Arbres de Défaillance, Des Causes Et D'événement [PDF]

Zitiervorschau

Arbres de défaillance, des causes et d’événement par

Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert sûreté de fonctionnement à la Direction déléguée Système d’exploitation et sécurité à la SNCF Vice-Président de l’Institut de sûreté de fonctionnement

1. 1.1 1.2

Trois arbres mais trois démarches distinctes .................................. Principes et objectifs de ces méthodes...................................................... Choix et complémentarité de ces méthodes.............................................

2. 2.1 2.2 2.3 2.4 2.5 2.6 2.7

Arbre de défaillance................................................................................ Principes. Caractéristiques. Objectifs......................................................... Construction d’un arbre de défaillance...................................................... Recherche des coupes minimales .............................................................. Quantification d’un arbre de défaillance pas à pas .................................. Exploitation d’un arbre de défaillance ....................................................... Conclusion.................................................................................................... Exemple........................................................................................................

— — — — — — — —

3 3 4 9 12 13 14 15

3. 3.1 3.2 3.3 3.4

Arbre des causes...................................................................................... Principe. Caractéristiques. Objectifs .......................................................... Construction d’un arbre des causes........................................................... Exploitation de l’arbre des causes ............................................................. Exemple........................................................................................................

— — — — —

17 17 17 19 20

4. 4.1 4.2 4.3

Arbre d’événement .................................................................................. Principes. Caractéristiques. Objectifs......................................................... Construction de l’arbre d’événement ........................................................ Exploitation de l’arbre d’événement..........................................................

— — — —

21 21 21 22

Pour en savoir plus ...........................................................................................

SE 4 050 - 2 — 2 — 3

Doc. SE 4 050

a sûreté de fonctionnement (comme expliqué dans les articles La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] et Sûreté de fonctionnement : démarches pour maîtriser les risques [SE 1 020]) au service de la maîtrise des risques, décrit les mécanismes qui conduisent aux incidents et aux accidents. On trouve donc naturellement dans cette discipline des méthodes destinées à représenter la logique des combinaisons de faits ou de conditions qui ont conduit, conduisent ou pourraient conduire à des incidents ou accidents. Rien d’étonnant donc que des représentations arborescentes fassent partie des outils usuels de la sûreté de fonctionnement. Nous présentons dans cet article les trois méthodes les plus courantes : l’arbre de défaillance, l’arbre des causes et l’arbre d’événement. Ces trois méthodes ont en commun de produire des représentations de la logique d’un système (ou d’une partie) sous des formes arborescentes. Cette ressemblance superficielle est trompeuse : ces trois méthodes répondent à des besoins nettement différents et les arbres produits ne contiennent pas les mêmes informations. Cette ressemblance dans la forme et, naturellement, dans l’appellation nous a motivés à les présenter ensemble afin d’aider le lecteur à les distinguer.

L

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 1

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Il ne faut donc pas prendre ces trois méthodes pour des variantes d’une même méthode ou pour trois façons de conduire le même raisonnement mais bien pour trois méthodes différentes.

1. Trois arbres mais trois démarches distinctes 1.1 Principes et objectifs de ces méthodes ■ L’arbre de défaillance est une méthode qui part d’un événement final pour remonter vers les causes et conditions dont les combinaisons peuvent le produire. Il vise à représenter l’ensemble des combinaisons qui peuvent induire l’événement étudié d’où sa représentation schématique donnée à titre d’exemple figure 1 a. On construit et on utilise un arbre de défaillance dans le cadre d’une étude a priori d’un système. Ayant pour point de départ un événement redouté (dysfonctionnement ou accident), la démarche consiste à s’appuyer sur la connaissance des éléments constitutifs du système étudié pour identifier tous les scénarios conduisant à l’événement redouté. L’arbre de défaillance est une représentation en deux dimensions (cf. figure 1 a) des enchaînements qui peuvent conduire à l’événement redouté, le point de départ de la démarche. On peut ensuite utiliser cette représentation pour calculer la probabilité de l’événement redouté à partir des probabilités des événements élémentaires qui se combinent pour le provoquer. Des logiciels sont commercialisés qui permettent de réaliser commodément la mise en forme d’arbres pouvant comporter un grand nombre d’éléments et qui permettent d’effectuer les calculs de probabilités. Les exemples d’arbres que nous pouvons donner dans cet article pour illustrer nos propos sont naturellement très petits, très simples. Les arbres qu’il est utile de construire pour étudier des systèmes importants et assez complexes comportent tellement plus d’éléments que l’apport des logiciels de mise en forme et de calcul est décisif.

a arbre de défaillance

Nous attirons l’attention du lecteur sur deux précautions d’usage : — des calculs de probabilité sont toujours fondés sur des approximations. Celles-ci sont généralement valables pour les cas usuels, mais il vaut mieux prendre attentivement connaissance des algorithmes de calcul utilisés pour s’assurer que les approximations faites sont valables pour le cas particulier que l’on traite ;

b arbre des causes

— par ailleurs, ce marché, assez réduit est assez volatil : certains produits font des apparitions fugitives. On ne peut généralement pas convertir un arbre construit avec un logiciel en un arbre à utiliser avec un autre. Comme dans les autres domaines, il est prudent de s’assurer (dans la mesure du possible) de la pérennité de l’outil informatique. En effet un arbre de défaillance peut être un document de référence à faire vivre au long de la vie du système étudié (tout dépend des circonstances et objectifs de l’étude). Un arbre de défaillance est une méthode-type pour répondre à une question du genre : « quelles ” chances ” y a-t-il que le dispositif de détection et extinction automatique d’incendie manque à se déclencher en présence d’un feu et sur quoi peut-on agir pour diminuer cette probabilité ? » ou « dans un système avec redondances, quelle est la probabilité finale d’échec en fonction des probabilités élémentaires des composants et de l’architecture ? ».

SE 4 050 − 2

c arbre d'événement

Figure 1 – Silhouettes des arbres de défaillance, de cause et d’événement

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

■ L’arbre des causes part d’un événement qui s’est produit et organise l’ensemble des événements ou conditions qui se sont combinés pour le produire. Il repose sur un raisonnement dans le même sens que l’arbre de défaillance mais ne décrit qu’un scénario. Sa représentation est illustrée à titre d’exemple figure 1 b. On construit un arbre des causes dans une démarche de retour d’expérience, ou, de façon isolée, pour apprendre le maximum d’un accident. L’arbre des causes est très utilisé pour décrire le scénario d’un incident ou accident, pour soutenir la démarche d’analyse de l’accident. Des logiciels sont également disponibles pour guider et réaliser la mise en forme d’un arbre des causes. La démarche de réalisation d’un arbre des causes consiste à répondre à la question : « quels faits ont joué un rôle dans la survenue de cet accident et en se combinant de quelle façon ? » ■ L’arbre d’événement part d’un événement et décrit les différentes conséquences qu’il peut avoir en fonction des conditions dans lesquelles il s’est produit et des événements avec lesquels il se combine. Il repose sur un raisonnement inverse des arbres précédents : de la cause vers les conséquences (d’où sa représentation donnée à titre d’exemple figure 1 c). Comme l’arbre de défaillance, il vise à représenter l’ensemble des possibles, ici, des conséquences possibles de l’événement étudié. On construit et on utilise un arbre d’événement dans une démarche d’évaluation a priori. Le point de départ est un incident, une défaillance, une erreur, une agression... dont on veut évaluer les conséquences possibles qui dépendent d’un certain nombre d’autres facteurs. Si on connaît les probabilités associées à ces facteurs on peut calculer en s’appuyant sur l’arbre d’événement la probabilité associée à chacune des conséquences possibles de l’incident initial.

1.2 Choix et complémentarité de ces méthodes Ces méthodes sont conçues pour mettre en œuvre des logiques différentes. Elles ne se présentent donc nullement comme des choix alternatifs pour un même problème. Chacune correspond à une approche différente. ■ Le choix entre arbre d’événement et arbre de défaillance dépend d’abord de la question posée : l’arbre d’événement cerne la question des conséquences d’un événement initiateur donné et l’arbre de défaillance cerne la question des scénarios conduisant à un événement redouté donné. L’arbre des causes est proposé pour assembler les éléments d’explication d’un accident ou incident. Il s’agit préférentiellement d’analyse a posteriori. Ces méthodes peuvent servir à initier une analyse ou à la synthétiser. ● Pour initier une analyse de sûreté de fonctionnement, en présence d’une question peu précise, la méthode à recommander est celle dont les bases sont les mieux connues : — un arbre de défaillance si la question tourne autour de la vraisemblance d’un ou de quelques événements redoutés ; — plutôt un arbre d’événement si la question tourne autour de la gravité de certaines défaillances ou agressions ; — un arbre des causes si il s’agit de tirer parti d’un scénario d’incident qui s’est réalisé et dont la compréhension peut améliorer la connaissance générale du système. Si la liste des événements redoutés finaux est bien établie et que les questions « Qu’est-ce qui peut produire... ? » trouvent facilement réponses, l’arbre de défaillance est recommandé. Si, à l’inverse, les événements initiateurs qui peuvent affecter le système sont bien connus et que les mesures pour qu’ils ne condui-

sent pas à l’accident sont identifiées, l’arbre d’événement est recommandé pour évaluer l’efficacité du système et les progrès les plus intéressants. ● Un arbre est souvent un moyen satisfaisant de présenter synthétiquement les résultats des études montrant les relations entre causes et conséquences (qualitativement-logiquement mais aussi quantitativement), études qui ont pu solliciter bien d’autres méthodes (AMDE(C), graphes d’état, simulations de Monte-Carlo...) (cf. article [AG 4 670]). En présence d’un système où de nombreux événements initiateurs sont possibles (pannes de nombreux composants, interventions humaines importantes donc possibilités d’erreurs, agressions environnementales, etc.) mais pour lequel la préoccupation porte sur la survenue ou non, du fait de tous ces incidents d’un ou deux événements redoutés du niveau du système entier, l’arbre de défaillance (ou les arbres de défaillance) s’impose(nt). En présence d’un système où la préoccupation est que les deux ou trois événements redoutés (panne d’un composant critique, erreur typique...) n’aient pas de conséquences graves malgré la variété des scénarios dans lesquels ils peuvent intervenir, l’arbre d’événement (les arbres d’événement) s’impose(nt). ■ Bien entendu, ces méthodes peuvent se compléter. Les approches inverses de l’arbre d’événement et de l’arbre de défaillance peuvent être utilisées conjointement au même niveau, ce qu’on peut ne pas voir ou négliger dans l’une pouvant apparaître dans l’autre. Elles peuvent aussi se compléter à des niveaux différents, l’une servant à évaluer en entrant dans le détail ce qui est un élément de l’autre. Exemple : la probabilité de succès d’un dispositif à utiliser dans un arbre d’événement peut résulter d’un arbre de défaillance développé pour l’échec de ce dispositif.

2. Arbre de défaillance 2.1 Principes. Caractéristiques. Objectifs ■ Principes Un arbre de défaillance représente de façon synthétique l’ensemble des combinaisons d’événements qui, dans certaines conditions produisent un événement donné, point de départ de l’étude. Construire un arbre de défaillance revient à répondre à la question « comment tel événement peut-il arriver ? », ou encore « quels sont tous les enchaînements possibles qui peuvent aboutir à cet événement ? ». ■ Caractéristiques Un arbre de défaillance est généralement présenté de haut en bas (cf. figure 1 a). La ligne la plus haute ne comporte que l’événement dont on cherche à décrire comment il peut se produire. Chaque ligne détaille la ligne supérieure en présentant la combinaison ou les combinaisons susceptibles de produire l’événement de la ligne supérieure auquel elles sont rattachées. Ces relations sont représentées par des liens logiques OU ou ET. ■ Objectifs ● L’objectif « qualitatif » est de construire une synthèse de tout ce qui peut conduire à un événement redouté et d’évaluer l’effet d’une modification du système, de comparer les conséquences des mesures qui peuvent être envisagées pour réduire l’occurrence de l’événement redouté étudié.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 3

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

● L’objectif « quantitatif » est d’évaluer la vraisemblance de la survenue de l’événement étudié à partir des combinaisons d’événements élémentaires qui peuvent le produire. Si on connaît les probabilités de ces événements on peut en déduire la probabilité de l’événement étudié et l’impact sur celle-ci d’une réduction (ou augmentation) de telle ou telle des probabilités élémentaires.

À défaut d’une quantification par probabilités, l’arbre permet d’apprécier le nombre de scénarios conduisant à l’événement étudié, le nombre minimum d’événements ou de conditions suffisant pour qu’il arrive, etc.

