Approche de la maîtrise globale des risques pour des projets

complexes

Auteurs :
Bruno CAUSSIOL, Hervé JANIAUT, Pascal TASSINARI - Société : AXILYA,
BORDEAUX et AIX EN PROVENCE
Virgile LA LUMIA - Société AREVA TA, AIX EN PROVENCE

RESUME

Les défis à relever afin de maîtriser les risques sont nombreux. Ces défis sont par exemple, la multiplication
et la complexité des systèmes, l’augmentation et l’évolution de la réglementation, la mondialisation des
activités ou encore la communication et la transparence.
Un projet complexe doit répondre à ces défis sachant qu’un tel projet novateur se compose d’une multitude
d’interfaces, qu’il est à l’origine de diverses sources de risques et qu’il se construit dans un environnement
incertain. Des méthodes et outils existent. L’objectif est d’approcher la maîtrise globale des risques en
utilisant ces moyens. Toutefois, ces moyens ne sont efficaces que si leur enchaînement est structuré et
complémentaire.

SUMMARY
There is many challenges in order to control risks. These challenges are, for example, the multiplication and
the complexity of systems, the increase and developments of regulations, the globalization of activities,
communication or transparency. A complex project must meet these challenges, knowing that such an
innovative project consists of a multitude of interfaces, and it will be the origin of various sources of risk and
will be built in an uncertain environment. Methods and tools exist to control risks. The goal is to approach
overall risk control by using these means. However, these methods are effective only if their sequence is
structured and complementary. The objective of this article is to educate people involved in complex project
to the challenges of such a project in terms of risk control. To do this, the context of overall control risks is
discussed in the first part of the article. Then in the second part of the article, the approach that we used for
the implementation of an approach for overall control risk on complex projects will be explained.
In Annex are examples illustrating the context and the approach for the implementation of risk control on a
complex project.

1. INTRODUCTION

L’objectif de cet article est de sensibiliser les acteurs d’un projet complexe aux enjeux d’un tel projet en
terme de maîtrise des risques.
Pour ce faire, il est abordé dans la première partie de l’article le contexte de la maîtrise globale des risques.
Puis dans la seconde partie de l’article, il est exposé la démarche que nous avons mise en œuvre pour
approcher la maîtrise globale des risques sur des projets complexes.
En annexe se trouve des exemples illustrant le contexte puis la démarche mise en œuvre sur un projet
complexe.

2. CONTEXTE

2.1 DEFIS ET ENJEUX DE LA MAITRISE DES RISQUES

L’exploitant d’un système ou d’une installation doit démontrer qu’il maîtrise les risques non seulement dans
un domaine de fonctionnement autorisé, mais aussi en mode dégradé. Dans cette situation, il aura mis en
place des défenses en profondeurs destinées à limiter les conséquences de toute défaillance.

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 1/12
La maîtrise des risques intègre l’ensemble des mesures destinées à éliminer un risque ou encore à limiter la
probabilité d’occurrence d’un événement redouté et / ou les conséquences de cet événement. La maitrise
des risques s’applique à toutes les phases de vie du système ou de l’installation. L’exploitant doit être en
capacité de justifier les mesures prises pour la maîtrise des risques et démontrer que ces mesures sont
appropriées. Par ailleurs, il doit mettre en œuvre des mesures de surveillance et de contrôle afin d’assurer
de la pérennité des dispositifs visant à maîtriser le risque.

En outre, les autorités de contrôles exigent de développer des méthodes d’analyse globale des risques
avant de procéder à l’analyse de tout type de situation. C’est le cas par exemple, pour des projets
complexes tels que l’EPR Finlande (European Pressurized water Reactor : Réacteur Européen à Eau
Pressurisée), le LMJ (Laser MégaJoule) ou encore le Réacteur Jules Horowitz.

A ce titre, la loi française de transparence et sécurité nucléaire du 13 juin 2006 demande notamment à
l’exploitant de préciser la méthodologie d’analyse des risques qu’il a retenue pour identifier les risques de
son installation.

