1. Identification des Dangers et
Evaluation des Risques
Methodes d‘analyse des
incidents/Accidents
Principe de Methode d‘Expertise
exemple Tripod Beta
Par Fj Guillou ,
Ingenieur Expert , Consultant Senior en Intégrité et fiabilité industrielles
HSEQIM des installations pétrochimiques
2. ETUDE de DANGERS , EVALUATION des
RISQUES , NŒUD PAPILLON, BARRIERES
fjguillou ingenieur consultant senior integrité HSEQIM
3. L’Evaluation des Risques est un Processus
Naturel et Simple...
fjguillou ingenieur consultant senior integrité HSEQIM
4. les risques et leurs consequences
$
fjguillou ingenieur consultant senior integrité HSEQIM
5. DANGER et RISQUE
Ref Glossaire SEI - circulaire ministerielle du 07/10/2005
DANGER :
« Cette notion définit une propriété intrinsèque à une substance
(butane, chlore…), à un système technique (mise sous pression
d'un gaz...), à une disposition (élévation d'une charge...) à un
organisme (microbes), produit financier ,etc., de nature à entraîner un
dommage sur un “ élément vulnérable ” [sont ainsi rattachées à la
notion de"danger" les notions d’inflammabilité ou d’explosivité, de
toxicité, de caractère infectieux, de speculation … inhérentes à un
produit et celle d'énergie disponible (potentielle) qui caractérisent le
danger]
RISQUE:
« Possibilité de survenance d’un dommage résultant d’une
exposition aux effets d’un phénomène dangereux. Dans le
contexte propre au « risque technologique », le risque est, pour un
accident donné, la combinaison de la probabilité d’occurrence
d’un événement redouté/final considéré (incident ou accident) et la
gravité de ses conséquences sur des éléments vulnérables
fjguillou ingenieur consultant senior integrité HSEQIM
6. Une route dite Deadman’s curve
Notion de danger et de risque sur route de montagne
Danger Risque
fjguillou ingenieur consultant senior integrité HSEQIM
7. Le risque selon Farmer
Probabilité
fjguillou ingenieur consultant senior integrité HSEQIM
8. MMR ou Barrieres techniques de securite BTS
Notion de Barrières de prévention et de protection
Prévention +Protection
fjguillou ingenieur consultant senior integrité HSEQIM
9. Check signals barriere humaine de securite BHS
exemple de Non Efficacité des mesures de réduction du risque BHS
fjguillou ingenieur consultant senior integrité HSEQIM
10. Maîtrise des risques ( Etude de dangers)
Identification des Dangers ,ID
Evaluation du niveau de risque ,ER
Positionnement matrice de criticité
Nœud Papillon
Mesures de Maitrise du risque /Barriere s de
securité
Analyse et suivi de la fiabilite des barrieres
fjguillou ingenieur consultant senior integrité HSEQIM
12. MATRICE DE CRITICITE et PERCEPTION DU RISQUE
d’OCCURRENCE d’un EVENEMENT REDOUTE , 80/20
Fréquent ou
peu fréquent
Rare
Extrêmement
rare
Extrêmement
improbable
Gravité
Probabilité
30 23 12 8
20
15
8
10 9
3 12
3 2
3
C3
inacceptable
en l’état
C2
acceptabl
e sous
contrôle
C1
acceptabl
e
en l’état
DrM.C.Moll/CNAM
12
fjguillou ingenieur consultant senior integrité HSEQIM
13. Gestion d’un Evenement Redouté , le Noeud Papillon
$
cause
cause
cause
cause
cause
consequence
consequence
consequence
consequence
consequence
barrieres
cause
Perte
d’Integrité
fjguillou ingenieur consultant senior integrité HSEQIM
14. Arbre de causes
Incident/
Accident
Causes
Arbre de consequences
Dommages
LA Methodologie du Noeud Papillon
Toout ce qui a conduit a
L’accident
Tout ce qui s’est passé après
L’accident
fjguillou ingenieur consultant senior integrité HSEQIM
18. Envoi d’azote avec vanne de
déchargement côté liquide
fermée + défaillance détendeur
F=10-2/an
Défaillance de la PV lors du test
d’étanchéité
F=10-1an
Eclatement
pneumatique par
montée en pression
Pression de N2 trop élevée
(défaillance détendeur N2)
F=10-1/an
9
5IPL
F= 2.1 10-
6/an
9
5IPL
9
5IPL
F= 10-6/an
F= 10-7/an
F= 10-6/an
Exemple de Calcul de Probabilité pour un ERC (issu de
l’Etude de Dangers) avec effet de barrieres MMRI BTS
vidange Citerne routiere liquide par N2 sous pression
Somme avant : 10-1 +10-2 +10-1 =2,1*10-1 inacceptable
Somme après :10-5*10-1= 10-6 + 10-2*10-5=10-7 + 10-1*10-5=10-6
= 2,1*10-6 Resultat probabilite Acceptable
9 : Soupape à 2 b après détendeur (1,5b) sur réseau azote usine (P nominal 3,5 bg et
P design 4 bg)
fjguillou ingenieur consultant senior integrité HSEQIM
19. Arbre des causes
Accident
Causes
Arbre des
consequences
Dommage
s
Mais les Barrieres sont elles fiables?