2.2 Construction d’un arbre de défaillance 2.2.1 Événement-sommet ■ La première étape est la définition de l’événement qui doit être étudié. Dans l’arbre, ce sera l’événement-sommet. Un arbre n’a qu’un événement-sommet ; il réunit tout ce qui et uniquement ce qui peut provoquer cet événement-sommet. La définition de cet événement est totalement déterminante pour la valeur des conclusions qui seront tirées de l’analyse. Le risque n’est pas de développer un arbre qui serait faux mais un arbre qui réponde à une autre question que celle posée : — soit l’utilisateur des résultats s’en rend compte et la conséquence est qu’après le travail effectué, l’arbre attendu est toujours à faire et à exploiter ; — soit l’utilisateur ne s’en rend pas compte et il tire des conclusions tout à fait injustifiées de l’analyse. Il importe donc de définir l’événement étudié de façon explicite et précise. Exemple : les événements suivants ne sont pas du tout équivalents : — collision de deux trains ; — collision impliquant un train ; — collision impliquant une circulation ferroviaire ; — collision impliquant un train due à une défaillance du système ferroviaire ; — dommages à une circulation ferroviaire ou à des passagers ou du personnel de bord ou au chargement, dus à une collision... On peut croiser de toutes les façons chacune des précisions ou restrictions qui figurent dans ces exemples (et bien d’autres) et chacun des événements produits sera différent des autres (certains plus généraux en incluant d’autres). Les conséquences sont importantes : par exemple, des actes de sabotage ou d’imprudence de tiers sont ou ne sont pas pris en compte ; l’accident de tiers percuté par un train à la traversée des voies (sans dommage au train) est ou n’est pas inclus dans cette analyse-là, etc. Pour bien comprendre les enjeux de cette définition de l’événement, on fera le parallèle avec les définitions de la fiabilité (disponibilité, maintenabilité, sécurité...) (cf. article [AG 4 670]). Les définitions habituellement reconnues de ces notions incluent des formules comme « accomplir des fonctions requises dans des conditions données ». Un événement à étudier est généralement un échec (non accomplissement d’une fonction) ou une agression. Sa

SE 4 050 − 4

définition requiert les mêmes précisions : définition de la fonction et des conditions à prendre en compte. Le responsable de l’étude doit s’assurer que : — l’événement étudié est bien celui qui convient eu égard à la démarche dans laquelle s’inscrit la construction de l’arbre ; — les conditions extérieures ou les agressions à prendre en compte (et celles à ne pas envisager) sont cohérentes avec les objectifs de l’étude ; — les participants à l’analyse et les futurs utilisateurs de l’arbre ou des conclusions qui en seront tirées partagent la même définition de l’événement étudié. Dans l’arbre qui est une représentation synthétique, le libellé de l’événement devra être court. Ce libellé sera, en général, trop court pour définir précisément l’événement et lever les ambiguïtés. Il devra donc y avoir : — un libellé bref, mais aussi évocateur que possible dans la boîte qui représente l’événement-sommet dans l’arbre ; — un texte complémentaire apportant toutes les précisions utiles sur la définition de l’événement. Dans certains modèles d’arbres (en particulier quand on utilise certains logiciels), chaque boîte reçoit un nom. On voit alors la boîte qui contient le libellé en quelques mots de l’événement et, dessous, un seul mot (idéalement) qui est le nom de l’événement pour l’arbre. Il faut alors veiller à ne pas donner le même nom à deux boîtes (ce que les logiciels qui utilisent ce formalisme contrôlent généralement). Ce qui vient d’être dit sur la définition commune, claire, précise de l’événement et le libellé bref de la boîte vaut non seulement pour l’événement-sommet mais aussi pour tous les événements qui vont figurer dans l’arbre ; ce commentaire ne sera pas repris dans chaque paragraphe consacré aux événements.

2.2.2 Événements intermédiaires L’événement étudié étant défini, l’étape suivante est de le décrire en une combinaison logique (conjonction ou disjonction) de deux ou plusieurs événements plus réduits. Exemple : une défaillance d’éclairage peut résulter de la défaillance de l’ampoule ou de la défaillance de l’alimentation ou de la défaillance du circuit entre alimentation et ampoule. On voit donc apparaître des événements moins globaux que l’événement-sommet que l’on appellera événements intermédiaires (si ils sont eux-mêmes appelés à être décrits en combinaison d’événements plus détaillés) et un connecteur logique qui les relie à l’événement-sommet.

2.2.3 Connecteurs logiques Les deux connecteurs logiques de base sont ET et OU (figure 2). Toutes les combinaisons logiques s’expriment avec ces deux connecteurs (et la négation logique qui exprime le contraire de l’événement qu’elle affecte), mais il peut être pratique d’utiliser quelques autres connecteurs : vote n/p, OU exclusif... Exemple : si un système tombe en panne si deux sur trois des équipements A, B, C tombent en panne, il est pratique de représenter ce lien logique par un seul connecteur « 2/3 », mais c’est équivalent à (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a. De même A OU exclusif B est équivalent à [A ET (non B)] OU [(non A) ET B] (cf. figure 3 b).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

Les boîtes qui les représentent sont au bout de l’arbre, ce pourquoi elles sont couramment appelées les feuilles.

2.2.5 Conditions

Connecteur ET

Quand on s’interroge sur ce qui peut produire tel événement-conséquence, on est couramment amené à dire que tel autre événement-cause entraîne l’événement-conséquence étudié si telle condition est présente. Nous sommes donc conduits à introduire dans l’arbre des conditions dont la réalisation conditionne l’enchaînement cause-conséquence.

Connecteur OU

Pour qu’un événement (sommet ou intermédiaire) se produise, il faut une combinaison d’événements mais aussi souvent de conditions (on pourrait dire d’états ou de situations). Ces conditions interviennent dans la construction d’un arbre exactement comme des événements intermédiaires (sauf qu’elles ne sont plus décomposées et donc deviennent « de base » même si les événements de même niveau avec lesquels elles se combinent sont eux, décomposés plus finement) ou comme des événements de base, mais ne sont pas à proprement parler des événements.

Figure 2 – Connecteurs ET et OU

Équivalent à 2/3

A

B

C

A.B

A

A.C

B

A

Exemple : dans un système formé de deux chaînes en parallèle qui fonctionnent en alternance, l’interruption de fonctionnement du système est provoquée par le dysfonctionnement d’une chaîne seulement si celle-ci est celle qui assure le fonctionnement à ce moment-là. Donc l’événement « Interruption du fonctionnement du système » se décompose en (« Défaillance de la chaîne A » « ET » « Chaîne A en service ») « OU » (« Défaillance de la chaîne B » « ET » « Chaîne B en service »). Dans cette décomposition, « Défaillance de la chaîne A » est un événement, « Chaîne A en service » est une condition.

B.C

C

B

C

Connecteur n/p

Cette distinction n’est pas essentielle au stade de construction de l’arbre, elle devient intéressante quand on affecte des probabilités aux événements et conditions.

2.2.6 Symboles normalisés

Équivalent à

Les symboles normalisés des connecteurs, événements et conditions sont représentés sur la figure 4.

OU exclusif

A.B

A

nonB

Nous plaçons donc dans un arbre : — un événement-sommet ; — des événements intermédiaires ; — des événements de base ; — éventuellement des conditions ; — des connecteurs OU ; — des connecteurs ET ; — éventuellement des connecteurs particuliers.

A.B

nonA

B

Connecteur OU exclusif Figure 3 – Connecteurs 2/3 et OU exclusif

Certains ajoutent à cette panoplie la possibilité de représenter un aspect temporel avec un connecteur ET séquentiel. Si deux événements A et B sont liés par ce connecteur, cela signifie que si A se produit puis B, l’événement supérieur se produit, mais pas si B se produit puis A.

2.2.4 Événements de base ou feuilles Un événement de base est un événement qui ne se décompose plus en événements plus fins.

Les événements et les conditions sont représentés par des rectangles à l’intérieur desquels figurent les libellés de ces événements ou conditions. L’événement-sommet et les événements intermédiaires se décomposent en une combinaison ; on trouve donc immédiatement sous la boîte qui les représente le symbole du connecteur qui lie les événements dont la combinaison est nécessaire et suffisante à le provoquer. Les événements de base ou les conditions ne se décomposent pas ; on trouve donc immédiatement sous la boîte qui les représente un symbole particulier : un cercle pour les événements de base et un pentagone (en forme de maison) pour les conditions. Comme un arbre peut occuper plusieurs pages et se construire progressivement pour un système un peu important, il existe deux autres symboles. Le triangle permet de renvoyer d’une page à une autre : un triangle est placé sous un événement intermédiaire dont la décomposition commencera sur une autre page. Sur cette autre page, cet événement apparaît en tête, mais un triangle est attaché à la boîte qui le représente pour indiquer qu’il ne s’agit pas de l’événement-sommet d’un arbre, mais d’une partie d’un arbre plus important.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 5

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Événement-sommet ou événement intermédiaire

Événement de base

Condition

Renvoi vers un sous-arbre

Sommet d'un sous-arbre

sentées soient justes. La facilité avec laquelle on atteindra les résultats attendus, par contre, n’en est pas indépendante.

Fuite de gaz

Les éléments à prendre en compte sont les suivants.

BA actionné

Température extérieure  30 °C

2

2

Événement en attente de décomposition

BA actionné ou

Température extérieure  30 °C

ou

ou



•



Connecteur OU Figure 4 – Symboles normalisés

De même un événement intermédiaire dont le développement n’a pas encore été entrepris peut être représenté avec un « carré sur pointe » (on dit généralement un losange) sous la boîte qui le représente. Cela indique qu’il ne s’agit pas d’un événement de base mais bien d’un événement intermédiaire non encore développé. Le symbole du connecteur ET se distingue du symbole du connecteur OU par sa base droite, horizontale alors que l’autre est concave, bombée vers le haut. La différence entre ces deux symboles est donc visuellement assez discrète ; il est courant de la renforcer en ajoutant le signe de l’addition + dans le symbole OU et le signe de la multiplication · ou × dans le symbole ET. Un exemple d’arbre de défaillance utilisant ces symboles est donné dans la figure 5.

2.2.7 Questions pratiques Avec ce qui précède, nous sommes dans la situation du joueur qui connaît les règles du jeu, mais qui n’a ni tactique, ni stratégie. Il n’y a certes pas de procédure à suivre rigoureusement pour « réussir » un arbre de défaillance, mais il importe de comprendre les enjeux des choix que l’on peut faire pour rendre la tâche la plus facile possible et arriver le plus directement possible au résultat recherché sans passer par trop d’étapes aussi correctes qu’inintéressantes. En principe, les résultats d’une démarche fondée sur un arbre de défaillance sont totalement indépendants des choix de décomposition faits pourvu, bien sûr, que les informations repré-

SE 4 050 − 6

Tout d’abord, la règle la plus importante à retenir est que les événements de base d’un arbre de défaillance devraient être strictement indépendants. Le même événement de base peut intervenir à plusieurs endroits dans un arbre, mais il vaut mieux s’assurer qu’il n’y a que des événements indépendants ou identiques. Dans le cas contraire on continue à décomposer pour séparer en un événement (ou condition) qui reflète la partie commune et un autre qui reflète la partie indépendante des événements ni identiques ni indépendants qu’on avait dans un premier temps retenus comme « de base » et qui deviennent des événements intermédiaires. L’exploitation d’un arbre dans lequel des événements de base ne sont pas totalement indépendants est, d’une part, fort limitée, d’autre part, truffée de pièges. C’est une situation à éviter. Elle se produit en particulier lorsqu’il y a des causes communes à plusieurs événements de base.

ou

ou

Connecteur ET

■ Comment faciliter la lecture d’un arbre de défaillance en retenant des événements de base indépendants ?

Exemple : l’arbre a, entre autres, les événements de base « défaillance du calculateur A » et « défaillance du calculateur B ». Quelqu’un se rend compte que la panne d’alimentation ou une erreur de maintenance ou une panne de climatisation peut mettre en panne l’un comme l’autre. Les deux événements ne sont donc pas indépendants. Soit (ce qui ne doit pas être le cas dans notre exemple) le cas de panne de cause commune est insignifiant par rapport aux cas de pannes indépendantes et on va l’ignorer dans l’arbre en notant soigneusement cette hypothèse dans le texte qui accompagne et explique l’arbre, soit on doit décomposer et on aura comme événements de base : « défaillance du calculateur A de cause spécifique au calculateur A », « défaillance du calculateur B de cause spécifique au calculateur B », « défaillances simultanées des calculateurs A et B dues à une cause commune ». ■ Quand arrêter la décomposition et considérer qu’un événement est un événement de base ? Il n’y a pas de réponse définitive à cette question. L’exemple ci-dessus illustre aussi comment un événement de base peut se révéler, à l’examen, plus important et complexe qu’il ne paraissait à première vue et donc être transformé en événement intermédiaire pour être décomposé. Exemple (suite) : non seulement les deux événements de base imaginés deviennent trois, mais il pourrait être judicieux d’approfondir la décomposition de l’événement « défaillances simultanées des calculateurs A et B dues à une cause commune » en le décomposant en « défaillances dues à l’alimentation » OU « défaillance due à la maintenance » OU et ainsi de suite. ● Le principe à retenir est simple et de bon sens : on arrête la décomposition quand on ne gagne plus d’information. Soit parce que l’on connaît moins bien les événements plus fins de la suite de la décomposition que l’événement auquel on est arrivé, soit parce que le gain en précision de la décomposition n’a plus de sens ou plus d’utilité compte tenu des incertitudes présentes par ailleurs.

Un bon événement de base est, pour l’équipe qui construit l’arbre, un événement mieux connu que les événements intermédiaires qu’il peut causer et que les événements plus fins qui pourraient le causer. Le principe même de l’arbre de défaillance est de déduire des informations (par exemple la probabilité de survenue) d’un événement-sommet à partir des informations (les fréquences) sur les événements de base. Un bon événement de base est donc un événement sur lequel on est bien informé.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

E Explosion de gaz

 A Accumulation de gaz

B Étincelle ou flamme



 L Fuite de gaz

M Pas d'évacuation



N Manœuvre interrupteur électrique

O Apport flamme nue

Issues bouchées

 X Fuite par sortie normale

Y Fuite tuyau

XX Robinet ouvert Feux éteints

YY Tuyau poreux ou percé

Z Fuite robinet

T Besoin lumière

U Non détection de danger



 YZ Robinet principal ouvert, feux éteints

V Besoin lumière

W Non détection de danger

Figure 5 – Arbre de l’explosion de gaz domestique

Il peut paraître choquant a priori d’imaginer qu’on perde de la précision, de la connaissance en raffinant la description d’un système. En effet, en présence d’un système dont les composants et l’environnement seraient totalement connus, modélisés, ça ne peut pas arriver. Mais la sûreté de fonctionnement a précisément pour intérêt d’exploiter des connaissances incomplètes. Exemple : on a constaté expérimentalement que, sur un lot de composants électroniques d’un type donné, d’une fabrication donnée, n % tombent en panne par an. C’est une information exploitable, alors qu’on ne sait rien sur les causes plus fines de ces défaillances (sousdimensionnements microscopiques, inclusions atomiques, cristallisations hétérogènes... provoquant fragilités mécaniques, résistance électrique et surchauffe ; vibrations, etc.) ● Toutefois, on peut aussi arrêter de décomposer une branche de l’arbre alors que la décomposition apporterait encore une connaissance plus fine simplement parce que cette branche a un poids statistique insignifiant dans l’ensemble et que la recherche de précision sur une telle branche est simplement inutile. Il est évidemment particulièrement dangereux de conclure trop vite à l’insignifiance d’une branche.

