RAPPORT D’ÉTUDE 19/03/2007

N° DRA-07-46055-05540A

Analyse des Risques et Prévention des

Accidents Majeurs
(DRA-34)
et
Formalisation du savoir et des outils dans le
domaine des risques majeurs
(DRA-35)

Cahier des charges pour un outil d'analyse de

risques
Analyse des Risques et Prévention des Accidents Majeurs (DRA-34)

Formalisation du savoir et des outils dans le domaine des risques

majeurs (DRA-35)

Cahier des charges pour un outil d'analyse de risques

Verneuil-en-Halatte (OISE)

Client (ministère, industriel, collectivités locales) : MEDD

Liste des personnes ayant participé à l’étude : V. TROMMETTER, S. CHAUMETTE,

S. DESCOURRIERE, V. De DIANOUS, F. PRATS, B. DEBRAY, T. LE

Réf. : INERIS – DRA-07-46055-05540A

Page 1 sur 53
 TABLE DES MATIERES

1. OBJECTIF ET APPLICATION......................................................................... 5
1.1 Objectif ......................................................................................................... 5
1.2 Application du cahier des charges................................................................ 5

2. CAHIER DES CHARGES FONCTIONNEL ..................................................... 7

2.1 Objectifs ....................................................................................................... 7
2.2 Etapes .......................................................................................................... 8
2.3 Déroulement d’une Analyse de Risques....................................................... 8
2.4 Formulaire “tableaux d’analyse de risques”................................................ 10
2.5 Formulaire “nœuds papillons”..................................................................... 17
2.6 Formulaire “évaluation des barrières de sécurité” ...................................... 23

3. ELÉMENTS DE CAHIER DES CHARGES TECHNIQUE.............................. 37

4. PRINCIPALES ENTITÉS ............................................................................... 47

5. PROPOSITION D’ARCHITECTURE GLOBALE ........................................... 51

Réf. : INERIS – DRA-07-46055-05540A

Page 3 sur 53
1. OBJECTIF ET APPLICATION

1.1 OBJECTIF
Au cours de l'année 2005 et 2006 un groupe de travail s'est réuni dans le cadre des
programmes DRA 34 et DRA 35. L'objectif de ce groupe de travail était la rédaction
d'un cahier des charges pour un outil d'analyse de risques permettant de mettre en
œuvre la méthode d'analyse de risques développée dans le cadre du programme
DRA34. L'objectif initial était ensuite de faire développer cet outil et de le mettre à
disposition du public sur la plate-forme PRIMARISK.
Ce travail partait du constat qu'aucun outil ne répondait véritablement aux besoins
des ingénieurs de l’INERIS et plus généralement des acteurs de l’évaluation des
risques désirant mettre en œuvre les méthodes reposant sur l’utilisation du nœud
papillon et de l’approche barrière, en particulier dans le cadre d’un groupe de travail.
L’objectif était aussi de formaliser la méthode d’analyse de risques dans ses détails
de mise en œuvre, de définir précisément les concepts et données manipulées, leur
architecture, les traitements associés.

1.2 APPLICATION DU CAHIER DES CHARGES

Ce cahier des charges est destiné à servir de base au développement d’un outil
informatique. Il ne s'agit pas cependant à proprement parler d'un cahier des charges
formel mais d'un support de formalisation du besoin et de la méthode et d'échange
avec une équipe de développement. L’INERIS étudie actuellement les formes que
pourraient prendre ce développement. Au cours de l’année 2005, des contacts
avaient été pris avec différentes sociétés ayant développé des outils de sûreté de
fonctionnement incluant des représentations d’arbres de défaillance. L’objectif était
d’évaluer la possibilité de s’appuyer sur des outils existants pour développer le
logiciel d’analyse des risques basé sur la méthode INERIS. Les sociétés Dassault-
Système et Arboost, qui développent et commercialisent les outils ARALIA et
SIMTREE ont été plus particulièrement consultées. Ces outils ont été développés
sous la direction d’un consortium d’industriels (Aralia) parmi lesquels figurent TOTAL,
AIR-LIQUIDE, EDF. ARALIA et SIMTREE sont avant tout des outils de sûreté de
fonctionnement qui s’appuient sur une approche purement probabiliste et une
représentation classique des arbres de défaillance et d’événement. Pour pouvoir
utiliser ces outils pour mettre en œuvre la méthode développée par l’INERIS, il serait
nécessaire de les faire évoluer sur plusieurs aspects :

adaptation de l’interface graphique afin de permettre une représentation des
barrières de sécurité sur les arbres de défaillance et d’événement,

intégration des algorithmes de calcul semi-quantitatif,

développement d’une interface de saisie des informations de type tableau
d’analyse de risques permettant de passer alternativement d’une représentation
tabulaire de l’analyse de risques à une représentation arborescente,

développement d’une interface de gestion des critères d’évaluation des
performances des barrières de sécurité.
Réf. : INERIS – DRA-07-46055-05540A
Page 5 sur 53
Les contacts avec Dassault-Système et Arboost ne s'étaient pas concrétisés pour
des raisons tenant à la fois à l'état de formalisation du projet à l'époque et au coût de
développement estimé par ces deux sociétés. D’autres possibilités de
développement seront étudiées. En particulier, les modalités contractuelles liant une
éventuelle société de développement informatique et l’INERIS doivent être précisées
(implication financière de l’INERIS, propriété du produit développé, modalités de
distribution). Les modalités possibles d'un transfert de technologie seront étudiées
avec Oseo ANVAR.

Réf. : INERIS – DRA-07-46055-05540A

Page 6 sur 53
2. CAHIER DES CHARGES FONCTIONNEL

2.1 OBJECTIFS
Il s’agit de développer un outil simple d'aide à la réalisation de l'analyse des
risques en groupe de travail (voir annexe I) incluant l’approche barrières
développée à l’INERIS.
Cet outil devra être :

souple afin de traiter tous les types d'installations (simples, complexes...) et de
permettre une approche transverse des risques (risques aux postes de travail,
risques majeurs…) sans manipulations compliquées. Par exemple, il devra être
capable de traiter :
- des scénarios non majeurs,
- des scénarios majeurs à très faible probabilité qui ne demandent pas la mise
en place de barrières spécifiques (certaines agressions externes comme la
chute d'avion par exemple),
- des scénarios majeurs avec des évènements initiateurs simples et une
probabilité non négligeable qui ne demanderont pas forcément de passer par
une méthode d'analyse déductive,
- des scénarios majeurs avec des évènements initiateurs et/ou des
conséquences complexes pour lesquels une analyse des risques par arbres
ou nœuds papillons est nécessaire.

modulaire afin d'intégrer des modules supplémentaires au fur et à mesure de
l'évolution des connaissances et du retour d'expérience d'utilisation de l'outil,

évolutif pour pouvoir intégrer toutes les évolutions futures.

En particulier, il est à noter que l'outil proposé ne fait pas explicitement

référence à un cadre réglementaire. Les auteurs de ce cahier des charges ont
veillé à ce que les propositions faites soient autant que possible compatibles
avec les textes réglementaires relatifs à la maîtrise des risques industriels
majeurs en vigueur sans toutefois s'imposer le respect strict du cadre formel
et du vocabulaire défini par ces textes. Le caractère modulaire et évolutif de
l'outil doit permettre de l'adapter aux contextes dans lesquels il sera
potentiellement utilisé : maîtrise des risques technologiques majeurs ou
maîtrise des risques professionnels, par exemple.

Réf. : INERIS – DRA-07-46055-05540A

Page 7 sur 53
2.2 ETAPES
Il est envisagé un développement en 2 étapes :

Etape 1 : réaliser un outil vierge (sans lien vers des listes d’informations) qui
inclura plusieurs formulaires.

Etape 2 : intégrer dans l’outil des listes guides et des fonctions de capitalisation
des connaissances permettant de proposer des listes guides et de nouvelles
données constituées à mesure de l’utilisation de l’outil.

2.3 DEROULEMENT D’UNE ANALYSE DE RISQUES

Le déroulement d’une Analyse de Risques (AR) générique en Groupe de Travail
(GT) est décrit en annexe I.

Nota : Concernant les AR réalisées dans le cadre des études de danger, le terme
gravité doit pouvoir être remplacé par celui d’intensité.

Détails de l’étape 1 :
Etape 1 : réaliser un outil vierge (sans lien vers des listes d’informations) qui inclura
les formulaires suivants :

Formulaire “tableaux d’analyse de risques” qui sera utilisé pour les analyses
préliminaires de risques. Il est prévu de développer un formulaire générique
qui comprendra les méthodes d’analyse de risques inductives de type APR,
AMDEC et HAZOP. Ce formulaire sera utilisé lors des séances d’analyse de
risques en groupe de travail. Toutes les informations figurant dans le formulaire
“tableaux d’AR” devront pouvoir être reproduites dans le formulaires “nœuds
papillons”.

Formulaire “nœuds papillons” qui comprendra les méthodes d’analyse de risques
de type arbres de défaillances et arbres d’événements et qui pourra être utilisé
pour réaliser les analyses détaillées des risques ou pour réaliser directement
des AR complexes. A l’inverse de ce qui est mentionné ci-dessus et en raison de
la complexité des nœuds papillons, toutes les données obtenues dans le nœud
papillon ne pourront pas être reproduites dans le formulaire “tableaux d’AR”.
D’autre part, le nœud papillon étant essentiellement utilisé lors des analyses
détaillées, il ne semble pas essentiel de retranscrire toutes ces données.

