Par Jean-Claude JACQUIOT consultant CASE France & Future Tech Systems Inc. Paris-Seattle, Juillet 2010 - jean-claude.jacquiot@case-france.com
Ce document explique aux nophytes ce quest lanalyse de risques avec le module A de la mthode MOSAR. Il sadresse aux nombreuses parties prenantes qui de prs ou de loin doivent comprendre, analyser, grer larrive dvnements non souhaits pour assurer la scurit dinstallations ou la sret de systmes afin dviter des accidents.
CASE France
2, alle de Londres 91969 Courtaboeuf Cedex - France Tl. 01 69 86 95 46 Fax. 01 69 07 03 43
www.case-france.com
1 INTRODUCTION ET DEFINITIONS
RISQUE, un mot que lon entend rgulirement et pourtant sa comprhension et son utilisation par le grand public sont le plus souvent errones. La confusion vient de la dfinition des mots risques et dangers. Nous allons essayer dy remdier dans ce document. Dabord, pour cerner le sujet, quelques exemples de risques dont on parle souvent : Les effets secondaires dun mdicament ou dune opration chirurgicale Les accidents de la circulation La contamination de sang, de rivires, de lenvironnement Les accidents dans la pratique dun sport ou dune activit Lexplosion dune usine de produit dangereux Le crash dun avion ou le draillement dun train Le mauvais (dfaut de) fonctionnement dun appareil, dun service ou dun systme La mauvaise excution dune tche Les cataclysmes naturels Les prises de position la bourse (risques financiers) Lintrusion de virus informatiques (risques informatiques) Etc. etc.
Bien que ces risques soient de natures trs diffrentes, leur analyse procde dune mme dmarche thorique. Cependant, des diffrences dinterprtations et de vocabulaire sont couramment observes dues essentiellement des coles de penses lies des mtiers particuliers. Lapproche que nous allons tudier mane de la science du danger et enseigne en France, dans les grandes coles dingnieurs. Elle est couramment utilise par des entreprises comme le CEA et EDF.
Le risque est un ensemble de quatre lments indissociables. Un peu comme une quation mathmatique. Cependant, ces quatre lments ne sont pas de mme nature. Cest pour cela quil nest pas possible de mettre un signe = entre R et les autres lments. Comme il est dit dans lintroduction, attention lamalgame entre les mots RISQUE et DANGER. Pour viter de dfinir le risque par rapport au danger et le danger par rapport au risque (dbouclage de dfinition, le danger tant une potentialit de risque), il est ncessaire de donner une dfinition originale du danger : DANGER : On va dire quil est dfini par un ensemble de processus (au sens systmique du mot processus, ce qui nous obligera dvelopper cette dfinition ci-dessous), qui droule lenchanement dvnements conduisant un EVENEMENT NON SOUHAITE (ENS) pouvant avoir un impact, en gnral destructeur, sur une ou plusieurs des quatre cibles possibles : un ou des individus, une ou des populations, un ou des cosystmes, un ou des systmes matriels ou symboliques.
Dfinitions des autres termes utiliss dans la dfinition du risque : PROBABILITE : Elle est dfinie par la probabilit denchanement des vnements conduisant lENS. Dans certain cas, on peut aussi utiliser le terme FREQUENCE . GRAVITE : Elle est dfinie par leffet des ENS sur les cibles. ACCEPTABILITE : Elle est dfinie par lacceptabilit de lENS par les acteurs dont les cibles. Nous constatons ainsi que les dfinitions rvlent des niveaux diffrents. Il est possible de dfinir scientifiquement le danger, sa probabilit bien sr et sa gravit mais il nest pas possible de dfinir scientifiquement son acceptabilit car ce niveau, les subjectivits individuelles et collectives sont prpondrantes. Le risque est un construit individuel et social . PROCESSUS : Cest toute transformation dans le temps, lespace, la forme (ou nature), de matire, dnergie, dinformation. Un processus stablit entre un objet processeur, ou systme processeur, ou source, ou systme source et un objet process , ou systme process , ou puits, ou systme cible, par change dun flux de matire, dnergie, dinformation.