Exemple : ce piège se referme très souvent sur des analystes qui, dans leur tête, remplacent sans s’en rendre compte « défaillance du moteur » par « défaillance intrinsèque du moteur ». Ils écrivent « défaillance du moteur », le lecteur comprend « défaillance du moteur » en supposant toutes les causes internes ou externes prises en compte alors que l’analyste, en quelque sorte trompé par son propre libellé n’a pris en compte que les causes intrinsèques au moteur et aurait pu écrire plutôt « défaillance intrinsèque du moteur ». L’argument « ces moteurs sont surdimensionnés, il n’y a jamais eu de panne avec » emporte l’adhésion et on laisse tomber cette branche de l’arbre alors que si on l’avait développée jusqu’à « défaillance du moteur due à la perte de l’alimentation » ou « défaillance du moteur due à une erreur en maintenance » ou « défaillance du moteur due à une rupture de durite », on l’aurait trouvée signifiante, voire prépondérante. ■ Comment décomposer un événement ? A priori, n’importe quel critère est permis : un découpage fonctionnel, un découpage géographique, un découpage technologique... Le meilleur critère est la facilité avec laquelle les experts du système qui sont sollicités pour apporter leur connaissance vont se couler dans la démarche.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 7

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

● Pour la clarté de la lecture et l’exploitation, il ne doit figurer qu’un connecteur sous un événement. Si on veut exprimer que E peut être provoqué par A ou (B et C), on doit le faire en deux étapes.

Exemple : si on veut écrire que l’événement « piratage du compte courant » résulte du vol du carnet de chèques ou du vol de la carte de crédit et de la captation de son code, on écrit que l’événement « vol compte bancaire » se décompose en « vol chéquier » OU « piratage carte » et puis on décompose « piratage carte » en « vol carte » ET « captation code » (cf. figure 6). ● Il faut se laisser guider par les deux principaux critères précédents : chercher à assurer l’indépendance des branches, aller vers des événements ou des conditions bien connus. La description de la construction de l’arbre la présence naturellement comme un processus linéaire qui va inexorablement de l’avant sans se retourner. La réalité est assez différente.

Piratage du compte courant

Par chéquier

Par carte

1

Vol de carte

Capture du code

2

3

– D’abord un arbre de défaillance doit réunir les connaissances et les idées de tout un groupe fédérant bien toutes les connaissances théoriques ou expérimentales accessibles.

Figure 6 – Petit arbre « piratage du compte courant »

D’une part, quand on travaille sur un système important, on ne dispose pas nécessairement de tous les experts en même temps. On peut donc développer certaines parties avec un sous-groupe en fonction des disponibilités, aussi les différentes branches ne progressent pas également. On peut également revenir avec un sousgroupe sur des branches développées.

l’arbre doit être la représentation fidèle et logique des informations données, et les expertises qui ne doivent pas censurer leur fourniture d’informations par le souci de les placer correctement ou la crainte de sortir du sujet.

D’autre part, il est très important de ne pas brider l’expression des experts. Quand la réflexion amène un participant à soulever un problème, citer un incident ou toute autre intervention pertinente, il n’y a rien de pire que de lui rappeler qu’on n’est pas en train d’analyser cette partie du système et qu’il est prié de garder ses remarques pour le moment où on abordera la partie concernée. Le fil conducteur de la construction d’un arbre « qu’est-ce qui peut provoquer... ? » n’est pas forcément ce qui va le mieux évoquer pour les experts les problèmes dont ils ont pu avoir connaissance. L’animateur, constructeur de l’arbre, doit veiller à la structure de l’arbre et à la rigueur de la construction, mais il ne doit pas faire peser cette contrainte sur les experts qu’il sollicite. Tout ce qui peut faire jaillir des informations est bon à prendre, les informations sont bonnes à prendre quand elles surgissent ; il appartient à l’animateur de les mettre en réserve pour les placer au bon endroit dans l’arbre et, au moment opportun, peut-être demander des précisions. Par contre, il faut éviter l’excès inverse qui consisterait à construire des branches d’arbres au fur et à mesure que des idées sont évoquées pour les y placer de suite. L’intérêt de la méthode est de bien se laisser guider par la démarche « comment... peut-il se produire ? » pour construire son arbre en descendant. Mais il est utile de garder en réserve toutes les informations qui surgissent pour les ressortir au moment opportun ou s’interroger à la fin sur les raisons (qui peuvent être bonnes) pour lesquelles elles ne sont à aucun moment entrées dans la construction de l’arbre. – Le formalisme de l’arbre ne doit pas être une contrainte, mais une aide sur deux points : • ranger d’une façon rationnelle, synthétique, partagée par tous toutes les informations qui ont pu être recueillies sur le pourquoi et le comment d’un événement ; • attirer l’attention sur des directions restées non explorées. L’animateur repère les branches esquissées non développées, s’assure que les experts confirment qu’il n’y a pas d’autres possibilités que celles représentées de provoquer les événements décrits... – Les informations qui doivent figurer dans l’arbre ne sont pas issues uniquement du raisonnement descendant décrit. Il est utile de reprendre les autres sources disponibles (cf. article [AG 4 670]), AMDE par exemple, événements du retour d’expérience et de les passer en revue en se demandant si on retrouve bien dans l’arbre tout ce qui figure dans l’AMDE, le retour d’expérience, etc. – Il est fortement recommandé de séparer une fonction d’animateur (ou de constructeur de l’arbre) qui a la responsabilité que

SE 4 050 − 8

■ Travail d’équipe ou œuvre individuelle ? On oppose couramment AMDE (AMDEC) (cf. article AMDECMoyen [AG 4 220] dans le traité L’entreprise industrielle) et arbre de défaillance sur de nombreux points et, en particulier, sur le caractère collectif de l’AMDE(C) et le caractère individuel de l’arbre de défaillance. Il faut modérer cette image. L’arbre de défaillance n’est satisfaisant que si il inclut tout ce qui peut contribuer à produire l’événement étudié. Il faut donc être aussi sûr que possible d’avoir sollicité toutes les compétences utiles pour avoir cette garantie. Ce qui justifie cette idée, c’est que l’arbre de défaillance guide fortement l’analyste et qu’on peut penser que la méthode en ellemême fournit une garantie (ce qui n’est guère vraie de l’AMDE(C) dont les qualités sont d’autre nature). La construction de l’arbre consiste à se demander à chaque étape « qu’est ce qui pourrait faire que... ? ». Tout dépend de la confiance qu’on peut placer dans l’exhaustivité des réponses à ces questions. Pratiquement, cela dépend du système étudié et du mode de décomposition choisi : — en présence d’un système technique dont l’architecture est claire et bien connue de l’analyste, et dont les éléments ont des modes de défaillance connus, répertoriés, bien connus (par leurs natures et leurs effets), la rigueur méthodologique de l’analyste suffit à garantir une analyse pertinente et satisfaisante. La multiplication des intervenants n’ajoute que coûts, risques d’erreurs et confusion ; — par contre en présence d’un système ouvert dont il est difficile et discutable de répertorier définitivement les agressions dont il peut être victime et leurs conséquences, ou en présence d’un système socio-technique qui ne se décompose pas de façon fidèle et unique en boîtes reliées par des liens logiques explicites, ou en présence d’un système dont les modes de défaillance ou les fonctionnements de tous les éléments ne sont pas clairement connus ou recensés (comment, par exemple, recenser toutes les sorties possibles d’un système informatique complexe ?), alors, si rigoureux que soit l’animateur qui construit l’arbre, celui-ci ne sera que le reflet fidèle des représentations des fonctionnements du système apportées par les participants. Des contributions riches en expériences qui vérifieront que les scénarios connus (réalisés ou non) sont présents dans l’arbre, que toutes les bifurcations que ces scénarios pourraient connaître (même si elles ne se sont encore jamais réalisées) sont présentes, sont très précieuses.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

L’arbre de défaillance n’est qu’une présentation particulière des informations sur les fonctionnements (surtout non conformes) possibles d’un système. Il ne faut pas trop en attendre : il ne génère rien, il ne contient que ce qu’on y met. L’arbre de défaillance construit par des personnes qui ne connaissent pas ou pas bien un système ou son environnement reflète leurs lacunes. L’arbre de défaillance construit sous la férule (en général involontairement) de la censure ne reflète que les scénarios a priori admis. L’arbre de défaillance construit au fur et à mesure des contributions sans assez de rigueur dans la précision et dans la construction logique présente une image si difforme que les interprétations erronées sont très probables. Il ne faut pas, non plus, sous-estimer ses vertus : la présentation logique et synthétique favorise le repérage des manques. La rigueur très simple de la décomposition pas à pas favorise la prise en compte de tous les événements ou de toutes les conditions en particulier tout ce qui n’aurait pas été cité en réponse à une question globale (comment l’événement étudié peut-il arriver ?). Il faut se protéger des deux dangers suivants : — l’expert qui fait écarter un événement intermédiaire parce qu’il est impossible. « C’est impossible parce que... ». De telles affirmations doivent être traduites non par l’absence d’une branche (irréaliste ?) de l’arbre mais par sa présence sous la forme des défaillances qu’il faudrait pour que ça se produise. Il sera toujours temps plus tard de vérifier que la vraisemblance de ces défaillances est effectivement infiniment petite. Il faut penser a priori « loi de Murphy » : ce qui est défavorable mais impossible se produira. Établissons le principe que dans un arbre de défaillance rien n’est impossible et que l’arbre doit explicitement montrer tout ce qui a été mis en œuvre pour éviter l’événement étudié ; — les participants trompés par les libellés de l’arbre. Une vertu essentielle de l’arbre est de présenter sur peu d’espace de très nombreuses combinaisons d’événements ou de conditions, de très nombreux scénarios. Le prix à payer est que chaque événement, chaque condition est évoqué par un libellé très court. Ce libellé est aussi évocateur que possible. Il en résulte que chacun le comprend sans problème, mais à sa manière et est naturellement tenté d’y voir sa perception de l’événement alors que celle qui a été retenue collectivement ne contient pas son point de vue particulier d’expert. Exemples : ■ Dans un système secouru, on envisage « non démarrage du secours ». Les ingénieurs qui conduisent l’analyse vont décomposer selon les différents composants en cause. L’expert « facteur humain » a donné son aval parce qu’il était évident pour lui que cela incluait un non démarrage dû à une action intempestive du pilote. Pourtant cette éventualité ne sera pas explorée parce que les uns comprennent « défaillance technique du système de secours ayant pour conséquence qu’il ne démarre pas à la sollicitation » et les autres « absence de commande de démarrage ou échec du démarrage ou arrêt intempestif... ». ■ Dans l’étude d’un système de sécurité on est arrivé à « non fonctionnement du groupe électrogène ». Cet événement sera un événement de base auquel on attribuera plus tard la fréquence donnée par des bases de données sur la fréquence des pannes de ce modèle. Ce sera une erreur très grave. En effet le groupe est installé à la cave et ne peut fonctionner immergé. De très loin le principal risque de défaillance du groupe électrogène est provoqué par l’inondation. Pour peu que le groupe en question soit essentiel justement en cas d’inondation, on imagine l’ineptie de l’étude et des conclusions qui peuvent en être tirées ! C’est au moment où l’on introduit l’événement « non fonctionnement du groupe électrogène » qu’il faut préciser les causes à prendre en compte ou à écarter. C’est au moment de reprendre l’événement (le décomposer ou en faire un événement de base et en évaluer la fréquence), qu’il faut prendre en charge toutes les causes non écartées lors de son introduction.

2.2.8 Exemple : « Explosion de gaz domestique » Nous décrirons ici les quelques étapes d’un processus vraisemblable d’élaboration de cet arbre. ■ Définition de l’événement-sommet. Pour que cet événement puisse être valablement analysé, il faut se donner une description précise de l’installation, des dispositifs de sécurité, de la maintenance, des règles d’utilisation, etc. ■ Une première analyse montre que pour qu’il y ait explosion il faut réunir concentration de gaz et mise à feu. Il vient immédiatement que pour avoir une concentration de gaz il faut une fuite de gaz et confinement. La fuite peut provenir de la partie rigide des canalisation du flexible ou du brûleur. Ceci montre que la finesse de décomposition dépend des connaissances qu’utilise l’analyste, il aurait aussi bien pu séparer robinet, canalisation métallique, flexible, canalisation de la cuisinière et brûleur. En réunissant trois de ces éléments en un, il traduit son a priori que les mécanismes à l’origine des fuites dans ces éléments (corrosion, montage contraint... ?) sont les mêmes et que si une probabilité doit être donnée elle peut être globale. Si cet a priori est contestable, ce n’est pas grave, on s’en apercevra plus tard en voulant évaluer la vraisemblance de cet événement de base « fuite au robinet ou canalisations rigides ». Une première analyse rapide conduit donc à l’arbre de la figure 7. ■ En voulant préciser la vraisemblance des événements de base ou conditions on s’aperçoit qu’il faut affiner plus : la probabilité de fuite au flexible dépend de son âge. On peut laisser cet événement comme événement de base et lui donner une probabilité fonction de l’âge du flexible mais on peut aussi décomposer comme le montre le complément de l’arbre représenté figure 8. De même on peut approfondir ce qui peut conduire au confinement comme illustré figure 9 a. En poussant la réflexion, on avance que la température basse extérieure est la raison pour laquelle l’aération a été bouchée. On pourrait se contenter de tenir compte de cet élément pour apprécier les chances que l’aération soit bouchée, mais il est bon de remarquer que ce motif de boucher l’aération est une excellente raison de fermer les fenêtres. On ne peut considérer donc indépendamment les probabilités de boucher l’aération et de fermer la fenêtre. Il vaut mieux réécrire ce sous-arbre de la manière représentée figure 9 b.

