Manuel XRisk · Un certain nombre de méthodes sont gérées, notamment les méthodes APR, HAZOP, AMDEC, MOSAR, LOPA, Checklist, arbre de défaillances, arbre conséquence,

Manuel XRisk

Version 2.1

Table des matières

1 Introduction 7

1.1 Présentation générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.2 Démarche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.3 Présentation de l'exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.4 Quelques concepts de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.4.1 Systèmes, fonctions et ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.4.2 Les quatres types d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2 Démarrage rapide 13

2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.2 Création de la base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.3 Modélisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.4 Description des systèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.5 Description des fonctions et ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.6 APR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2.7 AMDEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.8 HAZOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.9 Diagramme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

3 Modélisation avancée 21

3.1 Description des systèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2 Description de l'aspect physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.3 Description des principales fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.4 Liens ressources-fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.5 Vue IDEF0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3.6 Achage des événements dans la vue FIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.7 Liens fonctions-fonctions ou ressources-ressources . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.8 Transformation de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

4 Analyse Préliminaire des risques 29

4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

4.2 Saisie directement dans la table APR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

4.2.1 Ajout des phénomènes dangereux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

4.2.2 Ajout des causes et eets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.3 Saisie directe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.3.1 Ajout des Phénomènes Dangereux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.3.2 Détail de chaque Phénomène Dangereux . . . . . . . . . . . . . . . . . . . . . . . . . . 35

4.4 Tableau d'Analyse Préliminaire des Risques (PHA) . . . . . . . . . . . . . . . . . . . . . . . . 35

3

TABLE DES MATIÈRES 4

5 Analyse des Modes de Défaillances, de leur Eets et Criticité 375.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375.2 Saisie avec la table FMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375.3 Saisie directe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

5.3.1 Ajout des Modes de défaillances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395.3.2 Détail de chaque mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

5.4 Tableau FMEA (AMDEC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

6 Arbre des défaillances et diagramme Noeud papillon 436.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436.2 Commandes utiles pour la manipulation des graphes d'événements . . . . . . . . . . . . . . . 446.3 Modication du modèle depuis la vue graphique . . . . . . . . . . . . . . . . . . . . . . . . . . 45

7 Evaluation et hiérarchisation des risques 477.1 Niveau de probabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

7.1.1 Les diérents modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477.1.2 Saisie d'une valeur numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487.1.3 Saisie d'une valeur qualitative (lettre) . . . . . . . . . . . . . . . . . . . . . . . . . . . 487.1.4 Saisie de la fréquence d'exposition et du niveau de maîtrise . . . . . . . . . . . . . . . 487.1.5 Calcul à partir de la probabilité des causes . . . . . . . . . . . . . . . . . . . . . . . . 50

7.2 Niveau de gravité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507.2.1 Les diérents modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507.2.2 Mode numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507.2.3 Mode qualititatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517.2.4 Saisie du niveau de dommages et du nombre de personnes exposées . . . . . . . . . . . 517.2.5 Calcul automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

7.3 Table d'acceptabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517.4 Cartographie des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527.5 Paramétrage : dénition des unités et échelles . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

8 Dénition et Analyse des barrières 558.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558.2 Ajout de barrières . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558.3 Evaluation des barrières . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

9 Méthode MOSAR 599.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599.2 Présentation de l'exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599.3 Rappel du principe de la méthode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609.4 Mise en oeuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

9.4.1 Avant de commencer : paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609.4.2 Modélisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619.4.3 Tableau A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619.4.4 Création des scénarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649.4.5 Tableau A' . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659.4.6 Vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

9.5 Génération des résultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

10 Listes d'Audit 6710.1 Principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6710.2 Conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6710.3 Création de la liste des questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

10.3.1 Ouverture de la page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6810.3.2 Jeux de réponse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6910.3.3 Ajout d'une question . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69


10.4 Utilisation de la liste des questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

11 Cartographie 7111.1 La cartographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7111.2 Grille d'acceptabilité Probabilité-Gravité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7111.3 Diagrammes radar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

11.3.1 Dénition des familles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7111.3.2 Vue radar par famille . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7211.3.3 Vue radar par système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

11.4 Diagrammes à bulles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

12 Conguration des Paramètres 7512.1 Personnalisation de l'explorateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7512.2 Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

13 Capitalisation de la connaissance 7713.1 Principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77


Chapitre 1

Introduction

1.1 Présentation générale

La démarche d'analyse de risque à base de modèle implantée dans XRisk consiste à réaliser l'analyse enconstruisant un modèle du système. Ce modèle est composé de deux parties :

la première, appelée FIS, décrit les éléments du système de ses fonctionnalités la seconde, appelée DysFIS, décrit les phénomènes dangereux pouvant survenir, les défaillances pos-sibles, les barrières ...

Ces deux parties sont bien sûr en étroite relation. Cette approche correspond plus ou moins à ce qui estfait habituellement : on réalise souvent un modèle du système avant d'analyser les risques, en utilisant parexemple SADT (ou IDEF0) avant de réaliser une AMDEC, MADS pour réaliser une analyse MOSAR, undiagramme de ux pour une analyse HAZOP . . .

La diérence ici est que ce modèle possède une sémantique précise : chaque élément du modèle et sesrelations avec les autres éléments sont précisément dénis. Cette sémantique est peu contraignante et présentede nombreux avantages, notamment celui de pouvoir générer diérentes vues du modèle d'analyse de risques(tableaux AMDEC, MOSAR, n÷ud papillon . . . ) et de garder la cohérence entre toutes ces vues.

D'un point de vue pratique, l'analyse n'est plus réalisée en entrant les informations dans des tableauxtextuels, qui sont juste du texte, mais en construisant un modèle via des tableaux d'analyse, dans lesquelschaque case a une signication précise. Ce modèle peut aussi être construit via une interface graphique, cequi permet ensuite de créer les tableaux d'analyse. Par exemple, la création du diagramme n÷ud papillonest répercuté automatiquement sur les autres sorties comme le tableau APR ou AMDEC.

Un certain nombre de méthodes sont gérées, notamment les méthodes APR, HAZOP, AMDEC, MOSAR,LOPA, Checklist, arbre de défaillances, arbre conséquence, diagramme n÷ud papillon. Par ailleurs, il estpossible réaliser les calculs de probabilités dans les arbres, calculer les coupes minimales, et de calculer l'eetdes barrières (en prenant en compte les modes ok et défaillants).

1.2 Démarche

Une analyse de risque avec XRisk se déroule de façon standard de la façon suivante :

1. Construction du modèle FIS (Fonctions, Interactions, Structure)

Il faut ajouter au moins un système au modèle. Pour les systèmes simples, cela est susant. Pour une analyse plus précise, on recense les éléments présents dans le système qui sont utiles pourl'analyse de risque. Ces éléments sont appelés ressources dans XRisk. Elles peuvent être de diérentescatégories, notamment, humaines, techniques, informationnelles ou organisationnelles

Pour réaliser une analyse plus systématique, il est souvent utile d'identifer les fonctions ou activitésréalisées par chaque système. Pour ce faire, on ajoute à chaque système ses fonctions de façon analogueà un modèle SADT

7

1.2. DÉMARCHE 8

De façon optionnelle, on décrit les liens fonctions/ressources. Ces liens permettent de guider et devalider l'analyse des risques, ce qui est utile dès que le système devient complexe.

2. Ajout des risques

XRisk permet de décrire les diérents risques identiés de diérentes façons :

les phénomènes dangereux sont décrits dans une table associée à chaque système les modes de défaillances et les déviations de variables sont décrits dans une table associée à chaquefonction ou ressource.

Ces tables sont similaires aux tableaux Excel souvent rencontrés pour réaliser une analyse des risques, à ladiérence que tous les éléments saisis sont organisés dans une base de données, structurée par le modèle. Danscette table on peut saisir directement les phénomènes dangereux, leur causes et les eets. Puis il est possiblede coter la probabilité et la gravité. L'interêt de cette organisation est de pouvoir réaliser une manipulationautomatique des informations et par exemple de générer l'arbre des causes à partir de la table (ou l'inverse).

CHAPITRE 1. INTRODUCTION 9

La démarche implantée dans XRisk permet aussi de capitaliser la connaissance, c'est-à-dire de mémoriserdes morceaux de modèles. Cela permet par exemple d'ajouter des risques à partir d'une checklist desphénomènes dangereux, qui pourront être reliés ou non à des sources présentes dans le système. Dans cemode, l'assistance permet de faciliter l'analyse : l'utilisateur sélectionne le type de risque, eventuellement lessources, causes et eets possibles depuis une liste prédénie et l'ajoute à l'analyse.

3. Evaluation de l'importance des risques

L'évaluation de l'importance des risques s'eectue en cotant la probabilité et la gravité. Ces niveaux deprobabilité et de gravité peuvent être dénis :

de façon numérique (quantitative) ou qualitative (lettre) en mixant les deux approches de façon directe (P,G) ou indirecte pour les systèmes pour lesquels les données sont diciles à obtenir :P est dénie via une fréquence d'exposition et un niveau de maîtrise, G est dénie via un niveau dedommages et le nombre de personnes (ou d'éléments) exposés

le calcul de P peut être réalisé automatiquement à partir de la probabilité des causes (en utilisant lescoupes minimales)

le calcul de G, à l'inverse, peut être eectué automatiquement à partir de la gravité des eets et dufacteur d'importance

tous ces calculs sont réalisés sans prendre en compte les barrières, en prenant en compte les barrièresexistantes et en prenant en compte les barrières prévues.

1.3. PRÉSENTATION DE L'EXEMPLE 10

les resultats peuvent être achés dans les tables ou sur les graphiquesXRisk permet de dénir la grille d'acceptabilité

4. Remarques

1. Dans certains cas, l'analyste ne souhaite pas construire le modèle détaillé du système analysé. Dans cecas, il peut se contenter de dénir un seul système et passer à la phase ajout des risques. La constructiondu modèle se fera au fur et à mesure de l'ajout des risques et défaillances.

2. Il est aussi possible de travailler directement à partir du modèle graphique. Nous présenterons cespossibilités dans la suite.