fjguillou ingenieur consultant senior integrité HSEQIM
20. Nœud papillon medical selon BOWTIE XP (UK)
fjguillou ingenieur consultant senior integrité HSEQIM
21. Fiabilite des Barrieres de securite
Approche Française selon le MEEDAT et l’ Ineris BTS et BHS
fjguillou ingenieur consultant senior integrité HSEQIM
22. 2 Approches d’analyses semi quantitatives
• Approche française
1. Pas de logiciel de simulation disponible
2. Non pragmatique
3. Basée sur un calcul de probabilte BTS et approche qualitative pour les BHS
4. Pas de recul suffisant de la methode depuis 2006
5. Pas d’echange professionnel ( forum , rex…) des methodes ( ex nucleaire, airbus ,)
• Approche Anglosaxonne de J Reason (Shell,universites UK)
1. Logiciels d’expertise TripodBeta, Bow tie xp.. mais en anglais uniquement
2. Pragmatique, facile de comprehension ,fiable
3. Base sur une approche deterministe semi quantitative ( pareto facteurs de risques)
4. Recul depuis 1995 pour tout secteurs industries , medical, finance, etc ….
5. forum d’echanges international ( Usa, UK ,Allemagne, NL, Aust )
6. Pas de traduction française a ce jour
• En Expertise : Approche de J Reason plus fiable et rapide
fjguillou ingenieur consultant senior integrité HSEQIM
23. Modele du Gruyere ou Swiss Cheese ( J Reason)
fjguillou ingenieur consultant senior integrité HSEQIM
24. UNE APPROCHE SYSTÉMIQUE BASÉE
SUR LE SCHÉMA DE JAMES REASON (cas Medical)
Chaque niveau est producteur de défaillances
Erreurs patentes:
ex: erreur de voie
d’administration
médicament
Conditions
de travail
Tâches
Equipe
Soignant
Patient
Organisation
Contexte
institutionnel
Et de protections
Erreurs/causes
latentes : ex:
insuffisance
d’organisation du
système, allergie non
connu du malade,
absence de
coordination, protocole
inadapté
Défenses en
profondeur
érodées ex:
matériel anciennes
alarmes moins
performantes
Reason J. In : L’erreur humaine - Le travail humain. Paris, PUF, 1993
ACCIDENT
Patient
DrM.C.Moll/CNAM
24
fjguillou ingenieur consultant senior integrité HSEQIM
25. Methode Arbre des Causes
( post accident)
Theoriquement ,un noeud papillon (portes ET/OU ) devrait etre
construit pour tout evenement redoute , les barrieres de
securité necessaires etant effectives et operationnelles
Dans ce cas , l’expert utiliserait le noeud papillon theorique
existant pour analyser directement la non
fiabilite/dysfonctionnement des barrieres techniques et
humaines en place, afin d’en determiner les facteurs des causes
dans les incidents.
Malheureusement ces noeuds papillons n’existent pas encore
systematiquement et l’expert doit reconstruire le noeud
papillon a partir de données et de faits constatés apres
l’accident ( portes ET uniquement)
fjguillou ingenieur consultant senior integrité HSEQIM
26. Methode Systemique Tripod Beta
La theorie Tripod Beta a demarré avec la recherche realisée
dans les années 1990, dans le domaine des facteurs de
comportement humain dans les incidents.
La recherche a été initiée et preconisée par le groupe petrolier
Shell International et realisée par les Universités de Leiden et
de Victoria à Manchester, au Royaume Uni
Appui de l’environnement Petrole Offshore Mer du Nord ainsi
que l’approche loss prevention insurance ( Maitrise de pertes ,
Classification des aeronefs et navires , securite aerienne et
Assurances maritimes, )
fjguillou ingenieur consultant senior integrité HSEQIM
27. La methode Tripod Beta internationale en 3
etapes
La 1ere Etape Consiste à :identifier tous les evenements survenus
pendant l’incident sont listés dans une chaine ou Arbre des Causes
la question posée à cette etape est :‘ que s’est il reellement
passé?’.