Les cahiers techniques de CASE France Copyright 2010
SYSTEME SOURCE
OBJET PROCESSEUR
FLUX
MATIERE ENERGIE INFORMATION
SYSTEME CIBLE
OBJET PROCESS2
LE PROCESSUS
LA.R. en 5 tapes : 1- Traiter le Danger et pour cela identifier les processus de dangers c'est--dire lenchanement dvnements issus de systmes sources de dangers et pouvant conduire des ENS. Ce travail dvaluation peut se faire en mettant en uvre le modle MADS dfini ci-aprs. 2- Reprsenter lenchanement des vnements conduisant lENS, conduit des reprsentations du type arbres logiques ou rseaux. Ce travail met en uvre des outils du type Arbres de Dfaillances (ADD), Arbres dEvnements, Arbres Causes-Consquences, Rseaux de Ptri, Chanes de Markov, qui permettent aussi de calculer les probabilits de ces vnements dans certains cas. 3- Pour dterminer la Gravit des ENS on dtermine leur impact sur les cibles. Celui-ci peut tre immdiat mais aussi diffr traduisant des tats de la cible dans le temps. Certains de ces tats diffrs sont difficiles prvoir, do le principe de prcaution. 4- La dtermination de lacceptabilit se fait par ngociation de tous les acteurs concerns dont les cibles. Dans certains cas, des limites peuvent tre imposes par une rglementation (cas du nuclaire) ou par une rgle spcifique (cas des installations classes). Parmi les outils possibles voici les grilles Gravit *Probabilit. Ce sont des outils simples et assez faciles mettre en uvre. Elles permettent de situer les scnarios daccidents et de les hirarchiser. On en trouvera un exemple ci-aprs.
GRILLE G X P NIVEAU
TRES IMPORTANT MORT D'HOMME IMPORTANT EFFETS IRREVERSIBLES ACCIDENT AVEC IPP PEU IMPORTANT EFFETS REVERSIBLES ACCIDENT AVEC AT SANS IPP MINEUR BLESSURES LEGERES ACCIDENT SANS AT
INACCEPTABLE
ACCEPTABLE
1
TRES IMPROBABLE IMPROBABLE PEUT-ETRE UNE FOIS PEU PROBABLE UNE FOIS PROBABLE PLUS D' UNE FOIS
RISQUE
0 FOIS
P = PROBABILITE DE L'EFFET
dansla dure devie de l'installation ou de l'exprience NUISANCE NUISANCE TRES EXCEPTIONNELLE TEMPORAIRE NUISANCE TEMPORAIRE NUISANCE PERMANENTE
<1
NIVEAU
La ngociation de ces grilles se fait deux niveaux : tout dabord ngocier comment lon gradue les axes et ensuite ngocier la position de la frontire entre lacceptable et linacceptable. 5- La neutralisation des risques se fait par la recherche de toutes les barrires de prvention et de protection quil est possible didentifier pour viter la production dvnements et leur enchanement. Ces barrires sont de nature technique et opratoire. Il est ncessaire de les qualifier dans le temps pour sassurer de leur prennit. Une fois ces barrires tablies on peut vrifier si le risque est devenu acceptable en resituant les scnarios dans les grilles G * P. Dans toutes ces approches il faut cependant bien garder lesprit quil est trs difficile, voire impossible de prendre en compte toutes les dimensions du risque : spatiale et temporelle. Nous sommes par ailleurs toujours dans une situation de conflit. Conflit homme/nature, justice/profit, pauvret/richesse.... Dmontrer par la systmique, le risque est dautre part le moteur de lvolution, ce qui pose le problme de savoir sil faut lliminer ou non. Enfin, la matrise du risque est au cur des processus de dcision comme participant aux choix et aux arbitrages dans la gestion des conflits par tout dcideur, afin de minimiser les occurrences et les effets des dangers possibles.
