RISK MANAGEMENT and ASSESSMENT

Identification des Dangers et
Evaluation des Risques
Methodes d‘analyse des
incidents/Accidents
Principe de Methode d‘Expertise
exemple Tripod Beta
Par Fj Guillou ,
Ingenieur Expert , Consultant Senior en Intégrité et fiabilité industrielles
HSEQIM des installations pétrochimiques

ETUDE de DANGERS , EVALUATION des
RISQUES , NŒUD PAPILLON, BARRIERES
fjguillou ingenieur consultant senior integrité HSEQIM

L’Evaluation des Risques est un Processus
Naturel et Simple...

les risques et leurs consequences
$

DANGER et RISQUE
Ref Glossaire SEI - circulaire ministerielle du 07/10/2005
DANGER :
« Cette notion définit une propriété intrinsèque à une substance
(butane, chlore…), à un système technique (mise sous pression
d'un gaz...), à une disposition (élévation d'une charge...) à un
organisme (microbes), produit financier ,etc., de nature à entraîner un
dommage sur un “ élément vulnérable ” [sont ainsi rattachées à la
notion de"danger" les notions d’inflammabilité ou d’explosivité, de
toxicité, de caractère infectieux, de speculation … inhérentes à un
produit et celle d'énergie disponible (potentielle) qui caractérisent le
danger]
RISQUE:
« Possibilité de survenance d’un dommage résultant d’une
exposition aux effets d’un phénomène dangereux. Dans le
contexte propre au « risque technologique », le risque est, pour un
accident donné, la combinaison de la probabilité d’occurrence
d’un événement redouté/final considéré (incident ou accident) et la
gravité de ses conséquences sur des éléments vulnérables

Une route dite Deadman’s curve
Notion de danger et de risque sur route de montagne
Danger Risque

Le risque selon Farmer
Probabilité

MMR ou Barrieres techniques de securite BTS
Notion de Barrières de prévention et de protection
Prévention +Protection

Check signals barriere humaine de securite BHS
exemple de Non Efficacité des mesures de réduction du risque BHS

Maîtrise des risques ( Etude de dangers)
Identification des Dangers ,ID
Evaluation du niveau de risque ,ER
Positionnement matrice de criticité
Nœud Papillon
Mesures de Maitrise du risque /Barriere s de
securité
Analyse et suivi de la fiabilite des barrieres

Processus IDER ( PHA)

MATRICE DE CRITICITE et PERCEPTION DU RISQUE
d’OCCURRENCE d’un EVENEMENT REDOUTE , 80/20
Fréquent ou
peu fréquent
Rare
Extrêmement
rare
Extrêmement
improbable
Gravité
Probabilité
30 23 12 8
20
15
8
10 9
3 12
3 2
3
C3
inacceptable
en l’état
C2
acceptabl
e sous
contrôle
C1
acceptabl
e
en l’état
DrM.C.Moll/CNAM
12

Gestion d’un Evenement Redouté , le Noeud Papillon
$
cause
cause
cause
cause
cause
consequence
consequence
consequence
consequence
consequence
barrieres
cause
Perte
d’Integrité

Arbre de causes
Incident/
Accident
Causes
Arbre de consequences
Dommages
LA Methodologie du Noeud Papillon
Toout ce qui a conduit a
L’accident
Tout ce qui s’est passé après
L’accident

NŒUD PAPILLON

Exemple de Barrières de Prévention ou Protection
Technique ou Humaine BTS ou BHS

Echelle de Probabilité ( Prevention)

Envoi d’azote avec vanne de
déchargement côté liquide
fermée + défaillance détendeur
F=10-2/an
Défaillance de la PV lors du test
d’étanchéité
F=10-1an
Eclatement
pneumatique par
montée en pression
Pression de N2 trop élevée
(défaillance détendeur N2)
F=10-1/an
9
5IPL
F= 2.1 10-
6/an
9
5IPL
9
5IPL
F= 10-6/an
F= 10-7/an
F= 10-6/an
Exemple de Calcul de Probabilité pour un ERC (issu de
l’Etude de Dangers) avec effet de barrieres MMRI BTS
vidange Citerne routiere liquide par N2 sous pression
Somme avant : 10-1 +10-2 +10-1 =2,1*10-1 inacceptable
Somme après :10-5*10-1= 10-6 + 10-2*10-5=10-7 + 10-1*10-5=10-6
= 2,1*10-6 Resultat probabilite Acceptable
9 : Soupape à 2 b après détendeur (1,5b) sur réseau azote usine (P nominal 3,5 bg et
P design 4 bg)

Arbre des causes
Accident
Causes
Arbre des
consequences
Dommage
s
Mais les Barrieres sont elles fiables?

