE PAR TOUS.

ON NE PEUT CERNER LA REALITE PIECE QUE PAR LENSEMBLE DE TOUS CES MODELES ET DE BIEN DAUTRES
LE REEL EST TOUJOURS INTERROGE A L'INTERIEUR D'UNE Le fait que la ralit ne puisse tre PROBLEMETIQUE . UN SYSTEME N'EST PAS RENCONTRE , IL cerne que par une pluralit de modles entrane que EST CONSTRUIT. chaque modle ne reprsente quune partie de la Systme ralit. Un systme de la ralit a des proprits Objectifs Sujet Moyens relles. Le modle qui en est fait a, lui, des proprits PROPRIETES formelles qui ne recouvrent quen partie le systme REELLES PROPRIETES rel. Il ne cerne en fait que les proprits compatibles COMPATIBLES Systme Modle du modle et du systme rel. PROPRIETES Naturel Physique FORMELLES Symbolique Les proprits formelles du modle sont Artificiel Modle inhrentes lui. Par exemple si nous prenons la vision artistique de la ralit, dans son histoire, les poques ralistes ont vu se dvelopper des modles qui recouvrent largement la ralit alors que les modles de lart moderne ne recouvrent que trs peu voire pas du tout cette ralit. Par contre ils ont des proprits propres qui en font toute la valeur (couleurs, formes, imagination...) Le sujet, par ailleurs, qui modlise cette ralit, a des objectifs et met en uvre des moyens (comme la reprsentation par les systmes ). Il modlisera donc les systmes naturels et artificiels (construits par lhomme) par des modles physiques et symboliques (des systmes physiques comme une machine et des systmes symboliques comme une organisation sociale par exemple ). La dmarche desprit systmique sous-tendue se traduit par le fait que la relation sujet - modle - systme rel est en fait indissociable chacun ragissant sur lautre et que lanalyse du rel est donc impossible et ne peut se faire quimparfaitement par la mise en uvre dartefacts dont la modlisation systmique est parmi les plus intressants.

29

- 3 - 2 LA NOTION DE SYSTEME : Systme : du grec EVOLUTION sustema : assemblage. Une des meilleures dfinitions que lon puisse trouver est sans doute celle de Saussure, lun des pres ENVIRONFINALITE STRUCTURE fondateurs de la linguistique : un NEMENT systme est une totalit organise, faite dlments solidaires ne pouvant tre dfinis que les uns par rapport aux autres en fonction de leur place ACTIVITE dans cette totalit. Malgr toutes les remarques prcdentes le LE SYSTEME CANONIQUE D'APRES J . L . LE MOIGNE systme sera dfini par cinq critres : Il a une structure : forme par lensemble des lments qui le constituent, avec leurs relations participant son organisation. Cest aussi lensemble des rgles dassemblage, de liaison, dinterdpendance, de transformation, cest donc linvariant informel dun systme (E. Morin ) ou sa partie stable. Les relations sont du type articulations, combinaisons, associations , interactions , interrelations , intertroactions , interractions . Il a un environnement : partir du moment ou lon a dfini sa frontire , ou enveloppe , ou contenant , tout ce qui est lextrieur de cette dernire constitue son environnement . On peut distinguer lenvironnement actif, partie de lenvironnement qui peut agir sur le systme et lenvironnement passif, partie de lenvironnement sur lequel le systme peut agir (un mme lment de lenvironnement peut tre tantt passif, tantt actif suivant le contexte, par exemple une rivire qui peut inonder ou tre pollue.) Il a une finalit cest dire quil produit quelque chose. Cette finalit est souvent la traduction des proprits mergentes dun systme. Ces dernires, nonces dj par Goethe (le tout est suprieur la somme des parties) signifient que le systme constitu fait apparatre des proprits nouvelles par rapport la somme de celles de ses constituants. Pour un systme artificiel, sa finalit peut tre dfinie aussi par ses objectifs. Il a une activit cest dire quil fonctionne dune certaine manire que lon peut en gnral dcrire. Cette activit se droule dans le temps travers des transformations appeles processus. Il volue dans le temps cest dire quil se transforme, vieillit. En systmique tout dcoupage tant artificiel, les critres ne sont pas indpendants entre eux. Par exemple lactivit intervient sur la structure et peut entraner un changement de finalit. Lenvironnement fait voluer la structure et peut jouer sur lactivit...... La notion de systme est donc une notion dynamique.

30

CHAQUE ELEMENT N EST PAS INDEPENDANT DES AUTRES ELEMENTS

. Illustrons les notions ci-dessus par un exemple. Est choisie une installation de dpotage de EVOLUTION propane dont le schma et 4 les descriptifs sont joints C 4 en annexe. Si nous ENTREPRISE 1 examinons le dpotage 3 proprement dit, nous STRUCTURE ENVIRONNEMENT FINALITE pouvons le modliser 2 comme un systme : 2 Structure : Une entreprise confronte un changement tous les lments qui le denvironnement C va devoir changer de composent, leur structure 1 et probablement dactivit 2 ainsi ACTIVITE organisation, leurs que de finalit 3 ce qui l amne voluer 4 relations, interactions. Ce nest donc pas seulement la partie matrielle . Frontire : les enveloppes des lments, le sol qui les supporte. Environnement : tout ce qui est autour de la frontire. On peut distinguer un environnement spcifique constitu par lenvironnement actif : les ateliers, le parking, la rivire (elle peut inonder le systme ), la route, la voie de chemin de fer, les autres wagons que celui en cours de dpotage, et par lenvironnement passif : le btiment administratif, la rivire, le parking, les ateliers, les autres wagons, la voie de chemin de fer, la route, les lotissements ; et des environnements plus ou moins lointains ou environnements embots : la ville, la zone industrielle... Finalit : alimenter la sphre de stockage de propane Fonctionnement : on peut dcrire comment linstallation fonctionne au moment du remplissage et de lalimentation de latelier. Evolution : le systme nest pas toujours dans la mme configuration. Il a des phases de fonctionnement et de vie. Il peut subir des transformations, il se corrode. Mais il est possible de dcouper le systme en sous-systmes, chacun de ceux-ci rpondant aux critres du systme canonique. Il y a bien entendu plusieurs dcoupages possibles. Exemple : Sous-systme 1 : la sphre avec son instrumentation Sous- systme 2 : les canalisations de remplissage et leurs appareillages Sous-systme 3 : la pompe et son instrumentation Sous-systme 4 : le bras mobile de liaison Sous-systme 5 : le wagon en cours de dpotage Sous-systme 6 : loprateur Vrifions que chaque sous-systme rpond aux critres dun systme sur deux exemples. La sphre : structure : les lments qui la constituent et leurs relations finalit : assurer le stockage de propane et alimenter les ateliers frontire ou contenant: son enveloppe (elle a aussi un contenu, comme tout systme : le propane )

31

environnement : ce qui entoure son enveloppe. Dans le systme de dpotage, les autres sous-systmes constituent son environnement. fonctionnement : il est possible dcrire volution : elle vieillit et se corrode, passe par diffrentes phases et peut subir des transformations Loprateur : structure : les milliards de cellules qui le composent et forment des organes (sous-systmes ), des ensembles dorganes (autres sous-systmes un niveau diffrent ) et leurs relations. Lesprit fait aussi partie de la structure bien quimmatriel. En tant que sous-systme, il a lui-mme sa structure... frontire : la peau environnement : tout ce qui est en dehors de sa peau finalit : vivre et produire des objets et des ides, paradoxalement programm pour mourir fonctionnement : non compltement connu volution : vieillit et se transforme dans son corps et son esprit. On voit donc bien cette modlisation du rel par embotement de systmes, dont il a t question ci-dessus

ATOMES

ATOMES

VEHICULE AUTOMOBILE EMBOITEMENT DE SYSTEMES changeant Matire, Energie, Information

MOLECULES

ETRE HUMAIN MOLECULES

CELLULES

MATERIAUX

ORGANES

ORGANES

VEHICULE

LETRE HUMAIN EMBOITEMENT DE SYSTEMES changeant Matire, Energie, Information

STRUCTURE DUN SYSTEME

ensemble des rgles dassemblage, de liaison, dinteraction, dinterdpendance, de transformation, dorganisation, des lments dun systme. Invariant informel dun systme

32

Ces relations, en gnral, ne sont pas linaires

INTERACTIONS

INTEREACTIONS

INTERRELATIONS

INTERRETROACTION

RETROACTION

ARTICULATIONS - COMBINAISONS - ASSOCIATIONS DES ELEMENTS DUN SYSTEME apparaissent dans diffrentes chelles de temps diffrentes chelles : entre les lments dun systme entre sous - systmes entre systmes

3-3 LA NOTION DE PROCESSUS : Un processus est toute transformation dans le temps, lespace, la forme (ou nature ) de matire, nergie, information. Un processus ENVIRONNEM ENT stablit entre un objet processeur, ou systme processeur, SPECIFIQUE ou source, ou systme source et un objet process, ou systme process, ou puits, ou systme cible, par change SYSTEME SYSTEME FLUX dun flux de matire, nergie, information. SOURCE CIBLE M ATIERE Il est donc possible de modliser le rel par ENERGIE INFORM ATION des systmes embots dont lactivit et les relations sont gres par des processus.
OBJET PROCESSEUR OBJET PROCESS2

Remarque : il nest pas ncessaire de connatre LE PROCESSUS le fonctionnement dun systme pour modliser son activit. Il suffit de le mettre sous forme de Boite Noire sans chercher savoir ce qui se passe dans le systme mais en identifiant ce qui entre dans le systme (ses inputs ) et ce qui en sort (son output ) et qui, dans les deux cas ne peut tre que de la matire, de lnergie, de linformation

33

Tout systme tant un transformateur dans le temps, lespace, la forme, de matire, nergie, information et un vhicule automobile pouvant tre modlis comme un systme, on peut aussi le reprsenter sous forme dune bote noire. On ne cherche plus savoir ce qui se passe lintrieur (cest dire que lon peut saffranchir de son fonctionnement), mais on peut identifier quest-ce qui entre dans le systme et quest-ce qui en sort: de la matire, de lnergie et de linformation. Ce qui entre dans le systme (input) COMBUSTIBLE ET COMBURANT (matire + nergie) BOITE NOIRE INFORMATION (pilotage) VEHICULE AUTOMOBILE INFORMATION (directivit) Ce qui sort du systme (output) DECHETS (matire)

On peut aussi modliser un Etre Humain sous forme de BOITE NOIRE ce qui est intressant car on ne sait pas compltement comment il fonctionne

ALIMENTS (matire + nergie)

BOITE NOIRE

DECHETS (matire)

ENERGIE CINETIQUE ENERGIE THERMIQUE

ENERGIE THERMIQUE (soleil) ETRE INFORMATION (par les sens)

ENERGIE CINETIQUE (gestes, marche.....) ENERGIE THERMIQUE (corps maintenu 37C) INFORMATION (gestes et langage)

HUMAIN

La technique des botes noires est mise en uvre dans la mthode MOSAR pour dterminer les scnarios daccidents possibles

MECONNAISSANCE DES RISQUES SEQUENCES DACTION TROP RAPPROCHEES

ENERGIE ELECTRIQUE ENERGIE CINETIQUE E1 LIQUIDE +GAZ MATIERE : GAZ + LIQUIDE SIGNAUX DE COMMANDE : INFORMATION

BOITE NOIRE POMPE

MANQUE DE QUALIFICATION

ENERGIE CINETIQUE E2 LIQUIDE + GAZ MATIERE : LIQUIDE + GAZ SIGNAUX DES CAPTEURS : INFORMATION

MAUVAISE DECISION MAUVAISE COMMUNICATION CONTRAINTES ECONOMIQUES ACTION NON CONFORME MAUVAISE ORGANISATION ACTION DEVIEE MAUVAISE IMAGE MENTALE DU CONTEXTE ERREUR SURCHARGE MENTALE SURCHARGE PHYSIQUE INTOXICATION INCONSCIENCE MANQUE DE FORMATION STRESS AGRESSION PHYSIQUE AGRESSION CHIMIQUE AGRESSION MENTALE ABSCENCE DE CONSIGNES CONTEXTE DANGEREUX

OPERATEUR
BLESSURE

La pompe est un transformateur d'nergie lectrique en nergie cintique E2-E1 et d'information

34

3 4 - PROPRIETES DES SYSTEMES:

UN SYSTEME TECHNIQUE EST PILOTE PAR SA FINALITE: il est dtermin on peut valuer ou quantifier les risques quil peut gnrer la sret de fonctionnement Cest un systme compliqu.

UN SYSTEME NATUREL REPOUSSE SA FINALITE (mort) EN SADAPTANT A SON ENVIRONNEMENT CONTINUELLEMENT CHANGEANT: il est non dtermin, il innove et gnre de linconnu, il sauto-organise. Cest un systme complexe.

3 4 1 - PROPRIETES DEMERGENCE :

ATOMES

VEHICULE AUTOMOBILE EMBOITEMENT DE SYSTEMES changeant Matire, Energie, Information SYSTEME COMPLIQUE
MOLECULES

POUR UN SYSTEME ARTIFICIEL TEL QUUN VEHICULE AUTOMOBILE CHAQUE NIVEAU DORGANISATION FAIT APPARATRE DES PROPRIETES NOUVELLES QUI SONT LA SOMME DES PROPRIETES DE S NIVEAUX PRECEDENTS. ON PARLE DE PROPRIETES RESULTANTES

MATERIAUX

ORGANES

VEHICULE

UNE PROPRIETE RESULTANTE DUN VEHICULE AUTOMOBILE EST DE SE DEPLACER DE MANIERE DIRECTIONNELLE, proprit que ne possde aucun des lments qui le constitue

35

ATOMES

LETRE HUMAIN EMBOITEMENT DE SYSTEMES changeant Matire, Energie, Information SYSTEME COMPLEXE
ETRE HUMAIN MOLECULES

POUR UN ETRE VIVANT, CHAQUE NIVEAU DORGANISATION POSS7DE DES PROPRIETES NOUVELLES QUI NE SONT PAS LA SOMME DES PROPRIETES DES NIVEAUX PRECEDENTS. ON PARLE DE PROPRIETES DEMERGENCE.

CELLULES

ORGANES

UN EXEMPLE DE PROPRIETE EMERGENTE DUN ETRE HUMAIN EST LA PENSEE REFLEXIVE

3 4 2 - NOTION DAUTO-ORGANISATION ET DORGANISATION : La varit dun systme est donne par le nombre dtats quil peut prendre. N ! = nombre maxi darrangements de ses lments. Plus celui-ci est grand, plus le systme est riche de possibilits de transformations et donc dvolutions et dadaptation son environnement, plus il est complexe. Cette complexit se mesure notamment dans la thorie mathmatique de linformation de Shannon par la quantit dinformations H quil contient. Le contrle dun systme de varit v ne peut tre fait que par un systme de varit v > v. Traduit dans notre problmatique ceci signifie que lon ne pourra faire lanalyse de risques dun systme donn que par une mthode plus complexe que le systme

REDONDANCE AU SEIN DUN SYSTEME

Les configurations dun systme crent des rgularits avec interdiction de certaines configurations ceci permet de reconnatre des formes ce sont des redondances redondance R = 1 - H / Hmax quantit dinformation en absence de redondance perturbations Lauto-organisation dun systme ncessite un minimum de redondance au dpart Var , H
Fluctuations thermodynamiques

Sources de nouveaut

Hirarchisation leffet dsorganisateur du bruit un niveau dorganisation devient organisateur pour un autre niveau

36

AUTO-ORGANISATION
Redondance (rgularits structurantes) Rduction de la varit (configurations) Antinomie apparente rgule Mais augmentation des relations Donc nouvelles configurations Donc varit augmente complexification Emergence de proprits nouvelles Lvolution dun systme par adaptation son environnement (auto-organisation)

Un systme peut tre ouvert ou ferm sur son environnement, ce qui ne lempche pas dtre ouvert ou ferm sur les autres systmes. Ouvert, cela veut dire quil change matire, nergie, information. Un systme qui nchange plus rien est condamn mort. Sil change, il gnre obligatoirement des dysfonctionnements, autre manire de dire que le risque zro nexiste pas. Allons plus loin : pour vivre, un systme doit obligatoirement changer donc gnrer des dysfonctionnements. Cest, dit dune autre manire, son degr de libert, son degr dinnovation, lui permettant justement de matriser ces dysfonctionnements souvent alatoires. Donc non seulement le risque zro nexiste pas, mais il ne faut pas quil existe sinon le systme est condamn mort. Prenons le cas dune installation industrielle. Deux faons de la tuer. Premirement, trop rglementer. On a des chances davoir un systme qui ne dysfonctionnera pratiquement plus mais qui sera incapable dassurer sa finalit et donc de fonctionner. Cela se traduit par exemple par une dresponsabilisation des acteurs et donc leur dcrochement du systme. Deuximement, trop informatiser. On gre bien la routine, mais en cas de drive rien ne peut plus innover pour rcuprer les situations dgrades. Pas linformatique puisquelle ne gre que ce que lon y a introduit et lon ne connat que peu de situations de drive. Pas les oprateurs puisquils ont t dmotivs car remplacs et ont perdu la connaissance de linstallation (dpossds de celle-ci ). Do limportance de les maintenir actifs et en alerte avec notamment maintenant les entranements par simulation. Car ltre humain reste encore pour longtemps le systme le plus complexe connu et donc capable de dysfonctionnements mais aussi capable de les matriser car innovant et anticipant les situations.

37

NON SEULEMENT LE RISQUE ZERO NEXISTE PAS MAIS IL NE DOIT PAS EXISTER

PERTURBATION Perturbation (dsordre) (dsordre)

AUTO-ORGANISATION
Dysfonctionnements ncessaires destructurants RISQUE destructeurs

VARIETE

REDONDANCE (ordre)

ENVIRONNEMENT

SYSTEME MAITRISE DES RISQUES : - viter quun dysfonctionnement destructurant deviennent destructeur (mais quau contraire il soit restructurant) - liminer les dysfonctionnements destructeurs

Lorganisation est souvent confondue avec lorganigramme, qui est en fait lorganisation statique. La systmique parle dorganisa(c)tion pour bien marquer quelle sintresse la dynamique des organisations ou organisation active. Lorganisation peut tre dfinie comme larrangement de relations entre composants dun systme. ( E. MORIN, idem pour la suite ) Il y a mergence de proprits nouvelles. Par exemple cest leffet de synergie du travail de groupe, mis profit dans le brain storming . La solidit et la solidarit des relations entre les lments permettent au systme dassurer sa dure face aux perturbations alatoires internes et externes. Autrement dit, plus un systme a une structure solide et des lments solidaires plus il pourra rsister aux alas. Cela va dun Etat, solide et solidaire qui rsistera aux perturbations internes et celles du contexte international, une organisation de travail et sa rsistance aux situations accidentelles. Lorganisation active est un entrelacs dvnements dsorganisateurs et organisateurs. Une bonne organisation a des degrs de libert, dinitiative, qui vont justement lui permettre de sadapter aux alas, donc de la dsorganisation ncessaire. Mais elle a aussi, bien entendu de lorganisation qui va lui permettre de faire face tous les vnements quelle peut grer. Cest aussi un complexe de varit et dordre rptitif pour les mmes raisons que ci-dessus. Cest donc un compromis, une conjugaison entre un maximum de varit et un maximum de redondance.

38

DE STRUCTURE UN ETAT

ARRANGEMENT DE RELATIONS ENTRE COMPOSANTS

ORGANISATION

A LA FOIS

DE FONCTION
Emergence de proprits nouvelles

ET UN PROCESSUS

DIFFERENT DUN AGREGAT

ORGANISA(C)TION OU ORGANISATION ACTIVE

Solidit de la structure et solidarit des composants assurent la dure face aux perturbations alatoires

SYNCHRONIE DIACHRONIE

Vision dun systme un instant t Vision dun systme dans son volution

ENTRELAC DEVENEMENTS ORGANISATEURS ET DESORGANISATEURS COMPLEXE DE VARIETE ET DORDRE REPETITIF COMPROMIS CONJUGAISON ENTRE UN MAXIMUM DE VARIETE ET UN MAXIMUM DE REDONDANCE

3 4 3 - NOTION DE COMPLEXITE : Le compliqu est lenchevtrement extrme entre des relations. Cest un constituant de la complexit. Cest une rduction de cette dernire. On peut dire que les systmes techniques sont des systmes simplement compliqus. Un systme compliqu ne devrait pas gnrer dinconnu car il est entirement dtermin. Ceci signifie quil est thoriquement possible de dterminer tous les dysfonctionnements techniques dun systme compliqu du type technique ou artificiel (construits par des tres humains ) si on y passe suffisamment de temps et dans la limite des connaissances scientifiques et techniques. Le complexe caractrise un systme richement organis, gnrateur dinconnu car capable dinnover pour sadapter ses propres volutions et celles de son environnement. Sa complexit va lui permettre de sadapter au dsordre et mme de crer de lordre partir de celui-l. Il est capable dautonomie quil construit en permanence. Les systmes vivants sont des systmes complexes et notamment les tres humains. Les systmes industriels sont donc des interfrences relationnelles entre : -des systmes compliqus : les systmes techniques - des systmes complexes : les oprateurs qui ont besoin dun certain degr de libert pour sorganiser. Linterface systme oprateur -systme matriel accrot le niveau de complexit.

39

COMPLIQUE
ENCHEVETREMENT EXTREME ENTRE DES RELATIONS UN CONSTITUANT DE LA COMPLEXITE, mais simplifier le complexe en compliqu est une mutilation du complexe

COMPLEXITE DESORDRE ADAPTATION en sauto-organisant

INCOMPLETUDE lie l auto-organisation du systme INCERTITUDE AU SEIN DES SYSTEMES RICHEMENT ORGANISES ANTAGONISME (irruption au cours de phnomnes sorganisant) PARADOXES

3 4 4 - NOTION DE HAZARD :

HAZARD

IMPUISSANCE A FAIRE DES PREDICTIONS DEVANT LES PHENOMENES DESORDONNES

EVENEMENT

NON REGULIER NON REPETITIF SINGULIER INATTENDU

ACCIDENT

PERTURBATION ENTRE UN OU PLUSIEURS PHENOMENES ORGANISES ET UN OU PLUSIEURS EVENEMENTS RENCONTRE EVENEMENTIELLE ENTRE DEUX OU PLUSIEURS PHENOMENES ORGANISES

3 4 5 - PROPRIETES STRUCTURELLES : Tout systme peut aussi tre modlis comme fait de trois grands sous systmes en relation entre eux et avec lenvironnement du systme : un sous- systme oprant qui produit, un sous- systme de pilotage qui dirige, oriente, les deux autres sous-systmes, un systme dinformation qui informe les deux autres. On peut identifier des risques spcifiques chacun deux : les risques lis la production pour le premier (mtier spcifique correspondant : ingnieur de scurit ), les risques lis linformation pour le deuxime (mtier spcifique : ingnieur scurit des systmes dinformation ), les risques lis au management pour le troisime (mtier spcifique: risk manager ). Dans notre installation de dpotage de propane, le s/systme oprant, cest la ligne wagon - canalisations - pompe sphre, le s/systme de pilotage, cest le contrle- commande de la ligne prcdente, le s/systme dinformation, cest linformatique de gestion du contrle - commande. Si lon se

40

place au niveau de lensemble de lusine (systme dont lunit de dpotage propane devient un s/systme ), le s/systme oprant, cest la fabrication ; le s/systme de pilotage, cest la direction de lusine ; le s/systme dinformation, cest la structure informative de lusine (informatique, notes... )

SYSTEME
CENTRE DECISIONNEL

SYSTEME

Relation mcanique ou informative

S/ SYSTEME D'INFORMATION

ENTREE

SYSTEME OPERANT

SORTIE

ENTREE

S/SYSTEME OPERANT

SORTIE

SYSTEME COMPLIQUE : AUTOMATISMES , ROBOTIQUE ,INFORMATIQUE

SYSTEME SIMPLE : MACHINE CLASSIQUE

Centre d'imagination
mmoire

S/SYSTEME DE PILOTAGE mmoire

SYSTEME

Centre de finalisation (survie, mort)

SYSTEME

Centre de finalisation

S/SYSTEME D'INFORMATION

S/SYSTEME S/SYSTEME DE PILOTAGE Centre dcisionnel D'INFORMATION

Centre dcisionnel Conscience de soi

S/SYSTEME OPERANT
ENTREE SORTIE

S/SYSTEME OPERANT
ENTREE SORTIE

SYSTEME COMPLEXE ( ETRE VIVANT AUTRE QUE LHOMME)

SYSTEME TRES COMPLEXE ( OPERATEUR , ORGANISATION , ENTREPRISE )

3 4 6 - CATEGORISATION DES SYSTEMES : Enfin, on peut dfinir une catgorisation des systmes (E. MORIN ) : Systme : manifeste autonomie et mergence par rapport son environnement. Cest le cas du systme de dpotage. S/Systme : tout systme subordonn un systme dont il fait partie. Cest le cas de la pompe s/systme du systme de dpotage. Suprasystme : tout systme contrlant dautres systmes sans les intgrer en lui. Cest de cas de la DRIRE qui contrle le systme de dpotage en tant quInstallation Classe.

41

Mtasystme : systme rsultant des interrelations mutuellement transformatrices et englobantes de deux systmes antrieurement indpendants. Ce serait le cas de lusine si elle intgrait un jour une de ses entreprises soustraitantes. Ecosystme : ensemble systmique des interrelations et interactions constituant lenvironnement du systme qui sy trouve englob. Cest le cas de lenvironnement de lusine.

SYSTEME

Manifeste autonomie et mergence Sous-systmes (subordonns au systme)

TYPOLOGIE DES SYSTEMES

s1 c S1 S2 c s2 S3

s3 s4

Suprasystme

C= contrle

s1 S s2 s3 i S1 i S2

Ecosystme

Mtasystme S1 S2

i=interrelations transformatrices et englobantes

3 5 EN RESUME :

SYSTEME EN INTERACTION AVEC SON ENVIRONNEMENT

COMMENT RECONNAITRE UN SYSTEME?

- Besoin dalas parmi ceux-ci, alas destructurants . Ils obligent le systme se restructurer. Bien conduite, cette restructuration est positive pour le systme car elle est gnratrice de nouveaut. alas destructeurs (ceux quil faut viter) - Cascades dvnements quilibre mtastable

- Emergence dune organisation et de proprits nouvelles. - Association forte entre structure et activit. - Dfinition dun environnement. - Finalit vers un objectif.

danger

Pour un systme complexe, aboutissement dune volution cratrice dauto-organisation

- Vision fractale mme structure pour anomalie, incident, accident, catastrophe

- Autonomie / environnement. - Stabilit dynamique.

volution de la structuremmoire

Thorie mathmatique des catastrophes (THOM). Chaos dterministe. Sensibilit aux conditions initiales. Attracteurs tranges. Thorie des avalanches (loi en 1/f).

dynamique non linaire

3 6 - CONSTAT : Les systmes industriels avec leurs oprateurs (tous les acteurs qui les grent et les exploitent ) sont des systmes complexes. Matriser leurs risques nous amne pntrer dans le domaine de la complexit. La systmique nous propose une double dmarche : premirement, sa modlisation par les systmes nous permet de simplifier, sans tre rducteur, le complexe pour tenter de le comprendre et de le matriser tout en tant conscient que le simple est un moment arbitraire arrach aux complexits (E. MORIN 19 ). Ceci nous conduira notamment dcouper le rel, car nous ne savons pas faire autrement pour analyser, mais ceci nous conduira aussi remettre en relation ce que nous 42

aurons dcoup. Le systmatique est inclus dans le systmique. Deuximement, le principe de complexit sarticule travers deux caractristiques : La globalit qui nous fait considrer lobjet connatre comme une partie immerge et active dans son environnement. La pertinence qui nous fait considrer quun objet se dfinit par rapport aux intentions (implicites ou explicites ) du modlisateur . La systmique nous aide regarder la complexit pour pouvoir sorienter . Elle est une ducation du regard et une hygine de lintelligence.

43

4 - DE LA SYSTEMIQUE A LA SCIENCE DU DANGER : (33)

Quest-ce quune science ?

Cest un ensemble cohrent de connaissances relatives certaines catgories de faits, dobjets (physiques et symboliques) ou de phnomnes, obissant des lois et vrifis par les mthodes exprimentales. Une science :
- sintresse un objet. La physique sintresse la nature, la chimie aux matriaux, la biologie aux tres vivants...... - dveloppe des modles de ces objets (modles de latome) - organise la connaissance autour de ces modles. - vrifie que ces modles sont reproductibles par lexprience et oprationnels, cest dire quils permettent de prvoir certains des phnomnes. Si lon veut pouvoir parler de science du danger, il faut donc : - dfinir son objet - dvelopper des modles du danger - montrer que la connaissance sorganise autour de ces modles - montrer que ces modles permettent de prvoir des ENS La finalit de cette science est triple : - Culturelle : accrotre le niveau de connaissance des risques en les modlisant - Pdagogique : pouvoir faire lobjet denseignements structurs autour des modles et de lorganisation des connaissances quils permettent - Oprationnelle : pouvoir mettre en uvre les modles dans une mthodologie et des mthodes et outils pour prvoir et prvenir les ENS. 4 - 1 -OBJET DE LA SCIENCE DU DANGER :

Nous appelons Science du Danger le corps de connaissances transversales qui a pour objet dapprhender des Evnements Non Souhaits
. Nous appelons Evnements Non Souhaits les dysfonctionnements susceptibles de provoquer des effets non souhaits sur un ou des INDIVIDUS, une ou des POPULATIONS, un ou des ECOSYSTEMES, un ou des SYSTEMES MATERIELS OU SYMBOLIQUES. Ils sont issus de et sappliquent la structure, lactivit, lvolution des systmes naturels et artificiels. Nous appelons installation tout tablissement humain fixe ou mobile :

44

- tablissement industriel -tablissement urbain - tablissement agricole - tablissement collectif - moyen de transport.......... Le terme apprhender recouvre les oprations suivantes : - reprsenter donc modliser - Identifier, valuer, matriser les risques - les grer et les manager (avoir des stratgies ) 4 - 2 - LE MODELE MADS ( Mthodologie dAnalyse de Dysfonctionnement des Systmes) : (33)
ENVIRONNEMENT SPECIFIQUE

Champs de dangers

Processus initiateur interne au systme source externe ( environnement )

Effets des champs de dangers

Processus renforateur interne au systme cible externe ( environnement

Systme Source
SOURCE DE FLUX DE DANGER

Systme Cible
EFFET DU FLUX DE DANGER

Flux de danger

Un modle a t dvelopp par le groupe de rflexion MADS. Il modlise le danger et donc le risque comme un ensemble de processus au sens systmique du terme. Le danger est lensemble des processus qui conduisent un processus principal pouvant tre gnr par un systme source de danger. Le flux de danger est gnr par une source de flux de danger partir du systme source de danger et il est constitu de matire, nergie, information. Si ce flux peut atteindre un systme cible et avoir des effets sur ce dernier on parle alors de risque. Lensemble des processus est situ dans un environnement spcifique (partie de lenvironnement qui le concerne) gnrateur de champs processant des effets sur ces processus. La source de flux de danger est gnre par un processus initiateur dorigine interne ou externe (et donc provenant de lenvironnement spcifique ). Symtriquement, il peut y avoir un processus renforateur du flux sur la cible, dorigine interne ou externe (et donc provenant de lenvironnement spcifique). Certains champs sont plus spcifiquement des champs de danger dans la mesure o ils gnrent des processus origines ou renforateurs des autres processus de danger. 45

LE DANGER EST UN ETAT D EQUILIBRE METASTABLE

LENS est la rencontre du processus principal avec un systme cible. Ce modle de processus de danger et de risque est un modle gnral qui permet : dorganiser la connaissance de donner une cohrence aux enseignements de cindynique de modliser la mthodologie gnrale danalyse de risques.

