Extrait 42154210

ENVIRONNEMENT - SÉCURITÉ
Ti112 - Sécurité et gestion des risques
Management de la sécurité
Réf. Internet : 42154 | 3e édition
Actualisation permanente sur

www.techniques-ingenieur.fr
Tec h n ique s de l ’I n gé ni eur
La plus impor tante ressource documentaire scientifique
et technique en français
Une information fiable, claire et actualisée

Validés par un comité scientifique et mis à jour en permanence sur Internet,
les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et
scientifiques, en poste ou en formation.
Outil d’accompagnement de la formation et de la carrière des ingénieurs,
les ressources documentaires Techniques de l’Ingénieur constituent le socle
commun de connaissances des acteurs de la recherche et de l’industrie.
Les meilleurs experts techniques et scientifiques

Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs,
professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur
scientifique et technique de référence.
Les meilleurs spécialistes sont réunis pour constituer une base de
connaissances inégalée, vous former et vous accompagner dans vos projets.
Une collection 100 % en ligne

• Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et
actualisations de votre ressource documentaire
• Les articles téléchargeables en version PDF
Des services associés

Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste
des services associés à vos droits d’accès et les utiliser.
 Des services associés

Pour toute information, le service clientèle reste à votre disposition :
Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : infos.clients@teching.com
III
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)
composé de :
Management de la sécurité Réf. Internet : 42154
Méthodes d'analyse des risques Réf. Internet : 42155
Risques chimiques - Toxicologie et écotoxicologie Réf. Internet : 42156
Risques chimiques - Pesticides et produits phytosanitaires Réf. Internet : 42568
Encadrer le risque chimique et connaître ses obligations Réf. Internet : 22742
Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743

dans l’entreprise
Risques d'explosion - Phénoménologie et effets Réf. Internet : 42157
Risques d'explosion - Évaluation, prévention Réf. Internet : 42709

et réglementation
Risques d'incendie Réf. Internet : 42583
Risques électriques Réf. Internet : 42496
Sécurité par secteur d'activité et par technologie Réf. Internet : 42159
Sécurité des systèmes industriels Réf. Internet : 42830
Santé et sécurité au travail Réf. Internet : 42158
Menaces et vulnérabilités : protection des sites industriels Réf. Internet : 42648
Risques naturels et impacts industriels Réf. Internet : 42828
 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
IV
Cet ouvrage fait par tie de
(Réf. Internet ti112)
dont les exper ts scientifiques sont :
William DAB
Titulaire de la chaire d'Hygiène et Sécurité, CNAM
Jean-Pierre DAL PONT

Président de la SFGP (Société française de génie des procédés), Secrétaire
général de l'EFCE (Fédération européenne du génie chimique), Président de la
SECF (Société des experts chimistes de France)
François FONTAINE
Responsable « Sécurité Globale et Sécurité Globale et terrorisme », INERIS
Didier GASTON
Responsable Agence, CETE APAVE Nord-Ouest
Jean-Louis GUSTIN
Expert en sécurité des procédés Rhodia Recherches et Technologies
Olivier IDDIR
Ingénieur quantification des risques, TechnipFMC, membre du réseau des
experts, Département Expertise et Modélisation
André LAURENT
Professeur émérite, Nancy Université, LRGP, CNRS, INPL, ENSIC
Yves MORTUREUX
Expert en maîtrise des risques à la Direction de la sécurité de la SNCF
V
Les auteurs ayant contribué à cet ouvrage sont :
VI
(Réf. Internet 42154)
SOMMAIRE
1– Introduction Réf. Internet page
Sécurité et gestion des risques SE12 11
Les concepts cindyniques. Comprendre leur nature et leur intérêt SE100 15
Rupture mémorielle et vulnérabilité croissante aux catastrophes P4239 19
Importance de la sécurité dans les entreprises AG4600 23
Gestion des risques professionnels SE3910 25
Système de management de la sécurité : mise en place sur site AG4650 29
Recommandations sur les systèmes de gestion de la sécurité formalisés SE4620 33
Norme ISO 31000 : 2018 Management du risque – Lignes directrices. Mise en œuvre SE1022 37
opérationnelle
Risques et assurances SE3600 43
2– Démarches Réf. Internet page
Gestion globale des risques AG1100 49
La sûreté de fonctionnement : démarches pour maîtriser les risques SE1020 55
Démarche générale de maîtrise du risque dans les industries de procédé AG4605 57
Gestion des risques d'un projet SE2040 59
Évaluation du vieillissement industriel. Méthodologie SE2080 63
Évaluation des risques. Les résultats dans un document unique SE3200 69
Principes d'évaluation de la probabilité de défaillance des Mesures de Maîtrise des SE4057 71

Risques (MMR)
Probabilité de défaillance à la sollicitation d'une fonction instrumentée de sécurité SE4058 75
Nouvelles exigences de la norme IEC 61511 SE4059 81
VII
Les facteurs organisationnels de la sécurité SE3010 87
Gestion de la continuité d’activité. Structuration et mise en pratique SE3012 91
3– Retours d'expérience Réf. Internet page
De la « maîtrise » des crises SE1060 99
Le retour d'expérience en questions SE1040 103
Retour d'expérience technique SE1041 105
Retour d'expérience dans les industries de procédé AG4610 111
Leçons des accidents majeurs dans l'industrie chimique SE1050 113
Risques et accidents majeurs. Retour d'expérience cindynique SE1055 117
Dimensions humaine et organisationnelle dans le retour d'expérience SE3805 123
Pratiques de retour d'expérience (REX) pour un apprentissage organisationnel RE179 127
4– Méthodes d'évaluation Réf. Internet page
Introduction à la fiabilité des structures SE2070 133
1
1– Introduction Réf. Internet page
Sécurité et gestion des risques SE12 11
Les concepts cindyniques. Comprendre leur nature et leur intérêt SE100 15
Rupture mémorielle et vulnérabilité croissante aux catastrophes P4239 19
Importance de la sécurité dans les entreprises AG4600 23
Gestion des risques professionnels SE3910 25
Système de management de la sécurité : mise en place sur site AG4650 29
Recommandations sur les systèmes de gestion de la sécurité formalisés SE4620 33
Norme ISO 31000 : 2018 Management du risque – Lignes directrices. Mise en œuvre SE1022 37
opérationnelle
Risques et assurances SE3600 43
2– Démarches
3– Retours d'expérience
4– Méthodes d'évaluation
9
1
10
Référence Internet
SE12
par Jean-Pierre DAL PONT

Président de la Société française de génie des procédés (SFGP), Paris, France
1
Président de la Société des experts chimistes de France (SECF)
Secrétaire général de la Fédération européenne de génie chimique (EFCE)
Secrétaire général de l’European Society of Biochemical Engineering Sciences (ESBES)
1. Risque, sécurité et protection contre les malveillances ............ SE 12v3 - 2

2. Entreprise et risques ............................................................................ — 3
3. Responsabilité sociétale...................................................................... — 4
4. Identification des dangers .................................................................. — 5
5. Sécurité et conception de produits et d’outils industriels ....... — 6
6. Facteurs humains – Santé de l’homme au travail
– Aspects organisationnels................................................................. — 7
7. Réglementations – L’individu face à la loi ..................................... — 7
8. De la sécurité à la sûreté de fonctionnement –
Résilience – Robustesse....................................................................... — 7
9. Risques territoriaux – Risques naturels .......................................... — 8
10. Sécurité : source de progrès ou frein à l’innovation ? ............... — 8
11. Risques à l’internationnal ................................................................... — 9
12. Management de la sécurité à l’ère de la révolution numérique — 9
13. Conclusion............................................................................................... — 10
Pour en savoir plus ........................................................................................ Doc. SE 12v3
es sociétés des pays industrialisés comme la France sont des sociétés

L basées sur la science et la technologie. Ce sont des systèmes de plus en
plus complexes ; les éléments qui les composent sont fortement
interconnectés : une grève des transporteurs peut paralyser le pays tout entier,
une panne d’électricité a des répercussions inattendues (ascenseurs bloqués,
absence de feux de signalisation, etc.), leur analyse systémique est devenue
essentielle. Nos sociétés modernes sont aujourd’hui des espaces ouverts où la
communication revêt une importance extrême, souvent source d’anxiété et de
jugements hâtifs. Le risque est mal perçu, qu’il soit naturel ou lié à l’activité
humaine et tout particulièrement à l’activité industrielle. C’est une notion large-
ment subjective.
Le Français a longtemps accepté de véritables hécatombes sur son réseau
routier où se tuent encore aujourd’hui environ 3 000 à 5 000 personnes par an
(10 par jour !) mais il a du mal à accepter un accident du travail, même s’il
s’avère que l’employeur a pris en conscience beaucoup de précautions. L’outil
industriel est de moins en moins toléré, alors qu’il est la base même de la
richesse du pays qui l’accueille. Mais que dire d’un accident comme celui qui a
détruit l’usine d’AZF à Toulouse le 21 septembre 2001, à l’origine d’une tren-
taine de morts et de dégâts considérables ? Que faut-il penser de la tragédie de
Bhopal (Inde) qui s’est produite pendant la nuit du 2 au 3 décembre 1994 dont
Parution : décembre 2016
on ne saura jamais si le nombre de victimes est de 5 000 ou 20 000, voire

davantage ?
Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 12v3 – 1
11
SE12
SÉCURITÉ ET GESTION DES RISQUES ___________________________________________________________________________________________________
La notion de « développement durable » s’est imposée depuis la seconde

guerre mondiale ; c’est une notion fédératrice porteuse d’avenir. Elle repose
sur trois piliers : économique sans lequel aucune entreprise humaine ne
saurait perdurer, environnemental car il faut protéger notre planète et
sociétal ; cette dernière notion sous-entend que l’activité humaine doit
prendre en compte les besoins de la société et de l’opinion des individus qui la
composent.
1 La gestion des risques est une composante essentielle du développement

durable : à l’échelle d’une nation, d’une commune, d’une entreprise, d’une
usine, d’un individu. L’irruption du numérique, que ce soit au travail ou dans la
vie de tous les jours, l’explosion de la communication par Internet, et depuis
quelques années les actes de terrorisme, rendent nécessaires une nouvelle
approche de la gestion des risques.
La gestion des risques est la mise en œuvre de toutes les dispositions orga-
nisationnelles et techniques visant à réduire leur probabilité d’occurrence ou à
diminuer leur gravité. Dans nos sociétés modernes et industrialisées régies par
des systèmes de plus en plus complexes, le risque, qu’il soit technologique,
individuel, financier ou professionnel, ou dû à la malveillance, est de plus en
plus mal perçu. Devenue une composante essentielle du développement
durable, du management des entreprises, la gestion des risques impose la
compréhension et l’explication de phénomènes qui font appel à des connais-
sances de plus en plus aigües à des sciences exactes parfois qualifiées de
« dures » ou sciences de la nature telles la chimie, la biologie, la médecine, la
physique, la mécanique, le calcul des probabilités, le génie des procédés pour
n’en citer que quelques-unes, et aux sciences parfois qualifiées de molles telles
les sciences humaines, les sciences cognitives.
Cet article constitue l’introduction au traité SE – Sécurité et gestion des risques – que les
Techniques de l’Ingénieur ont lancé en 2003, fruit du travail d’un nombre important
d’experts et de la contribution d’organismes et de sociétés industrielles de tout premier
plan.
Il constitue un ensemble structuré d’articles, donnant les bases essentielles de la ges-
tion des risques et les outils pour y parvenir. Il s’adresse aux ingénieurs de bureaux
d’études, de R&D, de production, aux managers de la chaîne logistique, aux cadres de
l’entreprise, aux élus, aux techniciens des communes en charge de la sécurité des biens et
des personnes, aux étudiants et, d’une façon générale, à tous ceux et à toutes celles qui
sont confrontés aux risques sous leurs formes les plus diverses.
1. Risque, sécurité Le risque qui résulte de l’emploi d’acide sulfurique dépendra des
quantités manipulées, de la qualité du confinement, des conditions
et protection contre opératoires (température, pression), des moyens mis en œuvre
pour protéger les opérateurs.
les malveillances Prévenir les risques, c’est mettre en œuvre toutes les disposi-
tions organisationnelles et techniques visant à réduire leur proba-
bilité d’occurrence ou à diminuer leur gravité. Dans le domaine des
Il faut tout d’abord définir danger et risque, termes qui prêtent
risques professionnels, la prévention a aussi pour objectif d’amé-
souvent à confusion :
liorer les conditions de travail.
– le danger est une propriété intrinsèque d’une substance, d’un
équipement, d’une situation, d’un système susceptible de causer L’évaluation du risque d’un système (une entreprise, une usine,
des dommages aux personnes, aux biens ou à l’environnement un atelier de production, une pièce d’équipement, un poste de tra-
(exemple : l’acide sulfurique est dangereux !) ; vail, un produit, un processus, un procédé, un projet, etc.) débute
– le risque résulte de la probabilité d’occurrence d’un dommage par son analyse critique. Il s’agit en premier lieu d’identifier les
résultant d’une exposition à un danger. C’est la résultante de dangers liés aux produits, aux techniques, aux hommes, à l’organi-
deux paramètres : la probabilité et la gravité. sation, à l’environnement socio-economique, etc.
La méthodologie de gestion des risques repose sur les étapes
Risque = Probabilité × Gravité suivantes :
Plus la probabilité et la gravité sont élevées, plus le risque l’est – identification des dangers et quantification des risques qui
aussi. peuvent en résulter en termes de probabilité et de gravité ;
SE 12v3 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
12
SE12
____________________________________________________________________________________________________ SÉCURITÉ ET GESTION DES RISQUES
Les investissements majeurs présentent toujours un risque, mais

Gravité un risque indispensable sans lequel l’entreprise ne peut s’adapter
à l’évolution des marchés et des techniques. Les risques liés
aux investissements peuvent être accrus dans le cas d’une implan-
Prévention tation à l’étranger ou de la mise en œuvre de technologies nou-
Risque
velles.
Zone de risque
inacceptable Des accidents peuvent ternir l’image de l’entreprise, facteur
1
important lorsque l’entreprise cherche à embaucher, ou a besoin
de capitaux.
Dans la majorité des cas, les risques technologiques sont à l’ori-
Protection gine des plus grandes difficultés des entreprises industrielles.
Zone de risque Erika, AZF, Seveso, Concorde, Tunnel du Mont-Blanc sont, parmi
acceptable tant d’autres, des noms hyper-médiatisés synonymes d’accidents
aux conséquences économiques, sociales et humaines impor-
0 Probabilité tantes. La catastrophe de Bhopal a entraîné la disparition graduelle
d’Union Carbide, société à qui appartenait majoritairement le site
indien. Les statistiques des sociétés d’assurance montrent que plus
Figure 1 – Évaluation du risque en fonction de la probabilité de 70 % des PME qui ont un sinistre important disparaissent dans
et de la gravité
les trois années qui suivent.
De bons résultats en termes de sécurité engendrent la
– traitement des risques pour les ramener au niveau présumé confiance auprès des clients, des actionnaires, des analystes
d’acceptabilité ; financiers, des riverains des installations de production, et d’une
– financement de la gravité résiduelle par des mesures appro- façon générale, de toutes les parties prenantes de l’entreprise que
priées dont l’assurance. les Anglo-Saxons appellent « stakeholders ». Contrôler et amélio-
rer d’une façon continue tout ce qui a trait à la conception des pro-
La figure 1 illustre le concept de risque sachant que le risque duits, aux ateliers qui les produisent, à leur exploitation, à la
zéro n’existe pas puisque toute activité humaine porte en elle distribution, est une nécessité.
une part d’incertitude et de risque.
De bons résultats ne sont jamais dus au hasard mais sont le fruit
On peut toujours agir sur deux paramètres pour réduire le risque d’une politique volontariste mise en place par la direction de
à une valeur acceptable : l’entreprise. Cette politique repose sur un système de manage-
– réduire la probabilité d’occurrence de l’événement indésirable ment de la sécurité (SMS). Le SMS peut être défini comme un
en prenant un certain nombre de mesures préventives : c’est la ensemble organisé et cohérent permettant d’évaluer et de maîtri-
prévention ; ser ce qui touche au domaine HSE (hygiène, sécurité, environne-
– réduire la gravité en protégeant les hommes et les biens par ment). Il comprend essentiellement :
des moyens adéquats, tels que le port de moyens de protection – la définition de la politique et des objectifs qui reflètent l’enga-
individuels, en installant des murs coupe-feu, des sorties de gement de la direction ;
secours, etc. : c’est la protection. – la définition de l’organisation, des ressources et des
responsabilités ;
Les analyses PPRT (plans de prévention des risques technolo-
– la mesure des résultats et la conformité aux procédures et aux
giques) introduisent maintenant les notions d’aléa et de vulnéra-
objectifs par des audits ;
bilité. L’aléa est pour un accident le couple d’occurrence
– la mise en place d’un processus de correction, d’amélioration
× l’intensité des effets. La vulnérabilité d’une cible à un effet (ou
et de formation du personnel.
sensibilité) est le facteur de proportionnalité entre les effets aux-
quels elle est exposée et les dommages qu’elle subit. Cette politique nécessite des ressources humaines, financières,
techniques et l’implication des employés à tous les niveaux de la
La lutte contre la malveillance, définie comme l’intention de hiérarchie... dans la durée !
nuire, a pris, tout particulièrement en France depuis l’attentat de
Charlie Hebdo en janvier 2015, une acuité sans précédent. Notre Le management de la sécurité nécessite des outils. Le traité
pays doit faire face au terrorisme et à la cybercriminalité sous des Sécurité et gestion des risques détaille les plus utilisés :
formes les plus diverses. La lutte contre l’espionnage industriel et • Le retour d’expérience (REX en abrégé) constitue un élément
d’une façon générale la lutte contre l’atteinte à la propriété intellec- essentiel de connaissance d’un système. Il s’agit d’apprendre et de
tuelle oblige gouvernements, organismes et entreprises à mettre comprendre ce qui s’est passé pour mieux maîtriser l’avenir.
en place des outils de plus en plus sophistiqués. L’analyse des dysfonctionnements avec les acteurs qui en sont à
l’origine et le fait de les porter à la connaissance du plus grand
nombre constitue la base même d’un progrès continu. Le REX
fournit aussi des données indispensables pour calculer les taux de
2. Entreprise et risques fiabilité inaccessibles autrement [SE 1 040] [AG 4 610].
• Le retour d’expérience technique permet de mieux
connaître les performances des matériels et des installations et de
« Entreprendre c’est gérer économiquement des risques » corriger leurs points faibles. Il intervient à tous les stades de l’ana-
[AG 1 100]. L’entreprise, qu’elle fournisse des biens ou des ser- lyse du cycle de vie du matériel en étudiant incidents, défaillances,
vices, est soumise à des risques. Il peut s’agir de la préservation coûts opératoires et de maintenance. C’est le « carnet de santé »
d’un savoir-faire, de la fidélisation de dirigeants de haut niveau ou de l’installation [SE 1 041].
de certains chercheurs, des risques sociaux, des risques liés aux
contrats, à l’insolvabilité de certains clients, aux fournisseurs et • L’APR (analyse préliminaire des risques) [SE 4 010] a pour
sous-traitants, à la variabilité des taux de change, à la défaillance objectif de définir les besoins en études, de répartir rôles et res-
du système informatique, à la cybercriminalité, au terrorisme. ponsabilités dans le cas d’analyse d’un système pour lequel une
Les outils industriels usines, ateliers et les activités associées, tels équipe projet doit être mise en place. Elle comprend trois phases
les transports, les stockages, les déplacements des personnes distinctes :
constituent des sources de risques prépondérants. – identification exhaustive des dangers ;
Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 12v3 – 3
13
1
14
SE100
Concepts cindyniques
Comprendre leur nature et leur intérêt
1
par Guy PLANCHETTE
Président d’honneur de l’Institut pour la maîtrise des risques
Gentilly, France
1. Notions de danger et de risque......................................................... SE 100 - 2

1.1 Que représente le danger ?...................................................................... — 2
1.2 Comment définir la notion de risque ? ................................................... — 3
1.3 Études actuelles du risque et leurs insuffisances .................................. — 3
2. Cinq leçons tirées de l’analyse approfondie des accidents ...... — 4
2.1 Insertion du facteur comportemental ..................................................... — 4
2.2 Modification du regard porté sur les dangers........................................ — 4
2.3 Capacité à décrire le danger .................................................................... — 5
2.4 Prise en compte de la temporalité........................................................... — 5
2.5 Besoin de cohérence ................................................................................ — 5
3. Notion de situation............................................................................... — 6
4. Concepts.................................................................................................. — 6
4.1 Comment décrire une situation dangereuse .......................................... — 6
5. Processus cindynique .......................................................................... — 8
6. Conclusion .............................................................................................. — 9
Pour en savoir plus ......................................................................................... Doc. SE 100
a cindynique regroupe l’ensemble des sciences et des techniques qui

L visent à rendre perceptibles, donc identifiables, les dangers et les risques
endogènes et exogènes (naturels, technologiques…). Elle permet de mettre en
évidence des risques intangibles à l’image de ceux relevant de facteurs
comportementaux (refoulement, valeurs, croyances, etc.) des différentes
parties prenantes de l’organisation. Une fois ces risques identifiés, ils peuvent
être évalués, puis traités.
C’est au cours d’un colloque interindustries, en décembre 1987, que le terme
cindynique prend naissance à partir de la racine grecque signifiant danger.
Les concepts qui supportent la démarche cindynique découlent des
nombreuses leçons tirées de l’analyse de grandes catastrophes telles que
Bhopal, Challenger, Tchernobyl, ainsi que de la multitude de risques diffus
comme les accidents de la route et les activités domestiques. Ils se sont
ensuite développés à partir du terrain constitué par l’exercice quotidien de la
fonction Risk Manager dans les entreprises.
La cindynique représente une démarche d’étude systémique de l’évolution
des situations auxquelles se trouvent confrontées les organisations dans le but
d’évaluer si cette évolution présente un caractère favorable ou défavorable à
l’atteinte des objectifs. Le terme de situation « concept fondateur des
cindyniques » doit être compris au sens du dictionnaire Larousse comme
« l’ensemble des événements, des circonstances, des relations concrètes au
Parution : juillet 2014
milieu desquels se trouve quelqu’un, un groupe ».
Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 100 – 1
15
SE100
CONCEPTS CINDYNIQUES ____________________________________________________________________________________________________________
La démarche cindynique est particulièrement bien adaptée à la

compréhension des dysfonctionnements de nos systèmes complexes, que ces
derniers soient techniques, organisationnels, humains, financiers, judiciaires,
écosystémiques, car elle permet actuellement d’apporter les réponses les
mieux appropriées aux dérives insidieuses de ces systèmes.
En effet, pour tout système complexe, nous devons, à la fois tenir compte du
1
deuxième principe de la thermodynamique qui explicite que « Tout système
isolé livré à lui-même augmente son désordre » et de l’enseignement de
James Reason [1] « Tous les systèmes construits par l’homme comportent des
agents potentiellement destructeurs, à l’instar des agents pathogènes du corps
humain. À tout moment, tout système complexe présente un certain nombre
de défaillances latentes, dont les effets ne sont pas immédiatement apparents,
mais peuvent amener à des actions dangereuses et affaiblir les mécanismes de
défense du système. Pour la plus grande part, elles sont tolérées, détectées et
corrigées ou sous surveillance grâce à des mesures de protection comparables
à nos systèmes immunitaires ».
La raison d’être des démarches cindyniques consiste alors principalement à :
– expliciter la nature des « agents pathogènes internes ou externes » des sys-
tèmes, en particulier ceux dont les effets ne sont pas immédiatement apparents ;
– identifier et apprécier le niveau de tolérance aux variations d’un système
complexe qui, lorsqu’il est dépassé, conduit à des désordres.
La qualité de ce raisonnement permet alors de caractériser les phénomènes
dangereux pouvant être créés lors des évolutions inéluctables existant au sein
des organisations afin de les réduire dès leur source.
La cindynique s’insère complètement dans l’esprit de la norme NF ISO
31000:2010 car elle facilite l’établissement des contextes externes et internes
des organisations et permet l’étude de leur potentiel de dangerosité.
Il convient de mentionner que l’approche cindynique étant récente, elle ne
bénéficie pas encore de la maturité et des développements des approches tra-
ditionnelles de gestion du risque. De plus, en fonction des attentes et du
nombre de parties prenantes choisies au cours de l’étude, elle peut nécessiter
du temps et des moyens importants.
Dans cet article, nous chercherons à faire comprendre ce que revêtent les
concepts ainsi que leur intérêt et la puissance de leur utilisation dans le
domaine de la maîtrise des dangers et des risques.
Le contenu de cet article précisera en premier lieu les définitions des notions
de danger et de risque permettant d’illustrer les insuffisances des démarches
actuelles de gestion du risque.
Puis développera :
– les leçons des lectures approfondies des accidents ;
– les notions de situations ;
– les apports des nouveaux concepts ;
– l’efficacité du processus cindynique.
En conclusion, seront abordés les travaux engagés pour la vulgarisation de
la cindynique, ainsi que les perspectives de son développement.
1. Notions de danger dommages occasionnés par les forces de la nature. Considérant

alors les dangers comme une punition divine, les populations
et de risque anciennes s’adonnaient à la divination, aux oracles.
Plus tard, le danger est considéré comme une réalité matérielle
qui engendre la possibilité de dommages futurs attribués à des
1.1 Que représente le danger ? menaces réelles (phénomènes naturels, substances nocives, etc.).
Dès le début de son existence, l’homme a toujours été confronté Il peut également être expliqué comme une capacité dont on sait
à des dangers qu’il lui fallait affronter s’il voulait survivre, le que la rencontre ou l’interaction avec une cible considérée comme
laissant la plupart du temps impuissant et effrayé devant les vulnérable aura des retombées négatives sur le cours de l’action
SE 100 − 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
16
SE100
____________________________________________________________________________________________________________ CONCEPTS CINDYNIQUES
(cf. l’idée étymologique de dominiarium ). Le danger ne possède d’organisation…)… Le risque est défini par une grandeur à deux
pas un caractère potentiel mais une capacité intrinsèque et dimensions notée (p, g ) caractérisant la probabilité d’occurrence p
certaine de produire des dommages : le contact d’un ours sauvage et la gravité g de ses conséquences ».
peut être dangereux pour l’homme. Mais s’il est en cage, sa puis-
Il en est de même pour la méthode MOSAR [SE 4 060] présentée
sance de dommage étant entravée, il n’est plus un risque : « peut-il
comme une méthode d’analyse des risques industriels : « Analyser
me blesser ? Ça ne risque pas ! ». Oui, enfin... tant que la cage
les risques d’une installation va consister essentiellement à identi-
assure sa fonction !
fier les dysfonctionnements de nature technique et opératoire
1
(opérationnelle, relationnelle, organisationnelle) dont l’enchaî-
nement peut conduire à des événements non souhaités par
1.2 Comment définir la notion rapport à des cibles (individus, populations, écosystèmes, systè-
de risque ? mes matériels ou symboliques) ». Et la typologie des sources de
dangers citées ne comporte que des dangers connus et percep-
Vers la fin du Moyen Âge la notion de risque émerge lorsque tibles à nos sens.
l’humain prend conscience qu’il affronte le danger dans le but
O. Grandamas [SE 4 062] confirme en partie ce constat : « force
d’obtenir une meilleure situation. Progressivement, le dommage
est de constater que les méthodes utilisées jusqu’ici ne sont plus
cesse d’être perçu comme une punition divine. Il est alors ressenti
pleinement adaptées. Réaliser une HAZOP est faire l’analyse de
comme un accident que l’homme peut tenter de prévenir. Puis,
risques d’un procédé. Son application, de par sa logique, ne
après le tremblement de terre de Lisbonne en 1755, les débats
permet pas de prendre en compte systématiquement les inter-
philosophiques entre Rousseau et Voltaire vont faire prendre
actions de ce procédé avec son environnement. L’HAZOP doit être
conscience de la responsabilité de l’Homme quant à son rôle dans
complétée par une approche plus macroscopique. L’AMDEC, de
l’importance des dégâts occasionnés par la concrétisation du
par son formalisme, ne permet pas une prise en compte systéma-
danger et des risques pris.
tique des effets domino. C’est à celui qui utilise cette méthodologie
Philosophes, sociologues, scientifiques se mobilisent alors pour de bien identifier les « causes » et les « conséquences » des
améliorer la sécurité des installations, des personnels et des potentiels de danger qu’il a identifiés ».
riverains. D’importantes améliorations sont apportées, tant sur le
plan technique que sur celui de l’ergonomie du travail ou encore Il ajoute même que « les méthodes utilisées jusqu’ici ne sont plus
sur celui des protections conçues pour limiter la violence des pleinement adaptées, (...) les analyses de risques réalisées
conséquences. Traiter des conséquences engendrées devient alors aujourd’hui sont des patchworks de méthodologies différentes dans
la préoccupation prioritaire. l’objectif de couvrir l’ensemble des exigences réglementaires ».
Le concept de risque remplace progressivement les notions de Il semble aussi confirmer qu’une évolution d’organisation ne
danger qui étaient prépondérantes dans les phénomènes naturels peut être considérée comme un danger : « Il faut privilégier une
(ouragans, inondations, tremblements de terre…), puis manifestes modélisation géographique et fonctionnelle à une modélisation
avec l’utilisation d’éléments d’origine mécanique, électrique, organisationnelle. En effet, une organisation, cela évolue sans
chimique, etc. et par des situations d’activités quotidiennes ou de cesse. Si à chaque fois que l’organisation changeait, il fallait actua-
travail jugées imprudentes. D’ailleurs U. Beck fait clairement du liser l’analyse de risques, cette contrainte serait rédhibitoire ».
risque l’apanage de la seconde modernité et le corollaire des Nous verrons par la suite l’importance de considérer un chan-
richesses qu’elle produit [2]. gement d’organisation comme une source potentielle de danger
imperceptible à nos sens, à cause des flous et ambiguïtés pouvant
Le risque va alors être considéré comme « le fait de s’exposer à être créés, ou parce que les buts annoncés ne sont pas partagés
un danger, et ce dans l’espoir d’obtenir un avantage » (Laurent (§ 2.4 et 4.1.4).
Magne) [3]. Le risque peut être également perçu comme la possi-
bilité de subir des dommages causés par un danger auquel on se – Maintenant, la norme NF ISO 31000:2010 préconise qu’avant
trouve involontairement exposé. Les connotations de danger, d’évaluer les risques il convient d’établir les contextes externes et
d’aléa, d’occurrence, d’incertitude, de dommage se retrouvent. Le internes de l’organisation avec une prise en compte des éléments
risque est assimilé à une virtualité négative (péril, danger et suivants :
menace) ou positive (richesse, fortune et opportunité), un espoir – l’environnement social et culturel, légal, réglementaire, finan-
dont chacun veut sa part, un potentiel lié à notre connaissance de cier, technologique, économique, naturel et concurrentiel, au
l’avenir (hasard, sort et aléa) ou à son absence (inconnu, aventure niveau international, national, régional ou local ;
et incertitude). – la gouvernance, l’organisation, les rôles et les responsabilités ;
La nouvelle définition adoptée par la norme NF ISO 31000:2010 – les politiques, les objectifs et les stratégies mises en place
abandonne la vision de l’ingénieur (« le risque est la combinaison pour atteindre ces derniers ;
de probabilité d’un événement et de sa conséquence ») pour – les aptitudes, en termes de ressources et de connaissances
coupler les risques aux objectifs de l’organisation : « le risque est (par exemple capital, temps, personnels, processus, systèmes et
l’effet de l’incertitude sur les objectifs » [4]. technologies) ;
– les systèmes d’information, les flux d’information et les
processus de prise de décision (à la fois formels et informels) ;
1.3 Études actuelles du risque et leurs – les relations avec les parties prenantes externes et internes,
insuffisances leurs perceptions et leurs valeurs, ainsi que la culture de
l’organisme ;
Le constat établi à partir de l’analyse des études actuelles fait – les normes, lignes directrices, règles et processus, modèles
apparaître deux grandes natures d’insuffisances : adoptés par l’organisme ;
– elles ne prennent en compte que les dangers et risques – la forme et l’étendue des relations contractuelles ;
perceptibles à nos sens ; – les facteurs et tendances ayant un impact déterminant sur les
– l’analyse des risques n’est abordée qu’à partir d’une approche objectifs de l’organisme ;
quantitative. – les capacités de l’organisation en termes de ressources et de
connaissance.
À titre d’exemple, danger et risque sont caractérisés dans
l’ouvrage L’analyse préliminaire des risques [5]. Le danger Ces éléments intègrent aussi bien des éléments techniques que
« peut-être une substance (toxique…), un objet (machine des aspects qualitatifs tels que les perceptions, valeurs, culture des
tournante…), un phénomène (foudre…), un processus (erreur parties prenantes et de l’organisation étudiée.
Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 100 – 3
17
1
18
P4239
Rupture mémorielle et vulnérabilité

croissante aux catastrophes
1
par Emmanuel GARNIER
Directeur de recherche CNRS
UMR 6249 CNRS Chrono-environnement, Université de Franche-Comté, Besançon, France
1. Reconstruction historique et « dogme de l’inédit » ............... P 4 239 - 2

1.1 Préalable : retour à la sémantique....................................................... — 2
1.2 Reconstruire les trajectoires de la vulnérabilité ................................. — 3
1.3 Le métier d’historien : matériaux et méthodes .................................. — 3
1.4 Dogme du « jamais vu » et relativité de la parole experte ................ — 4
2. Temps longs et ruptures de la vulnérabilité .............................. — 5
2.1 Fluctuat nec mergitur : Paris et risque inondation ............................. — 5
2.2 Xynthia, février 2010 : autopsie d’une catastrophe prévisible .......... — 6
2.3 Ne pas disposer des « apprentissages du passé » : catastrophe
du Covid 19............................................................................................ — 8
3. Conjurer la fatalité catastrophique : retour à Utopia ? — 11
3.1 Réduire la fracture mémorielle ............................................................ — 11
3.2 « Long termisme » plutôt que court-termisme................................... — 13
4. Conclusion........................................................................................... — 14
5. Glossaire .............................................................................................. — 16
Pour en savoir plus .................................................................................... Doc. P 4 239
édigé en pleine crise de l’épidémie de Covid-19, le contenu de cet article a