Ce qui sort du systme (output) DECHETS (matire) BOITE NOIRE VEHICULE AUTOMOBILE
INFORMATION (pilotage)
INFORMATION (directivit)
CHAMPS
Effets de champs ( Evnements induits ) Evnement initiateur interne ou externe Evnement renforateur interne ou externe
SYSTEME CIBLE
Etats de la cible dans le temps Evnement initial Evnement principal Impact du flux sur la cible ou vnement final
Daprs le modle ci-dessus, le danger est lensemble des processus qui conduisent un processus principal pouvant tre gnr par un systme source de danger. Le flux de danger est gnr par une source de flux de danger partir du systme source de danger et il est constitu de matire, dnergie, dinformation. Si ce flux peut atteindre un systme cible et avoir des effets sur ce dernier on parle alors de risque.
Lensemble des processus est situ dans un environnement spcifique (partie de lenvironnement qui le concerne) gnrateur de champs processant des effets sur ces processus. La source de flux de danger est gnre par un processus initiateur dorigine interne ou externe (et donc provenant de lenvironnement spcifique). Symtriquement, il peut y avoir un processus renforateur du flux sur la cible, dorigine interne ou externe (et donc provenant de lenvironnement spcifique). Certains champs sont plus spcifiquement des champs de danger dans la mesure o ils gnrent des processus origines ou renforateurs des autres processus de danger. LENS est la rencontre du processus principal avec un systme cible. Si lon dfinit les processus comme des vnements, le modle peut se reprsenter comme suit : On appelle : Evnement Initial, la Source de Flux de Danger Evnement Principal, le Flux Evnement Final, limpact du flux sur la cible
Les cahiers techniques de CASE France Copyright 2010
Le modle montre lenchanement des vnements qui, partant de lvnement initiateur, conduit aux diffrents tats de la cible. Si lon se rfre au schma prcdent, que faudra-t-il faire pour analyser priori les risques ? Il faudra : 1- Reprsenter sous forme de systmes (des boites) tous les objets significatifs de votre environnement de danger, personnes comprises (systme complexe). REMARQUE : Pour certains types de risques, par exemple : financiers ou informatiques, il sera peut tre prfrable de modliser les sources de danger avec des fonctions (analyse fonctionnelle) plutt quavec des systmes. Mathmatiquement parlant, une application (par exemple informatique) est une gnralisation dune fonction, ce qui nous ramne au cas prcdent. Egalement, une activit (par exemple financire ou commerciale) est reprsente par une fonction. 2- Identifier les processus de dangers cest dire lenchanement dvnements issus de systmes sources de danger et pouvant conduire des ENS. Pour ce faire, nous mettrons en uvre le modle MADS.
P1
Champs de danger Systme source
PROBABILITE DES EFFETS INDUITS
P5
P4
Systme cible
PROBABILITE D'ETATS DE LA CIBLE DANS LE TEMPS
P7
P2
P3
P6
6-
Champs de danger
Systme source
Systme cible
Le modle est directement oprationnel, savoir quil permet didentifier lenchanement des vnements conduisant un ENS. Dautre part il est rversible car un systme source peut devenir un systme cible et vice -versa. Ceci permet de faire apparatre des scnarios par enchanement de processus de danger et de rassembler ces scnarios dans la construction darbres logiques centrs sur un mme ENS. Cette technique est mise en uvre dans la mthode MOSAR.
3 LE DEVELOPPEMENT DE TYPOLOGIES
Le modle MADS permet de dcrire et dvelopper : Des typologies des systmes sources de danger propres chaque contexte Des typologies des cibles Une typologie gnrale des vnements principaux Une typologie gnrale des champs. La structure des champs dpend des couples systmes sources - systmes cibles.