1.3 Présentation de l'exemple

Le système étudié est représenté sur le schéma ci-dessous /

Ce réacteur fonctionne en mode batch. On le charge avec un mélange réactionnel constitué de deuxproduits en proportions st÷chiométriques. Ce mélange donne naissance à une réaction exothermique. Laréaction se produit pendant 1h. Pendant ce temps, la température du réacteur monte, puis le réacteur estrefroidi à une température de 80°C avec de l'eau industrielle régulée de façon adéquate. A la n de la réaction,le mélange est transféré vers la suite du procédé par la vanne XV33021. Le mélange réactionnel est toxique.

CHAPITRE 1. INTRODUCTION 11

Nous souhaitons réaliser une analyse de risque de ce système.

1.4 Quelques concepts de base

1.4.1 Systèmes, fonctions et ressources

L'installation à étudier est modélisée par des systèmes, fonctions et ressources.Les ressources sont utilisées pour représenter les aspects physiques de l'installation (ce qu'elle est). Il

peut y avoir des ressources techniques (appareils divers, produits. . . ), humaines (opérateurs, personnes. . . ),organisationnelles (procédures, . . . ) ou informationnelles (mesures, signaux . . . ) Les fonctions correspondentà ce que doit faire un ensemble de ressources, ou aux activités des personnes.

Un système peut être vu comme une entité regroupant un certain nombre de ressources pour accomplirdes fonctions. Le découpage en système est subjectif. Un système peut utiliser des ressources d'un autresystème (ressources partagées).

1.4.2 Les quatres types d'événements

L'état des éléments du système et son évolution est décrite avec des événements. Quatre types d'événe-ments existent :

les évenements appelés, Dangerous Phenomenon events qui sont utilisés, comme leur nom l'indique,pour décrire l'occurrence d'un phénomène dangereux. Ils doivent être dénis au niveau du système. Parexemple pour exprimer le fait qu'une explosion est possible, on ajoute un événement de type DP appeléexplosion.

les événements appelés FailMode events permettent de décrire les modes de défaillances des fonctionset ressources. Ils ne peuvent être dénis que dans les fonctions et ressources.

les événements appelés VarDev events permettent de décrire les variations de variables, comme lapression, la température . . . Ils ne peuvent être dénis que dans les fonctions et ressources.

les événements appelés Generic Events qui peuvent utilisés de façon complétement libre. Ils peuventêtre dénis dans les systèmes, fonctions ou ressources.

Le tableau APR est formé à partir de la liste des DP events, le tableau AMDEC à partir des FM events, etle tableau HAZOP à partir des événements VarDev.

1.4. QUELQUES CONCEPTS DE BASE 12

Chapitre 2

Démarrage rapide

2.1 Introduction

Par quoi commencer est une des premières questions que se pose l'analyste. L'outil XRisk est trèssouple, et de nombreuses solutions sont possibles. Dans le cadre de ce chapitre de démarrage rapide, nousn'allons pas examiner toutes les possibilités, mais il est utile de savoir qu'elles existent :

1. on construit un modèle de l'installation analysée (systèmes, fonctions et ressources), puis pour chacund'eux on décrit les phénomènes dangereux et les modes de défaillances et enn, on construit les relationscauses et eets. Le logiciel générera les tableaux APR, HAZOP, AMDEC et les diérents arbres dedéfaillance et diagrammes noeud papillon

2. on choisit de commencer directement à remplir la table APR ou son AMDEC, sans avoir modélisél'installation auparavant. Dans ce cas, on ajoutera les systèmes, fonctions et ressources au fur et àmesure des besoins.

3. on peut aussi commencer l'analyse en mode graphique : les événements représentant les phénomènesdangereux et les modes de défaillance sont ajoutées sur une vue graphique et reliés entre par des liensde causalité. Le logiciel générera les tableaux d'analyse de risque à partir de ces graphes.

4. on peut utiliser un mode d'analyse guidée : à partir de listes de phénomènes dangereux et de situationsdangereuses génériques, on coche ceux qui sont pertinents pour l'installation. Le logiciel génére lestables, le modèle et les graphes. Dans ce même mode, on peut choisir les barrières à mettre en placeparmi une liste prédénie.

5. on peut partir d'une analyse préexistante pour une installation similaire et utiliser un questionnaired'audit associé pour valider les phénomènes dangereux eectifs et leur niveau de criticité ainsi quebarrières existantes

Commençons par présenter l'approche 1.

2.2 Création de la base de données

2.3 Modélisation

Tout d'abord, nous créons une nouvelle base de données (il faut toujours en créer une au début d'unnouveau projet). Utilisez :

Menu File>New pour créer une base de données. Puis pour la sauvegarder tout de suite à l'emplacement désiré avec le nom désiré : Menu File>Save As

2.4 Description des systèmes

Pour réaliser une analyse des risques, il faut décrire au moins un système. Un système peut être vu commeun processus ou une unité de travail. Ils sont utilisés dans la suite pour structurer l'analyse : on y rattache

13

2.5. DESCRIPTION DES FONCTIONS ET RESSOURCES 14

des fonctions (ou activités) et des ressources, ainsi que les phénomènes dangereux et les dysfonctionnementsglobaux.

Cette description peut se limiter à saisir son nom, si c'est une installation simple. Le plus souvent, on ajouteun système complémentaire, qui n'est pas décrit en détail, mais qui sert à représenter les dysfonctionnementset phénomènes dangereux extérieurs à l'installation étudiée.

Pour notre exemple, nous allons modéliser le système physique en utilisant deux blocs systèmes dansXRisk :

1. S1 : Installation

2. S2 : l'extérieur (d'où proviennent les diérents ux énergie et matière, les actions extérieures .. et à quisont fournis les ux traités)

Ouvrons d'abord la page achant la liste des systèmes principaux en cliquant sur System/process dansl'explorateur ou sur le bouton arborescence de la toolbar :

Pour ajouter un système, selectionner System/process, puis cliquer sur +. Il est aussi possible de cliquersur Add dans la base Main Systems. Le système S2 ne sera pas modélisé complétement, mais nous décrironsuniquement les parties qui nous intéressent pour modéliser S1.

Pour modier le nom du système, cliquer sur Edit name, sur la page ou cliquer sur son nom pour ouvrirl'éditeur de système , puis cliquer sur Edit name.

2.5 Description des fonctions et ressources

La deuxième étape consiste à décrire les fonctions (ou activités) et les ressources (matières utilisées,machines, main d'oeuvre et méthodes) de chaque système. Cliquer sur Show Functions et Show Resources.Puis cliquer sur Add pour ajouter les éléments souhaités.

Ceux-ci nous serviront par la suite pour l'analyse de risque pour y relier les modes de défaillances et lesdéviations de variables. Il sera possible d'en rajouter si certains ont été oubliés.

Ajoutons quelques éléments : nous obtenons

CHAPITRE 2. DÉMARRAGE RAPIDE 15

2.6 APR

Pour réaliser l'Analyse Préliminaire des risques du système, cliquer sur le bouton P (PHA) dans la toolbar :

La fenêtre suivante s'ouvre :

Le bouton à droite (dupliqué dans la barre d'outils) permet de choisir les options d'achage, les liens àgauche permet d'ajouter des phénomènes dangereux à la table. Cliquons sur Add a dangerous phenomenon

On peut choisir un système existant auquel sera associé le phénomène dangereux, ou en créer unn nouveau.Choisissons S01, puis cliquons sur Next. Nous obtenons

2.6. APR 16

Nous pouvons entrer le nom du phénomène dangereux ou choisir dans la liste. Prenons explosion , puiscliquons sur Finish. Nous obtenons la table APR suivante :

Nous allons ajouter les eets en cliquant sur le bouton dans la case correspondante. Nous souhaitonsdécrire comme eet, une destruction de S01 et des blessures pour l'opérateur.

Dans l'assistant qui s'ouvre, nous devons comme précédemment choisir le système dans lequel se situe lacible. Ici nous choisissons S01. Puis, pour le premier eet, nous choisissons que l'eet n'est rattaché ni à unefonction, ni à une ressource :

Enn, dans le dernier assistant, nous choisissons l'événement générique destruction


Nous ajoutons le deuxième eet de façon similaire. Cependant, nous choisissons related to ressource etsélectionons opérateur :

A l'écran suivant, nous choisissons Injury. La table APR obtenue est la suivante :

Il est possible de décrire les situations dangereuses de façon similaire. Dans le cadre de cet exemple, nousallons exprimer que cette situation est liée à une augmentation de température. Avant cela, examinons letableau AMDEC.

2.7. AMDEC 18

2.7 AMDEC

De façon similaire à la table APR, les boutons F et F* permettent d'ouvrir la table AMDEC des fonctionsou celles des fonctions et ressources. Le fonctionnement est similaire. Ajoutons un mode de défaillance à lafonction Refroidir .Cliquer sur Add a fail mode, choisir le système S01, puis related to a function, sélectionnerF01, puis choisir perte de fonction. Nous obtenons la table suivante :

Pour ajouter l'eet décrit dans cette table, cliquer sur le bouton dans la case correspondante. Choisir lesystème S01 sur le premier écran, puis sélectionner la ressource R01 (réacteur) :

Cliquer sur Next, puis sur cette page, choisir variable deviation :

Cliquer sur Create pour ajouter un nouvel événement de type variable deviation . On obtient l'écransuivant :


En cliquant sur Select Variable, on peut choisir la variable associée à la déviation. Ici, nous créons unevariable avec un identiant T, et le nom Temperature.

Puis, avec Select Keyword, on peut choisir le mot clé (la liste est paramétrable). On obtient alors unedéviation :

2.8 HAZOP

De façon similaire à la table APR, le bouton H permet d'ouvrir la table HAZOP. Le fonctionnement estsimilaire. Dans notre exemple, nous avons la table suivante :

Nous pouvons ajouter un eet à cette augmentation de température, par exemple le phénomène dangereuxidentié dans la table PHA. Ce phénomène est lié au système S01. Rappelons que tous les phénomènesdangereux sont liés aux systèmes et non aux fonctions et ressources.

