Impossible d'afficher l'image liée. Le fichier a peut-être été déplacé, renommé ou supprimé.

Vérifiez que la liaison pointe vers le fichier et l'emplacement corrects.

Master de Chimie
Spécialité : Ingénierie Chimique
NC 881 – CGP 231

Management des risques

Cours : Professeur Michaël Tatoulian

Michael.tatoulian@chimie-paristech. fr
Tel: 01 44 27 68 18 – ENSCP- Esc F- 2ème étage
Porte 258

ENSCMu,
24-03-2006

?
Buncefield, 01-2006
 Contenu pédagogique
1. LES RISQUES CHIMIQUES EN LABORATOIRE
Objectif: Connaissance des dangers via la FDS

- Risques toxicologiques (I. Mabille)

-  Risques Incendie (I. Mabille)
-  Explosions de poussières (L. Perrin)
-  Dangers électricité statique

2. MANAGEMENT DES RISQUES CHIMIQUES

Objectif: Mise en application des méthodes d’analyse des risques

- Présentation des grands accidents industriels (Seveso, Bophal, Feyzin….) et retour d’expérience
- Méthodes d’analyse des risques (Arbre d’évènement, arbre des causes, arbre des défaillances,
Méthode HAZOP, AMDEC)

3. REGLEMENTATION ET CONTRÔLE

- REACH
- Le système SGH et le CLP
-  directives Seveso, code du travail, document unique…
-  Les ICPE et Directives SEVESO
- Rôle des DRIRE
-  Code du travail
-  Risques psychosociaux

4. Projet: Analyse des risques d’un poste de travail

Analyse des dangers/Application méthodes analyses des risques
 LA SEMANTIQUE

RISQUE ??
=
PRODUIT DE DEUX
GRANDEURS
 Processus de gestion des risques

Identifier les phénomènes dangereux

Analyse
Estimation du risque de
Risques
Méthodes d’analyse
probabilité des risques Gravité
Réduction
du risque
(Prévention/
protection)
Evaluation du risque :
Probabilité/gravité des conséquences/cinétique

NON Acceptation
du risque

OUI
 Diagramme Fréquence-Gravité

Diminution du risque :
- On réduit la fréquence (Prévention)
-  On réduit la gravité (Protection)

Limite d’acceptation des risques

Diagramme de Farmer
Grandes étapes de l’Analyse de risques

1.  Analyse préliminaire des risques (APR)

à « Analyse en surface »à Identification des phénomènes dangereux

2. Etude détaillée des risques

à  Examen approfondi des accidents majeurs potentiels identifiés
à  Examen de la performance des barrières de sécurité

Utilisation de méthodes d’analyse des risques

 Démarches pour l’analyse des risques (1)
•  1. Définition du système (Etude des risques associés a nouvelle installation, modification d’un procédé)
•  2. Recueil des informations
–  A. description fonctionnelle et technique du système (permet identifier phénomène dangereux, pannes
susceptibles de se produire)
à Fonctions du système ( Q: à quoi sert…?)
à Structure du système (connexions en interactions, plans et schémas des installations
à Conditions de fonctionnement (P, T, phase…)
à Conditions d’exploitation (surveillance du système, régulation, alarmes, maintenance préventive?

–  B. Environnement du système (permet d’apprécier la gravité)

à Eléments vulnérables présents dans l’environnement (personnels du site, population, installations et
équipements externes, environnement naturel (nappes phréatiques, cours d’eau, sols…), biens et
structure dans l’environnement
à Sources d’agression externes
* Sur le site :(zones de circulation de travaux, malveillance)
* Sources agressions naturelles (conditions météo (gel, vent, neige, brouillard…), mouvements
terrains, séismes, foudre, inondations…)
* Sources agressions liées a l’activité humaine (présence d’établissements industriels proches,
transport de matière dangereuse, présence aéroport, malveillance

–  C. Identification des potentiels de dangers

à Internes (dangers lies aux produits, conditions opératoires, réactions chimiques)
à Externes (risques d’agression sismiques, inondation, foudre, effets dominos…)

–  D. Analyse des incidents/accidents passés

 Démarches pour l’analyse des risques (2)

• 3. Définition de la démarche à mettre en œuvre

à Choix des méthodes
à Constitution d’un groupe de travail
à Echelle de cotation des risques