Les outils danalyse de risques proposent des listes prdfinies de typologies pour tous ces lments de danger. Ceci permet la standardisation, la normalisation et rendent les analyses de risques multiples cohrentes (nous consulter pour obtenir les listes de typologies).
Les cahiers techniques de CASE France Copyright 2010
10
ENVIRONNEMENT SPECIFIQUE
CHAMPS DE DANGER Effets des champs de danger
SYSTEME SOURCE
SYSTEME CIBLE
Flux de danger
Voici un exemple de typologie gnrale des champs : Champs physico-chimiques naturels ou artificiels (scientifiques et techniques) Champs psychologiques Champs conomiques Champs sociologiques Champs politiques Champs juridico-rglementaires (ce sont des champs transversaux) Champs culturels Champs organisationnels
11
L HYPERESPACE DU DANGER La rupture de laxe tlologique dans les rcentes affaires (daprs C. FRANTZEN)
A DEUX NIVEAUX: MACROSCOPIQUE: On analyse globalement l installation en traitant les risques principaux. C est le MODULE A de MOSAR MICROSCOPIQUE: On analyse finement l installation en dtaillant les risques avec des outils connus. C est le MODULE B de MOSAR
DEFINIR LES DEFINIR LES MOYENS DE MOYENS DE PREVENTION ET PREVENTION ET LES QUALIFIER LES QUALIFIER
12
Murs
Bouteille d'argon
Azote liquide
Avec laide dun outil graphique qui nous permet de dcrire graphiquement la scne, on effectue le recensement des systmes et sous-systmes qui la composent et qui sont significatifs pour lanalyse de risques en cours. Chaque systme peut tre dcrit selon les besoins.
13
SSx
A1 A2 A3 A4
A4
En faisant cette identification pour tous les sous systmes, on obtient donc une liste exhaustive des sources de dangers types de linstallation : A1, A2, A3, Dans lexemple ci-dessus, nous obtenons une source de danger pour le systme Conteneur dazote liquide : A1 sous pression
Choc
Conteneur d'azote liquide Maladresse Renversement : ,40 [130 %140] Liquide gazeux Projection : ,70 [50 %10] Brlure Brouillard : ,45 [300 %80]
Employ Anoxie
14
Le but est de rechercher tous les vnements (flches rouges en pointilles et noires) qui constituent le processus de danger. On commence par la recherche des vnements initiaux (dans lexemple : premire partie de la flche noire Renversement ). Sil y en a plusieurs, on prfrera faire des diagrammes spars afin de bien sparer les flux de danger pour en faciliter la gestion ultrieure. Ces derniers peuvent provenir soit du contenant cest dire de lenveloppe du systme source (ici bulle jaune), soit de son contenu. Un attribut de loutil permet de le prciser. On recherche ensuite les vnements initiateurs (flches rouge en pointilles) qui peuvent engendrer les vnements initiaux par lintermdiaire du systme source de danger. Ces vnements peuvent tre dorigine interne ou externe au systme source de danger. Dans ce dernier cas il s sont gnrs par les champs (ici : Equilibre instable du champ Gravitation ). La chane : vnements initiateurs -> vnements initiaux gnre des vnements principaux Ici brouillard , projection , Azote liquide au sol sur le systme cible (en vert). Larrive dENS produits des effets (flches rouges pleines). Ici Brulure et Anoxie . Avec ce type de reprsentation graphique, vous voyez clairement le processus de danger, ce qui nest pas le cas lorsquon utilise uniquement du texte ou des tableaux. Vous le voyez dans son ensemble, ce qui favorise lexhaustivit du processus et son analyse. Toujours pour des besoins de simplicit et de gestion ultrieure, il est recommand de crer un diagramme par vnement initial produit par un systme source de danger (voir diagramme cidessous), ceci nest bien sr quune convention. Pour faciliter ce travail loutil propose le copier/coller et/ou lutilisation dune bibliothque de diagrammes de processus de danger gnriques ( Templates ). Cette dernire permet la capitalisation (ou thsaurisation) du risque. Un attribut phases de vie permet de prciser certains dangers. Par exemple dans le cas de la distribution dargon, si lon fait lanalyse dans la phase exploitation normale, il ny a pas de danger de renversement du containeur dazote liquide. Par contre, dans les phases dentretien il apparat un danger de manutention du containeur dazote liquide. Il est donc possible de faire lanalyse soit phase par phase, soit en cherchant identifier les principaux dangers apparaissant dans les diffrentes phases.