La méthode d’analyse de risque est acceptée par l’autorité dans la mesure où elle est capable de répondre
au référentiel règlementaire à satisfaire sur l’installation concernée
Les autorités de contrôle « labellisent » en conséquence la méthodologie d’analyse.

Les défis à relever afin de maîtriser les risques sont nombreux. Ce sont par exemple, la multiplication et la
complexité des systèmes, l’augmentation et l’évolution de la réglementation, la mondialisation des activités
ou encore la communication et la transparence.

Ces nombreux défis amènent des objectifs ambitieux. Parmi ces objectifs on peut noter que la réalisation
des tâches est axée sur le résultat, la rentabilité et l’anticipation. Le maintien du bon fonctionnement du
système est à garantir, ce notamment avec l’aide des Hommes. Une vue d’ensemble de la situation en
matière de risques au niveau d’un projet et de ses parties prenantes est nécessaire. Enfin, le contrôle et
l’optimisation des coûts permet de garantir la pérennité financière d’un projet.

2.2 CONTEXTE D’UN PROJET COMPLEXE

La maîtrise des risques sur un projet complexe fait face à plusieurs défis :
• Les interfaces entre systèmes. Un projet complexe est composé de plusieurs systèmes eux-mêmes
composés de sous-systèmes. S’il est souvent possible d’identifier et de caractériser les risques pour
chacun des systèmes, il est par contre beaucoup plus difficile d’identifier les risques lorsque ces
systèmes sont mis en relation entre eux. Il est nécessaire de maîtriser les interfaces, en particulier
l’impact d’une défaillance relevée sur un système sur un autre système,
• Les catégories des sources de danger. Un projet complexe peut comporter des sources de danger
très diverses. Ces sources de danger impliquent en conséquence des moyens de prévention et de
protection différents. Il arrive d’ailleurs que ces moyens de maîtrise du risque soient efficaces pour
un type de risque au détriment d’un autre,
• L’aspect novateur d’un projet complexe. Un projet complexe nouveau est construit dans un
environnement incertain. Le retour d’expérience, quand il existe, est généralement incomplet. A
l’inverse des projets pour lesquels les risques sont connus et maîtrisés, les risques des projets
complexes sont à identifier et à caractériser.

Pour relever ces défis, méthodes et outils sont à la disposition des concepteurs.

2.3 METHODES ET OUTILS EXISTANTS

L’évaluation globale des risques est pratiquée sur la base d’outils et de méthodes maintenant éprouvées
parmi lesquelles on peut citer par exemple : l’analyse fonctionnelle, l’analyse de fiabilité, l’APR, l’AMDEC, les
arbres d’événements, les arbres de défaillances…

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 2/12
La modélisation du processus de danger consiste à relier les sources de danger aux cibles potentielles. La
liaison s’opère en modélisant le flux de danger (flux de matière, d’énergie et d’information).

La méthode générale consiste à identifier, évaluer, maîtriser, gérer et manager des événements non
souhaités :

- l’identification des événements non souhaités consiste à les localiser au niveau du processus de
danger (recherche de l’origine des flux de danger, recherche des effets initiateurs ou amplificateurs
de flux, recherche des effets provoqués sur le système cible)
- l’évaluation des événements non souhaités consiste à effectuer une évaluation de risques à l’aide
d’outils identifiés,
- la maîtrise des événements non souhaités consiste à agir pour diminuer leur probabilité
d’occurrence ainsi que la gravité de leurs conséquences,
- gérer, manager des événements non souhaités consiste à réfléchir aux actions à mettre en œuvre
pour augmenter l’efficacité de l’identification, de l’évaluation et de la maîtrise des processus de
danger. Les tâches de gestion et de management sont des tâches d’organisation et de pilotage.

Si cette approche fournit des outils opérationnels pour l’analyse de risque, elle trouve ses limites dès qu’il
s’agit d’avoir une méthode plus globale des risques.
En effet, la pratique de ces outils opérationnels ne garantit pas d’appréhender et de traiter les risques dits
« transverses », c'est-à-dire ceux générés par la mise en relation de 2 ou plusieurs ensembles du système.
Ce résultat a donc mis en exergue la nécessité d’une approche plus globale.
En outre, ces méthodes ne sont efficaces que si leur enchaînement est structuré, ceci afin de :
- valider les données d’entrée et les objectifs,
- s’approprier les résultats des études par rapport au contexte,
- évaluer les performances avec les mesures adéquates.