Nœud papillon medical selon BOWTIE XP (UK)

Fiabilite des Barrieres de securite
Approche Française selon le MEEDAT et l’ Ineris BTS et BHS

2 Approches d’analyses semi quantitatives
• Approche française
1. Pas de logiciel de simulation disponible
2. Non pragmatique
3. Basée sur un calcul de probabilte BTS et approche qualitative pour les BHS
4. Pas de recul suffisant de la methode depuis 2006
5. Pas d’echange professionnel ( forum , rex…) des methodes ( ex nucleaire, airbus ,)
• Approche Anglosaxonne de J Reason (Shell,universites UK)
1. Logiciels d’expertise TripodBeta, Bow tie xp.. mais en anglais uniquement
2. Pragmatique, facile de comprehension ,fiable
3. Base sur une approche deterministe semi quantitative ( pareto facteurs de risques)
4. Recul depuis 1995 pour tout secteurs industries , medical, finance, etc ….
5. forum d’echanges international ( Usa, UK ,Allemagne, NL, Aust )
6. Pas de traduction française a ce jour
• En Expertise : Approche de J Reason plus fiable et rapide

Modele du Gruyere ou Swiss Cheese ( J Reason)

UNE APPROCHE SYSTÉMIQUE BASÉE
SUR LE SCHÉMA DE JAMES REASON (cas Medical)
Chaque niveau est producteur de défaillances
Erreurs patentes:
ex: erreur de voie
d’administration
médicament
Conditions
de travail
Tâches
Equipe
Soignant
Patient
Organisation
Contexte
institutionnel
Et de protections
Erreurs/causes
latentes : ex:
insuffisance
d’organisation du
système, allergie non
connu du malade,
absence de
coordination, protocole
inadapté
Défenses en
profondeur
érodées ex:
matériel anciennes
alarmes moins
performantes
Reason J. In : L’erreur humaine - Le travail humain. Paris, PUF, 1993
ACCIDENT
Patient
DrM.C.Moll/CNAM
24

Methode Arbre des Causes
( post accident)
Theoriquement ,un noeud papillon (portes ET/OU ) devrait etre
construit pour tout evenement redoute , les barrieres de
securité necessaires etant effectives et operationnelles
Dans ce cas , l’expert utiliserait le noeud papillon theorique
existant pour analyser directement la non
fiabilite/dysfonctionnement des barrieres techniques et
humaines en place, afin d’en determiner les facteurs des causes
dans les incidents.
Malheureusement ces noeuds papillons n’existent pas encore
systematiquement et l’expert doit reconstruire le noeud
papillon a partir de données et de faits constatés apres
l’accident ( portes ET uniquement)

Methode Systemique Tripod Beta
La theorie Tripod Beta a demarré avec la recherche realisée
dans les années 1990, dans le domaine des facteurs de
comportement humain dans les incidents.
La recherche a été initiée et preconisée par le groupe petrolier
Shell International et realisée par les Universités de Leiden et
de Victoria à Manchester, au Royaume Uni
Appui de l’environnement Petrole Offshore Mer du Nord ainsi
que l’approche loss prevention insurance ( Maitrise de pertes ,
Classification des aeronefs et navires , securite aerienne et
Assurances maritimes, )

La methode Tripod Beta internationale en 3
etapes
La 1ere Etape Consiste à :identifier tous les evenements survenus
pendant l’incident sont listés dans une chaine ou Arbre des Causes
la question posée à cette etape est :‘ que s’est il reellement
passé?’.
La 2e Etape consiste à : identifier/ placer toutes les barrieres qui ,par
leur defaillance ou leur absence , n’ont pu stopper cette chaine
d’evenements.
La question posée a cette etape est :‘comment est ce arrivé?
La 3e Etape consiste à : analyser la raison de defaillance/absence de
ces barrieres Pour chacune des barrieres defaillante un chemin des
causes est identifié.
La question a cette etape est: ‘Pourquoi est ce Arrivé?’.

