Analyse de risques : Identification et estimation : Démarches d'analyse de risques - Méthodes qualitatives d'analyse de risques
CoursOutils transverses

Méthode de l'Arbre des Conséquences ou Arbre d'Evénement

Objectif

Fondamental :

L'objectif est de décrire les scénarios d'accident à partir d'un événement initiateur. Cette méthode est appropriée lorsque le fonctionnement du système étudié est approximativement chronologique, mais discret. Le fonctionnement du système est qualifié de « discret » dans le sens où les événements considérés sont ponctuels dans le temps. Cette méthode permet de comparer l'efficacité de différentes mesures (de prévention ou de protection) dédiées à la réduction de l'impact d'un événement initial.

Remarque :

En anglais cette méthode se nomme la Event Tree Method.

Fondamental :

Distinction entre les méthodes des Arbres de Défaillance, des Causes et d'Evénement

Ces trois méthodes ont en commun de représenter la logique d'un système sous forme arborescente.Cependant ces méthodes répondent à des besoins différents et ne contiennent pas les mêmes informations.

La figure 15 schématise les principales distinctions que l'on peut faire, du point de vue des objectifs attendus, entre ces trois méthodes.

Figure 15 : Distinction entre arbres de défaillance, des causes et d'événements - inspirée de (Mortureux, 02a)
Figure 15 : Distinction entre arbres de défaillance, des causes et d'événements - inspirée de (Mortureux, 02a)[Zoom...]

Démarche

Méthode :

Les arbres d'événement sont conventionnellement construits horizontalement, à partir de la gauche, c'est-à-dire à partir de l'événement initial. Le développement de l'arbre se fait alors chronologiquement, en étudiant le comportement de chaque élément. Un scénario ou un système est formé de plusieurs éléments qui se combinent pour prévenir les conséquences graves. Les arbres d'événement permettent de déterminer l'enchaînement des événements ainsi que le résultat final : succès ou échec. Les arbres d'événements sont donc en général binaires, les événements étant supposés soit arrivé, soit non (Zwingeslstein, 95).

La figure 16 représente un arbre d'événement pour lequel on retient la branche supérieure si le système est dans un état opérationnel quand il est sollicité. L'événement initiateur initie le scénario. Les actions correctrices de l'événement générique peuvent atténuer ou aggraver l'événement initiateur. Une branche particularise les événements génériques en fonction du passé et en fonction de conditions initiales de la séquence. Une séquence est un chemin qui conduit aux conséquences acceptables ou inacceptables.

Figure 16 : Schématisation d'un arbre d'événement - inspirée de (Mortureux, 01)
Figure 16 : Schématisation d'un arbre d'événement - inspirée de (Mortureux, 01)[Zoom...]

L'évaluation quantitative des arbres d'événements est simple et rapide. Connaissant pour tous les événements les probabilités de se trouver dans une configuration échec ou défaillance, il est facile de calculer la probabilité d'apparition d'un des scénarios de défaillances.

Plus précisément, la méthode se déroule en six phases :

  1. Identifier l'événement initiateur : ce peut être la défaillance d'un système, d'un sous-système, d'un composant,... ou un événement extérieur. On détermine ensuite quantitativement la fréquence d'apparition de cet événement.

  2. Identifier les mécanismes de prévention, systèmes automatiques de sécurité, alarmes opérateurs, actions de l'opérateur, barrières de sécurité, etc. Leur efficacité s'évalue au travers d'une probabilité de succès / échec.

  3. Construire l'arbre, de la gauche (événement initiateur) vers la droite (conséquences) en enchaînant les mécanismes de prévention représentés par des branches : branche supérieure pour le succès, branche inférieure pour l'échec. L'objectif en terme de finesse du niveau de conséquences intervient lors de cette phase :

    a. On peut avoir un objectif limité aux questions de sécurité : possibilité d'accident grave (explosion par exemple) ou non ? ;

    b. On peut avoir un objectif un peu plus détaillé : possibilité d'accident grave, production dégradée, production nominale et sans accident ;

    c. On peut avoir un accident beaucoup plus détaillé : possibilité d'accident grave, possibilité d'accident bénin, arrêt de la production, perte de plus de 80% de la production, perte de 30 à 80% de la production, perte de production inférieure à 30%, retard supérieur à la journée, retard inférieur à la journée, production nominale, par exemple.

