Scribd
Importer
168 vues11 pages

42155210-Se4010 APR

Transféré par

Nawel Bouaziz
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
168 vues11 pages

42155210-Se4010 APR

Transféré par

Nawel Bouaziz
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

DOSSIER

Techniques de l’Ingénieur
l’expertise technique et scientifique de référence
se4010
Analyse préliminaire de risques

Date de publication : 10/10/2002


Par :
Yves MORTUREUX
Ingénieur civil des Ponts et Chaussées, Expert Sûreté de fonctionnement à la direction Déléguée Système
d'exploitation et sécurité à la SNCF, Vice-Président de l'Institut de Sûreté de fonctionnement

Ce dossier fait partie de la base documentaire


Méthodes d'analyse des risques
dans le thème Sécurité et gestion des risques
et dans l’univers Environnement - Sécurité

Document délivré le 08/03/2014


Pour le compte
7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE //
197.15.215.90

Pour toute question :


Service Relation Clientèle • Éditions Techniques de l’Ingénieur • 249, rue de Crimée
75019 Paris – France

par mail : [email protected] ou au téléphone : 00 33 (0)1 53 35 20 20

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Editions T.I.
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

Analyse préliminaire de risques

par Yves MORTUREUX


Ingénieur civil des Ponts et Chaussées
Expert Sûreté de fonctionnement à la direction Déléguée Système d’exploitation
et sécurité à la SNCF
Vice-Président de l’Institut de Sûreté de fonctionnement

1. Objectifs de la démarche APR.............................................................. SE 4 010 - 2


1.1 Identification des événements redoutés.................................................... — 2
1.2 Évaluation des risques ................................................................................ — 3
1.3 Proposition de couverture des risques ...................................................... — 3
2. Usages de la démarche APR ................................................................. — 3
3. Divers acteurs et leurs relations à l’APR........................................... — 4
3.1 Acteurs ......................................................................................................... — 4
3.2 Autorité......................................................................................................... — 4
3.3 Maître d’ouvrage ......................................................................................... — 5
3.4 Organisme évaluateur................................................................................. — 5
3.5 Maître d’œuvre ............................................................................................ — 6
3.6 Exploitant ..................................................................................................... — 6
3.7 Mainteneur ................................................................................................... — 6
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

3.8 Organisme de contrôle................................................................................ — 6


3.9 Sous-traitants............................................................................................... — 7
4. Méthodes de la démarche APR ............................................................ — 7
5. Méthode APR............................................................................................. — 7
5.1 Présentation ................................................................................................. — 7
5.2 Typologies. Listes ........................................................................................ — 8
5.3 Fréquence et gravité.................................................................................... — 9
Bibliographie ...................................................................................................... — 10

’analyse préliminaire de risques (APR) est une démarche, un processus dont


L l’objectif est d’évaluer les problèmes à résoudre en matière de maîtrise des
risques. La méthode APR est dédiée à cette démarche.
Cette démarche peut prendre des formes très différentes dans sa mise en
œuvre suivant le domaine technique ou la filière industrielle considérés. Dans
bien des cas une analyse préliminaire de risques met en œuvre des méthodes
plus connues dans les phases ultérieures de l’analyse de risques comme l’arbre
de défaillance (cf. article [SE 4 050]), l’AMDE(C) (analyse des modes de
défaillance, de leurs effets et de leurs criticités, cf. article La sûreté de
fonctionnement : méthodes pour maîtriser les risques [AG 4 670] dans le traité
L’entreprise industrielle) ou des blocs-diagrammes de fiabilité, etc. Mais une
méthode particulière a aussi été développée pour cette phase initiale d’analyse
préliminaire de risques. On parle alors de méthode APR. La confusion des
termes est totale, la confusion des notions est à éviter : disons qu’une démarche
APR ne se fait pas forcément avec la méthode APR.
La première partie de l’article (§ 1, 2, 3, 4) sera consacrée à la démarche : les
objectifs, le processus, la pertinence de l’analyse préliminaire de risques. La
seconde partie (§ 5) sera consacrée à la méthode : la méthode APR, particuliè-
rement adaptée à la conduite d’une démarche d’analyse préliminaire de risques.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 1

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

L’analyse préliminaire de risques est essentielle et très structurante, surtout


en matière de sécurité, pour tout projet innovant, qu’il s’agisse de modifications
de systèmes connus ou de nouveaux systèmes.
Comme son nom le suggère, l’APR est une démarche qui commence dès
qu’une démarche de maîtrise des risques apparaît nécessaire dans un projet
avant qu’il soit question de méthodes d’évaluations de risques (AMDE, AMDEC,
arbres de défaillance et autres...). Le gros de cette démarche se déroule au début
du projet et peut inclure l’utilisation de méthodes comme les arbres de
défaillance. Ensuite l’APR accompagne toute la vie du projet et peut être révisée
et complétée au fur et à mesure que le projet se précise, les méthodes comme
l’arbre de défaillance étant utilisées au cours des études précises et détaillées
que la maîtrise des risques du projet va nécessiter. La démarche d’APR est très
utilisée dans les domaines où les préoccupations de sécurité sont les plus pré-
sentes comme les transports et la chimie.

Le lecteur se reportera utilement aux articles du même traité :


— La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] ;
— Arbres de défaillance, des causes et d’événement [SE 4 050].

1. Objectifs de la démarche APR divers sous-projets susciteront des démarches APR partielles dont
les démarrages peuvent être postérieurs non seulement à celui de
l’APR globale mais même à des analyses détaillées entreprises
dans d’autres sous-projets plus avancés du même projet.
La démarche APR peut prendre des formes extrêmement
diverses. Néanmoins, sous des apparences variées, on retrouve
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

systématiquement trois phases qui sont aussi trois objectifs :