Comme précédemment, nous ouvrons l'assistant, choisissons S01, puis, sur l'écran suivant, nous sélection-nons eet non lié à une fonction ou ressource, puis sur l'écran qui suit, nous choisissons le type Phénomènedangereux et Explosion

2.9. DIAGRAMME 20

2.9 Diagramme

Le diagramme d'évenements est obtenu avec le menu Diagram> Open the event graph for selected system :

Chapitre 3

Modélisation avancée

Nous avons vu dans le chapitre précédent comment construire un modèle simplié. Nous allons présenterici comme ajouter des détails à ce modèle.

3.1 Description des systèmes

Rappelons que pour ouvrir la liste des systèmes, il faut cliquer sur le bouton arborescence de la toolbar :

A partir de cette liste des systèmes présentée sous forme d'arborescence à droite, on peut ouvrir l'éditeurde système en cliquant sur l'identiant (S01 par exemple).

On obtient :

Le modèle du système peut être complété pour décrire ce qu'il contient (ressources) et ce qu'il fait(fonctions). Cette description n'est pas nécessaire pour une réaliser une Analyse Préliminaire des Risquessimple ou une approche systémique comme MOSAR. Elle pourra de toute façon être réalisée au fur et àmesures des besoins.

21

3.2. DESCRIPTION DE L'ASPECT PHYSIQUE 22

3.2 Description de l'aspect physique

Pour modéliser l'installation, nous le décomposons en un certain nombre d'éléments physiques appelésressources. Selon la classication 6M, ces ressources correspondent :

- aux matières- au matériel- aux méthodes- à la main d'÷uvre- ou aux informations (Mesures/Etats)Ici, nous considérons (de façon simpliée pour les besoins de ce tutorial) la liste de ressources suivantes

pour le système S1 (installation) :

Pour ajouter une ressource, cliquer sur le système dans l'explorateur, puis se positionner sur la page FisView (onglet en bas). Cliquer sur Add pour ajouter une resource :

puis sur la ressource ouvrir l'éditeur de ressource et modier son nom :

Note : Il est possible d'utiliser une ressource déjà utilisée dans un autre système en cliquant surAdd/Remove/Sortshared resources.

3.3 Description des principales fonctions

Nous considérerons comme fonctions principales pour cette installation les fonctions suivantes : Contenir le mélanger réactionnel Remplir / Vider

CHAPITRE 3. MODÉLISATION AVANCÉE 23

Agiter Refroidir

La liste de ces fonctions pourra être complétée par la suite si besoin.

On notera que certaines fonctions peuvent être décomposées en sous fonctions. Par exemple, pour lafonction Refroidir, il est possible d'identier les sous fonctions suivantes :

Piloter le débit d'eau Pomper l'eau Mesurer la température

La saisie dans le logiciel s'eectue de façon analogue à la saisie des ressources dans l'éditeur de système.L(ajout d'une sous fonction se fait dans l'éditeur de fonctions. Pour faire faire apparaitre les sous fonctions,cliquer sur Show subitems à droite.

3.4 Liens ressources-fonctions

Important : Il n'est pas nécessaire de décrire ces liens pour réaliser l'analyse des risques . Cette descriptionest utilisée pour fournir une assistance et une validation supplémentaire.

Chaque fonction utilise ou consomme des éléments physiques (5M). Ces éléments correspondent aux res-sources d'entrée. De la même façon, une fonction produit ou agit sur des éléments physiques (5M). Ceséléments sont les ressources de sortie. Inversement, la fonction fait partie des fonctions d'entrée de ces res-sources.

Ces relations d'entrée sortie sont utilisées pour réaliser la propagation des dysfonctionnements : Les causes des défaillances d'un fonction inclut l'ensemble des défaillances de ses ressources d'entrée Les causes des défaillances des ressources de sortie contiennent les défaillances des fonctions d'entrée.

Dans le cas de notre exemple, nous allons décrire les ressources d'entrée et de sortie pour la fonction Piloterla température .

Pour ce faire, cliquer sur la fonction dans l'explorateur, se mettre sur la page Fis View (onglet en bas)et cliquer sur les liens comme le montre la gure ci-dessous :

3.5. VUE IDEF0 24

Cette vue peut être personnalisée. Pour ce faire, cliquer sur le menu options de la barre d'outils :

Dans ce menu, on peut choisir d'acher diérents types d'événements associés à la fonction, ses variableset d'autres paramètres que nous détaillerons dans la suite.

Remarque. Les liens entre systèmes apparaissent automatiquement lorsqu'une fonction possède une ressourced'entrée ou de sortie externe. Elles sont représentées sur le schéma ci-dessous.

3.5 Vue IDEF0

Le modèle des fonctions peut être présenté sous la forme classique IDEF0 ou SADT. Sélectionner le menuOptions, puis IDEF0.


3.6 Achage des événements dans la vue FIS

Lorsqu'on réalise l'analyse de risques en utilsant le modèle FIS, il peut être intéressant de visualiserles modes de défaillances des ressources sur la même vue que celui de la fonction. Pour ce faire sélectionnershow events in inputs and outputs dans le menu option. Les modes de défaillance des ressources sont achés.Lorsqu'on clique dans la case à cocher associée à un mode de défaillance, les modes associés par une relationcause-eet sont achés. Attention, cet achage ne se fait pas en mode IDEF0.

Lorsqu'un mode de défaillance de la fonction est coché, il est possible de lui associer des causes et eets liésaux ressources en cochant les modes correspodants. Si certaines causes ne sont pas des modes de défaillancedes ressources d'entrée, choisir l'option Show Others Events in Inputs and Outputs pour les visualiser.

3.7. LIENS FONCTIONS-FONCTIONS OU RESSOURCES-RESSOURCES 26

3.7 Liens fonctions-fonctions ou ressources-ressources

Par défaut, le modèle FIS considère que les entrées et sortie d'une fonction sont des ressources. Tout lienentre deux fonctions doit passer par l'intermédiaire d'une ressource. Comme cela peut être contraignant danscertains cas, il est possible de créer des liens directs de fonction à fonction ou ressource à ressource. Pour cefaire, ouvrir la page Options, puis sélectionner l'option Allow Function To function connections :

Lors du choix des entrées d'une fonction, les autres fonctions sont aussi proposées. Il en est de même pourles connections ressources à ressources.

3.8 Transformation de ressources

Dans certains cas, une ressource en sortie de fonction est une ressource d'entrée transformée ou modiéepar la fonction. Elle peut être aussi obtenue comme l'assemblage de plusieurs ressources d'entrée.

Pour décrire ce lien, il faut faire apparaître les modes de défaillance hérités (Inherited failmodes) dansl'éditeur de ressources en cliquant sur Show Inherited Modes à droite. Ensuite cliquer sur le bouton Editsource resources. On choisit ensuite dans une liste constituée des ressources d'entrée de la ressource et desressources d'entrée des fonctions en entrée de la ressource.

Cette sélection a pour eet de faire appaître les modes de défaillance des ressources sources dans laresource en cours d'édition et permet une propagation automatique des modes de défaillance suivant les uxde matière, d'énergie ou d'information.


3.8. TRANSFORMATION DE RESSOURCES 28

Chapitre 4

Analyse Préliminaire des risques

4.1 Introduction

Avant toute chose, il faut créer une nouvelle base de données et ajouter au moins un système. Pour cefaire, voir la section 3.1.

L'analyse de risques commence par la recherche des phénomènes dangereux qui peuvent avoir lieu dansun système. Ces phénomènes ont pour eet la génération de dommages pour une cible et sont générés par uneou plusieurs ressources appelées sources. On les distingue des dysfonctionnements qui créent une situationanormale pour une fonction ou une ressource, sans pour autant créer directement des dommages.

Par example, un l dénudé sera sera considéré comme une ressource ayant un défaut (ou un dysfonction-nement) alors que l'électrisation sera classée dans les phénomènes dangereux.

Dans notre exemple, nous allons identier les principaux phénomènes dangereux. Nous nous limiteronsaux deux aspects suivants :

Tout d'abord, comme la réaction est exothermique, nous considérerons donc le risque d'explosion lié àun emballement de la réaction. Cette explosion pourra à son tour entraîner une libération du contenu(qui est toxique), une projection d'éléments solides et des brûlures.

Par ailleurs, le moteur de l'agitateur est alimenté par un courant fort, nous considérerons donc aussi lerisque d'électrisation et d'incendie lié à une surchaue électrique.

La liste des phénomènes dangereux que nous allons saisir dans XRisk sera donc la suivante :

DP1 : explosion du réacteur DP2 : libération produits toxiques DP3 : projection d'éléments mécaniques DP4 : projection d'éléments brûlants DP5 : électrisation DP6 : incendie

4.2 Saisie directement dans la table APR

4.2.1 Ajout des phénomènes dangereux

Il est possible d'ajouter les phénomènes dangereux en utilisant une table de saisie similaire à un tableauAPR . Pour ouvrir cette table :

cliquer sur le symbole P de la barrre d'outils

ou cliquer sur le symbole Maison, puis sur Preliminary Hazard Analysis ...

29

4.2. SAISIE DIRECTEMENT DANS LA TABLE APR 30

Remarque. Dans cette barre d'outils, le symbole ? ouvre l'aide et le symbole roue dentée permet le recalculdes probabilités.

Remarque. Il est aussi possible d'ouvrir cette même table limitée à un seul système via l'onglet Risk Tabledans l'éditeur de système. On dispose alors de la table APR limitée à ce système.

Cette table permet :

1. d'entrer les risques pour le système avec la commande Add a dangerous phenomenon . Le nom duphénomène dangereux est saisi lors de cette création.

