Ecole doctorale IAEM Lorraine Dpartement de Formation Doctorale en Automatique

Thse
Prsente et soutenue publiquement le 13 Novembre 2008 pour lobtention du :

Doctorat de lInstitut National Polytechnique de Lorraine

tel-00338938, version 2 - 16 Feb 2009

De la Modlisation Ontologique du Processus Accidentel au Systme Interactif dAide la Dcision

Par :

Pour une Meilleure Approche du Management des Risques :

Spcialit : Automatique, Traitement du Signal et Gnie Informatique

Mohamed-Habib MAZOUNI
Composition du jury :
Rapporteurs : SHN Walter BAYARD Mireille Examinateurs : AUBRY Jean-Franois EL-KOURSI El-Miloudi PETIN Jean-Franois CAMBOU Bernard Professeur, Universit de Technologie de Compigne Professeur, Universit des Sciences et Technologies de Lille Professeur, INPL Directeur de Thse Directeur de recherche, INRETS-ESTAS Professeur, Universit Henri Poincar Nancy 1 Directeur scientifique de lINRETS

Ddicaces

tel-00338938, version 2 - 16 Feb 2009

la mmoire de mon Pre, de Baba et de Mani

ii

Remerciements

Mes premiers remerciements sadressent naturellement Monsieur Jean-Franois Aubry et ceci plusieurs titres : Je veux dabord le remercier davoir endoss la responsabilit de directeur de thse et de mavoir guid dans mon travail. Je sens parfaitement la confiance quil ma tmoigne et japprcie beaucoup lattitude quil adopte mon gard. Plus globalement, je crois tel-00338938, version 2 - 16 Feb 2009 sincrement avoir profit pleinement de son exprience de chercheur mais aussi denseignant, de sa pdagogie et de ses mthodes de travail. Jestime avoir beaucoup appris sous sa tutelle et jai aujourdhui conscience des aspects sur lesquels je dois travailler. Japprcie que madame Mireille Bayard et Monsieur Walter Schn maient fait lhonneur de rapporter sur ce mmoire et je les remercie en consquence ; jai conscience de la lourdeur de cette tche. Je tiens galement exprimer ma profonde gratitude lensemble des membres de mon jury pour avoir accept de participer lvaluation de mon travail : Monsieur El-Miloudi El-Koursi, Monsieur Jean-Franois Ptin et Monsieur Bernard Cambou. Mes remerciements vont galement mes collgues de lINRETS, et je cite titre personnel Dominique Bied-Charreton et Edgar Mazouth. Je remercie galement lensemble du personnel du CRAN et plus particulirement lquipe de recherche SACSS. Enfin, et bien au-del de ces annes de thse, je remercie toute ma famille et mes proches.

iii

SOMMAIRE CHAPITRE 1: SECURITE DES SYSTEMES....8

1 1.2 1.5 1.1 Scurit (Safety).....9 Scurit vs. Disponibilit : ou les effets pervers de lultra-scurit ..12 Scurit vs. Sret de Fonctionnement..10 Scurit vs. Fiabilit...........11 Scurit vs. Maintenabilit.12

tel-00338938, version 2 - 16 Feb 2009

2 3 4

4.1

3.2

3.1

Notions de dommage et de consquence daccident.15 Consquence...16 Frquence doccurrence .....19 Dommage..15

2.2

2.1

Notions de danger et de phnomne dangereux.14

1.4

1.3

Phnomne dangereux.....15

Danger.14

Scurit vs. Sret...13

4.2 5.1 5.4 5.7 5.5 5.6 5.2

Notions de gravit, de frquence doccurrence et dexposition...17 Gravit...17

4.3

Facettes du risque....22 Classification du risque...............23 Acceptabilit du risque.28

5.3

Risque..22

Exposition.21

Risque vs. Danger....28

6 7

5.8

5.9

Conclusion...33

Perception du risque..30 Prise de risque...31

Risque vs. Incertitude....29

Risque vs. Gravit....28

Risque vs. Probabilit doccurrence.29

Travaux cits...34

iv

CHAPITRE 2 : LANALYSE DE RISQUE DANS LE PROCESSUS DE MANAGEMENT DES RISQUES.......38

1 Management des risques ...39 1.2 1.1

tel-00338938, version 2 - 16 Feb 2009

3.2 Analyse des Modes de Dfaillances, de leurs Effets - AMDE /et de leur Criticit - AMDEC (Failure Modes, and Effects (and Criticality) Analysis FME(C)A )...50 3.5 Analyse par Arbre de Dfaillances, Arbre de Causes ou Arbre de Fautes (Fault Tree Analysis - FTA) ...52 3.8 4 3.9 3.6 3.7 Analyse de la fiabilit humaine (Human Reliability Analysis) 54 La mthode MOSAR56 Analyse par Arbre dEvnements (Event Tree Analysis - ETA) .53 3.3 3.4 What-If Analysis...52

3.1 L'Analyse Prliminaire de Risque - APR / Analyse Prliminaire de Danger APD (Preliminary Hazard Analysis PHA) ...50 Hazard and Operability Study (HAZOP) ....51

2.3

2.1 2.2

Classification des mthodes danalyse de risque...46 Mthodes qualitatives vs. Mthodes quantitatives 47 Approche dterministe.46 Approche probabiliste..46

1.3

Matrise des risques43

Evaluation de lacceptabilit des risques......41

Analyse de risque.40

Panorama des mthodes danalyse de risque...50

3.10 4.2 4.3 4.1

Proprits des mthodes danalyse de risque.....57 Lacunes des mthodes danalyse de risque.57 Comparaison des mthodes danalyse de risques tudies .59

Modle de danger MADS .55

Nud papillon (Bowtie Model) ..54

Avantages gnraux des mthodes danalyse de risques....57

CHAPITRE 3: L'Analyse Prliminaire des Risques....66

1 1.1

4.4

4.5

Travaux cits..63

Conclusion62

Critres de choix dune mthode danalyse de risque60 Evaluation de la qualit dune analyse de risque.60

Mthodologie dAPR dans le domaine des transports terrestres..67

Cadre rglementaire....67 v

1.3 1.4 2 5 1.5 1.6

1.2

Mthode dAPR Entreprise 2 71 Mthode dAPR Entreprise 3 73 Mthode dAPR Entreprise 4 74 Mthode dAPR applique au sous-systme X ...75

Mthode dAPR Entreprise 1 71

3 4

Mthode dAPR issue du domaine de lnergie.77 Conclusion78 Travaux cits..79

Mthode dAPR issue du domaine aronautique.76

tel-00338938, version 2 - 16 Feb 2009

CHAPITRE 4 : 10 ENJEUX PROBLEMATIQUES EN MATIERE DE MANAGEMENT DES RISQUES....82

2 Difficult de dfinition du systme et de son environnement........84 Divergence des Objectifs de Scurit..84 Divergence des Indicateurs de Scurit86 Absence de suivi des risques...89 Divergences dordre mthodologique des analyses de risque87 Non-prise en compte des effets domino...89 Divergence des termes et des concepts.82

3 4

7 8

Enjeux organisationnels de la maitrise des risques...88 Enjeux dinteroprabilit : harmonisation des Analyses au niveau systme ..90

12 1

10

CHAPITRE 5 : MODELISATION ONTOLOGIQUE DU PROCESSUS ACCIDENTEL..........96

1.1 1.2 Introduction aux ontologies...98 Typologie des ontologies .....100 Reprsentation des ontologies...100

11

Travaux cits.93

Enjeux dintgrabilit : harmonisation des Analyses au niveau sous-systme.90

Conclusion et perspectives...91

1.3

Ontologie en tant que notion : une origine mtaphysique....98 Ontologie en tant que concept : un devenir computationnel ......99

2.1

1.6

1.5

1.4

2.3

Ontologie pour la modlisation du processus accidentel103 Entits lmentaires....104 Situations lmentaires....106 vi

Conclusion.102

Critres dvaluation dune ontologie...101

2.4

2.2

3.1

3.2

Illustration de lontologie.....112 Risque ferroviaire....113 Risque routier.118 Risque manufacturier.122

Modlisation de type tat/transition du processus accidentel..109

Evnements lmentaires........108

3.5 3.6 3.9

3.3

3.4

tel-00338938, version 2 - 16 Feb 2009

CHAPITRE 6: MANAGEMENT PRELIMINAIRE DES RISQUES...130

1. 1.1 1.2

3.8

3.7

Risque professionnel..123

Risque machine..120

Risque pidmiologique...124 Risque juridique..125 Risque politique .124

Travaux cits...127

Conclusion..126

Risque mdiatique.125

Processus de la mthode MPR...131 Intgration de la mthode MPR au cycle de vie....148 Adquation entre la mthode MPR et le SMS.149 Elments de base dun SMS centr-MPR....151 Dcoupage systmique du systme global133

1.

2. 3.

Management des risques ..140 Evolution de lanalyse technique vers le management organisationnel.149

1.3

CHAPITRE 7: OUTIL DAIDE A LA DECISION EN MATIERE DE MANAGEMENT DES RISQUES....158

1 3 2 SIGAR : un outil daide au management prliminaire des risques.162 Proprits de SIGAR....164 Base de donnes, Systme dInformation et Base de Connaissances .....160

4.

1.4

Travaux cits...155

Conclusion.154

Besoin daide la dcision..159 Objectifs et motivation.....162

3.2 3.3 3.4

3.1

Choix technologiques..162 Dfinition des donnes......165

3.5

Prsentation de linterface graphique utilisateur(GUI) ...167 vii

ANNEXE A: PANORAMA DES METHODES DANALYSE DE RISQUE.....182

3 1 2 LAnalyse par Arbre de Dfaillances, Arbre de causes ou Arbre de fautes...188 La mthode MOSAR194 Fonctionnement global de la mthode MOSAR...196 AMDE(C) ..183 Hazard and Operability Study (HAZOP) ...186

3.8

3.6

3.7

Travaux cits....178

Conclusion..177

Fonctionnalits avances..175

Manipulation des donnes.....168

Retour dexprience174

5 6

Analyse par Arbre dEvnements ..190 MOSAR module A : Analyse Macroscopique.194 MOSAR module B : Analyse Microscopique..195

tel-00338938, version 2 - 16 Feb 2009

6.1

Le nud papillon.192

ANNEXE B : ELEMENTS DE BASE DUN SMS CENTRE-MPR......198

1. 3. 2.

6.2

6.3

Profil de mission198 Assurance de la scurit..199 Gestion des rfrentiels...199 Gestion des rles et affectation des responsabilits..199 Gestion des Bases de Donnes accidents/incidents...200 Politique de la scurit..198

6.

4.

5.

8.

7.

Gestion des crises199 Retour dExprience (REX) ...201 Audit, revue et surveillance.203

9.

12.

11.

10. 13.

Maitrise de la communication..202 Maitrise de la documentation..203 Correspondance avec le SMQ propos dans la norme 9001 de la srie ISO 9000...207 Formation et qualification...203

16.

15.

14.

Vers un Systme de Management Intgr (SMI) de type QHSE..204

BIBLIOGRAPHIE.....211
viii

17.

Correspondance avec le SME propos dans la norme 14001 de la srie ISO 14000..208

Correspondance avec les exigences de la directive ferroviaire de scurit.205

Correspondance avec le SMS&ST propos dans la norme 18001 de la srie OHSAS 18000.209

Liste des figures

CHAPITRE 1 :

FIG. 4 : Remdier lignorance avant de risquer....31

FIG. 2: Classification des risques..24 FIG. 3: Dcision, challenge, risque et incertitude...29

FIG. 1: Evolution du taux de dfaillance dun composant.11

FIG. 5: Place your waterline low...32

CHAPITRE 2 :

tel-00338938, version 2 - 16 Feb 2009

FIG. 4 : Classification des principales mthodes danalyse de risque qualitatives48 FIG. 5: Processus de danger du modle MADS55

FIG. 3: Typologie des mthodes danalyse de risque...47

FIG. 2: Approches danalyse de risque..46

FIG. 1 : Processus de Management des risques...40

FIG. 1: Mthode dAPR applique au S\Systme X 75

CHAPITRE 3 :

CHAPITRE 4 :

FIG. 2: Raisonnement causal : Induction et Dduction...87

FIG. 1: Divergence des termes et des concepts entre les industriels.83

FIG. 2: APR, AER .76

CHAPITRE 5 :

FIG. 1: Lontologie Sowa99

FIG. 3: Scnario daccident avec une source et deux cibles travers le processus accidentel....103 FIG. 4: Rseau de Ptri tiquet (RdP) dun scnario daccident type......109 FIG. 7: Modle accidentel squentiel..118

FIG. 2: Lontologie gnrique Mikrokosmos.......101

FIG. 5: Modlisation dun scnario daccident complexe effets domino...111 FIG. 6: Modlisation deffets domino menant un draillement...117

FIG. 9 : Chaine de production de boules de ptanque..122 ix

FIG. 8: Exemple de Plate-forme Elvatrice Mobile de Personnel..120

CHAPITRE 6 :

FIG. 1: Processus de la mthode MPR..132 FIG. 2: Le systme et son environnement ..134 FIG. 3: Dcoupage systmique du systme global..139 FIG. 4: Recouvrement des espaces de vulnrabilit avec lespace de danger ..143 FIG. 5: Prototype dun graphe de risque...144 FIG. 8 : La roue de Deming damlioration continue (FD X 50-173, 1998) 151 FIG. 7: Evolution de la recherche nuclaire150

FIG. 6: Intgration de la mthode MPR au cycle de vie dun systme.149

CHAPITRE 7 : tel-00338938, version 2 - 16 Feb 2009

FIG. 3: Modle de donnes de la base de donnes SIAD.166

FIG. 1: Donnes, informations, connaissances et processus dcisionnel...160 FIG. 2: Dploiement de SIAD et de SIGAR....164 FIG. 4 : Interface graphique principale de SIGAR....167 FIG. 7: Gnration automatique dun document dAPR...173 FIG. 8: Copie dcran de statistiques gnres automatiquement174 FIG. 6: Interface daffichage et ddition de la table PRM_bis..172

FIG. 9: Structure du SMS bas sur la mthode MPR..152

FIG. 5: Oprateurs du langage algbrique169

ANNEXE A :

FIG. 1 : Exemple dun arbre de dfaillance ..189 FIG. 4: Ebauche dun nud papillon draillement dun train de transport de passagers..193 FIG. 2: Arbre dvnement dun systme anti-incendie..191 FIG.3: Reprsentation de scnarios daccident selon le modle nud papillon..192

FIG. 9: Interface du REX sur les accidents ..175

FIG. 5: MOSAR module A.194 FIG. 6: MOSAR module B.195 FIG. 7: MOSAR...196

Liste des Tables

CHAPITRE 1 :

TAB. 1 : Echelles de gravit selon la norme ISO 14971 (ISO 14971, 2000)...17 TAB. 3 : Adaptation des chelles de gravit de la norme NF EN 50126...18 TAB. 5 : Echelles de frquence doccurrence selon la norme NF EN 50126..19 TAB. 4 : Echelle internationale de gravit des vnements nuclaire..18

TAB. 2 : Echelles de gravit selon la norme NF EN 50126 (NF EN 50126, Janvier 2000) 17

tel-00338938, version 2 - 16 Feb 2009

TAB. 8 : Echelle de gravit dexposition des humains lextrieur des ICPE.....21

CHAPITRE 2 :

TAB. 2 : Caractristiques des mthodes danalyse de risque..59

TAB. 1: Classes dinteraction des sources/cibles de danger ...55

TAB. 9 : Matrice de criticit (G/O) - NF EN 50126 ..23

TAB. 7 : Echelle de probabilit doccurrence applique dans le domaine des ICPE.20

TAB. 6 : Adaptation des chelles de frquence doccurrence de la norme NF EN 50126..20

CHAPITRE 3 :

TAB. 2 : Prsentation des rsultats dAPR selon Entreprise 2 .....73 TAB. 5 : Prsentation des rsultats dAPR selon Lievens..77 TAB. 4 : Prsentation des rsultats dAPR selon Entreprise 3 ....74

TAB. 3 : Arborescence des dangers.73

TAB. 1 : Prsentation des rsultats dAPR selon Entreprise 1 .....71

TAB. 6 : Prsentation des rsultats dAPR selon Villemeur ...78

CHAPITRE 4 :

TAB. 8 : Interoprabilit des analyses de risque90 xi

TAB. 7 : Considration des effets domino .89

TAB. 5 : Considration des aspects organisationnels de la matrise des risques...88

TAB. 6 : Suivi des risques..89

TAB. 4 : Divergence mthodologique des analyses de risque..87

TAB. 3 : Divergence des indicateurs de scurit..86

TAB. 2 : Divergence des approches de scurit....85

TAB. 1: Considration de lapproche systmique..84

TAB. 9 : Intgrabilit des analyses de risque....90

CHAPITRE 5 :

TAB. 1: Alphabet du RdP tiquet de modlisation du processus accidentel ontologique...110

TAB. 10: Solutions proposes pour amliorer la pratique du management des risques....92

CHAPITRE 6 :

TAB. 1: REX sur les scnarios d'accident..141 TAB.3: Identification des scnarios d'accident....141

TAB.4: Evaluation du risque..142 TAB. 5: Grille systmique de gravit.....142 TAB.6: Echelle de frquences d'occurrence adapte de la norme NF EN 50 126143 TAB. 7: Estimation du degr d'exposition.......144 TAB. 8: Critres d'acceptabilit des risques....145

TAB.2: Identification des associations (ESD, ECDs)..141

tel-00338938, version 2 - 16 Feb 2009

TAB. 9: Matrise des risques....145 TAB. 12: Prsentation des rsultats de la mthode MPR...148 TAB. 11: Priorits des actions de matrise des risques..147 TAB. 10: Dfense en profondeur par l'analyse du processus accidentel....146

ANNEXE A :

TAB. 2: Exemple d'un tableau de type AMDEC (RE. Aro 701 11, Novembre 1986).....................................185 TAB. 5: Descripteur de donnes d'une tude HAZOP (CEI 61882, Mai 2001) .........................................................187 TAB. 3: Modes de dfaillance gnriques proposs par la norme CEI 60812......................................................185 TAB. 4: Exemples de mots cls pour l'analyse HAZOP (CEI 61882, Mai 2001) ......................................................186

TAB. 1: Exemple d'un tableau de type AMDE (RE. Aro 701 11, Novembre 1986)...........................184

TAB. 6: Rgles d'optimisation des arbres de dfaillances.................................................................................................190 TAB. 1 : Adquation entre SMS centr-MPR et les lments essentiels du SMS propos par la directive de scurit 2004/49...205 TAB. 4 : Adquation entre le SMS centr-MPR et le SMSS du rfrentiel OHSAS 18001210

TAB. 7: Lgende des vnements du nud papillon propos l'INERIS...................................................................192

ANNEXE B :

TAB. 2 : Adquation entre le SMS centr-MPR et le SMQ de la norme ISO 9001.207 TAB. 3 : Adquation entre le SMS centr-MPR et le SME de la norme ISO 14001..208

xii

Liste des acronymes

AQS Association Qualit-Scurit AdR Analyse de Risque AFNOR Association Franaise de Normalisation ALARP As Low As Reasonably Practicable AMDEC Analyse des Modes de Dfaillance, leurs Effets et leur Criticit AMDE Analyse des Modes de Dfaillance et leurs Effets ANSI American National Standards Institute APR Analyse Prliminaire des Risques APD Analyse Prliminaire des Dangers BD, BDD Base de Donnes BI Business Intelligence BSI British Standards Institution CE Commission Europenne CEI Commission Electrotechnique Internationale CLIC Comit Local dInformation et de Concertation CRAN Centre de Recherche de Nancy DPS Dossier Prliminaire de Scurit DS Dossier de Scurit E/E/PE Electriques/Electroniques/Electroniques programmables de scurit ECD Entit Cible de Danger VTE: Vulnerable Target Entity EIS Executive Information System EN European Norm (Norme Europenne) ESD Entit Source de Danger HSE: Hazard Supplier Entity ESTAS Evaluation des Systmes de Transport Automatiss ETL Extracting Transforming and Loading EvE vnement dExposition EEv : Exposure Event EvI vnement Initiateur IEv : Initiating Event EvR vnement Redout HEv : Hazardous Event FDMS Fiabilit, Disponibilit, Maintenabilit et Scurit RAMS GAME Globalement Au Moins Equivalent GT Groupe de Travail GTR Groupe de Travail Rgional HAZOP Hazard and Operability study HMSO Her Majestys Stationery Office HRA Human Reliability Analysis HSE Health and Safety Executive IA Intelligence artificielle IAEA International Atomic Energy Agency ICPE Installation Classe pour la Protection de lEnvironnement INES International Nuclear Event Scale
xiii

tel-00338938, version 2 - 16 Feb 2009

INPL Institut National Polytechnique de Loraine INRS Institut National de Recherche et de Scurit INERIS Institut National de Recherche de l'Environnement Industriel et des Risques INRETS Institut National de Recherche sur les Transports et leur Scurit ISO International Organization for Standardization MADS Mthodologie dAnalyse de Dysfonctionnement des Systme MdR Matrise des Risque MEM Minimum Endogenous Mortality MOSAR Mthode Organise et Systmique dAnalyse des Risques MPR Management Prliminaire des Risques PRM : Preliminary Risk Management NF Norme Franaise OHSAS Occupational Health and Safety Assessment Series ONU Organisation des Nations Unies OORS Observatoire de l'Opinion sur les Risques de la Scurit PDCA Plan, Do, Check, Act PFD Probability of Failure on Demand PICR Plan, Implement, Check, Review POI Plan dOpration Interne PPI Plan Particulier dIntervention PPRT Plan de Prvention des Risques Techniques QBE Query by Example QHSE Quality, Health, Safety & Environment RAMS Reliability, Availability, Maintainability and Safety RdP Rseau de Ptri RPC Raisonnement Partir de Cas CBR: Case Based Reasoning REX Retour dExprience SAMNET SAfty Management and interoperability thematic NETwork for railways systems SA Situation dAccident AS : Accidental Situation SD Situation Dangereuse HS : Hazardous Situation SE Situation dExposition ES : Exposure Situation SI Situation Initiale SI : Initial Situation SdF Sret de Fonctionnement SGBD Systme de Gestion de Base de Donnes SIAD Systme Interactif dAide la Dcision SIGAR Systme Informatique Gnrique dAnalyse de Risque SI Systme dInformation SIS Safety Integrity System SIL Safety Integrity Level SME Systme de Management de lEnvironnement SMI Systme de Management Intgr SMS Systme de Management de la Scurit SMSS SQL Server Management Studio SMS&ST Systme de Management de la Sant et Scurit au Travail SQL Structured Query Language SMQ Systme de Management de la Qualit T-SQL Transactional Structured Query Language

tel-00338938, version 2 - 16 Feb 2009

xiv

tel-00338938, version 2 - 16 Feb 2009

xv

Introduction Gnrale

Contexte des travaux de recherche

Cette thse a t engage par lInstitut National de Recherche sur les Transports et leur Scurit

tel-00338938, version 2 - 16 Feb 2009

(INRETS) dans le cadre dune collaboration entre lUnit de Recherche Evaluation des Systmes de Transport Automatiss et leur Scurit (ESTAS) et le Centre de Recherche en Automatique de Nancy (CRAN) par lintermdiaire du professeur Jean-Franois Aubry, Directeur de nos travaux de thse. Une premire priode de 16 mois environ fut consacre ltude bibliographique et rglementaire de lAPR, localise au domaine des transports guids, sous la responsabilit de Monsieur Habib Hadj-Mabrouk, CR (HDR) lINRETS. Le sujet tait relatif au problme d Analyse Prliminaire de Risque (APR) , qui ne fait lobjet daucune norme gnrique, qui est dploye avec une grande variabilit dans les industries et qui pourtant est rendue obligatoire par certains rglements en vue de la dlivrance dautorisations dexploitation. Ainsi, elle est un pralable ltude fiabiliste des systmes instruments de scurit qui est une des cibles de lquipe projet Systmes Automatiss Contraints par la Sret et la Scurit (SACSS) du CRAN. Aprs cette priode, le sujet a t revu et largi de lanalyse de risque dans le domaine ferroviaire au management des risques appliqu dans diffrents domaines industriels . Ce changement de cap est motiv par deux raisons. La premire, relative llargissement du champ dinvestigation, a t une exigence du CRAN. Elle est due au fait que nous avons constat que la problmatique industrielle autour des questions abordes est quasiment toujours la mme. La deuxime, relative au fait davoir fait porter ltude sur le management des risques, vient du constat que lAPR est indissociable du reste du processus global de management des risques. Ainsi, nous la considrons comme la pierre angulaire du management des risques et par consquent du Systme de Management de la Scurit (SMS). Le SMS reste lune des priorits de lUR ESTAS depuis le lancement du consortium SAMNET (Janvier 2003 Dcembre 2005) fdr par lINRETS en la personne de Monsieur ElMiloudi El-Koursi, Directeur de lUR ESTAS et codirecteur de nos travaux de thse.

Avant propos
Le 20me sicle tait le thtre de nombreux changements. Dsormais leuphorie de lre industrielle est retombe, et le monde entier est confront un certain chaos exprim par de nombreuses guerres rgionales et de multiples catastrophes naturelles qui frappent un peu partout dans le monde. Cette volution a vu sloigner une fois pour toute lillusion dun monde idal et a vu les concepts de risque et dincertitude, de fiabilit et de scurit prendre une part significative dans les esprits. Lavance technologique spectaculaire et la complexification des systmes sociotechniques mergents semblent prendre une longueur davance sur les moyens disponibles dvaluation de la sret de fonctionnement et plus particulirement de ceux qui relvent de lvaluation de la scurit des systmes. En outre, la mondialisation conomique a engendr de nouvelles facettes de risque jusqualors ignores ! Dsormais, la survie de toute organisation socioconomique, indpendamment de sa taille et de son facteur dimpact, est une variable alatoire dans un systme dquations trop complexe de par ses facteurs htrognes peu maitriss. Ainsi, la socit daujourdhui est contrainte damliorer continuellement et en permanence sa

tel-00338938, version 2 - 16 Feb 2009

performance par des ides innovantes et une qualit de service captivante pour subsister face la concurrence locale, rgionale, nationale et internationale. En effet, dans cette course vers la continuit et la prennit, le moindre risque inopin peut mettre lintgrit de la socit en pril. Ceci dit, la prise de risque est ncessaire, car risquer cest dabord oser courir le hasard en sengageant dans une action qui pourrait apporter un avantage, mais qui comporte l'ventualit d'un danger. Marcel PAGNOL aurait dit : Si vous voulez aller sur la mer, sans aucun risque de chavirer, alors, n'achetez pas un bateau : achetez une le ! , ce qui signifie dans un langage plus clair : qui ne risque rien na rien ! Le risque ne se rattache pas forcment loccurrence dun vnement malheureux ; il peut tre une opportunit pour apprendre mieux connatre les lacunes de la stratgie suivie par une socit qui volue vers ses objectifs tout en prservant son image de marque, sa qualit de service, et intrinsquement lensemble des enjeux sociaux, conomiques, techniques, financiers, juridiques, mdiatiques, etc. Justement, le retour dexprience est une perception intelligente de la notion de risque qui consiste dailleurs tirer profit de loccurrence de certains vnements indsirables. Linformation stratgique est lun des carburants de l'innovation. Elle revt un caractre stratgique, et doit tre intgre dans une dmarche globale de management des risques. On parle alors de Systme de Mangement de la Scurit (SMS) supportant des actions coordonnes visant fournir, d'une manire proactive, la bonne information de scurit, au bon moment et la bonne personne. Toutefois labsence de stratgies organisationnelles et systmiques de management des risques travers un SMS global, et le manque de partenariats techniques entres les diffrents acteurs du systme global, sont deux prcurseurs forts lapparition de nombreuses facettes du risque telles que : Les problmes de scurit, si les objectifs, les mthodes et les indicateurs de scurit ne sont pas noncs clairement, ou sils sont moins exigeants que ceux adopts par dautres parties partenaires.

Les problmes de disponibilit et de fiabilit, si lapproche de production moindre cot gagne du terrain sur les exigences de scurit et de qualit.

Les problmes de maintenabilit, si des logistiques de maintenance ne sont pas ngocies au pralable avec les diffrents sous-traitants, comprenant contrats dintervention et surtout des plans de qualification pour avoir plus dautonomie.

Les problmes de fiabilit humaine pouvant gnrer des erreurs dorigine ergonomique, sil ny a pas de prise en compte des facteurs humains ds la phase de conception des systmes risques.

Les problmes de qualit, si les rles et les responsabilits ne sont pas clairement noncs, et quun Systme de Management de la Qualit (SMQ) nest pas mis sur pied avant le dmarrage dune quelconque activit.

Les problmes cologiques, si lenvironnement nest pas pris en compte durant tout le cycle de vie des activits risque.

tel-00338938, version 2 - 16 Feb 2009

Certes, un dysfonctionnement ne doit jamais tre vcu comme une faute ou un chec quil faut absolument dissimuler, mais plutt comme un message dordre et de progrs que le systme global nous transmet, et il incombe aux gestionnaires du SMS de dcrypter ce message et apporter les corrections ncessaires pour faire en sorte que cela ne se reproduise plus. Cela passe forcement par un engagement sans quivoque, depuis le sommet, dans une stratgie globale de management de la scurit.

Problmatique industrielle
La scurit est dfinie comme l'absence de risque non acceptable. Depuis quelques annes, on a vu natre en Sude et puis en Suisse et dans dautres pays le concept vision zro qui sest substitu celui de risque zro qui sest avr utopique. Dans une optique vision zro on sefforce liminer le maximum de risques rsiduels y compris ceux qui sont en dessous du seuil de lacceptabilit. Le seuil dacceptabilit est gnralement impos par la rglementation ou bien prcis dans les rfrentiels de scurit. Malgr la richesse de la terminologie de la scurit, les concepts de base souffrent dune inquitante fluctuation dusage. Nous considrons que les divergences dans lemploi des termes et les nuances des interprtations qui en dcoulent sont un frein au partage de connaissances et de savoir-faire en matire de scurit. Ce problme prend une dimension impraticable quand un industriel sapprte laborer le dossier danalyse de risque du systme global et qui se trouve contraint de rassembler un ventail danalyses de risque relatives des sous-systmes raliss par des sous-traitants disposant chacun de ses propres terminologie, mthode et savoirfaire. En effet, les analyses de risque telles que lAPR, lAMDEC, lArbre de Cause, lArbre dEvnement, se trouvent dissocies les unes des autres ; ceci nuit considrablement la fluidit et la continuit du processus de management des risques. En outre, il existe un clivage entre les analyses de risque qualitatives et les analyses quantitatives ; ceci astreint les industriels adopter des techniques subjectives dvaluation des risques limage de la matrice de criticit ou du graphe de risque. 3

De ce qui prcde, nous pouvons expliquer le manque doutils fiables daide la dcision en matire de management des risques. Certaines mthodes comme lAPR nont jamais t outilles informatiquement. Enfin, les seuls produits qui existent ressemblent beaucoup plus des interfaces de saisie danalyses de risques pralablement labores qu des Systmes Interactifs dAide la Dcision (SIAD).

Problmatique scientifique
Le souci de gnricit nous a conduits largir notre champ dinvestigation et dtude divers domaines autres que le transport fondant leur analyse de risques sur des relations de causes effets. Cette ouverture a t fortement recommande par le professeur Jean-Franois AUBRY (CRAN). En effet, laccident se dveloppe smantiquement selon le mme processus, seule la spcificit des circonstances et des consquences le caractrise diffremment en fonction du domaine dtude (nuclaire, transport, machine, etc.) ou de la perception des risques encourus (Mazouni M.-H. , 2007). Pour ce faire, il tait indispensable de converger vers un formalisme adapt de par sa gnricit et

tel-00338938, version 2 - 16 Feb 2009

adaptable de par sa rutilisabilit. Un objectif supplmentaire est dviter de brusquer les spcialistes dans leurs usages des concepts et de trouver un consensus permettant de rendre possible ladoption dune ontologie commune entre les diffrents acteurs impliqus dans les tudes de scurit (constructeurs, exploitants, experts, administration, etc.). Certes, la connaissance pralable du concept daccident, de ses mcanismes de causalit ainsi que son processus de matrialisation est un gage une meilleure identification des scnarios daccident et une manire forte de consolider la dfense afin dempcher leur survenance ou de rduire leur impact ou leur frquence doccurrence. La dfinition dun processus accidentel et la proposition de typologie des diffrents vnements survenant avant chaque phase de ce processus, permettent de concevoir des barrires de scurit primaire (barrire de protection) et notamment des barrires de scurit secondaire (barrire de prvention) avant l'occurrence de ces vnements. La dcomposition de type tat/transition permet dintgrer laspect cintique 1 des scnarios daccident. Aprs avoir tent de voir clair dans les ddales du vocabulaire et essay de replacer lAPR dans le concept englobant de management des risques, nous avons procd ltude systmatique des mthodes danalyse de risque, dployes par diffrents acteurs issus de diffrents domaines, et mis en vidence les insuffisances et les contradictions. La difficile rutilisabilit des APRs ralises par les diffrents fournisseurs dquipements dans une analyse globale dun systme ferroviaire par exemple pose de nombreux problmes son constructeur. Lobjectif du travail a donc t de dfinir une approche gnrique de lanalyse de risque, qui soit appropriable par tout acteur dun projet industriel et qui permette demboiter facilement les diffrentes analyses de ces acteurs pour construire le dossier global danalyse de risque du systme.

Cintique : Vitesse d'enchanement des vnements constituant une squence accidentelle

Pour atteindre cet objectif, une ontologie du risque a t dfinie sur le principe de la distinction des entits sources et cibles de danger, des espaces de danger et des espaces de vulnrabilit, des tats des entits et des vnements provoquant les changements dtats. Elle permet de modliser de faon systmatique tout processus dvolution dangereuse dun systme associ un risque donn. Sur la base de ce modle, la mthode Management Prliminaire des Risques propose permet danalyser systmatiquement toutes les phases dvolution du processus dangereux. Chaque utilisateur a la possibilit de dfinir la table de correspondance entre son propre vocabulaire et le vocabulaire de rfrence propos et retrouvera les phases de sa dmarche habituelle dans celles proposes par la mthode. Bien entendu, une telle mthode na dintrt que si elle est outille informatiquement. Un des objectifs de la thse tait de proposer un prototype doutil logiciel support la mthode. Sur proposition de lINRETS, cet outil devrait faire lobjet dun dpt de brevet.

Organisation du mmoire
tel-00338938, version 2 - 16 Feb 2009
Dans le premier chapitre nous allons bien situer les diffrents concepts associs la scurit en regroupant les concepts en sous-ensembles ayant une forte dpendance causale. Nous suivrons une dmarche inductive dans la prsentation des diffrents concepts. Chaque concept sera dfini par ordre de priorit: dfinitions issues de la littrature, dfinitions proposes par des groupes de recherche spcialiss, dfinitions proposes par les normes gnriques ou sectorielles, nationales, europennes ou internationales et enfin, le cas chant, les dfinitions donnes par les rglementations nationales ou europennes. En vue dliminer les nuances subsistant entre certains concepts, nous adopterons la technique de confrontation versus , par exemple scurit vs. fiabilit, risque vs. danger, etc. Dans le cadre du deuxime chapitre, nous essayerons principalement de lever certaines ambigits relatives aux activits de management des risques (apprciation, matrise, analyse, estimation, valuation, etc.). Nous proposerons un processus de management des risques sous la forme dune concatnation des propositions formules dans les normes, en loccurrence les guides ISO/CEI n73 (ISO/CEI Guide 73, 2002) et n 51 (ISO/CEI Guide 51, 1999) et la norme gnrique CEI 300-3-9 (CEI 300-3-9, 1995). En effet, pour une meilleure fluidit de ce processus, nous prsenterons une typologie et un panorama synthtique des diffrentes mthodes applicables en continuit de lAPR que nous considrons comme une pice maitresse qui conditionne le succs de ltude de scurit. Nous dplorerons dans le troisime chapitre le fait que lAPR ne fasse toujours pas lobjet dun projet de normalisation ; ceci a induit toutes sortes de divergence. Nous essayerons den montrer quelques unes travers un panorama de mthodes dAPR labores par des spcialistes du monde industriel. Ltude mthodologique que nous avons pu raliser dans ce chapitre va nous permettre ultrieurement, dans le quatrime chapitre de dceler les problmes majeurs rgissant conjointement la pratique de lAPR et du management des risques. Essentiellement, nous allons identifier 10 problmes majeurs que nous essayerons de traiter dans le cadre des 3 derniers chapitres.

En effet, le cinquime chapitre se prsente sous la forme dun continuum de propositions de dfinitions de concepts lis lanalyse de risque. La solution que nous proposerons repose sur le principe dontologie. Pour ce faire, nous allons suivre la dmarche suivante : une partie de dfinitions, ensuite une partie de synthse et le cas chant une partie de propositions. En outre, chaque concept est abord en fonction de son aspect smantique et de sa contribution dans le processus accidentel gnrique que nous proposerons. Donc, il ne sagira pas dun glossaire de termes prsents par ordre alphabtique. Dans une dmarche de rsolution des problmes constats en matire de management des risques, nous proposerons une mthode nomme Management Prliminaire des Risques (MPR). Cette mthode itrative est base sur lontologie gnrique propose dans le cinquime chapitre. Principalement elle se droule en plusieurs phases allant du dcoupage systmique du systme global en des entits lmentaires jusqu lidentification inductive des scnarios daccident en passant par une phase dductive didentification des associations accidentognes des sources et des cibles de danger en se basant essentiellement sur le retour dexprience et les bases de donnes dexprtise. La dmarche MPR est conforme aux dfinitions normatives du management des risques que nous allons

tel-00338938, version 2 - 16 Feb 2009

aborder en dtail dans le deuxime chapitre. Ainsi, nous retrouverons la phase didentification des scnarios daccident, la phase destimation des risques, la phase dvaluation des risques, et la phase de maitrise des risques. Enfin, la mthode MPR se rattache au Systme de Management de la Scurit (SMS) par le point dancrage essentiel quest la gestion des processus techniques et organisationnels. Certes, la proposition d'un systme interactif et ergonomique daide la dcision pour le management prliminaire des risques prsente un intrt incontestable. Justement, dans le cadre du septime et dernier chapitre, nous prsenterons SIGAR (Systme Informatique Gnrique dAnalyse de Risque). SIGAR est un outil gnrique ddi la mthode MPR conu sur une base de donnes ddie. Il est dot dune interface graphique permettant aux utilisateurs de naviguer travers ses menus graphiques interactifs et dexprimer en langage habituel leurs besoins en informations et donnes via la saisie de formulaires sans tre obligatoirement spcialistes de linformatique et des langages de requtes. Ce mmoire de thse sachvera par une conclusion gnrale dans laquelle nous repositionnerons lensemble de nos dveloppements en regard des objectifs initiaux de ltude. Enfin, nous aborderons naturellement une discussion sur les perspectives de travail qui dcoulent de cette thse.

Chapitre 1

Scurit des Systmes

Table des matires du chapitre 1: Scurit des Systmes

Scurit (Safety) ....................................................................................................................................... 9 1.1 1.2 1.3 1.4 1.5 Scurit vs. Sret de Fonctionnement ........................................................................................... 10 Scurit vs. Fiabilit ........................................................................................................................ 11 Scurit vs. Disponibilit : ou les effets pervers de lultra-scurit ................................................ 12 Scurit vs. Maintenabilit .............................................................................................................. 12 Scurit vs. Sret ........................................................................................................................... 13

Notions de danger et de phnomne dangereux...................................................................................... 14 2.1 2.2 Danger ............................................................................................................................................. 14 Phnomne dangereux..................................................................................................................... 15

Notions de dommage et de consquence daccident ............................................................................... 15 3.1 Dommage ........................................................................................................................................ 15 Consquence ................................................................................................................................... 16

tel-00338938, version 2 - 16 Feb 2009

3.2 4

Notions de gravit, de frquence doccurrence et dexposition .............................................................. 17 4.1 4.2 4.3 Gravit ............................................................................................................................................. 17 Frquence doccurrence .................................................................................................................. 19 Exposition ....................................................................................................................................... 21

Facettes du risque ................................................................................................................................... 22 5.1 5.2 Risque.............................................................................................................................................. 22 Classification du risque ................................................................................................................... 23 Risques maitriss .................................................................................................................... 24 Risques maitrisables ............................................................................................................... 26 Risques non maitrisables ........................................................................................................ 27

5.2.1 5.2.2 5.2.3 5.3 5.4 5.5 5.6 5.7 5.8

Acceptabilit du risque .................................................................................................................... 28 Risque vs. Danger ........................................................................................................................... 28 Risque vs. Gravit ........................................................................................................................... 28 Risque vs. Probabilit doccurrence ................................................................................................ 29 Risque vs. Incertitude ...................................................................................................................... 29 Perception du risque ........................................................................................................................ 30 Perception de risque statique .................................................................................................. 30 Perception de risque dynamique ............................................................................................. 30

5.8.1 5.8.2 5.9

Prise de risque ................................................................................................................................. 31 Risque de ne rien risquer ........................................................................................................ 31 Risque de trop risquer............................................................................................................. 31

5.9.1 5.9.2 6 7

Conclusion .............................................................................................................................................. 33 Travaux cits ........................................................................................................................................... 34

Chapitre 1

Scurit des Systmes

Chapitre 1

Scurit des systmes

tel-00338938, version 2 - 16 Feb 2009

Depuis de nombreuses dcennies, la sret de fonctionnement (Dependability) et plus particulirement la scurit (Safety) sont devenues des enjeux cruciaux la survie des socits. Cette considration repose essentiellement sur le concept de risque. Lvaluation de la scurit est un exercice crucial qui ne peut tre intgre sans lapprentissage des mcanismes de matrialisation des risques car la comprhension du risque est une manire forte de consolider la dfense et doptimiser, dorganiser et de mieux orienter les tudes de management des risques. Dans ce premier chapitre nous allons bien situer les diffrents concepts associs la scurit en regroupant les concepts en sous-ensembles ayant une forte dpendance causale, limage de danger et phnomne dangereux ou bien dommage et consquence. Nous adopterons une dmarche inductive dans la prsentation des diffrents concepts. Chaque concept est prsent de la manire suivante : Prsentation des diffrentes dfinitions en commenant par le sens littraire (Larousse, Grand Robert, etc.), ensuite les dfinitions distingues proposes par des experts de la sret de fonctionnement, suivies de celles proposes par des groupes de recherche (AQS-GT OORS, Mars 1996) (GT 7 - CEI) (GT Aspects smantiques du risque, 1997) (GTR 55, 2000) (GT Mthodologie, 2003). Nous poursuivons avec les dfinitions proposes par les normes nationales franaises (NF) ou britanniques (BSI), europennes (NF EN, BSI EN, etc.) ou internationales (CEI, ISO, etc.) et enfin, le cas chant, nous terminons avec les dfinitions issues de la rglementation nationale ou communautaire (directive europenne, loi, dcret, arrt, etc.). Synthse visant dceler les divergences et les points communs des dfinitions rapportes. Nous serons parfois amens commenter certaines incohrences ou contradictions. Proposition dune dfinition si aucune des dfinitions rapportes ne mrite dtre adopte pleinement.

Chapitre 1

Scurit des Systmes

Scur it (Safety)

Dfinitions : SOURCE (Lar ousse, 2006) Situation, tat dans lesquels on nest pas expos au danger. Tranquillit desprit inspire par la confiance, pas le sentiment de ntre pas menac. (Lar ousse, 2005) Situation dans laquelle quelqu'un, quelque chose n'est expos aucun danger, aucun risque, en particulier d'agression physique, d'accidents, de vol, de dtrioration : Cette installation prsente une scurit totale. (AQS-GT OORS, Mar s 1996) (GT Aspects La scurit dentreprise est l'tat de confiance individuel ou collectif, raisonn, conditionnel, ressenti comme tel vis vis des dangers encourus et des risques associs reconnus comme acceptable. La scurit est lensemble des dispositions prises pour viter ou rduire les risques.

tel-00338938, version 2 - 16 Feb 2009

smantiques du r isque, 1997) (ISO/CEI Guide 2, 1986) (ISO/CEI Guide 51, 1999) (CEI 50(191), 1990) Absence de risque de dommage inacceptable. Absence de risque inacceptable. La scurit est laptitude dune entit viter, dans des conditions donnes, des vnements critiques ou catastrophiques.

Synthse : Daprs les dfinitions prcdentes, la scurit est en gnral associe labsence de risque inacceptable. Il y a 20 ans, en loccurrence dans la norme ISO/CEI Guide 2, le concept de scurit tait associ la gravit des dommages : La scurit est labsence de risque de dommage inacceptable (ISO/CEI Guide 2, 1986). Cette forte corrlation risque/gravit a t ensuite pondre avec la probabilit doccurrence : La scurit est labsence de risque inacceptable (ISO/CEI Guide 51, 1999). Cependant, nous pouvons constater que la dfinition donne par le GT aspects smantiques du risque sapplique la notion de matrise des risques plutt qu la notion de scurit. Nous y reviendrons par la suite. Pr oposition : La scurit est labsence de danger ou de conditions susceptibles de crer un risque inacceptable. Cest aussi la mesure dun niveau de confiance vis--vis de l'acceptabilit d'un risque. Avant de revenir sur les concepts de danger et de risque que nous venons dintroduire, nous proposons de bien cadrer le concept de scurit et les activits associes par rapport dautres et notamment la sret de fonctionnement (SdF).

Chapitre 1

Scurit des Systmes

1.1

Scur it vs. Sr et de Fonctionnement

Le fonctionnement dune entit est le succs de la mission qui lui a t assigne. Souvent on parle

de fonction requise qui se dfinit selon la norme CEI 50(191) (CEI 50(191), 1990) comme une fonction ou un ensemble de fonctions dune entit dont laccomplissement est considr comme ncessaire pour la fourniture dun service donn. Citons quelques dfinitions de la SdF extraites de documents de rfrence : Dfinitions : SOURCE (AQS-GT OORS, Mar s 1996) (GT 7 - CEI) (ISO/CEI Guide Ensemble de dispositions concrtes (organisation, procdures, moyens...) visant viter la surprise vis vis des dangers et limiter les dgts en cas de dysfonctionnements. Ensemble de techniques et de mthodes permettant d'atteindre la scurit. La Sret de Fonctionnement est la science des dfaillances. Elle recouvre les concepts de fiabilit, disponibilit, maintenabilit et de scurit. Ensemble des proprits qui dcrivent la disponibilit et les facteurs qui la conditionnent : fiabilit, maintenabilit et logistique de maintenance. La sret de fonctionnement se dcompose en disponibilit et crdibilit, la premire comprenant fiabilit et maintenabilit et la seconde intgrit et sret. La crdibilit est la mesure dans laquelle un systme est capable de reconnatre et signaler son tat et de rsister des entres incorrectes ou des accs non autoriss. Quant lintgrit, elle se dfinit comme lassurance fournie par un systme que les tches seront correctement accomplies moins que le systme ne prvienne que lun quelconque de ses tats pourrait conduire une situation contraire.

tel-00338938, version 2 - 16 Feb 2009

51, 1999) (CEI 50(191), 1990) (CEI 61069, 1996)

Synthse: Ces dfinitions divergent relativement entre deux tendances : 1. On peut dire dune part que la sret de fonctionnement (Dependability) nest pas un but en soi, mais un moyen ou un ensemble de moyens (dmarches, mthodes, outils, etc.) permettant de maitriser les risques. Autrement dit, la maitrise des risques est le but, la sret de fonctionnement est un moyen permettant de latteindre. Selon Y. Mortureux (Mortureux, 2002): Cest un atout majeur du concept

de la sret de fonctionnement de runir des approches motives par la fiabilit, la disponibilit, la maintenabilit et la scurit, mais cest un pige de vouloir rduire une valeur le rsultat de ces dmarches . Selon Heurtel (Heurtel, 2003), la sret de fonctionnement (SdF) se dfinit comme une
activit dingnierie qualitative et quantitative, une riche palette de mthodes et de concepts au service de la maitrise des risques. 2. Dautre part et plus formellement elle est prsente comme un ensemble de paramtres mesurables par des approches probabilistes. Parmi les plus connus, citons les esprances mathmatiques (E.M) des variables alatoires temporelles associes aux dfaillances et rparations dun systme :

10

Chapitre 1

Scurit des Systmes

MTTF (Mean Time To Failur e) : E.M. de la dure de bon fonctionnement avant lapparition de la premire dfaillance, Notons que le taux de dfaillance (voir 1.2) lorsquil est constant est tel que MTTF = 1/

MTTR (Mean Time To Repair ): E.M. de la dure de rparation, MUT (Mean Up Time): E.M. de la dure de bon fonctionnement, MDT (Mean Down Time): E.M. de la dure dindisponibilit, MTBF (Mean Time Between Failur es): E.M. de la dure entre deux dfaillances conscutives.

Pr oposition : Nous proposons de conserver le vocable SdF pour la caractrisation probabiliste et de parler dingnierie de la SdF propos de lensemble des activits visant lamlioration de la SdF.

1.2

Scur it vs. Fiabilit

Lobjectif des tudes prvisionnelles de fiabilit (Reliability) dun systme est dvaluer diffrentes

architectures possibles pour ce systme en comparant leurs performances au moyen de donnes statistiques

tel-00338938, version 2 - 16 Feb 2009

(Sallak, Simon, & Aubry, 2007). Selon la norme CEI 50(191) (CEI 50(191), 1990), la fiabilit est l Aptitude d'une entit accomplir

une fonction requise, dans des conditions donnes, pendant un intervalle de temps donn . Ceci en supposant
que lentit est en tat daccomplir la fonction requise au dbut de lintervalle de temps donn. La cessation de cette aptitude est lvnement dfaillance de lentit. La fiabilit est gnralement mesure par la probabilit R(t) que lentit accomplisse ses fonctions requises de linstant 0 linstant t: R(t) = P(E non dfaillante sur [0, t]), tel que : E : entit considre, [0, t] intervalle de temps donn. Par dfinition, le taux de dfaillance est tel que .dt est la probabilit pour que la dfaillance de lentit intervienne entre les instants t et t+dt, sachant quelle nest pas encore survenue linstant t.Si avec le temps dans une forme dite en baignoire (voir FIG. 1) : (t) est constant, alors R(t) = exp (-t). Cependant, le taux de dfaillance varie en g nral , pour les composants lectroniques,

Elimination des dfauts de jeunesse

Maturit ( constant)

Vieillesse, Usure

Temps FIG. 1: Evolution du taux de dfaillance dun composant Jusquici, nous navons pas considr la consquence de la dfaillance. Si la dfaillance de lentit est susceptible de produire un danger, alors on parle de dfaillance dangereuse, dans le cas contraire, on parle de dfaillance sre (NF EN 61508, Dcembre 1998). La scurit tant labsence de danger, la probabilit de

11

Chapitre 1

Scurit des Systmes

dfaillance sre peut donc tre considre comme caractrisant la scurit de lentit. Ainsi, la scurit peut tre considre comme la partie de la fiabilit relative aux dfaillances sres. En pratique, on sattachera plutt identifier exhaustivement et valuer les dfaillances dangereuses.

1.3

Scur it vs. Disponibilit : ou les effets per ver s de lultr a-scur it

Selon la norme CEI 50(191) (CEI 50(191), 1990), la disponibilit (Availability) dpend de la fiabilit,

de la maintenabilit et de la logistique de maintenance. Cest aussi l aptitude d'une entit tre en tat

d'accomplir une fonction requise dans des conditions donnes, un instant donn ou pendant un intervalle de temps donn, en supposant que la fourniture des moyens ncessaires est assure . Cette dfinition est conforme
celle de la norme CEI 61069 (CEI 61069, 1996). Y. Mortureux (Mortureux, 2002) ajoute que : La

disponibilit est une synthse de la fiabilit et la maintenabilit ; cest la proportion du temps pass en tat de remplir les fonctions requises dans des conditions donnes .
La disponibilit est gnralement mesure par la probabilit A(t) dtre en tat, linstant t, daccomplir

tel-00338938, version 2 - 16 Feb 2009

les fonctions requises : A(t) = P(E non dfaillante linstant t). La scurit et la disponibilit sont deux concepts souvent difficiles concilier. En effet, comme il est impossible de garantir une probabilit nulle pour les dfaillances dangereuses, on sefforce de les dtecter au plus vite et denclencher les moyens visant empcher leur propagation. Souvent, ces moyens ont pour effet de rduire la disponibilit de la fonction assure, voir de linterrompre (par principe de prcaution par exemple). Dans certains domaines tels que les transports guids, lapplication du principe de scurit Vision zro (voir introduction gnrale) oppose trs souvent les quipes de scurit et dexploitation. La premire cherchant viter le moindre risque, lautre ayant pour vocation dviter les retards provoquant une concentration de masses de voyageurs sur les quais, ce qui peut tre lorigine de mouvements de foules, ou de panique, pouvant causer la chute de passagers sur la voie. Certes, le concept de scurit ne prime pas dune manire triviale sur la disponibilit mais il est plutt peru comme une approbation ou un gage une disponibilit optimale (respectant la contrainte scuritaire) et non pas maximale.

1.4

Scur it vs. Maintenabilit

La maintenabilit (Maintainability) est laptitude dune entit tre remise, par une maintenance

donne, en tat daccomplir des fonctions requises dans des conditions donnes. Selon la norme CEI 50(191) (CEI 50(191), 1990): dans des conditions donnes d'utilisation, aptitude d'une entit tre maintenue

ou rtablie dans un tat dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions donnes, avec des procdures et des moyens prescrits .
La maintenabilit se mesure par la probabilit M(t) dtre en tat, linstant t, daccomplir ses fonctions requises sachant quelle tait en panne linstant 0: M(t) = P (E est rpare sur [0, t]) E : entit considre, [0, t] intervalle de temps donn.

12

Chapitre 1
Si le taux de rparation est constant, alors M(t) = exp (-t).

Scurit des Systmes

La norme CEI 50(191) (CEI 50(191), 1990) donne une dfinition relative la logistique de maintenance (Maintenance support performance) qui est : Aptitude dune organisation de maintenance fournir sur

demande, dans des conditions donnes, les moyens ncessaires la maintenance dune entit conformment une politique de maintenance donne .
Une meilleure maintenabilit est un gage une meilleure scurit. Gnralement, les quipements de scurit sont conus avec une bonne fiabilit et avec des capacits de tolrance aux fautes par recours des redondances. Souvent, on retrouve des architectures 2 parmi 3 permettant de reconfigurer vers un tat relativement moins sr afin dassurer un mode dgrad en cas de dfaillance ou panne du composant principal. La restauration du mode nominal dpend de la maintenabilit de ce composant. Ainsi le concept dintgrit de scurit en scurit fonctionnelle sapparente la disponibilit de la fonction scurit et est donc largement tributaire de la maintenabilit (NF EN 61508, Dcembre 1998). Par ailleurs, dans un systme de production, les procdures de maintenance se droulent parfois avec

tel-00338938, version 2 - 16 Feb 2009

prcipitation sous linfluence du facteur de disponibilit ; ceci amne shunter certaines consignes de scurit et par consquent prendre dlibrment un risque inutile ! Il convient donc de veiller, dans le cadre du Systme de Management de la Scurit, sur le respect des procdures de scurit de telle sorte que toute transgression soit rprime.

1.5

Scur it vs. Sr et
Il ne faut pas confondre sret de fonctionnement et sret dans le sens large du terme. Selon la norme CEI 61069 (CEI 61069, 1996) ddie aux processus industriels, la sret est :

lassurance fournie par le systme de sa capacit refuser toute entre incorrecte ou tout accs non autoris et pouvoir ventuellement en informer .
Pour les systmes informatiques, J.-L. Laprie (Laprie, 1994) (Laprie, 2002) distingue entre scurit innocuit (biens et personnes) et scurit confidentialit. La premire se rapproche du sens gnral de scurit (Safety en anglais), alors que la seconde se rapproche du terme sret de la norme CEI 61069. Dans le cadre des Installations Classes pour la Protection de lEnvironnement (ICPE), on parle de scurit des installations vis--vis des accidents et de sret vis--vis des attaques externes volontaires, des intrusions malveillantes et de la malveillance interne. Selon le GT mthodologie (GT Mthodologie, 2003), l'expression sret de fonctionnement dans les installations classes, se rapporte plutt la matrise des risques d'accident, donc la scurit des installations. Evidemment, ces nuances peuvent rendre difficile et atypique la dfinition des objectifs de scurit et/ou de sret de fonctionnement.

13

Chapitre 1

Scurit des Systmes

2
2.1

Notions de danger et de phnomne danger eux

Danger

Dfinitions : SOURCE (AQS-GT OORS, Mar s 1996) (GT Mthodologie, 2003) La notion de danger dfinit une proprit intrinsque une substance (ex : butane, chlore), un systme technique (ex : mise sous pression d'un gaz), une disposition (ex : lvation d'une charge), un organisme (ex : microbes), etc., de nature entraner un dommage sur un lment vulnrable . Sont ainsi rattaches la notion de danger les notions d'inflammabilit ou Etat ou situation comportant une potentialit de dommages.

tel-00338938, version 2 - 16 Feb 2009

d'explosivit, de toxicit, de caractre infectieux etc., inhrentes un produit et celle d'nergie disponible (pneumatique ou potentielle) qui caractrisent le danger. (BSI OHSAS 18001, 2005) Situation, condition ou pratique qui comporte en elle-mme un potentiel causer des dommages aux personnes, aux biens ou l'environnement. Une source ou une situation pouvant nuire par blessure ou atteinte la sant, dommage la proprit et lenvironnement du lieu de travail ou une combinaison de ces lments. (CEI 300-3-9, 1995) (NF EN 61508, Dcembr e 1998) (Dir ective 96/82/EC (SEVESO II), 9 dcembr e 1996) La proprit intrinsque d'une substance dangereuse ou d'une situation physique de pouvoir provoquer des dommages pour la sant humaine et/ou l'environnement. Le danger dsigne une nuisance potentielle pouvant porter atteinte aux biens (dtrioration ou destruction), lenvironnement, ou aux personnes. Source potentielle de dommage.

Pr oposition : Le danger se dfinit comme une proprit intrinsque inhrente un type dentit ou un type dvnement qui a la potentialit de provoquer un dommage.

14

Chapitre 1

Scurit des Systmes

2.2

Phnomne danger eux

Dfinitions : SOURCE (GT Mthodologie, 2003) (ISO 14971, 2000), (CEI 300-3-9, 1995), (EN 292/ISO 12100, 1995) Libration d'nergie ou de substance produisant des effets susceptibles d'infliger un dommage des cibles (ou lments vulnrables) vivantes ou matrielles, sans prjuger l'existence de ces dernires. Source potentielle de dommage.

Synthse : Dans la norme ISO 14971 relative la gestion du risque pour les dispositifs mdicaux , le terme

tel-00338938, version 2 - 16 Feb 2009

phnomne dangereux a t dfini exactement de la mme faon que la notion de danger dans la CEI 300-3-9.
Pr oposition : Un phnomne dangereux est un processus de matrialisation de danger. Cette concrtisation produit des effets (dispersion dun nuage de gaz toxique, drapage dune voiture, etc.).

3
3.1

Notions de dommage et de consquence daccident

Dommage

Dfinitions : SOURCE (Lar ousse, 2006) (GT 7 - CEI)

Prjudice ou dgt caus quelqu'un, quelque chose. Prjudice caus par un systme son environnement passif conduisant une diminution de l'intgrit physique des personnes ou de la valeur initiale des biens ou des quipements.

(GT Aspects smantiques du r isque, 1997) (ISO/CEI Guide 51, 1999)

Effets nfastes dun vnement pour les personnes, la socit, ou l'environnement.

Blessure physique ou une atteinte la sant des personnes ou dgt caus aux biens ou lenvironnement.

15

Chapitre 1
(NF EN 61508, Dcembr e 1998), (CEI 1050, Fvr ier 1991)

Scurit des Systmes

Blessure physique ou atteinte la sant affectant des personnes soit directement soit indirectement comme consquence un dgt caus aux biens ou lenvironnement.