R forcément tenu compte de cette catastrophe venue rappeler, avec bruta-
lité, à quel point le manque d’anticipation et l’oubli du passé favorisent
l’impréparation et hypothèquent une sortie rapide de crise. Volontiers pré-
sentée par les autorités, les experts et les médias comme « inédite », et donc
imprévisible, cette crise illustre magistralement la vulnérabilité croissante de
nos sociétés induite par une rupture mémorielle généralisée. Ce travail sou-
haite donc souligner, au crible de l’expérience du passé et dans une
perspective propre aux sciences historiques, l’exposition aux risques qui en
découle pour nos contemporains et les limites de la parole de l’expert
contemporain, qu’il soit scientifique, ingénieur ou décideur politique. De la
sorte, il est possible de comprendre à quel moment cette parole devient hégé-
monique et légitime au regard des diktats budgétaires et politiques court-
termistes, au point d’éradiquer le souvenir d’un désastre qu’on avait, jusque-là,
veillé à conserver sous des formes diverses et originales. Il convient également
d’apprécier ces expressions mémorielles afin de juger de leur pertinence et,
éventuellement, de leur intégration au sein de stratégies d’adaptation plus
durables pour le futur, ne serait-ce que sous la forme de séries d’événements
historiquement démontrés et connus dans les modèles actuels et les plans de
prévention.
Parution : décembre 2020
L’objectif de cet article est donc de procurer des pistes de réflexions inédites,
parce que fondées sur l’expérience du passé et la transdisciplinarité à même de
réduire les vulnérabilités auxquelles ingénieurs, aménageurs, entrepreneurs,
Copyright © – Techniques de l’Ingénieur – Tous droits réservés P 4 239 – 1
19
P4239
RUPTURE MÉMORIELLE ET VULNÉRABILITÉ CROISSANTE AUX CATASTROPHES _________________________________________________________________
assureurs et responsables politiques sont confrontés ou seront confrontés en

matière de risques. L’approche historique des catastrophes est conçue ici
comme un outil pour renforcer les modes de gouvernances des sociétés
humaines et des entreprises induits par le processus de globalisation (mondia-
lisation) des vingt dernières années en favorisant une coordination de l’action
collective plus efficiente, parce qu’inscrite dans la longue durée et respectueuse
des diversités.
1
1. Reconstruction historique Exemple : une crue méditerranéenne qui affecterait un territoire
dépourvu d’enjeux (êtres humains, infrastructures, entreprises) ne
et « dogme de l’inédit » serait rien d’autre qu’un extrême. En revanche, si cette même crue
se produit dans une région densément peuplée et très développée
économiquement, elle bascule alors bien dans le domaine de la
catastrophe [4].
1.1 Préalable : retour à la sémantique
Rançon de nos sociétés ultra-connectées et médiatisées en
quête permanente d’une information immédiate et simplifiée, le
sens des mots liés à la catastrophe est de plus en plus galvaudé, Pour sa part, la notion de risque (probabilité de perdre la vie,
tant par les journalistes que par les responsables politiques. Ran- d’être blessé ou de subir un dommage matériel) est perçue par
çon d’un enseignement secondaire et supérieur auquel on assigne les sociologues et les géographes comme une variable définie
depuis plusieurs décennies maintenant des missions de plus en en relation avec la vulnérabilité (manière dont une société est
plus nombreuses et contradictoires, et au nom d’une promesse exposée au risque), elle-même variant en fonction de la période
trompeuse d’égalitarisme scolaire qui aboutit à des renoncements de l’aléa (probabilité pour un phénomène extrême de se pro-
académiques dramatiques, la rigueur lexicale a connu un reflux duire).
massif au profit d’un « Frenglish » appauvri, censé permettre la
reconnexion des « élites » intellectuelles et politiques avec la
société. Dans les faits, le paradoxe veut pourtant que ce mouve-
ment se soit accompagné d’une défiance grandissante du citoyen Le dictionnaire de Furetière (1694) livre une approche nettement
à l’égard des institutions. Le vocabulaire de la catastrophe plus pragmatique quand il définit ce même risque comme un
n’échappe bien évidemment pas à cette tendance et il est « péril », un « grand danger », deux notions qu’il met immédiate-
aujourd’hui victime d’une confusion grandissante amalgamant ment en relation avec le fait de « s’exposer au risque » [5]. La défi-
pêle-mêle catastrophe, risque, extrême, aléa, vulnérabilité et rési- nition de l’Ancien Régime est pertinente dans notre contexte actuel
lience. Fort de ce constat, vérifiable lors de chaque nouveau puisqu’elle introduit d’emblée une autre piste méthodologique fon-
désastre, il peut sembler pertinent de revenir aux sources de la dée non pas sur une variable (le risque) mais sur une réalité
sémantique catastrophique. sociale qu’est la vulnérabilité, définie il y a plusieurs siècles déjà
D’emblée, rappelons donc que le terme « catastrophe » est un comme étant ce qui « peut être blessé (les populations) et détruit
héritage du grec ancien katastrophê qui, dans la tragédie antique, (les infrastructures et les habitations) ». Cette acception corres-
était synonyme de « retournement » ou de « renversement ». Dès pond assez exactement à la démarche de l’historien qui considère
lors, elle n’impliquait pas forcément un événement néfaste et pou- la catastrophe sous l’angle de sa dimension sociale. De facto, il
vait même déboucher sur des dénouements positifs ou un autre s’intéresse autant à son empreinte négative, en termes de dom-
modèle de développement. Encore en 1552, dans son Pantagruel mages matériels et humains, qu’aux réactions qu’elle suscite au
(livre IV), Rabelais utilise ce terme dans son sens théâtral d’achève- sein de la société.
ment de la comédie. Il faudra attendre le XVIIIe siècle pour qu’un
Quant au terme de « résilience », son cheminement historique
tournant sémantique s’opère, transformant la « catastrophe » en
est plus tortueux. D’origine latine, le verbe resilire (rebondir) passe
synonyme d’événement dramatique. Le Dictionnaire de l’Académie
dans l’ancien français sous la forme résiler mais ne survit dans le
française explique ainsi en 1798 qu’il « ne se dit guère que d’un
langage qu’en Angleterre avec le verbe resile. Et c’est dans ce
événement funeste. Il signifie une fin malheureuse... » [1]. Ite
même pays que le philosophe Francis Bacon lui donnera une véri-
missa est ! Désormais, la catastrophe passera à la postérité en
table signification scientifique dans son Sylva Sylvarum (1625).
association étroite avec la litanie des termes « calamité »,
« mortalité » et souvent... « désespoir ». Ultérieurement, son usage demeurera circonscrit à quelques
milieux spécialisés comme celui des ingénieurs en matériaux et
des écologues et il faut attendre les dernières années, voire les
Pour l’historien et le géographe, la catastrophe sous-tend derniers mois, pour qu’il fasse soudainement florès dans la
des phénomènes caractérisés par leur brièveté et leur ampleur bouche des journalistes et des décideurs. En pratique, la redécou-
sociale [2]. Elle marque donc une rupture et conduit à une verte du mot doit beaucoup aux climatologues qui travaillent sur
modification du système concerné, à une nouvelle perspective les stratégies d’adaptation depuis les années 1990 à 2000 dans le
qui peut, paradoxalement, donner naissance à un modèle plus cadre des rapports successifs du GIEC.
pertinent et durable en termes de réduction de la
vulnérabilité [3]. En pratique, un nombre croissant de journa-
listes et de politiciens confond allègrement « extrême » et
« catastrophe » alors que le premier désigne des phénomènes Dans les glossaires publiés par l’institution internationale, le
s’écartant fortement des moyennes météorologiques (inonda- mot « résilience » désigne les sociétés capables d’absorber un
tions, ouragans, sécheresses) tandis que la seconde correspond choc et de se reconstruire, notamment en relançant leur cycle
à sa signature sociale. économique et en protégeant leurs populations.
P 4 239 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
20
P4239
_________________________________________________________________ RUPTURE MÉMORIELLE ET VULNÉRABILITÉ CROISSANTE AUX CATASTROPHES
On peut donc s’interroger sur les raisons pour lesquelles il fut

choisi pour désigner l’opération engagée à compter du 25 mars par C’est donc à la « trajectoire de la vulnérabilité » que
les armées françaises afin d’apporter un soutien aux autorités civiles s’intéresse cet article qui pose pour hypothèse que la vulnéra-
confrontées à l’épidémie du Covid-19 [6]. Réservé jusque-là à un bilité des territoires et des populations est le fruit d’une évolu-
cercle très restreint, le choix présidentiel a fait la notoriété du terme tion tant de la société que de son environnement et que l’oubli
réemployé depuis sans modération aucune comme un élément de de ce processus est aujourd’hui un puissant facteur d’exposi-
langage imposé pour qui prétend (journaliste, politicien, expert) se tion aux extrêmes.
piquer de catastrophes. Si résilience il doit y avoir dans la crise du
1
Covid, elle concernera davantage les difficultés économiques et Une telle approche suppose de considérer la dimension histo-
sociales (chômage de masse) annoncées pour les mois à venir par les rique des sociétés, c’est-à-dire les valeurs fondamentales sur les-
instances financières et gouvernementales que l’épidémie elle-même, quelles elles se sont construites et leur évolution jusqu’à nos jours.
somme toute bénigne au regard des grandes épidémies du passé. Et Cette dimension temporelle est cependant le plus souvent négli-
il y a fort à parier que si notre pays n’avait pas été aussi « désarmé » gée, faute de savoir comment l’intégrer pleinement. Cette rupture
(masques, tests, culture du risque sanitaire, etc.) pour des raisons mémorielle qui conduit à qualifier chaque nouveau drame de
purement triviales, le bilan ne s’établirait probablement pas « jamais vu » ou encore « d’inédit » est un facteur aggravant de la
aujourd’hui à près de 52 237 morts. vulnérabilité contemporaine. A contrario, une vision holistique et
dynamique de la vulnérabilité aux risques peut aider à mieux com-
prendre la vulnérabilité aux changements actuels. Les mesures de
vulnérabilité d’aujourd’hui sont donc doublement biaisées : d’une
1.2 Reconstruire les trajectoires part, parce qu’elles ne prennent en compte que les aspects écono-
miques, d’autre part, parce qu’elles ne conçoivent la vulnérabilité
de la vulnérabilité qu’à un instant T, alors qu’en réalité la plupart des vulnérabilités
sont un héritage de processus historiques complexes, eux-mêmes
Dans son livre fondateur paru en 1992 sur le passage d’une sujets à une évolution permanente [10]. En montrant le caractère
société des catastrophes à une société du risque, le socio- ancien du risque et en expliquant comment les populations ont
logue Ulrich Beck oppose nettement une société « prémoderne » tenté de faire face (ou non) aux événements extrêmes, l’expérience
qualifiée de « traditionnelle », dépourvue d’industries, à une historique répond davantage aux attentes sociales du débat sur le
société « moderne » [7]. Dans le premier cas, le risque est inexis- changement global, l’impact de l’anthropocène, et renforce la rési-
tant, supplanté qu’il est par une conviction sociale : les menaces lience de nos sociétés.
en tout genre qui résultent de désastres sont totalement imprévi-
sibles. À ce fatalisme collectif, il oppose la société moderne, dont
l’historien situera la naissance aux alentours des années 1850, qui 1.3 Le métier d’historien : matériaux
redéfinirait les relations qu’elle entretient avec son environnement et méthodes
naturel selon un rapport de dominant (Homme) à dominé (Nature).
Pour Beck, en engendrant le risque, l’industrialisation autorise Le grand historien et résistant Marc Bloch se plaisait à comparer
enfin sa définition et sa quantification grâce à une rationalisation l’historien à l’ogre de la légende [11]. Là où il flaire la chair
instrumentale, aux progrès scientifiques et à la montée en puis- humaine, il sait que là est son gibier, disait-il. Plus qu’un « ogre »,
sance du rôle de l’expert. il serait davantage un « chasseur-cueilleur » moderne toujours en
quête de nouvelles données anciennes à même de lui permettre de
Sans prétendre contester totalement le modèle d’évolution évo- reconstruire un épisode historique. À la différence des chercheurs
qué ci-dessus, cette contribution entend davantage suivre les en sciences exactes qui exploitent des matériaux « naturels »
recommandations de Mitchell Dean quand il appelle de ses vœux comme les pollens, les sédiments ou encore les roches, la
une approche plus ciblée, fondée sur des études de cas mettant en démarche historienne repose sur la critique et l’étude de sources
valeur des pratiques concrètes en matière de gestion du risque [8]. primaires autrement dit d’archives écrites, produites par des indivi-
Or, la réalité appréhendée dans les archives traitant des catas- dus. Si ces matériaux peuvent être sujets en termes de subjecti-
trophes du passé est particulièrement éclairante. Elle révèle ainsi vité, ils n’en offrent pas moins de sérieux avantages pour les
que les germes du « risque » peuvent être recherchés beaucoup 500 dernières années. La première réside dans la résolution chro-
plus en aval de l’industrialisation et des progrès techniques de la nologique des archives au regard des datations des sciences
seconde moitié du XIXe siècle, à une époque où les sociétés et les exactes. Certes de plus en plus précises, elles ne peuvent pour
États demeuraient pourtant fondamentalement agraires et culturel- autant rivaliser avec celles de l’historien qui date à l’année, au
lement pétris de valeurs traditionnelles. Contre toute attente, les mois et souvent même au jour près, une inondation, une tempête
sociétés anciennes ne percevaient pas, ou pas uniquement, les ou bien encore un glissement de terrain.
calamités qui les affligeaient comme des manifestations de l’Ira
Dei (colère divine) et elles tentaient souvent de s’en prémunir ou La documentation historique fournit des séries d’archives
d’en réduire les effets par des actions très pragmatiques. L’histo- très variées, volumineuses et dispersées géographiquement. Le
rien s’intéresse ainsi aux formes que prenaient ces mesures pour gisement le plus riche est incontestablement celui des archives
réduire la vulnérabilité des écosystèmes et des communautés. Si administratives. En raison de leur intérêt stratégique (ports, pêche,
l’adaptation aux aléas naturels actuels se limite souvent à ses commerce, guerre), les côtes étaient étroitement administrées par
aspects strictement économiques, technologiques et physiques, la les pouvoirs publics en Europe ou en Asie. Ainsi, les actes munici-
perspective historique privilégie d’autres manifestations plus faci- paux des villes portuaires fournissent de grandes quantités d’infor-
lement accessibles à nos contemporains, à savoir les aspects mations sur les événements extrêmes (tempêtes, ondes de
culturels (lieux de mémoire, perception des risques, relations avec tempête, érosion, raz-de-marée). À partir du XVe siècle, plus tôt
les communautés), sociaux (inégalités, structures, etc.), géogra- dans le cas chinois, le développement des administrations (ami-
phiques et politico-institutionnels (gouvernance, normes et régle- rautés britanniques, espagnoles et françaises) et des sociétés
mentations, etc.). commerciales (sociétés des Indes britannique, néerlandaise et
française) enrichit considérablement la qualité des données histo-
Avec ses informations pléthoriques sur la fréquence des aléas, riques en fournissant des rapports quotidiens et en prenant en
l’étendue de leurs dommages, la profondeur historique autorise la compte des nouveaux continents (Asie, Amérique, Afrique).
compréhension de ce que le géographe Blaikie appelle les En raison de son influence encore primordiale dans le monde,
« racines » de la vulnérabilité à l’échelle des dernières décennies et les héritages culturels issus des croyances (animisme, chama-
même des siècles précédents dans le cas français [9]. nisme, etc.) et des religions institutionnelles (christianisme, islam,
Copyright © – Techniques de l’Ingénieur – Tous droits réservés P 4 239 – 3
21
P4239
RUPTURE MÉMORIELLE ET VULNÉRABILITÉ CROISSANTE AUX CATASTROPHES _________________________________________________________________
bouddhisme) doivent être privilégiés dans la prévention des catas- riques (pour les périodes anciennes dépourvues de données ins-
trophes. Souvent, les événements extrêmes étaient considérés trumentales) peuvent être comparées avec les échelles d’intensité
comme une manifestation de la colère de Dieu. C’est pourquoi les contemporaines (Beaufort ou Simpson-Saffir) basées sur les types
sociétés anciennes demandaient aux églises une intervention spiri- de dommages en fonction de la force du phénomène naturel. Ces
tuelle à l’origine d’informations historiques abondantes et particu- séries reconstruites sur un pas de temps de près de 500 ans avec
lièrement longues chronologiquement dans le cas des monastères une grande précision chronologique (année, mois et parfois jour)
bouddhistes (depuis le IXe siècle parfois) puis des chroniques chré- peuvent ensuite être introduites dans des modèles pour calculer
tiennes (depuis le XIIe siècle environ) et musulmanes. les périodes de retour et/ou pour améliorer des infrastructures
1 Exemple emblématique parmi bien d’autres : le sanc-

tuaire japonais Kawaguchiko Asama (préfecture de Yama-
industrielles (centrales nucléaires, sites portuaires et industriels ou
des projets d’urbanisation.
nashi), aujourd’hui classé au patrimoine mondial de l’UNESCO

(Organisation des nations unies pour l’éducation, la science et la 1.4 Dogme du « jamais vu » et relativité
culture), est toujours dédié aux éruptions volcaniques. Ce sanctuaire de la parole experte
shinto est centré sur le culte du kami, c'est-à-dire l’esprit ou les phé-
nomènes qui sont adorés dans la religion shintoïste. Dans la période
■ « Seulement deux inondations printemps/été ont été enregis-
Edo (1603-1868), les pèlerinages pour escalader le mont Fuji
trées depuis 500 ans » dans la vallée de la Seine ! Telle était
gagnèrent en popularité et le mandala (symbole spirituel et rituel dans
l’affirmation d’une contribution scientifique soumise à une revue
le bouddhisme) fut produit par les moines à la fois comme souvenir et
internationale par une équipe de climatologues européens, à peine
comme vecteur de diffusion du culte, et donc du risque, du volcan.
deux semaines après les inondations de juin 2016 [12]. Fort de sta-
De nos jours, ce culte original est toujours pratiqué au Japon et parti-
tistiques basées sur leurs modèles mathématiques (et non sur la
cipe de la sorte à la préservation de la mémoire du risque volcanique
documentation historique stricto sensu), les auteurs en déduisaient
chez les fidèles.
une augmentation des épisodes d’intenses précipitations en avril-
juin pour le bassin de la Seine. Au-delà, ils y voyaient un signal
Grâce aux processions religieuses, l’historien dispose de séries supplémentaire du changement climatique. Bien que l’article n’ait
relativement homogènes de catastrophes enregistrées par des pas encore été accepté par le journal scientifique, la nouvelle était
moines chinois, des imams (Tunisie et Maroc) ou des prêtres reprise peu après par la revue La Météorologie dans son numéro
catholiques (Amérique du Nord et du Sud, Europe). Ces cérémo- du mois d’août [13].
nies religieuses permettent la reconstruction de très longues séries
historiques comprises généralement entre 1000 et 1900, parfois Dans les premiers jours de juin, le sentiment de vivre un événe-
même au-delà dans le cas de la Catalogne. ment « inédit » se retrouvait aussi dans la presse, sur les ondes et
dans les propos des spécialistes interrogés, tous expliquant plus
L’Église catholique romaine ordonnait ces cérémonies qualifiées de ou moins à l’unisson qu’il s’agissait d’un « phénomène atypique ».
rogativas en Espagne ou de processions au Portugal et en France Une telle posture, très fréquente dans nos sociétés surinformées
pour demander la protection divine et ainsi éviter de mettre en danger promptes à délivrer des « vérités », n’est pas sans rappeler celle de
l’ordre établi ou l’équilibre socio-économique. En temps de séche- la catastrophe Xynthia en février 2010 lorsqu’élus, scientifiques et
resses par exemple, des processions étaient organisées pro pluvia, lit- médias déclaraient déjà à l’unisson que l’on n’avait jamais vu une
téralement « pour la pluie ». telle submersion au cours des derniers siècles [14]. A contrario,
alors que les Français percevaient Xynthia comme inédite, les Bri-
Les données instrumentales produites par les sociétés tanniques, les Hollandais et les Allemands, savaient que ce risque
météorologiques et scientifiques à partir de 1750 sont égale- littoral demeurait, eux qui l’avaient affronté en 1953. Bien que tou-
ment exploitées par les historiens car elles fournissent des infor- chée également, la France, ou plutôt l’État, ne conserva aucun sou-
mations thermométriques, barométriques ou éoliennes. Elles sont venir de cette tempête exceptionnelle qui frappa pourtant le littoral
complétées par les journaux intimes et les livres de bord des capi- flamand français, notamment les secteurs de Dunkerque et de Gra-
taines de vaisseaux qui se multiplient autour des années 1700 en velines où fut bâtie une centrale nucléaire moins de 30 ans plus
Europe et en Asie. Leurs auteurs sont généralement des commer- tard.
çants, des baleiniers, des religieux et des savants. Ils décrivent très ■ Par opportunisme politique ou par pure bonne foi imputable à la
exactement les catastrophes en procurant souvent des informa- croyance en une noble cause fortement médiatisée et partagée par
tions instrumentales et en décrivant leurs effets. Certains auteurs nombre de leurs concitoyens, élus locaux et nationaux commettent
proposent même une approche intégrée de la sécheresse en aussi régulièrement le « péché de l’inédit ». En veut-on une
combinant les observations visuelles (hauteurs d’eau des échelles preuve ? En pleine crise du Covid aux États-Unis, les médias fran-
hydrologiques sur les ponts), la phénologie (état de la végétation, çais annoncèrent qu’après la malédiction épidémique, l’État du
les incendies), les prix sur les marchés, sans omettre de mention- Michigan devait désormais affronter la « pire inondation depuis
ner ses expressions sociales sous la forme de disettes, d’épidé- 500 ans » [15]. Le titre n’était pas sans rappeler l’inondation de la
mies et d’émeutes. Après 1850, la presse apporte un éclairage Seine de juin 2016 précédemment évoquée, elle aussi « jamais vue
complémentaire sur la catastrophe en livrant des commentaires depuis 500 ans... ». Le même jour, la presse américaine, à travers
exhaustifs et des descriptions visuelles sous la forme de photogra- le prestigieux journal The New York Times, ne détonnait pas et
phies. Elle aborde également les réactions des pouvoirs publics et titrait « As Virus Lingers in Michigan, a New Crisis Arrives :
les débats suscités par ces catastrophes. Flooding », en reprenant la même antienne sur le caractère inédit
Ce long et harassant travail de collecte dans les fonds d’archives de l’inondation [16]. Face à une telle affirmation, l’historien ne peut
débouche ensuite sur la constitution de bases de données, qu’être étonné, lui qui sait que le nord des États-Unis demeura une
seules à même de permettre de valider ou non un événement terra incognita jusqu’au XVIIIe siècle et qu’il faut attendre 1837
catastrophique et d’en estimer l’intensité. Elles permettent de pour que ce territoire soit intégré politiquement et administrative-
recouper les signaux documentaires et de reconstituer le scénario ment au reste de l’Union en devenant le 26e État américain. En
d’un désastre passé ayant affecté une communauté ou un État. En conséquence, sauf à pouvoir affirmer que les communautés amé-
matière d’estimation de la sévérité, la durée d’une secousse sis- rindiennes des Outaouais, des Hurons ou encore les coureurs des
mique, les fissures dans les murs ou bien les dommages causés au bois français qui parcouraient la région des Grands Lacs conser-
bâti sont autant d’indices autorisant une quantification par l’emploi vaient des archives écrites (instrumentales de préférence), on ima-
des échelles sismiques actuelles. Il en est de même pour les gine mal comment nous pourrions disposer aujourd’hui de
cyclones, les ouragans et les tempêtes dont les descriptions histo- données scientifiques fiables pour les 500 dernières.... Pourtant
P 4 239 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
22
AG4600
Importance de la sécurité
dans les entreprises
1
par Alain GAYON
Global Safety Manager d’Aventis CropScience
1. La notion de risque ................................................................................. AG 4 600 – 2

2. Les différents domaines de la sécurité ............................................ — 2
3. Les résultats de sécurité dans l’industrie ....................................... — 4
4. La sécurité et les « stakeholders » .................................................... — 4
5. Les facteurs de succès en matière de sécurité .............................. — 6
e concept de sécurité n’a pas été découvert pendant l’avènement de l’ère

L industrielle. Il était inscrit dans le caractère de l’homme dès l’origine de
l’humanité. Ainsi, l’homo sapiens avait le réflexe de s’éloigner du feu car l’expé-
rience lui avait appris que celui-ci était dangereux pour lui. Il avait donc un
réflexe de sécurité. Mais qu’est-ce que la sécurité ?
Selon le « Petit Larousse », sécurité se dit d’une situation où l’on n’a aucun
danger à craindre. Cette définition générale, reposant sur le principe du risque
zéro, n’est pas adaptée aux activités humaines (alimentation, transport, vie quo-
tidienne, loisirs, etc.) où l’on parle de risque acceptable. Se référant à l’industrie
et, plus particulièrement, au fonctionnement des procédés, la sécurité peut être
définie comme l’aptitude d’un système à fonctionner en maîtrisant, à un niveau
acceptable, les risques pour les personnes, les biens et l’environnement.
Cette introduction aborde en particulier différents points qui seront dévelop-
pés dans des articles spécialisés. Ils sont riches de recommandations et d’outils
qui ont fait leur preuve. N’oublions pas le facteur clé du succès en matière de
sécurité : toutes ces méthodes, ces outils, ces recommandations ne seront effi-
caces que si chaque personne, à tous les niveaux dans l’entreprise, s’implique
personnellement dans ces actions.
Puisse la lecture de ces articles convaincre le lecteur de la prépondérance à
donner à la sécurité et lui permettre de contribuer efficacement à l’amélioration
des performances globales de son entreprise.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité L’entreprise industrielle AG 4 600 − 1
23
AG4600
IMPORTANCE DE LA SÉCURITÉ DANS LES ENTREPRISES ______________________________________________________________________________________
1. La notion de risque Gravité
Nous avons utilisé les termes « danger » et « risque » qui sont

Prévention Risque
communs dans le langage courant mais dont la signification n’est
pas toujours correctement connue. Voici ci-après les définitions que
nous proposons pour ces deux termes.
1
Suppression
Le « danger » est une situation, une condition ou une pratique

qui comporte en elle-même un potentiel à causer des domma-
ges aux personnes, aux biens ou à l’environnement. Protection
Le « risque » est la possibilité de survenance d’un dommage Risque
résultant d’une exposition à un danger. Le risque est la compo- acceptable
sante de deux paramètres : la « gravité » et la « probabilité ».
Plus la gravité et la probabilité d’un événement sont élevées, 0 Probabilité
plus le risque est élevé.
Figure 1 – Évaluation du risque en fonction de la probabilité
et de la gravité
Prenons par exemple pour illustrer ces différents termes, celui de
l’alpiniste en montagne. La montagne représente un danger puisqu’elle
a le potentiel d’engendrer des situations pouvant conduire à des dom-
mages corporels tels que, par exemple, la chute de l’alpiniste. Cepen-
dant, tant que l’alpiniste ne s’aventure pas dans la montagne, il ne court
pas de risque. Le danger existe de manière continue, mais le risque ne
se concrétise que s’il y a « exposition », c’est-à-dire, dans notre exem-
2. Les différents domaines
ple, lorsque l’alpiniste entame son ascension. Il encourt alors le risque
de chute. C’est ici que les notions de gravité et de probabilité apparais-
de la sécurité
sent. La hauteur de chute potentielle caractérisera la gravité. La proba-
bilité de la chute sera, elle, fonction de la difficulté du tracé, de La notion de sécurité s’applique à des domaines très variés. Elle
l’expérience de l’alpiniste, de la météo… peut être relative aux actes de vandalisme, aux intrusions ou aux
agressions (sécurité dans les banlieues ou dans le métro, cambrio-
La gestion du risque va consister, dans l’industrie comme en
lages). La sécurité peut avoir aussi une connotation sociale (sécurité
course de montagne, à prendre toutes les dispositions possibles
de l’emploi, sécurité sociale). Il s’agit alors de préserver une situa-
pour minimiser le risque. Pour cela, on peut soit supprimer l’exposi-
tion professionnelle ou financière. Pour distinguer ce type de sécu-
tion au danger, soit agir sur la gravité et/ou la probabilité, compo-
rité, les Anglais utilisent un terme spécifique « security ».
santes du risque.
D’autres aspects de la sécurité sont rassemblés en anglais sous le
Notre alpiniste peut en effet renoncer à sa course. Il annule ainsi
mot « safety ». Ils peuvent concerner la fiabilité des moyens de
le risque en éliminant l’exposition. C’est, on l’aura compris, la solu-
transports (accidents de trains, de camions, d’avions). Les médias
tion la plus radicale, ce n’est pas toujours la plus aisée dans l’indus-
évoquent très souvent la sécurité alimentaire (maladie de la vache
trie. On peut cependant trouver des exemples où la substitution
folle, listériose). Les activités domestiques engendrent également
dans un procédé de matières premières dangereuses par des matiè-
un nombre très (trop) élevé d’accidents puisqu’elles sont la cause en
res premières plus aisées d’emploi permet de supprimer le danger
France de 18 000 morts chaque année. La plupart de nos activités
présenté par ces matières.
ont donc un lien avec la sécurité. C’est évidemment le cas des acti-
À défaut de pouvoir utiliser une solution aussi radicale qui sup- vités industrielles.
prime le danger, on peut agir sur les deux paramètres du risque.
■ Si l’on parle de sécurité dans l’industrie, ce sont les accidents de
Réduire la gravité, c’est effectuer une action de protection. personnes, les incendies et explosions qui viennent d’abord à
Dans le cas de notre alpiniste, lui demander de s’équiper d’un sys- l’esprit de nos concitoyens. Des catastrophes telles que celles surve-
tème d’assurance correctement fixé ou placer des filets en contre- nues à Bhopal ou Flixborough ont marqué les esprits. Les accidents
bas des passages difficiles n’empêchera pas l’alpiniste de chuter. du travail sont la cause d’environ 700 décès en France chaque
Mais ces dispositifs rendront la chute moins haute et donc réduiront année, chiffre à comparer avec les 8 000 morts sur la route ou,
sa gravité. comme nous venons de le voir, les 18 000 accidents domestiques
Réduire la probabilité, c’est faire une action de prévention. mortels. Cette mortalité plus faible dans l’industrie n’est pas surpre-
Aménager le parcours en supprimant les obstacles pouvant poser nante car la protection des hommes et des biens figure depuis plu-
problème, installer des dispositifs sur lesquels l’alpiniste pourra sieurs années parmi les premières préoccupations des industriels.
prendre appui sont des mesures qui n’auront pas spécialement Les enseignements tirés de chaque accident majeur (retour
d’impact sur la gravité de la chute mais qui vont concourir à réduire d’expérience) ont conduit l’administration à renforcer la réglemen-
sa probabilité. tation. La directive Seveso (1982), établie après l’accident dans la
La figure 1 illustre ces différentes définitions relatives au risque. localité du même nom, a rendu obligatoire, pour chaque installation
Dans tous les cas, que ce soit pour notre alpiniste ou dans le relevant de ce texte, la réalisation par l’exploitant d’une étude de
monde industriel, l’objectif est de réduire le risque à un niveau dangers devant définir les risques de l’installation et le conduisant à
acceptable. Ce niveau d’acceptabilité du risque est d’ailleurs très mettre en place les mesures apparaissant nécessaires pour attein-
variable entre, par exemple, le risque « accepté » et pourtant élevé, dre un niveau de sécurité acceptable.
lié à la conduite automobile et le risque plus faible, mais « subi » par Le risque zéro n’existant pas, la directive impose également la
les riverains, suite à l’implantation d’une unité chimique à proximité mise en place d’un Plan d’Opération Interne (POI) qui, à partir des
d’habitations. Ce niveau d’acceptabilité est aussi fonction des diffé- scénarios d’accident envisageables, définit les moyens dont
rences culturelles, la mortalité étant, par exemple, très différem- l’exploitant doit disposer pour faire face à la survenance de ces scé-
ment perçue dans certains pays par rapport au traumatisme qu’elle narios. Ces moyens sont des moyens internes tels que véhicules
engendre en Europe. incendie, pompiers professionnels (pour les sites importants) ou
AG 4 600 − 2 © Techniques de l’Ingénieur, traité L’entreprise industrielle
24
SE3910
Gestion des risques professionnels
par Gérard AUBERTIN

1
Institut national de recherche et de sécurité (INRS), Direction du Centre de Lorraine
Eric DRAIS
INRS, Département « Homme au travail »
et Marc FAVARO
INRS, Département « Homme au travail »
Dossier coordonné par Alain MAYER, chargé of European Missions, INRS
1. Management de la santé et de la sécurité au travail ................... SE 3 910 - 2

1.1 Origine et fondements ............................................................................... — 2
1.2 Systèmes de management de la santé et de la sécurité au travail
(SMS) .......................................................................................................... — 3
1.3 Apports et limites des dispositifs de gestion de la S&ST....................... — 5
1.4 Inscrire la sécurité au cœur du mouvement : mise en place d’un SMS — 7
1.5 Conclusion et perspectives ....................................................................... — 11
2. Indicateurs et tableaux de bord de sécurité ................................... — 12
2.1 Définition et typologie des indicateurs .................................................... — 12
2.2 Méthodologie de conception d’indicateurs ............................................. — 12
2.3 Conditions favorables à la mise en place d’indicateurs ......................... — 14
2.4 Risques associés aux indicateurs et tableaux de bord ........................... — 14
2.5 Rôle et utilisation du tableau de bord ...................................................... — 14
2.6 Exemples d’indicateurs ............................................................................. — 14
Pour en savoir plus ........................................................................................ Doc. SE 3 910
l’instar des transformations des entreprises et de leur environnement, la

À gestion de la santé-sécurité au travail a fortement évolué depuis les
années 1980. Si la santé-sécurité au travail a pu être inscrite de longue
date dans les politiques et programmes de nombre d’entreprises, elle a pris
de nouvelles formes qui obéissent globalement à un mouvement
de diffusion générale d’outils de gestion dans les entreprises et une uniformi-
sation de cette gestion. Accessible à tous les types d’entreprises, intégré à la
stratégie, le management de la santé-sécurité en ressort renforcé, à condition
qu’il soit bien rapporté aux pratiques de métiers et aux risques réels, ren-
contrés en situation...
L’atteinte d’objectifs de progrès durables de prévention en santé et sécurité
au travail (S&ST) nécessite que les diverses actions conduites par les entre-
prises s’inscrivent dans une politique de sécurité structurée et coordonnée. Si
l’on admet en outre que la prévention doit être gérée au même titre que les
autres activités de l’entreprise (production, commercial, financier), notamment
par la mise en place de systèmes de management de la sécurité (§ 1), il est
nécessaire de produire et d’utiliser ces informations spécialisées que sont les
indicateurs. Au-delà de leur usage comme outils de gestion opérationnels, les
indicateurs contribuent également à développer les compétences des agents et
l’échange de bonnes pratiques entre les entités de l’entreprise.
Parution : octobre 2007
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. SE 3 910 – 1
25
SE3910
GESTION DES RISQUES PROFESSIONNELS _______________________________________________________________________________________________
1. Management de la santé Outillé par de nombreux référentiels de gestion des risques (déve-
loppés dans différents domaines : environnement, social, etc.) et
et de la sécurité au travail assisté par informatique, il fournit un cadre de gestion qui structure
des procédures, des moyens et des indicateurs de pilotage pour
l’ensemble de l’entreprise et de ses préoccupations : risques indus-
triels, risques professionnels... On parle ainsi d’intégration des sys-
1.1 Origine et fondements tèmes de management au sein de l’entreprise, voire de système de
management global. L’adoption de tels systèmes de management
1 1.1.1 De nouvelles formes de gestion de la S&ST