2. d'entrer les risques pour le système avec la commande Add a dangerous phenomenon using checklist. Un dialogue s'ouvre et permet de choisir une famille de risques, puis un ou plusieurs phénomènesdangereux. 1

Par ailleurs, le menu option permet de choisir le mode d'achage et les colonnes à acher :

1. Si cette table est vide, c'est parce qu'aucun élément n'a été ajouté à la checklist. Pour dénir une checklist de base, utiliser

le menu File>Import Checklist from Excel le et choisir le chier BasicChecklist.xls

CHAPITRE 4. ANALYSE PRÉLIMINAIRE DES RISQUES 31

Il est en particulier possible de choisir d'acher ou non la probabilité associée au DP sans les barrières, avec les barrières (existantesou non) en une colonne ou en deux colonnes séparées

d'acher ou non l'acceptabilité (Risk Index) d'acher les barrières existantes et prévues en une ou deux colonnes d'acher la paramètre de détectatbilité d'acher ou non les liens HTML dans la table (dans la barre d'outils, le bouton U permet de commuterrapidement entre ces deux modes)

d'acher ou non un bouton dans chaque case pour le menu associé (si le bouton n'est pas aché, unclic dans la case ache un menu popup).

de faire apparaître une colonne Notes pour entrer un texte libre associé à cet événement.

Notons enn dans la barre d'outil un bouton ( ) qui permet l'export (telle qu'achée) vers une feuilleExcel.

Pour ajouter un phénomène dangereux, il fuat cliquer sur Add a dangerous phenomenon. On doit d'abordchoisir le système concerné :

Dans cette page, le bouton Create a new system permet de créer un nouveau système. La page suivantepermet de choisir le nom du système. Si le phénomène appartient à une catégorie prédénie, il est possiblede la sélectionner, puis de personnaliser le nom.

4.2. SAISIE DIRECTEMENT DANS LA TABLE APR 32

4.2.2 Ajout des causes et eets

La table permet aussi de décrire les causes et eets de chaque phénomène dangereux en cliquant sur lebouton de menu dans la case correspondante, puis sur Add a Hazardous Situation.

Les fenêtres de dialogue permettent de créer les fonctions et ressources manquantes en ajoutant les sourceset les cibles des événements et donc de compléter de façon itérative le modèle FIS.

La commande Remove permet de retirer un élément sans le supprimer du modèle (à la diérence deDelete). En cliquant sur Add dans la colonne Hazardous situation, nous obtenons d'abord une boîte desélection de système, puis nous ouvrons la boîte de dialogue suivante :


Pour décrire une cause, nous pouvons choisir d'utiliser : un autre phénomène dangereux, qui est associé à un système un mode de défaillance, associé à une fonction ou une ressource une déviation de variable, associée à une fonction ou une ressource un événement générique, associé à un système associé à une fonction ou ressource

On choisira un type phénomène dangereux si la cause est un autre phénomène dangereux, par exemple, lacause d'une explosion peut être un incendie. Si on souhaite indiquer la cause est la défaillance d'une fonctionou le défaut d'une ressource (technique, humaine ..), on choisira FailMode. Dans ce cas, il faudra spécierune ressource ou fonction qui sera soit déjà présente dans le modèle, soit créée à l'occasion (voir dialogueci-dessus). De la même façon, on peut spécier une déviation de variable.

Dans le cas où on réalise une analyse systémique et qu'on ne souhaite pas modéliser le système en détail, onpourra modéliser une cause comme un Generic Event associé à un système. Il est à noter que ces événementspeuvent être par la suite transformés en Generic Event associé à une fonction ou ressource, puis en modedéfaillance si on souhaite poursuivre l'analyse systémique par une AMDEC ou HAZOP.

Lorsque l'élément (système fonction ou ressource) associé à l'événement est choisi, on passe à la page desélection de l'événement proprement dit :

Sur cette page, on choisit le type de l'événement , soit un phénomène dangereux ou un événement génériquepour un système, soit un mode de défaillance, une déviation de variable ou un événement générique pour une

4.3. SAISIE DIRECTE 34

fonction ou une ressource.Par ailleurs, il est possible de choisir un type prédéni de modèle d'événement, par exemple ici présence

de S01. Ceci a pour eet de créer un événement de ce type directement.On peut aussi noter que la table permet de dénir le niveau de probabilité, de gravité et la liste des

barrières de sécurité. Nous verrons dans la suite ces aspects.

4.3 Saisie directe

4.3.1 Ajout des Phénomènes Dangereux

Une autre solution consiste à ajouter directement les phénomènes dangereux aux diérents systèmes.Pour entrer ce faire, cliquer sur S1, puis choisir Hazard view (en haut à droite). Nous obtenons alors la listesuivante :

On peut noter qu'aucun phénomène dangereux ne sort du système (et donc ne peut dégrader lesautres systèmes). De la même façon, aucun phénomène dangereux n'entre dans le système.

Pour indiquer d'un phénomène dangereux peut sortir du système, cliquer sur Add dans la boite OutputDangerous Phenomena et sélectionner les événements choisis.

On obtient par exemple le modèle de danger suivant pour le système S1 :

Ceci indique que l'incendie et l'explosion peuvent concerner d'autres systèmes.


4.3.2 Détail de chaque Phénomène Dangereux

L'étape suivante consiste à décrire quelles sont les cibles du phénomène dangereux et ses sources. Com-mençons par les sources. La source d'un phénomène dangereux est la ressource (ou éventuellement la fonction)à l'origine physique de ce phénomène.

Pour saisir la source et la cible, cliquer sur le phénomène (ex : S01.DP05) dans la Hazard view. Cetteaction ouvre l'éditeur d'événement et on obtient la fenêtre ci-dessous :

Les sources et cibles sont ajoutées automatiquement : ce sont les systèmes, fonctions ou ressources auxquelssont attachés respectivement les causes et les conséquences. Dans notre exemple, la brûlûre est attachée àl'opérateur.

4.4 Tableau d'Analyse Préliminaire des Risques (PHA)

Après avoir entré les phénomènes dangereux, une première version du tableau APR peut être obtenue.Cliquer sur le bouton P menu Reports > Preliminary Hazard Analysis pour l'obtenir :

4.4. TABLEAU D'ANALYSE PRÉLIMINAIRE DES RISQUES (PHA) 36

Deux points sont à noter Pour l'instant les cotations P, S et les barrières ont des valeurs par défaut (nous verrons commentmodier cela dans la suite)

Certaines causes sont des modes de défaillance (panne du pilotage par exemple), et d'autres des phé-nomènes dangereux (explosion par exemple). Nous allons voir dans la prochaine partie comment lessaisir.

D'un point de vue pratique, la barre d'outils permet diérentes opérations sur la table,en particulier, l'im-pression, la sauvegarde (format HTML) ou l'exportation vers Excel.

Chapitre 5

Analyse des Modes de Défaillances, de

leur Eets et Criticité

5.1 Introduction

Avant toute chose, il faut créer une nouvelle base de données et ajouter au moins un système. Pour cefaire, voir la section 3.1. Dans un second temps, il faut décrire la liste des fonctions et ressources utilisés dansle système. Ces éléments sont ceux dont nous allons analyser les modes de défaillance. La marche à suivreest décrire dans les sections 3.2 et 3.3 pour créer ces éléments.

Après cette phase de modélisation, nous allons ajouter les modes de défaillance. De part la structure dumodèle ceux-ci ne peuvent être associés qu'aux fonctions et aux ressources, et non aux systèmes. Les modes dedéfaillance d'un système sont obtenus comme l'union des modes de défaillance de ses fonctions et ressources.

Plusieurs possibilités existent pour ajouter ces modes.

5.2 Saisie avec la table FMEA

Comme pour l'APR, il existe une table pour saisir directement l'AMDEC. Cette table ne contient pasles phénomènes dangereux, qui doivent être dénis au niveau du système (sauf comme causes et/ou eetséventuels), mais les modes de défaillances et les déviations de variables. Elle peut aussi contenir des événémentsgénériques.

37

5.2. SAISIE AVEC LA TABLE FMEA 38

Pour ajouter un mode de défaillance cliquer sur le lien html Add a Fail Mode. De façon analogue à latable APR, une boîte de dialogue permet de choisir le système, la fonction ou ressuorce concernée, puis letype (optionnel) d'événement concerné et de saisir son nom

CHAPITRE 5. ANALYSE DES MODES DE DÉFAILLANCES, DE LEUR EFFETS ET CRITICITÉ 39

Il est ensuite possible d'ajouter les causes et eets avec une boîte de dialogue similaire à celle de la tableAPR. (voir 4.2.2).

5.3 Saisie directe

5.3.1 Ajout des Modes de défaillances

Chaque fonction peut avoir un ou plusieurs modes de défaillance. Il en est de même des ressources. Pourdécrire ces modes de défaillances, ouvrir l'éditeur de fonction, onglet overview (en bas) de la fonction ou dela ressource, puis cliquer sur Show fail modes (en haut à droite). On obtient la vue suivante :

Pour ajouter de nouveau mode de défaillance, cliquer sur Add dans la boite Fail modes. Puis cliquer surle nouveau mode créé ouvrir l'éditeur d'événement (ici cliquer sur SO1.F05.FM01).

5.3.2 Détail de chaque mode

L'étape suivante consiste à décrire les causes et les eets de mode de défaillance. Pour ce faire, cliquer surAdd dans la boite correspondante (causes or eects). Comme nous pouvons le constater, la vue est similaireà la vue DP , mais il n'y a pas de sources et de cibles.

et changerle nom

5.3. SAISIE DIRECTE 40

Lorsqu'on ouvre clique sur Add, le logiciel propose une liste de causes possibles. Cette liste est composée :

des DP présents dans le système des DP entrants des modes de défaillances des éléments entrants (ou sortants pour les eets) dénis dans la partite liensfonctions-ressources (si les options MDA analysis sont sélectionnées, sinon tous les modes dénis dansle système sont achés, voir remarque ci-dessous)

...

Dans notre exemple, nous avons ajouté comme causes des défaillances, les défaillances de toutes les ressourcesd'entrée. La connexion entre les causes est un OU par défaut. Il est possible de choisir un ET en cliquantsur Switch. L'eet d'une défaillance de température est une explosion.

Remarque. Mode MDA (Model Driven Analysis)

Parfois, la liste des événements proposés comme causes ou eets ne contient pas l'événement désiré. Celaest du au fait, que comme tenu du modèle FIS et des liens ressources/fonctions, l'événement désiré n'apparaîtpas comme une cause ou un eet possible. Il faut donc en principe modier le modèle.