Synthse : La notion de dommage (Harm) est relativement dfinie de la mme faon dans la norme ISO 14971 (2000), la norme gnrique CEI 300-3-9 (1995), le guide ISO/CEI 51 (1999) et bien dautres rfrentiels. Pr oposition : La notion de dommage caractrise les prjudices matriels, moraux ou environnementaux, directs ou indirects, immdiats ou diffrs, involontaires ou dlibrs. NB. Les dommages diffrs sont gnralement qualifis de dtriments. On parle par exemple de dommage sanitaire et de dtriment cologique.

tel-00338938, version 2 - 16 Feb 2009

3.2

Consquence

Dfinitions : SOURCE (Lar ousse, 2006) (GT Mthodologie, 2003) (ISO/CEI Guide 51, 1999) Combinaison, pour un accident donn, de l'intensit des effets et de la vulnrabilit des cibles situes dans les zones exposes ces effets. Elles s'expriment en dfinissant la nature et la gravit des atteintes portes celles-ci . Rsultat d'un vnement. Il peut y avoir une ou plusieurs consquences d'un vnement. Les consquences peuvent englober des aspects positifs et des aspects ngatifs. Cependant, les consquences sont toujours ngatives pour les aspects lis la scurit. Les consquences peuvent tre exprimes de faon qualitative ou quantitative.

Conclusion dduite dun principe, dun fait.

Pr oposition: Nous proposons que la notion de consquence soit lie aux aspects ngatifs contraires la scurit. Les consquences dun accident englobent limpact des dommages quil a causs sur lensemble des enjeux socioconomiques (techniques, financiers, commerciaux, juridiques, mdiatiques, etc.).

16

Chapitre 1

Scurit des Systmes

Notions de gr avit, de fr quence doccur r ence et dexposition

4.1

Gr avit

Pr oposition : Le terme gravit (Severity) se dit de l'importance des choses. Cest le caractre de ce qui est important, de ce qui ne peut tre considr avec lgret, de ce qui peut avoir des suites fcheuses. La gravit caractrise globalement l'ensemble des consquences parmi diffrentes classes dimportance. Cette classification est effectue gnralement par des experts. Il convient de dfinir un nombre pair de classes de gravit par soucis dviter la tendance de retenir la position mdiane dune classification impaire. Il convient aussi de choisir des termes rvlateurs et distinctifs afin dviter les mauvaises interprtations en cas daudit ou de demande davis dexperts. En effet, certains

tel-00338938, version 2 - 16 Feb 2009

prfrent tout simplement numroter les classes de gravit (niveau 0, niveau 1, niveau 2, niveau 3). Dans le domaine du risque professionnel, la gravit concerne essentiellement les prjudices ports lHomme. Ceci amne dfinir des chelles de gravit dans la forme suivante (voir TAB. 1) : TAB. 1 : Echelles de gr avit selon la nor me ISO 14971 (ISO 14971, 2000) Gr avit Ngligeable Minime Mineur e Majeur e Catastr ophique Signification Incident nexigeant aucun acte mdical Lgres blessures relevant des premiers soins (ne ncessitant pas un traitement mdical) Blessures ou maladies mineures ncessitant un traitement mdical Blessures ou maladies graves, infirmit permanente Dcs dune ou plusieurs personnes

Dans la majorit des domaines industriels, la gravit couvre aussi bien les dommages sur lHomme et le Systme, que les nuisances portes lEnvironnement. La norme ferroviaire NF EN 50126 propose quatre chelles de gravit (voir TAB. 2) : TAB. 2 : Echelles de gr avit selon la nor me NF EN 50126 (NF EN 50126, J anvier 2000) Gr avit Insignifiant Mar ginal Cr itique Catastr ophique Consquences pour les per sonnes ou lenvir onnement Eventuellement une personne lgrement bless Blessures lgres et/ou menace grave pour lenvironnement Un mort et/ou une personne grivement blesse graves et/ou des dommages graves pour lenvironnement Des morts et/ ou plusieurs personnes gravement blesses et/ou des dommages majeurs pour lenvironnement Consquences pour le ser vice Perte dun systme important Dommages graves pour un (ou plusieurs) systme(s) Dommages mineurs pour un systme

17

Chapitre 1

Scurit des Systmes

Nanmoins, limage des normes gnriques voire mme sectorielles, lchelle de gravit donne titre dexemple dans la NF EN 50126 ne fait pas lobjet dun consensus auquel adhrent pleinement les spcialistes du monde ferroviaire. Souvent, ces derniers adaptent cette chelle en fonction de leur propre perception du risque et des enjeux majeurs les concernant. A titre dexemple, lchelle de gravit (voir TAB. 3) adopte dans le cadre de lAPR du systme de contrle/commande ERTMS 1 (GTR 55, 2000), est une adaptation de la matrice de gravit propose par la norme NF EN 50126 (voir TAB. 2): TAB. 3 : Adaptation des chelles de gr avit de la nor me NF EN 50126 Gr avit Insignifiant Mar ginal Cr itique Catastr ophique Un bless lger et/ou une menace significative de lenvironnement Un bless grave et/ou un dommage significatif lenvironnement Un ou plusieurs morts et/ou blesss graves et/ou des dommages majeurs lenvironnement Consquences pour les per sonnes ou lenvir onnement Consquences pour le ser vice Dommages mineurs au systme dommages svres au systme perte du systme

tel-00338938, version 2 - 16 Feb 2009

Pour mesurer la gravit d'un accident nuclaire, plus de cinquante pays ont adopt l'chelle internationale des vnements nuclaires (INES, de l'anglais International Nuclear Event Scale). INES comporte 8 niveaux classs de 0 7 (voir TAB. 4) : TAB. 4: Echelle inter nationale de gr avit des vnements nuclair e (Wikipdia, 2008) (Bouchet, 2001) Type INES Incidence hor s site Rejet majeur : effet tendu sur la sant et l'environnement. Rejet important susceptible d'exiger l'application intgrale des contre-mesures prvues. Rejet limit susceptible d'exiger l'application partielle des contre-mesures prvues. Rejet mineur: exposition du public de l'ordre des limites prescrites. Incidence sur site Dgr adation de la dfense en pr ofondeur Exemple

Accident majeur

1986, Explosion de la centrale de Tchernobyl en Ukraine. 1957, Explosion lusine de retraitement de Kyshtym en URSS. 1969, fusion du cur la centrale nuclaire de Lucens. Endommagement grave du racteur ou des barrires biologiques. 1979, Fusion partielle du cur du racteur Three Mile Island aux Etats-Unis. 1957, Incendie de Sellafield. 1999, Accident de criticit de Tokaimura au Japon. 1973, Rejet Windscale.

Accident gr ave

Accident (entr anant un r isque hor s du site)

Accident (n'entr anant pas de r isque impor tant l'extr ieur

1

Endommagement important du racteur ou des barrires biologiques, ou

(perte des dfenses et contamination)

ERTMS : European Rail Traffic Management System

18

Chapitre 1
du site) exposition ltale d'un travailleur.

Scurit des Systmes

1980, Endommagement du cur de la Centrale nuclaire de SaintLaurent. 2005, Fuite nuclaire Sellafield. Trois vnements ont t classs au niveau 3 en France (1981 La Hague, 2002 Roissy, 2008 l'ONERA Toulouse). (Quelques cas par an en France)

Incident gr ave

Trs faible rejet: exposition du public reprsentant une fraction des limites prescrites.

Contamination grave ou effets aigus sur la sant d'un travailleur.

Accident vit de peu. Perte des lignes de dfense.

Incident

(pas de consquence)

Contamination importante ou surexposition d'un travailleur. (pas de consquence)

Anomalie

tel-00338938, version 2 - 16 Feb 2009

car t

Incident assorti de dfaillance importante des dispositions de sret. Anomalie sortant du rgime de fonctionnement autoris. Anomalie sans importance du point de vue de la sret.

(Une centaine de cas par an en France)

(De l'ordre d'un millier de cas par an en France)

INES ne constitue pas une chelle dvaluation de sret, mais elle est destine faciliter la perception par les mdias et le public de l'importance des accidents nuclaires.

4.2

Fr quence doccur r ence

Pr oposition : La frquence doccurrence dun vnement est la mesure du nombre moyen doccurrences attendues en un laps de temps donn dans des conditions connues. Cette frquence est estime sur une priode de temps donne (anne, jour, heure, etc.). Les classes de frquence prsentes dans la table suivantes (voir TAB. 5) sont proposes dans la norme NF EN 50126 (NF EN 50126, Janvier 2000): TAB. 5 : Echelles de fr quence doccur r ence selon la nor me NF EN 50126 Niveau Descr iption Invr aisemblable Extrmement improbable. On peut supposer que la situation dangereuse ne se produira pas Peu susceptible de se produire mais possible. On peut supposer que la situation dangereuse peut Impr obable exceptionnellement se produire Susceptible de se produire un moment donn du cycle de vie du systme. On peut Rar e raisonnablement sattendre ce que la situation dangereuse se produise Susceptible de survenir plusieurs reprises. On peut sattendre ce que la situation dangereuse Occasionnel survienne plusieurs reprises Peut survenir plusieurs reprises. On peut sattendre ce que la situation dangereuse survienne Pr obable souvent Susceptible de se produire frquemment. La situation dangereuse est continuellement prsente Fr quent

19

Chapitre 1

Scurit des Systmes

La mtrique de frquences doccurrence prsente dans la table suivante (voir TAB. 6) est adopte dans le cadre de lAPR du systme de contrle/commande ERTMS (GTR 55, 2000). Cest une simplification de la mtrique propose dans la norme NF EN 50126 (voir TAB. 5): TAB. 6 : Adaptation des chelles de fr quence doccur r ence de la nor me NF EN 50126 Niveau Invr aisemblable Rar e Occasionnel Fr quent Descr iption Extrmement invraisemblable survenir durant la vie du systme<=10-9 /h Invraisemblable survenir mais possible durant la vie du systme > 10-9 /h Vraisemblable quil survienne plusieurs fois durant la vie du systme Vraisemblable quil survienne frquemment durant la vie du systme

Toutefois nous pouvons constater le caractre sommaire des significations donnes aux niveaux doccurrence. Par exemple, il existe une forte nuance entre les termes plusieurs fois et frquemment qui renvoient 2 comme 1000 occurrences ! De surcroit, aucune probabilit nest affecte ces deux niveaux. Une chelle de probabilits doccurrence mieux labore (voir TAB. 7) est propose en annexe 1 de

tel-00338938, version 2 - 16 Feb 2009

larrt du 29 septembre 2005 relatif lvaluation et la prise en compte de la probabilit doccurrence, de la cintique, de lintensit des effets et de la gravit des consquences des accidents potentiels dans les tudes de dangers des installations classes soumises autorisation (Ministre de l'cologie et du dveloppement durable , 29 septembre 2005) : TAB. 7 : Echelle de pr obabilit doccur r ence applique dans le domaine des ICPE Classe de pr obabilit Type dappr ciation Qualitative E D C B A

vnement possible mais extrmement peu probable :

vnement trs improbable :

vnement improbable :

vnement probable :

vnement courant :

nest pas impossible au vu des connaissances actuelles, mais non rencontr au niveau mondial sur un trs grand nombre dannes et installations
Semi-qualitative Quantitative (par unit par an)

sest dj produit dans ce secteur dactivit mais a fait lobjet de mesures correctives rduisant significativement sa probabilit.

un vnement similaire dj rencontr dans le secteur dactivit ou dans ce type dorganisation au niveau mondial, sans que les ventuelles corrections intervenues depuis apportent une garantie de rduction significative de sa probabilit

sest produit et/ou peut se produire pendant la dure de vie de linstallation

sest produit sur le site considr et/ou peut se produire plusieurs reprises pendant la dure de vie de linstallation, malgr dventuelles mesures correctives

Cette chelle est intermdiaire entre les chelles qualitative et quantitative, et permet de tenir compte des mesures de matrise des risques mises en place. 10-5 10-4 10-3 10-2

20

Chapitre 1

Scurit des Systmes

Les dfinitions donnes entre guillemets ne sont valables que si le nombre dinstallations et le retour dexprience sont suffisants Ces dfinitions sont conventionnelles et servent dordre de grandeur de la probabilit moyenne doccurrence observable sur un grand nombre dinstallations x annes. En effet, larrt stipule que : si le retour dexprience est limit, les dtails figurant en italique ne

sont en gnral que pas reprsentatifs de la probabilit relle. Lvaluation de la probabilit doit tre effectue par dautres moyens (tudes, expertises, essais) que le seul examen du retour dexprience .

4.3

Exposition
La notion d'exposition en situation dangereuse t dfinie par la norme europenne EN 292 (EN

292/ISO 12100, 1995) comme : Situation dans laquelle une personne est expose un ou des phnomnes dangereux . Le facteur dexposition est estim en fonction des besoins d'accs la zone dangereuse, de la nature de l'accs, du temps pass dans la zone dangereuse, du nombre de personnes demandant l'accs et de la frquence

tel-00338938, version 2 - 16 Feb 2009

d'accs. Lexposition permet, entre autres, de mieux apprcier la gravit. Une chelle de gravit base sur lexposition des humains (voir TAB. 8) est donne en annexe 3 de larrt du 29 septembre 2005 relatif lvaluation et la prise en compte de la probabilit doccurrence, de la cintique, de lintensit des effets et de la gravit des consquences des accidents potentiels dans les tudes de dangers des installations classes soumises autorisation (Ministre de l'cologie et du dveloppement durable , 29 septembre 2005): TAB. 8 : Echelle de gr avit dexposition des humains lextr ieur des ICPE Zone dlimite par le seuil des effets irrversibles Sur la vie humaine Plus de 10 personnes Plus de 100 personnes Plus de 1 000 personnes Dsastreux exposes (1). exposes exposes Moins de 10 personnes Entre 10 et 100 personnes Entre 100 et 1 000 Catastrophique exposes personnes exposes. Au plus 1 personne Entre 1 et 10 personnes Entre 10 et 100 personnes Important expose. exposes exposes Aucune personne Au plus 1 personne Moins de 10 personnes Srieux expose. expose. exposes Pas de zone de ltalit hors de ltablissement Prsence humaine Modr expose des effets irrversibles infrieure une personne . (1) Personne expose : en tenant compte le cas chant des mesures constructives visant protger les personnes contre certains effets et la possibilit de mise labri des personnes en cas doccurrence dun phnomne dangereux si la cintique de ce dernier et de la propagation de ses effets le permettent. Niveau de gravit Des consquences Zone dlimite par le seuil des effets ltaux significatifs Zone dlimite par le seuil des effets ltaux

21

Chapitre 1

Scurit des Systmes

5
5.1

Facettes du r isque
Risque
R. Flanagan et G. Norman (Flanagan & Norman, 1993) rapportent dans leur livre Risk Management

and Construction que le mot risque est relativement moderne. Il provient du mot franais risqu . Ce nest quau milieu du 17me sicle que les Anglo-Saxons ont adopt le terme Risk , avant quil ne soit fort prsent dans le jargon des Assurances. Le risque est un concept diversement compris, reprsent, identifi, estim, interprt, peru, valu, maitris et gr ! Dfinitions :

Sour ce
(Lar ousse, 2006) Eventualit dun prjudice, dun vnement malheureux Possibilit, probabilit dun fait, dun vnement considr comme mal ou un dommage. Danger, inconvnient plus au moins probable auquel on est expos : courir le risque (HMSO, 1995) Une combinaison de la probabilit, de la frquence, de l'occurrence d'un ala dfini et de l'amplitude des consquences de cette occurrence. (GT Aspects smantiques du r isque, 1997) (GT Mthodologie, 2003) Le risque est considr comme la possibilit de survenance d'un dommage rsultant d'une exposition aux effets d'un phnomne dangereux. Cest une esprance mathmatique de pertes en vies humaines, blesss, dommages aux biens et atteinte l'activit conomique au cours d'une priode de rfrence et dans une rgion donne, (BSI OHSAS 18001, 2005) (NF EN 61508, Dcembr e 1998) (ISO 14971, 2000), (ISO/CEI Guide 51, 1999), (CEI 300-3-9, 1995), (EN 292/ISO 12100, 1995) Combinaison de la probabilit dun dommage et de sa gravit. Combinaison de la probabilit et de la (les) consquence(s) de la survenue dun vnement dangereux spcifi. Combinaison de la probabilit doccurrence dun dommage et de sa gravit. Le risque est une mesure de l'occurrence dun vnement indsirable et/ou la mesure associe ses effets et consquences.

tel-00338938, version 2 - 16 Feb 2009

(Lar ousse, 2005)

22

Chapitre 1
(ISO/CEI Guide 73, 2002) (NF EN 50128, J uillet 2001), (NF EN 50129, Mai 2003) (NF EN 50126, J anvier 2000) Le risque est la combinaison de deux lments : Combinaison de la probabilit d'un vnement et de ses consquences.

Scurit des Systmes

Combinaison de la frquence ou de la probabilit, et des consquences dun vnement redout.

- la probabilit doccurrence dun vnement ou dune combinaison dvnements conduisant une situation dangereuse, ou la frquence de tels vnements. - les consquences de cette situation dangereuse.

(Dir ective 96/82/EC (SEVESO II), 9 dcembr e 1996)

Probabilit qu'un effet spcifique se produise dans une priode donne ou dans des circonstances dtermines.

tel-00338938, version 2 - 16 Feb 2009

Synthse : deux points essentiels mritent dtre souligns : le premier concerne la confusion gnrale dans la dfinition du risque par rapport sa mesure. Le deuxime point concerne les divergences conceptuelles entre la dfinition donne par la norme gnrique NF EN 61508 et ses normes drives dans le secteur ferroviaire, en loccurrence NF EN 50126, 50128 et 50129. De surcroit, la 50126 donne une dfinition distincte. Pr oposition : Le risque est une proprit intrinsque toute prise de dcision. Il se mesure par une conjonction entre plusieurs facteurs (Gravit, Occurrence, Exposition, Possibilits dvitement, etc.), quoique gnralement on se limite aux deux facteurs : gravit et frquence doccurrence dun accident potentiellement dommageable en intgrant dans certains cas le facteur dexposition. Cependant, il ne faut pas confondre le concept de risque avec sa mesure.

5.2

Classification du r isque
Gnralement, les niveaux de gravit et de probabilit doccurrence sont croiss dans une matrice de

criticit afin de positionner les zones de risque. La matrice Gravit/Occurrence ci-dessous (voir TAB. 9) est propose par la norme NF EN 50126 (NF EN 50126, Janvier 2000): TAB. 9 : Matr ice de cr iticit (G/O) - NF EN 50126 Insignifiant Invr aisemblable Impr obable Rar e Occasionnel Pr obable Fr quent Ngligeable Ngligeable Ngligeable Acceptable Acceptable Indsirable Mar ginal Ngligeable Ngligeable Acceptable Indsirable Indsirable Inacceptable Cr itique Ngligeable Acceptable Indsirable Indsirable Inacceptable Inacceptable Catastr ophique Ngligeable Acceptable Indsirable Inacceptable Inacceptable Inacceptable

23

Chapitre 1

Scurit des Systmes

Pr oposition : Nous proposons de garder les qualificatifs de la norme NF EN 50126, tout en les rpartissant sur 3 classes distinctes : risque maitris regroupant le risque ngligeable et le risque acceptable, risque maitrisable regroupant le risque indsirable non rsiduel et enfin risque non maitrisable regroupant le risque rsiduel et le risque inacceptable. Toutefois nous dfinissons le risque indsirable comme une sous catgorie du risque tolrable et nous procdons de la mme faon en ce qui concerne le risque inacceptable par rapport au risque rsiduel (voir FIG. 2). Probabilit doccurrence Limite du risque tolrable

Inacceptable Limite du risque acceptable Indsirable Rsiduel

tel-00338938, version 2 - 16 Feb 2009

Acceptable

Ngligeable Gravit FIG. 2: Classification des r isques

5.2.1
5.2.1.1

Risques maitriss
Risque ngligeable

Dfinitions : SOURCE (GT Aspects smantiques du r isque, 1997) (HSE, 1992) Le risque ngligeable fait rfrence un niveau de risque dont l'occurrence est de lordre de 1 par million et par anne et au dessous, et dont la possibilit de ralisation n'affecte pas la vie courante. Synthse : Les deux dfinitions du risque rattachent le risque la probabilit doccurrence value au quotidien, et ce, quelque soit la gravit des dommages potentiels. Pr oposition : Un risque ngligeable nest pas pris en compte dans lvaluation globale du risque li un systme. Un risque est ngligeable s'il est infrieur un seuil (par exemple : 10-9 par an). Risque dont on ne se soucie pas de l'occurrence au quotidien.

24

Chapitre 1
5.2.1.2 Risque acceptable

Scurit des Systmes

Dfinitions : SOURCE (Laur ant, 2003) (AQS-GT OORS, Mar s 1996) Risque acceptable pour les personnes : un risque n'est accept que s'il y a contrepartie ou/et sil est infrieur au risque dj encouru. Risque acceptable pour les entreprises : le risque acceptable ne se conoit que dans le cadre rsiduel, aprs la mise en uvre des mesures de prvention et de Protection notamment celles imposes par la lgislation et la rglementation en vigueur. (GT 7 - CEI) Risque acceptable : valeur d'un risque rsultant d'une dcision explicite tablie de faon objective. Il est parfois prfrable pour certaines branches dactivit de parler du risque admissible ou du risque limite. (GT Aspects un risque est acceptable en rfrence un objectif de scurit donn, un risque est acceptable s'il est infrieur un seuil (par exemple : 10-5 par an), Risque avec lequel on consent vivre en contrepartie d'un bnfice et dans la mesure o il est contrl. Un risque accept dans un contexte donn bas sur des valeurs courantes de notre socit. Traduit la notion relative un risque intgr tel que dans le contexte de la vie courante.

tel-00338938, version 2 - 16 Feb 2009

smantiques du r isque, 1997) (ISO/CEI Guide 51, 1999) (ISO/CEI Guide 73, 2002)

L'acceptation du risque dpend des critres de risques retenus par la personne qui prend la dcision.

Synthse : Les dfinitions du risque acceptable peuvent tre classes en deux catgories : celles dont lacceptabilit est bas essentiellement sur les valeurs de la socit, et celles dont lacceptabilit est rattach la prise de dcision (voir ISO/CEI Guide 73 et GT 7 CEI). Pr oposition : Un risque peru comme insignifiant peut facilement tre accept. En dautres termes, un accident potentiel caractris par une faible probabilit doccurrence, peut facilement tre accept. En effet, nous continuons prendre le train malgr les accidents possibles parce que la probabilit dun draillement ou dune collision catastrophique est extrmement faible.

25

Chapitre 1 5.2.2
5.2.2.1

Scurit des Systmes Risques maitrisables

Risque tolrable (Tolerable risk)

Dfinitions : SOURCE (Laur ant, 2003) Le risque tolr traduit, leffet den retirer certains bienfaits, la volont de vivre avec les risques que lon saurait ni ignorer, ni considrer comme ngligeables, mais avec la confiance quils sont correctement matriss. (HSE, 1992) Risque que lon ne peut pas considrer comme ngligeable ou comme quelque chose que l'on peut ignorer mais que lon doit garder prsent lesprit et pour lequel on doit engager (GT Aspects smantiques du r isque, des mesures de rduction aussi tt qu'il est possible. Risque que l'on doive considrer avec vigilance et chercher rduire autant que raisonnablement possible. Risque infrieur un seuil donn (par exemple : 10-9 par an). Le risque tolrable est le rsultat de la recherche dun quilibre optimal entre une scurit absolue idale et les exigences technico-conomiques.

tel-00338938, version 2 - 16 Feb 2009

1997) (GT Mthodologie, 2003) (NF EN 61508, Dcembr e 1998), (EN 292/ISO 12100, 1995) (ISO/CEI Guide 51, 1999)

Risque accept dans un certain contexte et fond sur les valeurs actuelles de la socit.

Risque accept dans un certain contexte et fond sur des valeurs admises par la socit.

Synthse : Selon le GT Mthodologie : La tolrabilit du risque rsulte d'une mise en balance des avantages et des inconvnients (dont les risques) lis une situation, situation qui sera soumise rvision rgulire afin d'identifier, au fil du temps et chaque fois que cela sera possible, les moyens permettant d'aboutir une rduction du risque . En effet, le risque serait tolr en attendant de pouvoir mieux juger, alors que le terme acceptable aurait un caractre dacceptation plus dfinitif. Pr oposition : Un risque Tolrable est un risque non ngligeable qui, dans un certain contexte, peut tre accept avec vigilance.

26

Chapitre 1
5.2.2.2 Risque indsirable (Undesirable risk)

Scurit des Systmes

SOURCE (NF EN 61508, Dcembr e 1998)

Risque indsirable, tolrable uniquement s'il est impossible de rduire le risque ou si le cot de la rduction est disproportionn par rapport l'amlioration possible.

Synthse : A lgard de la dfinition donne par la norme NF EN 61508, le risque indsirable est souvent li au risque tolrable. Pr oposition : Un risque indsirable est un risque qui peut tre tolr moyennant des mesures appropries de contrle et de suivi.

5.2.3
5.2.3.1

Risques non maitrisables

Risque rsiduel (Residual risk)

tel-00338938, version 2 - 16 Feb 2009

Dfinitions : SOURCE (AQS-GT OORS, Mar s 1996) (GT Aspects smantiques du r isque, 1997) (NF EN 61508, Dcembr e 1998), (CEI 1050, Fvr ier 1991) (ISO/CEI Guide 51, 1999) (ISO/CEI Guide 73, 2002) Synthse : Le GT OORS de lAQS dfinit le risque rsiduel de deux faons : la deuxime en loccurrence concorde avec les autres dfinitions donnes ci-dessous, nanmoins la premire ne met pas en valeur le fait que toutes les mesures possibles aient t prises avant que le risque subsistant ne soit qualifi de rsiduel. Risque subsistant aprs le traitement du risque. Risque subsistant aprs que des mesures de prvention aient t prises. Risque restant aprs que toutes les mesures de prvention ont t prises. Risque qui subsiste aprs avoir appliqu des mesures de rduction. Risque qui subsiste aprs avoir appliqu toutes les mesures de rduction disponibles. Risque qui subsiste quand on a fait de son mieux en fonction du possible actuel .

27

Chapitre 1

Scurit des Systmes

Pr oposition : Un risque rsiduel est un risque subsistant aprs que les diffrentes mesures possibles aient t prises.

5.2.3.2

Risque inacceptable (non acceptable risk)

Pr oposition : Un risque inacceptable est un risque rsiduel non tolrable.

5.3

Acceptabilit du r isque
La mesure du risque peut rapprocher le degr de nuisance de deux situations dangereuses compltement

dissemblables : lune caractrise par une pondration de frquence et lautre par une pondration de gravit. Lacceptabilit concerne le risque et non la gravit du dommage ou la probabilit doccurrence considrs sparment. En effet, la gestion des risques a pour objectif de consigner les alas lintrieur de frontires juges satisfaisantes. Un risque impossible supprimer doit donc tre rduit un niveau acceptable fix pralablement.

tel-00338938, version 2 - 16 Feb 2009

Le choix des actions de matrise des risques se fait en fonction de la frquence et de la gravit des dommages relatifs un accident potentiel. Les actions de protection (scurit primaire) sont prioritaires par rapport aux actions prventives (scurit secondaire) ayant objectif de rduire les consquences dvnements dommageables tandis que ces dernires ont pour but de limiter la possibilit de rcidive des vnements redouts.

5.4

Risque vs. Danger

Le risque est li la prise de dcision qui a pour objet soumettre une cible un danger. Le danger est

une proprit intrinsque une source de danger. Le Groupe de Travail Mthodologie (GT Mthodologie, 2003) donne une dfinition intressante aux concepts de risque et de danger : Le risque constitue une potentialit. Il ne se ralise qu' travers l'vnement accidentel, c'est--dire travers la runion et la ralisation d'un certain nombre de conditions et la conjonction d'un certain nombre de circonstances qui conduisent, d'abord, l'apparition d'un (ou plusieurs) lment(s) initiateur(s) qui permettent, ensuite, le dveloppement et la propagation de phnomnes permettant au danger de s'exprimer, en donnant lieu d'abord l'apparition d'effets et ensuite en portant atteinte un (ou plusieurs) lment(s) vulnrable(s) .

5.5

Risque vs. Gr avit

Beaucoup de personnes confondent risque et gravit et ne prennent en compte que les cas pour lesquels

la gravit est importante sans aucune considration du facteur probabilit (cest le cas des Analyses Prliminaires de Danger). Ce phnomne constitue ce que certains appellent la fascination par le risque maximum . Le risque dun scnario d'accident frquent et peu grave peut tre assimil celui dun scnario rare et grave, quoiquil existe une certaine aversion pour ce dernier. Cependant, il convient de rappeler que 1 x 1 n'est 28

Chapitre 1

Scurit des Systmes

pas quivalent 10 x 0 .1 . La perception du risque du grand public vis--vis des crashs davions est beaucoup plus ferme de ce quelle est des accidents de la route, bien que ces derniers se produisent beaucoup plus souvent et fassent largement beaucoup plus de victimes au total.

5.6

Risque vs. Pr obabilit doccur r ence

Dans le domaine mdical on dfinit plus gnralement pour un risque la probabilit dun dommage en

exprimant, par exemple, la probabilit quil y ait un dcs ou des complications ou des effets secondaires. Il convient de prciser que la notion de probabilit est associe aux vnements et non pas aux dommages, le dcs devrait tre considr comme un vnement ayant une gravit et une probabilit doccurrence estime en fonction de lesprance de vie et pondre au cas par cas. Dans lanalyse de risques applique aux systmes de transport, on ne sintresse pas la probabilit dun dommage mais plutt la probabilit doccurrence dun vnement redout. Cette probabilit doccurrence est associe, au moins, la gravit des dommages subis pour estimer le risque.

tel-00338938, version 2 - 16 Feb 2009

5.7

Risque vs. Incer titude

Le risque est inhrent toute activit dcisionnelle car ses racines plongent dans le futur et il se nourrit

des dcisions du prsent (Bergada, Chandon, & Chebat, 1984). Le contexte de toute prise de dcision peut tre reprsent sur deux dimensions (voir FIG. 3): laxe challenge (objectif atteindre) et laxe risque (prise de risque inhrente).

Dcision

Challenge

Objectif 1 Objectif 2

Incer titudes

Objectif n

Risque

Gravit Prob. Occ Exposition Autres.

FIG. 3: Dcision, challenge, r isque et incer titude Il est trs difficile de spcifier avec certitude les objectifs et le risque dune prise de dcision. En effet, le mot incertitude est gnralement employ quand il sagit de situation non mesurable.

29

Chapitre 1

Scurit des Systmes

En fait, les spcialistes sont de deux avis : les premiers considrent lincertitude comme synonyme du risque. Ainsi par exemple, nous avons pris lhabitude de parler de risques naturels compte tenu laspect incertain et alatoire des phnomnes naturels (inondation, foudre, etc.). Pour les autres une situation dincertitude peut tre considre comme une situation risque par laffectation de probabilits subjectives !

5.8

Per ception du r isque

La perception du risque (Risk attitude) nest nullement une apprciation objective des dangers, mais

plutt la consquence dune projection de sens et de valeurs sur certains vnements, sur certaines pratiques. Selon la norme ISO/CEI Guide 51 (ISO/CEI Guide 51, 1999), la perception du risque est l ensemble de valeurs ou proccupations aux travers desquelles une personne, un groupe ou un organisme considre un risque . Kerven et Rubise (Kerven & Rubise, 2001) soulvent le paradoxe de la familiarit du danger en soulignant que : La frquentation quotidienne dun danger forte gravit se traduit par une sous-estimation de

ce danger qui dcrot avec lloignement .

tel-00338938, version 2 - 16 Feb 2009

5.8.1

Perception de risque statique

Le risque statique (dit aussi risque pur) est le degr de vraisemblance que quelque chose de ngatif se

produise durant une priode de temps donne ou rsulte dune situation particulire. Ce type de risque relve essentiellement des dcisions ne pouvant conduire qu des consquences ngatives (Flanagan & Norman, 1993). Le suicide prsente un risque purement statique, mais leuthanasie est perue diffremment, elle est mme lgalise dans certains pays Europens comme lAllemagne et la Grande-Bretagne. Ce qui nest pas le cas en France ou en Italie. De mme pour les entreprises industrielles, le risque dincendie, de sisme, de tornade sont des risques statiques.

5.8.2

Perception de risque dynamique

Tous les domaines sociotechniques engendrent des risques dynamiques (dits aussi risques spculatifs).

Gnralement, les entreprises dynamiques osent plus de risques dynamiques par la voie de linnovation et du progrs. On parle de risque dynamique quand la prise de dcision engendre aussi bien une potentialit de gain que de perte (Flanagan & Norman, 1993). Le risque dynamique se prsente comme un coup de poker et renvoie au fait de risquer la perte de quelque chose de certain afin de gagner quelque chose dincertain. Par exemple, malgr les nombreux crashs (Tenerife (1977), etc.) on continue prendre lavion, et malgr les nombreuses catastrophes nuclaires (Three Miles Island (1979), Tchernobyl (1986), etc.) on continue innover, construire et commercialiser des centrales nuclaires.

30

Chapitre 1

Scurit des Systmes

La typologie du risque (dynamique, statique) dpend de la perception des dcisions. Ainsi les mouvements de grve sont perus diffremment par le patronat et le syndicat. La perception du patronat est pondre essentiellement par les pertes financires engendres par ces mouvements, ce qui prsente un risque statique, tandis que les grvistes sont prts prendre un risque dynamique, celui de sacrifier plusieurs jours de salaire afin darriver la satisfaction de leurs revendications. En outre, la perception du risque peut voluer et changer de cap. Certes, le pire risque qui puisse exister est celui quon croirait spculatif par un arbitrage prliminaire gains versus pertes , mais qui savre avec laffermissement de notre perception, un risque purement statique.

5.9

Pr ise de r isque
Selon la norme ISO/CEI Guide 73 (ISO/CEI Guide 73, 2002) la prise de risque est : lacceptation de

la charge dune perte, ou du bnfice dun gain, dun risque particulier.

5.9.1
tel-00338938, version 2 - 16 Feb 2009

Risque de ne rien risquer

La prise de risque est ncessaire la survie dune entreprise face la concurrence et aux dfis de la

mondialisation. Risquer cest dabord oser courir le hasard en sengageant dans une action qui pourrait apporter un avantage, mais qui comporte l'ventualit d'un danger (voir 5.8.2). Marcel PAGNOL aurait dit : Si vous voulez aller sur la mer, sans aucun risque de chavirer, alors, n'achetez pas un bateau : achetez une le ! , ce qui signifie dans un langage plus clair : qui ne risque rien na rien !

5.9.2

Risque de trop risquer

La pratique du risquer le tout pour le tout comme un coup de poker, rserve trop souvent de

mauvaises surprises. La prise de risque doit tre sage, intelligente est rflchie. A cet effet, trois facteurs cls mritent dtre situs avant toute prise de risque (voir FIG. 4) : les choses quon connat (usage du REX), les choses que lon ignore (usage des techniques danalyse, de synthse, de simulation et de test) et les choses quon croit connatre (usage inappropri du REX) et cest bien ce dernier facteur qui pose le plus de problmes possibles:

Synthse Lignorance Analyse

Simulation

Test

La connaissance

La connaissance

FIG. 4 : Remdier lignor ance avant de r isquer (Flanagan & Nor man, 1993)

31

Chapitre 1

Scurit des Systmes

Le risque est la balance qui permet de mesurer le poids dune opportunit. Cette balance contient dun ct le challenge et de lautre la menace (Flanagan & Norman, 1993). Autrement dit, une opportunit se prsente comme une menace pour ceux qui pensent perdre, et comme un challenge pour ceux qui prdisent le contraire. En effet, le concept de risque permet de concilier les notions de challenge et de menace. Une fois quun risque est analys, il tend devenir un problme de management, mme si on continue parler de management des risques. Justement, la dcision de prendre ou ne pas prendre un risque relve essentiellement du management.

tel-00338938, version 2 - 16 Feb 2009

FIG. 5 : Place your water line low (Peter s, 1988)

La prise de risque possde naturellement une ligne rouge quil ne faut pas franchir. T. Peters (Peters, 1988) lillustre avec une superbe mtaphore Place your waterline low ou Placer votre ligne de flottaison suffisamment en bas (voir FIG. 5), ce qui signifie, vous pouvez tenter ce que vous voudrez du moment que cela naffecte pas lintgrit de votre organisation. R. Flanagan et G. Norman (Flanagan & Norman, 1993) dgagent dix critres permettant de poser un cadre propice la prise de risque : 1. 2. 3. 4. 5. 6. 7. 8. 9. Ne pas risquer gros pour peu. Ne jamais risquer plus quon est dispos perdre. Planifier avant dagir. Analyser toujours les sources et les consquences du risque. Agir, car linaction des autres ne justifie pas de rester immobile. Eviter de prendre des risques purement pour des raisons de principe. Eviter la prise de risque inutile juste pour ne pas perdre la face. Prendre en considration les avis dexperts (regards exognes). Prendre en considration tout avis htroclite, quil soit bas sur lintuition ou lexprience (regards endognes). 10. Considrer conjointement le ct contrlable, et le ct incontrlable du risque.

32

Chapitre 1

Scurit des Systmes

Conclusion
Dans le cadre du prsent chapitre, nous avons commenc par clarifier les fondements de la scurit

dabord en la dfinissant par rapport au danger et au risque et ensuite en la confrontant aux autres composantes de la sret de fonctionnement. Par consquent, nous avons pass en revue le concept de risque et ses corollaires tels que danger, phnomne dangereux, consquence, dommage, gravit, frquence doccurrence, en les regroupant selon les liens smantiques qui puissent exister entre eux. En vue de bien assimiler le chapitre suivant, qui sera consacr ltude de lanalyse de risque dans le processus de management des risques, nous avons consacr dans ce 1er chapitre une section entire ltude des facettes du risque, autrement dit, son concept, sa perception, sa prise, sa classification, son acceptabilit et ses diffrences avec dautres concepts tels que gravit, probabilit doccurrence, incertitude, etc. En effet, aprs avoir cadr le concept de scurit, nous allons aborder dans le cadre du 2me chapitre lessentiel des activits relatives la scurit en commenant par le management des risques et son processus

tel-00338938, version 2 - 16 Feb 2009

gnral qui contient justement, entre entres, lanalyse de risque.

33

Chapitre 1

Scurit des Systmes

Tr avaux cits

AQS-GT OORS. (Mars 1996). Management de la scurit d'entrepreise, vocabulaire et concept. Association Qualit-Scurit (AQS) pour l'Observatoire de l'Opinion sur les Risques de la Scurit. Bergada, M., Chandon, J.-L., & Chebat, J.-C. (1984). Le temps comme intrant des attitudes l'gard de la scurit routire. Revue dAnalyse conomique , Vol 60, n4, pp 495-513. Bouchet, S. (2001). Analyse des risques et prvention des accidents majeurs : Prsentation des mthodes

d'inspection TRAM, NIVRIM et AVRIM2. INERIS, Direction des Risques Accidentels, Unit prvention.
BSI OHSAS 18001. (2005). Occupational Health and Safety Management Systems Specification. England: BSI. CEI 1050. (Fvrier 1991). Transformateurs pour lampes tubulaires dcharge ayant une tension secondaire

vide suprieure 1000 V - (couramment appels transformateurs-non): Prescriptions gnrales et de scurit.

tel-00338938, version 2 - 16 Feb 2009

CEI. CEI 300-3-9. (1995). Gestion de la sret de fonctionnement. CEI. CEI 50(191). (1990). International Electro-technical Vocabulary, Chapter 191: Dependability and quality of

service. CEI.
CEI 61069. (1996). Mesure et commande dans les processus industriels - Apprciation des proprits d'un

systme en vue de son valuation - Parti 5: Evaluation de la sret de fonctionnement d'un systme. CEI.
Cox, L.-A. (2008). Whats wrong with risk matrices? Journal of risk analysis , Vol. 28, No. 2, pp 497-512. Directive 96/82/EC (SEVESO II). (9 dcembre 1996). European directive on the control of major-accident

hazards involving dangerous substances. Brussels: Official Journal of the European Union, Commission of the
European Communities. EN 292/ISO 12100. (1995). Scurit des machines ; Notions fondamentales, principes gnraux de conception. ISO/CEN. Flanagan, R., & Norman, G. (1993). Risk Management and Construction. Blackwell Science Ltd. GT 7 - CEI. Enseignement - Terminologie. CEI. GT Aspects smantiques du risque. (1997). Vocabulaire li au risque travers une analyse bibliographique. Institut de Protection et de Sret Nuclaire (IPSN) - Observatoire de l'Opinion sur les Risques et la Scurit. GT Mthodologie. (2003). Principes gnraux pour l'laboration et la lecture des tudes de dangers. INERIS. GTR 55. (2000). Les analyses prliminaires de risques appliques aux transports terrestres guids. Institut de Sret de Fonctionnement - Collge scurit. Heurtel, A. (2003). La gestion des risques techniques et des risques de management. CNRS - IN2P3/LAL. HMSO. (1995). A guide to Risk Assessment and Risk Management for Environmental Protection. England: Her Majestys Stationery Office.

34

Chapitre 1

Scurit des Systmes

HSE. (1992). Generic terms and concepts in the assessment and regulation of industrial Risks. UK: Health and Safety Executive. ISO 14971. (2000). Application de la gestion des risques aux dispositifs mdicaux. ISO. ISO/CEI Guide 2. (1986). Termes gnraux et leurs dfinitions concernant la normalisation et les activits

connexes. ISO.
ISO/CEI Guide 51. (1999). Aspects lis la scurit principes directeurs pour les inclure dans les normes. ISO/CEI. ISO/CEI Guide 73. (2002). Management du risque Vocabulaire principes directeurs pour les inclure dans

les normes. ISO/CEI.

Kerven, G.-Y., & Rubise, P. (2001). L'archipel du danger - Introduction aux cindyniques. Paris: Eyrolles. Laprie, J.-C. (2002). Guide de la Sret de Fonctionnement. Cepadus . Laprie, J.-C. (1994). La modlisation des systmes informatiques : concepts de base et terminologie - , rapport

n 94448. Toulouse: LAAS.

tel-00338938, version 2 - 16 Feb 2009

Larousse. (2006). Larousse Dfinitions. Larousse. (2005). Larousse Expression. Laurant, A. (2003). Scurit des procds chimiques. Lavoisier. Ministre de l'cologie et du dveloppement durable . (29 septembre 2005). Arrt du 29 septembre 2005 relatif

lvaluation et la prise en compte de la probabilit doccurrence, de la cintique, de lintensit des effets et de la gravit des consquences des accidents potentiels dans les tudes de dangers des ICPE . Journal officiel de
la rpublique franaise. Mortureux, Y. (2002, Aot). La Sret de fonctionnement: mthodes pour matriser les risques. Techniques de

l'ingnieur .
NF EN 50126. (Janvier 2000). Applications ferroviaires : Spcification et dmonstration de la fiabilit, de la

disponibilit, de la maintenabilit et de la scurit (FDMS). Paris: AFNOR.

NF EN 50128. (Juillet 2001). Applications ferroviaires : Systmes de signalisation, de tlcommunication et de

traitement, Logiciels pour systmes de commande et de protection ferroviaire. Paris: AFNOR.

NF EN 50129. (Mai 2003). Applications ferroviaires : Systmes de signalisation, de tlcommunication et de

traitement, Systmes lectroniques de scurit pour la signalisation. Paris: AFNOR.

NF EN 61508. (Dcembre 1998). Scurit fonctionelle des systmes lectriques et lectroniques programmables

relatifs la scurit. Paris: AFNOR.

Peters, T. (1988). Thriving on chaos. London: MacMillan Ltd. Sallak, M., Simon, C., & Aubry, J.-F. (2007). A fuzzy probabilistic approach for determining safety integrity level. IEEE Transactions on Fuzzy Systems .

35

Chapitre 2

Lanalyse de risque dans le processus de management des risques

Table des matires du chapitre 2:

LAnalyse de risque dans le processus de management des risques

1.

Management des risques ......................................................................................................................... 39 1.1 Analyse de risque ............................................................................................................................ 40 Identification des facteurs de risque ....................................................................................... 41 Estimation des risques ............................................................................................................ 41

1.1.1 1.1.2 1.2 1.3

Evaluation de lacceptabilit des risques ......................................................................................... 41 Matrise des risques ......................................................................................................................... 43 Rduction du risque ................................................................................................................ 43 Transfert de risque .................................................................................................................. 45

1.3.1 1.3.2 2.

Classification des mthodes danalyse de risque .................................................................................... 46 2.1 Approche dterministe .................................................................................................................... 46 Approche probabiliste ..................................................................................................................... 46 Mthodes qualitatives vs. Mthodes quantitatives .......................................................................... 47 Mthodes quantitatives ........................................................................................................... 47 Mthodes qualitatives ............................................................................................................. 48

tel-00338938, version 2 - 16 Feb 2009

2.2 2.3

2.3.1 2.3.2 3.

Panorama des mthodes danalyse de risque .......................................................................................... 50 3.1 L'Analyse Prliminaire de Risque - APR / Analyse Prliminaire de Danger APD (Preliminary

Hazard Analysis PHA) .............................................................................................................................. 50 3.2 Analyse des Modes de Dfaillances, de leurs Effets - AMDE /et de leur Criticit - AMDEC

(Failure Modes, and Effects Analysis - FMEA / Failure Modes, Effects, and Criticality Analysis FMECA) ...................................................................................................................................................... 50 3.3 3.4 3.5 Hazard and Operability Study (HAZOP) ........................................................................................ 51 What-If Analysis ............................................................................................................................. 52 Analyse par Arbre de Dfaillances, Arbre de Causes ou Arbre de Fautes (Fault Tree Analysis -

FTA).... ........................................................................................................................................................ 52 3.6 3.7 3.8 3.9 3.10 4. Analyse par Arbre dEvnements (Event Tree Analysis - ETA)..................................................... 53 Nud papillon (Bowtie Model) ...................................................................................................... 54 Analyse de la fiabilit humaine (Human Reliability Analysis) ....................................................... 54 Modle de danger MADS................................................................................................................ 55 La mthode MOSAR .................................................................................................................. 56

Proprits des mthodes danalyse de risque .......................................................................................... 57 4.1 Avantages gnraux des mthodes danalyse de risques ................................................................. 57 Identification systmatique des composantes du risque ......................................................... 57 Communication des risques .................................................................................................... 57 Complmentarit .................................................................................................................... 57

4.1.1 4.1.2 4.1.3

36

Chapitre 2
4.2

Lanalyse de risque dans le processus de management des risques

Lacunes des mthodes danalyse de risque ..................................................................................... 57 Non prise en compte des facteurs externes au systme .......................................................... 57 Subjectivit dans lestimation des risques .............................................................................. 57 Non-exhaustivit..................................................................................................................... 58 Non considration du fonctionnement des systmes non-cohrents ....................................... 58 Non considration des dfaillances en mode commun ........................................................... 58

4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.3 4.4 4.5

Comparaison des mthodes danalyse de risques tudies .............................................................. 59 Critres de choix dune mthode danalyse de risque ..................................................................... 60 Evaluation de la qualit dune analyse de risque ............................................................................. 60 Cohrence ............................................................................................................................... 60 Compltude ............................................................................................................................ 61 Exhaustivit ............................................................................................................................ 61 Intgrit .................................................................................................................................. 61 Traabilit ............................................................................................................................... 61

4.5.1 4.5.2 4.5.3 4.5.4 4.5.5

tel-00338938, version 2 - 16 Feb 2009

5. 6.

Conclusion .............................................................................................................................................. 62 Travaux cits ........................................................................................................................................... 63

37

Chapitre 2

Lanalyse de risque dans le processus de management des risques

Chapitr e 2

LAnalyse de risque dans le

tel-00338938, version 2 - 16 Feb 2009

processus de management des risques

Le management des risques est un processus intgrant plusieurs activits essentielles pour la scurit. Encore une fois ces dernires sont nuances, et il se trouve que les termes management des risques et matrise des risques sont employs pour dsigner la mme tude. Il en est de mme pour valuation et estimation voire aussi apprciation des risques. Nous avons donc jug important de proposer une structure globale au processus de management des risques en sinspirant essentiellement des normes de la sret de fonctionnement. Dans le cadre de ce chapitre, nous essayerons de lever certaines ambigits relatives aux activits relevant du management des risques. Nous suivrons la dmarche adopte lors du prcdent chapitre, c.--d. dfinition, synthse et proposition en vue dune meilleure comprhension des notions de management, analyse, apprciation, estimation, valuation et matrise des risques. Compte tenu de la complmentarit des diffrentes mthodes danalyse de risque rputes, il est ncessaire, avant de porter ltude sur lAnalyse Prliminaire de Risque, de prsenter une typologie et un

38

Chapitre 2

Lanalyse de risque dans le processus de management des risques

panorama synthtique des diffrentes mthodes applicables en continuit de lAPR. En outre, nous estimons indispensable, en pralable aux chapitres suivants consacrs au management prliminaire des risques, de bien fixer les limites et les interfaces des activits de management des risques (apprciation, matrise, analyse, valuation, etc.).

1. Management des r isques

Dfinitions : SOURCE (Barbet, Mars 1996) (CEI 300-3-9,

La dmarche de gestion des risques consiste : planifier, acqurir les informations, modliser lexposition du systme aux risques et enfin conduire le systme. Application systmatique des politiques de gestion, des procdures et des usages aux tches d'analyse, d'valuation et de matrise du risque. Activits coordonnes visant diriger et piloter un organisme vis--vis du risque. Le management du risque inclut typiquement l'apprciation du risque, le traitement du risque, l'acceptation du risque et la communication relative au risque.

tel-00338938, version 2 - 16 Feb 2009

1995) (ISO/CEI Guide 73, 2002)

Note : Le mot gestion a t remplac par management.

Synthse: Rappelons dabord que management des risques est une traduction directe de Risk management , gnralement employe dans la communaut francophone de la sret de fonctionnement. Pr oposition : Le management des risques est un ensemble dactivits coordonnes visant diriger et piloter en fonction de lapprciation des risques, les diffrentes politiques possibles de maitrise de ces derniers (voir FIG. 1). Rappelons que selon le guide ISO/CEI 51 (ISO/CEI Guide 51, 1999), lapprciation des risques est lensemble du processus d'analyse et d'valuation des risques, tandis que le guide ISO/CEI 73 (ISO/CEI Guide 73, 2002) voque plutt lvaluation de lacceptabilit des risques et non pas des risques eux mmes ; ceci nous semble plus cohrent et cest bien cette dernire dfinition que nous adopterons dans la suite de ce mmoire.

39

Chapitre 2

Lanalyse de risque dans le processus de management des risques

Management des risques

Selon la norme CEI300-9 Apprciation des risques Selon la norme ISO/CEI 73 Analyse de risque Selon la norme ISO/CEI 73

Identification des facteurs de risque Estimation des risques

tel-00338938, version 2 - 16 Feb 2009

Evaluation de lacceptabilit des risques Matrise des risques Rduction des risques

Protection Prvention Transfert FIG. 1 : Pr ocessus de Management des r isques

1.1

Analyse de r isque

Dfinitions : SOURCE (Lar ousse, 2005) Analyse: tude minutieuse, prcise faite pour dgager les lments qui constituent un ensemble, pour l'expliquer, l'clairer : Faire l'analyse de la situation. (ISO/CEI Guide 73, 2002) (ISO/CEI Guide 51, 1999) Utilisation systmatique d'informations pour identifier les facteurs de risque et pour estimer le risque. Utilisation des informations disponibles pour identifier les phnomnes dangereux et estimer les risques.

40

Chapitre 2

Lanalyse de risque dans le processus de management des risques

Pr oposition : Lanalyse de risque est lutilisation systmatique dinformations pour identifier les entits sources et cibles de danger et estimer le risque.

1.1.1

Identification des facteurs de risque

Un facteur de risque est un paramtre que lon observe et dont on pense quil joue un rle dans la

squence accidentelle sans quil puisse tre prouv quil en est une cause directe ou indirecte (ISO/CEI Guide 73, 2002). Lidentification des facteurs de risque est un processus permettant de trouver, recenser et caractriser les phnomnes dangereux (ISO/CEI Guide 51, 1999). Selon le Guide ISO/CEI 73 (ISO/CEI Guide 73, 2002), cest un Processus permettant de trouver, lister et caractriser les lments du risque. Les lments peuvent

inclure les sources, les vnements, les consquences et la probabilit. L'identification des risques peut galement concerner les proccupations des parties prenantes .

1.1.2 tel-00338938, version 2 - 16 Feb 2009

Estimation des risques

Lestimation dun risque se dfinit comme un : Processus utilis pour affecter des valeurs la

probabilit et aux consquences d'un risque. L'estimation du risque peut considrer le cot, les avantages, les proccupations des parties prenantes, et d'autres variables requises selon le cas pour l'valuation du risque
(ISO/CEI Guide 73, 2002).

1.2

Evaluation de lacceptabilit des r isques

Dfinitions : SOURCE (Lar ousse, 2005) Evaluation: Action dvaluer, de dterminer la valeur de quelque chose : Faire l'valuation d'une fortune, d'une distance. (HMSO, 1995) Traite de la dtermination de la signification des risques estims pour ceux qui en sont affects. (AQS-GT OORS, Mar s 1996) Attribution d'une valeur comparative une grandeur complexe selon des modalits opratoires spcifies. Note : la mthodologie d'valuation constitue un amont incontournable des progrs du management de la scurit d'entreprise car toute dcision raisonnable exige des valuations comparatives entre les voies possibles. (GT Aspects smantiques du r isque, 1997) Dmarche formalise qui comprend les tapes suivantes : Identification du risque, quantification du risque (probabilit et dommages), mise en perspective du risque.

41

Chapitre 2
(GT Mthodologie, 2003)

Lanalyse de risque dans le processus de management des risques

Signification ou "valeur" attribue au risque estim par les personnes concernes, en tenant compte de la perception qui en est faite ; cette estimation ou valuation du risque est souvent ralise selon deux composantes, la probabilit et les consquences potentielles d'un risque, par exemple sur une grille de criticit.

(ISO/CEI Guide 51, 1999)

Processus de comparaison du risque estim dterminer limportance dun risque;

des critres donns pour tabli sur la base de tolrable a t

jugement

lanalyse des risques qui permet de dcider si le risque atteint. (CEI 300-3-9, 1995)

Processus par lequel on juge le caractre tolrable du risque sur la base de l'analyse du risque et en tenant compte de facteurs tels que les aspects socio-conomiques et environnementaux.

(ISO/CEI Guide

Processus de comparaison du risque estim avec des critres de risque donns pour dterminer l'importance du risque. La comparaison peut tre mene par rapport un rfrentiel prtabli dans l'objectif de permettre la prise de dcision vis--vis de l'acceptation du risque ou de la ncessit de son traitement. Elle peut considrer le cot, les avantages, les proccupations des parties prenantes, et d'autres variables requises selon le cas pour l'valuation du risque.

tel-00338938, version 2 - 16 Feb 2009

73, 2002)

Synthse: Il y a dans la dfinition du GT aspects smantiques du risque (GT Aspects smantiques du risque, 1997) des lments de contradiction avec les dfinitions prcdentes qui font confondre apprciation (analyse + valuation) et valuation des risques. De surcroit, selon le dictionnaire Larousse (Larousse, 2006), estimer cest valuer la valeur, faire cas, prsumer et valuer cest estimer la valeur, le prix dune chose, calculer approximativement . Nous constatons donc la contradiction avec les sens tymologiques des concepts dvaluation (donner une valeur) et destimation (donner un avis sur une valeur). Ces contradictions proviennent probablement du manque de clart des dfinitions linguistiques de certaines rfrences, limage des deux dfinitions rapportes du dictionnaire Larousse o on peut constater que le verbe estimer est dfini par rapport au verbe valuer et vice versa, ainsi ces deux notions assimiles lune lautre se trouvent compltement nuances. Pr oposition : Lvaluation des risques est une procdure de classification de lacceptabilit de ces risques en fonction des frquences doccurrence, gravits, expositions, etc.

42

Chapitre 2

Lanalyse de risque dans le processus de management des risques

1.3

Matr ise des r isques

Dfinitions : SOURCE (Lar ousse, 2005)

Matrise: Possibilit d'agir sur quelque chose; fait de le dominer techniquement, intellectuellement, scientifiquement. Sret de l'excution dans un domaine technique ou artistique.

(GT Aspects smantiques du r isque, 1997) (ISO/CEI Guide 73, 2002)

Ensemble des disciplines concourant la rduction et au contrle du risque, incluant l'valuation et la gestion du risque. Actions de mise en uvre des dcisions de management du risque. La matrise du risque peut impliquer la surveillance, la rvaluation et la mise en conformit avec les dcisions.

tel-00338938, version 2 - 16 Feb 2009

Pr oposition : La matrise des risques (Risk control) est un processus conduisant valuer et choisir lune des diffrentes possibilits de rduction ou de transfert des risques ; Cest dune manire gnrale lensemble des actions de mise en uvre des dcisions de la gestion des risques visant les ramener sous le seuil dacceptabilit.

1.3.1

Rduction du risque

Dfinitions : SOURCE (ISO/CEI Guide 73, 2002) Actions entreprises en vue de diminuer la probabilit, les consquences ngatives (ou dommages), associes un risque, ou les deux.

Pr oposition : La rduction des risques est lensemble des actions entreprises en vue de diminuer la gravit des consquences (protection), les probabilits doccurrence (prvention) ou les deux en mme temps. a pourrait concerner la rduction des temps dexposition et la multiplication des possibilits dvitement des situations dangereuses.

Les niveaux dintgrit de la scurit (SIL : Safety Integrity Level) dfinissent le niveau de rduction du risque ncessaire atteindre un niveau de risque rsiduel acceptable (NF EN 61508, Dcembre 1998).

43

Chapitre 2
1.3.1.1 Protection Dfinitions : SOURCE (Lar ousse, 2005)

Lanalyse de risque dans le processus de management des risques

Action de protger, de dfendre quelqu'un contre un danger, un mal, un risque: Rclamer la protection des lois. Prendre quelqu'un sous sa protection.

(AQS-GT OORS, Mar s 1996)

Ensemble de mthodes, de techniques et de mesures destines rduire la gravit des risques et les consquences d'un incident ou accident. On vise notamment protger les personnes et les biens contre des agressions de nature diverses.

(GT 7 - CEI)

Dispositifs, quipements mis en uvre pour empcher si possible, ou pour limiter limportance des effets d'une attaque ou d'un accident.

(GT Aspects smantiques du risque, 1997) (GT Mthodologie, 2003)

Ensemble de dispositions propres rduire les consquences d'un vnement ou d'une situation nfaste Mesures visant limiter l'tendue ou/et la gravit des consquences d'un accident sur les lments vulnrables, sans modifier la probabilit d'occurrence du phnomne dangereux correspondant. Elles peuvent tre mises en uvre titre prventif , avant l'accident, comme par exemple un confinement. La matrise de l'urbanisation, visant limiter le nombre de personnes exposes aux effets d'un phnomne dangereux, et les plans d'urgence visant mettre l'abri les personnes sont des mesures de protection.

tel-00338938, version 2 - 16 Feb 2009

(CEI 300-3-9, 1995) (EN 292/ISO 12100, 1995)

Mesures prises pour rduire les dommages causs par un vnement.

Mesures de scurit qui consistent en l'emploi de moyens techniques spcifiques, appels protecteurs et dispositifs de protection, afin de protger les personnes contre les phnomnes dangereux que l'application des techniques de prvention intrinsque ne permet raisonnablement ni d'viter ni de limiter suffisamment.

Proposition : Technique visant limiter ltendue et/ou la gravit des consquences dun accident sur les cibles vulnrables. Pour cela on peut soit renforcer la dfense des cibles, soit rduire la dangerosit des sources de danger.

1.3.1.2 Prvention
Dfinitions : SOURCE (Lar ousse, 2005) Ensemble des dispositions prises pour prvenir un danger, un risque, un mal ; organisation charge de mettre en place ces dispositions: Prvention routire. Prvention de la dlinquance.

44

Chapitre 2
(GT 7 - CEI)

Lanalyse de risque dans le processus de management des risques

Ensemble dactions permettant de diminuer la probabilit d'occurrence d'un sinistre, sans pour autant diminuer le montant maximum s'il se ralise.