1.1.1.1 Produit d’une évolution historique de la gestion
est considérée comme l’expression d’une approche globale et ges-
tionnaire de la prévention.
Nota : on pourrait se demander si cette approche gestionnaire de la prévention ne
de la prévention constitue pas un quatrième niveau ou stade de développement de la prévention. Mais
pour nous, cette question ne se pose pas dans la mesure où cette gestion ressort plus
Les modes de gestion actuels de la santé-sécurité sont d’abord le d’une modalité que d’une finalité nouvelle de prévention.
fruit de la progression historique des approches de prévention en
sûreté-sécurité, conduisant d’approches techniques à une approche Deux enquêtes conduites depuis 2002 par l’Institut national de
organisationnelle de la prévention, en passant par une prise en recherche et de sécurité (INRS) et les caisses régionales d’assu-
compte du facteur humain. C’est d’ailleurs à partir de ce moment, rance maladie (CRAM) auprès de 175 entreprises engagées dans la
que la gestion de la sécurité est devenue au sens propre manage- mise en place de systèmes de management de la santé et de la
ment (en tant que technique de gestion des hommes). sécurité au travail (SMS) ont pu vérifier le développement de ces
démarches après 1998/1999 en lien étroit avec le développement
Historiquement et traditionnellement, la gestion technique est le de normes ou référentiels externes.
premier et principal registre d’action en matière de prévention.
Quels que soient les domaines (mécanique, chimie, etc.), de la 1.1.1.2 Démarches au caractère normatif
machine à vapeur jusqu’à la génétique, l’histoire des techniques et
des procédés montre bien que l’introduction de nouvelles technolo- Après leur usage dans les domaines techniques, juridiques ou
gies s’est toujours accompagnée prioritairement d’efforts impor- économiques, les normes ont gagné le domaine de la gestion
tants pour fiabiliser la machine ou le produit, avant d’envisager des comme en témoignent – parmi d’autres – les séries 9 000 et 14 000
améliorations quant à l’utilisation de ces machines ou produits. des normes ISO qui définissent des exigences d’organisation en
matière de politique qualité ou d’environnement. Les modes de ges-
Nota : l’enjeu de la prévention réside là dans la maîtrise technique des aléas et autres tion des risques ont été gagnés progressivement par cette approche
dysfonctionnements pour réduire les dangers, les expositions et leurs conséquences. Les
actions engagées relèvent de l’établissement de mesures de protection (carter, court- de plus en plus normative, au sens fort du terme. Même si le prin-
circuit, fournitures d’équipements, consignes, etc.) et de contrôle de l’efficacité de ces cipe de la création d’une norme internationale dans le domaine de
protections (statistiques, respect des procédures...). Elles font appel à des compétences la S&ST a été rejeté à plusieurs reprises (en 1996 et 2000), des réfé-
techniques réparties entre diverses fonctions (bureaux d’études, maintenance, travaux,
production...). Cette gestion technique reste fondamentale compte tenu du renouvelle-
rentiels constitués en guides, spécifications ou principes directeurs
ment permanent des outils et technologies de production. Son importance dépend de la ont été réalisés et diffusés selon cette approche.
place qu’occupent ces outils ou technologies au sein du process de production.
Au-delà du statut de norme ou non, retenons surtout que ces
Le second registre de gestion concerne les conditions d’action approches sont normatives car, quels que soient les référentiels de
des opérateurs avec ces machines, produits ou outils : connue sous management, ceux-ci sont porteurs d’une conception générique de
des appellations diverses comme « fiabilité humaine » ou « facteur l’entreprise et de sa gestion. La plupart des systèmes de manage-
humain », autour de questions d’interaction et d’interface, cette ment sont sous-tendus par des modélisations en matière d’organi-
perspective est apparue dans un deuxième temps, essentiellement sation, qui renvoient à des conceptions générales ou des standards
développée à partir des années 1960 en profitant des progrès des quels que soient les domaines où ils s’appliquent. La structuration
sciences sociales et médicales. La gestion afférente s’est dévelop- type des programmes de management (politique, objectifs, plans
pée sur la prise en compte des caractéristiques physiques, psycho- d’action, contrôle, actions correctives, etc.) est un exemple de ce
logiques et cognitives des personnes et des performances au poste cadre de gestion prescriptive. L’incontournable retour d’expérience
de travail, à travers notamment la surveillance des normes ergono- est une autre illustration de ces pratiques générales.
miques, des programmes de formation à l’hygiène et la sécurité, Plus encore, cette gestion est normative dans le sens où elle érige
des dispositions particulières (gestion des âges, etc.). Avec une ses modèles en normes « universelles ». Ces modèles, qui véhi-
intervention sur l’Homme et l’organisation du travail (procédés, pro- culent un idéal type de gestion, imposent leur logique à la totalité
cédures), la gestion de la prévention s’affirme alors comme mana- des compartiments de la vie de l’entreprise. Ainsi la boucle d’amé-
gement. lioration continue, qui témoigne des conditions d’une dynamique
Le troisième registre de gestion qui assoit définitivement le mana- vertueuse du système, s’impose comme le principe de base d’une
gement de la prévention concerne l’organisation dans son ensemble bonne gestion (normale). Ces modèles deviennent des « bons
(et située dans un environnement) : structures, rôles, responsabilités, modèles » quelles que soient les domaines d’application. Ainsi, plus
comportements... Dernier niveau de préoccupation apparu dans le qu’une norme gestionnaire, la norme devient une norme sociale,
temps (années 1980), ce registre de gestion témoigne d’une extension une référence absolue, quitte à sortir de son lieu de développement.
du périmètre d’analyse et d’intervention de la sécurité, considérée Le principe « écrire ce que l’on fait et faire ce que l’on écrit » est un
comme la partie d’un tout. Les notions de « fiabilité des systèmes », autre exemple d’une « bonne façon de faire » qui colonise la gestion
« culture de sûreté », « risques organisationnels », témoignent de quelles que soient les activités. Ces normes tendent ainsi à une uni-
cette préoccupation faisant appel aux sciences de gestion, à la socio- formisation et une standardisation des pratiques entre entreprises
logie et autres sciences politiques, réunies autour de la théorie des et entre secteurs de l’entreprise.
systèmes.
Le management de la sécurité s’inscrit dans cette perspective de 1.1.2 Des principes de gestion communs
gestion globale de l’entreprise et des registres de prévention. à d’autres politiques
Nota : notons que cette perspective de gestion globale des risques est concomitante Les systèmes de management de la santé-sécurité, en tant que
à l’évolution du contexte juridique en matière de santé-sécurité au travail (loi no 91-1414 dispositifs de gestion des risques professionnels adoptent des
du 31 décembre 1991, art. L236), qui, après la réglementation technique puis l’intégration caractéristiques communes à d’autres dispositifs de gestion ou
de la sécurité, fait état d’une obligation pour le chef d’établissement de satisfaire à une
démarche globale de prévention avec une obligation générale de résultats (et non plus d’autres approches des risques. Ces points communs du manage-
seulement de moyens). ment actuel des risques sont les suivants.

SE 3 910 – 2 est strictement interdite. – © Editions T.I.
26
SE3910
_______________________________________________________________________________________________ GESTION DES RISQUES PROFESSIONNELS
■ Une approche « système » 1.2 Systèmes de management de la santé

Les démarches de management actuelles s’inscrivent dans l’héri- et de la sécurité au travail (SMS)
tage de la théorie des systèmes appliquée aux théories des organi-
sations. Dans ce cadre, la gestion conçoit l’organisation comme Toute organisation définit et met en place un dispositif plus ou
l’interaction de multiples structures, outils, règles, acteurs... réunis moins complet et plus ou moins organisé lui permettant de gérer
autour de processus en vue d’objectifs définis. À ce titre, la sécurité ses risques professionnels. On considère généralement qu’une
(comme la qualité ou autre domaine de performance) ne se réduit entreprise a mis en place un système de management de la S&ST
1
pas à une fonction isolée. Au contraire, elle résulte d’une action sur lorsqu’elle a mis en place un dispositif de gestion sur la base d’un
tous les services et fonctions de l’organisation qui contribuent direc- référentiel explicite et que ce dispositif permet à l’entreprise de pro-
tement ou non à la production. L’enjeu, c’est l’interdépendance de gresser de façon continue par capitalisation d’expérience. Un sys-
l’organisation et non seulement la bonne exécution d’activités pré- tème de management de la santé et de la sécurité au travail peut
cises. Dans cette conception, la sécurité doit être vue comme la ainsi être défini comme un dispositif de gestion combinant person-
résultante de l’interaction de sous-systèmes autour des processus nes, politiques, moyens et visant à améliorer la performance d’une
de l’entreprise. D’où l’importance du management. entreprise en matière de S&ST. C’est un outil au service de l’entre-
prise devant lui permettre de mieux maîtriser son organisation.
■ L’analyse des processus et entités Dans un premier paragraphe, on situera le rôle des référentiels,
Pour modéliser l’organisation et ses lieux de convergence, le à la fois outil de structuration d’une démarche et contrainte plus
concept central en gestion est celui de processus, défini comme ou moins acceptée, dans la gestion des risques. On précisera
« une suite d’activités ou d’opérations ordonnées en vue d’obtenir ensuite les différents types de référentiels existants et on montrera
un résultat défini ». Les processus sont censés concerner ou l’intérêt de construire son propre référentiel. Enfin, on décrira le
reprendre toutes les fonctions de l’entreprise, qu’elles soient de contenu d’un référentiel type.
fabrication, vente, administration... L’approche par les processus
permet une rationalisation de l’organisation ; elle ordonne les
situations et les activités en définissant des niveaux logiques de
1.2.1 Construire son référentiel de management
rapprochement des relations entre elles. Au niveau le plus fin de Les démarches de maîtrise des risques peuvent être menées
l’analyse, on utilise la notion d’unité (de travail, de risque...) qui directement à partir des objectifs que l’entreprise s’est fixée ou en
sert en particulier à l’évaluation des risques. L’exercice de descrip- s’appuyant sur des normes et référentiels externes.
tion et de modélisation a souvent pour effet d’extraire et formaliser
les pratiques existantes (là où avant, les procédés étaient souvent Dans le premier cas, l’entreprise identifie les différents risques
informels et multiples) ; il contribue à ce titre à une uniformisation auxquels elle est soumise (risques professionnels, risques straté-
des pratiques et une « transparence » de l’organisation. giques, opérationnels, financiers...) puis construit et met en place
un dispositif pour en assurer la maîtrise. Le dispositif est adapté à
■ Une gestion a priori et non plus a posteriori la situation de l’entreprise mais nécessite un travail important.
La gestion traditionnelle de la sécurité était structurée essentiel- Nota : le risque est alors défini comme la potentialité qu’un objectif ne soit pas
atteint.
lement autour de contrôles et de mesures a posteriori. La dimen-
sion managériale de la sécurité se forge davantage sur une gestion La deuxième approche part d’un standard considéré à un
a priori. À l’inverse des contrôles statistiques ou de conformité qui moment donné et par une communauté donnée comme étant
ne sont pas centrés sur les risques et peuvent nuire à l’activité, la l’état de l’art d’une bonne gestion. Cette approche est par nature
gestion a priori impose le respect de certaines exigences « normative » dans la mesure où elle structure la façon de résou-
considérées comme des fondements d’un fonctionnement sûr et dre un problème ou tout du moins restreint le champ des pos-
sécure. Avec l’assurance de la qualité, la qualité est ainsi sortie du sibles. Elle peut être imposée (voire subie) par une entreprise
seul et coûteux contrôle ; elle est devenue un contrat établi entre donneur d’ordre. Il existe un risque que le référentiel externe
l’entreprise et ses clients, stipulant un niveau de prestation qu’elle adopté par l’entreprise la guide vers des solutions qu’elle n’aurait
s’engage à réaliser. Pour la sécurité, la mesure des résultats est pas adoptées si elle avait géré ses risques sans a priori. Bien sûr,
ainsi complétée par des mesures de l’organisation même de la les normes intègrent les concepts d’objectifs et dans une certaine
prévention (processus, procédures, rôles, responsabilités...), four- mesure ceux de risques mais la tentation peut être grande de
nissant autant d’indicateurs prédictifs (vs réactifs) car situés en considérer le référentiel comme une fin en soi et non comme un
amont et rapportés directement à des moyens d’amélioration de la simple guide et donc entraîner un formalisme et une rigidité exces-
sécurité (§ 2). sive, conduire à la mise en œuvre de dispositifs non adaptés ou
surabondants, voire dans le pire des cas d’aller à l’encontre des
■ Une analyse probabiliste des risques et non plus déterministe objectifs de l’entreprise. En contrepartie, l’entreprise dispose d’un
Conjointement à cette gestion a priori des risques, les techniques outil structuré lui servant de référence pour la conception et la
et outils de gestion évoluent vers une approche probabiliste des ris- mise en œuvre de son dispositif.
ques. L’approche traditionnelle de la sûreté-sécurité s’appuyait sur En fait, l’entreprise a tout intérêt à établir son propre référentiel
des mesures de protection prises par rapport à un calcul au plus en fonction des exigences en « santé et sécurité au travail » qu’elle
précis des risques identifiés. L’approche probabiliste suggère, elle, se fixe comme objectif, et du niveau de ces exigences en adaptant
que le risque (industriel, professionnel) ne peut être isolé de son les référentiels existants. Ce choix est fonction de critères propres
contexte ; il doit être considéré dans ses dimensions multiples (éco- à l’entreprise : sa taille, son domaine d’activité, sa culture sécurité,
nomiques, techniques, sociales, environnementales...). Cela sup- l’existence de systèmes semblables (qualité, environnement)...
pose d’accepter des probabilités non plus considérées dans l’absolu
mais en relativité. La gestion de la sécurité s’opère alors sur la base
d’estimations de probabilités qui peuvent être multiples, avec des 1.2.2 Référentiels de management
marges, nonobstant la recherche d’une spécifique et définitive
quantification (qui condamnait de fait la prévention à cette seule Les principaux « référentiels » existants dans le domaine de la
connaissance du risque). Aussi, le risque ne peut plus en effet être S&ST peuvent être schématiquement regroupés en quatre
abstrait de son contexte et traité de manière indépendante : il catégories :
suppose au contraire une analyse dynamique ; il demande à être – des guides généraux de bonnes pratiques : ILO/OHS 2001 (éla-
réévalué de façon continue. Il s’accompagne ainsi d’un arbitrage boré par l’Organisation internationale du travail), BS 8800 (norme
permanent quant aux mesures de protection. britannique)... ;

27
SE3910
GESTION DES RISQUES PROFESSIONNELS _______________________________________________________________________________________________
Encadré 1 – Exigences d’un référentiel minimum

pour PME Analyse initiale
Premier diagnostic de la situation
■ Politique de prévention
– Lettre d’engagement de la direction Politique de prévention
– Nomination d’un animateur en prévention des risques Engagement Moyens
1 professionnels
■ Organisation
Objectifs Référentiels
– Définition des fonctions en y intégrant les critères de Organisation

santé et sécurité au travail Structure Responsabilités
Compétences Veille
– Rédaction de quelques procédures S&ST : accueil des
nouveaux arrivants et formation au poste, méthodologie
d’analyse d’accidents, vérifications périodiques, achat d’un
équipement de travail ou d’un produit... Planification
Bonnes pratiques de prévention
■ Planification Prévision des ressources SMS
– Évaluation des risques professionnels (EvRP) Identification des dangers
Appréciation des risques S&ST EvRP
■ Mise en œuvre et fonctionnement Élaboration du document unique
Programme d’actions S&ST
– Programme d’actions en santé et sécurité au travail
– Plan de formation S&ST (caristes, habilitations électri-
ques, sauveteurs secouristes du travail...)
Mise en œuvre et fonctionnement
■ Contrôles et actions correctives
Innovation Dialogue social
– Choix et utilisation des indicateurs S&ST Reporting Communication
– des référentiels généraux certifiables tel l’OHSAS 18001 (éla- Mesure de la performance
boré par des organismes de normalisation nationaux et des orga- Analyse des AT et MP Audits techniques
nismes privés mais sans statut de norme) ; Indicateurs
– des référentiels orientés vers les relations entreprises extérieu-
res/entreprises utilisatrices ;
– des référentiels spécifiques élaborés par et pour l’entreprise ou Amélioration du système
le secteur d’activité. Audits système
Le guide ILO/OHS 2001 de l’OIT (Organisation internationale du

travail) a cette particularité intéressante qu’il a été adopté par les
partenaires sociaux. Il met fortement l’accent sur la participation
AT : accidents du travail MP : maladies professionnelles
des salariés et la concertation avec les structures représentatives
du personnel.
Le choix d’un référentiel unique n’est pas un passage obligé. Figure 1 – Les SMS : un dispositif d’apprentissage
Ainsi l’entreprise peut combiner les caractéristiques de différents
référentiels indépendamment du fait que ceux-ci puissent servir de
base à une certification ou non. le management S&ST soit plus ou moins perçu comme un simple
Les PME optent souvent pour une démarche progressive avec, « kit » à monter.
pour première étape, un référentiel minimum et personnalisé, qui La structure de ces dispositifs est apparemment proche de celle
leur permet d’enclencher le processus de progression permanente proposée pour les systèmes qualité ou environnement pouvant
(voir encadré 1). laisser croire que la gestion de la S&ST peut s’assimiler à celle de
ces autres dispositifs. La suite du texte montrera que les spécifi-
1.2.3 Éléments d’un SMS cités de l’objet à gérer font que leur mise en œuvre est particulière.
Le modèle type présenté ci-après se compose de six éléments.
Les référentiels de management décrivent un modèle de mana-
gement en le décomposant en éléments en interaction. Selon le 1.2.3.1 Politique S&ST
référentiel, le nombre et l’intitulé de ces éléments peut changer
La définition d’une politique S&ST permet de fixer le cadre du
quelque peu mais globalement, ils structurent les systèmes de
dispositif de management S&ST. Elle n’a de sens que si elle
management selon une même logique. Cette logique est basée sur
repose sur une réelle volonté du chef d’entreprise de s’engager
le concept d’amélioration continue selon lequel l’entreprise amé-
dans la démarche et de faire progresser l’entreprise de façon régu-
liore son fonctionnement grâce à la mesure de ses performances
lière. Elle implique :
et à la mise en œuvre de dispositifs d’amélioration réactifs ou
anticipateurs (figure 1). Cette décomposition est évidemment une – la définition d’objectifs cohérents avec les autres politiques de
modélisation simplifiée du fonctionnement d’une entreprise, la l’entreprise ;
réalité étant bien plus complexe. Le principal intérêt de cette pré- – la fixation des responsabilités de l’encadrement de direction ;
sentation est de faciliter la compréhension du dispositif (rôle péda- – l’engagement de mise à disposition de ressources ;
gogique) et de faciliter les échanges soit en interne soit en externe – la définition de dispositifs de consultation et d’implication des
lorsque l’entreprise doit démontrer sa capacité à maîtriser son pro- personnels et IRP (instances représentatives du personnel) ;
cessus S&ST. Un des inconvénients de cette présentation est que – le cadre général de pilotage du projet de mise en œuvre ;

28
AG4650
Système de management de la sécurité :

mise en place sur site
1
par Bernard CHARAVEL
Ingénieur de l’École supérieure de chimie de Marseille (ESCM) et de l’Institut
de pétroléochimie et de synthèse organique (IPSOI), docteur en sciences physiques
Ancien directeur sécurité, environnement, hygiène industrielle de Rhône-Poulenc Agro
Ancien Corporate Manager of Safety and Environment d’Aventis CropScience
1. Nécessité de la mise en place d’un SMS........................................... AG 4 650 - 2

1.1 Démarche volontaire et création de valeurs.............................................. — 2
1.2 Prérequis ...................................................................................................... — 3
1.3 SMS et réglementation locale .................................................................... — 3
1.4 SMS dans l’entreprise ................................................................................. — 3
2. Aspects organisationnels ...................................................................... — 4
2.1 Organigramme du site ................................................................................ — 4
2.2 Responsable ou coordinateur sécurité ...................................................... — 4
2.3 Engagement de la direction........................................................................ — 4
2.4 Définition de fonctions ................................................................................ — 5
2.5 Objectifs........................................................................................................ — 5
2.6 Formation du personnel et de l’encadrement........................................... — 8
2.7 Comité ou représentants sécurité (HSE).................................................... — 8
2.8 Préparation aux situations d’urgence ........................................................ — 8
2.9 Communication ........................................................................................... — 8
2.10 Documentation ............................................................................................ — 9
3. Mesure des performances ..................................................................... — 9
3.1 Indicateurs.................................................................................................... — 9
3.2 Analyse des accidents/incidents................................................................. — 10
3.3 Mesure des écarts. Actions correctives ..................................................... — 12
4. Revues de direction................................................................................. — 15
5. Vers l’amélioration continue des performances ............................. — 15
Pour en savoir plus ........................................................................................... Doc. AG 4650
es activités industrielles n’échappent pas au besoin de sécurité qui a tou-

L jours habité les hommes et les sociétés, plus ou moins ressenti suivant les
époques et les types d’activités. Le besoin de travailler en toute sécurité peut
être perçu de différentes manières selon que l’on évoque des activités telles que
le nucléaire, la production d’explosifs, la chimie ou bien d’autres activités appa-
remment moins dangereuses comme les transports, le bâtiment ou la
mécanique. Et pourtant, les statistiques nationales montrent qu’il existe de gran-
des différences en matière d’accidents du travail entre ces activités. À titre
d’exemple, le taux de fréquence des accidents du travail avec arrêt (TF1) pour
toute l’industrie française est d’environ 25, avec un taux de 45 à 50 pour les acti-
vités BTP et seulement de 10 pour la chimie, avec quelques leaders comme
Rhône-Poulenc, Rhodia et DuPont (TF1 allant de 3 à 0,3).
Pourquoi une telle disparité ? Nonobstant la dangerosité de certaines activités,
Parution : janvier 2002
il est un fait certain que les entreprises obtenant les meilleurs résultats de sécu-
29
AG4650
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ : MISE EN PLACE SUR SITE _________________________________________________________________________
rité sont celles qui ont pris conscience de la nécessité de s’occuper de sécurité à
tous les niveaux et dans tous les domaines. Elles ont pour la plupart mis en place
des systèmes de management de la sécurité (SMS) faisant partie intégrante du
management global.
Il est extrêmement rare de voir de nos jours des entreprises ou des sites indus-
triels qui ne se sentent pas concernés par les questions de sécurité, mais il est
beaucoup plus courant de voir certaines de ces entreprises ne prendre en
1 compte qu’une partie du problème, très souvent la « partie visible de l’iceberg »
et d’être confrontées un jour à un accident grave que personne n’avait prévu.
L’objectif de cet article est de donner le minimum d’informations nécessaires,
jugées indispensables à qui dirigeant d’entreprise, responsable de site, respon-
sable sécurité, veut mettre en place un système de management de la sécurité
global, simple, efficace, qui conduira certainement l’entreprise à une améliora-
tion continue de ses résultats.
Alain Gayon, dans l’article AG 4 600, démontre clairement l’importance de la
sécurité dans les entreprises. Nous allons ici exposer les moyens pour y parvenir
à travers la mise en place d’un système de management intégré à la marche de
l’entreprise et/ou du site industriel.
1. Nécessité de la mise Un accident peut arriver à n’importe quel stade du processus

industriel et pas seulement au stade de la production, mais aussi
en place d’un SMS dans les autres étapes telles que la livraison et le stockage des
matières premières et des produits finis, les opérations de mainte-
nance, le transport et l’utilisation des produits finis, etc. Le système
de management de la sécurité doit donc s’attacher à analyser tous
Le principe de base d’un système de management de la sécu- les aspects des processus concernant l’activité industrielle.
rité (SMS) est de se préparer à l’éventualité de tout accident.
La notion de sécurité est trop souvent associée à une situation où 1.1 Démarche volontaire et création
tout accident est totalement impossible. Le dictionnaire Larousse en
donne même la définition suivante : « sécurité : situation où l’on n’a
de valeurs
aucun danger à craindre ». Cette définition est trop restrictive car
elle ne correspond pas à ce concept de management retenu par les
principales sociétés industrielles. La notion de sécurité dans les entreprises a fortement évolué ces
dernières années. Dans les années 1960, la sécurité était perçue
De nombreux exemples montrent clairement que des accidents comme une contrainte imposée par les organismes extérieurs,
sont arrivés alors que les acteurs industriels pensaient être en totale essentiellement administratifs, chargés de mettre en œuvre des
sécurité. Citons quelques cas d’une liste extrêmement longue de réglementations et très souvent interprétées par l’industriel comme
catastrophes survenues au XXe siècle : coûteuses et sans valeur ajoutée par rapport à une assurance.
– naufrage du Titanic en 1912 ;
– Challenger en 1986 (explosion de la navette américaine au Fort heureusement, ces contraintes administratives existent tou-
décollage) ; jours pour certaines activités industrielles dites à risques et sont
incontournables. À titre d’exemple, la nouvelle directive Seveso II
– Flixborough au Royaume-Uni en 1974 (incendie causé par une (2000) impose aux sites concernés de mettre en place un système
fuite de cyclohexane) ; de management de la sécurité [AG 4 600].
– Three Miles - Island en 1979 (émissions radioactives dans une
centrale nucléaire américaine) ; Depuis les années 1980, les analyses d’accidents avec leurs con-
séquences directes et indirectes ont clairement fait apparaître que la
– Bhopal en Inde en 1984 (fuite de méthyl isocyanate) ;
plupart des accidents peuvent être évités si un minimum de moyens
– Tchernobyl en Ukraine en 1986 (explosion d’un réacteur techniques et/ou organisationnels sont mis en place. Le coût d’un
nucléaire) ; accident, pour une entreprise, est très largement supérieur à ce que
– Sandoz en Suisse en 1984 (incendie d’un magasin de stockage) ; n’importe quelle compagnie d’assurance peut garantir pour ce type
– Mexico (explosion de type BLEVE – boiling liquid expansion d’accident. On estime à 10 % environ du coût total d’un accident
vapor explosion – survenu sur un stockage de propane liquéfié) ; (coûts direct + coûts indirects) la somme remboursée par une com-
pagnie d’assurance suite à un accident grave. De plus, les consé-
– port Herriot sur le Rhône à Pierre-Bénite en 1989 (incendie puis quences d’un accident pour une entreprise sont parfois très
explosion de cuves de stockage d’hydrocarbures). sérieuses, pouvant entraîner sa disparition pure et simple.
L’article [SE 1 045] analyse certains de ces accidents, en donne les Exemple : l’accident de Bhopal en 1984 a entraîné la disparition de
causes et les conséquences. la compagnie Union-Carbide.
L’analyse de ces accidents montre qu’un minimum de manage-
ment aurait très certainement réduit leur probabilité d’occurrence. Ainsi, maîtriser les risques accidentels revient à diminuer les
Nota : le Bureau des analyses des risques de pollution industrielle (BARPI), qui dépend pertes humaines et financières, en limitant l’atteinte à l’intégrité
du ministère de l’Industrie, analyse pour la France la plupart des accidents survenus dans des personnes et en évitant un déficit d’image de marque et des
les activités industrielles, qu’il s’agisse d’industries de procédé, de transports ou d’indus-
tries manufacturières.
pertes de parts de marchés.
30
AG4650
________________________________________________________________________ SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ : MISE EN PLACE SUR SITE
15
13,8
12,8 12,8
12,3
12
12 11,6
7,2 7,2
8 1
6
5,1 5 5
3
3 2,6
2,1
1,3
1 1
0,6
0,3 0,28
0
1993 1994 1995 1996 1997 1998 1999
TF1 TF2 ROP/CA %
ROP résultats opérationnels

Figure 1 – Résultats sécurité et économiques
CA chiffre d'affaires de Rhône-Poulenc Agro entre 1993 et 1999
À partir de ces constatations, la mise en place d’un système de 1.3 SMS et réglementation locale
management de la sécurité (SMS) intègre aujourd’hui une nouvelle
notion qui est celle de la création de valeur. Il est très généralement
admis aujourd’hui qu’un SMS efficace et optimal contribue à La globalisation et la distribution mondiale des produits entraîne
l’amélioration de la rentabilité de l’entreprise. Cela est confirmé par aujourd’hui une internationalisation des sites de production. Un
une étude réalisée en 1994 par le Centre européen des fabrications SMS quel qu’il soit ne peut ignorer les réglementations locales aux-
de l’industrie chimique (CEFIC) qui montre clairement qu’il existe quelles l’industriel doit se soumettre.
une relation entre la rentabilité propre d’une entreprise et les taux Si une réglementation existe dans le pays concerné et que certai-
de fréquence des accidents (TF1, TF2, § 3.1) : les entreprises les plus nes demandes sont plus contraignantes que le système développé,
performantes économiquement sont celles qui ont les meilleurs c’est la réglementation locale qui s’applique.
résultats de sécurité. Une étude analogue aux États-Unis réalisée
par le Chemical Manufacturers of America (CMA) confirme ces Si aucune réglementation locale n’existe ou si cette réglemen-
résultats. tation est moins contraignante que le système de management
défini par l’entreprise, c’est ce dernier qui s’applique.
Il en va de même pour l’amélioration des résultats économiques
qui suivent très sensiblement l’amélioration des résultats de sécu- Les recommandations données par la suite pour l’établissement
rité (figure 1). Cette corrélation tient au fait que la mise en place d’un d’un SMS sur un site industriel doivent être considérées comme exi-
SMS est étroitement liée au management global de l’entreprise. gences minimales dans les cas où aucune réglementation locale ne
Bien manager la sécurité équivaut à bien manager l’entreprise et vient s’ajouter ou se substituer à celle-ci.
réciproquement. C’est pourquoi certaines entreprises, comme
DuPont (États-Unis) considèrent que les performances de sécurité
doivent être prises comme indicateur prioritaire. 1.4 SMS dans l’entreprise
Le système de management de la sécurité s’apparente de très

1.2 Prérequis près au système de management de la qualité totale (SMQT), que
l’on trouve aussi très souvent sous l’appellation anglo-saxonne de
total quality management (TQM). En sécurité, la non qualité est un
L’entreprise, convaincue de la nécessité de la mise en place d’un
dysfonctionnement qui peut conduire à un accident.
SMS, doit s’assurer que les points suivants sont bien pris en
compte : En effet, qu’est ce qu’un accident ? Nous pourrons admettre la
— connaissance exhaustive de l’ensemble des risques d’acci- définition suivante : « événement subit, indésirable, résultant de la
dents dus à toutes les activités du site ; combinaison d’un certain nombre de causes, pouvant entraîner des
— mise en place des moyens nécessaires pour en diminuer la pertes humaines (fatalités, atteinte à l’intégrité des personnes),
gravité et la probabilité d’occurrence à un niveau acceptable ; matérielles (destruction d’appareils, perte de production, produit
— réaction possible dans les plus brefs délais en cas de situation non conforme), environnementales (pollution accidentelle remédia-
accidentelle ; ble ou non, nuisances) ou économiques (perte de parts de marché,
— mise en place d’un système de communication interne et atteinte de l’image de marque), chez le producteur ou chez un client
externe et un système de formation approprié ; (mauvaise utilisation du produit) ».
— objectifs fixés à court, moyen et long termes, prenant en Et comment estimer si un accident peut survenir ou pas ? C’est la
compte les résultats obtenus, avec comme principe l’amélioration notion de risque accidentel qui prend en compte la probabilité
continue des performances. d’occurrence (§ 3.3.1.4).
31
AG4650
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ : MISE EN PLACE SUR SITE _________________________________________________________________________
Le terme de sécurité englobe en fait un ensemble communément tion sur les principes de base qu’il faut absolument suivre si l’on
appelé HSE pour hygiène, sécurité, environnement : veut obtenir un système de management efficace et bénéfique pour
— hygiène : risques pour la santé, suite à des expositions chroni- le site et pour l’entreprise.
ques pour les personnes travaillant sur le site industriel ou pour les
utilisateurs des produits commercialisés ;
— sécurité : risques accidentels, sur les personnes, les biens et
l’environnement ;
2. Aspects organisationnels
1
— environnement : protection de l’environnement immédiat ou
lointain vis-à-vis des émissions chroniques du site. Dans un premier temps, il est nécessaire de clarifier l’organi-
gramme du site (§ 2.1) et de nommer un responsable (§ 2.2). L’enga-
Certaines entreprises de dimension internationale ont développé gement de la hiérarchie, et de la direction en particulier, à tous les
et mis en place des SMS types qu’ils proposent sur le marché. niveaux est essentiel (§ 2.3). La mise en place du SMS suppose non
Exemples : seulement de définir les fonctions de chacun (§ 2.4) et de fixer les
objectifs (§ 2.5), mais aussi d’établir le système de formation qui
■ DuPont propose les produits suivants : l’accompagne (§ 2.6).
— système de management basé sur douze éléments considérés
comme fondamentaux ;
— STOP (safety training observation program), basé sur l’étude du 2.1 Organigramme du site
comportement des opérateurs ;
— BST (behaviour safety training) basé aussi sur le comportement ;
■ DNV (Der Norske Veritas) développe et commercialise des systè- Un organigramme du site montre les fonctions et services, avec le
mes intégrés de management : ISRS (International Safety Rating Sys- nom des responsables. La fonction de chaque personne et le ratta-
tem) [1], IERS (International Environment Rating System), IQRS chement à sa hiérarchie doivent apparaître dans l’organigramme.
(International Quality Rating System). Dans le cas d’un site important, l’organigramme peut être en plu-
sieurs parties : un organigramme montrant l’ensemble du site et un
D’autres entreprises ont développé leur propre système de mana- organigramme détaillé pour chaque fonction et/ou service.
gement.
Sur tout document concernant l’organigramme doivent figurer la
■ Rhône-Poulenc : SIMSERP, système intégrant le management de la date de mise à jour ainsi que la signature du responsable hiérarchi-
sécurité et de l’environnement chez Rhône-Poulenc, composé de que, chef d’établissement ou chef d’entreprise pour un organi-
vingt-quatre éléments. gramme général de site, chef de service pour un organigramme de
fonction ou de service.
■ Rhodia : 3 R HSE, règles et recommandations de Rhodia pour le
management HSE. Les différents postes sont décrits dans des notes de définition de
fonction qui doivent inclure l’aspect « sécurité ».
■ Groupe SNPE : système de management constitué autour de qua- Nota : lorsque l’administration effectue une enquête suite à un accident ou à un événe-
tre éléments. ment grave survenu sur un site, l’organigramme est très souvent le premier élément
demandé et consulté par les enquêteurs.
■ ESSO : OIMS, operations integrity management system qui repose
sur onze éléments.
■ Département GME (grande masse Europe) d’Air Liquide : sys- 2.2 Responsable ou coordinateur sécurité
tème basé sur les normes ISO 9002 et ISO 14001.
■ EPSC (European Process Safety Centre) : Safety Management Cette personne doit apparaître sur l’organigramme, de préférence
System, Sharing Experience in Process Safety, système principale- rattachée au plus haut niveau hiérarchique. Cela peut être le chef
ment développé pour la sécurité des procédés [2] [3]. d’établissement (directeur d’usine, président de la société si le site
et l’entreprise sont confondus) ou une personne qui lui est directe-
La norme anglaise BS 8750, relative aux systèmes de mana- ment rattachée.
gement de la sécurité, concerne principalement la protection Parler d’un responsable ou d’un coordinateur n’est pas innocent ;
des travailleurs dans le domaine de la prévention des accidents cela signifie que la personne en question représente l’entreprise
du travail. En 2001, cette norme n’a pas encore été reprise par auprès de l’administration et des tribunaux. La notion de responsa-
l’ISO. bilité intègre donc la notion de pouvoir de décision. Ce pouvoir
implique d’avoir à disposition des moyens financiers et humains. Si
Les entreprises qui ont développé et mis en place des systèmes ce n’est pas le cas, cette personne ne pourra qu’être qu’un coordina-
de management de la sécurité ont bien entendu pris en compte les teur sécurité. Le véritable responsable de la sécurité sera alors son
spécificités de leurs métiers. Toutefois, tous reposent sur les princi- supérieur hiérarchique, le chef d’établissement.
pes fondamentaux suivants, que nous allons développer dans la
suite de l’article : Cette notion essentielle de responsabilité doit être clairement
— connaissance exhaustive de l’ensemble des activités ; explicitée dans la définition de fonction.
— principe de l’amélioration continue ;
— recherche de performances optimales ;
— intégration du SMS au management de la qualité totale ;
2.3 Engagement de la direction
— application de la règle de la roue de Deming, PDCA (plan, do,
check, action). Il existe de nombreux exemples positifs dans le cas d’un engage-
ment, et négatifs dans les cas où les directions ne se sont pas impli-
Il n’est pas question de retranscrire et d’analyser ici l’ensemble
quées qui confirment cette nécessité. C’est un acte volontaire de la
des systèmes de management de la sécurité développés dans le
part du management.
monde, qu’ils soient associés ou non avec d’autres tels ceux qui
intègrent le management de l’environnement et/ou de la qualité, La direction du site, son directeur ou toute l’équipe de direction,
mais de donner au lecteur qui désire se lancer sur son site industriel s’engage par écrit sur un certain nombre de points concernant
dans la mise en place d’un management de la sécurité, une informa- l’amélioration des performances de sécurité (encadré 1).
32
SE4620
Recommandations sur les systèmes

de gestion de la sécurité formalisés
1
par Yves MORTUREUX
Vice-président de l’IMdR
Institut de maîtrise des risques
1. Objectif, périmètre et limites de l’article .................................. SE 4 620 - 2