CARACTERISE PAR UN ENSEMBLE DE PROCESSUS POTENTIELS POUVANT SE DEROULER AVEC UNE CERTAINE PROBABILITE. Son facteur de dclenchement est un vnement initiateur. Le risque napparat que sil y a entre dune cible dans le champ, avec les effets des processus sur cette cible.

En effet, si lon dfinit les processus comme des vnements, le modle peut se reprsenter comme suit : si lon appelle : Evnement Initial, la Source de Flux de Danger Evnement Principal, le Flux Evnement Final, limpact du flux sur la cible Etats de la cible, les tats quelle va prendre dans le temps Evnements induits ou Effets induits, les Effets de Champs avec notamment lvnement initiateur issu du processus initiateur et vnement renforateur lvnement issu du processus renforateur, Le modle montre lenchanement des vnements qui, partant de lvnement

CHAMPS
Effets de champs ( Evnements induits ) Evnement initiateur interne ou externe Evnement renforateur interne ou externe

SYSTEME SOURCE FLUX

SYSTEME CIBLE

Etats de la cible dans le temps Evnement initial Evnement principal Impact du flux sur la cible ou vnement final

EVENEMENT NON SOUHAITE = ENCHAINEMENT D'EVENEMENTS

initiateur, conduit aux diffrents tats de la cible. :

46

Si lon se rfre au schma prcdent que faudra-t-il faire pour analyser priori les risques ? Il faudra : 1 - Identifier les processus de dangers cest dire lenchanement dvnements issus de systmes sources de danger et pouvant conduire des ENS. Pour ce faire, nous mettrons en uvre le modle MADS (mthodologie dAnalyse de Dysfonctionnement des Systmes ) qui constitue une forme de thorisation de lAMDE. 2 - Construire et reprsenter lenchanement des vnements conduisant lENS. Ceci ncessite llaboration de scnarios pour laquelle nous utiliserons aussi la dmarche systmique. La probabilit denchanement des vnements est une probabilit compose comme le montre le schma ci-dessous.
PROBABILITE DE L'EVENEMENT INITIATEUR PROBABILITE DE L'EVENEMENT RENFORATEUR

P1
Champs de danger Systme source
PROBABILITE DES EFFETS INDUITS

P5

P4

Systme cible
PROBABILITE D'ETATS DE LA CIBLE DANS LE TEMPS

P7

PROBABILITE DE L'EVENEMENT INITIAL

PROBABILITE DE L'EVENEMENT PRINCIPAL

PROBABILITE D'IMPACT SUR LA CIBLE

P2

P3

P6

P vnement non souhait = P1 x P2 x P3 x P4 x P5 x P6 x P7

APPROCHE PROBABILISTE Ce modle montre bien la difficult de lvaluation probabiliste de lENS qui ncessite la connaissance de la probabilit de chaque vnement. Les outils de reprsentation et dvaluation probabiliste sont du type arbres logiques comme les arbres de dfaillances qui font appel lalgbre de BOOL, ou de type rseaux comme les rseaux de Ptri ou les chanes de Markov qui font appel au calcul matriciel. 3 - Evaluer leffet des ENS sur les cibles, qui se traduira par un impact immdiat et parfois par un impact diffr. Ces impacts induisent des tats de la cible dont certains seront donc diffrs et difficiles prvoir. 4 - La dtermination de lacceptabilit se fait par ngociation de tous les acteurs comme nous lavons vu ci avant.

5 La recherche des moyens de neutraliser les vnements conduisant lENS constitue la prvention des risques et consiste identifier les barrires de prvention au niveau

47

du systme source, de lvnement principal et des effets induits, et les barrires de protection au niveau des systmes cibles.

BARRIERES DE NEUTRALISATION DES EVENEMENTS INITIATEURS

Champs de danger

BARRIERES DE NEUTRALISATION DES EVENEMENTS RENFORATEURS

Systme source

BARRIERES DE NEUTRALISATION DES EVENEMENTS INDUITS

Systme cible

BARRIERES DE NEUTRALISATION DE L'EVENEMENT INITIAL

BARRIERES DE NEUTRALISATION DE L'EVENEMENT PRINCIPAL

BARRIERES DE PROTECTION DE LA CIBLE

APPROCHE DETERMINISTE OU DE DIMENSIONNEMENT

Le modle est directement oprationnel, savoir quil permet didentifier lenchanement des vnements conduisant un ENS. Il est alors possible dillustrer cette proprit sur un exemple concret. Prenons le cas dune sphre de stockage de propane liqufi (celle de linstallation de dpotage dcrite en annexe ). Cette sphre est gnratrice de dangers lis au fait quelle est sous pression. Il peut apparatre notamment une fissure sur son enveloppe (le contenant ) due un vnement initiateur interne (une corrosion par exemple ) ou externe (un choc d un coup de foudre initi par un orage qui est un processus de lenvironnement ). Lvnement principal est une mission de matire, nergie, information. Pour dterminer quelles cibles seront atteintes, il sera ncessaire dvaluer les caractristiques de lvnement principal et de connatre la distance entre source et cible. Cet exemple montre quil est possible de mettre en uvre le modle Mads pour identifier priori les dangers dun lment dinstallation et par consquent les risques si lon connat les cibles dans un contexte donn. En construisant des typologies des diffrents lments du modle dans le contexte (typologie des systmes sources, typologie des systmes cibles, typologie des champs, typologie des flux de danger) on peut sy rfrer pour identifier de manire systmatique les dangers et les risques. Cest cette construction qui est mise en uvre dans la mthode MOSAR.

48

EXEMPLE : La sphre de propane en tant que systme source de danger li la pression

EVENEMENT INITIATEUR : .externe : choc .interne : corrosion initi par un processus de l'environnement : orage EVENEMENT FINAL : . impact de l'onde de pression surles objets rencontrs . formation d'un mlange explosif propane - air

EVENEMENT INITIAL : fissuration

SYSTEME SOURCE DE DANGER

SPHERE DE PROPANE P t amb = 8 bars EVENEMENT PRINCIPAL: mission : . de matire : gaz et , ou liquide . d'nergie : onde de pression . d'information : dpend des capteurs , comme par exemple le bruit , le capteur tant l'oreille

EFFET RENFORCATEUR : la rencontre , par le nuage de mlange , d'une nergie d'allumage prsente dans une cible rencontre , dclenche une explosion

SYSTEMES CIBLES POSSIBLES :

ceux situs dans l'environnement plus ou moins proches : . individus ( oprateurs ) . populations ( lotissements ) . cosystmes ( rivire ) . matriels ( wagons , ateliers ..) ceux pouvant tre atteints sont fonction : . des caractristiques de l'vnement principal ( quantits de matires mises , nergie de l'onde ....) . de leur distance au systme - source

ENVIRONNEMENT :
tapiss de processus : . circulation de trains . fonctionnement de l'atelier circulation sur la route

CHAMPS : . rglementaire : la sphre est soumise des contraintes rglementaires de construction et de surveillance et l'loignement
cibles peut tre aussi rglement . conomique : la politique de maintenance joue sur l'tat de la sphre . Le champ conomique peut tre un champ de danger s il intervient ngativement. - physico-chimique: La corrosivit de l air qui est un champ de danger.

4 - 3 LE DEVELOPPEMENT DE TYPOLOGIES : Le modle permet de dcrire et dvelopper : Des typologies des systmes sources de danger propres chaque contexte Des typologies des cibles Une typologie gnrale des vnements principaux Une typologie gnrale des champs. Parmi ces derniers apparaissent des champs cindynognes (de danger), dvelopps notamment dans les travaux de lInstitut Europen de Cindynique (voir ci - aprs). La structure des champs dpend des couples systmes sources - systmes cibles.

4 - 3 - 1 Typologie des systmes sources de danger : Deux exemples sont donns en annexe. Lun concerne les systmes sources de dangers concernant le milieu industriel. Cette typologie, qui constitue une grille de rfrence dans lanalyse de risques, est le rsultat dune vingtaine dannes dapplications. Elle est maintenant bien stabilise mais reste cependant ouverte. Lautre concerne les systmes sources de danger en milieu urbain. Elle a la mme structure que la premire mais des contenus diffrents. Il est possible de dvelopper des typologies propres des contextes spcifiques ou des risques spcifiques. 4 - 3 - 2 Typologie des systmes cibles : Elle concerne : Un ou des individus

49

Une ou des populations (ensembles dindividus de mme espce ) Un ou des cosystmes (association dindividus ou de populations despces diffrentes ou de mme espce ) Un ou des systmes matriels ou symboliques (savoirs et savoir-faire) 4 - 3 - 3 Typologie des flux, ou vnements principaux : Le danger tant modlis comme TYPOLOGIE DES FLUX un processus, le flux sera de la matire, de lnergie, de linformation. Cette dernire dans sa caractrisation, dpend des capteurs, les FORME ESPACE TEMPS Caractristiques Caractristiques capteurs humains permettant notamment de Nature temporelles spatiales caractriser des bruits, odeurs, flux Limit thermiques...... Dans lespace le flux sera Chroni Matire Energie Informa dans le Ponctuel Diffus que temps tion ponctuel ou diffus. Dans le temps, il sera chronique ou effet limit. Dans un champs de dangers spcifique Les flux sont situs dans des champs spcifiques dont certains sont des champs de danger. Exemples : Lmission de gaz sous pression sera de la matire et de lnergie (onde de pression ) qui diffuseront dans lespace. Elle sera limite dans le temps. La vitesse du vent dans le contexte de lmission sera un effet de champs de danger qui interviendra sur la dispersion et donc sur ses effets sur les cibles. Un rayonnement sera de lnergie (onde) et de la matire (corpuscule associ) qui diffuseront dans lespace ou seront ponctuels (rayonnement collimat). Ils seront limits dans le temps car si lon neutralise leur source dmission, ils disparaissent. La rflexion, la rfraction, labsorption de ce rayonnement dans le contexte de son mission sont des lments de champs de danger qui interviendront sur ses caractristiques et donc sur ses effets sur les cibles. Une contamination chimique ou radioactive sera de la matire, associe de lnergie pour la contamination radioactive (rayonnement). Elle sera chronique car il est impossible de dcontaminer compltement une surface contamine. Lenvironnement est tapiss de processus de diffrentes natures, gnrateurs et soumis des champs. Parmi ces derniers, certains sont des champs cindynognes qui ont t dvelopps par lInstitut Europen de Cindynique (1). Les interactions de ces processus sont la source dvnements participant la gense dENS. Ce sont aussi ces interactions qui constituent les scnarios dENS, notamment les scnarios dits de proximit ou scnarios dominos.

50

P1

C1 C3

P2 C4

SS

SC

C1 P3

C2

C2 L'ENVIRONNEMENT TAPISSE DE PROCESSUS P1 , P2 , P3 , P4 , DE DIFFERENTES NATURES ( production , danger , conomiques , sociaux , psychologiques , naturels , rglementaires ......) C3 GENERATEURS ET SOUMIS A DES CHAMPS P4 C1 , C2 , C3, C4

C1 C2 STRUCTURATION DU CHAMP ET DE L'ENVIRONNEMENT

MADS/INSTN AEG/IUT BORDEAUX

Dautre part le modle est rversible car un systme source peut devenir un systme cible et vice-versa. Ceci permet de faire apparatre des scnarios par enchanement de processus de danger et de rassembler ces scnarios dans la construction darbres logiques centrs sur un mme ENS. Cette technique est mise en uvre dans la mthode MOSAR.

I1

ENVIRONNEMENT SPECIFIQUE
CHAMPS DE DANGER Effets des champs de danger

P1
E1

C1 C3

EVENEMENT PRIMAIRE

P2 C4

C2

SS
SYSTEME SOURCE SYSTEME CIBLE

SC

C1 P3

C2

C est la recherche des interactions entre ces diffrents processus qui permet de construire des scnarios ( d accidents, d agression).

C3 P4
EVENEMENT SECONDAIRE

Flux de danger

C1 C2
LE MODELE MADS EST REVERSIBLE

On a donc l une dimension diachronique du risque.

51

Scnarios courts

EVENEMENT FINAL Scnarios longs

CONCATENATION DES SCENARIOS

Lapplication du modle MADS conduit ainsi la mise en uvre de loutil arbre logique 4 3 4 Typologie des champs : La typologie gnrale des champs est la suivante : Champs physico-chimiques naturels ou artificiels (scientifiques et techniques) Champs psychologiques Champs conomiques Champs sociologiques Champs politiques Champs juridico-rglementaires (ce sont des champs transversaux) Champs culturels Champs organisationnels En entrant dans les champs on entre aussi dans un domaine de complexit. LInstitut europen de Cindyniques a dvelopp une approche qui revient structurer les champs. Pour la comprendre modlisons les activits de lhomme, sources de processus en interaction, nayant pas des finalits cohrentes et pas les mmes axes de valeurs, et gnrateurs de champs.

52

LES SYSTEMES DACTIVITES DE LHOMME, SOURCES DE PROCESSUS, EN INTERACTION, NAYANT PAS DES FINALITES V1 V3 (valeur) V2 COHERENTES F SYSTEMES ET PAS LES POLITIQUES MEMES AXES SYSTEMES DE VALEURS V JURIDICO-ETHIQUES ET GENERATEURS C1 (champ) F1 (finalit) DE CHAMPS C

F2
SYSTEMES ECONOMIQUES

C2 C5

SYSTEMES CULTURELS

F5
Les lments ne sont pas indpendants

SYSTEMES SOCIOLOGIQUES

F3 F7 F4
SYSTEMES SCIENTIFIQUES

C3 C7

C6 F6

C4
SYSTEMES TECHNIQUES

SYSTEMES PSYCHOLOGIQUES

F8

C8

C9

SYSTEMES ORGANISATIONNELS

F9

Limiter les dysfonctionnements revient aussi organiser les processus vers des finalits cohrentes ayant les mmes rfrences de valeurs, ce qui constitue un idal pour le moins utopique.

Pour limiter les dysfonctionnements, organisation des processus vers des finalits cohrentes et les mmes rfrences de valeurs
Chaque axe est un champ
GESTION DE LA CITE REGLES
Les lments ne sont pas indpendants

Processus politiques

RS EU AL V

Processus juridico-thiques
CULTURES
Cohrence de finalit centres sur les mmes valeurs

GESTION DES MOYENS

Processus conomiques

Processus culturels Processus organisationnels

ORGANISATIONS

Processus psychologiques

Processus techniques Processus scientifiques

Processus sociologiques PSYCHOLOGIE SOCIOLOGIE

MOYENS TECHNIQUES

CONNAISSANCES SCIENTIFIQUES - MODELES

53

En rduisant cette modlisation cinq axes et cinq plans et en la centrant plus spcifiquement sur la cindynique ou science du danger, on arrive la modlisation de lHyperespace du Danger de Georges-Yves KERVERN (de lInstitut Europen de Cindyniques). (61)
E Axe pistmique (modles) D Axe dontologique (rgles)

Plan cindynomtrique (les processus technico-scientifiques de mesure du risque)

Plan pratique (les processus technico-scientifiques de modlisation du risque)

Plan politique (les processus politiques de gestion du risque)

Plan thique (les processus juridico-thiques de gestion du risque)

S Axe statistique (et mnsique) (mmoire des faits et des chiffres)

Plan programmatique (les processus dorganisation de la matrise du risque)

T Axe tlologique (finalits)

Plan cologique (les processus dorganisation de la matrise du risque en A fonction de la vision Axe axiologique homme/nature) (valeurs)
UNE VISION DES CHAMPS SOUS LA FORME DE CINQ AXES ET CINQ PLANS

Les processus gnrent des champs et chaque axe est un champ

L HYPERESPACE DU DANGER daprs G.Y. KERVERN

E Axe pistmique (modles)

D Axe dontologique (rgles)

Plan pratique Plan cindynomtrique

Plan politique Plan thique

Plan programmatique
S Axe statistique (et mnsique) (mmoire des faits et des chiffres)

T Axe tlologique (finalits)

Plan cologique
A Axe axiologique (valeurs)

L HYPERESPACE DU DANGER daprs G.Y. KERVERN

54

Dans les applications, G.Y Kervern en dduit les dficits systmiques cindynognes, les dissonances cindynognes (visions diffrentes du mme contexte par des acteurs diffrents assimilables en premire analyse aux images mentales), et les ambiguits cindynognes.

E Axe pistmique (modles)

D Axe dontologique (rgles)

Plan pratique Plan cindynomtrique

Plan politique Plan thique

Plan programmatique
S Axe statistique (et mnsique) (mmoire des faits et des chiffres)

T Axe tlologique (finalits)

Plan cologique
A Axe axiologique (valeurs)

Sur chaque axe ou plan, on note: les absences ou lacunes les oublis les disjonctions les blocages les dgnrescences soit au total 27 dficits systmiques cindynognes

L HYPERESPACE DU DANGER daprs G.Y. KERVERN Les dficits systmiques cindynognes

Axe pistmique (modles) E2 E E1

D Axe dontologique (rgles) D1 D2 D

T T Axe tlologique (finalits) A A1

S1

S2 Axe statistique (et mnsique) (mmoire des faits et des chiffres) E dissonance pistmique S dissonance statistique T dissonance tlologique D dissonance dontologique A dissonance thique

A2 Axe axiologique (valeurs)

L HYPERESPACE DU DANGER (daprs G.Y. KERVERN) Les dissonances cindynognes

55

Ambigut pistmique

Ambigut dontologique

Ambigut tlologique

Ambigut mnsique

Ambigut axiologique

L HYPERESPACE DU DANGER (daprs G.Y. KERVERN) Les ambiguts cindynognes

Il est donc possible dintgrer cette modlisation des champs au modle MADS.

ENVIRONNEMENT SPECIFIQUE

Typologie des champs de danger T

S A Evnement initiateur interne au systme source externe ( environnement ) Evnement renforateur interne au systme cible externe ( environnement

Systme Source
SOURCE DE FLUX DE DANGER

Systme Cible
EFFET DU FLUX DE DANGER

Flux de danger

LE MODELE MADS

56

4 4 QUELQUES DEVELOPPEMENTS ET APPLICATIONS : 4 4 1- lhyperespace du danger : la rupture de laxe des finalits (les techniciens nont pas les mmes finalits que les sociologues) apparat clairement dans la plupart des affaires rcentes (vache folle, ogn.... ) Daprs Claude Frantzen, Prsident de lInstitut Europen de Cyndinique lors de lEcole dEt dAlbi en Septembre 1999.

E Domaine technique T S

D Domaine des sciences humaines

RUPTURE DE LAXE TELEOLOGIQUE

T A modles S A

TECHNICIEN: YAKA! SOCIOLOGUE: ILS SONT COMME CA ! faits

L HYPERESPACE DU DANGER La rupture de l axe tlologique dans les rcentes affaires (daprs C. FRANTZEN)

4 4 2 Le modle MADS et ses dveloppements applicatifs: La dcomposition dun systme complexe en trois sous-systmes (SS de pilotage, SS dinformation et SS oprant) conduit une vision fractale du modle MADS.
CHAMPS

SSD

SC

SP M E I SO SI SO

SP

SI

Le Modle MADS sous sa forme systmique dveloppe ou forme Fractale

Applic 57

ation la dcomposition systmique dune installation. Intressons-nous la dcomposition de linstallation de dpotage de propane diffrents niveaux.
Pour le sous-systme pompe: 1 - Quel est son sous-systme oprant ? Rponse : alimentation lectrique, moteur, corps de pompe avec sa turbine. 2 - Quel est son sous-systme de pilotage ? Rponse : l ordinateur de contrle-commande. 3 - Quel est son sous-systme d information ? Rponse : la disquette de programme

SS DE PILOTAGE la direction de l atelier

IN ST A L L AT IO N D E DE PO T A G E

brides

Programme

s oupap e

sphre

bras mobile tuyau s ouple

wagon

canalisations f ixes

opr ateur

S yst mes d e con nexio n

pompe

V anne tr ois voies p our p r lve ment contrle qualit

Corps de pompe avec sa turbine

SS OPERANT le dpotage alimentant l atelier

SS D INFORMATION le contrle-commande
Moteur Socle Ordinateur de contrle-commande
Alimentation lectrique

L ATELIER DECOMPOSE EN TROIS SOUS-SYSTEMES PRINCIPAUX

LA POMPE ET SA COMMANDE DECOMPOSES EN TROIS SOUS - SYSTEMES

Application du modle MADS, avec les champs modliss en hyperespace de danger, deux accidents : Tnerife et Flixborough.

SP
CERVEAU

PILOTE
SO
ORGANISME

ENVIRONNEMENT SPECIFIQUE
PISTE ET BRETELLES AUTRES AVIONS MATERIELS UTILITAIRES ET DE SECURITE

SI
SYSTEME NERVEUX

E T S SP
ORDINATEUR CENTRAL PILOTE SYSTEME COMMANDE

TYPOLOGIE DES CHAMPS DE DANGER

A SP
TOUR DE CONTROLE

SO

AVION
SI
SYSTEME CONTRLE

TECHNOLOGIE
SO
MATERIELS DE COMMUNICATION RADARS

SI
COMMUNICATIONS RADIOS INFO RADARS

MECANISMES MOTEURS

ACCIDENT DE TENERIFE : modlisation

58

SP
CERVEAU

Brouillard Encombrement (priode dattentats)

PILOTE A
SO
ORGANISME

Sur de lui

ENVIRONNEMENT SPECIFIQUE
PISTE ET BRETELLES AUTRES AVIONS MATERIELS UTILITAIRES ET DE SECURITE

SI
SYSTEME NERVEUX

E T S SP
ORDINATEUR CENTRAL PILOTE SYSTEME COMMANDE

TYPOLOGIE DES CHAMPS DE DANGER

A SP
surcharge

TOUR DE CONTROLE

SO

AVION
SI
SYSTEME CONTRLE

TECHNOLOGIE
SO
Matriels clairage pistes hors service
MATERIELS DE COMMUNICATION RADARS

SI
COMMUNICATIONS 2/3 frquences RADIOS INFO RADARS hors service

MECANISMES MOTEURS

ACCIDENT DE TENERIFE : modlisation des dficits cindynognes

SP
CERVEAU

Brouillard Encombrement (priode dattentats) Connat la piste nen fait qu sa tte

PILOTE B
SO
ORGANISME

ENVIRONNEMENT SPECIFIQUE
PISTE ET BRETELLES AUTRES AVIONS MATERIELS UTILITAIRES ET DE SECURITE

SI
SYSTEME NERVEUX

E T S SP
ORDINATEUR CENTRAL PILOTE SYSTEME COMMANDE

TYPOLOGIE DES CHAMPS DE DANGER

A SP
surcharge

TOUR DE CONTROLE

SO

AVION
SI
SYSTEME CONTRLE

TECHNOLOGIE
SO
Matriels clairage pistes hors service
MATERIELS DE COMMUNICATION RADARS

SI
COMMUNICATIONS RADIOS 2/3 frquences INFO RADARS hors service

MECANISMES MOTEURS

ACCIDENT DE TENERIFE : modlisation des dficits cindynognes

59

PILOTE A
Modles

Rgles Ne rpte pas les ordres

PILOTE B
Modles

Rgles Rgle enfreinte: pilote nobit pas la tour de contrle. Ne rpte pas les ordres.

Finalit: rattraper le retard Finalit Ethique Pilote sur de lui: ncoute pas le co-pilote Modles

Finalit : rattraper le retard Finalit

Donnes

Donnes

Ethique

Rgles

TOUR DE CONTROLE Ne fait pas

rpter les ordres Finalit : limiter la surcharge Finalit Ethique

Donnes

ACCIDENT DE TENERIFE : modlisation des champs de danger

CHAMPS
E D

SSD USINE

T S A

SC

SP Direction M E SO Chane de racteurs I SI Service de maintenance

Missiles Onde dexplosion

Bruit entendu 50 km

INDIVIDUS : personnels POPULATIONS :habitants ECOSYSTEMES: champs arbres animaux MATERIELS : usine maisons vnements renforateurs: - source d allumage - laminage de la flamme par les structures - trop de naphta stock

Le Modle MADS sous sa forme systmique dveloppe ou forme Fractale appliqu laccident de Flixborough

60

ACCIDENT DE FLIXBOROUGH : Le systme source de danger

SSD USINE
SP DIRECTION SP
Impratifs Directeur de production Dcision de modification SI organisation rgles internes

hirarchie

SO

SO CHAINE DE REACTEURS SP
Ingnieur dexploitation

SI SERVICE ENTRETIEN SP

EXPLOSION

Chef Intrim peu service qualifi dans la maintenance SI Documents techniques normes Non utiliss

racteurs

SO

SI

Contrlecommande

SO Ingnieurs et techniciens Chef entretien surcharg

vnement initiateur Rupture interne : petite fuite de soufflets vnement initiateur externe : erreur de modification (canalisation coude)

mission de cyclohexane

Modles mcaniques

modles non mis en uvre

Pas de schmas ni calculs Absence de modlisation

rgles de stockage (2 millions de litres de

naphta au lieu de 40000 l)

Infraction aux rgles

Plan cindynomtrique : - pas de mesure du danger - pas de conscience du danger - pas danalyse de la cause des fissures

Plan pratique : Plan politique: - formation insuffisante - politique de production - tube 500 au lieu de 700 - pas de politique dinspection - pas de test - pas de vrification Plan thique : pas dthique formule

finalits Produire avant tout

Sous - production Plan programmatique : Plan cologique : - pas dorganisation suffisante pas dobjectif - pas dessai - pas de maintenance systmatique

donnes On ne tient pas compte

des fuites (alertes)

thique

Scurit non prioritaire

ACCIDENT DE FLIXBOROUGH : les champs de danger

61

Un exemple dapplication du modle MADS la modlisation des efforts faits pour diminuer les accidents de circulation et de transport.

CHAMPS DE DANGER

AMELIORATION DE L INFRASTRUCTURE ROUTIERE

CAMPAGNES MEDIATIQUES DE SENSIBILISATION

ELEMENTS D ABSORPTION D ENERGIE ET DE MATIERE (glissires et barrires, ceinture de scurit)

SYSTEME CIBLE
CONDUCTEUR

SYSTEME SOURCE
VEHICULE MATIERE ENERGIE
Caractristique de lnergie ( limitation de vitesse)

MATERIEL (autre vhicule)

AMELIORATION DU VEHICULE

AIRBAG (absorption d nergie d impact)

AMELIORATION DU VEHICULE

FORMATION

AMELIORATION DES CONDITIONS DE SECURITE ROUTIERE

CHAMPS DE DANGER
AMELIORATION DE L INFRASTRUCTURE ROUTIERE

INFORMATION DU PUBLIC CHOIX DES PARCOURS CONNAISSANCE DES CONDITIONS METEOS

SYSTEME SOURCE VEHICULE MATIERE ENERGIE INFORMATION

EVALUATION DE DIFFUSION AMELIORATION DU VEHICULE BALISAGE DU PRODUIT

SYSTEMES CIBLES CONDUCTEUR POPULATIONS

MEILLEURE CONNAISSANCE DE L IMPACT (doses ou concentrations/effets)

FORMATION DES CONDUCTEURS

AMELIORATION DES CONDITIONS DE TRANSPORT DE MATIERES DANGEREUSES PAR LA ROUTE

62

REMARQUES :
La prise en compte du temps dans le modle MADS fait apparatre par symtrie deux notions intressantes : sur le systme source, la prise en compte des tats du systme source. Cest lapproche par exemple dEDF pour un systme complexe comme un racteur nuclaire. Sur le systme cible, cest la mise en vidence du principe de prcaution.

ENVIRONNEMENT SPECIFIQUE

Champs de dangers
E Evnement initiateur interne au systme source externe ( environnement ) T S D A Evnement renforateur interne au systme cible externe ( environnement

Systme Source
SOURCE DE FLUX DE DANGER

Systme Cible
EFFET DU FLUX DE DANGER

Lapplication du modle Mads conduit ainsi la mise en uvre de loutil rseaux.

Flux de danger
Impact immdiat

LESYSTEME SOURCE PREND DES ETATS DANS LE TEMPS (analyse par tats)

LE SYSTEME CIBLE PASSE PAR DES ETATS DANS LE TEMPS DONT CERTAINS SONT DIFFICILEMENT PREVISIBLES (d o le principe de prcaution)

LE MODELE MADS ET LE TEMPS

ENVIRONNEMENT SPECIFIQUE
CHAMPS

SYSTEME SOURCE

SYSTEME CIBLE

Flux de danger

Il serait aussi intressant de mettre en vidence les effets rversibles de chacun des lments du modle. Par exemple le systme source subit linfluence des champs notamment de danger mais aussi dautres champs qui ne sont pas spcifiquement de danger et rciproquement il peut influencer voire modifier ces champs. Il en est de mme pour le systme cible et le flux. On voit bien la fois la complexit de ces approches et la puissance des modles systmiques.

