Upload
khali54
View
212
Download
0
Embed Size (px)
Citation preview
8/18/2019 MAZOUNI_M.H
1/6
Méthode et Formalisme de base pour l’Analyse Préliminaire des Risquesdans le Transport Ferroviaire
Mohamed Habib MAZOUNI
Habib Hadj-Mabrouk
INRETS2, Avenue du Général Malleret-Joinville
F-94114 Arcueil Cedex FRANCETel : (33) 1 47 40 72 13Fax: (33) 1 45 47 56 06
Résumé :
Les approches des spécialistes vis-à-vis de l’analyse préliminaire des risques (APR) sont très diverses,les choix de représentations variés et les terminologies imprécises ou même parfois contradictoires. En effet, laterminologie et les concepts liés aux APR sont très fluctuants d'un système de transport à un autre ou d’unconstructeur à un autre.
Les normes et les standards de gestion des risques se veulent génériques, de ce fait les constructeursélaborent chacun son manuel de maîtrise des risques dans lequel sont documentées des méthodes adéquates,ceci avec un vocabulaire et un formalisme et un savoir-faire qui lui sont propres.
Ces divergences contextuelles furent et sont toujours l’objet de travaux de recherche afin de réaliser unobjectif qui jusqu’à lors s’atteint doucement mais sûrement, c’est de converger vers une réelle standardisationd’un formalisme et d’un processus d’analyse et d’appuyer ensuite les experts par des outils d’aide à l’élaborationet l’évaluation des dossiers d’APR.
L’objet de cet article est de proposer un formalisme de représentation de connaissance nécessaire pourl’élaboration d’une approche d’analyse des risques. Le formalisme retenu et la méthode d’analyse proposéedevraient amorcer le développement d’un système à base de connaissance d’aide à l’APR.
Mots Clés : Analyse Préliminaire des Risques (APR), Accident Potentiel, Niveau de Risque, Transport,Formalisation, Induction, Déduction, Rétroaction.
hal00160738,version 1
9 Jul 2007
Manuscrit auteur, publié dans "Sixth International Conference on Sciences and Techniques of Automatic Control, STA'2005,Sousse : Tunisia (2005)"
http://hal.archives-ouvertes.fr/http://hal.archives-ouvertes.fr/hal-00160738/fr/
8/18/2019 MAZOUNI_M.H
2/6
8/18/2019 MAZOUNI_M.H
3/6
II.3 Gravité
La nuisance des dommages provoqués parun Accident est évaluée par un niveau degravité. Pour les systèmes de transport, la notion degravité est identique à de nombreux autres
domaines technologiques. Voici un exemple :
Mineur : peut éventuellement conduireà un ou plusieurs blessés légers et/ou àdes dommages limités au niveau destrains ou des installations.
Significatif : peut éventuellementconduire à un blessé grave et/ou desdégâts importants au(x) train(s) et/ouaux installations.
Critique : peut éventuellementconduire à un mort et/ou plusieursblessés graves.
Catastrophique : peut éventuellementconduire à plusieurs morts et desblessés graves.
Notons que même si le choix des termesqualifiants les niveaux de gravité se fait sansrègles de base, la correspondance qualitativequantitative résout les divergences possibles.Certains industriels ou exploitants tel quel’RATP préfèrent tout simplement numéroter lesdifférents niveaux de gravité (niveau 0, niveau1, niveau 2, niveau 3) afin d’éviter demauvaises interprétations des termes
qualificatifs en cas d’audit ou demande d’avisd’experts.
Dans le domaine de la médecine, la gravitéconcerne seulement l’impact sur l’humain [ISO14971, 00] :
Catastrophique : décès d’une ouplusieurs personnes
Majeur : blessures ou maladies graves,infirmité permanente
Mineur : blessures ou maladiesmineures nécessitant un traitementmédical
Minime : légères blessures relevantdes premiers soins (ne nécessitant pasun traitement médical)
Négligeable : incident n’exigeantaucun traitement médical
Notons qu’il est toujours préférable dedéfinir un nombre pair de métriques par soucisd’éviter la tendance naturelle de retenir laposition médiane d’une classification impaire.
II.4 Probabilité d’Occurrence
L’accident ou l’incident se caractérise aussipar sa probabilité d’occurrence, autrement dit,la fréquence de sa survenue. Les probabilités
sont regroupées dans des plages prédéfiniesen appliquant une correspondance quantitative/qualitative. Toutefois, le terme probabilité estgénéralement conservé. La norme ISO 14971(2000) évoque le fait qu’«une bonnedescription qualitative est préférable à uneinexactitude quantitative ». Ceci provient en
particulier de la difficulté d’estimer cesprobabilités (retour d’expérience, techniquesd’analyse ou de simulations, avis d’experts,etc.).
La liste suivante présente -à titre indicatif-un exemple de niveaux de probabilitéd’occurrence utilisables pour une estimationqualitative :
Fréquente (>1) Probable (1 à 10
-2)
Occasionnelle (10-2
à 10-4
) Improbable (
8/18/2019 MAZOUNI_M.H
4/6
représenter le risque négligeable, on a obtenula représentation suivante :
En observant cette matrice de criticité, on arriveà distinguer 5 zones à risque :
Zone écarlate : niveau de risque très élevé.Zone rouge : niveau de risque élevé.Zone orange : niveau de risque important.Zone jaune : niveau de risque considérable.Zone blanche : niveau de risque négligeable.