15
REMARQUE : Cette technique nous donne un outil de gnration dun ensemble dvnements. Ce nest quun outil quil faut utiliser comme tel. Il nous aide faire apparatre des vnements et leurs enchanements pouvant avoir des effets non souhaits sur des cibles qui, ce niveau, ne sont pas encore identifies. Il appartient lanalyste de se servir des identifications dvnements pour construire des chanes plus ou moins longues denchanements. Dans lidentification des vnements principaux, il faut prendre garde ne pas noter des interfrences avec les autres sous systmes sinon la gnration de scnarios (voir ci aprs) deviendra confuse par la suite.
16
SS1
EVENEMENTS PRINCIPAUX
Ce travail est une simple compilation des diagrammes de processus de danger facilit par des fonctions de reprise des objets systmes depuis la base de donnes. Pour le sous systme Conteneur dazote liquide on obtient la bote noire (ici jaune) ci-dessous
Usure Corrosion Chute op rateur Choc Maladresse Eq uilibre instable Napp e d'azote liquide au sol Conteneur d'azote liquide Brouillard Proje ctio n S3 Brlure S2 Brlure
On peut remarquer : Que dans les vnements de sortie on trouve des vnements qui peuvent avoir des ENS diffrents avec ventuellement des consquences diffrentes.
17
SS1
PROCESSUS DE DANGER
Il faut maintenant combiner les vnements dentre entre eux, les vnements de sortie entre eux et identifier les retours en bouclage des vnements de sortie et des vnements dentre. Les deux premires oprations mettent en vidence des scnarios courts et la dernire des scnarios qui entranent une autodestruction du sous systme.
Scnario court
Scnario dautodestruction
6.4.3 Gnration de scnarios longs, validation de ces derniers et construction darbres logiques sur les accidents principaux ainsi identifis
Si lon met toutes les botes noires sur une mme page, il est possible de relier les sorties de certaines botes qui sont de mme nature (repres en principe par les mme mots) que les entres dautres botes. On obtient ainsi des scnarios longs denchanements dvnements ou scnarios de proximit ou aussi scnarios principaux dENS (accidents).
18
SS4
SS5
SS6
Pour linstallation de distribution dargon nous avons toutes les botes noires suivantes :
Usure Corrosion Chute oprateur Choc Maladresse Equilibre instable Nappe d'azote liquide au sol Conteneur d'azote liquide Brouillard Projection S3 Brlure S2 Brlure
Azote liquide
Gaz inerte
A partir des scnarios longs et des scnarios courts on peut construire, en les concatnant (rassemblant) sur un mme vnement, un arbre logique qui est la premire reprsentation des vnements senchanant pour gnrer un ENS.