— identification des dangers, des événements redoutés à 1.1 Identification des événements redoutés
prendre en compte (§ 1.1) ;
— évaluation et classement des risques associés ; Cette première phase de la démarche APR consiste à identifier
— propositions des mesures de couverture des risques. quels accidents peuvent arriver et comment.
Ici l’exhaustivité est un objectif essentiel. La valeur d’une démar-
che APR dépend directement de la confiance que l’on peut placer
Globalement, on peut dire que l’objectif général d’une démarche dans le fait de n’avoir « oublié » aucun scénario d’accident. Par
APR est d’évaluer les problèmes à résoudre en matière de maîtrise contre, à ce stade, il est normal de ne pas pouvoir être très précis
des risques. Une APR doit permettre : sur ces scénarios et de ne pas pouvoir distinguer des scénarios
— de se rendre compte si le projet pourrait devoir être aban- vraisemblables, d’autres, théoriquement possibles, mais qui se
donné parce que certains risques inacceptables se révèleraient révèleront ensuite invraisemblables.
irréductibles ; En effet, le but est d’identifier les événements redoutés à pren-
— de dimensionner a priori les efforts d’études et de réduction dre en considération. Toutes les informations disponibles (connais-
de risques ; sance a priori d’événements redoutés mais aussi modes de
— de localiser les domaines du système qui demanderont le plus défaillance des composants du système, potentiel d’énergie des
d’efforts et donc, les compétences requises en matière de maîtrise composants du système, etc.) doivent être exploitées. À partir de
des risques. ces informations on se pose la question des scénarios qui peuvent
Inversement la démarche APR permet d’anticiper sur la nature se développer à partir des phénomènes évoqués et on recense
des faiblesses en sûreté de fonctionnement et les limites des per- donc les événements (redoutés) sur lesquels ces scénarios pour-
formances sûreté de fonctionnement qu’il est raisonnable de vou- raient déboucher.
loir atteindre. Rappel : le risque est un triplet (événement redouté, fréquence, gravité). Identifier, recen-
ser des risques, c’est donc identifier des événements redoutés ; évaluer les risques consiste
En poursuivant l’objectif essentiel de repérer les difficultés et les à leur associer fréquence et gravité (ou criticité) (cf. [AG 4670]). On peut connaître a priori
efforts les plus importants de réduction de risque et de démons- les événements redoutés à envisager mais il est aussi courant que l’on connaisse mieux les
sources de danger et que l’on doive en déduire les scénarios puis les accidents à craindre.
tration de la sûreté de fonctionnement, une démarche APR bien
menée contribue de façon décisive à la maîtrise des risques Cette recherche s’appuie naturellement avant tout sur les spéci-
« projet », c’est-à-dire à la maîtrise des coûts, des délais du projet fications fonctionnelles, car au stade initial les solutions ne sont
en lien avec l’atteinte des objectifs de performance du produit ou pas encore choisies. La démarche peut être menée de façon
du service. En particulier, la démarche APR doit permettre très tôt systématique sur les fonctions du système. Néanmoins, en matière
de construire une vision commune et un accord entre les parties de sécurité, il faut prendre en compte les dangers créés par les
concernées par le projet sur les mesures à prendre pour assurer la techniques choisies indépendamment des exigences fonctionnel-
sûreté de fonctionnement requise et les rôles de chacun dans ces les (notamment en chimie) dans le cadre de la méthode HAZOP).
efforts. Pour réaliser une même fonction, une solution électrique amène à se
Si la démarche APR est unique par son esprit, chacun la conduit poser la question du risque d’électrocution, une solution pneumatique
à son niveau en fonction des risques qui le concernent. Si une celle du risque d’explosion par surpression, tout cela indépendamment
démarche APR globale peut démarrer dès les origines d’un projet, des risques liés à l’échec total ou partiel de la fonction.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 010 − 2 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

_____________________________________________________________________________________________________ ANALYSE PRÉLIMINAIRE DE RISQUES

Aussi cette recherche des événements redoutés ne sera-t-elle ■ Les actions peuvent être des actions de prévention, de protection
complète qu’en prenant en compte les choix de réalisation, de (voire d’élimination ou de transfert).
maintenance, d’exploitation... Pratiquement cette recherche des
● Une action de prévention est une action de réduction de la fré-
événements redoutés doit intégrer les hypothèses de choix envisa-
geables au moment de la recherche et la démarche APR doit être quence de l’événement redouté.
révisée au fur et à mesure que les choix se précisent. Exemple : ajouter l’ABS peut réduire (à conduite égale) le risque
La définition du système étudié déterminera totalement la maî- d’accident suite à blocage des roues au freinage.
trise des risques qui en résultera. Elle doit être mûrement réfléchie,
comprise, interprétée de la même façon par les différents acteurs ● Une action de protection est une action de réduction de la
du projet. gravité (des conséquences) de l’événement redouté.
Exemple : le coussin gonflable « air-bag » réduit les conséquences
d’un choc frontal sur les occupants.
La définition du système porte sur :
— les éléments constitutifs du système (techniques, humains ● Une action d’élimination est une action qui supprime la pos-
et organisationnels) et leurs interactions ; sibilité de l’événement redouté.
— les conditions entourant le système dans les différentes
phases de son cycle de vie (environnement, agressions...) ; Exemple : remplacer des pneumatiques par des roues pleines ou
— les conditions de son utilisation, de son exploitation, de sa autres élimine le risque de crevaison.
maintenance, voire de son retrait du service...
● Une action de transfert consiste à prendre une assurance
contre le risque concerné.
Parmi les conditions dans lesquelles le système devra tenir ses
performances (et, en particulier, maintenir la sécurité), il est impor- Exemple : assurer sa responsabilité civile en cas d’accident ne
tant de préciser, pour les systèmes exposés au public, les agres- réduit pas ce risque, mais lisse le coût et rachète le risque d’insolvabi-
sions qui doivent être prises en considération : utilisations lité.
incorrectes ou illicites par les clients, sollicitations incorrectes par ■ Le choix entre prévention et protection est avant tout un choix
des tiers, agressions, sabotages, attentats. Lesquelles doivent être d’efficacité. Les mesures qui réduisent le plus le risque au meilleur
prises en compte et quelle résistance le système doit-il offrir à ces prix sont toujours les meilleures.
agressions ? En préalable à toute étude, la politique et les exigen-
ces des pouvoirs publics doivent apporter des réponses à ces En général, dans les industries « à risques » (chimie, nucléaire,
questions qui déterminent le périmètre de l’étude. transport...) la prévention joue un rôle prépondérant et la protec-
tion plutôt un rôle complémentaire.
Les trois aspects de cette définition sont importants, en particu-
lier, pour déterminer les modes dégradés (pas seulement ceux dus Les industriels, les exploitants tentent d’obtenir par la seule pré-
aux dysfonctionnements du système mais aussi ceux créés par des vention un niveau de sécurité suffisant. Des mesures de protection
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