• 4. Mise en œuvre de l’analyse des risques

 Groupe de travail

1. Contribution technique

- Responsable du projet
- Personne chargée de la sécurité
- Ingénieur procédé
- Personne chargée de la maintenance
- Spécialiste de l’automation et des systèmes, instrumentistes…
- Personne travaillant en production

2. Encadrement

- Animateur (garant de la méthode, guide l’analyse, veille à participation active de tout

le monde….) – Doit éviter d’être trop directif
- Secrétaire
 Plan de cours : Méthodes d’analyse des risques

Méthodes d’analyse des risques

Déductives Mixte Inductives

1.  Arbre des causes 8. Nœud papillon 3.What-if

2. Arbre des défaillances 4. HAZOP
5. Arbre d’évènement
6. AMDE-AMDEC
Retour d’expérience 7. APR
 Démarches d’analyse des risques

Axe du déroulement
des dysfonctionnements Temps

Evènements Combinaisons
Accident
Défaillances De séquences d’évènements

Méthodes directes inductives

Causes Effets

Analyse d’un système

Méthodes inverses déductives

Causes Effets
 Développé en 1970 par l’INRS

L’arbre des causes est la représentation graphique de

l’enchaînement logique des faits qui ont provoqué un
accident.
Méthode à posteriori : après survenue de l’accident
N’utilise que la porte logique « ET »

Ne décrit qu’un
 ARBRE DES CAUSES

L’accident est un symptôme de l’existence de dysfonctionnements dans

l’entreprise qui, ni mis à jour ni analysés ou supprimés, continueront à
provoquer d’autres symptômes (accidents ou incidents) .

Pyramide de l’accident

Tout évènement peut être

source de progrès

Diagramme de Bird
 LES 3 PHASES DE LA METHODE
•  Phase 1 : RECUEIL D’INFORMATION

•  Phase 2 : CONSTRUCTION DE L’ARBRE

•  Phase 3 : INTERPRETATION
–  le récit de l’accident (compréhension commune)
–  le choix des causes à supprimer
–  la recherche des Facteurs Potentiels d’Accidents
–  la recherche des mesures de prévention
–  le choix des mesures à appliquer
 LES 3 PHASES DE LA METHODE

1.Enquête accident
•  Le plus tôt possible après l’accident
•  Sur les lieux mêmes de l’accident
•  Avec l’ensemble des personnes concernées

2. Recueil de données
Ce qu’il faut faire…
•  Collecter des faits concrets, précis, objectifs
•  Examiner l’ensemble des éléments de la situation de travail
•  Remonter le plus loin possible en partant de la blessure
•  Rechercher en priorité les faits inhabituels
•  Noter tout ce qui n’était pas « normal » ou pas « prévu »
•  Prendre les faits eux-mêmes plutôt que leur traduction

Ce qu’il faut éviter…

•  Jugements de valeur, accusations, interprétations, désignation du coupable…
 FAIT OU INTERPRETATION?

Certains énoncés peuvent être factuels, ce sont des faits objectifs. D’autres
peuvent résulter d ’avantage du jugement de valeur et sont donc du domaine de
l’interprétation.
Fait
La formation a lieu à Strasbourg
Interprétation
Le niveau des stagiaires est très bon
Fait Interprétation/ Phrases
jugement
Omission dangereuse
Il pleuvait
Il roulait trop vite sur le sol mouillé
Consignes de travail non appliquées
L’ouvrier se trouvait face à la lampe
C’est un travail monotone
Une éclaboussure lui a brûlé la main
Il a manipulé maladroitement le flacon d’acide
La formation au poste de travail est insuffisante
 DE L’ACCIDENT A L’ARBRE DES CAUSES

•  LES TROIS QUESTIONS A SE POSER

Qu’est ce qui explique directement que … ?

Est-ce nécessaire … ?

Est-ce suffisant … ?

Structure de l’arbre
Accident

Recherche des causes

DE L’ACCIDENT A L’ARBRE DES CAUSES

•  RECIT DE L’EVENEMENT
Monsieur A était cardiaque. Ayant pris peur lors d’une panne
de l’ascenseur entre deux étages, il a été victime d’un arrêt du
cœur.

