Différentes méthodes d’analyse des risques

difficile à trouver alors que le risque « est une réalité collectivequi dépend du mode de vie et

de relations que les individus construisent entre eux » (Calvez, 2007, p.3).

6.2. Différentes méthodes d’analyse des risques

La sûreté de fonctionnement (SdF) est apparue au siècle dernier. Considérée comme la science des défaillances et des pannes, les objectifs de la sûreté de fonctionnement sont d’une part, d’identifier les événements dangereux et leurs causes pour se prémunir de situations à risques et d’autre part, de répondre aux exigences de fiabilité d’un système critique (militaire, transport, aéronautique, espace, nucléaire) en fonctionnement normal ou dégradé et aux exigences de disponibilité (fiabilité et maintenabilité). La sûreté de fonctionnement repose sur différents principes issus des sciences de l’ingénieur :

 la mobilisation de connaissances approfondies de l’installation par les personnes en

charge de l’analyse ;

 la description de l’installation et sa décomposition en systèmes et sous-systèmes ;

 l’étude de la fiabilité des composants techniques d’un système ;

 l’identification des risques potentiels (méthode d’analyse a priori) ;

 l’élaboration de scénarios d’événements redoutés à partir de la description de relations

entre les causes et les conséquences ;

 l’évaluation des risques par leur quantification probabiliste (occurrence, gravité,

détectabilité) ;

 La défense en profondeur : définition de mesures de prévention et de mitigation pour

limiter les conséquences des risques à un niveau jugé acceptable. Ce concept qui

recourt à « un empilement de mesures, de barrières de sécurité » permet la

« redondance et la possibilité de rattrapage » (Mortureux, 2016, p.10).

La prévention d’un accident résulte donc de l’analyse de sûreté (Quéniart, 2017) d’un système et de la combinaison de trois facteurs : le nombre de barrières, la fiabilité de chacune des barrières et leur indépendance (Mortureux, 2016, p.11).

Au-delà des méthodes mobilisées, mettre en œuvre la sûreté de fonctionnement est également un état d’esprit, un moyen de professionnaliser une attitude naturelle que chacun pratique pour maitriser les risques, de considérer avec réalisme les systèmes dans lesquels l’Homme agit et d’exploiter les connaissances disponibles relatives aux événements indésirables (Mortureux, 2001). Les méthodes développées en sûreté de fonctionnement sont nombreuses

69 et leur usage par les industries à risques est variable, elles peuvent être rétrospectives ou prospectives mais aucune n’est « souveraine » pour maitriser les risques. Elles sont souvent complémentaires. Les méthodes rétrospectives consistent à analyser des événements afin de dégager des enseignements sur leurs modes de survenue et éviter leur récurrence par la définition de dispositions correctives. Les méthodes prospectives consistent à imaginer des événements indésirables inacceptables avant qu’ils ne surviennent et de s’en prémunir par la mise en place de dispositions préventives et de mesures permettant d’en limiter les conséquences.

Différentes méthodes d’analyse des risques – issues des sciences de l’ingénierie – ont été développées à partir des principes décrits dans le chapitre précédent et d’autres les ont complétées pour prendre en compte des spécificités et des besoins de domaines industriels particuliers. Les méthodes les plus couramment utilisées par les industries à risques sont l’analyse préliminaire des risques, la méthode AMDEC (qui fera l’objet d’une description détaillée au chapitre 6.3 car cette méthode est utilisée majoritairement par les centres de radiothérapie), l’arbre de défaillances, le nœud papillon et la méthode HAZOP.

6.2.1. L’analyse préliminaire des risques

L’analyse préliminaire des risques (APR) est à la fois « une démarche dont l’objectif est

d’évaluer les problèmes à résoudre en matière de maitrise des risques » qui repose sur la

définition des « besoins en études de risques à partir de l’identification d’événements

redoutés dans différentes fonctions d’un système » et « une méthode développée pour la phase initiale d’analyse préliminaire des risques » (Mortureux, 2002, p.1).

La méthode APR consiste à rechercher les phénomènes dangereux, les événements non souhaités qu’un système peut générer, et les situations dans lesquelles ces phénomènes peuvent se produire. Cette méthode nécessite de spécifier dans un tableau : le système, ses entités et leurs fonctions, la liste des dangers ou des sources potentielles de danger (situations dangereuses, événements redoutés), leurs effets sur une cible, leur probabilité d’occurrence et leur gravité qui sont l’expression du niveau de risque, la liste des mesures préventives et la

nouvelle évaluation des risques résiduels. « L’industrie chimique utilise beaucoup cette

méthode souvent sous le nom d’analyse préliminaire des dangers » (Mortureux, 2002, p.9).