La 2e Etape consiste à : identifier/ placer toutes les barrieres qui ,par
leur defaillance ou leur absence , n’ont pu stopper cette chaine
d’evenements.
La question posée a cette etape est :‘comment est ce arrivé?
La 3e Etape consiste à : analyser la raison de defaillance/absence de
ces barrieres Pour chacune des barrieres defaillante un chemin des
causes est identifié.
La question a cette etape est: ‘Pourquoi est ce Arrivé?’.
fjguillou ingenieur consultant senior integrité HSEQIM
28. 1. Que s’est il passé?
• Tout d’abord il faut identifier ce qui s’est passé durant
l’ incident; quels sont les evenements survenus .
• Ceci est est le coeur du diagram tripod representé par 3
cases : le‘ Trio’.
• Ces 3 elements sont : Agent du Changement , Objet et
Evenement
• Le trio peut etre expliqué par une porte “ ET ”, l’Agent et
l’Objet doivent etre present pour que l’ Evenement ait lieu
• L’ Agent agissant sur l’ Objet pour changer son etat ou sa
condition qui se transforme alors en Evenement.
• Dans un arbre tripod il peut y avoir de multiple trios.
• Des Evenements peuvent notamment devenir de nouveaux
Agents ou Objets …
fjguillou ingenieur consultant senior integrité HSEQIM
29. Agent
Un Agent is une entité à potentiel de changement , portant
atteinte ou pouvant endommager un object sur lequel il agit .
Les Agents peuvent etre par exemple une source d’energie ou
etre de nature plus abstraite .
Exemples d’ Agent :
•Travail en hauteur
•Matiere Explosive
•Crise Economique
•Un job/une tache a faire ou a realiser
fjguillou ingenieur consultant senior integrité HSEQIM
30. Objet
L‘Objet est l’element qui est modifié par une exposition à un
Hazard ( situation dangereuse ou a risque ) .
L’Objet peut etre quelqu’un ou quelque chose qui est atteint ,
modifié ou endommagé.
Exemples d’Objets :
•Employé, personnes
•IT system ( systeme informatique)
•Environnement
•Equipement , bien , materiel , systeme ….
fjguillou ingenieur consultant senior integrité HSEQIM
31. Evenements
Dans la Theorie tripod beta ,un Evenement est un fait,
caracterisé par un ‘changement d’etat’, par lequel un objet is
affecté par un Agent.
Tous les evenements peuvent causer un incident/accident
potential , un dommage ou une perte .
Exemples d’ Evenements :
•doigt coupé
•Collision de voiture
•Un investissement financier a perte
•Un incendie ou une explosion
fjguillou ingenieur consultant senior integrité HSEQIM
32. 2. Comment cela s’est il passé?, Barrieres
La seconde etape de l’analyse tripod beta est d’analyser comment l’
incident aurait pu arriver par identification de barrieres defaillantes .
Les barrieres peuvent etre placées entre l’ Agent et l’Evenement
et/ou entre l’ Objet et l’Evenement.
l’identification de ces deux types de barrieres doivent repondre a 2
questions:
•Qu’est ce qui aurait du prevenir/arreter l’exposition de l’ Agent au
risque d’un incident ?
•Qu’est ce qui aurait du proteger l’ Objet de l’ Evenement /incident ?
•
Les Barrieres peuvent avoir un effet sur le Hazard ( ex :Controles
preventifs ) ou sur l’ Objet ( ex: casque de protection).
Dans une analyse Tripod , une Barriere peut etre qualifiée de
defaillante, manquante ou effective.
fjguillou ingenieur consultant senior integrité HSEQIM
33. 3. Pourquoi cela s’est il passé ?
La deniere etape est d’ identifier pourquoi l’ incident a eu lieu ;
quelles sont les causes de defaillance des barrieres ?
Pour analyser cette situation nous suivrons un chemin
particulier, appellé ‘ chemin des causes ’.
Ce chemin consiste en 3 items:
• Cause Immediate
• Precondition(s) ou cause(s) fondamentale(s)
• Causes sous jacentes( underlying cause) , management des
hommes et organisations , dont Cause(s) racine(s)
fjguillou ingenieur consultant senior integrité HSEQIM
37. Cause Immediate /defaillance active
La Cause Immediate ou defaillance active, identifie l’acte
humain qui est la directe cause de la perte de la Barriere .