II.6 Mesures de protection et de prévention
Des mesures de protection ou deprévention sont obligatoirement mises enœuvre afin de réduire le niveau de risque à unniveau acceptable.Initialement, le risque appartient à l’une des 5zones en question. La maîtrise du risque a pourvocation de faire déplacer cette appartenancevers la zone la plus claire possible, autrementdit, horizontalement à droite en réduisant lagravité des dommages encourus ou
verticalement vers le bas en réduisant lespossibilités d’occurrence d’accident.
III. Méthode d’Analyse des risques
Il est nécessaire d’identifier lesphénomènes dangereux qui engendrent unrisque dans le système ainsi que les formesqu’ils pourraient prendre. Il faut donc énoncerclairement les éléments dangereux constatés etprincipalement ceux qui sont à l’origine desaccidents vécus auparavant selon les procédésdu retour d’expérience [LégiFrance, 00,03].
Les données exploitées par l’APR sont denatures diverses : symboliques, descriptives,numériques, etc. Elles peuvent être inexactes,ambiguës, incomplètes et parfoiscontradictoires étant donné que l’APRs’effectue tôt à une phase prématurée du cyclede développement d’un système, plusprécisément entre la phase de spécification etcelle de conception. En effet, il convient que laphase de recueil de données soit faite en sebasant sur un formalisme solide. Evidemment,ceci rend plus accessible les phases decapitalisation et d’exploitation.
Il convient de rappeler que l’APR a toujoursété considérée comme une démarcheinductive. Rares sont les travaux de recherchequi font allusion à une démarche purementdéductive ou mixte inductive/déductive.
C'est très important de savoir qu’une
démarche inductive/déductive n’est pasforcément rétroactive. La rétroaction est uneparticularité qui permet de filtrer des résultatscohérents parmi un ensemble initial d’élémentsbrutes, autrement dit, les nouveaux éléments(résultats) identifiés par les mécanismesd’inférence seraient à leur tour réintroduits etdonc exploités (données). Cependant, unedémarche inductive/déductive permetd’atteindre une bonne traçabilité et unemeilleure complétude en matière de résultats
Complétude, traçabilité et cohérence des
résultats ! Ne sont-elles pas descaractéristiques d’une analyse des risquesconvenable? Est-il donc possible de conjuguerle principe de rétroaction et les démarches ditesinductive, déductive?
La figure suivante (Fig. 3) propose unerégénération de la méthode originale d’APR
proposée par Habib Hadj-Mabrouk .
Analyse de la liste des
accidents potentiels
Analyse de la liste des
élément dangereux
Analyse de la liste des
dangers
(A2) (A1)
(R1)
(R2)
(A3)
liste préliminaire desaccidents potentiels
liste préliminaire
des dangers
liste préliminaire des
éléments dangereux
liste définitive des
accidents potentiels
liste définitive
des dangers
liste définitive des
éléments dangereux
dommages engendrés
par accident potentiel
(A4)
(A5)
Cette démarche inclut tout à la fois des phasesde raisonnement déductives (A2, A4) etinductives (A1, A3, A5) ainsi que deux boucles
de rétroaction (R1, R2) :
( )$*! +, $+ $!+ "
hal00160738,version 1
9 Jul 2007
8/18/2019 MAZOUNI_M.H
5/6
Les actions:
A1: phase inductive à partir des accidentspotentiels pour identifier les éventuelsdommages.A2: phase déductive à partir des accidentspotentiels pour identifiés les dangers.
A3: phase inductive à partir des dangers pouridentifier les accidents potentiels.A4: phase déductive à partir des dangers pouridentifier les éléments dangereuxcorrespondants.A5: phase inductive à partir des élémentsdangereux pour identifier les dangers quipeuvent surgir.
Les rétroactions:
R1: rétroaction en cas d'identification de
nouveaux accidents potentiels à l'issue de laphase A3. R2: rétroaction en cas d'identification denouveaux dangers à l'issu de la phase A5.
Ordonnancement du processus d'analyse:
L'analyse de la liste des accidentspotentiels exploite une liste préélaboréed’accidents potentiels pour en conclure lesdommages possibles (A1), on récupère enmême temps à l’issue de cette phase une listede dangers (A2), cette dernière est ajoutée à
une liste de dangers préliminaire, la listeobtenue est introduite pour une nouvelle phasequi retourne comme résultat la liste desaccidents potentiels (A3) et aussi la liste deséléments dangereux correspondants (A4) quiseront examinés pour identifier les dangersinhérents (A5).
Les nouveaux accidents potentiels et lesnouveaux dangers identifiés respectivementlors des phases (A3), (A5) seraient examinéslors du prochain cycle de traitement(respectivement (R1) et (R2)).