La méthode APR et la méthode AMDEC ont de nombreuses similitudes. Elles se démarquent essentiellement par les objets étudiés.

70

6.2.2. L’arbre de défaillances

L’arbre de défaillances est une approche de type arborescente. Cette méthode est particulièrement utilisée dans les études de sécurité et de fiabilité des systèmes statiques, plus rarement celles des systèmes dynamiques.

Le processus de construction d’un arbre de défaillances comporte trois étapes prépondérantes : la définition de l’événement redouté et de ses causes, la mise en évidence des liens de causalité entre les différents événements et la prise en compte des barrières de prévention (Iddir, 2014). Cette méthode consiste à représenter graphiquement (cf. Figure 3) les combinaisons possibles d’événements intermédiaires qui conduisent à la survenue de l’événement indésirable prédéfini.

Figure 3 : Représentation graphique de l'arbre de défaillances (techniques de l'ingénieur)

Cet événement sommet, défini a priori, est considéré comme la défaillance qu’il est nécessaire de définir précisément. Cette méthode s’appuie ensuite sur un raisonnement déductif mettant au cœur de l’analyse de l’événement redouté les liens de causalité entre les événements intermédiaires. Les événements intermédiaires sont considérés ici comme les causes de

l’événement sommet (défaillance) et détermineront le premier niveau de l’arbre. « En

pratique, pour réaliser un arbre de défaillances, il faut répondre à la question suivante : quelles sont les causes nécessaires et suffisantes pour que l’événement redouté puisse apparaitre ? » (Iddir, 2014, p.2). Cette question sera également posée pour les événements intermédiaires, ce qui permettra d’élaborer les prochains niveaux de l’arbre.

Ce sont les analystes qui détermineront le nombre d’événements qu’il est nécessaire de combiner pour expliquer l’événement du dessus (structure horizontale) et combien de niveaux

71 sont nécessaires à l’arbre pour expliquer la survenue de l’événement sommet (structure verticale). Les arbres de défaillances font principalement apparaitre des défaillances techniques, des erreurs humaines de non-respects de procédures et des agressions externes. Cette méthode qualitative peut être complétée par une analyse quantitative en déterminant les probabilités d’occurrence de chaque événement et de défaillance de chaque barrière de prévention.

6.2.3. Le nœud papillon

Le « Nœud Papillon » est une approche de type arborescente, probabiliste et semi-quantitative qui est plutôt utilisée en Europe. Cette méthode offre une visualisation concrète de séquences

accidentelles redoutées et « en fait un support adapté pour l’étape d’estimation probabiliste »

(Bolvin & al., 2011, p.4). Le « Nœud Papillon » est utilisé dans différents secteurs industriels, notamment par Shell qui est à l’origine du développement de cet outil suite à la survenue d’un accident sur la plate-forme pétrolière Piper Alpha en 1988.

La méthode du nœud papillon a pour principe de réunir un arbre de défaillances et un arbre

d’événements⁷ centrés sur un même événement redouté. L’événement au centre du nœud est

souvent appelé événement redouté central [ERC] (Iddir, 2012). « Par consensus, les ERC sont

des situations dangereuses » (Bolvin & al., 2011, p.4). La partie gauche du nœud papillon est constituée par un arbre de défaillances (chapitre 6.2.2) qui permet d’identifier et d’analyser les causes de l’événement redouté central sans les barrières de prévention. La partie droite du Nœud Papillon est quant à elle constituée par un arbre d’événements qui permet de déterminer la nature et l’ampleur des conséquences de l’événement redouté central en fonction des barrières de prévention. Son utilisation est généralement réservée à des évènements jugés particulièrement critiques pour lesquels un niveau élevé de démonstration de la maîtrise des risques est indispensable. En règle générale, un « Nœud Papillon » est construit à la suite d'une première analyse des risques menée à l'aide d'outils plus simples comme l'APR.

L’objectif final de cette méthode est de déterminer « les chemins critiques ne présentant pas

suffisamment de mesures de maîtrise du risque » (Bolvin & al., 2011, p.5).

L’étape de quantification de cette méthode a pour objectif d’estimer la probabilité d’occurrence de l’événement redouté et la probabilité de défaillance des barrières de

7 L’arbre d’événement permet de décrire des scénarios de conséquences (événements) à partir d’un événement initiateur et de déterminer l’enchainement des événements en fonction du comportement du système (défaillance, événement, mécanismes de prévention.

