Management des risque MOSAR/MADS Ibtissam El HASSANI
MOSAR Méthode Organisée Systémique d’Analyse des Risques
La méthode MOSAR est proposée par Pierre PERILHON. Elle s'appuie sur la méthodologie d'analyse des dysfonctionnements des systèmes (MADS).
Méthode pour analyser et neutraliser les risques techniques dans les installations humaines, aussi bien au stade de leur conception que sur des installations existantes.
La méthode MOSAR s'articule autour d'une vision macroscopique des risques et une vision microscopique des risques.
La vision macroscopique :
consiste à réaliser une analyse des risques principaux.
La vision microscopique :
consiste à réaliser une analyse détaillée de tous les dysfonctionnements techniques et opératoires apparus au cours du premier module. Au cours de cette phase, des outils particuliers et spécifiques sont mis en œuvre (AMDEC, HAZOP, Arbre des causes, Arbre des défaillances, etc.).
2. 2
Introduction
• Les systèmes du monde plus en plus complexes et ils comportent un
grand nombre d'éléments en interaction à leur comportement complet,
n'est pas toujours défini, ou même connu.
• Vouloir modéliser un système complexe, dans tous ses niveaux de
détail, est une tâche très lourde.
• Besoin d'une méthode de modélisation globale >>>une approche top
Down.
• Une telle approche est adaptée à l'analyse des systèmes complexes.
elle permet, avant tout, une compréhension progressive des
différents éléments du système et de leurs interactions.
3. 3
Méthodes d’Analyse de Risques (1)
Il existe différents classements des méthodes d'analyse de risques, nous
retiendrons ici trois de ces classements :
Méthodes
d’AR
C1
Qualitatives Quantitatives
C2
Inductives Déductives
C3
Statiques Dynamiques
Voir la fiche en annexe.
4. 4
Méthodes d’Analyse de Risques (2)
• Méthode du Diagramme de Succès ou de
Fiabilité
• Méthode de l'Arbre de Défaillance ou de
Défaut ou de Faute
• Méthode de l'Arbre des causes
• Méthode de l'Arbre des Conséquences ou
Arbre d'Evénement
• Méthode du Diagramme Causes-
Conséquences
• Analyse Préliminaire des Risques /
Dangers
• Analyse des Modes de Défaillances, de
leurs Effets et de leur Criticité
• HAZard and Operability
• Hazard Analysis Critical Control Point
• Hazard identification
• Méthode des Combinaisons des Pannes
Résumées
• Méthode de l'Espace des Etats
• Processus de Markov
• Réseau de Pétri
• Simulation de Monte Carlo
• Analyse de zone
• Analyse temporelle
• Analyse des causes communes de
défaillance
• Analyse des conditions insidieuses
• Méthode de la Table de Vérité / Décision
• Méthode Noeud Papillon
• Méthode Organisée Systémique d'Analyse
des Risques
Voir la fiche en annexe1.
5. 5
Un Système, un Processus (1)
• Un système est défini comme un ensemble d'entités physiques organisées pour réaliser une ou
plusieurs fonctions.
• Pour l'analyse de risque il n'est pas nécessaire de décrire en détail tous les éléments du système. Il
suffit de le voir globalement comme un processeur de 3 types de flux :
– matière,
– d'énergie
– ou d'information,
• Ce système pourra être analysé globalement comme une entité réagissant aux dysfonctionnements
et aux dangers générés par les autres systèmes.
Processus
=
Transformation
Dans le temps et
l’espace
Système
Entrées
Matière
Energie
Information…
Environnement
Sorties
Matière
Energie
Information…
6. 6
Un Système, un Processus (2)
les interactions peuvent être classées en trois catégories de flux :
• flux de matières qui peut préfigurer par exemple les différents produits
Processus
=
Transformation
Dans le temps et
l’espace de la forme
de :
Système
Entrées
Matière
Energie
Information…
Environnement
Sorties
Matière
Energie
Information…
utilisés pour le fonctionnement ou les différentes pièces
manufacturières.
• flux d'énergie qu'elle soit, utilisée, générée ou produite.
• flux d'information utilisée et/ou générée par le système.
Dans certains cas, on décrit aussi les liaisons entre les différents systèmes, sous
la forme de liaisons de type mécanique ou d'équilibres chimiques…
7. 7
Modélisation d’un Système (1)
• Pour réaliser la modélisation d'un système en vue de l'analyse de risque :
– identifier ces interactions avec le monde extérieur
– décomposer en différents sous-systèmes
– Faire apparaître les interactions entre ces sous-systèmes.
Système étudié
Extérieur ou
Environnement
Sous-
Systèm
e
Sous-
Systèm
e
Sous-
Systèm
e
Sous-
Systèm
e
Interactions
8. 8
Modélisation d’un Système (2)
• si le niveau de détail l'exige:
– Réaliser une modélisation fonctionnelle du système : établir la liste des
fonctions du système
– Réaliser une modélisation structurelle du système: identifier les différentes
entités physiques qui composent le système.