2.3 Recherche des coupes minimales On appelle coupe d’un arbre un ensemble d’événements de base et de conditions suffisant pour produire l’événement-sommet. Parmi ces coupes on appelle coupe minimale un ensemble d’événements de base ou conditions nécessaire et suffisant à produire l’événement-sommet. Si on retire à une coupe minimale un seul de ses éléments, n’importe lequel, le reste ne suffit plus à produire l’événement-sommet.

La recherche des coupes minimales d’un arbre est une exploitation très intéressante de celui-ci (voir paragraphe 2.5 quelques exploitations de l’arbre de défaillances dont plusieurs qui reposent sur les coupes minimales). On les trouve en descendant l’arbre, étape par étape de la manière suivante : — la première étape donne un seul ensemble : {l’événementsommet}. C’est la coupe minimale triviale ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 9

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Le calcul de probabilité d'occurrence d'un événement redouté s'effectue en plusieurs étapes correspondant chacune à l'établissement d'un arbre de défaillance. Afin de visualiser ces différentes étapes sur la même figure, nous utilisons dans cet article la convention (non usuelle) suivante : 3 Probabilité calculée 2 Probabilité : donnée du calcul 1 Événement

Arbre de défaillance quantitatif calculé Arbre de défaillance quantitatif : probabilités utilisées comme données pour le calcul Arbre de défaillance qualitatif

Explosion de gaz domestique

Concentration de gaz

0,057 Confinement

Fuite

Fuite brûleur

Source d'ignition

0,01 Fuite flexible

Flamme

Étincelle

Fuite robinet ou tuyau

La recherche de probabilité élémentaire des événements « fuite brûleur », « fuite robinet ou tuyau », « flamme », «étincelle » pour une unité de temps commune permettrait de compléter et calculer une probabilité d'explosion. Figure 7 – Arbre de défaillance « Explosion de gaz domestique » (cf. figure 9)

Dans la figure 7 on remplace et on développe :

Fuite flexible

par

Fuite flexible

0,01 Fuite flexible

0,75 · 10– 4

0,01 Porosité

0,01 0,01 Porosité normal d'un flexible trop vieux

0,0001 0,0001 Porosité anormal d'un flexible en période de validité

Dégradation accidentelle

10– 4 10– 4 Dégradation brutale

0,75 Non remplacement du flexible

0,5 0,5 Dégradation non détectée

0,5 0,5 Remplacement repoussé ou jugé inutile

Figure 8 – Sous-arbre « Fuite au flexible » (cf. figure 7)

SE 4 050 − 10

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

— une porte « OU » divise l’ensemble en autant d’ensembles que la porte en introduit. Chaque porte « OU » crée donc autant de nouveaux ensembles qu’elle a de branches inférieures, chacun des nouveaux ensembles ayant autant d’éléments que l’ensemble qui comprenait l’événement supérieur de la porte « OU » ; — une porte « ET » remplace dans un ensemble un événement par les événements dont il est la conjonction. Elle n’apporte qu’un nouvel ensemble qui a un élément de plus que l’ensemble précédent si il y a deux éléments sous la porte « ET » (deux éléments de plus si il y a trois éléments sous la porte « ET », etc.). D’étape en étape, on arrive à des ensembles qui ne contiennent que des événements de base ou conditions. On peut alors :

— éliminer les redondances d’événements dans une même coupe (il est inutile de citer plusieurs fois le même événement dans une coupe) ; — éliminer les redondances de coupes (quand le même ensemble d’événements a été produit par plusieurs voies, il est inutile de le conserver en plusieurs exemplaires) ; — éliminer les « super-coupes » qui en contiennent d’autres (quand un ensemble est strictement contenu dans un autre, il n’est utile de garder que le plus petit). Ces étapes conduisent donc à la liste des coupes minimales de l’arbre, c’est-à-dire de toutes les combinaisons d’événements de base ou conditions pouvant provoquer l’événement-sommet dans lesquelles le retrait d’un seul élément suffirait à ne plus le provoquer. L’encadré 1 regroupe les coupes minimales de l’arbre « Explosion de gaz domestique » présenté figures 7, 8, 9.

Encadré 1 – Coupes minimales de l’arbre « explosion de gaz domestique » (cf. figures 7, 8, 9) I. « Explosion de gaz domestique » ; II. « Concentration de gaz » ET « Source d’ignition » ; III. « Fuite » ET « Confinement » ET « Flamme » ; « Fuite » ET « Confinement » ET « Etincelle » ;

IV. « Fuite brûleur » ET « Confinement dû au froid extérieur » ET « Flamme » ; « Fuite brûleur » ET « Confinement dû au froid extérieur » ET « Etincelle » ; « Fuite brûleur » ET « Confinement fortuit » ET « Flamme » ; « Fuite brûleur » ET « Confinement fortuit » ET « Etincelle » ; « Fuite flexible » ET « Confinement dû au froid extérieur » ET « Flamme » ; « Fuite flexible » ET « Confinement dû au froid extérieur » ET « Etincelle » ; « Fuite flexible » ET « Confinement fortuit » ET « Flamme » ; « Fuite flexible » ET « Confinement fortuit » ET « Etincelle » ; « Fuite robinet ou tuyau » ET « Confinement dû au froid extérieur » ET « Flamme » ; « Fuite robinet ou tuyau » ET « Confinement dû au froid extérieur » ET « Etincelle » ; « Fuite robinet ou tuyau » ET « Confinement fortuit » ET « Flamme » ; « Fuite robinet ou tuyau » ET « Confinement fortuit » ET « Etincelle » ;

V. « Fuite brûleur » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite brûleur » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite brûleur » ET « Fenêtre fermée » ET « aération bouchée » ET « Flamme » ; « Fuite brûleur » ET « Fenêtre fermée » ET « aération bouchée » ET « Etincelle » ; « Fuite flexible poreux » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite flexible poreux » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite flexible poreux » ET « Fenêtre fermée » ET « Aération bouchée » ET « Flamme » ; « Fuite flexible poreux » ET « Fenêtre fermée » ET « Aération bouchée » ET « Etincelle » ; « Fuite flexible endommagé » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite flexible endommagé » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite flexible endommagé » ET « Fenêtre fermée » ET « Aération bouchée » ET « Flamme » ; « Fuite flexible endommagé » ET « Fenêtre fermée » ET « Aération bouchée » ET « Etincelle » ; « Fuite robinet ou tuyau » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite robinet ou tuyau » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite robinet ou tuyau » ET « Fenêtre fermée » ET « Aération bouchée » ET « Flamme ; « Fuite robinet ou tuyau » ET « Fenêtre fermée » et « Aération bouchée » ET « Etincelle » ; VI. « Fuite brûleur » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite brûleur » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite brûleur » ET « Fenêtre fermée » ET « aération bouchée » ET « Flamme » ; « Fuite brûleur » ET « Fenêtre fermée » ET « aération bouchée » ET « Etincelle » ; « Fuite flexible poreux périmé » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite flexible poreux périmé » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite flexible poreux périmé » ET « Fenêtre fermée » ET « Aération bouchée » ET « Flamme » ; « Fuite flexible poreux périmé » ET « Fenêtre fermée » ET « Aération bouchée » ET « Etincelle » ; « Fuite flexible poreux non périmé » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite flexible poreux non périmé » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite flexible poreux non périmé » ET « Fenêtre fermée » ET « Aération bouchée » ET « Flamme » ; « Fuite flexible poreux non périmé » ET « Fenêtre fermée » ET « Aération bouchée » ET « Etincelle » ; « Fuite flexible endommagé à l’insu de l’utilisateur » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite flexible endommagé à l’insu de l’utilisateur » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite flexible endommagé à l’insu de l’utilisateur » ET « Fenêtre fermée » ET « Aération bouchée » ET « Flamme » ; « Fuite flexible endommagé à l’insu de l’utilisateur » ET « Fenêtre fermée » ET « Aération bouchée » ET « Etincelle » ; « Fuite flexible endommagé non remplacé » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite flexible endommagé non remplacé » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite flexible endommagé non remplacé » ET « Fenêtre fermée » ET « Aération bouchée » ET « Flamme » ; « Fuite flexible endommagé non remplacé » ET « Fenêtre fermée » ET « Aération bouchée » ET « Etincelle » ; « Fuite robinet ou tuyau » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Flamme » ; « Fuite robinet ou tuyau » ET « Froid » ET « Fermeture de toutes les ouvertures » ET « Etincelle » ; « Fuite robinet ou tuyau » ET « Fenêtre fermée » ET « Aération bouchée » ET « Flamme » ; « Fuite robinet ou tuyau » ET « Fenêtre fermée » ET « Aération bouchée » ET « Etincelle » ;

On trouve donc selon cette décomposition vingt-quatre coupes minimales (à la sixième étape) composées d’événements de base ou conditions. Comme nous avions construit un arbre qui n’utilise pas deux fois le même événement, il n’y a pas de simplifications possibles.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 11

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

0,057 Confinement

Confinement

0,045

0,0125

Confinement voulu à cause du froid extérieur Fenêtre fermée

Confinement fortuit

Pas d'aération

0,9 0,9 0,025 0,025

Froid Aération accidentellement bouchée

Aération volontairement bouchée

a

0,5 0,5

Fenêtre fermée

0,05 0,05

Aération bouchée

Fermeture de toutes les ouvertures

b

Figure 9 – Sous-arbre « Confinement » (cf. figure 7)

2.4 Quantification d’un arbre de défaillance pas à pas Le lecteur consultera utilement les articles Probabilités. Présentation [A 165] et Probabilités. Concepts fondamentaux [A 166] dans le traité Sciences fondamentales. Comme on le verra au paragraphe 2.5, un arbre de défaillance est très intéressant, même sans quantification ; c’est toutefois une de ses principales utilités que de pouvoir évaluer la probabilité de survenue de l’événement-sommet à partir de celles des événements de base. ■ La probabilité de l’événement E, si il peut résulter de A « OU » B (indépendants) est la somme des probabilités de survenue de A et de B diminuée de leur produit. Ne pas soustraire ce produit, c’est compter deux fois la probabilité de survenue simultanée de A et B. Quand les probabilités sont faibles, ce terme peut être négligé. Exemple : 0,001 + 0,000 3, soit 0,001 3 n’est guère différent de 0,001 + 0,000 3 − 0,000 000 3, soit 0,001 299 7. Alors que 0,5 + 0,6 soit 1,1 (qui ne peut être une probabilité) ne peut être assimilé à 0,5 + 0,6 − (0,5 × 0,6) soit 0,8 ! ■ Si E résulte de A « ET » B indépendants, sa probabilité est le produit des probabilités de A et de B : p(E) = p(A) × p(B) Nota : c’est l’explication des signes d’addition dans le symbole « OU » et de multiplication dans le symbole « ET ».

■ En appliquant ces deux règles, on calcule de proche en proche les probabilités des événements intermédiaires jusqu’à celle de l’événement-sommet à partir des probabilités des événements de base et des conditions. Quand on combine des probabilités d’événements intermédiaires qui ont dans leur décomposition des éléments de base communs, il

SE 4 050 − 12

faut en tenir compte pour ne pas compter deux fois (que ce soit en addition ou en multiplication) cet événement commun. Exemple : A, B et C étant indépendants, p(A ou B) = p(A) + p(B) − p(A) · p(B) ; p(A ou C) = p(A) + p(C) − p(A) · p(C). Mais p[(A ou B) et (A ou C)] = p(A) + p(B) · p(C) − p(A) · p(B) · p(C) et non p(A ou B) · p(A ou C). p(A et B) = p(A) · p(B) et p(A et C) = p(A) · p(C). p[(A et B) et (A et C)] = p(A) · p(B) · p(C) et non p(A)2 · p(B) · p(C). Ces règles simples permettent de calculer les probabilités non seulement de l’événement-sommet, mais aussi de chaque événement intermédiaire. Ces calculs peuvent être très intéressants pour constater que la plus grande part de la probabilité de l’événementsommet n’est due qu’à une petite partie de l’ensemble des scénarios décrits par l’arbre. Quand on rencontre des événements non indépendants, le calcul n’en est pas moins possible mais plus compliqué : il faut connaître la probabilité conditionnelle d’un événement sachant que l’autre est réalisé, ce qui ne va pas souvent de soi. La façon la plus claire est cependant de décomposer les événements en événements indépendants (A pour des causes ne provoquant pas B, B pour des causes ne provoquant pas A, A et B pour les mêmes causes). Avec ces règles de base (cf. [A 165] [A 166]), on peut déduire des probabilités des événements de base et des conditions, les probabilités de tous les autres événements de l’arbre. On calcule les probabilités des événements intermédiaires immédiatement supérieurs aux événements de base et conditions en appliquant la règle adéquate (selon que c’est un ET ou un OU qui le relie aux événements de base ou conditions) évoquée ci-dessus. Quand on a calculé ces probabilités on réitère pour obtenir la probabilité des événements de rang supérieur et ainsi de suite jusqu’à l’événement-sommet.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

Le point important à ne pas perdre de vue est qu’on peut multiplier une valeur ayant une dimension (l’inverse d’un temps) par un nombre sans dimension (une probabilité) et additionner des nombres ayant la même dimension. Le plus simple est de n’utiliser soit que des probabilités « pures » sans dimension (probabilité qu’un dé sorte au moins 5) soit des probabilités résultant de la fixation d’une durée : l’information disponible est la probabilité par unité de temps d’une défaillance (dimension inverse d’un temps). On se donne pour tous les événements de l’arbre une durée (par exemple un an) et, pour chaque événement ou condition si sa probabilité dépend du temps on prend sa probabilité d’apparition pour cette durée (probabilité de survenue par an). Ainsi on combine (multiplie ou divise) entre elles des probabilités sans dimensions. Les figures 7, 8 et 9 indiquent les différentes probabilités prises en compte et calculées.