72 prévention et de mitigation (Bolvin & al., 2011 ; Iddir, 2012). Le but de cette évaluation est d’améliorer les mesures de sécurité existantes ou d’en définir de nouvelles.

6.2.4. La méthode HAZOP

La méthode HAZOP (HAZard and OPerability studies) est une méthode qualitative d’analyse des risques qui a été initialement développée dans l’industrie chimique. Elle est adaptée aux industries nécessitant la circulation de matières, de personnes ou de données (flux physiques). Cette méthode a été étendue ensuite à d’autres domaines (transports, logiciels, appareils médicaux) et aux opérations complexes.

Son principe est de modéliser le comportement fonctionnel et dysfonctionnel du système

devant être étudié pour évaluer ses performances au stade de sa conception. « La méthode

consiste à décomposer un système donné en sous-ensembles appelés « nœuds », puis de faire varier, à l’aide de mots-clés ou de mots guides spécifiques, les paramètres autour de ses points de consigne. L’analyse des déviations est effectuée dans le but d’identifier les situations conduisant à des risques potentiels pour les personnes, les biens et l’environnement » (Royer, 2009, p.2).

Cette méthode comprend une représentation graphique dans laquelle apparaissent les équipements (matériels), les opérateurs en interaction avec eux et l’environnement. La modélisation se construit à partir de tableaux comprenant une liste des équipements à étudier (nœuds) et leurs liens (réseau, circuit), leurs paramètres (intention de conception) et les déviations possibles par rapport à l’état du système attendu ou à l’action prescrite, définis lors de la conception. L’étude des déviations (défaillances techniques, erreurs humaines) est menée à partir de l’analyse des causes de la déviation d’un paramètre (recours possible à l’arbre des causes) et de ses effets sur le système et son environnement. Ces analyses vont permettre d’identifier les scénarios d’accident redoutés, qui seront évalués à partir de leur probabilité d’occurrence et de la gravité de leurs effets. La connaissance des niveaux de probabilité et de gravité va permettre de construire la matrice de criticité gravité / probabilité conduisant par couplage aux niveaux de risque (Royer, 2009). Tout comme la méthode AMDEC, la méthode HAZOP conduit à définir des mesures de détection des déviations et de leurs conséquences, des mesures de prévention des déviations et de protection contre leurs conséquences.

73 Lorsque les études HAZOP sont terminées (sessions et actions closes), l’animateur collecte tous les tableaux de déviations et les classes par schéma et il produit un document de synthèse comprenant au moins le rappel des objectifs du projet, la liste des dangers identifiés et localisés, les niveaux de risque potentiels avant les recommandations d’actions et la liste des recommandations d’actions pour atteindre un niveau de risque acceptable (Royer, 2009).

6.2.5. Spécificités de ces méthodes

Même si ces méthodes reposent sur des principes similaires, certaines phases sont plus développées et chaque méthode présente des spécificités dans son approche des risques. La méthode APR invite les analystes à préciser la description des situations dans lesquelles émerge des phénomènes dangereux ainsi que leur cible. Les questions du « comment » et du « qui » sont approfondies dans l’objectif de développer une approche systémique et apporter des informations complémentaires sur la dynamique des risques.

La méthode de l’Arbre de Défaillances introduit premièrement, l’idée de combinaison d’événements intermédiaires au-delà de la relation de causalité, ce qui permet de porter un intérêt aux interactions d’événements et deuxièmement, l’idée de défaillances possibles des barrières de prévention. Cette méthode permet d’élargir le domaine des défaillances à étudier au-delà des défaillances classiques analysées (technique et humaine) par les autres méthodes. La méthode du Nœud de Papillon demande de porter l’attention de l’analyse sur les accidents critiques, notamment sur les chemins critiques d’un accident du fait de l’insuffisance ou de la défaillance de barrières de prévention et de mitigation. Comme la méthode de l’Arbre de défaillances, cette méthode demande que l’analyse porte un focus sur la fragilité des dispositions visant la fiabilité d’un système.

Enfin, la méthode HAZOP analyse le comportement fonctionnel et dysfonctionnel d’un système par rapport à sa conception. Dans les trois premières méthodes, le premier objet de l’analyse est un phénomène dangereux (APR), un événement sommet redouté (Arbre de défaillances) ou un événement redouté central (Nœud Papillon). Dans la méthode HAZOP, ce sont les déviations d’un système par rapport aux paramètres prescrits lors de sa conception qui vont permettre d’identifier le scénario d’accident redouté. Cette méthode introduit l’idée d’un comportement différent possible d’un système par rapport à sa conception et d’un changement de comportement du système dans le temps.

74