1.1 Objectif de l’article ....................................................................................... — 2
1.2 Un mot d’historique : SGS formalisé et prévention
des risques professionnels ......................................................................... — 3
1.3 SGS formalisé pour les PME/PMI ............................................................... — 3
1.4 Normes et référentiels de SGS ................................................................... — 3
2. Contenu du SGS ....................................................................................... — 3
2.1 Quelques références.................................................................................... — 3
2.2 Composantes du SGS dans trois documents de référence ..................... — 3
2.3 Précautions d’emploi................................................................................... — 4
2.4 Principes ....................................................................................................... — 5
2.5 Éléments constitutifs d’un SGS .................................................................. — 6
3. Revue des éléments constitutifs ......................................................... — 6
3.1 Politique Sécurité, engagement du dirigeant............................................ — 6
3.2 Organigramme et responsabilités.............................................................. — 7
3.3 Objectifs et indicateurs................................................................................ — 7
3.4 Maîtrise des procédés ................................................................................. — 8
3.5 Conformité aux normes .............................................................................. — 8
3.6 Maîtrise des processus de maîtrise des risques ....................................... — 9
3.7 REX, contrôle, audit ..................................................................................... — 9
3.8 Revues .......................................................................................................... — 10
3.9 Formation ..................................................................................................... — 10
3.10 Communication............................................................................................ — 10
3.11 Documentation............................................................................................. — 10
3.12 Plans d’urgence............................................................................................ — 11
3.13 Gestion des interfaces ................................................................................. — 11
3.14 Gestion des changements........................................................................... — 11
4. Construction du SGS .............................................................................. — 11
5. Révision du SGS ....................................................................................... — 12
6. Tirer avantage du SGS............................................................................ — 12
7. Conclusion ................................................................................................. — 12
Pour en savoir plus ........................................................................................... Doc. SE 4 620
ssurer le fonctionnement d’un système complexe incluant des éléments

A potentiellement dangereux (énergie, transport, chimie...) à un niveau de
sécurité acceptable et maîtrisé suppose non seulement de la technicité, mais
aussi de l’organisation. Les termes de « système de gestion de la sécurité » ou
SGS, ou de « système de management de la sécurité » ou SMS sont
aujourd’hui les plus couramment utilisés pour nommer l’ensemble de mesures
organisationnelles prises explicitement par une organisation pour assurer la

33
SE4620
RECOMMANDATIONS SUR LES SYSTÈMES DE GESTION DE LA SÉCURITÉ FORMALISÉS ___________________________________________________________
sécurité. Ce SGS peut être décrit (généralement est décrit) dans un document
(ou un ensemble de documents). Il s’agit donc de mesures stables, explicites
dont la réalité est, en principe, contrôlable.
Dans la logique qui prévaut aujourd’hui dans le monde de l’économie libérale,
les États (collectivement et individuellement) réglementent, fixent des objectifs
au nom des populations et contrôlent (ou le font faire). Il appartient aux exploi-
1
tants d’élaborer les processus et les mesures organisationnelles propres à
réaliser leur activité selon leurs critères de qualité en respectant les exigences
légales et réglementaires. Dans le domaine des activités « à risques » (énergie,
transport, chimie...), l’exploitant doit apporter a priori (avant de commencer à
exploiter) des éléments propres à convaincre les autorités de sa capacité et de sa
volonté à exploiter dans des conditions de sécurité acceptables.
Dans ce contexte, le SGS des exploitants de systèmes « à risques » joue
désormais un rôle central. Il est exigé par nombre de réglementations natio-
nales ou supranationales ; il forme la base des relations entre exploitants et
autorités délivrant des autorisations ou organismes de contrôle, et structure la
maîtrise des risques des entreprises concernées.
La dérive la plus courante consiste à écrire un SGS pour satisfaire des exi-
gences administratives et obtenir des autorisations sans que celui-ci soit
l’expression de la réalité de l’entreprise. Une équipe, souvent externe, constitue
un dossier fondé sur sa connaissance des attentes des autorités, mais en
« perturbant » le moins possible l’entreprise. Celle-ci vit alors une double vie
quelque peu schizophrène : la vie réelle (et cachée) et la vie officielle sur le papier.
Évidemment, cet écart entre management de la sécurité réel et management
de la sécurité officiel est contre-productif. Pour être utile, pour contribuer aux
succès de l’entreprise, le SGS doit être adapté aux particularités de l’organisa-
tion, il doit lui être propre (« lui aller comme un gant », « lui coller à la peau »),
les personnels doivent s’y reconnaître, il doit exprimer du réel et non du théo-
rique. Par conséquent, il doit évoluer avec l’entreprise, suivre, accompagner,
participer à ses transformations.
Cependant, le SGS est un outil fondamental et puissant de dialogue entre
l’organisation et son environnement, en particulier les autorités représentant les
intérêts du public. Pour jouer utilement ce rôle, il doit parler un langage commun
à l’organisation et à ses interlocuteurs ; il doit faire dialoguer l’entreprise (avec
ses spécificités de langages, de culture, d’organisation interne, de métiers, etc.)
et les autorités, l’administration (avec son langage, sa culture, ses normes, etc.).
À ce titre, il est important pour le succès de la démarche SGS d’expliciter le
sens de la démarche, de formuler des recommandations, d’échanger et de
publier des principes, des lignes directrices afin de construire une
compréhension, un esprit commun du SGS tout en préservant une grande lati-
tude d’adaptation et de personnalisation à chaque organisation.
Il est tentant de normaliser le SGS car il est plus facile pour l’entreprise d’acheter
un modèle de dossier, et pour le contrôleur de compter les écarts formels au
modèle. Ce serait pourtant tuer l’intérêt et l’utilité du SGS qui doit être l’expression
d’une compréhension et d’une appropriation par les responsables de l’exploitant
comme de l’autorité des nécessités de la maîtrise des risques.
Le but de cet article est donc de faire partager les consensus existant sur la
notion de SGS.
1. Objectif, périmètre qui peuvent le composer apparaissent chacun clairement, et per-

mettre ainsi aux personnes ou entités intéressées par la
et limites de l’article construction d’un SGS adapté à leur situation, dans lequel on
devrait retrouver les éléments cités, mais sous des formes diverses
et intégrés à l’organisation.
1.1 Objectif de l’article L’article est fondé sur la pratique de l’auteur et sur trois référen-
L’objectif de cet article est de donner une vue du SGS formalisé tiels d’origines différentes dont la synthèse représente un état de
suffisamment décomposée pour que les principes et les éléments l’art acceptable à la date de parution (2012).

SE 4 620 − 2 est strictement interdite. − © Editions T.I.
34
SE4620
___________________________________________________________ RECOMMANDATIONS SUR LES SYSTÈMES DE GESTION DE LA SÉCURITÉ FORMALISÉS
1.2 Un mot d’historique : SGS formalisé Beaucoup d’entreprises mettent ou ambitionnent de mettre en
place des « systèmes de gestion intégrés ». Les fonctions du SGS
et prévention des risques sont alors assurées par ce système de gestion intégré. Il importe
professionnels de s’assurer de leur présence et de leur pérennité dans ce système
plus vaste. Ces systèmes de gestion intégrés présentent l’avan-
Les entreprises françaises sont, en général, familiarisées avec le tage, s’ils sont bien construits, d’éliminer les conflits entre divers
« document unique » exigé par la réglementation qui enregistre systèmes de gestion (de la sécurité du personnel, de la sécurité de
par écrit les résultats d’une démarche d’identification, d’évaluation l’exploitation, des ressources humaines, des achats, etc.) qui, iné-
1
et de réduction à des niveaux acceptables des risques courus par vitablement, se rencontrent sur des sujets affectant la sécurité et
le personnel. peuvent la soumettre à des tiraillements préjudiciables ou à des
L’INRS et de nombreux professionnels recommandent aux jeux de pouvoir dangereux.
entreprises d’aller plus loin en adoptant un SMS (système de
management de la santé et de la sécurité au travail) pour faire de
la démarche de maîtrise des risques professionnels plus qu’une 1.4 Normes et référentiels de SGS
démarche de conformité réglementaire obligatoire : une démarche
de progrès [4]. De grandes entreprises ont construit leurs propres référentiels.
Les éléments constitutifs d’un système de management de la Des référentiels sectoriels ont peu à peu vu le jour, par exemple :
santé et de la sécurité au travail sont les démarches de la maîtrise – dans l’industrie chimique, le référentiel OHSAS 18000 est parti-
des risques adaptées à la problématique des risques professionnels. culièrement répandu et prisé ;
– dans l’industrie nucléaire, l’INSAG 13 est la référence interna-
Le même principe sous-tend donc la prévention des risques
tionale Management of operational safety in nuclear power plants ;
majeurs ou risques d’accidents industriels ou de transports. Le
– dans le transport, le Department of Transportation des USA,
système de gestion de la sécurité d’une entreprise qui met en
l’OACI (agence de l’ONU en charge du transport aérien), l’agence
œuvre des processus potentiellement dangereux (chimie, trans-
européenne ferroviaire (ERA) et bien d’autres publient normes et
ports, énergie...) est significativement plus complexe et plus riche
recommandations.
que le document unique d’une entreprise dont le personnel n’est
pas exposé à d’autres risques que dans la vie courante, mais le
principe de base est le même.
2. Contenu du SGS
1.3 SGS formalisé pour les PME/PMI
Le SGS est-il un outil utile à toutes les organisations, des PME aux 2.1 Quelques références
grands groupes, ou n’est-il adapté qu’aux grandes organisations ?
Cet article s’appuie en particulier sur les références suivantes :
Le principe et l’obligation légale ou réglementaire là où elle – le dossier [AG 4 650] des Techniques de l’Ingénieur « Système
existe ne fait pas de différence selon la taille de l’organisation. La de management de la sécurité. Mise en place sur site » de B.
gestion de la sécurité concerne toutes les organisations ; l’utilité Charavel ;
d’un système de gestion de la sécurité est aussi grande pour une – l’arrêté du 10 mai 2000 (ci-dessous nommé l’arrêté du 10 mai
petite que pour une grande organisation. La formalisation de la 2000) [1] ;
gestion de la sécurité est nécessaire quand la communication sur – le guide pratique de mise en œuvre des systèmes de gestion
cette gestion de la sécurité est nécessaire : en particulier, quand de la sécurité par les entreprises de transport aérien public et les
une autorité doit donner des autorisations, donc doit être organismes de maintenance » (ci-dessous nommé le guide
convaincue de la capacité de l’organisation à gérer la sécurité. pratique de la DGAC) [2] ;
En revanche, la forme que prend le SGS formalisé n’est pas uni- – la directive 2004/49/CE du parlement européen et du conseil du
forme, loin s’en faut. De façon générale, le SGS doit refléter « la 29 avril 2004 (ci-dessous nommé la directive sur la sécurité
vraie vie » de l’organisation ; il est bien évident que PME et grands ferroviaire) [3].
groupes ne fonctionnent pas de la même façon ; les SGS vont
refléter ces différences.
Pourquoi alors décrire le SGS d’une façon qui paraît adaptée 2.2 Composantes du SGS dans trois
aux grands groupes et non aux PME ? Parce que les diverses fonc- documents de référence
tions et leur articulation sont plus lisibles dans une grande organi-
sation. Les fonctions d’un SGS décrites dans cet article peuvent ne ■ Annexe 3 de l’arrêté du 10 mai 2000
pas être toutes nécessaires dans une organisation de petite taille ; Il commence par :
de plus, celles qui sont nécessaires ne se matérialisent pas cha-
cune dans une entité ou un document séparé. Plusieurs de ces « Le système de gestion de la sécurité s’inscrit dans le système
fonctions sont fondues ensemble et avec d’autres qui ne relèvent de gestion général de l’établissement ».
pas du SGS dans une entité, dans un document, dans les fonctions Il divise ensuite le SGS en sept « situations ou aspects » :
d’un poste de travail, etc. 1. Organisation, formation (fonctions des personnels, identifica-
La description faite ici d’un SGS qui juxtapose les différentes tion des personnels extérieurs à l’établissement impliqués et inter-
fonctions dont il se compose a le caractère un peu artificiel d’une faces avec ces personnels).
description pédagogique ; dans la « vraie vie », même dans une 2. Identification et évaluation des risques d’accidents majeurs.
grande organisation, ces différents éléments sont plus ou moins 3. Maîtrise des procédés, maîtrise d’exploitation (phases de mise
fondus entre eux et avec d’autres. Il appartient à l’organisation qui à l’arrêt, de démarrage, d’arrêt, opérations d’entretien et de main-
veut s’assurer qu’elle a (ou qui veut se construire) un SGS de trou- tenance comprises).
ver dans son fonctionnement sous quel nom et sous quelle forme 4. Gestion des modifications.
les fonctions et activités décrites ici de façon désincarnée sont 5. Gestion des situations d’urgence (procédures, formation,
réellement présentes dans l’organisation (ou peuvent être mises expérimentations, aménagements).
en place en cohérence avec l’existant et les objectifs) afin de les 6. Gestion du retour d’expérience.
mettre en évidence pour convaincre et d’en prendre conscience 7. Contrôle du système de gestion de la sécurité, (contrôles,
pour les préserver. audits et revues de direction).

35
1
36
SE1022
Norme ISO 31000:2018 –

Management du risque – Lignes
directrices
Mise en œuvre opérationnelle 1
par Nicolas DUFOUR

Docteur en Sciences de gestion, Risk manager, secteur Assurance
Professeur des universités associé, CNAM LIRSA, Paris, France
1. Contexte et définition de la gestion globale des risques ....... SE 1 022 – 3

2. Management des risques : création et préservation
de la valeur ....................................................................................... — 4
3. Management des risques intégré aux dispositifs
organisationnels.............................................................................. — 5
4. Communication sur les risques intégrée aux processus
de décision ....................................................................................... — 7
5. Management des risques tenant explicitement compte
de l’incertitude ................................................................................ — 9
6. Management des risques systématique, structuré et utilisé
en temps utile .................................................................................. — 14
7. Dispositifs de remontée et de descente d’informations
sur les risques.................................................................................. — 15
8. Application du principe de proportionnalité : management
du risque adapté.............................................................................. — 16
9. Management intègrant les facteurs humains et culturels ..... — 17
10. Gestion des risques : approche participative............................ — 18
11. Management du risque dynamique, itératif et réactif
au changement ................................................................................ — 19
12. Management du risque : amélioration continue
de l’organisme facilitée ................................................................. — 21
13. Conclusion........................................................................................ — 22
14. Glossaire ........................................................................................... — 22
15. Sigles, notations et symboles ...................................................... — 23
Pour en savoir plus.................................................................................. Doc. SE 1 022
e concept de gestion des risques est apparu dans les premiers travaux sur le
L sujet dans les années 1950. À cet égard, nous aborderons l’enjeu de la
norme ISO 31000:2018 évoquant le management de gestion du risque au sens
large comme un tout. Nous ferons sans distinction allusion à la gestion des
Parution : juin 2020
Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 1 022 – 1
37
SE1022
NORME ISO 31000:2018 – MANAGEMENT DU RISQUE – LIGNES DIRECTRICES –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
risques qui recouvre l’idée que la fonction de gestion du risque peut avoir à
gérer des risques divers non nécessairement corrélés. Différents univers de ris-
ques peuvent ainsi cohabiter et il faut pouvoir en tenir compte. Certains auteurs
indiquent toutefois une expansion de la fonction de gestion des assurances et
des risques dans les années 1970. L’augmentation du coût des couvertures
d’assurance a rendu nécessaire le recours à des personnels dédiés à la théma-
tique des assurances dans les grandes entreprises [14] [11]. Cette fonction s’est
peu à peu organisée et s’est ensuite spécialisée pour devenir une fonction à part
1 entière de l’entreprise, le plus souvent rattachée à la direction générale [2] [3] et

étant en charge de thématiques diverses telles que la cartographie des risques,
la gestion des incidents, la gestion du plan de continuité d’activité, la sécurité
au travail, ou encore le transfert de risques assurantiel ou financier.
Cette extension progressive du périmètre de la fonction gestion des risques
s’est traduite par une évolution du rattachement organisationnel de la fonc-
tion. Initialement rattachée à des directions techniques (on observait jusque
dans les années 2000 des rattachements des fonctions assurances aux direc-
tions juridiques ou aux fonctions achats et moyens généraux), la fonction ges-
tion des risques a progressivement évolué pour être reconnue comme une
émanation de la direction générale des entreprises. Cela s’explique notam-
ment par une reconnaissance accrue du rôle de cette fonction dans la sauve-
garde de la valeur de l’entreprise [10], mais aussi par un souci de rattache-
ment indépendant des autres fonctions de l’organisation accompagnées
dans la maı̂trise des risques.
Cette tendance à la professionnalisation de la fonction s’est enfin traduite par
un renforcement de la gouvernance des risques : mise en place de politique de
maı̂trise des risques (tout comme il existe une politique RH, une politique
achats et fournisseurs, une politique financière). Il s’agit d’orientations (de
lignes directrices) dédiées à la gestion des risques. Ces lignes directrices consis-
tent à émettre des limites de risques et à fixer des indicateurs de risques pour
suivre ces limites. Il peut alors s’agir soit de limites quantitatives (quelle part
des actifs de l’entreprise doit être investie dans les marchés actions ; quel pour-
centage du chiffre d’affaires doit être acquis via un canal de distribution non
propriétaire) ou qualitatives (à quelle fréquence au plus tard doit être réalisé
l’exercice de test du plan de continuité d’activité, quels types d’actifs financiers
sont interdits dans le portefeuille de placements de l’entreprise, pour quels ris-
ques une couverture d’assurance est-elle nécessaire). Ainsi, le rôle de la fonc-
tion gestion des risques est d’appuyer la direction générale, mais aussi le
conseil d’administration, puis les directions plus opérationnelles dans la
définition, l’approbation, puis la déclinaison d’une politique de maı̂trise des
risques [12].
Le propos de cet article est donc de mettre en exergue le rôle de cette fonc-
tion, au sens de la norme ISO 31000, comme une fonction globale et trans-
verse ayant vocation à appuyer l’amélioration continue des dispositifs de
gouvernance des risques, de détection, de contrôle et de traitement des dif-
férents risques de l’entreprise. Son périmètre d’intervention concerne toutes
les fonctions et processus de l’organisation. Elle a vocation à identifier, éva-
luer, traiter et piloter les différents risques de l’organisation, que ceux-ci
soient stratégiques, financiers, techniques, juridiques, réputationnels ou
encore opérationnels [8].
Face à ces évolutions, qui constituent une tendance lourde, le propos de cet
article est d’illustrer une tendance à la normalisation, certains diront à l’institu-
tionnalisation, de la fonction de gestion globale des risques. Aussi, dans ce
cadre, nous traiterons des différents volets de la norme ISO 31000:2018, et ce
de manière illustrée au travers d’exemples et d’éléments de mises en situation
tirées de retours d’expérience dans les organisations.
SE 1 022 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés
38
SE1022
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– NORME ISO 31000:2018 – MANAGEMENT DU RISQUE – LIGNES DIRECTRICES
1. Contexte et définition On note que l’objet de ces processus est de contribuer au pilo-
tage des risques. Il vise à cartographier les risques, c’est-à-dire
de la gestion globale identifier ce qu’il peut advenir dans une logique prospective. C’est
le rôle de la cartographie des risques, outil en général consolidé
des risques avec l’aide des différentes directions métiers devant identifier les
risques futurs potentiels sur leurs périmètres.
Cette section a pour objectif de définir la fonction de gestion glo- Par exemple, les principaux concurrents de l’entreprise ont fait
bale des risques, conformément aux enjeux de la norme l’objet d’une cyberattaque. Comment ce risque peut-il survenir dans
1
ISO 31000:2018. Dans ce cadre, les origines et apports de la fonc- notre entité et comment s’y préparer ?
tion, ainsi que le cadre organisationnel sous-jacent sont détaillés.
Cette approche est complétée par une vision historique des inci-
dents étant survenus dans l’organisation. C’est le rôle de la base
1.1 Concept de gestion globale incidents : recenser les dysfonctionnements passés et leurs
des risques, origines et apports impacts, mais aussi indiquer comment l’entreprise a apporté des
solutions pour qu’un tel incident ne survienne plus.
La démarche de gestion globale des risques suppose de
s’appuyer sur différents processus de gestion des risques relatifs à Par exemple, l’entreprise a subi une fraude interne de l’un de ses
des domaines précis de risques. Le tableau 1 en fournit une illus- comptables. Il convient de tracer comment l’entreprise a traité le risque
tration relativement globale mais non exhaustive. Il s’agit d’une (procédure de sanction du collaborateur, mise en place de contrôles
démarche cible pour une fonction de gestion des risques. Certaines supplémentaires, d’une procédure de ségrégation des tâches, audit
organisations optent parfois pour une segmentation du pilotage de régulier du dispositif d’engagement de dépenses, révision des pouvoirs
ses processus (comme la gestion des assurances ou l’activité bancaires, révision des habilitations des outils comptables).
hygiène-sécurité-environnement qui n’est pas toujours rattachée à
la fonction gestion des risques, mais peut être coordonnée fonc- Enfin, le pilotage des risques suppose également le recours à des
tionnellement par cette dernière). indicateurs permettant de s’assurer que l’entreprise progresse dans
La figure 1 décrit les principaux processus d’un dispositif de ges- sa maı̂trise des risques. Cela suppose de définir des indicateurs
tion globale des risques. Elle aborde les processus clés de la ges- adaptés à chaque type de risques.
tion des risques en visant trois approches complémentaires :
Par exemple, concernant les risques liés aux ressources humaines,
– regarder dans le passé afin de ne pas oublier les risques déjà les indicateurs peuvent être les suivants : coût des sinistres avec
traités ou survenus ; impact humain sur un an, nombre de jours de grève par an, nombre
– gérer dans le cadre d’une surveillance constante les risques de jours-hommes non travaillés suite à des incidents de sécurité, nom-
sensibles à piloter ; bre de jours d’absence de collaborateurs considérés comme clés, taux
– se projeter dans l’avenir en tentant d’imaginer les risques de couverture des collaborateurs clés par des back-up, nombre d’inci-
futurs possibles, bien que parfois peu vraisemblables. dents d’administration du personnel (erreur de paie, perte de données
Cette vision en trois temps s’appuie à la fois sur les visions du collaborateurs, nombre de formations obligatoires non réalisées, etc.).
passé, du présent et de l’avenir dans l’objectif non seulement de
bien cerner les risques, mais aussi les sujets inhérents à l’entre- Ces indicateurs ne sont pas exhaustifs et dépendent de chaque
prise : éventuelles causes, impact des risques, facteur humain. risque que l’entreprise considère comme prioritaire et devant faire
l’objet d’un suivi par indicateur clé [6].
Vision Vision Dispositifs de

prospective historique surveillance 1.2 Importance de définir un cadre
organisationnel pour la gestion
Risques Incidents Risques
des risques
identifiés avérés sensibles Dans le cadre de la norme ISO 31000:2018, il est recommandé de
fonder les processus précités de la gestion des risques sur l’appro-
che organisationnelle de l’entreprise. Cela signifie qu’il est néces-
saire de tenir compte non seulement des directions de l’entreprise,
Évaluation du dispositif
de ses business units (centres d’activité), mais aussi de la façon

dont interagissent les différents processus de cette organisation
Plans d’action
(processus cœur de métier ou processus de production, processus

Cartographie Base Indicateurs
de pilotage, processus support). Ainsi, cette démarche a pour
des risques incidents KPI/KRI
objectif non seulement d’identifier les risques inhérents à chaque
type de processus, mais elle permet aussi d’identifier les risques
qualifiés « d’orphelins » [7]. Il s’agit de risques qui peuvent concer-
ner plusieurs processus de l’entreprise et donc n’ayant pas de
« pilote de processus » ou de « responsable de traitement » claire-
Tableau de bord ment identifiés.
Risques opérationnels reporting
Par exemple, un risque de fraude externe de type fraude aux faux
ordres de virements internationaux (aussi appelée « fraude au prési-
dent »), dans lequel un externe usurpe l’identité d’un dirigeant pour
faire payer une facture d’un montant important à un faux fournisseur
de l’entreprise, peut être considéré comme transverse aux proces-
Pilotage des risques sus comptable, achats, mais aussi informatique si l’on suppose que
des informations internes ont été collectées préalablement à une
Figure 1 – Processus de la gestion des risques
attaque de type cyber [18]).
39
SE1022
NORME ISO 31000:2018 – MANAGEMENT DU RISQUE – LIGNES DIRECTRICES –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Identification des Formalisation et Détermination et

zones à risques analyse des mise en œuvre des
(risques clés) processus clés plans d’action
• Conception de la • Analyse plus fine • Élaboration des plans
1 cartographie des
processus clés
des processus et
sous-processus
d’action déclinés selon
trois axes :
- organisationnel
• Élaboration de la • Élaboration des - processus
cartographie des « référentiels de - système
risques processus » : d’information
- logigramme
- narratif • Mise en œuvre du
- fiches contrôle contrôle permanent
Top down Bottom up Top down
Figure 2 – Approche par les processus, préalable à la démarche de gestion des risques
La figure 2 détaille l’approche par les risques, nécessaire pour la Par exemple, pour un établissement bancaire, cela se traduit par le
mise en œuvre d’une démarche de gestion des risques intégrée. fait d’alerter la direction générale lorsque les enveloppes d’octroi de
crédits définies sont quasiment atteintes. Pour un assureur, cela peut
se traduire par une procédure d’alerte lorsque des seuils de sinistres
indemnisés sont atteints, renseignant ainsi sur le risque de dégrada-
2. Management des risques : tion des équilibres techniques de la compagnie d’assurance.
création et préservation La définition d’une appétence au risque suppose de s’appuyer

de la valeur sur une approche de type cartographie et identification des risques,
telle que décrite dans la figure 3, illustrant la démarche aboutissant
à une sélection de dix risques à prioriser.
Le rôle d’une telle démarche est alors de prioriser un nombre de
2.1 Mise en œuvre d’une appétence risques restreint, sans rechercher nécessairement l’exhaustivité
au risque : acceptation et limites dans l’identification des risques, mais en s’assurant que les risques
de risque incontournables pour l’organisation sont bien identifiés, et que
ceux réellement intolérables figurent dans le top 10 des risques.
L’un des objectifs clés de la gestion des risques selon la norme La suite d’une telle démarche est d’aboutir à un ensemble de
ISO 31000:2018 est de chercher à définir la manière dont la fonction questionnements portés auprès des organes de gouvernance tel
va permettre de créer de la valeur, ou tout du moins de la préser- qu’illustré dans le tableau 1.
ver. La notion de sauvegarde de la valeur est en effet tout à fait
envisageable dans le cadre du processus de gestion des risques.
Cela peut par exemple s’illustrer par les mesures de transfert de

2.2 Limites et indicateurs de risques :
risques permises suite à la mise en place d’une couverture d’assu- mise en œuvre opérationnelle
rance. Cela peut aussi se traduire par la récupération d’indus sur des
processus de recouvrement clients à l’issue d’une action de contrôle Le pendant de la définition d’une appétence au risque consiste
des risques. Un autre exemple peut consister à mettre en place un en la définition de limites de risques. Ces limites peuvent être
programme de lutte contre la fraude, se traduisant par la récupération quantitatives ou qualitatives. Elles peuvent être définies dans une
de sommes issues des cas avérés de fraude ayant été détectés. politique de maı̂trise des risques globale ou dans des politiques et
procédures plus précises (procédure de fraude, procédure de
sécurité, politique de continuité d’activité, politique financière et
Pouvoir mettre en place ces actions de sauvegarde, voire de créa-
tion de valeur, suppose la définition et la mise en œuvre d’une de placements).
appétence au risque. L’appétence au risque peut se traduire par la Les trois cas ci-après sont des exemples de limites sur différents
définition de risques considérés comme acceptables et a contrario axes de politique de maı̂trise des risques.
de préciser les cas de risques non acceptables. La conséquence
de cette définition d’appétence au risque est de conduire à une 2.2.1 Cas du risque de sous-traitance
procédure d’alerte aux organes de gouvernance politique et opéra-
tionnelle (conseil d’administration, direction générale) en cas de Dans le cas du risque de sous-traitance, sont ici illustrés plusieurs
potentiel franchissement de limites de risques ou de situations exemples de limites de risques devant permettre à l’entreprise de
dans lesquelles l’entreprise se trouve face à un risque non accep- réduire les risques de défaut de pilotage des sous-traitants, ou encore
table. Il convient alors de définir des limites de risques ou différents de conflit d’intérêts et de risques d’opportunisme dans le choix des
seuils qui, en cas de franchissement, conduisent à des alertes pro- prestataires, fournisseurs et sous-traitants. Le tableau 2 fournit des
gressives et à des mesures de rétablissement [9]. exemples de limites de risques concernant la sous-traitance.
40
SE1022
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– NORME ISO 31000:2018 – MANAGEMENT DU RISQUE – LIGNES DIRECTRICES
Identification des Typologie du risque Évaluation brute

risques des risques
• Typologie d’impact et
• Description appétence au risque • Évaluation de l’impact
• Causes • Évaluation de la
• Conséquences fréquence
• Famille du risque
1
Identification et Évaluation nette du Suivi et revue des
évaluation des EDMR risque et plan d’action plans d’action
• Couverture du risque • Évaluation de la gravité • Suivi trimestriel sur le

• Formalisation de nette du risque top 10
l’élément de maîtrise • Hierarchisation des • Suivi annuel sur
• Fréquence du dispositif traitements de risques l’ensemble des risques
• Dernière application de • Proposition des plans • Surveillance de la
l’élément de maîtrise d’action gouvernance
• Traçabilité des documents
Figure 3 – De l’identification des risques à la définition d’une appétence au risque
2.2.2 Cas du risque de fraude Cette approche, telle qu’illustrée dans le tableau 5, propose des
exemples de principaux domaines d’intervention de la gestion des
Dans le cas du risque de fraude [4], les limites de risques sont risques dans l’organisation [5] [1].
spécifiques à chaque schéma de fraude possible (fraude dans le e-
commerce, fraude à l’assurance etc.). Le tableau 3 illustre des
exemples de limites de risques dans le cas de la fraude. 3.2 Management centralisé ou filière
de référents risques ?
2.2.3 Cas du risque financier
Dans le cas du risque financier, les limites de risques dépendent Une autre question importante selon la norme ISO 31000:2018
du type d’actifs détenus en portefeuille ou du type d’investisse- consiste à définir clairement la place de la gestion des risques
ments réalisés par l’entreprise. Des exemples de limites qualitati- dans l’organisation et à concevoir ce dispositif comme intégré à
ves et quantitatives sont proposés dans le tableau 4. l’organisation. Cela suppose d’opter pour un dispositif décentralisé,
s’appuyant sur des relais de gestion des risques dans les différen-
tes directions de l’entreprise. Cette approche n’est pas incompatible
avec l’existence d’un département centralisé de gestion des ris-
ques, intégrant les différents risk managers de l’entreprise et coor-
3. Management des risques donnant des référents dans chaque périmètre (finance, achats, RH,
intégré aux dispositifs informatique, commercial, back-office, production, etc.).
Les travaux en gestion des risques décrivent les conditions de
organisationnels centralisation/décentralisation de la fonction. Ils mettent en évi-
dence une organisation sur deux niveaux : central et local [14] [16].
Un risk manager central et son équipe opèrent au siège : la struc-
La présente section a pour objet de détailler l’approche organisa- ture est diverse. On identifie plusieurs configurations d’organisa-
tionnelle de la gestion des risques. tion des activités de gestion des risques [1] : l’équipe est légère ;
elle anime fonctionnellement le niveau local et les dispositifs, et
assure le reporting des risques.
3.1 Mise en œuvre d’un département
de gestion des risques : Par exemple :
sur quels sujets ? gestion des risques, contrôle interne, audit interne groupés au sein
d’un même département, assurances dans un département indé-
En premier lieux, il convient de définir les domaines d’interven- pendant ;
tion de la gestion des risques dans l’organisation. Les domaines gestion des risques, audit interne, assurances groupés au sein d’un
d’intervention de la gestion des risques concernent deux types de même département, contrôle interne dans un département indé-
processus : pendant.
des processus de pilotage transverses des risques (cartogra-
phier les risques, assurer la coordination du traitement des Des opérationnels opèrent hors siège. L’organisation du niveau
incidents, piloter à l’aide d’indicateurs de risques) ; local est variable, par activité, filiale, entité ; ils mettent en place la
des processus d’expertise du risque (gérer la sécurité au tra- gestion des risques : identification, mise en place et suivi des plans
vail, gérer les risques financiers, gérer la continuité d’activité d’action.
et la gestion de crise, gérer les assurances, gérer le risque de Il existe également une organisation sur deux niveaux dans
sous-traitance, etc.). laquelle le chief risk officer n’est pas un gestionnaire de risques, la
41
1
42
SE3600
Risques et assurances
par Frédéric DUROT

1
Ingénieur agronome INA Paris - Grignon
Responsable Souscription Risques Industriels à GAN Eurocourtage
et Alain LEROY
Ingénieur de l’Ecole nationale supérieure des techniques avancées (ENSTA)
Directeur de Fractal Système
1. Les risques de l’entreprise et leur maîtrise ...................................... SE 3 600 - 2