Formulaire “évaluations des barrières de sécurité”. Ce formulaire doit pouvoir être
ouvert à partir des formulaires “tableaux d’AR” et “nœuds papillons” et doit
générer des résultats (indépendance, efficacité, temps de réponse et niveau de
confiance) qui seront automatiquement retransmis dans les formulaires “tableaux
d’AR” et “nœuds papillons”.

Autres formulaires (échelle de fréquence, échelle de gravité1…).

1
Il faudra laisser la possibilité à l’utilisateur de renseigner plusieurs échelles de fréquence et de
gravité si son étude le nécessite mais également la possibilité de les modifier.

Réf. : INERIS – DRA-07-46055-05540A

Page 8 sur 53
Ces formulaires doivent être liés entre eux selon le principe suivant (figure 1) :

Autres formulaires

Formulaire « tableaux Formulaire « nœuds papillons »

d’analyse de risques »

Formulaires « évaluation des fonctions

de sécurité »

Liaison intégrale

Liaison partielle

Figure 1 - Identification des liens entre les différents formulaires

Remarque : l’expérience a montré qu’il n’est pas toujours évident d’évaluer les
barrières lors d’une AR en GT et qu’il peut être nécessaire, dans un deuxième temps,
de réunir à nouveau le GT pour une AR dédiée spécifiquement aux barrières de
sécurité. La conception de l’outil devra être adaptée à ces 2 cas de figure :

soit possibilité d’évaluer les barrières lors de la première AR en GT en ayant
accès au formulaire “évaluation des barrières de sécurité”,

soit possibilité d’intégrer les données relatives aux barrières dans un deuxième
temps.

Détails de l’étape 2 :
Etape 2 : intégrer dans l’outil de nouvelles données liées aux formulaires “tableaux
d’analyse de risque” et “nœuds papillons” qui consisteront en des listes guides
génériques ou des bases de données de :

mots clés selon la méthode d'AR inductive retenue,

évènements initiateurs types,

événements secondaires types,

événements Redoutés Centraux (ERC) types,

phénomènes Dangereux (PhD) types,

base de données d’accidentologie…
Ces listes devront pouvoir être complétées à mesure de l’utilisation de l’outil et
constituer ainsi un support de capitalisation des connaissances.

Réf. : INERIS – DRA-07-46055-05540A

Page 9 sur 53
Ces données devront toutefois n’apparaître que sur demande de l’utilisateur (pas
d’obligation de les utiliser) et doivent pouvoir être complétées par ce dernier à tout
moment lors d’une AR (liste non figée).

Ce présent cahier des charges est focalisé sur l’étape 1 qui doit d’abord être
validée par des exemples concrets de séances d’AR sur sites. Les exigences
liées à la deuxième étape sont cependant indiquées afin de pouvoir être prises
en compte au stade de la conception de l’outil.

2.4 FORMULAIRE “TABLEAUX D’ANALYSE DE RISQUES”

Ce formulaire doit permettre de remplir les tableaux d’AR (1 tableau par équipement
et par opération) qui vont retraduire l'identification de tous les scénarios d'accidents
(une ligne correspond à 1 scénario) selon une approche inductive d'analyse des
risques. Il sera utilisé pour mener les analyses préliminaires de risques lors des
séances d’AR en groupe de travail (GT). La figure 2 est un exemple de ce tableau.
Tous les champs colorés doivent être masqués et ne s’ouvrir que sur demande de
l’utilisateur. Ceci permet de pouvoir visualiser à tout moment les informations qu’ils
contiennent tout en gardant une taille de tableau restreinte permettant une utilisation
pratique du tableau d’AR en GT.
Les champs non colorés sont des champs fondamentaux qui doivent toujours être
affichés à l’ouverture du formulaire. Ils doivent être remplis manuellement par
l’utilisateur.
Les champs grisés doivent s'afficher uniquement sur demande de l'utilisateur (pour
chaque champs) et doivent être remplis manuellement.
Les champs colorés en vert doivent être remplis automatiquement à partir des
résultats retransmis depuis le formulaire "évaluation des barrières de sécurité".

Ainsi, il faut prévoir un clic sur la colonne “Libellée de la barrière de sécurité” par
exemple pour permettre à l’utilisateur :

d’ouvrir le formulaire “évaluation des barrières de sécurité”,

de renseigner les caractéristique de la barrière de sécurité selon sa typologie,

de remonter automatiquement les informations importantes (efficacité, temps de
réponse…) (Figure 12) dans le tableau d’AR du formulaire “tableaux d’AR”.
Il faut aussi prévoir que ces champs puissent être remplis ou modifiés manuellement
par l’utilisateur (dans ce cas prévoir un message d’alerte).
A noter que les colonnes “Indépendance entre barrières de sécurité” et “Niveau de
Confiance Global toutes barrières de sécurité” ne pourront être remplies que
manuellement.

Réf. : INERIS – DRA-07-46055-05540A

Page 10 sur 53
Les champs colorés en jaune doivent être remplis automatiquement à partir de
résultats de calculs dont les modalités restent encore à définir. Il faut aussi prévoir
que ces champs puissent être remplis ou modifiés manuellement par l’utilisateur
(dans ce cas prévoir un message d’alerte).
Dans une première version de l’outil et en attendant d’avoir défini précisément
les modalités de calcul, ces champs seront remplis manuellement.

Remarques :

Il est intéressant de distinguer les barrières de prévention de l’ERC de celles de
limitation. Nous avons choisi de créer une colonne “lien avec les évènements” qui
permet de prendre en compte cette distinction. Il est également possible de créer
2 séries de colonnes (puisqu’elles peuvent être masquées, ceci n’alourdit pas le
tableau) : une pour les barrières de prévention et une pour les barrières de
limitation.

Si nécessaire une colonne relative à l’événement redouté secondaire (ERS) et
une colonne relative à sa probabilité doivent également pouvoir être ajoutées à ce
tableau.

La gravité réduite a priori est due, par exemple à l’utilisation d’une mesure de
sécurité intrinsèque telle que l’utilisation d’un produit plus dilué (et donc moins
dangereux).

Réf. : INERIS – DRA-07-46055-05540A

Page 11 sur 53
 Réf. : INERIS – DRA-07-46055-05540A

Numéro

Guide
Mot Clé 1

2
Mot Clé 2

3
Dans un 2ème temps, ils pourront être remplis automatiquement à partir de résultats de calculs mais devront pouvoir être modifiés ou remplis manuellement
champs qui seront remplis manuellement dans un premier temps

mais qui pourront également être remplis manuellement

champs qui seront remplis automatiquement à partir des résultats retransmis depuis le formulaire "évaluation des barrières"

champs qui s'affichent uniquement sur demande de l'utilisateur et qui doivent être remplis manuellement

champs qui sont toujours affichés et qui doivent être remplis manuellement
Porte "ou" ou "et"

Evènt init.
4
Libellé

5
Fréquence

6
Libellé

ERC
7
Fréquence

Evènt sec.
Porte "ou" ou "et"

9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
Libellé

Probabilité

Libellé

Ph dang
Fréquence F

Cinétique

Effets sur les cibles

Libellé

Niveau de Gravité G a priori (ou Intensité I)

Niveau réduit de G (ou I) a priori si possible

Niveau de gravité G' a posteriori (ou intensité)

Fréquence F'
Figure 2 – Tableau d’AR

Libellé de la barrière de sécurité

Fonctions de sécurité initiales

Lien avec les évènements

Génération nouveau scénario ?

Efficacité

Temps de réponse

Niveau de confiance retenu

Indépendance entre barrières de sécurité ?

Choix EIPS ?

Niveau Confiance Global toutes barrières de sécurité

Fréquence résiduelle ERC

Fréquence résiduelle phénomène Fr1

Réquence résiduelle atteinte cible Fr1'

Objectif fréquence résiduelle atteint ?

Libellé de la barrière de sécurité (ou renvoi)

Amélioration de l'existant ou nouvelle barrière de

34 35 36 37 38 39 40 41 42 43 44 45 46

sécurité ?
Fonctions de sécurité finales

Lien avec les évènements ou récup

Génération nouveau scénario ? (ou récup)

Efficacité

Temps de réponse

Niveau de confiance retenu

Indépendance entre barrières de sécurité ?

Choix EIPS ?

Niveau Confiance Global toutes barrières de sécurité

Fréquence résiduelle ERC

Fréquence résiduelle phénomène Fr2

Page 12 sur 53

Réquence résiduelle atteinte cible Fr2'

Objectif fréquence résiduelle atteint ?

47

Remarques
Représentation des EI
Pour les EI et les ES, le tableau n’ouvre la possibilité que d’une seule colonne dans
un souci de simplicité. La prise en compte des divers sous-évènements initiateurs et
sous-évènements secondaires sera représentée sous forme arborescente avec des
« + » pour les portes ET et des « - » pour les portes OU.