19
Usure
Augmentation de la temprature du local Nappe d'azote liquide au sol Augmentation de la concentration de gaz Diminution concentration en oxygne
Chute oprateur
Anoxie
Choc
Brouillard
Brlure
Maladresse
Projection
Brlure
Equilibre instable
REMARQUE : - lvnement initiateur considr peut conduire plusieurs, voire une multitude de processus. On est donc plac l devant lincertitude et la difficult de prvisibilit des risques. Nous pouvons distinguer lincertitude paramtrique lie une imprcision des paramtres des processus et lincertitude systmique lies lidentification des processus possibles et lambigit des enchanements et des combinaisons possibles de ces processus. Les outils prsents nous aident rsoudre ces problmes. - Le nombre de scnarios construits avec les botes noires nest pas infini mais il peut tre trs grand. Pour viter une explosion combinatoire et guider le travail on peut choisir les vnements majeurs qui apparaissent la sortie des botes noires en tant quvnements principaux, et rechercher quels sont les scnarios qui aboutissent cet vnement. On raisonne alors par dduction. Cest le cas par exemple de lanoxie mais aussi de BLESSURE DE LEMPLOYE. - La liaison entre les sorties et les entres des botes noires est en thorie une liaison directe (on relie les mmes mots correspondant aux mmes types de processus, par exemple Nappe dazote liquide au sol gnr par le containeur d'azote liquide. Cette tche peut tre grandement facilite par lutilisation dun outil spcialis tel quEnvision Risks Mosar). Cette vision idale est cependant rarement oprationnelle. Il faut donc se servir ici de son imagination, de son intuition et de son exprience pour relier des entres et sortie qui napparaissent pas priori comme directement connectables. Une phase de mise en cohrence des libells des vnements est souvent ncessaire.
20
6.5
Dans linstallation de distribution dargon : Si lon reprend larbre logique prcdent, on peut faire les constats suivants :
21
Usure
Augmentation de la temprature du local Nappe d'azote liquide au sol Augmentation de la concentration de gaz Diminution concentration en oxygne
Chute oprateur
Anoxie
Choc
Brouillard
Brlure
Maladresse
Projection
Brlure
Equilibre instable
Tous les scnarios (S1S6) nont la mme gravit puisque quil y a brulure ou anoxie. Ceci nest pas valable pour tous les cas et dpend des vnements finaux choisis. Dans certains cas la gravit est la mme pour tous les scnarios. Tous les scnarios atteignent une des quatre cibles possibles. Pour valuer leurs caractristiques, le calcul est possible : calcul des dbits de fuite en phase gazeuse ou liquide ou en double phase, calcul de diffusion de lazote gazeux dans lair et des caractristiques des nappes formes, calcul des caractristiques danoxie et de leurs effets. Il existe des logiciels permettant de conduire tous ces calculs. Les scnarios se distinguent les uns des autres par leur probabilit diffrente. Par exemple le scnario 1 est bien moins probable que le scnario 3 ou les scnarios 4 et 5. A ce niveau de lanalyse on ne peut pas cependant calculer ces probabilits. Do lintrt de pouvoir disposer dune grille permettant de hirarchiser les scnarios, ce que nous allons voir dans ltape suivante. On peut aussi valuer le cot des accidents.
6.6
22
P1
P1 P2
INACCEPTABLE
P2 P3
P3 P4
ACCEPTABLE
P4
G1 G1 G2 G3 G4 G
G2
G3
G4 G
Pour linstallation dargon, la grille ci-aprs est une grille possible pour situer les risques pour les oprateurs. Admettons bien sr quelle ait t ngocie par les acteurs concerns et notamment avec les oprateurs.
6.6.2 Situation des scnarios dans les grilles GxP et hirarchisation de ces derniers
Il est alors possible dy situer le scnario S2 qui est au niveau 4 en probabilit et au niveau 4 en gravit.