63

5 - TYPOLOGIE DES ETUDES DE DYSFONCTIONNEMENTS :

La symtrie de structure des systmes sources et des systmes cibles fait quun systme source peut devenir systme cible et vice-versa. Il est donc possible de former des couples entre systme source et systme cible qui permettent dobtenir une premire organisation des mots, donc des contenus correspondants, donc des mtiers qui se sont dvelopps avec ces contenus. Cette premire vision est appele point de vue. Par exemple, les points de vue de la relation installation - oprateur ne sont pas les mmes que ceux de la relation oprateur - installation. SYSTEME SOURCE INSTALLATION SYSTEME CIBLE INSTALLATION POINTS DE VUE

Sret de fonctionnement Scurit des biens INSTALLATION OPERATEUR Ergonomie Scurit des installations OPERATEUR INSTALLATION Fiabilit humaine Malveillance interne INSTALLATION POPULATION Hygine et sant publiques Hygine et scurit de lenvironnement POPULATION INSTALLATION Malveillance externe Scurit publique INSTALLATION ECOSYSTEME Hygine et scurit de lenvironnement Ecologie applique Gnie sanitaire ECOSYSTEME INSTALLATION Risques naturels, tude de site, urbanisme. Dautre part, pour chaque point de vue il existe un angle dattaque, dit aussi angle dobservation , diffrent suivant que lon privilgie la source ou la cible. Par exemple, dans ltude de limpact dune installation sur un oprateur, si lon privilgie linstallation, on fait de la scurit des installations ; si lon privilgie loprateur, on fait de lergonomie. Dans la relation inverse, cest dire dans ltude de linfluence dun oprateur sur une installation, si lon privilgie loprateur, on fait de la fiabilit humaine ; si lon privilgie linstallation, on fait de la malveillance interne. Ceci est une autre faon de montrer que la connaissance sorganise autour du modle. Les mots prsents en vrac dans le prologue participent maintenant la structure du modle et prennent leur signification. .

64

Champs de danger
Systme source Systme cible

Champs de danger
Systme source Systme cible

Flux de danger

Flux de danger

INSTALLATION

OPERATEUR

OPERATEUR

INSTALLATION

Scurit des installations

Ergonomie

Fiabilit humaine

Malveillance interne

Champs de danger
Systme source Systme cible
Systme source

Champs de danger
Systme cible

Flux de danger

Flux de danger

INSTALLATION

POPULATION

POPULATION

INSTALLATION

Scurit industrielle Gnie sanitaire

Hygine et sant publiques Epidmiologie

Scurit publique

Malveillance externe

Champs de danger
Systme source Systme cible
Systme source

Champs de danger
Systme cible

Flux de danger

Flux de danger

INSTALLATION

ECOSYSTEME

ECOSYSTEME

INSTALLATION

Hygine et scurit de l'environnement Gnie sanitaire

Ecologie applique

Risque naturel

Etude de site ( implantation ) , urbanisme

POPULATION

INSTALLATION

Hygine et sant publiques

Gnie sanitaire ECOSYSTEME

Ecologie applique

65

6 - LE CORPS DE CONNAISSANCES TRANVERSALES :

La modlisation du danger et du risque permet de dfinir le corps de connaissances transversales ncessaire sa comprhension et sa gestion, en faisant apparatre les articulations entre Science du Danger, Techniques du Danger, Disciplines Appliques et Disciplines Fondamentales
1 Techniques du danger

0 1

Science du danger Techniques du danger Disciplines appliques

Scurit des installations Sret nuclaire Protection physique Ergonomie Ecologie applique Hygine et sant publiques Hygine et scurit de l'environnement Sret de fonctionnement

3 Disciplines fondamentales
3
2 Disciplines Appliques

Disciplines fondamentales

Physiologie du travail Ecologie Toxicologie Ingnirie Mdecine Epidmiologie Psycho-sociologie du travail Sociologie des organisations Droit du travail Droit des tablissements classs Droit nuclaire Gestion

Physiologie Economie Biochimie Physique Droit Chimie Psychologie Sociologie Mathmatiques

La Science du Danger sarticule avec des Techniques du Danger qui se sont

dveloppes dans lhistoire.

Les Techniques du Danger ont fait appel aux Disciplines Appliques qui ont fait appel aux Disciplines Fondamentales

Chaque Technique du Danger peut tre caractrise par sa Dfinition et ses Objectifs, les ENS auxquels elle sintresse, sa Problmatique, ses Outils et Mthodes, lorigine de ses Outils et ses Mots Cls.

66

SECURITE DES INSTALLATIONS SECURITE ET SURETE NUCLEAIRES PROTECTION PHYSIQUE DES INSTALLATIONS

DEFINITION ET OBJECTIFS

Aptitude du systme de production fonctionner sans porter atteinte aux quatre cibles pendant toute sa dure de vie Accidents et/ou maladies professionnelles des oprateurs Accidents majeurs Agression, malveillance, vol de matires statgiques

ENS

PROBLEMATIQUE Centre sur linstallation, Technico-juridique et normative Approche traditionnelle : obligation de moyens Approche systmique : obligation de rsultats

METHODES

MOSAR Analyse de sret Nuclaire pour les installations nuclaires

ORIGINE DES OUTILS

Droit, Norme Rgles de lart, Ingnierie Mathmatiques et informatique

MOTS CLES

Installation, danger, risque, malveillance, rglementation, normalisation, phases de vie obligation de rsultats.

67

ERGONOMIE, CONDITIONS DE TRAVAIL

DEFINITION ET OBJECTIFS

Analyser le travail humain pour ladapter lhomme, amliorer ses conditions de travail et la qualit des produits

ENS

Mauvaises conditions de travail, astreinte, fatigue des oprateurs, accidents dus la fatigue. Accidents et/ou maladies dues lactivit professionnelle

PROBLEMATIQUE

Centre sur lactivit de loprateur et sur les conditions de cette activit Systmique, psycho-socio-technique et conomique, non normative

METHODES

Mthode ergonomique (de lanalyse de la demande au diagnostic)

ORIGINE DES OUTILS

Psychologie, Physiologie, Ingnierie. Sociologie des organisations

MOTS CLES

Activit, tche, rgulation de lactivit, contrainte, astreinte, processus et organisation du travail, conception et correction.

68

HYGIENE ET SANTE PUBLIQUES

DEFINITION ET OBJECTIFS

Protger les conditions de vie et la sant de la population

ENS

Pollutions, nuisances, accidents, catastrophes impliquant les populations

PROBLEMATIQUE

Anthropocentrique, technico-juridique, normative Approche technique et mdico-sociale

METHODES

Etudes dimpact sur les populations Epidmiologie

ORIGINE DES OUTILS

Physico-chimie, Microbiologie, Toxicologie Mathmatiques/Statistiques Gnie sanitaire

MOTS CLES

Pollution, rglementation, campagnes dinformation, risques diffus, puration ........

69

ECOLOGIE APPLIQUEE

DEFINITION ET OBJECTIFS

Protger les conditions dexistence de tous les tres vivants (homme compris)

ENS

Pollutions, nuisances, impacts sur les cosystmes, Accidents, catastrophes cologiques

PROBLEMATIQUE

Centre sur lanalyse de linteraction biotope-biocnose et sur les effets provoqus par la pollution sur cette interaction. Naturocentrique (lhomme est dans la nature) Etude dimpact sur lcosystme Mthodes cologiques

METHODES

ORIGINE DES OUTILS

Physico-chimie, Biologie, Ecologie Gnie sanitaire

MOTS CLES

Pollution, impact, stabilit, rgulation de lcosystme

70

HYGIENE ET SECURITE DE LENVIRONNEMENT

DEFINITION ET OBJECTIFS

Protger lenvironnement (populations, cosystmes) des tablissements humains

ENS

Pollutions, nuisances, incendies, explosions, Accidents, catastrophes, effets directs sur les populations ou indirects via les cosystmes)

PROBLEMATIQUE

Centre sur lanalyse de linstallation dangereuse, Anthropocentrique, technico-juridique et normative Etude dimpact, Etude de danger, Ecobilan

METHODES

ORIGINE DES OUTILS

Physico-chimie Mathmatiques, informatique

MOTS CLES

Risque, danger, pollution, dchet, puration, risques majeurs et diffus

71

SURETE DE FONCTIONNEMENT

DEFINITION ET OBJECTIFS

Aptitude dun objet technique assurer un service spcifi pendant son cycle de vie sans porter atteinte aux quatre cibles

ENS

Dysfonctionnement Accident

PROBLEMATIQUE

Centre sur lobjet et sa fiabilit Technico-juridique et normative Obligation de rsultats Amdec, Hazop, Arbres logiques, Rseaux de Ptri, Chanes de Markov....(qui sont plutt des outils)

METHODES

ORIGINE DES OUTILS

Ingnierie, Rgles de lart, Norme, Mathmatiques et informatique

MOTS CLES

Objet technique, disponibilit, fiabilit, maintenabilit, danger, risque, normalisation, obligation de rsultats, cycle de vie

72

ANNEXES
ANNEXE 1 quelques lments dinformation sur lhistoire de la systmique. ANNEXE 2 - Grille 1 : - systmes sources de danger dans la fabrication, le stockage, le transport ; de matire, nergie, information. - Grille des systmes sources de danger en milieu urbain. ANNEXE 3 - Prsentation gnrale de lusine alimente par linstallation de propane. ANNEXE 4 quelques informations concernant le groupe MADS.

73

ANNEXE 1 Quelques informations concernant lhistoire de la systmique :

ORIGINE DE LA SYSTEMIQUE
PARMI LES PRECURSEURS :
PARMI LES DEVELOPPEURS

Hraclite (5me S. av. J.C.) Pascal (17me) Goethe (18me) Trentowski (Pologne 1850) Cyberntique. A. Bogdanov (Russie 1913) Tectologie ou systmique gnrale. M. Petrovitch (Russie 1921) PARMI LES FONDATEURS : N. Wiener (E.U. 1947 mathmaticien) Cyberntique. L. Von Bertallanfy (E. U. 1943. 1968.) Biologie - Systmique. R. Ashby (E. U. 1956) Biologie - Systmique. Warren Mac Culloch (E. U. 1956) Biologie - Systmique. Jw. Forrester (E. U. 1949 M.I.T.) Thorie de lentreprise. C. E. Shannon et W. Weaver (E. U. 1960) Thorie mathmatique de linformation) H. Simon (E. U. 1969) Economie

EN BIOLOGIE: H. Laborit 1974 J. de Rosnay 1975 H. Atlan 1972 P. Delattre . 1975. Biologie DANS LES AUTRES SCIENCES I. Prigogine et I. Stengers 1979. Thermodynamique J. Von Neumann . 1968. Automatismes EN ECONOMIE F. Perroux. 1977 J. Lesourne. 1977

EN ORGANISATION DE LENTREPRISE J.L. Le Moigne 1977 J. Mlze. 1968 M. Crozier. 1977 EN PSYCHO - SOCIOLOGIE Watzlawick. 1972 Bateson . 1979 EN EPISTEMOLOGIE SYSTEMIQUE E. Morin. 1977 J. L. Le Moigne. 1977

74

ANNEXE 2 GRILLE 1
SYSTEMES SOURCES DE DANGER dans la fabrication, le stockage, le transport ; de matire, nergie, information

A - SYSTEMES SOURCES DE DANGERS DORIGINE MECANIQUE

A - 1 - SYSTEMES SOUS PRESSION - de gaz ou vapeur - hydraulique A - 2 - SYSTEMES SOUS CONTRAINTES MECANIQUES (autres que la pression ) A - 3 - SYSTEMES EN MOUVEMENT - solides - liquides - gaz A - 4 - SYSTEMES NECESSITANT UNE MANUTENTION - manuelle - mcanique A - 5 - SYSTEMES SOURCES DEXPLOSIONS DORIGINE PHYSIQUE ( autres que A1 ) - implosion - flash lectrique - BLEVE - mlange de liquides des tempratures trs diffrentes - calfaction A - 6 - SYSTEMES SOURCES DE CHUTE DE HAUTEUR (lments en hauteur et accs en hauteur ) A - 7 - SYSTEMES SOURCES DE CHUTE DE PLAIN-PIED (encombrement au sol, dnivellations.....) A - 8 - AUTRES SYSTEMES SOURCES DE BLESSURES (objets coupants, piquants, contondants......) A - 9 - SYSTEMES SOURCES DE BRUIT ET DE VIBRATIONS

75

B - SYSTEMES SOURCES DE DANGER DORIGINE CHIMIQUE ( produits utiliss, produits de raction, contacts avec matriaux )
B - 1 - SYSTEMES SOURCES DE REACTIONS CHIMIQUES B - 2 - SYSTEMES SOURCES DEXPLOSIONS - en milieu condens - en phase gazeuse B - 3 - SYSTEMES SOURCES DE TOXICITE ET DAGRESSIVITE B - 4 - SYSTEMES SOURCES DE POLLUTION ET DODEURS B - 5 - SYSTEMES SOURCES DE MANQUE DOXYGENE

C - SYSTEMES SOURCES DE DANGER DORIGINE ELECTRIQUE

C - 1 - SYSTEME METTANT EN OEUVRE DE L ELECTRICITE A COURANT CONTINU OU ALTERNATIF C - 2 - SYSTEMES SOURCES DELECTRICITE STATIQUE C - 3 - SYSTEMES CONDENSATEURS DE PUISSANCE ELECTRIQUE C - 4 - SYSTEMES GENERATEURS DE HAUTES FREQUENCES

D - SYSTEMES SOURCE DE DANGER DE DEVELOPPEMENT DINCENDIE

D - 1 - SYSTEMES SOURCES DALLUMAGE (nature, type, puissance) D - 2 - SYSTEMES SOURCES LIES AUX CLOISONNEMENTS (prsence ou non prsence, type, rsistance au feu, distances entre sous-systmes) D - 3 - SYSTEMES SOURCES LIES AUX MATERIAUX (nature, mise en uvre, raction au feu, charge thermique) D - 4 - SYSTEMES SOURCES LIES A LA VENTILATION (prsence ou non prsence, nature, dbit) D - 5 - SYSTEMES SOURCES LIES A LEXTINCTION (prsence ou non prsence, nature)

76

E - SYSTEMES SOURCES DE DANGERS LIES AUX RAYONNEMENTS

E - 1 - SYSTEMES SOURCES DE DANGERS LIES RAYONNEMENTS IONISANTS - systmes sources dirradiation - systmes sources de contamination - systmes sources de criticit nuclaire - systmes sources lis lvacuation dnergie radioactive E - 2 - SYSTEMES SOURCES DE RAYONNEMENTS UV - IR - VISIBLE E - 3 - SYSTEMES SOURCES DE RAYONNEMENT LASER E - 4 - SYSTEMES SOURCES DE RAYONNEMENT MICROONDES E - 5 - SYSTEMES SOURCES DE CHAMPS MAGNETIQUES INTENSES

F - SYSTEMES SOURCES DE DANGER DE NATURE BIOLOGIQUE

F - 1 - SYSTEMES SOURCES DE DANGER LIES AUX MICROORGANISMES ( VIRUS, BACTERIES ), et aux PRIONS F - 2 - SYSTEMES SOURCES DE DANGER LIES AUX MODIFICATIONS GENETIQUES ANIMALES ET VEGETALES F - 3 - SYSTEMES SOURCES DE DANGER LIES AUX ANIMAUX F - 4 - SYSTEMES SOURCES DE DANGER LIE AUX VEGETAUX F - 5 - SYSTEMES SOURCES DE DANGER LIES AU COMPORTEMENT HUMAIN - en situation normale (on modlise loprateur comme un sous- systme dune installation ) - en situation de malveillance (il faut connatre le scnario )

H - SYSTEMES SOURCES DE DANGER LIES A LENVIRONNEMENT ACTIF

H - 1 - SYSTEMES SOURCES DE DANGER LIES A LENVIRONNEMENT ACTIF ARTIFICIEL - modes de transports - installations industrielles - barrages

77

H - 2 - SYSTEMES SOURCES DE DANGER DORIGINE NATURELLE - gologiques : - sismes - glissements de terrain - volcanisme - climatiques : - avalanches - Temptes, cyclones, tornades, ouragans, coups de vent - brouillard - scheresse - inondations - feux de forts - foudre - gel - irradiation solaire - dsquilibres cologiques - Epidmies, pandmies

I - SYSTEMES SOURCES DE DANGER DORIGINE ECONOMIQUE ET SOCIALE

- finances - migrations - conflits - criminalit - violence - grands rassemblements .

78

GRILLE 1
SYSTEMES SOURCES DE DANGER EN MILIEU URBAIN

A - SYSTEMES SOURCES DE DANGERS DORIGINE MECANIQUE

A - 1 - SYSTEMES SOUS PRESSION - Stockages sous pression - Canalisations deau ariens souterrains

A - 2 - SYSTEMES SOUS CONTRAINTES MECANIQUES (autres que la pression ) - Pylnes Lignes lectriques Cbles de tlphriques - Structures diverses Echafaudages Ponts Excavations souterraines - Carrires - Structures en construction - Chapiteaux A - 3 - SYSTEMES EN MOUVEMENT - Circulations vhicules de transport - Fluides - Engins de manutention et de travaux publics A - 4 - SYSTEMES NECESSITANT UNE MANUTENTION - Manutention mcanique A - 5 - SYSTEMES SOURCES DEXPLOSIONS DORIGINE PHYSIQUE ( autres que A1 ) - Lignes haute tension ariennes et souterraines - Transformateurs lectriques - Stockages sources de BLEVES A - 6 - SYSTEMES SOURCES DE CHUTE DE HAUTEUR (lments en hauteur et accs en hauteur ) - Immeubles - Clochers - Minarets - Balcons suspendus et lments en surplomb

79

A - 7 - SYSTEMES SOURCES DE CHUTE DE PLAIN-PIED (encombrement au sol, dnivellations.....) - Dnivellations et circulations - Tranches et excavations - Escaliers - Encombrement des circulations A - 8 - AUTRES SYSTEMES SOURCES DE BLESSURES (objets coupants, piquants, contondants......) - Equipements des passages souterrains - Poteaux, Panneaux,....... A - 9 - SYSTEMES SOURCES DE BRUIT ET DE VIBRATIONS - Circulations - Travaux - Sonos

B - SYSTEMES SOURCES DE DANGER DORIGINE CHIMIQUE ( produits utiliss, produits de raction, contacts avec matriaux )
B - 1 - SYSTEMES SOURCES DE REACTIONS CHIMIQUES - Egouts B - 2 - SYSTEMES SOURCES DEXPLOSIONS - Gaz - Gazoducs - Liquides dans gouts - Stockages de produits inflammables et de produits explosifs - Transports de matires dangereuses B - 3 - SYSTEMES SOURCES DE TOXICITE ET DAGRESSIVITE - Egouts - Stockages - Transports B - 4 - SYSTEMES SOURCES DE POLLUTION ET DODEURS - Rejets - Chauffages - Transports - Industries - Fermentations B - 5 - SYSTEMES SOURCES DE MANQUE DOXYGENE - Egouts - Structures de fermentation - Grottes volcaniques - Mines souterraines - Puits

80

C - SYSTEMES SOURCES DE DANGER DORIGINE ELECTRIQUE

C - 1 - SYSTEME METTANT EN OEUVRE DE la ELECTRICITE A COURANT CONTINU OU ALTERNATIF - Cbles ariens ou enterrs - Transformateurs - Trolleys C - 4 - SYSTEMES GENERATEURS DE HAUTES FREQUENCES - Radars - Emetteurs THF

D - SYSTEMES SOURCE DE DANGER DE DEVELOPPEMENT DINCENDIE

D - 1 - SYSTEMES SOURCES DALLUMAGE - Toute source dnergie thermique D - 2 - SYSTEMES SOURCES LIES AUX CLOISONNEMENTS - Distance entre immeubles - Pare - feu D - 3 - SYSTEMES SOURCES LIES AUX MATERIAUX - Forts, immeubles, maisons, herbe sche, stockages - ERP D - 4 - SYSTEMES SOURCES LIES A LA VENTILATION - Vent

E - SYSTEMES SOURCES DE DANGERS LIES AUX RAYONNEMENTS

E - 1 - SYSTEMES SOURCES DE DANGERS LIES RAYONNEMENTS IONISANTS - systmes sources dirradiation - Gammagraphies douvrages E - 2 - SYSTEMES SOURCES DE RAYONNEMENTS UV - IR VISIBLE - Eclairages puissants

81

E - 3 - SYSTEMES SOURCES DE RAYONNEMENT LASER - Lasers dcoratifs E - 4 - SYSTEMES SOURCES DE RAYONNEMENT MICROONDES - Ondes radio E - 5 - SYSTEMES SOURCES DE CHAMPS MAGNETIQUES INTENSES - Lignes HT

F - SYSTEMES SOURCES DE DANGER DE NATURE BIOLOGIQUE

F - 1 - SYSTEMES SOURCES DE DANGER LIES AUX MICROORGANISMES ( VIRUS, BACTERIES ), et aux PRIONS F - 2 - SYSTEMES SOURCES DE DANGER LIES AUX MODIFICATIONS GENETIQUES ANIMALES ET VEGETALES F - 3 - SYSTEMES SOURCES DE DANGER LIES AUX ANIMAUX F - 4 - SYSTEMES SOURCES DE DANGER LIE AUX VEGETAUX F - 5 - SYSTEMES SOURCES DE DANGER LIES AU COMPORTEMENT HUMAIN - en situation de malveillance (terrorisme, bagarres )

H - SYSTEMES SOURCES DE DANGER LIES A LENVIRONNEMENT ACTIF

H - 1 - SYSTEMES SOURCES DE DANGER LIES A LENVIRONNEMENT ACTIF ARTIFICIEL - aroports, voies ferres, canaux, fleuves navigables, routes et autoroutes, autres modes de transport - installations industrielles - barrages

82

H - 2 - SYSTEMES SOURCES DE DANGER DORIGINE NATURELLE - gologiques : - sismes - glissements de terrain, boulements, chutes de rochers - volcanisme - climatiques : - avalanches - Temptes, cyclones, tornades, ouragans, coups de vent - brouillard - scheresse - inondations - feux de forts - foudre - gel - irradiation solaire - dsquilibres cologiques - Epidmies, pandmies

I - SYSTEMES SOURCES DE DANGER DORIGINE ECONOMIQUE ET SOCIALE

- finances - migrations - conflits - criminalit - violence - grands rassemblements .

83

ANNEXE 3 Etude de risques dune installation dalimentation en propane dune usine de fabrication de tuiles en terre cuite -------PRESENTATION GENERALE DE LUSINE ALIMENTEE PAR LINSTALLATION DE PROPANE
-------------1 INTRODUCTION : Cette usine fabrique des tuiles en terre cuite . Elle date de 1960. Les fours de schage et de cuisson des tuiles sont actuellement chauffs au fuel. Une tude dinvestissement a montr que le remplacement du fuel par le propane tait techniquement possible et financirement rentable. Ltablissement qui ntait auparavant soumis qu une simple dclaration dexploitation doit aujourdhui demander une AUTORISATION dexploitation, pour la partie stockage et dpotage du propane. Cette demande, conformment la rglementation des Installations Classes pour la Protection de lEnvironnement est adresse au PREFET qui la fait instruire par la DRIRE. Afin de constituer son dossier de demande, lentreprise doit raliser une ETUDE DE DANGER de linstallation de dpotage, de stockage et de distribution de propane. 2 SITUATION GEOGRAPHIQUE : Lusine est situe dans la zone industrielle dune petite agglomration du Sud-Est de la France. Cette zone stend entre la voie ferre et la rivire sur quelques hectares. Un lotissement a t construit de lautre ct de la voie ferre dans les annes 1970. Le centre ville est situ plus lOuest environ 2km. 3 CONDITIONS CLIMATIQUES : Climat tempr tendance continentale. Pluviomtrie dans la moyenne nationale. Direction principale du vent : Est . Zone non classe zone sismique. 4 ENVIRONNEMENT DE LUSINE : Au Nord : Voie ferre du Sud-Est puis un lotissement. Au Sud : Route nationale puis rivire. A lEst : une entreprise de mcanique. A lOuest : une usine dsaffecte. 5 DESCRIPTIF DE LUSINE : Elle comprend : Un btiment administratif de type lger, construction mtallique barde. Un atelier de fabrication de tuiles de mme type que le btiment administratif. Une sphre de stockage de 1000 tonnes de propane liqufi. Une station de dpotage des wagons. Un parking de 60 places pour le personnel de lusine. 84

Une canalisation dalimentation de lusine en propane gazeux. La zone de stockage et de dpotage sera situe lOuest des installations existantes sur un terrain qui a t achet dernirement par lentreprise. Seule cette partie nouvelle fait lobjet de ltude de danger. 6 DESCRIPTION DU PROJET DE NOUVELLE INSTALLATION : La sphre : Capacit : 1000 tonnes de propane liqufi. Equipe dun jeu de soupapes de scurit, dune cuvette de rtention, dun systme darrosage, dun piquage infrieur de 3 pouces, dun piquage suprieur de 2 pouces et dune instrumentation de mesure de pression et de temprature. La partie dpotage comprend : Une pompe en phase liquide. Un bras de chargement articul. Une cuvette de rtention. Un ensemble de rails et aiguillage. Le wagon de dpotage. Une ligne 3 pouces pour la phase liquide et une ligne 2 pouces pour la phase gazeuse. Le wagon est la proprit de la socit qui fournit le propane. Sa conception, son quipement et son entretien sont sous la responsabilit de son propritaire et doivent tre conformes la Rglementation des Transports de Matires Dangereuses. 7 CARACTERISTIQUES DU PROPANE : Formule brute : C3H8 Formule semi-dveloppe : CH3 CH2 CH3 PROPRIETES : Etat 20C gaz incolore marqu par un odorant Temprature de fusion - 189,9 C Temprature dbullition - 44 C Temprature critique 96,8 C Pression critique 42 bars Temprature limite de surchauffe 93 C Tension de vapeur 8,5 bars 20 C, 19,2 bars 50 C Masse volumique du liquide 502 kg / m3 20 C Masse volumique du gaz 1,87 kg / m3 20 C Solubilit trs peu soluble dans leau : 6,5 vol pour 100 vol deau 17,8 C et 753 mm de Hg Dissout les graisses, les huiles, les vernis et provoque un fort gonflement du caoutchouc naturel. Chaleur Spcifique gaz : 0,346 kcal/kg/C 15 C avec P et T constants liquide : 0,576 kcal/kg/C 0 C Chaleur de vaporisation 83,5 cal/g 20 C Chaleur de combustion 11900 cal/g volume constant. Limite Infrieure dExplosivit 2,2 % Limite Suprieure dExplosivit 10 % Temprature dautoinflammation 470 C

85

SCHEMA D IMPLANTATION N DE L INSTALLATION

Lotissement W S
30 m

Lotissement E

120 m

Dpotage

Ateliers
250 m

Parking

90 m
70 m

Btiment administratif

Route

20 m 10 m

Rivire

86

30 m

45 m

Voie ferre

INSTALLATION DE DEPOTAGE

soupape

sphre

bras mobile tuyau souple

wagon

canalisations fixes

oprateur

Systmes de connexion

pompe

Vanne trois voies pour prlvement contrle qualit

BRAS MOBILE

Assure la liaison entre les canalisations fixes et le wagon et le tranfert du propane du wagon la sphre

Tuyaux souples Raccord

Tuyauteries fixes

Dispositif de branchement sur le wagon ( phase gazeuse)

Colonne mobile La connexion se fait par mise en place du bras par rotation et branchement des deux dispositifs sur le wagon Le bras se corrode et suse dans le temps , surtout le tuyau mobile Pivot Socle Le dessin constitue lenveloppe de lappareil

Dispositif de branchement sur le wagon ( phase liquide )

87

ANNEXE 4
QUELQUES INFORMATIONS CONCERNANT LE GROUPE MADS (33)

Le modle MADS est issu d'un groupe de travail qui comprenait : Trois enseignants de lIUT de BORDEAUX TALENCE : Jean DOS SANTOS alors directeur de lIUT Hygine, Scurit, Environnement, Michel LESBATS, Yves DUTUIT, enseignants dans cet IUT. Trois ingnieurs du Commissariat l'Energie Atomique : Jean-Michel PENALVA, Laurent COUDOUNEAU, Pierre PERILHON. Ce modle a t l'origine de l'atelier logiciel SAGACE qu'a dvelopp J.M PENALVA avec Laurent COUDOUNEAU. Il a t repris par J.L ERMINE (CEA) qui a dvelopp un modle de capitalisation de connaissances : MKSM (les Systmes de Connaissances. HERMES 1996 ). Il a permis P.PERILHON de restructurer la mthode MOSAR. Publication principale : GROUPE MADS. Dveloppement d'un Modle de Rfrence en Science du Danger. 1er Colloque International de Cindinyques. CANNES 1993. La systmique fait l'objet d'une bibliographie abondante dont une partie est regroupe en fin douvrage. L'un des ouvrages auxquels nous nous sommes beaucoup rfrs est celui de J.L LE MOIGNE : Introduction la Thorie du Systme Gnral. PUF

88

Chapitre 2

_____ UNE METHODE DANALYSE DE RISQUES : MOSAR Mthode Organise et Systmique dAnalyse de Risques

89

1 BREF HISTORIQUE DE LA METHODE :

Cette mthode est ne dun travail de terrain dune vingtaine dannes. Il sagissait dintgrer la matrise des risques tout ce qui se faisait dans un centre de recherche. Ce dernier, le Centre dEtudes Nuclaires de GRENOBLE (appartenant au Commissariat lEnergie Atomique), contrairement ce que son nom pourrait laisser entendre, pouvait tre la source des risques les plus divers (depuis les risques mcaniques, chimiques, lectriques, en passant par les risques biologiques et bien sr les risques nuclaires) dans ses installations de diffrents types allant des laboratoires aux installations dessais et aux pilotes de nature industrielle. A partir des annes 1970, lenseignement de la Matrise des Risques, tout dabord en interne, puis dans diffrentes institutions en 1978 (Universit de GRENOBLE et Ecoles dIngnieurs), oblige structurer la dmarche. Ainsi se construit progressivement lorganisation de la mthode. Dans les annes 1980, le travail se poursuit de plusieurs manires. Tout dabord un essai de dveloppement dun Systme Expert avec Jean-Michel PENALVA (CEA) montre toute la difficult dune telle solution. La rencontre avec lquipe denseignants de lIUT Hygine et Scurit de BORDEAUX (Universit de BORDEAUX-TALENCE) et notamment de Jean Dos Santos amne la cration du Groupe de rflexion MADS . Cest partir du travail de ce dernier que la mthode, par un va et vient entre les applications de terrain, notamment en milieu industriel, lenseignement et la rflexion, sorganise compltement et se stabilise. Ceci est mis en uvre notamment dans un projet pilote europen COMMET2 qui lui donne un label europen et dans un projet europen TEMPUS avec la BULGARIE. Une deuxime tentative de dveloppement dun systme expert avec Jean-Louis ERMINE et lIUT de BORDEAUX se solde aussi par un abandon. En 1994 lide de raliser un Multimdia apparat. Elle se concrtise en 1996 par la commande de lINRS pour un CEDEROM daide lenseignement de la Matrise de Risques dans les Ecoles DIngnieurs. Une premire version de ce dernier fait lobjet en 1997 dun test dans une dizaine dcoles avec suivi et synthse des rsultats par lEcole des Mines de Saint-Etienne et la version oprationnelle est diffuse en 1999. En 1995 lEDF choisit la mthode pour lanalyse de risques des 150 installations dessais et de tests de ses trois centres (Chatou, les Renardires et Clamart). En 1998, la SNECMA (Socit Nationale dEtude et de Construction de Moteurs dAvions), a dcid de tester lapplication de la mthode sur les bancs dessais de son tablissement de Melun-Villaroche. Elle se lest approprie partir de formation dune dizaine de garantset la met en uvre dans ses installations.