(GT Mthodologie, 2003) (EN 292/ISO 12100, 1995)

Mesures visant prvenir un risque en rduisant la probabilit d'occurrence d'un phnomne dangereux. La rduction de la probabilit passe par lamlioration de la prvention, par exemple par ajout ou fiabilisation des mesures de scurit Prvention intrinsque: Mesures de scurit qui consistent viter ou rduire autant de phnomnes dangereux que possible en choisissant convenablement certaines caractristiques de conception, ou bien limiter l'exposition des personnes aux phnomnes dangereux invitables ou qui ne peuvent tre suffisamment rduits ; ceci s'obtient en rduisant le besoin, pour l'oprateur, d'intervenir dans les zones dangereuses.

tel-00338938, version 2 - 16 Feb 2009

Synthse : La prvention est gnralement rattache aux mesures de rduction de la probabilit d'occurrence d'un phnomne dangereux. Pr oposition : Ensemble de mthodes, de techniques et de mesures prises en vue de rduire la probabilit qu'un vnement redout ne se produise. Ces mthodes relvent de la surveillance, la formation, la rglementation, la rpartition des responsabilits, etc.

1.3.2

Transfert de risque

Dfinitions : SOURCE (ISO/CEI Guide 73, 2002)

Partage avec une autre partie de la charge de la perte, ou du bnfice du gain, dun risque.

Pr oposition : Hormis la rduction des risques, la maitrise des risques contient les actions de transfert de risque vers un autre acteur, par exemple, en faisant appel un assureur qui, par effet de masse, est capable de supporter des risques forts.

45

Chapitre 2

Lanalyse de risque dans le processus de management des risques

2. Classification des mthodes danalyse de r isque

Approches danalyse de risque

Dterministes

Probabilistes

Combines

tel-00338938, version 2 - 16 Feb 2009

FIG. 2: Appr oches danalyse de r isque

2.1

Appr oche dter ministe

Lapproche dterministe a gnralement t adopte dans les domaines haut risque tels que nuclaire,

militaire, transports guids, o le moindre risque significatifs est traqu et rduit la source. Elle consiste recenser les vnements pouvant conduire un scnario daccident en recherchant le pire cas possible (The

Worst Case) et en affectant une gravit extrme ses consquences potentielles. Par consquent, les sous
systmes critiques (systmes de sauvegarde, de protection et de prvention) sont dimensionns pour viter toute dfaillance dangereuse et organiss rigoureusement selon une stratgie de dfense en profondeur.

2.2

Appr oche pr obabiliste

Lapproche probabiliste fait intervenir le calcul de probabilits relatives loccurrence dvnements

faisant partie du processus de matrialisation dun scnario daccident donn. Il sagit dune approche complmentaire qui permet danalyser le dispositif de dfense en profondeur dcid lissue dune approche purement dterministe, ceci a t le cas dans le domaine nuclaire ou les techniques probabilistes viennent appuyer lapproche dterministe.

46

Chapitre 2

Lanalyse de risque dans le processus de management des risques

2.3

Mthodes qualitatives vs. Mthodes quantitatives

Mthodes danalyse de risque

Qualitatives

Quantitatives

Combines

tel-00338938, version 2 - 16 Feb 2009

FIG. 3: Typologie des mthodes danalyse de r isque

2.3.1

Mthodes quantitatives
Les analyses quantitatives sont supportes par des outils mathmatiques ayant pour but dvaluer la

sret de fonctionnement et entre autres la scurit. Cette valuation peut se faire par des calculs de probabilits (par exemple lors de lestimation quantitative de la probabilit doccurrence dun vnement redout) ou bien par recours aux modles diffrentiels probabilistes tels que les Chaines de Markov, les rseaux de ptri, les automates dtats finis, etc. Les analyses quantitatives ont de nombreux avantages car elles permettent: Dvaluer la probabilit des composantes de la sret de fonctionnement. De fixer des objectifs de scurit. De juger de lacceptabilit des risques en intgrant les notions de priodicit des contrles, la dure des situations dangereuses, la nature dexposition, etc. Dapporter une aide prcieuse pour mieux juger du besoin damliorer la scurit. De hirarchiser les risques. De comparer et ensuite ordonner les actions entreprendre en engageant dabord celles permettant de rduire significativement les risques. De chercher de meilleures coordination et concertation en matire de scurit entre diffrents oprateurs (sous systmes interagissant) ou quipes (exploitation, maintenance, etc.). Quoique lutilit des mthodes quantitatives soit indiscutable, ces dernires prsentent tout de mme un certain investissement en temps, en efforts et galement en moyens (logiciels, matriels, financiers, etc.). Il peut savrer que cet investissement soit disproportionn par rapport lutilit des rsultats attendus, le cas chant

47

Chapitre 2

Lanalyse de risque dans le processus de management des risques

lanalyse quantitative est court-circuite pour laisser la place aux approximations qualitatives (statistiques, retour dexprience, jugement dexpert, etc.). Un point trs important mrite dtre clarifi, cest que les rsultats de lanalyse quantitative ne sont pas des mesures absolues, mais plutt des moyens indispensables daide au choix des actions pour la matrise des risques. Nous citons par exemple lvaluation par des techniques floues/possibilistes de la subjectivit des experts humains, ou la priorisation de certaines actions de matrise par rapport dautres par une analyse de type cot/bnfices.

2.3.2

Mthodes qualitatives
LAPR, lAMDEC, lArbre de Dfaillances ou lArbre dEvnements restent des mthodes qualitatives

mme si certaines mnent parfois aux estimations de frquences doccurrence avant la classification des risques. Lapplication des mthodes danalyse de risque qualitatives fait systmatiquement appel aux raisonnements par induction et par dduction (Monteau & Favaro, 1990).

tel-00338938, version 2 - 16 Feb 2009

La plupart des mthodes revtent un caractre inductif dans une optique de recherche allant des causes aux consquences ventuelles. En contrepartie, il existe quelques mthodes dductives qui ont pour but de chercher les combinaisons de causes conduisant des vnements redouts. Mthodes danalyse de risque qualitatives Dductive de leffet la cause Inductive de la cause leffet

Combine

APR
Arbre de Dfaillances Arbre dEvnements AMDE-AMDEC HAZOP MOSAR

FIG. 4 : Classification des pr incipales mthodes danalyse de r isque qualitatives

48

Chapitre 2
2.3.2.1 Dmarche inductive
Dfinitions : SOURCE (Lar ousse, 2006)

Lanalyse de risque dans le processus de management des risques

Induction: Manire de raisonner qui consiste infrer une chose d'une autre, gnraliser partir de cas singuliers, aller des effets aux causes.

(RE. Ar o 701 11 , Novembr e 1986)

Le principe de ces mthodes consiste partir dune cause danomalie (dfaillance, erreur humaine, agression externe, etc.) et dterminer les scnarios dvnements qui en rsultent et/ou lensemble de ses consquences possibles.

Synthse : Dans la SdF, le concept dinduction renvoie gnralement une dmarche selon laquelle on part de la connaissance dune cause et on essaye de dterminer les effets quelle est susceptible de provoquer. Au regard des dfinitions retenues, nous pouvons constater que lacception philosophique de linduction est compltement loppos de lacception relevant de la SdF.

tel-00338938, version 2 - 16 Feb 2009

Pr oposition : Nous proposons dadopter le concept dinduction tel quil est gnralis dans la SdF.

2.3.2.2 Dmarche dductive

Dfinitions : SOURCE (Lar ousse, 2006)

Dduction: Systme de raisonnement o l'on tire des consquences en partant d'un

principe ou d'une hypothse.

Consquence tire d'un raisonnement. (RE. Ar o 701 11 , Novembr e 1986) Les mthodes danalyse dductive ont pour finalit la recherche des combinaisons de

causes possibles dun vnement redout.

Synthse : Dans la SdF, le concept de dduction, contrairement linduction, renvoie gnralement une dmarche selon laquelle on se base plutt sur la connaissance pralable des effets et on cherche justement remonter causalement jusquaux origines de leur apparition. Gnralement, on part de lvnement redout, et on essaye de trouver les principales causes de son apparition. A lgard de linduction, il existe autours du concept de dduction une franche opposition entre les acceptions philosophique et SdF. Pr oposition : Nous proposons dadopter le concept de dduction tel quil est gnralis dans la SdF.

49

Chapitre 2

Lanalyse de risque dans le processus de management des risques

3. Panorama des mthodes danalyse de r isque

Nous allons prsenter dans cette section un chantillonnage de lensemble des mthodes danalyse de risque. Chacune dentre elle sera prsente brivement. Une description plus complte avec les rfrences correspondantes se trouve en annexe A.

3.1

L' Analyse Pr liminair e de Risque - APR / Analyse Pr liminair e de Danger APD (Pr eliminar y Hazar d Analysis PHA)
Lanalyse Prliminaire de Risque (Danger) a t dveloppe au dbut des annes 1960 dans les

domaines aronautique et militaire. Selon la norme CEI-300-3-9 (CEI 300-3-9, 1995) : LAPR est une technique didentification et danalyse de la

frquence du danger qui peut tre utilise lors des phases amont de la conception pour identifier les dangers et

tel-00338938, version 2 - 16 Feb 2009

valuer leur criticit .

Le but consiste identifier les entits dangereuses dun systme, puis regarder pour chacune delles comment elles pourraient gnrer un incident ou un accident plus ou moins grave suite une squence dvnements causant une situation dangereuse. Pour identifier les entits et les situations dangereuses susceptibles den dcouler, lanalyste est aid par des listes de contrles (check-lists) dentits dangereuses, de situations dangereuses et dvnements redouts. Ces check-lists sont spcifiques au domaine dtude concern. Comme son nom lindique, cette mthode nest pas destine traiter en dtail la matrialisation des scnarios daccident, mais plutt mettre rapidement en vidence les gros problmes susceptibles dtre rencontrs pendant lexploitation du systme tudi. Cependant, lAPR peut aussi et mme doit tre complte par la plupart des analyses de risques fonctionnelles telles que lAMDEC ou lArbre de Dfaillances.

3.2

Analyse des Modes de Dfaillances, de leur s Effets - AMDE /et de leur Cr iticit - AMDEC (Failur e Modes, and Effects Analysis - FMEA / Failur e Modes, Effects, and Cr iticality Analysis - FMECA)
LAMDE a t employe pour la premire fois dans le domaine de lindustrie aronautique durant les

annes 1960. Son utilisation sest depuis largement rpandue dautres secteurs industriels. LAMDEC est lextension de ltude AMDE quand il est question dvaluer la criticit des dfaillances. Selon la norme CEI-300-3-9 (CEI 300-3-9, 1995), lAMDE est une technique fondamentale didentification et danalyse de la frquence des dangers qui analyse tous les modes de dfaillances dun quipement donn et leurs effets tant sur les autres composants que sur le systme lui-mme.

50

Chapitre 2

Lanalyse de risque dans le processus de management des risques

Cette analyse vise dabord identifier limpact de chaque mode de dfaillance des composants dun systme sur ses diverses fonctions et ensuite hirarchiser ces modes de dfaillances en fonction de leur facilit de dtection et de traitement. LAMDE(C) traite des aspects dtaills pour dmontrer la fiabilit et la scurit dun systme. Elle contient 3 (4) parties primaires : 1. 2. 3. 4. Identification des modes de dfaillance. Identification des causes potentielles de chaque mode. Estimation des effets engendrs. Sil sagit dune AMDEC : Evaluation de la criticit de ces effets.

Lanalyse commence toujours par lidentification des dfaillances potentielles des modes oprationnels. Elle se poursuit, par des inductions afin didentifier les effets potentiels de ces dfaillances (situation dangereuse, vnement dangereux et dommages). Une fois les effets potentiels tablis, on estime le risque on spcifie les actions de contrle.

tel-00338938, version 2 - 16 Feb 2009

3.3

Hazar d and Oper ability Study (HAZOP)

La mthode HAZOP a t dveloppe par la socit Imperial Chemical Industries (ICI) au dbut des

annes 1970. Elle sert valuer les dangers potentiels rsultants des dysfonctionnements dorigine humaine ou matrielle et aussi les effets engendrs sur le systme. Lobjectif de cette mthode est didentifier les phnomnes dangereux qui mnent des vnements dangereux lors dune dviation des conditions normales de fonctionnement dun systme. LHAZOP na pas pour but dobserver les modes de dfaillances limage de lAMDE mais plutt les drives potentielles des principaux paramtres lis lexploitation de linstallation. Lorsquune dviation est identifie, lanalyse tente didentifier les consquences qui en dcoulent. Les dviations potentiellement dangereuses sont ensuite hirarchises en leur associant des actions de contrle alloues. La mthode se termine par linvestigation des causes potentielles des dviations juges crdibles. De manire gnrale, les paramtres sur lesquels porte lanalyse sont observables, quantifiables et comparables. Par exemple la vitesse, la temprature, la pression, le dbit, le niveau, le temps, etc. La combinaison de ces paramtres avec des mots cls prdfinis (plus que, moins que, pas de, etc.) se fait de la manire suivante : Plus de et Pression = Pression trop haute / Pas de et Niveau = Capacit vide .

Dans le cas o une estimation de la criticit est ncessaire, HAZOP peut tre complte par une analyse quantitative simplifie.

51

Chapitre 2

Lanalyse de risque dans le processus de management des risques

3.4

What-If Analysis
What-if est une forme drive de HAZOP, dont lobjectif est didentifier les phnomnes dangereux

rgissant le fonctionnement dun systme. La mthode consiste raliser un brainstorming partant gnralement de situations dangereuses ou dvnements dangereux imagins, en essayant de rpondre la question : quarrive-t-il si tel paramtre ou tel

comportement nest pas nominal ? . Ceci va permettre didentifier les effets provoquant des dommages.

3.5

Analyse par Ar br e de Dfaillances, Ar br e de Causes ou Ar br e de Fautes (Fault Tr ee Analysis - FTA)

Lanalyse par Arbre de Dfaillances a t labore au dbut des annes 1960 par la compagnie

amricaine Bell Tlphone . Elle fut exprimente pour lvaluation de la scurit des systmes de tir de missiles. Elle est employe pour identifier les causes relatives aux vnements redouts. En partant dun

tel-00338938, version 2 - 16 Feb 2009

vnement unique, il sagit de rechercher les combinaisons dvnements conduisant la ralisation de ce dernier. Lanalyse par Arbre de Dfaillances peut galement tre poursuivie dans le cadre dune reconstitution des causes dun accident. La mthode consiste en une reprsentation graphique des multiples causes dun vnement redout. Elle permet de visualiser les relations entre les dfaillances dquipement, les erreurs humaines et les facteurs environnementaux qui peuvent conduire des accidents. On peut donc ventuellement y inclure des facteurs relis aux aspects organisationnels. Lanalyse par Arbre de Dfaillances se droule gnralement en 3 tapes : Spcification du systme et de ses frontires. Spcification des vnements redouts pralablement identifis par exemple par APR. Construction des arbres de dfaillances : On cible les vnements redouts un par un et on essaye didentifier les successions et les combinaisons dvnements de base permettant de les atteindre. Toutefois, un vnement de base doit rpondre un certain nombre de critres, en loccurrence : Il doit tre indpendant des autres vnements de base. Il ne doit pas tre dcomposable en lments plus simples. Il doit avoir une frquence valuable.

Le calcul de la probabilit de lvnement sommet se fait travers la propagation des probabilits doccurrence des vnements de base vers le sommet. Le calcul des coupes minimales peut seffectuer avec le mme principe en essayant cette fois-ci de trouver les plus petits ensembles dvnements de base pouvant mener un vnement redout. Ceci permettrait de hirarchiser les vnements et dimplanter stratgiquement les barrires de dfense afin damliorer la fiabilit et la scurit en mme temps.

52

Chapitre 2

Lanalyse de risque dans le processus de management des risques

Une coupe minimale reprsente la plus petite combinaison dvnements (chemin critique) pouvant conduire un vnement indsirable (intermdiaire) ou redout (final). Plus lordre dune coupe minimale est petit, plus loccurrence de lvnement final suivant ce chemin critique peut paratre probable. Laffectation des probabilits des vnements de base se fait par extraction des bases de donnes, essais, retour dexprience (REX), jugement dexperts, audits, etc.

3.6

Analyse par Ar br e dEvnements (Event Tr ee Analysis - ETA)

Lanalyse par Arbre dEvnements a t dveloppe au dbut des annes 1970 pour lvaluation du

risque li aux centrales nuclaires. Cest une technique didentification et danalyse de la frquence des dangers moyennant un raisonnement inductif pour convertir diffrents vnements initiateurs en consquences ventuelles relatives au fonctionnement ou la dfaillance des dispositifs techniques/humains/organisationnels de scurit.

tel-00338938, version 2 - 16 Feb 2009

linverse de lanalyse par Arbre de Dfaillances, lanalyse par Arbre dEvnements suppose la dfaillance dun composant ou dune partie du systme et sattache dterminer les vnements qui en dcoulent. Lanalyse par Arbre dEvnements se droule en plusieurs tapes prliminaires : Considration dun vnement initiateur. Identification des fonctions de scurit prvues pour contrler son volution. Construction de larbre. Description et exploitation des squences dvnements identifies.

Il serait plus pertinent dlaborer un Arbre dEvnements lissue dune premire analyse identifiant les accidents potentiels limage de lAPR. Les fonctions de scurit doivent tre assures par des barrires ayant pour objectif dempcher le processus de matrialisation dun accident provoqu par un vnement initiateur. La construction de larbre consiste envisager soit le bon fonctionnement soit le dysfonctionnement de la premire fonction de scurit en partant de lvnement initiateur. La suite de la mthode consiste examiner le dveloppement de chaque branche en considrant systmatiquement le fonctionnement ou la dfaillance de la fonction de scurit jusqu latteinte dun accident potentiel. La propagation des probabilits doccurrence des vnements initiateurs permet de calculer la probabilit de lvnement redout.

53

Chapitre 2

Lanalyse de risque dans le processus de management des risques

3.7

Nud papillon (Bowtie Model)

Le Nud Papillon est une approche arborescente dveloppe par SHELL. Il permet de considrer

une approche probabiliste dans le management du risque. Le nud papillon est une connexion dun Arbre de Dfaillances et dun Arbre dEvnements, gnralement tablie lorsquil sagit dtudier des vnements hautement critiques. Le point central du Nud Papillon est l Evnement Redout Central . Gnralement, ce dernier dsigne une perte de confinement ou une perte dintgrit physique (dcomposition). La partie gauche sert identifier les causes de cette perte de confinement, tandis que la partie droite du nud sattache dterminer les consquences de cet vnement redout central (INERIS-DRA, 2003) (Joly & Vallee, 2004). Chaque scnario daccident est relatif un vnement redout central et est reprsent travers un chemin possible allant des vnements indsirables ou courants jusqu lapparition des effets majeurs. Un Nud Papillon est gnralement prcd par une analyse de risque plus gnrique de type APR ou

tel-00338938, version 2 - 16 Feb 2009

What-If.

3.8

Analyse de la fiabilit humaine (Human Reliability Analysis)

HRA traite limpact des facteurs humains sur la qualit de fonctionnement du systme. Elle peut tre

employe afin valuer linfluence des erreurs humaines sur la scurit. Lerreur humaine (Mistake, Human error) est dfinie dans la norme CEI 50(191) (CEI 50(191), 1990) comme une : action humaine qui produit un rsultat diffrent de celui qui est recherch . Selon la mme norme: une erreur est un cart ou discordance entre une valeur ou une condition calcule, observe ou mesure, et la valeur ou la condition vraie, prescrite ou thoriquement correcte . Lhumain est souvent peru comme le maillon faible dun systme socio-technique malgr que laction humaine dans certaines situations demeure la meilleure si ce nest la seule dfense permettant dviter quune dfaillance nentraine un accident. La technique HRA comporte 3 tapes principales : lanalyse de la tche, lidentification de lerreur humaine et la quantification de la fiabilit humaine. La deuxime tape est la plus longue et ncessite le plus defforts. J. Reason, psychologue dorigine, est lun des prcurseurs ayant considr lerreur humaine en tant que dfaillance organisationnelle. Selon lui, les erreurs humaines peuvent tre classes en trois catgories (Reason & Parker, 1993) : niveau comportemental, niveau contextuel et niveau conceptuel, J. Reason (Reason & Parker, 1993) dfend lide de focaliser sur la surveillance proactive des barrires de dfense afin de traquer les erreurs latentes. Cependant, cette approche est intressante pour des barrires techniques, car sagissant de la 1me catgorie (niveau comportemental), on passe de la psychologie proprement dite la sociologie des organisations voire mme la psycho-sociologie (INERIS-DRA, 2003).

54

Chapitre 2

Lanalyse de risque dans le processus de management des risques

3.9

Modle de danger MADS

Le modle MADS (Mthodologie dAnalyse de Dysfonctionnement des Systmes) est une

conceptualisation dune approche systmique du risque daccident. Le danger est reprsent comme un ensemble de processus conduisant un processus principal reprsentant le flux de danger pouvant tre gnr par un systme source de danger. Selon B. Saoul (Saoul, 2002) : Le flux de danger peut tre constitu dnergie, de matire ou

dinformation. Il est gnr par un vnement (ou processus) initiateur dorigine interne ou externe. Ceci se droule en plusieurs phases, dabord loccurrence dun facteur de dclenchement (vnement initiateur) qui gnre un flux de danger entre les constituants du systme global faisant de lun deux une source et dun autre une cible de danger. Un Evnement Non Souhait (ENS) se produit alors et peut gnrer un dommage subi par la ou les cibles, qui peut tre de surcrot accru par un processus renforateur .
Evnement initiateur Evnement renforateur

tel-00338938, version 2 - 16 Feb 2009

Champ de danger

Systme

Systme Flux de danger

Source

Cible

Evnement initial

Evnement principal

Impact du flux de danger sur la cible

FIG. 5: Pr ocessus de danger du modle MADS (Per ilhon, 1999) Le modle MADS permet de mettre en relation un systme source et un systme cible par lintermdiaire des flux de danger dans un environnement dit champ de danger . Le modle de rfrence du processus de danger permet de considrer 4 couples source, cible . Le tableau suivant regroupe les diffrentes possibilits dinteraction entre sources et cibles (Laurant, 2003): TAB. 1: Classes dinter action des sour ces/cibles de danger Systme sour ce Installation (Systme) Systme cible Installation (Systme) Points de vue Scurit des matriels Sret de Fonctionnement Installation (Systme) Oprateur (Facteur Humain) Ergonomie Scurit des installations (systmes)

55

Chapitre 2
Oprateur (Facteur Humain)

Lanalyse de risque dans le processus de management des risques

Installation (Systme) Fiabilit humaine Malveillance interne

Installation (Systme)

Population

Hygine et sant publique Epidmiologie, gnie sanitaire Scurit industrielle

Population Installation (Systme)

Installation (Systme) Ecosystme (Environnement)

Malveillance externe Gnie sanitaire, cologie Hygine et scurit de lenvironnement

Ecosystme (Environnement)

Installation (Systme)

Risques naturels

3.10 La mthode MOSAR

La mthode MOSAR (Mthode Organise et Systmique dAnalyse des Risques) a t mise au point par Pierre PERILHON au CEA. Elle est utilise dans divers domaines, en particulier dans ltude des risques

tel-00338938, version 2 - 16 Feb 2009

dinstallations hauts risques (nuclaire, chimique, etc.). En effet, la mthode t effectivement applique dans le domaine nuclaire et notamment EDF (Centres de recherches et dessais) et au CEA (Installations dessais). MOSAR contient deux modules hirarchiques, un module macro module A et un module micro module B . Le module A a pour but didentifier les dysfonctionnements techniques et opratoires provoquant un vnement indsirable. Les scnarios daccident sont examins dune manire macroscopique, autrement dit, sans traiter en dtail des aspects fonctionnels du systme et de ses interfaces. Principalement, le module A se dcompose en 6 tapes : Modlisation de linstallation. Identification des sources de danger. Identification des scnarios daccident. Evaluation des scnarios de risque. Ngociation des objectifs. Dfinition des moyens de matrise des risques. Le module A sappuie essentiellement sur le modle MADS dans la phase didentification des sources, flux et cibles de dangers ainsi que les diffrents vnements du processus de danger. Le module B de la mthode MOSAR qui se prsente d'ailleurs comme une suite logique du module A. Il permet deffectuer une analyse plus dtaille des dysfonctionnements techniques et opratoires et aussi de limpact quils pourraient engendrer sur le systme global. Ce module se dcompose en 5 tapes : Identification des risques de dysfonctionnement. Evaluation des risques en constituant des Arbres de Dfaillances. Ngociation des objectifs prcis de matrise des risques. Affinement des moyens complmentaires de matrise des risques. Gestion des risques.

56

Chapitre 2

Lanalyse de risque dans le processus de management des risques

4. Pr opr its des mthodes danalyse de r isque

4.1
4.1.1

Avantages gnr aux des mthodes danalyse de r isques

Identification systmatique des composantes du risque
Les diffrentes situations dangereuses, vnements redouts, causes, consquences, ou accidents

potentiels ; tous ces lments sont identifis dune manire mthodologique et prsents dans une forme tabulaire limage de lAPR et lAMDEC, ou arborescente limage de lArbre de Dfaillances ou dEvnements.

4.1.2

Communication des risques

La communication des risques englobe lchange et le partage d'informations concernant les risques

entre le dcideur et d'autres parties prenantes. Les informations peuvent concerner l'existence, la nature, la

tel-00338938, version 2 - 16 Feb 2009

forme, la probabilit, la gravit, l'acceptabilit, le traitement, ou d'autres aspects du risque (ISO/CEI Guide 73, 2002). Lanalyse de risque reprsente un support trs efficace dtude et de communication des risques.

4.1.3

Complmentarit
Les mthodes danalyse de risque sont complmentaires. On peut mme interconnecter les rsultats

(sorties) des unes aux donnes (entres) des autres limage du nud papillon. Par exemple, lAPR peut tre complte par une AMDEC ou une tude HAZOP, en faisant porter ltude cette fois-ci sur les lments importants pour la scurit (parties critiques) du systme. Ensuite on peut procder des tudes encore plus fines des vnements critiques par Arbre de Dfaillances ou dEvnement ou des deux la fois travers un modle en nud papillon.

4.2
4.2.1

Lacunes des mthodes danalyse de r isque

Non prise en compte des facteurs externes au systme
Les facteurs externes au systme tudi (conditions climatiques, environnement, facteurs humains) sont

rarement pris en compte ou alors pas suffisamment.

4.2.2

Subjectivit dans lestimation des risques

Il est plus raisonnable de considrer que cette phase vise simplement donner des indications sur les

risques les plus significatifs en vue denvisager des mesures de prvention et de protection. Lestimation des probabilits doccurrence dun vnement redout est souvent subjective. Lapproche par intervalle, qui consiste rpartir les gravits et les occurrences sur une matrice de criticit avant dattribuer les niveaux de risque chaque zone de criticit (Gravit, Occurrence), semble tre une technique discriminatoire tant donn quil nexiste aucune rgle permettant de dfinir les limites de ces zones prcites. A ceci sajoute aussi la subjectivit

57

Chapitre 2

Lanalyse de risque dans le processus de management des risques

de lanalyste dans la dsignation dune zone plutt quune autre. L.-A. Cox est revenu en dtail sur les lacunes des matrices de criticit dans un papier intitul : Whats wrong with risk matrices (Cox, 2008). Cependant, il existe des approches dvaluation de la subjectivit dans lestimation des risques, telles que les approches par les thories des sous ensembles flous et la thorie des possibilits (Sallak, Simon, & Aubry, 2007). Nanmoins, dans certaines mthodes, telles que lanalyse par Arbre de Dfaillances, la propagation des probabilits de la base vers le sommet pour estimer la probabilit de lvnement redout est mathmatiquement faisable. Cependant, la fiabilit des rsultats dpend de lestimation des probabilits affectes aux vnements initiateurs (vnements de base).

4.2.3

Non-exhaustivit
Il est quasiment impossible de tendre vers lexhaustivit dans la phase dinvestigation sur les causes et

les consquences des scnarios daccident. Gnralement, on se contente des causes et des consquences les plus

tel-00338938, version 2 - 16 Feb 2009

significatives. La plupart des mthodes danalyse de risque (HAZOP, AMDEC, What-if, etc.) visent lexhaustivit par lutilisation de mots cls qui voquent les dfaillances ou drives envisager. Lexprience montre quune utilisation rigoureuse de ces listes en groupe de travail, bien que ncessaire, peut savrer rapidement fastidieuse sans pour autant garantir la prise en compte de toutes les situations dangereuses : phases transitoires spcifiques, risque deffet domino, perte dutilits, etc. (INERIS-DRA ARAMIS, 2004).

4.2.4

Non considration du fonctionnement des systmes non-cohrents

Selon KAUFMANN (Kaufmann, Grouchko, & Cruon, 1975) : un systme est dit cohrent quand sa

fonction de structure est monotone . Autrement dit, une nouvelle dfaillance dun composant ne remet pas en
marche un systme en tat de panne, de mme la rparation dun composant dfaillant ne remet pas en panne un systme en marche. Par consquent, pour pouvoir analyser un systme non-cohrent, il est impratif de considrer non plus des ensembles dvnements, mais plutt des squences dvnements.

4.2.5

Non considration des dfaillances en mode commun

Lanalyse causale dun sous systme ou dun composant pris sparment nest pas complte pour

analyser le comportement de systmes complexes caractriss par des boucles fermes de rtroaction. Dans ce cas, le raisonnement causal linaire devient circulaire (Rasmussen & Svedung, 2000). La plupart des mthodes danalyse de risque sont caractrises par une causalit linaire. Cependant, il existe tout de mme un certain nombre de mthodes complmentaires telle que lAnalyse des Dfaillances de

Mode Commun qui comme son nom lindique permet dexaminer les dfaillances simultanes relatives des
systmes interagissant.

58

Chapitre 2

Lanalyse de risque dans le processus de management des risques

4.3

Compar aison des mthodes danalyse de r isques tudies

TAB. 2 : Car actr istiques des mthodes danalyse de r isque Appr oche (D/P/DP) D : Dter ministe, P : Pr obabiliste fr quence Phases du cycle de vie du systme

Dmar che (I/D/ID) I : Inductive, D : Dductive

Estimation de la doccur r ence

R & D (faisabilit)

Mthode

Identification de scnar ios

Appr oche Systmique

Test & validation

APD APR

D DP D DP D D P P P

ID ID I I I I D I ID -

tel-00338938, version 2 - 16 Feb 2009

AMDE AMDEC HAZOP What-If AAD AAE Nud Papillon HRA MADS MOSAR

D D

I I

What-if est drive de la mthode HAZOP qui est son tour une forme de lanalyse AMDE. HAZOP est employe spcialement dans le domaine de lindustrie chimique. Elle permet de dcider si les carts de la spcification par rapport la conception peuvent donner lieu des dangers ou des problmes de faisabilit. Cette mthode est particulirement utile pour identifier des dangers non prvus pouvant tre induits lors de la phase de conception (manque dinformations, modifications des conditions de processus ou des procdures de fonctionnement). LAMDE est une mthode inductive qui tient compte des modes de dfaillances de chaque composant pris sparment. De ce fait, ses rsultats peuvent tre difficilement vrifis par une personne ne matrisant pas le systme. LAMDEC, qui est une extension de lAMDE intgre la notion destimation doccurrence. Les principaux inconvnients de ces deux dernires mthodes sont la difficult de traiter la redondance et lintgration des actions de remise en tat. Ainsi laccent est mis sur des dfaillances de composant unique. Une autre difficult spcifique aux AMDEC concerne le calcul de la frquence doccurrence de la dfaillance dun composant faisant partie dun systme.

59

Dmantlement

Modification

Exploitation

Conception

Ralisation

Chapitre 2

Lanalyse de risque dans le processus de management des risques

En ce qui concerne lanalyse par Arbre dEvnements, elle peut tre employe pour identifier les consquences possibles, et si ncessaire, leurs frquences du fait de lapparition dun vnement initiateur. Cette mthode est frquemment utilise dans les installations munies de dispositifs de scurit intgrs. La dmarche inductive de lanalyse consiste rpondre la question fondamentale quarrive-t-il si ?. Cependant, la difficult majeure relve essentiellement de lidentification des vnements initiateurs. En outre, les Arbres dEvnements traitent uniquement des tats de succs et dchec dun systme et il est difficile dy intgrer des vnements de succs ou de rcupration diffrs ; ce qui est indispensable sagissant de systmes noncohrents.

4.4

Cr itr es de choix dune mthode danalyse de r isque

Nous avons retenu lessentiel des critres pesant dans la mise en uvre dune mthode plutt quune

autre dans ltude dun systme donn: Domaine de ltude. Stade de ltude (spcification, conception, .., dmantlement). Perception du risque dans ce domaine. Culture de la Sret de Fonctionnement de lorganisation. Caractristiques du problme analyser. Niveau envisag de la dmonstration de la scurit. Savoir-faire des intervenants. Nature des informations disponibles (spcifications du systme et de ses interfaces, contraintes, etc.). Retour dexprience et base de donnes disponibles. Moyens humains, logistiques et autres. Dlais et autres contraintes de management de projet. Toutefois, lutilisation spare dune seule mthode danalyse de risque peut ne pas apporter une dmonstration dfinitive de la ralisation des objectifs de scurit. En effet, il est ncessaire de combiner plusieurs mthodes pour une meilleure compltude et une bonne cohrence en termes de rsultats.

tel-00338938, version 2 - 16 Feb 2009

4.5

Evaluation de la qualit dune analyse de r isque

La qualit dune analyse de risque doit tre rvalue au fur et mesure de lavancement dun projet.

Pour ce faire, nous proposons un ensemble de critres qui serviront par la suite de repres nos propositions qui seront formules dans le cadre des chapitres 5 et 6.

4.5.1

Cohrence

La cohrence renvoie aux faits que : La dmarche soit rationnelle et consensuelle. Les donnes et les rsultats ne soient pas contradictoires, c.--d. quils ne sopposent ni entre eux ni avec les hypothses de dpart.

60

Chapitre 2
4.5.2 Compltude

Lanalyse de risque dans le processus de management des risques

La compltude peut tre formalise par les hypothses suivantes: Sil existe un chemin causal inductif entre la cause A et la consquence B, la cause A doit tre dduite partir de la consquence B dune faon immdiate ou diffre (effet domino) suivant un chemin inverse dductif. Par analogie, pour tout chemin dductif, il doit y avoir un chemin inductif quivalent.

4.5.3

Exhaustivit
Cest la contrainte la plus difficile satisfaire ou dmontrer, car lanalyste dans sa reprsentation de la

ralit fait intervenir son intuition et son savoir-faire dans les limites de sa perception de cette ralit. Il peut donc porter un jugement disproportionn sur certains facteurs (cause, effet, probabilit, consquence, etc.), comme il peut ventuellement manquer dimagination par rapport dautres. En effet, pour converger vers lexhaustivit, il convient que lanalyse de risque soit :

tel-00338938, version 2 - 16 Feb 2009

Elabore au sein dun groupe dexperts, idalement en groupe pluridisciplinaire. Examine par de tierces personnes externes. Assiste par des outils informatiques daide la dcision.

4.5.4

Intgrit
Assurance fournie par une organisation que lanalyse de risque est correctement accomplie moins que

les analystes, experts, ingnieurs ou autres, ne prviennent du manque de rigueur dans une quelconque tape, dun dsaccord sur un jugement, de la subjectivit dans lestimation de paramtres telle que la probabilit doccurrence, etc.

4.5.5

Traabilit
Lanalyse de risque nest pas un but en soi, mais plutt un moyen ayant pour but de dmontrer le

respect des exigences de scurit. Chaque mthode est praticable dans un contexte particulier du cycle de vie dun systme. Chacune fait appel aux donnes disponibles et fournit un certain nombre de rsultats qui devraient tre repris, en tant que donnes dentre, par lanalyse suivante. Ainsi, de fil en aiguille, on se retrouve entrain de concevoir la partie management des risques du plan gnral de dmonstration et de maintien de la scurit en loccurrence le SMS pour Safety Management System traduit en franais par Systme de Management de la Scurit.

61

Chapitre 2

Lanalyse de risque dans le processus de management des risques

5. Conclusion
Nous avons essay tout au long de ce chapitre de mieux situer la notion danalyse de risque par rapport aux autres activits du management des risques. Nous avons dabord clarifi le lien indissociable entre ces deux notions travers de nombreuses dfinitions issues principalement des normes et parfois des travaux de groupes de recherche. Ensuite, nous avons prsent rapidement les principales mthodes danalyse de risque sachant quil existe dautres mthodes moins utilises dans un contexte industriel telles que : Analyse des Dfaillances de Mode Commun, Modles de Consquences, Listes des contrles, Technique de Delphi, Indice de danger, Comparaison par paires, Analyse transitoire, etc. Aprs avoir essay de dceler les points forts et points faibles de ces mthodes danalyse de risque, nous avons trouv intressant de pouvoir les comparer les unes aux autres, et proposer ensuite des critres de choix de la mthode la plus convenable une tude donne, et enfin nous avons propos un certain nombre de critres dvaluation de la qualit dune analyse de risque.

tel-00338938, version 2 - 16 Feb 2009

Dans le chapitre suivant nous reviendrons avec plus de dtail lAPR telle quelle est pratique dans diffrents domaines industriels.

62

Chapitre 2

Lanalyse de risque dans le processus de management des risques

6. Tr avaux cits
AQS-GT OORS. (Mars 1996). Management de la scurit d'entrepreise, vocabulaire et concept. Association Qualit-Scurit (AQS) pour l'Observatoire de l'Opinion sur les Risques de la Scurit. Barbet, J.-F. (Mars 1996). Matriser les risques. Journal Prventique et Scurit . CEI 300-3-9. (1995). Gestion de la sret de fonctionnement. CEI. CEI 50(191). (1990). International Electro-technical Vocabulary, Chapter 191: Dependability and quality of

service. CEI.
Cox, L.-A. (2008). Whats wrong with risk matrices? Journal of risk analysis , Vol. 28, No. 2, pp 497-512. EN 292/ISO 12100. (1995). Scurit des machines ; Notions fondamentales, principes gnraux de conception. ISO/CEN. Gouriveau, R. (2003). Analyse des risques Formalisation des connaissances et structuration des donnes pour

tel-00338938, version 2 - 16 Feb 2009

lintgration des outils dtude et de dcision. Thse de Doctorat, Institut National Polytechnique de Toulouse.
GT 7 - CEI. Enseignement - Terminologie. CEI. GT Aspects smantiques du risque. (1997). Vocabulaire li au risque travers une analyse bibliographique. Institut de Protection et de Sret Nuclaire (IPSN) - Observatoire de l'Opinion sur les Risques et la Scurit. GT Mthodologie. (2003). Principes gnraux pour l'laboration et la lecture des tudes de dangers. INERIS. HMSO. (1995). A guide to Risk Assessment and Risk Management for Environmental Protection. England: Her Majestys Stationery Office. INERIS-DRA ARAMIS. (2004). ARAMIS: Dveloppement dune mthode intgre danalyse des risques pour

la prvention des accidents majeurs. Ministre de lEcologie et du Dveloppement Durable - INERIS.

INERIS-DRA. (2003). Outils d'analyse des risques gnrs par une installation industrielle. INERIS, Direction des Risques Accidentels. ISO/CEI Guide 51. (1999). Aspects lis la scurit principes directeurs pour les inclure dans les normes. ISO/CEI. ISO/CEI Guide 73. (2002). Management du risque Vocabulaire principes directeurs pour les inclure dans

les normes. ISO/CEI.

Joly, C., & Vallee, A. (2004). Analyse des risques et prvention des accidents majeurs: Synthse vis--vis de

ltude de danger. INERIS-Direction des Risques Accidentels.

Kaufmann, A., Grouchko, D., & Cruon, R. (1975). Modles mathmatiques pour l'tude de la fiabilit des

systmes. Masson & Cie.

Larousse. (2006). Larousse Dfinitions.

63

Chapitre 2
Larousse. (2005). Larousse Expression.

Lanalyse de risque dans le processus de management des risques

Laurant, A. (2003). Scurit des procds chimiques. Lavoisier. Monteau, M., & Favaro, M. (1990). Bilan des mthodes danalyse priori des risques. INRS. NF EN 61508. (Dcembre 1998). Scurit fonctionelle des systmes lectriques et lectroniques programmables

relatifs la scurit. Paris: AFNOR.

Perilhon, P. (1999). Du risque l'analyse des risques, dveloppement d'une mthode MOSAR. Rasmussen, J., & Svedung, I. (2000). Proactive risk management in a dynamic society. Karlstad-Sude: Swedish Rescue Services Agency. RE. Aro 701 11 . (Novembre 1986). Recommandations pour les tudes de lindustrie arospatiale - Guide des

mthodes courantes d'analyse de la scurit d'un systme missile ou spatial. Bureau de Normalisation de
l'Aronautique et de l'Espace (BNAE). Reason, J., & Parker, D. (1993). Managing the human factor in road safety. Maatschappij: The Hague: Shell

tel-00338938, version 2 - 16 Feb 2009

International Petroleum. Sallak, M., Simon, C., & Aubry, J.-F. (2007). A fuzzy probabilistic approach for determining safety integrity level. IEEE Transactions on Fuzzy Systems . Saoul, B. (2002). Les risques en station de ski alpin : d'une explication monocausale une perspective

d'analyse systmique.

64

Chapitre 3

LAnalyse Prliminaire des Risques

Table des matires du chapitre 3: LAnalyse Prliminaire des risques

Mthodologie dAPR dans le domaine des transports terrestres ................................................................. 67 1.1 Cadre rglementaire ...................................................................................................................... 67 1.1.1 1.1.2 1.2 1.3 1.4 1.5 1.6 Rglementation nationale .......................................................................................... 67 Rglementation Europenne ..................................................................................... 70

Mthode dAPR Entreprise 1 ............................................................................................... 71 Mthode dAPR Entreprise 2 ............................................................................................... 71 Mthode dAPR Entreprise 3 ............................................................................................... 73 Mthode dAPR Entreprise 4 ............................................................................................... 74 Mthode dAPR applique au sous-systme X ....................................................................... 75

2 3

Mthode dAPR issue du domaine aronautique ........................................................................................ 76 Mthode dAPR issue du domaine de lnergie .......................................................................................... 77 Conclusion.. ........................................................................................................................................ 78 Travaux cits.. ........................................................................................................................................ 79

tel-00338938, version 2 - 16 Feb 2009

4 5

65

Chapitre 3

LAnalyse Prliminaire des Risques

Chapitr e 3

LAnalyse Prliminaire
tel-00338938, version 2 - 16 Feb 2009

des Risques

Lanalyse Prliminaire des Risques (APR) a t dveloppe au dbut des annes 60 dans les domaines aronautique et militaire (CEI 300-3-9, 1995) (SAMRAIL Consortium, Septembre 2003). Cest aujourdhui la pierre angulaire des tudes de scurit dans de nombreuses autres industries. Aprs quasiment cinq dcennies, la pratique dAPR accuse toujours un problme de comprhension (Mazouni, Aubry, & El koursi, 2008) (Mazouni & Hadj-Mabrouk, 2005). Une enqute 1 ralise par lINRS auprs de 220 experts de la sret de fonctionnement (Fadier, 2000), rvle que 81% des experts pratiquent lAPR, et seulement 9% dentre eux considrent quils la maitrisent. En effet, cette rvlation surprenante est justifie compte tenu des nombreuses difficults dordre mthodologique, terminologique, technique ou organisationnel que nous avons pu identifier. De surcrot, LAPR ne fait toujours pas lobjet dun projet de normalisation, ce qui ouvre la porte toutes sortes de divergence. Notre objectif, dans ce chapitre, est de prsenter des mthodes dAPR relatives diffrents systmes et sous-systmes issues de plusieurs domaines industriels. Nous avons recueilli les pratiques en usage dans un certain nombre dentreprises de diffrents secteurs dactivit lors de rendez vous et par lanalyse de documents quelles nous ont prts. Par souci de confidentialit nous ne citerons pas les noms de ces entreprises mais seulement leur secteur dactivit.

Les pratiques franaises en matire de sret de fonctionnement - Elie FADIER - INRS

66

Chapitre 3

LAnalyse Prliminaire des Risques

Mthodologie dAPR dans le domaine des tr ansports ter r estr es

1.1
1.1.1

Cadr e r glementair e
Rglementation nationale
Au niveau national, lEtat se proccupe depuis longtemps de la scurit du rseau ferroviaire et des

systmes de transport guid. Il a labor, ces dernires annes, des dcrets relatifs lexploitation sre des rseaux de transport guid (GTR 55, 2000). Le dcret du 19 octobre 2006 relatif la scurit des circulations ferroviaires et linteroprabilit du systme ferroviaire (Secrtariat Gnral du Gouvernement , 2006) impose que la dlivrance de lautorisation de mise en exploitation commerciale est subordonne la production par le promoteur des dossiers suivants:

tel-00338938, version 2 - 16 Feb 2009

Ds la phase initiale de dfinition du projet, un dossier de dfinition de scurit. A la fin des tudes de conception du projet, un dossier prliminaire de scurit. A la fin des travaux de construction, un dossier de scurit.

Larticle 3 du dcret n 2006-1279 abrogeant le dcret n2000-286 de mars 2000 stipule que : Les

exigences de scurit applicables la conception et la maintenance des infrastructures et des installations techniques et de scurit ainsi que celles applicables aux matriels roulants, permettant lobtention et le maintien du niveau de scurit requis pendant toute la dure de lexploitation de ces infrastructures, installations et matriels .
Le Dossier Prliminaire de Scurit (DPS) a t introduit pour la premire fois dans le cadre du dcret n2000-286. Larticle 16 du dcret n 2003-425 stipule que : les travaux de ralisation ou de modification

substantielle dun systme de transport ne peuvent tre engags quaprs lapprobation dun dossier prliminaire de scurit (DPS) par le prfet du dpartement dans lequel doit tre implant le systme, sans prjudice des autorisations ventuellement ncessaires au titre dautres rglementations . Le dcret n 20061279 modifie dans son article 47 ce texte sur deux aspects : le premier est que les sous-systmes sont soumis la mme rgle que les systmes, autrement dit, la modification substantielle dun sous-systme doit faire lobjet dun DPS. Le deuxime aspect est que lapprobation du DPS incombe lEPSF (Etablissement Public de Scurit Ferroviaire) et non pas au prfet du dpartement dans lequel doit tre implant le systme. Larticle 17 du dcret n 2003-425 prcise que : le dossier prliminaire de scurit doit dmontrer,

partir dune analyse des risques rsultant des options de conception des divers lments constitutifs du systme de transport, que les dispositions fonctionnelles, techniques, dexploitation et de maintenance prvues pour le projet ainsi que le programme prvu dessais et de tests, permettent datteindre lobjectif de scurit tout au long de la dure de vie du systme, de prvenir les diffrents types daccidents tudis, d'en rduire les consquences, et de prendre en compte les risques naturels ou technologiques susceptibles daffecter le systme

67

Chapitre 3

LAnalyse Prliminaire des Risques

de transport. Larticle 17 voque une analyse des risques, mais sans prciser quil sagit dune APR.
Nanmoins ceci est dit implicitement par la prcision une analyse des risques rsultant des options de conception (Mazouni & Hadj-Mabrouk, 2005). Enfin, lobjectif de scurit pralablement dfini repose gnralement sur la dmonstration du GAME par rapport un systme rput sr. Le dcret n 2006-1279 dans son article 48 voque la possibilit demployer plusieurs mthodes de dmonstration de la scurit: Le dossier prliminaire de scurit prcise les objectifs de scurit poursuivis et

les mthodes qui seront appliques pour les atteindre, les mthodes de dmonstration et les principes dont le respect permettra le maintien du niveau de scurit pendant toute la priode dexploitation du systme ou du sous-systme .
Larrt du 31 dcembre (Secrtariat Gnral du Gouvernement, 2007) abrogeant larrt du 8 janvier 2002 prcise que : Le rapport tabli par un EOQA loccasion de llaboration du DPS contient notamment son avis sur la pertinence et lexhaustivit des mesures de couverture des risques identifis dans lAnalyse Pr liminair e des Risques figurant au DPS et lensemble des avis techniques quil a formuls loccasion de sa mission dvaluation de la conception gnrale .

tel-00338938, version 2 - 16 Feb 2009

Cependant, nous constatons que le processus dAPR propos dans lannexe 2 de larrt abrog, ne figure pas dans le nouveau texte. Cela montre encore une fois la difficult de trouver un consens autour de lAPR qui demeure mal formalise. A titre dinformation, dans l arrt dapplication du 8 janvier 2002 pris pour lapplication du dcret n 2000-286 du 30 mars 2000 relatif la scurit du rseau ferr national (Secrtariat Gnral du Gouvernement, 2002), il est prcis en annexe 2 quune APR devrait contenir les documents suivants : 1. 2. 3. 4. 5. 6. 7. 8. Description du fonctionnement du systme. Identification des vnements redouts lis la scurit du systme. Evaluation et classement des risques associs. Liste des mesures de prvention et de protection mettre en uvre pour rduire ces risques. Guide pour les tudes de scurit dtailles ultrieures ventuellement ncessaires. Proposition dallocation des objectifs de scurit entre les composants du systme. Cadre de rfrence pour la validation du projet. Cadre de rfrence pour llaboration de la documentation du projet.

Lannexe 2 de larrt dapplication du 31 dcembre 2007 prsente les documents constituant un DPS : Une notice gnrale du projet comprenant : 1. 2. 3. la prsentation du promoteur et de lorganisation mise en uvre pour le projet. une description synthtique du projet ou, le cas chant, de la phase laquelle se rapporte le dossier. le planning prvisionnel de ralisation indiquant les dates prvues de dbut des principales phases techniques, notamment les travaux mentionns larticle 3, et la ralisation des tests et essais. Un mmoire technique dcrivant : 1. les caractristiques techniques et fonctionnelles du projet envisag, accompagn des documents

68

Chapitre 3

LAnalyse Prliminaire des Risques

graphiques et plans ncessaires, notamment pour les innovations et singularits du projet, tels quils rsultent de la phase de conception gnrale.

2. 3. 4.

les ventuelles variantes de conception des sous-systmes. les modalits dexploitation envisages, y compris en situations particulires ou dgrades. les principes de maintenance envisags afin de respecter la rglementation et de sassurer que les objectifs de scurit pourront tre respects tout au long de la dure de lexploitation du systme ou sous-systme.

5.

le cas chant, les modalits de prise en compte des exigences dintervention des services de secours.

Un mmoire justificatif de la scurit comprenant : 1. 2. un document de prsentation du systme de rfrence. un document prsentant et justifiant, par comparaison avec le systme de rfrence, les objectifs de scurit qualitatifs ou quantitatifs retenus pour le projet dans son ensemble. 3. une Analyse Pr liminair e des Risques, y compris les risques caractre naturel ou technologique, ayant pour objet didentifier lensemble des vnements redouts lis la scurit de lexploitation du

tel-00338938, version 2 - 16 Feb 2009

projet et les mesures de prvention et de protection envisages et destines couvrir les risques de manire respecter les objectifs de scurit. Pour les parties ou fonctions du projet similaires celles du systme de rfrence, cette analyse peut tre ralise par comparaison directe des caractristiques techniques du projet, variantes ventuelles incluses, en sappuyant sur les performances de scurit constates de ce systme de rfrence. Lorsque, pour une fonction ou une partie du projet, il nexiste ni sous-systme comparable dj mis en service, ni rfrentiel technique permettant de justifier le respect de lobjectif de scurit, lanalyse est labore selon les principes poss par la norme NF EN 50126 ou selon toute autre mthode quivalente. La liste des diffrentes drogations la rglementation technique et de scurit applicable envisages pour la ralisation du projet. La liste des constituants dinteroprabilit dont lutilisation est requise par la rglementation applicable. Pour un projet dinfrastructure, les gestionnaires dinfrastructures et entreprises ferroviaires directement intresss, informs par le promoteur. Le dcret n 2006-1279 dans son article 52 prcise que : Le dossier de scurit dcrit le systme ou

sous-systme tel quil a t ralis et fait la preuve que lensemble des obligations et prescriptions mentionnes dans le dossier prliminaire de scurit sont satisfaites, que lobjectif de scurit pourra tre respect tout au long de la dure de lexploitation du systme ou sous-systme et que les volutions ventuelles du projet intervenues depuis le dpt du dossier prliminaire de scurit ne remettent pas en cause lobjectif de scurit .
Lannexe 3 de larrt du 31 dcembre 2007 contient une liste des documents contenus dans un DS : Un mmoire technique dcrivant le projet ralis, comprenant les documents pertinents tels que plans, schmas, photographies, notices descriptives, normes, spcifications techniques et fonctionnelles, etc. La liste des tests et essais raliss ainsi que les avis des personnes comptentes qui ont analys et valid les rsultats.

69

Chapitre 3

LAnalyse Prliminaire des Risques

Un mmoire prcisant les conditions dexploitation et de maintenance du projet respecter pour assurer le respect des objectifs de scurit tout au long de la dure de lexploitation et comportant : 1. la description des domaines dexploitation et des caractristiques gnrales dexploitation en situation normale, particulire ou dgrade. 2. 3. les documents ncessaires lexploitant pour laborer ses consignes dexploitation. dans le cas dun projet de matriel roulant, les conditions dintervention pour les dpannages et remorquages en ligne, relevages et services de secours. 4. pour les projets de lignes nouvelles ou substantiellement modifies, et si cest pertinent, les conditions dintervention pour les services de secours. 5. la description des exigences de maintenance respecter pour les lments de scurit du projet, en particulier les principes de maintenance ou le plan de maintenance initial envisags.

Une dclaration du promoteur, certifiant la couverture des risques identifis dans lAnalyse Pr liminair e de Risque jointe au DPS et la conformit du projet : 1. aux prescriptions de la rglementation technique et de scurit. aux dispositions prsentes dans le dossier prliminaire de scurit, compte tenu des ventuelles volutions prcises dans le mmoire technique dcrivant le projet ralis (voir ci-dessus). 3. 4. aux prescriptions ventuelles mises dans lacte dapprobation du DPS. Cette dclaration peut faire rfrence des attestations du matre duvre ou de lhomme de lart charg par le promoteur dassurer le contrle de la ralisation. Ces attestations sont alors fournies.

tel-00338938, version 2 - 16 Feb 2009

2.

Le cas chant, la dclaration CE de vrification du sous-systme, sous rserve des drogations ventuelles accordes par le ministre charg des transports.

Les lments permettant de renseigner le registre de linfrastructure ou du matriel roulant selon la nature du projet.

1.1.2

Rglementation Europenne
Malgr lavance remarquable en matire de rglementation (Directive 96/48/EC, 23 juillet 1996)

(Directive 2001/16/EC, 19 mars 2001) (Directive 2004/49/EC, 29 avril 2004), linteroprabilit du rseau ferroviaire europen se heurte de srieuses difficults dordre procdural et matriel (El-Koursi, Mitra, & Bearfield, 2007). De surcroit, dun pays membre un autre, le concept de scurit change de tenants et daboutissants : on retrouve par exemple des pays comme la France, o la scurit prime sur tout le reste, dautres pays comme la Grande-Bretagne, o la scurit est contrebalance par les surinvestissements quelle peut impliquer, et bien dautres pays o le principe de scurit est le contraire de ces deux approches franaise et britannique (Christian, 2002). Ceci complique srieusement la tche dharmonisation des mthodes de scurit communes, hlas promue par la Commission Europenne depuis le dbut des annes 90. En outre, le problme se pose aussi par rapport la reconnaissance mutuelle des certificats de scurit entre les pays membres de la communaut europenne. Ces certificats sont dlivrs par les agences ferroviaires nationales.

70

Chapitre 3

LAnalyse Prliminaire des Risques

1.2

Mthode dAPR Entr epr ise 1

L Entreprise 1 est spcialise dans la construction de matriels ferroviaires. Elle peut intervenir en

qualit de matre duvre, fournisseur de systme ou fournisseur de matriels. Lanalyse commence par lidentification des dangers en se basant principalement sur le retour dexprience pour tablir la liste prliminaire de dangers. Une fois la liste des dangers est arrte, on procde un recensement des dispositions techniques permettant de garantir la scurit. Ces dispositions peuvent tre classes soit par sous-systme soit par danger. Enfin, les rsultats obtenus sont repris dans le cadre dune analyse tabulaire (voir TAB. 1) dductive en vue de mettre en vidence : La liste des vnements dangereux prcurseurs daccident potentiel. Les mesures de rduction de risques. Lallocation des responsabilits aux diffrents intervenants. La couverture des risques travers lvaluation a posteriori de la gravit et de la frquence. TAB. 1 : Pr sentation des r sultats dAPR selon Entr epr ise 1 1 2 3 4 5 6 7 8 9 10 11 12 13

tel-00338938, version 2 - 16 Feb 2009

Consquences Accident N phase Evnements causes potentiel danger eux Consqu- Gr avit ences

Mesur es pr ises libell

Evaluation du r isque type Resp Gr av Fr q Accept

Les causes (colonne 5) entrainant les vnements dangereux peuvent tre des dysfonctionnements, des causes externes ou des problmes opratoires.

1.3

Mthode dAPR Entr epr ise 2

L Entreprise 2 est leader mondial en mtro automatique et automatismes appliqus aux transports

urbains. LAPR fait partie intgrante des activits de sret de fonctionnement de cette entreprise. Elle sert gnralement identifier et valuer la criticit des vnements redouts et ensuite proposer des mesures de prvention et de protection permettant de matriser les risques inhrents. Il existe deux types dAPR hirarchiques : lAPR systme ralise en dbut de projet et les APRs soussystmes. La mthode dAPR suivie se dcompose en plusieurs tapes : 1. 2. 3. 4. Etablissement de la liste prliminaire dvnements redouts. Recherche des vnements redouts. Recherche des situations conduisant aux vnements redouts. Evaluation et classification des risques.

71

Chapitre 3

LAnalyse Prliminaire des Risques

En effet, on part de ltablissement par retour dexprience dune liste prliminaire dvnements redouts : 1. Collision du train avec un objet ou une personne

2. Draillement du train

Pour complter la liste prliminaire des vnements redouts et la rendre plus exhaustive, on cherche identifier les conditions progressives de leur production : 1. Collision du train avec un objet ou une personne 1.1. avec une partie mcanique pendant le mouvement des trains et les interventions sur site / hors site 1.1.1. due une partie mcanique dun train tombe sur la voie

tel-00338938, version 2 - 16 Feb 2009

1.2. avec un autre train arrt ou roulant pendant le mouvement des trains 1.2.1. due un rattrapage 1.2.2. due une prise en charpe 1.2.3. due une rencontre frontale Lanalyse se poursuit par llaboration dun arbre de dfaillances pour rechercher les situations conduisant aux vnements redouts : 1. Collision du train avec un objet ou une personne 1.1. avec une partie mcanique pendant le mouvement des trains et les interventions site / hors site 1.1.1. due une partie mcanique dun train tombe sur la voie 1.1.1.1. ayant pour origine une mauvaise fixation de la partie mcanique 1.1.1.1.1. due une erreur de conception ou de ralisation 1.1.1.1.2. due une opration de maintenance non-conforme . Pour chacune des situations identifies lors de ltape prcdente, on value le risque associ. Il est dfini par la jonction entre la probabilit doccurrence de lvnement redout et de la gravit des dommages quil est susceptible de provoquer.

72

Chapitre 3
Items Evnement r edout Mode dutilisation

LAnalyse Prliminaire des Risques

Situation conduisant Risque lvnement r edout Or igine Cause Gr . Niveau Mauvaise Erreur de 2 Inacceptable fixation de la conception ou partie de ralisation mcanique Mauvaise Opration de 2 fixation de la maintenance partie non conforme mcanique Inacceptable

1.1.1.1.1 Collision du train avec une partie mcanique dun train tombe sur la voie 1.1.1.1.2 Collision du train avec une partie mcanique dun train tombe sur la voie

Pendant mouvement trains et interventions site / hors site Pendant mouvement trains et interventions site / hors site

le des les sur le des les sur

La dernire tape consiste proposer des mesures de protection et de prvention des risques classs inacceptables ou indsirables. Les rsultats de lanalyse sont prsents dans un tableau de la forme suivante (voir TAB. 2) : TAB. 2 : Pr sentation des r sultats dAPR selon Entr epr ise 2

tel-00338938, version 2 - 16 Feb 2009

Items

Evnement Mode r edout dutilisation

Situation Risque conduisant lvnement r edout Or igine Cause Gr avit Niveau

Exigences de scur it / Moyens de couver tur e

Domaine dapplication

1.4

Mthode dAPR Entr epr ise 3

L Entreprise 3 est leader en matire de transport terrestres de voyageurs. Lanalyse commence par llaboration de larborescence des dangers (voir TAB. 3). Cette phase

sappuie principalement sur le retour dexprience pour dterminer la liste des accidents potentiels, ensuite on essaye de dceler par dduction les vnements redouts correspondants. Les rsultats sont mis dans un tableau danalyse lmentaire qui a la forme suivante : TAB. 3 : Ar bor escence des danger s Accident potentiel 1. Collision 1.1 avec obstacles Evnement r edout 1.1.2 Distance d'arrt trop longue . 1.2 avec tiers 1.2.1 Prsence d'un vhicule routier ou de service sur la voie

Lanalyse continue suivant une dmarche dductive afin didentifier les causes et les origines des vnements redouts. La dernire tape concerne lallocation des mesures de rduction de risques qui en fonction de lvaluation des consquences relatives chaque vnement redout. La prcision des acteurs concerns par ces mesures est un aspect organisationnel permettant de dfinir clairement les responsabilits et dofficialiser le suivi des risques.