conditions extérieures particulières, défavorables ou agressives ou complémentaires permettent de réduire encore le niveau de risque.
par des utilisations, exploitations ou maintenances inattendues, fau- Les services de secours, eux, ont pour fonction, partant du prin-
tives...) qui doivent être pris en compte dans la maîtrise des risques. cipe qu’un accident peut toujours arriver, d’assurer de la protection
(au sens global) et misent entièrement sur les moyens de réduire
les conséquences d’un accident.
1.2 Évaluation des risques Il est d’autant plus important pour les industriels ou exploitants
de miser sur la prévention que les systèmes de sécurité impliqués
Il s’agit d’abord d’associer à chacun des événements recensés à dans la prévention sont à l’œuvre en permanence et que le mana-
l’étape précédente (§ 1.1) une gravité et une fréquence. gement de la sécurité peut surveiller et redresser en continu ces
systèmes alors que les systèmes impliqués dans la protection sont,
Il s’agit ensuite de confronter ces évaluations aux objectifs
en grande partie des systèmes dormant qu’il faut tester (ce qui
découlant de la politique de sécurité pour classer les risques en
n’est jamais tout à fait équivalent à une situation réelle) pour
fonction du besoin de réduction (acceptable en l’état, à réduire
s’assurer du maintien de leurs capacités.
dans une certaine proportion, inacceptable à éliminer).
La notion de fréquence est à prendre ici dans un sens large. À ■ À chaque niveau la démarche APR doit permettre de repérer les
ce stade, il serait souvent illusoire et inutile de vouloir établir une mesures qu’il faudra prendre pour tenir les exigences de sûreté de
fonction de probabilité de la survenue de chaque événement fonctionnement. Elle permet donc aussi de repérer les exigences
(celle-ci n’étant d’ailleurs pas si souvent de nature aléatoire). Il pour lesquelles on ne peut trouver de mesure raisonnable dans son
s’agit plutôt de juger si la faible vraisemblance ou la quasi-impos- périmètre. L’acteur qui se trouve dans cette situation doit signaler la
sibilité de sa survenue, en regard de sa gravité, permet de difficulté et indiquer quelles modifications dépendant d’autres
considérer un risque comme assurément acceptable ou suppose acteurs lui permettraient de prendre des mesures efficaces pour
de conduire des études plus approfondies (dans lesquelles les atteindre ses objectifs. La démarche APR permet de soulever ce type
choix de solution joueront un rôle) pour limiter les choix de façon de problème au plus tôt, quand les remises en cause qui peuvent en
à garantir l’acceptabilité du risque. Éventuellement il peut s’agir de résulter sont encore minimales.
pointer une difficulté susceptible de mettre le projet en péril du fait
d’un risque que l’on ne peut être certain de réduire à un niveau
acceptable. La démarche APR aura alors servi à déclencher des
recherches pour trouver des solutions sur ce point avant d’engager
un projet qui pourrait ne pas aboutir.
2. Usages de la démarche APR
Les fonctions fondamentales décrites ci-avant (§ 1) justifient
1.3 Proposition de couverture des risques d’entreprendre des démarches APR quand un projet a tout ou par-
tie des caractéristiques suivantes :
Pour les risques nécessitant une action, il s’agit de déterminer la — projet concernant plusieurs acteurs ;
ou les actions sur lesquelles on mise pour atteindre les objectifs et — exigences de sécurité ;
de préciser, pour chacune de ces actions, l’objectif propre qu’elle — système complexe ;
doit atteindre. — influence forte de l’environnement.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 3

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

Toutefois, la démarche APR étant initiée, elle est très utile pour — éventuellement des organismes de contrôle qui interviendront
supporter la coordination et le besoin de cohérence des actions de après la mise en service tout au long de la vie du système pour
maîtrise des risques du projet. garantir certaines conformités ;
— les sous-traitants des uns et des autres.
Nota : en matière d’installations classées par exemple, le rôle de ces acteurs peut être
La démarche APR consiste à : différent. Le lecteur se reportera donc aux articles traitant des applications aux différents
— définir les besoins en études de risques ; secteurs industriels.
— construire un consensus sur la démonstration de sécurité ; Nous nous placerons dans le cas de figure le plus intéressant où
— répartir les tâches et les responsabilités ; les risques et les exigences de sécurité sont assez élevés pour qu’il
— préparer la structure de la documentation. ne s’agisse pas simplement pour le promoteur de maîtriser les
risques dont il a la responsabilité mais qu’il faille convaincre une
■ Définir les besoins en études de risque autorité de leur maîtrise pour recevoir les autorisations nécessaires
pour la mise en service puis l’exploitation (c’est le cas des activités
Dans la démarche APR, on répertorie, entre autres, les événe- dites « à risque » qui sont celles qui utilisent le plus la démarche
ments redoutés à étudier (des défaillances dont les conséquences APR).
pourraient être inacceptables, des accidents qui pourraient surve-
nir...), les niveaux de risque acceptables liés à ces événements. On Selon les organisations, les noms donnés aux différentes fonc-
identifie généralement la nature des mesures à prendre pour maî- tions et la répartition de certaines responsabilités varient. Ce n’est
triser ces risques. pas le sujet que de rappeler les structures et les vocabulaires du
management et de la gestion de projet, aussi nous attacherons
Il en découle l’attribution de ces études aux acteurs pertinents et nous à identifier les fonctions à accomplir et invitons nous le lec-
la définition des résultats attendus. teur à identifier dans son domaine d’activité les noms des entités
■ Construire un consensus sur la démonstration de sécurité en charge des fonctions évoquées.
La démarche APR permet de construire un consensus sur le fait Le maître d’ouvrage assume la responsabilité globale du sys-
que si toutes les études et mesures déterminées dans cette démar- tème. Il doit donc organiser les activités de maîtrise des risques de
che atteignent chacune leur objectif, alors le système global tien- façon à satisfaire les besoins en ce domaine de chacun des
dra ses objectifs de sûreté de fonctionnement. acteurs : il élaborera donc un programme de sécurité (la méthode
peut être appliquée au-delà des risques « Sécurité » ; néanmoins
Elle produit le canevas de construction de la complétude, de la
c’est habituellement dans ce domaine que la démarche est appli-
cohérence et de la traçabilité de la prise en compte des risques.
quée) qui doit convaincre chacun que sa mise en œuvre lui don-
La démarche APR ayant établi la liste des mesures à prendre nera les assurances dont il a besoin compte tenu de ses
pour atteindre un niveau de risques acceptable, constitue donc une responsabilités et de sa politique en matière de sécurité.
référence pour la validation du système.
Ce programme se traduit pour chacun des acteurs d’une part par
■ Répartir les tâches et les responsabilités les assurances qu’il va recevoir et, d’autre part, celles qu’il va
La démarche APR permet de répartir des tâches de réduction de devoir donner. Chacun devra donc se prononcer sur la satisfaction
que lui apporte les assurances qu’il reçoit et sa capacité à donner
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