2 PROBLEMATIQUE DE LANALYSE DE RISQUES DUNE INSTALLATION :

2 1- Dfinition :
Tout dabord quest-ce quune METHODE ? Cest un ensemble ordonn de manire logique, de principes, de rgles, dtapes, permettant de parvenir un rsultat.

90

 La mthode, pour tre mise en uvre, ncessite stratgie, initiative, invention, art. Ce commentaire dEdgar MORIN , montre que la logique ne suffit pas pour appliquer une mthode et quil est ncessaire de faire appel toutes les ressources du cerveau : La stratgie est soutenue par la logique. Linitiative est soutenue par des choix de chemins dans la stratgie. Linvention est soutenue par linnovation et donc lintroduction dlments nouveaux. Lart est soutenu par limagination et donc la transgression dans des domaines diffrents dapprhension du rel. Nous avons vu que la Science du Danger a pour objet lEvnement Non Souhait. Lanalyse de risques va donc consister essentiellement prvoir et prvenir ces ENS. Lvnement est la limite o le rationnel et le rel communiquent et se sparent. Cette autre phrase dEdgar Morin renforce linsuffisance de la logique et la ncessit daller plus loin quune simple application de cette dernire dans toute mthode qui veut apprhender le rel.

2 2 Problmatique de lanalyse de risques dune installation :

Le premier problme rencontr est celui de la prise en compte de lvolution dune installation.

INSTALLATION

INSTALLATION

Diachronie dune installation : Installation au temps t1 :

Coupe synchronique Evolution de linstant t1 linstant t2

Installation au temps t2 :
coupe synchronique

Il est possible dimaginer faire lanalyse de risques dune installation un instant donn, par exemple t1 ou t2. On dira que lon a travaill dans une coupe synchronique de linstallation. Mais entre t1 et t2, linstallation a volu (diachronie), autrement dit pendant que lon fait lanalyse t1, linstallation volue vers t2 et lorsque lanalyse est termine, linstallation nest plus dans le mme tat. Il est donc impossible de faire lanalyse de risques dune installation dans sa diachronie. Tout au plus pourra-t-on la pratiquer certains moments discrets de cette dernire, que nous allons identifier, et ventuellement mettre en vidence des risques de transition entre ces moments.

91

Ces moments de vie dune installation ou phases de vie, sont les suivants : CONCEPTION (CO). Cest le travail de bureau dtudes qui dfinit un cahier des charges, un dossier dappel doffre, un descriptif, un dossier de ralisation. Il est videmment trs intressant danalyser les risques en conception car on peut intgrer leur matrise ds le dpart et cela cote bien moins cher que de modifier par la suite linstallation pour des raisons de scurit. MONTAGE (MO). Cest la phase de ralisation qui correspond au chantier avec des risques trs spcifique notamment de manutention. ESSAIS (ES) ou RECETTE. Cest la phase qui permet de faire les vrifications de conformit par rapport au cahier des charges. Elle est souvent lobjet de risques spcifiques car les lments de linstallation peuvent tre tests jusqu leurs performances maximales. EXPLOITATION. Cette phase correspond aux priodes de mise en uvre de linstallation. On peut la diviser en : FONCTIONNEMENT NORMAL (on la symbolisera par EX) : linstallation fonctionne dans ses caractristiques nominales. Elle peut alors gnrer des nuisances et tre la source daccidents. MAINTENANCE avec : ENTRETIEN (EN), prventif ou curatif. DEPANNAGE (DE) ARRET (AR). Linstallation peut prsenter des dangers spcifiques larrt. TRANSFORMATION. Cette phase concerne les transformations gnrant des risques spcifiques lis aux chantiers ncessaires pour les raliser ou lis linstallation transforme. DEMANTELEMENT (DEM) ou Dconstruction. Cette phase correspond aussi une phase de chantier trs spcifique. Il est donc ncessaire de prciser dans quelle phase de vie de linstallation on fait lanalyse. Il est aussi possible de se situer dans une phase et de faire apparatre les risques principaux des autres phases. Une vision systmique consiste par exemple prvoir et matriser les risques apparaissant dans les autres phases ds la phase de conception. Comment se pose le problme de cette analyse ?

92

M2 M1 O1

O2

M3 O3 O4

L'INSTALLATION PEUT TRE MODELISEE COMME UN SYSTEME COMPOSE ESSENTIELLEMENT DE MATERIELS M1, M2, M3 ET D'OPERATEURS O1, O2,O3,O4 , EN INTERACTION ENTRE EUX ET AVEC LEUR ENVIRONNEMENT. LES MATERIELS ( MACHINES, STOCKAGES , APPAREILS .....) PEUVENT TRE EN INTERACTION DE MANIERE SEQUENTIELLE ( SEQUENCES LINEAIRES OU PARALLELES OU EN RESEAU ) LORSQU'ILS CONSTITUENT DES CHAINES DE FABRICATION , OU ISOLES. LES OPERATEURS SONT TOUS LES ACTEURS DE L'INSTALLATION DEPUIS LE RESPONSABLE JUSQU'A L'EXECUTANT. ILS PEUVENT AUSSI TRE ISOLES OU EN RELATION A TRAVERS DES HIERARCHIES LINEAIRES OU PARALLELES , DES GROUPES EN RESEAU OU DES STRUCTURES DIVERSES.

M2 M1 O1

O2

M3 O3 O4

ANALYSER LES RISQUES D'UNE INSTALLATION VA CONSISTER ESSENTIELLEMENT A IDENTIFIER LES DYSFONCTIONNEMENTS DE NATURE TECHNIQUE , OPERATOIRE ( OPERATIONNELLE, RELATIONNELLE , ORGANISATIONNELLE),DONT L'ENCHAINEMENT PEUT CONDUIRE A DES EFFETS NON SOUHAITES SUR LES QUATRE CIBLES. CES DYSFONCTIONNEMENTS PROVIENNENT DES MATERIELS ET DE LEURS LIAISONS AINSI QUE DE LEUR PROXIMITE , ET DES OPERATEURS ET DE LEURS LIAISONS ENTRE EUX ET AVEC LES MATERIELS.

93

M1

DANGER DE..........

M2 M1 O1

O2
M3

M3 O3 O4
O4

DANGER DE ..........

DANGER DE .........

L'ANALYSE DE RISQUES PEUT SE FAIRE D'UNE MANIERE PRAGMATIQUE , AUTREMENT DIT AVEC LE BON SENS, AUTREMENT DIT AUSSI D'UNE MANIERE PEU OU PAS ORDONNEE. LE RISQUE EST EVIDEMMENT D'OUBLIER DES CHOSES ET NOTAMMENT DES CHOSES ESSENTIELLES

Dfinition du contexte de lANALYSE : Le contexte peut tre dfini par deux situations principales : 1. On s'intresse un objet par exemple un avion, un vhicule automobile, une machine ...... 2. On s'intresse un milieu plus complexe par exemple un atelier de fabrication, une usine, une installation de type industrielle , agricole , urbaine .... Celui-ci comportera bien sr des objets tels que les machines, les stockages, les alimentations en fluides ..... Les mthodes et outils mis en uvre pour l'analyse de risques ne seront pas les mmes dans chacun des deux cas. Dans le premier cas ce sont plutt les outils classiques de la Sret de fonctionnement qui seront utiliss. Dans le deuxime cas ces outils seuls ne permettront qu'une analyse parcellaire notamment des objets de linstallation et il sera ncessaire de disposer de mthodes, c'est dire de dmarches compltes ( incluant bien sr les outils mais capables den organiser la mise en uvre ) telles que la mthode MOSAR.

Les outils disponibles peuvent se classer en deux catgories : 1 - Des outils semi-empiriques tels que l'AMDE et l'AMDEC ( bien que normalis il reste dans cette catgorie ) , HAZOP , l'Analyse Fonctionnelle

94

M1 AMDEC M2

M2 M1 O1

O2

M3

M3 O3 O4

O1

ARBRE DE DEFAILLANCE

O2 O3

O4 RESEAU

L'ANALYSE DE RISQUES PEUT SE FAIRE EN UTILISANT DES OUTILS CONNUS TELS QUE L'AMDEC , LES ARBRES DE DEFAILLANCE, VOIRE LES RESEAUX. CEPENDANT , LA PLUPART DU TEMPS , CES OUTILS SONT MIS EN OEUVRE DE MANIERE FRAGMENTAIRE , SANS DEMARCHE GUIDE.

2 - Des outils logiques tels que les arbres logiques (Arbre des causes, Arbres causesconsquences, Arbres dvnements) et des outils de type Rseaux tels que les chanes de MARKOF ou les rseaux de PETRI . Tous ces outils permettent des approches par le calcul notamment en matire de probabilit. Leur mise en uvre prsente un certain nombre de difficults. Ce sont en effet pour la plupart des outils dont l'origine est lie l'analyse de fiabilit " d'objets "ou d'lments "d'objets " et leur adquation l'analyse de risques n'est pas totale. D'autre part leur mise en uvre ncessite de l'information et l'outil en lui-mme n'est pas gnrique de cette dernire. On voit donc apparatre une double ncessit : 1 - essayer de rationaliser les outils caractre empirique. Le modle MADS (Mthode dAnalyse de Dysfonctionnement des Systmes) tente de rpondre ce besoin. 2 - construire des mthodes qui assurent la fois une cohrence dans le droulement de la dmarche analytique, qui facilitent et articulent la mise en uvre des outils prcits , et qui participent la gense de l'information ncessaire la bonne utilisation de ces derniers. MOSAR essaie de rpondre ces contraintes.

2 3 Problmatique de MOSAR :
La PROBLEMATIQUE de MOSAR est essentiellement la suivante : Identifier, valuer, matriser priori les risques dune installation. Ngocier des objectifs et donc faire apparatre lacceptabilit des risques par les acteurs concerns. Intgrer les rglementations spcifiques cest dire ne pas se contenter de simplement les appliquer ou de se cacher derrire (scurit parapluie), mais aller souvent plus loin que ce quelles imposent (car elles sont toujours apparues aprs des accidents) tout en vrifiant que les mesures de prvention et de protection les satisfont. 95

Intgrer lapproche dterministe et lapproche probabiliste lorsque cette dernire est possible. Mettre en uvre des concepts logiques, systmatiques, systmiques. Les premiers entrent comme nous lavons vu dans le droulement et la stratgie de la mthode. Les seconds se traduisent par des dcoupages divers auxquels il nest pas possible dchapper et par des identifications systmatiques en rfrence des typologies (par exemple la typologie des sources de dangers en milieu industriel). Les troisimes apparaissent tout dabord dans les points de vue qui sont pris en compte. Le point de vue principal est celui de linstallation mais celui de loprateur est aussi en partie pris en compte ainsi que celui des autres cibles. La systmique nous apprenant que tout dcoupage est artificiel, la mthode par des combinaisons de grilles et la mise en uvre doutils tels que les botes noires, permet de remettre en relation ce qui a t dcoup et de faire apparatre ainsi des rapprochements et combinaisons vnementiels qui autrement nauraient pas t vus. Constituer une dmarche participative. Il sagit en effet de raliser un travail de groupe. Bien sr, il est toujours possible deffectuer un travail isol dexpert, mais le caractre transversal des connaissances ncessaires et la ncessit de faire apparatre lacceptabilit des risques par les acteurs concerns imposent une dmarche participative et notamment si possible avec les acteurs de linstallation. Ceci peut se faire dans cette dernire si elle existe et prsente des vertus pdagogiques videntes chacun dcouvrant les risques et leur matrise avec son point de vue et celui des autres. Cest aussi une dmarche systmique avec la prise en compte du point de vue de chacun. Pour une installation existante on fera donc un diagnostic de son niveau de scurit. Pour une installation nouvelle ou une modification importante dune installation existante la meilleure manire de faire est de pratiquer lanalyse dans le Bureau dEtudes qui est charg du projet, si possible avec participation des futurs acteurs de linstallation. Ceci constituera alors ce que lon peut appeler la scurit intgre la conception dune installation. Mettre en uvre des outils classiques de types grilles de rfrence et tableaux et organiser lutilisation des outils connus de la Sret de Fonctionnement tels que lAMDEC, HAZOP, les Arbres Logiques comme les Arbres de Dfaillances ainsi que les approches provenant dautres points de vue comme la prise en compte du facteur humain dans les analyses dactivit. Avoir deux visions de linstallation et de la dmarche mthodique : Une vision macroscopique : Dans celle-ci on ne cherche pas entrer dans le fonctionnement dtaill de linstallation. On recherche les risques de proximit, cest--dire les risques qui apparaissent du fait que les lments de linstallation sont proximit les uns des autres et que les processus de danger que peut gnrer chaque source de danger peuvent senchaner les uns les autres pour donner les scnarios daccidents principaux que lon appelle dans certains cas scnarios dominos. Le module A de MOSAR permet didentifier ces scnarios et de les neutraliser. Une vision microscopique : On entre alors dans le fonctionnement dtaill de linstallation, aussi bien au niveau technique quau niveau opratoire. Pour rechercher les dysfonctionnements issus de ces deux niveaux on met en uvre les outils de la sret de fonctionnent cits ci-dessus.

96

Une Mthode pour:

partir d une

IDENTIFIER
modlisation de LES SOURCES

DE DANGER
l installation IDENTIFIER LES SCENARIOS DE DANGERS ET LES EVALUER NEGOCIER DES OBJECTIFS ET LES HIERARCHISER DEFINIR LES MOYENS DE PREVENTION ET LES QUALIFIER

A DEUX NIVEAUX: MACROSCOPIQUE: On analyse globalement l installation en traitant les risques principaux. C est le MODULE A de MOSAR MICROSCOPIQUE: On analyse finement l installation en dtaillant les risques avec des outils connus. C est le MODULE B de MOSAR

GERER LES RISQUES AVEC LES PLANS D INTERVENTION

97

3 STRUCTURE DE LA METHODE :
Pour rpondre aux critres de lanalyse macroscopique et de lanalyse microscopique, la mthode est structure en deux modules symtriques. Le droulement complet de la dmarche consiste en fait parcourir deux fois le schma prcdent travers cinq tapes chaque fois.
A partir IDENTIFIER LES d une SOURCES DE modlisation DANGER de l installation
IDENTIFIER LES SCENARIOS DE DANGERS

MODULE A Analyse principale de risques ou Analyse des risques principaux VISION MACROSCOPIQUE DE L INSTALLATION

IDENTIFIER LES RISQUES DE FONCTIONNEMENT

EVALUER LES SCENARIOS DE RISQUES NEGOCIER DES OBJECTIFS ET HIERARCHISER LES SCENARIOS

EVALUER LES RISQUES EN CONSTRUISANT DES ADD ET EN LES QUANTIFIANT NEGOCIER DES OBJECTIFS PRECIS DE PREVENTION

DEFINIR LES MOYENS DE PREVENTION ET LES QUALIFIER

MODULE B Analyse des risques de fonctionnement ou Sret de fonctionnement VISION MICROSCOPIQUE DE L INSTALLATION

AFFINER LES MOYENS DE PREVENTION GERER LES RISQUES

4 DESCRIPTION PAR APPLICATION SUR UN EXEMPLE :

MODULE A
ETAPE PRELIMINAIRE : modliser linstallation CHOISIR LE SYSTEME A ETUDIER:
Nous travaillerons sur linstallation de dpotage de propane dcrite dans le premier chapitre. La premire question se poser concerne la dfinition du systme sur lequel va porter lanalyse. Dans cette installation plusieurs systmes peuvent en effet faire lobjet dune analyse de risques : Le dpotage proprement dit La sphre de stockage seule Lensemble du contexte Les manires de dcouper ce dernier sont donc multiples mais il faut remarquer que pour un dcoupage donn dfinissant le systme analyser, le reste du contexte se trouve dans lenvironnement du systme. Ainsi quelle que soit la situation de la frontire retenue entre le systme et son environnement la somme des deux redonne toujours lensemble du contexte.

98

SCHEMA D IMPLANTATION N DE L INSTALLATION

Lotissement W S
30 m

Lotissement E

Voie ferre

120 m

Dpotage

Ateliers
250 m

Parking

90 m
70 m

Btiment administratif

Route

20 m 10 m

Rivire

Le systme le plus dangereux dans ce contexte est linstallation de dpotage de propane. Elle sera donc le systme sur lequel va porter lanalyse

INSTALLATION DE DEPOTAGE

soupape

sphre

bras mobile tuyau souple

wagon

canalisations fixes

oprateur

Systmes de connexion

pompe

Vanne trois voies pour prlvement contrle qualit

30 m

45 m

99

DECOMPOSITION EN SOUS-SYSTEMES : La dcomposition en sous-systmes nest pas obligatoire. Il existe des installations pour lesquelles une telle dcomposition na pas dintrt, voire mme est impossible. Cest le cas par exemple dun laboratoire qui comprend une multitude dobjet sans sous-systmes clairement identifiables. Elle permet cependant de gnrer des scnarios dinterfrence ou de proximit entre les soussystmes si ces derniers peuvent tre identifis. Il existe plusieurs manires de dcomposer une installation en sous-systmes : Dcomposition hirarchique en fonction des relations des lments de linstallation entre eux. Dcomposition topologique en fonction de la position des lments de linstallation dans lespace. Dcomposition fonctionnelle de par la situation des lments de linstallation dans la chane de fonctionnement de cette dernire. Nous utiliserons une association des deux dernires en rpondant deux conditions : Les sous-systmes rpondent aux cinq critres dun systme Chacun doit tre homogne Leur nombre doit tre le plus limit possible, en tout cas < 10 Dans le cas de linstallation de propane ceci conduit sept sous-systmes :

SS1 Sphre et ses quipements

SS2 Tuyauteries d quilibrage et de remplissage

SS5 wagon et ses quipements

SS4 Bras mobile

SS3 Pompe

100

SS6 OPERATEURS

ROUTE PARKING

LOTISSEMENTS

ATELIERS SS7 ENVIRONNEMENT BATIMENT ADMINISTRATIF

VOIE FERREE

RIVIERE

MODELISER LINSTALLATION
Pour modliser l installation: - Dans le contexte de dpart on choisit le systme sur lequel on va faire porter l analyse. Celui-ci devient le systme principal. En principe on prend le systme le plus dangereux priori. Par exemple dans l installation propane on slectionne l installation de dpotage proprement dite. Tout le reste devient son environnement. - On considre que l on a alors trois sous-systmes en interaction: 1 -les oprateurs, que l on globalise en un sous-systme 2 - l environnement 3 - le systme principal retenu. - On dcompose alors le systme principal en X sous-systmes. On obtient ainsi X sous-systmes + le sous-systme oprateurs + le sous-systme environnement. Pour dcomposer en sous-systmes la rgle gnrale est d avoir des sous-systmes homognes au point de vue fonctionnel et topographique. Un sous-systme rpond ainsi aux quatre critres d un systme (structure, fonctionnement, finalit, volution, environnement Par exemple, la sphre et son instrumentation: est homogne au point de vue fonctionnel et topographique ( cest un tout) a sa propre structure a son propre environnement a sa propre finalit dans le systme principal a son propre fonctionnement a sa propre volution (ne serait-ce que ses diffrends tats)

101

Systme analys: devient un sous-systme du contexte CONTEXTE

Sous-systme oprateur

Sous-systme environnement

Choix du systme analyser ou systme principal

EXEMPLE DE LINSTALLATION PROPANE

Lotissement W

N Lotissement E S

30 m

Voie ferre

120 m

Dpotage

Ateliers

Parking

Sous-systme principal choisi

90 m
70 m

Btiment administratif

Route

20 m 10 m

Rivire

30 m

250 m

45 m

102

LENVIRONNEMENT
Lotissement W

N Lotissement E S

30 m

Ateliers
250 m

Parking

Btiment administratif

Route

20 m 10 m

Rivire

SS1 SS5 SS3

SS4 SS2

Sous-systme principal

Systme choisi

Sous-systme environnement
SS7

Sous-systme oprateur
SS6

DECOMPOSITION DU SYSTEME CHOISI EN SOUS-SYSTEMES

30 m

45 m

Voie ferre

103

Systme analys:
IN S T A L L A T IO N D E D E P O T A G E

Sous-systme oprateurs
op r a t e u r

s oupa p e

s phre

b r as m o bi l e tu y a u s o u p le

w a gon

c a n a l i sa t i o n s f i x e s

S y st m e s d e c o n ne x i on

po m pe

V a n n e tr o is v o ie s p o u r p r l v e m e n t c on tr l e q u a l it

CONTEXTE
Lot isse ment
30 m

Sous-systme environnement
LEN V IRON NEM EN T
W S N Lotisseme nt E V oie f e rr e
45 m

A teliers
250 m

Park ing

Btim en t adm in ist ratif

R oute

20 m 10 m

R ivi re

Choix du systme analyser ou systme principal

Systme analys:

Sous-systme oprateurs

SS 1 Sph re e t se s qui peme nts

SS 2 Tuyauterie s d quil ibra ge et de rem plissa ge

SS 5 wagon e t se s qui peme nts

SS 4 Bras mobile

SS 3 Pom pe

CONTEXTE
Lotisse me nt
30 m

Sous-systme environnement
LEN V IRON NEM EN T
W S N Lotisse me nt E
45 m

Voie fe rr e

A te lie rs
250 m

Park ing

Btim en t adm in istratif

30 m

Route

20 m 10 m

Rivi re

Dcomposition du systme analyser ou systme principal

30 m

104

1re ETAPE MODULE A : IDENTIFICATION DES SOURCES DE DANGER : 1er NIVEAU : identification des sources de danger de chaque soussystme (ou identifier en quoi chaque sous-systme peut tre source de danger : Pour effectuer ce travail, on lit chaque sous-systme travers la grille de typologie des systmes sources de danger jointe en annexe du chapitre 1

SSx

GRILLE DE TYPOLOGIE DES SYSTEMES SOURCES DE DANGER

Le sousSystme x est source de danger

A1 A2 A3 A4

On remplit la colonne 1 du tableau A repris ci-aprs. En faisant cette identification pour tous les sous systmes, on obtient donc une liste exhaustive des dangers de linstallation.

PHASES DE VIE :
CONCEPTION MONTAGE ESSAIS EXPLOITATION : ENTRETIEN DEPANNAGE ARRET TRANSFORMATION DEMANTELEMENT TYPES DE SYSTEMES SOURCES DE DANGER ( 1 ) Application de la grille 1 CO MO ES EX EN DE AR TR DEM

TABLEAU A
ETABLISSEMENT DES PROCESSUS DE DANGER DU SOUS - SYSTEME : INFLUENCE DES CHAMPS

Conditions mto Rglementation Corrosivit de lair Maintenance Productivit Organisation des quipes Qualit de formation du personnel

EVENEMENTS RENFORCATEURS :
Sources dallumage Densit de circulation de trains et de vhicules Densit de populations

Phas es de vie

EVENEMENTS INITIATEURS (3) EXTERNES ( environnement actif ) choc corrosion flux thermique corrosion INTERNES

EVENEMENTS INITIAUX (2) LIES AU CONTENANT rupture fissure surpression rupture dformation dbit trop grand LIES AU CONTENU

EVENEMENTS PRINCIPAUX

A 1 Sphre et ses quipements A 2 Support A 3 Propane

Vannes , soupape

EX

corrosion surpression dysf. soupape corrosion surcharge

fuite de propane : gaz liquide dformation effondrement , renversement sphre trop pleine fuite

EX

EX

Erreur de remplissage choc , givrage obstacle

dysfonct.vanne prlvement

blocage

105

A 4 Vannes ,
soupape

EN MO

A 5 Sphre A 6 Sphre A 7 Cuvette de rtention A8

Equipements

EX

choc manutention en cours de montage ou de remontage nergie thermique

dformation fissuration

fuite

B 2 Sphre D 3 Propane E 2 Electricit statique

EN DE EX EN DE EX EN DE EX EX EX EX

pluie gel maladresse maladresse fatigue

diminution de rsistance mcanique structure glissante accs hauteur dnivellement

monte en temprature

BLEVE

accs en hauteur dangereux circulation pied dangereuse possibilit de blessures

maladresse entre dair lectricit statique mauvaise mise la terre

asprits explosion fuite dplacement propane explosion de la sphre fuite enflamme lectricit statique

La colonne phases de vie permet de prciser certains dangers. Par exemple dans le cas de la sphre, si lon fait lanalyse dans la phase exploitation normale, il ny a pas de danger de manutention. Par contre, dans les phases montage et entretien il apparat un danger de manutention avec les organes tels que les vannes et la soupape. Il est donc possible de faire lanalyse soit phase par phase, soit en cherchant identifier les principaux dangers apparaissant dans les diffrentes phases. REMARQUE : Deux phrases mnmotechniques pour saider trouver des rponses dans la recherche des processus de danger et stimuler son imagination : - Quest-ce qui est et qui pourrait ne pas tre ? Par exemple, il y a du courant lectrique et il pourrait ne pas y en avoir. - Quest-ce qui nest pas et qui pourrait tre ? Plus difficile. Par exemple il ny a pas de fuite mais il pourrait y en avoir une. 2me NIVEAU: Identification des processus de danger : Ce travail se fait ligne par ligne en recherchant les vnements qui constituent les processus de danger. On utilise le tableau A en commenant par la colonne 2 cest dire par la recherche des vnements initiaux. Ces derniers peuvent provenir soit du. contenant cest dire de lenveloppe du systme source, soit de son contenu. On recherche ensuite les vnements initiateurs qui peuvent engendrer les vnements initiaux et on les note dans la colonne 3 du tableau A. Ces vnements peuvent tre dorigine interne ou externe au systme source de danger. Dans ce dernier cas il sont gnrs par les champs. La chane vnements initiateurs - vnements initiaux gnre des vnements principaux que lon note dans la dernire colonne droite du tableau A. est source de danger A1 A3 B2
vnements initiateurs vnements initiateurs vnements initiaux vnements initiaux vnements principaux vnements principaux

SS 1

-----

106

Remarques : Cette technique nous donne un outil de gnration dun ensemble dvnements. Ce nest quun outil quil faut utiliser comme tel. Il nous aide faire apparatre des vnements et leurs enchanements pouvant avoir des effets non souhaits sur des cibles qui, ce niveau, ne sont pas encore identifies. Il appartient lanalyste de se servir des identifications dvnements pour construire des chanes plus ou moins longues denchanements. Par exemple lvnement surpression apparat deux endroits diffrents dans la recherche des processus de danger lis la pression : Dans la colonne 3 cest un vnement initiateur interne dune rupture ou dune fissure de lenveloppe; dans la colonne 2 cest un vnement initial interne dont lvnements initiateur interne est un dysfonctionnement de soupape et lvnement initiateur externe un flux thermique. La chane complte devient : surpression interne fissure rupture

Flux thermique Dysf. soupape -

Dans lidentification des vnements principaux il faut prendre garde ne pas noter des interfrences avec les autres sous systmes sinon la gnration de scnarios deviendra confuse par la suite. Par exemple ne pas crire explosion dans lvnement principal du processus de danger li la pression. Encore faut-il que la nappe de propane gnre par la fuite rencontre une source dallumage (dans une cible) pour quil y ait explosion. De la mme manire ne pas crire chute de hauteur dans le processus de danger li laccs en hauteur de la sphre car encore faut-il quun oprateur ait accder sur la sphre pour que cela entrane sa chute. - On ne tient pas compte des barrires de prvention et de protection existantes notamment pour une installation en fonctionnement. En effet, si lon veut pouvoir juger de la pertinence des barrires prvue (projet) ou existantes ( diagnostic), il est ncessaire de faire un point zro sans barrires.

2me ETAPE : IDENTIFIER LES SCENARIOS DE DANGERS : Dans beaucoup de cas on admet que les scnarios daccidents sont connus notamment grce au retour dexprience. Il est cependant intressant, voire indispensable de pouvoir gnrer des scnarios daccidents possibles (ou plus gnralement des scnarios dENS) et notamment de faire apparatre les principaux. Ceci permet en effet : - de dmontrer leur gense - didentifier leurs multiples variantes - didentifier des scnarios insouponns - den faire par la suite lossature des arbres logiques montrant lenchanement de tous les vnements conduisant un ENS.