Cependant, il est possible d'avoir accès à tous les modes disponibles dans la base de données. Pour ce faire,sélectionner Window>Options et décocher les cases Use Fonction/Resource model et Use Systemic model :

Relations logiques complexes :

Dans certains cas, il est utile d'utiliser des relations d'entrée mêlant des opérateurs OU et ET. Pour cefaire, il est nécessaire d'ajouter des modes de défaillances intermédiaires, ou des événements génériques inter-médiaires. Pour illustrer ceci, nous avons ajouté une deuxième pompe. La fonction Piloter la température sera défaillante si les deux pompes sont en panne. Nous avons donc ajouté un événement Panne des deuxpompes .

CHAPITRE 5. ANALYSE DES MODES DE DÉFAILLANCES, DE LEUR EFFETS ET CRITICITÉ 41

5.4 Tableau FMEA (AMDEC)

Au fur et à mesure que nous entrons des modes de défaillances, le tableau AMDEC se remplit. Pourl'acher, cliquer sur Reports>FMECA(functions,resources) . Il est présenté ici après avoir cliqué sur l'optionSwitch name display mode U pour cacher les liens et le rendre plus lisible :

Sur la version ci-dessous, les liens sur les éléments sont achés. On peut les ouvrir en cliquant dessus.

5.4. TABLEAU FMEA (AMDEC) 42

Chapitre 6

Arbre des défaillances et diagramme

Noeud papillon

6.1 Introduction

A partir du modèle de dysfonctionnement créé dans le chapitre précédent, il est possible de générerautomatiquement un arbre de défaillance par la commande de la barre de menu Diagram> Open EventGraph. Comme on peut le voir, pour notre exemple, deux arbres indépendants sont créés, un pour l'explosionet un pour l'électrisation.

43

6.2. COMMANDES UTILES POUR LA MANIPULATION DES GRAPHES D'ÉVÉNEMENTS 44

6.2 Commandes utiles pour la manipulation des graphes d'événe-ments

Les commandes de la barre de menu qui permettent de créer et manipuler des diagrammes sont :

Diagrams>Open Event graph for all systems permet de créer un diagramme de tous les événements Diagrams>Open Event Graph for selected system permet de créer un diagramme pour un système. Lesévénements externes connectés sont représentés par des pointillés

Diagrams>Open the fault tree or bow tie for selected event permet de créer un graphe de tous leséléments connectés à un événement choisi, ce qui permet d'obtenir un graphe plus lisible.

Window>Clear Diagram supprime les diagrammes existants. Ils seront récrées à l'ouverture ce quipermet de les réinitialiser.

Il est possible de supprimer un événement du diagramme sans le supprimer du modèle avec la commandeRemove event (click droit>Remove Event). La commande Delete Event supprime l'événement du diagrammemais aussi du modèle.

Le menu obtenu par click droit contient les items suivants :

Il est ainsi possible de redessiner les connections, redisposer les événements (Layout events) après avoirsélectionné un événement central, décaler les connections superposées (Shifts the vertical stacked lines) etdéplacer les événements traversés par une connection.

La barre d'outil permet de réaliser aussi de la mise en page (alignement, centrage) mais surtout :

de copier dans l'image dans le presse-papier pour l'inclure dans un rapport (outil avec l'icone ) d'imprimer de zoomer d'acher la fenêtre miniature pour se déplacer sur le diagramme et de modier l'achage du contenu des événements (boutons 1 à 5) . On peut acher (1) le nom del'événement, (2) le couple (P,G) sans barrières, (3) avec les barrières existantes, (4) avec les barrièresplaniées, (5) dans l'identiant.

Le menu View>Grid permet de choisir ou non l'achage de la grille.

Remarque. Les événements en pointillés qui apparaissent sur les diagrammes représentants un seul systèmesont ceux qui sont extérieurs à ce système.

CHAPITRE 6. ARBRE DES DÉFAILLANCES ET DIAGRAMME NOEUD PAPILLON 45

6.3 Modication du modèle depuis la vue graphique

La palette située à droite des diagrammes permet d'ajouter des événements et de les connecter. Pourajouter un événement, cliquer sur le type choisi, puis dans le diagramme. Selon le type d'événement, une ouplusieurs boites de dialogue permettent de compléter l'information pour la création. L'événement créé estautomatiquement ajouté au modèle et par conséquent dans les diverses tables APR, AMDEC ...

De la même façon, il est possible de connecter des événements (liens causes eets). Cliquer sur un événe-ment : des outils apparaissent. Choisir la èche, puis connecter à l'événement conséquence.

Enn, avec le click droit, on peut changer le nom (Rename Event) ou modier l'opérateur logique d'entrée(Switch Input Opérator).

Par ailleurs les événements peuvent être redimensionnés lorsque le texte est trop long pour tenir dans laboîte.

Remarque. L'option Show AND Gates peut être déselectionnée (Menu Window>Options, onglet Diagram).Dans ce cas, seules les portes OU sont représentées. Ce mode permet de dessiner des arbres des causes (quine contiennent que des portes ET qui ne sont par explicitement représentés).

6.3. MODIFICATION DU MODÈLE DEPUIS LA VUE GRAPHIQUE 46

Chapitre 7

Evaluation et hiérarchisation des risques

La cotation des risques se fait de façon classique en utilisant la probabilité et la gravité. Ces deux grandeurspeuvent être entrées de façon numérique ou qualitative, directement ou de façon indirecte. La probabilitéest dénie par un nombre positif inférieur ou égal à 1, ou un code lettre représentant une zone de valeur.La gravité est dénie par un nombre positif ou un code lettre représentant une zone. Ces deux grandeurspermettent de dénir un niveau d'acceptabilité associé à un code couleur pour chaque événement. Pour unmême niveau, les événements sont classés suivant le produit P.G. L'ensemble est paramètrable (voir la section7.5).

.

7.1 Niveau de probabilité

7.1.1 Les diérents modes

Pour dénir la probabilité d'un événement, plusieurs possibilités existent :

le mode quantitatif une valeur numérique est entrée directement (nombre entre 0 et 1). un taux de défaillance constant µ est entré ce qui permet de calculer la probabilité (p = 1 − e−

µT )

la probabilité est calculée à partir de la probabilité des causes en calculant les probabilités desévénements contenus dans les coupes minimales générant l'événement analysé

le mode qualitatif directement : une lettre de niveau de probabilité est entrée, en général de A à E (le codage estparamétrable). Chaque lettre désigne un intervalle de valeurs paramétrable.

47

7.1. NIVEAU DE PROBABILITÉ 48

indirectement : le niveau de probabilité est entré via le niveau d'exposition et le niveau de maîtrise.Cette option est utile lorsqu'il est plus facile de déterminer la durée pendant laquelle la cible estexposée et la probabilité d'apparition du phénomène, qui correspond au niveau de maîtrise.

7.1.2 Saisie d'une valeur numérique

La première possibilité pour saisir une probabilité consiste à entrer une valeur numérique dans le champen haut de la boite de dialogue. Cette solution est utilisée lorsque la probabilité est connue.

Il est aussi possible donner un taux de défaillance constant (par unité de temps, prise par convention à1). Le logiciel calcule la probabilité de défaillance correspondante par la relation p = 1− e−

µT . Cette solution

est utile pour les systèmes techniques.

7.1.3 Saisie d'une valeur qualitative (lettre)

Très souvent, la probabilité d'un événement ne peut pas être déterminée de façon précise. On choisit alorsun niveau de probabilité dénit par un code lettre. Les valeurs par défault vont de A à E, chaque niveauétant associé à une zone de valeur.

Les valeurs par défaut sont les suivantes :

7.1.4 Saisie de la fréquence d'exposition et du niveau de maîtrise

Dans certains cas, on pourra préférer décrire la probabilité de façon indirecte, via la fréquence d'exposition(EF) et le niveau de maîtrise de risque (RCI). La valeur de la probabilité est ensuite dénie pour chaquecouple (EF,RCI) via une table à deux entrées.

L'activation de cette option est possible soit depuis la page Options, soit depuis la table de saisie desrisques

1. cliquer sur Menu > Options, choisir l'onglet Risk Analysis, et cocher Qualitative assessment of Proba-bility and Severity.

2. ouvrir la table et cliquer sur Show Qualitative Ranking

Extrait de la page Options

CHAPITRE 7. EVALUATION ET HIÉRARCHISATION DES RISQUES 49

Les colonnes EF : Fréquence d'exposition et RCI : Niveau de maîtrise (Risk Control Index) apparaissentsur les tables APR, AMDEC ou HAZOP :

ou sur l'éditeur d'événement :

En cliquant sur les boutons Edit, on peut choisir un niveau pour chaque grandeur.Note : si aucun niveau n'a été déni (voir section 7.5) , la boite de sélection est vide.Le couple (EF,RCI) permet de dénir une valeur pour la probabilité via une table :

7.2. NIVEAU DE GRAVITÉ 50

Une table similaire permet de dénir le niveau de gravité. Ces tables sont modiables (section 7.5).

7.1.5 Calcul à partir de la probabilité des causes

Lorsque les causes de l'évenement ont été identiées, et si la probabilité de celles-ci est connue, il estpossible de calculer la probabilité de l'événement étudié. Pour ce faire, cliquer sur Switch to Mode : Computeprobability from causes.

Il est à noter que le logiciel utilise les causes les plus en amont qui existent et détermine les coupesminimales pour évaluer correctement la probabilite de l'événement étudié.

Remarque. Il est possible de commuter tous les événements en mode calcul automatique de la probabilitéavec le menu Tools>Switch all probabilities to automatic

7.2 Niveau de gravité

7.2.1 Les diérents modes

De façon similaire à la probabilité, plusieurs modes sont possibles :

le mode quantitatif une valeur numérique est entrée directement , un nombre positif d'autant plus grand que la gravitéest grande. Cette gravité est appelée gravité locale.

en mode automatique, la gravité est calculée à partir de la gravité des conséquences et du poids del'événement analysé dans ces conséquences. Cette gravité est appelée gravité globale.

le mode qualitatif directement : une lettre de niveau de gravité est entrée, en général de S1 à S5 (le codage est paramé-trable)

indirectement : le niveau de gravité est entré via le niveau de dommage (Dommage Index) et lenombre de personnes exposées (Target Number)

Les diérentes manipulations sont similaires à celles de la probabilité.