3. APPLICATION GENERIQUE DES METHODES POUR UN PROJET COMPLEXE

Dans ce chapitre, nous abordons une approche générique de la maîtrise des risques.

3.1 ANALYSE PRELIMINAIRE DES RISQUES

Pour un projet complexe, il est nécessaire de maîtriser très tôt les risques liés à la sécurité du personnel.
Chaque industriel, responsable de la fourniture d’un équipement va étudier les risques sur son propre
marché. Il manque une vision d’ensemble de la maîtrise des risques sur le système complexe. C’est pour
cela qu’il est mis en œuvre une approche globale de la maîtrise des risques en prenant en compte les
interactions entre ensembles.
Il s’agit de l’Analyse Préliminaire de Risques Transverses.
Les objectifs de l’APR Transverses sont les suivants :
- identifier les risques inter-ensembles (ou transverses),
- proposer une hiérarchisation de ces risques,
- mettre en évidence les dispositions visant à maîtriser ces risques,
- identifier pour les risques « critiques » les nouvelles barrières de sécurité à mettre en place et
les besoins en études à réaliser.

Cette APR Transverses est menée de façon inductive en trois étapes.

La première étape consiste à caractériser les différents ensembles de l’installation.
A partir de cette caractérisation, la deuxième étape consiste à déterminer les scénarios accidentels et
proposer des barrières contribuant à la maîtrise du risque.
Enfin, la troisième étape consiste à hiérarchiser les scénarios accidentels obtenus et ainsi mettre en
évidence à-priori les principales sources de dangers et les principales barrières intervenant dans la maîtrise
du risque.

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 3/12
Les objectifs à satisfaire par sous-système sont définis à ce stade. Ces objectifs peuvent être qualitatifs
(exemples : satisfaire un règlement, implantation d’un dispositif, exigence de dimensionnement, etc.) ou bien
au niveau des choix d’architecture (redondance, objectif de fiabilité, etc.)

3.2 ANALYSE DES SCENARIOS ACCIDENTELS PAR ARBRES DE DEFAILLANCES

L’Analyse Préliminaire des Risques Transverses menée précédemment a aboutit à dégager les scénarios
accidentels dont la gravité est la plus importante. Ces scénarios sont à analyser en priorité afin de vérifier s’il
l’on maîtrise ou non les risques en fonction des objectifs fixés et des barrières identifiées dans l’APR
Transverses.

L’analyse par arbres de défaillances est menée de façon déductive en trois étapes :
- Etape 1 : Identification des Evénements Redoutés,
- Etape 2 : Construction des arbres de défaillances,
- Etape 3 : Analyses des résultats.

Etape 1 : Identification des Evénements Redoutés

Les Evénements Redoutés (ER) de ces scénarios accidentels sont ceux identifiés lors de l’Analyse
Préliminaire des Risques Transverses.

Etape 2 : Construction des arbres de défaillances

La démarche de construction des Arbres de Défaillances est déductive.

Les têtes des arbres de défaillances (qui sont les événements redoutés) ont été identifiées lors de l’étape 1.
Les arbres de défaillances sont construits « en descendant » en précisant les scénarios accidentels avec
l’aide des portes logiques. Les portes de premier niveau précisent si l’événement redouté se réalise :
• lors de la présence anormale de personnel en présence de danger ou,
• lors de la présence intempestive de danger en présence normale de personnel.
Les portes de deuxième niveau précisent la localisation du scénario accidentel.
Les portes de troisième niveau précisent le type du flux de danger.
Les branches des arbres sont construites jusqu’à atteindre les événements élémentaires.

On retrouve dans les arbres de défaillances les scénarios accidentels ainsi que les barrières préalablement
identifiés dans l’APR transverses.
En complément, on trouve dans les arbres de défaillances de nouveaux scénarios accidentels et de
nouvelles barrières identifiés suite à l’avancement du projet.