1. Que s’est il passé?
• Tout d’abord il faut identifier ce qui s’est passé durant
l’ incident; quels sont les evenements survenus .
• Ceci est est le coeur du diagram tripod representé par 3
cases : le‘ Trio’.
• Ces 3 elements sont : Agent du Changement , Objet et
Evenement
• Le trio peut etre expliqué par une porte “ ET ”, l’Agent et
l’Objet doivent etre present pour que l’ Evenement ait lieu
• L’ Agent agissant sur l’ Objet pour changer son etat ou sa
condition qui se transforme alors en Evenement.
• Dans un arbre tripod il peut y avoir de multiple trios.
• Des Evenements peuvent notamment devenir de nouveaux
Agents ou Objets …

Agent
Un Agent is une entité à potentiel de changement , portant
atteinte ou pouvant endommager un object sur lequel il agit .
Les Agents peuvent etre par exemple une source d’energie ou
etre de nature plus abstraite .
Exemples d’ Agent :
•Travail en hauteur
•Matiere Explosive
•Crise Economique
•Un job/une tache a faire ou a realiser

Objet
L‘Objet est l’element qui est modifié par une exposition à un
Hazard ( situation dangereuse ou a risque ) .
L’Objet peut etre quelqu’un ou quelque chose qui est atteint ,
modifié ou endommagé.
Exemples d’Objets :
•Employé, personnes
•IT system ( systeme informatique)
•Environnement
•Equipement , bien , materiel , systeme ….

Evenements
Dans la Theorie tripod beta ,un Evenement est un fait,
caracterisé par un ‘changement d’etat’, par lequel un objet is
affecté par un Agent.
Tous les evenements peuvent causer un incident/accident
potential , un dommage ou une perte .
Exemples d’ Evenements :
•doigt coupé
•Collision de voiture
•Un investissement financier a perte
•Un incendie ou une explosion

2. Comment cela s’est il passé?, Barrieres
La seconde etape de l’analyse tripod beta est d’analyser comment l’
incident aurait pu arriver par identification de barrieres defaillantes .
Les barrieres peuvent etre placées entre l’ Agent et l’Evenement
et/ou entre l’ Objet et l’Evenement.
l’identification de ces deux types de barrieres doivent repondre a 2
questions:
•Qu’est ce qui aurait du prevenir/arreter l’exposition de l’ Agent au
risque d’un incident ?
•Qu’est ce qui aurait du proteger l’ Objet de l’ Evenement /incident ?
•
Les Barrieres peuvent avoir un effet sur le Hazard ( ex :Controles
preventifs ) ou sur l’ Objet ( ex: casque de protection).
Dans une analyse Tripod , une Barriere peut etre qualifiée de
defaillante, manquante ou effective.

3. Pourquoi cela s’est il passé ?
La deniere etape est d’ identifier pourquoi l’ incident a eu lieu ;
quelles sont les causes de defaillance des barrieres ?
Pour analyser cette situation nous suivrons un chemin
particulier, appellé ‘ chemin des causes ’.
Ce chemin consiste en 3 items:
• Cause Immediate
• Precondition(s) ou cause(s) fondamentale(s)
• Causes sous jacentes( underlying cause) , management des
hommes et organisations , dont Cause(s) racine(s)

La methode Tripod Beta

Human Behaviour Model

Arbre des causes tripod beta

Cause Immediate /defaillance active
La Cause Immediate ou defaillance active, identifie l’acte
humain qui est la directe cause de la perte de la Barriere .
La methode Tripod beta est basée sur la theorie de l’ Erreur
Humaine. Cette theorie stipule que les incidents surviennent
quant les personnes font des erreurs , et manquent au
maintien des barrieres en place ou en fonctionnement
( barrieres techniques ou humaines)
Ces erreurs sont des Causes Immediates.
Exemples de Causes Immediates:
•Negligence de port des EPI, defaut materiel ,…
•Mauvaise decision d‘action ( ex emails, IT, …)
•Usage d’outils Inappropriés
•Lacune FMDS ( fiabilite , maintenabilite, disponibilite, Securite )