2.5 Exploitation d’un arbre de défaillance 2.5.1 Évaluation de la probabilité de l’événement-sommet L’utilisation la plus évidente est le calcul de la probabilité de survenue de l’événement-sommet à partir des probabilités des événements de base et des conditions. Ce calcul peut se faire pas à pas selon la méthode évoquée plus haut (§ 2.4) ou à partir des coupes minimales (§ 2.3). Calculer la probabilité de l’événement-sommet à partir des coupes minimales revient à réduire l’arbre à un arbre simple où chaque coupe minimale est un événement intermédiaire divisé par une porte « ET » en ses éléments et où une porte « OU » réunit toutes les coupes minimales pour produire l’événement-sommet. Les événements de base étant indépendants, l’indépendance ou non des coupes minimales entre elles se repère très facilement selon qu’elles ont en commun ou non les événements de base.

2.5.2 Prise de connaissance des scénarios d’accident Un arbre de défaillance peut aussi être lu comme la collection des scénarios conduisant à l’événement-sommet. L’arbre de défaillance a comme inconvénient de ne pas rendre compte efficacement de l’aspect temporel des scénarios d’incident ou d’accident. Chaque coupe (les coupes minimales étant les plus intéressantes) peut être assimilée à un scénario de survenue de l’événement-sommet. La prise en compte, dans la notion de scénario, non seulement des événements de base et conditions qui constituent la coupe, mais aussi des événements intermédiaires qui résultent des combinaisons partielles de ces éléments donne une représentation plus complète du scénario. Certains événements intermédiaires peuvent se révéler beaucoup plus facilement détectables que les événements de base. La surveillance idéale du système détecterait de façon fiable les événements de base et les conditions qui entrent dans les scénarios des événements redoutés dans des délais permettant d’intervenir pour dévier le scénario vers des événements satisfaisants ou, au moins acceptables. Ce n’est pas souvent réaliste ou économiquement atteignable. Les systèmes de surveillance peuvent détecter certains des événements ou conditions dans des délais permettant d’intervenir efficacement. Ces détections sont d’autant plus intéressantes que la probabilité conditionnelle d’avoir l’événement redouté sachant que

les événements surveillés sont réalisés est proche de 1. En d’autres termes, détecter des combinaisons d’événements qui ne se traduisent généralement par aucun événement redouté important est peu utile. Prendre systématiquement des mesures d’arrêt par exemple, est inacceptable. L’analyse de l’arbre par scénario permet de déterminer les événements intermédiaires (combinaisons d’événements ou de conditions) les plus proches de l’événement-sommet (non en terme de nombre de niveaux mais en terme de probabilité que l’événementsommet se réalise à partir du moment où lui-même est réalisé) ; en retenant ceux qui sont détectables et qui laissent le temps de réagir, on optimise le système de protection. Cette lecture de l’arbre permet aussi de chercher à optimiser la prévention : la prise de connaissances de ces scénarios permet d’imaginer et d’évaluer l’effet de mesures de protection qui agiraient sur des événements intermédiaires pour réduire la probabilité de survenue de l’événement-sommet sans nécessairement agir sur les événements de base.

2.5.3 Arbre de défaillance et retour d’expérience L’analyse issue de l’examen de l’arbre de défaillance permet aussi d’organiser un retour d’expérience bien ciblé (cf. article La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670], § 4.3) : tous les événements de base et les conditions qui entrent dans les coupes minimales de l’arbre devraient être saisis par un retour d’expérience. Toutefois il peut être préférable, pour des raisons pratiques (selon les événements qui peuvent être repérés, détectés, enregistrés), de fonder la collecte des événements du retour d’expérience à un niveau plus élevé de l’arbre. Il est ainsi très souvent pratique et utile de fonder la collecte sur un niveau intermédiaire : — ne collecter que les réalisations de l’événement-sommet, c’est s’exposer à un retour d’expérience très pauvre et se priver de sa principale utilité à savoir anticiper un tel événement en repérant une recrudescence des événements de base qui peuvent le provoquer ; — vouloir collecter tous les événements de base et conditions, c’est se donner une charge énorme de collecte et un risque très élevé d’échouer à mettre en place une collecte systématique. Aussi choisit-on des événements intermédiaires assez significatifs pour motiver l’effort de collecte et assez éloignés du sommet pour que la fonction d’anticipation joue son rôle. La consultation de l’arbre joue alors un rôle très important : s’assurer qu’avec la collecte des événements qui ont été retenus comme devant être collectés et analysés, on couvre bien tout l’arbre. Inversement, le retour d’expérience doit permettre de confirmer ou rectifier l’arbre de défaillances et de corriger par les données relevées en réalité les données prévisionnelles. En effet un arbre de défaillance est construit avec les connaissances et les données disponibles au moment de l’étude. Ces données sont donc prévisionnelles. Au fur et à mesure que le retour d’expérience fournit des scénarios qui se sont réellement déroulés, il faut s’assurer que ceux-ci sont bien parmi les scénarios prévus par l’arbre. Dans le cas contraire, il faut non seulement compléter l’arbre avec le cas découvert, mais s’interroger sur les lacunes que ce cas révèle et dont le comblement peut conduire à l’ajout d’autres branches que celle du cas présenté par le retour d’expérience. Enfin, après un certain temps de fonctionnement stable, un retour d’expérience fournit des fréquences constatées de certains événements. Il importe alors de les comparer aux fréquences prévisionnelles qui se déduisent des probabilités utilisées. Il ne faut pas substituer brutalement une fréquence issue du retour d’expérience aux valeurs utilisées initialement. En cas de divergences significatives, il faut s’interroger sur la précision et les intervalles de confiance entourant les valeurs issues du retour d’expérience ; la révision des

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 13

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

calculs (et donc des conclusions) issus de l’arbre de défaillance doit prendre en compte le niveau de confiance qu’on désire conserver ou atteindre.

2.5.5 Évaluation prévisionnelle d’une mesure de réduction de risque

2.5.4 Appréciation de la défense en profondeur

L’arbre permet une évaluation prévisionnelle des effets d’une mesure. En repérant les modifications à apporter à l’arbre pour tenir compte de la mesure étudiée, on peut établir une prévision de son effet relativement à l’événement étudié.

En matière de sécurité (événement grave qui doit être très improbable), on parle souvent (en particulier dans le nucléaire) de « défense en profondeur ». Cela veut dire qu’on se donne comme règle que plusieurs barrières indépendantes s’interposent entre les événements initiateurs et l’accident. Cela correspond à l’idée très répandue selon laquelle il faut plusieurs défaillances (une coïncidence) pour provoquer un accident.

L’arbre de défaillance est un modèle simple de dysfonctionnement d’un système (chaque arbre limité à un événement redouté). On peut s’appuyer dessus pour anticiper les effets d’une modification sur l’événement représenté : cela suppose de refaire les calculs si la modification ne touche pas les scénarios mais seulement les probabilités (cas simple).

À côté d’expressions probabilistes là où elles sont pertinentes, les responsables de systèmes à risque se donnent des règles comme « aucun point de défaillance unique », « au moins trois barrières indépendantes »... ■ L’examen des coupes minimales permet d’apprécier la défense en profondeur du système vis-à-vis de l’événement-sommet : des coupes minimales à un seul événement de base révèlent des points de défaillance unique, un seul événement suffit à provoquer l’événement-sommet. Dans un système de sécurité, pour un événement-sommet grave auquel on appliquerait le principe dit de trois barrières, il ne doit pas y avoir de coupes minimales à moins de trois événements. ■ La lecture de l’arbre analysant un accident dans un tel système ayant une défense en profondeur permet de classer les états en fonction de leur proximité à l’accident : depuis les états nominaux où il faut un cumul d’événements pour produire l’accident jusqu’aux états les plus dangereux où une condition ou un événement suffit à le provoquer en passant par les états intermédiaires. Cette hiérarchisation a l’avantage d’être très simple et parlante et l’inconvénient qui va avec d’être simpliste. Utilisée sans lucidité, elle pourrait conduire à préférer trois barrières fragiles à une très solide. Cette approche très simple est cependant très pertinente au moins pour repérer les points qui requièrent une attention soutenue et très critique : la barrière « unique mais infaillible » est un grand classique des analyses d’accidents graves. L’autre piège très classique et qui fonctionne toujours très bien est celui de la fausse indépendance. Il est très facile de passer à côté d’une cause commune ou d’une influence commune. Exemple : accident d’avion. Les commandes étant reconnues critiques pour la sécurité sont doublées et l’indépendance est assurée en choisissant des technologies différentes : commandes électriques, pneumatiques... Un avion a perdu une porte (incident sérieux peu fréquent mais acceptable) ; en est résultée naturellement une dépressurisation qui a provoqué l’effondrement du plancher. Malheureusement toutes les commandes passaient de la tête vers la queue par le plancher et furent perdues en même temps pour une cause unique. Ce type d’exemple doit rendre modeste et exigeant, car il a piégé des équipes sensibilisées aux risques de modes communs et expérimentées et il nous guette toujours autant. ■ En tenant compte d’une pondération par la probabilité des événements qui doivent encore se produire pour provoquer l’accident, on peut classer les différentes configurations du nominal au dégradé sûr, puis au dégradé à sécurité réduite, au danger et au quasi-accident. Un tel classement peut permettre de prévoir des mesures plus ou moins restrictives d’urgence adaptées à chaque situation.

SE 4 050 − 14

Plus difficile mais productif, le cas où la modification modifie la structure de l’arbre même.

2.5.6 Hiérarchisation des événements de base ■ Pour optimiser l’amélioration du système, il est utile d’évaluer la contribution relative de chaque événement de base à la survenue de l’événement-sommet, c’est-à-dire la sensibilité de la probabilité de l’événement-sommet à la probabilité de chacun des événements de base. ● La méthode la plus naturelle consiste à calculer, pour chaque événement de base la variation de la probabilité de l’événementsommet entraînée par une variation donnée (usuellement 1 %) de la probabilité de l’événement de base, toutes choses égales par ailleurs. ● Une autre méthode consiste à calculer, pour chaque événement de base, la différence entre la probabilité de survenue de l’événement-sommet sachant que l’événement de base s’est produit et la probabilité de l’événement-sommet sachant que l’événement de base ne se produit pas.

Quand on pondère la différence de probabilité calculée comme cidessus par la probabilité de survenue de l’événement de base concerné, on obtient la même hiérarchisation que dans la méthode qualifiée plus haut de naturelle. ■ Cette hiérarchisation étant établie, il est tentant de vouloir d’abord réduire la probabilité de survenue de l’événement de base qui a la plus grosse contribution. En fait si le système est complexe, la démarche optimale l’est aussi un peu plus. La hiérarchisation met en évidence les quelques événements de base dont la contribution est assez importante pour que travailler à la réduction de leur contribution soit utile. Ceci ayant réduit le champ des investigations, il faut recenser les mesures envisageables pour réduire la probabilité de l’événement-sommet. Chacune de ces mesures peut être de prévention (diminution des probabilités de survenue des événements de base) ou de protection (modification de l’arbre réduisant la probabilité que l’événement de base produise l’événement-sommet). Il faut alors utiliser l’arbre pour évaluer tout l’impact de chacune des mesures envisageables et c’est en comparant cet impact au coût de la mesure qu’on optimisera le système. La hiérarchisation des contributions à l’événement-sommet étudié est une premièreres possibles de réduction de risque qu’il faut évaluer, pas les événements de base. On ne décide pas les événements de base, mais on décide des mesures. Aussi la hiérarchisation sert elle seulement à orienter les efforts, à suggérer des objectifs aux mesures de réduction de risque qu’il faut imaginer.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

2.6 Conclusion L’arbre de défaillance est une méthode particulièrement adéquate pour synthétiser les analyses de sûreté de fonctionnement sur un système quand elles sont destinées à s’assurer de la maîtrise de risques identifiés. Il est particulièrement utile pour répondre à des questions comme « Quel est le risque que l’événement X se produise ? », « Selon quels scénarios l’événement X risque-t-il de se produire ? », « Quelles combinaisons suffisent à produire l’événement X ? », « Sommes nous à la merci d’une défaillance unique, de défaillances doubles, triples... ? ». L’arbre de défaillance ne permet pas de rendre bien compte d’une dimension temporelle riche : en lui-même il ne permet pas de représenter des aspects de durée ou de chronologie. Quand cet aspect est réduit à peu de choses, on peut contourner l’obstacle en introduisant des conditions comme « le fait F1 s’est produit avant », mais si les aspects temporels sont complexes, l’arbre de défaillances ne permet pas de les représenter de façon pratique et fidèle. L’arbre de défaillance représente des faits. Tout est noir ou blanc : le fait est là ou non. Ce n’est pas une méthode pour représenter des influences. Exemple : pour représenter le fait que au-dessus d’une certaine température, la probabilité de rupture d’une pièce augmente, on peut utiliser un arbre avec l’événement « rupture de la pièce » et quantifier avec différentes valeurs de la probabilité de cet événement en notant que c’est la température qui fait varier ces valeurs. Mais introduire l’événement « température en hausse » dans l’arbre n’est pas pratique du tout.