1.1 Ressources de l’entreprise.......................................................................... — 2
1.2 Maîtrise et gestion des risques................................................................... — 2
2. Notions de base en assurance.............................................................. — 2
2.1 Assurabilité d’un risque .............................................................................. — 2
2.2 Coassurance/réassurance ........................................................................... — 4
2.3 Principes d’organisation des compagnies d’assurance ........................... — 5
2.4 Typologie des polices de dommages ........................................................ — 5
2.5 Les entreprises assurées et leurs relations
avec les autres intervenants ....................................................................... — 5
2.6 Caractéristiques d’une police d’assurance ................................................ — 6
3. Risques de dommages aux biens......................................................... — 7
3.1 Définition des atteintes aux biens .............................................................. — 7
3.2 Cas de l’assurance des pertes d’exploitation ............................................ — 7
3.3 Typologie des branches d’assurance dommages..................................... — 8
3.4 Assurabilité des risques de dommages aux biens ................................... — 9
3.4.1 Approche de l’assurabilité ................................................................. — 9
3.4.2 Assurabilité et événements majeurs................................................. — 9
4. Risques de responsabilité civile .......................................................... — 9
4.1 Définition de la responsabilité civile .......................................................... — 9
4.2 Typologie des polices et tarification .......................................................... — 9
4.3 Analyse des risques..................................................................................... — 10
5. Cycle de vie d’une police d’assurance (« Incendie »).................... — 10
5.1 Détail sur l’évaluation du risque................................................................. — 10
5.2 Tarification.................................................................................................... — 12
Pour en savoir plus........................................................................................... Doc. SE 3 600
Parution : avril 2004 - Dernière validation : mars 2015
’objectif principal de cet article est d’aider un « décideur » à gérer de manière

L efficace les risques résiduels de son entreprise. Pour ce faire, la logique des
ouvrages traitant de l’assurance est inversée ; il est d’abord considéré les
risques pouvant affecter le bon fonctionnement d’une entreprise, puis défini les
produits d’assurance. Ainsi, il est :
— identifié les risques pouvant affecter les ressources de l’entreprise, puis cité
les noms des produits de couverture de ces risques ;
— présenté les caractéristiques du monde de l’assurance et celles de ses
produits.
Afin de rendre plus utilisable cet exposé, le dernier paragraphe est consacré
au cycle de vie d’une police (« Incendie ») depuis l’expression du besoin du déci-
deur jusqu’au règlement d’un sinistre par l’assureur. Les principales notions pré-
sentées dans les autres paragraphes y sont exposées de manière concrète.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 3 600 − 1
43
SE3600
RISQUES ET ASSURANCES _______________________________________________________________________________________________________________
L’objectif secondaire de cet article est d’aider un assureur à comprendre les

problèmes rencontrés par le décideur dans l’identification de ses besoins en pro-
duits d’assurance et dans leur formalisation.
Il est à noter que, en France, les assurances souscrites par les entreprises
peuvent être réparties en :
— d’une part, les assurances de dommages aux biens et de responsabilité civile
1
(RC). Les assurances de dommages aux biens ont pour objectif de compenser
financièrement les atteintes au patrimoine (matériel ou non) de l’entreprise. Les
assurances de responsabilité ont, quant à elles, pour objectif de garantir les
conséquences dommageables (corporelles, matérielles, immatérielles) dont
pourrait être responsable une entreprise à l’égard de tiers ;
— d’autre part, les assurances de personnes, si elles permettent de réaliser des
opérations de prévoyance à l’égard des événements suivants : mort, accident
corporel, maladie et retraite.
Seules les assurances de dommages aux biens et de responsabilité sont
traitées dans cet article.
1. Les risques de l’entreprise 1.2 Maîtrise et gestion des risques

et leur maîtrise La nature des risques pouvant affecter les ressources de l’entre-
prise, ses produits et ses prestations est très variable. Les moyens
mis en place pour contrôler (tant en prévention qu’en protection)
les risques sont fonction de cette nature, de même que les moyens
1.1 Ressources de l’entreprise d’en gérer les conséquences économiques. Les tableaux 1, 2, 3
et 4 présentent, pour chaque ressource :
En utilisant le concept de la « boîte noire », l’entreprise peut être
— les risques principaux pouvant l’atteindre ;
considérée comme un système consommant des ressources pour
— les actions possibles de maîtrise des risques (liste non
mettre à la disposition d’utilisateurs des produits ou des
exhaustive) ;
prestations (dont la valeur intrinsèque est supérieure à celle des
ressources consommées). Ces ressources sont de quatre types — les moyens de gestion du risque résiduel, après mise en œuvre
(figure 1) : des actions de maîtrise.
— les ressources physiques : énergie, machines, moyens de Les polices d’assurance citées dans ces tableaux sont présentées
transport, etc. ; dans les paragraphes suivants et, pour les plus importantes, résu-
mées en [Doc. SE 3 600].
— les ressources humaines ;
Ces tableaux sont conçus de manière à identifier le type d’assu-
— les ressources en informations et prestations intellectuelles :
rance couvrant un type de risque.
procédés de fabrication, bureaux d’études, etc. ;
— les ressources financières : capital, règlement des clients, etc.
2. Notions de base en assurance

Environnement
RESSOURCES Environnement Environnement UTILISATEURS

agressé agresseur Pour la définition de certains termes, le lecteur pourra consulter le
glossaire en [Doc. SE 3 600].
Physiques
ENTREPRISE
Humaines 2.1 Assurabilité d’un risque
(conception/production/ Produits
Informations transformation/stockage/ prestations Les compagnies d’assurance font la distinction entre :
et prestations vente...)
intellectuelles — le risque dit spéculatif (dit aussi « d’entreprise ») provenant
d’une décision délibérée du chef d’entreprise en vue de réaliser ses
Financières objectifs (par exemple : échec commercial d’un produit) ;
— le risque dit pur (dit aussi « assurable »), conséquence d’évé-
nements accidentels ou fortuits (par exemple : incendie, erreur de
calcul).
Risques Le risque pur étant indépendant de la volonté du décideur
(risque fortuit), lui seul peut être couvert par une police
Figure 1 – Les ressources de l’entreprise d’assurance.
SE 3 600 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
44
SE3600
______________________________________________________________________________________________________________ RISQUES ET ASSURANCES
(0)
Tableau 1 – Ressources physiques de l’entreprise : matières premières et équipements

Intitulé de la ressource Risque Maîtrise du risque Gestion des conséquences économiques
Casse Maintenance Assurance BRIS DE MACHINE
Machines
Dysfonctionnement Maintenance Non applicable
1
Structures/machines/ Incendie/explosion Inspection
Assurance INCENDIE
matières premières (+ effondrement...) Ingénierie sécurité et intervention
Installations extérieures Incendie/explosion Ingénierie sécurité et intervention Assurance RC EXPLOITATION
Incendie/explosion Schéma directeur de la sécurité informatique Assurance
Moyens informatiques
Casse Ingénierie sécurité physique TOUS RISQUES INFORMATIQUES
Unités de production Assurance RC
Rupture, fuite Ingénierie protection de l’environnement
et de stockage ATTEINTE À L’ENVIRONNEMENT
Assurance RC
Milieu extérieur Pollution accidentelle Ingénierie protection de l’environnement
ATTEINTE À L’ENVIRONNEMENT
Moyens de transport Accidents Formation Assurance FLOTTES AUTO
Dommages à l’utilisateur Sécurité produit Assurance RC PRODUIT
Produit Non-atteinte des Analyse de risque Non applicable
performances
(0)
Tableau 2 – Ressources humaines de l’entreprise

Dirigeant Disparition involontaire Plan de crise Assurance HOMME CLÉ

Maladie
Non applicable
Vieillesse
Personnel de l’entreprise Accident du travail :
Prévention des accidents du travail...
• chute, intoxication ASSURANCES DE PERSONNES
Ingénierie sécurité
• incendie/explosion
Accident du travail :
Intérimaires • chute, intoxication
• incendie/explosion
Prestataires extérieurs Accident du travail Assurance RC EXPLOITATION
Visiteurs Accident du travail Assurance RC EXPLOITATION
Milieu humain à l’extérieur Incendie/explosion Ingénierie sécurité Assurance RC EXPLOITATION
(0)
Tableau 3 – Ressources financières de l’entreprise

Fournisseurs du pays Fraude/détournement Ingénierie sécurité intrusion Assurance FRAUDE-DÉTOURNEMENT
Fraude/détournement Ingénierie sécurité intrusion Assurance FRAUDE-DÉTOURNEMENT
Fournisseurs étrangers Taux de change Couverture bancaire
Non applicable
Risques « politiques » Assurances spécifiques
Fraude/détournement Ingénierie sécurité intrusion Assurance FRAUDE-DÉTOURNEMENT
Clients du pays
Non-paiement Sélection des clients Assurance crédit AFFACTURAGE
Non-paiement Sélection des clients Assurance crédit AFFACTURAGE
Clients étrangers Taux de change Couverture bancaire
Non applicable
Risques « politiques » Assurances spécifiques
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 3 600 − 3
45
SE3600
RISQUES ET ASSURANCES _______________________________________________________________________________________________________________
(0)
Tableau 4 – Ressources en informations et prestations intellectuelles

Gestion des conséquences
Intitulé de la ressource Risque Maîtrise du risque
économiques
Procédés de fabrication Vol Ingénierie sécurité physique Assurance VOL
1 Système d’information
Destruction physique Ingénierie sécurité physique
Assurance
TOUS RISQUES INFORMATIQUES
Assurance
Destruction logique (écrasement) Ingénierie sécurité logique
TOUS RISQUES INFORMATIQUES
Prestations intellectuelles Non-conformité Système d’assurance qualité Assurance RC PROFESSIONNELLE
La distinction entre ces deux types de risque n’est cependant pas

toujours aussi simple dans la réalité. Par ailleurs, le risque (en fait, Encadré 2 – Cas des Lloyd’s
ses conséquences financières) doit aussi être maîtrisé par la
compagnie d’assurances. Le principe de base consiste à constituer Le marché londonien des Lloyd’s constitue une alternative pour assu-
un portefeuille homogène de risques, c’est-à-dire un ensemble de rer certains risques difficilement assurables à cause, soit de l’aversion
au risque des acteurs traditionnels du marché de l’assurance, soit de la
polices d’assurance couvrant des risques de natures homogènes criticité du risque considéré. Le Lloyd’s n’est pas une compagnie mais
sur lequel l’espérance mathématique de survenance annuelle est un marché au sein duquel opèrent, dans un système collectif (type bour-
inférieure à 1. sier), 108 compagnies d’assurances appelées « syndicats ». Elles inter-
viennent dans tous les domaines de l’assurance des risques
Ce principe de mutualisation des risques ne peut pas être appli- d’entreprises avec un apport principalement par des courtiers (Lloyd’s
qué dans le cas de risque spécifique (cf. encadré 1). Brokers). Le système d’assurance et de réassurance propre à ce marché
permet de proposer des capacités financières importantes sur le court
terme (le principe sur ce marché étant des contrats de durée ferme de
1 an).
Encadré 1 – Un risque bien étrange
En 1971, le fabricant de whisky Cutty Sark a offert un prix d’un million

de GBP pour la capture du monstre supposé vivre dans le Loch Ness. 2.2 Coassurance /réassurance
Apparemment, Cutty Sark pensait que l’événement pouvait se réaliser
et approcha le Lloyd’s pour une assurance. Le Lloyd’s accepta de couvrir
le risque contre une prime de 2 500 GBP. Il est stipulé dans le contrat Cette limite d’assurabilité évoquée au paragraphe 2.1 est gérée
que le risque est couvert si, et seulement si, le monstre est capturé également par les pratiques de partage du risque par coassurance
vivant entre le 1er mai 1971 et le 30 avril 1972. Plus loin, le contrat ou réassurance.
précise : « cette assurance ne s’appliquera que si le monstre capturé a
une longueur de plus de 20 pieds, est accepté en tant que monstre du ■ Coassurance
Loch Ness par les conservateurs du muséum d’histoire naturelle de
Londres ». De plus, le contrat comportait une clause standard de l’assu- C’est le partage d’un même risque par plusieurs assureurs (dits
rance maritime, telle que si la somme assurée devait être payée, le coassureurs), lesquels s’engagent à régler le sinistre à hauteur du
monstre deviendrait la propriété de souscripteurs du Lloyd’s. Cette
condition rendant, en fait, le contrat d’assurance sans risque pour les pourcentage qu’ils ont accepté dans la police d’assurance consi-
souscripteurs... dérée et pour laquelle ils ont perçu le même pourcentage de la
La prime est très élevée... le taux doit être du même ordre que la prime. L’assureur qui a mandat des autres coassureurs pour gérer
prime d’assurance... payée (pour) un incendie majeur [7].
la police est généralement celui qui a la part la plus importante. Il
est dénommé « apériteur » ou, plus rarement, « chef de file » (ce
Succinctement, il peut être considéré qu’un risque n’est assura- dernier terme étant plus utilisé dans le domaine des pools bancai-
ble que si : res). Un principe important est que les coassureurs ne sont pas
solidaires entre eux.
— le produit de la probabilité de survenance par le coût de la sur-
venance n’est pas trop élevé (notion de coût global du risque) ; ■ Réassurance
— ou si le coût de la survenance peut être dimensionné. Le risque peut être partagé également par un assureur avec un
En fait, pour une compagnie d’assurances, l’assurabilité d’un ou plusieurs réassureurs. Cette « cession » de toute ou partie d’un
risque s’apprécie dans le cadre de sa politique d’engagements risque par une compagnie d’assurance (appelée « cédante ») à une
financiers : compagnie de réassurance (appelée « cessionnaire ») peut être
faite :
— positionnement du risque par rapport à sa politique de
souscription ; — de façon « proportionnelle » : pour x % de prime cédée, le
— capacité d’assurance, capacité dépendant des cycles du réassureur « accepte » de prendre en charge x % du sinistre ;
marché (en particulier de celui de la réassurance) ; — ou de façon « non proportionnelle » : le réassureur « accepte »
— existence de possibilité de limitation des indemnisations ; de prendre en charge un certain montant du sinistre dès lors que
ce montant excède une certaine somme (réassurance dite en
— importance des sinistres potentiels,
« excédent de sinistre ») ou que les pertes de l’assureur dépassent
donc du risque lui-même et de l’état du marché (donc du passé) et un certain seuil (réassurance dite en « excédent de pertes »).
des craintes quant à l’avenir (par exemple, situation vis-à-vis de La réassurance peut se pratiquer spécifiquement police par
sinistres considérés comme imminents ou redoutés comme tels police (on parle alors de « réassurance facultative »), mais aussi
par les assureurs). globalement en vue de protéger tout ou partie d’un portefeuille de
La problématique spécifique de l’assurabilité des dommages aux risques. Ce contrat cadre liant l’assureur au(x) réassureur(s) est
biens est développée au paragraphe 3.4. Quant aux Lloyd’s, ils sont appelé « traité de réassurance ». Il est à noter que la relation entre
présentés dans l’encadré 2. assureur et réassureur n’est pas opposable à l’assuré. En d’autres
SE 3 600 − 4 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
46
1– Introduction 2
2– Démarches Réf. Internet page
Gestion globale des risques AG1100 49
La sûreté de fonctionnement : démarches pour maîtriser les risques SE1020 55
Démarche générale de maîtrise du risque dans les industries de procédé AG4605 57
Gestion des risques d'un projet SE2040 59
Évaluation du vieillissement industriel. Méthodologie SE2080 63
Évaluation des risques. Les résultats dans un document unique SE3200 69
Principes d'évaluation de la probabilité de défaillance des Mesures de Maîtrise des SE4057 71

Risques (MMR)
Probabilité de défaillance à la sollicitation d'une fonction instrumentée de sécurité SE4058 75
Nouvelles exigences de la norme IEC 61511 SE4059 81
Les facteurs organisationnels de la sécurité SE3010 87
Gestion de la continuité d’activité. Structuration et mise en pratique SE3012 91
47
2
48
AG1100
Gestion globale des risques

par Bernard BARTHELEMY
Gérant ARISKAN
1.
1.1
Méthodologie de la GGR ...................................................................... AG 1 100v2 - 2
Notion de risque ........................................................................................ — 2
2
1.2 Concept fondamental de la GGR.............................................................. — 3
1.3 Identification des risques.......................................................................... — 5
1.4 Quantification et qualification des risques — 5
1.5 Maîtrise des risques .................................................................................. — 6
1.6 Gestion de la cartographie des risques — 11
2. Risques des principaux processus .................................................... — 12
2.1 Management de l’organisation ................................................................ — 12
2.2 Information ................................................................................................ — 13
2.3 Recherche et développement................................................................... — 14
2.4 Marketing ................................................................................................... — 15
2.5 Achats......................................................................................................... — 15
2.6 Production.................................................................................................. — 16
2.7 Vente........................................................................................................... — 17
2.8 Risques professionnels ............................................................................. — 17
2.9 Risque social .............................................................................................. — 19
2.10 Autres fonctions ........................................................................................ — 20
Pour en savoir plus ........................................................................................ Doc. AG 1 100v2
érer et agir, c’est prendre des risques. Si les risques n’existaient pas, il n’y
G aurait ni succès, ni échec. Il n’y aurait pas d’action et les objectifs des
organisations, publiques ou privées, ne seraient pas atteints ! Risque et oppor-
tunité sont d’ailleurs identiques. Le même symbole chinois signifie risque et
opportunité. Le premier est craint, le second est recherché, mais ce ne sont
que les deux catégories des conséquences inéluctables d’un futur incertain.
Agir, ce n’est pas prendre n’importe quels risques. C’est prendre
consciemment des risques mesurés et maîtrisés. Gérer ses risques, c’est savoir
les identifier, les quantifier, les réduire de façon économique, puis éventuelle-
ment financer leur gravité résiduelle.
Toute organisation (entreprise, collectivité, association) a des objectifs et des
obligations. Les premiers sont fixés et attendus par ses actionnaires, clients,
membres. Les secondes le sont par la société et s’expriment par l’expression
des besoins des citoyens, la loi et la responsabilité pénale qui découle de cette
dernière.
La Gestion globale des risques (GGR) fournit une réponse globale et cohé-
rente à ces deux préoccupations, car gérer ses risques, c’est savoir identifier,
quantifier et maîtriser les évènements susceptibles d’avoir des impacts néga-
tifs sur ces deux catégories d’enjeux.
Toutes les fonctions de l’organisation sont des sources de risques. Ces
risques affectent tout ou partie des ressources humaines, matérielles ou finan-
cières de l’organisation. Ils naissent du caractère aléatoire des facteurs internes
et externes qui régissent la vie de l’organisation.
La GGR se définit donc comme une démarche transversale reposant sur la
recherche systématique de la variance de ces facteurs. Ainsi, naît une méthode
Parution : avril 2013
stochastique de management, qui refuse de ne considérer que la valeur

est strictement interdite. – © Editions T.I. AG 1 100v2 – 1
49
AG1100
GESTION GLOBALE DES RISQUES ______________________________________________________________________________________________________
moyenne des facteurs de prise de décision, mais essaye d’envisager les varia-
tions possibles de ces facteurs, en termes d’intensité et de probabilité.
Un exemple simple illustre cette définition quelque peu théorique ; la réus-
site d’un investissement industriel dépend de nombreux facteurs :
– coût de recherche et développement ;
– résultats des essais ;
– marché potentiel ;
– prix de revient du produit ;
– disponibilité des installations industrielles ;
– concurrence ;
2
– fluctuation des indicateurs économiques ;
– réglementation, etc.
Chacun de ces facteurs est une grandeur aléatoire qui se définit par sa
moyenne et sa variance. Ne raisonner que sur les moyennes est une hérésie
mathématique et une faute de gestion : la tête dans le réfrigérateur et les pieds
dans le four, en moyenne on se sent bien !
La GGR est une démarche d’analyse de ces facteurs, puis de leur synthèse,
permettant d’éclairer le décideur sur les conséquences de ses décisions. La
mise en œuvre de moyens de réduction des fluctuations ou de leurs
conséquences permet ensuite de réduire la fourchette d’incertitude sur le
résultat final.
Nous parlons ici d’organisations, et non plus seulement d’entreprises, car la GGR concerne
aussi les associations ou les collectivités publiques.
1. Méthodologie de la GGR
L’objectif de la GGR n’est pas d’éviter les risques, mais de savoir
quels risques valent la peine d’être pris (figure 1).
La Gestion globale des risques ne doit pas non plus se
confondre avec la conformité aux règles et règlements imposés
par la loi.
Exemple
La meilleure illustration de cette différence est peut-être l’image
suivante : dans une culture de conformité, quand on arrive à un
passage pour piétons, on s’arrête lorsque le rouge piéton clignote, il
n’est pas question de traverser.
Dans une culture de gestion des risques, on regarde le feu pour les
véhicules, on regarde à gauche et à droite pour voir si des véhicules
arrivent, et si la voie est libre, on traverse !
La Gestion globale des risques, dans sa dualité économique et

sociale, ce n’est pas se poser la question « Puis-je faire cela ? »,
c’est-à-dire « Est-ce légal, dans les limites des lois et Figure 1 – Jusqu’où aller pour cueillir le fruit sans tomber ?
règlements ? », mais « Devrais-je agir ainsi ? », c’est-à-dire « Est-ce
en accord avec mes principes, pourrai-je me regarder demain dans
un miroir, si ma décision fait la une des journaux, pourrai-je 1.1 Notion de risque
regarder en face mes collègues, mes collaborateurs, mes amis,
mon conjoint, mes enfants ? » Le risque est un concept bien mal défini et encore plus galvaudé !
De cette définition découle une méthodologie que l’on peut On utilise ce même mot pour désigner une situation
résumer comme suit : dommageable, tout ou partie des causes de cette situation, ses
– identifier les risques ; conséquences, voire même la victime potentielle.
– en quantifier les impacts et la probabilité d’occurrence ; On pourra ainsi dire :
– tenter de réduire ces derniers lorsque le risque est jugé – il y a un risque d’orage (situation) ;
inacceptable en l’état, en mettant en œuvre des moyens techniques, – la machine risque une surcharge électrique (cause) ;
organisationnels ou juridiques à la fois efficaces et efficients. – je risque de perdre mon investissement (conséquence) ;
Ce qui suit explicitera cette définition quelque peu ésotérique ! – cette installation est un risque majeur pour ses assureurs (victime).

AG 1 100v2 − 2 est strictement interdite. − © Editions T.I.
50
AG1100
______________________________________________________________________________________________________ GESTION GLOBALE DES RISQUES
On classera aussi parmi les risques « purs » tous ceux générés

Nous adopterons la définition suivante du risque : un risque par l’environnement de l’organisation à un niveau :
est un évènement aléatoire, trouvant son origine dans l’organi-
sation ou hors de celle-ci, et qui affecte une ou plusieurs – social (grèves, émeutes, lobbying) ;
ressources – matérielles ou immatérielles, humaines, possé- – juridique et politique (lois et décrets, protectionnisme, normes,
dées ou non – et a un impact négatif sur la performance ou les règlements) ;
obligations sociétales de l’organisation. – géographique (pollution, tempêtes, etc.) ;
– économique et commercial (fluctuation des marchés, variation
des indices) ;
Certains risques peuvent avoir des effets positifs. Ce sont ceux – technique (nouveaux procédés, flux tendus, automatisation,
que l’organisation recherche. concentration).
D’autres risques ont certainement des effets négatifs. Ce sont ■ Risques endogènes
2
ceux que l’organisation craint.
Certains risques sont donc directement générés par l’activité de
■ Risques négatifs l’organisation. On les qualifie d’endogènes. D’autres naissent dans
Les risques négatifs sont, bien sûr, les catastrophes naturelles l’environnement de l’organisation et l’affectent par contrecoup. On
ou humaines : les appelle exogènes.
– Seveso ; Tous ces risques n’ont évidemment pas la même acuité.
– Tchernobyl ; Certains sont négligeables pour une organisation, majeurs pour
– Amoco Cadiz ; une autre. Certains naissent, d’autres disparaissent avec les évolu-
tions de l’organisation et de son contexte. Ils ne sont pas non plus
– Bhopal ;
indépendants, et nous verrons que les mesures prises pour traiter
– AZF, etc.
l’un d’entre eux peut avoir des effets sur d’autres, voire en faire
Ce sont aussi des risques moins catastrophiques, mais tout naître de nouveaux.
aussi dramatiques pour leurs victimes, tels que :
– les divers incendies et autres dommages aux biens ou à
l’environnement ;
– les cambriolages ; 1.2 Concept fondamental de la GGR
– les accidents du travail ;
– les sinistres informatiques, etc. Il ne faut pas confondre risque et danger : le premier naît
Ce sont encore des risques auxquels on pense moins, tels que lorsque le second est susceptible de menacer une ressource de
par exemple : l’organisation. Un danger n’a pas d’étiquette. Le danger est
– les pertes de savoir-faire ; l’évènement déclencheur du scénario de risque. Ce peut être une
erreur, un dysfonctionnement, ou tout autre évènement interne ou
– les conséquences de l’absence de veille technologique,
externe à l’organisation, dont l’occurrence perturbera le fonction-
commerciale ou réglementaire ;
nement normal de cette dernière.
– les défaillances des fournisseurs ou des clients ;
– les engagements de responsabilité civile ou pénale de l’organi- Un danger ne nous concerne que s’il affecte une ressource,
sation ou de ses dirigeants ; c’est-à-dire un élément matériel ou immatériel nécessaire à la
– la malveillance ; réalisation du processus considéré. Si le danger impacte une
– les défaillances de la logistique et des transports ; ressource, le scénario de risque se réalisera et aura des impacts de
– la contrefaçon. natures différentes.
Ce n’est qu’en identifiant le scénario de risque qu’un danger
peut générer que l’on peut imaginer, puis estimer les dommages
Ces risques sont qualifiés de « purs » par les assureurs, par qu’il causera en frappant une ressource. Ce processus est illustré
opposition aux risques dits « spéculatifs » qui découlent des sur la figure 2 qui résume à elle seule la méthodologie d’identifica-
choix de l’organisation. tion et de quantification des risques.
Cette distinction, est discutable, car la frontière entre les On notera qu’un même scénario a des impacts de natures très
deux types de risques est mal définie. Quelle est, par exemple, différentes :
la part de la fatalité dans un choix imprudent d’un fournisseur – dommages aux biens, aux personnes, à l’environnement ;
peu fiable ? Pourtant, la « carence fournisseur » peut s’assurer.
– pertes financières ;
– altération de la réputation ;
– engagements de responsabilité, etc.
■ Risques purs La cartographie globale des risques permet de réunir les
La plupart des risques qualifiés de « purs » sont peu ou prou démarches historiquement cloisonnées par nature d’impact. En
exacerbés par les activités de l’organisation et la façon dont elle effet, les préoccupations ont évolué en fonction des enjeux :
les gère. Bien sûr, un incendie a pour origine un évènement aléa- – qualité et sécurité incendie dans les années 1950 ;
toire, la plupart du temps non souhaité. Mais l’exposition de – environnement ;
l’organisation au sinistre dépend de sa stratégie industrielle et – sécurité informatique ;
commerciale : – intrusion ;
– choix des procédés et des flux (juste-à-temps) ; – gestion des ressources humaines ;
– externalisation et sous-traitance ; – image ;
– localisation de l’activité ; – responsabilités sociétales.
– sensibilité des marchés, etc. Dans chaque domaine, se sont développées des compétences et
Les assureurs du risque de dommages ne s’y trompent d’ailleurs des systèmes de gestion spécifiques, l’organisation a désigné un
pas ; leurs visites dépassent largement la seule vulnérabilité des responsable qui développe ses propres méthodes d’identification
installations, mais abordent de plus en plus la sensibilité de l’orga- et de maîtrise des risques et ignore les dommages collatéraux
nisation à l’indisponibilité de ses ressources. dans les domaines qui ne le concernent pas.

51
AG1100
GESTION GLOBALE DES RISQUES ______________________________________________________________________________________________________
Dommage
Qualité de continuité
des services et
fournitures
Dommage
L’audit décèle Dommages aux
des scénarios personnes
de risque
2 Dommages matériels
Barrières de protection : moins graves

Impact
Barrières de prévention : moins probables
Atteintes à
l’environnement
Pertes financières
Dommage
Scénario de risque
Responsabilités
civiles ou pénales
Pertes d’image
Les processus utilisent des

Des dangers ressources matérielles,
existent, immatérielles, humaines, L’occurrence du scénario
internes et externes financières, mises à cause des dommages
à l’organisation disposition, puliques etc. de différentes natures et gravités
Figure 2 – Logigramme fondamental de la GGR
Exemple
Elle est en accord avec la norme ISO 31000 qui, dans son
Un accident du travail cause un dommage corporel identifié dans le introduction, précise bien son objet :
cadre du Document Unique requis par la loi, mais le chargé de sécu-
rité en charge de cette analyse ne mesure généralement pas les « Les organismes de tous types et de toutes tailles sont
conséquences pénales éventuelles, les dommages aux biens, ou confrontés à divers risques susceptibles d’affecter l’atteinte de
encore l’impact médiatique de cet accident. leurs objectifs. Ces objectifs peuvent concerner un ensemble
d’activités de l’organisme, depuis ses initiatives stratégiques
jusqu’à ses activités opérationnelles, ses processus et ses pro-
Ce cloisonnement a été renforcé par l’élaboration successive et jets, et se décliner en termes de résultats et d’impacts stratégi-
indépendante des normes, référentiels et autres outils de gestion ques, opérationnels et financiers ainsi que de réputation.
des risques. On aura ainsi les référentiels ISO 9001, ISO 14001,
Toute activité d’un organisme implique des risques. Le mana-
OHSAS 18001 (ou ILO-OSH 2001) pour la qualité, la sécurité et
gement du risque apporte une aide à la prise de décision par la
l’environnement, mais aussi des recommandations APSAD pour la
prise en compte de l’incertitude et de son effet sur l’atteinte des
préservation des biens, la norme ISO 27002 pour les systèmes
objectifs, et à l’évaluation de la nécessité de chaque action (...).
d’information, etc.
La même approche de management du risque peut être
Ce cloisonnement est source de doublons, d’oublis, de adoptée pour toutes les activités d’un organisme, y compris les
gaspillage d’énergie et d’argent, et d’actions conflictuelles. projets, les fonctions spécifiques, les actifs et les produits ou
activités, renforçant ainsi la liaison entre ces activités et les
La GGR apporte cohérence et performance à ces démarches que
objectifs globaux de l’organisme ».
seule l’histoire a séparées.

AG 1 100v2 – 4 est strictement interdite. – © Editions T.I.
52
AG1100
______________________________________________________________________________________________________ GESTION GLOBALE DES RISQUES
1.3 Identification des risques

Le risque naît à la rencontre d’un danger et d’une ressource.
L’identification des risques commence donc par une carto-
graphie des processus dans laquelle sont précisées les entrées et
les sorties, la contribution aux objectifs fondamentaux de l’organi-
sation et les ressources utilisées.
Entretiens avec Visite des
Base de données les responsables installations et
Ce dernier élément mérite d’être précisé : une ressource est de retour de processus et entretiens avec
un élément matériel, immatériel ou humain, possédé ou non, d’expérience des collaborateurs les opérateurs
2
interne ou externe, permettant de réaliser le processus. Ce sera
tout aussi bien :
– les machines ;
– le personnel et son savoir-faire ; Scénarios de
– les procédures ; risque
– les brevets ;
– les services publics ; Figure 3 – Processus d’identification des risques
– le contexte réglementaire.
1.4 Quantification et qualification

Une fois ces processus identifiés, le diagnostic sera conduit
selon deux axes complémentaires : les processus, d’une part, et
des risques
les installations, d’autre part. Le premier permet d’identifier les
■ Quantifier un scénario de risque, c’est lui donner une valeur
insuffisances ou les dysfonctionnements de l’organisation. Le
représentant sa probabilité et sa gravité totale (somme des
second cible les failles dans la conception, l’adéquation, l’opéra-
gravités sur les différents types de dommages concernés).
tion, l’entretien ou la maintenance des installations. Cette double
approche requiert que l’auditeur ait, à la fois la compétence tradi- ■ Qualifier un scénario de risque, c’est lui donner des attributs per-
tionnelle du consultant, capable d’analyser les processus, et une mettant des requêtes et des tris parmi tous les scénarios identifiés.
connaissance technique suffisante pour comprendre les installa-
tions, en elles-mêmes et en regard des modes opératoires. Cette
double compétence est rare. Le choix des auditeurs – internes ou 1.4.1 Quantification des risques
externes – est donc primordial. La quantification d’un scénario de risque repose sur deux
À quel niveau de l’organisation le diagnostic doit-il être conduit ? grandeurs :
– la probabilité d’occurrence de l’évènement redouté, c’est-à-dire
Selon Machiavel, « ce que l’on a prévu est presque toujours
de l’impact du danger sur une ressource ;
sans risque ». L’auditeur doit donc conduire un exercice de
– la somme des dommages pour chaque typologie de dommage.
maïeutique au plus près du terrain, tant il est vrai que seuls ceux
qui vivent la réalité des opérations peuvent en percevoir les Des grilles d’évaluation doivent être définies : peu importe
risques. L’encadrement pense qu’il faut écrire des modes qu’elles soient justes, il suffit qu’elles soient fidèles et reflètent la
opératoires et en imposer le strict respect, alors que les opérateurs hiérarchie des préoccupations et des valeurs de l’organisation.
savent que les modes opératoires ne peuvent pas toujours être Le tableau 1 donne un exemple de grille de quantification de la
respectés, et qu’ils doivent souvent s’en affranchir pour bien probabilité d’occurrence du scénario redouté.
produire. En outre, l’expérience montre que l’affirmation de
Machiavel, et la négation subjective du risque qu’elle suppose, Le tableau 2 donne un exemple de grilles de quantification des
croît avec la position hiérarchique, reconnaître une prise de risque dommages. Les typologies de dommages sont bien entendu à
dans les activités que l’on gère étant trop souvent perçu comme adapter à chaque organisation, de même que les valeurs données
un aveu d’incompétence. à chaque niveau de dommage pour chaque typologie, en fonction
de l’importance relative pour l’organisation de chaque typologie et
L’auditeur ira donc sur le terrain, rencontrera les opérateurs et des niveaux choisis.
les chefs d’équipe, se fera expliquer comment le travail est fait et
C’est pourquoi le choix de ces grilles est un acte de manage-
visualisera simultanément les lieux et les équipements concernés.
ment qui doit être validé au plus haut niveau de l’organisation.
Sans aucune censure quant à leur réalité, il collectera ainsi des
scénarios de risques, saynètes exprimant avec leurs mots les
craintes des hommes de la production, et qui toujours auront les Tableau 1 – Exemple de grille de probabilité
trois composantes énoncées plus haut : le danger, les ressources
affectées, et la nature des conséquences. N’est pas impossible au vu des
La figure 3 résume les trois composantes du diagnostic de risque. Très improbable 1 connaissances actuelles, mais non
encore observé à l’échelle mondiale
S’est déjà produit, mais dans des
Improbable 2
On y notera le retour d’expérience. Il est en effet très impor- conditions corrigées depuis lors
tant de constituer une base de données de retour d’expérience,
même si le passé ne se répète jamais à l’identique et si les don- S’est déjà produit dans des
nées techniques et économiques changent très rapidement. Probable 4 conditions comparables à celles
observées
Volontairement ou non, les mauvaises expériences sont
rapidement effacées de la mémoire collective, car elles sont Peut raisonnablement se produire,
vécues comme des échecs. Or, une organisation qui ne valo- Très probable 3 et/ou s’est déjà produit pour ce type
rise pas ses échecs se met elle-même en situation d’échec. d’activité ou d’installation

53
2
54
SE1020
La sûreté de fonctionnement :
démarches pour maîtriser les risques
par Yves MORTUREUX

Ingénieur civil des Ponts et Chaussées
Expert Sûreté de Fonctionnement à la Direction déléguée Systèmes d’exploitation
2
et sécurité à la SNCF
Vice-Président de l’Institut de Sûreté de Fonctionnement
1. Étapes de base de la maîtrise des risques ................................. SE 1 020 2

1.1 Identification des risques ........................................................................... — 2
1.2 Évaluation des risques ............................................................................... — 2
1.3 Acceptation des risques ............................................................................. — 4
1.4 Maîtrise des risques .................................................................................... — 5
2. Trois approches de la SdF, trois bonnes raisons de s’y mettre .. — 5
2.1 Clauses contractuelles................................................................................. — 5
2.2 Exigences du marché : SdF du produit ou du service .............................. — 6
2.3 SdF de la production ................................................................................... — 7
3. Exemples d’utilisation de la SdF ................................................ — 7
3.1 Fiabilisation d’installations de signalisation sur la ligne du RER E ......... — 7
3.2 Maîtrise des coûts de maintenance des moteurs aéronautiques............ — 8
3.3 Complémentarité de l’assurance qualité et de l’analyse de risques ....... — 8
3.4 Dimensionnement de la garantie et de l’après-vente............................... — 8
4. Management de la SdF ............................................................... — 9
Références bibliographiques ............................................................. — 9
ans l’industrie, on parle de plus en plus de sûreté de fonctionnement.