risques et d’étude de sûreté de fonctionnement et de faire vivre


cette répartition en cas de difficultés. Elle construit des allocations les assurances qui lui sont demandées. La démarche APR joue un
de fiabilité et de maintenabilité. Elle est le support de la transmis- rôle essentiel dans ce processus.
sion formelle des responsabilités entre les acteurs du système.
■ Préparer la structure de la documentation
3.2 Autorité
La démarche APR sert de référence pour l’établissement de la
documentation du système.
L’autorité des pouvoirs publics en matière de sécurité des biens,
des personnes et de l’environnement est dévolue à divers services
de l’État ou des collectivités locales. Les services concernés (ser-
vices spécialisés des ministères, préfectures, Directions départe-
3. Divers acteurs mentales, administration judiciaire, services d’hygiène, services de
secours, etc.) directement ou en vertu de délégations peuvent être
et leurs relations à l’APR nombreux et dépendent du projet (type d’industrie, nature des
risques, implantation...).
Le besoin de l’autorité est d’avoir les assurances nécessaires
3.1 Acteurs vis-à-vis de la sécurité des personnes, des biens et de l’environ-
nement. Ces assurances s’obtiennent à travers la conformité à des
dispositions réglementaires qui prennent en charge ce qui est déjà
Autour d’un projet ayant tout ou partie des caractéristiques connu, quelque peu standard et à travers la démonstration appor-
évoquées au paragraphe 2 (sécurité, complexité, pluralité des tée par le promoteur de la maîtrise des risques non couverte par
acteurs, sensibilité à l’environnement), on retrouve tout ou partie la conformité aux dispositions en vigueur (particularités locales,
des acteurs suivants (dans le cas d’un grand projet d’infrastruc- innovations...).
ture) :
— une autorité publique devant s’assurer de la sécurité des ■ Elle établit les dispositions réglementaires et intervient généra-
populations ; lement aussi dans l’agrément des évaluateurs. La démarche APR n’a
— un promoteur ou maître d’ouvrage assumant la responsabilité pas de rôle déterminant dans ces activités, de plus, dans le détail,
globale du système ; elles diffèrent selon le type d’installations (installations classées, de
— des organismes indépendants chargés d’évaluer constructions type Seveso par exemple) et de systèmes concernés. Aussi ce point
et démonstrations de sécurité pour d’autres acteurs (principalement n’est-il mentionné que pour mémoire ici et ne sera pas traité.
les deux premiers) ;
— un ou plusieurs maîtres d’œuvre concevant, réalisant, étu- ■ De plus en plus les dispositions réglementaires exigent non des
diant, documentant... tout ou partie du système ; solutions décrites dans les textes mais des démonstrations de sécu-
— au moins un exploitant ou des utilisateurs (pas nécessai- rité.
rement concrètement présents pendant la conception et les L’autorité fixe donc les critères de démonstration d’une sécurité
études) ; acceptable : type de preuve, processus d’audits ou de contrôle,
— généralement un ou plusieurs « mainteneurs » ; agréments des expertises, etc.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 010 − 4 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

_____________________________________________________________________________________________________ ANALYSE PRÉLIMINAIRE DE RISQUES

L’autorité ne réalise pas de démarche APR. Par contre elle évalue — expertises légales, techniques, socio-organisationnelles... ;
dans un premier temps un dossier préliminaire de sécurité qui — degré d’innovation du projet (soit au niveau de composants
indique quels sont les risques identifiés et la façon dont on se pro- nouveaux, soit au niveau d’assemblages originaux de composants
pose de démontrer qu’ils sont suffisamment (au sens des exigen- connus, soit les deux) ;
ces de l’autorité) maîtrisés. — contexte médiatique, sensibilité de l’environnement selon les
La démarche APR qui peut prendre des formes diverses est la implantations envisagées...
base d’un tel dossier. Elle doit convaincre de la prise en compte de Tout au long de la progression de projet, les éléments suivants
tous les dangers réels et de la pertinence des mesures prévues devront être intégrés au fur et à mesure qu’ils se dessineront :
pour en protéger les populations. Par contre la démonstration du — connaissance des dangers propres aux technologies ou orga-
niveau de sécurité n’interviendra que bien plus tard. nisations retenues ;
— validité et précision des données disponibles ;
— sensibilité des données connues (à quels paramètres, forte ou
faible ?) ;
3.3 Maître d’ouvrage — diversités des réglementations (pour un projet se déclinant sur
plusieurs sites dans des pays différents par exemple), risques d’évo-
Le maître d’ouvrage, à l’initiative du projet, en est le promoteur : lution des réglementations ;
si d’autres acteurs (autorité, financeur(s)...) sont à convaincre d’une — résultats des expériences conduites pour réduire les incerti-
bonne maîtrise des risques (sécurité, financier...), c’est à lui de le tudes sur les éléments les plus innovants ou les moins bien connus ;
faire. — capacité à susciter la confiance des acteurs légitimes à exiger
d’être convaincus avec les éléments disponibles (il peut être plus
■ Le maître d’ouvrage décide des fonctions du système : c’est lui difficile de convaincre que de se convaincre surtout si il y a de fortes
qui exprime les besoins à satisfaire, fixe des exigences de sûreté de dissonances culturelles entre maître d’ouvrage et autorité).
fonctionnement, décline ces expressions de besoin et exigences
pour chaque acteur du système, décide des modifications fonction-
nelles éventuelles et, in fine, procède à la réception du système. À tout moment et à tout niveau, une expression claire,
comprise de la même façon par les acteurs impliqués des limites
■ Le maître d’ouvrage arrête la liste des événements redoutés à du système et de l’environnement pris en compte est essen-
prendre en compte et les niveaux de risque acceptables (en prenant tielle. Incompréhension ou mauvais choix à ce niveau réduisent
naturellement en compte l’insertion du système dans son environ- à zéro la valeur d’une APR.
nement). Il répartit les exigences de maîtrise des risques entre
construction et exploitation, entre maître d’œuvre et exploitant ou
utilisateur.
■ Le maître d’ouvrage s’assure du respect de ces exigences par le
maître d’œuvre et ses sous-traitants et par l’exploitant et la mainte- 3.4 Organisme évaluateur
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

nance, et de la cohérence d’ensemble, c’est-à-dire que l’atteinte par


chacun de ses objectifs suffise à garantir l’atteinte des objectifs glo- Son rôle est d’évaluer la confiance qui peut être placée dans les
baux. dossiers de sécurité présentés, non seulement du point de vue de
la forme (conformité aux normes en vigueur, présence des pièces
■ Le maître d’ouvrage utilise, réalise ou fait réaliser des APR. Cette
requises) mais aussi du point de vue de la valeur des démons-
démarche est essentielle pour lui : elle doit lui éviter de s’engager
trations présentées (non seulement il y a bien une démarche APR
dans des impasses. À chaque stade elle doit lui permettre de
par exemple, mais ce qui est présenté sous ce nom est bien
s’assurer :
conforme à ce que l’on en attend et les éléments pris en compte
— que les risques liés aux décisions en jeu sont identifiés ; dans ce processus sont dûment justifiés).
— que le respect des exigences, compte tenu de tous ces risques,
reste à portée ;
— que les mesures permettant de maîtriser les risques identifiés L’avis émis porte donc sur la conception et sur la réalisation
pour satisfaire les exigences sont identifiées et compatibles avec les des dossiers de sécurité.
objectifs de projet et les choix en jeu.
La démarche APR globalement doit lui permettre de donner Les dossiers de sécurité comportent très usuellement des
confiance aux acteurs à qui il doit ce service. Au fur et à mesure démarches APR. Ces APR ne sont pas réalisées par l’organisme
que la conception se précise elle permet de préciser les mesures d’évaluation ; celui-ci n’a normalement pas à en réaliser. Par contre
qui garantissent le respect des exigences, compte tenu des risques. il doit bien connaître cette démarche, car il doit apprécier la perti-
Elle permet aussi de distribuer les exigences de maîtrise des ris- nence des APR et s’assurer qu’elles ont été correctement réalisées.
ques et, ce faisant, de préparer l’intégration des dossiers FMDS Cet organisme cherchera à répondre aux questions suivantes (à
(fiabilité, maintenance, disponibilité, sécurité) des uns et des autres propos d’une APR ; il est entendu qu’il n’y a pas que des APR dans
pour une démonstration globale de la maîtrise des risques du sys- ce domaine (cf. [AG 4 670]), mais que nous nous en tenons au sujet
tème dans son environnement. de l’article) :
Le déroulement de la démarche APR commence avec les — une démarche APR peut-elle conduire aux conclusions qu’en
éléments présents au début du projet : tirent ceux qui la proposent ? ;
— politique du maître d’ouvrage en matière de maîtrise des — les éléments pris en entrée de l’APR sont-ils suffisamment
risques ; justifiés ? ;
— exigences issues des diverses études ayant suscité le projet — la démarche APR est-elle conduite d’une façon qui donne
(études de marché, expressions de besoin des clients, comparaison confiance en ses conclusions, conformément aux règles de l’art ? ;
avec la concurrence, etc.) ; — les conclusions proposées découlent-elles directement de
— exigences légales et réglementaires, en particulier en matière l’analyse faite ?
de sécurité ; En pratique, une question principale retient l’attention de
— retours d’expérience des systèmes semblables ; l’évaluateur : la façon dont l’APR a été conduite donne-t-elle toute
— retours d’expérience sur les technologies, les organisations confiance dans l’identification de tous les risques associés au pro-
qu’il est envisagé de mettre en œuvre ; jet (dans la limite du périmètre de l’évaluation demandée : cette