Etape 3 : Analyse des résultats

Les principaux résultats de l’analyse sont la tenue aux objectifs et les barrières à préconiser aux différents
marchés.

Compte tenu du nombre important d’événements redoutés pour les projets complexes, il est recommandé de
présenter synthétiquement les résultats de tenue à l’objectif. Cette synthèse est nécessaire pour avoir une
vision globale de la maîtrise des risques.

Le nombre important d’événements redoutés pour les projets complexes induit un nombre conséquent de
barrières. Les caractéristiques principales de ces barrières sont d’une part l’événement redouté (ou le
risque) vis-à-vis du quel elles vont s’opposer, et d’autre part le marché (ou Equipement Potentiellement
Dangereux) du quel elles vont dépendre.

Il est possible que l’on ne puisse pas se prononcer sur la fiabilité intrinsèque d’une barrière. On peut
toutefois évaluer le poids d’une barrière dans la tenue à l’objectif de sécurité fixé.

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 4/12
Pour se faire, on caractérise trois types de niveaux de barrière vis-à-vis de la tenue à l’objectif de sécurité :
une barrière est qualifiée de critique, sensible ou non-sensible.
• Une barrière est dite « critique » si sa combinaison avec les autres barrières du scénario accidentel
étudié ne permet pas d’atteindre l’objectif visé.
• Une barrière est dite « sensible » si sa défaillance conduit à elle seule à ne pas atteindre l’objectif de
sécurité.
• Une barrière est dite « non-sensible » si malgré sa défaillance l’objectif de sécurité reste atteint.

3.3 ANALYSE PAR CONFIGURATIONS ACCIDENTELLES

La méthode de maîtrise des risques appliquée a débuté par une méthode inductive. En effet, l’Analyse
Préliminaire des Risques Transverses s’est basée sur l’étude des effets donneurs générés par les
Equipements Potentiellement Dangereux et sur l’étude des effets receveurs subis par les Equipements
Potentiellement Dangereux.
Par la suite, la méthode de maîtrise des risques a utilisé une méthode déductive. Les arbres de défaillances
ont permis d’une part de savoir si les objectifs de sécurité étaient tenus ou non, et d’autre part de déterminer
les barrières à mettre en œuvre pour maîtriser les risques ou au moins approcher la maîtrise des risques.
Ce travail a été effectué en phase de faisabilité du cycle de vie du projet complexe.

En phase de définition, de nouveaux éléments permettent d’affiner les études de risques.

Afin de tendre vers l’exhaustivité des risques et scénarios accidentels étudiés, on peut compléter les études
à partir d’une analyse par configurations accidentelles.
La méthode d’analyse par configurations accidentelles est une méthode déductive qui consiste à analyser le
risque en faisant varier les différentes variables dont la combinaison est susceptible de mener à un
événement redouté.
Ces variables sont par exemple :

• La catégorie du risque,
• Le type du flux de danger,
• Le lieu du risque,
• La présence normale ou anormale de personnel sur le lieu du risque,
• Le confinement ou non du risque,
• La gravité du risque,
• La présence intempestive du risque,
• L’activité du personnel (ex. : maintenance d’un EPD ou intervention dans un local à risque).

Cette méthode est complémentaire à la construction des arbres de défaillances décrite précédemment. Elle
permet, par l’utilisation de tableaux ou de matrices, de tendre vers l’exhaustivité des scénarios accidentels
identifiés.

4. CONCLUSION

Tout projet industriel comporte des risques. L’analyse de risque consiste en une identification et évaluation
des risques qui conduisent à la maîtrise de ces risques. Ceci s’applique d’autant plus que le projet est
complexe et comporte des aspects novateurs.