Ces entités peuvent être des machines, de la matière, de la main-d'oeuvre, ou bien des méthodes.
• Si les deux vues sont modélisées et si l'on fait apparaître des interactions entre les fonctions et la
structure on parle, alors de modèles structuraux fonctionnels.
Système ou Processus
fonction
fonction
fonction
Système ou Processus
Ressourc
e
Ressourc
e
Ressourc
e
Modèle
Fonctionnelle
Modèle
structurelle
Modèles structuraux fonctionnels
9. 9
Exercices : Modélisation systémique
Un système est défini comme
A - un ensemble d'entités physiques organisées pour réaliser une fonction
B - tout équipement de protection et de prévention
C - selon un référentiel
La modélisation d'un système et de ses flux
A - il y a 2 types de flux dans la modélisation systémique : flux non matériels et
matériels
B - on va distinguer 3 types de flux : matière, énergie et information
C - les flux d'entrée sont physiques et ceux de sorties sont non matériels
Application :
Prenons l'exemple d'une lampe de bureau. Nous voulons
modéliser la lampe dans son environnement.
1/ Lister les systèmes en interaction avec la lampe.
2/ Modéliser graphiquement ces systèmes et leurs interactions.
3/ Donner une modélisation structuro-fonctionnelle de la lampe
10. 10
Exercices : Modélisation systémique
1/ S1: la lampe de bureau
S2: l'utilisateur
S3: le local
S4: l’environnement, l'extérieur du local
2/ 3/
S1 S2
S4 S3
Fonctions
……
Ressources
…
…
11. 11
MADS (1)
Méthodologie d’Analyse de Dysfonctionnement des Systèmes
• Il s’agit d’une approche systémique (qui utilise la notion de système).
• Un système est un transformateur dans le temps et l’espace de la forme de : matière,
énergie et information.
• On ne cherche plus à savoir ce qui se passe à l’intérieur mais on s’intéresse à identifier
qu’est ce qui entre dans le système et qu’est ce qui en sort : de la matière, de l’énergie
et de l’information.
Processus
=
Transformation
Dans le temps et l’espace
Système
Entrées
Matière
Energie
Information…
Environnement
Sorties
Matière
Energie
Information…
12. 12
MADS (2)
Méthodologie d’Analyse de Dysfonctionnement des Systèmes
Un flux de danger est généré par une source de flux de danger à partir du système source
de danger et il est constitué de matière, d’énergie, d’information. Ce flux peut atteindre
un système cible et avoir des effets sur ce dernier.
Environnement
Spécifique
Champ de
dangers
Système
Cible
Système
Source
Flux du Danger
Evénement Non Souhaité
Evénement
initiateur
Evénements
Renforçateurs/Atténuateurs
13. 13
MADS
Méthodologie d’Analyse de Dysfonctionnement des Systèmes
La source de flux est généré par un processus initiateur d’origine interne ou externe.
Symétriquement il peut y avoir un processus renforçateur/atténuateur du flux sur la
cible, d’origine interne ou externe.
Environnement
Spécifique
Champ de
dangers
Système
Cible
Système
Source
Flux du Danger
Evénement Non Souhaité
Evénement
Initiateur:
interne/externe
Evénements
Renforçateurs/Atténuateurs
Interne/externe
14. 14
MADS
Terminologie
• le flux de danger : que l'on appelle aussi l'événement non souhaité (ENS) ou aussi
parfois l'événement redouté,
• le système cible : sur lequel agit le flux de danger.
• le système source de danger : émetteur du flux de danger.
• les éléments orientés source-flux-cible sont immergés dans un environnement actif
appelé champ de danger,
• le champ de danger : est tapissé de processus qui peuvent agir sur le système source
par des événements initiateurs, ainsi que sur le système cible et le flux de danger par des
événements amplificateurs.
• Un événement est dit renforçateur, ou aussi positif, s'il renforce l'effet du flux de
danger sur la cible.
• Il est atténuateur, ou amplificateur négatif, s'il diminue l'effet du flux de danger sur la
cible.
Remarques
le processus de danger est réversible c'est-à-dire qu'un système source peut devenir système
cible et vice-versa.
Les systèmes sources et les systèmes cibles pris en compte sont : un ou des systèmes
matériels ou énergétiques ou informationnels (savoirs, savoir-faire, données...),
16. 16
Modèle MADS : exemple d’une
explosion dans un atelier
17. 17
Exercices : MADS (1)
1/ Exemple d'une bouteille de gaz toxique.