73

Chapitre 3

LAnalyse Prliminaire des Risques

Enfin, les rsultats de lanalyse sont prsents de la manire suivante (voir TAB. 4) : TAB. 4 : Pr sentation des r sultats dAPR selon Entr epr ise 3 1 Accident potentiel 2 vnement r edout 3 Lieu 4 5 6 7 8 9 Acteur Cause Elment classe de Mesur es en Type potentielle en cause gr avit r duction du r isque concer n

Les accidents potentiels (colonne 1) et les vnements redouts (colonne 2) correspondant sont dcels lissue de la phase dlaboration de larborescence des dangers. Un Elment en cause (colonne 5) de l'vnement redout peut tre de diffrentes natures: voie, infrastructure, signalisation, etc. Les classes de gravit (colonne 6) sont drives de la norme NF EN 50126 (NF EN 50126, Janvier 2000).

1.5
tel-00338938, version 2 - 16 Feb 2009

Mthode dAPR Entr epr ise 4

La mthode dAPR suivie l Entreprise 4 , spcialise dans les systmes de transport cble, se

dcompose en trois phases complmentaires : 1. 2. 3. Identification et valuation des situations dangereuses. Allocation dun niveau de criticit aux sous-ensembles de mesures de matrise des risques. Analyse dtaille par AMDEC des sous-ensembles pour sassurer que le niveau de criticit allou est atteint. Llaboration de liste prliminaire des situations dangereuses se droule selon les tapes suivantes : 1. 2. 3. 4. 5. Elaboration dune liste de phnomnes dangereux. Identification des situations dangereuses. Evaluation de la gravit et de la probabilit doccurrence de laccident. Dduction du niveau de risque de chaque situation. Dtermination des actions de matrise des risques.

En se basant principalement sur le retour dexprience, les situations dangereuses pouvant conduire un accident sont hirarchises dans des listes prliminaires. Les mesures de matrise des risques sont alloues en fonction de lestimation du niveau de criticit de chaque situation. La mthode se poursuit par une analyse dtaille des sous-ensembles lors de laquelle un niveau de criticit est attribu chacun des composants en fonction de la criticit du sous-ensemble auquel il appartient et de la prsence ou non de composants redondants. Les composants sont analyss un par un laide dune AMDEC afin de sassurer que le niveau de criticit requis par lanalyse prliminaire des situations dangereuses est atteint.

74

Chapitre 3

LAnalyse Prliminaire des Risques

1.6

Mthode dAPR applique au sous-systme X

Il sagit dun sous-systme de contrle commande visant linteroprabilit des rseaux europens

grande vitesse. La mthode consiste principalement identifier les vnements dangereux, les dangers associs, et les exigences de scurit requises (voir FIG. 1) : Classification des accidents potentiels

Constituants du systme

Identification des vnements dangereux

Expression des exigences de scurit

Identification des lments dangereux

Identification des dangers partir des lments dangereux

tel-00338938, version 2 - 16 Feb 2009

FIG. 1: Mthode dAPR applique au S\Systme X Lidentification des vnements dangereux commence dabord par la classification des accidents par une analyse croise entre lemplacement des personnes (par exemple : dans le train ou sur le quai) et les situations possibles dexploitation (par exemple : en vacuation). Emplacement de la per sonne Phase dexploitation Accidents

Ensuite, partir de la liste des accidents potentiels, on procde la recherche des dangers et la dtermination des vnements dangereux pouvant conduire ces dangers. Cette tape permet de faire ressortir lorigine dtaille des accidents potentiels identifis prcdemment. Les dangers et les vnements dangereux initiateurs sont alors dtermins. Cette dtermination se ralise en trois tapes inductives successives : 1. 2. 3. Dtermination des conditions doccurrence de laccident potentiel. Dtermination des dangers. Dtermination des vnements dangereux : pour chaque danger identifi on recherche les dfaillances matrielles ou fonctionnelles qui peuvent lamorcer. Accident potentiel Conditions doccur r ence Danger Evnement danger eux

Lidentification des dangers consiste dterminer les lments constitutifs du sous-systme X considrs comme dangereux et identifier ensuite les dangers induits pouvant conduire des accidents potentiels. Famille Elment Sous-lment n1 Sous-lment n2 Danger li au Sous-systme X Evnement danger eux

75

Chapitre 3

LAnalyse Prliminaire des Risques

A partir des vnements dangereux, on dtermine la criticit des accidents potentiels. Item Effet Risque Cir constance Gr avit Occur r ence Cr iticit Remar ques

Finalement on dtermine les critres de scurit permettant de rduire les risques. Plusieurs classes de critres sont dfinies en fonction de limpact sur lexploitation, sur lensemble bord ou sur lensemble sol. Rf. Cr itr e Responsable

Mthode dAPR issue du domaine ar onautique

Selon C. Lievens (Lievens, 1976), lAPR a pour objet didentifier les risques et leurs causes (lments

dangereux, situations dangereuses, accidents potentiels), ensuite de dterminer la gravit de leurs consquences et enfin de dfinir les rgles de conception et les procdures permettant de matriser les situations dangereuses et les accidents potentiels.

tel-00338938, version 2 - 16 Feb 2009

Elment dangereux vnement Situation dangereuse vnement Accident potentiel

Causes

Situation dangereuse

Mesures prventives

Consquences

Mesures prventives

Consquences

Application Analyse Prliminaire de Risques

Gravit

Application

Gravit

Analyse Elmentaire de Risques

FIG. 2: APR, AER (Lievens, 1976) Lanalyse lmentaire de risques est une autre dmarche simplifie centre cette fois-ci sur la situation dangereuse et non pas sur llment dangereux (voir FIG. 2). Concernant la prsentation des rsultats, il existe deux manires de prsenter les rsultats dAPR : la forme tabulaire et la forme arborescente. Cependant, cette deuxime forme est rarement mise en uvre. Le tableau suivant (voir TAB. 5) ne contient pas lestimation doccurrence daccident. Cest un prototype dAPD applique dans le domaine aronautique (Lievens, 1976):

76

Chapitre 3

LAnalyse Prliminaire des Risques

TAB. 5 : Pr sentation des r sultats dAPR selon Lievens

10

11

Systme Phase Elment Evnement Situation ou danger - causant danger euse fonction eux une situation danger euse

Evnement Accident Effets ou Classific- Mesur es Application causant un potentiel consqu- ation par Pr vende ces accident ences gr avit tives mesur es potentiel

La dmarche dAPR se droule suivant les tapes suivantes : 1. 2. 3. 4. Spcification de llment tudier. Identification des phases durant lesquelles une situation dangereuse est possible. Identification des entits dangereuses. Identification des conditions, vnements indsirables, pannes ou erreurs mettant llment tudi en danger. 5. 6. Identification des situations dangereuses. Identification des conditions, vnements indsirables, pannes ou erreurs mettant llment tudi en situation daccident. 7. 8. 9. Identification des accidents potentiels. Estimation des dommages daccident potentiel. Estimation des gravits daccident potentiel.

tel-00338938, version 2 - 16 Feb 2009

10. Proposition de mesures prventives. 11. Suivi de lapplication de ces mesures. Les mesures de protection nont pas t voques car le descripteur dAPR propos est un prototype utilis dans lindustrie aronautique o la rduction de loccurrence des accidents prime sur la rduction de leur impact.

Mthode dAPR issue du domaine de lner gie

A. Villemeur (Villemeur, 1988) prcise que lAnalyse Prliminaire de Dangers (APD) a deux objectifs

principaux : dabord identifier les dangers et les causes (entits dangereuses, situations dangereuses, accidents potentiels) et ensuite valuer leur gravit. A lissue de lidentification et de lvaluation, les moyens et les actions correctrices sont allous afin de matriser les situations dangereuses et les accidents potentiels analyss (Villemeur, 1988). Lauteur ajoute que lAPR est une extension de lAPD en introduisant lestimation des frquences doccurrence des accidents potentiels. Cette particularit est un critre pertinent dfinir les priorits dans lallocation des mesures de prvention en fonction de loccurrence des accidents potentiels les plus probables. LAPR comme son nom lindique est prliminaire aux tudes complmentaires de scurit. Son objectif est de mettre en vidence les scnarios dangereux qui mritent une tude prvisionnelle plus approfondie par dautres mthodes appropries telles que lAMDEC, lArbre de Dfaillances, etc.

77

Chapitre 3

LAnalyse Prliminaire des Risques

TAB. 6 : Pr sentation des r sultats dAPR selon Villemeur

1 2 3 4 5 Systme Phase Entits Evnement Situation ou danger causant danger euse fonction -euses une situation danger euse

6 7 8 9 10 11 Evnement Accident Effets ou Classific- Mesur es Application causant un potentiel consqu- ation par Pr vende ces accident ences gr avit tives mesur es potentiel

On peut remarquer que A. Villemeur (Villemeur, 1988) et C. Lievens (Lievens, 1976) emploient quasiment le mme formalisme de prsentation tabulaire propos par C. Lievens (Lievens, 1976) mais une lgre diffrence en ce qui concerne la colonne n3, Villemeur emploie le terme entit dangereuse (voir TAB. 6) tandis que Lievens emploie le terme lment dangereux (voir TAB. 5). Nous avons constat que le terme danger est employ par A. Villemeur pour dsigner en mme temps laccident potentiel et la situation dangereuse. Nous avons montr dans le premier chapitre que les concepts daccident et de danger sont compltement diffrents.

tel-00338938, version 2 - 16 Feb 2009

Conclusion
LAnalyse Prliminaire de Risque se tient pour la premire fois entre la phase de spcification et la

phase de conception du systme. Ce qui fait delle ce stade la premire tude de scurit. Cependant le mot Prliminaire nexprime pas le fait quelle se tient un stade avanc dans le cycle de vie dun systme car lanalyse est itrative et son dossier doit rester ouvert pour accompagner ltude de scurit pendant tout le cycle de vie du systme (Mazouni & Aubry, 2007) (Mazouni, Bied-Charreton, & Aubry, 2007). Aujourdhui plusieurs centrales arrivent en fin de vie aprs plus de 30 ans dexploitation (dure de vie moyenne). Par consquent, le prolongement de toute activit dexploitation se traduit par une nouvelle itration de lAPR ainsi que dautres tudes de sret de fonctionnement afin de dmontrer le maintien des objectifs de sret de fonctionnement pendant cette prolongation et galement pendant la phase de dmantlement qui viendra invitablement par la suite (NEA - OECD, 2005). Quelle peut tre donc la signification du mot prliminaire ? Notre point de vue est que lAPR nest pas prliminaire dans le temps, mais lest par rapport aux autres tudes de scurit. Ainsi, ses rsultats sont exploits par la plupart des analyses de risque (AMDEC, Arbre de Causes, Arbre dEvnements, HAZOP, Nud Papillon, HRA, etc.). A cet effet, nous avions bien voulu lui rserver un chapitre entier car nous pensons que cest lAPR qui pose le plus de problmes dans le management des risques tant donn quelle nest pas normalise ! Nous pouvons dire que la pratique dAPR est trs diversement perue. Il faut dabord remarquer que dans la majorit des cas, il sagit dAnalyses Prliminaire de Danger (APD), car seule la gravit est prise en compte ; on devrait donc parler dAPD, que dailleurs les anglo-saxons dnomment Preliminary Hazard Analysis (PHA) . Ltude mthodologique que nous avons pu raliser dans ce chapitre va nous permettre ultrieurement, dans le quatrime chapitre de dceler les problmes majeurs rgissant conjointement la pratique de lAPR et du management des risques. Nous essayerons de remdier ces problmes par le biais des solutions que nous dvelopperons dans le cadre des 3 derniers chapitres de ce mmoire.

78

Chapitre 3

LAnalyse Prliminaire des Risques

Tr avaux cits

CEI 300-3-9. (1995). Gestion de la sret de fonctionnement. CEI. Christian, P. (2002). LEurope ferroviaire est-elle sur la bonne voie ? les documents d'information de l'assemble nationale, n 388. Directive 2001/16/EC. (19 mars 2001). Directive of the European Parliament and of the Council on the

interoperability of the trans-European conventional rail system. Brussels: Official Journal of the European
Union, Commission of the European Communities. Directive 2004/49/EC. (29 avril 2004). Directive of the European Parliament and of the Council on safety on the

Community's railways. Brussels: Official Journal of the European Union, Commission of the European
Communities. Directive 96/48/EC. (23 juillet 1996). Directive of the European Parliament and of the Council on the

interoperability of the trans-European high-speed rail system. Brussels: Official Journal of the European Union,

tel-00338938, version 2 - 16 Feb 2009

Commission of the European Communities. El-Koursi, E., Mitra, S., & Bearfield, G. (2007). Harmonizing Safety Management Systems in the European Railway Sector. Safety Science Monitor , Issue 2, Vol 11, 1-14. Fadier, E. (2000). Les pratiques franaises en matire de sret de fonctionnement. Congrs Lambda Mu 12 . GTR 55. (2000). Les analyses prliminaires de risques appliques aux transports terrestres guids. Institut de Sret de Fonctionnement - Collge scurit. Lievens, C. (1976). Scurit des systmes. Cpadus. Mazouni, M.-H. (2007, Avril ). Modlisation gnrique des scnarios daccident dans le but dharmoniser les APRs. Communiquer, naviguer,surveiller - Innovations pour des transports plus surs , Actes INRETS n 112, pp 17-27. Actes INRETS. Mazouni, M.-H., & Aubry, J.-F. (2007, 26-29 Aot). A PHA based on a systemic and generic ontology, Paper No. 166. IEEE ITS international conference SOLI2007 . Philadelphia, USA: IEEE - ITS. Mazouni, M.-H., & Hadj-Mabrouk, H. (2005, Avril). Lanalyse des risques daccidents dans les transports ferroviaires. Qubec-Laval. Mazouni, M.-H., & Hadj-Mabrouk, H. (2005, Dcembre). Mthode et formalisme de base pour lAnalyse Prliminaire des Risques applique dans le transport ferroviaire. 6e Confrence internationale des sciences et des

techniques de lautomatique (STA2005) . Sousse, Tunisie.

Mazouni, M.-H., Aubry, J.-F., & El koursi, E.-M. (2008, 4-5 juin). Mthode systmique et organisationnelle dAnalyse Prliminaire des Risques base sur une ontologie gnrique. 1er Workshop du Groupement d'Intrt

Scientifique Surveillance, Sret, Scurit des Grands Systmes (3SGS'08) . Universit de Technologie de
Troyes.

79

Chapitre 3

LAnalyse Prliminaire des Risques

Mazouni, M.-H., Bied-Charreton, D., & Aubry, J.-F. (2007, 18-21 Avril). Proposal of a generic methodology to harmonize Preliminary Hazard Analyses for guided transport, Paper No. 98. IEEE SMC international

conference SOSE2007 . San Antonio, Texas USA: IEEE SMC.

NEA - OECD. (2005). Gestion des dchets radioactifs: Vers la ralisation dun dossier de sret - Rapport de

synthse prpar au nom du WPDD par son Groupe dtude sur lanalyse du dossier de sret de dmantlement. Rapport n 6073. Paris: Agence pour l'Energie Nuclaire - Organisation de Coopration et de
Dveloppement conomique. NF EN 50126. (Janvier 2000). Applications ferroviaires : Spcification et dmonstration de la fiabilit, de la

disponibilit, de la maintenabilit et de la scurit (FDMS). Paris: AFNOR.

SAMRAIL Consortium. (Septembre 2003). Analysis of existing approaches, D 2.1.1 report. European Commission and SAMRAIL partners. Secrtariat Gnral du Gouvernement . (2006, Octobre 19). Dcret n 2006-1279 du 19 octobre relatif la

scurit des circulations ferroviaires et l'interoprabilit du systme ferroviaire. Rcupr sur LgiFrance, Le

tel-00338938, version 2 - 16 Feb 2009

service public de diffusion du droit: http://www.legifrance.gouv.fr Secrtariat Gnral du Gouvernement. (2002, Janvier 8). Arrt d'application du dcret n2000-286 relatif la

scurit du rseau ferr national. Rcupr sur LgiFrance, Le service public de diffusion du droit:
http://www.legifrance.gouv.fr Secrtariat Gnral du Gouvernement. (2007, Dcembre 31). Arrt du 31 dcembre 2007 relatif aux

autorisations et la de mise en exploitation commerciale de systmes ou sous-systmes de transport ferroviaire nouveaux ou substantiellement modifis. Rcupr sur LgiFrance, Le service public de la diffusion du droit:
http://www.legifrance.gouv.fr/ Secrtariat Gnral du Gouvernement. (2003, mai 9). Dcret n 2003-425 du 9 mai 2003 relatif la scurit des

transports publics guids. Rcupr sur LgiFrance, Le service public de diffusion du droit:
http://www.legifrance.gouv.fr Secrtariat Gnral du Gouvernement. (2000, Mars 30). Dcret n2000-286 relatif la scurit du rseau ferr

national. Rcupr sur LgiFrance, Le service public de la diffusion du droit: http://www.legifrance.gouv.fr/

Villemeur, A. (1988). Sret de fonctionnement des systmes industriels. Eyrolles.

80

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Table des matires du chapitre 2:

10 enjeux problmatiques en matire de management des risques

1 2 3 4 5 6 7 8 9 10

Divergence des termes et des concepts ......................................................................................................... 82 Difficult de dfinition du systme et de son environnement ....................................................................... 84 Divergence des Objectifs de Scurit ........................................................................................................... 84 Divergence des Indicateurs de Scurit ........................................................................................................ 86 Divergences dordre mthodologique des analyses de risque ...................................................................... 87 Enjeux organisationnels de la maitrise des risques ....................................................................................... 88 Absence de suivi des risques ........................................................................................................................ 89 Non-prise en compte des effets domino ....................................................................................................... 89 Enjeux dinteroprabilit : harmonisation des analyses au niveau systme ................................................. 90 Enjeux dintgrabilit : harmonisation des analyses au niveau sous-systme .............................................. 90 Conclusion et perspectives ........................................................................................................................... 91 Travaux cits ................................................................................................................................................ 93

tel-00338938, version 2 - 16 Feb 2009

11 12

81

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Chapitre 4

10 enjeux problmatiques
tel-00338938, version 2 - 16 Feb 2009

en matire de management des risques

Dans le cadre de ce chapitre, nous allons recenser les problmes essentiels pnalisant la pratique de lanalyse de risque et, dune manire gnrale, du management des risques. Nous essayerons de les aborder synthtiquement en faisant chaque fois rfrence aux pratiques des entreprises prsentes dans le chapitre prcdent. Enfin, nous prsenterons en conclusion les solutions envisages permettant de rendre plus efficace la pratique du management des risques. Ces solutions seront longuement discutes dans le 5me et le 6me chapitre.

Diver gence des ter mes et des concepts

Malgr la richesse de la terminologie de la scurit, les concepts de base du management des risques

souffrent dune grande fluctuation de dfinitions plus au moins semblables, parfois mme opposes (El-Koursi, Fletcher, Tordai, & Rodriguez, 2006), (IAEA Safety glossary, 2007), (ISO/CEI Guide 2, 1986).

82

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Nous avons de suite constat, la lecture des documents que nous avons emprunts des industriels, que ces derniers ont de srieuses divergences dans lusage des termes relevant du management des risques voire aussi de la scurit dune manire gnrale.

tel-00338938, version 2 - 16 Feb 2009

FIG. 1 : Diver gence des ter mes et des concepts entr e les industr iels Souvent les mmes termes ne renvoient pas vers les mmes concepts et vice versa. Dans la figure 1 (voir FIG. 1), nous avons repris les tableaux de prsentation des rsultats dAPR tudis dans le 3me chapitre. Nanmoins, nous avons colori identiquement les diffrentes colonnes dont les contenus peuvent correspondre. Par exemple, nous avons pu constater que la 5me colonne Causes du 1er descripteur ne contient pas le mme type dinformation que celui de la 4me colonne Cause potentielle du 3me descripteur, mais elle correspond sa 2me colonne nomme Evnement redout . Cependant, la colonne Evnement redout du 2me descripteur ne correspond pas cette dernire, mais plutt sa 1re colonne nomme Accident potentiel . Les divergences dans les termes et les concepts reprsentent un frein lchange de connaissances et de savoir-faire en matire de management des risques. En effet, il faut donc converger vers un langage adapt aux diffrents acteurs (constructeurs, exploitants, experts, administration, etc.). De surcroit, ce langage doit tre ouvert en vue de contenir de nouveaux concepts mergents et en mme temps adaptable, c.--d. que chaque acteur se retrouve travers ce langage raliser ses tudes de management des risques suivant sa propre mthode et son savoir-faire en la matire.

83

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Difficult de dfinition du systme et de son envir onnement

Les spcialistes de la linguistique ont abord le concept de systme avec intrt. Selon E. Morin (Morin,

1977) un systme est une unit globale organise dinterrelations entre lments, actions ou individus. Ferdinand De Saussure (1857-1913) (De Saussure, 1913) prcise que cette unit organise, faite dlments solidaires ne pouvant tre dfinis que les uns par rapport aux autres en fonction de leur place dans cette totalit (unit). V. Bertalanffy (Bertalanffy, Dcembre 1972) insiste lui aussi sur linteraction de lensemble dunits dun systme. De-Rosnay (De Rosnay, 1977) ajoute que cette interaction possde un aspect dynamique et organis en fonction dun but. Cependant, dans la pratique, on peut considrer quun systme est compos de deux parties: la partie structurelle et la partie fonctionnelle. En effet, il est difficile de spcifier clairement lensemble des entits structurelles et fonctionnelles et dfinir les interfaces entre ces entits et galement entre elles et lenvironnement

tel-00338938, version 2 - 16 Feb 2009

(voir TAB. 1). TAB. 1: Considr ation de lappr oche systmique Entr epr ise 1 Entr epr ise 2 Entr epr ise 3 Commentair es Malgr Non Non Non son intrt indniable,

Approche systmique : (Spcification systmique du Systme et de son Environnement)

lapproche systmique ne fait pas lobjet de considration srieuse par les industriels. Gnralement, les interfaces du systme tudi ne sont pas

(suffisamment) tudies.

Diver gence des Objectifs de Scur it

Comme prsent au chapitre 1 5.2.2.1, le risque tolrable est le rsultat de la recherche dun quilibre

optimal entre une scurit absolue idale et les exigences technico-conomiques (GT Mthodologie, 2003). Justement, les approches de scurit ont pour vocation de dfinir les objectifs globaux de scurit. Autrement dit, permettre de statuer si le risque global que prsente un systme est acceptable ou non, tolrable ou non, et surtout, le cas chant, dfinir les limites de lacceptabilit et celles de tolrabilit. Dans le monde industriel (voir TAB. 2), on retrouve 3 approches principales et un certain nombre dapproches drives. Ces approches sont dsignes sous les termes GAME (franais), ALARP (britannique) et MEM (allemand) :

84

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Pr incipe GAME 1: Tout systme nouveau ou toute modification un systme en exploitation doit offrir un niveau global de scurit au moins quivalent celui de systmes existants rputs srs et offrant des services comparables. Larticle n 3 du premier chapitre du dcret du 20 mars 2000 (Secrtariat Gnral du Gouvernement, 2000) stipule que : la modification dun systme existant ou la conception et la ralisation dun nouveau systme sont effectues de telle sorte que le niveau global de scurit obtenu soit au moins quivalent au niveau de scurit existant ou celui de systmes existants assurant des services ou fonctions comparables, et ce, conformment aux rgles, normes et prescriptions relatives, notamment, la sret de fonctionnement, la qualit et laccessibilit . Selon P. Christian (Christian, 2002), une telle approche a en effet le mrite intrinsque de maintenir une dynamique de progrs en minimisant le risque du toujours plus . Elle permet de tirer parti de lexistant, jug satisfaisant, et donc de bnficier de lexprience acquise.

Pr incipe ALARP 2: Tout systme possde une certaine probabilit de dfaillance. Le principe ALARP consiste valuer le risque (gravit, frquence) que reprsente cette probabilit ; ceci en intgrant le cot de la mise en uvre des actions de rduction. Selon P. Christian (Christian, 2002), ce principe est

tel-00338938, version 2 - 16 Feb 2009

sans doute celui qui met directement laccent sur le paramtre financier : Le standard de scurit se

dfinit comme devant tre aussi bas quil est matriellement raisonnable (As Low As Reasonably Practicable). En pratique, lapproche britannique conduit valuer le standard de scurit en le mettant directement en balance avec les surinvestissements quil peut impliquer. Le risque se trouve pondr par le cot qui incomberait lentreprise ferroviaire qui voudrait se prmunir efficacement contre lui .
Pr incipe MEM 3: Il existe un risque ambiant que vit quotidiennement chaque individu, ce risque est calcul en fonction de lesprance de vie. Le transport constituant une partie de ce risque. En effet, tout nouveau service mis la disposition de lusager ne doit pas faire augmenter notablement le risque ambiant, autrement dit, le risque doit alors stablir un niveau qui garantisse une Mortalit Endogne Minimale. TAB. 2 : Diver gence des appr oches de scur it Entr epr ise 1 Entr epr ise 2 MEM / GAME Entr epr ise 3 GAME Commentair es Le statut international des industriels les contraint parfois se conformer plus dun principe de scurit. En interne, les industriels appliquent galement le principe ALARP en termes dinvestissements en matire de scurit (arbitrage cots/bnfices).

Approche(s) de scurit

GAME

1 2 3

Globalement Au Moins Equivalent As Low As Reasonably Practicable Minimum Endogenous Mortality

85

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Diver gence des Indicateur s de Scur it

Les niveaux de gravit et de probabilit doccurrence sont croiss dans une matrice de criticit, un

graphe de risque, ou toute autre forme permettant dtablir une jonction entre ces indicateurs. Gnralement, ces classifications permettent de spcifier les niveaux de risque. La table suivante (voir TAB. 3) donne une ide claire sur la divergence de quelques indicateurs adopts par les industriels Entreprises 1, Entreprise 2 et Entreprise 3 . TAB. 3 : Diver gence des indicateur s de scur it Entr epr ise 1 Entr epr ise 2 (Catastrophique, Critique, Marginale, Insignifiante) Entr epr ise 3 (1, 2, 3) (Catastrophique, Critique, Minimale) (Catastrophique, Critique, Significative, Minimale) Commentair es Entreprise 1 fait une

Gravit

(Catastrophique, Critique, Grave, Ngligeable)

valuation de la gravit et de la frquence doccurrence. Nanmoins, le risque traduit

tel-00338938, version 2 - 16 Feb 2009

seulement un avis mis quant son acceptation (ok le cas

chant). Entreprise pleinement 2 les adopte mtriques

F rquence doccurrence

(Probable, Occasionnelle, Rare, Improbable)

(Frquente, Probable, Occasionnelle, Rare, Improbable, Invraisemblable)

proposes dans la norme NF EN 50126. Nous avons constat partir de 3 analyses diffrentes que

Entreprise 3 a employ 3 mtriques de gravit distinctes. Cependant la notion de frquence doccurrence nest pas prise en compte. Par consquent, on peut dire quil sagit plutt danalyses de danger et non pas de risque.

Risque

Ok (accept)

(Ngligeable, Acceptable, Indsirable, Inacceptable)

Lapproche de classification par intervalle des niveaux de risque permet dengager des actions de management des risques portant sur les zones risque juges non acceptables ; ceci avec une priorit la scurit primaire (voir chapitre 2, 1.3.1). Cependant, les mthodes de classification vhiculent une forte subjectivit, et plus particulirement en ce qui concerne lestimation des risques (Cox, 2008). Ceci est d au fait que les probabilits doccurrence et les gravits sont regroupes dans des plages prdfinies en donnant parfois une quivalence quantitative. Quoique, la norme ISO 14971 (ISO 14971, 2000) tempre cet avis en prcisant qu une bonne description qualitative est

prfrable une inexactitude quantitative !

86

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Diver gences dor dr e mthodologique des analyses de r isque

Comme prsent au chapitre 2 2.3.2, lapproche causale est une manire de dire que rien nest luvre

du hasard, et que derrire tout effet y a au moins une cause possible. En effet, il existe deux sens dinvestigation des relations de cause effet : lapproche inductive et lapproche dductive (voir FIG. 2): Induction : Connaissance des causes Apprentissage sur les effets Causes EvR Dduction : Connaissance des effets Apprentissage sur les causes FIG. 2: Raisonnement causal : Induction et Dduction Thoriquement, les ensembles de causes et deffets sont divergents. Nanmoins, dans la pratique on se limite considrer des ensembles reprsentatifs contenant les lments les plus crdibles. La qualit et la quantit dinformations dont on dispose sont des facteurs dterminants dans le choix qui sera port sur la dmarche danalyse : inductive ou dductive (Mazouni, Bied-Charreton, & Aubry, 2007). Dans le cas o ces informations portent essentiellement sur les consquences, on peut donc procder par dduction afin didentifier les causes possibles. Les mcanismes de Retour dExprience sont largement utiliss dans cette dmarche qui semble en parfaite harmonie avec lexercice de reconstitution des accidents. La dmarche inverse ncessite une bonne connaissance des causes de laccident. Logiquement, on se situe en amont de laccident et on tente de dgager les consquences possibles relatives une cause donne. Cette dmarche consiste donc extraire les diffrents scnarios daccident potentiels. TAB. 4 : Diver gence mthodologique des analyses de r isque Entr epr ise 1 Entr epr ise 2 Dductive Entr epr ise 3 Dductive Commentair es Nous pouvons constater que quasiment toutes les mthodes danalyses de risque permettent dlaborer, que ce soit par induction ou par dduction, une liste dvnements redouts et une liste de mesures de matrise des risques. Effets

tel-00338938, version 2 - 16 Feb 2009

Type causal de mthode

Inductive / Dductive

Il convient de prciser que les divergences mthodologiques constates dans le monde industriel (voir TAB. 4) se prsentent aussi dans le domaine de la recherche. Nous pouvons lobserver dans lopposition des deux avis suivants donns par deux spcialistes:

87

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Cest une (LAPR) dmarche inductive classique, citation du Prof. A. Laurent, CNRS-LSGC [scurit des procds chimiques, p367, Mai 2003] (Laurant, 2003).

Cest une (LAPR) analyse dductive , citation du prof. A. Heurtel, CNRS - IN2P3/LAL [La gestion des risques techniques et des risques de management, p14, Dcembr e 2003] (Heurtel, 2003).

Enjeux or ganisationnels de la maitr ise des r isques

La connaissance pralable du concept daccident, de ses mcanismes de causalit ainsi que de son

processus de matrialisation permet de mieux identifier les scnarios daccident et ensuite de placer les barrires de dfense en profondeur. La mise en uvre des barrires de dfense requises doit se baser sur des techniques scientifiques et organisationnelles de management des diffrents acteurs concerns. Ainsi, la ralisation ou le contrle de chaque barrire doit tre assign une quipe nomme, et la responsabilit technique un chef qualifi. Cependant, ces

tel-00338938, version 2 - 16 Feb 2009

aspects organisationnels sont insuffisamment considrs par les industriels (voir TAB. 5). En plus de la responsabilit technique, se pose galement le problme de la responsabilit hirarchique. Cette deuxime forme consiste en lapprobation ou le refus des actions recommandes par lquipe technique charge de lanalyse et du suivi du risque. TAB. 5 : Considr ation des aspects or ganisationnels de la matr ise des r isques Entr epr ise 1 Entr epr ise 2 Non Entr epr ise 3 Plutt non Commentair es Le descripteur de lanalyse de risque d Entreprise 1 contient la colonne Responsable dans laquelle on

Aspects organisationnels

Plutt Oui

renseigne le nom du responsable de la mise en uvre des mesures de rduction des risques. Nanmoins, aucune

information nest collecte sur lquipe oprationnelle affecte cette mission. Le descripteur d Entreprise 3 contient une simple indication sur le dpartement concern par les mesures entreprises (Exploitation, Maintenance, Gnie civil, etc.).

88

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Absence de suivi des r isques

Labsence de modlisations smantiques dontologies danalyse de risque, rend la matrise des risques

fastidieuse. Ce serait pourtant la meilleure manire permettant dintgrer le management des risques au processus global du SMS ; ceci en identifiant les interfaces de lanalyse (les donnes en entre, les rsultats en sortie, les contraintes, etc.). Une fois le processus accidentel dment conu, il devient plus viable dimplanter un systme de dfense en profondeur en fonction des entits, situations et vnements lmentaires. Lestimation a postriori des risques permet dapporter une assurance quant lefficacit des mesures de rduction envisages. Cependant, trs peu dindustriels accordent une importance au suivi de lvolution du risque et lvaluation des gains obtenus aprs mise en uvre des actions envisages afin dviter que le niveau de scurit obtenu soit pire que ce quil tait avant (voir TAB. 6). TAB. 6 : Suivi des r isques Entr epr ise 1 Entr epr ise 2 Non Entr epr ise 3 Non Commentair es Entreprise 1 fait seulement une

tel-00338938, version 2 - 16 Feb 2009

Suivi des risques

Plutt oui (gravit)

estimation postriori de la gravit rsultant de la mise en uvre des actions de rduction des risques.

Non-pr ise en compte des effets domino

Lidentification des effets domino ne fait pas encore lobjet dtudes srieuses (voir TAB. 7). Le terme

effet domino se rapporte au fait quun accident gnre ou enclenche un autre, autrement dit, laction dun processus accidentel affectant une ou plusieurs entits qui pourrait dclencher un accident sur une entit voisine, conduisant une aggravation gnrale des consquences. Admettons quun scnario daccident A valu un niveau de risque indsirable soit susceptible denclencher un autre scnario B dun risque inacceptable. Il convient dans ce cas l de majorer le niveau de risque du premier scnario A. TAB. 7 : Considr ation des effets domino Entr epr ise 1 Entr epr ise 2 Non Entr epr ise 3 Non En dpit Commentair es de son importance,

Identification des effets domino

Non

lidentification des effets domino ne fait pas lobjet dtudes srieuses.

Il est trs important didentifier les consquences des scnarios daccident relatifs toute entit source de danger et voir si ventuellement elles engendrent un vnement dangereux vis--vis les autres entits (systme global, sous-systme, composant, procdure, etc.) situes dans son entourage que nous appellerons dornavant espace de danger. 89

Chapitre 4

10 enjeux problmatiques en matire de management des risques

Enjeux

dinter opr abilit :

har monisation

des

analyses au niveau systme

Lune des proccupations majeures en matire de management des risques est le fait de rendre les analyses de risque interoprables (voir TAB. 8). Autrement dit, que des scnarios daccident relatifs aux systmes, soient rapprochs par les mcanismes de similarit, souvent connus en Intelligence Artificielle par RPC (Raisonnement Partir de Cas, de langlais CBR : Case Based Reasoning) ; ceci est une manire forte pour consolider la pratique du principe de scurit GAME. TAB. 8 : Inter opr abilit des analyses de r isque Entr epr ise 1 Entr epr ise 2 Non Entr epr ise 3 Non Commentair es Le manque dharmonisation rend les analyses de risque difficilement

Interoprabilit

Non

interoprables.

tel-00338938, version 2 - 16 Feb 2009

Nous

pouvons

constater

que

les

analyses tudies sont compltement indpendantes les unes des autres, mme celles labores par la mme entreprise.

10

Enjeux dintgr abilit : har monisation des analyses au niveau sous-systme

Lharmonisation a pour but de trouver une passerelle permettant de rendre intgrables les diffrentes

analyses de risque relatives aux sous-systmes. Ces analyses sont gnralement labores par des sous-traitants, avant que lintgrateur ne constitue lanalyse de risque du systme global ; ceci permet, entre autres, didentifier les effets domino entre sous-systmes et entre sous-systme et le systme global. Autrement dit, dceler au niveau dun sous-systme les scnarios indsirables susceptibles de constituer des prcurseurs dautres scnarios induits au niveau dun sous-systme adjacent, ou bien mme au niveau du systme global. Cependant, lintgrabilit des analyses de risque reste un problme classique auquel sont confrontes beaucoup dentreprises (voir TAB. 9). TAB. 9 : Intgr abilit des analyses de r isque Entr epr ise 1 Entr epr ise 2 Non Entr epr ise 3 Non Commentair es Les industriels trouvent des difficults dans la phase dintgration dans le cadre de la mme analyse des analyses relatives aux sous-systmes.

Intgrabilit

Non

90

Chapitre 4

10 enjeux problmatiques en matire de management des risques

11

Conclusion et per spectives

Dune manire synthtique, nous pouvons dire que malgr les divergences constates dans lemploi des

termes, concepts, approches, et autres, les pratiques du management des risques tournent essentiellement autours des quatre exercices suivants: Investigation des scenarios daccident. Estimation des risques (par rfrence aux indicateurs de scurit). Evaluation et acceptation des risques (en fonction des objectifs de scurit). Maitrise des risques.

Cependant, en dpit de leur importance, plusieurs points sont souvent ngligs, en loccurrence : La spcification systmique des limites de ltude (frontires Systme/Environnement). La spcification ontologique de lensemble des constituants du systme global. La prise en compte, lors de lestimation de la gravit, des enjeux capitaux tels que techniques, financiers, commerciaux, juridiques, mdiatiques et conomiques, etc. Lestimation de la frquence (ou probabilit) doccurrence. Lestimation de lexposition au danger. Le suivi des risques. Linterconnexion des scenarios daccidents (effets domino). Linterconnexion des sous-systmes (intgrabilit). Linterconnexion de systmes similaires (interoprabilit). Lintgration dans une stratgie globale de SMS (Systme de Management de la Scurit) afin de rendre les rsultats profitables par les analyses ultrieures. Le tableau suivant (voir TAB. 9) prsente conjointement les principaux enjeux de la pratique de lanalyse de risques dans le domaine industriel et les solutions que nous proposons et dvelopperons afin dapporter des lments de rponses aux problmes poss :

tel-00338938, version 2 - 16 Feb 2009

91

Chapitre 4

10 enjeux problmatiques en matire de management des risques

TAB. 10: Solutions pr oposes pour amlior er la pr atique du management des r isques Quelques difficults dans la pr atique du management des r isques Difficults de spcification des limites et interfaces du systme Divergence des termes Divergence Divergence des concepts des indicateurs de scurit Divergence des mthodes Absence daspects organisationnels et de responsabilisation Absence dinteroprabilit + Modlisation dun processus accidentel ontologique Dcomposition systmique du systme global Dcoupage des sous-systmes en entits Solutions pr oposes

Pr oposition de la mthode MPR

tel-00338938, version 2 - 16 Feb 2009

Absence dintgrabilit

SIGAR (Systme Informatique

Absence de traabilit des effets domino Absence de suivi des risques Absence de Compltude, cohrence, confidentialit, communication et de portabilit des donnes

Gnrique dAnalyse de Risques): Un outil daide la rdaction, dition, vrification, capitalisation et prennisation des analyses de risque

En effet, il est primordial de stimuler une rflexion plnire dans le but de dfinir une stratgie globale de convergence vers une relle comprhension du management des risques, de ses concepts lmentaires et de son processus avant daspirer doter les experts doutils daide la dcision. Nous essayerons daborder cette problmatique dans le cadre des chapitres ultrieurs.

92

Chapitre 4

10 enjeux problmatiques en matire de management des risques

12

Tr avaux cits

Bertalanffy, L. (Dcembre 1972). The History and Status of General Systems Theory. The Academy of

Management Journal , Vol. 15, No. 4, General Systems Theory, pp 407-426.

Christian, P. (2002). LEurope ferroviaire est-elle sur la bonne voie ? les documents d'information de l'assemble nationale, n 388. Cox, L.-A. (2008). Whats wrong with risk matrices? Journal of risk analysis , Vol. 28, No. 2, pp 497-512. El-Koursi, E.-M., Fletcher, S., Tordai, L., & Rodriguez, J. (2006, February). Safety and interoperability.

SAMNET synthesis report .

Gallou, G., & Bouchon-Meunier, B. (1992). Systmique : Thorie & Application. France: Lavoisier. Goffin, L. (1976). Environnement et volution des mentalits. Arlon, Belgium: Thse de doctorat, FUL. Heurtel, A. (2003). La gestion des risques techniques et des risques de management. CNRS - IN2P3/LAL.

tel-00338938, version 2 - 16 Feb 2009

IAEA Safety glossary. (2007). Teminology used in nuclear safety and radiation protection. International Atomic Energy Agency. ISO 14971. (2000). Application de la gestion des risques aux dispositifs mdicaux. ISO. ISO/CEI Guide 2. (1986). Termes gnraux et leurs dfinitions concernant la normalisation et les activits

connexes. ISO.
Laurant, A. (2003). Scurit des procds chimiques. Lavoisier. Le Moigne, J.-l. (1994). Thorie du Systme Gnral, thorie de la modlisation. Paris: PUF. Mazouni, M.-H. (2006, Avril). Concepts et terminologie de base pour lAnalyse Prliminaire des Risques dans le transport ferroviaire. Communiquer, Naviguer, Surveiller-Innovations pour des transports plus srs, plus

efficaces et plus attractifs , Actes INRETS no. 109, pp 143-152.

Mazouni, M.-H., & Aubry, J.-F. (2007, 26-29 Aot). A PHA based on a systemic and generic ontology, Paper No. 166. IEEE ITS international conference SOLI2007 . Philadelphia, USA: IEEE - ITS. Mazouni, M.-H., & Hadj-Mabrouk, H. (2005, Dcembre). Mthode et formalisme de base pour lAnalyse Prliminaire des Risques applique dans le transport ferroviaire. 6e Confrence internationale des sciences et des

techniques de lautomatique (STA2005) . Sousse, Tunisie.

Mazouni, M.-H., Bied-Charreton, D., & Aubry, J.-F. (2007, 18-21 Avril). Proposal of a generic methodology to harmonize Preliminary Hazard Analyses for guided transport, Paper No. 98. IEEE SMC international

conference SOSE2007 . San Antonio, Texas USA: IEEE SMC.

Morin, E. (1977). La Mthode, 1 : la nature de la nature ; 2 : la vie de la vie. Le Seuil. Secrtariat Gnral du Gouvernement. (2000, Mars 30). Dcret n2000-286 relatif la scurit du rseau ferr

national. Rcupr sur LgiFrance, Le service public de la diffusion du droit: http://www.legifrance.gouv.fr/

Senge, P. (1990). The Fifth Discipline: The Art & Practice of The Learning Organization. 93

Chapitre 5

Modlisation ontologique du processus accidentel

Table des matires du chapitre 5 :

Modlisation ontologique du processus accidentel

Introduction aux ontologies ........................................................................................................................... 98 1.1 Ontologie en tant que notion : une origine mtaphysique ............................................................... 98 1.2 Ontologie en tant que concept : un devenir computationnel ...................................................... 99 1.3 Typologie des ontologies ............................................................................................................... 100 1.4 Reprsentation des ontologies ....................................................................................................... 100 1.5 Critres dvaluation dune ontologie............................................................................................ 101 1.6 Conclusion ..................................................................................................................................... 102

Ontologie pour la modlisation du processus accidentel ............................................................................. 103 2.1 Entits lmentaires ....................................................................................................................... 104

tel-00338938, version 2 - 16 Feb 2009

2.1.1 2.1.2

Entit Cible de Danger (ECD) ...................................................................................... 105 Entit Source de Danger (ESD) .................................................................................... 105

2.2 Situations lmentaires .................................................................................................................. 106 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 Situation vs. tat ........................................................................................................... 106 Situation Initiale ........................................................................................................... 106 Situation dExposition .................................................................................................. 106 Situation Dangereuse .................................................................................................... 107 Situation dAccident ..................................................................................................... 107

2.3 Evnements lmentaires .............................................................................................................. 108 2.3.1 2.3.2 2.3.3 Evnement dexposition ............................................................................................... 108 Evnement Initiateur ..................................................................................................... 108 Evnement redout ....................................................................................................... 109

2.4 Modlisation de type tat/transition du processus accidentel ........................................................ 109 3 Illustration de lontologie ............................................................................................................................ 112 3.1 Risque ferroviaire .......................................................................................................................... 113 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 Scnario 1 : Prsence dun individu sur la voie ............................................................ 113 Scnario 2 : immobilisation dun train ......................................................................... 113 Scnario 3 : vacuation dun train entre deux stations .................................................. 113 Scnario 4 : indisponibilit du Pilote Automatique ...................................................... 114 Scnario 5 : excs de vitesse ......................................................................................... 114 Scnario 6 : distance darrt trop longue ...................................................................... 114 Scnario 7: heurt dun individu .................................................................................... 115 Scnario 8 : draillement .............................................................................................. 115 Scnario 9 : Collision sur un Passage Niveau (PN) ................................................... 115

94

Chapitre 5
3.1.10

Modlisation ontologique du processus accidentel

Aide la vrification de lincompltude, cohrence, traabilit, harmonisation, intgration travers la modlisation des effets domino ................................................ 116

3.2 Risque routier ................................................................................................................................ 118 3.2.1 3.2.2 Scnario 1 : heurt dun piton ....................................................................................... 118 Scnario 2 : collision de trois voitures dans une intersection (feux rouges): ................ 119

3.3 Risque machine ............................................................................................................................. 120 3.3.1 3.3.2 Scnario 1 : chute, basculement .................................................................................... 120 Scnario 2 : choc, coincement, crasement .................................................................. 121

3.4 Risque manufacturier ..................................................................................................................... 122 3.4.1 3.4.2 Scnario 1 : rupture de la chaine de transport ............................................................... 122 Scnario 2 : coulement de lacide ............................................................................... 123

3.5 Risque professionnel...................................................................................................................... 123 3.5.1 3.5.2 Scnario 1 : Tendinites et lombalgie............................................................................. 123 Scnario 2 : allergie cutane et respiratoire .................................................................. 123

tel-00338938, version 2 - 16 Feb 2009

3.6 Risque pidmiologique ................................................................................................................ 124 3.7 Risque politique ............................................................................................................................. 124 3.8 Risque mdiatique ......................................................................................................................... 125 3.9 Risque juridique............................................................................................................................. 125 4 5 Conclusion ................................................................................................................................................... 126 Travaux cits ............................................................................................................................................... 127

95

Chapitre 5

Modlisation ontologique du processus accidentel

Chapitr e 5

Modlisation ontologique du
tel-00338938, version 2 - 16 Feb 2009

processus accidentel

Ce travail est le rsultat dune analyse des approches utilises dans les domaines critiques. Il se prsente sous la forme dun continuum de proposition de dfinitions de concepts lis lanalyse de risques.

Le langage de la sret de fonctionnement est en perptuelle mutation. En effet, ni la rglementation nationale ou communautaire, ni les normes nationales, europennes ou internationales, ni les glossaires divers et varis nont pu unifier un langage consensuel pouvant servir de base universelle dharmonisation.

Nous avons pu constater, en effet, toutes sortes de divergences terminologiques syntaxiques ou smantiques. Nous pouvons citer, entre autres, les difficults suivantes : Association dun mme terme plusieurs concepts. Association dun mme concept plusieurs termes. Nuance des liens entre les diffrents concepts. Dfinition sommaire des termes sous forme de glossaires, souvent prsents par ordre alphabtique.

96

Chapitre 5

Modlisation ontologique du processus accidentel

Confusion entre les notions dtat et de transition (vnements). Absence de rattachement au processus accidentel, c.--d. quelle phase se situe un concept donn et quelle peut tre sa contribution la ralisation de laccident. Usage excessif du descriptif textuel, que ce soit travers des dfinitions beaucoup plus littraires que scientifiques, ou voire mme lintroduction de sens figurs et dimages ambivalentes. En effet, une phrase complique ne fait que rendre le sens plus complexe et par consquent sujet diverses interprtations ! Alas de la traduction (anglais franais): des termes sont directement traduits en partant dune comprhension superficielle. En effet, souvent, il existe deux ou trois termes en franais pour un mme terme en anglais. Ainsi, pour risk management , on retrouve gestion des risques ou management des risques et parfois mme cest traduit tort par maitrise des risques ! De mme, pour PHA (Preliminary Hazard Analysis) , on retrouve et APD (Analyse Prliminaire de Danger) et APR (Analyse Prliminaire de Risque) qui est le

tel-00338938, version 2 - 16 Feb 2009

nom le plus rpandu mme sil est le moins conforme aux normes, en loccurrence ISO/CEI Guide 73 et Guide 51, prcisant que dans une analyse de risque, on commence toujours par identifier les dangers et on finit par estimer les risques inhrents.

La solution que nous proposons, et qui fait lobjet de ce chapitre, repose sur le principe dontologie. Pour ce faire, nous allons suivre la dmarche suivante : Une partie de dfinition : chaque concept sera prsent sous forme dun tableau contenant les dfinitions issues de la littrature, rglementation, normalisation et aussi quelques dfinitions intressantes issues des travaux de recherche. Une partie de synthse : dans cette partie nous donnerons notre point de vue et nous commenterons, ventuellement, les diffrentes dfinitions. Une partie de proposition : nous proposerons des dfinitions dans le cas o nous ne trouverons pas de dfinition qui nous semble en harmonie avec lensemble des concepts de lontologie.

Loriginalit de cette ontologie est fonde sur le fait que chaque concept est abord en fonction de son aspect smantique et de sa contribution dans la ralisation du scnario daccident selon un processus accidentel (voir FIG. 3), contrairement la littrature, o les termes sont souvent dfinis individuellement et prsents par ordre alphabtique.

97

Chapitre 5

Modlisation ontologique du processus accidentel

Intr oduction aux ontologies

Les ontologies occupent aujourdhui une place pivot dans de nombreux domaines. De l'intelligence

artificielle au Web smantique, du gnie logiciel l'informatique biomdicale, dsormais, l'architecture de l'information est considre comme une forme de reprsentation de la connaissance. Compte tenu de lintrt quelles reprsentent, les ontologies ont fait lobjet de normalisation. On peut citer par exemple la norme ISO 21127 (ISO 21127, Aot 2002) intitule Ontologies ncessaires la description des donnes concernant le patrimoine culturel . Cette norme t publie en 2006 suite la dfinition du patrimoine culturel immatriel effectue par l'UNESCO. Elle dcrit en particulier les mtadonnes ncessaires la structuration des ontologies. Lontologie est gnralement employe pour raisonner propos des objets du domaine concern aprs avoir modlis un certain ensemble de connaissances relevant du domaine en question. Donc, l'ontologie constitue en soi un modle de donnes reprsentatif d'un ensemble de concepts dans un domaine, ainsi que les relations entre ces concepts.

tel-00338938, version 2 - 16 Feb 2009

Toutefois, avant daborder en dtail lontologie, il convient de dissiper la nuance qui puisse exister avec Terminologie . Dans une terminologie on s'intresse aux mots et au sens, c.--d., aux relations entre ces mots; tandis que dans une ontologie, on s'intresse la notion de concept et aux relations entre les diffrents concepts.

1.1

Ontologie en tant que notion : une or igine mtaphysique

Selon Aristote (-384 -322): Il y a une science qui tudie l'tre en tant qu'tre et les attributs qui lui

appartiennent essentiellement .
Lontologie est une notion philosophique grecque trs ancienne qualifie par Descartes et Kant de science du fondement de la connaissance . Le mot Ontologos tant lui mme une composition de deux mots : Ontos pour dire tre , et logos pour dire mot . Une notion est toute unit de pense utilise pour structurer la connaissance et la perception du monde extrieur et nest pas forcment exprime (Charlet, Zacklad, Kassel, & Bourigault, 2000). Selon le Petit Robert (Petit Robert, 1984) la notion dontologie remonte 1646 (lat. philo. Ontologia, 1646) et elle concerne la partie de la mtaphysique qui s'applique l'tre en tant qu'tre, indpendamment de

ses dterminations particulires . Le Petit Larousse (Larousse, 2006) voque une Etude de l'tre en tant qu'tre, de l'tre en soi. Cest aussi ltude de l'existence en gnral, dans l'existentialisme .
Selon Socrate (-469 -399) et son disciple Platon (-427 -346) : La ralit se prsente sous la forme

d'individualits uniques et particulires qu'il faut aborder partir de concepts gnraux (tigre, animal, tre vivant) . Porphyre (234 305), philosophe grec du troisime sicle eut insist sur la catgorisation par identit
et diffrence des tres dans une forme taxinomique. Du concept dontologie se dclinent plusieurs concepts drivs, limage de ontologisme dfini par Gioberti (1801 1852) comme tant une thorie mtaphysique affirmant que la connaissance de Dieu directe

et immdiate est naturelle lHomme .

98

Chapitre 5

Modlisation ontologique du processus accidentel

1.2

Ontologie en tant que concept : un devenir computationnel

Un concept est une notion exprime en gnral par un terme, un symbole ou autre, et qui sert

reprsenter un ensemble dobjets ou dtres ainsi que leurs proprits communes. Dans le domaine de lingnierie de la connaissance, le concept dontologie semble avoir t introduit dans les annes 90 lorsque Grber (Grber, 1992) introduisit une dfinition devenue depuis une rfrence consensuelle : Une ontologie est la spcification (description formelle) d'une conceptualisation (un choix quant la manire de dcrire un domaine) d'un domaine de connaissance . Cette dfinition fut aussitt rajuste par Grber (Grber, 1993) (Grber & Thomas, 1993) lorsquil insista sur les aspects formel et partageable : Une ontologie est une spcification formelle (comprhensible aussi bien par les machines que par les humains)

explicite d'une conceptualisation partage (dcrit des connaissances consensuelles) .

tel-00338938, version 2 - 16 Feb 2009

FIG. 1: Lontologie Sowa (Sowa, 1984) En effet, dans lencyclopdie libre Wikipedia on a relev que C'est naturel que le terme soit repris en

informatique et en science de l'information, o une ontologie est l'ensemble structur des termes et concepts fondant le sens d'un champ d'information, que ce soit par les mtadonnes d'un espace de noms, ou les items d'un domaine de connaissances.
En consquence, on a donn une dfinition pragmatique plus proche de loprationnel que de labstrait : Une ontologie est un rseau smantique qui regroupe un ensemble de concepts dcrivant compltement un

domaine. Ces concepts sont lis les uns aux autres par des relations taxonomiques (hirarchisation des concepts) d'une part, et smantiques d'autre part (voir FIG. 1).

99

Chapitre 5

Modlisation ontologique du processus accidentel

On peut retrouver aussi dans (Charlet, Zacklad, Kassel, & Bourigault, 2000) une vision plus oriente objet des ontologies : Une ontologie est un ensemble des objets reconnus comme existants dans le domaine.

Construire une ontologie cest dcider de la manire dtre et dexister des objets .

1.3

Typologie des ontologies

En fonction de leur usage, on distingue cinq catgories d'ontologies (Van Heijst, Schreiber, &

Wielinga, 1997) en loccurrence : gnrique, de domaine, d'application, de reprsentation et de mthode : 1. Ontologie gnrique : dcrit des concepts gnraux, indpendants d'un domaine ou d'un problme particulier. Il s'agit par exemple des concepts de temps, d'espace et d'vnement. 2. Ontologie de domaine : spcifie un point de vue sur un domaine particulier laide dun vocabulaire li un domaine de connaissance gnrique. Les concepts d'une ontologie de domaine sont souvent dfinis comme une spcialisation des concepts des ontologies gnriques. Une ontologie de domaine est constitue dune description en extension du

tel-00338938, version 2 - 16 Feb 2009

vocabulaire du domaine, dune typologie, et dune hirarchie ou un treillis de classes. 3. Ontologie d'application : dcrit la structure des connaissances ncessaires la ralisation d'une tche particulire (Van Heijst, Schreiber, & Wielinga, 1997). Elle permet aux experts du domaine d'utiliser le mme langage que celui de l'application. 4. Ontologie de reprsentation : dfinit un ensemble de primitives de reprsentation des concepts des ontologies de domaine et des ontologies gnriques. 5. Ontologie de mthode: dcrit le processus de raisonnement d'une faon indpendante d'un domaine et d'une implmentation donne. Elle spcifie des entits qui relvent de la rsolution d'un problme et fournit les dfinitions des concepts et relations utilises pour spcifier un processus de raisonnement lors de la ralisation d'une tche particulire.

1.4

Repr sentation des ontologies

Selon G. Diallo (Dialo, 2006): On peut distinguer entre les ontologies informelles, qui utilisent le

langage naturel et qui peuvent concider avec les terminologies, les ontologies semi-formelles, qui fournissent une faible axiomatisation, comme les taxonomies, et enfin les ontologies formelles, qui dfinissent la smantique des termes par une axiomatisation complte et rigoureuse .

100

Chapitre 5

Modlisation ontologique du processus accidentel

tel-00338938, version 2 - 16 Feb 2009

FIG. 2: Lontologie gnr ique Mikr okosmos (Manesh, 1996) Les ontologies dcrivent gnralement les individus, les classes (ensembles, collections, ou types d'objets), les attributs (proprits, fonctionnalits, caractristiques ou paramtres des objets), les relations entre les objets, et les vnements relatifs au changement dattribut ou de relation (voir FIG. 2). Les ontologies informatiques sont des outils qui permettent prcisment de reprsenter un corpus de connaissances sous une forme utilisable par une machine. Une ontologie contient une description hirarchique des concepts importants d'un domaine et une description des proprits de chaque concept et ses relations avec dautres concepts. Les concepts sont organiss dans un graphe dont les relations peuvent tre smantiques ou de subsumption. La subsumption organise les concepts par abstraction de caractres communs pour aboutir une hirarchie correspondant une organisation taxonomique des objets (Roche, 2005).

1.5

Cr itr es dvaluation dune ontologie

Grber (Grber, 1993) affirme que dans un processus de design d'ontologie, certains critres pour

valuer la qualit de cette ontologie doivent tre appliqus. En effet, lauteur tablit 5 critres permettent de mettre en vidence des aspects importants d'une ontologie (Source : Wikipedia) :

1. La clart : La dfinition d'un concept doit faire passer le sens voulu du terme, de manire aussi objective que possible (indpendamment du contexte). Une dfinition doit de plus tre complte , c.--d., dfinie par des conditions la fois ncessaires et suffisantes et ensuite documente en langage naturel.

101

Chapitre 5

Modlisation ontologique du processus accidentel

2. La cohrence : Rien qui ne puisse tre infr de l'ontologie ne doit entrer en contradiction avec les dfinitions des concepts y compris celles qui sont exprimes en langage naturel. 3. L'extensibilit : Les extensions qui pourront tre ajoutes l'ontologie doivent tre anticipes. Il doit tre possible d'ajouter de nouveaux concepts sans avoir toucher aux fondations de l'ontologie. 4. Une dformation d'encodage minimale : Une dformation d'encodage a lieu lorsque la spcification influe la conceptualisation. Un concept donn peut tre plus simple dfinir d'une certaine faon pour un langage d'ontologie donn, bien que cette dfinition ne corresponde pas exactement au sens initial. Ces dformations doivent tre vites autant que possible. 5. Un engagement ontologique minimal : Contrairement aux bases de connaissances, on n'attend pas d'une ontologie qu'elle soit en mesure de fournir systmatiquement une rponse une question arbitraire sur le domaine. Une ontologie est la thorie la plus faible couvrant un domaine ; elle ne dfinit que les termes ncessaires pour partager la connaissance lie ce domaine. Donc, le but d'une ontologie est de dfinir un vocabulaire pour dcrire un domaine, si possible de manire complte.
Enfin, en vue de rpondre aux 5 critres de Grber, il est important que soient fixs pralablement et prcisment : les engagements ontologiques gnraux, les catgories de haut niveau telles que les appellations et les significations, le processus de raffinement de ces engagements et dfinitions des catgories, et enfin la spcialisation de ces catgories (Guarino, 1998).

tel-00338938, version 2 - 16 Feb 2009

1.6

Conclusion
Lontologie nest pas un but en soi, elle fournit des moyens de construction pour dautres modles et

systmes. Le degr de formalisation (implantation des structures issues de la conceptualisation dans un langage formel) varie du langage naturel sans primitive et rgi par des dfinitions circulaires, des noncs imprcis, et des objets instables, au langage formel caractris par une smantique, des expressions construites avec des primitives, des connecteurs, etc. Cela passe dabord par chercher une stabilit rfrentielle et relationnelle en choisissant un contexte de rfrence aux objets afin de fixer et stabiliser leur interprtation, et ensuite par structurer et organiser les concepts crs. Une formalisation optimale rend lontologie rutilisable. Bien que la rutilisabilit se confronte lutilisabilit. Autrement dit, plus une ontologie est rutilisable plus elle perd en prcision et par consquent sloigne du scnario dapplication et perd de son utilit. Et plus une ontologie est spcialise, plus elle est proche des proccupations dune application (Charlet, Zacklad, Kassel, & Bourigault, 2000). Compte tenu de lintrt de dfinir une ontologie de management des risques, nous allons uvrer migrer dun langage naturel vers un langage formel en introduisant les concepts dentit, de situation et dvnement.