+ Ei1
- Ei 1.1
-Ei 1.1.1
-Ei 1.1.2
- Ei 1.2
+ Ei2

Regroupement des scénarios générant un même ERC

Un tri doit pouvoir être réalisé afin de regrouper les uns en dessous des autres tous
les scénarios centrés sur un même ERC et pouvoir plus aisément calculer les
différentes fréquences (à tester sur de premiers exemples).
Ce tri doit également pouvoir être effectué pour le phénomène dangereux.

Construction des nœuds papillons

En parallèle au remplissage des colonnes du tableau d’AR, il faudrait qu’un nœud
papillon centré sur chaque ERC se dessine (voir le § formulaire “Nœuds papillons”
pour l’ensemble des données qui doivent être transmises). Il faut donc prévoir la
transmission en temps réel (modifications inclues) des données issues du formulaire
“tableaux d’AR” vers le formulaire “nœuds papillons”.
Nota : Les informations (nombre de sous-niveaux et liens entre les différents EI et
ES) doivent pouvoir être retranscrites automatiquement dans le formulaire “nœuds
papillons”. Ceci suppose de réaliser un nœud papillon par scénario.

Etude des nouveaux scénarios engendrés par le fonctionnement d’une barrière

de sécurité
Si l’étude des nouveaux scénarios engendrés par le fonctionnement d’une (ou des)
fonctions de sécurité est simple, l’utilisateur peut renseigner manuellement les
informations la concernant dans le tableau d’AR.
Dans le cas contraire, la possibilité de construire un arbre d’événement permettant
de distinguer si une barrière de sécurité génère un nouveau scénario d’accident
significatif doit être offerte à l’utilisateur. Un clic sur la colonne Génération d’un
nouveau scénario (colonnes 22 et 36) doit permettre à l’utilisateur d’accéder à cet
arbre qui est directement lié au formulaire “nœuds papillons” [figure 7]).
Voir détails au niveau du formulaire nœud papillon

Réf. : INERIS – DRA-07-46055-05540A

Page 13 sur 53
Produits de sortie
Les produits de sortie seront ceux nécessaires à la rédaction des études de
dangers et à la démonstration de la maîtrise des risques :

les tableaux d’analyse de risques (format Word) (voir figure 2). Dans un soucis
de traçabilité, prévoir la possibilité d’avoir une impression sur 2 pages dont une
consacrée aux commentaires du chargé d’étude et qui ne sera pas imprimée pour
le rapport du client.

Un tableau de synthèse sur les barrières de sécurité (voir Figure 15 du
Formulaire “Evaluation des barrières de sécurité”)

un tableau de synthèse sur l’évaluation du niveau de risque (voir figure 3) qui,
pour chaque effet sélectionné sur les cibles potentielles (= un ou plusieurs
scénarios), indiquera :
- le niveau de risque sans prise en compte des barrières correspondant au
triplet (G,F,C),
- le niveau de risque avec les barrières initiales :
- fréquence résiduelle du phénomène dangereux (Fr1) et gain en fréquence
(∆Fr) en prenant en compte les fréquences et les NC des barrières de
sécurité associées,
- fréquence résiduelle des effets aux cibles (Fr'1) et gain en fréquence
(∆Fr’) en prenant en compte les fréquences et les NC des barrières de
sécurité associées,
- le niveau de risque avec les barrières initiales + barrières finales
(recommandations par rapport aux barrières initiales et/ou nouvelles barrières)
c’est à dire les actions éventuellement à mettre en œuvre pour atteindre
l'objectif fixé en terme de maîtrise des risques ou pour améliorer une situation
existante :
- fréquence résiduelle ré-évaluée du phénomène dangereux (Fr2) et gain
en fréquence (∆Fr) en prenant en compte les fréquences et les NC des
barrières de sécurité associées,
- fréquence résiduelle ré-évaluée des effets aux cibles (Fr'2) et gain en
fréquence (∆Fr’) en prenant en compte les fréquences et les NC des
barrières de sécurité associées.

Ce tableau sera réalisé à l’aide d’extractions de valeurs provenant des différentes

colonnes du tableau d’AR (informations figurant en italiques) et du tableau de
synthèse sur les recommandations (voir Formulaire “Evaluation des barrières de
sécurité”.

Réf. : INERIS – DRA-07-46055-05540A

Page 14 sur 53
 Niveau de risque Niveau de risque avec BS 2
Actions (= BS finales)
Référence sans BS initiales
Scénario(s) Recommandation pour l’existant ou
G C F Fr1 ∆Fr Fr'1 ∆Fr’ N° Libellé Fr2 ∆Fr Fr’2 ∆Fr’
nouvelle BS ?
1 16 14 13 30 30- 31 31_19 - 33 Proviendra du Formulaire “Evaluation des 44 44-30 45 45-31
13 barrières de sécurité”

Figure 3 : Tableau évaluation niveau de risque

BS : barrière de sécurité

un tableau sur les recommandations par rapport aux barrières initiales et/ou les nouvelles barrières avec une case à cocher
pour identifier clairement les mesures à mettre en place obligatoirement pour atteindre l’objectif minimal fixé en terme de
maîtrise des risques (voir figure 4). Ce tableau sera issu de la Figure 3 pour le gain en fréquence et de la Figure 2 pour le gain
en gravité (colonnes 16 et 17).
Liste des barrières de sécurité à mettre en Niveau Echéance Responsable
place d’urgence
Lien Libellé Obligatoire ?

Niveau d’urgence compris entre 1 et 3 selon la valeur de la fréquence résiduelle et/ou du delta de gravité.
Figure 4 : Tableau de synthèse sur les recommandations

2
Il faut noter que plusieurs actions peuvent être associées à un même ensemble de scénario et qu'une même action peut modifier le niveau de risques de
plusieurs groupes de scénario et pas forcément de la même manière. Une action doit donc être reliée aux différents scénarios pour lesquels elle a été définie.

Réf. : INERIS – DRA-07-46055-05540A

Page 15 sur 53

une grille d’acceptabilité du risque. On pourrait avoir 3 grilles qui permettraient de
mettre en évidence l’effet des barrières de sécurité :
- 1 grille (F,G) c’est à dire sans prise en compte des barrières,
- 1 grille (Fr1,G1) c’est à dire avec prise en compte des barrières initiales,
- 1 grille (Fr2,G2) c’est à dire avec prise en compte des barrières finales.
La liste des barrières finales sera associée à cette dernière grille.
L’opérateur devra pouvoir choisir de mettre dans cette grille soit le scénario, soit
l’ERC, soit le phénomène dangereux.

la liste des Eléments Important Pour la Sécurité (EIPS).

Conclusion – bloc diagramme

Formulaire « nœuds papillons »

(nouveau scénario généré par fonctionnement
d’une barrière ?)

Outil de calcul
(fréquences et fréquences réduites
dans une étape ultérieure)

EI, ES, ERC, PhD, cibles Tableaux d’AR

fréquence EI, probabilité ES
Gravité et gravité réduite
a priori « Tableaux d’Analyse
Cinétique
Identification des barrières
(initiales et finales)
Tableau d’évaluation du
niveau de risque
Données d’entrée pour
Formulaire formulaire « nœuds papillons »
Liste EIPS
de Risque »
Tableau de synthèse
sur les recommandations
Données sur chaque barrière pour
traitement dans formulaire
« évaluation des barrières de
sécurité »
puis Tableau de synthèse des
barrières de sécurité

Réf. : INERIS – DRA-07-46055-05540A

Page 16 sur 53
2.5 FORMULAIRE “NŒUDS PAPILLONS”
La figure 5 représente un exemple de nœud papillon centré sur un ERC avec le
niveau de détails recherché :

Représentation des événement initiateurs Ei X et développement en tout point de
leur propre arbre de défaillance (Ei X.X et Ei X.X.X…),

Représentation des événement secondaires ES X et développement en tout point
de leur propre arbre de défaillance (ES X.X et ES X.X.X…),

Représentation de l’événement redouté central (ERC),

Représentation des évènements redoutés secondaires (ERS),

Représentation des phénomènes dangereux (PhD),

Représentation des effets sur les cibles (DoC),

Possibilité d'ajouter des facteurs de réduction de risque,

Possibilité de positionner des barrières en tout point selon les codes couleur
indiqués sur la figure 5,

Indication des divers paramètres (fréquence des différents évènements,
phénomènes dangereux et les cibles, gravité [ou intensité] et gravité réduite,
fréquences résiduelles sur les phénomènes dangereux et les cibles, niveau de
confiance de chaque barrière de sécurité à indiquer à côté de la barrière).
La partie droite du nœud papillon n’est pas figée afin d’offrir la possibilité à
l’utilisateur de la développer selon ses propres besoins.

L’accès au formulaire “Nœuds Papillons” peut s’effectuer de plusieurs façons :

Soit l’utilisateur peut par un simple clic dans le formulaire “Tableaux d’AR” ouvrir
ce formulaire et visualiser le nœud papillon obtenu étant donné qu’il se construit
en parallèle aux informations renseignées dans le formulaire “Tableaux d’AR”
(voir le § relatif au formulaire “Tableaux d’AR”).

Soit l’utilisateur peut par un simple clic dans le formulaire “Tableaux d’AR” ouvrir
ce formulaire afin d’étudier plus précisément les nouveaux scénarios engendrés
par le fonctionnement d’une barrière (voir le § relatif au formulaire “Tableaux
d’AR”).