D Cette discipline, qui a acquis ce nom et sa forme actuelle principalement au
cours du dernier demi-siècle et dans les secteurs de la défense, de l’aéronauti-
que, de l’espace, du nucléaire, puis des télécommunications et des transports,
serait désormais utile, voire indispensable, à tous les secteurs de l’industrie et
même d’autres activités.
Les questions principales auxquelles cet article souhaite vous aider à répon-
dre sont les suivantes :
— quel intérêt pour mes activités (ou celles de mon entreprise) ?
— quelle forme l’utilisation de la sûreté de fonctionnement peut-elle revêtir ?
La sûreté de fonctionnement n’est pas un but en soi, mais un moyen ou un
ensemble de moyens : des démarches, des méthodes, des outils et un vocabu-
laire. Le but qui impose le recours à la sûreté de fonctionnement est plus recon-
naissable sous le terme de « maîtrise des risques ». On verra dans cet article que
c’est le souci de prendre des décisions optimales et justifiées (la recherche du
« juste nécessaire ») en face des événements incertains, en particulier des
échecs ou des accidents qui impose le recours aux techniques d’identification,
d’évaluation, d’acceptation ou de réduction du risque, qui constitue cet ensem-
ble que l’on a appelé la sûreté de fonctionnement.
Les démarches de la sûreté de fonctionnement et les caractéristiques qui
en expriment les résultats permettent de placer dans un système étudié une
© Techniques de l’Ingénieur, traité L’entreprise industrielle SE 1 020 − 1
55
SE1020
LA SÛRETÉ DE FONCTIONNEMENT : DÉMARCHES POUR MAÎTRISER LES RISQUES __________________________________________________________________
confiance justifiée et partageable (confiance dans son efficacité et son inno-

cuité).
Les caractéristiques pertinentes pour exprimer les fondements de la confiance
que l’on place et que l’on veut transmettre dans son système prennent des formes
(des noms et des définitions) propres au système dont il s’agit, aux cultures des
acteurs concernés, à leurs vocabulaires. Fondamentalement, il s’agit toujours de
disponibilité et de sécurité fondées sur des fiabilités et des maintenabilités élémen-
taires, mais le foisonnement des vocabulaires en usage dans les différentes bran-
ches de l’industrie (et encore plus si on élargit au-delà du monde industriel) prouve
que chacun a besoin de notions propres adaptées à son contexte.
2
Par contre, les démarches et méthodes, même cachées sous des noms
divers et variés, s’avèrent universelles. Ce sont les démarches, plutôt que les
caractéristiques, qui seront au cœur de ce second article. En matière de sûreté de
fonctionnement (et pas seulement là), il nous paraît infiniment plus important de
comprendre une démarche et un raisonnement, quitte à réinventer le vocabulaire
en l’appliquant, que d’apprendre des définitions et des règles, d’utiliser des outils
en se laissant guider par eux. Cette dernière pratique, très répandue, conduit mal-
heureusement assez souvent à des conclusions gravement erronées.
La sûreté de fonctionnement n’est que du bon sens organisé et systématisé.
S’en éloigner en se laissant conduire par une recette ou une méthode à l’encon-
tre du bon sens est, à coup sûr, s’exposer aux pires dangers d’erreurs graves.
Maîtriser les risques est une attitude naturelle que chacun pratique ; mettre en
œuvre la sûreté de fonctionnement, c’est professionnaliser cette attitude, la sys-
tématiser, l’optimiser, l’expliciter. Concrètement, cela peut se limiter à un état
d’esprit spécifique, à quelques questions que l’on se pose systématiquement ;
cela peut aussi, à l’inverse, mobiliser des équipes hautement spécialisées en
calcul de probabilités, essais, modélisations, analyses, recueil et traitement de
données… À chacun son activité, son besoin, ses enjeux, à chacun sa sûreté de
fonctionnement, mais le principe en est toujours le même.
Le lecteur pourra utilement se reporter à l’article [AG 4 670]« La sûreté de fonctionnement :
méthodes pour maîtriser les risques [3] .
1. Étapes de base d’eux, les défaillances qui peuvent les affecter, ou, plus précisé-
ment, les modes de défaillances. Cela veut dire que l’on va s’intéres-
de la maîtrise des risques ser non à la défaillance elle-même (le phénomène physico-chimique
par exemple), mais à sa manifestation dans le système étudié.
Dans une réflexion sur la sécurité d’une nouvelle installation
Une démarche sûreté de fonctionnement (SdF) doit s’intégrer (cf. figure 1), on peut chercher à recenser les accidents qui pour-
dans les activités auxquelles elle contribue et peut donc prendre des raient se produire et les événements qui font passer d’une situation
formes assez variées (cf. article Démarche générale de maîtrise du normale à un scénario d’accident potentiel.
risque dans les industries de procédés [4]). La maîtrise des risques
s’appuie toujours sur les quatre mêmes volets qui peuvent prendre
une importance et une place très différentes d’une approche à une
autre. Ces quatre volets sont les quatre étapes habituelles dans une
1.2 Évaluation des risques
démarche classique de conception ; l’identification, l’évaluation, la
réduction ou l’acceptation et la maîtrise des risques. Elle consiste à associer à chaque événement redouté étudié une
Les figures 1 et 2 présentent, à titre d’exemple deux synoptiques fréquence de survenue (une probabilité si l’on peut considérer l’évé-
types de conduite de démarche de SdF. nement comme aléatoire, une vraisemblance) et une gravité (un
coût en monnaie, en temps, en image, en vies, moral…).
Nota : il est courant mais non systématique dans les textes s’inspirant ou traduits de
l’anglo-américain d’utiliser « évaluation » comme équivalent de « assessment ». Il a alors
1.1 Identification des risques plutôt le sens donné ici à « acceptation » ou une somme de « évaluation + acceptation ».
■ L’évaluation des fréquences s’appuie le plus souvent sur le

C’est le recensement des événements redoutés, en cause dans calcul de probabilités. Pour pouvoir réaliser ces calculs, il faut dispo-
les questions posées. Par exemple, dans une réflexion visant à pré- ser des connaissances de départ suivantes : une représentation des
voir les conséquences des défaillances des composants d’un pro- fonctionnements du système liant logiquement les événements
duit (possibilité d’accidents, dimensionnement de la maintenance et dont on cherche à évaluer la fréquence à des événements dont une
de l’après-vente…), on va recenser les composants et, pour chacun évaluation de la fréquence est connue.
SE 1 020 − 2 © Techniques de l’Ingénieur, traité L’entreprise industrielle
56
AG4605
Démarche générale de maîtrise

du risque dans les industries de procédé
par Yvan VÉROT

Directeur Hygiène-Sécurité-Environnement Industrie chez ATOFINA 2
1. Éléments de maîtrise des risques ...................................................... AG 4 605 – 2

1.1 Principes généraux et définitions............................................................... — 2
1.2 Approche générale de la conception à la mise sur le marché................. — 3
2. Démarche appliquée dans les industries de procédé .................. — 4
2.1 Spécificités des industries de procédé ...................................................... — 4
2.2 Risques et inconvénients associés aux activités ...................................... — 4
2.3 Approche globale. Processus continu ....................................................... — 5
2.4 Tactique de maîtrise des risques ................................................................ — 5
2.5 Identification des risques ............................................................................ — 5
2.6 Système de management ........................................................................... — 7
2.6.1 Éléments de base................................................................................ — 7
2.6.2 Approche managériale....................................................................... — 7
2.6.3 Système de management .................................................................. — 7
2.6.4 Système « harmonisé »...................................................................... — 8
Références bibliographiques ........................................................................
— 9
out au long de son histoire, pour sa survie et son développement, l’humanité

T s’est affrontée aux risques naturels ainsi qu’à ceux résultants de ses activi-
tés. Toute action, toute initiative comporte une part de risque et d’incertitude.
Pour tout être, le risque est consubstantiel à l’existence.
Par l’évolution importante et rapide, dans un passé récent, des sciences et des
techniques, les pays industrialisés ont atteint un niveau élevé de développement
qui a permis d’accéder à une longévité et à un état sanitaire jamais atteints,
d’améliorer considérablement notre niveau de vie et de bien être, de répondre,
et au-delà, aux besoins en nourriture en dépit de l’accroissement démogra-
phique.
Bien que source de déchets, ce « progrès », essentiellement matériel a été glo-
balement accepté dans le présupposé qu’il devait, corrélativement, s’accompa-
gner d’un progrès social et moral. Il est désormais l’objet de doutes et de
discussions. Il est source d’interrogations, voire d’inquiétudes, sur les inconvé-
nients et nuisances liés au développement résultant de cet accroissement des
connaissances et de cette amélioration des techniques.
Toute activité industrielle comporte des risques. Ceux-ci suscitent, tant de la
part du public que des acteurs de l’entreprise, des interrogations, des attentes,
des exigences. Ceci fait donc obligation à tout industriel, dont les activités sont
porteuses d’inconvénients et de risques, d’apporter des réponses aux interroga-
tions ainsi exprimées :
— en tout premier lieu, il lui revient de montrer que l’initiative ou le projet
envisagé (nouveau produit, nouvelle activité), s’inscrit dans un contexte d’amé-
57
AG4605
DÉMARCHE GÉNÉRALE DE MAÎTRISE DU RISQUE DANS LES INDUSTRIES DE PROCÉDÉ ______________________________________________________________
lioration, c’est-à-dire de recherche d’un « bien », d’un « mieux », d’un « plus » et

que les « bienfaits » attendus sont bien en mesure de compenser les
« inconvénients » qui peuvent en résulter ;
— il convient ensuite de montrer que, dans le cadre des connaissances et des
techniques du moment, les risques associés à l’activité envisagée (ou à l’usage
du produit) ont été correctement identifiés et que les dispositions pour en assu-
rer la maîtrise ont été définies et mises en œuvre.
On peut, sur la base d’un certain nombre d’éléments scientifiques et techni-
ques, se donner une image « technique » répondant aux critères « d’objectivité »
du risque associé à une activité. La notion de risque revêt, cependant, également
une composante subjective liée aux composantes socioculturelles « du moment
2 et du lieu ». Ce « risque perçu », résultante des appréciations individuelles et col-

lectives, est un construit « social ».
Le présent document a pour objet de présenter les dispositions généralement
adoptées dans les industries de procédé pour la gestion globale des risques.
Dans une première partie seront présentés les éléments génériques constitutifs
de la démarche générale de maîtrise des risques dans un contexte industriel.
Dans la deuxième partie les concepts précédemment évoqués seront illustrés
par les dispositions retenues dans les industries de procédé en insistant notam-
ment sur l’approche globale et le processus continu dans la maîtrise des risques,
sur les éléments de tactique de maîtrise des risques et sur la mise en place de
systèmes de management.
1. Éléments de maîtrise
des risques Rassembler les connaissances
Évaluation du risque
1.1 Principes généraux et définitions
Se former un jugement
Pour une société exerçant des activités industrielles, vouloir assu-
rer la maîtrise des risques liés à ses activités signifie, au premier
chef, que les préoccupations correspondantes figurent au nombre
de ses objectifs et sont déclarées comme telles.
De façon générale, cela signifie qu’en premier lieu l’entreprise se
Prendre une décision
dote en la matière :
— d’abord, d’une politique définissant les valeurs et objectifs Gestion du risque
correspondants ;
— ensuite, d’une organisation et de moyens ; Assurer la mise en œuvre
— enfin, d’un ensemble de méthodes et procédures.
Par ailleurs, prétendre avoir la maîtrise d’un système suppose que
l’on dispose des connaissances nécessaires pour en avoir une com-
préhension convenable et que l’on a su définir et mettre en œuvre Figure 1 – Gestion du risque industriel
les dispositions techniques et organisationnelles permettant d’en
contrôler le fonctionnement et de réagir aux événements imprévus.
Ainsi de façon générale, vouloir assurer la maîtrise des risques
liés à un nouveau projet (nouveau produit, nouvelle activité) sup-
pose dans l’ordre que : Dans le présent document nous utiliserons les définitions sui-
— l’on dispose des connaissances nécessaires ; vantes (figure 2) :
— l’on se soit formé un jugement au regard de ces connais- — danger : propriété intrinsèque à une substance, à un sys-
sances, de règles (internes ou externes) établies et d’un système de tème qui peut conduire à un dommage ;
valeurs (internes ou externes) existant ; — situation de danger : situation caractérisée par la coexis-
— l’on adopte en conséquence une décision ; tence, éventuellement temporaire, d’un élément de danger en
— l’on procède ensuite à la mise en œuvre de cette décision, dans interaction potentielle avec un « élément vulnérable » suscep-
le respect des éléments qui y ont conduit. tible de subir des dommages ;
— risque accidentel : il caractérise la survenue du dommage
Les deux premières étapes constituent les éléments de ce que l’on
potentiel lié à une situation de danger. Il est habituellement
appelle l’évaluation du risque ; les deux dernières étapes consti-
défini par deux éléments : la probabilité de survenue du dom-
tuent les éléments de ce que l’on appelle la maîtrise du risque
mage et la gravité des conséquences.
(figure 1).
58
SE2040
Gestion des risques d’un projet
par Alain DESROCHES

Professeur à l’École centrale Paris
2
Ex-expert en gestion des risques au Centre national d’études spatiales
Membre du Conseil scientifique de l’INERIS
1. Généralités ................................................................................................. SE 2 040 - 2

1.1 Définition de l’activité de projet .................................................................. — 2
1.2 Plan de développement d’un projet ........................................................... — 3
1.3 Description du processus de gestion des risques d’un projet ................. — 3
2. Gestion des risques génériques ........................................................... — 4
2.1 Définition des risques génériques acceptables ......................................... — 4
2.1.1 Éléments d’évaluation ........................................................................ — 4
2.1.2 Éléments de décision .......................................................................... — 4
2.2 Analyse, évaluation et traitement des risques .......................................... — 5
2.2.1 Identification des situations dangereuses......................................... — 5
2.2.2 Analyse des situations dangereuses et des risques associés ......... — 7
2.2.3 Définition et consolidation des actions résultantes
en réduction des risques ............................................................................. — 7
2.2.4 Gestion du risque résiduel ................................................................. — 8
2.3 Construction des cartographies des risques génériques ......................... — 8
2.3.1 Présentation......................................................................................... — 8
2.3.2 Cartographies des risques génériques relatifs
aux classes de danger ................................................................................. — 9
2.3.3 Cartographies des risques génériques relatifs
aux classes d’impact.................................................................................... — 9
3. Gestion des risques calendaires .......................................................... — 9
3.1 Définition des risques calendaires acceptables......................................... — 10
3.2 Évaluation des risques calendaires ............................................................ — 11
3.2.1 Évaluation des risques calendaires structurels ................................ — 11
3.2.2 Évaluation des risques calendaires conjoncturels ........................... — 12
4. Gestion des risques financiers ............................................................. — 14
4.1 Définition des risques financiers acceptables ........................................... — 14
4.2 Évaluation des risques financiers ............................................................... — 15
4.2.1 Évaluation des risques financiers structurels ................................... — 15
Parution : octobre 2008 - Dernière validation : juillet 2015
4.2.2 Évaluation des risques financiers conjoncturels .............................. — 16

4.2.3 Évaluation du risque financier global................................................ — 17
oute entreprise pour exister et assurer sa pérennité, sinon sa survie, se

T doit d’entretenir des activités récurrentes et des activités nouvelles sous
forme de projets de recherche et développement aboutissant à la réalisation
et/ou à l’exploitation de produits.
La gestion d’entreprise, la gestion de projets, la gestion d’une installation ou
l’utilisation d’un produit génère des risques par les aléas mêmes du processus
de gestion. Ces risques, qu’ils soient positifs (on dit aussi spéculatifs), c'est-à-
dire volontairement pris par suite des gains espérés, ou qu’ils soient négatifs
par suite des nuisances engendrées et subies, dépendent essentiellement de la
nature de l’activité concernée et de la maturité du management. On peut
considérer qu’ils sont susceptibles d’influer sur tout ou partie de son déroule-
ment et en final sur ses objectifs.

59
SE2040
GESTION DES RISQUES D’UN PROJET ___________________________________________________________________________________________________
Ainsi :
– pour une entreprise, les risques positifs induits par les décisions de ses
dirigeants pour son développement ou les risques négatifs qu’elle subit de par
son défaut d'organisation, la concurrence... peuvent améliorer ou contrarier
ses résultats et plus globalement sa pérennité ;
– pour un projet, les risques structurels induits par la mauvaise prise en
compte des exigences, la mauvaise organisation ou une technologie insuffi-
sante et les risques conjoncturels liés aux aléas du déroulement et à la
conduite du projet, peuvent contrarier l’atteinte de ses objectifs en termes de
performances, coûts et délais ;
– pour un produit, les risques induits par sa nature, son utilisation ou son
2 exploitation (installation) peuvent contrarier ses objectifs de vente ou de pro-
ductivité associés ou non à des objectifs de sécurité non tenus.
Le produit est le résultat d’un projet. L’exploitation elle-même peut être, en tout ou en partie, assimilée à une gestion
d’entreprise.
Dans le cadre d’une politique industrielle existante, la gestion de projet est

l’activité associée au processus itératif mettant en interaction des ressources
techniques, financières et humaines pour atteindre des objectifs spécifiés par
le client en termes de performances techniques et opérationnelles et de sécu-
rité du produit associées au coût et au délai du projet.
Dans les grands projets, les objectifs de performances ne couvrent généralement que les exigences fonctionnelles et opé-
rationnelles (hors sécurité) du produit (par exemple sa disponibilité). Le niveau de sécurité du produit est défini par un
objectif spécifique et fait l’objet d’études particulières.
La stratégie mise en place par le responsable de projet pour y parvenir doit

prendre en compte les facteurs de risques, c’est-à-dire les incertitudes, les
sources de danger ou les perturbations qui existent structurellement avant et
au démarrage du projet et/ou qui peuvent survenir conjoncturellement
pendant son déroulement, en recherchant et maîtrisant celles susceptibles
d’entraîner l’échec de son projet.
Au démarrage d’un projet, les risques structurels sur le coût à l’achèvement et les délais prévus sont définis à partir des
performances spécifiées du système et de l’environnement contractuel de son développement.
La gestion des risques d’un projet vise à maîtriser l’ensemble de ces risques.
Suivant leur criticité, le traitement est individuel et spécifique ou, plus généra-
lement, global à travers les « marges ou provisions pour aléas » prises sur les
quatre composantes caractérisant les objectifs du projet. Il est complété par le
transfert financier des risques vers « un tiers » par la prise d’assurances
spécifiques.
Les analyses de risques sont concrétisées, en final, par l’élaboration de carto-
graphies des risques relatives aux neuf classes de dangers génériques,
présentés plus loin et de cartographies des risques des impacts sur les objec-
tifs du projet. La hiérarchisation des risques peut être alors faite sous forme de
« top ten des risques du projet » servant de base pour un traitement cohérent.
Un danger est un potentiel de dommage ou de préjudice pour les éléments du système et son environnement.
Ce guide présente la méthodologie de gestion globale des risques d’un

projet réalisé dans tout secteur d’activité industrielle.
1. Généralités Suivant la nature et l’importance du produit à développer, plu-

sieurs types de projet sont possibles quant à leur organisation
interne, aux intervenants externes et à la gestion des interfaces
contractuelles.
1.1 Définition de l’activité de projet
De façon générale, une activité de projet peut être définie
comme un système formé de cinq sous-systèmes (ou interve-
Contrairement à une activité d’entreprise dont l’arrêt n’est pas nants pour quatre d’entre eux) :
programmé, une activité de projet a des dates, généralement
– le client : entité décisionnelle qui finance le projet ; elle peut
contractuelles, de début et de fin programmées. Un des objectifs
être le maître d’ouvrage ou l’autorité programme ;
du projet est alors de respecter ces dates.

60
SE2040
___________________________________________________________________________________________________ GESTION DES RISQUES D’UN PROJET
– le groupe projet : il est constitué des supports internes et/

ou externes et est placé sous la responsabilité d’un chef de pro- Décide et finance
jet désigné par une autorité de la compagnie ; 1’
– les industriels contractants (maîtres d’œuvre industriels et Utilisateurs 11’ Client 1
les sous-contractants) ; Exploitent
– le ou les sites d’installation du produit développé par le 21’ 2 12
groupe projet ; Organise
– l’utilisateur : il s’agit de l’exploitant du système que le client et conduit
met à disposition à la fin du développement, après la qualifica- Groupe 13
41’ projet
tion opérationnelle (QO). L’utilisateur qui a un rôle consultatif
peut faire partie ou non de l’entité client, mais il est inclu dans 14
Réalisent
le périmètre « client » dans la mesure où il exprime des 24
2
23
besoins agréés et financés par le client. Réalisent
Un système est l’ensemble d’éléments humains, techniques, 4
Industriels 35
Sites d’exploitation 34
financiers, commerciaux ou budgétaires... en interaction, orga- 5
3 Sous-
nisé pour réaliser un produit défini par ses fonctions et ses contractants
Accueillent
objectifs de performances dans des conditions économiques et
calendaires et des contraintes environnementales données.
Ce système est illustré figure 1.

interface contractuelle
1.2 Plan de développement d’un projet

interface non contractuelle
Les phases couvertes par l’analyse des risques sont celles du
développement classique du projet, regroupées dans le tableau 1.
Nota : les phases de développement d’un projet couvrent les activités et tâches Figure 1 – Organisation contractuelle d’un projet
suivantes :
0. Expressions du besoin ;
1. Spécifications et CdCF (cahier des charges fonctionnel...) ;
2. Contrats ;
3. Fournitures initiales ou en cours du client ;
4. Gestion de projet ; Tableau 1 – Phases de développement
5. Études ; d’un projet industriel
6. Réalisation ;
7. Assurance produit et sécurité ;
8. Réception usine – site d’exploitation du système ;
9. Qualification technique (QT) par des essais de validation techniques sur site des élé- Phases de projet
ments du système ;
10. Qualification opérationnelle (QO) par des essais de validation du système dans sa Objectif de la phase
configuration opérationnelle.
Nom Intitulé
1.3 Description du processus Définir le besoin et les exigences

Analyse de la
de gestion des risques d’un projet 0
mission
fonctionnelles et opérationnelles
du client
■ La gestion des risques d’un projet est globalement fondée sur
l’application systématique des cinq actions séquentielles Appréciation par le groupe projet de
suivantes : la faisabilité technique, financière et
A Faisabilité
– définir une stratégie de développement répondant à l’ensemble calendaire (dont les risques a priori )
des objectifs du projet ; du système
– identifier les problèmes liés à sa mise en œuvre ;
– évaluer leur impact sur le déroulement du projet ; Définition
Définir une version préliminaire
– définir et consolider les solutions appropriées ; B et conception
du système
– contrôler leur application dans le temps, jusqu’à une date défi- préliminaire
nie à l’avance.
Plus précisément, au regard des objectifs du projet préalable- Définir une version détaillée
Définition et
ment définis, la gestion des risques du projet est identique dans et prototypée du système montrant
C conception
son principe au processus classique (et invariant), en cinq étapes, que toutes les fonctions visées
détaillée
de la gestion des risques techniques et opérationnels, à savoir : seront réalisées
(1) Définition des objectifs ;
(2) Identification des incertitudes et analyse des risques associés ; Développement Réaliser, intégrer, valider et qualifier
D1
(3) Évaluation et hiérarchisation de leurs impacts ; et qualification une version industrielle du système
(4) Réduction des risques : définition et consolidation des actions D
de diminution des risques, évaluation et décision d’acceptabilité Développement Réaliser la version définitive
D2
des risques résiduels ; et fabrication du système
(5) Gestion des risques résiduels : le suivi et le contrôle de leur
application, que ce soit au niveau des sous-systèmes définis plus Exploitation Organiser et optimiser l’exploitation
E
haut ou de leurs interfaces (contractuelles ou non). ou production du système
L’activité de gestion des risques doit être initiée et maintenue
jusqu’à l’obtention de l’assurance que les risques résiduels évalués Démantèlement
Définir et réaliser le démantèlement
sont en cohérence avec les objectifs du projet. Le processus asso- F ou retrait
du système
cié à cette démarche est visualisé par la figure 2. de service

61
SE2040
GESTION DES RISQUES D’UN PROJET ___________________________________________________________________________________________________
2.1.1.1 Échelle de gravité

Identification
(2)
d’un facteur de risque
La gravité est une mesure des conséquences d’un événe-
ment indésiré contrariant la réussite des objectifs du projet ou
(3) Évaluation Évaluation de l’efficacité celui de l’étape considérée.
de la criticité du risque et de la pertinence de l’action
(1)
(4) Elle est définie de façon qualitative par une échelle (adaptable) à
Objectifs Criticité non Engagement d’une action cinq niveaux caractérisés, chacun, par un « index de gravité ». Elle
du projet acceptable ? de maîtrise des risques sert à caractériser les dégradations de performance ou les pertes
relatives au glissement des délais (retard) et des coûts (surcoût
oui technique et surcoût planning) par rapport au cahier des charges
ou aux spécifications. Un exemple d’échelle est donné dans le
2
(5) Gestion des risques résiduels
tableau 2.
Figure 2 – Étapes du processus de gestion des risques d’un projet 2.1.1.2 Échelle de vraisemblance
La vraisemblance est une mesure de la confiance dans

■ La gestion globale des risques d’un projet comprend quatre acti-
l’occurrence d’un événement indésiré, contrariant dans un scé-
vités distinctes et complémentaires :
nario la réussite des objectifs du projet.
– l’identification, l’analyse et le traitement des risques génériques
sur le processus même du projet relativement à l’ensemble des Elle est définie de façon qualitative par une échelle (adaptable) à
dangers auxquels sont soumises les étapes de son déroulement. cinq niveaux caractérisés, chacun, par un « index de vraisem-
Cette analyse de nature événementielle est semi-quantitative ; blance ». La valeur de cet index, subjective, est définie par un groupe
– l’identification, l’analyse et le traitement des risques sur les d’experts. Elle peut être associée à la fréquence ou à la probabilité
performances techniques et la sécurité du produit développé. d’occurrence de l’événement indésiré relativement à un ensemble
Cette partie correspond aux études d’ingénierie et de sûreté de de projets bien que les conditions de répétition soient difficiles à
fonctionnement (fiabilité, maintenabilité, disponibilité et sécurité). garantir. Un exemple d’échelle est présenté dans le tableau 3.
Elle est quantitative et ne sera pas abordée ici car développée dans
de nombreux ouvrages ;
– l’identification, l’analyse, l’évaluation et le traitement des 2.1.2 Éléments de décision
risques calendaires sur le processus de déroulement du projet ;
Les décisions sont prises à partir de la donnée de la criticité du
– l’identification, l’analyse, l’évaluation et le traitement des
risque, du tableau de criticité et des efforts à faire pour maîtriser le
risques financiers sur le processus de déroulement du projet.
risque.
De plus, le processus de gestion des risques doit être mis en Nota : la criticité du risque est la fonction implicite du risque (G, V) ; à ne pas
œuvre avant le démarrage du projet pour minimiser les risques confondre avec l’index de risque moyen, IR , évalué par le produit de l’index de gravité
structurels et son application à la maîtrise des risques par l’index de vraisemblance (IG , IV).
conjoncturels doit permettre de converger vers un risque accep-
table en fin de projet. 2.1.2.1 Classes de criticité
Nota : seules les valeurs des caractéristiques des événements futurs peuvent être La criticité du risque est une fonction du couple
considérées comme aléatoires. Il s’ensuit que toute valeur d’une caractéristique d’un évé- « vraisemblance-gravité » qui caractérise l’importance objective et
nement passé ou présent doit être considérée comme certaine et donc sans aléa.
subjective du risque donnée par la gouvernance du projet à ce
couple. Elle correspond à un niveau de risque préétabli par les
autorités de gouvernance de la compagnie ou la direction du pro-
jet auquel sont associées des décisions explicites (tableau 4).
2. Gestion des risques
génériques 2.1.2.2 Tableau de criticité
À partir des cinq classes de vraisemblance placées en ordonnées
et des cinq classes de gravité placées en abscisses, ainsi que de
La gestion des risques génériques a pour but d’identifier, d’ana- l’échelle de criticité, est élaboré le « tableau de criticité » ou
lyser, d’évaluer et de maîtriser les risques d’échec du projet asso- « tableau d’acceptabilité des risques » (cette action est faite par la
ciés au processus même de la gestion de projet. gouvernance du projet ou de l’entreprise qui l’héberge) ; ce
Les cinq étapes de réalisation de l’analyse des risques du projet tableau permet de définir a priori la criticité d’un événement
introduites plus haut sont précisées ci-dessous. redouté sur le projet à partir de sa vraisemblance et de sa gravité.
Un exemple de tableau de criticité est donné (tableau 5).
Nota : la différence entre criticité et index de risque moyen est visualisée dans le
2.1 Définition des risques génériques tableau 5 où la criticité du risque (G5, V2) est C3 et celle du risque (G2, V5) est C2.
acceptables
2.1.2.3 Classes d’efforts
Comme déjà mentionné précédemment, les objectifs de perfor- Pour réduire et contrôler les risques, les actions mises en œuvre
mance, de sécurité, financiers et calendaires doivent être atteints nécessitent des efforts pouvant aller du contrôle au changement de
en fin de projet. Leur définition est généralement faite à partir du stratégie et à la réorganisation du projet et des moyens. Ces efforts
retour d’expérience sur des projets antérieurs de même nature. passent généralement par des financements complémentaires à
ceux prévus et nécessaires au déroulement nominal du projet. Il est
clair qu’en fonction de l’effort défini en termes de bénéfice/risque
2.1.1 Éléments d’évaluation une action est décidée plutôt qu’une autre.
Les évaluations sont faites à partir des échelles de gravité et de Un exemple d’échelle d’efforts génériques est donné dans le
vraisemblance des risques. tableau 6.