102

Chapitre 5

Modlisation ontologique du processus accidentel

Ontologie pour la modlisation du pr ocessus accidentel

La modlisation des scnarios daccident travers un processus accidentel gnrique permet de les

dcrire dune manire spatio-temporelle. L'identification des scnarios d'accident sera base sur le dveloppement du processus accidentel en fonction de l'occurrence de trois types dvnements : Evnement dExposition (EvE), Evnement Initiateur (EvI) et Evnement Redout(EvR). Ces vnements ont la capacit de provoquer le changement de situation dune entit entre: Situation Initiale (SI), Situation dExposition (SE), Situation Dangereuse(SD) et Situation dAccident (SA).
SI
(ECD1)

SI
(ESD)

SI
(ECD2)

EvE

tel-00338938, version 2 - 16 Feb 2009

SE 1
(ECD1)

EvI
SD
(ESD)

EvE
SE 2
(ECD2)

Phnomne dangereux
EvR

EvR

SA 1

SA 2

Scnario daccident

Enjeux Consequence Consequence Consquence

ESD : Entit Source de Danger ECD : Entit Cible de Danger SI : Situation Initiale SE : Situation dExposition SD : Situation Dangereuse SA : Situation dAccident EvE : vnement dExposition EvI : vnement Initiateur EvR : vnement Redout

FIG. 3: Scnar io daccident avec une sour ce et deux cibles tr aver s le pr ocessus accidentel Nous avons modlis cette ontologie en tenant compte des rgles suivantes : Laccident est une ralisation qui se dveloppe entre une entit source de danger (ESD) et une ou plusieurs entits cibles de danger (ECDs) en passant par plusieurs situations intermdiaires (situation dangereuse, situation daccident). Le risque est la mesure assigne cette ralisation. Le scnario de danger est une partie du scnario daccident (cf. FIG. 3) qui fait lobjet de lanalyse de danger, ce qui permettra dlaborer une cartographie des espaces de danger et de prciser les intensits des phnomnes dangereux qui en rsultent. La gravit des dommages potentiels dun scnario daccident est estime en fonction des prjudices ports aux cibles exposes dans lespace de danger dune source. Les prjudices subis par cette source sont pris en considration dans lestimation de la gravit globale. 103

Chapitre 5

Modlisation ontologique du processus accidentel

Une entit peut tre en mme temps source et cible dans un scnario daccident. Tout systme est situ par rapport un environnement sensible ses changements dtat. Le concept despace (de vulnrabilit, de danger) dpasse lacception physique, il peut admettre plusieurs dimensions autre que spatiales lgard du risque thique, culturel, mental (stress, harclement), mdiatique (limage de marque dun organisme), etc.

2.1

Entits lmentair es
Il faut rappeler que le modle MADS (voir chapitre 2 3.9) permet de mettre en relation un systme

source avec un systme cible par lintermdiaire des flux de danger dans un environnement appel champ de danger. Nanmoins, le modle de rfrence permet de considrer quatre couples source/cible en loccurrence : installation, installation , installation, oprateur ou oprateur, installation , installation, population ou population, installation , installation, cosystme ou cosystme, installation (Laurant, 2003). Une menace est un signe ou indice qui fait rfrence des consquences implicites dans un ala mais de

tel-00338938, version 2 - 16 Feb 2009

manire dcrire plus prcisment les circonstances de sa ralisation et de son imminence. Ainsi on peut dire qu'une menace s'approche, recule ou se ralise (HSE, 1992). Justement, la notion de source et de cible permet de donner un sens lexercice dune menace, et par consquent donner plus de dynamisme aux mesures de protection des cibles et de prvention au niveau des sources. Le modle MADS permet davoir une vision Macro sur laccident, ce qui permet de positionner la nature des tudes requises permettant de maitriser la menace en question (sret de fonctionnement, ergonomie, fiabilit humaine, pidmiologie, etc.) (Laurant, 2003). Nanmoins, dans notre cas, nous ne nous limitons pas considrer des systmes comme sources ou cibles, mais plutt des entits lmentaires, quelque soit leur niveau hirarchique. Dfinition : SOURCE (CEI 50(191), 1990) Tout lment, composant, sous-systme, unit fonctionnelle, quipement ou systme que lon peut considrer individuellement. Une entit peut tre constitue de matriel, de logiciel, ou des deux la fois, et peut aussi dans certains cas comprendre du personnel, de mme un ensemble dtermin dentits, par exemple une population ou par exemple un chantillon, peut lui-mme tre considr comme une entit. Synthse : La dfinition propose dans la norme CEI 50(191) dcrit un aspect essentiellement technologique de la notion dentit, bien quelle admette la composante humaine. Pr oposition : Moyennant quelques ajustements, nous adopterons pleinement le concept dentit telle quil est dfini dans la norme CEI 50(191). En effet, nous estimons indispensable denrichir cette dfinition afin que la notion dentit couvre aussi les lments immatriels tels quorganisationnels, psychologiques, sociologiques, etc. Donc, un phnomne dangereux peut sexercer entre un sous-systme et le systme global, entre plusieurs sous-systmes ou composants lmentaires humains, environnementaux, logiciels, matriels ou immatriels.

104

Chapitre 5 2.1.1 Entit Cible de Danger (ECD)

Modlisation ontologique du processus accidentel

La notion dECD est rapprocher de la notion d'intrt protger de la lgislation sur les installations classes (Code de l'Environnement: Article L. 511-1, 17 janvier 2001). Toutefois, on associe lECD deux notions importantes : la vulnrabilit et lespace de vulnrabilit. Pr oposition : Entit telle quune personne, un bien ou une composante de l'environnement susceptible, du fait de l'exposition au danger, de subir, en certaines circonstances, des dommages.

2.1.1.1

Notion de vulnrabilit

Dfinitions : SOURCE (Lar ousse, 2005) Caractre vulnrable de quelque chose ou de quelqu'un: Qui est expos aux atteintes d'une maladie, qui peut servir de cible facile aux attaques d'un ennemi : Une position vulnrable Qui, par ses insuffisances, ses imperfections, peut donner prise des attaques

tel-00338938, version 2 - 16 Feb 2009

(GT Aspects smantiques du r isque, 1997) (GT Mthodologie, 2003)

Etat ou degr de fragilit d'un systme.

Vulnrabilit d'une cible un effet x : facteur de proportionnalit entre les effets auxquels est expos un lment vulnrable (ou cible) et les dommages qu'il subit.

Pr oposition : La vulnrabilit caractrise la susceptibilit dune ECD expose un danger particulier, de subir un dommage.

2.1.1.2

Notion despace de vulnrabilit

Le modle MADS nintroduit pas le principe dtat/transition ni le concept despace de vulnrabilit

que nous avons estim indispensable pour des raisons de symtrie avec lespace de danger, car une entit peut tre cible et source en mme temps. En outre la vulnrabilit dune entit peut voluer en fonction du temps, do la ncessit dun modle de type tat/transition. Pr oposition : Lespace de vulnrabilit dune ECD est caractris par la fragilit des mcanismes de dfense de cette entit vis--vis de tous les dangers auxquels elle peut tre expose ; il peut tre temporaire ou permanent.

2.1.2

Entit Source de Danger (ESD)

Un rservoir de liquide inflammable est porteur du danger li l'inflammabilit du produit contenu,

une charge dispose en hauteur correspond le danger li son nergie potentielle, une charge en mouvement celui de l'nergie cintique associe, etc.

105

Chapitre 5

Modlisation ontologique du processus accidentel

Pr oposition : Une ESD est une entit porteuse ou gnratrice de danger. Il peut sagir dun systme naturel (environnemental ou humain) ou cr par l'Homme, ou dune disposition adopte et comportant un ou plusieurs dangers.

2.1.2.1

Notion despace de danger

Pr oposition : Tout espace l'intrieur et/ou autour d'une ESD, dans lequel elle produit un ou plusieurs dangers. Cette espace nest pas spcialement gomtrique. Autrement dit, la proximit physique de la cible et de la source nest pas obligatoire pour la ralisation dun daccident.

2.2
2.2.1

Situations lmentair es
Situation vs. tat
Une situation rsume la conjoncture que subit une entit. En dautres termes, une situation est fonction

des tats, possibilits, actions et ractions de cette entit.

tel-00338938, version 2 - 16 Feb 2009

La notion de situation est rapprocher de celle dtat quand il sagit de mettre en vidence les circonstances dans lesquelles se trouve une entit ou bien sa raction ces circonstances. On peut dire aussi que la notion dtat est lie laspect fonctionnel dune entit, alors que la notion de situation renvoie plutt laspect cindynique 1. Autrement dit, pour une entit donne on peut parler en termes dtat de marche, darrt ou de panne, voire de situation initiale, dexposition au danger ou situation dangereuse.

2.2.2

Situation Initiale

Pr oposition : C'est la situation juge fonctionnellement normale o tout est conforme aux spcifications fonctionnelles de lentit.

2.2.3

Situation dExposition

Dfinitions: SOURCE (Lar ousse, 2006) (Lar ousse, 2005) Situation dans laquelle on est menac dun mal quelconque. Situation o l'on est expos quelque chose qui lgitime une inquitude ; ce qui constitue une menace, un risque, qui compromet l'existence ou le bon tat de quelque chose, de (HSE, 1992) quelqu'un. Disposition d'une chose, d'une condition ou d'une situation produire un tort. (Note. assimil ala). Des mots comme danger, menace, pril, etc. peuvent tre utiliss pour caractriser un ala ou l'imminence de sa ralisation.

La cindynique (du grec ancien / kndunos, danger) regroupe les sciences qui tudient les risques. On les appelle aussi sciences du danger [Wikipedia].
1

106

Chapitre 5
(NF EN 61508, Dcembr e 1998), (EN 292/ISO 12100, 1995)

Modlisation ontologique du processus accidentel

Situation dans laquelle une personne est expose un (des) phnomne(s) dangereux.

Synthse : Lvnement dexposition annonce lentre dune ECD dans un espace de danger. Un individu se trouvant sur les rails est considr comme une ECD en phase dexposition plusieurs dangers (lectrocution, crasement par un train, poursuite judiciaire (une autre dimension de lespace de dangers)). Un oprateur (ECD) travaillant dans un laboratoire effets de radiation, est considr en phase dexposition ds lors quil se trouve dans le laboratoire. Pr oposition : Situation dune ECD caractrise par sa vulnrabilit vis--vis dun espace de dangers, c.--d. vis--vis dune ou plusieurs sources de danger.

2.2.4
tel-00338938, version 2 - 16 Feb 2009

Situation Dangereuse

Dfinitions : SOURCE (HSE, 1992) Disposition d'une chose, d'une condition ou d'une situation produire un tort. Des mots comme danger, menace ou pril peuvent tre utiliss pour caractriser un ala ou l'imminence de sa ralisation. (GT Aspects smantiques du r isque, 1997) Synthse Situation d'incertitude pouvant nuire l'homme, la socit ou l'environnement. Sa ralisation est un sinistre.

: La situation dangereuse se dfinit comme un contexte alatoire lissue de loccurrence dun

vnement initiateur ayant la capacit de rompre le cours normal, ce qui provoque le dveloppement dun phnomne dangereux. Elle est alatoire parce quon connat ses conditions sans pour autant prvoir avec exactitude le cours de ce qui va arriver, mais tout en ayant la certitude quelle prsente une potentialit d'atteinte la sant, aux biens ou l'environnement. Pr oposition : Situation dune ESD caractrise par sa dangerosit vis--vis des espaces de vulnrabilit, c.--d. vis--vis dune ou de plusieurs cibles vulnrables particulires.

2.2.5

Situation dAccident
La situation daccident est la consquence de lvnement redout lorsquune situation dangereuse et

une situation dexposition sont runies. Cette situation est caractrise par la production de dommages, quil sagisse d'une perte d'intgrit au niveau systme, de latteinte physique des hommes, de la nuisance lenvironnement, ou de la dgradation dun enjeu important pour lorganisation (perte financire, perte de crdibilit, etc.). La situation daccident peut durer quelques secondes (accident de la route) comme elle peut durer des annes (catastrophe nuclaire). On parle alors souvent deffets immdiats et deffets latents.

107

Chapitre 5

Modlisation ontologique du processus accidentel

Pr oposition : Situation due au recouvrement dun espace de danger dau moins une ESD et dun espace de vulnrabilit dau moins une ECD et lapparition de lvnement redout.

2.3

Evnements lmentair es

Dfinitions: SOURCE (ISO/CEI Guide 73, 2002) Un vnement est une occurrence d'un ensemble particulier de circonstances. L'vnement peut tre certain ou incertain. La probabilit associe loccurrence de lvnement peut tre estime sur une priode de temps donne. Synthse : La dfinition donne par la norme comporte un certain nombre dambigits. Dabord, il existe une forte nuance autour des termes employs tels que certain ou incertain. Deuximement, loccurrence est une proprit de lvnement ; donc on ne peut pas dfinir lvnement comme tant une occurrence de circonstances. Enfin, on peut aussi remarquer que la probabilit est associe loccurrence de lvnement et

tel-00338938, version 2 - 16 Feb 2009

non pas lvnement lui mme! Pr oposition : Un vnement est le concept associ au changement de situation dune entit. Il peut tre courant ou anormal, dterministe ou stochastique (alatoire), interne ou externe lentit. Il est caractris par sa description et ses occurrences (dates, frquence, probabilit, etc.).

2.3.1

Evnement dexposition
LEvnement dExposition amorce le chronomtre de la situation dexposition qui se termine

normalement avec la disjonction de lespace de vulnrabilit de lECD et de lespace de danger de lESD, ou dangereusement par lapparition dun vnement redout.

Pr oposition : Evnement susceptible de faire passer une ECD de la situation initiale la situation dexposition vis--vis dun espace de danger ; il est antrieur l'vnement redout.

2.3.2

Evnement Initiateur

Pr oposition : Evnement ayant la capacit de provoquer le passage dune ESD de la situation initiale la situation dangereuse ; il est situ en amont de l'vnement redout.

108

Chapitre 5 2.3.3 Evnement redout

Modlisation ontologique du processus accidentel

Dfinitions : SOURCE (GT Mthodologie, 2003) Evnement conventionnellement dfini, dans le cadre d'une analyse de risque, au centre de l'enchanement accidentel. Gnralement, il s'agit d'une perte de confinement pour les fluides et d'une perte d'intgrit physique pour les solides. Les vnements situs en amont sont conventionnellement appels phase pr-accidentelle et les vnements situs en (HSE, 1992) (GT Aspects smantiques du r isque, 1997) Pr oposition : Evnement entrainant une situation daccident ; il dcrit le moment o un espace de danger et un aval phase post-accidentelle . Lvnement redout fait rfrence un ala qui sest ralis . Un vnement redout est une situation trs probable aux consquences nfastes pour les individus .

tel-00338938, version 2 - 16 Feb 2009

espace de vulnrabilit se recouvrent.

2.4

Modlisation de type tat/tr ansition du pr ocessus accidentel

Le modle accidentel gnrique que nous proposons est bas sur le principe dtat/transition (voir

TAB.1), ceci revient dire que le passage dune situation initiale une situation daccident se passe travers un processus causal de transitions entre diffrentes situations intermdiaires dues lapparition progressive ou simultane dun ensemble dvnements.

ECD en SI

ESD en SI

{EvE}

{EvI}

{EvR} ECD en SE ESD et ECD en SA FIG. 4: Rseau de Ptr i tiquet (RdP) dun scnar io daccident type Nous devons retenir les vnements ayant un potentiel provoquer des transitions significatives dans l'tat du systme global ou de l'une de ses entits. Par exemple, un vnement redout entrane la transition d'une situation dangereuse une situation d'accident. ESD en SD

109

Chapitre 5

Modlisation ontologique du processus accidentel

TAB. 1 : Alphabet du RdP tiquet de modlisation du pr ocessus accidentel ontologique Code EvE EvI EvR Signification Evnement dExposition Evnement Initiateur Evnement Redout Situation de dpar t Situation Initiale (SI) Situation Initiale Situation Dangereuse (SD) + Situation dExposition (SE) Situation dar r ive Situation dExposition Situation Dangereuse Situation dAccident (SA)

Une modlisation laide dun automate tats finis peut convenir pour reprsenter un processus accidentel. Les transitions entre tats seront tiquetes par les diffrents vnements prcdemment dfinis. Cependant, le recours aux rseaux de Ptri (voir FIG. 4) nous semble plus intressant en ceci que le modle pourrait tre construit progressivement sans connatre a priori lensemble des tats potentiellement accessibles

tel-00338938, version 2 - 16 Feb 2009

dans un processus complexe. Ainsi, le marquage permet de matrialiser les conditions ncessaires linitiation du processus dangereux. Il faut a minima une source et une cible de danger. Si lon veut enrichir le modle pour prendre en compte linsertion de barrires de protection, de nouvelles places vont tre introduites pour indiquer la prsence de ces nouvelles entits qui vont imposer de nouvelles conditions au franchissement des transitions, en plus de loccurrence de lvnement associ. La dfaillance dune barrire sera matrialise par lapparition dun jeton dans une des places amont de la transition associe lvnement quelle est sense contrler. La transition pourra alors tre franchie si lvnement se prsente. Par ailleurs, on peut modliser la notion de cumul de faibles doses travers laccumulation des jetons dans une place et exploiter les proprits des RdP temporiss afin de modliser la dure dexposition dune cible. En plus dune clart accrue dans la description des phnomnes, le rseau de Ptri apporte lavantage dun modle formel dont on pourra exploiter les proprits. De nombreux logiciels sont aujourdhui disponibles pour diter, vrifier, valuer les proprits ou simuler le fonctionnement de RdP. Certains sont orients vers les besoins de la sret de fonctionnement et permettent daccder aux valuations probabilistes des composantes de cette dernire. La modlisation du processus accidentel sous forme de RdP permettra un passage ais vers ces outils dvaluation quantitative (dans loutil de mise en uvre de la mthode, un fichier de description compatible pourrait tre gnr automatiquement). Il faut noter en particulier que ce formalisme permet de construire partir de la description de processus accidentels spars, les scnarios menant un effet domino lorsque diffrentes sources ou cibles interagissent en squence.

110

Chapitre 5

Modlisation ontologique du processus accidentel

ECD1 en SI1

ESD1 en SI1

ESD1 en SI2

ECD2 en SI2

{EvE 1} { EvR 1 : (ECD1,ESD1) } ECD1 en SE1 ESD1 et ECD1 en SA1

{EvI 1}

{EvI 2}

{EvE 2} { EvR 2 : (ECD2,ESD1) }

tel-00338938, version 2 - 16 Feb 2009

ESD1 en SD1

ESD1 en SD2

ECD2 en SE2 ESD1 et ECD2en SA2

ESD3 en SI3

ECD3 en SI3

ESD4 en SI4

ECD4 en SI4

{EvI 3} { EvR 3 : (ECD3,ESD3) } ESD3 en SD3

{EvE 3}

{EvI 4}

{EvE 4} { EvR 4 : (ECD4,ESD4) }

ECD3 en SE3 ESD2 et ECD3 en SA3

ESD4 en SD4 ESD3 et ECD4 en SA4

ECD4 en SE4

NB. La condition { EvR: (ECDx, ESDy) } signifie : Recouvrement de lespace de vulnrabilit dECDx et de lespace de danger dESDy FIG. 5: Modlisation dun scnar io daccident complexe effets domino 111

Chapitre 5

Modlisation ontologique du processus accidentel

La figure 5 (voir FIG. 5) prsente une modlisation de 4 scnarios daccident (scnario 1, 2, 3, 4) avec 3 entits sources (ESD1, ESD2, ESD3) et 4 entits cibles de danger (ECD1, ECD2, ECD3, ECD4). La source ESD1 est associe aux deux scnarios 1 et 2 respectivement avec ECD1 et ECD2. Les deux scnarios en question amnent deux situations daccident diffrentes, respectivement SA1 et SA2. Lvnement redout EvR1 est similaire lvnement dexposition du scnario 3 EvE3 (voir 3, FIG. 6, scnarios 6 et 7), ceci explique que le scnario 1 peut entraner le scnario 3 si lentit source ESD3 se met en situation de danger (SD3). Donc, il existe un lien effet domino entre le scnario 1 et le scnario 3. Pareillement, le scnario 2 peut entraner le scnario 4, mais cette fois-ci la similarit est entre lvnement redout du premier (EvR2) et lvnement initiateur EvI4 du deuxime (voir 3, FIG. 6, scnarios 1 et 2). La modlisation propose permet doffrir une meilleure visibilit pour mieux structurer les lignes de dfense en profondeur en implantant des barrires appropries chaque situation lmentaire du processus accidentel. Ainsi concernant la situation dexposition, il convient de rduire les frquences et les dures dexposition, tandis que la stratgie concernant la situation dangereuse est dviter lapparition des vnements redouts et enfin concernant la situation daccident, lenjeu ultime est minimiser les prjudices pouvant tre

tel-00338938, version 2 - 16 Feb 2009

ports lhomme, aux biens ou lenvironnement.

Illustr ation de lontologie

Dans cette section nous allons essayer dillustrer comment lontologie propose permet de rpondre

plusieurs proccupations majeures en matire danalyse de risques, que nous avons souleves dans le chapitre prcdent (voir chapitre 4). En effet, la modlisation des scnarii daccident travers cette ontologie permet dassurer une passerelle entre: Les scnarios en permettant de dceler de manire systmatique les effets domino; ceci permet de rpondre lenjeu de traabilit. Les sous systmes ; ceci permet de rpondre lenjeu dintgration Les systmes semblables ; ceci permet de rpondre lenjeu dharmonisation des analyses de risques Les diffrents types de risques (la modlisation de laffaire du Watergate entre risques politique, mdiatique et ensuite juridique) ; Ceci permettra de mieux analyser les risques globaux pluridisciplinaires. Les diffrents domaines (ferroviaire, routier, machine, etc.) ; Ceci permet de rpondre lenjeu de gnricit, qui est sans doute le plus important de tous. Par exemple, sagissant dun train, quand il est en construction lontologie couvre laspect manufacturier. Une fois mis en circulation, elle couvre laspect ferroviaire, mais en cas de passage niveau, elle permet dvaluer le risque routier. Quand le train passe latelier de maintenance, il y est plutt question de risque machine. De mme quand le train transporte une matire dangereuse, lontologie couvre conjointement les aspects process et ferroviaire.

112

Chapitre 5

Modlisation ontologique du processus accidentel

3.1

Risque fer r oviair e

Les scnarios que nous allons modliser dans cette partie relvent en partie des analyses de risque des

entreprises cites dans les chapitres prcdent. Les gravits sont donnes titre dexemple.

3.1.1

Scnario 1 : Prsence dun individu sur la voie

ESD: cran d'affichage des arrives EVI : panne de l'cran des arrives SD : absence d'indication sur les arrives ECD: personne autorise (client) EVE: train aperu l'approche vers le quai oppos SE : prcipitation pour rattraper le train

EVR: un individu traverse la voie SA : prsence d'individu sur la voie Consquences : RAS Gr avit : Mineure Suite une panne gnrale du systme daffichage des arrives des trains. Un passager qui se trouvait

tel-00338938, version 2 - 16 Feb 2009

sur le mauvais quai, aperut un train lapproche de la gare qui se dirigeait vers le quai oppos. Il se prcipita donc en traversant les voies afin quil puisse rattraper le train.

3.1.2

Scnario 2 : immobilisation dun train

ESD: personne autorise (client) EVI : un individu traverse la voie SD : prsence d'individu sur la voie ECD: train EVE: train en mouvement entre deux stations SE : train l'approche de la station

EVR: freinage d'urgence SA : immobilisation d'un train Consquences : Panique gnrale dans le train Gr avit : Mineure Un individu traversant la voie fut signal, tandis quun train se dirigeait vers la gare. Un freinage durgence fut systmatiquement actionn, immobilisant le train sur place en attente dune ordonnance de circulation. Cet incident provoqua un mouvement de panique parmi les passagers.

3.1.3

Scnario 3 : vacuation dun train entre deux stations

ESD: train EVI : freinage d'urgence ECD: personnes non autorises EVE: des passagers s'impatientent et/ou paniquent SD : immobilisation dun train SE : passagers bord d'un train immobilis EVR: des individus descendent du train SA : prsence d'individu sur la voie Consquences : Panique gnrale Gr avit : Significative Suite une longue immobilisation dun train entre deux stations, quelques passagers impatients

descendirent du train et se trouvrent dsormais sur la voie. 113

Chapitre 5 3.1.4

Modlisation ontologique du processus accidentel Scnario 4 : indisponibilit du Pilote Automatique

ESD: PA principal ECD: le PA redondant EVI : indisponibilit du PA principal EVE: basculement sur le PA redondant SD : panne de la redondance SE : conduite en mode dgrad EVR: dfaillance du PA redondant SA : indisponibilit du PA Consquences : panne du pilotage automatique Gr avit : Significative Suite une dfaillance du Pilote Automatique (PA) principal, le systme de contrle/commande

bascula sur le PA secondaire (redondant) en mode dgrad. Quelque temps aprs, le PA redondant tomba en panne son tour, ceci provoqua une indisponibilit totale du pilotage automatique.

3.1.5
tel-00338938, version 2 - 16 Feb 2009

Scnario 5 : excs de vitesse

ESD: PA ECD: Conducteur EVI : dfaillance des PA EVE: dpassement du temps de travail autoris SD : indisponibilit du PA (conduite en SE : baisse de vigilance mode manuel) EVR: dpassement de la vitesse autorise SA : excs de vitesse Consquences : panne du PA Gr avit : Significative

Le PA tant en tat de panne, le conducteur conduisit en mode manuel (marche vue). Ce dernier ayant dpass le temps de travail maximum autoris par la loi, se trouve en situation de baisse de vigilance et de cumul de fatigue, ce qui lemmena dpasser la vitesse maximale autorise.

3.1.6

Scnario 6 : distance darrt trop longue

La distance de freinage fut trop longue cause du dpassement de vitesse par le conducteur: ESD: Conducteur ECD: respect de la distance de freinage (procdure) EVI : dpassement de la vitesse autorise EVE: dpassement de la vitesse autorise SD : excs de vitesse SE : inefficacit du freinage EVR: freinage durgence SA : distance darrt trop longue Consquences : RAS Gr avit : Mineure

114

Chapitre 5 3.1.7 Scnario 7: heurt dun individu

Modlisation ontologique du processus accidentel

ESD: personne non autorise ECD: train EVI : lindividu traverse la voie EVE: freinage durgence SD : prsence d'individu sur la voie SE : distance darrt trop longue EVR: train heurte un individu SA : heurt dun individu Consquences : un dcs Gr avit : Critique Un individu traversant la voie fut peru par le conducteur au moment o le train se dirigeait vers la gare. En consquence, un freinage durgence fut systmatiquement actionn par le conducteur. La distance darrt tait trop longue, lindividu fut heurt par le train, ce qui entrana son dcs.

3.1.8

Scnario 8 : draillement
ESD: corps humain ou animal ECD: train EVI : un corps tombe (se met) sur la voie EVE: freinage durgence SD : prsence de corps sur la voie SE : distance darrt trop longue EVR: train crase un corps SA : draillement Consquences : plusieurs dcs, perte du systme Gr avit : Catastrophique Un corps (homme ou animal) sest mis (ou est tomb) sur la voie alors que le train se trouvait

tel-00338938, version 2 - 16 Feb 2009

proximit. Le freinage durgence fut systmatiquement actionn, mais la distance de freinage fut trop longue. En consquence le passage du train sur le corps provoqua un draillement.

3.1.9

Scnario 9 : Collision sur un Passage Niveau (PN)

Un vhicule routier cale sur la voie au niveau dun PN au moment o il sapprte passer juste avant

larrive du train signal lapproche (dbut de fermeture des barrires, activation des signaux dalarme). Le train rattrape et heurte le vhicule. Ce qui provoque la mort de plusieurs passagers de ce dernier. ESD: Vhicule routier EVI : Vhicule cale en traversant le PN ECD: train EVE: train en mouvement entre deux stations SD : prsence dun vhicule sur la voie SE : train lapproche du PN EVR: train heurte un vhicule SA : Collision Consquences : plusieurs dcs Gr avit : Catastrophique

Si on suppose quil y a eu un dfaut de signalisation de lapproche du train, le systme de signalisation devient la principale ESD et le vhicule quant lui lECD.

115

Chapitre 5 3.1.10

Modlisation ontologique du processus accidentel Aide la vrification de lincompltude, cohrence, traabilit, interoprabilit et intgrabilit travers la modlisation des effets domino
La ralisation dun scnario daccident peut amorcer la propagation de nouveaux scnarios. Une SA

(Situation dAccident) peut constituer une SD (Situation Dangereuse) ou une SE (Situation d Exposition) dans la ralisation dautres scnarios. Par exemple la SA du scnario 1 constitue une SD pour les scnarios 2, 7 et 8. Alors que la SA du scnario 6 constitue une SE pour les scnarios 7 et 8. Comme le montre la figure, il existe plusieurs chemins de ralisation deffets domino. Par exemple, la squence : scnario 1, scnario 2, scnario 3, scnario 8, ou la squence : scnario 4, scnario 5, scnario 6, scnario 7. Toutefois, il existe un scnario plus complexe : (scnario 1, scnario 2, scnario 3) et (scnario 4, scnario 5, scnario 6), scnario 7, scnario 8. Ce dernier scnario rsulte en un draillement en partant daffichage des arrives des trains, et il se dcrit comme suit : dune panne ordinaire dun cran

tel-00338938, version 2 - 16 Feb 2009

Suite une panne gnrale du systme daffichage des arrives des trains, un passager qui se trouvait sur le mauvais quai, aperut un train lapproche du quai oppos. Il se prcipite donc en traversant les voies afin quil puisse rattraper le train. Il est aussitt signal. Un freinage durgence est systmatiquement actionn et par consquent, le train est compltement immobilis entre deux stations en attente dune ordonnance de circulation. Cet incident provoque un mouvement de panique parmi les passagers, et comme limmobilisation du train est trop longue, quelques passagers impatients ont quitt le train, ils se trouvent donc sur la voie. Dautre part, un deuxime train se dirige vers la mme station. Ce dernier prsente quelques soucis. En fait, suite une dfaillance du Pilote Automatique (PA) principal, le systme de contrle/commande a bascul sur le PA secondaire (redondant) en mode dgrad. Quelque temps aprs, le PA redondant est son tour tomb en panne ; ceci a provoqu une indisponibilit totale du pilotage automatique. Par consquent, le conducteur est pass au mode manuel (marche vue). En ayant dpass le temps de travail maximum, par baisse de vigilance et cumul de fatigue, le conducteur a dpass la vitesse autorise. Le conducteur aperoit les individus (passagers du premier train) sur la voie. En effet, un freinage durgence est systmatiquement actionn, mais la distance darrt est trop longue, et par consquent plusieurs individus sont heurts dont certains sont dcds. De surcroit, le passage des corps sous le train a engendr un draillement catastrophique .

116

ESD: cran d'affichage des arrives

ECD: personne autorise (client)

Chapitre l'cran des arrives EVI : panne de 5

SD : absence d'indication sur les arrives

Modlisation ontologique EVE: train aperu l'approche vers le quai oppos SE : prcipitation pour rattraper le train

du

EVR: un individu traverse la voie SA : prsence d'individu sur la voie Consquences : RAS Gr avit : Mineure

4 ESD: PA principal ECD: le PA redondant EVI : accidentel EVE: basculement sur le PA redondant processusindisponibilit du PA principal SD : panne de la redondance SE : conduite en mode dgrad EVR: dfaillance du PA redondant SA : indisponibilit du PA Consquences : Panne du pilotage automatique
Gr avit : Significative

ESD: personne autorise (client) EVI : un individu traverse la voie

tel-00338938, version 2 - 16 Feb 2009

SD : prsence d'individu sur la voie

ECD: train EVE: train en mouvement entre deux stations SE : train l'approche de la station

EVR: freinage durgence SA : immobilisation dun train Consquences : panique gnrale dans le train Gr avit : Mineure

5 ESD: PA ECD: Conducteur EVI : dfaillance du PA redondant EVE: dpassement du temps de travail autoris SD : indisponibilit du PA (conduite en SE : baisse de vigilance mode manuel) EVR: dpassement de la vitesse autorise SA : excs de vitesse Consquences : Panne du PA
Gr avit : Significative

ESD: train EVI : freinage durgence

ECD: personnes non autorises EVE: des passagers s'impatientent et/ou paniquent SD : immobilisation dun train SE : passagers bord d'un train immobilis EVR: des individus descendent sur la voie SA : prsence d'individu sur la voie Consquences : Panique gnrale Gr avit : Significative

ESD: Conducteur

ECD: respect de la distance de freinage (procdure) EVI : dpassement de la vitesse autorise EVE: dpassement de la vitesse autorise SD : excs de vitesse SE : inefficacit du freinage EVR: freinage durgence SA : distance darrt trop longue Consquences : RAS Gr avit : Mineure

8 ESD: corps humain ou animal ECD: train EVI : un corps tombe (se met) sur la voie EVE: freinage durgence SD : prsence de corps sur la voie SE : distance darrt trop longue EVR: train crase un corps SA : draillement 117 Consquences : plusieurs dcs, perte du systme Gr avit : Catastrophique FIG. 6: Modlisation deffets domino menant un dr aillement

7 ESD: personne non autorise ECD: train EVI : un individu traverse la voie EVE: freinage durgence SD : prsence d'individu sur la voie SE : distance darrt trop longue EVR: train heurte un individu SA : heurt dun individu Consquences : un dcs Gr avit : Critique

Chapitre 5

Modlisation ontologique du processus accidentel

3.2

Risque r outier
Dans le domaine des transports, certains travaux de recherche l'INRETS ont permis de proposer un

modle accidentel bas sur l'volution chronologique des phases d'accident. La pertinence de l'analyse rsulte de la superposition d'une logique d'enchanement spatio-temporelle et d'une logique causale conditionnant les transitions entre phases. Le processus accidentel squentiel se dcompose (se droule) en quatre situations (phases) : La situation de conduite, la situation d'accident appele aussi situation de rupture pendant laquelle les acteurs sont confronts un problme rsoudre, la situation d'urgence est celle de la recherche htive d'une solution et en fin la situation de choc (Brenac, Nachtergaele, & Reiner, 2003).

Situation de conduite

Situation de rupture

Situation durgence

Situation de choc

tel-00338938, version 2 - 16 Feb 2009

Comportement en approche du lieu

Instant de rupture

ventuelles manuvres dvitement

Nature du choc et des dommages

FIG. 7: Modle accidentel squentiel (Br enac, Nachter gaele, & Reiner , 2003).

Ce modle est l'origine ddi au transport routier, et dont l'objectif primaire est d'appuyer la discipline d'tudes dtailles des accidents et plus particulirement la filire de reconstitution d'accident. Il a fait lobjet de nombreux travaux de modlisation de scnarios daccident, en loccurrence : Scnarios types d'accidents impliquant des pitons et lments pour leur prvention (Brenac, Nachtergaele, & Reiner, 2003) ou Scnarios types de production de "l'erreur humaine" dans l'accident de la route : problmatique et analyse qualitative (Van Elslande, Alberton, Nachtergaele, & Blanchet, 1997). Lontologie que nous proposons permet de contenir systmatiquement le modle accidentel squentiel. Seulement, des amnagements doivent tre oprs afin de linscrire dans un processus de type tat/transition en intgrant les notions dexposition (SE), de source (ESD) et de cible (ECD) de dangers, et mettre surtout laccent sur les transitions vnementielles (EvI, EvE, EvR).

3.2.1

Scnario 1 : heurt dun piton

Une voiture viola le feu rouge et heurta un piton traversant le passage piton :

118

Chapitre 5

Modlisation ontologique du processus accidentel

ESD: voiture ECD: piton EVI : voiture grille le feu rouge EVE: passage du feu (piton) au vert SD : passage dune voiture SE : passage dun piton EVR: voiture heurte un piton SA : heurt dun piton Consquences : un dcs Gr avit : Critique Supposons que la voiture passe au vert et cest le piton qui ne respecte pas le feu rouge. On peut

constater que de par le fait que la voiture est une ECD cette fois-ci, les dommages qui peuvent lui tre ports figurent parmi les consquences : ESD: piton ECD: voiture EVI : piton grille le feu rouge EVE : voiture passe au vert SD : prsence dun piton sur le passage SE: passage dune voiture par le passage piton piton EVR: voiture heurte un piton SA : heurt dun piton Consquences: un dcs, dommages importants ports la voiture Gr avit : Critique

tel-00338938, version 2 - 16 Feb 2009

3.2.2

Scnario 2 : collision de trois voitures dans une intersection (feux rouges)

Une voiture A viola le feu rouge, tandis que dautres voitures B et C passrent dans le sens oppos.

Aussitt, elle rentra en collision avec ces deux dernires : ESD: voiture A ECD: voitures B et C EVI : voiture A grille le feu rouge EVE: Voitures B et C passent le feu au vert SD : passage dans le carrefour SE : passage dans le carrefour EVR: voiture A rentre en collision avec voitures B et C SA : collision Consquences : plusieurs dcs, dommages importants ports aux voitures Gr avit : Catastrophique Supposons maintenant quun dysfonctionnement du systme de signalisation a induit le vhicule en question rentrer en collision avec les deux autres vhicules. Dans ce nouveau scnario, le systme de signalisation est lESD, et les trois voitures sont considres en tant que ECDs :

ESD: Systme de signalisation EVI : dfaillance du systme de signalisation SD : des feux opposs sont au vert

ECD: Voitures A, B et C EVE: passage des feux au vert SE : engagement des voitures A, B et C EVR: Voitures A, B et C rentrent en collision SA : collision Consquences : plusieurs dcs, dommages importants ports aux voitures Gr avit : Catastrophique

119

Chapitre 5

Modlisation ontologique du processus accidentel

3.3

Risque machine
Afin dillustrer lapplicabilit de lontologie dans le domaine machine, nous allons prendre pour

exemple une Plate-forme Elvatrice Mobile de Personnel (PEMP). Selon la norme EN 280, une PEMP (plate-forme lvatrice de personnel) est constitue au minimum par une plate forme de travail, une structure extensible et un chssis (voir FIG. 8).

Plate-forme de travail

tel-00338938, version 2 - 16 Feb 2009

Structure extensible

Chssis

FIG. 8: Exemple de Plate-for me Elvatr ice Mobile de Per sonnel (Mar sot, 1998)

La plate-forme de travail est constitue soit d'un plateau entour d'un garde-corps soit d'une nacelle

qui peut tre dplace avec sa charge la position permettant d'effectuer des travaux de montage, rparation, inspection ou autres travaux similaires. La structure extensible est la structure qui est solidaire du chssis et sur laquelle la plate-forme de travail est installe. Elle permet de mouvoir la plate-forme de travail jusqu' la position voulue. Il peut s'agir, par exemple, d'une flche ou d'une chelle simple, tlescopique ou articule, ou d'une structure ciseaux, ou de toute combinaison de celles-ci avec ou sans possibilit d'orientation par rapport la base. Enfin, le chssis est la base de la PEMP. Il peut tre remorqu, pouss, automoteur, etc. (NF EN
280, 2001) (Marsot, 1998).

3.3.1

Scnario 1 : chute, basculement

La fonction d'une PEMP est l'lvation de personnel plusieurs mtres ou dizaines de mtres de

hauteur.

120

Chapitre 5
Chute par basculement de la PEMP :

Modlisation ontologique du processus accidentel

ESD: Structure extensible ECD: PEMP EVI : remonter la plate-forme EVE: installer la PEMP SD : prsence dune plate-forme plus de SE : Prsence dune PEMP sur une pente 12 mtres de hauteur EVR: rupture dun raccordement de la structure extensible SA : basculement de la PEMP Consquences : RAS Gr avit : Mineure ESD: PEMP ECD: oprateur EVI : rupture dun raccordement de la EVE: accder la plate-forme structure extensible SD : basculement de la PEMP SE: Prsence dun oprateur sur la plate-forme EVR: dsquilibre dun oprateur par le basculement de la PEMP SA : chute dun oprateur Consquences : un dcs Gr avit : Catastrophique

tel-00338938, version 2 - 16 Feb 2009

Chute depuis la plate forme de travail :

ESD: Plate-forme ECD: oprateur EVI : conception non ergonomique du gardeEVE: accder la plate-forme corps SD : Prsence dune plate-forme plus de SE : prsence dun oprateur sur la plate12 mtres forme EVR: loprateur appuie avec son dos sur le garde-corps SA : chute dun oprateur Consquences : un bless grave Gr avit : Importante

3.3.2

Scnario 2 : choc, coincement, crasement

L'utilisation d'une PEMP a pour but de rapprocher l'oprateur d'une structure extrieure. Ceci peut

provoquer plusieurs types daccident : choc, coincement, crasement entre la plate forme et cette structure. De surcroit, si l'obstacle est un conducteur lectrique, loprateur se trouve expos une lectrisation ou une lectrocution (Marsot, 1998): ESD: Cble lectrique EVI : rupture dun raccordement de la structure extensible SD : basculement dune PEMP ECD: Oprateur EVE: remonter la plate-forme

SE : Prsence dun oprateur proximit dun cble lectrique EVR: loprateur tient le cble pour viter de chuter SA : lectrocution Consquences : un dcs Gr avit : Critique

121

Chapitre 5

Modlisation ontologique du processus accidentel

3.4

Risque manufactur ier

Nous allons prendre un exemple simplifi dune chaine industrielle de production de boules de

ptanque. Cette chaine contient une unit de transport et deux units de traitement : une cuve de zinc et une cuve dacide. La principale utilisation du zinc est la galvanisation des aciers : le dpt d'une mince couche de zinc en surface de l'acier le protge de la corrosion. La corrosion dsigne l'altration d'un objet manufactur par l'environnement, telle que la rouille du fer et de l'acier, ou la formation de vert-de-gris sur le cuivre et ses alliages (bronze, laiton). Ces altrations chimiques sont regroupes sous le terme de corrosion aqueuse . Une des principales proprits des solutions acides est de pouvoir dissoudre un grand nombre de matriaux. Justement, le passage des pices dans la cuve dacide sert les nettoyer. Boule brute en acier Boules galvanises Boule finie

tel-00338938, version 2 - 16 Feb 2009

Unit de transport
min

min

Zinc
Units de traitement

Acide

FIG. 9 : Chaine de pr oduction de boules de ptanque

Dans cet exemple, il y a deux sortes de contraintes prendre en compte : dabord le transport des pices travers les units de traitement et ensuite les dures de passage. Cette dure peut tre value par les chimistes entre deux valeurs Min / Max. Autrement dit, si le sjour dune pice dans une cuve est infrieur Min le traitement est considr insuffisant, et si le sjour est suprieur Max lunit traite subit une suroxydation.

3.4.1

Scnario 1 : rupture de la chaine de transport

ESD: Chaine de transport ECD: Convoi de boules EVI : Rupture dun maillon EVE: Passage des boules dans la cuve dacide SD : Rupture de la chaine SE : Prsence de boules dans la cuve dacide EVR: Sjours suprieur la valeur Max SA : Suroxydation des boules Consquences : Perte des boules, rupture de la chaine Gr avit : Significative

Effet domino : On peut lier, par exemple, la rupture de la chaine avec une mauvaise maintenance, ou un oubli de contrle.

122

Chapitre 5 3.4.2 Scnario 2 : coulement de lacide

Modlisation ontologique du processus accidentel

ESD: Cuve dacide ECD: Convoi de boules EVI : le niveau du liquide passe en dessous EVE: passage dans la cuve dacide du minimum (min) SD : Une cuve dacide vide SE : Prsence de boules dans la cuve dacide EVR: passage des boules dans la cuve dacide (vide) SA : indisponibilit du processus de nettoyage Consquences : des boules galvanises non finies Gr avit : Mineure Effet domino : On pourrait tablir un lien de ce scnario avec un autre scnario amont dune erreur humaine dapprovisionnement de la cuve dacide, et dont la SA de ce dernier est simplement la SD du scnario modlis ci dessus, en loccurrence cuve dacide vide .

3.5
tel-00338938, version 2 - 16 Feb 2009

Risque pr ofessionnel
Scnario 1 : Tendinites et lombalgie
Troubles musculo-squelettiques (tendinites, lombalgie, etc.) lors de la manipulation de pices lourdes

3.5.1

et encombrantes. Ce scnario daccident sapplique aussi bien au tlier, menuisier, maon ou autre mtier physique : ESD: pice lourde EVI : Poser une pice dans un endroit encombrant ECD: tlier EVE: dplacer une pice

SD : Prsence dune pice lourde dans un endroit SE : prise en main de la pice encombrant EVR: lever, porter et dplacer une pice lourde dun endroit encombrant SA : tendinites et lombalgie Consquences : blessures graves Gr avit : Significative

3.5.2

Scnario 2 : allergie cutane et respiratoire

Allergies cutanes et respiratoires suite la prparation et la manipulation de produits toxiques : ESD: rservoir de produit toxique EVI : ouverture du rservoir SD : un rservoir de produit toxique ouvert ECD: tlier EVE: peindre un rservoir SE : prsence dun tlier proximit dun rservoir de produit toxique EVR: respiration du produit toxique SA : Allergies cutanes et respiratoires Consquences : blessures graves Gr avit : Critique

123

Chapitre 5

Modlisation ontologique du processus accidentel

3.6

Risque pidmiologique
La transmission du H5N1 se fait par un contact troit ou prolong entre un humain et une volaille. Les

oiseaux s'infectent aussi entre eux. Les pidmiologistes craignent que le H5N1 mute de faon passer facilement dun humain lautre lgard de la pandmie de grippe espagnole de 1918 qui a tu entre 50 100 millions de personnes. Justement, un cas de transmission dhomme homme a t confirm en dcembre 2007, mais le virus n'est pas hautement contagieux dans l'espce humaine. Prenons donc le scnario de transmission du H5N1 de lanimal (volaille) lhomme (un leveur) : ESD: Volaille EVI : la volaille reoit le virus H5N1 de la part dun oiseau migrateur SD : Volaille porteuse du H5N1 ECD: Eleveur EVE: pntrer dans le poulailler SE: Prsence dun leveur proximit des volailles

EVR: contact physique entre lleveur et la volaille

tel-00338938, version 2 - 16 Feb 2009

SA : contamination avec le virus H5N1 Consquences : un dcs Gr avit : Critique

Effet domino : on peut imaginer un scnario de contamination dHomme Homme.

3.7

Risque politique
Le scandale du Watergate ou affaire du Watergate a pouss le prsident des tats-Unis Richard Nixon

dmissionner en 1974. L'affaire commence avec le cambriolage des locaux du Parti Dmocrate dans l'immeuble du Watergate Washington en 1972, et se dveloppe ensuite avec de nombreuses ramifications. Les investigations de journalistes et une longue enqute snatoriale lvent le voile sur des pratiques illgales grande chelle au sein de l'administration prsidentielle : ESD: administration NIXON EVI : approche de lchance prsidentielle SD : Promouvoir une politique de dstabilisation lencontre du Parti Dmocrate ECD: Parti Dmocrate EVE: approche de lchance prsidentielle SE : Statut du Parti Dmocrate de principal parti dopposition

EVR: cambriolage des locaux du Parti Dmocrate SA : Prise en main de laffaire dans le cadre denqutes journalistique et snatoriale Consquences : Impact mdiatique Gr avit : Significative

124

Chapitre 5

Modlisation ontologique du processus accidentel

3.8

Risque mdiatique
Deux journalistes du Washington Post, Carl Bernstein et Bob Woodward, enqutent partir des

informations recueillies directement sur les cambrioleurs, ils parviennent remonter les fils du financement occulte de la campagne lectorale de Nixon en 1972, opr notamment par le biais d'intermdiaires au Mexique. Ils sont aids par un informateur inconnu se faisant appeler Gorge Profonde ( Deep Throat en anglais), dont l'identit a t rvle 30 ans plus tard : ESD: Woodstein (journalistes du WP) EVI : Rvlations de Deep Throat SD : enqute journalistique ECD : administration NIXON EVE: cambriolage des locaux du Parti Dmocrate SE : Menace dune fuite dinformation sur les circonstances du cambriolage

EVR: accusation de ladministration NIXON dtre le commanditaire du cambriolage et dvoilement du financement occulte de la campagne lectorale de Nixon en 1972 SA : prise en main de laffaire par la justice

tel-00338938, version 2 - 16 Feb 2009

Consquences : Perte de crdibilit politique de ladministration NIXON Gr avit : Critique

3.9

Risque jur idique

Obsds par l'affaire et suivis par leurs confrres, Woodward et Bernstein (surnomms Woodstein)

parviennent clairer le sujet, qui est ensuite relay par la justice amricaine, puis par une commission d'enqute snatoriale : ESD: Loi juridique EVI : Accusation de ladministration NIXON SD : enqute juridique sur les rvlations des journalistes ECD : administration NIXON EVE: dvoilement du financement occulte de la campagne lectorale de Nixon en 1972 SE : ladministration NIXON est la cible dune enqute juridique

EVR: confirmation des rvlations des journalistes SA : prise en main de laffaire par une commission denqute snatoriale Consquences : Dmission de NIXON Gr avit : Catastrophique

125

Chapitre 5

Modlisation ontologique du processus accidentel

Conclusion
Nous avons tenu lors de la construction de lontologie prsente dans ce chapitre rpondre aux 5

critres dvaluation dune ontologie dfinis par Grber, en loccurrence : clart, cohrence, extensibilit, dformation dencodage minimale, engagement ontologique minimal. En ce qui concerne le premier critre (clart), nous avons tenu suivre une dmarche inductive et chronologique dans la prsentation des diffrents concepts, et ce en les inscrivant dans un processus accidentel de type tat/transition qui sert en mme temps garder la cohrence des dfinitions des concepts car chaque concept est associ smantiquement dautres (vnement situation), (situation vnement), (vnement entit), (entit vnement), (entit situation) et (situation entit). Ces dernires classes de concepts sont aussi clairement dfinis que les concepts eux mmes, ce qui garantit que lajout dun concept (extensibilit) quelconque naffecte pas les fondations de lontologie. Afin dviter les dformations dencodage, nous avons tenu avant de dfinir un concept donn de voir dabord son rle et sa contribution dans le processus accidentel, afin dviter quune dfinition donne ne corresponde pas au sens initial. Enfin, notre engagement ontologique est minimal afin que de nombreux acteurs

tel-00338938, version 2 - 16 Feb 2009

puissent transcrire leurs scnarios daccident en oprant juste quelques ajustements par rapports aux termes utiliss. Lontologie propose peut tre considre comme une passerelle permettant de lier les scnarios daccident entre eux afin de dceler les effets domino, lgard de la modlisation des scnarios daccident ferroviaire de la section 6.1, dans laquelle, nous avons imagin un draillement catastrophique en partant tout simplement dune panne dun cran daffichage des arrives des trains. Cette ontologie permet, entre autres, de modliser le transfert de danger entre entits sources et cibles, soit entre sous-systmes dun mme systme (cf. 3.1), soit entre sous-systme et systme global (cf. 3.3.1), soit entre systmes (cf. 3.3.2), soit entre diffrents types de risques limage de laffaire Watergate que nous avons tale sur 3 domaines de risque diffrents : risque politique (cf. 3.7), risque mdiatique (cf. 3.8), risque juridique (cf. 3.9). Les effets domino allant dune entit lmentaire tel quun cran daffichage jusqu provoquer un draillement catastrophique (voir Figure 6), et aussi les ractions de lenvironnement de cette entit la survenance dun accident (les enjeux conomique, mdiatique, financiers, juridique et autres) sont deux contraintes auxquelles nous avons essay de rpondre dans le cadre de ce chapitre. Une entit appartient un quelconque systme. Tout systme est situ par rapport un environnement sensible son changement dtat. En effet, nous avons modlis de nombreux scnarios daccident dans les domaines : ferroviaire, routier, machine, manufacturier, professionnel, pidmiologique, politique, mdiatique et juridique. De surcroit, lontologie propose est adapte aux risques arien, maritime, spatial, militaire, nuclaire, chimique, NTIC 3, projet, financier, conomique, commercial, social, etc.

Nouvelles Technologies de lInformation et de la Communication

126

Chapitre 5

Modlisation ontologique du processus accidentel

Tr avaux cits

Brenac, T., Nachtergaele, C., & Reiner, H. (2003). Scnarios types d'accidents impliquant des pitons et

lments pour leur prvention, Rapport INRETS n256.

CEI 50(191). (1990). International Electro-technical Vocabulary, Chapter 191: Dependability and quality of

service. CEI.
Charlet, J., Zacklad, M., Kassel, G., & Bourigault, D. (2000). Ingnierie des connaissances, volutions rcentes

et nouveaux dfis. Eyrolles.

Code de l'Environnement: Article L. 511-1. (17 janvier 2001). Loi n 2001-44 du 17 janvier 2001 art. 11. Journal Officiel de la rpublique franaise. Dialo, G. (2006). Une architecture Base d'Ontologies pour la Gestion Unifie des Donnes Structures. Grenoble: Thse de doctorat, Universit Joseph Fournier. EN 292/ISO 12100. (1995). Scurit des machines ; Notions fondamentales, principes gnraux de conception.

tel-00338938, version 2 - 16 Feb 2009

ISO/CEN. Grber, T.-R. (1993). A translation approach to portable ontologies. Knowledge Acquisition. Grber, T.-R. (1992). Ontolingua : A mechanism to support portable ontologies. Standford University, Knowledge Systems Laboratory. Grber, T.-R., & Thomas, R. (1993). Towards principles for the Design of Ontologies Used for Knowledge

sharing in formal Ontology in conceptual Analysis and Knowledge Representation. Kluwer Academic
Publishers. GT Aspects smantiques du risque. (1997). Vocabulaire li au risque travers une analyse bibliographique. Institut de Protection et de Sret Nuclaire (IPSN) - Observatoire de l'Opinion sur les Risques et la Scurit. GT Mthodologie. (2003). Principes gnraux pour l'laboration et la lecture des tudes de dangers. INERIS. Guarino, N. (1998). Some ontological principles for designing upper level lexical resources. IOS Press. HSE. (1992). Generic terms and concepts in the assessment and regulation of industrial Risks. UK: Health and Safety Executive. ISO 21127. (Aot 2002). Information and documentation A reference ontology for the interchange of cultural

heritage information. ISO.

ISO/CEI Guide 73. (2002). Management du risque Vocabulaire principes directeurs pour les inclure dans

les normes. ISO/CEI.

Larousse. (2006). Larousse Dfinitions. Laurant, A. (2003). Scurit des procds chimiques. Lavoisier.

127

Chapitre 5

Modlisation ontologique du processus accidentel

Manesh, K. (1996). Ontology development for machine translation: Ideology and methodology. Memoranda in

computer and cognitive science. New Mexico State University, Computing Research Laboratory, Las Cruses,
New Mexico. Marsot, J. (1998). Nacelles lvatrices de personnel - Etude des schmas de commande. Cahiers de notes

documentaires - Hygine et scurit du travail - N171, 2e trimestre 1998, INRS .

NF EN 280. (2001). Plates-formes lvatrices mobiles de personnel. Calculs, stabilit, construction. Scurit,

examen et essais. Paris: AFNOR.

NF EN 61508. (Dcembre 1998). Scurit fonctionelle des systmes lectriques et lectroniques programmables

relatifs la scurit. Paris: AFNOR.

Petit Robert. (1984). Dictionnaire. Paris. Roche, C. (2005). Ontologie et Terminologie. Larousse - Revue , n 157, pp 1-11. Sowa, J. (1984). Conceptual structures: Information processing in mind and machine - The system

Programming series. Wesley Publishing Inc.

tel-00338938, version 2 - 16 Feb 2009

Van Elslande, P., Alberton, L., Nachtergaele, C., & Blanchet, G. (1997). Scnarios types de production de

l'erreur humaine dans l'accident de la route : problmatique et analyse qualitative, Rapport INRETS n218.
Paris: lavoisier. Van Heijst, G., Schreiber, A., & Wielinga, B. (1997). Using explicit ontologies in kbs development.

International Journal of Human-Computer Studies , 46(2/3), pp 183-292.

128

Chapitre 6

Management Prliminaire des risques

Table des matires du chapitre 6:

Management Prliminaire des Risques

1.

Processus de la mthode MPR .................................................................................................................. 131 1.1 Dcoupage systmique du systme global..................................................................................... 133 1.1.1 Dcoupage systmique du systme global en sous-systmes .......................................... 133 1.1.2 Dcoupage des sous-systmes en entits ......................................................................... 137 1.2 Management des risques ................................................................................................................ 140 1.2.1 Analyse des scnarios daccident .................................................................................... 140 1.2.2 Evaluation des risques ..................................................................................................... 142 1.2.3 Matrise des risques ......................................................................................................... 145 1.2.4 Prsentation des rsultats ................................................................................................. 148

2.

Intgration de la mthode MPR au cycle de vie ....................................................................................... 148 Adquation entre la mthode MPR et le SMS .......................................................................................... 149 3.1 3.2 Evolution de lanalyse technique vers le management organisationnel......................................... 149 Elments de base dun SMS centr-MPR ...................................................................................... 151

tel-00338938, version 2 - 16 Feb 2009

3.

4. 5.

Conclusion ................................................................................................................................................ 154 Travaux cits ............................................................................................................................................. 155

129

Chapitre 6

Management Prliminaire des risques

Chapitr e 6

Management Prliminaire des

tel-00338938, version 2 - 16 Feb 2009

Risques

Comme nous lavons vu au chapitre 2 1, selon la norme CEI 300-3-9 (CEI 300-3-9, 1995) lAPR est une technique didentification et danalyse de la frquence du danger qui peut tre utilise lors des phases amont de la conception pour identifier les dangers et valuer leur criticit. Nanmoins, usuellement, lAPR ne se limite pas la phase dapprciation des risques (analyse + valuation), mais elle fournit en sortie des directives de maitrise des risques, ce qui fait delle une mthode de management prliminaire des risques plutt que danalyse! En effet, il est, aujourd'hui plus qu'hier, ncessaire de possder une vision globale de son environnement, connatre les nouvelles rglementations en vigueur, tre au courant des volutions technologiques, et des facteurs socioconomiques pour ragir, voir mieux, et ensuite agir. Ainsi, toutes les parties responsables faisant partie du systme global et concernes de prs ou de loin par lactivit risque, doivent contribuer la mise en place et au maintien dun SMS (Systme de Management de la Scurit) offrant un cadre propice une meilleure prparation pour faire face aux scnarios de risque. Cela signifie fixer au pralable puis mettre en uvre des actions coordonnes de maitrise permettant de rduire le risque global un niveau acceptable.