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 5

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

évaluation ne porte souvent que sur les risques d’atteinte à la La démarche APR, qui n’est pas normalement réalisée ni
santé des personnes ou de dégradation de l’environnement, commandée par l’exploitant recense les risques ou situations dan-
excluant les risques financiers, commerciaux, etc.) ? gereuses et les mesures de maîtrise prévues ; parmi celles-ci il y en
a généralement beaucoup à la charge de l’exploitant.

3.5 Maître d’œuvre Au stade de production de l’APR, il appartient à l’exploitant


(ou à celui qui le représente à ce stade) de valider la faisabilité
Le maître d’œuvre est au cœur des démarches APR. C’est lui qui des mesures qui sont mises à sa charge. Il est très facile et usuel
organise le système à concevoir et à réaliser en système et de prévoir, pour tous les cas difficiles, qu’une procédure
sous-systèmes. À chacun il attribue des objectifs de sûreté de d’exploitation, à la charge des agents de l’exploitant, interdira
fonctionnement et démontre que l’atteinte de l’ensemble de ces l’évolution de la situation dangereuse vers l’accident en rame-
objectifs garantit l’atteinte des objectifs globaux fixés par le maî- nant le système vers une situation normale ou une situation de
tre d’ouvrage. repli sûre. Il est tellement courant qu’une telle procédure ne soit
pas réaliste avec un taux de succès raisonnablement prévisible
Au fur et à mesure que les choix de conception d’abord, et de assez élevé pour satisfaire les exigences de sécurité.
réalisation plus tard, interviennent, le maître d’œuvre doit déclen-
cher les études de risque correspondantes. L’APR est la démarche
pour repérer les risques à prendre en compte et déterminer les
efforts de maîtrise des risques à prévoir. L’exploitant doit, à son tour, évaluer pour lui-même et démontrer
pour les autres (en particulier l’autorité en ce qui concerne la sécu-
Exemple : le gaz naturel est proposé comme carburant à la place du
rité) sa capacité à exploiter (et maintenir ou compte tenu de la
traditionnel gasoil pour diverses raisons. Le risque d’explosion du réser-
maintenance) en sécurité et en atteignant ses objectifs. Les démar-
voir (comme accident lui-même ou comme facteur aggravant d’un
ches APR produites en amont indiquent les scénarios d’échec pos-
autre accident comme une collision...) doit être pris en compte. Un
sibles et sont donc un excellent guide pour évaluer cette capacité.
plastique est proposé à la place du métal habituel pour telle pièce. Un
Si elles n’existent pas (systèmes anciens par exemple), l’exploitant
risque de corrosion disparaît peut-être, des risques de fusion, de toxi-
peut avoir à faire ou commander des APR pour confronter son éva-
ques en cas d’incendie, etc. apparaissent sans doute. La prise en
luation de sa capacité aux exigences actuelles ou pour maîtriser les
compte de ces risques influence la conception, mais rejaillit aussi sur
risques à l’occasion des modifications qu’il apporte ou fait apporter
l’exploitation et la maintenance...
au système.
■ Le maître d’œuvre est utilisateur des démarches APR qui ont pu
être produites en amont de son intervention (à la demande du maî-
tre d’ouvrage). 3.7 Mainteneur
■ Le maître d’œuvre réalise ou fait réaliser des démarches APR
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

qu’il fait évoluer tout au long de la vie du projet. La démarche APR appliquée au sous-système à maintenir est
une source d’information essentielle pour le mainteneur : elle indi-
Il exige des sous-traitants des démarches APR sur les systèmes
que ce que l’on craint sur le système. Elle indique ipso facto au
dont ils sont responsables (ou exige les informations lui permet-
mainteneur ce que l’on attend de lui : les états du système qui doi-
tant de réaliser les APR à leur place quand ils n’en ont pas la capa-
vent être éviter avec le niveau de gravité qu’ils représentent. Les
cité).
combinaisons d’écarts susceptibles d’avoir les pires conséquences
■ Il est responsable in fine de la cohérence des études de risque et apparaissent directement.
de la validation des systèmes et sous-systèmes livrés. La démarche
Le mainteneur associe ainsi aux différentes configurations non
APR est un support très adapté pour assurer ces deux fonctions.
nominales du système (auxquelles il est normal qu’il soit
Nota : l’APR s’applique non seulement au système à concevoir et à réaliser mais aussi à
la production du système. En effet, les choix techniques et organisationnels de la produc-
confronté) la gravité qu’il y aurait à y laisser entrer le système.
tion déterminent les risques d’écarts entre le système réalisé et le système demandé. Selon
les capacités de l’entreprise à laquelle on s’adresse, selon les méthodes et technologies
Sachant ce qu’il a à faire et les niveaux d’exigence à associer aux
qu’elle emploie, les écarts possibles ne sont pas les mêmes, donc les moyens d’assurer ou divers objectifs et aux diverses contraintes à respecter, le mainte-
de contrôler la conformité sont également différents. neur peut appliquer la démarche APR à son propre système de
maintenance pour situer les risques d’échec qui le guettent et
déterminer le type de mesures qu’il doit envisager pour maîtriser
ses propres risques.
3.6 Exploitant
Indépendamment du fait que l’exploitant a souvent un des 3.8 Organisme de contrôle
autres rôles pour un sous-système, en tant qu’exploitant, il est
directement concerné par la démarche APR. De celle produite par Pour contrôler, il faut identifier les points de contrôle et les
le maître d’ouvrage (§ 3.3) résulte le rôle dévolu à l’exploitant dans marges acceptables autour des valeurs nominales (tolérances sur
la maîtrise des risques. Le cas où les maîtres d’œuvre livrent à des dimensions de pièces, fourchettes sur des délais entre exa-
l’exploitant un système avec lequel rien de fâcheux ne peut lui arri- mens ou remplacements, points importants d’une norme d’organi-
ver sont irréalistes. sation...).
La part de l’exploitant dans la maîtrise des risques est toujours
L’analyse préliminaire de risques permet de repérer les points
très importante : la maîtrise des risques mise en œuvre en amont
critiques (ceux auxquels la sécurité sera sensible), donc les points
de l’exploitation limite les risques auxquels l’exploitant est exposé
à contrôler. Elle indique en même temps en quoi ils sont critiques,
et limite les situations dangereuses que l’exploitant doit maîtriser.
donc dans quel esprit il faut les contrôler, ce qui est important. Dès
Explicitement (de préférence), mais souvent implicitement, les res-
l’APR, ou au cours des approfondissements qui s’ensuivent la pré-
ponsabilités de l’exploitant en matière de maîtrise des risques
cision sur les exigences fixe les marges acceptables.
découlent des choix de maîtrise des risques faits en conception et
en réalisation. L’exploitant doit faire face aux situations qui résul- Un organisme de contrôle qui exercera son rôle de contrôle en
teront des défaillances, des aléas, des conditions extérieures défa- bénéficiant des conclusions des analyses préliminaires de risques a
vorables, etc. les meilleures chances de le faire avec un maximum de pertinence.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 010 − 6 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