La methode Tripod beta est basée sur la theorie de l’ Erreur
Humaine. Cette theorie stipule que les incidents surviennent
quant les personnes font des erreurs , et manquent au
maintien des barrieres en place ou en fonctionnement
( barrieres techniques ou humaines)
Ces erreurs sont des Causes Immediates.
Exemples de Causes Immediates:
•Negligence de port des EPI, defaut materiel ,…
•Mauvaise decision d‘action ( ex emails, IT, …)
•Usage d’outils Inappropriés
•Lacune FMDS ( fiabilite , maintenabilite, disponibilite, Securite )
fjguillou ingenieur consultant senior integrité HSEQIM
38. Preconditions ou cause fondamentale
La Precondition est l’etat environnemental, de situation ou de
psychologie dans lequel la Cause Immediate / defaillance
Active prend place.
Elle explique le contexte de l’erreur humaine et la gestion de la
rupture conduisant à la defaillance Active .
Ceci peut etre relatif à : supervision , formation / training,
instructions, procedures, etc...
Exemples de Preconditions :
•Mauvaise vue,
•Budget tronqués
•Mauvaise ergonomie des outils
•Procedures incomplete
fjguillou ingenieur consultant senior integrité HSEQIM
39. Causes sous jacentes racines systeme
Les Causes sous jacentes sont des deficiences du Systeme
de Management qui impliquent les Preconditions.
Les Causes sous jacentes agissent sur un niveau du systeme ,
et qui impliquent toujours l’ organisation et les hommes .
Une Cause sous jacente n’est pas un incident ,mais est
presente durant un periode plus longue ; c’est une defaillance
sous jacente .
Exemples de Causes sous jacentes :
•Formation/qualification Inadequate
•Identification des dangers/risques non exhaustif ou defaillant
•Politiques Budgetaire ,de Fiabilite , de HSE , de Concurrence ….
Les Causes sous jacentes sont classées en Facteurs de risque de
base , en lien direct avec le Systeme de Management
fjguillou ingenieur consultant senior integrité HSEQIM
40. • Organisation, management des ressources
• Conception / Changement, equipements , outils, modifications…
• Assurance qualité , des installations des composants ,des
equipements , vieillissement des installations
• Management de la maintenance ( fiabilité , suivi des arrets …)
• Nettoyage /rangement des installations ,ordre et propreté…
• Procédures ( non applicable , bypass, obsolescence…)
• Communication ( pertes en ligne, compréhension,interfaces …)
• Objectifs incompatibles ( sécurité/production/couts…)
• Compétences ,Formations des hommes et de l’encadrement
• Barrières de Defenses ( defauts ),systemes , organisation..
• Conditions de Travail ( RPS , contraintes ,changement ,stress
CHSCT ,…)
fjguillou ingenieur consultant senior integrité HSEQIM
Causes Racines ,Facteurs de Risques d’origine
Hommes et Organisations , 11 facteurs
41. Impossible d’afficher l’image.
HSEQIM Pertes d‘Integrité ,
ex: en Securité des Procédés
Le facteur humain
La méthode Inernationale Tripod Beta d’analyse
des Incidents /pertes d’intégrité /Accidents …
Applicable a tout type de Pertes : Financiere/
Industrielle / Environnementale / Materielle /
Santé / Sureté , …
42. Le facteur humain en Intégrité /sécurité
• Pourquoi le facteur humain est il un sujet important?
• Les différents types d’erreurs
• Des exemples d’erreurs dans la vie quotidienne
• Le facteur humain dans les incidents majeurs:
exemples
• Des exemples d’erreurs dans les usines, dans la vie
• l’expertise basée sur le Swiss cheese pour réduire
la probabilité et les conséquences des erreurs
humaines
fjguillou ingenieur consultant senior integrité HSEQIM
43. L’erreur dans la vie quotidienne
• Une inattention – Ranger le lait dans le placard au lieu du
réfrigérateur
• Un oubli – Brûler le contenu d’une casserole sur le feu
pendant un match à la télévision
• Manque de connaissance – Acheter des fournitures qui ne
conviennent pas pour un travail de bricolage.
• Non respect routinier – Conduire au dessus de la limite de
vitesse.