•  CONSTRUCTION
 Approche de la méthode

1 2 4 3
A

1 - Les feux sont restés allumés 3

2 - Le démarreur ne tourne pas 1 4
3 - L’avertisseur ne fonctionne pas B
2
4 - La batterie est déchargée
3
1 4
2
C

Un seul arbre est juste, lequel ? •  Exemple A

 Approche de la méthode
3
2 4
1
A
1 - Reçoit un coup de téléphone
2 - Le four reste allumé 3 1 2 4
3 - Le correspondant est bavard B
4 - Le rôti est brûlé
3
1 4
C 2

Un seul arbre est juste, lequel ? •  Exercice B

 Approche de la méthode
2
1
4 3
A
1 - X manque le train 2
4
2 - La voiture tombe en panne 1
3 - X arrive en retard à la gare B
3
4 - Le plein n’a pas été fait
4 2 3 1
C

Un seul arbre est juste, lequel ? •  Exercice C

 Approche de la méthode
1 4
2
3
A
1 - Le cariste titulaire est absent 3
2 - Le chef d’équipe conduit le chariot 4 2
3 - Le chargement est urgent B
1
4 - Il n’y a pas de cariste remplaçant
3
4 2
C
1

Un seul arbre est juste, lequel ? •  Exercice D

 Approche de la méthode
2
3 1
4
1 - La photo est ratée A

2 -Le photographe n’a pas pu aller 3

acheter de nouveaux produits 1
4 2
3 - Les produits de développement B
sont périmés
4 - La voiture de service est absente 4 2 3 1
C

Un seul arbre est juste, lequel ? •  Exercice E

 Approche de la méthode
1
3 2
4
A
1 - La rambarde gêne pour réparer 3
2 - L’ouvrier tombe à l’eau 1 2
3 - L’ouvrier est déséquilibré B
4
4 - La rambarde a été enlevée
3
2
1 4
C

Un seul arbre est juste, lequel ? •  Exercice F

 Plan de cours : Méthodes d’analyse des risques

Méthodes d’analyse des risques

Déductives Mixte Inductives

1.  Arbre des causes 4. Nœud papillon 3.What-if

2. Arbre des défaillances 4. HAZOP
5. Arbre d’évènement
6. AMDE-AMDEC
Retour d’expérience 7. APR
 Démarches d’analyse des risques

Axe du déroulement
des dysfonctionnements Temps

Evènements Combinaisons
Accident
Défaillances De séquences d’évènements

Méthodes directes inductives

Causes Effets

Analyse d’un système

Méthodes inverses déductives

Causes Effets
 2. Arbres des défaillances
US : Fault tree analysis
- Elaborée au début des années 1960 par la compagnie américaine Bell Telephone

- Expérimentée pour l’évaluation de la sécurité des systèmes de tirs de missiles

-  Analyse a posteriori des causes d’un accident (évènement redouté final) et vise à déterminer
les combinaisons d’évènements pouvant conduire à cet évènement redouté (aéronautique,
nucléaire, industrie chimique,…)

Principe :

Méthode déductive
Causes Evènement redouté

Présentation des résultats dans une structure arborescente

 Construction d’un arbre de défaillance

Evénement de tête
ou évènement intermédiaire

Evénement de base ou

Renvoi vers un sous arbre

Sommet d’un sous arbre

Connecteurs
ET OU
 Construction d’un arbre de défaillance

A B A B

ET OU

Quantification

P(E) = p(A) x p(B) P(E) = p(A) + p(B) – p(A) x p(B)

P(E) = p(A) + p(B) [si p(A) et p(B) faibles]

 Construction d’un arbre de défaillance
et notion de coupes ou séquences critiques minimales

MORTUREUX (Y.). –Techniques de l’Ingénieur – SE 4 050

Arbres de défaillance, des causes, et d’évènement
Construction d’un arbre de défaillance