_____________________________________________________________________________________________________ ANALYSE PRÉLIMINAIRE DE RISQUES

3.9 Sous-traitants Ce mode de défaillance a pour effet de bloquer la porte dans la posi-
tion où elle est quand la défaillance se produit. On ne peut écarter le ris-
L’analyse préliminaire de risques joue pour un sous-traitant le que correspondant en comptant sur une quasi-impossibilité de ce
même rôle que pour son client dans une proportion qui dépend du mode de défaillance de se produire, il doit donc être supportable. Sans
contrat qui les lie : autre précaution, on pourrait donc ne pouvoir ni entrer, ni sortir de
l’établissement, ou ne pas pouvoir fermer l’enceinte ou, avec une porte
— un extrême est la délégation complète du donneur d’ordre au entr’ouverte, ne pas pouvoir fermer l’enceinte, pouvoir entrer et sortir,
sous-traitant, y compris la contribution aux démarches d’analyse de mais avec les véhicules.
sûreté de fonctionnement ;
— l’autre extrême est le cas où le sous-traitant est étroitement On peut supposer que ces conséquences sont inacceptables : on
encadré par le donneur d’ordre qui précise les moyens à utiliser et peut envisager comme mesures une maintenance susceptible de
garde la charge des études, en particulier de sûreté de fonction- remédier assez vite aux situations créées (mais est-ce suffisant face au
nement. besoin éventuel d’évacuer en cas d’incendie... ?) ou bien des solutions
de secours comme une porte assez grande pour permettre aux person-
Entre les deux toutes les situations intermédiaires sont imagina- nes d’entrer et sortir à pied (mais la conséquence de l’abandon des
bles. véhicules est-elle acceptable ?) ou encore, une possibilité de débrayer
le moteur et de manœuvrer à la main [il faudra étudier la fiabilité de ce
processus de secours (« manœuvrabilité » de la porte, disponibilité du
L’important pour réussir est de respecter les principes énon- système de débrayage — si celui-ci était électrique, il faudrait noter
cés dans l’article général sur la maîtrise des risques : qu’en cas de défaillance du moteur due à la défaillance de l’alimenta-
— la répartition des responsabilités doit être explicite ; tion électrique, cette solution serait aussi en échec —, disponibilité de
— les parties doivent s’être assurées qu’elle est comprise de personnes formées...) pour prétendre avoir réduit suffisamment ce
la même façon par les partenaires ; risque !].
— chacun doit explicitement accepter les responsabilités Dans la démarche AMDE, on peut aussi envisager une défaillance de
qu’il prend ; la surveillance du passage pendant la fermeture de la porte. En fonc-
— le donneur d’ordre doit s’assurer que les responsabilités tion de la masse de la porte et de la puissance du moteur, il y aurait ris-
prises par le sous-traitant n’excèdent pas ses compétences. que d’écraser un imprudent qui chercherait à se faufiler pendant la
fermeture. On peut envisager un dispositif de sécurité susceptible de
stopper l’effort du moteur en cas de détection de danger : résistance
excessive, détection de présence, etc. Il faudra alors envisager les
4. Méthodes de la démarche APR défaillances de ce dispositif...
Quand des choix de technologies ou de composants sont arrê-
Compte tenu des descriptions présentées en paragraphe 3, on tés, l’AMDEC dans le cadre d’une démarche APR permet au maître
imagine facilement qu’une démarche APR peut être menée à l’aide d’œuvre ou à son sous-traitant qui introduit ce composant, de
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

de certaines méthodes ou outils classiques de la sûreté de fonc- s’assurer que ces choix n’introduisent pas des risques incompa-
tionnement (cf. article [AG 4 670]). tibles avec les exigences de sûreté de fonctionnement.
■ Dans le même esprit l’interrogation systématique sur les effets
■ L’AMDEC (analyse des modes de défaillance, de leurs effets et de
des situations non nominales, des faits anormaux, (« méthode What
leurs criticités, cf. article spécialisé à paraître [SE 4 040]) est souvent
if ? ») est une démarche typique de l’APR, même si elle ne peut
employée dans une démarche APR. Cette méthode permet de pren-
garantir d’identifier tous les risques.
dre en compte tous les risques dus à la défaillance d’un élément du
système. La démarche de l’AMDEC, consiste à partir de la liste des ■ L’arbre de défaillance (cf. article [SE 4 050] dans ce CD-Rom) peut
éléments composant le système étudié, d’associer à chacun tous les aussi être utilisé dans le cadre d’une démarche APR. Quand les évé-
modes de défaillance qu’il peut connaître et d’identifier les nements redoutés du plus haut niveau (globaux) sont clairement
conséquences pour le système (et la gravité) de chacun de ces identifiés, l’arbre de défaillance est une méthode très adaptée à
modes de défaillance. Cette démarche systématique est tout à fait identifier les combinaisons de faits ou de conditions qui suffisent à
appropriée pour mener une APR (en ne descendant pas trop dans les provoquer. Il permet de repérer les scénarios qui constitueraient
les détails), mais elle a une limitation essentielle : elle ne prend en les faiblesses du système et il permet de repérer les points sur les-
compte que les risques dus à une (ou plusieurs) défaillance(s) quels des mesures de prévention ou de protection permettraient de
connue des éléments du système. Elle ne saurait anticiper les réduire le risque global.
conséquences de modes de défaillance inconnus au moment de Par sa présentation synthétique des scénarios d’accidents ou
l’étude ; elle ne prend pas en compte des risques dus au fonctionne- d’échecs l’arbre de défaillance (pas trop détaillé) est un excellent
ment nominal du système dans des circonstances particulières, aux support pour les fonctions de la démarche APR (identification des
agressions, aux utilisations inadaptées ou frauduleuses, etc. contributions fortes au risque, identification du potentiel de
Exemple : la porte principale vétuste de l’établissement va être réduction de risque des mesures envisageables, allocations de fia-
remplacée par un portail roulant et manœuvré par un moteur électrique bilité, cohérence des actions, démonstration que le niveau de ris-
qui peut être commandé à distance depuis des postes pourvus de que résiduel global est conforme aux exigences...).
caméras montrant le portail et ses abords immédiats.
L’essentiel de la démarche d’analyse préliminaire de risque pour un
système comme celui-ci dont les fonctionnements sont simples et
connus peut reposer sur l’étude de tous les cas qui résulteraient des
5. Méthode APR
dysfonctionnements. On peut donc réaliser une AMDE (analyse de
mode de défaillance et de leurs effets) pour identifier toutes les 5.1 Présentation
situations de pannes. En face de chaque cas, on précisera le niveau de
risque accepté et la mesure prise (si nécessaire) pour respecter ce Pour réaliser cette démarche APR, on utilise très couramment
niveau dans le cas envisagé. une méthode et une présentation spécifique à cette démarche qui
On regarde l’équipement « moteur électrique ». On envisage le présente les caractéristiques suivantes :
mode de défaillance « panne immobilisant la porte », différent du — l’espoir d’identifier tous les risques raisonnablement imagina-
mode de défaillance « panne laissant la porte libre de rouler sur son bles repose sur une utilisation systématique sans impasses de listes
rail ». qui peuvent faire penser à tous les scénarios d’accidents ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 7