Soit l’utilisateur, dans les cas complexes ou même simples, peut décider d’ouvrir
directement ce formulaire sans passer par le formulaire “Tableaux d’AR”.
L’utilisateur doit pouvoir construire le nœud papillon en :
- Renseignant les libellés de tous les évènements (avec le niveau de détails le
plus fin possible), phénomènes dangereux et effets sur les cibles,
- Indiquant les relations existantes entre ces données (portes ET et OU),
- Indiquant la fréquence des évènements initiateurs du niveau le plus fin et la
probabilité des évènements secondaires,
- Indiquant la gravité (ou intensité) a priori et celle réduite [si c’est possible],
- Localisant les facteurs de réduction du risque, localisant les différentes
barrières en les rattachant à un événement (selon codes couleur).

Réf. : INERIS – DRA-07-46055-05540A

Page 17 sur 53
Le formulaire “nœuds papillons” devrait découler de ce qui est présenté en annexe 1
du présent rapport avec différentes vues (a priori au moins 3) :

une première vue où seul le nœud papillon est représenté. Cette vue permettra
de construire le nœud papillon et d'évaluer le niveau de gravité, le niveau de
fréquence, la cinétique sans barrière,

une seconde vue où le nœud papillon est représenté et sur lequel on pourra
positionner les barrières et qui sera le point de départ à l’évaluation de leurs
performance (voir figure 11),

une quatrième vue représentant le nœud papillon avec indication des fréquences
réduites calculées suite à l’évaluation de la performance des barrières.

D’autre part, il faut prévoir la possibilité en amont et en aval d’un ERC de réduire les
branches de l’arbre. Par exemple, un bouton + pourrait être positionné au-dessus de
chaque événement. Ainsi si l’utilisateur clique dessus, il pourra visualiser toutes les
détails des branches associées. En re-cliquant dessus, ces détails seront cachés
sans être perdus.
Il ne faut pas oublier qu'il faudra laisser la possibilité pour chaque information
rentrée, d'ouvrir une boite de dialogue permettant de mieux expliciter l'information si
nécessaire.
Etant donné qu’une barrière peut posséder des Niveaux de Confiance différents pour
les scénarios dans lesquels elle est impliquée, il faudra pouvoir indiquer des
fourchettes de NC sur les nœuds papillons.

Exemple :
Le niveau de confiance d’une barrière de sécurité est de 2 pour le scénario
n°1 et de 0 pour le scénario n°2.

Ei1 NC 0 -2

ou ERC
Ei2

Il faudra aussi pouvoir réduire manuellement le NC d’une barrière si elle est

dépendante avec d’autres en amont.

Réf. : INERIS – DRA-07-46055-05540A

Page 18 sur 53
Réf. : INERIS – DRA-07-46055-05540A
Page 19 sur 53
Analyse de plusieurs scénarios présentés par un même nœud papillon
Un nœud papillon peut représenter de nombreux scénarios différents de part la
possibilité d'avoir des portes OU en amont du premier niveau d'évènement initiateur
et de part la possibilité d'avoir plusieurs phénomènes dangereux ainsi que plusieurs
cibles.
La figure 6 présente un nœud papillon relativement simple qui correspond à
8 scénarios d'accidents majeurs différents.

Ei1.1

Ei1

Ei1.2 DOC1

ERC PHD
DOC2
Ei2.1

Ei2

Ei2.2

NB : Le schéma en rouge représente un

scénario sur les 8 possibles

Figure 6 : Exemple simplifié de nœud papillon

L'analyse de chacun des 8 scénarios est lourde à mettre en œuvre et le plus souvent
inutile car un traitement globalisé peut être appliqué. C'est notamment le cas si :

Aucune barrière n'est propre à une cible en particulier. Dans ce cas, les cibles
seront regroupées lors de l'analyse des scénarios.

Le développement de l'arbre des défaillances, et donc l'apparition des portes OU,
n'est utile qu'à l'estimation de la fréquence d'occurrence de l'ERC. Dans ce cas,
les évènements initiateurs seront tous regroupés.

Potentiellement, l'analyse peut porter d'une façon globale sur l'ensemble des
évènements initiateurs et l'ensemble des dommages aux cibles répertoriés, mais elle
peut aussi porter sur chacun des 8 scénarios individuellement. Ainsi, l'outil doit
permettre "en quelques clics" sur le nœud papillon de sélectionner le ou les
scénarios à analyser.
De plus, l'outil doit être capable de générer une alarme si l'utilisateur a oublié de
sélectionner et donc d'analyser un ou plusieurs scénarios.

Réf. : INERIS – DRA-07-46055-05540A

Page 20 sur 53
Etude des nouveaux scénarios engendrés par le fonctionnement des barrières
de sécurité
Pour les barrières susceptibles de générer un nouveau scénario d'accident
significatif, le GT a prévu la construction d’une branche d'un arbre d'évènement liée
directement au nœud papillon, la gravité et la fréquence de chaque nouveau
scénario devra être évaluée. Il faudra cependant garder la possibilité au niveau de
l'interface graphique de développer ou non visuellement les branches associées à
ces nouveaux scénarios.

La figure 7 donne un exemple très simple de cette construction pour un scénario

d'accident disposant de barrières dont plusieurs d'entre elles génèrent des nouveaux
scénarios.

B4
ERCB2 PHD' DOC2 Scénario avec fonctionnement de B2

B1 B2 B3

Ei ERC PHD DOC1 Scénario de base

B2 B3

ERCB1 PHD' DOC1 Scénario avec fonctionnement de B1

Scénario avec fonctionnement de B1 puis de B2

ERCB1/B2 PHD' DOC2

Figure 7 : Développement de l'arbre des évènements en intégrant les scénarios générés par
les barrières

Concept de défense en profondeur

Le principe de défense en profondeur n'est pas facile à retranscrire en terme de
nombre de barrières, de positionnement de ces barrières sur le nœud papillon et de
niveau de performance des barrières. C'est pourquoi il a été décidé de ne pas
intégrer d'alarme relative au non respect de ce principe. C'est l'animateur des
séances d'analyse des risques qui devra s'en assurer par rapport à sa connaissance
du système et son expérience.

Agrégation des fréquences

Il faudra prévoir que l’utilisateur puisse définir librement l’algorithme d’agrégation des
fréquences qu’il appliquera au nœud papillon.

Réf. : INERIS – DRA-07-46055-05540A

Page 21 sur 53
Produits de sortie
Les produits de sortie seront ceux nécessaires à la rédaction des études de
dangers et à la démonstration de la maîtrise des risques :

Les nœuds papillons pour chaque ERC (ou phénomène dangereux). Il faudra se
garder la possibilité, lors des impressions, de sélectionner les branches des
arbres que l’on désire imprimer afin de ne pas nécessairement imprimer tout
l’arbre (par exemple, ne pas imprimer les branches d’un scénario dont les effets
sont limités à l’intérieur du site et ne sont pas susceptibles de générer des effets
dominos),

Un tableau de synthèse sur les barrières de sécurité (voir Figure 15 du
Formulaire “Evaluation des barrières de sécurité”).

Un tableau de synthèse sur l’évaluation du niveau de risque (voir figure 3 et
détails sur les différentes colonnes dans le § relatif au formulaire “Tableaux
d’AR”).

Un tableau de synthèse des phénomènes dangereux et fréquences associées
dans lequel il sera possible d’ajouter les distances d’effet lorsqu’elle seront
connues (ce tableau pourra servir d’interface avec le logiciel SIGALEA® de
cartographie des distances d’effet et des aléas).

Un tableau sur les recommandations par rapport aux barrières initiales et/ou les
nouvelles barrières avec une case à cocher pour identifier clairement les mesures
à mettre en place obligatoirement pour atteindre l’objectif minimal fixé en terme
de maîtrise des risques (voir figure 4). Voir détails dans le § formulaire “tableaux
d’AR”.

Une grille d’acceptabilité du risque. Voir détails dans le § formulaire “tableaux
d’AR”.

La liste des Eléments Important Pour la Sécurité (EIPS).

Les tableaux d’AR partiels.

Pour ne pas complexifier le tableau de synthèse d'analyse des risques, il faut limiter
les informations qui proviennent du nœud papillon qui est très ouvert en terme de
développement :

Pour la partie gauche du nœud papillon, il suffit de se limiter à un niveau donné
dans le tableau (niveau qui pourrait être paramétrable).

Pour la partie droite, le GT a décidé dans un premier temps de s’arrêter sur des
évènements donnés qui pourraient être :
- Evènements secondaires.
- Phénomènes dangereux.
- Dommages aux cibles.
- Facteur de réduction de risque.
Les premiers résultats des tests de l'outil sur papier et sur sites indiqueront si cette
solution est satisfaisante.