Une vision globale des risques est nécessaire pour les projets complexes car il existe pour ces projets d’une
part de nombreuses sources de dangers, et d’autre part de nombreux types de sources de danger.
Un projet complexe est aussi un projet qui se développe dans un environnement incertain : des hypothèses
apparaissent ou disparaissent au cours de l’évolution. Tout projet induit des risques à identifier puis à
maîtriser. Généralement, de par le retour d’expérience d’un projet « classique », les risques sont connus et
la maîtrise des risques est assurée. Ce n’est pas le cas pour un projet complexe novateur où le premier défi
consiste justement à identifier et à caractériser les risques nouveaux en complément des risques

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 5/12
« classiques ». Le deuxième défi d’un projet complexe est de maîtriser ces risques nouveaux. Or, le retour
d’expérience des projets complexes étant incomplet, les solutions de prévention et de protection des risques
ne sont pas préétablies.

Ce contexte particulier aux projets complexes met en exergue le besoin d’effectuer les études de risques
dès la phase de faisabilité. Ces analyses de risques doivent être structurées, systématiques. La démarche
est constituée par l’application successive de plusieurs méthodes ou outils d’analyse : les résultats d’une
tâche sont les données d’entrée de la tâche suivante. Cette démarche complémentaire est importante à
suivre car elle permet de viser l’exhaustivité de l’identification des scénarios accidentels et de leur traitement,
notamment en maîtrisant les risques issus des interfaces entre sous-systèmes concernés.
L’approche de la maîtrise globale passe donc par :
o La vision globale de tenue aux objectifs,
o La vision globale des barrières à mettre en œuvre,
o La garantie de l’exhaustivité et de la traçabilité des scénarios accidentels analysés.

Cependant, cette démarche d’approche globale de maîtrise des risques d’un projet complexe ne saurait
s’appliquer à un stade avancé du développement du projet. Cette démarche ne peut être efficace que si elle
est initiée dès la phase de faisabilité du projet. En particulier, on peut noter qu’un travail conséquent en
terme de traçabilité des informations est à mettre en œuvre dès le début des analyses de risques. Sans ce
travail de traçabilité, une synthèse et donc une vision globale sont difficiles à obtenir.

5. ANNEXE

5.1 EXEMPLE : LES RISQUES D’UN PROJET COMPLEXE

Pour illustrer le contexte des risques issus d’un projet complexe, on prend comme exemple le Laser
MégaJoule (LMJ). Le LMJ, en cours de conception et de construction, sera une installation de recherche sur
la fusion nucléaire obtenue à partir d’énergie laser de très forte puissance.

Sur cette installation, des risques « classiques » sont identifiés : le risque de choc lors de manutention, le
risque de chute du personnel, le risque électrique Basse Tension, le risque incendie..
En revanche, de nombreux risques nouveaux sont identifiés, il s’agit des risques suivants :
• Risque radiologique (rayonnement neutronique, rayonnements gamma, rayonnements X,
contamination),
• Risque laser (notamment des rayonnements laser de forte puissance)
• Risque électrique haute tension,
• Risque anoxie (manque d’oxygène).
Ces risques sont présents et regroupés en un même lieu : le bâtiment LMJ.
Cette maîtrise des risques est compliquée par la taille importante du projet. Cette complexité est amplifiée
par la coactivité. Cette coactivité peut par exemple regrouper dans une même zone au même moment, les
activités de montage, intégration, essais, fonctionnement et maintenance.

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 6/12
5.2 EXEMPLE : FICHE DE CARACTERISATION DES EQUIPEMENTS
POTENTIELLEMENT DANGEREUX (EPD)
Une fiche de caractérisation peut se présenter sous forme de fiche de la manière suivante :

Fiche de caractérisation de l’Equipement Potentiellement Dangereux (EPD)

Environnement On décrit où se localise l’EPD

géographique
Liaisons fonctionnelles
entre l’ensemble étudié et
les autres ensembles
Constituants de l’ensemble
On liste les différents ensembles en relation fonctionnelle avec l’EPD
étudié
On décrit les différents constituants de l’EPD

REX de l’ensemble On décrit le REX disponible en matière de défaillances / incidents lors

de l’utilisation de l’EPD.