Evénement de tête

MORTUREUX (Y.). –Techniques de l’Ingénieur – SE 4 050

Arbres de défaillance, des causes, et d’évènement
MORTUREUX (Y.). –Techniques de l’Ingénieur – SE 4 050
Arbres de défaillance, des causes, et d’évènement
 Etude de cas
On considère un procédé sensible aux variations de température, dans lequel on effectue une réaction
exothermique. Le réacteur est équipé d’un système de réfrigération qui permet de contrôler la température
du réacteur. Pour éviter un emballement thermique, le procédé est équipé de deux dispositifs :
(i) Système d’arrêt en alimentation en réactifs (inlet)
(ii) Système de douche (deluge system)
La température du réacteur est contrôlée par un capteur (TI) qui active automatiquement (lorsque T>T1) la
douche en ouvrant la vanne d’alimentation d’eau (Deluge system open button). Parallèlement, le capteur TI
actionne une alarme sonore (Temp. Alarm) dans la salle de contrôle pour alerter l’opérateur de la montée
en température. Quand l’alarme sonne, l’opérateur actionne la commande de fermeture de la vanne
d’alimentation en réactif (« inlet valve close button » qui stoppe l’alimentation en réactif. L’opérateur
actionne également la douche via le bouton d’ouverture de la douche (Deluge system open button) si la
douche n’est pas activée automatiquement par TI.

TI
Entrée
réactif

1/ Effectuez un « arbre de défaillances » avec pour évènement de tête ;

« Explosion du réacteur »
 Méthodes d’analyse des risques

Méthodes d’analyse des risques

Inductives Déductives

APR
HAZOP
Arbre des défaillances
What-if
Arbre des causes
Arbre d’évènement
Retour d’expérience
AMDE-AMDEC
Nœud papillon
 3. Méthode « What-if »

Méthode dérivée de l’HAZOP

Analyse moins profonde des évènements (n’examine pas les causes)

Dérives fondées sur succession de questions de la forme

« QUE se passe t-il SI? » « What-if? »
(= Brainstorming )

Procédé : Equipe :
Date :
What-if Réponse Conséquence Mesures de prévention/ Recommandations
Protection
Méthode « What-if » appliquée à la Production du Phosphate de
diammonium (DAP)
 Procédé : Equipe :
Date :
What-if Réponse Conséquence Mesures de prévention/ Recommandations
Protection
 4. La méthode HAZOP (HAZards and OPerability studies)
Analyse des dangers et opérabilité
Développée par la société ICI en 1974

Destination : Industrie chimique

Objectifs de la méthode :
Analyse de l’intégrité opérationnelle d’un système au cours de l’exploitation

(Marche nominale de routine; phases transitoires de démarrage et d’arrêt;

opérations d’entretiens et maintenance)

Cette méthode peut elle aussi être divisée en 4 phases :

- Phase 1 : Identification des dérives potentielles à l’aide d’une liste guide
- Phase 2 : Recherche des causes possibles
- Phase 3 : Recherche des conséquences
- Phase 4 : Détermination d’actions correctives
 Principe de la méthode HAZOP :
Description du fonctionnement des différentes phases d’un procédé
(Liste des opérations avec schémas détaillés de la ligne principale de l’installation / PFD)
MAIS AUSSI :
Lignes d’utilitaires (Fluides d’inertage – Liquide de refroidissement – Circuits
d’échantillonages…)
Choisir une ligne, un élément (réacteur, réservoir…)

Choisir un paramètre de fonctionnement

(Débit, pression, température, niveau, concentration, contamination, viscosité, agitation…)

Générer une dérive du paramètre à l’aide d’une liste de mots

clés

Rechercher les causes possibles de la dérive

Déterminer les conséquences associées à la dérive

Vérifier présence de systèmes de correction, prévention, protection…

Liste de mots clés
Exemples de causes de déviations
Exemples de déviations, avec causes et
conséquences possibles
 Hazard and Operability Studies

Equipe : date:
Nom du projet :
Ligne ou équipement

n° Item Paramètre Deviation Causes Consequences Actions

 EX1. Etablissement de la méthode HAZOP sur un système de remplissage
de wagons d’acide sulfurique

I/ Un système de remplissage de wagons-citernes pour le chargement d’acide sulfurique est décrit

dans la figure ci-après. Lorsque un wagon est mis en place et connecté au système, la pompe
d’adduction est mise en marche par l’opérateur. La pompe s’arrête automatiquement après le
déversement d’un volume pré-déterminé d’acide sulfurique. Une commande placée sur le
réservoir coupe la pompe si le niveau mesuré dans le réservoir est trop bas

Lorsque qu’un wagon est aligné et connecté au système, la pompe est lancée par
l’opérateur. Celle-ci se coupe automatiquement après le pompage d’une quantité
prédéterminée d’acide sulfurique. Un indicateur de niveau placé sur le wagon coupe la
pompe si le niveau du réservoir est trop bas.