Réf. : INERIS – DRA-07-46055-05540A

Page 22 sur 53
Conclusion – bloc diagramme

Outil de calcul
(fréquences et fréquences réduites
dans une étape ultérieure)

Tableaux d’AR provenant

Nœuds papillons
du formulaire « Tableaux d ’AR »
Tableau d’évaluation du niveau
EI, ES, ERC, PhD, cibles de risque

Formulaire Liste EIPS

fréquence EI, probabilité ES
« Nœuds Tableau de synthèse sur les
Gravité et gravité réduite recommandations
a priori
papillons »
(Tableaux d’AR partiels)
Cinétique
Données sur chaque barrière pour
Identification des barrières de sécurité traitement dans formulaire
(initiales et finales) « évaluation des barrières de sécurité »
puis Tableau de synthèse des barrières
de sécurité

2.6 FORMULAIRE “EVALUATION DES BARRIERES DE SECURITE”

1- Par un simple clic à partir des formulaires “Tableaux d’AR” et “Nœuds Papillons”
on devra avoir accès au module “évaluation des barrières de sécurité” pour
évaluer la performance des barrières de sécurité.
2- Dans le module “évaluation des barrières de sécurité” (voir Figure 8) :

on indique le nom de la barrière (à renseigner manuellement avec accès
éventuellement à un menu déroulant) ;

on choisit la typologie de la barrière de sécurité :
- Elément (ou barrière par abus de langage) technique simple : un seul
élément compose la barrière (ex : soupape) ;
- Barrière humaine simple.
- Système instrumenté de sécurité (SIS) (plusieurs barrières - ex : vanne
commandée par détection gaz et flamme) : l’architecture doit pouvoir être
précisée (éléments en détection, en actionneur, en traitement avec les liens
entre eux). Il y aura ensuite agrégation.
- Barrière passive simple : un seul élément compose la barrière (ex : cuvette
de rétention). Idem dans le principe que pour un élément technique simple
sauf que les paramètres pouvant influencer les performances de la barrière
(pompe de relevage, procédure de vidange) doivent être identifiés.

Réf. : INERIS – DRA-07-46055-05540A

Page 23 sur 53

Identification du scénario auquel la barrière se rapporte et son lien (emplacement,
opération, équipement). Ce lien doit se faire au niveau du tableau AR et du
nœud-papillon.

Génération d’un nouveau scénario : à renseigner,

Les autres informations nécessaires aux tableaux et nœud-papillons apparaissent
automatiquement à partir des modules “évaluation des barrières” propres à
chaque typologie de barrière (technique simple, humaine simple, SIS, …) :
- Efficacité,
- Temps de réponse,
- NC,
- Synthèse des recommandations par barrière de sécurité : juste indiquer si des
recommandations ont été faites (oui/non). Récupéré automatiquement.
- Barrière nouvelle ou non : oui/non. Récupéré automatiquement.

Réf. : INERIS – DRA-07-46055-05540A

Page 24 sur 53
 Figure 8 – Formulaire “évaluation des barrières de sécurité”

A titre informatif, la Figure 9 illustre le logigramme d’évaluation des barrières selon

leur typologie.

Réf. : INERIS – DRA-07-46055-05540A

Page 25 sur 53
 Figure 9 – Logigramme d’évaluation des barrières selon leur typologie

Réf. : INERIS – DRA-07-46055-05540A

Page 26 sur 53
Module “évaluation des éléments techniques simples”
(ou aussi barrières techniques simples)

Description du module
Deux cas sont considérés :

Soit la barrière est existante. Dans ce cas, les critères d’évaluation sont passés
en revue. Il y a une colonne avec l’existant et une colonne pour les
recommandations et/ou les barrières nouvelles (futures).

Soit la barrière est nouvelle. Dans ce cas, la colonne “existant” n’est pas utile.
Des informations peuvent être indiquées pour les différents critères mais pas
obligatoirement.

Pour les éléments techniques, le module comporte les informations suivantes

(Figure 10) :
- Ligne 1 : type et identification (ex : niveau très haut LSHH511) ; on pourra
éventuellement avoir accès à deux menus déroulants : un premier pour le type
et en fonction du type choisi, on glisse sur le deuxième menu avec
l’identification. Dans chaque menu on doit pouvoir avoir accès à une case
“vierge” afin de renseigner un nouveau type ou une nouvelle identification ; si
on accède à une identification précise, on ouvre en fait la fiche relative à la
barrière associée avec toutes les informations déjà remplies (sauf celles
relatives à l’équipement ou à l’identification du scénario qui restent
automatiques lorsqu’on ouvre le module “évaluation des barrières de sécurité”
à partir des tableaux AR ou des nœuds-papillons. On peut renseigner
manuellement une autre référence en identification de barrière ; ce qui
écrasera la précédente mais permet de pouvoir récupérer les informations
relatives à la première.
- Ligne 2 : emplacement ou équipement concerné (ex : zone transfert pour
un détecteur gaz ou réservoir T101 pour un niveau très haut) : identifié
automatiquement (tableau AR ou nœud-papillon étudié pour un équipement
précis).
- Ligne 3 : opération étudiée (travaux, marche normale..). Serait identifié
automatiquement (tableau AR ou nœud-papillon étudié pour une opération
précise).
- Ligne 4 : identification du scénario : identifié automatiquement à partir des
colonnes d’AR ou de la position dans le nœud-papillon.

Pour chacun des paramètres d’évaluation des performances qui suivent, il faudrait
prévoir de renseigner les informations sous la forme de deux colonnes :

La première correspond à l’existant ;

La deuxième correspondra au futur et pourra être complétée si des
recommandations sont faites (il sera ainsi possible de récupérer la synthèse des
recommandations par barrière) ou si une nouvelle barrière est proposée.

Réf. : INERIS – DRA-07-46055-05540A

Page 27 sur 53
 - Ligne 5 : Indépendance avec la cause : texte à renseigner (pour justification
éventuelle du oui ou non).
- Ligne 6 : Temps de réponse : valeurs à renseigner (elles seront récupérées
ensuite) ; recommandation éventuelle accessible.
- Ligne 6 bis : Commentaire sur le temps de réponse : texte à renseigner
manuellement ; si temps de réponse dans colonne “recommandations” alors
indication de recommandations.
- Ligne 7 : Concept éprouvé, REX : texte à renseigner (pour justification
éventuelle du oui ou non).
- Ligne 8 : Dimensionnement adapté et résistance aux contraintes
spécifiques : texte à renseigner (pour justification éventuelle du oui ou non) ;
une aide peut être disponible pour proposer des questions types selon la
barrière (cf exemples de questions posées sur Badoris) ; note : inclut le
positionnement.
- Ligne 9 : Efficacité maximale : texte à renseigner ; même valeur en
deuxième colonne si pas de recommandations en lignes 7 et 8.
- Ligne 10 : Niveau de confiance maximal : à renseigner manuellement ; si
non indépendance avec la cause, il faut NC 0 ou une alarme si une autre
valeur est rentrée ; des outils peuvent être disponibles pour évaluer le NC
maxi :
- Soit REX reconnu pour ce type de barrière (module REX éventuel),
- Soit en fonction de la redondance interne et du taux de défaillance sûre –
dispositif simple ou complexe) – cf tableaux NF EN 61508 et 61511.
- Ligne 10bis : explications éventuelles, notamment si changement dans le NC
max futur (peut correspondre à un changement dans la barrière).
- Ligne 11 : Sécurité positive : texte à renseigner (pour justification éventuelle
du oui ou non).
- Ligne 12 : Comportement sur défaut : texte à renseigner.
- Ligne 13 : Tests et opérations de maintenance réalisées : texte à
renseigner.
- Ligne 14 : Niveau de confiance retenu : chiffre à renseigner et alarme si le
NC proposé est supérieur au maximal (erreur) ou si le NC est égal au maximal
alors que des recommandations sont émises (confirmation à demander) ;
automatiquement la deuxième colonne relative aux recommandations est
ouverte si des recommandations ont été émises sur les critères des lignes 11
à 13 ; chiffre à renseigner avec alarme si le NC proposé est supérieur au
maximal (erreur) ou si le NC reste inférieur au maximal malgré les
recommandations (confirmation à demander).
- Ligne 15 : choix EIPS : à renseigner (oui / non).
- Ligne 15bis : choix EIPS : rappeler la recommandation.

Réf. : INERIS – DRA-07-46055-05540A

Page 28 sur 53
Après évaluation de l’élément technique simple, enregistrement des paramètres par
touche “enregistrer”. On sort ainsi du module “Evaluation des éléments techniques
simples”.

Informations récupérées :
Les informations utiles pour le tableau AR et les noeuds papillons sont extraites
(Figure 11). S'il s'agit d’une barrière simple composant un SIS, les résultats sont
d’abord extraits pour être utilisés dans le module “Evaluation des SIS” (voir plus loin).

Module “évaluation des barrières passives”

Le principe est le même que pour les barrières techniques, sauf que la ligne sécurité
positive est remplacée par la ligne “paramètres ayant une influence sur le NC”
(Figure 12).

Réf. : INERIS – DRA-07-46055-05540A

Page 29 sur 53
 Figure 10 – Module “évaluation des éléments techniques simples”

Réf. : INERIS – DRA-07-46055-05540A

Page 30 sur 53
 Figure 11 – Informations récupérées pour le module “évaluation des barrières de sécurité”
pour tableau AR et NP

Réf. : INERIS – DRA-07-46055-05540A

Page 31 sur 53
 Figure 12 – Module “évaluation des barrières passives”

Réf. : INERIS – DRA-07-46055-05540A

Page 32 sur 53
Module “évaluation des SIS”
Architecture du SIS :
Un système de blocs associés à des cliquer-glisser sera utilisé pour faire apparaître
les différents composants (détection / traitement / actionneur) de l’architecture du SIS
et définir des liens avec des flèches. On pourra ensuite en double-cliquant sur
chaque composant appeler le module d’évaluation de la barrière associée (cf.
module “évaluation des éléments techniques simples” ou “évaluation des barrières
humaines” [reste à développer] ou “évaluation des SAMS” [reste à développer]).
Un exemple de ce sous module est donné sur la figure 13.