Preconditions ou cause fondamentale
La Precondition est l’etat environnemental, de situation ou de
psychologie dans lequel la Cause Immediate / defaillance
Active prend place.
Elle explique le contexte de l’erreur humaine et la gestion de la
rupture conduisant à la defaillance Active .
Ceci peut etre relatif à : supervision , formation / training,
instructions, procedures, etc...
Exemples de Preconditions :
•Mauvaise vue,
•Budget tronqués
•Mauvaise ergonomie des outils
•Procedures incomplete

Causes sous jacentes racines systeme
Les Causes sous jacentes sont des deficiences du Systeme
de Management qui impliquent les Preconditions.
Les Causes sous jacentes agissent sur un niveau du systeme ,
et qui impliquent toujours l’ organisation et les hommes .
Une Cause sous jacente n’est pas un incident ,mais est
presente durant un periode plus longue ; c’est une defaillance
sous jacente .
Exemples de Causes sous jacentes :
•Formation/qualification Inadequate
•Identification des dangers/risques non exhaustif ou defaillant
•Politiques Budgetaire ,de Fiabilite , de HSE , de Concurrence ….
Les Causes sous jacentes sont classées en Facteurs de risque de
base , en lien direct avec le Systeme de Management

• Organisation, management des ressources
• Conception / Changement, equipements , outils, modifications…
• Assurance qualité , des installations des composants ,des
equipements , vieillissement des installations
• Management de la maintenance ( fiabilité , suivi des arrets …)
• Nettoyage /rangement des installations ,ordre et propreté…
• Procédures ( non applicable , bypass, obsolescence…)
• Communication ( pertes en ligne, compréhension,interfaces …)
• Objectifs incompatibles ( sécurité/production/couts…)
• Compétences ,Formations des hommes et de l’encadrement
• Barrières de Defenses ( defauts ),systemes , organisation..
• Conditions de Travail ( RPS , contraintes ,changement ,stress
CHSCT ,…)
Causes Racines ,Facteurs de Risques d’origine
Hommes et Organisations , 11 facteurs

Impossible d’afficher l’image.
HSEQIM Pertes d‘Integrité ,
ex: en Securité des Procédés
Le facteur humain
La méthode Inernationale Tripod Beta d’analyse
des Incidents /pertes d’intégrité /Accidents …
Applicable a tout type de Pertes : Financiere/
Industrielle / Environnementale / Materielle /
Santé / Sureté , …

Le facteur humain en Intégrité /sécurité
• Pourquoi le facteur humain est il un sujet important?
• Les différents types d’erreurs
• Des exemples d’erreurs dans la vie quotidienne
• Le facteur humain dans les incidents majeurs:
exemples
• Des exemples d’erreurs dans les usines, dans la vie
• l’expertise basée sur le Swiss cheese pour réduire
la probabilité et les conséquences des erreurs
humaines

L’erreur dans la vie quotidienne
• Une inattention – Ranger le lait dans le placard au lieu du
réfrigérateur
• Un oubli – Brûler le contenu d’une casserole sur le feu
pendant un match à la télévision
• Manque de connaissance – Acheter des fournitures qui ne
conviennent pas pour un travail de bricolage.
• Non respect routinier – Conduire au dessus de la limite de
vitesse.
• Non respect circonstanciel – Conduire avec le pare brise
givré alors que vous partez en retard pour le travail
• Non respect accidentel – Utiliser une tondeuse à gazon
electrique en shuntant le fusible qui est fondu (ou le
disjoncteur qui est défaillant)

Des Exemples d’Erreurs en usine
Inattention – Introduire trop de catalyseur en entrant un mauvais point
de consigne dans le Systeme de conduite centralisé
Oubli – Le chauffeur d’un camion citerne de LPG démarre sans que le
bras de déchargement soit déconnecté
Manque de connaissance - La station de comptage d’un gaz subit un
coup de bélier en provenance du pipeline, suite à fermeture d’une
vanne.
Non respect routinier – Ne pas réaliser une tâche conformément à la
procédure
Non respect circonstanciel – Redémarrer à la va-vite un équipement
pour éviter un arrêt usine
Non respect accidentel – Ne pas sonner tout de suite la sirène
d’évacuation sur alarme gaz pour permettre à un collègue de faire des
vérifications sur le terrain.

