L’identification des causes

Nous abordons à présent les deux méthodes à la base de l’évaluation probabiliste de la sûreté, c’est-à-dire l’identification des causes, puis, dans la section suivante, celle des conséquences. 5.3.3.1 Résultat général

Considérons à présent un événement interne εiauquel nous portons un intérêt particulier. Il est

possible d’utiliser notre modèle causal pour caractériser les conditions de réalisation de εi d’abord

à partir des parents de Xiet de la variable résiduelle Yi, puis en progressant pas à pas vers l’amont

de la représentation causale. De façon générale, cette identification des causes de εipeut s’étendre à

tout sous-ensemble des ascendants de Xiqui soit cohérent avec le graphe D au sens de la définition

suivante.

Définition 5.14. On dit qu’un sous-graphe D0 de D est cohérent avec D pour l’identification des

causes d’un événement interne εi⊂ χi si D0 est constitué d’un ensemble de nœuds représenté par

l’ensemble d’indices J0 et par tous les arcs qui relient ces nœuds dans D, et :

• {i} ∈ J0

• J0\ {i} ⊂ As(i)

• ∀j ∈ J0 En(j) ∩ As(i) ⊂ J0.

On exige donc de D0 qu’il soit constitué de Xi et d’un groupe de ses ascendants, et qu’il ne

contienne pas d’ascendant Xj de Xisans contenir aussi ceux parmi ses enfants qui sont ascendants

de Xi. Cette dernière condition permet d’assurer qu’une part de l’effet causal de Xj sur Xi ne

s’échappe pas à l’extérieur de D0.

Sous ces conditions, le processus d’exploration permet de dégager deux groupes de causes de εi qui peuvent être qualifiées d’ultimes pour le sous-graphe considéré : des causes externes liées

à chacun des nœuds visités, et des causes internes définissant les limites27

du sous-graphe. Le théorème suivant établit formellement ce résultat.

Théorème 5.15. Si εi ⊂ χi est un événement interne, D0 un sous-graphe de D cohérent pour

l’identification des causes de εi, J0 l’ensemble d’indices des nœuds de D0et J1 l’ensemble d’indices

des nœuds de D qui sont parent d’une racine de D0 (ou plus), alors il existe un entier h, des sous-

ensembles ε1

j, ..., εhj de χj pour chaque j ∈ J1 et des sous-ensembles ηj1, ..., ηhj de Yj pour chaque

j ∈ J0 tels que :

• pour tout k ≤ h, la conjonction V_j∈J1(xj ∈ εkj) ∧

V

j∈J0(yj∈ η

k

j) est une condition suffisante

de la réalisation de εi ;

• pour l’ensemble des k ≤ h, ces conditions sont mutuellement exclusives ; • la disjonction W_k=1,...,hhV j∈J1(xj ∈ ε k j) ∧ V j∈J0(yj ∈ η k j) i

est une condition nécessaire de la réalisation de εi.

Démonstration. Le résultat s’obtient facilement par une récurrence sur le nombre de nœuds explo- rés, c’est-à-dire le cardinal de l’ensemble J0.

Considérons le cas |J0| = 1, soit J0 = {i} et J1 = P a(i). L’image inverse de εi par gi est

un sous-ensemble de l’espace produit χP a(i)× Yi qui peut toujours être écrit comme union finie

d’ensembles disjoints de la forme Nj∈P a(i)εj× ηi, où εj ⊂ χj et ηi ⊂ Yi puisque, au minimum,

chacun de ses éléments constitue un singleton de cette forme. Il existe donc un h tel que :

fi−1(εi) = h [ k=1   O j∈P a(i) εkj× ηki   (5.3.3) Les trois propositions du théorème découlent immédiatement de cette décomposition.

Supposons à présent que le résultat du théorème soit établi à l’ordre s − 1. Considérons un sous-graphe D0contenant s nœuds et cohérent avec D, les ensembles J0et J1associés et une racine

de D0dont on notera l’indice j0. Alors le sous-graphe D0′ obtenu en amputant D0du nœud Xj0 est

cohérent avec D. En définissant les ensembles J′

0 et J1′ comme précédemment, on sait qu’il existe

un entier h′ _{et des ensembles ε}k′ j et ηk ′ j tels que : xi∈ εi ⇔ ∃k′ ≤ h′      ∀j ∈ J′ 1 xj ∈ εk ′ j ∀j ∈ J′ 0 yj∈ ηk ′ j

En isolant dans la proposition de droite le terme εk′

j0 et en lui appliquant la décomposition

(5.3.3), on sait qu’il existe, pour chaque εk′

j0, un entier h0(k ′_{) et des ensembles ε}k0 j (k′) et ηjk00(k ′_{) tels} que : xi∈ εi⇔ ∃k′≤ h′                    ∀j ∈ J′ 1\ {j0} xj ∈ εk ′ j ∀j ∈ J′ 0 yj ∈ ηk ′ j ∃k0≤ h0(k′) ∀j ∈ P a(j0) xj∈ εkj0(k′) yj0 ∈ η k0 j0(k ′₎

Notons que J0= J0′ ∪ {j0} et J1= J1′\ {j0} ∪ P a(j0). Posons h =Ph

′

définissons des ensembles εk

j et ηjk à partir des ensembles précédents, le seul cas non trivial étant

celui où j ∈ J′

1∩ P a(j0), pour lequel on définit : εkj = εk

′

j ∩ εkj0(k′). On a alors :

xi∈ εi⇔ ∃k ≤ h ∀j ∈ J1 xj∈ εkj ∀j ∈ J0 yj∈ ηk

′

j

En outre, les propositions du terme de droite sont mutuellement exclusives pour les différents k par construction.