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

— le repérage des risques exigeant des mesures repose sur l’éva- — circulations ferroviaires se dirigeant l’une vers l’autre sans
luation usuelle du risque dans ses deux dimensions fréquence et dispositif d’arrêt avant la rencontre (événement = défaillance de la
gravité repérées sur des échelles simples à 3 ou 4 niveaux signalisation, non-respect d’un signal d’arrêt par un mécanicien, enga-
habituellement ; gement non autorisé d’une circulation depuis un chantier, annulation
— la présentation de la démarche dans des tableaux types qui, intempestive d’un dispositif de sécurité par un aiguilleur, etc.) ;
en même temps, guident un peu le rédacteur. — personnes sur les voies parcourues par une circulation,
(événement = agent de maintenance travaillant sur la voie parcourue
La méthode APR repose : au lieu de la voie consignée suite à une erreur ou un malentendu,
véhicule routier avec conducteur ou passager franchissant ou immo-
— sur les enchaînements : bilisé sur un passage à niveau qui se ferme, traversée non autorisée
élément dangereux + événement = situation dangereuse ; de voie par des tiers ou par des voyageurs ou par des agents, autori-
situation dangereuse + événement = accident ; sation de traverser donnée à tort, etc.).
— sur les cotations des fréquences des événements à On peut aussi considérer la haute tension de la caténaire comme
l’origine des situations dangereuses ou des accidents ; une entité dangereuse (risque d’électrocution ou d’incendie). Il peut en
— sur la gravité des conséquences des accidents. résulter des situations dangereuses comme :
— caténaire non disjonctée tombée à terre (rupture d’éléments de
Exemple : élément dangereux (stockage de gaz inflammable) la caténaire provoquant la chute sans contact avec un conducteur pro-
+ événement (fuite) = situation dangereuse ; voquant la disjonction) ;
situation dangereuse + événement (flamme) = accident (explosion, — personnes montées sur des véhicules ferroviaires sous caté-
incendie). naire alimentée (personnes non autorisées comme des enfants qui
L’événement « fuite » ne peut être considéré comme suffisamment jouent, non-respect des règles de sécurité par des agents ayant à
improbable (impossible) pour éliminer ce risque de ceux à étudier. La intervenir sur la toiture d’engins ou de véhicules, erreurs dans la pro-
gravité de l’explosion ou de l’incendie dépend de nombreux facteurs cédure de consignation conduisant des agents à monter sous une
(quantité de gaz, confinement, personnes exposées au risque, valeur caténaire qu’ils croient à tort consignée, etc. ;
des biens exposés, etc. Il faudra agir à la fois sur ces facteurs pour — personnes portant de longues échelles ou perches, à proximité
rendre supportable l’accident s’il doit arriver et sur la probabilité de de la caténaire (personnes non autorisées dans les emprises, person-
fuite et la probabilité de flamme (ou autre source d’ignition) pour nes non formées aux dangers autorisées à intervenir sous caténaire
réduire le risque en réduisant la fréquence a priori des accidents. non consignée, non-respect des règles de sécurité par personnes for-
Des dispositions devront donc être prises (systèmes de sécurité, mées et habilitées, erreurs dans une procédure de consignation
dispositions organisationnelles comme la limitation de la quantité stoc- conduisant des agents à considérer comme consignée une caténaire
kée, la détection de gaz dans l’atmosphère, des interrupteurs élec- qui ne l’est pas, etc.).
triques anti-étincelles, l’interdiction d’accès à toute personne en Chacun des points cités ci-avant (et d’autres) est à étudier dans
période de stockage, des interdictions de fumer, l’éloignement l’étude de sécurité d’un système ferroviaire. Pour chacun un ensemble
d’autres produits dangereux ou inflammables, etc. de dispositions permet de réduire le risque aux niveaux acceptables
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

Enfin les études de sécurité détaillées devront démontrer que les (les dispositions les plus adaptées et les plus efficaces ne sont pas les
mesures prises sous les dispositifs choisis auront une efficacité (fiabi- mêmes selon le système et son environnement).
lité, disponibilité) suffisante pour atteindre les objectifs. (0)

5.2 Typologies. Listes Tableau 1 – Entités et situations dangereuses


dans l’aéronautique [1]
L’outil le plus caractéristique d’une démarche APR est une liste
de dangers ou de sources potentielles de dangers : Entités dangereuses Situations dangereuses
— dangers électriques (risques d’électrocution, d’échauffement) ;
— dangers mécaniques (risques de coupures, chocs, ruptures) ; Combustible Accélération
— dangers chimiques (risques de corrosion, d’empoisonnement, Propergols Contamination
d’explosion...) ; Catalyseurs chimiques Corrosion
— dangers biologiques (risques de maladie, d’empoisonne- Charges explosives Réactions chimiques
ment...) ; Capacités Électricité (pannes, chocs, cha-
— dangers liés aux combustibles (risques d’incendie, d’échauf- Batteries leurs, action faite par mégarde)
fement...) ; Conteneurs sous pression Explosion
— dangers liés à l’atmosphère (risque d’asphyxie...) ; Ressorts tendus Feu
— etc. Systèmes de suspension Chaleur, température (y compris
Fluides sous pression variations)
■ La première étape consiste à repérer les entités dangereuses pré- Générateurs électriques Fuites
sentes dans le système étudié. Chaque domaine technique possède
Objets susceptibles de tomber Humidité, buée
ses listes d’entités dangereuses. En général, on peut dire que tout ce
Objets susceptibles Oxydation
qui contient de l’énergie est une entité dangereuse. de se déplacer, d’être catapultés Pression (trop élevée, trop
Exemples : Dispositifs de chauffage faible, variations rapides)
■ Villemeur [1] cite une liste d’entités dangereuses et une liste de Pompes Chutes, mouvements,
situations dangereuses de l’aéronautique (tableau 1). Ventilateurs, hélices, soufflantes catapultage d’objets
■ Pour un système de transport comme le chemin de fer (trains, Machines tournantes Radiations (thermique, électro-
tramways, etc.), on peut considérer d’abord l’énergie cinétique du Interrupteurs, dispositifs magnétique, ultraviolet,
de mise à feu nucléaire, ionisation...)
mobile comme source de danger. Il en découle des situations dange-
Éléments nucléaires Chocs
reuses comme :
Réacteurs Concentration de contraintes
— obstacle sur la voie parcourue, (événement = chute d’un rocher
Matériaux favorables Endommagement structurel
sur la voie, coulée de boue sur la voie, chute d’une grue sur la voie,
véhicule routier sur la voie, chargement perdu par une circulation fer- à l’électricité statique Toxicité
roviaire sur la voie, malveillance, etc.) ; Énergie sous toutes ses formes Vibration et bruit...