7.2.2 Mode numérique

La gravité est dénie en entrant un nombre entier positif :


7.2.3 Mode qualititatif

On choisit un niveau prédéni dans la boîte de dialogue. Les valeurs par défaut sont :

7.2.4 Saisie du niveau de dommages et du nombre de personnes exposées

De façon analogue à la probabilité, il est possible de déterminer la gravité de façon indirecte en donnantle niveau de dommages et l'importance de la cible. La coinversion est assurée via une table paramétrable(section 7.5).

7.2.5 Calcul automatique

Par défaut, le logiciel calcule automatiquement la gravité d'un événement due à la gravité de ses consé-quences. Cette option peut être enlevée (Menu > Options, choisr l'onglet Risk Analysis, et décocher Computeautomtically global severity).

Le total de la gravité due aux eets et de la gravité propre de l'événement est appelée gravité globale. Lagravité propre de l'événement est la gravité locale.

7.3 Table d'acceptabilité

Pour chaque couple (probabilité, gravité), on peut dénir un niveau d'acceptabilité (Dénitions>RiskIndex)

7.4. CARTOGRAPHIE DES RISQUES 52

Les niveaux d'acceptabilité sont ajoutés ou retirés depuis la fenêtre Dénitions>Acceptability level). Ilspermettent le choix des couleurs.

7.4 Cartographie des risques

Lorsque chaque risque a été évalué, les diverses tables achent le couple P et G avec les couleurs associées.Il est aussi possible d'acher la cartographie des risques (Menu Report>Risk Map).

7.5 Paramétrage : dénition des unités et échelles

Les échelles et niveaux sont complétement paramétrables. Voir la vue Dénitions (à gauche dans la mêmefenêtre que l'explorer), qui peut aussi être achée par Menu Window>Show Dention View :


Les deux parties qui nous intéressent sont Properties et Quantication.Sélectionner l'item quantication pour faire apparaître les diérentes possibilités pour dénir les niveaux

de probabilités et de gravite. Pour ajouter un niveau, cliquer sur le bouton +. Ouvrir l'éditeur de niveaupour modier les valeurs ou le libéllé.

On peut par exemple dénir les liens entre les valeurs qualitatives indirectes et les valeurs des gravité etprobabilité.

7.5. PARAMÉTRAGE : DÉFINITION DES UNITÉS ET ÉCHELLES 54

Chapitre 8

Dénition et Analyse des barrières

8.1 Présentation

Les barrières de sécurité peuvent être ajoutées au niveau de chaque événement. Elle peuvent agit soitentrée, soit en sortie.

Une barrière en entrée peut être du type préventif, c'est-à-dire baisser la probabilité d'occurrence del'événement, ou de type protection, c'est-à-dire baisser la gravité de l'événement. Une barrière en sortie doitêtre de type préventif 1.

L'évalution des barrières permet de calculer les nouvelles probabilités et gravité de tous les événementsavec les barrières proposées.

Il est possible, pour les barrières de sortie de dénir un événement résiduel, c'est-à-dire un événement quia lieu si la barrière fonctionne bien. On notera que l'événement conséquence de l'evénement analysé, et quiest limité par la barrière est celui qui a lieu si la barrière ne fonctionne pas.

L'évalution des barrières suit le principe proposé par l'INERIS dans les documents Ω.

8.2 Ajout de barrières

L'ajout de barrières se fait au niveau de l'événement, depuis l'éditeur d'événement ou depuis la table desaisie des risques. Lorsqu'on clique sur le bouton d'ajout, le dialogue suivant s'ache :

1. Il est en eet dicile de dénir la réduction de gravité des conséquences de façon uniforme, cela dépend du type de

conséquences. C'est pour cette raison que le type protection n'est pas autorisé pour les barrières de sortie, car cela est sujet

à erreur

55

8.2. AJOUT DE BARRIÈRES 56

Il est possible soit de créer une nouvelle barrière à paramétrer manuellement ou de sélectionner une caté-gorie dans la liste des catégories de barrières, ce qui permet de choisir automatiquement certains paramètres.Si on crée une barrière manuellement, il faut choisir un nom et un type prévention (réduction de la probabi-lité) ou protection (réduction de la gravité). Par ailleurs, on peut ajouter une barrière en entrée ou en sortiede l'événement.

Lorsqu'on choisit une creaation assistée via select from checklist, le logiciel ne présente que les barrièresassociées au phénomène dangereux auquel on associe la barrière. Cliquer sur Show all safety barriers pourvoir toutes les catégories de barrières.

Remarque : en cliquant sur add to checklist, on peut ajouter la barrière en cours de dénition à la listedes barrières mémorisées pour un usage ultérieur.

L'ajout d'une ou plusieurs barrières en entrée ou en sortie est représentée sur le diagramme d'événementpar une barre :

Pour dénir le propriétés d'une barrière, en cliquant son nom, on ouvre l'éditeur de barrières. On obtientalors :

CHAPITRE 8. DÉFINITION ET ANALYSE DES BARRIÈRES 57

Cet éditeur ache les événements en entrée et en sortie de la barrière ainsi que diérentes propriétés.Pour une barrière de sortie, l'événement en entrée est celui sur lequel nous avons ajouté la barrière. En sortie,nous pouvons dénir

les événements pour lesquels cette barrière agit. Ces événements sont à choisir dans les événementsdénis dans le système et sont ajoutés aux eets de l'événement d'entrée si besoin.

les évenements résiduels qui se produisent lorsque la barrière fonctionne.La fenêtre de saisie est similaire pour une barrière en entrée. L'événement limité par la barrière est cette foisl'événement dans lequel elle est déclarée et les entrées sont les causes de cet événement.

Dans les deux cas, les paramètres de la barrière sont : son identicateur, son nom et sa description sa position entrée ou sortie : cliquez sur Set on Input ou Set on output sa probabilité de défaillance (Probability of Failure) pour les barrières de type prévention ou son facteur de réduction de la gravité pour les barrières de type protection pour les barrières d'entrée, sa nature : barrière de prévention ou protection, qu'on peut modier encliquant sur Mode :Switch

et son état : barrière existante ou prévue, qu'on peut modier en cliquant sur Existing :Switch.Il est aussi possible de spécier les fonctions ou ressources qui implémentent cette barrières (fonctions desécurité, éléments de protection ...)

Sur le diagramme d'événement, les événements résiduels sont connectés en bas de la barrière et les évé-nements non limités par la barrière sont connectés directement à la sortie de l'événement (sans passer par labarrre) :

Pour acher la liste des barrières, utilisez le Menu Reports > Safety Barriers :

8.3. EVALUATION DES BARRIÈRES 58

Remarque. Une barrière peut être existante (Existing) ou planiée (Planned). Par défaut, les tables achentles barrières existantes et non celle prévues. Pour acher toutes les barrières, cocher l'option suivante dansOptions>Risk Analysis :

8.3 Evaluation des barrières

La norme dénit 4 niveaux de performance pour une fonction de sécurité correspondant à la réduction dela probabilité d'occurence du risque désirée :

SIL 4 : Réduction du risque de 10.000 au moinsSIL 3 : Réduction du risque de 1.000 à 10.000.SIL 2 : Réduction du risque de 100 à 1.000.SIL 1 : Réduction du risque de 10 à 100.Le niveau 4 d'intégrité est le niveau le plus haut et Le niveau 1 le plus bas. Ces niveaux correspondent

aux codes lettre NC1 à NC4 dans l'éditeur de barrière. Le coecient peut aussi être entré directement etchoisi à une valeur quelconque.

Le logiciel permet de calculer les probabilités d'occurence des eets sans barrières, avec les barrièresexistantes et avec celles prévues. Ces probabilités sont achées dans les tables PHA ou FMEA et sur lediagramme d'événements.

Pour notre exemple, nous avons :

Ici avec un niveau NC2, la probabilité de DP02 est réduite d'un facteur 100. Celle de EVT02 n'est pasmodiée, puisqu'il n'est pas concerné par la barrière. La probabilité de EVT01 correspond à la probabilité debon fonctionnement de la barrière, soit 99% de la probabilité de celle de DP01. Cette probabilité est élevée,mais bien sûr la gravité de cet événement est supposée être faible, puisque la barrière agit.

Les diérentes valeurs achées dans les événements peuvent être sélectionnées en cliquant dans la barred'outil du diagramme sur les boutons 2 à 4 (voir l'info bulle pour les détails) :

Chapitre 9

Méthode MOSAR

9.1 Introduction

Dans le cadre de ce tutorial, nous allons traiter de façon simpliée un exemple de dépotage GPL. Nousnous limiterons notre analyse à quelques risques de façon à illustrer la façon de procéder avec le logiciel. Nousverrons sucessivement comment

modéliser l'installation par des sous systèmes en interaction construire le modèle de danger créer les scénarios mettre en place des barrières et produire les tableaux et graphiques utiles.

9.2 Présentation de l'exemple

L'exemple est schématisé ci-dessous. Il s'agit d'une installation de dépotage entre un wagon et une sphèrede GPL. Des tuyaux exibles permettent de relier la cuve du wagon à sphère. Le uide est mis en mouvementavec la pompe P12041 du wagon vers la sphère. L'autre exible permet d'équilibrer les pressions.

Le mode opératoire consiste à vérier que le wagon est immobilisé, à connecter les exibles, àmettre enroute la pompe, à la laisser fonctionner tant que le wagon n'est pas vide, puis à débrancher les exibles. Lesvannes doivent bien sûr être ouvertes ou fermées de façon adéquate.

Un opérateur assure toutes ces opérations.