Le théorème énonce formellement la condition INUS28

exposée par Mackie en 1965 et qui a trouvé depuis des applications dans de multiples domaines29

: la condition portant sur un ascendant Xjou un terme résiduel Yjconstitue une partie insuffisante mais nécessaire d’une condition portant

sur l’ensemble des variables ((Xj)j∈J1, (Yi))j∈J0), elle-même non nécessaire mais suffisante à la

réalisation de la condition finale sur Xi(Mackie, 1965). On peut résumer ce résultat par la formule

suivante : pour éviter la survenue de l’événement interne εi, il faut et il suffit que pour chaque k,

l’un des événements internes εk

j ou externes ηjk ne se produise pas.

Deux cas sont d’un intérêt particulier : lorsque J0= {i}, les causes identifiées sont les causes

immédiates de εi, définies à partir des parent de Xi et du seul terme résiduel Yi (voir l’équation

(5.3.3)) ; lorsque J0 = {i} ∪ As(i), l’ensemble des variables pertinentes du réseau a été intégré,

et les causes identifiées portent sur les seules réalisations des termes résiduels Yj. On en déduit le

corollaire suivant.

Corollaire 5.16. Tout événement interne εi a pour cause ultime nécessaire et suffisante une union

finie d’intersections d’événements externes.

5.3.3.2 Application aux arbres de défaillance

Cette logique d’identification des causes est exactement celle des arbres de défaillances, dont nous avons exposé les principes plus haut30

: décrire un événement interne (l’événement de tête) à partir de causes que l’on choisit de considérer élémentaires (les événements de base), en passant par des causes médiatrices (les événements intermédiaires).

La figure 5.3.2 présente l’arbre de défaillance de la figure 3.4.2 page 87 accompagné du RBC correspondant. Dans celui-ci, la variable X′

1décrit l’état de la cuve après le démarrage de la pompe ;

elle engendre l’événement de tête de l’arbre de défaillance. Les variables X1à X6correspondent aux

événements de base ; elles décrivent, dans l’ordre, l’état de la cuve, du second relais, du pressostat, de l’interrupteur, du premier relais et de la minuterie dans des conditions normales de fonctionne- ment. Les variables X′

2à X5′ correspondent, de la même façon, aux événements intermédiaires. Les

28. Acronyme de insufficient but necessary part of a unnecessary but sufficient condition. 29. Par exemple, en épidémiologie, dans l’article fondateur de Rothman (1976).

Figure 5.3.2 – RBC de la défaillance d’une cuve pressurisée

variables sont booléennes ; elles prennent les valeurs 0 en cas de fonctionnement normal et 1 en cas de défaillance. Les variables résiduelles Yi(ou Yi′) agrègent dans tous les cas l’action des causes de

défaillance autres que celles identifiées. Les fonctions fi (ou fi′) sont toutes des sommes booléennes

Yi+Pj∈P a(i)Xj, représentées par une porte OU dans l’arbre de défaillance, hormis f3′ qui s’écrit

Yi+Q_{j∈P a(i)}Xj, le produit entre X3 et X4′ correspondant à la porte ET entre les événements S3

et E4 de l’arbre.

Il suffit alors d’appliquer le théorème 5.15 pour caractériser l’événement ε′

1= {x′1= 1} à partir

d’événements intervenant en amont dans la structure causale, notamment, dans les conditions du corollaire 5.16, à partir des seuls événements externes ηiet η′i. Cela permet de discerner l’ensemble

des combinaisons qui peuvent conduire à la défaillance, et d’en calculer la probabilité P (x′ 1= 1) à

l’aide de la distribution jointe des Yi. La quantification des arbres de défaillance consiste précisément

en la mise en œuvre de ces étapes. ε′

1 = ε1∪ ε′2∪ η1′

= η1∪ η2∪ (η3∩ η4) ∪ (η3∩ η5) ∪ (η3∩ η6)

La représentation en RBC fournit un cadre informatif pour l’analyse des hypothèses de construc- tion et de quantification des arbres de défaillance bien connues des analystes de la sûreté.

En premier lieu, il faut noter l’approximation que constitue l’emploi de variables binaires pour mesurer l’état des éléments du système. À titre d’exemple, même défaillante, une composante peut rester disponible en partie ou par intermittence. Dans la mesure où toute indisponibilité partielle serait considérée comme une défaillance, la forme binaire correspondrait alors à un parti pris pénalisant.

En second lieu et surtout, les relations d’indépendances conditionnelles traduites par la structure du graphe reposent, comme nous l’avons vu, sur l’hypothèse d’indépendance mutuelle des termes d’erreur Yi. Cette dernière suppose qu’il n’existe pas d’autre interaction entre les Xi que celles

répertoriées par les fonctions fi et qu’il n’existe pas, en dehors du système, de cause commune à

deux Xi ou plus.

Troisièmement, les seuls termes aléatoires retenus dans les arbres de défaillance sont ceux relatifs aux événements primaires, c’est-à-dire dans notre cas les Yi. On fait par là l’hypothèse que les termes

résiduels Y′

i sont identiquement nuls et que les causes représentées dans l’arbre sont exhaustives.

L’usage est alors de représenter l’événement de tête à partir des combinaisons d’événements de base, que l’on nomme termes minimaux (minterms) et dont la simplification fournit les coupes minimales (minimum cutsets) de l’événement de tête.

Dans le document Incertitude, causalité et décision : Le cas des risques sociaux et du risque nucléaire en particulier (Page 191-195)