23
GRILLE G X P NIVEAU
TRES IMPORTANT MORT D'HOMME IMPORTANT EFFETS IRREVERSIBLES ACCIDENT AVEC IPP PEU IMPORTANT EFFETS REVERSIBLES ACCIDENT AVEC AT SANS IPP MINEUR BLESSURES LEGERES ACCIDENT SANS AT
S2
INACCEPTABLE
ACCEPTABLE
1
TRES IMPROBABLE IMPROBABLE PEU PROBABLE PEUT-ETRE UNE FOIS PROBABLE PLUS D' UNE FOIS
RISQUE
P = PROBABILITE DE L'EFFET
dansla dure devie de l'installation ou de l'exprience NUISANCE NUISANCE TRES EXCEPTIONNELLE TEMPORAIRE NUISANCE TEMPORAIRE NUISANCE PERMANENTE
<1
NIVEAU
De la mme manire on pourrait construire dautres grilles GxP pour les autres cibles et y situer leurs scnarios. REMARQUE : On peut aussi construire des grilles concernant le cot des accidents en prenant en compte par exemple le cot de la perte de production ou de la perte de loutil de travail en fonction du temps ce qui permet de hirarchiser les scnarios en fonction de cette perte.
24
Champs de danger
Systme source
Systme cible
6.7.2
Types de barrires
On distinguera deux types de barrires :
a) LES BARRIERES TECHNOLOGIQUES (BT) Elment ou ensemble technologique faisant partie intgrante de linstallation, qui soppose automatiquement lapparition dun vnement prjudiciable la scurit et qui ne ncessite pas d'intervention humaine. Elle peut tre statique (exemples : cran fixe, capot de protection, enceinte de confinement) ou dynamique (exemples : soupape de scurit ouverture automatique, lments de contrle commande.
25
Ci-dessous Boite de dialogue permettant dajouter (associer) des barrires un vnement dun processus de danger
26
Taux 20
Etat A dfinir Etat A dfinir Etat Ex existant Etat In - installer Etat A dfinir Etat A dfinir
Taux 80
Barrires Nom Cot Taux Protection au 30 30 choc Nom Lieu inaccessible Nom Procdure en cas de choc Cot 102 Cot 20 Taux 50 Taux 40
Nom Corrosion
Barrires Nom Cot Traitement 50 priodique anti corrosion Barrires Nom Cot Replacement 2500 container
Taux 80
Nom Usure
Taux 100
Etat A dfinir
REMARQUES SUR LES BARRIERES Les premires barrires recherches sont les barrires de conception. En effet on commence toujours par travailler la prvention et la protection collectives, la protection individuelle nintervenant que si la protection collective est insuffisante car elle introduit des nuisance s. Ces barrires sont des BT. La ventilation est une barrire importante qui fait partie des barrires de conception. On lidentifie part. Elle intervient sur lvnement principal ou flux (cest un absorbeur de flux). Lhabilitation est une procdure crite (avec cosignature de lhabiliteur et de lhabilit) qui consiste confier un excutant un travail dcrit pour lequel lhabiliteur sest assur que lhabilit a la connaissance des risques, les moyens et lautorit dassurer ce travail.
Les cahiers techniques de CASE France Copyright 2010
27
Notez que dans ce tableau, des champs paramtrables et spcifiques loutil employ ont t ajouts pour permettre une analyse de la valeur des barrires. En effet les budgets sretscurit sont trs souvent limits et une optimisation cots/rsultats est recherche.
TABLEAU C
BARRIERES DE: 1-1 Conception Scnar io Type Elments de conception de ces barrires A2 Note de calcul de rsistance A3 Bon quilibrage A4 Manutention facile A9 Montage antivibratoire C1 Double coque Contrles et vrifications techniques Maintenance
Bloc de protection
BT
Dj pris en compte
Dj pris en compte
28
GRILLE G X P NIVEAU
TRES IMPORTANT MORT D'HOMME IMPORTANT EFFETS IRREVERSIBLES ACCIDENT AVEC IPP PEU IMPORTANT EFFETS REVERSIBLES ACCIDENT AVEC AT SANS IPP MINEUR BLESSURES LEGERES ACCIDENT SANS AT
INACCEPTABLE
ACCEPTABLE
S2
PEU PROBABLE PEUT-ETRE UNE FOIS PROBABLE PLUS D' UNE FOIS
IMPROBABLE
P = PROBABILITE DE L'EFFET
UNE FOIS
dansla dure devie de l'installation ou de l'exprience NUISANCE NUISANCE TRES EXCEPTIONNELLE TEMPORAIRE NUISANCE TEMPORAIRE NUISANCE PERMANENTE
<1
NIVEAU
On peut admettre, compte tenu des barrires envisages, que gravit et probabilit seront diminus et que cet ENS sera peu probable et avec des consquences mineures. Cette dcision sera prise par le groupe de travail aprs discussion dvaluation.