1. Fuite de fluide toxique. d-e
2. Rupture du contenant. a
3. Choc. b
4. Défaut de fabrication. b
5. Mort. c
a. Evénement Déclencheur
b. Evénement Initiateur
c. Evénement Final
d. Flux du danger
e. Evénement Principal
1/ Faites correspondre les 2 listes.
2/ Tracer l’univers du danger (MADS).
18. 18
Exercices : MADS (2)
2/ Appliquer la Méthodologie d’Analyse de Dysfonctionnement des
Systèmes au danger présenté sur les images suivantes :
A/
23. 23
MOSAR
Méthode Organisée Systémique d’Analyse des Risques
• La méthode MOSAR est proposée par Pierre PERILHON. Elle
s'appuie sur la méthodologie d'analyse des dysfonctionnements des
systèmes (MADS).
• Méthode pour analyser et neutraliser les risques techniques dans les
installations humaines, aussi bien au stade de leur conception que sur
des installations existantes.
• La méthode MOSAR s'articule autour d'une vision macroscopique des
risques et une vision microscopique des risques.
La vision macroscopique :
consiste à réaliser une analyse des
risques principaux.
La vision microscopique :
consiste à réaliser une analyse détaillée de tous les
dysfonctionnements techniques et opératoires
apparus au cours du premier module. Au cours de
cette phase, des outils particuliers et spécifiques
sont mis en oeuvre (AMDEC, HAZOP, Arbre des
causes, Arbre des défaillances, etc.).
24. 24
MOSAR
Méthode Organisée Systémique d’Analyse des Risques
1. Décrire le système (modélisation de l’installation)
2. Identifier les sources de danger
3. Identifier les ENS (Evènements Non Souhaités)
4. Représenter sous forme de boites noires
5. Établir les scénarios d’enchaînements d’ENS
6. Présenter les scénarios sous forme de pré-arbres logiques
7. Évaluer les risques
8. Hiérarchiser les risques
9. Définir les barrières de prévention et de protection
10. Qualifier les barrières de prévention / protection
Module A : vision
macroscopique de
l’installation
Module B : vision
microscopique de
l’installation
25. 25
Que faudra-t-il faire pour analyser les
risques ?
Il faudra :
* Représenter sous forme de systèmes
(des boites) tous les objets significatifs de
votre environnement de danger, personnes
comprises (système complexe).
* Identifier les processus de dangers
(l’enchaînement d’événements issus de
systèmes sources de danger et pouvant
conduire à des ENS).
* Construire et représenter l’enchaînement
des événements conduisant à l’ENS. Ceci
nécessite l’élaboration de scénarios
(Démarche systémique)
Environnement
Spécifique
Champ de
dangers
PROBABILITE
D'ETATS DE LA
CIBLE DANS
LE TEMPS P7
Système
Cible
Système
Source
PROBABILITE DE
L'EVENEMENT
PRINCIPAL P3
PROBABILITE
DE EVENEMENT
INITIATEUR P1
PROBABILITE DE
L'EVENEMENT
INITIAL P2
PROBABILITE
DES EFFETS
INDUITS P4
PROBABILITE DE
L'EVENEMENT
RENFORÇATEUR
P5
PROBABILITE
D'IMPACT SUR
LA CIBLE P6
P évènement non souhaité = P1 x P2 x P3 x P4 x P5 x P6 x P7
26. 26
Que faudra-t-il faire pour analyser les
risques ?
* Evaluer l’effet des ENS sur les cibles, qui se traduira par un
impact immédiat et parfois par un impact différé.
Ces impacts induisent des états de la cible dont certains seront donc différés et
difficiles à prévoir.
* La détermination de l’acceptabilité se fait par négociation de
tous les acteurs.
* La recherche des moyens de neutraliser les évènements
conduisant à l’ENS constitue la prévention des risques et
consiste à identifier les barrières de prévention et les barrières
de protection.
27. 27
MOSAR
1. Décrire le système (modélisation de l’installation)
1. Observer / représenter le système:
– en phase de conception
– ou en phase d’exploitation
• 2. Découper le système en sous-systèmes
:
– découpage géographique (ne pas
oublier les operateurs)
– ou découpage fonctionnel
28. 28
MOSAR
1. Décrire le système (modélisation de l’installation)
1. Observer / représenter le système:
– en phase de conception
– ou en phase d’exploitation
– …
Système étudié
2. Découper le système en sous-systèmes :
– découpage géographique (ne pas
oublier les operateurs)
– ou découpage fonctionnel
Extérieur ou
Environnement
Sous-
Systèm
e
Sous-
Systèm
e
Sous-
Systèm
e
Sous-
Systèm
e
Interactions
29. 29
MOSAR
2. Identifier les sources de danger
Dans chaque système et sous-système, il faut identifier les dangers.
Exemple
A, B, C, D, E, F et G comme systèmes; et A1, A2, etc comme sous-systèmes.