Phase de vie effectuées On liste les différentes phases de vie pour lesquelles l’EPD peut être
dangereux

Effets donneurs Elément potentiellement Nature du flux Ensemble

Cette ligne décrit les effets dangereux ou On identifie le flux issu receveur
donneurs de l’EPD aux événement causant une de l’élément On identifie
ensembles receveurs situation dangereuse potentiellement l’ensemble
concernés. dangereux ou de receveur impacté
On identifie l’élément
Par effet donneur, il faut l’événement causant la par l’effet donneur
potentiellement
comprendre les effets générés situation dangereuse (ex. : personnel)
dangereux ou
par l’EPD sur les autres (ex. : décharge
l’événement causant une
ensembles avec lesquels il est électrique)
situation dangereuse
en interface fonctionnelle ou
(ex. : déchargement des
géographique
condensateurs lors d’une
maintenance de l’EPD)

Effets receveurs Nature du flux Source de danger

Cette ligne décrit les effets On identifie le flux que origine ou événement
receveurs subis par l’EPD. l’EPD est susceptible de causant la situation
Par effet receveur, il faut subir (ex. : choc dangereuse
comprendre les effets reçus mécanique) On identifie la source
par l’EPD provenant des de danger ou
autres ensembles avec l’événement causant la
lesquels il est en interface situation dangereuse
fonctionnelle ou géographique (ex. manutention
brutale en
maintenance)

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 7/12
 5.3 EXEMPLE : ANALYSE PRELIMINAIRE DES RISQUES TRANSVERSES PAR TABLEAUX

Une APR transverses peut se présenter sous la forme de tableau décrit ci-après :

Evénement Barrières prévues

Evénement
indépendant
N° causant la Situation Accident Respon
N° EPD causant Conséquence G F R
phase situation dangereuse potentiel Désignation Nature sabilité
l’accident
dangereuse marché
potentiel
A2 Mainte Transformateur Alimentation Présence de Présence de Electrocution Mort d’un 4 3
Catastro Système de Préventio Système
nance électrique Haute intempestive Haute personnel individu phique sécurité : n de
Tension Tension intervenant sur absence de sécurité
électrique le possibilité
transformateur d’alimentation
électrique lors
d’une
maintenance
• N° : cette colonne identifie par numéro le scénario accidentel étudié (déroulement du scénario accidentel, cotation du risque, proposition des
barrières)
• N° phase : cette colonne identifie les différentes phases pendant lesquelles le scénario accidentel peut se dérouler (fonctionnement,
maintenance…)
• EPD : cette colonne identifie l’Equipement Potentiellement Dangereux
• Evénement causant la situation dangereuse : cette colonne décrit l’événement causant la situation dangereuse
• Situation dangereuse : cette colonne décrit la situation dangereuse
• Evénement indépendant causant l’accident potentiel : cette colonne identifie l’événement indépendant causant l’accident potentiel
• Accident potentiel : cette colonne identifie l’accident potentiel
• Conséquence : cette colonne décrit la ou les conséquences de l’accident potentiel
• G : cette colonne donne le niveau de gravité du risque (c’est-à-dire le niveau de gravité de la conséquence de l’accident potentiel)
• F : cette colonne donne le niveau de fréquence du risque (c’est-à-dire le niveau de fréquence de la conséquence de l’accident potentiel)
• R : cette colonne donne le niveau du risque selon la grille gravité x fréquence établie.
• Barrières prévues : cette partie décrit la ou les barrières prévues pour maîtriser le risque
- Désignation : cette colonne décrit la barrière
- Nature : cette colonne donne la nature de la barrière (barrière de prévention ou de protection)
- Responsabilité marché : cette colonne indique quel est le responsable de mise en œuvre de la barrière (industriel, exploitant…)

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 8/12
5.4 EXEMPLE : HIERARCHISATION DES SCENARIOS ACCIDENTELS
Le tableau de classement des scénarios accidentels est élaboré à partir des Equipements Potentiellement
Dangereux et des événements causant la situation dangereuse.
Il peut se présenter sous la forme suivante :

EPD A EPD B EPD C

Evénement causant la
situation dangereuse
Evénement 1 SA n°A1 SA n°A2 /

Evénement 2 / SA n°B5 SA n°C1

Evénement 3 SA n°A7 SA n°C1 /

Evénement 4 / / SA n°B7

Nombre total de SA 2 3 2

Numéro du scénario accidentel identifié dans

le tableau APR de l’étape 2 (colonne 1)