En résumé, un cycle de traitement contient3 phases d'analyse:
1. Analyse à partir des accidents potentiels,2. Analyse à partir des dangers,3. Analyse à partir des éléments dangereux.
L’introduction des rétroactions dans ladémarche favorise la complétude de l’APR enpermettant de dresser une nouvelle fois et demanière différente la liste des accidentspotentiels et des dangers et de les enrichir au
fur et à mesure.
L’arrêt de l’analyse est conditionné parl’atteinte d’un point fixe. Un point fixe renvoie à
l'atteinte d'une configuration stationnaire, c’est-à-dire qu'à un cycle donné, aucun nouvelélément n'est identifié par les mécanismesd'induction ou déduction.
Soit ANALYSE 1, ANALYSE 2 , ANALYSE 3 les fonctions représentant les 3 phases
d'analyse à partir des accidents potentiels, desdangers et des éléments dangereux. Soit X1,X 2 , X 3 : 3 variables représentant respectivementles sous ensemble d'accidents potentiels, dedangers et d'éléments dangereux :
Arrêt de l'analyse si et seulement si onobtient la configuration suivante :
ANALYSE 1.A2( X1 ) = X 2 ANALYSE 2 .A4 (X 2 ) = X 3 ANALYSE 2 .A3(X 2 ) = X1 ANALYSE 3 .A5(X 3 ) = X 2
L’exploitation de trois segments sources dedonnées (liste des accidents potentiels, listedes dangers, liste des éléments dangereux) aumême temps en lecture (données en entrée) eten écriture (résultats) fait appel à destechniques de l’informatique distribuée etnotamment d'exclusion mutuelle. En outre,l'ordonnancement des différentes phases d'uncycle de traitement dépend de plusieursfacteurs telle que la qualité des données enentrée. Les 3 phases d'analyse sont ordonnéescirculairement, on peut donc commencer parn'importe laquelle.
Conclusion
Dans ce papier nous avons présenté dansun premier temps une ébauche du formalismede base qu’on a définit pour une AnalysePréliminaire des Risques appliquée dans ledomaine des transport. Ensuite, nous avonsexposé une méthode d’APR de typeinductive/déductive rétroactive regroupant à la
fois 3 actions inductives, 2 actions déductiveset 2 rétroactions.
Nos travaux se poursuivent actuellementsur la conception et l’élaboration d’une base deconnaissance d’APR et notammentl’exploitation de ces connaissances par un outildécisionnel d’aide à l’évaluation et l’élaborationde cette analyse.
Bibliographie
[CEI, 95] « Gestion de la sûreté defonctionnement », CEI 300-3-9, première édition, 1995.
hal00160738,version 1
9 Jul 2007
8/18/2019 MAZOUNI_M.H
6/6
[CENELEC, 94] « Principes directeurs pourinclure dans les normes lesaspects liés à la sécurité »,CENELEC, Mémorandum n°9,Edition n°1, 1994.
[CENELEC, 05] « sécurité fonctionnelle -systèmes instrumentés de
sécurité pour le secteur desindustries de transformation »,NF EN 61511, mars 2005.
[HADJ, 95] HADJ-MABROUK H., « Lamaîtrise des risques dans ledomaine des automatismesdes systèmes de transportguidés», RTS , n°49, pp 101-112, France, Décembre 1995.
[HADJ, 97] HADJ-MABROUK H., ProjetSAPRISTI : proposition d’uneméthode et d’une maquette
d’aide à l’élaboration et à lacapitalisation des analysespréliminaires de risques , 1997.
[HADJ, 99] HADJ-MABROUK H., ProjetSAPRISTI : l'analysepréliminaire de risques dessystèmes de transportsguidés. Principaux travauxréalisés de 1994 à 1998. ,Rapport d'étape n° ESTAS/A-99-16, Arcueil, septembre1999. (diffusion restreinte).
[HADJ, 03] HADJ-MABROUK H.,Concepts de base pour lasécurité des transportsferroviaires, Rapport, Janvier2003 (Diffusion restreinte).
[ISO 14971, 00] « Application de la gestion desrisques aux dispositifsmédicaux», ISO 14971,première édition , 2000.
[ISO/CEI, 99] « Aspects liés à la sécurité –principes directeurs pour lesinclure dans les normes »,
Guide ISO/CEI 51, 1999.
[MAZOUNI, 05] MAZOUNI M-H., HADJ-MABROUK H., « L’analysedes risques d’accidents dansles transports ferroviaires »40
e Congrès annuel de
l’AQTR (AssociationQuébécoise du Transports etdes Routes), Québec-Laval,Avril 2005.
[LégiFrance, 00] Décret n°2000-286 du 30mars 2000 relatif à la sécurité
du réseau ferré national et sonarrêté d’application du 08 janvier 2002
[LégiFrance, 03] Article 17 du décret n° 2003-425 du 9 mai 2003 relatif à lasécurité des transports publicsguidés
[VigiPirate, 78] VigiPirate : « Dispositif desécurité français destiné àprévenir les menaces ou àréagir face aux actionsterroristes »
Site Officiel du Ministère del’intérieur :http://www.interieur.gouv.fr
hal00160738,version 1
9 Jul 2007