Exemple 1: 2005 Buncefield UK
• Débordement d’une quantité
importante d’essence par les évents
d’un bac de stockage
• 45 victimes
• Destruction des locaux de 20
entreprises employant 5000
personnes.
• Apparemment l’explosion la plus
importante en Europe depuis 1945.
• C’était un samedi à 6h du matin
Protections défaillantes:
• La jauge de niveau automatique
était hors service
• La sécurité de niveau haut qui aurait
du couper l’alimentation ne
fonctionnait pas
automatic

L’explosion de Buncefield : le facteur humain
• Les opérateurs étaient habitués à travailler avec la jauge de
niveau qui ne fonctionnait pas correctement. La sécurité de
niveau haut était très sollicitée….
• La technologie de la sécurité de niveau haut n’était pas
comprise par les intervenants de maintenance.
Non respect routinier
Manque de connaissance

Exemple 2 : logistique
• 2 débordements indépendants de wagons
• Epandage de produits combustibles : 14 et 18 tonnes
Causes directes en lien avec le facteur humain:
Les procédures opératoires n’avaient pas été suivies.
Causes indirectes en lien avec le facteur humain:
Les procédures de chargement n’étaient pas toujours très claires.
La communication de plusieurs secteurs operations était impliquée.
Manque de connaissance du fonctionnement d’un instrument en
particulier.
Les protections nécessaires n’ont pas été clairement identifiées à la
conception.

L’analyse du facteur humain 1 :
Processus fondamentaux de Derives Humaines
Il s’agit de determiner les predispositions personnelles qui
conduisent à des actes dangereux
Les 7 types les plus répandus d’erreur humaine sont :
La Routine ( ex : Habitude d’enfreindre une régle.)
La Precipitation (ex : activites realisées dans l’urgence)
La Polarisation et la non detection du changement
( ex: vigilance…)
La non transmission d’Informations (ex: oublis, … )
La Negation des risques (ex: conflits d’interets)
La Baisse de Vigilance (ex: fatigue…)
L’Absence de Reactivité (ex :signaux d’alerte non perçus)

L’analyse du facteur humain 2 :
Une pratique que nous pouvons intégrer
Il s’agit d’examiner les raisons des erreurs humaines et
comment elles peuvent être identifiées à la conception, la
formation, les procédures, etc
Les types les plus répandus d’erreur humaine sont
:
L’oubli – C’est une question de mémoire
L’inattention – Par mégarde ou inadvertance.
Le manque de connaissance – Par exemple formation
insuffisante
Non respect routinier – Habitude d’enfreindre une régle.
Non respect circonstanciel – Enfreindre une règle dans
certaines situations occasionnelles, violation
Non respect accidentel – Enfreindre une régle dans une
situation exceptionnelle , violation

Swiss Cheese et Barrieres de securité

Cabinet d’ingenieur Conseil Fj Guillou,
Consultant senior en ingénierie et fiabilite industrielles et commerciales
Integrité des installations de petrochimie industrielles
AIRM Asset Integrity Risk Management , usines tous corps d’etat
fernand-jacques.guillou@wanadoo.fr ; tel : 06 08 52 85 10
PS: site internet tripod beta et delta , version essai trial software disponible
Formations , Informations complementaires

RISK MANAGEMENT and ASSESSMENT

Recommandé

Recommandé

Contenu connexe

Similaire à RISK MANAGEMENT and ASSESSMENT

Similaire à RISK MANAGEMENT and ASSESSMENT (20)

Plus de Fernand-Jacques GUILLOU

Plus de Fernand-Jacques GUILLOU (15)

RISK MANAGEMENT and ASSESSMENT