5.5 EXEMPLE : SYNTHESE DES SCENARIOS ACCIDENTELS ET DES BARRIERES

Le tableau de synthèse des scénarios accidentels et des barrières prévues peut se présenter sous la forme
suivante :

Evénement Arbre de Scénarios accidentels analysés Barrières présentes dans l’AdD

Redouté Défaillances dans l’AdD

- Branche 1 - Système de sécurité : absence de

SA n°A2 : Electrocution lors de la possibilité d’alimentation électrique
maintenance du transformateur Haute lors d’une maintenance
Tension
Electrocution - Branche 2 - Procédure d’interdiction d’entrée
AdD 1
(gravité 4) SA n°A7 : Electrocution lors du dans le local à risque où se trouve le
fonctionnement du transformateur transformateur HT
Haute Tension suite à la présence - Système de sécurité : mise en
anormale de personnel sécurité du transformateur (coupure
de l’alimentation électrique).

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 9/12
 5.6 EXEMPLE : VISION GLOBALE DE LA TENUE AUX OBJECTIFS
Le tableau de tenue aux objectifs par scénarios accidentels peut se présenter sous la forme ci-dessous :

Scénario Accidentel Objectif Tenue à

Résultat
de l’objectif de Remarques
N Description obtenu
sécurité sécurité

Catégorie de source de danger 1 : Risque Electrique

Evénement Redouté : Electrocution
SAn°A2 Electrocution lors de la 3 barrières 2 barrières Objectif non Sans objet
maintenance du transformateur tenu
Haute Tension
SA n°A7 Electrocution lors du 3 barrières 3 barrières Objectif tenu Analyse
fonctionnement du probabiliste
transformateur Haute Tension à réaliser
suite à la présence anormale de
personnel
Catégorie de source de danger 2 : Risque Mécanique
Evénement Redouté : Chute

Le tableau de synthèse suivant permet d’avoir une vision globale sur la maîtrise des risques par différentes
catégories de risque :

Catégorie du Evénement Redouté Tenue à l’objectif de sécurité Remarques

risque
Electrocution – gravité 4 Objectif non tenu
Risque Electrique
Electrisation – gravité 3 Objectif tenu
Brûlure – gravité 4 Objectif tenu
Risque Laser
Brûlure – gravité 3 Objectif tenu

5.7 EXEMPLE : BARRIERES

Rappel :
Il est possible que l’on ne puisse pas se prononcer sur la fiabilité intrinsèque d’une barrière. On peut
toutefois évaluer le poids d’une barrière dans la tenue à l’objectif de sécurité fixé.
Pour se faire, on caractérise trois types de niveaux de barrière vis-à-vis de la tenue à l’objectif de sécurité :
une barrière est qualifiée de critique, sensible ou non-sensible.
• Une barrière est dite « critique » si sa combinaison avec les autres barrières du scénario accidentel étudié
ne permet pas d’atteindre l’objectif visé.
• Une barrière est dite « sensible » si sa défaillance conduit à elle seule à ne pas atteindre l’objectif de
sécurité.
• Une barrière est dite « non-sensible » si malgré sa défaillance l’objectif de sécurité reste atteint.

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 10/12
Un tableau de synthèse des différentes barrières peut se présenter sous la forme suivante :

Barrière Scénarios Accidentels dans

Niveau
N Marché Description lesquels la barrière intervient
B01 Système Barrière d’interdiction Critique SA n°A2
de d’alimentation électrique lors SA n°B7
Sécurité d’une maintenance de
transformateur HT
B02 Réseau Conception empêchant l’envoi Sensible SA n°D8
électrique intempestif de courant
électrique

B03 Exploitant Procédure de mise en sécurité Non sensible SA n°A7

en vue de la maintenance
d’un transformateur HT

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 11/12
 5.8 EXEMPLE : ANALYSE PAR CONFIGURATIONS ACCIDENTELLES
Les tableaux peuvent se présenter sous la forme suivante.