2.7 Exemple Nous traitons ici un exemple d’étapes de construction et d’exploitation d’un arbre simple correspondant à l’événement « porte fermée » présenté figure 10. La première version (figure 10) a inspiré deux réflexions qui se sont traduites par des modifications (figure 11) : — on a pensé que l’on pouvait avoir oubliée ou perdu la clé de secours. On devrait envisager l’oubli ou la perte de la télécommande ; — si la porte est assez coincée pour résister à l’effort d’une personne forte, elle doit résister aussi au moteur. L’analyse quantitative conduit à l’arbre représenté en figure 11. Avec les chiffres (fantaisistes) avancés, on constate que l’essentiel de l’indisponibilité de l’ouverture de la porte serait dû à l’événement « porte coincée ». Dans un premier temps, c’est le seul qui mérite d’être développé car c’est la seule coupe d’ordre 1 et l’événement n’est pas très rare.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 15

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

E Porte fermée

A Serrure fermée

L Non-fonctionnement de la télécommande

M Non-fonctionnement de la serrure mécanique

X Code erroné

XX Absence de clé

Y Télécommande hors service

YY Serrure bouchée

B « Raté » d'ouverture

N Non-fonctionnement du moteur électrique

R Défaillance alimentation

O Non-fonctionnement de l'ouverture mécanique

U Personne trop faible pour le poids de la porte

V Porte coincée

S Panne moteur E échec à ouvrir la porte basculante télécommandée du garage A la porte reste verrouillée

Z Défaut de réception

ZZ Défaillance serrure

T Défaillance transmission

B la porte déverouillée reste fermée

Figure 10 – Événement porte fermée : version initiale

SE 4 050 − 16

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

Coupes minimales : O R, Q S, Q T, Q W, WW

W, XX W, YY X, WW X, XX Y, WW

Y, XX Y, YY Z, WW Z, XX Z, YY

0,0011

E Porte fermée

0,00013

0,001

A Serrure fermée

B « Raté » d'ouverture

0,012

L Non-fonctionnement de la télécommande

0,0001 0,0001

W Absence de télécommande

0,011

M Non-fonctionnement de la serrure mécanique

0,000011

N Échec d'ouverture

0,01 0,01

WW Absence de clé

0,00011

P Échec ouverture moteur

0,001 0,001 0,01 0,01

Y Télécommande hors service

O Porte coincée

0,1 0,1

Q Échec ouverture manuelle : personne trop faible pour le poids de la porte

XX Serrure bouchée

X Code erroné

0,001 0,001

0,001 0,001

0,0001 0,0001 0,00001 0,00001

R Défaillance alimentation

YY Défaillance serrure 0,000001 0,000001

0,001 0,001

S Défaillance moteur

Z Défaut de réception 0,00001 0,00001

T Défaillance transmission

Figure 11 – Événement porte fermée : version corrigée et chiffrée (cf. figure 7 pour la convention utilisée)

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 17

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

3. Arbre des causes « Arbre des causes » eut été une appellation adéquate pour l’arbre de défaillance décrit plus haut. Toutefois, depuis un travail important de mise au point et de promotion de l’outil pour l’analyse des accidents du travail fait au début des années 1970 par l’INRS (Institut national de recherche et de sécurité), on appelle arbre des causes, la représentation d’une analyse a posteriori d’un accident ou incident qui va être décrite ici. Si l’on disposait d’un arbre de défaillance complet, tout arbre des causes devrait se révéler un sous-ensemble de l’arbre de défaillances puisque l’accident étudié devrait être la réalisation d’une des possibilités décrites par l’arbre de défaillance. L’arbre des causes est plutôt une méthode pour organiser les informations recueillies à propos d’un accident et donc l’analyser, qu’un guide pour recueillir les informations. Le caractère ordonné de la représentation en arbre peut attirer l’attention sur un trou dans les informations.

3.1 Principe. Caractéristiques. Objectifs ■ « Tout événement peut être source de progrès » Le principe de l’utilisation des arbres des causes est de mettre en pratique cette maxime en réunissant les éléments ayant joué un rôle dans un événement et en restituant à chacun sa place dans le déroulement de l’événement. La compréhension de tout événement sortant du strictement prévu, normal, habituel est une source de progrès. Il faut pour cela en produire une analyse rigoureuse, objective en recherchant tous les éléments de compréhension. Cette démarche doit être assez éloignée de la démarche de recherche de responsabilités ou de culpabilités. ■ La « méthode de l’arbre des causes » n’est pas la seule possible mais elle est très largement répandue et recommandée car elle présente des caractéristiques très favorables : — elle est simple à mettre en œuvre (nombre d’entreprises l’ont diffusée et son acquisition par de nombreux acteurs se révèle généralement assez aisée) ; — elle aide beaucoup à aller plus loin que des méthodes usuelles reposant sur des questionnaires ; — elle guide sans contraindre. Le formalisme de la méthode pousse à la recherche des causes dans des directions qui pourraient être spontanément écartées ; il favorise le caractère systématique de la recherche des faits et de leurs liens logiques. Par contre elle n’est pas contraignante et permet de prendre en compte sans difficultés toutes les contributions ; — elle vise à représenter tout ce qui contribue à expliquer l’événement sans favoriser ou hiérarchiser les éléments, en particulier, les éléments permanents, « normaux », qui ont contribué à l’accident doivent apparaître au même titre que les événements particuliers ou « anormaux » ; — elle aide à mettre en évidence ce qui différencie le scénario étudié du scénario « normal » de référence ; — elle favorise la recherche et l’évaluation de mesures de prévention ou de protection destinées à éviter le retour de l’événement ou de ses conséquences fâcheuses ; — elle met souvent en évidence des facteurs d’accidents susceptibles de se manifester dans d’autres scénarios que celui étudier ; — elle offre l’occasion d’une appropriation globale et commune par tous les acteurs concernés par l’événement et impliqués dans son analyse de la compréhension de l’événement et des situations vécues. Elle déculpabilise les acteurs. ■ L’utilisation ponctuelle ou systématique de la méthode de l’arbre des causes dans le cadre plus large d’une démarche de retour d’expérience doit permettre d’atteindre les objectifs suivants :

SE 4 050 − 18

— une prise en compte aussi complète que possible de tout ce qui a contribué à l’événement étudié au-delà de ce qui aurait été spontanément cité comme « causes » ; — un « apprentissage organisationnel », c’est-à-dire un progrès collectif des acteurs impliqués dans la conscience des fonctionnements et dysfonctionnements du système auquel ils participent ; — une production rationnelle et aussi créative que possible de propositions de mesures propres à réduire le retour de l’événement ou ses conséquences. ■ Comme dans toute méthode de représentation par arbre, deux limitations sont très présentes : — une logique réductrice en « OUI » et « NON » ; — pas de représentation du rôle du temps qui passe. La réalité qui peut être très complexe et nuancée est réduite à un ensemble de faits reliés par des liens logiques. Le fait est là ou pas, il est partiellement cause ou pas. Dans la réalité, des influences ont pu jouer un rôle sans être vraiment décisives. Entre le fait qu’on peut considérer comme la cause et l’accident le système a pu engager un scénario d’accident, prendre des mesures de redressement qui auraient pu éviter l’accident puis revenir au scénario accidentel. Il ne faut pas se cacher le côté réducteur de la représentation par arbre de causes qui réduit la réalité à un mécanisme logique. Cependant cette méthode permet de prendre en compte beaucoup plus d’éléments que ce qui apparaît dans les approches spontanées des accidents qui tendent à conclure au plus vite à une cause, voire deux et à négliger tout ce qui nuancerait l’attribution de responsabilité de l’accident à la cause indiscutable.

3.2 Construction d’un arbre des causes En amont de la construction proprement dite de l’arbre, il y a le recueil des faits. C’est évidemment une étape cruciale.

3.2.1 Collecte des faits. Recommandations À l’évidence, il faudrait avoir recueilli tous les faits. Comment savoir si on a recueilli tous les faits ? On n’en est jamais certain, mais on peut énoncer plusieurs recommandations à peu près universelles. ■ Ce qui est profitable : — recueillir les faits le plus tôt possible ; — noter tout ce qui n’était pas « normal » ou pas « prévu » ou pas « habituel », même si, à première vue, cela ne joue aucun rôle dans l’événement ; — interroger tous les acteurs, témoins, victimes sans, à ce stade, les contredire ou les limiter ; — remonter loin en amont de l’événement (on ne peut donner d’indication pratique et générale, mais, en cas de doute il faut plutôt choisir de remonter plus en amont) ; — tout écouter, tout enregistrer sans censurer, mais chercher à valider aussi vite que possible toutes les allégations ; — autant que possible, prendre les faits eux-mêmes plutôt que leurs traductions en mots : quand c’est pertinent, des photos, des enregistrements sonores, des échantillons, par exemple sont préférables à des rapports descriptifs, si bien faits soient ils ; — préférer noter plusieurs petits faits à globaliser (on pourrait a priori trouver plus riche de noter « ils sont entrés par la porte » que de noter « ils étaient à l’intérieur » et « la porte était ouverte » ; au stade des constatations, ce serait une erreur) ; — en deuxième étape mais encore dans le cadre des constatations immédiates sur le site, se renseigner à propos des anomalies ou particularités du scénario étudié si elles ne se sont pas déjà produites ensemble ou séparément ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

— utiliser des listes ou des grilles adaptées aux systèmes dont on a la charge pour éviter d’oublier un domaine d’investigation (mais sans se laisser enfermer dans la routine) ; — identifier les personnes, les objets ou les textes présents pour pouvoir ultérieurement s’y intéresser de plus près. ■ Ce qu’il faut éviter : — les jugements de valeur, les accusations, les interprétations, la désignation du coupable, de la cause, etc. ; — le tri parmi les éléments qui viserait à ne retenir que ce qui serait vraiment une cause. Le terme « cause » dans l’appellation « arbre des causes » peut induire en erreur en conduisant à sélectionner les faits qui mériteraient la qualification de « cause » ; au contraire, tout ce qui joue un rôle doit être présent et il n’y a pas d’inconvénient sérieux à introduire des éléments (réels et justes) qui, en somme, n’aurait pas joué de rôle dans l’événement ; — ne prendre les déclarations que de certains acteurs supposés pouvoir parler pour les autres ; en particulier, s’en tenir aux déclarations du chef d’équipe ou interroger les acteurs en sa présence ; — surtout arrêter ou limiter son investigation ou la recherche des faits parce que les causes sont claires, qu’on a trouvé, que tout le monde est d’accord, qu’il n’y a pas à chercher plus loin, etc. ; — accepter de reconnaître que les causes sont évidentes, l’événement identique à d’autres déjà bien connus et se contenter de ce qui le confirme.

3.2.2 Écriture de l’arbre 3.2.2.1 Processus Tout d’abord, il est hautement recommandé de construire l’arbre en réunion, avec tous les éléments et, si possible en une fois. Tous les acteurs de l’événement (agents, témoins, dirigeants) devraient participer (pas seulement assister passivement) à l’élaboration de l’arbre. Ceci est important pour deux raisons : — que tout ce qui peut avoir joué un rôle soit pris en compte ; — qu’il y ait « apprentissage organisationnel », partage d’une compréhension unique et commune de toute la complexité du fonctionnement du système dans lequel chacun à eu un rôle lors de l’événement. Un dysfonctionnement peut souvent révéler qu’un acteur est gêné ou induit en erreur ou poussé à des prises de risque par des éléments ou des circonstances qui ne sont pas supposées jouer un rôle. Seul cet acteur peut l’avancer ; toute personne habilitée à parler pour lui ne pourra mettre en avant que ce qui est censé jouer un rôle et l’analyse de l’événement, involontairement orientée, consistera à confirmer les a priori au lieu de jouer son rôle de révélateur. ■ Il est essentiel que chaque acteur se sente libre, autorisé, voire obligé, de dire ce qu’il pense réellement de l’événement et de ce qui a compté pour lui, même et surtout si ce n’est pas conforme à la doctrine. Avoir favorisé lors du recueil des faits, l’expression libre et sans censure ni témoin de l’agent peut permettre lors de l’analyse collective de lui « tendre la perche » pour s’exprimer. ■ Par ailleurs, il faut éventuellement écarter du groupe des acteurs intéressants mais ayant un poids hiérarchique qui pèserait sur la liberté de parole des autres. En présence de ce risque, il y a moins d’inconvénient à réduire la présence susceptible de provoquer de l’autocensure et à solliciter ces dirigeants après coup pour améliorer l’arbre qu’à réunir tout le monde et à se priver de la parole sincère des acteurs « de base ». Mais si on doit procéder ainsi, on se prive dans un premier temps d’un intérêt fort de l’analyse par arbre des causes qui est l’appropriation collective des apprentissages issus de cette analyse. Il est donc souhaitable de prévoir une démarche spécifique ultérieure de mise en commun des perceptions des fonctionnements réels, ceux que l’analyse de l’événement a révélé, au niveau de l’équipe et de ses dirigeants de proximité.