107

La technique dveloppe ci-aprs permet de faire ce travail. 3me NIVEAU : Mettre chaque sous systme sous forme dune bote noire : En reprenant chaque sous systme dans les tableaux A on les reprsente sous forme de botes noires dont les entres sont les vnements initiateurs dorigine interne ou externe et les sorties sont les vnements principaux. EVENEMENTS INITIATEURS INTERNES OU EXTERNES EVENEMENTS

SS1

PRINCIPAUX

Ce travail est une simple compilation des tableaux A Pour le sous systme sphre on obtient la bote noire ci-aprs . On peut remarquer : Que dans les vnements dentre on retrouve des dysfonctionnements dorigine technique comme par exemple dysfonctionnement de vanne ou dysfonctionnement de soupape et des dysfonctionnements opratoires comme par exemple erreur de remplissage ou maladresse. Que dans les vnements de sortie on trouve des vnements qui peuvent atteindre diffrentes cibles comme par exemple BLEVE qui peut atteindre toutes les cibles ou accs en hauteur dangereux qui peut atteindre les oprateurs.

108

CHOC CORROSION FLUX THERMIQUE DYSF. SOUPAPE SURPRESSION INTERNE SURCHARGE DYSF. VANNE GIVRAGE ERREUR REMPLISSAGE OBSTACLE PLUIE GEL MALADRESSE FATIGUE ENTREE D'AIR ELECTRICITE STATIQUE

FUITE PROPANE DEFORMATION SUPPORT EFFONDREMENT SUPPORT

SS1
SPHERE ET SES EQUIPEMENTS

RENVERSEMENT SPHERE SPHERE TROP PLEINE BLEVE ACCES EN HAUTEUR DANGEREUX CIRCULATION A PIED DANGEREUSE EXPLOSION SPHERE FUITE ENFLAMMEE ELECTRICITE STATIQUE

4me NIVEAU : Gnration de scnarios courts et de scnarios dautodestruction : Pour linstant nous navons, dans la gnration de processus du tableau A, fait apparatre que des liaisons directes entre les vnements dentre et de sortie des botes noires

SS1

PROCESSUS DE DANGER

Il faut maintenant combiner les vnements dentre entre eux, les vnements de sortie entre eux et identifier les retours en bouclage des vnements de sortie et des vnements dentre. Les deux premires oprations mettent en vidence des scnarios courts et la dernire des scnarios qui entranent une autodestruction du sous systme.

109

Scnario court Scnario dautodestruction Pour le sous systme sphre voici quelques exemples de ces scnarios :
CHOC CORROSION FLUX THERMIQUE DYSF. SOUPAPE SURPRESSION INTERNE SURCHARGE DYSF. VANNE GIVRAGE ERREUR REMPLISSAGE OBSTACLE PLUIE GEL MALADRESSE FATIGUE ENTREE D'AIR ELECTRICITE STATIQUE

FUITE PROPANE DEFORMATION SUPPORT EFFONDREMENT SUPPORT

SS1
SPHERE ET SES EQUIPEMENTS

RENVERSEMENT SPHERE SPHERE TROP PLEINE BLEVE ACCES EN HAUTEUR DANGEREUX CIRCULATION A PIED DANGEREUSE EXPLOSION SPHERE FUITE ENFLAMMEE ELECTRICITE STATIQUE

Quelques-uns des scnarios ainsi gnrs sont les suivants : 1 Pluie Accs en hauteur dangereux Gel Etincelle lectrostatique 2 givrage fuite de propane dysfonctionnement vanne prlvement fuite enflamme

flux thermique 3 surcharge

BLEVE effondrement du support

Pour viter de se perdre trs rapidement dans un fouilli de flche, il est ncessaire dcrire les scnarios au fur et mesure quils sont construits.

110

5me NIVEAU : Gnration de scnarios longs, validation de ces derniers et construction darbres logiques sur les accidents principaux ainsi identifis: Si lon met toutes les botes noires sur une mme page, il est possible de relier les sorties de certaines botes qui sont de mme nature (repres en principe par les mme mots) que les entres dautres botes. On obtient ainsi des scnarios longs denchanements dvnements ou scnarios de proximit ou aussi scnarios principaux dENS (accidents).

SS1

SS2

SS3

SS4

SS5

SS6

Pour linstallation propane nous avons toutes les botes noires suivantes :

FUITE PROPANE
CHOC CORROSION FLUX THERMIQUE DYSF. SOUPAPE SURPRESSION INTERNE SURCHARGE

DEFORMATION SUPPORT CHOC

DEFORMATION

CHOC

SS1
SPHERE ET SES EQUIPEMENTS

EFFONDREMENT SUPPORT

SURPRESSION
RENVERSEMENT SPHERE SPHERE TROP PLEINE BLEVE

SS2
TUYAUTERIES FIXES D'EQUILIBRAGE ET DE REMPLISSAGE

CAVITATION

FUITE
SURALIMENTATION ELECTRIQUE

BLOCAGE

FOUDRE

RUPTURE
SURPRESSION

DYSF. VANNE GIVRAGE ERREUR REMPLISSAGE OBSTACLE PLUIE GEL MALADRESSE FATIGUE ENTREE D'AIR ELECTRICITE STATIQUE

SS3
POMPE

SURDEBIT

ACCES EN HAUTEUR DANGEREUX CIRCULATION A PIED DANGEREUSE EXPLOSION SPHERE

CAVITATION

FUITE ENFLAMMEE

CORROSION

FUITE

CORROSION

VIBRATIONS

RUPTURE

FOUETTEMENT

FOUDRE

FLUX THERMIQUE
FUITE ENFLAMMEE ELECTRICITE STATIQUE

ECLATEMENT

DERAILLEMENT COLLISION SUR ROUTE ACCIDENT PENICHE ACCIDENT SUR PARKING INCIDENT DANS ATELIER

SS7
environnement

EXPLOSION TRAIN EXPLOSION NAVIGATION EXPLOSION CAMION SUR ROUTE INCENDIE SUR PARKING INCENDIE ATELIER

FUITE CHOC

DEFORMATION
CHOC

MOUVEMENT WAGON

SS4

SURCHARGE

ELECTRICITE STATIQUE STRESS

FUITE
EFFONDREMENT CHASSIS

SS5
WAGON ET SES

CHOC INCONSCIENCE BLEVE

SS6
GESTE MALADROIT ACTION NON CONFORME BLESSURE

MAUVAIS BRANCHEMENT

RUPTURE
FLUX THERMIQUE

FATIGUE MOUVEMENT INTEMPESTIF MAUVAISE FORMATION RENVERSEMENT ABSENCE CONSIGNES DEBORDEMENT CONTEXTE DANGEREUX EXPLOSION INTERNE

FLUX THERMIQUE

FOUETTEMENT
CORROSION

FOUDRE

VIBRATIONS

BRAS MOBILE

SURPRESSION INTERNE

ELECTRICITE STATIQUE
ENTREE D'AIR

EQUIPEMENTS

OPERATEUR

111

Ce qui permet de gnrer quelques exemples de scnarios suivants :(en ne tenant pas compte de lenvironnement)

FUITE PROPANE
CHOC CORROSION FLUX THERMIQUE DYSF. SOUPAPE SURPRESSION INTERNE SURCHARGE

DEFORMATION SUPPORT CHOC

DEFORMATION

CHOC

SS1
SPHERE ET SES EQUIPEMENTS

EFFONDREMENT SUPPORT

SURPRESSION
RENVERSEMENT SPHERE SPHERE TROP PLEINE BLEVE

SS2
TUYAUTERIES FIXES D'EQUILIBRAGE ET DE REMPLISSAGE

CAVITATION

FUITE
SURALIMENTATION ELECTRIQUE

BLOCAGE

FOUDRE

RUPTURE
SURPRESSION

DYSF. VANNE GIVRAGE ERREUR REMPLISSAGE OBSTACLE PLUIE GEL MALADRESSE FATIGUE ENTREE D'AIR ELECTRICITE STATIQUE

SS3
POMPE

SURDEBIT

ACCES EN HAUTEUR DANGEREUX CIRCULATION A PIED DANGEREUSE EXPLOSION SPHERE

CAVITATION

FUITE ENFLAMMEE

CORROSION

FUITE

CORROSION

VIBRATIONS

RUPTURE

FOUETTEMENT

FOUDRE

FLUX THERMIQUE
FUITE ENFLAMMEE ELECTRICITE STATIQUE

ECLATEMENT

FUITE CHOC

DEFORMATION
CHOC

MOUVEMENT WAGON

SS4

SURCHARGE

ELECTRICITE STATIQUE STRESS

FUITE
EFFONDREMENT CHASSIS

SS5
WAGON ET SES

CHOC INCONSCIENCE BLEVE

SS6
GESTE MALADROIT ACTION NON CONFORME BLESSURE

MAUVAIS BRANCHEMENT

RUPTURE
FLUX THERMIQUE

FATIGUE MOUVEMENT INTEMPESTIF MAUVAISE FORMATION RENVERSEMENT ABSENCE CONSIGNES DEBORDEMENT CONTEXTE DANGEREUX EXPLOSION INTERNE

FLUX THERMIQUE

FOUETTEMENT
CORROSION

FOUDRE

VIBRATIONS

BRAS MOBILE

SURPRESSION INTERNE

ELECTRICITE STATIQUE
ENTREE D'AIR

EQUIPEMENTS

OPERATEUR

S1
Mauvaise formation oprateur action non conforme

tincelle lectrostatique mauvais branchement fuite propane bras articul

Fuite enflamme

flux thermique sur wagon

BLEVE wagon

onde de choc

choc

Fuite enflamme sur sphre

flux thermique sur sphre

BLEVE sphre

112

S2
Fatigue geste maladroit maladresse accs en hauteur sphre dangereux contexte dangereux

CHUTE DE HAUTEUR DE LOPERATEUR

A ces scnarios viennent sajouter lentre choc sur la sphre les scnarios gnrateurs de chocs et provenant de lenvironnement :
FUITE PROPANE
CHOC CORROSION FLUX THERMIQUE DYSF. SOUPAPE SURPRESSION INTERNE SURCHARGE

DEFORMATION SUPPORT CHOC

DEFORMATION

CHOC

SS1
SPHERE ET SES EQUIPEMENTS

EFFONDREMENT SUPPORT

SURPRESSION
RENVERSEMENT SPHERE SPHERE TROP PLEINE BLEVE

SS2
TUYAUTERIES FIXES D'EQUILIBRAGE ET DE REMPLISSAGE

CAVITATION

FUITE
SURALIMENTATION ELECTRIQUE

BLOCAGE

FOUDRE

RUPTURE
SURPRESSION

DYSF. VANNE GIVRAGE ERREUR REMPLISSAGE OBSTACLE PLUIE GEL MALADRESSE FATIGUE ENTREE D'AIR ELECTRICITE STATIQUE

SS3
POMPE

SURDEBIT

ACCES EN HAUTEUR DANGEREUX CIRCULATION A PIED DANGEREUSE EXPLOSION SPHERE

CAVITATION

FUITE ENFLAMMEE

CORROSION

FUITE

CORROSION

VIBRATIONS

RUPTURE

FOUETTEMENT

FOUDRE

FLUX THERMIQUE
FUITE ENFLAMMEE ELECTRICITE STATIQUE

ECLATEMENT

DERAILLEMENT COLLISION SUR ROUTE ACCIDENT PENICHE ACCIDENT SUR PARKING INCIDENT DANS ATELIER

SS7
environnement
FUITE

EXPLOSION TRAIN EXPLOSION NAVIGATION EXPLOSION CAMION SUR ROUTE INCENDIE SUR PARKING INCENDIE ATELIER

CHOC

DEFORMATION
CHOC

MOUVEMENT WAGON

SS4

SURCHARGE

ELECTRICITE STATIQUE STRESS

FUITE
EFFONDREMENT CHASSIS

SS5
WAGON ET SES

CHOC INCONSCIENCE BLEVE

SS6
GESTE MALADROIT ACTION NON CONFORME BLESSURE

MAUVAIS BRANCHEMENT

RUPTURE
FLUX THERMIQUE

FATIGUE MOUVEMENT INTEMPESTIF MAUVAISE FORMATION RENVERSEMENT ABSENCE CONSIGNES DEBORDEMENT CONTEXTE DANGEREUX EXPLOSION INTERNE

FLUX THERMIQUE

FOUETTEMENT
CORROSION

FOUDRE

VIBRATIONS

BRAS MOBILE

SURPRESSION INTERNE

ELECTRICITE STATIQUE
ENTREE D'AIR

EQUIPEMENTS

OPERATEUR

A partir des scnarios longs et des scnarios courts on peut construire, en les concatnant ( rassemblant) sur un mme vnement, un arbre logique qui est la premire reprsentation des vnements senchanant pour gnrer un ENS. Par exemple, pour linstallation propane, on peut rassembler quelques scnarios conduisant au BLEVE de la sphre : On retient : Le scnario S1 page 113 Le scnario court 2 page 110 Les scnarios gnrs par lenvironnement ( voir schma ci-dessus) Draillement Collision sur route Accident pniche explosion Choc sphre

Des scnarios courts gnrs par le bras mobile (voir la bote noire bras mobile dans le schma ci-dessus)

113

Chocs Corrosion Vibration

Dformation du bras

On obtient larbre logique suivant :

Mauvaise formation oprateur

MAUVAIS BRANCHEMENT DU BRAS SUR WAGON

FUITE ENFLAMMEE

FLUX THERMIQUE SUR WAGON BLEVE WAGON

CHOCS CORROSION VIBRATIONS

ETINCELLE DEFORMATION

CHOC

DEFAUT INTERNE DISPOSITIF DE BRANCHEMENT draillement collision sur route accident pniche

NON ETANCHEITE

FUITE ENFLAMMEE SPHERE

BLEVE SPHERE

EXPLOSION EXTERNE

CHOC SPHERE FUITE SPHERE

ETINCELLE

OBSTACLE GIVRAGE

DYSFONCTIONNEMENT VANNE PRELEVEMENT

ARBRE LOGIQUE BLEVE

REMARQUES : - lvnement initiateur considr peut conduire plusieurs, voire une multitude de processus. On est donc plac l devant lincertitude et la difficult de prvisibilit des risques. Nous pouvons distinguer lincertitude paramtrique lie une imprcision des paramtres des processus et lincertitude systmique lies lidentification des processus possibles et lambiguit des enchanements et des combinaisons possibles de ces processus. Les outils prsents nous aident rsoudre partiellement ces problmes. - Le nombre de scnarios construits avec les botes noires nest pas infini mais il peut tre trs grand. Pour viter une explosion combinatoire et guider le travail on peut choisir les vnements majeurs qui apparaissent la sortie des botes noires en tant quvnements principaux, et rechercher quels sont les scnarios qui aboutissent cet vnement. On raisonne alors par dduction. Cest le cas par exemple du BLEVE mais aussi de BLESSURE DE LOPERATEUR.. - La liaison entre les sorties et les entres des botes noires est en thorie une liaison directe (on relie les mmes mots correspondant aux mmes types de processus, par exemple choc gnr par le wagon de diffrentes manire et choc lentre de la sphre correspondant diffrents types de chocs). Cette vision idale est cependant rarement

114

oprationnelle. Il faut donc se servir ici de son imagination, de son intuition et de son exprience pour relier des entres et sortie qui napparaissent pas priori comme directement connectables. Cest le cas par exemple du scnario S1. Le mauvais branchement du bras articul est une des actions non conformes que peut gnrer loprateur. Une tincelle lectrostatique et une fuite de propane gnrent une fuite enflamme. Cest un nouveau processus quil faut prendre en compte. Le blve du wagon gnre une onde de choc, donc un choc..... Il faut donc interprter et vrifier bien sr que les enchanements sont plausibles. Ici aussi la technique des botes noires est un outil qui nous aide mettre en relation des processus et en faire apparatre dautres. Nous sommes toujours dans une vision systmique. - On obtient des scnarios PLAUSIBLES. Pour dcider sils sont possibles il est ncessaire de vrifier si les enchanements sont possibles. Pour cela il faut valuer quantitativement ou qualitativement les distances qui peuvent tre franchies par les vnements, les impacts entre les sous systmes et leurs effets. Ceci fait appel lvaluation des scnarios que nous verrons plus en dtail ci-aprs. Il faut aussi valuer si la probabilit des enchanements dvnements est possible. Cependant il faut se mfier des scnarios qui pourraient apparatre comme fantasques parce que trs peu probables. Le retour dexprience montre que lenchanement dvnements est souvent fantastiquement long et il vaut sans doute mieux travailler sur ces scnarios et vrifier quils sont matrisables plutt quqe de les liminer priori. 3me ETAPE : EVALUATION DES SCENARIOS DE RISQUES: 6me NIVEAU : valuation quantitative ou qualitative : Comme nous lavons vu en partie ci-dessus, cette tape permet dvaluer quantitativement si cest possible (par le calcul ventuellement laide de logiciels) ou qualitativement par travail de groupe ou le jugement dexperts si le calcul nest pas possible, les caractristiques des diffrents vnements identifis et leurs interactions avec les soussystmes. Il existe de nombreux logiciels que lon peut mettre en uvre ce niveau de lanalyse pour calculer des diffusions atmosphriques de produits, calculer les caractristiques de formations de nappes de produits toxiques et tablir lvaluation de leurs effets en fonction de la distance des cibles, calculer les caractristiques de formation de nappe de produits inflammables ou explosifs et dterminer leur effets en fonction de la distance des cibles. Il est aussi ncessaire dvaluer quelles cibles les vnements principaux vont pouvoir atteindre et quel sera leur impact sur ces cibles. Latteinte des cibles ainsi que leur nature (une ou plusieurs des quatre possibles) dpend des caractristiques values des scnarios et de leur distances par rapport aux vnements finaux. Dans linstallation de propane :

115

S1Mauvaise formation oprateur 2

CHOCS CORROSION VIBRATIONS

MAUVAIS BRANCHEMENT DU BRAS SUR WAGON

FUITE ENFLAMMEE

FLUX THERMIQUE SUR WAGON BLEVE WAGON

ETINCELLE DEFORMATION

CHOC

3 4

DEFAUT INTERNE DISPOSITIF DE BRANCHEMENT draillement collision sur route accident pniche

NON ETANCHEITE

FUITE ENFLAMMEE SPHERE

BLEVE SPHERE

EXPLOSION EXTERNE

CHOC SPHERE FUITE SPHERE

ETINCELLE

OBSTACLE GIVRAGE

DYSFONCTIONNEMENT VANNE PRELEVEMENT

Si lon reprend larbre logique BLEVE, on peut faire les constats suivants :

Tous les scnarios ont la mme gravit puisque cest le BLEVE final. Ceci nest pas valable pour tous les cas et dpend des vnements finaux choisis. Dans certains cas la gravit est fonction de scnarios. Tous les scnarios atteignent les quatre cibles possibles. Pour valuer leurs caractristiques le calcul est possible : calcul des dbits de fuite en phase gaseuse ou liquide ou en double phase, calcul de diffusion du propane gazeux dans lair et des caractristiques des nappes formes, calcul des caractristiques dexplosions et de leurs effets, calcul des caractristiques des BLEVES et de leurs effets. Il existe des logiciels permettant de conduire tous ces calculs. Les scnarios se distinguent les uns des autres par leur probabilit diffrente. Par exemple le scnario 1 est bien moins probable que le scnario 3 ou le scnario 5. A ce niveau de lanalyse on ne peut pas cependant calculer ces probabilits. Do lintrt de pouvoir disposer dune grille permettant de hirarchiser les scnarios, ce que nous allons voir dans ltape suivante. On peut aussi valuer le cot des accidents.

4me Etape : NEGOCIATION DOBJECTIFS ET HIERARCHISATION DES SCENARIOS : 7me NIVEAU : Ngociation de grilles gravit x probabilit :

116

Jusquici nous navons pas situ le travail danalyse par rapport des objectifs. La mise en vidence de scnarios de risques et leur valuation permet de mieux dfinir ces objectifs. Dans un premier temps, il est ncessaire de construire un outil qui permettra de concrtiser ces objectifs. Celui choisi est la grille gravit x probabilit. On peut en construire une par cible. Prenons le cas dune grille pour les oprateurs : La premire chose faire est de ngocier les niveaux des deux axes de la grille. En principe on construit des axes 4, 6 ou 8 niveaux (toujours en nombre pair pour viter la tendance se situer dans un niveau mdian). La deuxime chose faire est de situer dans la grille la frontire entre ce qui est considr comme acceptable et ce qui est considr comme inacceptable. Ceci constitue un deuxime niveau de ngociation.

P1

P1 P2
INACCEPTABLE

P2 P3

P3 P4
ACCEPTABLE

P4

G1 G1 G2 G3 G4 G

G2

G3

G4 G

PREMIER NIVEAU DE NEGOCIATION: NEGOCIATION DES ECHELLES

DEUXIEME NIVEAU DE NEGOCIATION: PASSAGE DE LA FRONTIERE ENTRE L'ACCEPTABLE ET L'INACCEPTABLE

NEGOCIATION DE GRILLES GRAVITE-PROBABILITE ET SITUATION DES SCENARIOS DANS CES GRILLES

Pour linstallation de propane la grille ci-aprs est une grille possible pour situer les risques pour les oprateurs. Admettons bien sr quelle ait t ngocie par les acteurs concerns et notamment avec les oprateurs. 8me NIVEAU : Situation des scnarios dans les grilles GxP et hirarchisation de ces derniers: Il est alors possible dy situer le scnario S2 page 113 qui est au niveau 2 en probabilit et au niveau 4 en gravit.

117

G = GRAVITE OU EFFET SUR UNE CIBLE , PAR EXEMPLE UN OU PLUSIEURS OPERATEURS

GRILLE G X P NIVEAU

TRES IMPORTANT MORT D'HOMME IMPORTANT EFFETS IRREVERSIBLES ACCIDENT AVEC IPP PEU IMPORTANT EFFETS REVERSIBLES ACCIDENT AVEC AT SANS IPP MINEUR BLESSURES LEGERES ACCIDENT SANS AT

S2
INACCEPTABLE

ACCEPTABLE
1
TRES IMPROBABLE IMPROBABLE PEU PROBABLE PEUT-ETRE UNE FOIS PROBABLE PLUS D' UNE FOIS

RISQUE

0 FOIS UNE FOIS

P = PROBABILITE DE L'EFFET

dansla dure devie de l'installation ou de l'exprience NUISANCE NUISANCE TRES EXCEPTIONNELLE TEMPORAIRE NUISANCE TEMPORAIRE NUISANCE PERMANENTE

<1

NIVEAU

De la mme manire on peut construire une grille GxP pour les autres cibles et situer les scnarios du BLEVE dans cette dernire .

118

P 6
PROBABILITE INCONNUE

3
BLESSURES REVERSIBLES

4
BLESSURES IRREVERSIBLES

5
MORT DE PERSONNE

6
DESTRUCTION DE PLUSIEURS CIBLES

FREQUENT

5 4 3

> 1/an

I
3 5

POSSIBLE 10-2<P<1:an

RARE 10-4<P<10-2/an

2 1 4

2 1

extrmement RARE 10-6<P<10-4/an

IMPROBABLE P<10-6/an CONSEQUENCES CONSEQUENCES MINEURES. Pas de NULLES

CONSEQUENCES SIGNIFICATIVES CONSEQUENCES CRITIQUES

CATASTROPHIQUE CATASTROPHIQUE NIVEAU 1 NIVEAU 2

blessures de personne

REMARQUE : on peut aussi construire des grilles concernant le cot des accidents en prenant en compte par exemple le cot de la perte de production ou de la perte de loutil de travail en fonction du temps ce qui permet de hirarchiser les scnarios en fonction de cette perte. 5me Etape : DEFINITION DES MOYENS DE PREVENTION ET DE PROTECTION ET QUALIFICATION DE CES MOYENS : 9me NIVEAU : Identification des barrires de prvention et de protection : Ces barrires vont permettre, comme nous lavons vu au chapitre 1, de neutraliser les scnarios identifis.

119

BARRIERES DE NEUTRALISATION DES EVENEMENTS INITIATEURS

Champs de danger

BARRIERES DE NEUTRALISATION DES EVENEMENTS RENFORATEURS

Systme source

BARRIERES DE NEUTRALISATION DES EVENEMENTS INDUITS

Systme cible

BARRIERES DE NEUTRALISATION DE L'EVENEMENT INITIAL

BARRIERES DE NEUTRALISATION DE L'EVENEMENT PRINCIPAL

BARRIERES DE PROTECTION DE LA CIBLE

APPROCHE DETERMINISTE OU DE DIMENSIONNEMENT

Le schma montre bien les diffrentes barrires ncessaires pour neutraliser lenchanement des vnements et donc des scnarios. Larbre logique montre, lui, quen principe il suffit de neutraliser les vnements primaires (ceux qui apparaissent les premiers) pour que le scnario correspondant nait pas lieu. Par exemple sur larbre logique BLEVE le scnario 1 peut tre neutralis en sassurant dune bonne formation des oprateurs. Pour renforcer la prvention on recherche aussi les barrires possibles tout le long du scnario aussi bien sur les vnements que sur leurs enchanements. Par exemple llimination des tincelles dorigine lectrostatique par une bonne mise la terre et le renforcement des piquages des tuyauterie, partie fragile, pour viter leur arrachement par choc. TYPES DE BARRIERES : On distinguera deux types de barrires : LES BARRIERES TECHNOLOGIQUES (BT) : Elment ou ensemble technologique faisant partie intgrante de linstallation, qui soppose automatiquement lapparition dun vnement prjudiciable la scurit et qui ne ncessite pas d'intervention humaine. Elle peut tre statique ( exemples : cran fixe, capot de protection, enceinte de confinement) ou dynamique (exemples : soupape de scurit ouverture automatique, lments de contrle commande. LES BARRIERES OPERATOIRES OU DUTILISATION (BU) : Action ncessitant une intervention humaine, reposant sur une consigne prcise, active ou non par un lment ou un ensemble technologique. (exemples : procdure, mode opratoire, application de rgles, vanne ouverture manuelle, protections individuelle) Les BU sont souvent considres comme tant plus faibles que les BT.

120

Elles sont en fait trs sensibles la formation, et notamment la formation scurit, des oprateurs. Lidentification des barrires se fait laide dun tableau : le TABLEAU B qui facilite le travail. Ce tableau peut tre construit en fonction du contexte. Est prsent ciaprs un exemple de tableau avec application deux des scnarios de linstallation propane.

TABLEAU B
Scnario ou soussystme 1 page 22 Phase 1-1 Conception 1 - 2 Ventilation 2 -1 Protection individuelle du personnel

EX

S2 Page 19

Bonne conception du bras articul ( branchement et dbranchement faciles ) BT Clapets dtanchit sur les entres dalimentation BT Renforcement au choc des piquages des wagons BT Mise du bras la terre BT EX Conception correcte de MA laccs en hauteur ventuellement systme automatique antigel BT Echelles et platelages antidrapants BT

Installation situe en plein air

Protection individuelle efficace contre le givrage et les effets mcaniques : gants , casques , lunettes , tablier cuir BU

Chaussures de scurit antidrapantes BU

2 - 2 Surveillance 2 - 3 Formation mdicale du personnel

2-4 Habilitations

2 -5 Identification des facteurs dambiance

2 -6 Comportement humain

121

Formation du personnel pour le branchement et le dbranchement du bras BU Formation minimale laccs en hauteur BU

Procdure dhabilitation lopration de branchement BU

Travail en plein air Risque de givrage

Travail confier des oprateurs confirms BU

S2 Surveillance de la fatigue BU

Risque de stress Travail en plein Agents en bonne air et par toutes forme physique conditions mto BU

122

3-1 Consignes

Consignations

Procdures

3-2 Rglementati on applicable Nant

3-4 3-3 Contrles et Tlsurveillan vrifications ce techniques Contrles priodiques de ltat du dispositif BU Contrles priodiques de ltat daccs BU Explosimtre BT

1 Consignes de scurit au poste de branchement BU S2 Consignes daccs BU

Procdure de consignation en cas : dincident de travaux BU Procdures de consignation en phase incidentelle BU

Procdure de branchement et de dbrancheme nt BU

Travail en hauteur BU

3-5 Maintenance

5-1 Implantation

Balisage - Accs Circulations

5-2 Influence sur lenvironnement Risques de fuite de propane ( pas de barrires possible )

FN
nuisan ce

AC accid ent

1 Maintenance prventive BT S2 Maintenance prventive BT Meilleure implantation possible ( au Sud ) BU

Veiller aux accs et la circulation autour du bras BU Dispositifs daccs en hauteur correctement dimensionns BU

REMARQUES SUR LE TABLEAU B : - Les premires barrires recherches sont les barrires de conception. En effet on commence toujours par travailler la prvention et la protection collectives, la protection individuelle nintervenant que si la protection collective est insuffisante car elle introduit des nuisances. Ces barrires sont des BT. - La ventilation est une barrire importante qui fait partie des barrires de conception. On lidentifie part. Elle intervient sur lvnement principal ou flux (cest un absorbeur de flux). - Lhabilitation est une procdure crite ( avec cosignature de lhabiliteur et de lhabilit) qui consiste confier un excutant un travail dcrit pour lequel lhabiliteur sest assur que lhabilit a la connaissance des risques, les moyens et lautorit dassurer ce travail.

123

- Lidentification des facteurs dambiance ne coduit pas forcment une dfinition de barrires mais il peut la faciliter. Il est une introduction lapproche ergonomique. - Les consignations sont des procdures qui consistent mettre en scurit une installation ou une partie dinstallation de manire ce que mme si quelquun veut la remettre en fonctionnement, il ne puisse pas le faire. Elles font lobjet de verrouillages avec clef unique possde par le consignateur seul. - Limplantation consiste dfinir quelle est la meilleure implantation possible compte tenu des risques identifis et de lenvironnement. - Linfluence sur lenvironnement permet de dfinir quelle est linfluence du scnario sur lenvironnement passif et de rechercher les barrires adquates. - Les deux dernires colonnes permettent de dfinir respectivement : Pour FN, si le scnario se produit en fonctionnement normal auquel cas cest une nuisance et il entrera dans une tude dimpact.. Pour AC, si le scnario est accidentel auquel cas il entrera dans une tude de danger. 10me NIVEAU: Qualification des barrires de prvention et de protection : Une fois les barrires dfinies, il faut sassurer quelles ne prsentent ou ne gnrent pas de risques, et il faut les qualifier dans le temps cest dire sassurer de leur prennit. Pour cela on constate que si lon introduit chaque barrire dans le tableau B (baptis alors tableau C), un certain nombre de rubriques de ce tableau permettent de rpondre aux deux contraintes dfinies ci-dessus. Illustrons ceci avec linstallation propane.