62
SE2080
Évaluation du vieillissement
industriel
Méthodologie
par André LANNOY
2
Institut pour la Maı̂trise des Risques
et Henri PROCACCIA
European Safety and Reliability Data Association
1. Contexte, terminologie .................................................................. SE 2 080 – 3

1.1 Définition du vieillissement ............................................................... — 3
1.2 Deux visions du vieillissement .......................................................... — 3
1.3 Pourquoi s’intéresser au vieillissement d’une installation ? ............ — 3
2. Identification du processus de vieillissement .......................... — 4
2.1 Quelles questions se pose un exploitant ?........................................ — 4
2.2 Méthodologie d’évaluation globale ................................................... — 5
2.2.1 Phase 1 : identification et hiérarchisation des composants
importants ................................................................................ — 5
2.2.2 Phase 2 : évaluation du vieillissement pour les composants
importants ................................................................................ — 6
2.2.3 Phase 3 : mise en œuvre de parades adéquates
pour la maı̂trise du vieillissement........................................... — 6
2.3 Rôle stratégique du retour d’expérience ........................................... — 6
2.4 Anticipation des mécanismes de dégradation .................................. — 7
3. Évaluation du vieillissement......................................................... — 8
3.1 Généralités, modélisation de la fiabilité ............................................ — 8
3.2 Composants non réparables, analyse de Weibull ............................. — 9
3.3 Composants réparables ..................................................................... — 11
3.3.1 Pourquoi constate-t-on des taux de défaillance constants
en phase d’exploitation ? ........................................................ — 11
3.3.2 Méthode d’estimation de la fiabilité prévisionnelle
d’un composant après le choix d’une option ......................... — 11
3.3.3 Actualisation des données de fiabilité .................................... — 12
3.3.4 Efficacité de la maintenance.................................................... — 14
3.3.5 Exemple d’application : vieillissement de compresseurs ...... — 14
3.4 Modélisation des dégradations.......................................................... — 16
4. Maı̂trise du vieillissement ............................................................. — 17
4.1 Problème de la durabilité ................................................................... — 17
4.2 Méthode OMF dans un contexte de durabilité.................................. — 17
Parution : avril 2009 - Dernière validation : mars 2015
4.3 Surveillance et optimisation des inspections.................................... — 18

4.4 Méthodes dites « Risk Informed Asset Management » .................... — 18
5. Conclusions, enseignements opérationnels, perspectives
R&D.................................................................................................... — 19
ans ce dossier, on vise à fournir une méthodologie générale d’étude du

D vieillissement industriel d’un composant ou d’une installation. Le lecteur
y trouvera les éléments principaux de la méthodologie à déployer. Les métho-
des ne sont pas détaillées, mais le lecteur trouvera suffisamment d’éléments
pour démarrer une étude de vieillissement et il pourra en outre trouver les réfé-
rences adéquates pour aller plus loin.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

63
SE2080
ÉVALUATION DU VIEILLISSEMENT INDUSTRIEL ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Le vieillissement des installations industrielles se traduit par une dégradation

continue, plus ou moins rapide, des performances des composants, systèmes
et structures, ou par leur perte de fonction. Un certain nombre de parades (pro-
gramme de maintenance, de rénovation, de remplacement,…) peuvent ralentir
ou limiter le vieillissement, permettant ainsi d’optimiser leurs performances, en
particulier leur durée d’exploitation, tout en maı̂trisant les risques. Encore faut-il
anticiper les défaillances potentielles, avant qu’elles ne se produisent, et prévoir
les conséquences à long terme des remèdes, des options que l’on souhaite met-
tre en œuvre préventivement. Pour ce faire, le retour d’expérience d’exploita-
tion et son analyse, ainsi que l’utilisation de l’expertise industrielle sont des
éléments stratégiques.
Après avoir défini le vieillissement et montré qu’il y avait deux visions du
2 vieillissement, l’une physique, l’autre fiabiliste, se pose le problème industriel
et le choix d’une méthodologie. Cette dernière se présente sous la forme habi-
tuelle d’une analyse de risque. On insiste ensuite sur l’anticipation puis sur
l’évaluation de la fiabilité prévisionnelle, cette dernière étant l’un des paramè-
tres les plus influents pour optimiser le choix de l’option préventive destinée à
contrecarrer le vieillissement et à maı̂triser les risques industriels tout en amé-
liorant les performances. Les caractéristiques essentielles d’une étude de vieil-
lissement et quelques pistes de recherche et développement pour les prochai-
nes années permettent de conclure.
Acronymes Acronymes (suite)

ABAO As Bad As Old LCM Life Cycle Management (démarche)
AFD Anticipatory Failure Determination (méthode) [19] LR License Renewal
AGAN As Good As New NPV Net Present Value (ou VAN)
AM Asset Management OMF Optimisation de la Maintenance par la Fiabilité
(démarche)
ARA Arithmetic Reduction of Age (méthode) [14]
PAM Proactive Asset Management (démarche et logiciel)
ARCS Age Réel des ComposantS (module logiciel) [9]
PIRT Phenomena Identification and Ranking Table
AVISE Anticipation du Vieillissement par Interrogation et Sti- (méthode)
mulation d’Experts (méthode) [7]
PMC Population Monte Carlo (algorithme) [5]
BRM Bayesian Restoration Maximisation (algorithme) [1]
PMDA Proactive Materials Degradation Assessment (démar-
DAC Data Agreement Criterion [5] che)
EIReDA European Industry Reliability Data (recueil de données PMDB Preventive Maintenance Basis Database (base de don-
de fiabilité) [15] nées)
EPRI Electric Power Research Institute RIAM Risk Informed Asset Management (démarche et logi-
ciel)
EPS Evaluation Probalistique de la Sûreté (démarche)
SEM Stochastic Expectation Maximisation (algorithme) [1]
GALL Generic Ageing Lessons Learned (base de données)
SSC Système, Structure ou Composant
IAEA International Atomic Energy Agency
TRIZ Méthode de résolution de problème et d’aide à l’inno-
IBTV Inférence Bayésienne pour le Traitement d’un Vieillis- vation [22]
sement (méthode) [10]
TTT Temps Total en Test
IFR Increasing Failure Rate
US NRC United State Nuclear Regulatory Commission
ISdF Institut de Sûreté de Fonctionnement (organisme pré-
décesseur de l’Institut pour la Maı̂trise des Risques) VAN Valeur Actualisée Nette (ou NPV)

64
SE2080
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– ÉVALUATION DU VIEILLISSEMENT INDUSTRIEL
1. Contexte, terminologie 1.2 Deux visions du vieillissement

Par conséquent, s’il y a une accumulation de défaillances au sens
de la définition de Clarotti [10], il peut y avoir vieillissement. Clarotti
estime d’ailleurs que cette condition n’est pas nécessairement suf-
1.1 Définition du vieillissement fisante, l’accumulation des défaillances pouvant être due à un
défaut de conception. Clarotti considère aussi que les données du
Il y a de très nombreuses définitions possibles pour le retour d’expérience ne sont en général pas suffisantes pour statuer
vieillissement. sur la pertinence d’un phénomène de vieillissement pendant le
temps de mission du composant. On peut sortir de cette situation
désagréable en postulant que, s’il y a vieillissement, ce dernier
On retient la définition proposée [16] par l’Agence pour l’éner- s’initiera après un temps inférieur au temps de mission (§ 3.3.2).
gie nucléaire et reprise par l’Electric Power Research Institute Les données observées auront alors la tâche de confirmer ou d’in-
(EPRI) : processus par lequel les caractéristiques d’un système, firmer cette hypothèse. L’accumulation des défaillances sera beau-
2
structure ou composant (SSC) se modifient graduellement avec coup plus sensible après ce temps d’initiation qu’avant.
le temps ou l’utilisation.
La défaillance conduit à une perte de fonction. En outre, pendant
qu’il fonctionne, le matériel se dégrade progressivement, continû-
Dans la suite du texte, on utilise également la terminologie de ment ; il est dégradé mais pas encore défaillant. Si les limites tech-
l’encadré suivant, extraite de la même référence. niques acceptables ne sont pas atteintes, la fonction n’est pas alté-
rée et le matériel continue à bien fonctionner bien que dégradé ; il
n’y a pas perte de fonction.
Terminologie EPRI [16]
On voit donc bien qu’il y a deux visions différentes du vieillisse-
Analyse de la défaillance : procédé systématique de détermina- ment, une vision « vieillissement fiabiliste » caractérisé par des
tion et de documentation des mécanismes et des causes super- états tout ou rien : ou le matériel a perdu sa fonction (alors il est
ficielles et profondes de la défaillance d’un SSC. défaillant) ou il fonctionne (mais peut-être est-il dégradé), et une
Conditions de service : conditions réelles qui ont un impact sur vision « vieillissement physique » qui correspond à la lente et
le SSC (conditions normales, transitoires d’exploitation, continue dégradation des propriétés des matériaux et des fonctions
erreurs, conditions accidentelles). du matériel.
Critère d’acceptabilité : limite spécifique d’un indicateur fonc- Le tableau 1 compare ces deux visions. On remarque immédiate-
tionnel ou d’état, utilisée pour évaluer l’aptitude d’un SSC à ment que l’analyse de ces deux visions va nécessiter un retour
remplir la fonction pour laquelle il est conçu. d’expérience différent, une démarche différente. Une fois de plus,
Défaillance : inaptitude ou interruption de l’aptitude d’un SSC à le retour d’expérience apparaı̂t comme un élément stratégique
fonctionner dans les limites des critères d’acceptabilité. incontournable.
Dégradation : détérioration immédiate ou graduelle des carac-
téristiques d’un SSC qui pourrait altérer son aptitude à fonc-
tionner dans les limites des critères d’acceptabilité ; si elle est 1.3 Pourquoi s’intéresser
progressive, alors il y a vieillissement ; elle est engendrée par au vieillissement d’une installation ?
les conditions de service.
Effets du vieillissement : modifications nettes des caractéristi- Si les mécanismes de dégradation sont bien maı̂trisés, l’intérêt
ques d’un SSC qui se produisent avec le temps ou l’utilisation économique de prolonger la durée de vie d’une installation et de
et qui sont dues aux mécanismes de vieillissement. ses matériels est évident, notamment pour les installations lourdes,
Gestion du vieillissement : mesures d’ordre technique, d’ex- nécessitant de forts investissements. Toutefois outre les aspects de
ploitation ou de maintenance, visant à maintenir, dans les limi- l’intérêt technico-économique de la prolongation de vie, il est indis-
tes acceptables la dégradation par vieillissement et l’usure des pensable d’identifier les principaux vecteurs de vieillissement, de
SSC. les détecter, de les évaluer et les hiérarchiser et de prendre les
Inspection en service : examen ou contrôle de l’intégrité d’un mesures nécessaires afin de les atténuer ou de les différer, voire
SSC pendant l’exploitation ou l’arrêt. de les supprimer.
Maintenance : ensemble des actions directes ou indirectes qui
permettent de déceler, d’éviter ou d’atténuer la dégradation La durée de vie est malheureusement une notion post mortem.
d’un SSC en fonctionnement, ou de rétablir à un niveau accep- On ne connaı̂t réellement la durée de vie que lorsqu’une défaillance
table l’aptitude d’un SSC défaillant à remplir les fonctions majeure irrémédiable est survenue. Ce cas se rencontre rarement
nominales. dans la pratique puisque l’on cherche à éviter cette situation et
Mécanisme de vieillissement (ou mécanisme de dégradation) : que généralement c’est l’optimisation technico-économique qui
processus spécifique qui modifie graduellement les caractéris- décide de la durée de vie.
tiques d’un SSC avec le temps ou l’utilisation.
Vieillissement : processus par lequel les caractéristiques d’un
SSC se modifient graduellement avec le temps ou l’utilisation. Notons que l’ingénieur cherche à déterminer la durabilité, qui
est l’aptitude d’un bien à accomplir une fonction requise, dans
des conditions données d’usage et de maintenance, jusqu’à ce
Sur le plan de la fiabilité, certains fiabilistes estiment que si le qu’un état limite soit atteint (définition de la norme NF EN 13306).
taux de défaillance ou l’intensité de défaillance est croissante (on Cet état limite peut être caractérisé par la fin de sa vie utile, par
utilise le terme anglo-saxon IFR, Increasing Failure Rate), alors il y son inadaptation pour des raisons techniques et économiques
a vieillissement. Cela semble un raccourci peu valable. Barlow [2] ou pour d’autres raisons pertinentes.
considère d’ailleurs que l’on ne peut pas caractériser le vieillisse-
ment par cette seule propriété de croissance IFR. Outre la durée de vie réelle post mortem, période qui va de la
Pour pallier ce problème, Clarotti [10] dans des études de détec- fabrication à la réforme, on peut distinguer plusieurs définitions
tion de vieillissement d’un matériel, estime que le vieillissement pour la durée de vie :
apparaı̂t lorsqu’il y a une accumulation de défaillances autour de – la durée de vie nominale ou durée de vie intrinsèque ou durée
la vie moyenne de ce matériel. Cette définition correspond à celle de vie prévue à la conception, qui est la période pendant laquelle il
des démographes. est prévu qu’un SSC fonctionne dans les limites d’acceptabilité ;

65
SE2080
ÉVALUATION DU VIEILLISSEMENT INDUSTRIEL ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Tableau 1 – Deux visions du vieillissement 2. Identification du processus

Vieillissement Vieillissement
de vieillissement
Vision
fiabiliste physique
Matériels Plutôt les composants Plutôt les composants 2.1 Quelles questions se pose
concernés actifs passifs
un exploitant ?
Mécanismes Nombreux Souvent unique
L’exploitant, qui engage une étude de vieillissement de son ins-
de
tallation, a deux préoccupations majeures :
dégradation
– la sûreté ou la sécurité ; il ne faut pas que le vieillissement
Modes Nombreux Souvent unique, peut concerne les composants importants pour la sûreté ; enfin, il faut
2
de défaillance être évité (grâce à la absolument prévoir les actions de maı̂trise d’un éventuel vieillisse-
surveillance) ment ; il faut anticiper tout vieillissement éventuel afin de le
contrecarrer ;
Vitesse Relativement rapide, Lente, phénomène – la perte de production ou de disponibilité, les coûts d’entretien,
d’apparition du quelquefois catalec- continu de réparation ou de remplacement ; le vieillissement d’un compo-
vieillissement tique sant ne doit pas pénaliser les profits ; il est donc important de
détecter les composants à l’origine d’un vieillissement, de prévoir
Modélisation Probabiliste (recherche – physique, si les l’évolution de ce vieillissement et de prendre les mesures et para-
d’une loi de durée de connaissances sont suf- des nécessaires.
vie à partir d’un échan- fisantes ; le mécanisme
tillon observé de défail- de dégradation unique La maı̂trise du vieillissement est aussi un problème d’échelle
lances) étant connu avec les niveaux suivants :
– statistique, à partir – le composant élémentaire (SSC) ;
des données de dégra- – l’installation (comment traduire des décisions techniques en
dation observées à des des conséquences économiques au niveau d’une installation, et
intervalles de temps vice versa ?) ;
plus ou moins réguliers – le parc (corporate) (comment piloter un grand nombre d’instal-
lations similaires avec les contraintes associées ?).
Données Défaillances (perte de Dégradations (par
principales fonction) exemple données de Les questions que se pose l’exploitant sont de plusieurs ordres :
contrôle, données de a) l’installation
profondeur d’usure…) – quels sont les systèmes, structures et composants susceptibles
Autres Données de survie Eventuellement, des de se dégrader ?
données (censures à droite) données physiques – sont-ils importants pour la sécurité ou pour la sûreté ? quel est
utilisées Expertise Expertise leur impact en termes de risque ?
Retour d’expérience – sont-ils remplaçables ? maintenables ? est-il facile de les rem-
analogue placer, de les maintenir ?
– sont-ils coûteux, en termes de coûts de maintenance, de coûts
Indicateurs Taux de défaillance In- Taux de défaillance d’acquisition (s’il faut les remplacer) ?
recherchés tensité de défaillance Probabilité de défail- – quelle est la durée de vie résiduelle ? ou quelle est la durée de
Probabilité de défail- lance vie déjà consommée ?
lance Durée de vie résiduelle b) le vieillissement proprement dit
Durée de vie moyenne Covariables influentes
– a t’on bien prévu les mécanismes de dégradation pendant la
Domaine Fiabilité et maintenance, Approche probabiliste durée de vie ?
démarche OMF (optimi- physique, maintenance – quelle est la cinétique d’évolution des mécanismes de
sation de la mainte- conditionnelle dégradation ?
nance par la fiabilité) – a t’on réellement observé tous les mécanismes potentiels ? ne
va t’on pas avoir des « surprises », par exemple des mécanismes
non prévus qui se manifestent sur le tard, ou des mécanismes qui
– la durée de vie résiduelle ou durée de vie restante, période qui apparaissent car le régime de fonctionnement n’est pas conforme
va d’un moment déterminé jusqu’à la réforme d’un SSC ; au cahier des charges initial ?
– la durée de vie technologique ; à cause de l’obsolescence des – comment anticiper un vieillissement ?
composants, il n’est plus possible de maintenir l’installation, de
remplacer des équipements ; on parle alors de vieillissement c) l’estimation de la durée de vie
technologique ; – comment estimer la durée de vie résiduelle ? sur quels critères ?
– la durée de vie réglementaire, qui correspond au moment où sur quelles marges ?
une autorité administrative interdirait la poursuite de l’exploitation ; – quelles informations sont nécessaires ? les possède t’on ? sont-
cette durée de vie est fonction de l’état technique, des conditions elles disponibles, accessibles ? comment les traiter ? où se trouve
d’exploitation – maintenance, et du référentiel de sûreté ; l’historique ?
– la durée de vie technico-économique ; au delà d’un certain – que faire si le profil de fonctionnement de l’installation est dif-
seuil, les investissements complémentaires nécessaires peuvent férent de ce qui était initialement prévu à la conception ?
ne plus pouvoir être amortis dans le futur ou le risque industriel – que faire si une cinétique de dégradation s’avère plus rapide
peut être jugé trop important ; c’est généralement ce critère qui que prévue ?
décide de l’arrêt ou de la fin de vie d’une installation et de ses – comment anticiper le vieillissement ou comment détecter des
matériels ; mécanismes non entrevus initialement ? soit parce qu’ils n’ont pas
– enfin la durée de vie politique ; une décision politique pourrait été envisagés à la conception, soit parce que de nouveaux mécanis-
demander l’arrêt de l’exploitation. mes de dégradation apparaissent par suite de changements de

66
SE2080
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– ÉVALUATION DU VIEILLISSEMENT INDUSTRIEL
conditions de service ou d’augmentation de la durée d’exploitation

(prolongation) ; Tableau 2 – Grandes tendances des études
– quelle est l’efficacité des opérations de maintenance ? sont- de vieillissement, sans que ce ne soit une généralité
elles suffisamment efficaces pour maı̂triser le vieillissement ?
d) la maı̂trise du vieillissement Disponibilité/perte
Objectif Sûreté/sécurité
de production
– les programmes actuels de maintenance préventive/surveil-
lance/inspection, sont-ils adéquats, suffisants, pour détecter un Impact Sur les fonctions de Sur la disponibilité,
mécanisme de dégradation ? puis pour supprimer ou différer ou sûreté de l’installation donc sur les profits
éviter le vieillissement ?
– faut-il mettre en place de nouveaux programmes ? comment Phase 1 : Plutôt les composants Plutôt les composants
les déterminer ? identification passifs, quelques com- actifs, quelques com-
– quels en sont les coûts ou les surcoûts ? posants actifs posants passifs
– peut-on réduire les effets des dégradations en modifiant les
procédures d’exploitation, la chimie, le traitement chimique,… ?
Tous ces points sont normalement pris en compte dès la concep-
Phase 2 :
évaluation
Modèles de dégradation Modèles de fiabilité
Estimation d’une durée Efficacité de la mainte-
de vie résiduelle nance
2
tion. On ne devrait donc pas s’en préoccuper pendant la durée de
vie initialement prévue à la conception. Néanmoins les objectifs de Phase 3 : parade Inspection Maintenance préven-
sécurité, de sûreté des industriels font en sorte qu’il s’agit d’une Surveillance tive optimisée
préoccupation majeure pour une installation vieillissante. La main- Remplacement
tenance préventive, la surveillance, l’inspection sont les remparts
d’un bon comportement en sûreté et par conséquent pour la dispo- Domaine Renouvellement de li- Gestion du cycle de vie
nibilité et les profits. Profits et sûreté vont dans le même sens : une cense d’exploitation Life Cycle Management
installation sûre connaı̂t moins de défaillances donc produit plus et License Renewal LR LCM
amène plus de profits. Plus de profits permettent d’investir plus
pour la sûreté. La clef de l’exploitation d’une installation vieillis- s’appuie sur l’historique d’exploitation (au sens large) de l’installa-
sante est bien évidemment la qualité de la maintenance pratiquée. tion. On peut aussi remarquer que la méthodologie OMF d’optimi-
Une installation jeune avec une maintenance non adaptée peut se sation de la maintenance par la fiabilité présente sensiblement les
révéler plus « risquée » qu’une installation ancienne dont la main- mêmes phases.
tenance est optimisée. Si par contre, l’exploitant souhaite prolon-
ger la durée de vie initialement prévue à la conception, aller au- Cette méthodologie peut être appliquée que les composants
delà de cette durée de vie, alors une analyse complète du vieillisse- soient actifs ou passifs, que les objectifs soient des objectifs de
ment est nécessaire. L’anticipation devient alors incontournable. sûreté ou de disponibilité. Ces deux objectifs sont souvent conco-
mitants. Le tableau 2 tente de faire un parallèle entre ces deux
grands objectifs. In fine, l’industriel doit évaluer le vieillissement
2.2 Méthodologie d’évaluation globale de tous les matériels importants de son installation.
Notons cependant qu’une autorité réglementaire ne s’intéresse
La démarche préconisée ici s’inspire de la méthodologie IAEA qu’à la colonne sûreté/sécurité du tableau 2 concernant les maté-
(International Atomic Energy Authority) [20]. riels importants pour la sûreté. L’industriel, par contre, soucieux
Cette méthodologie comprend trois grandes phases (figure 1) : de sa compétitivité, doit aussi évaluer le vieillissement des maté-
riels importants pour la disponibilité/perte de production. On
– phase 1 : identification et hiérarchisation des composants pour
retrouve les enjeux des études OMF d’optimisation de la mainte-
lesquels une étude de vieillissement est nécessaire ;
nance par la fiabilité. Les coûts quels qu’ils soient : de mainte-
– phase 2 : évaluation du vieillissement pour ces composants
nance, d’une perte de production, d’acquisition (« capital addi-
importants ; tions »),… interviennent au moment de l’évaluation technico-
– phase 3 : mise en œuvre de parades adéquates pour la maı̂trise économique lorsqu’il s’agit de décider d’un arrêt, d’un fonctionne-
du vieillissement. ment normal ou d’une prolongation.
On retrouve, dans ces trois grandes phases, le schéma habituel
des analyses de risque, d’autant plus que chacune de ces phases 2.2.1 Phase 1 : Identification et hiérarchisation
des composants importants
Une installation comprend un nombre très important de SSC. Il
Phase 1 : identification n’est pas nécessaire de les examiner tous sur l’aspect du vieillisse-
et hiérarchisation ment. Seuls ceux considérés importants pour la sûreté ou pour la
des composants perte de production sont à examiner. Ces composants importants
nécessitent une évaluation complète des effets du vieillissement.
L’EPS (évaluation probabiliste de la sûreté), par le calcul de fac-
teurs de risque, permet :
Phase 2 : évaluation
du vieillissement – d’évaluer la criticité d’un mode de défaillance en examinant la
des composants gravité de ses effets et la fréquence d’occurrence ;
– de hiérarchiser l’importance des modes de défaillance dans leur
contribution aux scénarii accidentels ;
– de mettre en évidence les matériels les plus critiques, ceux qui
contribuent le plus à l’enjeu de la sûreté.
Phase 3 : mise en oeuvre
de parades, maîtrise Cette démarche « probabiliste » complète et enrichit l’analyse
du vieillissement exhaustive des rôles des matériels étudiés et des conséquences
de leurs défaillances prises une à une (initiation d’incidents ou
d’accidents, respect des spécifications techniques d’exploitation,
Figure 1 – Grandes phases d’une étude de vieillissement classement de sûreté).

67
2
68
SE3200
Évaluation des risques

Les résultats dans un document unique
par Anne HANQUIEZ
DEA Droit de l’environnement
2
Responsable du site envirodroit.net
1. Éléments juridiques................................................................................. SE 3 200 - 2

2. Définir une démarche de prévention et d’évaluation .................... — 2
2.1 La démarche de prévention ........................................................................ — 2
2.2 L’évaluation des risques .............................................................................. — 3
3. Formalisation du document unique .................................................... — 5
3.1 Forme du document unique ....................................................................... — 5
3.2 Établissement du document unique .......................................................... — 5
3.3 Mise à jour du document unique ............................................................... — 7
3.4 Accessibilité du document unique ............................................................. — 7
4. Sanctions.................................................................................................... — 8
5. Conclusion ................................................................................................. — 8
ntroduite pour la première fois en droit français du travail par la loi no 91-1414
I du 31 décembre 1991 (Code du travail, art. L. 230-2), l’évaluation des
risques a connu une nouvelle avancée, avec la parution du décret no 2001-1016
du 5 novembre 2001 portant création d’un document relatif à l’évaluation des
risques pour la santé et la sécurité des travailleurs. Désormais, les résultats de
cette évaluation des risques devront être transcrits dans un document unique.
Cette prescription inquiète les entreprises pour au moins deux raisons : d’une
part les incertitudes liées à la lecture du texte, et d’autre part les conséquences
pénales qui peuvent être associées à son inobservation.
D’aucuns diront qu’il y a longtemps que les entreprises et professionnels de la
prévention évaluent les risques et que c’est être pessimiste de s’inquiéter. C’est
certainement vrai, mais le caractère d’obligation juridique spécifique, que la
directive cadre européenne du 9 juin 1989 (*) a demandé aux États membres de
transposer dans leurs systèmes juridiques nationaux, a modifié les données de
la question. De règle de l’art, vue sous l’angle des savoir-faire, l’évaluation des
risques a été placée au cœur de l’obligation de sécurité du chef d’entreprise.
Cet article propose une analyse minutieuse du texte, tant du point de vue juri-
dique qu’organisationnel.
(*) Directive 89/391/CEE du Conseil, du 12 juin 1989, concernant la mise en œuvre de mesures visant à promouvoir l’amélio-
ration de la sécurité et de la santé des travailleurs au travail (JOCE no L 183 du 29 juin 1989).
© Techniques de l’Ingénieur, traité Sécurité et Gestion des risques SE 3 200 − 1
69
SE3200
ÉVALUATION DES RISQUES : RÉSUTATS DANS UN DOCUMENT UNIQUE ___________________________________________________________________________
1. Éléments juridiques 2. Définir une démarche

de prévention
CE QU’IL FAUT RETENIR et d’évaluation
Document unique : obligation pour l’employeur
Dans les établissements occupant au moins 50 salariés,
l’employeur doit transcrire et mettre à jour dans un document 2.1 La démarche de prévention
unique les résultats de l’évaluation des risques pour la sécurité
et la santé des travailleurs.
2.1.1 Enjeux
2 ■ Le décret no 2001-1016 du 5 novembre 2001 prévoit que

l’employeur doit transcrire les résultats de l’évaluation des risques
pour la santé et la sécurité des travailleurs dans un document uni-
L’importance du document unique ne peut être négligée : la circu-
laire du 18 avril 2002 rappelle à de nombreuses reprises que
que comportant un inventaire des risques dans chaque unité de tra- « l’évaluation a priori des risques constitue un des principaux
vail. Cette exigence concrétise l’obligation pour l’employeur de leviers de progrès de la démarche de prévention des risques profes-
procéder à l’évaluation des risques issue de la loi no 91-1414 du sionnels au sein de l’entreprise ».
31 décembre 1991, qui transposait la directive communautaire du L’existence juridique de l’obligation d’évaluation des risques
12 juin 1989. n’était, depuis l’entrée en vigueur de la loi du 31 décembre 1991, pas
Le décret complète la transposition de cette directive, d’une part, contestable. Rappelons à cet égard qu’en vertu de l’article L. 230-2
en inscrivant l’obligation pour l’employeur de conserver les résul- du Code du travail, le chef d’établissement « prend les mesures
tats de l’évaluation des risques qu’il a effectuée, et, d’autre part, en nécessaires pour assurer la sécurité et protéger la santé des tra-
définissant les modalités de mise à disposition du document trans- vailleurs de l’établissement, y compris les travailleurs
crivant les résultats de l’évaluation des risques aux acteurs internes temporaires ». Ainsi, l’employeur doit « évaluer les risques qui ne
et externes de l’entreprise. Il introduit deux dispositions dans le peuvent pas être évités », ce qui suppose une analyse globale des
Code du travail : la première précise le contenu de l’obligation pour risques.
l’employeur de créer et conserver un document transcrivant les
Cependant, l’absence de sanctions pénales et d’obligation de for-
résultats de l’évaluation des risques à laquelle il a procédé ; la
malisation de l’évaluation des risques en tant que telle, n’a pas per-
seconde porte sur le dispositif de sanctions pénales prévu en cas de
mis que l’on prenne suffisamment conscience de la portée juridique
non-respect par l’employeur des différentes obligations auxquelles
de la règle.
il est soumis en matière d’évaluation des risques à compter du
8 novembre 2002. Certes, son inobservation pouvait, et peut toujours être retenue
pour caractériser l’existence d’une faute pénale d’imprudence au
■ Une circulaire de la Direction des Relations du travail (*), apporte sens du Code pénal (art. L.121-3). Ainsi, plusieurs juridictions péna-
des précisions juridiques sur le document unique (notamment sur la les ont prononcé des condamnations de dirigeants après avoir
forme et le contenu du document, sa mise à jour, son accessibilité et observé que l’absence d’évaluation des risques, ou son insuffi-
les sanctions pénales) ainsi que sur des éléments de méthode sance, avait contribué à la survenance de l’accident (par exemple,
concernant, plus généralement, la démarche de prévention. Elle Tribunal correctionnel de Grenoble, 8 janvier 2001, Rhodia chimie).
préconise de mener celle-ci en cinq étapes : la préparation de la Pourtant la difficulté de la preuve d’une telle inobservation a donné
démarche de prévention, l’évaluation des risques, l’établissement à cette hypothèse un caractère exceptionnel.
d’un programme d’actions, la mise en œuvre des actions de préven-
tion et, le cas échéant, une nouvelle évaluation des risques. (Dans le Désormais donc, l’obligation d’évaluation des risques doit être
document unique, toute mention à la circulaire renvoie à cette circu- formalisée, sous peine de sanctions pénales.
laire no 6 DRT du 18 avril 2002, et toute référence au texte, sans
autre précision, ou au décret, renvoie au décret no 2001-1016 du
5 novembre 2001.) 2.1.2 Participation d’acteurs internes
(*) Circulaire no 6 DRT du 18 avril 2002 prise pour l’application du décret no 2001-1016 et externes
portant création d’un document relatif à l’évaluation des risques pour la santé et la sécurité
des travailleurs, prévue à l’article L.230-2 du Code du travail et modifiant le Code du travail.
L’obligation de transcription des résultats de l’évaluation des ris-
Il est toutefois nécessaire de rappeler ici que si les circulaires
ques incombe à l’employeur (ou à son délégataire de pouvoirs en la
ministérielles sont bien des textes au sens matériel du terme, elles
matière). Lui seul est responsable du document, même s’il confie sa
ne créent, à la différence des arrêtés, pas de règles de droit. Les cir-
réalisation à un chargé de sécurité ou à toute autre personne qu’il
culaires ont pour objet de préciser et de faire connaître aux diffé-
estime compétente pour le faire.
rents services du ministère l’interprétation officielle que le ministre
donne de tel ou tel texte législatif ou réglementaire. Cette interpré- S’il en est juridiquement le seul responsable in fine, l’employeur
tation s’impose aux agents du ministère parce qu’ils doivent obéis- n’est toutefois pas le seul acteur dans la démarche de prévention.
sance à leurs supérieurs, mais pas aux tribunaux parce qu’il ne Ainsi la circulaire précise que l’obligation de transcrire dans un
s’agit pas d’une règle de droit. À cet égard, la circulaire du 18 avril document les résultats de l’évaluation des risques doit aussi contri-
2002 précise dès son introduction qu’elle vise à fournir à buer au dialogue social au sein de l’entreprise, sur l’évaluation elle-
« l’ensemble des services » des éléments de droit et de méthode uti- même, et au-delà sur la conception et la réalisation des mesures de
les pour promouvoir cet outil et en faciliter la compréhension par les prévention qui devront, en tant que de besoin, faire suite à l’évalua-
acteurs externes. Elle « s’appuie sur les enseignements tirés des tion des risques.
expériences en entreprise (...) afin de permettre à l’inspection du tra-
vail de remplir ses missions d’information, de sensibilisation et de ■ Institutions représentatives du personnel
contrôle ».
Parce qu’elles entretiennent des relations privilégiées avec les
Ainsi la circulaire fournit des indications précieuses sur l’interpré- autres salariés, et ont une vision plus réaliste des situations de tra-
tation officielle des textes, mais ne s’impose pas comme une règle vail, les institutions représentatives du personnel ont un rôle majeur
de droit. à jouer.
SE 3 200 − 2 © Techniques de l’Ingénieur, traité Sécurité et Gestion des risques
70
SE4057
Principes d’évaluation de la probabilité

de défaillance des Mesures de Maîtrise
des Risques (MMR)
par Olivier IDDIR

Ingénieur analyse de risques industriels
2
TECHNIP FRANCE
Service expertise & modélisation – Division procédés et technologie
Évaluation de la probabilité de défaillance des MMR SE 4 057 - 2

et traçabilité ..............................................................................................
2. Différents types de Mesures de Maîtrise des Risques (MMR) ..... — 4
2.1 Différentes couches de protection .............................................................. — 4
2.2 MMR et réduction du risque ....................................................................... — 5
2.3 Différentes types de Mesure de Maîtrise des Risques .............................. — 7
3. Méthodes d’évaluation de la probabilité de défaillance
d’une MMR ................................................................................................. — 10
3.1 Allocation de l’objectif de probabilité de défaillance ................................ — 10
des dispositifs de sécurité ..................................................................... — 14
des Mesures de Maîtrise des Risques faisant intervenir
l’homme ...................................................................................................... — 15
5.1 Origine de l’intérêt porté à l’erreur humaine ............................................. — 15
5.2 Définition de l’erreur humaine .................................................................... — 15
5.3 Deux types d’erreur humaine ..................................................................... — 15
5.4 Quantification de l’erreur humaine ............................................................ — 15
6. Conclusion.................................................................................................. — 18
a maîtrise du risque industriel impose aux industriels de mener des ana-

L lyses de risques dans le but d’identifier les scénarios d’accidents
susceptibles de survenir sur leurs installations. Quelle que soit la méthodo-
logie d’analyse retenue (nœud papillon ou autre), ces analyses ont pour
vocation première de s’assurer que les Mesures de Maîtrise des Risques
(MMR) mises en place permettent d’amener le niveau de sécurité de l’installa-
tion à l’objectif recherché par l’exploitant. Cet objectif peut être fixé par :
– l’acceptabilité sociale (riverains, autorités locales, etc.) ;
– la conformité réglementaire (étude de dangers, Plan de Prévention des
Risques Technologiques) ;
– la politique interne de sécurité d’un groupe.
L’approche probabiliste utilisée aujourd’hui dans de nombreuses analyses de
risques met en lumière que l’incertitude sur les probabilités allouées aux phé-
nomènes dangereux reste relativement importante. Dès lors, il apparaît délicat
de se prononcer sur l’acceptabilité des risques en se référant uniquement à des

71
SE4057
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
« valeurs seuils » de probabilité. Afin de mener une approche transparente, les

analyses de risques doivent justifier de la performance de l’ensemble des
MMR susceptibles de réduire l’occurrence et/ou la gravité des effets des phé-
nomènes dangereux pouvant impacter les cibles environnantes.
La « fiabilité » est l’un des critères qui permet de juger de la performance
d’une MMR ; ce critère est souvent retranscrit au travers de la probabilité de
défaillance. Justifier des probabilités de défaillances allouées aux MMR peut
être plus ou moins complexe. En effet, en fonction du type de MMR (dispositif
de sécurité, Système Instrumenté de Sécurité, etc.), les méthodes d’évaluation
de la probabilité de défaillance sont différentes.
2 Cet article propose dans un premier temps d’expliciter comment il est possible
de définir un objectif sur la probabilité de défaillance d’une MMR. Dans un
second temps, il sera abordé les méthodes permettant d’évaluer les probabilités
de défaillances des dispositifs de sécurité actifs et passifs (soupape, cuvette de
rétention, etc.). Les principales méthodologies permettant d’évaluer les probabi-
lités des MMR faisant intervenir l’homme (mesure organisationnelle et système
à action manuelle de sécurité) seront aussi présentées. Pour ces différents types
de MMR, des ordres de grandeur de probabilité de défaillance seront donnés.
Le Système Instrumenté de Sécurité (SIS) fait quant à lui l’objet de
l’article [SE 4 058]. Dans cet article, sont présentées les principales notions
relatives au SIL (Safety Integrity Level) et des formules de calculs permettant
d’évaluer la probabilité de défaillance à la sollicitation.
Terminologie Définition
APR Analyse préliminaire des risques
CCPs Center for Chemical Process safety.

Centre créé en 1985 par l’American Institute of Chemical Engineers (AIChE). Le CCPs a
pour objectif de promouvoir l’amélioration de la sécurité.
CEI 61508 – Functional safety of Electrical/ Norme internationale qui porte sur les systèmes E/E/P électriques/électroniques/
Electronic/Programmable Electronic (E/E/PE) électroniques programmables de sécurité).
safety related systems, International La norme propose une approche ayant pour objectif la mise en place d’un système de
Electrotechnical commission (IEC), 1998 sécurité E/E/PE, en intégrant les exigences de sécurité ainsi que toutes les étapes du
cycle de vie du système E/E/PE.
Événement Initiateur Événement, courant ou anormal, interne ou externe au système, situé en amont de
l’Événement Redouté dans l’enchaînement causal et qui constitue une cause directe
dans les cas simples ou une combinaison d’événements à l’origine de cette cause
directe. Dans la représentation en « nœud papillon » (ou arbre des causes), cet
événement est situé à l’extrêmité gauche (d’après la circulaire du 7 octobre 2005,
Circulaire n° DPPR/SEI2/MM-05-0316).
Événement Redouté Événement conventionnellement défini, dans le cadre d’une analyse de risque, au
centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte de confinement
pour les fluides et d’une perte d’intégrité physique pour les solides. Les événements
situés en amont sont conventionnellement appelés « phase pré-accidentelle » et les
événements situés en aval « phase pré-accidentelle » (d’après la circulaire du 7 octobre
2005, Circulaire n° DPPR/SEI2/MM-05-0316).
Flash fire Combustion d’un mélange gazeux inflammable sans effet de pression.
Fonction de sécurité Fonction ayant pour but la réduction de la probabilité d’occurrence et/oudes effets et
conséquences d’un événement non souhaité dans un système (d’après la circulaire du
7 octobre 2005, Circulaire n° DPPR/SEI2/MM-05-0316).
HAZOP Hazard Operability.