■ Il est indispensable d’avoir sous la main tous les éléments issus du recueil de faits. La participation des acteurs à la représentation de l’événement sous forme d’arbre de causes n’est pas la transcription dans le formalisme de l’arbre des causes de leurs points de vue ou déclarations. C’est l’expression de leur compréhension commune. Il ne doit donc pas y avoir à un moment l’inscription dans l’arbre des informations issues de leurs déclarations et à un autre l’inscription des faits matériels. C’est une très fausse bonne idée que de préparer « en chambre » un arbre avec les faits matériels et de le présenter pour complément aux acteurs. Tous les faits doivent être traités de la même façon qu’ils soient issus d’indices matériels ou de déclarations. Procéder en une fois, avec tous les acteurs et tous les faits est la meilleure façon de garantir un traitement égal sans a priori de tous les éléments. Bien entendu, les contraintes matérielles peuvent amener à transiger avec ce principe, mais le risque est grand. Dès qu’une partie d’arbre est construite, la représentation de ceux qui y ont participé est quasiment figée dans ce modèle et les autres faits qui seront pris en compte par la suite devront s’y intégrer. La propension (naturelle sans aucune intention) de l’homme à trier, déformer les faits pour les faire coller à la représentation qu’il possède est bien connue. Dans ce cas, elle peut remarquablement fonctionner ; il est important de réduire ses possibilités de se manifester. 3.2.2.2 Symboles On n’utilise généralement que deux symboles pour représenter un fait : — le rectangle pour représenter un fait « normal » ; — l’ellipse ou ovale ou cercle pour représenter un fait « anormal » ou « inhabituel ». Ces faits sont liés entre eux par des traits qui expriment la relation de cause à effet. Ces traits prennent deux formes : — le trait qui relie deux faits ou enchaînement simple ; — la fourche qui relie plusieurs faits d’un côté à un fait de l’autre. La fourche peut, a priori, avoir deux sens : — la conjonction (plusieurs faits-causes, ensemble, ont une conséquence) ; — la disjonction (un fait a plusieurs conséquences). En général, seule la conjonction est utilisée dans les arbres de cause. Par convention et par habitude, un arbre des causes est très souvent présenté horizontalement, le fait final étudié étant le plus à droite. Il semble naturel de « lire » de gauche à droite, de la cause vers la conséquence. Ce n’est pas obligatoire, mais il vaut mieux être conscient que beaucoup de lecteurs auront cet a priori. La position d’un fait à droite ou à gauche par rapport à un autre n’a de signification que si ils sont sur une même branche, reliés par une suite continue de traits de même sens (cause vers conséquence). Les positions relatives de deux faits de deux branches différentes n’ont aucune signification ! 3.2.2.3 Construction pas à pas ■ D’abord, il faut bien définir le fait ultime qu’on cherche à expliquer. Ce n’est normalement pas difficile. Toutefois, il ne revient pas au même d’expliquer que « M. Lécureuil est tombé d’une échelle » ou que « M. Lécureuil s’est cassé les deux jambes en tombant d’une échelle ». La nature du sol, la hauteur de la chute ou la fragilité des os de M. Lécureuil... interviendront dans le second cas, sans doute pas dans le premier. ■ Puis remonter pas à pas. En amont du fait, poser le ou les faits dont la conjonction fut nécessaire et suffisante pour l’entraîner. On cherche à répondre à la question « Qu’a-t-il fallu pour que... ? ». On vérifie qu’on répond « non » à la question « Y a-t-il d’autres

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 19

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

causes ? » (il faut prendre cause dans un sens large d’élément contributif, ayant joué un rôle). On vérifie qu’on répond « non » à la question « le fait que je cherche à expliquer aurait-il cependant eu lieu si l’une des " causes " n’avaient pas été réalisée ? » Il faut rechercher toutes les causes (la volonté de ne pas se contenter trop vite d’une ou deux causes est importante) mais ne pas introduire de causes issues d’autres scénarios : on recherche les causes qui ont effectivement joué dans le cas étudié, on élimine les autres causes qui pourraient produire les mêmes effets. En particulier, on ne retient pas des faits présents dans le cas étudié, qui pourraient produire l’effet étudié, mais qui, dans ce cas, n’ont pas joué. Il est cependant intéressant de les garder en mémoire pour la phase de recherche de solutions puisqu’il s’agit d’un fait qui, si on se protégeait de celui qui apparaît dans l’arbre provoquerait « à sa place » l’incident, donc dont il faut aussi se prémunir, faute de quoi la mesure envisagée est inutile. L’intérêt d’appliquer la méthode avec un animateur ou garant en mesure de faire respecter ces principes est que le caractère systématique de ces interrogations fassent prendre en compte des faits qui ne seraient pas apparus dans une approche spontanée. Il est normal que ce questionnement fasse surgir des faits qui n’étaient pas recensés au départ. D’où l’importance d’avoir sous la main tous les acteurs et tous les indices. Quand on a traité un fait en identifiant la conjonction des faits qui l’expliquent, on passe à un autre fait. La stratégie consistant alors à sauter au fait de rang comparable sur une autre branche plutôt qu’à continuer sur la même branche en cherchant l’origine des faits qu’on vient d’ajouter est conseillée pour contrer la tendance naturelle à approfondir et privilégier un scénario, une branche. ■ La construction de l’arbre s’arrête normalement quand on en est arrivé à des faits origines qui ne s’expliquent plus pour le système étudié (circonstances extérieures, hasards...). Normalement on a aussi alors utilisé tous les faits relevés. ■ Certains auteurs et certains praticiens ajoutent à cette panoplie la possibilité de mentionner des faits qui « gravitent autour », qui « ont un rapport avec... » des faits de l’arbre en les reliant par un pointillé. Cette relation « floue » signifie qu’on ne veut pas écarter trop vite un fait qui semble avoir un rôle mais qu’on ne peut situer dans la chaîne causale ou chronologique. L’enchaînement ne respecterait pas les critères énoncés. En particulier à la question « le fait que je cherche à expliquer aurait il cependant eu lieu si ce fait-là n’avait pas été réalisé ? », on ne répondrait pas nécessairement « non ». 3.2.2.4 Relecture et recommandations Au fur et à mesure de la construction de l’arbre et, in fine, en relecture, il est utile d’être attentif à certains points pour guider ou rectifier la construction : — un arbre linéaire sans conjonction est hautement suspect : le système serait un château de cartes ? Un tel arbre est presque certainement le symptôme d’une pseudo-analyse prédéterminée par « la cause » qu’il fallait mettre en évidence ; — un espalier (deux niveaux seulement : le fait ultime et la liste des causes dont la conjonction explique tout) est aussi suspect : peut-on comprendre comment un accident arrive en sautant directement des particularités ou anomalies à la conséquence ultime ? Un tel arbre suggère que l’accident résulte d’une coïncidence extraordinaire, qu’il n’était pas possible de voir venir ; les expériences les plus diverses ne confirment pas l’existence de tels cas ; — un fait dont l’énoncé est long (... et...) est probablement à la place d’un enchaînement simple, il vaut mieux le décomposer en plusieurs faits successifs liés par des enchaînements simples ; — un fait n’est pas forcément matériel, mais il est concret, vérifiable (« M.L. a décidé de ralentir » est un fait si ses déclarations ou des indices permettent d’affirmer qu’il a pris cette décision, mais « M.L. a dû vouloir ralentir » n’est pas un fait) ;

SE 4 050 − 20

— un fait anormal ayant pour conséquence un fait normal mérite un peu d’attention. Ce peut être le signe d’une erreur ou d’un manque, mais pas toujours : un fait anormal peut aussi provoquer une situation que bien d’autres faits auraient pu provoquer et qui soit donc fréquente, donc considérée comme normale même si, cette fois là, elle s’est produite d’une façon inhabituelle ; — les faits recueillis initialement et non utilisés dans l’arbre doivent être sérieusement examinés. Il n’est pas anormal que certains ne trouvent pas leur place, cela signifie qu’ils n’ont pas de rapport logique, pas de rôle dans l’accident étudié ; il faut être certain que cet avis est bien partagé avant d’entériner leur élimination ; — le même type de check-list que ce qu’on peut utiliser lors du recueil de faits peut servir à vérifier que tous les aspects habituels dans le fonctionnement d’un système sont présents dans l’arbre. Par exemple : trouve-t-on bien ce qui est relatif : • aux Hommes, • aux tâches, • aux organisations, • aux règles et procédures, • aux installations et outillages, • à l’environnement ? ; — les faits retenus dans l’arbre doivent avoir été vérifiés et être confirmés. L’arbre des causes n’est pas un outil d’enquête (même si l’esprit qu’il véhicule, sa logique peuvent aider) mais un outil de représentation des conclusions communes. Il se bâtit donc quand les incertitudes ont été levées et les conclusions tirées.

3.3 Exploitation de l’arbre des causes 3.3.1 Recherche de remèdes L’exploitation normale d’un arbre des causes (outre les retombées indirectes et très importantes du travail de compréhension en commun qu’il représente) est la recherche de remède, c’est-à-dire de modifications du système susceptibles de prévenir (pas nécessairement à 100 %) le retour de l’accident étudié. Dans ce sens il faut considérer l’accident comme les conséquences, c’est-à-dire que ce remède ne doit pas forcément empêcher le même scénario de se dérouler, mais au moins doit l’empêcher d’aboutir aux mêmes conséquences dommageables. ■ Le procédé est simple : on passe en revue les faits de l’arbre. Pour chacun d’eux on se demande : — qu’est ce qui pourrait empêcher ce fait de se reproduire ? ; — qu’est ce qui pourrait en réduire les conséquences ? A priori, la première question n’est guère pertinente pour les faits « normaux ». Toutefois, il n’est pas inutile de se demander si on n’accepte pas comme « normale », par habitude, une situation dangereuse. Il faut alors malgré le poids, généralement, énorme des justifications dues à l’habitude, chercher à rendre anormale cette situation. À cette exception près, il n’y a pas lieu de privilégier a priori les mesures de prévention (première question) ou de protection (seconde question). Il ne faut pas s’acharner à vouloir trouver des mesures pour tous les faits ; il ne faut pas vouloir forcément équilibrer prévention et protection ; il ne faut écarter aucune idée de mesure, même si le même fait en suscite un grand nombre alors que d’autres n’en suscitent pas. ■ Une fois les idées de mesures recueillies dans un esprit d’ouverture et sans écarter ou critiquer les suggestions, ces idées doivent être triées et évaluées. ● Le tri s’effectue comme suit : — s’assurer que la mesure proposée, si elle fonctionne, a bien les effets attendus ; — s’assurer grossièrement qu’elle n’est pas irréaliste ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

— s’assurer grossièrement qu’elle n’a pas d’effets négatifs inacceptables. ● Après ce tri, les mesures non éliminées doivent être évaluées : — quels sont les effets attendus de la mesure sur le scénario étudié ? (a priori plus une mesure intervient en amont d’un arbre plus elle est prometteuse, mais ce n’est pas toujours confirmé) ; — quels sont les effets attendus de cette mesure en dehors du scénario d’accident étudié ? ; — quelle valeur globale attribuer à l’ensemble des effets prévisibles de cette mesure ? ; — quel coût pour la mesure ?

causes jouent les premiers rôles. Il est malheureusement trop fréquent en pareil cas, qu’on considère l’analyse comme acquise et qu’on s’acharne d’office sur les mesures qui ont fait leurs preuves et dont on n’imagine pas qu’elle soient devenues inopérantes. L’arbre des causes décrit un scénario réel qui s’est produit. En matière de sécurité, le système a fait l’objet d’études préalables qui justifient les décisions en vigueur. Il importe de s’assurer que le scénario décrit par l’arbre des causes est bien pris en compte par ces études (qu’elles s’appuient sur des arbres de défaillance ou non).

L’évaluation d’une mesure doit prendre en compte ce qu’elle est censée apporter modulé par le taux de succès qu’on peut espérer. Il faut bien se dire que, de même que l’accident n’est arrivé que parce qu’il y a eu des défaillances ou des erreurs, l’application de la mesure ne sera pas infaillible.

3.4 Exemple

Le délai raisonnable de mise en œuvre de la mesure doit être pris en compte dans l’évaluation de son apport.

Il s’agit d’un accident du travail : « l’agent se blesse à la main droite et à l’avant-bras ».

Les effets d’une mesure ne se limitent pas à son impact sur le scénario décrit par l’arbre de causes ; il faut chercher dans toutes les directions.

■ Déclaration d’accident

Les mesures doivent être recherchées dans tous les domaines : hommes, organisations, techniques, protection contre l’environnement, etc. Les mesures ne sont pas nécessairement des investissements ; elles peuvent porter sur la maintenance, les objectifs de production, les contraintes temporelles, les règles d’exploitation, la formation, etc. Chaque mesure peut donc apparaître avec ses avantages, ses inconvénients et ses coûts. On peut évidemment les classer par ordre de rapport avantage/inconvénients et coûts. Mais on peut faire mieux en recherchant des combinaisons de remèdes complémentaires dont les avantages s’additionnent bien alors que les inconvénients de chacun sont réduits par les autres.

3.3.2 Facteurs « accidentogènes » Une exploitation plus à moyen terme, non d’un arbre, mais plutôt d’un ensemble d’arbres de causes consiste à repérer et recenser des éléments qui reviennent souvent dans les accidents ou incidents. Ces « facteurs accidentogènes » doivent être évalués du point de vue de la fréquence de leur présence et de leur propension à entraîner des accidents (probabilité conditionnelle de l’accident sachant que ce facteur est présent à comparer à la probabilité de l’accident en son absence). Cette évaluation donne la valeur d’une mesure qui éliminerait un tel facteur (ou qui en réduirait la fréquence d’apparition). Chaque arbre pris isolément n’a pas forcément permis de mettre en évidence l’intérêt d’une telle mesure, mais la vue d’ensemble sous cet angle peut mettre en valeur une mesure, peut-être assez coûteuse ou contraignante, mais qui en vaudrait la peine du fait de ses effets à large spectre.

3.3.3 Retour d’expérience Les arbres établis à l’occasion d’un événement produisent donc des résultats immédiats mais méritent aussi d’être gardés pour des utilisations collectives comme évoqué au paragraphe 3.3.2, mais aussi pour évaluer a posteriori des évolutions dans les dysfonctionnements de systèmes. On peut être surpris après avoir pris des mesures de ne pas voir se raréfier les accidents qu’on pensait prévenir, ou, surtout, voir revenir des accidents qu’on avait presque éradiqué. Cela peut provenir d’un affaiblissement des dispositifs mis en place, mais aussi, souvent sans qu’on s’en doute, d’évolutions cachées. Les mêmes accidents reviennent mais selon de nouveaux scénarios et d’autres

L’exemple traité ici est issu d’un document pédagogique de la SNCF [1].