Catégorie Danger (ou Situation dangereuse Scénario Accidentel G F R Objectif Résultat Tenue
du risque flux de de
danger) l’objectif
N Lieu Description
Risque Rayonnement Présence anormale de personnel RN.01 Zone A Irradiation par rayonnement
radiologique neutronique dans une zone à risque en présence neutronique en présence anormale
de rayonnement neutronique de personnel dans la zone A
RN.02 Zone B Irradiation par rayonnement
neutronique en présence anormale
de personnel dans la zone B
Présence de rayonnement RN.03 Zone C Irradiation par rayonnement
neutronique suite à l’absence de neutronique en zone C suite à
confinement du rayonnement l’absence de confinement
RN.04 Zone D Irradiation par rayonnement
neutronique en zone D suite à
l’absence de confinement
Présence intempestive de RN.05 Zone A Irradiation par rayonnement
rayonnement neutronique en neutronique intempestif en présence
présence de personnel normale de personnel dans la zone
A
RN.06 Zone B Irradiation par rayonnement
neutronique intempestif en présence
normale de personnel dans la zone
B
Rayonnements Présence anormale de personnel RX.01 Zone A Irradiation par rayonnements X en
X dans une zone à risque en présence présence anormale de personnel
de rayonnement neutronique dans la zone A

Les 3 situations dangereuses génériques sont :

1 – la présence anormale de personnel en présence du danger
2 – la présence du danger suite à une absence du confinement du danger
3- la présence intempestive du danger

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement – Avignon 6-10 octobre 2008 - communication 2B-7 page 12/12
Approche de la maîtrise globale des risques pour des projets
complexes

Global risk management approach for complex projects

Auteurs :
Bruno CAUSSIOL, Hervé JANIAUT, Pascal TASSINARI - Société : AXILYA,
BORDEAUX et AIX EN PROVENCE
Virgile LA LUMIA - Société AREVA TA, AIX EN PROVENCE

RESUME

Les défis à relever afin de maîtriser les risques sont nombreux. Ces défis sont par exemple, la
multiplication et la complexité des systèmes, l’augmentation et l’évolution de la réglementation, la
mondialisation des activités ou encore la communication et la transparence.
Un projet complexe doit répondre à ces défis sachant qu’un tel projet novateur se compose d’une
multitude d’interfaces, qu’il est à l’origine de diverses sources de risques et qu’il se construit dans un
environnement incertain. Des méthodes et outils existent. L’objectif est d’approcher la maîtrise globale
des risques en utilisant ces moyens. Toutefois, ces moyens ne sont efficaces que si leur
enchaînement est structuré et complémentaire.

SUMMARY
There is many challenges in order to control risks. These challenges are, for example, the
multiplication and the complexity of systems, the increase and developments of regulations, the
globalization of activities, communication or transparency. A complex project must meet these
challenges, knowing that such an innovative project consists of a multitude of interfaces, and it will be
the origin of various sources of risk and will be built in an uncertain environment. Methods and tools
exist to control risks. The goal is to approach overall risk control by using these means. However,
these methods are effective only if their sequence is structured and complementary. The objective of
this article is to educate people involved in complex project to the challenges of such a project in terms
of risk control. To do this, the context of overall control risks is discussed in the first part of the article.
Then in the second part of the article, the approach that we used for the implementation of an
approach for overall control risk on complex projects will be explained.
In Annex are examples illustrating the context and the approach for the implementation of risk control
on a complex project.

REFERENCES

• Loi 2006-686 du 13 juin 2006 relative à la transparence et à la sécurité en matière de

nucléaire, loi dite de « TSN ».
• Décret 2007-1557 du 2 novembre 2007 relatif aux installations nucléaires de base et au
contrôle, en matière de sûreté nucléaire, du transport de substances radioactives, décret dit
« Procédures ».
• Sûreté de Fonctionnement des systèmes industriels, A. Villemeur 1988
• Code du travail et / ou directives européennes sur la conception et la protection des
travailleurs

16me Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement - Avignon 6-10 octobre 2008 - présentation 2B-7 page 1/1