1°) Menez une analyse HAZOP des systèmes de remplissage

a/ Usineà Réservoir et b/ Réservoir à Wagon.

On considèrera les paramètres de fonctionnement suivants : débit, Température, pression.

Proposez des mesures correctives si nécessaires
 Sortie de
Usine production Réservoir Wagon
 Hazard and Operability Studies

Equipe : date:
Nom du projet :
Ligne ou équipement

n° Item Paramètre Deviation Causes Consequences Actions

 Limites et avantages

•  Outil efficace pour les systèmes thermo-hydrauliques

•  Présente un caractère systématique et méthodique

MAIS :

•  Ne permet pas d’analyser les évènements résultants de la combinaison

simultanée de plusieurs défaillances
•  Difficile d’affecter un mot clé à une portion bien délimitée du système à
étudier
•  L’HAZOP traite tout type de risques, peut être particulièrement longue à
mettre en œuvre et conduire à une production abondante d’information ne
concernant pas des scénarios majeurs
 Plan de cours : Méthodes d’analyse des risques

Méthodes d’analyse des risques

Déductives Mixte Inductives

1.  Arbre des causes 8. Nœud papillon 3.What-if

2. Arbre des défaillances 4. HAZOP
5. Arbre d’évènement
6. AMDE-AMDEC
Retour d’expérience 7. APR
 5. Arbre d’évènement
US : Event Tree analysis
- Elaborée au début des années 1970 pour l’estimation des risques liés aux centrales nucléaires

Principe :
-  Evalue les conséquences d’un évènement initiateur
-  Possibilité d’évaluer les probabilités des diverses conséquences
trouvées
Etapes :
-  Identifier évènement initiateur
-  Identifier les fonctions de sécurité
-  Construire l’arbre
-  Décrire les séquences conduisant à l’accident

Structure :
Succès
Evènement
initiateur
Défaillance

Défini souvent par l’APR

 5. Construction de l’Arbre d’évènement

Fonctions de détection (capteur),

Fonctions d’alarme,
Fonctions de limitation (vise à empêcher que l’évènement ne perdure)
Fonctions d’atténuation

Evènement Fonction Fonction Fonction Séquences

initiateur Sécurité 1 Sécurité 2 Sécurité 3 conduisant à…

Succès
Evènement
initiateur
Défaillance
Schéma structurel d’un arbre d’événements
Arbre d’événement « feu dans la corbeille à papier » (sans quantification)
Exemples de fréquence de défaillances d’équipements et d’événements externes
Exemples de fréquence de défaillances d’équipements
Exemples de fréquence d’erreurs humaines
Évolution de la probabilité d’erreur en fonction du
temps

Évolution de la probabilité d’erreur en fonction du temps

Exemples de classes de fréquence d’événements
initiateurs de phénomènes dangereux
 Exemple : Construction d’un arbre d’évènement

On suppose un réacteur dans lequel s’opère une réaction exothermique. Le maintien en température du
système est assuré par un système de réfrigération.
-  Le réacteur dispose d’un capteur de Température (TI). Cette sonde de Température fournit des
informations de température pour une alarme (TA) et le déclenchement automatique de l’inhibition de la
réaction.
-  Une alarme de température (TA) se déclenche lorsque T> T1. Il est prévu alors qu’un opérateur
rétablisse le système de réfrigération.
-  Si la T> T2, il est prévu une introduction automatique d’un inhibiteur de réaction.

a. Construisez l’arbre d’évènement

TI TA

Réacteur
Réfrigération

Réaction exothermique
Réponse : Construction d’un arbre d’évènement
1. APRà Evènement initiateur: ? à Quelle méthode utiliser ?
2. Fonctions de sécurité prévues : ?

Fn(1):
 Limites et avantages

(+) Méthode qui permet d’examiner l’enchaînement des évènements pouvant conduite
ou non à un accident potentiel.