« Je me suis entaillé la paume de la main droite et l’avant bras droit en voulant refermer la porte vitrée du couloir ». ■ Recueil des faits L’enquête effectuée sur place, avec la victime, a permis d’obtenir les renseignements complémentaires suivants : — facteurs humains : • l’agent est seul, • l’agent, par habitude, ferme les portes en les poussant ; — travail – tâche – organisation : • fermer la porte du couloir, • l’agent appuie sur une vitre de la porte, • l’agent ne regarde pas ou il pose la main ; — matériel – installations : • porte vitrée à petits carreaux, • la porte se ferme difficilement, • la porte frotte sur le sol, • gond supérieur de la porte desserré, • la vitre se casse suite à la poussée exercée par l’agent ; — environnement : • bon éclairage du couloir, • espace dégagé. ■ L’arbre des causes est représenté figure 12. ■ Exploitation de l’arbre des causes En examinant l’arbre des causes, on réalise que l’on peut agir sur plusieurs axes, qui amènent notamment à proposer les mesures suivantes : — information et sensibilisation de l’ensemble du personnel aux risques d’une gestuelle inadaptée ; — refixation du gond supérieur ; — remplacement des vitres en verre simple par des vitres en verre armé ; — aménagement d’un emplacement de poussée ; — mise en place d’une « poignée poussoir » ; — mise en place d’un « groom » ; — remplacement de la porte vitrée par un autre type de porte. Ces mesures seront proposées au Chef d’établissement (ou au responsable concerné) qui choisira la ou les mesures offrant le maximum de garantie pour que cet accident ne se renouvelle pas. Parallèlement, une action de prévention sera engagée : la ou les mesures retenues seront appliquées à toutes les situations du même type.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 21

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Par habitude l'agent ferme les portes en les poussant

L'agent ne regarde pas où il pose la main

8

5

L'agent appuie sur une vitre de la porte

6

3

Une vitre se casse

L'agent se blesse à la main droite et à l'avantbras droit

Le verre est fragile

2

1

L'agent ferme la porte Le gond supérieur est desserré

La porte frotte sur le sol

La porte se ferme difficilement

10

9

7

Fait anormal ou inhabituel

4

Fait normal

Liaison entre les faits

Figure 12 – Arbre des causes de l’accident du travail « un agent se blesse à la main droite et à l’avant-bras » (document SNCF [1])

4. Arbre d’événement

4.2 Construction de l’arbre d’événement

L’arbre d’événement est le plus simple des trois arbres présentés ici. Il matérialise une démarche très naturelle que chacun pratique de façon moins formalisée : « si tel événement arrive, que se passet-il ? », « ça dépend si... », etc. Contrairement aux arbres de défaillance (voire parfois aux arbres des causes) un arbre d’événement reste généralement assez simple et, si des logiciels peuvent aider à le présenter correctement et à faire les calculs, ils peuvent être traités « à la main ».

4.2.1 Point de départ et points d’arrivée

4.1 Principes. Caractéristiques. Objectifs ■ L’arbre d’événement suit le cheminement logique inverse des précédents (cf. § 2, § 3) : il vise à représenter les différentes conséquences auxquelles peut conduire un événement initiateur en fonction des conditions dans lesquelles il se produit. ■ Le point de départ est donc un événement initiateur. Généralement, on étudie une déviation ou une agression : une défaillance d’un composant ou d’un sous-système, une action humaine non prescrite (erreur, utilisation abusive, agression, sabotage...) ou une agression de l’environnement (foudre, champ électromagnétique, choc, gel, tremblement de terre, etc.). On ne peut produire d’arbre d’événement que pour un système bien connu et dont la réponse à ces agressions a été prévue. L’arbre d’événement n’est pas une méthode d’investigation pour deviner, tester, découvrir les réactions d’un système aux agressions. C’est une méthode de représentation des chemins qui peuvent conduire d’une agression aux fonctionnements prévus en pareils cas (nominaux ou dégradés) ou à des fonctionnement non prévus (accidents). La logique de l’arbre est de se demander ce qui doit se passer et d’envisager que ça se produise ou que ça ne se produise pas. ■ L’objectif est de bien prendre en compte les divers éléments qui influent sur le cours des choses à partir d’un événement initiateur (une panne, une erreur, une agression en général). Si on sait chiffrer la probabilité des divers événements ou conditions qui rentrent en ligne de compte, on pourra aussi évaluer les probabilités respectives des diverses conséquences trouvées.

SE 4 050 − 22

■ Le point de départ est donc l’événement initial. Il faut aussi avoir une idée de la précision des conséquences qu’il faut atteindre. ● On se demande alors ce qui doit se produire en premier lieu et l’on trace les deux branches de l’alternative : cet événement se produit ou ne se produit pas.

La logique du développement d’un arbre d’événement est à chaque étape de répondre à la question « que se passe-t-il si… ? ». Il y a arbre parce qu’en général on répond « ça dépend : si…, alors… sinon..., alors... ». C’est cette alternative qui se traduit par un embranchement. C’est là que l’objectif en terme de finesse du niveau de conséquences intervient : — on peut avoir un objectif limité aux questions de sécurité : possibilité d’accident grave (explosion par exemple) ou non ? ; — ou bien un objectif un peu plus détaillé : possibilité d’accident grave, production dégradée, production nominale et sans accident ; — ou bien un objectif beaucoup plus détaillé : possibilité d’accident grave, possibilité d’accident bénin, arrêt de la production, perte de plus de 80 % de la production, perte de 30 à 80 % de la production, perte de production inférieure à 30 %, retard supérieur à la journée, retard inférieur à la journée, production nominale, par exemple. Au moment de répondre à une question comme « donc, si le disjoncteur d’alimentation générale est hors service et que nous ne recevons plus l’électricité du réseau EDF, que se passe-t-il ? », il est essentiel d’être clairs et en accord sur l’objectif poursuivi. On peut imaginer que dans le premier cas (objectif sécurité binaire), il y ait une réponse unique (pas d’alternative), que dans le deuxième cas (objectif sécurité et production ternaire), il y ait une alternative à créer (démarrage du groupe électrogène par exemple) et que, pour atteindre le troisième objectif (multi-niveaux), il faille enchaîner plusieurs alternatives prenant en compte divers dispositifs, les temps de démarrage des secours, etc. Le « ça dépend » de la réponse-type à la question-type de la construction d’un arbre d’événement est conditionné par la précision recherchée dans les conséquences.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

4.2.2 Cheminement ■ Après avoir posée une alternative, on réitère la question pour chaque branche de l’alternative. On développe ainsi les branches jusqu’à arriver aux conséquences. Traditionnellement, l’événement initial est à gauche et l’arbre se développe de la gauche vers la droite et la branche supérieure de chaque alternative représente le fonctionnement souhaité et la branche inférieure le fonctionnement non souhaité. ■ A priori l’arbre peut avoir un développement parfaitement symétrique : le fonctionnement et le non-fonctionnement du dispositif considéré en deuxième rang doivent l’un et l’autre être considérés dans chacune des branches de la première alternative (fonctionnement/non-fonctionnement du dispositif considéré en premier rang) et ainsi de suite. En général, certaines branches ne demandent pas à être développées parce que les conséquences (bonnes ou mauvaises) ne dépendent plus du bon ou mauvais fonctionnement d’autres dispositifs. Cela se produit dans deux cas de figures : — le fonctionnement d’un dispositif suffit à écarter les conséquences négatives visées par l’étude (explosion par exemple) quels que soient les comportements des autres dispositifs ; — le non-fonctionnement du dispositif considéré à un certain niveau suffit à déterminer les conséquences négatives recherchées (arrêt de production par exemple) quels que soient les comportements des autres dispositifs. Le premier cas est celui d’un système de sécurité sain : les conséquences sur lesquelles on s’interroge sont des accidents. Le système est conçu pour les éviter et le fonctionnement d’un système de sécurité doit suffire à écarter les conséquences les plus graves (l’accident), c’est-à-dire qu’il faudrait cumuler le non-fonctionnement de tous les systèmes de sécurité pour avoir l’accident. Le second cas est celui, fréquent, où les conséquences sont acceptables (à petite dose) et où elles peuvent donc résulter d’une seule défaillance (ou deux...). Un arbre d’événement peut combiner les deux cas dans la mesure où on envisage une certaine finesse dans la gradation des conséquences possibles de l’événement initial. ■ Les hésitations dans la construction d’un arbre d’événement portent sur les événements qu’il faut considérer pour créer les fourches (se produit/ne se produit pas) et l’ordre dans lequel il faut les prendre. La liste des événements pris en compte est déterminante pour la valeur des conclusions qui seront tirées de l’arbre. D’une part, il importe de laisser s’exprimer les compétences et noter les éléments, conditions, événements qui sont cités comme influençant la nature des conséquences de l’événement étudié même si ils ne sont pas cités à un moment opportun de la construction de l’arbre pour les intégrer. Avant de conclure on reprendra la liste de ces informations pour examiner si elles sont présentes dans l’analyse représentée par l’arbre ; si non, il faudra les introduire. Le fil conducteur à prendre par défaut est la description du système de sécurité ou du système qui est supposé empêcher que l’événement étudié ait les conséquences redoutées. Chacun des éléments de ce système a un rôle à jouer pour bloquer cette propagation et il constitue une alternative de l’arbre (il joue son rôle ou il ne le joue pas). ■ Le niveau de détail de l’élément du système à prendre en compte est celui pour lequel on dispose des meilleurs informations. Le niveau le moins détaillé serait un arbre à une seule alternative : le système de sécurité a joué son rôle OUI/NON. À ce niveau l’analyse par arbre d’événement est peut-être une présentation séduisante mais ne fait pas progresser. Inversement un niveau où chaque composant apparaît comme ayant accompli sa fonction ou non est peut-être inutilement lourd. Une décomposition en sous-

systèmes dont on connaît les probabilités de ne pas être en état de remplir leurs fonctions est judicieuse. ■ Il est intéressant de noter que cette façon de construire les arbres d’événement conduit naturellement à prendre en compte les possibilités de récupération (rattrapage d’erreurs, détection et compensation de défaillances, réduction des conséquences par mesures de protection, de repli).

4.2.3 Probabilités On peut ajouter un aspect quantitatif à l’arbre d’événement en indiquant les probabilités des événements pris en compte. À chaque alternative on indique la probabilité de la branche supérieure (l’autre étant son complément à 1). Le produit des probabilités à chaque embranchement permet de calculer la probabilité de chacune des conséquences trouvées (à partir de l’événement étudié).

4.3 Exploitation de l’arbre d’événement 4.3.1 Approche qualitative Un arbre qui présente des branches conduisant à l’échec et ne passant que par une branche inférieure (défaillance) d’une alternative révèle un système fragile (pas de défense en profondeur, voir § 2.5.4) à l’événement étudié (une seule défaillance ou condition défavorable suffit à provoquer l’échec). Une solide défense en profondeur (vis-à-vis de l’événement étudié) se traduit par le fait que les seules branches conduisant aux conséquences non acceptées passent toutes par la branche inférieure de plusieurs alternatives (autrement dit qu’il faut la conjonction de plusieurs non-fonctionnements pour produire les conséquences redoutées). L’observation directe des extrémités de l’arbre qui présentent des conséquences négatives aux fréquences trop élevées permet en remontant ces branches d’identifier les points sur lesquels il faut agir pour améliorer cet aspect. Un exemple d’arbre d’événement est donné figure 13).

4.3.2 Approche quantitative Si on a pu attribuer une probabilité à chaque alternative (probabilité de succès et complément à 1 pour l’échec), on peut calculer, pour chacune des conséquences envisagées la probabilité qu’elle se produise, l’événement initial étant advenu (cf. figure 14) Chaque extrémité (côté conséquence à droite) de l’arbre a une probabilité égale au produit des probabilités des branches d’alternatives empruntées pour y arriver. Chaque conséquence possible a donc comme probabilité la somme des probabilités des extrémités où elle figure. On doit pouvoir vérifier que la somme des probabilités de toutes les conséquences est de 1 (cf. figure 14). Ce résultat brut permet d’évaluer l’impact, donc l’intérêt d’une réduction de la probabilité de l’événement initiateur. On peut aussi évaluer l’importance réelle de chaque dispositif en reprenant les calculs avec une autre valeur pour la probabilité de fonctionnement de ce dispositif (sensibilité du résultat final à la fiabilité de chaque dispositif). On peut découvrir ainsi qu’un dispositif auquel on accorde beaucoup d’importance n’en a guère, masqué

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SE 4 050 − 23

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Feu détecté

L'agent réagit correctement

L'extincteur fonctionne Oui

Oui Oui

Non

Incendie Incendie

Non

Feu dans la corbeille à papier

Corbeille à papier détruite extincteur vidé

Incendie

Non Figure 13 – Arbre d’événement « feu dans la corbeille à papier » (sans quantification)

Robinet fermé 0,8

La ventilation dilue le gaz 0,9

Odeur du gaz détectée 0,99 Oui

Oui Non

Oui

Pas d'accident Oui 0,9

Non Non Oui

Tuyau de gaz arraché Oui

Pas d'accident Non

Non

Oui Non Non

Risque détecté maîtrisable 0,0198 Risque d'accident non détecté

Figure 14 – Arbre d’événement avec quantification « tuyau de gaz arraché »

par d’autres dont le fonctionnement fait qu’il n’est quasiment pas sollicité. Attention toutefois à la spécificité de l’arbre d’événement : les conclusions ne portent que sur les conséquences d’un événement donné.

SE 4 050 − 24

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques