Analyse de risques : Identification et estimation : Démarches d'analyse de risques - Méthodes qualitatives d'analyse de risques - Méthode Organisée Systémique d'Analyse des Risques

Objectif

Fondamental :

L'objectif de la Méthode Organisée Systémique d'Analyse des Risques est : (1) de modéliser le danger comme un ensemble de processus au sens systémique du terme, (2) d'identifier a priori les dangers d'un élément d'installation et, par conséquent, les risques si l'on connaît les cibles, dans un contexte donné et (3) de définir des barrières de prévention et de protection.

Démarche

Méthode :

La méthode s'articule autour de deux modules :

une vision macroscopique conduisant à un module A (cf. figure 41) qui consiste à faire une analyse des risques de proximité. C'est parce que les éléments qui constituent l'installation sont à proximité les uns des autres que des risques apparaissent, souvent majeurs. Ces éléments sont modélisés sous forme de systèmes ce qui va permettre d'identifier en quoi ils peuvent être sources de danger. On recherche ensuite comment ils peuvent interférer entre eux et avec leur environnement pour générer des scénarios d'accidents. Ce travail nécessite la mise en œuvre du modèle de Méthodologie d'Analyse de Dysfonctionnement des Systèmes (MADS). Ce module comporte aussi une phase de négociation avec les acteurs concernés, qui va permettre d'établir un consensus sur les risques acceptables sous forme d'une grille gravité-probabilité ;
une vision microscopique conduisant à un module B (cf. figure 41) qui consiste à faire une analyse détaillée et complémentaire des dysfonctionnements techniques et opératoires identifiés dans le module A. C'est en fait une approche de type « sûreté de fonctionnement » qui vient faire foisonner l'analyse précédente. Dans les scénarios établis dans le module A, on va développer les dysfonctionnements de nature opératoire et ceux de nature technique. C'est à ce niveau que l'on mettra en œuvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le module se termine par le rassemblement et l'organisation de l'information acquise pour la gestion des risques c'est-à-dire des scénarios identifiés s'ils surviennent.

Figure 41 : Les modules et étapes de MOSAR[Zoom...]

Le modèle MADS (cf. figure 42) appelé aussi Univers de danger est un outil initialement à vocation pédagogique qui permet de construire et de comprendre la problématique de l'analyse des risques. L'univers du danger est formé de deux systèmes appelés système source de danger et système cible, en interaction et immergés dans un environnement dit actif.

Les interactions entre ces deux systèmes se font sous forme de processus c'est-à-dire d'échange de flux de matière, énergie, information entre les deux systèmes, dans le temps, l'espace et la forme.

Les autres actions qui se produisent dans cet univers sont explicitées aussi sous forme de processus.

La modélisation des deux systèmes se fait, suivant les problèmes posés, sur leur structure, leur fonctionnement, leur relation avec l'environnement, leur évolution.

On fait donc apparaître :

le flux de danger que l'on appelle aussi l'événement non souhaité (ENS) ou aussi parfois l'événement redouté,
le système cible sur lequel agit le flux de danger. Sa rupture d'équilibre peut concerner sa structure et/ ou son évolution et est appelé effet du danger,
le système source de danger émetteur du flux de danger. Sa rupture d'équilibre peut concerner sa structure et/ou son activité et/ou son évolution et/ou son interaction avec l'environnement et est appelée source de flux de danger ;
le processus de danger est réversible c'est-à-dire qu'un système source peut devenir système cible et vice-versa. Les systèmes sources et les systèmes cibles pris en compte sont : un ou des systèmes matériels ou symboliques (savoirs, savoir-faire, données...),
les éléments orientés source-flux-cible sont immergés dans un environnement actif appelé champ de danger,
le champ de danger est tapissé de processus qui peuvent agir sur le système source par des événements initiateurs (notés 1 sur la figure 42), ainsi que sur le système cible et le flux de danger par des événements amplificateurs (notés 2 sur la figure 42). Un tel événement est dit renforçateur, ou aussi positif, s'il renforce l'effet du flux de danger sur la cible. Il est atténuateur, ou amplificateur négatif, s'il diminue l'effet du flux de danger sur la cible.

Figure 42 : Le modèle MADS[Zoom...]

Le système source et le système cible étant eux-mêmes animés de processus, ces événements initiateurs et renforçateurs peuvent provenir respectivement en interne des systèmes sources de danger et des systèmes cibles.

Les flux de danger peuvent être décrits sous forme de processus par des processeurs de champ tels que (cf. figure 43) :

des processus de temps : flux chronique, flux limité,
des processus d'espace : flux concentré, flux diffus.

Ces flux sont également décrits sous forme de processus par des processus de source ou de cible tels que :

des processeurs de forme (transformation du mode pour un type de flux) : par exemple, flux d'énergie sous forme de travail mécanique en flux d'énergie sous forme de chaleur,
des processeurs de nature (transformation du type de flux) : par exemple, transformation d'un flux de matière en flux d'énergie.

Figure 43 : Typologie des flux de danger[Zoom...]

Illustration

Exemple :

La méthode MOSAR est illustrée au niveau de la conception d'une installation nucléaire de type industriel (Perilhon, 03).

On veut construire une unité d'irradiation d'œuvres d'art pour rendre ces dernières pratiquement imputrescibles. Pour cela un procédé a été mis au point : il s'agit d'imprégner les œuvres à traiter (statues, sculptures en pierre ou en bois, planchers...) d'une résine monomère en solution dans un styrène, dans des cuves métalliques et sous pression d'azote. Les objets sont ensuite irradiés par un faisceau de rayonnements gamma produits par des sources radioactives de Cobalt 60. Cette irradiation provoque une polymérisation de la résine dans l'œuvre d'art, qui rend celle-ci pratiquement imputrescible.

Les locaux du projet sont représentés à la figure 44. Chaque local possède sa propre ventilation. Il s'agit d'une première approche avec une décomposition en huit sous-systèmes.

Figure 44 : Schéma de l'installation nucléaire de base d'irradiation d'œuvres d'art[Zoom...]

Des exemples de scénarios et l'un des arbres logiques correspondant à ce système sont présentés à la figure 45.

Figure 45 : Analyse de risques d'une installation d'irradiation d'œuvres d'art[Zoom...]

A partir de cet arbre logique, après négociation d'objectifs et hiérarchisation des scénarios, sont ensuite :

identifiés les éléments importants pour la sûreté (EIS),
recherchées les barrières de prévention qui sont tout de suites placées, sous la forme de l'approche analyse de sûreté (barrières de pérennité des EIS, exigences définies... ) dans la stratégie de défense en profondeur,
construit l'arbre des défaillances (ADD) « irradiation » après qu'aient été construits les ADD sur les dysfonctionnements élémentaires de l'arbre logique (dysfonctionnements techniques comme ceux du pont roulant faisant l'objet d'une AMDEC complète et ceux opérationnels comme ceux liés à la mise en œuvre du pont roulant),
recherchées les barrières complémentaires permettant de neutraliser ces derniers dysfonctionnements,
qualifiées toutes les barrières.

Intérêts et limites

Fondamental :

L'approche déterministe complétée par une approche probabiliste de MOSAR permet de s'assurer qu'une installation a pris en compte les risques qu'elle peut générer. Elle intègre la réglementation applicable et identifie les moyens de prévention et de protection pour des événements qui ne sont pas pris en compte dans la réglementation. MOSAR intègre le retour d'expérience dans la genèse de scénarios et dans la recherche de barrières permettant de les neutraliser. Elle fait apparaître les modalités de management et d'organisation nécessaires pour le choix des barrières et l'assurance de leur pérennité. La recherche systématique des barrières correspondant aux événements identifiés apporte une certaine exhaustivité à la méthode.

MOSAR permet de ne pas entrer dans l'analyse directement avec des outils tels que l'AMDEC ou HAZOP ou les arbres logiques ce qui évite de travailler tout de suite dans le détail avec le risque de dispersion que cela entraîne. Ce n'est que dans le module B (cf. figure 41) que l'on met en œuvre ces outils. Cette méthode assure une coordination de ces outils au moment le plus opportun de l'analyse. Ceci a aussi pour avantage de créer des niveaux de l'analyse : du global au détail.

Informations complémentaires

(Comte, 08), (Previnfo, 08), (Perilhon, 03).