TABLEAU C
BARRIERES Scnar Typ Elments de DE: io e conception de ces 1-1 Conception barrires ( grille 1 ) Contrles et vrifications techniques Maintenance

Bras articul

BT A2 Note de calcul de rsistance A3 Bon quilibrage A4 Manutention facile A9 Montage antivibratoire C1 Moteurs antidflagrants

Dj pris en compte

Dj pris en compte

124

Clapets dtanchit du branchement du bras mobile Renforcement au choc des piquages des wagons Mise la terre

BT

A1 Correctement calculs au dP

Vrification priodique de bon fonctionnement Vrification priodique dtat

Prventive ( corrosion)

BT A2 Dimensionnement correct

BU Bonne continuit Vrification lectrique . priodique de la Rsistance de terre rsistance de terre adapte BT A2 Elments robustes Vrification priodique de bon fonctionnement

Prventive (corrosion)

Systme antigel de laccs en hauteur Echelle et platelage antidrapants

BT

Vrification priodique dtat

Le tableau montre que la colonne conception, combine la grille 1 permet de vrifier que les barrires nintroduisent pas de nouveau risques et les autres colonnes permettent de les qualifier dans le temps. 11me NIVEAU : nouvelle situation des scnarios dans les grilles GxP : Il est possible de vrifier comment les barrires font voluer les scnarios dans leur position dans les grilles G x P. Commenons par le scnario S2 :

125

G = GRAVITE OU EFFET SUR UNE CIBLE , PAR EXEMPLE UN OU PLUSIEURS OPERATEURS

GRILLE G X P NIVEAU

TRES IMPORTANT MORT D'HOMME IMPORTANT EFFETS IRREVERSIBLES ACCIDENT AVEC IPP PEU IMPORTANT EFFETS REVERSIBLES ACCIDENT AVEC AT SANS IPP MINEUR BLESSURES LEGERES ACCIDENT SANS AT

INACCEPTABLE

ACCEPTABLE

S2
PEU PROBABLE PEUT-ETRE UNE FOIS PROBABLE PLUS D' UNE FOIS

TRES IMPROBABLE RISQUE 0 FOIS

IMPROBABLE

P = PROBABILITE DE L'EFFET

UNE FOIS

dansla dure devie de l'installation ou de l'exprience NUISANCE NUISANCE TRES EXCEPTIONNELLE TEMPORAIRE NUISANCE TEMPORAIRE NUISANCE PERMANENTE

<1

NIVEAU

On peut admettre, compte tenu des barrires envisages, que gravit et probabilit seront diminus et que cet ENS sera peu probable et avec des consquences mineures. Cette dcision sera prise par le groupe de travail aprs discussion dvaluation.

Pour ce qui concerne maintenant le BLEVE :

126

P 6 PROBABILITE INCONNUE
FREQUENT

3
BLESSURES REVERSIBLES

4
BLESSURES IRREVERSIBLES

5
MORT DE PERSONNE

6
DESTRUCTION DE PLUSIEURS CIBLES

5 > 1/an 4 10-2<P<1:an 3 10-4<P<10-2/an 2 10-6<P<10-4/an 1 IMPROBABLE

P<10-6/an CONSEQUENCES CONSEQUENCES MINEURES. Pas de NULLES
CONSEQUENCES SIGNIFICATIVES CONSEQUENCES CRITIQUES

I A

POSSIBLE

RARE

extrmement RARE

1
CATASTROPHIQUE CATASTROPHIQUE NIVEAU 1 NIVEAU 2

blessures de personne

Le scnario 1, aprs mise en place des barrires, garde le mme niveau de gravit car, sil arrive aucune barrire ne peut en diminuer les effets mais sa probabilit est fortement diminue et il devient improbable. Il sagit alors dun RISQUE RESIDUEL.

127

Le MODULE A est termin. Cest en fait la partie la plus originale de MOSAR. Nous avons fait une analyse principale de scurit de linstallation ou une analyse des risques principaux de linstallation. Dans la plupart des cas cette analyse est suffisante. Mais il peut tre ncessaire daller plus loin soit parce quon le dcide pour parachever lanalyse et aller jusqu la mise en place dune culture de scurit, soit parce que une rglementation limpose (Installations Classes par exemple). On entrera alors dans le module B de la mthode.

INSTALLATION TABLEAU A Dangers et processus A1 A2 B3 D2 C2 Arbres logiques

TABLEAU B

TABLEAU C

Qualification des barrires scnarios

GRILLE 1 BU BT barrires

Synthtisons cette partie de lanalyse en examinant les dcoupages et remises en relations dveloppes : Linstallation est tout dabord dcoupe en sous systmes. Chacun de ceux-ci est combin avec la grille 1 pour donner un dcoupage en dangers et en processus de danger. Les sous systmes et leurs processus de danger sont ensuite, par la technique des botes noires, recombins entre eux pour faire apparatre les diffrents types de scnarios. Ceux-ci sont rassembls dans les arbres logiques. Aprs ngociation dobjectifs avec les acteurs, ce qui consiste combiner les scnarios avec leur point de vue, les scnarios des arbres logiques sont combins avec le tableau B pour donner un dcoupage en barrires. La combinaison des lments du tableau B donne le tableau C. En combinant les barrires avec le tableau C, on les qualifie. On voit donc bien ici que toute analyse conduisant un dcoupage incontournable mais rducteur, les principes de la systmique nous enjoignant de remettre en relation ce qui a t dcoup, ont t appliqus au maximum des possibilits.

128

MODULE B
1re Etape module B : IDENTIFIER LES RISQUES DE FONCTIONNEMENT : Reprenons larbre logique BLEVE de la page 114 Nous allons nous intresser aux dysfonctionnements techniques et aux dysfonctionnements opratoires qui constituent les vnements initiaux de cet arbre et que dans un DYSFONCTIONNEMENT
Mauvaise formation oprateur MAUVAIS BRANCHEMENT DU BRAS SUR WAGON FUITE ENFLAMMEE FLUX THERMIQUE SUR WAGON BLEVE WAGON

CHOCS CORROSION VIBRATIONS

ETINCELLE DEFORMATION

CHOC

DYSFONCTIONNEMENT
DEFAUT INTERNE DISPOSITIF DE BRANCHEMENT draillement collision sur route accident pniche NON ETANCHEITE

FUITE ENFLAMMEE SPHERE

BLEVE SPHERE

EXPLOSION EXTERNE

CHOC SPHERE FUITE SPHERE

ETINCELLE

OBSTACLE GIVRAGE

DYSFONCTIONNEMENT VANNE PRELEVEMENT

ARBRE LOGIQUE BLEVE

premier temps, dans le module A, nous navons pas cherch dtailler et que nous avons trait de manire globale. A titre dexemple, retenons le dysfonctionnement opratoire : mauvaise formation mauvais branchement du bras et le dysfonctionnement technique : dfaut interne du dispositif de branchement. Nous allons chercher prciser les vnements initiateurs de ces vnements. Pour ce qui concerne les dysfonctionnements opratoires, le travail se fera par une ANALYSE DACTIVITE. Pour ce qui concerne les dysfonctionnements techniques, le travail se fera en utilisant des outils tels que lAMDEC ou HAZOP suivant les cas. 12me NIVEAU : Identifier les dysfonctionnements opratoires dtaills : 129

Cette partie de lanalyse consiste prendre en compte aussi compltement que possible le facteur humain. Le principe gnral de lANALYSE DACTIVITE consiste comparer lactivit prescrite (dans les modes opratoires) et lactivit relle et donc observer loprateur sans le perturber. Lactivit relle de loprateur, qui possde des savoirs faire et sa propre image mentale, est diffrente de celle prvue par les concepteurs qui ont leur image mentale de cette activit, surtout sils nont pas associ les oprateurs dans leur rdaction des procdures. De nombreuses mthodes (*) et socits spcialises traitent de lanalyse dactivit. Afin dillustrer schmatiquement cette tape, dressons un tableau simplifi des oprations ncessaires pour le branchement du bras mobile sur le wagon :

OPERATIONS

DYSFONCTIONNEMENTS

POSSIBLES CONSEQUENCES

1 Vrification de mobilit du bras

Pas de vrification Blocage du bras

Bras peut se bloquer Pas de dplacement possible grippage du joint Fuite

2 Mise en place du bras par rotation 3 Enclenchement du bras dans le dispositif de connexion du wagon 4 Verrouillage du dispositif 5 Vrification du verrouillage et de ltanchit 6 Vrification de continuit de terre

Dfaut du joint de rotule Blocage du bras Dfaut du joint de rotule Mauvais positionnement Dtrioration du clapet Mauvais verrouillage Dtrioration du joint Pas de vrification Pas de vrification

Fuite si dysfonctionnements prcdent gnration dlectricit statique sans coulement la terre tincelles

Il est noter que sont mis en vidence des dysfonctionnements de nature opratoire mais aussi de nature technique. Ces dysfonctionnements peuvent tre reprsents sous la forme dun premier arbre de dfaillances de fonctionnement. (*) voir notamment lEtat de lart dans le domaine de la Fiabilit Humaine ISDF Edit par OCTARES 1994

130

MAUVAIS VERROUILLAGE

BLOCAGE DU BRAS AU COURS DU DEPLACEMENT

DETERIORATION DU CLAPET 2

GRIPPAGE

DEFAUT DE JONCTION

BLOCAGE DU BRAS AU COURS DUNE OPERATION PRECEDENTE

DEFAUT JOINT DE ROTULE

FUITE SUR DISPOSITIF DE BRANCHEMENT DU BRAS MOBILE

MAUVAIS POSITIONNEMENT DU BRAS MAUVAISE FORMATION PAS DE VERIFICATION

STRESS

13me NIVEAU : Identifier de manire dtaille les dysfonctionnements techniques : Cette tape se fait en ralisant des AMDEC ou des HAZOP, suivant le cas, sur les lments techniques des sous systmes. Par exemple on peut faire une AMDEC sur le clapet anti retour du dispositif de connexion du bras mobile sur le wagon. Celui-ci se prsente schmatiquement comme suit : Pi 2
Pour ouvrir le clapet la connexion, il faut exercer une force F1 telle que : F1 + Patm x S2 > F + Pi S1 Pi = f ( temprature externe)

S1 1 F

Patm S2

F1

131

Une petite analyse fonctionnelle donne le schma suivant :

Pi S1 + F > Patm X S2
Ressort exerce sa force sur le clapet Clapet guid Contact tanche du clapet Pas de sortie de liquide

Ressort de rappel bien tar

Ce qui permet de construire le tableau dAMDEC :
Dsigna tion de lquip ement Clapet dtanch it fonction repre Mode de Cause de Effet de dfaillance dfaillance dfaillance Effet local Effet final Dtection Dispositif Probabilit Niveau de de de de la dfaillance remplacemdfaillance criticit ent Possible MAXI Remar Ques

Assurer ltan cheit du branchem nt du bras mobile

Non Mauvais Fuite de tanchit fonctionne propane ment

Formation Bruit Vanne dun nuag Brouillard disolem de propan Odeur ent et dair

Ressort de Appliquer rappel le clapet sur sa porte Guidage Guider le du clapet dplace ment du clapet Contact dtan Chit de la porte du clapet Assurer ltan chit du clapet

Fuite Non application du clapet sur sa porte Fuite Coince Usure Non Ment Grippage application Rupture Dfaut du du clapet sur sa mtal porte Fuite Mauvais Dfor Non contact Mation application Prsence Dpt de du clapet sur sa dobstacle matire porte Objet Force insuffi sante ou nulle Mauvais tarage Rupture

Bruit Vanne Brouillard disolem Odeur Ent

Possible

MAXI

Maintenan ce prventive Choix du mtal (autolubri iant) Choix du mtal

Vanne Bruit Brouillard disolem Odeur Ent

Possible

MAXI

Maintenan ce prventive

Vanne Bruit Brouillard disole Odeur Ment

Possible

MAXI

Vrifica tion de la porte avant branche ment

qui permettra de construire un deuxime arbre de dfaillance de fonctionnement : Celui-ci se connecte en 1 REMARQUES : Lanalyse dactivit et lanalyse des dysfonctionnements techniques est un travail de spcialistes long et coteux, surtout dans une installation industrielle. Il se couple bien avec une analyse de dfaillances qui rejoint la qualit et la maintenance. sur larbre de dfaillance prcdent.

132

DEFORMATION

DEPOT DE MATIERE PRESENCE DOBSTACLES OBJET USURE

MAUVAIS CONTACT SUR PORTEE

1 COINCEMENT DEFAUT DE GUIDAGE DU CLAPET RUPTURE

GRIPPAGE DEFAUT DE METAL

FUITE PAR DETERIORATION DU CLAPET

COINCEMENT DEFAUT DU RESSORT DE RAPPEL RUPTURE

P1 X S1+ F > Patm X S2 RESSORT DE RAPPEL SANS ACTION RESSORT MAL TARE

2me Etape du module B : EVALUER LES RISQUES EN CONSTRUISANT DES ARBRES DE DEFAILLANCE ET EN LES QUANTIFIANT : 14me NIVEAU: Construire des arbres de dfaillance sur les risques principaux : A ce niveau de lanalyse, nous avons toute linformation pour construire des arbres de dfaillance sur les ENS principaux identifis dans le module A. En effet : Les arbres logiques du module A sont les squelettes de ces arbres. Les ADD construits sur les dysfonctionnements techniques et opratoires dveloppent les vnements primaires des arbres logiques. En construisant lADD on combine verticalement les vnements qui ne ltaient que linairement et on fait apparatre, dans les combinaisons, des vnements nouveaux qui ntaient pas encore apparus. Si nous illustrons ceci partir de larbre de dfaillance BLEVE de la sphre reprsent de manire non complte ci-aprs, apparaissent dans la construction logique de larbre partir de larbre logique de la page114, par exemple, les vnements entranant la rupture de lenveloppe et ceux concernant lintervention. On peut alors constater quun flux thermique est un mode commun de dfaillance, ce qui est assez vident, la rupture de lenveloppe et au dpassement des conditions limites de surchauffe du propane.

133

6 SPHERE TROP PLEINE

FLUX THERMIQUE

P>PRESISTANCE

DILATATION PROPANE LIQUIDE SOUPAPE BLOQUEE PAS DE DEPRESSURISATION

PAS DE VIDANGE POSSIBLE

RUPTURE ENVELOPPE

FAIBLE DEBIT SOUPAPE

CHOC

INCENDIE SUR ELEMENT PROCHE

DYSF VANNE PRELE VEMENT

FUITE SUR SPHERE

FEU DANS L ENVIRONNEMENT

6 BLEVE SPHERE

FUITE ENFLAMMEE 3 SOURCE d ALLUMAGE RAYONNEMENT TROP INTENSE

FLUX THERMIQUE

t>t ls
INTERVENTION NON EFFICACE OU IMPOSSIBLE

MOYENS INSUFFISANTS

RUPTURE D ENVELOPPE

FUITE SUR DISPOSITIF DE BRANCHEMENT DU BRAS MOBILE

5 FUITE ENFLAMMEE BLEVE WAGON

SOURCE D ALLUMAGE

t>tls
AUTRE ORIGINE

CHOC SUR SPHERE

134

DISPOSITIF DE MISE A LA TERRE NON BRANCHE ETINCELLE ELECTROSTATIQUE

SOURCE D ALLUMAGE DISPOSITIF DE MISE A LA TERRE DEFECTUEUX

AUTRE

15me NIVEAU : Quantifier les ADD : La technique des ADD permet dutiliser tous les avantages lis leurs proprits : Visualisation de lenchanement combinatoire de tous les vnements Conduisant aux ENS. Possibilit de neutraliser les ENS en inhibant les vnements primaires. Identification des modes communs. Possibilit de rduire larbre (le simplifier) si lon peut crire son quation en algbre de BOOL. Dtermination des coupes de larbre ou des diffrents groupes de nombre dvnements primaires se combinant pour gnrer lENS (ordre 1 : il suffit dun vnement primaire pour gnrer lENS ; ordre 2 : il suffit de deux vnements primaires pour gnrer lENS......) Quantification de larbre, cest dire calcul de la probabilit de lENS en appliquant lquation de larbre en algbre de BOOL. Pour cela il est ncessaire de connatre la probabilit des vnements primaires. Si lon examine les vnements primaires de lADD BLEVE, on remarque toute la difficult de trouver ces dernires. Pour cette raison, il est rare, en milieu industriel, de pouvoir calculer la probabilit des ENS. Nous pouvons tourner cette difficult en mettant en uvre une technique expose ci-aprs qui va permettre de faire une allocation dun nombre de barrires.

3me Etape du module B :NEGOCIER DES OBJECTIFS PRECIS DE PREVENTION :

135

A ce niveau de l'analyse il est possible d'utiliser les proprits des arbres de dfaillances pour allouer une rpartition d'un nombre de barrires de prvention sur les ENS. Il sera alors ncessaire de pratiquer une deuxime ngociation pour fixer le nombre de barrires en fonction de la Gravit des ENS. Comme il est rare de pouvoir placer directement les barrires sur les ENS, on les rpartit en remontant larbre lenvers. 16me NIVEAU : Ngocier une allocation de barrires : Pour ce faire on construit un grille ngocie entre les acteurs, qui fait correspondre un nombre de barrires chaque niveau de gravit dfini dans la 4me Etape du module A (page 116). Prenons le cas de la grille G x P pour les cibles cosystmes et populations de linstallation de propane. On peut construire le tableau de correspondance suivant : OBJECTIF EN NOMBRE DE BARRIERES GRAVITE G Technologiques 4 ou 3 3 ou 3 3 ou 2 2 ou 1 1 ou 0 1 ou 0 DUtilisation 2 3 2 3 1 2 1 2 1 2 0 1

A chaque niveau, le choix entre les deux possibilits nest pas innocent . Lun privilgie les BT et considre donc quon ne peut pas trop faire confiance aux oprateurs. Lautre met une gale confiance dans la technique et dans les oprateurs, ce qui sous entend que ces derniers sont bien forms notamment la connaissance et la matrise des risques.

17me NIVEAU : Rpartir les barrires sur les ADD :

136

A partir de lallocation de barrires choisie sur lENS, on utilise la logique de larbre pour remonter une allocation sur les vnements primaires de ce dernier .

2BU

A
2BT 2BU

ENS
2BT

C
2BT

B D
2me configuration

2BT

2BT

A A
2BT 2BU

2BT

ENS
2BU

C
2BU

2BT 2BU

ENS B

2BU

C
2BU

2BU

D D

B
1re configuration

2BU

1re configuration

Il y a donc plusieurs rpartitions possible. Le schma prcdent nen montre que deux. 4me ETAPE : AFFINER LES MOYENS DE PREVENTION : A partir des diffrents modes de rpartition des barrires, on construit un tableau ou lon recense toutes les barrires quil est possible de mettre sur les vnements primaires. Il est videmment fait appel aux barrires identifies dans le module A, compltes avec celles trouves dans le module B.

137

On peut sarrter l et vrifier simplement que les barrires permettent de neutraliser tous les vnements sinon on fait apparatre de risques rsiduels. On peut aussi valuer (ou on calcule si cela est possible) le cot des barrires. On value lavantage en matire de scurit des configurations en nombre de barrires et leur avantage en matire de cot. Il reste trancher entre les deux lorsque les rsultats sont contradictoires. Illustrons ce travail avec lADD BLEVE : 1 re CONFIGURATION DE REPARTITION DES BARRIERES :
1 BT + 1 BU SPHERE TROP PLEINE 6 FLUX THERMIQUE 1 BT + 1BU DILATATION PROPANE LIQUIDE SOUPAPE 1 BT BLOQUEE 1 BT FAIBLE DEBIT SOUPAPE 1 BT 5 CHOC 1 BT + 1 BU 1 BT + 1 BU P>PRESISTANCE

1 BU

2 BT + 1 BU 1BT PAS DE DEPRESSURISATION RUPTURE ENVELOPPE

1 BT

PAS DE VIDANGE POSSIBLE

INCENDIE SUR ELEMENT PROCHE 1 BT + 1 BU

1 BT 4 DYSF VANNE PRELE VEMENT 1 BT 3 SOURCE d ALLUMAGE 1 BU FUITE SUR SPHERE

FEU DANS L ENVIRONNEMENT 1 BT + 1 BU FUITE ENFLAMMEE 1 BU RAYONNEMENT TROP INTENSE

3 BT+ 3BU 6 1 BT + 1 BU FLUX THERMIQUE BLEVE SPHERE

1 BU INTERVENTION NON EFFICACE OU IMPOSSIBLE

t>t ls
2 BU + 1 BT

1 BU MOYENS INSUFFISANTS

1 re CONFIGURATION

DISPOSITIF DE MISE A LA TERRE NON BRANCHE 1 BU ETINCELLE ELECTROSTATIQUE 1 BU

SOURCE D ALLUMAGE DISPOSITIF DE MISE A LA TERRE DEFECTUEUX 1 BU 1 BU AUTRE 1 BU

1 re CONFIGURATION

138

RUPTURE D ENVELOPPE 1 BT 1 BT + 1 BU 2 FUITE SUR DISPOSITIF DE BRANCHEMENT DU BRAS MOBILE

NOUVELLE ALLOCATION LIEE AU FAIT QUE LE BLEVE DU WAGON EST UN ENS

3 BT + 3 BU 5 FUITE ENFLAMMEE 1 BT + 1 BU BLEVE WAGON 1 BT CHOC SUR SPHERE AUTRE ORIGINE 1 BT

SOURCE D ALLUMAGE 1 BU

t>tls
1 BT + 1BU

1re CONFIGURATION

1 BT

MAUVAIS VERROUILLAGE

1 BT 1 BT BLOCAGE DU BRAS AU COURS DU DEPLACEMENT 1

DETERIORATION DU CLAPET 2 1 BT FUITE SUR DISPOSITIF DE BRANCHEMENT DU BRAS MOBILE

GRIPPAGE

DEFAUT DE JONCTION

1 BT

BLOCAGE DU BRAS AU COURS DUNE OPERATION PRECEDENTE

1 BT

DEFAUT JOINT DE ROTULE

MAUVAIS POSITIONNEMENT DU BRAS 1 BT MAUVAISE FORMATION PAS DE VERIFICATION 1 BT

STRESS 1 re CONFIGURATION

139

1 BT

DEFORMATION

1 BT

DEPOT DE MATIERE PRESENCE DOBSTACLES

MAUVAIS CONTACT SUR PORTEE

1 BT 1 BT

OBJET USURE 1 COINCEMENT DEFAUT DE GUIDAGE DU CLAPET RUPTURE 1 BT DETERIORATION DU CLAPET

1 BT

GRIPPAGE DEFAUT DE METAL 1 BT COINCEMENT 1 BT RUPTURE 1 BT

DEFAUT DU RESSORT DE RAPPEL

P1 X S1+ F > Patm X S2 1 BT RESSORT MAL TARE 1 BT RESSORT DE RAPPEL SANS ACTION 1 re CONFIGURATION

COMMENTAIRES : Sur lvnement BLEVE WAGON il est ncessaire de faire une nouvelle allocation de barrires puisquil sagit dun ENS majeur. A partir de FUITE SUR LE DISPOSITIF DE BRANCHEMENT DU BRAS MOBILE, vnement pour lequel il est allou une barrire, on alloue au moins une barrire tous les vnements primaires. 2me CONFIGURATION DALLOCATION DE BARRIERES : Dans cette deuxime configuration, on fait une allocation diffrente de barrires et on la rpartit de la mme manire que pour la premire configuration sur les vnements primaires. Lallocation pour le BLEVE DU WAGON est aussi change. On constate en fait que le nombre de barrires finales sur certains vnements primaires, notamment ceux qui se trouvent en bout de scnarios trs longs, ne change pas.

140

1 BT + 1 BU SPHERE TROP PLEINE

FLUX THERMIQUE 1 BT + 1 BU DILATATION PROPANE LIQUIDE 1 BU SOUPAPE BLOQUEE

P>PRESISTANCE 1 BT + 1 BU

1 BU

2 BU +1 BT PAS DE VIDANGE POSSIBLE 1 BU 1 BT 5 CHOC 1 BT DYSF VANNE PRELE VEMENT 2 BT 2 BT FUITE SUR SPHERE 1 BT SOURCE d ALLUMAGE 1 BT 1 BU RAYONNEMENT TROP INTENSE FEU DANS L ENVIRONNEMENT 2 BT FUITE ENFLAMMEE FLUX THERMIQUE 3 BT + 3BU 6 2 BT BLEVE SPHERE INCENDIE SUR ELEMENT PROCHE 1 BU PAS DE DEPRESSURISATION RUPTURE ENVELOPPE

1 BT

FAIBLE DEBIT SOUPAPE

1 BU INTERVENTION NON EFFICACE OU IMPOSSIBLE

t>t ls
2 BT + 1 BU

1 BU

MOYENS INSUFFISANTS 2 me CONFIGURATION

141

DISPOSITIF DE MISE A LA TERRE NON BRANCHE 1 BT ETINCELLE ELECTROSTATIQUE 1 BT DISPOSITIF DE MISE A LA TERRE DEFECTUEUX 1 BT 1 BT

SOURCE D ALLUMAGE 1 BT

AUTRE

2 me CONFIGURATION

1 BU

3 BT FUITE SUR DISPOSITIF DE BRANCHEMENT DU BRAS MOBILE

RUPTURE D ENVELOPPE

4 BT FUITE ENFLAMMEE

4 BT + 2 BU 5 BLEVE WAGON

SOURCE D ALLUMAGE 1 BT

t>tls
1 BU AUTRE ORIGINE 1 BT

CHOC SUR SPHERE 1 BT

2me CONFIGURATION

142

2 BT

MAUVAIS VERROUILLAGE 2 BT

2 BT BLOCAGE DU BRAS AU COURS DU DEPLACEMENT 1 DETERIORATION DU CLAPET 2 BT GRIPPAGE 2 BT 2 BT BLOCAGE DU BRAS AU COURS DUNE OPERATION PRECEDENTE 2 BT 3 BT 2 BT MAUVAIS POSITIONNEMENT DU BRAS DEFAUT JOINT DE ROTULE 2 BT FUITE SUR DISPOSITIF DE BRANCHEMENT DU BRAS MOBILE DEFAUT DE JONCTION 2

MAUVAISE FORMATION PAS DE VERIFICATION 1 BT STRESS 1 BT

2me CONFIGURATION

DEFORMATION 2 BT 2 BT DEPOT DE MATIERE 2 BT OBJET 2 BT USURE PRESENCE DOBSTACLES MAUVAIS CONTACT SUR PORTEE 2 BT 1 COINCEMENT DEFAUT DE GUIDAGE DU CLAPET RUPTURE 2 BT 2 BT DETERIORATION DU CLAPET

2 BT

GRIPPAGE DEFAUT DE METAL 2 BT

COINCEMENT 2 BT RUPTURE 2 BT DEFAUT DU RESSORT DE RAPPEL 2 BT

1 BT

P1 X S1+ F > Patm X S2 RESSORT DE RAPPEL SANS ACTION 2 me CONFIGURATION 2 BT

1 BT

RESSORT MAL TARE

143

TABLEAU D
BARRIERES POSSIBLES ENS PRIMAIRE BT RAYONNEMENT TROP INTENSE MOYENS DE LUTTE INSUFFISANTS ARROSAG E FIXE AUTOMAT. DEBROU SSAILLAG E BU 1re Config PROTECTION INDIVIDUELLE 1 BU EXIGENCE AVAN TAGE EXIGENC E 2me Config OK 1 BU OK AVAN TAGE COUT COUT BARRIERES AJOUTEES DANS LA CONFIG. RETENUE

1re Conf 2me Conf

1 BU

1 BU

ARROSAGE FIXE AUTOM ATIQUE

AUTRE SOURCE DALLUMAGE

DISPOSITIF DE MISE A LA TERRE NON BRANCHE DISPOSITIF DE MISE A LA TERRE DEFECTUEUX

Dispositif automa tique

PERMIS DE FEU 1 BU VERIFICA TION PERIODI QUE DEBROU SSAILLAGE CONSIGNE DE 1 BU BRANCHE MENT Contrle ET 1 BU ENTRETIEN PERIODIQUES Consigne contrle avant branchement Contrle et 1 BT Entretien priodiques

++

1 BT

++

1 BT

DISPOSITIF AUTOMA TIQUE

+ 1 BT

OK

_ 1 BU OK

SOUPAPE BLOQUEE

FAIBLE DEBIT DE SOUPAPE SPHERE TROP PLEINE

SOUPAPE BIEN calcule DETECTIO CONSIGNE N Contrle NIVEAU PERIODIQUE DOUBLEE DETECTEUR SPHERE VIDE EN ATTENTE Protection des piquages CONSIGNE

1 BT

OK

1 BU

OK DETECTEU R NIVEAU DOUBLE

1 BU

++

1 BU

++

VIDANGE IMPOSSIBLE AUTRE CHOC SUR SPHERE DEFAUT VANNE DE PRELEVEMENT

1 BT

1 BT

1 BT

OK

1 BT

OK

VANNE BIEN CONCUE

Contrle PERIODIQUE

+ 1 BT 1 BT

STRESS MAUVAISE FORMATION

DEFAUT JOINT DE ROTULE

BLOCAGE BRAS AU COURS OPERATION PRECEDENTE BLOCAGE DU BRAS AU COURS DU DEPLACEMENT GUIDE MECANIQ UE DE CONNEXI ON

PERSONNEL ENTRAINE FORMATION CORRECTE ENTRAINE MENT Contrle PERIODIQUE MAINTEN ANCE PREVENTIVE VERIFICATIO N AVANT MISE EN OEUVRE FORMATION ENTRAINE MENT

_ 1 BT _ 1 BT 2 BT 1 BT

_ __

OK 1 BT 2 BT

_ 1 BT 2 BT

__

_ + 1 BT 2 BT

144

MAUVAIS VERROUI LLAGE DU BRAS

SECURITE DE VERROUI LLAGE CHOIX DU METAL FILTRE ENTRETIEN PREVENTIF NETTOYAGE APRES TRAVAUX Contrle PROPRETE NETTOYAGE APRES TRAVAUX Contrle PROPRETE Contrle AVANT branchement MAINTENANC E PREVENTIVE MAINTENANC E PREVENTIVE Contrle QUALITE TESTS Contrle PERIODIQUE Contrle QUALITE TESTS PAR CONSTRU CTION TARAGE DU RESSORT Contrle PERIODIQUE

_ 1 BT OK 2 BT

SECURITE DE VERROUI LLAGE

_ 1 BT + 2 BT FILTRE + 1 BT 2 BT OK

DEFORMATION CLAPET DEPOT MATIERE SUR CLAPET

OBJET SUR CLAPET

_ 1 BT OK 2 BT

USURE GUIDE CLAPET

CHOIX DU METAL METAL AUTOLUB RIFIANT CHOIX DU METAL

_ 1 BT + 2 BT _ 1 BT + 2 BT

GRIPPAGE GUIDE CLAPET DEFAUT DU METAL

1 BT

+ _

2 BT

OK __

COINCEMENT RESSORT RUPTURE RESSORT

1 BT _ 1 BT

2 BT __ 2 BT

PI X S1 + F>Patm x S2

1 BT

OK

1BT

OK

RESSORT MAL TARE

1 BT

OK

1 BT

OK

BILAN

8 OK 11+ 2++ 6

9 OK 4+ 2++ 8 4--

4+

2+

NE PAS OUBLIER DE QUALIFIER CES BARRIERES EN LES INTRODUISANT DANS LA GRILLE

145

La lecture du tableau fait apparatre les points suivants : La configuration 1 est la meilleure sur le plan de la scurit car cest dans celle-ci quil manque le moins de barrires pour satisfaire les objectifs. Elle est un peu plus chre en cot dinvestissement car en quatre points les barrires sont surdimensionnes. On retiendra donc la configuration 1.