(+) Utile pour l’étude de l’architecture des moyens de sécurité existants ou pouvant être envisagés
Sur un site (Ex: doubler les capteurs de T, ajouter un fonction sécurité (Doubler capteurs T, Vide Vite…)

(-) Lourde à mettre en œuvre (définir l’évènement initiateur)

 TD: Analyse des risques sur un réacteur agité

On considère un procédé sensible aux variations de température, dans lequel on effectue

une réaction exothermique . Le réacteur est équipé d’un système de réfrigération (cooling coils)
qui permet de contrôler la température du réacteur. La température du réacteur est contrôlée
par un capteur (TIC) relié à une alarme de température (TIA).
 6. AMDE/AMDEC

Définitions de base

•  AMDE : Analyse des modes de défaillances et de leurs effets

•  En version US : FMEA : Failure Mode and Effects Analysis

•  AMDEC : Analyse des modes de défaillances, de leurs effets et de leur criticité

•  En version US : FMECA : Failure Mode effects and criticality Analysis

Principales caractéristiques
•  Méthode d’analyse de la fiabilité des systèmes

•  Démarche inductive, qualitative, exhaustive

 En production industrielle

Pas envisageable de compter sur l’expérience que l’on pourrait acquérir au fur et à
Mesure de l’utilisation d’un système

Anticiper…

Nécessité de créer une démarche qui permettrait…

1.  Rechercher les défaillances ou dysfonctionnements potentiels susceptibles d’affecter

un équipement, une machine, un procédé…
2. Analyser les conséquences de ces défaillances
3. Evaluer le niveau de gravité
4. Savoir comment et sur quoi agir, mesures envisagées…
 Structure et construction de l’AMDE
Le tableau de base…

Composant Fonction Modes de Causes Effets

défaillance

Boitier de Orienter les roues Orientation des Défauts Impossibilité de

direction roues impossible mécaniques interne diriger la voiture
(blocage…) Risque d’atteinte à
la sécurité des
Chocs externes passagers

Peut exister Savoir sur quoi - Confort

Rq plusieurs fonctions agir - Sécurité
…

Possibilité d’ajouter colonne « Détection »

De l’AMDE à l’AMDEC

Notion de criticité
 Notion de criticité
Le jugement que nous pouvons sur une défaillance peut être :

- Monocritère : Gravité
- Bi-critère : Gravité + Probabilité
- multi-critère : Gravité + Probabilité + possibilité de détection

Défaillance critique si, jugée à travers un ou plusieurs critères, elle nous paraît inacceptable

Notion d’acceptabilité : notion relative

Activités volontaires (oui)

Activités imposées (non)

Accidents domestiques mortels 4 à 5 fois plus nombreux que mortels au travail !

 Les échelles de jugement

Criticité :

Qualitatif :repères Quantitatif :Notes

D, O et S Hiérarchisation des défaillances aisée)
(détectabilité, occurrence, sévérité)
F, G et D
(Fréquence, gravité, détectabilité)
3 critères

Indice de priorité de risques (IPR) ou IC = D x O x S ou F x G x D

Anglais : RPN : Risk Priority number
 Fréquence

Critère fréquence Repère

Rare F1

Peu fréquent F2

Fréquent F3

Très fréquent F4

Critère fréquence Repère

Moins 1 fois/an F1

1 à 2 fois/an F2

3 à 12 fois/an F3

Plusieurs fois/mois F4
 Gravité

Critère gravité Repère

Arrêt production inférieur à 10 min G1

Arrêt production entre 10 et 30 min G2

Arrêt production entre 30 min et 2h G3

Arrêt production > 2h G4

Production pièces défectueuses non détectées G5

Problèmes potentiels de sécurité pour personnel de production G6

Matrice de criticité (2 critères)
 Autre manière : la notation
Critère fréquence Note
Moins 1 fois/an 1
1 à 2 fois/an 2
3 à 12 fois/an 3
Plusieurs fois/mois 4

Critère gravité Repère

Arrêt production inférieur à 10 min 1
Arrêt production entre 10 et 30 min 2
Arrêt production entre 30 min et 2h 3
Arrêt production > 2h 4
Production pièces défectueuses non détectées 5
Problèmes potentiels de sécurité pour personnel de production 6