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 010 − 8 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

_____________________________________________________________________________________________________ ANALYSE PRÉLIMINAIRE DE RISQUES

L’industrie chimique utilise beaucoup cette méthode (souvent • événement significatif (blessé léger, perte de clients, dégâts
sous le nom d’analyse préliminaire des dangers) et l’UIC (Union aux installations),
des industries chimiques) a normalisé dans ses cahiers de • événement grave (blessé grave, destruction de l’outil de pro-
sécurité [2] une démarche de recherche des entités et des situa- duction, atteinte grave à l’environnement...),
tions dangereuses grâce à des fiches produits et des fiches procé- • événement catastrophique (morts, destruction totale de l’ins-
dés qui posent toute une série de questions propres aux produits tallation, atteintes catastrophiques à l’environnement).
ou aux procédés respectivement qui conduisent à mettre en évi-
dence les phénomènes dangereux qui peuvent se produire du fait La représentation du couple fréquence - gravité et du critère de
de la présence de ces produits ou du fait de ces procédés. décision se représente couramment dans un tableau comme le
tableau 2 :
Les informations issues de ces démarches sont classées dans
des tableaux qui reprennent d’abord : (0)
— la partie étudiée. Par exemple, le sous-système étudié et la
phase ou le type de fonctionnement étudié. Bien entendu, tous les
sous-systèmes devront être étudiés dans toutes les phases qu’ils Tableau 2 – Représentation du couple fréquence-gravité
peuvent connaître (y compris accidentelles) ; dans la méthode APR
— les entités dangereuses, les situations dangereuses et, entre
les deux, les événements qui peuvent créer la situation dangereuse Gravité
à partir de l’entité dangereuse ; Fréquence
— les accidents possibles et, entre la situation dangereuse et Catastro-
Grave Significatif Mineur
l’accident potentiel, l’événement qui provoque l’accident à partir de phique
la situation dangereuse.
Rare Inacceptable Acceptable Acceptable Acceptable
Le tableau est ensuite complété par l’évaluation de la gravité des
accidents potentiels.
Peu
fréquent Inacceptable Inacceptable Acceptable Acceptable

5.3 Fréquence et gravité Fréquent Inacceptable Inacceptable Inacceptable Acceptable

■ La fréquence ne joue pas un rôle important dans la méthode APR.


Ce n’est pas une méthode fine de recherche d’un juste équilibre,
mais plutôt une méthode fruste de recherche des points justifiant On peut, bien sûr, faire varier le nombre de niveaux de fréquence
une approche plus fine. ou de gravité. Au stade d’une méthode APR, on ne peut être précis
Une fréquence quasi-nulle de l’événement nécessaire à créer et ce ne serait pas utile, trois niveaux (voire quatre) sont usuelle-
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

l’accident peut permettre d’écarter un risque. ment adaptés.


Exemple : une température de – 24 oC peut entraîner un phéno- L’évaluation de la gravité se fait progressivement : à l’accident
mène physique qui peut créer une situation dangereuse. Sur une instal- potentiel, on associe ses effets et leurs conséquences. Puis on éva-
lation destinée à l’Arabie Saoudite, ce risque peut être écarté, alors qu’il lue celles-ci et on donne un niveau de gravité à l’événement.
était très important sur l’installation norvégienne. Le tableau ébauché (tableau 2) se complète donc de deux colon-
nes représentant la gravité.
■ Par contre l’évaluation de la gravité est un élément de décision
essentiel. ■ La dernière étape, et la dernière partie du tableau, consiste à
On utilise couramment les échelles suivantes : mettre en face de ces accidents potentiels les mesures propres à
— échelle à trois niveaux : réduire le risque à un niveau acceptable et les éléments d’évaluation
• événement mineur (perte de temps, de matière), de l’efficacité de ces mesures dont on peut disposer. Selon ces
• événement important (dégradations matérielles lourdes, bles- éléments, ces mesures devront faire l’objet d’études plus approfon-
sés légers), dies ou bien, on peut dès la démarche d’APR conclure qu’ayant fait
• événement catastrophique (destruction du site, morts ou bles- leurs preuves, elles suffisent à réduire le risque à des proportions
sés graves) ; acceptées.
— ou bien échelle à quatre niveaux : Avec les deux colonnes résumant cette dernière étape, un
• événement mineur (perte de production sans perte de client), tableau-type d’APR prend la forme du tableau 3. (0)

Tableau 3 – Tableau type de la méthode APR


Événement Mesures de
Sous- Événement Effets ou Occur- Application
Entité causant une Situation prévention
système ou Phase causant Accident consé- Gravité rence des
dangereuse situation dangereuse ou de
équipement un accident quences (fréquence) mesures
dangereuse protection

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 9

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90
Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

Bibliographie

Références Dans les Techniques de l’Ingénieur

[1] VILLEMEUR (A.). – Sûreté de fonctionnement MORTUREUX (Y.). – La sûreté de fonctionne-


des systèmes industriels. Ed. Eyrolles Collec- ment : méthodes pour maîtriser les risques.
tion de la Direction des études et recherches AG 4 670. Traité l’Entreprise industrielle et
d’Électricité de France, n° 67 (1997). CD-Rom Sécurité et gestion des risques, oct.
[2] UIC (Union des industries chimiques). – Sécu- 2001.
rité des installations – Méthodologie de l’ana-
lyse de risque. Cahier de sécurité n° 13, MORTUREUX (Y.). – Arbres de défaillance, des
Document technique DT 54, mars 1998. causes et d’événement. SE 4 050 CD-Rom
http://www.uic.fr Sécurité et gestion des risques, oct. 2002.

Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 010 − 10 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

tiwekacontentpdf_se4010 Ce document a été délivré pour le compte de 7200031081 - ecole centrale de nantes // . SERVICE INFORMATIQUE // 197.15.215.90

Vous aimerez peut-être aussi