REMARQUE : Cette partie de lanalyse est encore peu dveloppe et assez rarement mise en uvre. Elle met bien en vidence les choix implicites ou explicites faits entre BT et BU. Elle ncessite que lon sassure pour chacun des types de barrires (BT ou BU) que les barrires sont homognes en efficacit. 5me ETAPE : GERER LES RISQUES : Pour terminer lanalyse, avec les scnarios identifis et en recensant les moyens dintervention et leur mise en uvre travers lorganisation, on cre les plans dintervention en cas daccidents ( POI ou Plan dOprations Interne en milieu industriel ; PUI ou Plan dUrgence Interne en milieu nuclaire). Ces plans sont destins montrer quil est possible de faire face aux ENS, sils surviennent, et quil est possible den limiter les effets. Par exemple, dans le scnario BLEVE, le POI doit prvoir quels moyens, et comment ils seraient mis en uvre, permettraient de lutter contre une fuite enflamme pour viter le droulement du scnario complet. On peut ce niveau sur chacun des ENS ayant fait lobjet dun ADD, construire un arbre cause-consquences qui aide identifier les consquences de cet vnement suivant lefficacit des moyens mis en place pour en limiter les effets sil survient. Cet arbre est donc symtrique de lADD par rapport lENS.

6 S PHERE TROP PLE INE

FLUX THE RM IQUE

P>PRE SISTANCE

UNE INTERVENTION EST POSSIBLE LA FUITE SENFLAMME

RUPT URE ENVELOPPE

DIL AT AT ION PROPANE LIQUIDE S OUPAPE BL OQUE E PAS DE DEPRESSURISATION

OUI

PAS DE VIDANGE POSSIBLE

FUITE EN PHASE LIQUIDE LE WAGON EST PERCE LE BLEVE ATTEINT LE WAGON OUI NON NON OUI

OUI NON NON OUI OUI NON UNE NAPPE DERIVANTE GAZEUSE SE FORME POURSUITE DE LANALYSE NON

FAIB LE DEBIT SOUPAPE

CHOC

INCENDIE SUR EL EMENT PROCHE

DYSF VANNE PRELE VEME NT

FUIT E SUR SPHERE

FEU DANS L ENVIRONNEME NT

6 BL EVE S PHERE

OUI

FUIT E ENFLAMM EE 3 SOURCE d ALL UMAG E RAYONNEME NT TROP INTE NSE

FLUX THE RM IQUE

t>t ls
INT ERVE NT ION NON EFFICACE OU IMPOSSIBL E

NON

MOYENS INS UFFISANTS

AMORCE DUN ARBRE CAUSE - CONSEQUENCES SUR LENS BLEVE SPHERE

146

5 LES MODES DE MISE EN OEUVRE DE LA METHODE :

Mise en uvre complte avec ses tapes et ses niveaux
1er niveau 3me niveau 1re Etape 2me niveau 4me niveau

A partir IDENTIFIER LES d une SOURCES DE modlisation DANGERS de l installation

2me Etape

1er niveau 2me niveau 3me niveau

MODULE A Analyse principale de risques ou Analyse des risques principaux VISION MACROSCOPIQUE DE L INSTALLATION

IDENTIFIER LES SCENARIOS DE DANGERS

1er niveau 3me Etape 2me niveau EVALUER LES SCENARIOS DE RISQUES

IDENTIFIER LES RISQUES DE FONCTIONNEMENT 1re Etape 1er niveau 2me niveau

1er niveau 4me Etape 2me niveau NEGOCIER DES OBJECTIFS ET HIERARCHISER LES SCENARIOS

EVALUER LES RISQUES EN CONSTRUISANT DES ADD ET EN LES QUANTIFIANT 2me Etape 1er niveau 2me niveau NEGOCIER DES OBJECTIFS PRECIS DE PREVENTION

1er niveau 5me Etape 2me niveau DEFINIR LES MOYENS DE PREVENTION ET LES QUALIFIER

MODULE B 3me Etape 1er niveau 2me niveau Analyse des risques de fonctionnement ou Sret de fonctionnement VISION MICROSCOPIQUE DE L INSTALLATION

AFFINER LES MOYENS DE PREVENTION 4me Etape 1er niveau 2me niveau GERER LES RISQUES

5me Etape

Il est aussi possible dutiliser la mthode comme une BOITE A OUTILS.

147

A partir IDENTIFIER LES d une SOURCES DE modlisation DANGERS de l installation

IDENTIFIER LES SCENARIOS DE DANGERS

MODULE A Analyse principale de risques ou Analyse des risques principaux VISION MACROSCOPIQUE DE L INSTALLATION

IDENTIFIER LES RISQUES DE FONCTIONNEMENT

EVALUER LES SCENARIOS DE RISQUES NEGOCIER DES OBJECTIFS ET HIERARCHISER LES SCENARIOS

EVALUER LES RISQUES EN CONSTRUISANT DES ADD ET EN LES QUANTIFIANT NEGOCIER DES OBJECTIFS PRECIS DE PREVENTION

DEFINIR LES MOYENS DE PREVENTION ET LES QUALIFIER

MODULE B Analyse des risques de fonctionnement ou Sret de fonctionnement VISION MICROSCOPIQUE DE L INSTALLATION

AFFINER LES MOYENS DE PREVENTION GERER LES RISQUES

Chaque bote contient en fait un ou plusieurs outils quil est possible de mettre en uvre dans des dmarches rduites ou simplifies. Voici quelques exemples : Identification simple des sources de danger dune installation. On lit linstallation, sans la dcomposer en sous systmes, travers la grille 1. On obtient donc une liste exhaustive des sources de danger de linstallation. Si lon fait cela pour plusieurs installations, il est alors possible de les classer par importance des dangers quelles prsentent ce qui permet de savoir par quel ordre commencer leur analyse de risques.

A partir dune modlisatio n

IDENTIFIER LES SOURCES DE DANGER

148

Identification simple des sources de danger dune installation et recherche rapide des moyens de prvention On poursuit le travail prcdent en recherchant rapidement les moyens de prvention pour chaque danger.

A partir IDENTIFIER LES d une SOURCES DE modlisation DANGERS de l installation

IDENTIFIER LES SCENARIOS DE DANGERS

MODULE A Analyse principale de risques ou Analyse des risques principaux VISION MACROSCOPIQUE DE L INSTALLATION

EVALUER LES SCENARIOS DE RISQUES NEGOCIER DES OBJECTIFS ET HIERARCHISER LES SCENARIOS

DEFINIR LES MOYENS DE PREVENTION ET LES QUALIFIER

Etude des risques des trois centres de recherche et dessais dEDF ( Direction des Etudes et Recherches). On passe directement de la ngociation dobjectifs la construction dADD sur les ENS partir des arbres logiques et on recherche les barrires sur les vnements primaires en sassurant que tous les vnements peuvent tre neutraliss.

A partir IDENTIFIER LES d une SOURCES DE modlisation DANGERS de l installation

IDENTIFIER LES SCENARIOS DE DANGERS

MODULE A Analyse principale de risques ou Analyse des risques principaux VISION MACROSCOPIQUE DE L INSTALLATION

IDENTIFIER LES RISQUES DE FONCTIONNEMENT

EVALUER LES SCENARIOS DE RISQUES NEGOCIER DES OBJECTIFS ET HIERARCHISER LES SCENARIOS

EVALUER LES RISQUES EN CONSTRUISANT DES ADD ET EN LES QUANTIFIANT NEGOCIER DES OBJECTIFS PRECIS DE PREVENTION

DEFINIR LES MOYENS DE PREVENTION ET LES QUALIFIER

MODULE B Analyse des risques de fonctionnement ou Sret de fonctionnement VISION MICROSCOPIQUE DE L INSTALLATION

AFFINER LES MOYENS DE PREVENTION GERER LES RISQUES

149

On trouvera ci-aprs un ensemble de cheminements possibles avec MOSAR pour le module A et pour toute la mthode :

SYSTEME SOUS SYSTEMES

QUELQUES EXEMPLES DE CHEMINEMENTS DU MODULE A DE MOSAR

SYSTEMES SOURCES DE DANGERS

TABLEAU A

SCENARIOS

ARBRES LOGIQUES

EVALUATION DES RISQUES

EVALUATION DES RISQUES

EVALUATION DES RISQUES

GRILLE GxP

GRILLE GxP

TABLEAU B ET TABLEAU C

TABLEAU B ET TABLEAU C

TABLEAU B ET TABLEAU C

TABLEAU B ET TABLEAU C

TABLEAU B ET TABLEAU C

TABLEAU B ET TABLEAU C

TABLEAU B ET TABLEAU C

TABLEAU B ET TABLEAU C

TABLEAU B ET TABLEAU C

INSTALLATION

1
Dcomposition en sous-systmes

1
Systmes sources de danger

Analyse des vnements primaires techniques Analyse des vnements opratoires

Construction darbres de dfaillances sur ces vnements

Construction dun ADD gnral

1
Tableau A

1
Scnarios Arbres logiques

Allocation de barrires sur lvnement final

Evaluation des risques

Meilleur choix cot/efficacit tableau D

Hirarchisation des risques

Tableau B et tableau C

Tableaux B et C sur les vnements primaires

DIFFERENTS PARCOURS DE MOSAR

LE PARCOURS 1 EST PAR EXEMPLE CELUI RETENU DANS LES ANALYSES FAITES A EDF ET A LA SNECMA

150

MOSAR PAR ETAPES ET PAR NIVEAUX

____ MODULE A ----ETAPE PRELIMINAIRE MODULE A : modlisation de linstallation et identification des sources de danger : modliser linstallation : choisir le systme tudier et dfinir son environnement. dcomposer linstallation en sous-sytmes. 1re ETAPE MODULE A : identifier les sources de danger 1er niveau : identification des sources de danger de chaque sous-sytme : mise en uvre de la grille 1. 2me niveau : identification des processus de danger : mise en uvre du modle MADS et du tableau A. 2me ETAPE MODULE A : identifier les scnarios de dangers : 3me niveau : mise de chaque sous-sytme sous forme dune bote noire. 4me niveau : gnration de scnarios courts et de scnarios dautodestruction. 5me niveau : gnration de scnarios longs, validation de ces derniers et construction darbres logiques sur les accidents principaux ainsi identifis. 3me ETAPE MODULE A : valuation des scnarios de risques : 6me niveau : valuation quantitative : utilisation de logiciels de calcul ou valuation qualitative par travail de groupe. Identification des cibles pouvant tre atteintes par les scnarios valus. 4me ETAPE MODULE A : ngociation dobjectifs et hirarchisation des scnarios : 7me niveau : ngociation de grilles gravit X probabilit par travail de groupe. 8me niveau : situation des scnarios dans les grilles et hirarchisation de ces derniers. 5me ETAPE MODULE A : identification ou dfinition des moyens de prvention et de protection (classs en barrires technologiques (BT) et en barrires dutilisation (BU) et qualification de ces barrires. 9me niveau : identification des barrires de prvention et de protection : mise en uvre du tableau B. 10me niveau : qualification des barrires de prvention et de protection : mise en uvre du tableau C. 11me niveau : on situe nouveau les scnarios dans les grilles G x P pour vrifier si les barrires les ramnent dans le domaine de lacceptabilit.

151

MODULE B ___ 1re ETAPE MODULE B : identifier les risques de fonctionnement : 12me niveau : identifier les dysfonctionnements opratoires des vnements de cette nature reprs sur les arbres logiques de la 2me tape module A 5me niveau : mettre en uvre des analyses dactivit et construire les arbres de dfaillances qui en dcoulent. 13me niveau : identifier les dysfonctionnements techniques reprs sur ces mmes arbres logiques : mise en uvre doutils tels que lAMDEC et construction des arbres de dfaillance qui en dcoulent. 2me ETAPE MODULE B : valuer les risques en construisant des arbres de dfaillance gnraux et en les quantifiant si possible : 14me niveau : partir des arbres logiques de la 2me tape module A 5me niveau et des arbres de dfaillances construits partir des analyses dactivit et des AMDEC, construire des arbres de dfaillances gnraux sur les accidents principaux vnements finaux des arbres logiques ci-dessus : utilisation de loutil ARBRE DE DEFAILLANCES. 15me niveau : quantification de ces arbres logiques si cela est possible : utilisation des banques de donnes existantes pour quantifier les vnements primaires et calculer la probabilit des vnements finaux. 3me ETAPE MODULE B : ngocier des objectifs prcis de prvention : 16me niveau : ngocier une allocation de barrire par construction dune grille de correspondance entre un nombre de barrires placer sur lvnement final des arbres de dfaillances et les niveaux de gravit dfinis la 4me tape module A-7er niveau. 17me niveau : placer le nombre de barrires correspondant au niveau de gravit des vnements finaux des arbres de dfaillance et rpartir ces barrires jusque sur les vnements primaires de ces arbres en utilisant la logique de ces derniers. 4me ETAPE MODULE B : affiner les moyens de prvention : choisir la meilleure rpartition cot / efficacit des barrires sur les vnements primaires en remplissant un tableau D et qualifier les barrires ajoutes par rapport celles trouves dans le module A. 5me ETAPE MODULE B : grer les risques : partir des scnarios construits et du travail ainsi ralis, construire les plans de prvention : plans de scurit, POI, PUI.

152

MOSAR MISE SOUS FORME SADT

CONTRAINTES

DONNEES DENTREE

ACTIGRAMME (action)

DONNEES DE SORTIE

MOYENS SUPPORT (ou daide)

LE LANGAGE DE MODELISATION SADT

REGLEMENTATION (REGLES ET REGLEMENTS) MODELISATION DU SYSTEME

IDENTIFIER LES SOURCES DE DANGER

A01
IDENTIFIER LES SCENARIOS DE DANGER A02 EVALUER LES SCENARIOS DE RISQUES A03
NEGOCIER DES OBJECTIFS ET HIERARCHISER LES SCENARIOS A04 DEFINIR LES MOYENS DE PREVENTION ET LES QUALIFIER A05
GRILLES G X P RETOUR D EXPERIENCE BARRIERES DE PREVENTION ET DE PROTECTION PLANS DINTERVENTION

METHODES OUTILS

METHODES OUTILS

OUTILS DE CALCUL

GERER LES RISQUES A06

DOCUMENTS DE SECURITE PROCEDURES DE GESTION

LA DEMARCHE DANALYSE DE RISQUES DUN SYSTEME

153

REGLEMENTATION (REGLES ET REGLEMENTS) MODELISATION DU SYSTEME

IDENTIFIER LES SOURCES DE DANGER mAE01 IDENTIFIER LES SCENARIOS DE DANGER mAE02 EVALUER LES SCENARIOS DE RISQUES mAE03
NEGOCIER DES OBJECTIFS ET HIERARCHISER LES SCENARIOS mAE04 DEFINIR LES MOYENS DE PREVENTION ET LES QUALIFIER mAE05
GRILLES G X P RETOUR D EXPERIENCE BARRIERES DE PREVENTION ET DE PROTECTION

METHODES OUTILS

METHODES OUTILS

OUTILS DE CALCUL

RISQUES RESIDUELS ET NEUTRALISATION DES RISQUES PRINCIPAUX

MOSAR module A analyse de scurit dune installation

Rglementation

MOSAR - module A tape prliminaire et 1re tape

MODELISATION DE LINSTALLATION (choix du systme tudier dans le contexte)

ETAPE PRELIMINAIRE

IDENTIFIER LES SOURCES DE DANGER mAE01

Sous-systmes homognes

Connaissance des sources de danger et de leurs Lecture effets systmatique

Logique et retour d exprience

DECOMPOSER LE SYSTEME SS A ETUDIER EN SOUS-SYSTEMES

ETAPE PRELIMINAIRE

IDENTIFIER LES SYSTEMES SOURCES DE DANGER mAN1E1

IDENTIFIER

SSD LES PROCESSUS vnements non souhaits

DE DANGER mAN2E01

Environnement actif Dcomposition fonctionnelle

Tableau A

Tableau A

Grille1 (typologie des systmes sources de danger)

Modle MADS

154

rglementation

MOSAR module A 2me tape

vnements non souhaits

IDENTIFIER LES SCENARIOS DE DANGER mAE02

Homognisation du vocabulaire

logique intuition imagination retour dexprience

logique

vnements initiateurs

vnements principaux

Mettre chaque sous-systme sous forme dune bote noire mAN3E02

BN

Gnrer des scnarios courts et des scnarios dautodestruction mAN4E02

Gnrer des scnarios longs scnarios et construire des arbres logiques mAN5E02

Arbres logiques construits sur les ENS ou risques principaux

Technique des botes noires

Technique dinteraction des botes noires

Arbres logiques

MOSAR module A 3me tape

Arbres logiques construits sur les ENS ou risques principaux

EVALUATION DES SCENARIOS DE RISQUES

mAE03

Bon choix des logiciels

Bon choix des experts participation des acteurs

Scnarios des arbres logiques

EVALUER QUANTITATIVEMENT POUR CE QUI PEUT LETRE mAN6E03

EVALUER QUALITATIVEMENT POUR LE RESTE mAN603

Cibles dfinies Scnarios valus en gravit et en probabilits qualitatives ou quantitatives

Outils et logiciels de calculs (dbits de fuites, diffusion atmosphrique, effets dexplosions, niveaux toxiques....)

Jugements de groupes et jugements dexperts

155

rglementation

MOSAR module A 4me tape

Scnarios valus en gravit et en probabilits quantitatives ou qualitatives

NEGOCIATION DOBJECTIFS ET HIERARCHISATION DES SCENARIOS

mAE04

Obtention dun consensus

Obtention dun consensus

NEGOCIER DES GRILLES GRAVITE X PROBABILITE mAN7E4

Grilles G x P

SITUER LES SCENARIOS DANS LES GRILLES ET HIERARCHISER CES DERNIERS mAN8E4

Scnarios hirarchiss

Modles de construction des grilles

Runion du groupe dacteurs

Techniques danimation de groupes

rglementation

MOSAR module A 5me tape

Scnarios hirarchiss

IDENTIFICATION OU DEFINITION DES MOYENS DE PREVENTION ET DE PROTECTION

mAE05

Connaissance des moyens de prvention Retour dexprience Retour dexprience

Obtention dun consensus

Scnarios hirarchiss en commenant par les plus inacceptables

IDENTIFIER LES BARRIERES DE PREVENTION ET DE PROTECTION mAN9E05

BT et BU

QUALIFIER LES BARRIERES DE PREVENTION ET DE PROTECTION mAN10E05

BT et BU qualifies

RESITUER LES SCENARIOS DANS LES GRILLES G x P mAN11E05

Risques rsiduels (restant inacceptables)

Tableau B

Tableau B qui devient le tableau C

Grilles G x P

Runion du groupe dacteurs

Techniques danimation de groupes

156

REGLEMENTATION (REGLES ET REGLEMENTS)

IDENTIFIER LES RISQUES DE FONCTIONNEMENT

mBE01

vnements primaires des arbres logiques de mAN5E02

EVALUER LES RISQUES

OUTILS

mBE02

ARBRES DE DEFAILLANCES RESEAUX

NEGOCIER DES OBJECTIFS PRECIS mBE03 AFFINER LES MOYENS DE PREVENTION mBE04

Grilles G x P de mAN7E4

Modles de correspondance Tableau B gravit/nombre et C de barrires Tableau D

GERER LES RISQUES mBE05

Moyens dintervention

Plans de scurit Plans dintervention Documents de scurit

MOSAR module B analyse de scurit dune installation

rglementations

MOSAR module B 1re tape

vnements primaires des arbres logiques de mAN5E02

IDENTIFIER LES RISQUES DE FONCTIONNEMENT

mBE01
ADD sur les dysfonctionnements opratoires et techniques logique

Travail spcifique de terrain

Connaissances techniques logique

IDENTIFIER LES vnements DYSFONCTIONNEMENTS de nature OP2RATOIRES opratoire mBN12E01

CONSTRUIRE DES ADD SUR CES DYSFONCTIONNEMENTS

IDENTIFIER LES DYSFONCTIONNEMENTS TECHNIQUES

CONSTRUIRE DES ADD SUR CES DYSFONCTIONNEMENTS

mBN12E01

mBN13E01
Outils AMDEC HAZOP

mBN13E01

Analyse dactivit

ADD

ADD

vnements de nature technique

157

MOSAR module B 2me tape

ADD sur les dysfonctionnements opratoires et techniques

EVALUER LES RISQUES EN CONSTRUISANT DES ADD GENERAUX

mBE02

Arbres logiques de mAN5E02

Logique intuition imagination

Retour dexprience

Connaissance de lalgbre de BOOL

CONSTRUIRE DES ARBRES LOGIQUES PRINCIPAUX SUR LES ENS DU mAN5E02 mBN14E02

EVALUER LES RISQUES EN QUANTIFIANT LES ARBRES SI CELA EST POSSIBLE mBN15E02

ADD complets sur les ENS principaux

Outil ADD

Logiciels daide la construction dADD

Logiciels de calcul de probabilits sur ADD

rglementation

MOSAR MODULE B 3me tape

ADD complets sur les risques principaux

NEGOCIER DES OBJECTIFS PRECIS DE PREVENTION

mBE03

Obtention dun consensus

Logique de lADD

NEGOCIER UNE ALLOCATION DE BARRIERES SUR LES ADD GENERAUX mBN16E03

REPARTIR LES BARRIERES SUR LES ADD GENERAUX mBN17E03

ADD avec barrires rparties jusque sur les vnements primaires

Correspondance gravit - nombre de barrires

Runion des acteurs

Techniques danimation de groupes

158

MOSAR module A 4me tape

ADD avec barrires rparties jusque sur les vnements primaires

AFFINER LES MOYENS DE PREVENTION ET DE PROTECTION

mBE04

Risques rsiduels pour les vnements sans barrires possibles ou insuffisantes

Barrires efficacit quivalente Retour dexprience Retour dexprience

CHOISIR LA MEILLEURE REPARTITION COUT/EFFICACITE mBE04

QUALIFIER LES BARRIERES AJOUTEES PAR RAPPORT AU MODULE A mBE04

RETENIR UNE REPARTITION QUELCONQUE ET QUALIFIER LES BARRIERES AJOUTEES PAR RAPPORT AU MODULE A

mBE04
Calcul du cot des barrires Tableau D Tableau C Tableau C

MOSAR module B 5me tape

Rglementations

Arbres logiques construits sur les ENSou risques principaux (scnarios de mAN5E02)

Plans de prvention Plans dintervention

GERER LES RISQUES

Documents de scurit

mBE05

Moyens dintervention

Organisation de lintervention

159

6 QUELQUES EXEMPLES DAPPLICATION DANS DIFFERENTS DOMAINES DONT LE DOMAINE INDUSTRIEL : 6 - 1 - Unit de fabrication de verre plat :
Cette unit fabrique du verre plat dans des paisseurs variant de 5mm 15mm suivant la demande. Elle est trs rcente au moment de lanalyse et fonctionne depuis 6 mois. Elle est constitue dateliers formant un btiment de 15m de large et 600m de long. La silice est introduite une extrmit par des silos et le verre sort sur un tapis roulant lautre extrmit o il dfile la vitesse de 1m/s. Cette sortie se fait dans un hall. Les plaques de verre de plusieurs m, une fois dcoupes sont saisies pendant leur droulement par une machine de manutention ventouses qui les redresse et les stocke sur des supports appels pupitres ou lisses suivant leur forme.

plaques lisse

plaques plaques
pupitr

Lanalyse a port sur le hall. Une dizaine de personnes y ont particip dont le directeur de lusine et le mdecin du travail. Chacun se rend dans latelier avec la grille 1. Au retour, on constate que tout le monde na pas vu la mme chose. Dans lesprit des participants de lusine les risques sont essentiellement mcaniques. Or il y a par exemple dans le hall une petite unit de traitement deau avec acide sulfurique et soude, ce que permet tout de suite didentifier la grille 1 si on lapplique systmatiquement et ce dont les participants navaient pas conscience. Mais le plus intressant apparat lorsque lon construit un arbre de dfaillance sur un ENS identifi comme majeur : lcrasement dun oprateur par une chute de plaque de verre. Lidentification des barrires de neutralisation des vnements primaires (BT et BU) montre dun simple coup dil lorsquelle sont listes (voir ci-aprs), quil y a peu de barrires technologiques (alors que dans lesprit des participants lusine tant trs rcente, tous les problmes techniques sont bien pris en compte) et beaucoup de barrires dutilisation. Autrement dit la scurit repose avant tout sur les oprateurs sans que ceci ait particip dun choix dlibr. La question quil faut se poser alors est : sont-ils bien forms ? La colonne formation du tableau B montre tout de suite quil nen est rien et donne en mme temps les manques combler pour y remdier.

160

Dfaut conception Mauvais entretien

Fausse manuvre manutention Heurt par lment de manutention

Rupture lisse

Fausse manuvre manutention

Dsquilibre lisse fixe de stockage

Dfaut plaque

Rupture plaque Chute de plaque

Mauvais fonctionnement appareil

choc Chute d objet Contrainte trop grande

Rupture de pice Mauvais lingage

Chute par manutention du palonnier ventouse

Dfaut de fonctionnement
lment bloquant mcaniquement

Glissement plaque au chargement camion

Fausse manoeuvre

crasement par chute de plaque

Blocage releveur

Dfaut de conception

Glissement plaque au chargement lisse

Rupture lment du releveur Personnel juch sur une lisse

Mauvais entretien

Personnel excutant la manoeuvre Prsence de personnel Personnel de passage

Travaux Pas de balisage Pas de consignes Balisage enlev

Franchissement zone balise

Zone non balise

Evnement primaire
Mauvais fonctionnement appareil

Rupture de pice Dfaut de conception Mauvais entretien Fausse manuvre de manutention Dfaut de plaque

BT Etude de scurit de fonctionnement Scurits de mise en scurit Qualit de conception Qualit de conception

BU

Contrle priodique Contrle de rception Contrle priodique

Vrification de la politique dentretien Politique dentretien

Qualit du produit

Heurt par lment de manutention Chute dobjet Contrainte trop grande

Obstacle ? Obstacle ? Limitation du nombre de plaques

Mauvais clairage Dfaut de fonctionnement Etude de scurit de fonctionnement Scurits de mise en scurit Elments bloquant Obstacle la prsence dun mcaniquement lment Personnel perch sur une lisse Obstacle ?

Formation du personnel Outils de cette formation Contrle qualit Contrle que ce contrle est fait Formation du personnel Contrle de cette formation Contrle de la prsence dobstacle Consignes vrification de la prsence consignes Formation du personnel Contrle de cette formation

Consigne Formation du personnel Consigne Formation du personnel

161

Franchissement zone balise Pas de balisage

Obstacle ? Obstacle ?