Partie “agrégation des différents éléments du SIS”

Après remontée des informations en provenance des différents modules d’évaluation
des barrières (NC, tps de réponse, efficacité…), on pourrait chercher à déterminer :
1- les performances de la détection => Tps, Eff, NCdétection. Pour cela :
- renseigner manuellement le temps de réponse (peut être le max des
différentes valeurs),
- renseigner manuellement l’efficacité (peut être le min des différentes valeurs),
- renseigner dans une case spécifique “mode commun de défaillance” s’il y en a
et lesquels,
- renseigner manuellement le NC tenant compte des modes communs de
défaillance.
2- les performances de l’actionneur => Tps, Eff, NCactionneur
Idem précédemment
3- les performances du traitement :
- Tps réponse, Eff : à renseigner,
- Pour le NC : on s’assure qu’il est supérieur ou égal au min des deux autres,
- renseigner dans une case spécifique “mode commun de défaillance” s’il y en a
et lesquels (qui pourrait réduire le NC),
- renseigner la valeur du NC.

Réf. : INERIS – DRA-07-46055-05540A

Page 33 sur 53
Pour le SIS, le logiciel calcule automatiquement :

Eff = min des trois valeurs (détection, traitement, actionneur)

Tps réponse = somme des trois valeurs

NC : le min des trois valeurs

Figure 13 – Module “évaluation des SIS”

Réf. : INERIS – DRA-07-46055-05540A

Page 34 sur 53
Module “évaluation des barrières organisationnelles”

Pour l'instant, la base du module d'évaluation des barrières organisationnelles repose sur un
découpage des barrières en trois types :

Barrières organisationnelles de prévention (épreuve, test d'étanchéité, Plan particulier de
prévention.),

Barrières fonctionnant à l'appel (suite à une alarme, une action de l'opérateur est
réalisée),

Barrières en situation d'intervention (lutte contre l'incendie...).

En considérant que la barrière réponde correctement aux critères “capacité de réalisation" et

"temps de réponse", chaque type de barrière disposera d'un capital maximal et initial de
niveau de confiance (Par exemple pour les barrières fonctionnant à l'appel : NCmax = 2).
Ensuite, ce NC initial subira des décotes selon le positionnement de la barrière par rapport à
un certain nombre de critères définis pour les barrières fonctionnant à l'appel (qualité alarme
/ diagnostic, adéquation action / cinétique, compétence / formation) et qui seront intégrés
dans le module.
Il faudra, de plus, distinguer les barrières individuelles, des barrières collectives en intégrant
pour les barrières collectives des critères de décote propres à l'aspect "communication".
Enfin, avant toute évaluation du NC de ces barrières, il faut identifier les limites techniques
potentielles (limites du matériel utilisé).

Ce module reste à développer. Les critères et leur mode de calcul seront

conformes à la méthode définie dans le rapport Oméga 20.

Module “évaluation des SAMS”

Ce module reste à développer.

Produits de sortie
Le produit de sortie est la performance des barrières associées à un scénario ou à
un groupe de scénario sélectionné. Cette donnée est transmise aux formulaires
“tableaux d’AR” et “nœuds papillons”.
Les produits de sortie complémentaires sont les fiches synthèse des éléments (voir
Figure 14) avec les informations relatives aux barrières après mise en place des
recommandations.
Il faudrait aussi pouvoir sortir un tableau avec les informations relatives aux barrières
après mise en place des recommandations (voir Figure 15).
Le GT n’a pas défini s’il fallait une fiche par barrière ou par groupe de barrières
identiques (par exemple, si dans une raffinerie, il y a 1 300 soupapes, il semble long
et inintéressant de faire 1 300 fiches barrière) . Pour chaque barrière, il faudra
cependant indiquer ses Niveaux de Confiance relativement à chacun des scénarios
auxquels elle est associée.

Réf. : INERIS – DRA-07-46055-05540A

Page 35 sur 53
 Figure 14 – Tableau de synthèse sur les éléments d’une barrière de sécurité

Figure 15 – Tableau de synthèse sur les barrières de sécurité

Conclusion – bloc diagramme

Données sur une barrière (indépendance,

Identification des barrières de
sécurité dans les formulaires
« tableaux d ’AR » et « nœuds
papillons
efficacité, temps de réponse, choix EIPS...)
pour Formulaires « Tableaux d ’AR » et
« Nœuds Papillons »
Formulaire
« évaluation Fiches de synthèse des éléments des
barrières de sécurité (recommandations)
des FS »
Fiches de synthèses des barrières de
sécurité (recommandations)

Autres formulaires

Il faudra, a minima, d'autres formulaires traitant des tâches suivantes :

Saisie de l'échelle de fréquence.

Saisie de l'échelle de gravité (plusieurs échelles de gravités possible selon le type
de cible).

Saisie de l'échelle de cinétique (à voir en fonction des futurs textes
réglementaires).

Réf. : INERIS – DRA-07-46055-05540A

Page 36 sur 53
3. ELEMENTS DE CAHIER DES CHARGES TECHNIQUE
Cette partie présente les principes de la méthode d’AR à l’aide de nœud
papillons illustrés à l’aide de fond d’écrans.
A noter qu’il s’agit ci-dessous de présenter la logique de renseignement des nœuds
papillons. Le mode de représentation n’est pas figé et toute proposition de l’équipe
de développement informatique est la bienvenue.
A noter également que l’exemple présenté ci-dessous est fictif et n’a pas de
crédibilité technique.
1. Point de départ :
- Possibilité de saisie directe des informations relatives au Groupe de Travail.
Un clic sur 4 boutons permet d’accéder aux fenêtres suivantes.

Séance d'analyse de risques :

Date :
Nom des participants :
Fonction des participants :
Nom du site
Exploitant

Tableau AR Nœud papillon

Créer un nouveau tableau Créer un nouveau noeud papillon

Accéder à un tableau existant Accéderà un noeud papillon existant

Dans le cas de la création d’un nouveau nœud papillon : Saisie directe des
informations relatives à l’installation.

Installation :

Equipement :

Opération :

Nom :

Nota : le nom du nœud papillon est par défaut celui de l’ERC

Réf. : INERIS – DRA-07-46055-05540A

Page 37 sur 53
Dans le cas de l’accès à un nœud papillon existant : Choix du nom de l’installation,
de l’équipement, de l’opération ou du nœud papillon à partir de menus déroulant.

installation 1
Installation :

Equipement : équipement 1

Opération :
fonctionnement

Nom : rupture bras de chargement n°1

2. Ouverture d’un écran graphique de nœud papillon vide

Remplissages des informations générales en en-tête du nœud papillon.
Du même genre que pour les tableaux d’AR.

Cet écran doit contenir un certain nombre de boutons relatifs aux types
d’évènements, aux portes et aux barrières.

Réf. : INERIS – DRA-07-46055-05540A

Page 38 sur 53
Vue 1 : Prendre l’événement ERC, le positionner dans l’espace réservé à la
construction du nœud papillon. A l’aide d’un clic droit, ouvrir une feuille qui contiendra
les propriétés de l’événement (exemple : son nom, sa fréquence sans barrière, sa
fréquence résiduelle…). Demander à ce que le nom apparaisse.

rupture guillotine du
bras de chargement n°1

Vue 2 :

Prendre la porte OU et la positionner.

Prendre les évènements “autre”, les positionner, les relier à la porte et, par un clic
droit, accéder à la feuille contenant leurs propriétés (voir pour l’ERC).

rupture guillotine du
Causes "directes" OU
bras de chargement n°1

effets domino

Réf. : INERIS – DRA-07-46055-05540A

Page 39 sur 53
Vue 3 : Construire l’arbre des causes.

Prendre des portes OU et les positionner.

Prendre les évènements initiateurs, les positionner, les relier aux portes et par un
clic droit, accéder à la feuille contenant leurs propriétés (voir pour l’ERC).
agression mécanique
pendant des travaux

choc par camion

GPL(défaillance matérielle ou
OU Collision du bras par des
choc camion fioul (défaillance camions
matérielle ou humaine)

choc wagon (défaillance

matérielle du frein du Collision sur wagon en
locotracteur) cours de transfert =>
OU
déplacement et
choc wagon (erreur
arrachement du bras
humaine de conduite )
rupture guillotine du
OU Causes "directes" OU
bras de déchargement

BLEVE bouteille

BLEVE camion ou OU Projectile interne

wagons

explosion zones
encombrées

OU effets domino

surpression

Effets thermiques

Dans la feuille de propriétés de l’EI : remplir la fréquence de chaque EI le plus

extrême (c'est-à-dire le plus à gauche) et demander son affichage.

Réf. : INERIS – DRA-07-46055-05540A

Page 40 sur 53
 f2

agression mécanique
pendant des travaux

f5

choc par camion

GPL(défaillance matérielle ou
OU Collision du bras par des
choc camion fioul (défaillance camions
matérielle ou humaine)
f5

f0

choc wagon (défaillance

matérielle du frein du Collision sur wagon en
locotracteur) cours de transfert =>
OU
déplacement et
choc wagon (erreur
arrachement du bras
humaine de conduite )
rupture guillotine du
OU Causes "directes" OU
bras de déchargement
f2

BLEVE bouteille

BLEVE camion ou OU Projectile interne

wagons

explosion zones
encombrées

OU effets domino

surpression

Effets thermiques

Vues 4 à 7 : Construire de la même façon l’arbre des conséquences.

Réf. : INERIS – DRA-07-46055-05540A

Page 41 sur 53
Réf. : INERIS – DRA-07-46055-05540A
Page 42 sur 53
Vue 8 : Afficher un texte pour écrire la gravité et la cinétique OU bien la retranscrire
depuis le tableau d’AR correspondant.

Réf. : INERIS – DRA-07-46055-05540A

Page 43 sur 53
Vues 9 et 10 : Prendre les barrières selon leur nature (actuelle, actuelle à améliorer
et nouvelle), les positionner, et écrire leur intitulé et leur niveau de confiance.
Pour les barrières, il faudra différentier celles qui agissent en prévention (c'est-à-dire
celles situées avant l’ERC) et celles situées en limitation (c'est-à-dire celles situées
après l’ERC).

Réf. : INERIS – DRA-07-46055-05540A

Page 44 sur 53
Vue 11 : Pour les barrières qui agissent en limitation (c'est-à-dire celles situées après
l’ERC), construire (si nécessaire) l’arbre des conséquences lié au fonctionnement
d’une barrière et qui génère un nouveau scénario. Cet arbre lié au fonctionnement
total ou partiel de la barrière devra se situer en dessous de celui associé au mode
échec.

Vue 12 : Agréger les fréquences - selon les 3 types de barrières – pour obtenir la
fréquences des dommages aux cibles

Réf. : INERIS – DRA-07-46055-05540A

Page 45 sur 53
4. PRINCIPALES ENTITES
La liste des entités ci-dessous est indicative. Elle devra être confirmée par l’analyse
réalisée en vue d’établir les spécifications techniques détaillées.
Pour chaque entité, prévoir un champ “Remarques”. Le texte en gras souligné est le
nom de l'entité. Les termes qui le suivent sont les attributs (champs). Les termes en
italique désignent un lien unique (1-1, 1-n) vers une autre entité. Les termes entre
parenthèse désignent des liens multiples vers d'autres entités (1-n, 1-n).
Site
Nom
Exploitant

Installations
Nom
Site

Equipements
Nom
Installation

Opérations
Libellé
Equipement

ERCs
Libellé
Opération
Fréquences
Fréquence initiale
Fréquence avec barrières existantes
Fréquence avec barrières complémentaires

Facteur de réduction du risque

Libellé
Probabilité
Evénement (EI, ERC) auquel il s'applique

Réf. : INERIS – DRA-07-46055-05540A

Page 47 sur 53
EIs (événement initiateur)
Porte logique (ET ou OU) ou rien
EI (d’origine) ou ERC
Libellé
Numéro (de ligne)
Mot clé
Fréquences
Fréquence initiale
Fréquence avec barrières existantes
Fréquence avec barrières complémentaires

Barrières
Libellé
Evénement (EI, ERC) auquel elle s'applique
Position (prévention de l'événement ou limitation de ses effets)
Génération d'un nouveau scénario
Fonction de sécurité
Indépendance par rapport au sous EI
Efficacité
Temps de réponse
Niveau de confiance maxi
Maintien des performances
Niveau de confiance retenu

Composants (de barrière)

Libellé
Barrière
Indépendance par rapport au sous EI
Efficacité
Temps de réponse
Niveau de confiance maxi
Maintien des performances
Niveau de confiance retenu
Lien entre les composants
Choix EIPS
(Facteur de réduction du risque)
Réf. : INERIS – DRA-07-46055-05540A
Page 48 sur 53
ERSs
ERC ou ERSs d'origine
Libellé
Probabilité
Porte logique (ET ou OU) ou rien

PhDs (phénomène dangereux)

Libellé
Evénement d'origine
Fréquences
Fréquence initiale
Fréquence avec barrières existantes
Fréquence avec barrières complémentaires
Effets (thermiques, surpressions, toxiques…)
Intensité (distance par type d’effet et par seuil)
Intensité a priori
Intensité réduite a priori
Intensité a posteriori
Cinétique
(Barrières)
(Facteur de réduction du risque)

DoCs (dommages aux cibles)

Libellé
Cibles
Phénomène
Fréquences
Fréquence initiale
Fréquence avec barrières existantes
Fréquence avec barrières complémentaires
Effets (thermiques, surpressions, toxiques…)
Gravités
Gravité initiale
Gravité avec barrières existantes
Gravité avec barrières complémentaires
(Barrières)
(Facteur de réduction du risque)
Réf. : INERIS – DRA-07-46055-05540A
Page 49 sur 53
Cibles
Nom
position (distance, orientation)

Scénario
Coupe minimale
(Eis, ERCs, PHd)
DOC
Libellé
Numéro
Gravités
Gravité initiale
Gravité avec barrières existantes
Gravité avec barrières complémentaires
Fréquences
Fréquence initiale
Fréquence avec barrières existantes
Fréquence avec barrières complémentaires

Séances d’analyse (une ou plusieurs par installation)

(Equipements )
(Opérations)
Date
GT
(Participants)

Participant
Nom
Fonction

Listes guide (à détailler dans la phase 2 de développement)

Mots clés selon la méthode d'AR inductive retenue,
Evénements initiateurs types,
Evénement secondaires types,
ERC types,
PhD types,
Base de données accidentologie.
Réf. : INERIS – DRA-07-46055-05540A
Page 50 sur 53
5. PROPOSITION D’ARCHITECTURE GLOBALE
Une proposition d’architecture de l’outil informatique est représentée sur la Figure 15.

Interfaces de saisie et consultation des informations générales (nom de

l’installation, équipement, cibles, ..)

Interface de gestion des outils de calcul

Tableaux
Nœuds papillons
Moteur de calcul (fréquences,
perf barrières), agrégation
barrières, scénarios

Données
Formulaire barrières

Interface de définition du
contenu du rapport

Rapports (produits
de sortie) Interface de gestion
des données
génériques (listes,
Word
mots clés,..)

Figure 15 – Proposition d’architecture de l’outil informatique

Réf. : INERIS – DRA-07-46055-05540A

Page 51 sur 53
6. LISTE DES ANNEXES

Repère Désignation Nombre

de pages
A Phasage et logigramme d'une analyse de risques 6

Réf. : INERIS – DRA-07-46055-05540A

Page 53 sur 53
 ANNEXE A
PHASAGE ET LOGIGRAMME D’UNE ANALYSE DE RISQUES
Nota : Ceci est donné à titre informatif mais n’a pas subi les évolutions du cahier des
charges.

Le déroulement de la méthode d'identification des scénarios d'accidents est le

suivant :

1. Identification des installations à étudier à partir de l'analyse des potentiels de

dangers.

2. Découpage de l'installation étudiée en systèmes à partir notamment d'une

analyse fonctionnelle.

3. Choix d'une méthode d'analyse des risques selon l'installation ou le système

étudié. La méthode retenue doit être adaptée des méthodes existantes pour
prendre en considération les conjonctions de causes.
L’utilisateur aura le choix entre des méthodes d’analyse de risques inductives de
type APR, AMDEC ou HAZOP (par exemple, pour du procédé chimique
complexe, il choisira la méthode HAZOP et pour des installations simples telles
que les stockages, il choisira la méthode APR). (étape 2 : lien potentiel avec les
bases de données des méthodes d’AR : mots clefs APR, AMDEC ou HAZOP).

4. Choix du système à étudier.

5. Pour le système retenu, la mise en œuvre de la méthode retenue d'analyse des

risques en groupe de travail pluridisciplinaire nécessite d’identifier des situations
de dangers ou évènements redoutés centraux (ERC). (étape 2 : lien potentiel
avec des bases de données relatives aux ERC et possibilité de lier ces ERC aux
mots clés des méthodes d'AR).

6. Pour un ERC retenu : identification de l'ensemble des causes ou évènements

initiateurs (EI) liés (conjonction de causes) ou non (porte ou) pouvant engendrer
l'évènement redouté. (étape 2 : lien potentiel avec des bases de données
relatives aux causes selon la méthode d’AR utilisée).
Si l’utilisateur souhaite améliorer la réflexion (cas complexes notamment), il faut
que l’arbre des défaillances (partie gauche du nœud papillon, cf figure I.2) se
dessine automatiquement lors des séances d'analyse des risques en groupe de
travail.