Installation de dépotage

59

9.3. RAPPEL DU PRINCIPE DE LA MÉTHODE 60

Implantation géographique

9.3 Rappel du principe de la méthode

La méthode MOSAR est une méthode d'analyse de risques systémique qui se décompose en deux grandesparties : le module A, analyse macroscopique, et le module B, analyse microscopique. Dans le module A,qui correspond à une analyse préliminaire des risques, l'installation est d'abord modélisée sous forme desous-systèmes. Puis, on réalise les étapes suivantes :

1. Identication des sources et ux de danger à partir d'une checklist générique, ce qui conduit aux modèlesde danger boite noire représentés sous forme de tableau appelé tableau A.

2. Identication des scénarios de danger par connection des ux entrants et sortantes des modèles boîtenoire

3. Evaluation des scénarios de danger

4. Négociation des objectifs et hiérachisation des scénarios

5. Dénition des moyens de prévention et protection (barrières de sécurité) et qualication de ceux-ci.

Le module B reprend cette démarche en la détaillant à l'intérieur de chaque système, si cela est nécessaire,de façon à mieux préciser l'évaluation de la criticité de chaque risque et à aner les moyens de prévention.

Xrisk permet la mise en oeuvre la méthode MOSAR et l'intégre avec les autres méthodes classiques d'analysede risque. Il permet

de décrire l'installation sous forme d'une liste de systèmes, de remplir les tableaux A décrivant les modèles boîte noire de façon assistée, de générer automatiquement les scénarios de danger, et de générer automatiquement les arbres dedéfaillance qui les représentent.

de quantier de façon qualitative ou quantitative ceux-ci, d'ajouter les barrières de sécurité, de façon assistée à partir d'une liste générique, de les qualier, et degénérer les scénarios en prenant en compte celles-ci et leur probabilité de défaillance.

Le module B peut être mis en oeuvre en précisant le modèle de chaque système sous forme de modèleFIS (fonctions en interaction avec les ressources), de façon à préciser les modes de défaillance exacts quiengendrent les scénarios. L'analyse APR MOSAR du module A est alors complétée par une AMDEC deséléments importants du système.

Détaillons ceci sur un exemple, que nous allons traiter de façon simpliée.

9.4 Mise en oeuvre

9.4.1 Avant de commencer : paramètres

Avant de commencer, l'analyse MOSAR, nous allons congurer quelques paramètres pour faciliter lamanipulation. Ouvrir la page Options (Menu Windows>Options ...), page General :

CHAPITRE 9. MÉTHODE MOSAR 61

Sélectionner les options de la rubrique Explorer Tree comme indiqué sur la gure. Cela a pour eet den'acher que les ux de danger pour chaque système et de masquer les fonctions et ressources dans la fenêtrede gauche Explorer.

Dans la rubrique juste en dessous, Editors, cocher Show Mosar page in system editor pour faire apparaîtrel'onglet Mosar.

9.4.2 Modélisation

Nous allons modéliser l'installation sous forme de 5 systèmes : la sphère (et ce qui lui est directement lié),le wagon, l'opérateur et l'environnement (composé de tout ce qui entoure l'installation) . Pour ce faire :

1. Ouvrir la liste des systèmes (Window>Open Welcome page ou icone de la barrer d'outils, puisSystems list... dans la rubrique Model)

2. Créer les systèmes et les nommer (Edit Name à droite)

On obtient la liste suivante :

Edit mode

9.4.3 Tableau A

Pour construire le modèle boîte noire d'un système, nous ouvrons l'éditeur pour ce système (cliquer surle lien S0i), puis sélectionnons la page MOSAR de l'éditeur (onglet en bas). Si cet onglet n'apparaît pas, celaest du au fait que l'option Show Mosar page in system editor n'est été cochée (voir ci dessus).

Nous obtenons

9.4. MISE EN OEUVRE 62

Cette page présente :

le modèle boîte noire du système avec les ux de danger sortants et entrants, ainsi que les événementsinitiateurs externes entrants et les sortants,

le tableau A, que nous allons utiliser, le tableau A' que nous détaillons dans la suite.

En haut à droite, il existe un bouton Edit mode qui permet de passer du mode de présentation du tableauau mode d'édition et vice versa. Cliquons sur ce bouton. Nous obtenons :

Deux boutons permettent la modication du tableau A . Il s'agit :

1. dans la colonne Source category , du bouton Add/Remove qui permet de dénir les catégories de sourcesde danger auxquelles ce système appartient. Ce bouton permet de choisir dans une liste de catégoriesdes sources prédénies 1. A partir des sources sélectionnées, un certain nombre de ux de danger sontautomatiquement ajoutés.

2. dans la colonne Generated Main Event, du bouton Add/Del pour ajouter directement des ux de danger(événement principal dans la terminologie Mosar) , sans explicitement se référer à une source de dangerde la liste. Cette possibilité existe pour augmenter la souplesse lors de l'analyse. Un bouton apparaîtensuite pour spécier la source.

En cliquant, sur Add/remove source category,

1. Cette liste de sources est personnalisable comme nous le verrons dans la suite


En sélectionnant B2 :source d'explosion, deux ux de danger sont ajoutés. Le tableau A comporte doncdeux lignes. Nous allons ajouter un troisième ux de façon directe en cliquant sur Add dans la colonne MainEvent. Cliquons sur le nom du ux de danger, nous ouvrons l'éditeur d'événement, de façon à modier lenom. Nous choisissons : Fuite de propane.

Nous pouvons pour chaque ux : dénir la phase de vie en cliquant sur Edit pour acher une liste déroulante dénir les événements initiateurs internes ou externes : ajouter un événement initiateur interne ou externe existant en cliquant sur Add créer un nouvel événement iniateur et l'ajouter en cliquant sur New supprimer un événement initiateur en cliquant sur Remove (l'événement n'est pas supprimé du modèlemais retiré de la liste des événements initiateurs)

choisir un événement déclencheur 2

dénir un événement nal ajouter un événement nal interne en cliquant sur Add In, ou externe si le ux est sortant avec Addout. Pour dénir un ux comme ux sortant, cliquer sur Add dans la rubrique Output Hazard Flowsde la boîte noire juste au dessus du tableau (voir gure 9.4.1).

créer un nouvel événement nal et l'ajouter en cliquant sur New supprimer un événement nal en cliquant sur Remove (l'événement n'est pas supprimé du modèlemais retiré de la liste des EI)

2. Cet événement traduit le début de la génération du ux de danger, mais n'est pas utilisé pour la construction des arbres

de défaillances

9.4. MISE EN OEUVRE 64

Figure 9.4.1 Editeur d'Evénement Initiateur

Figure 9.4.2 Modèle boîte noire

Si on clique sur New, on obtient la boîte de dialogue présentée sur la gure 9.4.1. Ce dialogue permet desélectionner un événement existant ou d'en créer un nouveau :

1. Sélection d'un événement : C'est le choix par défaut. Dans ce cas, on choisit un événement déjàcrée dans la boite de sélection. Seuls les événements du type sélectionné (Dangerous Phenomenon,Vulnerability ou Generic) sont proposés. Il est possible de changer de système avec le bouton in System

2. Création d'un événement. Si on sélectionne Create new event, il est possible de créer un événementnouveau. Il faut donner un nom dans le champ Name, puis choir le type et ensuite cliquer sur Finish

On choisit un événement de type Dangerous Phenomenon pour ajouter un ux de danger, ou de type Genericpour décrire un autre type d'événement. Nous verrons dans la suite quand utiliser les événements de typeVulnerability.

9.4.4 Création des scénarios

En haut de la page MOSAR, le modèle de danger boîte noire (gure 9.4.2) est automatiquement construit.FigAu niveau de la boîte noire, il est possible : d'ajouter ou de retirer des ux de danger entrants à la liste. Ces ux doivent avoir été dénis commeux sortants de la boîte noire d'un autre système.

d'ajouter ou de retirer des ux de danger sortants du système en cours d'analyse. Ces ux doivent avoirété dénis dans le système.


L'ajout se fait en cliquant sur le bouton Add, il sut alors de sélectionner l'événement ou le système parmila liste proposée. La question qui se pose est de savoir comment procéder lorsque l'événement qu'on souhaiteajouter n'est pas dans la liste. Dans ce cas, soit on ajoute l'événement avec le bouton New, soit on le créedirectement dans l'éditeur de système (voir section 4.2)

De cette façon, les scénarios et les graphes d'événements qui en découlent pourront être générés automa-tiquement.

9.4.5 Tableau A'

Le tableau A' est un tableau complémentaire au tableau A. Il montre les ux entrants dans un système etl'eet sur le système de ce ux entrant. Imaginons qu'on souhaite ajouter un ux de danger entrant provenantdu système Opérateur et représentant une erreur d'action, et ayant pour conséquence une fuite de propane.

La première chose à faire est d'ajouter ce ux de danger dans le système Opérateur et de l'ajouter auxux sortants de ce système. Ensuite, dans le système Wagon, on clique sur Add/remove Input ows dans latable A', et on sélectionne ce ux. Puis, on clique sur Add dans la colonne Final Eect Event pour dénirles événements naux.

On obtient alors le tableau suivant :

9.4.6 Vulnérabilités

Le dernier tableau permet de dénir les vulnéraibilités d'un système. Ces vulnérabilités sont indépendantesdes autres systèmes et permettent de créer automatiquement des scénarios. Le principe est le suivant :

1. on dénit une catégorie pour la vulnérabilité

2. on dénit les eets naux liés à cette vulnérabilité (colonne Final Eect Event)

3. le bouton Autoconnect permet de réaliser automatiquement le lien avec les phénomènes dangereux decette catégorie qui existent dans le système ou dans les ux entrants.

Le menu Tools>Autoconnect all vulnerabilities permet de connecter toutes les vulnerabilités de tous lessystèmes.

9.5 Génération des résultats

L'analyse menée avec MOSAR pour chaque système permet de construire une liste des risques et desscénarios. Ceux-ci peuvent être présentés de façon traditionnelle sous form d'un tableau APR dont nousdonnons un extrait :

9.5. GÉNÉRATION DES RÉSULTATS 66

La cotation peut se réaliser sur ce tableau, en cotant chaque événement en terme de probabilité et gravité(voir chapitre Evaluation et Hiérachisation des risques)

De la même façon, les résultats peuvent être fournis sous forme de graphique :

La mise en place des barrières se fait comme pour n'importe quelle méthode d'analyse de risques enajoutant des barrières en entrée ou en sortie de chaque événement. La procédure est détaillée dans le chapitreAnalyse des barrières.