130

Chapitre 6

Management Prliminaire des risques

1. Pr ocessus de la mthode MPR

Dans une dmarche de rsolution des problmes constats en matire de management des risques, nous proposons une mthode de Management Prliminaire des Risques (MPR) base sur une ontologie gnrique permettant de canaliser les mcanismes de capitalisation et dexploitation des connaissances relatives aux scnarios daccident (causalit, entits, situations, vnements, etc.). La mthode MPR se rattache au Systme de Management de la Scurit (SMS) par le point dancrage essentiel quest la gestion des processus techniques et organisationnels. Notre dmarche est base sur lontologie gnrique dveloppe dans le chapitre 4 dont le but est duniformiser les concepts de base et tablir un lien smantique travers ces concepts afin de mieux maitriser la matrialisation des scnarios daccident.

tel-00338938, version 2 - 16 Feb 2009

131

Chapitre 6

Management Prliminaire des risques

Dbut
1

Dcoupage systmique du systme global en soussystmes

ESD : Entit Source de Danger, ECD : Entit Cible de Danger,

2

Dcoupage systmique des soussystmes en entits

REX sur les scnarios daccident

4 Si modification dans la conception Nouvelle ESD

tel-00338938, version 2 - 16 Feb 2009

R2

Identification des associations (ESD, ECDs)

Fin
8 Risque acceptable 7 Nouvelle ECD 6

Identification des scnarios daccident

Matrise du Risque

Evaluation de lacceptabilit du Risque

Estimation du risque Estimation de la gravit des consquences Estimation de la frquence doccurrence Estimation de lexposition

Risque non acceptable R1

Si modification dans les procdures ou dans les fonctions

FIG. 1: Pr ocessus de la mthode MPR Cependant, lobjectif final de notre tude est de concevoir un Systme Interactif dAide la Dcision (SIAD) en matire de management des risques. Par consquent, il convient que le formalisme ainsi que la manire de prsenter les donnes soient gnriques et surtout adaptables aux diffrentes analyses de risque issues du monde industriel afin de pouvoir les capitaliser dans la base de donnes de notre outil (Mazouni & Aubry, 2007; Mazouni, Bied-Charreton, & Aubry, 2007).

132

Chapitre 6

Management Prliminaire des risques

1.1

Dcoupage systmique du systme global

La systmique est une vision la fois moderne et prudente du monde. Lavnement de lre industrielle

nous avait incit penser que nous nous dirigions vers une matrise totale et une connaissance exhaustive des systmes technologiques ; Il nous faut maintenant dchanter et admettre que les limites de la science reculent au moins autant que ne progresse notre connaissance et que plus fondamentalement encore nous ne savons pas matriser correctement les problmes que nous avons nous-mmes crs. Entre 1940 et 1960, une vritable explosion de concepts et notions nouvelles dans de nombreux domaines des sciences et des techniques a eu lieu (Gallou & Bouchon-Meunier, 1992). Ainsi, on a tent de dfinir et introduire la notion de systme, ceci dans un premier temps et puis la littrature atteint mme la notion de systmique qui est devenue plus tard une approche trs rpandue dans plusieurs domaines mobilisant de nombreuses comptences scientifiques et techniques (biologie, cologie, conomie, psychologie, psychanalyse, thrapies de groupe, sciences sociales, sciences politiques, informatique, robotique, sciences des organisations, ergonomie, sciences juridiques, etc.).

tel-00338938, version 2 - 16 Feb 2009

La systmique sest dveloppe dabord par simple extension de la thorie des systmes. Cette nouvelle discipline regroupe des dmarches thoriques, pratiques et mthodologiques visant prciser des frontires, des relations internes et externes, des structures, des lois ou proprits mergentes caractrisant un systme donn. Le thorme de lindcidabilit (appel aussi thorme dincompltude) de Gdel dmontre quon ne peut connatre entirement un systme en restant lintrieur de ses frontires. Un systme (global) nest pas gal la somme de ses constituants, car tout simplement, ces derniers sont indissociables. Justement, applique un systme complexe, lapproche systmique tient compte des interactions internes entre ces composantes. En effet, les interactions Systme/Humain, Systme/Environnement et Humain/Environnement doivent tre tudies avec prudence car il ne saurait suffire davoir un systme technologique sr de fonctionnement, des facteurs humains fiables et un environnement adapt pour se prononcer sur la ralisation des objectifs de sret de fonctionnement (RAMS).

1.1.1

Dcoupage systmique du systme global en sous-systmes

Notre vision systmique et gnrique dun systme industriel global, nous a amen dfinir deux

espaces htrognes : lespace Systme sociotechnique englobant la technologie et les acteurs, et lespace Environnement caractris par les membres du public, les installations technologiques avoisinant le systme sociotechnique et lenvironnement naturel avec ses conditions mtorologiques, hydrologiques et/ou gologiques, sismiques, etc. (cf. FIG. 2). La composante humaine est donc divise en deux grandes catgories htrognes : Les acteurs : lensemble des utilisateurs de l'espace systme (oprateurs, agents de maintenance, etc.). Le public : lensemble des personnes se trouvant dans l'espace environnant (passagers, riverains, etc.).

133

Chapitre 6
Expansion de lespace systme

Management Prliminaire des risques

TE

TE S A P

S
A

P TE

Restriction de lespace systme

S : Systme sociotechnique. E : Environnement.

tel-00338938, version 2 - 16 Feb 2009

A : Acteurs. P : Public. TE : Technologie de lenvironnement.

FIG. 2: Le systme et son envir onnement

Lexpansion de lespace systme (sociotechnique) sur lenvironnement contraint considrer autrement les facteurs humains et les sous-systmes se trouvant, en effet, lintrieur des nouvelles frontires. Par exemple, les agents de maintenance intervenant sur les voies peuvent tre considrs comme faisant partie du systme, linfrastructure peut tre considre comme faisant partie du systme ou bien de lenvironnement.

1.1.1.1

Le Systme sociotechnique

(a) Le Systme technologique Le systme technologique est lensemble des entits, matriels, logiciels et tous les aspects fonctionnels permettant de les grer. Dfinir un systme gnrique renvoie systmatiquement considrer les aspects suivants : La description gnrale du systme, de ses limites et de ses interfaces La description des diffrents profils de mission La description fonctionnelle en partant dune dcomposition structurelle. ferroviaire, conformment aux dispositions des directives europennes

Dans le domaine

dinteroprabilit (Directive 96/48/EC, 23 juillet 1996)(Directive 2001/16/EC, 19 mars 2001), le systme ferroviaire gnrique doit tre dcompos en deux sous-systmes : Le sous-systme structurel : cest la partie physique du systme ferroviaire. Cette partie englobe lInfrastructure (rseau) et les Trains:

134

Chapitre 6

Management Prliminaire des risques

La voirie : heurtoirs, voies, postes daiguillage, croisements, station, gnie civil (ponts, viaducs, tunnels, Passages niveau, etc.). Lnergie : Source dnergie lectrique, catnaires ariens, pantographes, etc. La signalisation et les systmes de contrle/commande. Le matriel roulant.

Sous-systme fonctionnel : La maintenance : procdures et actions correctives ou prventives ncessaires. Lexploitation : mode normal et dgrad.

(b) Les Acteur s Tout employ est sens contribuer laccomplissement de lobjectif de scurit. Les acteurs sont lensemble des quipes techniques, managriales et de formation impliques tout au long du cycle de vie dun projet, c.--d. de la spcification jusquau dmantlement. Dans le domaine ferroviaire, on peut distinguer entre quatre classes dacteur affectes aux oprations

tel-00338938, version 2 - 16 Feb 2009

dexploitation ou de maintenance : Les agents travaillant dans le train. Les agents travaillant dans les stations. Les agents travaillant sur ou prs de la ligne. Lensemble des sous-traitants.

De nombreux processus comportent un potentiel derreur humaine. Lerreur humaine (Mistake, Human error) est dfinie dans la norme CEI 50(191) (CEI 50(191), 1990) comme une : action humaine qui produit un rsultat diffrent de celui qui est recherch . La norme donne la dfinition suivante la notion derreur (Error) dans le sens le plus large du terme : (Une erreur est) un cart ou discordance entre une valeur ou une condition calcule, observe ou mesure, et la valeur ou la condition vraie, prescrite ou thoriquement correcte . Toutefois, lanalyse de lerreur humaine devrait complter dautres analyses traitant des aspects techniques afin de donner une nouvelle dimension ltude de risques en intgrant limpact du facteur humain sur le fonctionnement du systme et dvaluer linfluence de la fiabilit humaine sur la fiabilit globale. Les erreurs humaines peuvent tre classes en trois catgories : Erreurs au niveau comportemental : lerreur est impute directement lindividu, selon J. Reason (Reason & Parker, 1993) a peut tre un acte de sabotage, violation routinire, violation exceptionnelle, mauvaise application dune bonne rgle, application dune mauvaise rgle, faute base sur les connaissances dclaratives, etc.). Erreurs au niveau contextuel : ici on considre que lerreur est humaine, mais jamais seulement humaine et on cherche dduire son origine et son contexte qui peut tre dans certains cas du un manque de formation, problmes dergonomie, complexit des tches, etc.

135

Chapitre 6

Management Prliminaire des risques

Erreurs au niveau conceptuel : on exploite des hypothses sur les mcanismes cognitifs en distinguant les types derreurs (intentionnelles, non intentionnelles) et les formes derreurs (Violation/Faute, Rat/Lapsus).

1.1.1.2

Environnement
L. Goffin (Goffin, 1976) dfinit lenvironnement comme un systme dynamique dfini par les

interactions physico-chimiques, biologiques et culturelles, perues ou non, entre lhomme, les autres tres vivants et tous les lments du milieu, quils soient naturels, transforms ou crs par lhomme . L'environnement possde plusieurs caractristiques, nous insistons sur les trois suivantes (Goffin, 1976): Lenvironnement est global . Il se prsente donc comme un systme, cest--dire un ensemble complexe dlments structurs et fonctionnels en interaction. Il stablit une dynamique par les changes continus entre les sphres nature et humaine selon un jeu perptuel dquilibres et de dsquilibres.

tel-00338938, version 2 - 16 Feb 2009

Lenvironnement est multidimensionnel . Il se rfre la fois aux dimensions physiques, chimiques, biologiques, techniques, conomiques, sociales, politiques et culturelles de la vie humaine. Diverses disciplines sont donc ncessaires pour lapprhender. Il est souhaitable de les travailler en interdisciplinarit.

Lenvironnement se dlimite dans lespace et le temps . Il doit donc tre localis de faon prcise, dans un cadre spatial et temporel. Chaque approche doit intgrer ces lments mais ne pas les fermer. En effet, si nous dlimitons un environnement, il est ncessairement influenc par celui qui lenglobe avec lequel il change des interrelations ; de mme, il sinscrit dans une dure avec un impact du pass et une prvision du futur.

Dans le domaine industriel (nuclaire, transport, chimique, militaire), nous pouvons considrer comme faisant partie de lenvironnement toute entit qui nest pas sous le contrle de lentreprise, mais qui peut tre une Entit Source de Danger (ESD) ou une Entit Cible de Danger (ECD) potentielle envers le systme sociotechnique. Enfin, nous considrons dornavant que lenvironnement est principalement caractris par trois types de risque : le risque humain vhicul par le public, le risque technologique et le risque naturel. (a) Envir onnement humain : membr es du public Personnes se comportant dune manire lgale ou illgale et qui ne sont pas sous le contrle de lautorit de lorganisation. Par exemple, dans le domaine ferroviaire, on peut diffrencier entre les groupes suivants : Les passagers situs dans le train. Les passagers se trouvant en station. Les tierces personnes se trouvant lgitimement au sein de linfrastructure, comme par exemple dans un passage niveau. 136

Chapitre 6

Management Prliminaire des risques

Les passagers se trouvant illgitimement dans certaines zones interdite au public, comme par exemple un passager qui traverse la voie dans une station. Les personnes vivant ou travaillant proximit des infrastructures ferroviaires. Les services durgence et/ou dintervention (pompiers, police, services durgence mdicaux, etc.) peuvent tre considrs comme faisant partie du Systme quand il sagit dlaborer des plans dinterventions communes avec les agents de lentreprise. Nanmoins, ils peuvent tre affects lenvironnement et plus prcisment aux membres du public, sagissant dtudier cette fois ci leurs interactions avec le systme tudi (accs et prsence dans la zone dintervention).

(b) Envir onnement technologique Cest lensemble des systmes technologiques environnants prsentant une menace sur le systme technologique, ou bien comportant une certaine vulnrabilit vis--vis des ESD appartenant au systme technologique. Dans le premier cas, la technologie environnante est considre comme ESD, dans le deuxime cas, elle se prsente comme une ECD.

tel-00338938, version 2 - 16 Feb 2009

Dune manire gnrale, lenvironnement technologique couvre les : (c) Services de tlcommunication, GPS (Global Positioning System), Galileo, les chaines dlectrification haute tension, etc. Btiments et installations comportant des processus de dangers (centrales nuclaires, raffineries, etc.). Routes, ponts et tunnels, passages niveau, aroports, ports, etc. Environnement lectromagntique.

Envir onnement natur el

Lenvironnement naturel peut englober 5 classes principales (HMSO, 1995): Conditions cologiques : leau, lair, le sol, ressources naturelles, faune, flore, etc. Conditions mtorologiques : vent, pluie, neige, verglas, grle, etc. Conditions hydrologiques : inondation, flots, marais, etc. Conditions gologiques/ hydrologique : glissements de terrain, les marcages, formation des poches souterraines, etc. Conditions sismiques.

1.1.2

Dcoupage des sous-systmes en entits

Tout systme global est charg dune mission quil doit accomplir travers le fonctionnement en mode

commun de ses constituants. Certes, pour chacun dentre eux, on doit au moins connatre le profil de mission (ses tches), ses frontires et ses interfaces directes, que ce soit avec lentit mre ou avec des entits adjacentes du mme niveau hirarchique. Nous avons adopt la notion dentit dfinie par la norme CEI 50(191) (CEI 50(191), 1990) de la manire suivante : tout lment, composant, sous-systme, unit fonctionnelle, quipement ou systme que

137

Chapitre 6

Management Prliminaire des risques

lon peut considrer individuellement. Une entit peut tre constitue de matriel, de logiciel, ou des deux la fois, et peut aussi dans certains cas comprendre du personnel, de mme un ensemble dtermin dentits, par exemple une population ou par exemple un chantillon, peut lui-mme tre considr comme une entit . Ainsi un flux de danger peut sexercer entre un sous-systme et le systme global, entre plusieurs soussystmes ou composants lmentaires logiciels, matriels, humains ou environnementaux, etc. En effet, les entits globales sont, leur tour, dcomposes en des entits plus lmentaires, ainsi de suite jusqu' l'obtention d'une reprsentation systmique globale. Cette reprsentation hirarchique (voir FIG. 3) permettrait d'imaginer graphiquement la propagation du danger entre les diffrents niveaux hirarchiques. Mis part lentit (le rectangle) systme global (voir FIG. 3), toute autre entit est susceptible de devenir une ESD ou une ECD. Justement, la phase 4 de la mthode MPR sattache dceler les associations de type (ESD, ECDs) pouvant donner lieu un accident comme par exemple le systme technologique en tant que ESD et lenvironnement naturel en tant quECD, limage des installations technologiques mettrices de gaz effet de serre ou polluants (CO2, NOx). Dans cet exemple, lassociation peut tre raffine, en travaillant sur

tel-00338938, version 2 - 16 Feb 2009

lunit dincinration de dchets toxiques (ET1) appartenant linstallation en ce cas l, il sagit plutt dune association (ET1, Environnement naturel), voire mme (ET1, Conditions cologiques) en propageant le danger vers les entits filles de lenvironnement naturel. Ainsi une situation d'accident relevant d'une entit donne peut entraner un effet domino sur une autre entit de voisinage appartenant au mme ascendant (voir FIG. 3, ST11 et ST12), comme elle entraner un effet domino sur l'ascendant lui mme (voir sur agent 221).

FIG.3, ST11 et ST1) ou bien sur un descendant (voir FIG. 3, equipe22

138

Chapitre 6

Management Prliminaire des risques

Systme global
Systme sociotechnique Environnement Systme Technologique ST1 Environnement humain Personnes situes dans le ST ST11 Personne autorise (client) Personne non autorise Personnes situes proximit du ST ST21 Manager11 ST22 Agent111 Agent12 Equipe2 ST3 Services durgence ST31 Flots ST311 Equipe21 Equipe22 ST3111 Agent211 Agent221 ST3112 Agent212 Agent222 ST312 Agent213 ST32 Cnd. gologiques / hydrologiques Glissements de terrain Marcages Marais Agent112 ST23 Police Conditions hydrologiques Inondations Manager2 Services dintervention Neige Pompiers Grle Environnement technologique ET1 Environnement naturel Conditions cologiques Conditions mtorologiques Vent ST12 Manager1 Equipe11 ST2 ET3 Pluie ET4 Verglas

Acteurs (Systme Humain)

Directeur Equipe1

ET2

tel-00338938, version 2 - 16 Feb 2009

139
ST33 Poches souterraines Conditions Sismiques

FIG. 3: Dcoupage systmique du systme global

Chapitre 6

Management Prliminaire des risques

Le passage dun train de transport de matire dangereuse proximit dune centrale nuclaire renvoie considrer trois sous-systmes sociotechniques diffrents (le train, la matire dangereuse et la centrale nuclaire) Ainsi, lexploitant du train doit considrer dans son environnement et plus prcisment sous la composante Environnement Technologique (voir FIG. 3) la matire dangereuse transporte (ET1) et aussi la centrale nuclaire (ET2). Ces deux entits du sous-systme Environnement Technologique peuvent tre raffines en des entits plus lmentaires en fonction de la porte de ltude et de la coopration entre les parties responsables de part et dautre. Idalement, la dcomposition systmique sarrterait l o ltude est reprise par un partenaire tel quun sous-traitant. La coordination entre les diffrentes parties passe travers les canaux de communication des Systmes de Management de la Scurit afin daugmenter le degr de confiance mutuelle en matire de scurit.

1.2

Management des r isques

Chaque partie responsable appartenant au systme global doit mettre en place des procdures adquates

tel-00338938, version 2 - 16 Feb 2009

didentification et dvaluation des risques. Ces risques doivent tre rduits un niveau acceptable conforme aux objectifs de scurit pralablement tablis.

1.2.1

Analyse des scnarios daccident

La phase didentification des scnarios daccident repose essentiellement sur un processus accidentel

gnrique (Mazouni, Aubry, & El koursi, 2008). En effet, l'identification des scnarios d'accident sera base sur le dveloppement du processus accidentel en fonction de l'occurrence de trois types dvnements : Evnement dExposition (EvE), Evnement Initiateur (EvI) et Evnement Redout (EvR). Ces vnements jouent le rle dinterrupteurs ayant la capacit de stimuler le changement de situation dune ESD ou dune ECD entre: Situation Initiale (SI), Situation dExposition (SE), Situation Dangereuse(SD) et Situation dAccident (SA). En effet, la dmarche danalyse de la mthode MPR consiste dabord identifier, principalement grce au Retour dExprience, les accidents potentiels, les vnements redouts, et les associations sources (ESD), cibles (ECD) ayant amen ces accidents. Ensuite analyser les ESD en vue didentifier les diffrents scnarios daccident. Cependant, comme son nom lindique, la mthode MPR nest pas destine traiter en dtail la matrialisation des scnarios daccident, mais plutt mettre rapidement en vidence et se prmunir des gros problmes susceptibles dtre rencontrs pendant le cycle de vie du systme tudi. La dmarche MPR peut aussi et mme devrait permettre lenchainement naturel des analyses de risque grce au SIAD que nous tudierons dans le cadre du prochain chapitre.

1.2.1.1

Retour dexprience sur les scnarios daccident

Cette phase sappuie principalement sur le retour dexprience pour dterminer la liste des situations

daccident potentielles, et donner une indication sur les circonstances de leur apparition (Mode (automatique, manuel, etc.), Phase (exploitation, maintenance, etc.), Lieu, etc.). Les rsultats obtenus sont mis dans un tableau danalyse lmentaire ayant la forme suivante :

140

Chapitre 6
T AB. 1 : REX sur les scenar ios daccident Situation dAccident 1. Collision 1.1 avec 1.1.2 Distance d'arrt obstacles trop longue 1.2 avec 1.2.1 Prsence d'un tiers vhicule routier ou de service sur la voie Mode AUT Mode MANU x Mode ADM

Management Prliminaire des risques

Phase EXP x

Phase MAIN

Phase EVAC

Lieu station

x x Interstation

1.2.1.2

Phase I : identification dductive des associations dentits ESD/ECD(s)

En partant des rsultats du retour dexprience sur les Situations dAccident (colonne 1 du tableau 2) et

les Evnements Redouts (colonne 2 du tableau 2) associs, on essaye, cette fois ci, didentifier froid lensemble des Situations Dangereuses (colonne 3 du tableau 2) pralables lapparition des EvR en question.

tel-00338938, version 2 - 16 Feb 2009

Pour chaque SD, on identifie tout EvI (colonne 4 du tableau 2) pouvant altrer la Situation Initiale dune ESD, et enfin on labore lensemble des associations (ESD, ECDs) (colonne 5 du tableau 2) dont la proximit est accidentogne. T AB. 2 : Identification des associations (ESD, ECDs) 1 Situation dAccident 2 Evnement Redout 3 Situation Dangereuse 4 Evnement Initiateur 5 ESD, ECD(s)

1.2.1.3

Phase II : identification inductive des scnarios daccident

T AB. 3 : Identification des scnar ios daccident 1 2 3 4 5 6

Scnar ios daccident ESD Evnement Initiateur Situation Dangereuse Evnement Redout Situation dAccident ECDs

Les ESDs identifies lors de la phase I, sont reprises une par une dans cette nouvelle phase dinvestigation inductive afin de dceler les alas quils sont susceptibles de provoquer. Ainsi, pour chaque ESD (colonne 1 du tableau 3), on dcle les EvI (colonne 2 du tableau 3) significatifs ayant le potentiel de stimuler cette dernire qui devient alors gnratrice de danger. De la mme manire, on identifie les SD (colonne 3 du tableau 3) qui en dcoulent de cette excitation de lESD, et pour chaque SD, on identifie les EvR (colonne 4 du tableau 3) pouvant se produire. Enfin, pour chaque EvR, on identifie les Situation dAccident potentielles (colonne 5 du tableau 3) et on liste lensemble des ECDs (colonne 6 du tableau 3) atteintes par la SA.

141

Chapitre 6
1.2.2

Management Prliminaire des risques Evaluation des risques

Cette partie consiste en lvaluation des risques des scnarios daccident identifis lors de la phase prcdente. T AB. 4 : Evaluation du r isque 7 8 9 Evaluation Dommages Gravit Occurrence Exposition Risque 10 11

1.2.2.1

Evaluation des dommages et estimation de la gravit

En effet, pour chaque scnario daccident on fait une valuation pire cas (en anglais : the worst case)

des consquences pouvant tre engendres (colonne 7 du tableau 4), ensuite on estime la gravit correspondante (colonne 8 du tableau 4) selon une grille systmique de gravit pralablement dfinie : T AB. 5 : Gr ille systmique de gr avit

tel-00338938, version 2 - 16 Feb 2009

Impact sur le Systme Gr avit Acteur s Mineur e (G1) Significative (G2) Un bless Plusieurs blesss lgers, ou un bless grave Plusieurs blesss graves, ou un seul mort Technologie Dommage mineur Dommage important Public Pas de blesss Pas de blesss

Impact sur lEnvir onnement Enjeux de lentr epr ise Envir onnement Technologique Pas deffets Dommage mineur Envir onnement Natur el Pas deffets Menace significative Technique Commercial, Financier, Technique (Cr ise localise) Juridique, Commercial, Financier, Technique (Cr ise impor tante) Economique, Mdiatique, Juridique, Commercial, Financier, Technique

Cr itique (G3)

Perte du systme

Un ou plusieurs blesss lgers, ou un bless grave Plusieurs blesss graves, un ou plusieurs morts

Dommage important

Nuisance localise

Catastr ophique (G4)

Dcs collectifs

(Sans importance)

Destruction

Nuisance importante

La notion de nuisance englobe divers aspects environnementaux, sociaux (bruit, pollution) susceptibles d'avoir une incidence sur le comportement ou la sant des individus qui y sont exposs. Le dictionnaire Larousse (Larousse, 2006) dfinit littrairement le terme comme tout facteur qui constitue un prjudice, une gne pour la sant, le bien-tre, l'environnement . En effet, contrairement au concept de dommage caractre alatoire, brusque ou exceptionnel, le concept de nuisance peut tre considr comme une dtrioration souvent insidieuse de l'environnement et de la qualit de vie, gnralement caractre 142

Chapitre 6

Management Prliminaire des risques

dterministe et continu ou permanent (AQS-GT OORS, Mars 1996). Le groupe de travail GT aspects smantiques du risque (GT Aspects smantiques du risque, 1997) voque une altration caractre chronique ou permanent . Cette dfinition correspond ce que nous avons appel nuisance localise , de surcroit la dfinition donne par le GT OORS/AQS renvoie la notion de nuisance importante tant donn quelle manifeste une dtrioration.

1.2.2.2

Estimation de la frquence doccurrence

Aprs avoir estim la gravit, on estime la frquence doccurrence (colonne 9 du tableau 4) de lEvR

donnant lieu laccident. A lgard du projet ERTMS (voir chapitre 1 4.2), nous adapterons, pour des fins de simplification, lchelle de frquences doccurrence donne par la norme NF EN 50126, en la ramenant de 6 4 niveaux (voir TAB. 6): T AB. 6 : Echelle de fr quences doccur r ence adapte de la nor me NF EN 50126

tel-00338938, version 2 - 16 Feb 2009

Occurrence de EvR Invraisemblable (O1) Rare (O2) Occasionnelle (O3) Frquente (O4)

Description Extrmement invraisemblable survenir durant la vie du systme<=10-9 /h Invraisemblable survenir mais possible durant la vie du systme > 10-9 /h Vraisemblable quil survienne plusieurs fois durant la vie du systme Vraisemblable quil survienne frquemment durant la vie du systme

1.2.2.3

Estimation de lexposition
Lavant dernire tape de la phase dvaluation du risque, est lestimation du degr dexposition au

danger (colonne 10 du tableau 4) des cibles ECDs concernes par le scnario daccident en question. Lexposition des ECDs est estime en fonction des besoins de sjour dans lespace de danger, de la nature des espaces de vulnrabilit, du temps pass, du nombre de cibles et de la frquence daccs.

ECD atteinte

Hors du danger

FIG. 4: Recouvr ement des espaces de vulnr abilit avec lespace de danger

143

Chapitre 6

Management Prliminaire des risques

Gnralement, lexposition est fonction de deux variables : la dure et la frquence daccs (NF EN 60204, Avril 1998) (Whittingham, 2004): ECDs sexposant rarement (F1). ECDs sexposant frquemment (F2). ECDs sexposant durant de courtes dures (D1). ECDs sexposant durant de longues dures(D2). T AB. 7 : Estimation du degr dexposition

F1 D1 D2 E1 E2

F2 E2 E2

Dans le domaine de la scurit machine , la norme ISO 12100 (EN 292/ISO 12100, 1995) dans sa premire partie, ajoute que lestimation de lexposition requiert lanalyse et la prise en compte de tous les modes

tel-00338938, version 2 - 16 Feb 2009

de fonctionnement de la machine et de toutes les mthodes de travail.

1.2.2.4

Evaluation du risque
Une fois la gravit, la frquence doccurrence et lexposition sont estimes, il ne reste qu valuer le

risque inhrent (colonne 11 du tableau 4) partir dun graphe de risque, dont voici un prototype :

FIG. 5: Pr ototype dun gr aphe de r isque Comme nous lavions soulign dans le chapitre 5 (voir chapitre 5, 1.5), il convient de rappeler que notre engagement ontologique est minimal. Par consquent, lutilisateur peut soit accepter notre graphe de risque (voir FIG. 5), soit dfinir ses propres niveaux de gravit, et le cas chant de frquence doccurrence et/ou

144

Chapitre 6

Management Prliminaire des risques

dexposition. Il peut aussi considrer seulement la gravit en vue de raliser des analyses de danger telles que lAPD (Analyse Prliminaire des Dangers).

1.2.2.5

Critres dacceptabilit du risque

Le graphe de risque propos (voir FIG. 5) est scind en quatre zones de risque distinctes. En effet,

chaque zone est caractrise par des critres dacceptabilit bien spcifiques (voir TAB. 8): T AB. 8 : Cr itr es dacceptabilit du r isque Zone de cr iticit Acceptable Ngligeable Acceptable Acceptabilit des r isques Risques ne ncessitant pas laccord de lautorit de tutelle Risques ncessitant un contrle appropri et laccord de lautorit de tutelle acceptable 14 Risques dont la rduction est impossible ou insuffisante et qui ncessitent un accord de lautorit de tutelle Risques devant tre rduits

Indsir able Non

Inacceptable

tel-00338938, version 2 - 16 Feb 2009

1.2.3
1.2.3.1

Matrise des risques

Rduction des risques
Cette partie concerne toutes les actions de rduction de risque (Protection, Prvention, Transfert).

Idalement, ces actions devront tre codifies par des libells (colonne 12 du tableau 9) permettant de les dcrire clairement. Ces actions sont de natures diffrentes (colonne 13 du tableau 9), en loccurrence il peut sagir de disposition constructive, procdure ou mode opratoire, procdure et rgles de maintenance, conception, dimensionnement, test, respect des rfrentiels de scurit (norme, rglementation et autres).

T AB. 9 : Matr ise des r isques 12 13 15 16 17 18 Dcision Gains potentiels Libell Motifs Responsable 19

Matr ise des r isques Libell Type Pilotage Equipe Manager

Nous avons insist dans le chapitre 5 (voir 2.1.1.2, 2.1.2.1) que les espaces de danger et de vulnrabilit sont multidimensionnels. Lespace de danger est le mme pour toutes les cibles. Donc, protger une entit cible la rend insensible certaines dimensions de lespace de danger, c'est--dire que cela revient rduire son espace de vulnrabilit de telle sorte quil ny ait plus dintersection avec lespace de danger. Rduire un risque cest donc rduire soit lespace de danger soit lespace de vulnrabilit pour diminuer voire annuler lintersection.

145

Chapitre 6
1.2.3.2 Aspects organisationnels

Management Prliminaire des risques

Les actions de matrise des risques doivent tre assignes des quipes et des managers qualifis en assumer la mise en uvre. Nanmoins, la plupart des industriels rencontrent des difficults dordre organisationnel en matire de matrise des risques, cause de lencombrement du continuum de mesures de rduction des risques. En effet, nous consacrerons une partie organisationnelle relative au pilotage des actions de matrise des risques. Ainsi, chaque mesure est affecte une quipe (colonne 14 du tableau 9) sous la responsabilit technique dun personnel expriment (colonne 15 du tableau 9).

1.2.3.3

La dfense en profondeur
Le principe de dfense en profondeur peut accompagner cette phase travers les diffrentes situations et

transitions du processus accidentel (voir TAB. 10): T AB. 10 : Dfense en pr ofondeur par lanalyse du pr ocessus accidentel Code Signification Situation de dpar t Situation dar r ive Causes Pr incipe de dfense en pr ofondeur EvE Evnement dExposition Situation Initiale Situation dExposition Internes ou externes aux ECDs Rduire lexposition et la vulnrabilit des ECDs EvI Evnement Initiateur Situation Initiale Situation Dangereuse Internes ou externes lESD Rduire la sensibilit de lESD et viter loccurrence des EvI EvR Evnement Redout Situation Dangereuse + Situation dExposition Situation dAccident Dangerosit de lESD + Vulnrabilit des ECDs Attnuation des effets + Limitation des consquences

tel-00338938, version 2 - 16 Feb 2009

En effet, il convient de structurer les lignes de dfense en profondeur en concevant des barrires appropries chaque phase lmentaire du processus accidentel. Ainsi concernant la situation dexposition, il convient de rduire les frquences et les dures dexposition tandis que pendant la situation dangereuse il convient dviter lapparition de lvnement redout et enfin durant la situation daccident, on cherche minimiser les consquences.

146

Chapitre 6
1.2.3.4 Dcision

Management Prliminaire des risques

Avant lapprobation des actions de matrise des risques par le ou les responsables hirarchiques (colonne 19 du tableau 9), on doit, toutefois, estimer les gains potentiels (colonne 16 du tableau 9) rsultant de lapplication de ces mesures, en faisant un arbitrage Cot/Bnfices entre le cot et la faisabilit de mise en uvre et le taux de rduction du risque. Par consquent, une action peut tre accorde ou bien rejete (colonne 17 du tableau 9). Cependant, lapprobation ou la dsapprobation dune quelconque action doit tre explicitement motive (colonne 18 du tableau 9). En effet, cette partie a pour vocation dengager une politique de gouvernance des risques afin que les dcideurs au plus haut sommet dune organisation soient responsabiliss. Car le simple fait quun responsable porte sa mention quant lengagement ou non dune action, peut reprsenter un frein la politique du moindre cot et une ouverture sur le principe dit la scurit passe avant tout , plus connu sous le nom Safety first qui consiste accorder la plus haute priorit la scurit et ce, normalement avant les considrations

tel-00338938, version 2 - 16 Feb 2009

conomiques, oprationnelles, environnementales, sociales, ou autres. Lefficacit de laction se corrle avec le cot et le dlai de sa mise en uvre. En effet, certains principes de scurit, tel que ALARP (voir chapitre 3 4.3), font un arbitrage entre les investissements en matire de scurit et les gains potentiels dfaut de shunter la scurit l o elle revient excessivement cher ! Toutefois, le dcideur peut parfois faire un tri entre plusieurs actions que lquipe technique lui propose. Il peut procder de la manire suivante : Revoir des mthodes de rduction du risque suggres par lquipe technique. Comparer les diffrentes options (voir TAB. 11). Appliquer la mthode choisie pour contrler les risques. Grer les risques rsiduels. TAB. 11 Pr ior its des actions de maitr ise des r isques Elments du r isque Gravit Action idale Supprimer les sources de danger Frquence et/ou dure dexposition Probabilit doccurrence Supprimer lexposition des cibles vulnrables Supprimer les vnements redouts Autr es actions Rduire la dangerosit des sources de danger Rduire la frquence et / ou la dure dexposition Rduire la probabilit doccurrence des vnements redouts

147

Chapitre 6
1.2.4

Management Prliminaire des risques Prsentation des rsultats

Les rsultats du MPR sont regroups dans trois tableaux complmentaires : le descripteur de larborescence des situations daccident (voir TAB.1, 1.2.1.1), le descripteur de lanalyse dductive (voir TAB. 2, 1.2.1.2), et enfin le troisime descripteur regroupant le reste des rsultats de lanalyse qui prend le format suivant (voir TAB. 12) : T AB. 12 : Pr sentation des r sultats de la mthode MPR
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Dcision Gains Lib. Motifs Responsable 19 Scnar ios daccident ESD EvI SD EvR SA ECD Dom. G. Evaluation O. E. Maitrise des r isques Risque Lib. Type Pilotage

Equipe Manager dsirs

2. Intgration de la mthode MPR au cycle de vie

tel-00338938, version 2 - 16 Feb 2009
La mthode consiste amorcer un processus itratif dans loptique de converger vers les objectifs de scurit pralablement noncs. La dmarche prend fin ds la ralisation de ces objectifs. Les deux boucles de rtroaction R1 et R2 (voir FIG. 1) permettent de vrifier lventualit davoir gnr de nouveaux dangers aprs mise en uvre de certaines actions destines en contrler dautres. La premire boucle correspond une simple estimation a postriori de la sensibilit des facteurs de risques vis--vis des modifications des fonctions dune entit lmentaire ou bien lajout de procdures de scurit. La deuxime boucle, quant elle, est plus complique car elle consiste oprer des changements dans larchitecture mme du systme global (ajout dune nouvelle entit telle quune barrire de dfense, modification de larchitecture dune entit non lmentaire, etc.). Ceci ncessite la reprise du processus MPR ds la deuxime phase, c.--d. la dcomposition des sous-systmes en entits. .

148

Chapitre 6

Management Prliminaire des risques

tel-00338938, version 2 - 16 Feb 2009

FIG. 6: Intgr ation de la mthode MPR au cycle de vie dun systme

La mthode peut idalement accompagner le cycle de vie dun systme gnrique, autrement dit ds la phase de spcification jusqu la phase de dmantlement. Ceci consiste rpter le processus MPR depuis la seconde phase (cf. FIG. 6) chaque tape du cycle de vie (Initiative, spcification, conception, construction, exploitation, maintenance/modification, dmantlement).

3. Adquation entr e la mthode MPR et le SMS

3.1 Evolution de lanalyse technique ver s le management or ganisationnel
Les approches danalyse de risque ont fait lobjet de nombreuses volutions. Au milieu des annes 70 lapproche technologique (la technologie comme source de problme) fut substitue une approche par lerreur humaine (lHomme comme source de problme). Cette transition a t justifie par les rsultats de lenqute technique post-accident de la catastrophe arienne survenue le 27 mars 1977 laroport de Tenerife Espagne tuant 583 personnes, ainsi que par les rapports dexpertise de la catastrophe nuclaire vcue, deux ans plus tard, quasiment jour pour jour, le 28 mars 1979 Three Mile Island prs de Harrisburg, Pennsylvanie USA (accident class niveau 5 sur l'chelle INES).

149

Chapitre 6

Management Prliminaire des risques

tel-00338938, version 2 - 16 Feb 2009

FIG. 7: Evolution de la r echer che nuclair e (INERIS-DRA, 2003) Nanmoins, lapproche humaine sest avre contestable son tour. Par consquent, la fin des annes 80, et principalement suite la catastrophe nuclaire de Tchernobyl Ukraine survenue le 26 avril 1986 (niveau 7 sur l'INES) portant atteinte 9 millions d'adultes et plus de 2 millions d'enfants selon lONU (cf. Confrence OMS 1995) et causant plus de 560.000 morts par cancer, on a commenc recentrer lanalyse sur les interactions entre les diffrentes composantes du systme sociotechnique (Homme/ Systme/ Environnement). Encore quelques annes plus tard, lapproche sociotechnique fut abandonne progressivement au profit dune approche organisationnelle et pluridisciplinaire considrant le dysfonctionnement dans les relations entre organisations comme source de problme. Autrement dit, cest la prise en considration travers un SMS global de toutes sortes de dfaillances techniques, humaines ou organisationnelles. Les SMS apportent essentiellement des amliorations considrables en matire de : planification de la scurit, management des risques, change dinformation en matire de scurit, mesure de la performance en matire de scurit, et assurance du mangement de la scurit. La qualit de ces amliorations dpend de la culture de la scurit de lorganisme. Dans le domaine ferroviaire la directive de scurit (Directive 2004/49/EC, 29 avril 2004) dans son Annexe III, consacr dailleurs au SMS, stipule que : Le systme de gestion de la scurit doit tre document dans toutes ses parties et dcrire notamment la rpartition des responsabilits au sein de l'organisation du gestionnaire de l'infrastructure ou de l'entreprise ferroviaire. Il indique comment la direction assure le contrle aux diffrents niveaux de l'organisation, comment le personnel et ses reprsentants tous les niveaux participent et comment l'amlioration constante du systme de gestion de la scurit est assure .

150

Chapitre 6

Management Prliminaire des risques

Dans le domaine des installations industrielles, on parle de Systme de gestion de la scurit regroupant l'ensemble des dispositions mises en uvre (par l'exploitant) au niveau de l'tablissement, relatives l'organisation, aux fonctions, aux procdures et aux ressources de tout ordre ayant pour objet la prvention et le traitement des accidents majeurs (INERIS-DRA ARAMIS, 2004).

3.2

Elments de base dun SMS centr -MPR

Le Systme de Management de la Scurit (SMS) est un processus technico-organisationnel de gestion

des risques. Le SMS est un schma complet dactivits danalyse, dvaluation et de maitrise des risques. En outre, il comprend aussi des stratgies de dfinition des responsabilits, de communication et de gestion des crises. Ces stratgies sont pralablement rflchies sur les plans technique, humain et organisationnel. Le SMS que nous proposons (cf. FIG. 9) est principalement centr sur la mthode MPR. Ce rapprochement SMS-MPR sinscrit dans un processus damlioration de type PDCA (voir. FIG. 8).

tel-00338938, version 2 - 16 Feb 2009

Do

Check

Plan

Act

FIG. 8 : La r oue de Deming damlior ation continue (FD X 50-173, 1998)

Plan (Planifier) : planifier et dterminer le degr de priorit des actions pour corriger les dysfonctionnements, maitriser les risques et dployer les objectifs Qualit.

Do (Faire): mettre en uvre et grer des actions correctives et de progrs. Check (Vrification) : vrifier lefficacit du systme qualit et valuer les rsultats obtenus par rapport lobjectif qualit.

Act (Agir) : agir et exploiter les rsultats des fins de retour dexprience et damlioration continue.

151

Chapitre 6

Management Prliminaire des risques

tel-00338938, version 2 - 16 Feb 2009

FIG. 9: Str uctur e du SMS bas sur la mthode MPR

Le SMS que nous proposons couvre 12 activits compatibles avec le processus MPR : 1. Pr ofil de mission : Les parties responsables doivent identifier la nature et les possibilits de leurs oprations. Elles doivent en particulier prciser les lments qui sont sous leurs responsabilits. 2. Politique de la scur it : Chaque partie est tenue de dmontrer ses capacits maintenir la scurit un niveau acceptable. 3. Assur ance de la scur it : Chaque partie responsable doit sassurer de la bonne gestion de tous les risques ayant un lien avec le systme global et qui ne sont pas sous son contrle direct. 4. Gestion des r fr entiels : Chaque partie responsable doit mettre en place des procdures didentification des textes rglementaires, rgles, normes et besoins techniques ayant un lien avec son activit. 5. 6. Gestion des r les et affectation des r esponsabilits Gestion des cr ises : Chaque partie responsable doit mettre en place un support de procdures gnriques permettant de prvoir ce quil faut faire face certaines situations de crise.

152

Chapitre 6
7.

Management Prliminaire des risques

Gestion des Bases de Donnes accidents/incidents : Chaque partie responsable doit mettre en place des mcanismes de capitalisation et dinvestigation sur les accidents et incidents.

8.

Retour dExpr ience (REX) : Le retour dexprience est le fait dexploiter des connaissances historiques archives afin de dgager un savoir-faire en matire de management de la scurit.

9.

Maitr ise de la communication : Toutes les parties responsables doivent sassurer quils sont au courant de la criticit des communications au sein du systme global.

10. For mation et qualification : Chaque partie responsable doit sassurer de laptitude de ses employs accomplir leurs tches. 11. Audit, r evue et sur veillance : Chaque partie responsable doit mettre en place des procdures rgulires daudit, et de revue du SMS. 12. Maitr ise de la documentation : Le SMS doit tre document dans toutes ses parties en indiquer comment la direction assure le contrle aux diffrents niveaux de l'organisation, et comment le personnel et sa hirarchie contribuent maintenir les plans QHSE 1 (Qualit, Sant, Scurit, Environnement).

tel-00338938, version 2 - 16 Feb 2009

La culture de la scurit peut tre peu propice au maintien dun niveau de scurit optimal. Les 5 niveaux mentionns dans la FIG. 9 sont souvent cits dans les travaux de recherche. La culture de scurit pathologique consiste friser les limites de la rglementation sans chercher amliorer la scurit. La culture ractive traduit une pratique nombriliste qui consiste ragir seulement aprs laccident. La culture calculatoire est une culture dinfaillibilit caractrise par un excs de confiance dans les mcanismes de scurit mis en place. La culture dite proactive est une conception nettement plus intressante qui consiste rflchir tous les problmes lis la scurit aussitt quils se prsentent. Enfin la culture gnrative vient en premier lieu, car hormis la considration proactive des problmes lis la scurit, cette dernire est considre comme le centre dintrt. On favorise dans cette culture lanticipation des problmes en encourageant les ides innovantes et originales.

Quality Health & Safety Environment

153

Chapitre 6

Management Prliminaire des risques

4. Conclusion
La mthode MPR que nous avons prsente dans ce chapitre est principalement base sur le processus accidentel ontologique abord dans le chapitre prcdent. La mthode MPR se prsente sous une forme systmique et organisationnelle. En effet, les aspects organisationnels sont indispensables la scurit, ceci a t affirm par les rsultats de la base de donnes europenne MARS (INERIS-DRA, 2003) qui a rparti les causes des accidents majeures, dclars survenus dans les pays membres, de la manire suivante (tat au 05/1998) : 53% lis aux dysfonctionnement de lorganisation, 29% la fiabilit des quipements, 11% imputable un oprateur, 2% lenvironnement et 5% dautres causes. La dmarche systmique permet de situer lensemble des entits du systme global que nous avons dcompos en plusieurs sous-systmes, en loccurrence le sous-systme sociotechnique regroupant les acteurs et la technologie, et le sous-systme environnement regroupant le public, la technologie et lenvironnement naturel.

tel-00338938, version 2 - 16 Feb 2009

Ces sous-ensembles sont leur tour dcomposs en entits plus lmentaires. Ainsi lidentification dun scnario daccident revient dans un premier temps associer une entit source et une ou plusieurs entits cibles. La dmarche MPR est conforme aux dfinitions normatives du management des risques que nous avons abordes en dtail dans le 2me chapitre. Ainsi, nous retrouverons la phase didentification des scnarios daccident travers les deux phases 4 et 5 (voir FIG. 1), la phase destimation des risques travers la phase 6, la phase dvaluation des risques travers la phase 7, et la phase de maitrise des risques travers la phase 8. Il convient de rappeler que le processus MPR est itratif (itrations R1 et R2) (voir FIG. 1), ce qui assure plus de compltude et de cohrence et permet la mthode de trouver des points dancrage dans le cycle de vie du systme pour accompagner son dveloppement de la spcification au dmantlement. La dmarche MPR est parfaitement compatible avec le Systme de Management de la Scurit (SMS) ainsi quavec le Systme de Management de la Qualit (SMQ) et le Systme de Management de lEnvironnement (SME), ce qui permet dtablir un lien fort entre ces systmes de management dans le but de raliser un Systme de Management Intgr (SMI) de type QHSE. Une description plus complte avec les rfrences correspondantes aux normes (ISO 9001, ISO 14001 et OHSAS 18001) se trouve en annexe B. Enfin, la proposition d'un systme interactif et ergonomique daide la dcision pour le management prliminaire des risques prsente un intrt incontestable. Justement, dans le cadre du prochain chapitre, nous allons prsenter SIGAR (Systme Informatique Gnrique dAnalyse de Risque) qui se prsente comme un outil gnrique ddi la mthode MPR. La gnricit de loutil est due principalement la gnricit de la mthode. Cela le rend applicable dans diffrents domaines : ferroviaire pour lequel il a t initialement dvelopp, manufacturier, machine, sant et scurit au travail, industrie de process, pidmiologie, et bien dautres.

154

Chapitre 6

Management Prliminaire des risques

5. Tr avaux cits
AQS-GT OORS. (Mars 1996). Management de la scurit d'entrepreise, vocabulaire et concept. Association Qualit-Scurit (AQS) pour l'Observatoire de l'Opinion sur les Risques de la Scurit. CEI 300-3-9. (1995). Gestion de la sret de fonctionnement. CEI. CEI 50(191). (1990). International Electro-technical Vocabulary, Chapter 191: Dependability and quality of

service. CEI.
Directive 2001/16/EC. (19 mars 2001). Directive of the European Parliament and of the Council on the

interoperability of the trans-European conventional rail system. Brussels: Official Journal of the European
Union, Commission of the European Communities. Directive 2004/49/EC. (29 avril 2004). Directive of the European Parliament and of the Council on safety on the

Community's railways. Brussels: Official Journal of the European Union, Commission of the European

tel-00338938, version 2 - 16 Feb 2009

Communities. Directive 96/48/EC. (23 juillet 1996). Directive of the European Parliament and of the Council on the

interoperability of the trans-European high-speed rail system. Brussels: Official Journal of the European Union,
Commission of the European Communities. EN 292/ISO 12100. (1995). Scurit des machines ; Notions fondamentales, principes gnraux de conception. ISO/CEN. FD X 50-173. (1998). Principes, acteurs et bonnes pratiques - Guide d'auto-valuation. AFNOR. Gallou, G., & Bouchon-Meunier, B. (1992). Systmique : Thorie & Application. France: Lavoisier. Goffin, L. (1976). Environnement et volution des mentalits. Arlon, Belgium: Thse de doctorat, FUL. GT Aspects smantiques du risque. (1997). Vocabulaire li au risque travers une analyse bibliographique. Institut de Protection et de Sret Nuclaire (IPSN) - Observatoire de l'Opinion sur les Risques et la Scurit. HMSO. (1995). A guide to Risk Assessment and Risk Management for Environmental Protection. England: Her Majestys Stationery Office. INERIS-DRA ARAMIS. (2004). ARAMIS: Dveloppement dune mthode intgre danalyse des risques pour

la prvention des accidents majeurs. Ministre de lEcologie et du Dveloppement Durable - INERIS.

INERIS-DRA. (2003). Outils d'analyse des risques gnrs par une installation industrielle. INERIS, Direction des Risques Accidentels. Larousse. (2006). 38 dictionnaires et recueils de correspondances en CD ROM. Mazouni, M.-H., & Aubry, J.-F. (2007, 26-29 Aot). A PHA based on a systemic and generic ontology, Paper No. 166. IEEE ITS international conference SOLI2007 . Philadelphia, USA: IEEE - ITS.

155

Chapitre 6

Management Prliminaire des risques

Mazouni, M.-H., Aubry, J.-F., & El koursi, E.-M. (2008, 4-5 juin). Mthode systmique et organisationnelle dAnalyse Prliminaire des Risques base sur une ontologie gnrique. 1er Workshop du Groupement d'Intrt

Scientifique Surveillance, Sret, Scurit des Grands Systmes (3SGS'08) . Universit de Technologie de
Troyes. Mazouni, M.-H., Bied-Charreton, D., & Aubry, J.-F. (2007, 18-21 Avril). Proposal of a generic methodology to harmonize Preliminary Hazard Analyses for guided transport, Paper No. 98. IEEE SMC international

conference SOSE2007 . San Antonio, Texas USA: IEEE SMC.

NF EN 60204. (Avril 1998). Scurit des machines. Paris: AFNOR. Reason, J., & Parker, D. (1993). Managing the human factor in road safety. Maatschappij: The Hague: Shell International Petroleum. Whittingham, R. (2004). The Blame Machine: Why Human Error Causes Accidents. Oxford: Elsevier Butterworth-Heinemann.

tel-00338938, version 2 - 16 Feb 2009

156

Chapitre 7

Outil daide la dcision en matire de management des risques

Table des matires du chapitre 7 :

Outil daide la dcision en matire de management des risques

1 2 3

Besoin daide la dcision ....................................................................................................................... 159 Base de donnes, Systme dInformation et Base de Connaissances ....................................................... 160 SIGAR : un outil daide au management prliminaire des risques ........................................................... 162 3.1 3.2 Objectifs et motivation ............................................................................................................. 162 Choix technologiques............................................................................................................... 162 3.2.1 3.2.2 3.2.3 3.3 Visual Studio .NET 2005 ........................................................................................... 162 Crystal Reports .......................................................................................................... 163 SQL Server 2005 ....................................................................................................... 163

Proprits de SIGAR................................................................................................................ 164 Dfinition des donnes ............................................................................................................. 165 Prsentation de linterface graphique utilisateur(GUI) ............................................................ 167 Manipulation des donnes ........................................................................................................ 168 3.6.1 3.6.2 3.6.3 3.6.4 3.6.5 Oprations algbriques et SQL .................................................................................. 168 Oprations transactionnelles et SQL Server-Transact................................................ 171 Edition (ajout, suppression, mise jour) .................................................................... 171 Affichage et impression ............................................................................................. 172 Statistiques et Traitement de donnes ........................................................................ 173

tel-00338938, version 2 - 16 Feb 2009

3.4 3.5 3.6

3.7 3.8

Retour dexprience ................................................................................................................. 174 Fonctionnalits avances.......................................................................................................... 175 3.8.1 3.8.2 3.8.3 Gestion des droits daccs .......................................................................................... 175 Historique des accs ................................................................................................... 176 Busines Intelligence ................................................................................................... 176

4 5

Conclusion ................................................................................................................................................ 177 Travaux cits ............................................................................................................................................. 178

157

Chapitre 7

Outil daide la dcision en matire de management des risques

Chapitre 7

Outil daide la dcision en

tel-00338938, version 2 - 16 Feb 2009

matire de management des risques

Les bases de donnes, constitues de fiches, ont fait couler beaucoup dencre avant lapparition des outils informatiques et lmergence des techniques de capitalisation, prennisation et exploitation des donnes grce des SGBD (Systmes de Gestion de Bases de Donnes). Nanmoins, la manipulation des SGBD est une tche ncessitant la matrise de loutil informatique et la connaissance dun langage de requte permettant lutilisateur de formaliser ses besoins. En effet, nous allons prsenter dans ce 7me et dernier chapitre loutil SIGAR (Systme Informatique Gnrique dAide lAnalyse de Risque) ddi la mthode MPR tudie dans le cadre du chapitre prcdent. Tous les exemples prsents sont relatifs aux scnarios modliss dans le domaine ferroviaire dans le chapitre 5 (voir chapitre 5, 3.1). SIGAR est un outil interactif daide et dassistance au management des risques. Il est dot dune interface graphique (GUI : Graphical User Interface) conue de faon permettre aux utilisateurs de naviguer travers ses menus graphiques interactifs et dexprimer en langage habituel leurs besoins en informations et donnes via la saisie de formulaires sans solliciter directement le SGBD via le langage de requte appropri. Les donnes introduites sont par la suite rcupres et puis composes sous la forme dune requte informatique 158

Chapitre 7

Outil daide la dcision en matire de management des risques

avant dtre soumises au SGBD. Enfin, les rsultats retourns sont aussitt rcuprs et affichs de faon graphique agrable et ergonomique.

Besoin daide la dcision

Un des problmes-clefs de l'informatique est qu'elle ne peut progresser qu'en amliorant ses "schmes"

de base (les formalismes). En effet, ceux-ci montrent souvent leurs limites ds qu'il s'agit de formaliser la complexit des problmes que posent la reprsentation des connaissances et leur manipulation par des utilisateurs non expriments. Le gnie informatique et plus spcifiquement l'intelligence artificielle s'attache construire des modles computationnels du traitement de l'information avec comme objectif de les faire excuter par un automate. La programmation consiste en effet assembler, partir d'un formalisme de base, les diffrents objets calculables dont elle a besoin pour reprsenter une connaissance donne.

tel-00338938, version 2 - 16 Feb 2009

Selon Dillenbourg (Dillenbourg & Martin-Michielot, 1995): Bien que l'IA ait t originellement conue pour reproduire l'intelligence humaine, de la perspective des didacticiels, la qualit des techniques de l'IA n'est pas leur degr de fidlit psychologique mais la mesure dans laquelle elles permettent de mettre en uvre des interactions intressantes . Il ajoute aussi que l'apport des techniques dIA peut tre rsum en la capacit du systme de rsoudre des problmes que l'apprenant est sens rsoudre et son aptitude conduire des interactions de type apprenant expert avec lutilisateur. En effet, il existe plusieurs domaines dapplication des techniques de l'IA, comme laide la dcision, le traitement des langues naturelles, la planification, l'apprentissage automatique, etc. Les outils daide la dcision ont pris aujourdhui une place essentielle dans diffrents domaines sociotechniques. Depuis la naissance des bases de donnes (BD) au milieu des annes 60, les besoins et les solutions nont cess de frayer les chemins de lexigence et de linnovation. Les outils d'aide la dcision permettent d'apporter des rponses pertinentes des problmatiques diverses mettant en uvre plusieurs choix possibles. Parmi les systmes daide la dcision on trouve les EIS (Executive Information System) et les SIAD (Systme Informatis d'Aide la Dcision). LEIS est un outil permettant d'organiser, d'analyser et de mettre en forme des indicateurs afin de constituer des tableaux de bord. Ce type d'outil, facile utiliser, ne permet de manipuler que des requtes pralablement modlises par le concepteur. A l'inverse un SIAD a pour but de permettre la modlisation de reprsentations multidimensionnelles diverses et varies mais ncessite un apprentissage plus lourd.

159

Chapitre 7

Outil daide la dcision en matire de management des risques

Base de donnes, Systme dInformation et Base de Connaissances

Une donne est un fait brut, cest la mesure dune caractristique tel quun son, un texte structur ou

non, une image, une vido, etc. Perpen (Perpen, 2000) ajoute quune donne est dit brute car aucune interprtation ne lui a t attribue. Contrairement une donne, une information rpond un besoin, autrement dit, elle a une signification (valeur) dans un contexte prcis (pertinence). Selon la norme qualit ISO 9000 (ISO 9000, Dcembre 2000), une information est un renseignement, documentation sur quelqu'un ou quelque chose constituant, selon Bck (Bck, 1999), un Elment de la connaissance susceptible d'tre transmis et conserv grce un support ou un code . Linformation est donc un processus grce auquel une organisation sinforme sur elle-mme et sur son environnement et rciproquement.

tel-00338938, version 2 - 16 Feb 2009

La connaissance est la facult de connatre grce au savoir, la science ou lexprience (Larousse, 2006). Elle provient du fait dassocier un ensemble dinformation un contexte dutilit, ce qui la rend insparable du sujet contrairement linformation qui revt un caractre phmre, volatile et dobsolescence rapide (Bck, 1999). Gouriveau (Gouriveau, 2003) a tent de situer le triptyque donne/information/connaissance au sein du processus dcisionnel (voir FIG. 1) : Monde rel Monde peru Monde modlis Processus dcisionnel Monde trait

Donnes

Signification

Informations

Contexte

Connaissances

FIG. 1 : Donnes, infor mations, connaissances et pr ocessus dcisionnel (Gour iveau, 2003) Les connaissances peuvent tre de natures diverses (Tourigny, 1998): certaines ou incompltes, procdurales ou dclaratives, confidentielles ou non confidentielles, cohrentes ou contradictoires, quantitatives ou qualitatives, etc. Les systmes base de connaissances ont plusieurs caractristiques (Dankel & Gonzales, 1993): Ils utilisent les connaissances propres un domaine pour rsoudre des problmes complexes. Ils font appel un processus de rsolution de nature heuristique plutt qualgorithmique. Ils prsentent une sparation trs nette entre les connaissances et les mcanismes de raisonnement utiliss tels que les moteurs dinfrence. Leur niveau dexpertise est au moins comparable aux meilleurs experts du domaine.

160

Chapitre 7

Outil daide la dcision en matire de management des risques

On peut assimiler une base de donnes un rservoir commun partag par des utilisateurs ayant des besoins diffrents en information. Cest un ensemble de donnes organises de faon servir plusieurs applications simultanment par une centralisation et une gestion qui donnent l'utilisateur l'impression qu'elles se trouvent regroupes dans un seul endroit (Laudon & Laudon, 2001). On peut aussi dfinir une base de donnes comme une entit dans laquelle il est possible de stocker des donnes de faon structure et avec le moins de redondance possible. Ces donnes doivent pouvoir tre utilises par des programmes, et des utilisateurs diffrents. Une base de donnes permet de mettre des donnes la disposition d'utilisateurs pour une consultation, une saisie ou bien une mise jour, tout en s'assurant des droits accords ces derniers. Cela est d'autant plus utile que les donnes informatiques sont de plus en plus nombreuses. En effet, on parle gnralement de Systme dInformation (SI) pour dsigner toute la structure regroupant les moyens mis en place pour pouvoir partager une masse importante de donnes. Un Systme dInformation supporte les actions coordonnes visant fournir, d'une manire proactive, la bonne information,

tel-00338938, version 2 - 16 Feb 2009

au bon moment et la bonne personne. Cependant, il ne faut pas confondre base de donnes et base de connaissances. Une base de connaissance est une base de donnes stockant des questions, et ventuellement leurs rponses, au fur et mesure qu'on les dcouvre. Un systme base de connaissance est une application capable d'effectuer dans un domaine des raisonnements logiques comparables ceux que feraient des experts humains de ce domaine. Il s'appuie sur des bases de donnes de faits et de connaissances, ainsi que sur un moteur d'infrence, lui permettant de raliser des inductions ou dductions logiques (chanage avant et arrire). C'est avant tout un systme d'aide la dcision (SIAD) qui sert rassembler - de manire centralise - l'expertise d'un domaine gnralement formalise de manire dclarative. Un SGBD (Systme de Gestion de Base de Donnes) est un ensemble de services essentiels dans un systme dinformation. Intuitivement, il permet des utilisateurs concurrents de dfinir et de manipuler simultanment (insrer, modifier, supprimer et rechercher) les donnes contenues dans lensemble ou dans une partie autorise des donnes. Gnralement, un SGBD offre des fonctionnalits indispensables quon peut rsumer en 5 points: 1. Cration des structure de donnes (table, classe dobjets) en prcisant pour chaque champ le nom, le type, ventuellement si cest une cl primaire et le cas chant dfinir lintgrit rfrentielle. 2. 3. 4. Saisie des donnes. Exploitation de la base moyennant des fiches de consultation, fiches ddition ou fiches de mise jour. Interrogation de la BD laide dun langage de requte tel que SQL (Structured Query Language). Une requte consiste imposer des contraintes sur un ou plusieurs champs afin de connatre tous les enregistrements correspondants. Toutefois, mme sil est prfrable de manipuler le langage SQL, il existe des outils tels que QBE (Query By Example) qui ne font appel aucune connaissance particulire en langage de requtes. 5. Affichage des rsultats.