29
3
BLESSURES REVERSIBLES
4
BLESSURES IRREVERSIBLES
FREQUENT
5 4 3
> 1/an
I A
POSSIBLE 10-2<P<1:an
RARE 10-4<P<10-2/an
2 1
1
CATASTROPHIQUE CATASTROPHIQUE NIVEAU 1 NIVEAU 2
Les scnarios 1 6, aprs mise en place des barrires, gardent le mme niveau de gravit car, sils arrivent, aucune barrire ne peut en diminuer les effets mais leur probabilit est fortement diminue et ils deviennent improbables. Il sagit alors du RISQUE RESIDUEL. Le MODULE A de la mthode MOSAR est termin. Cest en fait la partie la plus originale. Nous avons fait une analyse principale de scurit de linstallation ou une analyse des risques principaux de linstallation. Dans la plupart des cas cette analyse est suffisante. Mais il peut tre ncessaire daller plus loin soit parce quon le dcide pour parachever lanalyse et aller jusqu la mise en place dune culture de scurit, soit parce quune rglementation limpose (installations classes par exemple). On entrera alors dans le module B de la mthode. Mais ceci est une autre histoire
Les diagrammes colors illustrant ce document ont t raliss avec le logiciel danalyse de risques Envision Risks Mosar. Pour en savoir plus : www.case-france.com/envisionrisks2.htm *** *
Les cahiers techniques de CASE France Copyright 2010
30
METHODE MADS .........................................................................................................................6 2.1 2.2 Introduction la mthode ...................................................................................................6 Explication du modle MADS (processus de danger) ............................................................7
3 4 5
LE DEVELOPPEMENT DE TYPOLOGIES ........................................................................................ 10 LES CHAMPS DE DANGER .......................................................................................................... 11 DEMARCHE DE LA METHODE MOSAR ........................................................................................ 12 5.1 Mthode Organise et Systmique dAnalyse de Risques................................................... 12
EXEMPLE : Un local de distribution dargon ............................................................................... 13 6.1 6.2 6.3 6.4 Dcomposition en sous-systmes ...................................................................................... 13 Identification des sources de danger.................................................................................. 14 Identification des processus de danger .............................................................................. 14 Identifier les scnarios de dangers ..................................................................................... 16 Mettre chaque sous systme sous forme dune bote noire ....................................... 17 Gnration de scnarios courts et de scnarios dautodestruction ............................. 18
6.4.1 6.4.2
6.4.3 Gnration de scnarios longs, validation de ces derniers et construction darbres logiques sur les accidents principaux ainsi identifis .................................................................. 18 6.5 Evaluation des scnarios de risques ................................................................................... 21 Evaluation quantitative ou qualitative ........................................................................ 21
6.5.1 6.6
Ngociation dobjectifs et hirarchisation des scnarios .................................................... 22 Ngociation de grilles gravit x probabilit................................................................. 22 Situation des scnarios dans les grilles GxP et hirarchisation de ces derniers ............ 23
Dfinition des moyens de prvention et de protection et qualification de ces moyens ...... 24 Identification des barrires de prvention et de protection........................................ 24 Types de barrires ..................................................................................................... 25 Analyse de risques : Tableau B ................................................................................... 27 Qualification des barrires de prvention et de protection ........................................ 28 Tableau des barrires (Tableau partiel) ...................................................................... 28 Nouvelle situation des scnarios dans les grilles GxP .................................................. 29
31