7. Pour un ERC retenu : identification des phénomènes dangereux en intégrant si

nécessaire de nouvelles causes appelées ES (événement secondaire comme
une inflammation par exemple) (étape 2 : lien potentiel avec des bases de
données relatives aux phénomènes dangereux et aux ES selon la méthode d’AR
utilisée).
8. Pour un phénomène dangereux retenu : identification des effets sur les cibles
potentielles. (étape 2 : lien potentiel avec des bases de données relatives aux
effets des phénomènes dangereux sur les cibles selon la méthode d’AR utilisée).
La séquence définie par une cause initiale et aboutissant à un effet sur les cibles
est un accident.
Pour les étapes 7 à 8 : si l’utilisateur souhaite améliorer la réflexion (cas
complexes notamment), il faut que l’arbre des évènements (partie droite du nœud
papillon, figure I.2) se dessine automatiquement lors des séances d'analyse des
risques en groupe de travail.

9. Pour un effet sur les cibles potentielles retenu : évaluation a priori de sa

gravité. Un exemple d'échelle de niveau de gravité est fourni dans le tableau I.1.
Selon nécessité, d’autres échelles doivent pouvoir être utilisées en intégrant
d’autres cibles et en modifiant les nivaux. (étape 2 : lien potentiel avec des
échelles de niveaux prédéfinies mais aussi possibilité de construire sa propre
échelle).

10. Pour un effet sur les cibles potentielles retenu : détermination si cet effet est
significatif (c'est-à-dire si son niveau de gravité est supérieur ou égal à 2 en
utilisant l'exemple d'échelle de gravité du tableau I.1).

11. Pour chaque effet significatif sur les cibles potentielles : étude de la
réduction de sa gravité a priori.

12. Pour tous les scénarios conduisant au même effet significatif sur les cibles
potentielles : évaluation de la fréquence d’occurrence des effets sur les cibles
potentielles sans prise en compte des barrières à l’aide des fréquences des
causes initiales et des probabilités des causes secondaires (un exemple d'échelle
de niveau de fréquence des causes initiales est fournit dans la figure I.1).

E D C B A

"évènement "événement "Evènement "événement "Evènement

possible mais très improbable" probable" courant"
qualitative : extrêment peu improbable"
probable"

semi-quantitative :
CLASSE DE
FREQUENCE 10
-6
10
-5 -4
10 10
-3
10
-2 -1
10 1 10
(de -2 à 6) 6 5 4 3 2 1 0 -1 -2

quantitative : -5 -4 -3 -2
10 10 10 10

Figure I.1 - Exemple d’échelle de fréquence

 Nive Cibles humaines Cibles matérielles Cibles environnementales
au de
Gravi
té
G4 Effets critiques (létaux ou irréversibles) sur Atteinte d’un bien ou d'un Atteintes critiques à des zones
un grand nombre de personnes à l’extérieur équipement très sensible particulièrement vulnérables
du site ou Effets critiques au niveau des ou stratégique. soit du fait de la rareté de la
zones du site comportant les niveaux Atteinte d’un équipement cible (espèce protégée très rare
3 dangereux ou d’un et localisée à peu d'endroits)
d’occupation les plus importants
Exemple : équipement de sécurité soit du fait de répercussion à
Nombre de victimes à l’extérieur du site critique conduisant à une l'échelle départementale,
supérieur à une dizaine ou plusieurs aggravation générale des régionale, nationale ou
victimes (supérieur à une vingtaine) sur le conséquences de niveau internationale.
site (locaux administratifs, cantine, …) G4

G3 Effets critiques (létaux ou irréversibles) sur Atteinte d’un bien, Atteintes critiques à des zones
au moins une personne à l’extérieur du site équipement dangereux ou vulnérables (ZNIEFF, points de
ou Effets critiques au niveau des zones du de sécurité à l’extérieur du captage…) avec répercussions
site comportant les niveaux d’occupation les site à l’échelle locale
plus importants Atteinte d’un équipement
Exemple : dangereux ou d’un
Faible nombre de victimes à l’extérieur du équipement de sécurité
site (une dizaine au plus) ou plusieurs critique sur le site
victimes (10-20) sur le site (atelier) conduisant à une
aggravation générale des
conséquences de niveau
G3
G2 Effets critiques (létaux ou irréversibles) Atteinte d’un équipement Atteintes sérieuses à
limités à une zone avec un niveau dangereux ou d’un l’environnement nécessitant
d’occupation faible équipement de sécurité des travaux lourds de
Exemple : critique sur le site sans dépollution
Effet critique pour au moins deux personnes aggravation générale des
se trouvant à proximité immédiate du siège conséquences
de l'accident ou effet critique pour une
personne se trouvant de façon permanente
(poste de travail sans rapport avec
l'accident) ou habituelle (équipe de
maintenance fréquemment sur place) à
proximité non immédiate du siège de
l'accident
G1 Pas d’effets significatifs sur le personnel du Pas d’effets significatifs Pas d’atteintes significatives à
site ou sur les équipements du l’environnement ou
Aucun effet critique au niveau des zones site ou
occupées du site. Des effets peuvent être Atteintes à des Atteintes limitées au site et
observés de façon très localisée. équipements dangereux nécessitant des travaux de
Exemple : du site sans synergie dépollution minimes
Effet critique pour une personne se trouvant d’accidents ou à des
à proximité immédiate du siège de l'accident équipements de sécurité
ou effet critique pour une personne se non critiques
trouvant de façon fortuite à proximité du
siège de l'accident (rondier,...).
Aucun effet ou accident corporel sans arrêt
de travail
Tableau I.1 : Exemple d’échelle de la cotation a priori de la gravité d’accidents

3 Exemples : Salle de contrôle, bureaux, locaux administratifs, points de rassemblement…

Remarque : à ce stade, il doit être possible de réaliser des études détaillées par
l’élaboration de plusieurs nœuds papillons comme illustré sur la figure I.2.

SCENARIOS

Ein 1 EM
ET EI Ph D
Ein 2 EM
ERS
Ein 3
OU EI Ph D
Ein 4 OU ERC

Ein 5 EM
ET EI Ph D
EC 6 EM
ERS
Ein 7 EM
OU EI Ph D
EIn 8 EM

Prévention Barrières de défense Protection

Arbre de défaillances Arbre d’événements

Figure I.2 : Représentation de scénarios d’accident selon le modèle du nœud papillon

13. Pour tous les scénarios conduisant au même effet significatif sur les cibles
potentielles : identification des barrières de sécurité existantes pour prévenir
son apparition.

14. Pour chaque barrière de sécurité : évaluation de sa performance

(indépendance, efficacité, temps de réponse, niveau de confiance) par des
modules spécifiques.

15. Pour tous les scénarios conduisant au même effet significatif sur les cibles
potentielles : ré-évaluation de la fréquence d’occurrence en prenant en compte
les barrières existantes (agrégation des fréquences d’occurrence de chaque
cause et du niveau de confiance des barrières) et comparaison avec le niveau
de fréquence résiduelle choisi par l’exploitant en fonction de sa politique de
maîtrise des risques (ou avec celui imposé par la réglementation).

16. Pour tous les scénarios conduisant au même effet significatif sur les cibles
potentielles : évaluation de la cinétique (classement en cinétique lente ou
rapide).
17. Si le niveau de fréquence résiduelle choisi par l’exploitant n’est pas atteint :
des mesures complémentaires doivent être mises en place pour l’atteindre
(élaboration d’un plan d’action), la fréquence d’occurrence est ré-évaluée en
prenant en compte ces mesures (retour point 13) et est comparé avec le
niveau de fréquence résiduelle choisi par l’exploitant en fonction de sa politique
de maîtrise des risques ou avec celui imposé par la réglementation).

18. Une fois tous les scénarios conduisant au même effet significatif sur les cibles
potentielles maîtrisés : étude des axes d’amélioration possibles permettant de
réduire la probabilité d’occurrence d’un tel scénario : proposition de
recommandations.

19. Il reste à s’assurer que les “nouveaux” scénario engendrés par le

fonctionnement des barrières sont eux aussi correctement maîtrisés en
évaluant leur gravité et en déterminant leur fréquence d’occurrence à partir de
la fréquence d’occurrence du scénario initial et des NC des barrières.

20. On traite alors un autre ensemble de scénarios conduisant à un autre effet

significatif sur les cibles potentielles de la même façon : retour au point 12.

21. On traite alors un autre ERC de la même façon : retour au point 6.

22. Lorsque pour un ERC ou une situation de danger donnée, toutes les causes
ont été passées en revue, on traite un autre ERC ou une autre situation de
danger : retour au point 5.

23. Lorsque tous les ERC ont été traités, on traite un autre système : retour au
point 4.

24. Lorsque tous les systèmes ont été traités, on traite une autre installation :
retour au point 1.

25. Lorsque toutes les installations ont été traitées : c'est la fin de l'AR en GT.
Produits de sortie :
- Tableaux de synthèse de l'AR (format Word).
- Nœuds papillons (centrés sur 1 ERC pour 1 système) avec positionnement des
barrières (avec ou sans NC, avec code couleur selon leur degré de prise en
compte et/ou leurs recommandations). Il faudrait également pouvoir dessiner
les nœuds papillons en les centrant sur le phénomène dangereux.
- Liste des mesures à mettre en œuvre pour atteindre le niveau de maîtrise des
risques souhaité, avec date et nom du responsable.
- Liste des recommandations par rapport aux barrières existantes (pas de
hiérarchisation).
- Liste des scénarios hiérarchisés selon la gravité, le niveau de fréquence
résiduel et la cinétique.
- Liste des Eléments importants pour la sécurité.