Chapitre 10

Listes d'Audit

10.1 Principe

L'objectif des listes d'audit est de permettre de réaliser la cotation des risques d'un système (ou processus) en répondant à une liste de questions à réponses multiples. Les probabilités et gravité des événements sontévaluées en fonction des réponses.

Cette approche suppose qu'une analyse d'un système générique de même type a déjà été réalisée, de façonà construire la liste des questions d'audit. L'analyse d'une installation particulière consistera à répondre auxdiérentes questions, ce qui permettra de générer la table des risques eectifs et diérentes cartographiespropres à l'installation considérée.

Les approches d'analyse de risque à base de checklist se rencontrent couramment. Le logiciel XRisk permetde gérer des checklist et utilise une approche à base de modèle pour interpréter les résultats :

Chaque question est relative soit directement à un événement (il peut y avoir plusieurs questions par événement), de façon àévaluer la probabilité ou la gravité de cet événement

soit liée à une barrière de sécurité concernant cet évenement (il peut y avoir plusieurs questionspar barrière), de façon à évaluer l'écacité des mesures de prévention ou protection attachées à cetévénement

A chaque réponse possible est associée pour les questions liées aux événements : une valeur pour la probabilité ou la gravité qui est cumuléeà la probabilité (opérateur OU) ou gravité (opérateur somme) de l'événement

pour les questions liées aux barrières : une valeur pour l'ecacité de celle-ci (NCi ou Li), qui estmultipliée au facteur d'écacité de la barrière.

La cotation de l'ensemble des risques est calculée en utilisant toutes les questions pour les événementsinitiaux (sans causes décrites dans le modèle), puis en propageant P et G de façon classique, ce quipermet d'obtenir une évaluation cohérente

Les résultats obtenus permettent de générer une table APR et/ou AMDEC ainsi qu'une cartographiesynthétique des risques.

10.2 Conguration

Avant de commencer, voyons comment congurer le logiciel pour rendre le travail plus confortable.

Cliquer sur l'icone Tree options :

67

10.3. CRÉATION DE LA LISTE DES QUESTIONS 68

Dans le dialogue qui apparaît , cliquer :

Un nouvel item Audit Questions table apparait dans l'arbre.

Cliquer dessus pour ouvrir la page des questions d'audit :

10.3 Création de la liste des questions

10.3.1 Ouverture de la page

La page des questions d'audit dispose de deux modes de travail

builder mode : pour construire la liste des questions answer mode : pour répondre aux questions à partir des observations et évaluer la criticité

La première étape consiste à créer au moins un phénomène dangereux dans la table Risk Table. Pour plusde détails se reporter au chapitre 4

Ensuite, il faut passer dans le mode builder mode en cliquant en haut à droite sur le lien correspondant.La table suivante s'ache :

CHAPITRE 10. LISTES D'AUDIT 69

10.3.2 Jeux de réponse

Pour commencer, nous allons dénir les jeux de réponse standard pour les questions. Pour ce faire,cliquer sur answer sets. La page suivante s'ouvre

Un jeu de réponse contient la liste des réponses possibles à une question, les valeurs à utiliser pour calculerP,S, NC ou L et le type d'action. Il permet de donner une valeur par défaut aux paramètres de la question.Il en existe 4 qui sont prédénis, et qui sont créés en cliquant sur Initialize default values.

Pour décrire l'action d'une question d'audit, on donne la liste des réponses et des valeurs associées de lafaçon suivante : réponse#1 :valeur#1 ;réponse#2 :valeur#2 ; ...

10.3.3 Ajout d'une question

Pour ajouter une question relative à un évenement, cliquer sur add a question for an event. Choisirensuite le type de questions par défaut (tout est modiable par la suite).

Une question apparaît dans la table. Il est possible de

dénir son intitulé ajouter, supprimer ou modier les réponses possibles choisir une réponse par défaut dénir la grandeur modiée (probabilité ou gravité) choisir si question sera sélectionnée ou non pour l'audit et d'ajouter des remarques qui seront disponibles lorsqu'il répondra à la question.

En cliquant sur l'identiant de la question on ouvre la pageAudit questions dans l'éditeur d'évenement.Cette page est similaire, mais ne contient que les questions relatives à un événement.

De façon analogue, on peut ajouter des questions pour les barrières associées aux événements. Ces ques-tions sont essentiellement destinées à juger de la mise en place, partielle ou complète, des mesures de préven-tion prévues.

Les options, en haut à gauche de la table, sont les suivantes :

show/hide validation permet d'indiquer les problèmes relatifs aux questions et aux réponses possibles show/hide P and S permet d'acher la probabilité et la gravité des événements, ou les coecientsNC et L des barrières

Il est aussi possible de modier l'ordre des questions par la commande Sort

10.4 Utilisation de la liste des questions

Pour passer en mode réponse aux questions, cliquer sur Switch to answer mode. On obtient la vuesuivante :

10.4. UTILISATION DE LA LISTE DES QUESTIONS 70

Il est alors possible de choisir une réponse par la liste des réponses prédénies. Les valeurs des probabilitéet gravité des événements (et NC ou L pour les barrières) sont calculées lorsqu'on clique sur Compute P andS.

Chapitre 11

Cartographie

11.1 La cartographie

En plus des tables, il est possible de générer les résultats de l'analyse sous forme graphique de trois façonsdiérentes :

1. en achant les événements sur la grille probabilité-gravité

2. en achant les risques par familles ou système sous forme de diagramme radar

3. en achant les risques sous forme de table synthètique à bulles permettant de représenter la quantitéde risques par niveau de criticité.

11.2 Grille d'acceptabilité Probabilité-Gravité

Pour acher ce type de diagramme, utiliser le menu Reports > Risk map P/S table. Les options per-mettent de choisir les événements à acher, et d'acher en prenant les probabilités sans barrières, avecbarrières existantes et avec barrières prévues.

11.3 Diagrammes radar

11.3.1 Dénition des familles

Les diérents événements sont regroupés pour l'achage sur les diagrammes radar. De façon à permettrele maximum de souplesse, les événements sont regroupés par famille en fonction de leu catégorie. Ceux quin'ont pas de catégorie dénie ou une catégorie qui n'appartient pas à une famille sont regroupés dans legroupe Sans famille.

71

11.4. DIAGRAMMES À BULLES 72

11.3.2 Vue radar par famille

Ce type de digramme s'obtient via le menu Reports>Risk Map - Kiviat.

Les options sont les suivantes :

Elles permettent de choisir les événements à représenter, les familles ainsi que la cotation à prendre encompte : sans barrières, avec barrières existantes et planiées.

11.3.3 Vue radar par système

Il est possible de représenter un diagramme radar, non par famille de risque, mais système.

11.4 Diagrammes à bulles

Cette vue s'obtient via le menu Report>Risk Map -Bubbles diagram. Elle représente une table contenantune cercle par niveau de criticité, d'autant plus grand que la somme de la criticité des risques dans cetteclasse est élevée.

CHAPITRE 11. CARTOGRAPHIE 73

Les options pour ce type de diagramme sont les suivantes :

La première concerne le choix de la taille de bulle en fonction d'un seuil de criticité. Pour modier ceseuil, cliquer sur criticity index, on obtient :

Cette table permet pour chaque niveau de criticité de choisir le seuil mini pour une taille de bulle. Encliquant sur Défault init, les seuils sont calculés par défaut suivant les régles indiqiées à l'écran.

Les autres options permettent : d'acher la table sans barrières, avec barrières existantes ou avec barrières prévues d'acher la valeur numérique du total de criticité (show text) de choisir les familles à acher d'acher une ou deux bulles par cases (les plus importantes en niveau de criticité) de choisir de mettre les familles ou les systèmes en colonnes ou en ligne

11.4. DIAGRAMMES À BULLES 74

Chapitre 12

Conguration des Paramètres

12.1 Personnalisation de l'explorateur

Utiliser le bouton options dans la fenêtre explorateur

Ce bouton permet de choisir les items à acher dans l'arbre et en particulier un certain nombre deraccourcis pour achier directement les diérentes pages des éditeurs.

12.2 Options

XRisk dispose d'un grand nombre d'options. Pour les congurer, utiliser le menu Window>Options.Plusieurs pages sont dispoibles :

la première concerne les options de fonctionnement général et la conguration de l'achage des éditeurs la seconde, les options pour l'analyse de risque

75

12.2. OPTIONS 76

Chapitre 13

Capitalisation de la connaissance

13.1 Principe

Lors d'une analyse de risque, il apparaît rapidement qu'il pourrait être intéressant de dénir le modèled'un système à partir d'éléments prédénis qui pourraient permettre de capitaliser la connaissance. Le modèleFIS introduit la notion de catégorie. Un élément de modèle de type système, fonction, ressource, événementou barrière peut appartenir à une ou plusieurs catégories. Dans ce cas, un certain nombre de propriétéspourront être ajoutées automatiquemet à l'élément.

Type d'élément Peutappartenir àplusieurscatégories

Propriétés héritées

System yes Dangerous phenomenon with causes and eects,Generic event with causes and eectsFunction yes Fail modes with causes and eects,Generic event with causes and eectsResource yes Fail modes with causes and eects,Generic event with causes and eectsEvent no Default name, risk family, default severity, default probability, possible safety barriers, possible audit questions

Safety barrier no Default type (input, output), attenuation for severity or failure levelIl est possible pour la catégories de système, fonctions et resources de dénir des événements caractérisant

des risques possibles. Ces risques sont modélisés sous forme d'arbre d'événements compre nant des

77

Documents

Manuel XRisk · Un certain nombre de méthodes sont gérées, notamment les méthodes APR, HAZOP, AMDEC, MOSAR, LOPA, Checklist, arbre de défaillances, arbre conséquence,