161

Chapitre 7

Outil daide la dcision en matire de management des risques

SIGAR : un outil daide au management pr liminair e des r isques

3.1

Objectifs et motivation
L'objectif principal de loutil SIGAR est dassister les valuateurs dans la rdaction, la vrification et la

mise jour des dossiers de management des risques et entre autres les Analyses (Prliminaires) de Risque (Mazouni, Aubry, & El koursi, 2008). Evidement, la proposition d'un systme interactif et ergonomique daide la dcision pour lvaluation de la scurit des systmes reprsente un intrt incontestable. L'ergonomie de linterface graphique (GUI) permet, entre autres, de contraindre les utilisateurs utiliser un langage commun, dviter les copier/coller et reprises par habitude et de respecter les rfrentiels de scurit.

tel-00338938, version 2 - 16 Feb 2009

Durant nos travaux de fin dtudes dingnieur en informatique, nous avons dvelopp un systme daide graphique permettant de traduire les besoins exprims par lutilisateur en des requtes crites en un langage SQL. Ces requtes sont ensuite communiques par modules au moteur de requtes, qui une fois quil les a excutes retourne les rsultats associs qui seront communiqus en un langage comprhensible lutilisateur (Mazouni & Hannachi, 1999). On peut donc sinspirer de ces travaux pour dfinir une interface graphique adapte aux besoins en matire de management des risques.

3.2
3.2.1

Choix technologiques
Visual Studio .NET 2005
Microsoft Visual Studio est une suite de logiciels de dveloppement pour Windows conu par

Microsoft. Visual Studio est un ensemble complet d'outils de dveloppement permettant de gnrer des applications Web ASP.NET, des Services Web XML, des applications bureautiques et des applications mobiles (Horton, 2006). Visual C++ (Solter & Kleper, 2005), Visual Basic, Visual C# et Visual J# utilisent tous le mme environnement de dveloppement intgr (IDE, Integrated Development Environment), qui leur permet de partager des outils et facilite la cration de solutions faisant appel plusieurs langages. Par ailleurs, ces langages permettent de mieux tirer parti des fonctionnalits du Framework .NET, qui fournit un accs des technologies cls simplifiant le dveloppement d'applications. Le noyau de Visual Studio .Net 2005 est bas sur la version 2 du Microsoft Framework (Sripriya & Kishore, 2002). Cette version apporte de nouveaux composants mais surtout de nouveaux Namespaces , des nouvelles classes, de nouvelles fonctions, et une multitude de nouveauts ayant pour but de faciliter le dveloppement. Visual Studio intgre aussi une technologie de dploiement dite ClickOnce qui permet la mise jour d'une application grce un simple lien hypertexte via un lien dans une page internet (intranet) ou mme dans un

162

Chapitre 7

Outil daide la dcision en matire de management des risques

mail, et le tlchargement de fichiers requis se fera alors systmatiquement. Ainsi, l'administration d'un parc utilisant la mme application est considrablement simplifie.

3.2.2

Crystal Reports
Cristal Reports est un produit de Business Objects (acquise par SAP en Octobre 2007). Cest une

application de business intelligence employe pour concevoir et gnrer des rapports partir dune quantit importante de donnes. Plusieurs autres applications, telles que Microsoft Visual Studio, empaquettent une version OEM de Cristal Reports comme outil d'usage universel de reportage. Cristal Reports permet aux utilisateurs de faire une slection de lignes et de colonnes spcifiques partir d'une table de donnes compatibles (Microsoft SQL Server, Sybase, IBM DB2, Ingres, Microsoft Access, MySQL, Interbase et Oracle) (McAmis, 2004). Les utilisateurs peuvent alors positionner les donnes sur le rapport dans le format requis. Une fois que la disposition du rapport est complte elle est sauvegarde avec une extension .rpt. Un rapport peut tre r-excut en r-ouvrant le dossier RPT et en rgnrant les donnes. Si les donnes de base ont t mises jour alors le rapport rgnr refltera ces mises jour. Le rapport peut tre

tel-00338938, version 2 - 16 Feb 2009

visionn sur l'cran, tre imprim pralablement sur le papier voire mme export vers diffrents formats tels que MS Word (.doc, .tif) ou Excel, Acrobat Reader (.pdf), etc. Les formats de rapport peuvent varier d'une colonne simple des valeurs aux dispositions comportant des graphes, des histogrammes, des tableaux synoptiques, des tiquettes et des sous rapports. Cristal Reports peut aussi tre lanc et contrl partir d'un portail Internet. Business Objects a plusieurs produits de portails Internet : Business Objects Enterprise, Business Objects Crystal Decisions, Crystal Reports Server, etc. Mis part les bases de donnes, Crystal Reports supporte plusieurs autres sources de donnes, en loccurrence : les tableurs (Microsoft Excel), Textes, les fichiers XML, les Groupwares (Lotus Notes, Microsoft Exchange et Novell GroupWise), et autres sources accessibles via le web service, ODBC, JDBC ou OLAP.

3.2.3

SQL Server 2005

SQL Server 2005 de son nom de code Yukon est un SGBDR (Systme de Gestion de Bases de

Donnes Relationnelles) de la plateforme Microsoft. Pour les requtes, SQL Server utilise T-SQL (Transact-SQL), il s'agit d'une implmentation de SQL qui prend en charge les procdures stockes et les dclencheurs (trigger). Bas sur les points forts de son prdcesseur (SQL Server 2000), Yukon intgre beaucoup de nouvelles fonctionnalits vocation productive : Crer et dployer des applications plus sres, plus puissantes et plus fiables. Doter les dveloppeurs dun environnement de dveloppement riche, souple et ergonomique. Partager des donnes entre diverses plates-formes, applications et systmes. Faciliter les connexions locales et distantes aux bases de donnes.

163

Chapitre 7

Outil daide la dcision en matire de management des risques

SQL Server 2005 apporte aussi des changements significatifs concernant les points suivants: Monte en charge: amliorations comme le partitionnement, l'isolement des captures instantanes et la prise en charge des systmes 64 bits. Scurit: cryptage de base de donnes et choix de la scurit maximale par dfaut. Gestion: une nouvelle suite d'outils de gestion de base de donnes et amlioration du Profiler SQL. Interoprabilit: grce une prise en charge tendue des standards, des services Web et de Microsoft .NET Framework, SQL Server 2005 assure l'interoprabilit entre plates-formes, applications et systmes. Amlioration des outils: intgration avec l'outil de dveloppement Visual Studio. Intgration de la CLR (Common Language Runtime) dans le moteur de base de donnes: Les dveloppeurs auront la possibilit de choisir parmi plusieurs langage (C++, C#, VB.NET, TransactSQL, etc.) en vue de dvelopper leurs applications de base de donnes. Support du XML. Support des Web Services: prise en charge de standards ouverts, existants ou nouveaux, tels que HTTP (Hypertext Transfer Protocol), XML, SOAP (Simple Object Access Protocol).

tel-00338938, version 2 - 16 Feb 2009

3.3

Pr opr its de SIGAR

SIGAR doit tre install sur toutes les machines destines avoir accs la base de donnes SIAD.

Cette dernire doit tre dploye sur un simple ordinateur (accs en monoposte) ou sur un serveur en vue dun accs multiple et distance travers un rseau TCP/IP (voir FIG. 2). Ces options offrent un meilleur cadre dchange aux experts cooprant dans un dossier danalyse de risque.

FIG. 2 : Dploiement de SIAD et de SIGAR L'architecture de SIGAR comprend les trois niveaux physique, conceptuel et oprationnel, conformment au standard ANSI/SPARC ; ceci permet d'avoir une indpendance entre les donnes et les traitements. 164

Chapitre 7

Outil daide la dcision en matire de management des risques

En effet, SIGAR est conu conformment aux exigences suivantes : Indpendance physique : le niveau physique peut tre modifi indpendamment du niveau conceptuel. Cela signifie que tous les aspects matriels de la base de donnes n'apparaissent pas pour l'utilisateur, il s'agit simplement d'une structure transparente de reprsentation des informations. Indpendance logique : le niveau conceptuel doit pouvoir tre modifie sans remettre en cause le niveau physique, c.-.-d. que l'administrateur de loutil doit pouvoir faire voluer la BD sans que cela ne gne les utilisateurs. Manipulabilit : les personnes ne connaissant pas la base de donnes doivent tre capables de dcrire leur requte sans faire rfrence des lments techniques de la base de donnes. Rapidit des accs : loutil doit pouvoir fournir des rponses rapides aux requtes, cela implique des algorithmes optimiss de fouille de donnes. Administration centralise : loutil doit permettre de faon centralise aux utilisateurs de pouvoir manipuler les donnes, insrer de nouveaux lments, vrifier lintgrit de lensemble de donnes, etc. Limitation de la redondance : loutil doit pouvoir viter dans la mesure du possible des informations redondantes, afin de prserver la cohrence et optimiser lexploitation des ressources. Vrification de l'intgrit : les donnes doivent tre cohrentes entre elles, de plus lorsque des lments font rfrence d'autres, ces derniers doivent tre prsents. Partageabilit des donnes : loutil doit permettre l'accs simultan la base de donnes par plusieurs utilisateurs. Scurit des donnes : loutil doit tre dot de mcanismes permettant de grer les droits d'accs aux donnes selon les profils dutilisateur.

tel-00338938, version 2 - 16 Feb 2009

3.4

Dfinition des donnes

Avant toute tude concernant les applications et les systmes de base de donnes, nous avons besoin

dune notation qui permet de comprendre la structure de donnes dune application, soit le schma de donnes. Il existe deux types dinformations dans une base de donnes : les donnes et le schma de donnes. Un schma de donnes dcrit la structure des donnes. En effet, un SGBD possde des contraintes sur les donnes et le schma adopt. Lintgrit rfrentielle est un ensemble de contraintes sur les cls trangres utilises dans la base de donnes. En effet, SQL Server permet de vrifier la validit de ces contraintes, autrement dit, lissue de lattribution dune valeur un attribut dfini comme cl trangre, le SGBD doit sassurer que lenregistrement possdant la cl primaire correspondante fait partie de la table rfrence. Ainsi, aprs la suppression dun enregistrement contenant une cl primaire, le SGBD vrifie que cette dernire nexiste plus en tant que cl trangre. Mis part les tables stockes, on peut exploiter des vues. Une vue est une table relationnelle dfinie en terme de langage de requte. Un autre usage des vues relationnelles est galement possible, cest de dfinir un sous-ensemble dune table sur laquelle des utilisateurs particuliers ont lautorisation de lire, dcrire ou de faire des mises jour. 165

Chapitre 7

Outil daide la dcision en matire de management des risques

tel-00338938, version 2 - 16 Feb 2009

FIG. 3: Modle de donnes de la base de donnes SIAD Loutil SIGAR est organis autours de la base de donnes SIAD. Le modle de donnes de cette base de donnes est prsent dans la figure 3 (FIG. 3). En ralit, SIAD est un entrept de donnes diversifies et htrognes, mais travers les fonctionnalits Visual Studio dextraction, de transformation et de chargement de donnes, on peut travailler sur une partie restreinte des donnes, autrement dit, un cube de donnes (data cube) nomm SIADDataSet. Le modle de donnes adopt se compose de plusieurs tables relies entre elles par des liens relationnels ayant pour effet la gnration de cls trangres permettant de garder lintgrit rfrentielle de la base de donnes. Cette notion dintgrit rfrentielle est indispensable pour pouvoir vrifier la cohrence, la traabilit et la compltude des donnes. Le choix des types des attributs de chaque table est arrt en vue de rduire au maximum les interventions de loprateur. Par exemple, les informations relatives la date et au nom doprateur sont systmatiquement capitalises via la cration et lassociation des dclencheurs (triggers) aux tables. La table PRM_bis est la table de travail sur laquelle loprateur effectue ses oprations ddition. On peut dire quelle reprsente la version finale de ltude. Tandis que la table PRM se prsente comme lentrept de donnes historiques et actualises. Ainsi, on peut consulter le trac historique dun scnario donn, autrement dit, retrouver les diffrents changements dont il a fait lobjet, les dates et heures des interventions la seconde prs, les oprateurs intervenants, etc.

166

Chapitre 7

Outil daide la dcision en matire de management des risques

Nanmoins, la table PRM est compltement transparente travers linterface graphique et ne peut tre consulte voire modifie qu travers ladministration de la base de donnes SIAD en utilisant les services SQL Server limage de SQL Server Management Studio (SMSS) ou la console de requte. Les relations qui existent entre les diffrentes tables sont utilises, entre autre, pour modifier ou supprimer, en cascade, des enregistrements lis. Il convient de prciser quun scnario daccident est une concatnation des informations lies aux caractristiques de laccident (type, mode de fonctionnement, phase, etc.), des informations relatives lespace de danger (situation de danger, vnement initiateur, Entit Source de Danger, etc.), des informations lies lespace de vulnrabilit (les dommages, les Entits Cibles de Danger, la gravit, etc.). On peut ajouter cette chane les moyens de matrise des risques (les mesures de rduction du risque, les cots et les bnfices, aspects organisationnels de la mise en uvre des mesures envisages). Par consquent, les tables accident, HEV, consquences et means sont relies travers une cascade de cls trangres. La cl primaire de la table accident est rfrence dans la table HEV dont la cl est rfrence dans la table consquences dont la cl est rfrence dans la table means.

tel-00338938, version 2 - 16 Feb 2009

3.5

Pr sentation de linter face gr aphique utilisateur (GUI)

Linterface graphique de SIGAR (voir FIG. 4) contient plusieurs menus interactifs :

FIG. 4 : Inter face gr aphique pr incipale de SIGAR 167

Chapitre 7

Outil daide la dcision en matire de management des risques

Loption File permet douvrir ou de fermer un dossier de management des risques et aussi de quitter lapplication. Loption Edition permet dinsrer, de supprimer ou de mettre jour les donnes. Loption Display est relative au reporting . Loption Statistics permet de raliser des statistiques sur les scnarios daccidents. Loption Ontology mne vers une interface de saisie des entits en fonction du dcoupage systmique du systme global. Chaque entit est enrichie en fonction de ses associations de type (Entit Source de Danger, Entit Cible de Danger) dceles partir des nouveaux scnarios.

Loption Help contient une aide synthtique pouvant assister loprateur. Enfin, la ligne Capitalizing knowledge for learning from experience sert raliser un retour dexprience sur les composantes du scnario daccident.

3.6
tel-00338938, version 2 - 16 Feb 2009
3.6.1

Manipulation des donnes

Oprations algbriques et SQL

Un langage de requte relationnel permet au moins la slection, la projection et la jointure de donnes : La slection produit un ensemble de lignes de la table. La projection a pour rsultat un sous-ensemble de colonnes de la table. La jointure met en relation les enregistrements de diffrentes tables dont les attributs spcifis possdent des valeurs gales ou comparables. La manipulation de donnes fait appel au langage algbrique. Dans ce type de langage cest lutilisateur qui doit prparer sa squence doprations pour quil puisse interroger la base (Dellobel & Adiba, 1985). Lexpression dun besoin se fait laide doprations binaires et unaires dont les oprandes sont les relations de la base de donnes (voir FIG. 5).

168

Chapitre 7

Outil daide la dcision en matire de management des risques

Union, intersection, diffrence et produit cartsien.

Ensemblistes Opr ateur s du langage algbr ique

Relationnels

Extensions Binaires

Restrictions Unaires

tel-00338938, version 2 - 16 Feb 2009

Jointure

Division

Projection (Dcoupage vertical)

Slection (Dcoupage Horizontal)

FIG. 5: Opr ateur s du langage algbr ique (Gardarin, 1998) FIG. 5: Opr ateur s du langage algbr ique

3.6.1.1

Produit cartsien
Etant donn deux relations R(X) et S(Y) o les constituants X et Y sont disjoints, le produit cartsien

de R par S, not R x S est une relation dfinie par : R x S = R * S. Dans le cas ou les relations R et S auraient les constituants non-disjoints, il est toujours possible de se ramener lhypothse des constituants disjoints en renommant les doublures ou en conservant les domaines (Gardarin, 1998).

3.6.1.2

Union et intersection
Etant donn deux relations R(X) et S(X) o les constituants de R et S sont identiques et dfinis sur les

mmes domaines. Lunion () et lintersection () de R et S seront dfinie respectivement par : R S = R + S et R S = R * S. Dans le cas o les relations R et S nont pas la mme liste de constituants, on dira quelles sont compatibles sil existe une bijection entre les constituants de R et les constituants de S telle que les constituants en correspondance dans la bijection aient le mme domaine (Gardarin, 1998).

3.6.1.3

Complment dune relation

Le complment dune relation R(X) note R(X) sera dfini par son prdicat : ||R(X) || = ||R(X)||,

o le symbole reprsente la ngation logique. Le complment possde, par rapport laddition et au produit, les proprits suivantes : 169

Chapitre 7
(R+S)(XY) = (R * S)(XY). (R*S)(XY) = (R + S)(XY).

Outil daide la dcision en matire de management des risques

3.6.1.4

Diffrence
Etant donn deux relations R(X) et S(X) telles que les domaines associs aux constituants de la liste X

de R soient identiques ceux de la liste S. On dfinira la diffrence de R moins S, note R S par son prdicat : ||(R S)(X)|| = ||R(X)|| ||S(X)||, ceci amne : R S = R * S.

3.6.1.5

Projection
Soit R(X, Y) une relation o lon a distingu le constituant X du constituant Y. La projection sur Y de

cette relation au constituant Y not R(X, Y) [Y] dfinie par son prdicat : ||R(X,Y)[Y]|| = a ||R(a,Y)||.

tel-00338938, version 2 - 16 Feb 2009

La projection R(X, Y)[Y] est une opration de dcoupage verticale de la relation R(X,Y) sur le constituant Y.

3.6.1.6

Division
La division dune relation R(X, Y) par S(Y), note R S, est une relation dfinie sur le constituant X

par le prdicat : ||R S(X)|| = y S(Y) ||R(X,y)||.

3.6.1.7

Slection
Lopration de slection consiste slectionner dans une relation les n-uplets (lignes) qui satisferont

une proprit donne. Pour exprimer cette proprit, on utilise une formule logique construite partir des connectives de la logique. Pour dfinir une expression de slection, on partira de la notion de formule atomique dont la structure sera : (nom du constituant nom du constituant) ou bien (nom du constituant constante), o dsigne un des oprateurs de comparaison. Une expression de slection obit aux rgles de construction suivantes (Dellobel & Adiba, 1985)(Gardarin, 1998): Une formule atomique est une expression de slection. Si E1 et E2 sont deux expressions de slection, alors E1 E2, E1 E2 et E1 sont des expressions de slection. Si E1 est une expression de slection, (E1) est une expression de slection. On dsignera par R : E lopration de slection sur R suivant lexpression E. Ceci peut tre dfini par le prdicat : ||R : E(X)|| = || R(X)|| E(X).

170

Chapitre 7
3.6.1.8 -jointure

Outil daide la dcision en matire de management des risques

Etant donn deux relations R(X1,X2,,Xn) et T(Y1,Y2,..,Yk) tel que domaine(X1) = domaine(Y2) ; On dfinira la -jointure de R par T, not R * (X1 Y1)T o reprsente un oprateur de comparaison comme tant une relation dfinie sur: (X1,X2,,Xn,Y1,Y2,..,Yk) par le prdicat : ||(R * (X1 Y1) T) (X1,X2,,Xn, Y1,Y2,..,Yk)|| = ||R(X1,X2,,Xn)|| ||T(Y1,Y2,..,Yk )|| ( X1 Y1). Compte tenu de la dfinition de loprateur de produit cartsien et de la slection, on peut remarquer que : R * (X1 Y1) T = (R x T) : X1 Y1. Cette quation exprime le fait que la -jointure peut tre obtenue en effectuant dabord un produit cartsien suivi dune slection (Gardarin, 1998).

3.6.2

Oprations transactionnelles et SQL Server-Transact

SQL Server est un SGBD transactionnel capable de prparer des modifications sur les donnes d'une

base et de les valider ou de les annuler d'un bloc. Ceci garantit l'intgrit des informations stockes dans la base.

tel-00338938, version 2 - 16 Feb 2009

Lors d'une transaction, les blocs de donnes contenant les lignes de donnes modifies par cette transaction deviennent verrouills. Les autres utilisateurs, en fonction du niveau d'isolation choisi, doivent attendre ou non la fin de la transaction pour pouvoir les modifier nouveau. Les verrouillages s'effectuent au niveau des lignes, pages, extensions, tables ou base de donnes. SQL Server ne verrouille que les ressources dont il a besoin (par dfaut les enregistrements) et en fonction des besoins peut verrouiller un niveau plus lev (pages ou objet). Ceci vite aux utilisateurs d'attendre la fin d'une transaction pour mettre jour des lignes de donnes qui n'ont pas t touches par une modification et permet de diminuer la quantit de ressources consommes.

3.6.3

Edition (ajout, suppression, mise jour)

Le menu Edition permet de visualiser le contenu des tables accident, HEV, consequences ou

means et aussi de lancer linterface ddition des scnarios daccident (voir FIG. 6).

171

Chapitre 7

Outil daide la dcision en matire de management des risques

tel-00338938, version 2 - 16 Feb 2009

FIG. 6: Inter face daffichage et ddition de la table PRM_bis

Lextraction des donnes seffectue travers des slections sur les tables correspondantes. Les rsultats affichs dans une forme tabulaire peuvent tre tris en fonction dune colonne donne. Cependant, les oprations ddition, de recherche ou daccs rapide une ligne seffectuent travers le Binding Navigator .

3.6.4

Affichage et impression
Le menu Display permet de gnrer automatiquement des rapports dtude en se basant sur la

richesse et la puissance de Cristal Reports en la matire. En effet, hormis la prsentation ergonomique et les fonctions de base ddition et dimpression dun rapport, Cristal Reports offre des fonctionnalits trs avances de fouille de donnes.

172

Chapitre 7

Outil daide la dcision en matire de management des risques

tel-00338938, version 2 - 16 Feb 2009

FIG. 7: Gnr ation automatique dun document dAPR Les rapports sont directement extraits de la base de donnes et peuvent tre sauvegards sous le format original de Cristal Reports (.rpt), voire mme exports vers plusieurs formats tels quAcrobat Reader (.pdf), Microsoft Word (.rtf, .doc), Microsoft Excel (.xls), etc. La figure 7 (FIG. 7) est une copie dcran dun document dAnalyse Prliminaire des Risques gnr automatiquement partir de SIGAR et export vers un format MS Word.

3.6.5

Statistiques et Traitement de donnes

Le menu Statistics regroupe plusieurs possibilits de traitement des corrlations entre les diffrentes

composantes du scnario daccident. Ainsi, on peut connatre, par exemple, limpact dun accident sur une Entit Cible de Danger donne (voir FIG. 8) voire mme observer la rpartition des consquences en fonction de lEntit Source de Danger, etc.

173

Chapitre 7

Outil daide la dcision en matire de management des risques

tel-00338938, version 2 - 16 Feb 2009

FIG. 8: Copie dcr an de statistiques gnr es automatiquement

3.7

Retour dexpr ience

SIGAR propose quatre possibilits de retour dexprience : REX sur les accidents (bouton accident) (voir FIG. 9). REX sur les espaces de danger (bouton HEV). REX sur les espaces de vulnrabilit (bouton Consequences). REX sur la matrise des risques (bouton Means).

Chaque bouton sert capitaliser les donnes en cours de manipulation afin de servir au REX. Par exemple, en cas dhsitation sur lvaluation de la gravit dun scnario daccident, on peut actionner le bouton consequences qui affiche une table regroupant les consquences de lensemble des tudes passes aprs avoir lanc lajout de la partie consquence du scnario en question. Par consquent, on peut trier les rsultats en fonction des dommages, des cibles ou des indexes daccident afin didentifier les similarits permettant de fixer la gravit sollicite.

174

Chapitre 7

Outil daide la dcision en matire de management des risques

tel-00338938, version 2 - 16 Feb 2009

FIG. 9: Inter face du REX sur les accidents

3.8
3.8.1

Fonctionnalits avances
Gestion des droits daccs
Les services excutant chaque instance de SQL Server utilisent un compte de service. Ce dernier doit

tre choisi avec soin pour viter d'ventuelles failles de scurits sur le serveur. Celui-ci peut tre : Service Systme, Service Local, Service Rseau, compte utilisateur Windows local, compte utilisateur du domaine. SQL Server s'appuie par dfaut sur le systme d'authentification de Windows. On peut donner des droits sur les diffrents lments de SQL Server un groupe ou un utilisateur. Lors de la connexion la base de donnes, l'utilisateur est identifi grce son login Windows et accde aux ressources de la base de donnes auxquelles l'administrateur lui a donn droit par l'intermdiaire de son groupe Windows ou directement son identifiant. Les droits sur les bases de donnes sont donns par l'intermdiaire de rle de base de donnes, de groupes Windows ou directement l'utilisateur. Il existe des rles de bases de donnes systme qui donnent des

175

Chapitre 7

Outil daide la dcision en matire de management des risques

droits spcifiques sur la base de donnes et d'autres dfinis par l'administrateur qui donnent des droits sur les objets. Il existe au niveau des bases de donnes des rles applicatifs auxquels on peut affecter des droits et accessibles par mot de passe. Lorsqu'ils sont utiliss ils remplacent les droits de l'utilisateur courant par les droits affects au rle. Ils sont utiliss pour interdire l'accs aux utilisateurs une base de donnes par d'autres moyens que l'application qui leur est fournie.

3.8.2

Historique des accs

Les transactions sont enregistres dans le journal de transaction et les modifications des donnes sont

intgres la base de donnes lors de points de contrle (check point). Il est possible de forcer un point de contrle grce l'instruction CHECKPOINT . Le journal des transactions peut tre conserv de trois manires diffrentes : Mode simple : toutes les modifications sont enregistres dans le journal sauf pour les instructions de chargement en bloc telles que CREATE INDEX, SELECT INTO etc. Les transactions termines sont supprimes du journal de transaction au prochain point de contrle. Mode journalis en bloc : Idem que le mode simple, sauf que les transactions termines dont les donnes sont crites sur le disque sont supprimes du journal de transaction chaque sauvegarde de celui-ci. Mode complet : Idem que le mode journalis, mais dans ce mode toutes les modifications sont enregistres dans le journal. Dans les 2 derniers modes, il est possible de sauvegarder la base de donnes et de la restaurer en prcisant le temps cibl la seconde prs ou bien en se rfrant linstant prcdant une transaction donne.

tel-00338938, version 2 - 16 Feb 2009

3.8.3

Busines Intelligence
SQL Server Business Intelligence Development Studio est l'outil de dveloppement Microsoft Visual

Studio 2005 adapt pour la cration de projets Analysis Services, Integration Services ou Reporting Services . Tous ces projets se retrouvent dans le groupe Projets Business Intelligence . SQL Server Management Studio (SSMS) est un outil qui permet de se connecter et d'administrer les diffrents moteurs SQL Server 2005. Il permet pour le moteur relationnel de dvelopper des scripts TransactSQL, avec la possibilit de regrouper l'ensemble de ceux-ci au sein d'une solution (comme sous Visual Studio). Notification Services permet de requter rgulirement la base de donnes et en fonction de ces requtes de notifier des groupes abonns ces vnements. Analysis Services permet de gnrer des cubes OLAP, donnes agrges et multidimensionnelles. Il permet galement d'implmenter des algorithmes de Data Mining. Reporting Services est un moteur de gnration d'tats. Deux services web le composent, l'un permettant son administration, l'autre la gnration, l'abonnement, le rendu des rapports. Les rendus se font sous Excel, PDF et HTML. 176

Chapitre 7

Outil daide la dcision en matire de management des risques

Integration Services est un outil dETL (Extracting, Transforming and Loading) trs puissant qui se prsente comme une plate-forme complte d'intgration de donnes. SSIS peut tre utilis pour raliser des oprations de maintenance de base de donnes ou de transfert de donnes partir des textes Word ou des tableaux Excel classiques vers une base de donnes. En effet, SSIS est dun grand intrt dans le cas de notre tude, car lensemble des documents dAnalyse de risques commencer par lAPR existent sous lune de ces deux formats de MS office.

Conclusion
SIGAR se prsente comme un outil gnrique applicable dans diffrents domaines : ferroviaire auquel il

a t initialement ddi, manufacturier, machine, professionnel, process, pidmiologie, et bien dautres. Cette gnricit est due au fait que la mthode MPR (voir chapitre 6) est base conjointement sur une approche systmique et une modlisation ontologique des scnarios daccident.

tel-00338938, version 2 - 16 Feb 2009

Rappelons que loriginalit de cette ontologie (voir Chapitre 5) provient du fait que chaque concept est abord selon son aspect smantique mais aussi en fonction de sa contribution dans la ralisation du scnario daccident selon un processus accidentel gnrique. Loutillage de la mthode MPR et la mise en place de la base de donnes SIAD permettent douvrir un large champ dtude et dinvestigation en matire de traitement de donnes, car la base de donnes SIAD peut tre accde partir de nimporte quel autre logiciel de base de donnes moyennant une autorisation daccs dlivre par ladministrateur. En effet, tant donn que la modlisation du processus accidentel ontologique est de type tat/transition (spcification des tats des entits, des vnements, etc.), plusieurs extensions, telles que la gnration automatique dune version prliminaire dAMDEC ou dArbre de Causes, sont possibles travers lexploitation directe de la base de donnes SIAD et aussi lintgration directe de nouvelles fonctionnalits dans SIGAR.

177

Chapitre 7

Outil daide la dcision en matire de management des risques

Tr avaux cits

Bck, J.-Y. (1999). Le management des connaissances: mettre en oeuvre un projet de knowledge management. Paris: Editions d'Organisation. Dankel, A., & Gonzales, D. (1993). The enginneering of knowledge-based systems, theory and practice. New Jersey: Prentice Hall, Englewood Cliffs. Dellobel, C., & Adiba, M. (1985). Base de donnes et systmes relationnels. Dunod. Dillenbourg, P., & Martin-Michielot, S. (1995). Le rle des techniques dIntelligence artificielle dans les

logiciels de formation. CBT, Learntec.

Gardarin, G. (1998). Bases de donnes: les systmes et leurs langages. Eyrolles. Gouriveau, R. (2003). Analyse des risques Formalisation des connaissances et structuration des donnes pour

lintgration des outils dtude et de dcision. Thse de Doctorat, Institut National Polytechnique de Toulouse.

tel-00338938, version 2 - 16 Feb 2009

Horton, I. (2006). Beginning Visual C+ + 2005. USA: Wiley Publishing Inc. . ISO 9000. (Dcembre 2000). Systmes de Management de la Qualit - Principes essentiels et vocabulaire. ISO. Larousse. (2006). 38 dictionnaires et recueils de correspondances en CD ROM. Laudon, K., & Laudon, J. (2001). Les systmes d'information de gestion : organisations et rseaux stratgiques. Editions du Renouveau Pdagogique. Mazouni, M.-H., & Hannachi, H. (1999). Ralisation d'une interface graphique sous XWindow pour le SGBD

Postgres. Mmoire d'ingnieur d'tat en informatique, option Systmes Informatiques . Alger: Institut National
d'Informatique. Mazouni, M.-H., Aubry, J.-F., & El koursi, E.-M. (2008, 4-5 juin). Mthode systmique et organisationnelle dAnalyse Prliminaire des Risques base sur une ontologie gnrique. 1er Workshop du Groupement d'Intrt

Scientifique Surveillance, Sret, Scurit des Grands Systmes (3SGS'08) . Universit de Technologie de
Troyes. McAmis, D. (2004). Professional Crystal Reports for Visual Studio .NET. Second edition. Indianapolis - USA: Wiley Publishing, Inc. Perpen, J.-L. (2000). Dfinition et ralisation d'une application oriente objet pour la matrise du processus de

coupe - Thse de Doctorat en mcanique. Universit Bordeaux I.

Solter, N., & Kleper, S. (2005). Professional C+ + . USA: Wiley Publishing, Inc. Sripriya, & Kishore, S. (2002). Microsoft Visual C+ + .NET Professional Projects. USA: Premier Press, Inc. Tourigny, N. (1998). Systmes d'aide l'tude de la scurit routire - Vers des outils hybrides, ouverts et

intelligents .

178

Conclusion gnrale
Nous avons commenc par clarifier les fondements de la scurit, dabord en la dfinissant par rapport au danger et au risque et ensuite en la confrontant aux autres composantes de la sret de fonctionnement. Par consquent, nous avons pass en revue le concept de risque et ses corollaires tels que danger, phnomne dangereux, consquence, dommage, gravit, frquence doccurrence, en les regroupant selon les liens smantiques qui puissent exister entre eux. En outre, nous avons abord les diffrentes facettes du risque, autrement dit, son concept, sa perception, sa prise, sa classification, son acceptabilit et ses diffrences avec dautres concepts tels que gravit, probabilit doccurrence, incertitude, etc. En effet, aprs avoir cadr le concept de scurit, nous avons abord lessentiel des activits relatives la

tel-00338938, version 2 - 16 Feb 2009

scurit en commenant par le management des risques et son processus gnral qui contient justement, entre entres, lanalyse de risque. Nous avons essay de mieux situer la notion danalyse de risque par rapport aux autres activits du management des risques. Nous avons dabord clarifi le lien indissociable entre ces deux notions travers de nombreuses dfinitions issues principalement des normes et parfois des travaux de groupes de recherche. Ensuite, nous avons prsent rapidement les principales mthodes danalyse de risque avant dy revenir en dtail en Annexe 1. Aprs avoir essay de discerner les points forts et points faibles de ces mthodes danalyse de risque, nous avons trouv intressant de pouvoir les comparer les unes aux autres, et proposer ensuite des critres de choix de la mthode la plus convenable une tude donne, et enfin nous avons propos un certain nombre de critres dvaluation de la qualit dune analyse de risque. Nous sommes revenus ensuite avec plus de dtail lAPR afin de comprendre pourquoi cette analyse pose le plus de problmes au management des risques tant donn quelle demeure diversement perue et quelle ne fait lobjet ni dune norme ni dun consensus entre spcialistes ! Nous avons essay par la suite de dceler les problmes pnalisant la pratique du management des risques et plus particulirement lAPR. Nous avons regroup les diffrents problmes en 10 enjeux principaux tels que lenjeu dharmonisation, dintgrabilit, dinteroprabilit, didentification des effets domino, etc. Ensuite, tout au long du reste de ce mmoire, nous avons tent dapporter des solutions mthodologiques, techniques et informatiques afin de rsoudre les problmes suscits. Ainsi lontologie propose dans le cadre du

cinquime chapitre peut tre considre comme une passerelle permettant dharmoniser la terminologie et la smantique de laccident travers le processus accidentel ontologique propos. Cette ontologie permet, entre autres, de modliser le transfert de danger entre entits sources et cibles, et ce quelque soit leur niveau hirarchique dans le systme global. Elle permet aussi de poser un cadre propice

179

lidentification des effets domino. Chose que nous avons illustre travers la modlisation dune vingtaine de scnarios daccident issus de diffrents domaines, dont 9 scnarios daccident ferroviaires que nous avons lis par la suite dans un scnario complexe effets domino. Usuellement, lAPR ne se limite pas la phase danalyse des risques, mais elle fournit en sortie des mesures de maitrise des risques, ce qui fait delle une mthode de management des risques ! En effet, nous avons propos la mthode Management Prliminaire des Risques (MPR) sous une forme itrative ; ceci assure plus de compltude et de cohrence et permet la mthode de trouver des points dancrage dans le cycle de vie du systme pour accompagner son dveloppement de la phase de spcification la phase de dmantlement. La dmarche MPR est parfaitement compatible avec le SMS ainsi quavec le SMQ et le SME ; ceci permet dtablir un lien fort entre ces systmes de management dans le but de raliser un Systme de Management Intgr (SMI) de type QHSE. Le dveloppement de SIGAR a pour but de consolider la mthode MPR. La gnricit de loutil est due

tel-00338938, version 2 - 16 Feb 2009

principalement la gnricit de la mthode. Cela le rend applicable dans diffrents domaines : ferroviaire pour lequel il a t initialement dvelopp, manufacturier, machine, sant et scurit au travail, industrie de process, pidmiologie, et bien dautres. En effet, la proposition d'un systme interactif et ergonomique daide la dcision pour le management prliminaire des risques prsente un intrt incontestable. L'ergonomie de linterface graphique permet, entre autres, de contraindre les experts respecter les rfrentiels de scurit, dutiliser un langage commun, et dviter les copier/coller et reprises par habitude. Dsormais, aprs avoir t guid tout le long de la saisie de donnes, loprateur peut gnrer automatiquement des documents de management des risques, des statistiques ou des diagrammes. Il peut aussi faire des recherches avances ou enregistrer ses documents dans la plupart des formats standards (word, excel, pdf, xml, etc.) et prserver une meilleure traabilit via un change rapide et efficace avec dautres personnes concernes par son tude, travers aussi les fichiers releases comportant un listing des derniers changements, leur auteur, date, etc. Enfin, dans sa course de survie vers la continuit et la prennit, lindustriel emploie tous les moyens pour prserver son savoir faire et entre autres ses rservoirs de donnes, de tout accs non autoris provenant de lextrieur comme de lintrieur de son organisation. Ces donnes se trouvent, en gnral, dans des fichiers textes ou sur des supports papiers ordinaires, et dans les deux cas sont vulnrables. Donc, afin de renforcer lintgrit et la confidentialit des donnes, SIGAR permet de faire des changes crypts avec des fichiers de base de donnes qui ne peuvent tre exploits qu travers loutil, ventuellement moyennant des verrous et des codes daccs.

180

Perspectives
Le but de la science a nest pas darriver linfini du savoir, mais cest de mettre fin linfini de lerreur. Cest bien dans cette thmatique que nous inscrivons nos travaux de thse. La recherche laisse naturellement entrevoir dautres prolongements en rapport avec des dveloppements scientifiques. Plusieurs pistes nous paraissent intressantes : Lontologie dfinie sinscrit (par dfinition) dans un processus de codage minimal (voir les critres de Grber dvaluation dune ontologie, chapitre 5 1.5). Elle est donc gnrique mais ouverte contenir de nouveaux concepts sans que cela ne modifie les fondements ontologiques sur lesquels elle tait fonde. Il convient donc de btir des ontologies de domaine (voir la typologie des ontologies, chapitre 5 1.3) partir de cette ontologie principale.

tel-00338938, version 2 - 16 Feb 2009

La dfinition des concepts travers le processus accidentel ontologique, nous a permis de voir plus clair, avant de proposer la mthode originale Management Prliminaire des Risques . Cette dernire pourrait constituer une version prliminaire dun projet de norme sur lAPR. Ce sujet a t voqu auprs de la direction de valorisation de lINRETS ainsi quauprs de Siemens Transportation Systems et dun reprsentant de lAFNOR.

Loutillage de la mthode MPR et la mise en place de la base de donnes SIAD permettent douvrir un large champ dtude et dinvestigation en matire de traitement de donnes, car la base de donnes SIAD peut tre accde partir de nimporte quel autre logiciel de base de donnes ddi une mthode danalyse de risque telle que AMDEC, Arbre de Cause ou Arbre dEvnement.

La modlisation du processus accidentel ontologique est de type tat/transition (spcification des tats des entits, des vnements, etc.). Ainsi, plusieurs extensions, telles que la gnration automatique dune version prliminaire dAMDEC ou dArbre de Causes, sont possibles travers lexploitation directe de la base de donnes SIAD et aussi lintgration directe de nouvelles fonctionnalits dans SIGAR. Ceci garantira la traabilit au sein du processus global de management des risques

La modlisation des scnarios daccident avec RdP mrite dtre retravaille de faon plus outille. Il existe une palette trs riche doutils de vrification, dvaluation et de simulation du fonctionnement des RdP dont dailleurs certains sont orients vers les besoins de la sret de fonctionnement. Ceci, permettra de rompre avec le clivage qui existe entre les approches danalyse de risque qualitatives et quantitatives.

Loutil SIGAR mriterait dtre repris par un diteur de logiciel afin dlaborer une version commercialisable. Il peut aussi tre destin lenseignement pdagogique de la mthode MPR.

181

Table des matires Annexe A : Panorama des mthodes danalyse de risque

1. 2. 3. 4. 5. 6. 6.1 6.2 6.3

AMDE(C).183 Hazard and Operability Study (HAZOP). 186 LAnalyse par Arbre de Dfaillances, Arbre de causes ou Arbre de fautes 188 Analyse par Arbre dEvnements 190 Le nud papillon. 192 La mthode MOSAR.. .194 MOSAR module A : Analyse Macroscopique.. .194 MOSAR module B : Analyse Microscopique... .195 Fonctionnement global de la mthode MOSAR... 196

tel-00338938, version 2 - 16 Feb 2009

Annexe A Panorama des mthodes danalyse de risque

182

1. AMDE(C)
Rfr ence : (CEI 60812, Janvier 2006) (CEI 300-3-9, 1995) (RE. Aro 701 11 , Novembre 1986) (Lievens, 1976), (Villemeur, 1988), (Laurant, 2003) Type : Inductive Dmar che : LAMDEC repose sur les concepts de : dfaillance (failure), mode de fonctionnement (functional mode), cause de dfaillance (failure cause), effet dun mode dfaillance (failure mode effect) et de sa criticit (criticality). SOURCE CEI 50191 Notes. 1. Aprs dfaillance dune entit, cette entit est en tat de panne. 2. Une dfaillance est un passage dun tat un autre, par opposition une panne, qui est un tat.

Dfaillance
Cessation daptitude dune entit accomplir une fonction requise.

tel-00338938, version 2 - 16 Feb 2009

3. La notion de dfaillance, telle quelle est dfinie, ne sapplique pas une autre entit RE. AERO 701 11 l l i i l cest i un lmentd(composant, quipement, dispositif, etc.) la cessation de son aptitude pour accomplir la fonction exige de lui et/ou la possibilit de nuire au fonctionnement de lensemble auquel il appartient. SOURCE CEI 50191

Mode de dfaillance
Sous-ensemble de lensemble complet des fonctions possibles dune entit.

Le mode de dfaillance constitue la faon par laquelle une dfaillance est observe sur un lment du systme. SOURCE CEI 50191 entran une dfaillance.

Cause de dfaillance
Ensemble de circonstances associes la conception, la fabrication ou lemploi qui ont

La notion de causes de dfaillance peut tre vue comme lensemble des vnements qui conduisent aux modes de dfaillances.

Effet dun mode de dfaillance :

Soit les consquences associes la perte de laptitude dun lment remplir une fonction requise. Les modes de dfaillance sont dfinis partir des fonctions remplies par le systme, ceci en se posant la question quest ce qui se passe si : La fonction ne se ralise pas la sollicitation ? ou bien se ralise de faon intempestive ? ou bien est dgrade ? ou alors ne se ralise plus.

183

Pour chaque mode de dfaillance, on identifie les causes possibles et ensuite les effets sur les fonctions suprieures du systme et de ses interfaces. Les criticits des modes de dfaillance sont valus en fonction de la gravit des consquences et la frquence doccurrence des vnements redouts. De manire trs schmatique, lAMDEC se droule suivant lalgorithme suivant : Pr ocessus de dr oulement dune AMDEC :

Dbut_AMDEC
Pour tous les lments (ou composant) du systme fair e

Debut_pour1
Pour tous les tats de fonctionnement (nor mal, ar r t...) de cet lment fair e

Debut_pour2
Pour tous les modes de dfaillance fair e

Debut_pour3

tel-00338938, version 2 - 16 Feb 2009

Identifier les Causes () ; Identifier les Consquences () ; Evaluer la Cr iticit = (Probabilit, Gravit) ; Tant que Cr iticit est non acceptable fair e

Dbut_tq
Engager_des_actions_de_MdR (dtecter le mode de dfaillance, limiter les effets); Re-valuer la Cr iticit = (Probabilit, Gravit) ;

Fin_tq Fin_pour3 Fin_pour2 Fin_pour1 Fin_AMDEC

TAB. 1 : Exemple dun tableau de type AMDE [RE.Ar o 70111, 86] Systme: Sous-systme : Elment : Modes de Causes Phases Consquences Classification de la gravit de la Sur le sous systme Sur le systme consquence Actions correctives Recommandation application Fonction :

dfaillances possibles

184

TAB. 2 : Exemple dun tableau de type AMDEC [RE.Ar o 70111, 86] Systme: Sous-systme : Elment :
Modes de dfaillances Causes possibles Phases Consquences Classification Probabilit de la gravit de la consquence du mode de dfaillance Criticit Actions Recommand correctives ations application

Fonction :

Sur le sous systme

Sur le systme

La norme CEI 60812 prsente une liste gnrique de modes de dfaillance mais qui devrait tre complte selon les spcificits du systme tudi : TAB. 3 : Modes de dfaillance gnr iques de la nor me CEI 60812[CEI 60812, 06] 1 Dfaillance (rupture) 2 Blocage coincement 3 4 5 6 7 8 9 Vibrations Ne reste pas en position Ne souvre pas Ne se ferme pas 14 Fonctionnement intermittent 15 Fonctionnement irrgulier 16 Indication errone 17 Ecoulement rduit 25 Entre errone (diminution) 26 Sortie errone (augmentation) 27 Sortie errone (diminution) 28 Perte de lentre 29 Perte de sortie 30 Court-circuit (lectrique) 31 Circuit ouvert (lectrique) 32 Fuite (lectrique) 33 Autres conditions de dfaillance exceptionnelles physique structurelle 12 Est en dessous de la limite 23 Fonctionnement aprs dlai prvu infrieure tolre ou 13 Fonctionnement intempestif (retard) 24 Entre errone (augmentation)

tel-00338938, version 2 - 16 Feb 2009

Dfaillance en position ouverte 18 Mise en marche errone Dfaillance en position ferme 19 Ne sarrte pas Fuite interne 20 Ne dmarre pas 21 Ne commute pas

10 Fuite externe

11 Dpasse la limite suprieure 22 Fonctionnement prmatur tolre

Avantages: LAMDEC est un outil incontournable danalyse et dvaluation de dfaillances simples susceptibles de conduire des dfaillances globales au niveau systme et aussi dtudes de moyens adapts permettant de limiter leurs effets et prvenir leurs occurrences. Les rsultats de lAMDEC sont spcifiquement dtaills et notamment en ce qui concerne la propagation des dfaillances et leurs consquences. LAMDEC peut accompagner quasiment tout le cycle de vie du dveloppement dun systme : conception, validation, test, etc. Limites : La pertinence de lAMDEC dpend de la possibilit de dterminer tous les modes de dfaillance possibles dun systme. Ceci est extrmement difficile sagissant de sous-systmes complexes prsentant de possibilits de dfaillances conjugues ; le cas chant lanalyse est complmente par dautres mthodes telles que les arbres de dfaillances ou la mthode de combinaisons de pannes.

185

2. Hazar d and Oper ability Study (HAZOP)

Rfr ences : (CEI 61882, Mai 2001), (CEI 60812, Janvier 2006) (CEI 300-3-9, 1995) (RE. Aro 701 11 , Novembre 1986) (Lievens, 1976), (Villemeur, 1988), (Laurant, 2003)

Type : Inductive
Dmar che : La norme CEI 61882 propose des exemples de mots-cls dont lusage est particulirement courant. Ces mots-cls sont repris dans le tableau ci-dessous : TAB. 4 : Exemples de mots-cls pour lHAZOP (CEI 61882) Type de dviation Ngative NE FAIRE PAS Aucune partie de lintention nest accomplie Mot-cl Exemples dinter pr tation

tel-00338938, version 2 - 16 Feb 2009

Modification quantitative

PLUS

Augmentation quantitative

MOINS Modification qualitative EN PLUS DE

Diminution quantitative Prsence dimpurets excution simultane dune autre opration/tape

PARTIE DE Substitution INVERSE

Une partie seulement de lintention est ralise Sapplique linversion de lcoulement dans les

canalisations ou linversion des ractions chimiques

AUTRE QUE Temps PLUS TOT PLUS TARD Ordre squence AVANT APRES

Un rsultat diffrent de lintention originale est obtenu Un vnement se produit avant lheure prvue Un vnement se produit aprs lheure prvue Un vnement se produit trop tt dans une squence Un vnement se produit trop tard dans une squence

La combinaison des paramtres observs avec les mots cl prcdemment dfinis se fait de la manire suivante : Plus de et Pression = Pression trop haute , Pas de et Niveau = Capacit vide .

Dans le cas o une estimation de la criticit serait ncessaire, lHAZOP peut tre complte par une analyse quantitative simplifie.

186

Le droulement dune tude HAZOP se fait suivant lalgorithme suivant : Pr ocessus de dr oulement dune HAZOP :

Dbut_HAZOP
Pour tous les lments (ou composant) du systme fair e

Debut_pour1
Pour tous les par amtr es de fonctionnement de cet lment fair e

Debut_pour2
Pour tous les mots cls fair e

Debut_pour3
Gnrer une dr ive () ; Evaluer les Consquences () ; Si cette dr ive est cr dible alor s

Dbut_si
Identifier les Causes () ; Evaluer la Cr iticit = (Probabilit, Gravit) ;

tel-00338938, version 2 - 16 Feb 2009

Tant que Cr iticit est non acceptable fair e

Dbut_tq
Engager_des_actions_de_MdR (dtecter cette drive, limiter les effets); Re-valuer la Cr iticit = (Probabilit, Gravit) ;

Fin_tq Fin_si Fin_pour3 Fin_pour2 Fin_pour1 Fin_HAZOP

Le tableau suivant montre un exemple de descripteur type relatif une tude HAZOP : TAB. 5 : Descr ipteur de donnes dune tude HAZOP (CEI 61882) Date : Ligne ou quipement : N Mot cl Par amtr e causes consquences dtection Scur its existantes Pr opositions damlior ation obser vations

Avantages: HAZOP est une mthode trs adapte ltude de dangers dans le domaine des procds tel que le domaine chimique. Limites: HAZOP permet difficilement danalyser les vnements rsultant de la combinaison simultane de plusieurs dfaillances.

187

3. LAnalyse par Ar br e de Dfaillances, Ar br e de causes ou Ar br e de fautes

Rfr ences : (CEI 300-3-9, 1995), (RE. Aro 701 11 , Novembre 1986), (Lievens, 1976), (Villemeur, 1988), (Laurant, 2003) Type : Dductive. Dmar che : La mthode consiste en une reprsentation graphique des multiples causes dun vnement dangereux. Elle permet de visualiser les relations entre les dfaillances dquipement, les erreurs humaines et les facteurs environnementaux qui peuvent conduire des accidents. On peut donc ventuellement y inclure des facteurs relis aux aspects organisationnels. Lalgorithme suivant montre dune manire systmatique le droulement dune Analyse par Arbre de Dfaillances :

tel-00338938, version 2 - 16 Feb 2009

Pr ocessus de dr oulement dune AAD :

Dbut_AAD
Considrer_un_Evnement_Final ; Label_vnement_inter mediair e : Identifier_les_causes () ; /*Identification exhaustive des causes immdiates*/ Dfinir_les_vnements_en_question () ; Lier_ces_vnements () /* liaisons graphiques par portes logiques*/ ; Pour chaque Evnement fair e

Dbut_pour
Si cet Evnement est dcomposable Alor s /*nest pas un vnement de base*/

Dbut_si
Goto Label_vnement_inter mediair e ;

Fin_si Fin_pour Fin_AAD

188

Conception gr aphique : Symbole Signification vnement de base vnement initial ne ncessitant pas de dveloppement. Il sagit essentiellement dune dfaillance premire dune entit la limite de lanalyse. vnement non dvelopp vnement qui ne constitue pas un vnement de base mais qui ne sera pas dvelopp en raison dun manque dinformation ou dautres considrations. vnement intermdiaire Reprsentation dun vnement qui est le rsultat de la combinaison de dautres vnements. Porte ET Ncessite laddition des vnements causes pour engendrer lvnement effet. Porte OU Ne requiert quun seul des vnements causes pour engendrer lvnement effet. Transfert vers... Indique que larbre se poursuit la section indique par le numro dans le triangle.

tel-00338938, version 2 - 16 Feb 2009

Transfert de... Indique que cette portion de larbre est la suite dtaille de la section indique par le numro dans le triangle. Maison Reprsente un vnement qui correspond une utilisation normale du systme.

Reprsente un vnement dont les causes ne sont pas encore dveloppes, mais le seront ultrieurement.

Lexemple suivant est relatif un problme classique de commande de deux interrupteurs aliments par une source dalimentation commune :

FIG. 1 : Exemple dun ar br e de dfaillance

189

Voici quelques rgles doptimisation permettant de rduire les Arbres en faisant appliquer lalgbre de Boole : TAB. 6 : Rgles doptimisation des ar br es de dfaillances Pr opr its Commutativit Idempotence Absorption Associativit Distributivit Pr oduit (Por te logique And) A .B=B.A A .A=A A . (A + B) = A A . (B . C) = (A . B) . C A . (B + C) = A . B + A . C Somme (Por te logique Or ) A+B=B+A A +A = A A+A.B=A A + (B +C) = (A + B) + C A + B . C = (A + B) . (A + C)

Avantages : Lanalyse par arbre de dfaillances est une tude prioritaire des dfaillances relatives des vnements redouts dont la gravit de production est plus significative. Elle permet de considrer des combinaisons dvnements pouvant conduire un vnement redout. Un autre point fort essentiel est la lisibilit travers la reprsentation graphique des combinaisons de causes

tel-00338938, version 2 - 16 Feb 2009

aboutissant des dfaillances. Limites : La mthode exige une parfaite connaissance des scnarios vnementiels et donc du fonctionnement du systme et de son interaction avec son environnement. La lisibilit des arbres de dfaillances peut savrer trs complique quand il sagit de systmes complexes ou dvnement indsirable trop gnrique ou mal spcifi. A cet effet on utilise des outils informatiques de conception et de vrification. Cette mthode est efficace pour analyser de petits systmes. Lanalyse dun systme complexe ncessiterait sa dcomposition en plusieurs sous systmes. Nanmoins, la dernire dcennie vu paratre plusieurs logiciels offrant, entre autres, des fonctionnalits daide et dassistance pour la conception graphique, la recherche systmatique des coupes minimales et la propagation des probabilits.

4. Analyse par Ar br e dEvnements

Rfr ences : (CEI 60812, Janvier 2006) (CEI 300-3-9, 1995) (RE. Aro 701 11 , Novembre 1986) (Lievens, 1976), (Villemeur, 1988), (Laurant, 2003) Type : Inductive Dmar che : Lalgorithme suivant montre une dmarche systmatique de lanalyse par Arbre dEvnements: Pr ocessus de dr oulement dune AAE :

Dbut_AAE
Considrer_un_Evnement_Initial ; Classer_les_Fonctions_de_scur it__affecter () ; /* de Fonction 1 fonction n */ Pour i allant de 1 n fair e /* i entier */

190

Dbut_pour
Supposer_Succs (fonction i) ; /* Fonctionnement de la Fonction de scurit*/ Supposer_Echec (fonction i) ; /* dfaillance de la Fonction de scurit*/ Lier_les_deux_tats () ; /*Liaisons graphiques horizontales connectes aux sorties du niveau i-1. La branche suprieure dsigne le succs avec une probabilit (P = exp(-t)) gale la fiabilit de la fonction i ( tant son taux de dfaillance), et la branche infrieure lchec avec la probabilit (1-P) */ ;

Fin_pour Fin_AAE

tel-00338938, version 2 - 16 Feb 2009

Conception gr aphique : Larbre dvnement suivant est une adaptation labore par M. Rausand et A. Hoyland (Rausand & Hoyland, 2004) dun exemple propos dans la norme CEI 60300 (CEI 60300, Aot 1996).

FIG. 2: Ar br e dvnement dun systme anti-incendie (Rausand & Hoyland, 2004) Avantages : Lanalyse par arbre dvnements permet danalyser lvolution des vnements initiateurs jusqu la ralisation dun vnement redout. Elle peut tre trs efficace pour lanalyse des mcanismes de dfense en profondeur. Limites : La mthode peut savrer rapidement fastidieuse si les vnements initiateurs ne sont pas bien dfinis. Il convient donc de slectionner les vnements initiateurs pouvant effectivement conduire des situations critiques.

191

5. Le nud papillon
Rfr ences : (INERIS-DRA, 2003), (SAMRAIL Consortium, Septembre 2003), Type : Inductive/dductive. Objectifs : Le Nud Papillon est une approche arborescente dveloppe par SHELL permettant de considrer une approche probabiliste dans le management du risque. Dmar che : Le nud papillon est un outil qui combine un arbre de dfaillances et un arbre dvnements. LINERIS a adapt une forme particulire combinant plusieurs types dvnements :

tel-00338938, version 2 - 16 Feb 2009

FIG. 3: Repr sentation de scnar ios daccident selon le modle nud papillon [INERIS, 2003] TAB. 7 : Lgende des vnements figur ant sur le modle du nud papillon INERIS [INERIS, 03] Dsignation Ein Signification Evnement Indsirable Evnement Courant Evnement Initiateur Evnement Redout Central Dfinition Drive ou dfaillance sortant du cadre des conditions dexploitation usuelles dfinies Evnement admis survenant de faon rcurrente dans la vie dune installation Cause directe dune perte de confinement ou dintgrit physique Perte de confinement sur un quipement dangereux ou perte dintgrit physique dune substance dangereuse Consquences directes de lvnement redout central, lvnement redout secondaire caractrise le terme source de laccident 192 Exemple Le sur-remplissage ou un dpart dincendie proximit dun quipement dangereux Les actions de test, de maintenance ou la fatigue dquipements La corrosion, lrosion, les agressions mcaniques, une monte en pression Rupture, brche, ruine ou dcomposition dune substance dangereuse dans le cas dune perte dintgrit physique Formation dune flaque ou dun nuage toxique

EC

EI

ERC

ERS

Evnement Redout Secondaire

PhD

Phnomne Dangereux Effets Majeurs

Phnomne physique pouvant engendrer des dommages majeurs Dommages occasionns au niveau des cibles (personnes, environnement ou biens) par les effets dun phnomne dangereux Barrires ou mesures visant prvenir la perte de confinement ou dintgrit physique Barrires ou mesures visant limiter les consquences de la perte de confinement ou dintgrit

Incendie, explosion, dispersion dun nuage toxique Effets ltaux ou irrversibles sur la population

EM

Barrires ou mesures de prvention

Peinture anticorrosion, coupure automatique des oprations de dpotage sur dtection dun niveau trs haut Vannes de sectionnement automatiques asservies une dtection (gaz, pression, dbit), moyens dintervention

Barrires ou mesures de protection

Conception gr aphique :

tel-00338938, version 2 - 16 Feb 2009

FIG. 4: Ebauche dun nud papillon dr aillement dun tr ain de tr anspor t de passager s (Rausand & Hoyland, 2004) Avantages: La reprsentation graphique offre une meilleure visualisation des scnarios daccidents et met en valeur la mise en uvre optimise des mcanismes de dfense en profondeur (barrires de dfense). Limites: La mise en uvre de cette technique est trs rigide et ncessite un temps norme pour explorer dune manire exhaustive tous les chemins menant des causes de dfaillances vers les effets et leurs consquences sur les cibles vulnrables. Il convient donc que son utilisation soit rserve aux vnements principaux de scnarios jugs particulirement critiques et ncessitant une dmonstration de scurit plus approfondie. Ce jugement peut tre port lors de la tenue de lAPR.

193

6. La mthode MOSAR
MOSAR contient deux modules hirarchiques, un module macro module A et un module micro module B .

6.1

MOSAR module A : Analyse Macr oscopique

Le module A (voir FIG. 5) a pour but didentifier les dysfonctionnements techniques et opratoires

provoquant un vnement indsirable . Reprsenter et modliser linstallation

Identifier les sources de dangers Identifier les scnarios daccident

tel-00338938, version 2 - 16 Feb 2009

Evaluer les risques

Ngocier les objectifs Dfinir les moyens de MdR

FIG. 5: MOSAR module A (Pr ilhon P. , 1999) Modliser linstallation: prciser lenvironnement du systme et dcouper ce dernier en plusieurs sous systmes en tenant compte des dimensions : technique, humaine et organisationnelle. Identifier les sour ces de danger s: identification des lments dangereux susceptible dtre lorigine dun facteur de dclenchement du flux de danger. Identifier les scnar ios daccidents: identification des processus de dangers selon le processus de la MADS. Evaluer les scnar ios de r isques: estimation des frquences doccurrence et apprciation de risque. Ngocier les objectifs: hirarchiser les scnarii daccidents et discussion de leur acceptabilit en fonction des objectifs de scurit pralablement dfinis.