  4. Estimer les probabilités de chaque branche.

  5. Estimer les probabilités de chaque conséquence par combinaison des probabilités des branches.

  6. Hiérarchiser les conséquences par probabilités.

Deux utilisations de l'arbre obtenu sont alors possibles :

  • l'approche déductive : une fois l'arbre construit, il est réduit, c'est-à-dire que certaines séquences sont supprimées en raison de leur incohérence. L'arbre des conséquences « systèmes » est déduit en remplaçant dans l'arbre précédent les fonctions par les systèmes de sûreté correspondants. Il est souvent utile de revoir l'ordre des événements génériques en raison des interactions entre fonctions de sûreté, ce qui permet également de simplifier l'arbre. La mise en ordre est guidée par les aspects temporels, les interactions fonctionnelles et les interactions entre systèmes élémentaires. Une simplification à l'aide de l'algèbre booléenne est également possible.

  • l'approche inductive : elle est basée sur la méthode MCPR qui permet l'élaboration des pannes résumées globales. Celles-ci permettent la sélection des événements initiateurs et ensuite l'élaboration des arbres des conséquences. La simplification des arbres des conséquences est réalisée sur les mêmes critères et à l'aide des méthodes que dans l'approche déductive.

Illustration

Exemple :

L'arbre d'événement correspondant à un événement initiateur « tuyau de gaz arraché » est issue de (Mortureux, 02a).

Figure 17 : Arbre d'événement quantifié d'un "tuyau de gaz arraché" (Mortureux, 02a)
Figure 17 : Arbre d'événement quantifié d'un "tuyau de gaz arraché" (Mortureux, 02a)[Zoom...]

Intérêts et limites

Fondamental :

Cette méthode est basée sur une démarche naturelle très facile à s'approprier. Cette méthode permet la recherche de tous les enchaînements d'événements (événements qui doivent être binaires : fonctionnement / panne). La qualité des conclusions dépend de la qualité et de l'exhaustivité de la liste des éléments et comportements potentiels du système pris en compte. Le chiffrage dépend de la disponibilité et de la précision des probabilités des alternatives élémentaires. Elle permet d'estimer l'influence d'un facteur en faisant varier sa probabilité de réalisation. Elle permet de suivre le déroulement d'un scénario accidentel et d'évaluer l'influence des barrières mis en œuvre sur la fréquence des conséquences.

Associée aux arbres de défaillance, elle permet de connaître le nombre d'événements intermédiaires indispensable pour conduire à l'événement redouté (coupe(s) minimale(s)).

Les facteurs d'aggravation peuvent se confondre avec des défaillances. La détermination des facteurs d'aggravation dépend fortement des connaissances de l'analyste. Elle ne permet cependant pas la prise en compte des opérations d'entretien (non chronologique, puisqu'une réparation conduit le système dans un état antérieur à l'état considéré).

Informations complémentaires

(Comte, 08), (Previnfo, 08), (Desroches et al., 07), (Desroches et al., 06), (Mortureux, 05), (IMdR-SdF, 04), (Ineris, 03), (Mortureux, 02a), (Mortureux, 01), (Lair, 00), (Rollinger, 98), (Zwingelstein, 96), (Zwingelstein, 95), (Modarres, 93), (Villemeur, 88), (Lemaire et al., 66).

Méthode de l'Arbre des Conséquences ou Arbre d'Evénement (page suivante)Méthode de l'Arbre des causes (page Précédente)
AccueilImprimerRéalisé avec SCENARI