• Non respect circonstanciel – Conduire avec le pare brise
givré alors que vous partez en retard pour le travail
• Non respect accidentel – Utiliser une tondeuse à gazon
electrique en shuntant le fusible qui est fondu (ou le
disjoncteur qui est défaillant)
fjguillou ingenieur consultant senior integrité HSEQIM
44. Des Exemples d’Erreurs en usine
Inattention – Introduire trop de catalyseur en entrant un mauvais point
de consigne dans le Systeme de conduite centralisé
Oubli – Le chauffeur d’un camion citerne de LPG démarre sans que le
bras de déchargement soit déconnecté
Manque de connaissance - La station de comptage d’un gaz subit un
coup de bélier en provenance du pipeline, suite à fermeture d’une
vanne.
Non respect routinier – Ne pas réaliser une tâche conformément à la
procédure
Non respect circonstanciel – Redémarrer à la va-vite un équipement
pour éviter un arrêt usine
Non respect accidentel – Ne pas sonner tout de suite la sirène
d’évacuation sur alarme gaz pour permettre à un collègue de faire des
vérifications sur le terrain.
fjguillou ingenieur consultant senior integrité HSEQIM
45. Exemple 1: 2005 Buncefield UK
• Débordement d’une quantité
importante d’essence par les évents
d’un bac de stockage
• 45 victimes
• Destruction des locaux de 20
entreprises employant 5000
personnes.
• Apparemment l’explosion la plus
importante en Europe depuis 1945.
• C’était un samedi à 6h du matin
Protections défaillantes:
• La jauge de niveau automatique
était hors service
• La sécurité de niveau haut qui aurait
du couper l’alimentation ne
fonctionnait pas
automatic
fjguillou ingenieur consultant senior integrité HSEQIM
46. L’explosion de Buncefield : le facteur humain
• Les opérateurs étaient habitués à travailler avec la jauge de
niveau qui ne fonctionnait pas correctement. La sécurité de
niveau haut était très sollicitée….
• La technologie de la sécurité de niveau haut n’était pas
comprise par les intervenants de maintenance.
Non respect routinier
Manque de connaissance
fjguillou ingenieur consultant senior integrité HSEQIM
47. Exemple 2 : logistique
• 2 débordements indépendants de wagons
• Epandage de produits combustibles : 14 et 18 tonnes
Causes directes en lien avec le facteur humain:
Les procédures opératoires n’avaient pas été suivies.
Causes indirectes en lien avec le facteur humain:
Les procédures de chargement n’étaient pas toujours très claires.
La communication de plusieurs secteurs operations était impliquée.
Manque de connaissance du fonctionnement d’un instrument en
particulier.
Les protections nécessaires n’ont pas été clairement identifiées à la
conception.
fjguillou ingenieur consultant senior integrité HSEQIM
48. L’analyse du facteur humain 1 :
Processus fondamentaux de Derives Humaines
Il s’agit de determiner les predispositions personnelles qui
conduisent à des actes dangereux
Les 7 types les plus répandus d’erreur humaine sont :
La Routine ( ex : Habitude d’enfreindre une régle.)
La Precipitation (ex : activites realisées dans l’urgence)
La Polarisation et la non detection du changement
( ex: vigilance…)
La non transmission d’Informations (ex: oublis, … )
La Negation des risques (ex: conflits d’interets)
La Baisse de Vigilance (ex: fatigue…)
L’Absence de Reactivité (ex :signaux d’alerte non perçus)
fjguillou ingenieur consultant senior integrité HSEQIM
49. L’analyse du facteur humain 2 :
Une pratique que nous pouvons intégrer
Il s’agit d’examiner les raisons des erreurs humaines et
comment elles peuvent être identifiées à la conception, la
formation, les procédures, etc
Les types les plus répandus d’erreur humaine sont
:
L’oubli – C’est une question de mémoire
L’inattention – Par mégarde ou inadvertance.
Le manque de connaissance – Par exemple formation
insuffisante
Non respect routinier – Habitude d’enfreindre une régle.
Non respect circonstanciel – Enfreindre une règle dans
certaines situations occasionnelles, violation
Non respect accidentel – Enfreindre une régle dans une
situation exceptionnelle , violation
fjguillou ingenieur consultant senior integrité HSEQIM
50. Swiss Cheese et Barrieres de securité
fjguillou ingenieur consultant senior integrité HSEQIM
51. Cabinet d’ingenieur Conseil Fj Guillou,
Consultant senior en ingénierie et fiabilite industrielles et commerciales
Integrité des installations de petrochimie industrielles
AIRM Asset Integrity Risk Management , usines tous corps d’etat
fernand-jacques.guillou@wanadoo.fr ; tel : 06 08 52 85 10
PS: site internet tripod beta et delta , version essai trial software disponible
fjguillou ingenieur consultant senior integrité HSEQIM
Formations , Informations complementaires