Travaux

Balisage Formation du personnel Consignes Consignes Contrle de prsence de consignes

Pas de consignes

162

6 2 Appareil de dclenchement prventif davalanches :

Cet appareil appel aussi avalancheur est un lanceur pneumatique dobus chargs de 2 kg dexplosif Nitroroc, mis sur le march en 1983. Lexplosion de lobus au contact du manteau neigeux gnre une onde de choc qui entrane la formation de coules de neige purgeant les pentes. Lobus peut atteindre une distance allant jusqu 1500m. Le Nitroroc est un explosif autostrilisable fabriqu sur place en remplissant des obus juste avant le tir par le mlange de deux liquides dont chacun est neutre tant quil nest pas mlang lautre et dont lassociation cre un explosif actif pendant une dure variant de 2h 4 h suivant la temprature extrieure. Cet explosif, peu sensible, ncessite pour tre amorc une chane pyrotechnique comprenant un cordeau dtonant, un dtonateur et une amorce dclench par un percuteur inertie au moment du choc. L analyse de risque suivant la mthode MOSAR conduit titre dexemple la bote noire de lobus suivante avec les scnarios associs:

DEVIATION DE TIR VITESSE INSUFFISANTE VITESSE TROP GRANDE DEFORMATION AILETTES MAUVAIS MELANGE FUITE LIQUIDE MALADRESSE ACTION NON CONFORME DEFAILLANCE CHAINE pyrotechnique CHOC A2 A3 A4 B1 B2

N'EXPLOSE PAS DEVIATION OBUS EXPLOSION EN VOL

SS2 OBUS

EXPLOSION DANS LANCEUR CHUTE ( CHOC ) EXPLOSION DIFFEREE EXPLOSION PREMATUREE EXPLOSION EN DEHORS CIBLE

163

Lexploitation des botes noires conduit lun des arbres logiques ci-aprs :

1
STRESS CONDITIONS METEO FATIGUE CHOC AVANT CHARGEMENT DEFORMATION AILETTES VITESSE INSUFFISANTE ACTION NON CONFORME MAUVAISE FORMATION ABSCENCE DE CONSIGNES MAUVAIS MELANGE FUITE DE LIQUIDE DEFAILLANCE CHAINE PAS D'EXPLOSION OBUS ACTIF

2
CHUTE EXPLOSION PREMATUREE SOUS -PRESSION SURPRESSION BLOCAGE ELEMENT SURPRESSION VITESSE INSUFFISANTE VITESSE TROP GRANDE DEVIATION EXPLOSION DIFFEREE EXPLOSION EN DEHORS CIBLE ATTEINTE POPULATION

MALADRESSE

FROID INTENSE

GEL

3
DECLENCHEMENT AVALANCHE

RUPTURE MANO MALADRESSE FATIGUE STRESS CONDITIONS METEO ERREUR

MAUVAIS BLOCAGE VENT

MAUVAIS MELANGE

4
POPULATION DANS LE CHAMP DE TIR

DEPLACEMENT POPULATION

ARBRE LOGIQUE ATTEINTE POPULATION

Lexamen du scnario 1 fait apparatre un phnomne de masque important. Dans lesprit des concepteurs lexplosif Nitroroc tant autostrilisable au bout dun certain temps, si lobus nexplose pas au moment de sa chute sur le manteau neigeux, il deviendra inactif et donc non dangereux. Le scnario 1 montre lvidence que la chane pyrotechnique peut rester active et constituer elle seule un danger mortel. Celui-ci a donc t pris en compte et le manuel de mise en uvre de lappareil prcisait clairement ce risque et en dduisait un ensemble de consignes impratives mettre en place en cas de non explosion de lobus dans une zone inaccessible en hiver : reprage de la zone dimpact, rcupration de lobus au printemps la fonte des neiges. Les utilisateurs reoivent toutes les autorisations ncessaires des autorits de contrle. A lautomne 1982, dans une station de ski, un des obus lancs nexplose pas. Au printemps 1983 il est ramass par un berger qui sen sert comme bton. La chane pyrotechnique explose et le tue sur le coup.

164

En premire instance le responsable de la structure qui a invent lappareil et la mis sur le march lpoque est condamn pour avoir commercialis un appareil dangereux. En appel, grce ltude de risque qui avait t faite priori, il est relax.

6 3 Etude la conception dune installation nuclaire de type industriel :

Il sagit l de lapplication de la mthode Mosar au niveau de la conception dune installation. On voulait construire une unit dirradiation duvres dart pour rendre ces dernires pratiquement imputrescibles. Pour cela un procd a t mis au point il y a une trentaine dannes consistant imprgner les uvres traiter (statues, sculptures en pierre ou en bois, planchers....dune rsine monomre en solution dans du styrne, dans des cuves mtalliques et sous pression dazote. Les objets sont ensuite irradis par un faisceau de rayonnements gamma produits par des sources radioactives de Co60. Cette irradiation provoque une polymrisation de la rsine dans luvre dart, qui rend celle-ci pratiquement imputrescible. Le projet prvoyait donc un atelier dimprgnation 1 avec ses cuves, une piscine de stockage 2 des sources en attendant leur utilisation (les sources sont stockes au fond de la piscine dont la hauteur deau assure la protection biologique contre le rayonnement des sources en absorbant celui-ci), une cellule dirradiation 3 avec hublot et tlmanipulateurs, un dispositif de transfert 4 des sources depuis le fond de la piscine jusqu la cellule dirradiation et un hall de manuvre 5 avec un pont roulant qui sert notamment manipuler les chteaux de plomb dans lesquels sont amenes les sources. Chaque local possde sa propre ventilation.

165

SS5 SS7 SS4 SS6

1 3 5

SS3
SS1 Piscine+Sources SS2 Dispositif de transfert ( + sources ) SS3 Btiment + ventilation SS4 Cellule + ventilation SS5 Pont roulant + charge SS6 Atelier d'imprgnation + ventilation SS7 Environnement actif SS8 Oprateurs

SS2
4

SS8
2

INB d'irradiation dcomposition en sous-systmes

SS1

Le schma ci-dessus montre une premire approche du projet avec sa dcomposition en soussystmes au nombre de 8. Voici titre dexemples quelques extraits de lanalyse :

SCENARIOS COURTS
CHOCS SURCHARGE CORROSION INCENDIE DYSF. INT. ERREUR COMde IRRADIATION CONTAMINATION

SS2 DISPOSITIF DE TRANSFERT

RUPTURE DEFORMATION
AVEC SOURCE

BLOCAGE
SANS SOURCE

+ SOURCES

IRRADIATION CRITICITE CONTAMINATION

A2 A3 A4 E

BOITE NOIRE SS2

166

stress inconscience fatigue

geste maladroit action non conforme sisme

fausse chute manoeuvre de pont charge roulant

sur piscine dans piscine chute pont

fissuration clatement jection d'eau

fuite d'eau pollution sol et nappe fuite imprtante dnoyage irradiation sources

environnement

btiment

effondrement sur cellule clatement hublot fissuration irradiation

sur atelier

explosion

choc

sur dispositif de transfert explosion

rupture blocage chocs

SCENARIOS LONGS

167

Lun des arbres logiques construits est reprsent ci-aprs :

env art env nat

explosion ext explosion int sisme incendie fausse man PR surcharge sisme

dysf dispositif regul niveau chute lment cellule chute lment btiment chute charge dans piscine chute d'objet dans piscine chute pont sur piscine

jection d'eau 2 dnoyage sources

fuite 3 importante blocage source en dehors protection biologique 4

choc corrosion surcharge

rupture dispositif de transfert deformation dispositif de transfert dysf interne

blocage incendie ext dformation choc surcharge corrosion

irradiation

foudre choc incendie int

incendie ext foudre sisme

explosion

incendie ext incendie int sisme choc

clatement hublot cellule 5

ARBRE LOGIQUE IRRADIATION

A partir de cet arbre logique sont par la suite, aprs ngociation dobjectifs et hirarchisation des scnarios : - identifis les Elments Importants pour la sret. - recherches les barrires de prvention qui sont tout de suite mises, travers un tableau B spcifiquement construit, sous la forme de lapproche analyse de sret (barrires de prennit des EIS, exigences dfinies.......) - construit larbre de dfaillances irradiation aprs quaient t construits les ADD sur les dysfonctionnements lmentaires de larbre logique (dysfonctionnements techniques comme ceux du pont roulant faisant lobjet dune AMDEC complte et ceux oprationnels comme ceux lis la mise en uvre du pont roulant.) - recherch les barrires complmentaires permettant de neutraliser ces derniers dysfonctionnements. - qualifi toutes les barrires.

168

6 4 Analyse de risques dun poste de travail :

PRINCIPE La dmarche comprend cinq oprations principales: 1.On commence par tablir le niveau de risque pour chaque type de danger. Pour cela , on "lit" le local ou le poste de travail avec la grille 1 de MOSAR et on note la probabilite que chaque risque survienne ainsi que le nombre de barrires de chaque type qui sont en place pour le neutraliser. On peut ainsi remplir un tableau 1 du type de celui ci-joint. Illustrons par deux exemples: a) Prenons le cas de la prsence d'une bouteille d'hydrogne dans un laboratoire .Il s'agit d'un appareil sous pression A1. Si cette bouteille est du type normalis et si elle subit rgulirement les contrles rglementaires , la probabilit d'explosion de la bouteille lie la pression ( scnario S1 )est pratiquement impossible compte tenu qu'il existe au moins une barrire technique ( la bouteille a fait l'objet d'une note de calcul de conception ) et une barrire d'utilisation ( les diffrents contrles et tests qu'elle subit ). L'effet de l'explosion reste maximum , si elle survient, car il n'y a pas de barrire de protection des oprateurs.Elle peut donc entrainer mort d'homme.. Un autre type de risque apparait en cas de fuite sur la bouteille ou sur le manodtendeur ou sur une canalisation de sortie. Il s'agit de la formation d'une atmosphre explosive dans le local avec explosion de type B2. Suivant la concentration en hydrogne pouvant tre atteinte , les effets se situent au niveau 4 ( mort d'homme ) s'il y a explosion ( scnario S3 ) ou au niveau 3 s'il y a seulement un " flash " avec brlures irrversibles ( scnario S4 ). Sa probabilit est au niveau 2 b) Prenons aussi le cas d'une machine qui gnre en continu un bruit d'intensit de 85 dbA. La probabilit de cette nuisance est donc maximale et ses effets sont dans le domaine de l'irrversible .( scnario S2 ) 2. Nous allons ensuite dfinir un objectif atteindre en se fixant par ngociation ou non , une grille probabilit x gravit type de celle ci-aprs. 3. On peut donc situer les risque identifis et apprcis dans cette grille Pour les exemples , les risques apprcis se situent de la manire suivante: a) S1 :G = niv 4 P = niv1; S3: G= niv 4 P= niv 2 ; S4 : G= niv 3 P = niv 2 b) S2: G = niv 3 P = niv 4 On voit tout de suite que : S1 est acceptable S2 est inacceptable S3 et S4 sont inacceptables

4. On peut alors rechercher quelles barrires complmentaires il est possible de rajouter ( et dterminer leur cot et le dlai de mise en place). Ce travail se fait en remplissant un tableau 2. Sur les exemples : S3 et S4 : Installer la bouteille l'extrieur , surtout si l'on risque d'atteindre les limites d'explosivit dans le local ; S'assurer que la ventilation est en marche de manire permanente si elle existe ( ou prvoir une ventilation permanente si elle n'existe pas ) ; Installer un explosimtre avec alarme S2 : Traiter la source de bruit Limiter le temps d'exposition au bruit , Port de moyens de protection individuels 5. Ensuite , compte-tenu des barrires trouves ( tableau 2 ) , on recherche en quoi elles modifient la position des scnarios dans la grille G X P . Pour cel , on remplit un tableau 3 en notant pour chaque scnario et chaque barrire ( ou aussi combinaison de barrires ) les nouveaux niveau de gravit G et les nouveaux niveaux de probabilit P . Ce travail est obligatoirement fait par l'utilisateur qui possde seul les moyens d'apprcier les modifications apportes par les barrires. La nouvelle situation des scnarios dans la grille G X P permet de s'assurer qu'ils deviennent acceptables On voit sur l'exemple qu'il y a plusieurs solutions et que l'on peut faire un choix , compte-tenu de leur cot.

169

TABLEAU 1
RISQUES ET NUISANCES A1 APPAREILS SOUS PRESSION

a
ORIGINE

NOMBRE DE BARRIERES EXISTANTES

d c
niv Prob

RISQUE APPRECIE AVEC BARRIERES EXISTANTES

4 TRES IMPORTANT 3 2 1

BT 1

BU 1

IMPORTANT

PEU IMPORTANT

MINEUR

SCENARIO

Stockage H2

S1 explosion pneumatique

A2 ELEMENTS SOUS CONTRAINTES A3 ELEMENTS EN MOUVEMENT A4 MANUTENTION MANUELLE MECANIQUE A5 EXPLOSION PHYSIQUE AUTRE QUE A1 ( FLASH ELECTRIQUE , BLEVE , THERMIQUE ) A6 CHUTE DE HAUTEUR A7 CHUTE DE PLAIN PIED A8 BLESSURES DIVERSES A9 BRUIT ET VIBRATIONS B1 REACTIONS CHIMIQUES B2 EXPLOSION CHIMIQUE B3 PRODUITS TOXIQUES OU AGRESSIIFS B4 POLLUTION DE L'AIR OU ODEURS B5 MANQUE D'OXYGENE C1 ELECTRICITE C2 ELECTRICITE STATIQUE C3 CONDENSATEURS ELECTRIQUES C4 HAUTES FREQUENCES D INCENDIE E1 RAYONNEMENTS IONISANTS IRRADIATION CONTAMINATION CRITICITE E2 UV IR AMBIANCE THERMIQUE ECLAIRAGE E3 LASER E4 MICROONDES E5 CHAMPS MAGNETIQUES F1 VIRUS , BACTERIES , PRIONS F2 TOXINES H1 ENVIRONNEMENT DANGEREUX

Machines Fuite H2 sur stockage

4 2 2 X

S2 Bruit S3 dtonation S4 dflagration

SCENARIO

BT DE CONCEPTION Nb

BARRIERES COMPLEMENTAIRES POSSIBLES BT BU BU BU VENTILATION PROTECTION INDIVIDUELLE SURVEILLANCE MEDICALE FORMATION

BU
HABILITATION TELESURVEILLANCE

S3 et S4
S2

Bouteilles 1 Marche 1 permanente l'extrieur

Traitement du bruit la source 1 Port de protections auditives 1

Dtecteur
d'H2 avec alarme

TABLEAU 2

170

a
SCENARIOS BT

b
BARRIERES POSSIBLES BU G

c
NOUVEAUX NIVEAUX P

d
COUT DES BARRIERES

S2-1 S2-2

Traitement du bruit la source Port de protections

1 1

4 2 limit dans le temps 2 2 2 2 2 1

Coteux Peu coteux

S2-3 S34-1 S34-2 S34-3 S34-4 S34-5

Limite du temps d'exposition 1 Bouteilles l'extrieur 2 Ventilation permanente 3 Dtection H2 Combinaison de 2 des 3 barrires 1,2,3 Mise en oeuvre des 3 barrires 1,2,3

2 2 2 2 2 2

Peu coteux Cot de l'installation " Peu coteux

TABLEAU 3

G = GRAVITE OU EFFET SUR UNE CIBLE , PAR EXEMPLE UN OU PLUSIEURS OPERATEURS

APRES TRAITEMENT AVEC BARRIERES POSSIBLES

GRILLE G X P NIVEAU

TRES IMPORTANT MORT D'HOMME IMPORTANT EFFETS IRREVERSIBLES ACCIDENT AVEC IPP PEU IMPORTANT EFFETS REVERSIBLES ACCIDENT AVEC AT SANS IPP MINEUR BLESSURES LEGERES ACCIDENT SANS AT

S1

S3

S4
S2-3 S34-5

INACCEPTABLE S2

S34-1-2-3-4

ACCEPTABLE
S2-2
TRES IMPROBABLE PEU PROBABLE UNE FOIS

S2-1

IMPROBABLE PEUT-ETRE UNE FOIS

PROBABLE PLUS D' UNE FOIS

RISQUE

0 FOIS

P = PROBABILITE DE L'EFFET

dansla dure devie de l'installation ou de l'exprience

NUISANCE NUISANCE TRES EXCEPTIONNELLE TEMPORAIRE

NUISANCE TEMPORAIRE

NUISANCE PERMANENTE

<1

NIVEAU

171

7 ANALYSE ET MANAGEMENT DES RISQUES :

Si lon se rfre au modle du systme dcompos en ses trois sous-systmes fonctionnels, on constate que la matrise des risques est au cur des relations entre les trois sous-systmes.

MANAGEMENT (organisaction)

ORGANISATION

SSP
Matrise des risques

SSI

SSO
TECHNIQUE

A tous les niveaux de management depuis le patron de lentreprise jusquau chef dquipe, le schma suivant sapplique :

DIRIGER

INFORMER

Contrler et rguler par la qualit

FAIRE

172

et tous les niveaux, depuis le patron jusqu loprateur, lautre schma ci-aprs sapplique :

ANTICIPER

INFORMER

MAITRISER LES RISQUES

CONTROLER ET REGULER PAR LA QUALITE

FAIRE

Intressante homognit qui montre que qualit et matrise des risques sont en symbiose et qui conduit la culture de scurit. La culture de scurit est la prise de conscience par tous que les gestes de la mise en scurit doivent tre permanents au sens de ne pas prendre de risques inutiles et non valus. Ceci implique : - maintenir sa comptence. - Avoir connaissance et conscience des risques. - Appliquer les rgles et les rdiger avec les acteurs concerns si on est amen devoir le faire (consignes, procdures). - Communiquer. - Se sentir responsable. - Anticiper. - Ne pas hsiter se remettre en question. - Eclairer les images mentales que lon peut avoir de son contexte de travail et de ses contexte de vie car tout est li. Participer une analyse de risque MOSAR par la dynamique cre et lapproche la fois systmique et systmatique mise en uvre, permet de dvelopper ces lments. On reconnat l les moyens de neutraliser le schma toil de modlisation du risque du paragraphe 2 1.

173

CONNAISSANCE ET CONSCIENCE DES RISQUES

RESPECT DES REGLES ET BONNE REDACTION DE CELLES - CI DEVELOPPER LA QUALITE

MAINTIEN DES COMPETENCES TECHNIQUES

MAITRISE DES RISQUES PAR LA CULTURE DE SECURITE

ANTICIPER

COMMUNIQUER SE SENTIR RESPONSABLE SE REMETTRE EN QUESTION ECLAIRER SES IMAGES MENTALES NE PAS CRER DES CONDITIONS DE STRESS

8 APPLICATION A LENSEIGNEMENT DE LA MAITRISE DES RISQUES :

Lensemble de ce qui a t dvelopp dans les chapitres prcdents permet de structurer les connaissances ncessaires la matrise des risques adaptables tous niveaux et tous domaines et de dvelopper ainsi les enseignements ncessaires.

AIDE A LA DECISION ( rsolution de conflits)

OUTILS D AIDE A LA DECISION ET OUTILS DE NEGOCIATION INTERACTIONS DE RESEAUX (CINDYNIQUES) Modle intgr CONNAISSANCE DES CHAMPS

METHODES

psychologiques sociologiques conomiques politiques juridiques organisationnel physico-chimiques (sciences et techniques) culturels

INTERACTIONS DE SOURCES DE DANGER (MOSAR) CONNAISSANCE DES ENS OUTILS DE LA SURETE DE FONCTIONNEMENT DEFINITION: MODELE MADS POINTS DE VUE: SAGACE

SOURCES DE DANGER PROCESSUS DE DANGER EFFETS SUR LES CIBLES

INTRODUCTION A LA SYSTEMIQUE ET A SES APPORTS OUTILS D ANALYSE

EVENEMENTS NON
ANALYSE A PRIORI
ANALYSE A POSTERIORI

SOUHAITES
SENS DE L ENSEIGNEMENT (on commence par le retour d exprience pour capter l attention

RETOUR D EXPERIENCE

OUTILS DE STRUCTURATION

ESQUISSE DUN ENSEIGNEMENT DE LA SCIENCE DU DANGER

174

BIBLIOGRAPHIE
Cette bibliographie nest pas exhaustive mais elle donne les ouvrages essentiels.

OUVRAGES AYANT TRAIT A LA SYSTEMIQUE

-----------------

E. ANDREEWSKY et COLL. Systmique et Cognition. Ed. Dunod, Paris 1991. H. ATLAN Entre le cristal et la fume. Ed. du Seuil, Paris 1979. Y. BAREL Le paradoxe et le Systme. Presses Universitaires de Grenoble. Ed. 1989. G. BATESON Vers une Ecologie de lesprit. 2vol., Ed. du Seuil, Paris. E. BERNARD-WEIL Prcis de Systmique Ago- Antagoniste. Introduction aux Stratgies Bilatrales. Ed. lInterdisciplinaire, 69760 Limonest, 1988. VON BERTALANFY Thorie Gnrale des Systmes. Ed. Dunod 1987, Paris. COLLOQUE DE CERISY Les Thories de la Complexit, autour de luvre dHenry Atlan. Ed. du Seuil, Paris 1991. M. CROZIER et E. FRIEDBERG LActeur et le Systme. Ed. du Seuil, Paris. Grard DONNADIEU et KARSKY La systmique, penser et agir dans la complexit. Ed. LIAISONS 2002

175

J.W. FORRESTER Principes des Systmes. Ed. Presses Universitaires de Lyon, 1982. A. GIRE Thorie ouverte des Systmes. Esquisses Epistmologiques. Ed. lInterdisciplinaire 69760 Limonest 1988. J.W. LAPIERRE LAnalyse de Systmes. Lapplication aux Sciences Sociales. Ed. Syros, Paris 1992. F. LE GALLOU et B. BOUCHON-MEUNIER Systmique, Thorie et Applications. Ed. Technique et Documentation . Lavoisier, Paris 1992. J.L LE MOIGNE Thorie du Systme Gnral, thorie de la modlisation. Ed. PUF, Paris. Le Constructivisme, tomes 1 et 2. ESF Editeur, Paris 1994. Les pistmologies constructivistes. Que sais-je n 2969, PUF Paris 1995. G. LERBET Approche Systmique et production de Savoir. Ed. lHarmattan, Paris 1993. J. LESOURNE La notion de Sytme dans les sciences contemporaines. 2 vol., ED. de la Librairie de lUniversit, Aix en Provence. J. LORIGNY Les Systmes Autonomes. Relation alatoire et sciences de lesprit. Ed. Dunod, Paris 1992. J.C. LUGAN La Systmique Sociale. Que sais-je ? n 2738, PUF Paris 1996. J. MELEZE Approche systmique des organisations. Ed Hommes et Techniques, Paris 1990. E.MORIN La Mthode : Tome 1 : La Nature de la Nature Tome 2 : La Vie de la Vie Tome 3 : La Connaissance de la Connaissance Tome 4 : Les Ides Tome 5 : Lhumanit de lhumanit ; lidentit humaine Ed. du Seuil, Paris. Science avec Conscience. Ed. Fayard, Paris 1982. Introduction la Pense Complexe. Ed. ESF, Paris 1990.

176

J. PIAGET, Logique et Connaissance Scientifique. Ed. Gallimard, Encyclopdie de la Pliade, Paris 1967. I. PRIGOGINE et G. NICOLIS A la rencontre du complexe. Ed. PUF, Paris 1992. I. PRIGOGINE et I. STENGERS La Nouvelle Alliance. Ed. Gallimard, Paris1979. J. de ROSNAY Le Macroscope, vers une vision globale. Ed. du Seuil, Paris. H.A. SIMON, Sciences des systmes, Sciences de lartificiel. Ed. Dunod, Paris 1991. R. THOM , Stabilit Structurelle et Morphogense. Essai dune thorie gnrale des modles. Ed. W.A. Benjamin-Reading, Mass. USA, diffusion Ediscience, Paris. U. N. U. IDATE, Universit des Nations Unis 1986, Science et Pratique de la Complexit. La Documentation Franaise, Paris. P. VALERY, uvres compltes (2 tomes) et Cahiers (2 tomes). Collection Pliade, NRF, Paris. F.J. VARELA Autonomie et Connaissance, Essai sur le Vivant. Ed. du Seuil, Paris 1989. R.A. THIETART La Dynamique de lhomme au travail. Une nouvelle approche par lanalyse des systmes. Ed. Les Editions dOrganisation, Paris1977. B. WALLISER Systmes et modles. Ed. du Seuil, Paris.

177

OUVRAGES AYANT TRAIT AUX RISQUES ---------ACTES DES COLLOQUES CINDYNIQUES 1992, 1994, 1996 Institut Europen de Cindyniques, 9, rue de Rocroy 75010 Paris. ACTES DES SEMINAIRES Retours dexprience, apprentissages et vigilances organisationnels. Approches croises et des SEMINAIRES du programme Risques Collectifs et Situations de Crise. Organiss par C. GILBERT, CNRS MRASH. UPMF-BP 47X 38040 Grenoble CEDEX 9. ACTES DES ASSISES INTERNATIONALES DES FORMATIONS UNIVERSITAIRES ET AVANCEES DANS LE DOMAINE DES SCIENCES ET TECHNIQUES DU DANGER Universit Bordeaux 1, IUT A, Dpartement Hygine, Scurit, Environnement. 1993. AMALBERTI R. La conduite des systmes risques P.U.F 1996 A.S. BAILLY et COLL. Risques Naturels. Risques de Socit. Ed. Economica, Paris 1996. M. BARNIER Atlas des Risques Majeurs. Ed. Plon, Paris 1992. Ulrich BECK La socit du risque (sur la voie dune autre modernit) Alto/Aubier 2001 P.L. BERNSTEIN Plus fort que les Dieux. La remarquable histoire du risque. Ed. Flammarion, Paris 1998. J. BESSIS La probabilit et lvaluation des risques. Ed. Masson, 1984. M. BOLL Les certitudes du hasard. Que sais-je n3, PUF 1951. B. BOUCHON-MEUNIER et HUNG T. NGUYEN Les incertitudes dans les systmes intelligents. Que sais-je n 3110, PUF 1996. BOURG D., SCHLEGEL J.L Parer aux risques de demain : le principe de prcaution Editions du Seuil 2001 G. BRONNER 178

LIncertitude. Que sais-je n 3187, PUF 1997. P. CAZAMIAN Trait dergonomie. Ed . Octars Entreprise Marseille 1987. S. CHARBONNEAU La Gestion de lImpossible. La protection contre les risques techniques majeurs. Ed. Economica, Paris1992 COLLECTIF La Socit Vulnrable. Evaluer et matriser les risques. Ed. Presse de lEcole Normale Suprieure, Paris 1987. COLLECTIF Introduction aux Cindyniques. Sous la direction de J.L. WYBO. Ed. Eska, Paris 1998. COLLECTIF LEtat de lart dans le domaine de la fiabilit humaine. Institut de Sret de fonctionnement.Ed. Octars Toulouse 1994. COLLECTIF Guide dintervention face au risque chimique Fdration Nationale des Sapeurs Pompiers de France - 2002 32, rue Brguet 75011 PARIS COLLOQUE RISQUE ET SOCIETE Actes du Colloque sous la direction de M. TUBIANA, C. VROUSOS, C. CARDE, J.P. PAGES. Ed. Nuclon, Paris 1999. H. COURTOT La Gestion des Risques dans les Projets. Ed. Economica, Paris 1998. CULTURE TECHNIQUE (Publication) Risque, Scurit et Techniques. N 11, Sept. 1983. Ed. par le Centre de Recherche sur la Culture Technique (CRTC) Neuilly-sur-Seine. Henri DE CHOUDENS Le risque nuclaire. Tech de Doc. Lavoisier. 2001 J. DELUMEAU et Y. LEQUIN Les Malheurs des temps. Histoire des flaux et des calamits en France. Ed. Larousse, Paris 1987 D. DACUNHA-CASTELLE Chemins de lAlatoire. Le hasard et le risque dans la socit moderne. Ed. Flammarion, Paris 1996.

179

H. DENIS Comprendre et grer les Risques Sociotechnologiques majeurs. Ed. de lEcole Polytechnique de Montral 1998. Grer les Catastrophes. Lincertitude apprivoiser. Ed. des Presse de lUniversit de Montral, 1993. DOSSIER HORS-SERIE de pour la SCIENCE Le Hasard. N M 1930. Avril 1996. DOSSIER HORS-SERIE de pour la SCIENCE Les Maladies Emergentes. N M 1930. Octobre 1995 D. DUCLOS La Peur et le Savoir. La Socit face la science, la technique et leurs dangers. Ed. La Dcouverte, Paris 1989. Jean-Pierre DUPUY Pour un catastrophisme clair (quand limpossible est certain) Seuil 2002 Avions-nous oubli le mal ? Bayard 2002 J.F. FAYE Comment grer les Risques Financiers ? Ed. Tec et Doc . Lavoisier 1993. Serge FRONTIER Les cosystmes P.U.F Que sais-je ? 1999 F. GASSMANN Effet de serre. Modles et Ralits. Ed. Georg, Genve 1996. P. GOGUELIN La Prvention des Risques Professionnels . Que sais-je n3082, PUF 1996. HACKING Ian Lmergence de la probabilit. Seuil 2002. G.Y. KERVERN Elments fondamentaux de Cindyniques. Ed. Economica, Paris 1995. G.Y. KERVERN et P. RUBISE LArchipel du Danger. Ed. Economica, Paris 1991. Pierre KOHLER Sveso, Ozone, Amiante, Dioxine, Pluies acides Limposture verte Albin Michel 2002-09-22

180

P. LAGADEC La civilisation du Risque. Catastrophes technologiques et Responsabilit sociale. Ed. du Seuil 1981. Etats durgence. Dfaillances technologiques et dstabilisation sociale. Ed. du Seuil, Paris 1988. Apprendre Grer les Crises. Socit vulnrable-Acteurs responsables. Ed. dOrganisation, Paris 1993. Ruptures cratrices Ed . dorganisation, Paris 2000 D. LE BRETON La Sociologie du Risque. Que sais-je n 3016, PUF 1995. J. LEPLAT Erreur humaine, fiabilit humaine dans le travail. Ed. Armand Colin, Paris 1985. J. LEPLAT et X. CUNY Les accidents du travail. Que sais-je n1591, PUF 1979. A. LEROY et J.P. SIGNORET Le Risque Technologique. Que sais-je n 2669, PUF 1992 J. LIBMANN Elments de sret nuclaire. Institut de protection et de sret nuclaire-1996 C. LIEVENS Scurit des Systmes. Ed. Cepadues, Toulouse, 1976. MALLETTE PEDAGOGIQUE LE RISQUE MAJEUR (en deux volumes) Prpare par le Ministre de lEnvironnement (Mr MOREL) et diffuse par le CRDP de DIJON BP 490 - 210130 Dijon Cedex. P. MARTIN Ces Risques que lon dit Naturels. Ed. Edisud, Aix en Provence 1998. Le MONDE diplomatique N Spcial Manire de voir n 38: Ravages de la Technoscience. Mars-avril 1998. A. MOLES Les Sciences de lImprcis. Ed. du Seuil 1990. Christian MOREL Les dcisions absurdes Gallimard 2002

181

J.L. NICOLET, CARNINO A., WANNER J.C. Catastrophes, non merci ! La prvention des risques technologiques et humains. Ed. Masson, Paris 1989. PER BAK Quand la nature sorganise : avalanches, tremblements de terre et autres cataclysmes Flammarion 1999. F. RAMADE Les Catastrophes Ecologiques . Ed. McGraw-Hill, Paris 1987. J. REASON LErreur humaine. Ed. PUF, Paris 1993. P. RUBISE et Y. GAUTIER Les Risques Technologiques. Ed .Cit des Sciences et de lIndustrie, Pocket 1995. Alain VILLEMEUR Sret de fonctionnement des systmes industriels. Eyrolles 1988. ZENON (Revue) Risques techniques ou risques humain ? N spcial n2, Nov. 1997. Ed. Milan, Toulouse.

182