Système Sous-système Système source de danger
Mécanique
A A1 Appareil sous pression
Gaz
Vapeur mixte
hydraulique
A2 Éléments sous contraintes
mécaniques
Système Sous-système Système source de danger
Mécanique
C C1 Électricité à courant continu ou
alternatif
C2 Électricité statique
31. 31
MOSAR
3. Identifier les événements non-souhaités (ENS)
• On attribue à chaque sous-unité les événements qui peuvent arriver et
déclencher l'événement principal.
• Chaque élément déclencheur peut avoir plusieurs évènements
principaux et chaque événement principal plusieurs éléments
déclencheurs.
• Note : Les évènements principaux sont aussi appelés évènements non-souhaités
(ENS) ou flux de fanger.
• On écrit ces enchaînements sous forme de tableau :
Tableau simple des sources de dangers
Sous-système Événements
déclencheurs
Événements principaux
A1 Étincelle électrique Incendie
33. 33
MOSAR
4. Représentation sous forme de boîtes noires
• Représentation graphique du tableau établi dans le point précédant.
Evénements non
souhaités
Evénements
déclencheurs
(externes ou
internes)
Scénario 1
Scénario 2
Sous Système
Source de danger
34. 34
MOSAR
4. Représentation sous forme de boîtes noires
Modèle Systémique Modèle de Danger
Système ou Processus
F
R
Boite noire
F
R R
Système ou Processus
e e
e
e
e
e
Evénement
Initiateur externe
= entrant
Evénement
Initiateur externe
Evénement
Déclencheur
Evénement
Principal =
sortant
35. 35
MOSAR
5. Établir les scénarios d'événements non-souhaités
• On connecte les différentes boîtes noires pouvant influer les unes sur
les autres. Cette étape permet de visualiser les enchaînements
possibles d'accidents et les interactions entre les ENS.
36. 36
MOSAR
5. Établir les scénarios d'événements non-souhaités
Evénement
finale
Phénomène
dangereux
Phénomène
dangereux
Evéneme Flux de danger
Evénement
initiateur
Interne
Causes
nt
Initiateur
externe
Evénement
déclencheur Evénement
final
Effets
37. 37
Exemple : La lampe
Destruction
Incendie
Surchauffe
Défaut de
fabrication
Causes
Flux de danger
Surtension
Effets
38. 38
MOSAR
6. Représentation sous forme de pré-arbre logique
• On peut schématiser différents ENS possibles conduisant à un même événement
principal sous forme d'arbre.
• S1>>S2>>S3>>S5
• S1>>S2>>S4
S1 S2
S3 S5
S4
39. 39
MOSAR
6. Représentation sous forme de pré-arbre logique
Exemple
• il existe trois scénarios
occasionnant l'évènement
principal « Blessure d'un
opérateur »
Scénario1 Scénario2 Scénario3
Maladresse
Dysfonctionnement
du système de
régulation
Maladresse
Choc
Jet vapeur Explosion
chaudière Chute d’objet
Blessure
Opérateurs
40. 40
MOSAR
7. Évaluer les risques 8. Hiérarchiser les risques
• Pour chaque scénario on doit évaluer l’importance des événements et l’importance des
impacts qu’ils génèrent afin de prendre la mesure de leur importance, leur impact, leur
probabilité...
• On peut par exemple pour cela utiliser une grille de criticité.
41. 41
MOSAR
9. Définir les barrières de prévention et de protection
Environnement
Spécifique
Champ de
dangers
Système
Cible
Barrières de
Prévention
Evénement
initiateur
Système
Source
Barrières de Protection
neutralisation
des évènements
initiateurs neutralisation des
évènements
renforçateurs
Barrières de
protection
de la cible
neutralisatio
neutralisation n des ENS
des évènements
initiateurs
On distingue deux types de Barrière :
a) LES BARRIERES TECHNOLOGIQUES (BT)
B) LES BARRIERES D’UTILISATION (BU)
Les barrières sont caractérisées par leurs fiabilités et leurs efficacités.
42. 42
(Rappel 1)
Le nombre R(t) représente la
probabilité qu’un dispositif choisi au
hasard dans la population n’ait pas de
défaillance avant l’instant t.
43. 43
(Rappel 2)
Cette loi concerne tous les
matériels pendant une durée de
leur vie (vie utile) et les matériels
électroniques
pendant presque toute leur vie
45. 45
MOSAR
10. Qualifier les barrières de prévention
• Il s'agit de regrouper les données sous forme de tableau pour conclure.
Tableau récapitulatif`
Barrière Type BU/BT Qualifications
Disjoncteurs BT Couper l'alimentation électrique
Avoir un même disjoncteur par zone géographique
(multiples disjoncteurs)
Avoir un disjoncteur général