194

Dfinir les moyens de Matr ise des Risques: lapproche MADS du processus de dangers montre clairement le positionnement des barrires de prvention, de protection et de mitigation. Lobjectif ici est de rduire loccurrence des scnarios daccidents identifis.

6.2

MOSAR module B : Analyse Micr oscopique

Le module B de la mthode MOSAR (voir FIG. 6) qui se prsente d'ailleurs comme une suite logique

au module A, permet deffectuer une analyse dtaille des dysfonctionnements techniques et opratoires et aussi de limpact quils pourraient engendrer sur le systme global. Identifier les Risques de fonctionnement valuer et quantifier les risques en construisant des arbres de dfaillances

tel-00338938, version 2 - 16 Feb 2009

Ngocier des objectifs prcis de MdR Affiner les moyens de MdR

Grer les risques

FIG. 6: MOSAR module B (Pr ilhon P. , 1999) Identifier les r isques de fonctionnement: aprs avoir labor une liste de sources de dangers (deuxime tape du module A), cette tape sintresse aux dtails de leurs dysfonctionnements techniques et opratoires. Evaluer les r isques en constituant des ar br es de dfaillances: la puissance de modlisation par arbre de dfaillances permet de rendre la mthode plus efficace et notamment par rapport lestimation des probabilits doccurrence des vnements, le calcul des coupes minimales et la mise en uvre efficace des barrires de dfense. Ngocier des objectifs pr cis de Matr ise de Risques: cette partie concerne lallocation des exigences de scurit dans le but de mettre en place des barrires de prvention ou de protection.

195

Affiner les moyens complmentair es de Matr ise de Risques: faire un arbitrage entre les enjeux financiers (relatifs aux cots de mise en uvre des barrires de dfense) et les enjeux de sret de fonctionnement. Ceci renvoie lanalyse cot/bnfices.

Gr er les r isques: cette partie est relative la documentation de lanalyse, la communication et le suivi des risques.

6.3

Fonctionnement global de la mthode MOSAR

Le fonctionnement global est une connexion Macro-Micro des deux modules A et B (voir FIG. 7): Reprsenter et modliser linstallation Identifier les sources de dangers Identifier les scnarios daccident

tel-00338938, version 2 - 16 Feb 2009

Identifier les Risques de fonctionnement valuer et quantifier les risques en construisant des arbres de dfaillances

Evaluer les risques Ngocier des objectifs Dfinir les Moyens de MdR

Ngocier des objectifs prcis de MdR Affiner les moyens de MdR Grer les risques

FIG. 7: MOSAR (Pr ilhon, 2003) Il existe diffrentes possibilits dinterconnecter les modules A et B (voir FIG. 7): soit en poursuivant intgralement le module B lissue du module A, soit partiellement partir de ltape 2, 3 ou 4.

196

Table des matires Annexe Elments de base dun SMS centr-MPR

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Profil de mission........................................................................................................................................................................198 Politique de la scurit.............................................................................................................................198 Assurance de la scurit...........................................................................................................................199 Gestion des rfrentiels............................................................................................................................199 Gestion des rles et affectation des responsabilits.................................................................................199 Gestion des crises.....................................................................................................................................199 Gestion des Bases de Donnes accidents/incidents.................................................................................200 Retour dExprience (REX) ....................................................................................................................201 Matrise de la communication..................................................................................................................202 Formation et qualification.......................................................................................................................203 Audit, revue et surveillance.....................................................................................................................203 Matrise de la documentation..................................................................................................................203 Vers un Systme de Management Intgr (SMI) de type QHSE............................................................204 Correspondance avec les exigences de la directive ferroviaire de scurit............................................205 Correspondance avec le SMQ propos dans la norme 9001 de la srie ISO 9000.................................207 Correspondance avec le SME propos dans la norme 14001 de la srie ISO 14000..............................208 Correspondance avec le SMS&ST propos dans le rfrentiel 18001 de la srie OHSAS 18000. 209

tel-00338938, version 2 - 16 Feb 2009

11. 12. 13. 14. 15. 16. 17.

197

Annexe B

Elments de base dun SMS centrtel-00338938, version 2 - 16 Feb 2009

MPR

Le SMS que nous avons propos dans le chapitre 6 (voir chapitre 6, FIG. 9) est principalement centr sur la mthode MPR. Ce rapprochement SMS-MPR sinscrit dans un processus damlioration de type PDCA (voir chapitre 6, FIG. 8).

1. Pr ofil de mission
Les parties responsables doivent identifier la nature et les possibilits de leurs oprations. Elles doivent en particulier prciser les lments qui sont sous leurs responsabilits. Les responsables hirarchiques doivent tre au courant de leurs responsabilits en matire de management de la scurit. En particulier, ils doivent clairement statuer sur leur assimilation des responsabilits individuelles ou communes avec dautres parties.

2. Politique de la scur it
Chaque partie est tenue de dmontrer ses capacits maintenir la scurit un niveau acceptable. Cet engagement doit tre explicitement communiqu de la manire qui puisse mettre en lumire : Les actions de management de la scurit. Les processus et les procdures mis en place. Les ressources alloues.

198

Les aspects organisationnels y compris la concertation des partenaires industriels et autres soustraitants.

3. Assur ance de la scur it

Chaque partie responsable doit sassurer de la bonne gestion de tous les risques ayant un lien avec le systme global et qui ne sont pas sous son contrle direct. Le cas chant, elle doit prvoir des canaux de communication et de surveillance de ces risques, tout en les intgrant dans son SMS, ce qui permet, entre autres, de sassurer que les risques jugs rsiduels par dautres parties sont effectivement acceptables en interne.

4. Gestion des r fr entiels

Chaque partie responsable doit mettre en place des procdures didentification des textes rglementaires, rgles, normes et besoins techniques ayant un lien avec son activit. Elle doit mettre en place

tel-00338938, version 2 - 16 Feb 2009

aussi, des procdures rgulires daudit, et de revue du SMS, et tablir des procdures de prparation et de revue de son rapport annuel de scurit quelle adressera ensuite aux autorits comptentes qui statueront sur la conformit de ses indicateurs en matire de scurit et de qualit.

5. Gestion des r les et affectation des r esponsabilits

Chaque partie responsable doit tablir et maintenir clairement les primtres qui sont sous sa responsabilit dans le processus de management de la scurit. Les responsabilits dinterfaage avec dautres organisations doivent tre proprement identifies et intgres au SMS. Nanmoins, labsence de critres quitables dvaluation des degrs de responsabilit de chacun soulve un vrai problme dans la faon de rpartir une responsabilit globale sur un groupe dacteurs concerns et appartenant diffrents niveaux hirarchiques, voire diffrentes organisations. Toutefois, on peut dgager deux proprits de base : les responsabilits lourdes et peu frquentes se situant en haut de la hirarchie et linverse, c-..-d au plus bas de la pyramides des responsabilits. Autrement dit, les acteurs du niveau oprationnel sont souvent les plus responsabiliss, ensuite un moindre degr les concepteurs et les experts de planification et enfin trs rarement sagissant des responsables dfinissant la politique et la structure de lorganisation.

6. Gestion des cr ises

La complexit des systmes engendre des phnomnes intgrant, la fois lordre impos par la conception et lorganisation, mais aussi le naturel dsordre rsultant de tout dysfonctionnement ou toute erreur humaine. Ces phnomnes sont du point de vue de lanalyste, des prcurseurs loccurrence de situations de crise.

199

Par consquent, chaque partie responsable doit mettre en place un support de procdures gnriques permettant de prvoir ce quil faut faire face certaines situations de crise. Ces plans durgence doivent comprendre des actions de rduction du risque, de gestion des modes dgrades et de retour vers le mode nominal. Dans le domaine des installations classes pour la protection de lenvironnement (ICPE), il existe plusieurs types de plan de gestion de crise : Plan dOpr ation Inter ne (POI) ralis par lindustriel, il sert valuer la situation, envisager l'volution probable du risque pour le public et pour l'environnement, lancer les actions pour revenir une situation rpute sre. Le POI prvoit galement l'information immdiate des pouvoirs publics et, en particulier du prfet, de la Direction Gnrale de la Suret Nuclaire et de la Radioprotection (DGSNR), et de la presse. Plan Par ticulier dInter vention (PPI) ralis par le prfet, il dfini les dispositions mettre en uvre lextrieur de ltablissement. Il est lanc en cas d'accident prsentant des consquences radiologiques l'extrieur du site. Le PPI est disposition du public dans toutes les mairies des

tel-00338938, version 2 - 16 Feb 2009

communes proches d'une centrale. Plan de Pr vention des Risques Technologiques (PPRT) labor par le Prfet en concertation avec les collectivits territoriales, lexploitant et le prsident du Comit Local dInformation et de Concertation (CLIC) : il sera utilis pour la matrise de lurbanisation autour des sites risques.

7. Gestion des Bases de Donnes accidents/incidents

Dans un pitom intitul Management de la scurit d'entreprise, vocabulaire et concept , dit en Mars 1996 par lAssociation Qualit-Scurit (AQS) pour le groupe de travail de l'observatoire de l'opinion sur les risques et la scurit, il est stipul que l'analyse est l'incident ce que la taille est au diamant. En effet, les enqutes techniques ne doivent pas se focaliser sur les scnarios caractriss par des pertes importantes, vu leur raret compars aux incidents de moindre impact. Souvent, un vnement ngligeable peut savrer fort intressant dans un concours de circonstances lgrement diffrent. Par consquent, chaque partie responsable doit mettre en place des mcanismes de capitalisation et dinvestigation sur les accidents et incidents. Ces mcanismes permettent dextraire, formaliser et archiver les scnarios de risque de faon constituer une bibliothque de cas types par recours aux techniques d'acquisition, modlisation et formalisation des connaissances. La base de donnes obtenue doit servir au Retour dexprience. Il convient que les rsultats du REX soient communiqus en interne ainsi quavec toutes les autres parties impliques dans ou concernes par le projet en question.

200

8. Retour dExpr ience (REX)

Le retour dexprience est le fait dexploiter des connaissances historiques archives afin de dgager un savoir-faire en matire de management des risques. La mise en place dun processus de REX implique plusieurs acteurs et beaucoup de facteurs. Il convient quune quipe soit charge d : 1. Extraire, formaliser et archiver les scnarios de risque de faon constituer une bibliothque de cas types par recours aux techniques d'acquisition, modlisation et formalisation des connaissances, 2. Exploiter les connaissances historiques archives afin de dgager un savoir-faire en matire de management des risques. Gnralement, le processus de REX ncessite lanalyse et lexamen des phases suivantes : collecte de donnes, traitement de donnes, stockage de donnes, exploitation de donnes, et proposition de recommandations :

tel-00338938, version 2 - 16 Feb 2009

1.

La premire phase (collecte de donnes) consiste recueillir le maximum de donnes, sintresser toutes les anomalies rencontres et faire appel diverses ressources de recherche dinformation. La collecte de donnes concerne les donnes relatives loprateur humain, son environnement interne ou externe, au systme technique, lorganisation du travail, aux procdures et aux ventuelles interactions entre ces composantes.

2.

La deuxime phase (traitement de donnes) passe par une analyse des circonstances, des faits, des mcanismes et des causes des accidents potentiels. Elle permet de reconstituer la chronologie des faits, dtablir les scnarios risque et dvaluer les consquences. Cette phase ne doit pas se limiter lanalyse des causes primaires ou apparentes, mais tablir, par exemple, un arbre de causes permettant de mieux identifier les mcanismes gnrateurs daccident.

3.

La troisime phase (stockage de donnes) sattache mmoriser et archiver dans une base de donnes les donnes collectes et analyses. Lors de cette phase, une attention particulire est porte aux possibilits dexploitation relle de cette base de donnes.

4.

La quatrime phase (exploitation de donnes) consiste exploiter et interprter les rsultats issus des diffrentes requtes dinterrogation de la base de donnes. Lobjectif principal est dextraire lvnement rellement prdictif, de prendre en considration les cas isols et de prdire ou dimaginer les futurs lments qui vont tre insrs dans la base de donnes comme tant de nouveaux scnarios daccident ou dincident.

5.

La cinquime et dernire phase (proposition de recommandations) consiste dfinir et identifier les mesures adquates pour limiter la reproduction dun scnario risque. Il sagit de mieux tirer profit des enseignements de lexprience acquise pour amliorer la scurit. Les recommandations visent la rduction du risque (probabilit/gravit) grce des mesures de prvention pour minimiser la frquence doccurrence dun scnario daccident et des mesures de protection en vue de rduire la gravit de ses consquences. Ces recommandations se traduiront par des actions de matrise agissant sur les facteurs humains, la technologie, lenvironnement, lorganisation, la rglementation, les procdures, la documentation, etc. 201

La dmarche de retour dexprience que nous proposons se compose de 3 boucles hirarchiques relatives lapprentissage rtroactif du premier, deuxime et troisime ordre. Dans un systme de retour dexprience organisationnel, plus le niveau dordre est suprieur, plus la criticit des dcisions est importante (Argyris, Septembre 1976) (Krishnan & Singh, 2002). Une dcision peut tre une simple remise en fonction dun dispositif, comme a peut tre la redfinition pure et simple de la stratgie et des objectifs prliminaires dune socit (Senge, 1990). 1. Lapprentissage du premier ordre a pour objet dassister et dinspecter la correction des dviations dans lexcution des cahiers de charges (missions), 2. Le second ordre repose sur une analyse complmentaire froid , qui sert comprendre pourquoi les dysfonctionnements ont eu lieu. Cela consiste dterminer, la suite du traitement de certaines anomalies, quels sont les prcurseurs les plus redouts et ensuite leur affecter des priorits avant dengager en consquence une analyse avale plus approfondie, 3. Le troisime ordre quant lui sintresse aux lments structurels et fonctionnels ainsi quaux critres et objectifs globaux. Il sagit dadopter une vision plus approfondie et long terme.

tel-00338938, version 2 - 16 Feb 2009

Nous pouvons constater que lapplication de cette dmarche en 5 phases au processus de REX en 3 boucles de rtroaction est une tche ncessitant dnormes efforts, une parfaite organisation, et plusieurs jours voire plusieurs semaines de prparation. Cependant, les moyens et les outils informatiques daide la dcision permettent de raccourcir considrablement les dlais et apporter davantage une meilleure fiabilit en termes de rsultats.

9. Matr ise de la communication

La communication des informations doit tre prdfinie et documente. Toutes les parties responsables doivent sassurer quils sont au courant de la criticit des communications au sein du systme global. Lintgrit des informations communiques en matire de scurit doit tre gre en fonction de leur niveau de criticit. Ainsi, pour prserver un niveau dintgrit requis, tous les documents critiques doivent tre cts par un numro unique mis jour au fur et mesure. Souvent, les acteurs du premier ordre approuvent des difficults pour se familiariser avec les nouveaux plans labors par les concepteurs (acteurs du deuxime ordre). Ces derniers trouvent aussi des difficults en cas de changement de politique ou dobjectifs globaux par les dcideurs du troisime ordre. Il est indispensable de sensibiliser et informer les employs de lintrt stratgique que doit occuper le REX, qui est souvent vue comme un moyen de recherche des responsables pour les sanctionner suite une faute ou une erreur. En effet, la dmarche doit tre explicite clairement au personnel. Les gestionnaires du REX doivent insister sur la prservation de lanonymat des tmoignages afin que lemploy soit rassur que son tmoignage ne constituera pas une charge contre lui. Certes, le comportement humain prsente un aspect difficile comprendre. Cependant, il revient aux gestionnaires du SMS didentifier les lments du systme global susceptibles dtre lorigine dune mauvaise interprtation pouvant induire un comportement inattendu. Les procdures dictes doivent tre claires, simples,

202

et se limiter lessentiel, sinon elles sont mal interprtes voire non respectes et se rvleront totalement inefficaces. En effet, si un employ est submerg par des instructions, il sera tent de faire un tri entre celles quil juge justifies et les autres, au risque de faire le mauvais choix, faute de disposer dune vision systmique du systme global.

10. Formation et qualification

Chaque partie responsable doit sassurer de laptitude de ses employs accomplir leurs tches. Ainsi les comptences doivent tre values priodiquement et toute dficience doit tre remdie que ce soit par la formation ou par la raffectation dautres missions ou postes convenables.

11. Audit, r evue et sur veillance

Chaque partie responsable doit mettre en place des procdures rgulires daudit, et de revue du SMS.

tel-00338938, version 2 - 16 Feb 2009

Elle doit aussi tablir des procdures de prparation et de revue de son rapport annuel de scurit quelle adressera ensuite aux autorits comptentes qui statueront sur la conformit de ses indicateurs en matire de scurit et de qualit. En outre, les activits critiques doivent tre surveilles de prs. Il convient donc de : Dsigner les activits devant tre surveilles. Identifi le type de surveillance : proactive ou priodique. Dfinir des mthodes de surveillance des activits. Evaluer lefficacit des mesures de contrle du risque sur les activits. Evaluer lefficacit du processus danalyse de risques.

12. Matr ise de la documentation

Le SMS doit tre document dans toutes ses parties, commencer par le profil de mission, la rpartition des rles et responsabilits sur lorganigramme cible et llaboration de lannuaire des comptences au sein dune organisation. En outre, des documents synthtiques doivent indiquer comment la direction assure le contrle aux diffrents niveaux de l'organisation, et comment le personnel et sa hirarchie contribuent maintenir les plans QHSE 1 (Qualit, Sant, Scurit, Environnement).

Quality Health & Safety Environment 203

13. Ver s un Systme de Management Intgr (SMI) de type QHSE

Plusieurs travaux intressants ont t mens dans diffrents domaines afin de dfinir un processus global de SMS. Edwards (Edwards, 2004) propose un schma dclin directement du SMQ (Systme de Management de la Qualit) propos par la norme ISO 9001. Le consortium Europen SAMNET dont lobjectif tait de trouver un consensus entre les acteurs ferroviaires Europens, a propos une structure gnrique de SMS en sinspirant des exigences de la rglementation communautaire et notamment la directive de scurit [2004/49/CE, 2004]. Nanmoins, il se trouve que la dimension de management des risques ne constitue quune pice parmi dautres. Autrement dit, le management des risques et notamment la phase didentification des scnarios daccident na pas explicitement le rle central.

tel-00338938, version 2 - 16 Feb 2009

Les sries ISO 14000 (environnement), ISO 9000 (qualit) et OHSAS 18000 (sant et scurit S&ST) forment un trio incontournable dans un SMI (Systme de Management Intgr) de type QHSE (Quality Health & Safety Environment). En effet, comme elles sont tablies sur le mme modle, elles permettent donc une intgration facile des trois systmes : SMQ (Systme de Management de la Qualit), SME (Systme de Management de lEnvironnement), SMS&ST (Systmes de Management de la Sant et de la Scurit au Travail). La norme ISO 9001 ne prsente pas dexigences concernant les produits. Les exigences relatives aux SMQ spcifies dans cette norme sont gnriques et sappliquent des organismes de tous secteurs industriels ou conomiques, quelle que soit la catgorie de produit. Quant elle, la norme ISO 14001 fixe les exigences dun SME qui met en uvre et ralise le processus dynamique et cyclique planifier, mettre en uvre, contrler et revoir . Cette norme est destine aux matres douvrage qui souhaitent mettre en place un SME adapt aux oprations dont ils ont la matrise. Elle fournit galement les critres et les exigences vrifiables qui peuvent servir une certification du SME. Cependant, L'OHSAS 18001 nest pas une norme, cest une spcification base sur le volontariat dans le but de matriser les risques sur la sant et la scurit au travail et d'amliorer les performances. C'est un rfrentiel d'valuation et de certification des SMS&ST, contenant des spcifications pouvant tre utilises par tout organisme quelle que soient sa taille et son implantation. La compatibilit entre les normes ISO 14001 et ISO 9001 et le rfrentiel OHSAS 18001 est due lapproche processus d'amlioration continue, sans tablir d'exigences en matire de niveau des performances. la base, la plupart des modles de systmes de gestion, sinon tous, suivent le cycle damlioration continue propos dans les normes qualit de la famille ISO 9001 et des normes de management de lenvironnement ISO 14000. Le cycle damlioration est schmatis par la roue PDCA (PFVA en franais) de Deming [FD X 50-174, 1998] [FD X 50-173, 1998].

204

14. Cor r espondance avec les exigences de la dir ective fer r oviair e de scur it
La directive de scurit [2004/49/CE, 2004] dans son Annexe III, consacr au SMS, stipule que : Le systme de gestion de la scurit doit tre document dans toutes ses parties et dcrire notamment la rpartition des responsabilits au sein de l'organisation du gestionnaire de l'infrastructure ou de l'entreprise ferroviaire. Il indique comment la direction assure le contrle aux diffrents niveaux de l'organisation, comment le personnel et ses reprsentants tous les niveaux participent et comment l'amlioration constante du systme de gestion de la scurit est assure . La structure du SMS propos en annexe III de la directive de scurit [2004/49/CE, 2004] est base sur un retour dexprience effectu sur plusieurs acteurs ferroviaires Europens. Elle couvre les thmes suivants : 1. La politique de scurit de lorganisation. les objectifs qualitatifs/quantitatifs de scurit. Plans et procdures pour atteindre ces objectifs. Procdure pour rpondre aux rgles et normes techniques et oprationnelles. procdures dvaluation des risques et mthodes de slection des mesures de prvention et/ou de protection. 6. 7. 8. 9. programmes de formation et de qualification des personnels. Procdures de rdaction et prototypes de rapport de scurit. Procdures de capitalisation et de retour dexprience. Procdures de gestion de crises.

tel-00338938, version 2 - 16 Feb 2009

2. 3. 4. 5.

10. Audit et revue du SMS. Le tableau suivant (voir TAB. 1) prsente dune manire synthtique comment le SMS bas sur la mthode MPR peut accder aux exigences de la directive europenne de scurit [2004/49/CE, 2004] : TAB. 1 : Adquation entr e SMS centr -MPR et les lments essentiels du SMS pr opos par la dir ective de scur it 2004/49 lments essentiels du systme de gestion de la scurit propos par la directive de scurit 2004/49 Annexe III Une politique de scurit approuve par le 1) directeur gnral de l'organisation et communique l'ensemble du personnel ; 2) Des objectifs qualitatifs et quantitatifs de lorganisation en matire d'entretien et d'amlioration de la scurit ainsi que des plans et des procdures destins atteindre ces objectifs ; Elments du SMS centr-MPR

SMS SMS SMS

Profil de mission Politique de scurit Gestion des rles et affectation des responsabilits

205

3)

4)

tel-00338938, version 2 - 16 Feb 2009

5)

Des procdures pour satisfaire aux normes techniques et oprationnelles existantes, nouvelles et modifies ou d'autres prescriptions dfinies : dans les STI, ou dans les rgles nationales vises l'article 8 et l'annexe II, ou dans d'autres rgles pertinentes, ou dans les dcisions de l'autorit, et des procdures pour assurer la conformit avec ces normes et autres prescriptions tout au long du cycle de vie des quipements et des activits; Des procdures et mthodes d'valuation des risques et de mise en uvre de mesures de matrise des risques chaque fois qu'un changement des conditions d'exploitation ou l'introduction de nouveau matriel comporte de nouveaux risques pour l'infrastructure ou lexploitation ; Des programmes de formation du personnel et des systmes permettant de veiller ce que les comptences du personnel soient maintenues et que les tches soient effectues en consquence ; Des dispositions garantissant une information suffisante au sein de l'organisation et, le cas chant, entre les organisations oprant sur la mme infrastructure ; Des procdures et formats pour la documentation des informations sur la scurit et la dtermination de la procdure de contrle de la configuration des informations vitales en matire de scurit ; Des procdures garantissant que les accidents, les incidents survenus ou vits de justesse et les autres vnements dangereux soient signals, examins et analyss, et que les mesures prventives ncessaires soient prises ; Des plans d'action, d'alerte et d'information en cas d'urgence, adopts en accord avec les autorits publiques comptentes ;

SMS

Politique de scurit Gestion des rfrentiels

MPR

R1 : rtroaction si modification de la conception Assurance scurit

SMS

SMS

Gestion des r les et affectation des r esponsabilits Formation et qualification

6)

SMS

Matrise de la communication

7)

SMS

Matrise de la documentation

8)

SMS

Gestion de la BDD accidents / incidents

MPR

Phases (3, 4, 5, 6, 7, 8): Management des risques

9)

SMS

Gestion des crises (POI, PPI, PPRT) Gestion des rles et affectation des responsabilits

MPR

Phase 7 : matrise des risques aspects organisationnels Phase 7 : matrise des risques Dcision

10)

Des dispositions prvoyant un audit interne rgulier du systme de gestion de la scurit.

SMS

Audit, revue et surveillance

206

15. Corr espondance avec le SMQ pr opos dans la norme 9001 de la sr ie ISO 9000
La dmarche qui sappuie sur un SMQ incite les organismes analyser les exigences des clients, dfinir les processus qui contribuent la ralisation dun produit acceptable pour le client et en maintenir la matrise. Un systme de management de la qualit peut fournir le cadre damlioration continue permettant daccrotre la probabilit de satisfaire client et autres parties intresses. Il apporte, lorganisme et ses clients, la confiance en son aptitude fournir des produits qui satisfont immanquablement aux exigences. Les exigences des clients peuvent tre spcifies contractuellement par le client qui, en dfinitive, dtermine lacceptabilit du produit. Les besoins et attentes des clients ntant pas figs, et du fait de la pression de la concurrence et des avances technologiques, les organismes sont amens amliorer leurs produits et processus de manire continue. La structure du SMS centr-MPR possde de nombreux points communs avec le SMQ (voir TAB.2):

tel-00338938, version 2 - 16 Feb 2009

TAB. 2 : Adquation entr e le SMS centr -MPR et le SMQ de la nor me ISO 9001 lments essentiels du SMQ ISO 9001, ISO 9004 Engagement de la direction Besoins et attentes des parties intresses Politique qualit Responsabilit Plan de la direction Planification Responsabilit, autorit et communication Elments du SMS centr-MPR Profil de mission

SMS

SMS SMS

Politique de scurit Profil de mission Gestion des rles et affectation des responsabilits

MPR

Phases (1 & 2) : dcoupage systmique du systme global

Revue de direction Mise disposition ressources Ressources humaines Infrastructures Environnement de travail Informations Fournisseurs et partenariat Ressources naturelles Ressources financires Planification de la ralisation du produit Processus relatif aux parties intresses Conception & dveloppement des

SMS SMS SMS

Assurance de la scurit Gestion des r les et affectation des r esponsabilits Formation et qualification

Do

Management des ressources

Check

Ralisation du produit

SMS

BDD accidents/incidents Retour dExprience

MPR

Phase (2 8) + R1 (modification de la conception) + R2 (ajout de fonctions ou de procdures)

207

Achats Production et prparation du service Matrise des dispositifs de mesure et de surveillance Act Mesures, analyse et amlioration Mesures et surveillance Matrise des non-conformits Analyse de donnes Amlioration

SMS

Gestion des crises

SMS SMS

Matrise de la communication Audit, revue et surveillance

16. Corr espondance avec le SME pr opos dans la norme 14001 de la sr ie ISO 14000
Selon les termes de la norme internationale ISO 14001, le SME est la composante du systme de

management global qui inclut la structure organisationnelle, les activits de planification, les responsabilits, les pratiques, les procdures, les procds et les ressources pour laborer, mettre en uvre, raliser, passer en

tel-00338938, version 2 - 16 Feb 2009

revue et maintenir la politique environnementale .

Dans la srie ISO 14000, on retrouve le principe damlioration PDCA, nanmoins la terminologie diffre un petit peu car le cycle est dit PICR pour Plan (Planifier), Implement (Implmenter), Check (Vrifier), Review (Revoir). A lgard du SMQ, le SMS centr-MPR possde galement une structure compatible avec le SME (voir TAB. 3): TAB. 3 : Adquation entr e le SMS centr -MPR et le SME de la nor me ISO14001 lments essentiels du SME ISO 14001 Engagement de la direction Politique environnemental Plan Aspects environnementaux Exigences lgales et autres Objectifs et critres de performance internes Programme de management environnemental Structure et responsabilits SMS SMS SMS SMS MPR Elments du SMS centr-MPR Profil de mission Politique de scurit Gestion des rfrentiels Profil de mission Phase (1 & 2) : dcoupage systmique du systme global SMS Gestion des r les et affectation des r esponsabilits MPR Implement Formation, sensibilisation et comptences Communication Documentation du SME SMS SMS SMS Phase 2 : dcoupage systmique du sous-systme Acteur s Formation et qualification Matrise de la communication Matrise de la documentation

208

Matrise de la documentation Prvention des situations d'urgence et capacit ragir Matrise oprationnelle

SMS SMS MPR Gestion des crises BDD accidents/incidents Retour dExprience Matrise de la documentation Audit, revue, surveillance

Check

Enregistrements Surveillance et mesurage Non-conformit, action prventive/ action corrective Audit du SME Review Revue du SME

SMS

tel-00338938, version 2 - 16 Feb 2009

17. Corr espondance avec le SMS&ST pr opos dans le r fr entiel nor me 18001 de la sr ie OHSAS 18000
A l'origine l'OHSAS a t labore en qualit d'outil pour auditer les entreprises clientes des organismes concepteurs et leur dlivrer le cas chant un certificat sans valeur internationale. A ce titre, OHSAS 18001 est un rfrentiel (et non pas une norme internationale) qui rsulte d'un travail commun d'un certain nombre d'organismes internationaux de normalisation et de certification. Il recense et capitalise toutes les spcifications propres chaque organisme certificateur sur le thme du management de la sant et de la scurit au travail. Sa mise en uvre est dpendante d'un contexte de sant et de scurit au travail complexe, parfois prcaire, volutif comportant des risques de plus en plus grands. L'OHSAS 18001 est trs largement calque sur l'ISO 14001 dans la structure logique et dans la terminologie. A ce titre, l'OHSAS parat un outil adapt et complmentaire pour une entreprise souhaitant mettre en uvre un systme de management intgr (SMI). Elle permet un organisme dtablir, mettre en uvre et entretenir et amliorer un SMS&ST, ensuite mettre en uvre, entretenir et amliorer un tel systme en sassurant dabord de sa conformit la politique S&ST adopte.

209

Les lments du SMS centr-MPR sont compatibles avec les lments essentiels du SMS&ST de la srie OHSAS 18000 (voir TAB. 4): TAB. 4 : Adquation entr e le SMS centr -MPR et le SMS&ST du r fr entiel OHSAS 18001 lments essentiels du SMS&ST OHSAS 18001 Engagement de la direction Politique OH&S (sant et scurit) Plan Exigences lgales et autres Objectifs et Programme(s) SMS SMS SMS SMS MPR Elments du SMS centr-MPR Profil de mission Politique de scurit Gestion des rfrentiels Profil de mission Phase (1 & 2) : dcoupage systmique du systme global Ressources, autorit rles, responsabilit et SMS Gestion des r les et affectation des r esponsabilits MPR Implement Comptences, formation et sensibilisation Communication, consultation Documentation Matrise de la documentation Matrise oprationnelle MPR BDD accidents/incidents Retour dExprience Prvention des situations d'urgence et capacit ragir Investigation des incidents SMS MPR Gestion des crises Phases (3, 4, 5, 6, 7, 8): Management des risques Matrise des enregistrements Surveillance et mesurage de la performance Non-conformit, action prventive/ action corrective Audit du SMS&ST SMS SMS Matrise de la documentation Audit, revue, surveillance SMS Matrise de la documentation participation et SMS SMS Phase 2 : dcoupage systmique du sous-systme Acteur s Formation et qualification Matrise de la communication

tel-00338938, version 2 - 16 Feb 2009

Check

210

Bibliographie

AQS-GT OORS. (Mars 1996). Management de la scurit d'entrepreise, vocabulaire et concept. Association Qualit-Scurit (AQS) pour l'Observatoire de l'Opinion sur les Risques de la Scurit. Argyris, C. (Septembre 1976). Single-Loop and Double-Loop Models in decision Making. Administrative Science Quarterly , Vol 21, pp 363-380. Aubry, J.-F. (2005). Glossaire des termes relatifs aux Automates Programmables Industriels ddis la

tel-00338938, version 2 - 16 Feb 2009

Scurit. Aumas, M. (1996). Plates-formes lvatrices mobiles de personnel. Paris: INRS. Barbet, J.-F. (Mars 1996). Matriser les risques. Journal Prventique et Scurit . Bellamy, L., & Van Der Schaff, J. (2000). Major Hazard Management: Technical-Management Links and the AVRIM2 Method. Seveso 2000 Risk Management in the European Union of 2000: The Challenge of Implementing Council Directive Seveso II. Athens: European Commission, Joint Research Centre, Major Accident Hazard Bureau. Bergada, M., Chandon, J.-L., & Chebat, J.-C. (1984). Le temps comme intrant des attitudes l'gard de la scurit routire. Revue dAnalyse conomique , Vol 60, n4, pp 495-513. Bertalanffy, L. (Dcembre 1972). The History and Status of General Systems Theory. The Academy of Management Journal , Vol. 15, No. 4, General Systems Theory, pp 407-426. Bouchet, S. (2001). Analyse des risques et prvention des accidents majeurs : Prsentation des mthodes d'inspection TRAM, NIVRIM et AVRIM2. INERIS, Direction des Risques Accidentels, Unit prvention. Brandom, R. (1988). Inference, Expression and Induction. Philosophical Studies Kluwer Academic Publishers , Issue 54, pp 257-285. Brenac, T., Nachtergaele, C., & Reiner, H. (2003). Scnarios types d'accidents impliquant des pitons et lments pour leur prvention, Rapport INRETS n256. BSI 8800. (2004). Occupational health and safety management system - Guide. England: BSI. BSI OHSAS 18001. (2005). Occupational Health and Safety Management Systems Specification. England: BSI.

211

Bck, J.-Y. (1999). Le management des connaissances: mettre en oeuvre un projet de knowledge management. Paris: Editions d'Organisation. CEI 1050. (Fvrier 1991). Transformateurs pour lampes tubulaires dcharge ayant une tension secondaire vide suprieure 1 000 V - (couramment appels transformateurs-non): Prescriptions gnrales et de scurit. CEI. CEI 108. (1994). Principes directeurs pour inclure dans les normes les aspects lis la scurit. CEI. CEI 300-3-9. (1995). Gestion de la sret de fonctionnement. CEI. CEI 50(191). (1990). International Electro-technical Vocabulary, Chapter 191: Dependability and quality of service. CEI. CEI 60300. (Aot 1996). Gestion de la sret de fonctionnement. CEI. CEI 60812. (Janvier 2006). Techniques d'analyse de la fiabilit du systme Procdure d'analyse des Modes de

tel-00338938, version 2 - 16 Feb 2009

dfaillance et de leurs effets (AMDE). CEI. CEI 61069. (1996). Mesure et commande dans les processus industriels - Apprciation des proprits d'un systme en vue de son valuation - Parti 5: Evaluation de la sret de fonctionnement d'un systme. CEI. CEI 61882. (Mai 2001). Etudes de danger et d'exploitabilit (tudes HAZOP), Guide d'application. CEI. Center For Chemical Process Safety. (1993). Guidelines for Auditing Process Safety Management Systems. New York: American Institute of Chemical Engineers. Chapman, C., & Ward, S. (2003). Project Risk Management: Processes, Techniques and Insights. Second edition. Southampton, UK: John Wiley & Sons Ltd. Charlet, J., Zacklad, M., Kassel, G., & Bourigault, D. (2000). Ingnierie des connaissances, volutions rcentes et nouveaux dfis. Eyrolles. Chorafas, D. (2004). Operational Risk Control with Basel II - Basic principles and capital requirements. Elsevier Butterworth-Heinemann. Christian, P. (2002). LEurope ferroviaire est-elle sur la bonne voie ? les documents d'information de l'assemble nationale, n 388. Circulaire DPPR/SEI2/CB-06-0388. (2006). mise disposition du guide dlaboration et de lecture des tudes de dangers pour les tablissements soumis autorisation avec servitudes et des fiches dapplication des textes rcents. DPPR. Code de l'Environnement: Article L. 511-1. (17 janvier 2001). Loi n 2001-44 du 17 janvier 2001 art. 11. Journal Officiel de la rpublique franaise.

212

Cooper, D., Grey, S., Raymond, G., & Walker, P. (2005). Project Risk Management Guidelines: Managing risk in large projects and complex procurements. England: John Wiley & Sons, Ltd. Cox, L.-A. (2008). Whats wrong with risk matrices? Journal of risk analysis , Vol. 28, No. 2, pp 497-512. Cox, S., & Tait, R. (1998). Safety, Reliability and Risk Management: an integrated approach. Second edition. Butterworth-Heinemann, Reed Educational and Professional Publishing Ltd. Dankel, A., & Gonzales, D. (1993). The enginneering of knowledge-based systems, theory and practice. New Jersey: Prentice Hall, Englewood Cliffs. Davies, J., Fensel, D., & Van Harmelen, F. (2003). Towards the Semantic Web: Ontology-driven Knowledge Management. England: John Wiley & Sons, LTD. De Rosnay, J. (1977). Le macroscope: vers une vision globale. Points Essais n80. Paris: Points. De Saussure, F. (1913). Cours de linguistique gnrale. Payot.

tel-00338938, version 2 - 16 Feb 2009

Dcret n 2003-425. (9 mai 2003). Dcret n 2003-425 du 9 mai 2003 relatif la scurit des transports publics guids . Dekker, S. W. (2005). Human Factors in Transportation: Ten Questions About Human Error, A new view of human factors and system safety. Lawrence Erlbaum Associates Publishers. Dellobel, C., & Adiba, M. (1985). Base de donnes et systmes relationnels. Dunod. Desroches, A. (2005). LAnalyse Prliminaire des Risques. Qualita'2005 . Bordeaux, France. Desroches, A., Leroy, A., & Valle, F. (2005). La gestion des risques. Lavoisier. Dhillon, B. (2005). Reliability, Quality, and Safety for Engineers. Florida, USA: CRC Press LLC. Dialo, G. (2006). Une architecture Base d'Ontologies pour la Gestion Unifie des Donnes Structures. Grenoble: Thse de doctorat, Universit Joseph Fournier. Dillenbourg, P., & Martin-Michielot, S. (1995). Le rle des techniques dIntelligence artificielle dans les logiciels de formation. CBT, Learntec. Directive 1995/18/CE. (27 juin 1995). Directive 1995/18/CE du Conseil du 19 juin 1995, concernant les licences des entreprises ferroviaires. Brussels: Official Journal of the European Union, Commission of the European Communities. Directive 2001/16/EC. (19 mars 2001). Directive of the European Parliament and of the Council on the interoperability of the trans-European conventional rail system. Brussels: Official Journal of the European Union, Commission of the European Communities.

213

Directive 2004/49/EC. (29 avril 2004). Directive of the European Parliament and of the Council on safety on the Community's railways. Brussels: Official Journal of the European Union, Commission of the European Communities. Directive 96/48/EC. (23 juillet 1996). Directive of the European Parliament and of the Council on the interoperability of the trans-European high-speed rail system. Brussels: Official Journal of the European Union, Commission of the European Communities. Directive 96/82/EC (SEVESO II). (9 dcembre 1996). European directive on the control of major-accident hazards involving dangerous substances. Brussels: Official Journal of the European Union, Commission of the European Communities. Doucet., F., Gauthier, P., & Turcotte, J.-P. (2004). Etude de cas : Application de la dmarche d'analyse et de matrise du risque au projet McGro. Universit de Sherbrooke, universit de quebec trois rivires. Durka, E., & Fae, J.-L. (2000). Conception et valuation de la scurit fonctionnelle des systmes instruments

tel-00338938, version 2 - 16 Feb 2009

de process industriels, Rapport final. INERIS, Direction des Risques Accidentels. Durka, E., & Fae, J.-L. (2000). Sret fonctionelle des systmes ddis la scurit, Rapport final. INERIS Direction des Risques Accidentels. Edwards, A.-J. (2004). ISO 14001 Environmental Certification Step by Step. Elsevier. El-Koursi, E., Mitra, S., & Bearfield, G. (2007). Harmonizing Safety Management Systems in the European Railway Sector. Safety Science Monitor , Issue 2, Vol 11, 1-14. El-Koursi, E.-M., Fletcher, S., Tordai, L., & Rodriguez, J. (2006, February). Safety and interoperability. SAMNET synthesis report . EN 292/ISO 12100. (1995). Scurit des machines ; Notions fondamentales, principes gnraux de conception. ISO/CEN. Faber, M., & Stewart, M. (2003). Risk assessment for civil engineering facilities: critical overview and discussion. Reliability Engineering and System Safety , Issue 80, pp 173184. Fadier, E. (2000). Les pratiques franaises en matire de sret de fonctionnement. Congrs Lambda Mu 12 . FD X 50-173. (1998). Principes, acteurs et bonnes pratiques - Guide d'auto-valuation. AFNOR. Flanagan, R., & Norman, G. (1993). Risk Management and Construction. Blackwell Science Ltd. Gallou, G., & Bouchon-Meunier, B. (1992). Systmique : Thorie & Application. France: Lavoisier. Gardarin, G. (1998). Bases de donnes: les systmes et leurs langages. Eyrolles. Goffin, L. (1976). Environnement et volution des mentalits. Arlon, Belgium: Thse de doctorat, FUL.

214

Gouriveau, R. (2003). Analyse des risques Formalisation des connaissances et structuration des donnes pour lintgration des outils dtude et de dcision. Thse de Doctorat, Institut National Polytechnique de Toulouse. Green, P., & Rosemann, M. (2005). Business systems analysis with ontologies. Australia: Idea Group Publishing. Greuning, H. V., & Bratanovic, S. (Avril 2003). Analysing and managing banking risk - A framework for assessing corporate governance and finantial risk. Second edition. Washington, D.C., USA: The world bank. Grber, T.-R. (1993). A translation approach to portable ontologies. Knowledge Acquisition. Grber, T.-R. (1992). Ontolingua : A mechanism to support portable ontologies. Standford University, Knowledge Systems Laboratory. Grber, T.-R. (1995). Towards principles for the design of ontologies used for knowledge sharing. International Journal of Human-Computer Studies . Grber, T.-R., & Thomas, R. (1993). Towards principles for the Design of Ontologies Used for Knowledge

tel-00338938, version 2 - 16 Feb 2009

sharing in formal Ontology in conceptual Analysis and Knowledge Representation. Kluwer Academic Publishers. GT 7 - CEI. Enseignement - Terminologie. CEI. GT Aspects smantiques du risque. (1997). Vocabulaire li au risque travers une analyse bibliographique. Institut de Protection et de Sret Nuclaire (IPSN) - Observatoire de l'Opinion sur les Risques et la Scurit. GT Mthodologie. (2003). Principes gnraux pour l'laboration et la lecture des tudes de dangers. INERIS. GTR 55. (2000). Les analyses prliminaires de risques appliques aux transports terrestres guids. Institut de Sret de Fonctionnement - Collge scurit. Guarino, N. (1998). Some ontological principles for designing upper level lexical resources. IOS Press. Hanquiez, A. (2003, Juillet). Evaluation des risques: les rsultats dans un document unique. Techniques de l'ingnieur . Hartolou, D., Bouchet, S., & Salvi, O. (2003). Mieux dmontrer la matrise des risques industriels. Revue Phoebus no. 27 . Heurtel, A. (2003). La gestion des risques techniques et des risques de management. CNRS - IN2P3/LAL. HMSO. (1995). A guide to Risk Assessment and Risk Management for Environmental Protection. England: Her Majestys Stationery Office. Horton, I. (2006). Beginning Visual C++ 2005. USA: Wiley Publishing Inc. . HSE. (1992). Generic terms and concepts in the assessment and regulation of industrial Risks. UK: Health and Safety Executive.

215

HSE. (Fvrier 1998). Health and safety policies and risk assessment in agriculture. UK: Health and Safety Executive. HSE. (2001). Proposed framework for addressing human factors in IEC 61508. UK: Health and Safety Executive. HSE. (2001). Safety culture maturity model, Offshore technology report. UK: Health and Safety Executive. IAEA Safety glossary. (2007). Teminology used in nuclear safety and radiation protection. International Atomic Energy Agency. ICAO. (1990). Manual Concerning Safety Measures Relating to Military Activities Potentially Hazardous to Civil Aircraft Operations. International Civil Aviation Organization. ICAO. (2006). Safety Management Manual (SMM). International Civil Aviation Organization. INERIS-DRA ARAMIS. (2004). ARAMIS: Dveloppement dune mthode intgre danalyse des risques pour

tel-00338938, version 2 - 16 Feb 2009

la prvention des accidents majeurs. Ministre de lEcologie et du Dveloppement Durable - INERIS. INERIS-DRA. (2003). Outils d'analyse des risques gnrs par une installation industrielle. INERIS, Direction des Risques Accidentels. INRS. (2004). Evaluation des risques professionnels: Questions-rponses sur le document unique. Institut National de Recherche et de Scurit. ISO 14001. (Novembre 2004). Systmes de management environnemental - exigences et lignes directrices pour son utilisation, 2 me dition. Paris: ISO. ISO 14971. (2000). Application de la gestion des risques aux dispositifs mdicaux. ISO. ISO 21127. (Aot 2002). Information and documentation A reference ontology for the interchange of cultural heritage information. ISO. ISO 9000. (Dcembre 2000). Systmes de Management de la Qualit - Principes essentiels et vocabulaire. ISO. ISO/CEI 9126-1. (June 2001). Software engineering - Product quality - Quality model. ISO/CEI. ISO/CEI Guide 2. (1986). Termes gnraux et leurs dfinitions concernant la normalisation et les activits connexes. ISO. ISO/CEI Guide 51. (1999). Aspects lis la scurit principes directeurs pour les inclure dans les normes. ISO/CEI. ISO/CEI Guide 73. (2002). Management du risque Vocabulaire principes directeurs pour les inclure dans les normes. ISO/CEI.

216

Joly, C., & Vallee, A. (2004). Analyse des risques et prvention des accidents majeurs: Synthse vis--vis de ltude de danger. INERIS-Direction des Risques Accidentels. Kahneman, D., & Tversky, A. (Mars 1979). Prospect theory:An analysis of decision under risk. Econometrica , Vol 47, Issue 2, pp 263-292. Kaufmann, A., Grouchko, D., & Cruon, R. (1975). Modles mathmatiques pour l'tude de la fiabilit des systmes. Masson & Cie. Kerven, G.-Y., & Rubise, P. (2001). L'archipel du danger - Introduction aux cindyniques. Paris: Eyrolles. Kerzner, H. (2001). Project Management: A Systems Approach to Planning, Scheduling, and Controlling, seventh edition. Ohio, USA: John Wiley & Sons, Inc. Krishnan, S., & Singh, M. (2002). Strategic Human Resource Management: Three-Stage Process And Influencing Organisational Factors. Indian Institute of Management.

tel-00338938, version 2 - 16 Feb 2009

Laprie, J.-C. (2002). Guide de la Sret de Fonctionnement. Cepadus . Laprie, J.-C. (1994). La modlisation des systmes informatiques : concepts de base et terminologie - , rapport n 94448. Toulouse: LAAS. Larousse. (2006). 38 dictionnaires et recueils de correspondances en CD ROM. Larousse. (2006). Larousse Dfinitions. Larousse. (2005). Larousse Expression. Laudon, K., & Laudon, J. (2001). Les systmes d'information de gestion : organisations et rseaux stratgiques. Editions du Renouveau Pdagogique. Laurant, A. (2003). Scurit des procds chimiques. Lavoisier. Le Moigne, J.-l. (1994). Thorie du Systme Gnral, thorie de la modlisation. Paris: PUF. Leveson, N. (Juin 2002). A New Approach To System Safety Engineering. Massachusetts, USA: Aeronautics and Astronautics Massachusetts Institute of Technology. Lievens, C. (1976). Scurit des systmes. Cpadus. Macdonald, D. (2004). Practical Machinery Safety. Elsevier. Manesh, K. (1996). Ontology development for machine translation: Ideology and methodology. Memoranda in computer and cognitive science. New Mexico State University, Computing Research Laboratory, Las Cruses, New Mexico. Marsot, J. (1998). Nacelles lvatrices de personnel - Etude des schmas de commande. Cahiers de notes documentaires - Hygine et scurit du travail - N171, 2e trimestre 1998, INRS . 217

Martin, W., Lippitt, J., & Webb, P. (2000). Hazardous Waste Handbook for health and safety, 3rd edition. ButterworthHeinemann - Elsevier group. Maslow, A. (1943). A Theory of Human Motivation. Psychological Review , Issue 50, pp 370-396. Mazouni, M.-H. (2006, Avril). Concepts et terminologie de base pour lAnalyse Prliminaire des Risques dans le transport ferroviaire. Communiquer, Naviguer, Surveiller-Innovations pour des transports plus srs, plus efficaces et plus attractifs , Actes INRETS no. 109, pp 143-152. Mazouni, M.-H. (2007, Avril ). Modlisation gnrique des scnarios daccident dans le but dharmoniser les APRs. Communiquer, naviguer,surveiller - Innovations pour des transports plus surs , Actes INRETS n 112, pp 17-27. Actes INRETS. Mazouni, M.-H., & Aubry, J.-F. (2007, 26-29 Aot). A PHA based on a systemic and generic ontology, Paper No. 166. IEEE ITS international conference SOLI2007 . Philadelphia, USA: IEEE - ITS.

tel-00338938, version 2 - 16 Feb 2009

Mazouni, M.-H., & Hadj-Mabrouk, H. (2005, Avril). Lanalyse des risques daccidents dans les transports ferroviaires. Qubec-Laval. Mazouni, M.-H., & Hadj-Mabrouk, H. (2005, Dcembre). Mthode et formalisme de base pour lAnalyse Prliminaire des Risques applique dans le transport ferroviaire. 6e Confrence internationale des sciences et des techniques de lautomatique (STA2005) . Sousse, Tunisie. Mazouni, M.-H., & Hannachi, H. (1999). Ralisation d'une interface graphique sous XWindow pour le SGBD Postgres. Mmoire d'ingnieur d'tat en informatique, option Systmes Informatiques . Alger: Institut National d'Informatique. Mazouni, M.-H., Aubry, J.-F., & El koursi, E.-M. (2008, 4-5 juin). Mthode systmique et organisationnelle dAnalyse Prliminaire des Risques base sur une ontologie gnrique. 1er Workshop du Groupement d'Intrt Scientifique Surveillance, Sret, Scurit des Grands Systmes (3SGS'08) . Universit de Technologie de Troyes. Mazouni, M.-H., Bied-Charreton, D., & Aubry, J.-F. (2007, 18-21 Avril). Proposal of a generic methodology to harmonize Preliminary Hazard Analyses for guided transport, Paper No. 98. IEEE SMC international conference SOSE2007 . San Antonio, Texas USA: IEEE SMC. McAmis, D. (2004). Professional Crystal Reports for Visual Studio .NET. Second edition. Indianapolis - USA: Wiley Publishing, Inc. Mmorandum n9. (1994). Principes directeurs pour inclure dans les normes les aspects lis la scurit. CENELEC. MIL-STD-1629A. (24 Novembre 1980). Procedures for performing a failure Mode, Effects and Criticality Analysis. Washington, D.C.: Department of Defense, USA.

218

MIL-STD-882C. (19 Janvier 1993). System Safety Program Requirements. Washington, D.C., USA: Department of Defense. MIL-STD-882D. (10 February 2000). Standard Practice For System Safety. Washington, D.C., USA: Department of Defense. Ministre de l'cologie et du dveloppement durable . (29 septembre 2005). Arrt du 29 septembre 2005 relatif lvaluation et la prise en compte de la probabilit doccurrence, de la cintique, de lintensit des effets et de la gravit des consquences des accidents potentiels dans les tudes de dangers des ICPE . Journal officiel de la rpublique franaise. Molak, V. (1997). Fundamentals of Risk Analysis and Risk Management. Ohio, USA: Lewis Publishers. Mollah, A. (2005, Novembre). Application of Failure Mode and Effect Analysis (FMEA) for Process Risk Assessment. Focus on Project Management .

tel-00338938, version 2 - 16 Feb 2009

Monteau, M., & Favaro, M. (1990). Bilan des mthodes danalyse priori des risques. INRS. Morin, E. (1977). La Mthode, 1 : la nature de la nature ; 2 : la vie de la vie. Le Seuil. Mortureux, Y. (2002, Aot). La Sret de fonctionnement: mthodes pour matriser les risques. Techniques de l'ingnieur . NASA. (Mars 1999). System Safety Handbook. California, USA: Dryden Flight Research Center, NASA. NEA - OECD. (2005). Gestion des dchets radioactifs: Vers la ralisation dun dossier de sret - Rapport de synthse prpar au nom du WPDD par son Groupe dtude sur lanalyse du dossier de sret de dmantlement. Rapport n 6073. Paris: Agence pour l'Energie Nuclaire - Organisation de Coopration et de Dveloppement conomique. NF EN 280. (2001). Plates-formes lvatrices mobiles de personnel. Calculs, stabilit, construction. Scurit, examen et essais. Paris: AFNOR. NF EN 280/A1. (2004). Plates-formes lvatrices mobiles de personnel. Calculs de conception, Critre de stabilit, Construction. Paris: AFNOR. NF EN 50126. (Janvier 2000). Applications ferroviaires : Spcification et dmonstration de la fiabilit, de la disponibilit, de la maintenabilit et de la scurit (FDMS). Paris: AFNOR. NF EN 50128. (Juillet 2001). Applications ferroviaires : Systmes de signalisation, de tlcommunication et de traitement, Logiciels pour systmes de commande et de protection ferroviaire. Paris: AFNOR. NF EN 50129. (Mai 2003). Applications ferroviaires : Systmes de signalisation, de tlcommunication et de traitement, Systmes lectroniques de scurit pour la signalisation. Paris: AFNOR. NF EN 60204. (Avril 1998). Scurit des machines. Paris: AFNOR.

219

NF EN 61508. (Dcembre 1998). Scurit fonctionelle des systmes lectriques et lectroniques programmables relatifs la scurit. Paris: AFNOR. NF EN 61511. (Mars 2005). Scurit fonctionnelle - systmes instruments de scurit pour le secteur des industries de transformation . CENELEC. NF EN ISO 9001. (Dcembre 2000). Systmes de management de la qualit. Paris: AFNOR. Noy, N. F., & Hafner, C. (1997). The State of the Art in Ontology Design. The American Association for Artificial Intelligence. OHSAS 18001. (2007). Occupational Health and Safety Management Systems - Requirements. OHSAS. Prilhon, P. (1999). Du risque l'analyse des risques, dveloppement d'une mthode MOSAR. Prilhon, P. (2000). Elments mthodiques. Phoebus no.12 .

tel-00338938, version 2 - 16 Feb 2009

Prilhon, P. (2003, Septembre). MOSAR : Prsentation de la mthode. Techniques de l'ingnieur . Perpen, J.-L. (2000). Dfinition et ralisation d'une application oriente objet pour la matrise du processus de coupe - Thse de Doctorat en mcanique. Universit Bordeaux I. Perrow, C. (1984). Normal accident - living with High-Risk technologies. Basic Books, Harper Torchbooks. Peters, T. (1988). Thriving on chaos. London: MacMillan Ltd. Petit Robert. (1984). Dictionnaire. Paris. Pr NF ISO 31000. (Juin 2008). management du risque: principe et lignes directrices de mise en oeuvre. Paris: AFNOR. Rasmussen, J., & Svedung, I. (2000). Proactive risk management in a dynamic society. Karlstad-Sude: Swedish Rescue Services Agency. Rausand, M., & Hoyland, A. (2004). System Reliability Theory: Models, statistical methods and applications. Wiley Publishing Inc. RE. Aro 701 11 . (Novembre 1986). Recommandations pour les tudes de lindustrie arospatiale - Guide des mthodes courantes d'analyse de la scurit d'un systme missile ou spatial. Bureau de Normalisation de l'Aronautique et de l'Espace (BNAE). Reason, J., & Parker, D. (1993). Managing the human factor in road safety. Maatschappij: The Hague: Shell International Petroleum. Roche, C. (2005). Ontologie et Terminologie. Larousse - Revue , n 157, pp 1-11. Safety Regulation Group. (Janvier 2002). An Introduction to Aircraft Maintenance Engineering Human Factors for JAR 66, Civil Aviation Authority (CCA). UK: Documedia Solutions Ltd. 220

Sallak, M., Simon, C., & Aubry, J.-F. (2007). A fuzzy probabilistic approach for determining safety integrity level. IEEE Transactions on Fuzzy Systems . SAMRAIL Consortium. (Septembre 2003). Analysis of existing approaches, D 2.1.1 report. European Commission and SAMRAIL partners. SAMRAIL Consortium. (Septembre 2004). Common safety methods, D 2.3 report. European Commission and SAMRAIL partners. Saoul, B. (2002). Les risques en station de ski alpin : d'une explication monocausale une perspective d'analyse systmique. Secrtariat Gnral du Gouvernement . (2006, Octobre 19). Dcret n 2006-1279 du 19 octobre relatif la scurit des circulations ferroviaires et l'interoprabilit du systme ferroviaire. Rcupr sur LgiFrance, Le service public de diffusion du droit: http://www.legifrance.gouv.fr

tel-00338938, version 2 - 16 Feb 2009

Secrtariat Gnral du Gouvernement. (2002, Janvier 8). Arrt d'application du dcret n2000-286 relatif la scurit du rseau ferr national. Rcupr sur LgiFrance, Le service public de diffusion du droit: http://www.legifrance.gouv.fr Secrtariat Gnral du Gouvernement. (2007, Dcembre 31). Arrt du 31 dcembre 2007 relatif aux autorisations et la de mise en exploitation commerciale de systmes ou sous-systmes de transport ferroviaire nouveaux ou substantiellement modifis. Rcupr sur LgiFrance, Le service public de la diffusion du droit: http://www.legifrance.gouv.fr/ Secrtariat Gnral du Gouvernement. (2000, Mars 30). Dcret n2000-286 relatif la scurit du rseau ferr national. Rcupr sur LgiFrance, Le service public de la diffusion du droit: http://www.legifrance.gouv.fr/ Senge, P. (1990). The Fifth Discipline: The Art & Practice of The Learning Organization. Solter, N., & Kleper, S. (2005). Professional C++. USA: Wiley Publishing, Inc. Sowa, J. (1984). Conceptual structures: Information processing in mind and machine - The system Programming series. Wesley Publishing Inc. Sowa, J. (2000). Knowledge representation : logical, philosophical and computational foundations. Paci_c Grove, CA, USA: Brooks/Cole Publishing. Sripriya, & Kishore, S. (2002). Microsoft Visual C++ .NET Professional Projects. USA: Premier Press, Inc. TECSSS. (Aot 2002). System Safety: A Science and Technology Primer. The New England Chapter of the System Safety Society. Tordai, L. (June 2005). Common Safety Targets and Common Safety Indicators, Report D.1.2.3. Tourigny, N. (1998). Systmes d'aide l'tude de la scurit routire - Vers des outils hybrides, ouverts et intelligents . 221

US Navy. (2003). Naval Safety Supervisor. USA: Naval Education and training Professional Development and Technology Center. Van Elslande, P., Alberton, L., Nachtergaele, C., & Blanchet, G. (1997). Scnarios types de production de l'erreur humaine dans l'accident de la route : problmatique et analyse qualitative, Rapport INRETS n218. Paris: lavoisier. Van Heijst, G., Schreiber, A., & Wielinga, B. (1997). Using explicit ontologies in kbs development. International Journal of Human-Computer Studies , 46(2/3), pp 183-292. Van Heijst, G., Van Der Spek, R., & Kruizinga, E. (1996). Organizing corporate memories. 10th Banff knowlegde acquisition for knowledge based systems workshop - KAW'96 . Canada. Villemeur, A. (1988). Sret de fonctionnement des systmes industriels. Eyrolles. Whittingham, R. (2004). The Blame Machine: Why Human Error Causes Accidents. Oxford: Elsevier

tel-00338938, version 2 - 16 Feb 2009

Butterworth-Heinemann. Wideman, R. (1992). Project and Program Risk Management: A guide to Managing Project Risks and Opportunities. Pennsylvania, USA: The Project Management Institute.

Fin.

222

tel-00338938, version 2 - 16 Feb 2009