Note globale de criticité : Criticité = fréquence x gravité

Dans cas précédent : note maximale = 24
 Exploitation AMDEC

Composant Modes Causes Effets D O S IC Modif. envisagées D O S IC

défaillance

filtre

Pneu
Composant Fonction Modes Causes Effets D O S IC
défaillance
Composant Fonction Modes Causes Effets D O S IC
défaillance
 7. Analyse préliminaire de risques (APR)
US : Preliminary Hazard analysis (PHA)

Développée au début des années 1960 (aéronautiques et militaires)

UIC : recommande son utilisation depuis le début des années 1980

- Identification des risques au stade préliminaire de la conception

d’une installation ou d’un projet

- Ne nécessite pas une connaissance approfondie et détaillée de l’installation étudiée

Domaines d’applications
-  Au stade de la conception d’une installation: à Fournit une 1ère analyse de la sécurité
( Ebauche des futures consignes d’exploitation et de sécurité, choix des équipements)

-  Dans le cas d’une installation complexe existante: à Mise en lumière des éléments
ou situations nécessitant une attention particulière (pour l’emploi de méthodes plus détaillées)
 Déroulement de l’APR

Fonction ou système : Date :

1 2 3 4 5 6 7 8 9 10 11

N° Produit Situation Causes Fréquence Conséquences Intensité Gravité Sécurités Actions Observations
ou de de (1 à 4) existantes correctives
Équipement danger la cause

Ex : Arbre des évènements

Substances
Equipements dangereux
Opérations dangereuses
Ex :Arbre des défaillances

Puis, nouvelle situation de danger …

 Produits de sortie de l’APR

L’exploitant dispose :

•  Liste des phénomènes dangereux

•  Cotation en intensité de ces phénomènes dangereux (identification de ceux
pouvant conduire à accident majeur)
•  Liste des scénarios pouvant induire chaque phénomène
•  Cotation en terme de fréquence d’apparition des causes
•  Liste des barrières de sécurité
 Limites et avantages
(+) Examen rapide des situations dangereuses
(+) Economique en terme de temps
(+) Ne nécessite pas un niveau de description très détaillé du système étudié
(+) Mets en lumière les équipements ou installations qui peuvent nécessiter 1 étude plus
fine

(-) Ne permet pas de connaître finement l’enchaînement des évènements

susceptibles de conduire à un accident (ex : arbre des évènements)
 Plan de cours : Méthodes d’analyse des risques

Méthodes d’analyse des risques

Déductives Mixte Inductives

1.  Arbre des causes 8. Nœud papillon 3.What-if

2. Arbre des défaillances 4. HAZOP
5. Arbre d’évènement
6. AMDE-AMDEC
Retour d’expérience 7. APR
 Nœud papillon
Utilisé dans différents secteurs industriels (SHELL)

Réservé à des évènements jugés particulièrement critique

et pour lesquels un niveau élevé de démonstration de la maitrise
des risques est indispensable

Outil qui permet d’apporter une démonstration renforcée de la bonne maitrise

des risques en présentant clairement l’action de barrières de sécurité
sur le déroulement d’un accident

Principe

Arbre de défaillances Evènement redouté central Arbre d’évènement

Barrières de défense
 Avantages des nœuds papillon

þ  Approche de type arborescente, largement utilisée pour la

gestion des risques, qui est une combinaison d’un arbre des
défaillances et d’un arbre d’évènements

þ  Permet de décrire complètement les scénarios d’accident

autour d’un même évènement redouté central

þ  Permet de positionner les mesures de maîtrise des risques

Représentation de scénarios d’accident selon le modèle du nœud papillon

Recherche des causes Recherche des Conséquences

Niveau de Effets létaux Effets irréversibles sur la vie
Premiers effets létaux
gravité significatifs humaine
Présence humaine exposée à des effets
1 Pas de zone de létalité hors de l’établissement irréversibles sur la vie humaine inférieure
à « une personne »
Aucune personne Au plus 1 personne
2 Moins de 10 personnes exposées
exposée exposée
Au plus 1 personne entre 1 et 10 personnes
3 entre 10 et 100 personnes exposées
exposée exposées
Moins de 10 personnes entre 10 et 100 personnes
4 entre 100 et 1 000 personnes exposées
exposées exposées
Plus de 10 personnes Plus de 100 personnes
5 Plus de 1 000 personnes exposées
exposées exposées