SE 4 057 − 2 est strictement interdite. − © Editions T.I.
72
SE4057
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
Terminologie Définition
Méthode LOPA Layer of Protection Analysis.

Méthode développée à la fin des années 1990 par le CCPs. La méthode permet de
prendre en compte l’effet des différentes couches de protection (barrières) sur le
déroulement d’un scénario d’accident.
Mesure de prévention Mesures visant à prévenir un risque en réduisant la probabilité d’occurrence d’un
phénomène dangereux (d’après la circulaire du 7 octobre 2005, Circulaire
n° DPPR/SEI2/MM-05-0316).
2
Mesure de protection Mesures visant à limiter l’étendue ou/et la gravité des conséquences d’un accident sur
les éléments vulnérables (d’après la circulaire du 7 octobre 2005, Circulaire
MMR Mesure de Maîtrise des Risques.

Ensemble d’éléments techniques et/ou organisationnels nécessaires et suffisants pour
assurer une fonction de sécurité (d’après la circulaire du 7 octobre 2005, Circulaire
Performance des MMR L’évaluation de la performance se fait au travers de leur efficacité, de leur temps de
réponse et de leur niveau de confiance au regard de leur architecture (en référence à la
norme EN NF 61 508, des pratiques de maintenance,des pratiques des tests) (d’après la
circulaire du 7 octobre 2005, Circulaire n° DPPR/SEI2/MM-05-0316.
Phénomène dangereux Libération d’énergie ou de substance produisant des effets, au sens de l’arrêté du
29 septembre 2005, susceptibles d’infliger un dommage à des cibles (ou éléments
vulnérables) vivantes ou matérielles, sans préjuger l’existence de ces dernières. C’est
une « Source potentielle de dommages » (ISO/CEI51).
PFD (t) Probability Failure on Demand.

Probabilité sur l’intervalle [0, t] qu’un système ne puisse pas exécuter sa fonction au
moment où il est sollicité.
PFDavg Average of Probability Failure on Demand.

Valeur moyenne de la PFD (t) sur l’intervalle de temps séparant deux tests de
fonctionnement.
Probabilité d’occurrence Au sens de l’article L. 512-1 du code de l’environnement, la probabilité d’occurrence

d’un accident est assimilée à sa fréquence d’occurrence future estimée sur l’installation
considérée. Elle est en général différentede la fréquence historique et peut s’écarter
pour une installation donnée, de la probabilité moyenne évaluée sur un ensemble
d’installations similaires.
Risque « Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73).

« Combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51).
SIL Safety Integrity Level.

La norme CEI 61508 introduit 4 niveaux discrets dont la fonction estde spécifier les
prescriptions (qualitatives et quantitatives) concernantl’intégrité de sécurité des
fonctions de sécurité. À chaque niveau de SILcorrespond un facteur de réduction du
risque.
SIS Système Instrumenté de Sécurité.

Un système instrumenté de sécurité est un système visant à mettre le procédé en
position de replis de sécurité (c’est-à-dire un état stable ne présentant pas de risque
pour l’environnement et les personnes), lorsque le procédé s’engage dans une voie
comportant un risque réel pour le personnel et l’environnement (explosion, feu).
THERP Technique for Human Error Rate Prediction.

Méthode d’évaluation de la fiabilité humaine qui prend en compte des facteurs
d’influences sur le comportement humain.
TESEO Tecnica Empirica Stima Errori Operatori.

Méthode d’évaluation de la fiabilité humaine qui prend en compte des facteurs
d’influences sur le comportement humain.

73
SE4057
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
1. Évaluation
de la probabilité Plans d’intervention (8)
de défaillance des MMR Plans d’urgence site (7)
et traçabilité Protections post-décharge

(cuvette de rétention) (6)
Sécurités physiques
Bien que les analyses de risques telles que les APR, HAZOP, etc., (organe de décharge) (5)
soient utilisées depuis les années 1980 dans l’industrie chimique et
pétrolière, il était rare que ces études soient quantifiées au niveau Systèmes instrumentés
de sécurité (4)
des probabilités d’incident ou accident ; lorsqu’elles l’étaient, les
2
évaluations étaient presque toujours basées sur des avis d’expert. Alarmes et interventions
humaines (3)
L’évolution de la réglementation française, marquée entre autre
par l’arrêté du 29 septembre 2005 a généré de lourdes Conduite du procédé (2)
conséquences au niveau des études de dangers et de leurs Conception
analyses des risques, puisque l’Administration française attend du procédé (1)
aujourd’hui une forte traçabilité concernant le processus
d’évaluation des probabilités d’occurrence des accidents indus-
triels. Cette évolution impose : Figure 1 – Différentes couches de protection suivant LOPA [1]
– de mettre en œuvre des méthodologies d’analyse qui

permettent d’évaluer de manière quantifiée la probabilité d’occur- première couche s’appuie, entre autre, sur le respect de codes et
rence des accidents (nœud papillon par exemple) ; de standards de conception. La conduite du procédé apparaît aussi
– de justifier de probabilités retenues pour les Événements comme une manière de limiter les risques en permettant de détec-
Redoutés (ER) identifiés lors des analyses de risques (perte de ter l’apparition de dérives (augmentation de température, etc.) et
confinement de réacteur, rupture de canalisation, etc.) ; en y associant des actions permettant de contrer cette dérive
– d’évaluer les performances des Mesures de Maîtrise des (régulation du débit de refroidissement, etc.).
Risques (MMR) aussi appelées « barrières de sécurité ». Un des
paramètres de performance porte sur la « fiabilité » des MMR au En revanche, les systèmes de supervision des procédés se
travers de l’allocation de probabilité de défaillance. révèlent souvent insuffisants pour garantir d’un facteur de réduc-
tion du risque suffisant pour faire face à des événements qui
Au travers de cet article, nous verrons que l’évaluation de la pro- sortent du cadre du fonctionnement normal ou des dérives
babilité de défaillance des MMR est un sujet complexe du fait que : « prévisibles » du procédé. Ainsi, pour faire face à des situations
– certaines MMR nécessitent des actions humaines, la « fiabilité où le procédé passe dans une zone incontrôlable ou lorsqu’un Évé-
humaine » étant un sujet difficile qui le devient encore plus nement Redouté est susceptible de se produire sans signe précur-
lorsqu’il s’agit d’étudier le comportement d’opérateurs en situation seur d’apparition (c'est-à-dire sans dérive de paramètre au
de stress (suite à un accident par exemple) ; préalable), il est alors nécessaire de prévoir des MMR dont l’objec-
– les MMR techniques (soupapes de sécurité, vanne d’isolement, tif est de « s’opposer » à des séquences d’événements non souhai-
détecteur de niveau haut, etc.) sont composées par des équipe- tées. Ce principe revient en fait à dissocier la conduite du procédé
ments qui ne servent que très rarement puisque les incidents ou des actions de sécurité.
pré-accident sont heureusement rares. Les industriels disposent À titre d’exemple, le suivi du niveau d’exploitation d’un bac de
alors d’un retour d’expérience sur certains équipements qui n’est stockage par l’intermédiaire d’un système de supervision est du
pas suffisant pour permettre de caractériser la « fiabilité » de leurs domaine de la conduite du procédé.
équipements.
Au contraire, l’arrêt du remplissage (fermeture d’une vanne
Cet article ne prétend pas résoudre toutes les difficultés liées à automatique sur le piquage d’alimentation) sur atteinte d’un
la détermination des probabilités de défaillance des MMR, mais niveau haut constitue une action de sécurité souvent traitée par
apporte des éléments d’information afin que le lecteur puisse évi- une chaîne de sécurité indépendante de la conduite du procédé.
ter des erreurs de méthodologie s’il est amené à conduire une ana-
lyse sur le sujet. Les plans d’urgence site et plans d’intervention mentionnées sur
la figure 1 correspondent respectivement au POI (Plan d’Opération
Interne) et au PPI (Plan Particulier d’Intervention) mis en place par
les industriels français.
2. Différents types La réglementation française introduit une notion similaire à celle
de Mesures de Maîtrise des couches de protection présentées dans la méthodologie LOPA.
En effet, la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005
des Risques (MMR) introduit la notion de lignes de défense comme « Ensemble des
dispositions adoptées en matière de conception, construction et
modalités d'exploitation incluant les mesures d'urgence internes et
2.1 Différentes couches de protection externes, afin de prévenir l'occurrence et limiter les effets d'un
phénomène dangereux et conséquences d'un accident potentiel
Afin de garantir de la bonne maîtrise des risques, les industriels associé ».
disposent de différentes « couches de protection » qui contribuent La matérialisation de ces différentes lignes de défense est
à la réduction des risques. La figure 1 présente les différentes identique à celle présentée sur la figure 1. Le tableau 1 définit les
couches retenues dans l’ouvrage LOPA [1]. huit lignes de défense retenues dans la circulaire du 7 octobre
Le concept des couches de protection repose sur le principe que 2005. Il faut cependant noter que depuis 2005, les courants de
les moyens disponibles pour réduire les risques sont nombreux. pensée et le retour d’expérience sur les études réglementaires
En premier lieu, la conception de procédés « sûrs » et la françaises (étude de dangers et Plan de Prévention des Risques
conception des équipements constituent des éléments qui Technologiques) ont amené l’Administration française à ne pas
contribuent à réduire de manière significative les risques. Cette mettre toutes ces lignes de défense sur le même « pied d’égalité ».

74
SE4058
Probabilité de défaillance
à la sollicitation d’une fonction
instrumentée de sécurité
par Olivier IDDIR

2
Ingénieur quantification des risques – Service expertise et modélisation –
Membre du réseau des experts de TECHNIP
TECHNIP France, Paris-La Défense, France
1. Contexte................................................................................................... SE 4 058v2 - 2
2. Quelques rappels sur les normes IEC 61508 et IEC 61511 ....... — 2
3. Typologie de taux de défaillance ...................................................... — 6
4. Architectures redondantes KooN ..................................................... — 8
5. Causes communes ................................................................................ — 11
6. Méthode d’évaluation de la probabilité de défaillance
d’une SIF .................................................................................................. — 15
7. Notion d’architecture minimale ........................................................ — 22
8. Conclusion............................................................................................... — 24
9. Glossaire .................................................................................................. — 24
Pour en savoir plus ........................................................................................ Doc. SE 4 058v2
fin d’éviter que des phénomènes dangereux tels que des incendies, explo-
A sions ou encore des rejets de matières dangereuses, susceptibles
d’occasionner des dommages sur les personnes, l’environnement ou les biens,
les industriels sont amenés à mettre en place des mesures de maîtrise des
risques (MMR) dont le rôle est de prévenir l’apparition de tels phénomènes ou
d’en limiter les conséquences.
Parmi ces couches de protection, se trouvent les systèmes instrumentés
de sécurité (SIS) qui permettent la mise en œuvre de fonctions instrumentées
de sécurité (SIF).
Différentes couches de protection peuvent être mises en œuvre afin de
réduire les risques dans le but de les rendre acceptables. Ces différentes
couches sont valorisées lors des analyses quantitatives ou semi-quantitatives
menées dans le but de déterminer le niveau de SIL requis des SIF (revue SIL
réalisée à l’aide de méthodes telles que la LOPA ou le graphe de risques par
exemple).
Une fois le niveau de SIL requis connu, l’analyste doit démontrer que la pro-
babilité de défaillance permet de vérifier le niveau de SIL requis alloué lors de
la revue SIL. Pour ce faire, les normes IEC 61508 et IEC 61511 peuvent être uti-
lisées afin :
– de définir l’architecture de la SIF permettant de répondre à un niveau de
SIL visé ;
– d’estimer la probabilité de défaillance de la SIF.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 058v2 – 1
75
SE4058
PROBABILITÉ DE DÉFAILLANCE À LA SOLLICITATION D’UNE FONCTION INSTRUMENTÉE DE SÉCURITÉ _______________________________________________
Il est dès à présent important de souligner que les formules de calcul présen-
tées dans l’annexe B de la norme IEC 61508-6 n’ont qu’un caractère informatif
et que d’autres méthodes peuvent être utilisées pour évaluer la probabilité de
défaillance d’une SIF.
Après quelques rappels essentiels sur les normes IEC 61508 et 61511, cet
article se propose dans un premier temps de dresser un aperçu des méthodes
qui permettent d’estimer la probabilité de défaillance d’une SIF, puis dans un
second temps de rappeler les contraintes architecturales introduites dans les
normes IEC 61508 et 61511.
2
1. Contexte À retenir
La maîtrise des risques générés par les activités industrielles La sécurité fonctionnelle permet de contrôler les risques
nécessitent de mettre en place des mesures de maîtrise des inacceptables susceptibles de blesser ou tuer des personnes,
risques (MMR) aussi communément appelées barrières de sécu- de porter préjudice à leur santé, de dégrader l’environnement
rité. Ces barrières de sécurité ont comme objectif de réduire la cri- ou d’altérer des biens.
ticité des risques. La réduction des risques passe généralement par
de la prévention dont le but est de réduire la probabilité d’appari-
tion d’une situation dangereuse, et par de la mitigation/protection
dont le but est de limiter les conséquences dans le cas où la situa-
2.2 Champ d’application des normes
tion dangereuse n’aurait pu être évitée.
Pour réduire la probabilité d’apparition d’une situation dange- 2.2.1 Norme IEC 61508
reuse, les industriels ont recours à différents types de barrières de Elle s’applique aux systèmes de sécurité E/E/EP destinés à exé-
sécurité parmi lesquels on retrouve les systèmes instrumentés de cuter des fonctions de sécurité. Elle concerne les applications pour
sécurité (SIS). lesquelles un défaut des systèmes est susceptible d’avoir un
Un SIS aura comme fonction d’assurer la mise en œuvre de fonc- impact considérable sur la sécurité des personnes, de l’environne-
tions instrumentées de sécurité (SIF) dont il est nécessaire de fixer ment et des installations. À ce jour, cette norme constitue l’un des
un niveau d’intégrité à atteindre. Ce niveau dépend de la criticité de principaux textes de référence pour la spécification, la conception
la situation dangereuse face à laquelle on positionne les SIF. Cette et le fonctionnement opérationnel des systèmes instrumentés de
étape correspond à la phase d’allocation d’objectif et peut être réali- sécurité (SIS). En revanche, l’apparition de cette norme n’est pas
sée par différentes méthodes [SE 4 057] ; on parle alors de niveau récente puisque sa déclinaison en norme française date de 1999
de SIL requis. Une fois cette première étape menée, il faut définir (NF EN 61508). Cette norme a donné naissance à plusieurs normes
l’architecture de la SIF en prenant en compte les recommandations filles dont :
des normes IEC 61508 et 61511. Pour finir, un calcul de probabilité – l’IEC 61511 qui est la norme sectorielle « process industriels » ;
de défaillance de la SIF à partir des paramètres de fiabilité des élé- – l’IEC 62061 qui est la norme sectorielle « machine » ;
ments qui la compose (taux de défaillance, facteur de mode – l’IEC 61513 qui est la norme sectorielle « nucléaire ».
commun de défaillances, etc.) et des paramètres liés à la mainte-
L’IEC 61508 s’articule autour de sept chapitres :
nance, tels que la période de test où le temps de réparation permet
de s’assurer que le SIL requis est bien atteint. 1. prescriptions générales ;
2. prescriptions pour les systèmes électriques/électroniques/
électroniques programmables relatifs à la sécurité ;
3. prescriptions concernant les logiciels ;
4. définitions et abréviations ;
2. Quelques rappels 5. exemples de méthodes de détermination des niveaux d’inté-
sur les normes IEC 61508 grité de sécurité ;
6. lignes directrices pour l’application de la IEC 61508-2 et de la
et IEC 61511 IEC 61508-3 ;
7. présentation des techniques et des mesures.
La norme IEC 61508 repose sur deux concepts qui sont fonda-
2.1 Sécurité fonctionnelle mentaux vis-à-vis de son application : le cycle de vie et les niveaux
d’intégrité de sécurité.
La norme IEC 61508-4 définit la sécurité fonctionnelle comme un
sous-ensemble de la sécurité globale qui se rapporte au système 2.2.2 Norme IEC 61511
commandé Equipement Under Control (EUC) et qui dépend du
fonctionnement correct du système E/E/EP relatif à la sécurité, des À la date de rédaction de cet article, la version révisée de la
systèmes relatifs à la sécurité basés sur une autre technologie et norme IEC 61511 n’étant pas encore disponible, les éléments qui
des dispositifs externes de réduction de risque. en sont issus reposent sur la version en cours.
La norme IEC 61511-1 définit la sécurité fonctionnelle comme un Elle établit des prescriptions relatives au cycle de vie qui inclut
sous-ensemble de la sécurité globale qui se rapporte au processus pour un SIS :
et au système de commande de processus et au BPCS, qui dépend – sa spécification ;
du fonctionnement correct du système instrumenté de sécurité – sa conception ;
(SIS) et d’autres couches de protection. – son installation ;
SE 4 058v2 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
76
SE4058
_______________________________________________ PROBABILITÉ DE DÉFAILLANCE À LA SOLLICITATION D’UNE FONCTION INSTRUMENTÉE DE SÉCURITÉ
Système instrumenté de sécurité SIS

pour le domaine de l’industrie
SIF 1
IEC 61511 IEC 61508

P
Logique
SIF 2
P de
traitement
– Concepteurs de système
2
– Constructeurs et fournisseurs
instrumentés de sécurité
de dispositifs
– Intégrateurs et utilisateurs T
Figure 1 – Lien entre l’IEC 61508 et l’IEC 61511

(d’après IEC 61511-1)
– sa maintenance ; Capteurs/détecteurs
– son démantèlement. Éléments finaux
L’IEC 61511 s’articule autour de trois chapitres :
1. cadre, définitions, exigences pour le système, le matériel et le Figure 2 – Distinction entre SIS et SIF
logiciel ;
2. lignes directrices pour l’application ;
3. conseils pour la détermination des niveaux exigés d’intégrité 2.4 Niveau de SIL
de sécurité.
La figure 1 fait le lien entre l’IEC 61508 et l’IEC 61511. Le SIL (Safety Integrity Level ) ou niveau d’intégrité de sécurité
permet de spécifier les prescriptions concernant l’intégrité de cha-
que fonction de sécurité exécutée par les systèmes E/E/EP. Quatre
2.3 Distinction entre SIF et SIS niveaux de SIL allant de 1 à 4 permettent de caractériser ces
systèmes :
Les notions de SIS et SIF ne doivent pas être confondues : – SIL 4 renvoyant au niveau de sécurité le plus « élevé » ;
– système instrumenté de sécurité (SIS) : ensemble de matériels – SIL 1 renvoyant au niveau de sécurité le plus « faible ».
qui composent le système de sécurité. Il comprend tous les
La notion de SIL s’applique à une SIF dans sa globalité et non
capteurs, les logiques et les actionneurs ;
pas à un élément ou sous-ensemble de celui-ci. Néanmoins, cer-
– fonction instrumentée de sécurité (SIF) : automatisme de sécu-
tains fournisseurs de matériel en font aujourd’hui un argument
rité composé d’un ou de plusieurs capteurs, d’une logique et d’un
commercial.
ou de plusieurs actionneurs dans le but de remplir une fonction de
sécurité. Les normes IEC 61508 et 61511 définissent différents modes de
Dans le rapport Évaluation des barrières techniques de sécurité – fonctionnement d’une SIF. Dans le cadre de cet article, nous ne
Ω 10 [1], l’INERIS définit les SIS comme suit : « Les systèmes ins- nous intéresserons qu’aux définitions rapportées dans l’IEC 61511.
trumentés de sécurité sont des combinaisons de capteurs, d’unité D’après cette norme, deux modes de fonctionnement sont à
de traitement et d’actionneurs (équipements de sécurité) ayant différencier :
pour objectif de remplir une fonction ou sous-fonction de sécurité. – 1. Mode sollicitation : « Lorsqu’une action spécifiée (par
Un SIS nécessite une énergie extérieure pour initier ses compo- exemple, fermeture d’une vanne) est effectuée en réponse aux
sants et mener à bien sa fonction de sécurité ». conditions du processus ou à d’autres sollicitations. Dans l’éven-
Un SIS met donc généralement en œuvre plusieurs SIF. La tualité d’une défaillance dangereuse de la fonction instrumentée
figure 2 présente le cas de deux SIF gérées par un même SIS. de sécurité, un danger potentiel n’apparaît qu’en cas de défaillance
dans le procédé ou dans le BPCS ».
2. Mode demande continu : « Lorsqu’en cas de défaillance dan-
À retenir gereuse de la fonction instrumentée de sécurité, un danger poten-
tiel apparaît, sans autre défaillance, sauf si une action est
entreprise pour le prévenir ».
Une fonction instrumentée de sécurité (SIF) est réalisée par
un système instrumenté de sécurité (SIS). Un SIS contient Nota : le mode sollicitation est typique des systèmes de sécurité qui sont « activés »
généralement plusieurs SIF. uniquement sur dépassement de valeurs seuils (dérive du mode de fonctionnement
normal d’une installation).
Une SIF peut être décomposée en trois principales sous-fonctions : Pour un mode de fonctionnement à la sollicitation, la correspon-
dance entre le niveau de SIL et la probabilité de défaillance
– une sous-fonction détection assurée par des capteurs ou détec-
moyenne à la sollicitation (PFDavg) est présentée dans le tableau 1.
teurs chargés d’identifier une dérive de paramètre (pression, tem-
Chaque niveau SIL est délimité par une borne maximale et une
pérature, niveau, etc.) par rapport à une valeur seuil ;
borne minimale.
– une sous-fonction traitement de l’information assurée par un
système de traitement logique chargé de recevoir les informations En général, le niveau SIL 4 nécessite un investissement impor-
issues des capteurs et de les traiter afin de générer des ordres de tant et une technologie spécifique. Lorsque le risque initial doit
commande vers les actionneurs ; être réduit d’un tel facteur, il est alors conseillé de miser sur une
– une sous-fonction actionneurs/éléments finaux chargée de SIF de niveau de SIL inférieur couplé à d’autres couches de
mettre le système dans une position de sécurité. protection.
77
SE4058
PROBABILITÉ DE DÉFAILLANCE À LA SOLLICITATION D’UNE FONCTION INSTRUMENTÉE DE SÉCURITÉ _______________________________________________
Tableau 1 – Définition des niveaux SIL pour un mode de fonctionnement à faible sollicitation
Probabilité de défaillance dangereuse
Niveau d’intégrité de sécurité Facteur de réduction du risque
moyenne
SIL 1 10−2 j PFDavg < 10−1 10 < FRR j 100
SIL 2 10−3 j PFDavg < 10−2 100 < FRR j 1000
SIL 3 10−4 j PFDavg < 10−3 1000 < FRR j 10 000
2 SIL 4 10−5 j PFDavg < 10−4 10 000 < FRR j 100 000
Tableau 2 – Définition des niveaux SIL pour un mode de fonctionnement à forte sollicitation
Niveau d’intégrité de sécurité Probabilité de défaillance dangereuse par heure Facteur de réduction du risque
SIL 1 10−6 j PFH < 10−5 10 < FRR j 100
SIL 2 10−7 j PFH < 10−6 100 < FRR j 1000
SIL 3 10−8 j PFH < 10−7 1000 < FRR j 10 000
SIL 4 10−9 j PFH < 10−8 10 000 < FRR j 100 000
Pour un mode de fonctionnement à forte sollicitation, la corres-

pondance entre le niveau de SIL et la fréquence de défaillances À retenir
dangereuses par heure est présentée dans le tableau 2. Ce mode
de fonctionnement est typique des systèmes qui agissent en per- – Un système de sécurité à faible sollicitation de niveau de
manence pour réduire un risque. SIL « i » a une probabilité de défaillance à la sollicitation de
10− (i +1) j PFDavg < 10−i .
À retenir – Un système de sécurité à forte sollicitation de niveau SIL
« i » a une probabilité de défaillance dangereuse par heure de
Pour justifier d’un niveau de SIL, il faut satisfaire à : 10− (i +5) j PFH < 10− (i + 4) .
– une exigence de « disponibilité » qui se traduit par une
valeur « cible » de probabilité de défaillance ;
– une exigence architecturale qui se traduit par la nécessité
de redonder les équipements pour les niveaux de SIL les plus 2.5 Probabilité de défaillance moyenne
élevés (voir section 7).
à la sollicitation
L’estimation de la probabilité de défaillance dangereuse d’un La probabilité de défaillance moyenne à la sollicitation notée
système peut reposer sur : PFDavg correspond à la valeur moyenne de la probabilité de
– l’application de formules analytiques plus ou moins complexes défaillance à la sollicitation PFD (t ) par rapport à la période de
telles que : temps séparant deux tests notée TI. Cette probabilité s’exprime
• les formules du guide ISA (ISA-TR84.00.02-2002 – Part 2), comme suit :
• les formules proposées dans l’annexe B de la norme IEC
Tt
61508-6, 1
TI 0∫
PFDavg = PFD (t ) dt
• les formules proposées dans le PDS Method Handbook du
SINTEF [2] ;
– l’application de méthodes de sûreté de fonctionnement telles
que : La probabilité de défaillance à la sollicitation notée PFD (t ) cor-
respond quant à elle à la probabilité sur l’intervalle [0, t ] qu’un
• les arbres de défaillance [SE 4 050], système ne remplisse pas la fonction pour laquelle il est conçu à
• les blocs diagramme de fiabilité, l’instant t où il est sollicité.
• les graphes de Markov [SE 8 250] [SE 4 071], L’influence du test périodique sur la valeur de la PFDavg est mise
• les réseaux de Pétri [SE 4 073]. en évidence en figure 3.
SE 4 058v2 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
78
SE4058
_______________________________________________ PROBABILITÉ DE DÉFAILLANCE À LA SOLLICITATION D’UNE FONCTION INSTRUMENTÉE DE SÉCURITÉ
PFD (t ) ne repart pas de zéro mais d’une valeur « résiduelle » qui

À retenir traduit que le test n’est pas en mesure de détecter 100 % des
défaillances.
Un niveau de SIL ne doit pas être perçu comme une En comparant les PFDavg , il ressort que l’hypothèse AGAN per-
caractéristique intrinsèque, mais plutôt comme une met d’obtenir une PFDavg meilleure que dans le cas où le test
« compatibilité » du système avec ce niveau. En effet, le périodique est considéré comme « imparfait ».
niveau de SIL dépend de la valeur de la PFDavg qui varie La probabilité de défaillance à la sollicitation d’un équipement
suivant la période de test retenue. dépend de trois principaux paramètres :
1. la fiabilité du matériel caractérisée par le taux de défaillance
et sa répartition entre les défaillances dangereuses et sûres ;
Sur la figure 3, il est supposé que le test périodique permet de
ramener la probabilité de défaillance à la sollicitation à sa valeur 2. l’architecture caractérisée par le type de redondance KooN et
initiale (remise à zéro). Cette hypothèse du As Good As New par le facteur de mode commun de défaillance pour les équipe-
(AGAN) est une des hypothèses des formules de calcul présentées
dans l’annexe B de la norme IEC 61511-6. La figure 4 compare
deux équipements de même taux de défaillance dangereuse non
ments redondants ;
3. la maintenance caractérisée par la périodicité des tests de
bon fonctionnement et le temps de remise en service suite à une
2
détectée (λDU) et de même période de test (TI ) avec pour l’un défaillance observée.
l’hypothèse AGAN (courbe orange) et pour l’autre l’hypothèse d’un La figure 5 met en évidence que le calcul de PFDavg peut donner
test périodique « imparfait » (courbe noire). Pour l’équipement une valeur identique pour deux capteurs, donc les couples taux de
pour lequel l’hypothèse AGAN est faite (capteur 2), suite au test défaillance dangereuse/période de test sont différents. Dans
périodique (TI = 4 380 h sur la courbe), la valeur de PFD (t ) revient l’exemple retenu, le capteur 1 présente un taux de défaillance dan-
à zéro. Pour l’équipement pour lequel le test périodique est gereuse plus grand que le capteur 2, mais une période de test plus
considéré comme imparfait, suite au test périodique la valeur de faible.
PFD(t) PFD(t)
1 10–n
10–n
PFDavg
0 0
Temps Temps
TI
Évolution de la probabilité de défaillance PFD(t) Évolution de la probabilité de défaillance PFD(t)
d’un système non testé périodiquement d’un système testé périodiquement (TI)
Figure 3 – PFD(t ) et PFDavg
7 × 10–3
PFDavg(Capteur 1) PFDavg(Capteur 2)
6 × 10–3 PFD(t) – Capteur 1 PFD(t) – Capteur 2
5 × 10–3
SIL2
4 × 10–3
3 × 10–3
2 × 10–3
1 × 10–3
SIL3
0
0 2,5 × 103 5 × 103 7,5 × 103 1 × 104 1,25 × 104 1,5 × 104 1,75 × 104
Capteur 1 : Maximum = 7,0802 × 10–3, Moyenne = 3, 9116 × 10–3,

Capteur 2 : Maximum = 4,3704 × 10–3, Moyenne = 2,1868 × 10–3,
Capteur 1 Capteur 2
Figure 4 – Influence de l’hypothèse AGAN sur la PFDavg
79
2
80
SE4059
Nouvelles exigences de la norme

IEC 61511
par Olivier IDDIR
2
Ingénieur quantification des risques – Membre du réseau des experts de TechnipFMC
Département Expertise & Modélisation – TechnipFMC, La Défense, France
1. Sécurité fonctionnelle ................................................................... SE 4 059 – 2

1.1 Définition de la sécurité fonctionnelle .............................................. — 2
1.2 Rappels sur les risques industriels .................................................... — 2
1.3 Origine des défaillances des barrières de sécurité ........................... — 3
1.4 Rappels sur les normes de sécurité fonctionnelle ............................ — 3
1.4.1 Évolution des normes ............................................................. — 3
1.4.2 Cycle de vie .............................................................................. — 4
2. Nouvelles exigences de l’IEC 61511 ............................................ — 5
2.1 Principales évolutions ........................................................................ — 5
2.2 Valorisation de plusieurs couches de protection dans un BPCS ...... — 7
2.3 Réduction du risque d’un facteur supérieur à 10 000 ....................... — 9
2.4 Réduction du risque par plusieurs SIF passant par un même
automate ............................................................................................. — 9
2.5 Exigences minimales en termes de redondance .............................. — 9
2.6 Exigence sur le choix des matériels .................................................. — 11
2.7 Mise en œuvre et évaluation de la sécurité fonctionnelle ................ — 11
2.7.1 Gestion des compétences ....................................................... — 11
2.7.2 Vérification ............................................................................... — 11
3. Nouvelles exigences sur les calculs ............................................ — 11
3.1 Rappels sur le SIL .............................................................................. — 11
3.2 Paramètres à prendre en considération ............................................ — 12
3.3 Prise en compte des incertitudes ...................................................... — 16
3.3.1 Enjeux liés à la prise en compte des incertitudes .................. — 16
3.3.2 Exigences relatives à la prise en compte des incertitudes .... — 16
4. Conclusion........................................................................................ — 17
5. Glossaire ........................................................................................... — 19
6. Sigles, notations et symboles ...................................................... — 19
fin d’éviter que des phénomènes dangereux tels que des incendies, des
A explosions ou encore des rejets de matières dangereuses puissent occa-
sionner des dommages sur les personnes, l’environnement et les biens, les
industriels sont amenés à mettre en place des barrières de sécurité. Ces barriè-
res peuvent agir en prévention en réduisant la probabilité d’occurrence de ces
phénomènes (barrières de prévention), ou en mitigation en limitant leurs consé-
quences (barrières de mitigation).
Le retour d’expérience permet de mettre en évidence que les accidents indus-
triels majeurs sont généralement la conséquence d’un enchaı̂nement d’événe-
ments indésirables combiné à des défaillances de barrières de sécurité. Les fonc-
tions instrumentées de sécurité (SIF), assurées par des systèmes instrumentés de
sécurité (SIS), constituent un type de barrière de sécurité qui vient compléter les
autres types de barrières qui peuvent être mis en œuvre afin d’assurer la sécurité.
Parution : mai 2019
81
SE4059
NOUVELLES EXIGENCES DE LA NORME IEC 61511 ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Les normes IEC 61508 (générique) et IEC 61511 (pour les industries de trans-
formation) constituent des référentiels normatifs sur lesquels il est possible de
s’appuyer lors de la conception, mais aussi tout au long du cycle de vie des SIF.
En effet, elles fournissent des prescriptions pour chaque activité du cycle de vie
de sécurité de ces systèmes. Des accidents tels que celui survenu à Buncefield
en 2005 confirment que pour une grande majorité des utilisateurs, certaines
prescriptions fondamentales de ces normes restaient mal interprétées ou mal
appliquées, voire pour certaines totalement méconnues.
Face à ce constat, une nouvelle version de la norme IEC 61511 est parue en
2016 avec pour objectifs de :
clarifier et/ou renforcer certaines exigences ;
2 fournir au travers de la partie 2 de la norme un guide plus pratique pour

décliner les prescriptions de la partie 1.
Cette nouvelle version reprend les principes fondamentaux de la précédente
version de 2003 tout en introduisant des modifications substantielles sur certai-
nes activités du cycle de vie de sécurité.
Après une première section de l’article dédiée à quelques rappels de base sur
la sécurité fonctionnelle, les modifications introduites dans la nouvelle version
de l’IEC 61511 sont présentées. La troisième et dernière section de l’article est
quant à elle consacrée aux nouvelles exigences relatives aux calculs des proba-
bilités de défaillances des SIF.
La méthode LOPA [2], [SE 4 075] introduit le concept de « couches

1. Sécurité fonctionnelle de protection » présenté en figure 1. Ce concept repose sur le prin-
cipe que les moyens mis en œuvre dans le but de réduire les ris-
ques sont nombreux et diversifiés. Ces différents moyens sont
1.1 Définition de la sécurité fonctionnelle prévus pour intervenir de manière graduelle dans le temps.
En d’autres termes, ces différentes couches vont être « sollicitées »
Dans son guide d’interprétation des normes IEC 61508 et tour à tour avec pour objectif de « stopper » le déroulement du scé-
61511 [1], la section ISA France définit la sécurité fonctionnelle nario d’accident ou d’en réduire les effets.
comme : « Sous-ensemble de la sécurité globale qui dépend du L’une des couches de protection (au sens de la LOPA) repose sur
bon fonctionnement d’un système ou d’un équipement en réponse les systèmes instrumentés de sécurité (SIS). Un SIS est un
à ses entrées ».
ensemble de matériels qui composent le système de sécurité.
L’IEC 61511:2016 définit la sécurité fonctionnelle comme : « Sous- Il comprend un ensemble de capteurs, logiques et actionneurs/élé-
ensemble de la sécurité globale se rapportant au processus et au ments finaux.
BPCS (basic process control system), qui dépend du fonctionne-
ment correct du système instrumenté de sécurité (SIS) et d’autres Un SIS a pour vocation de mettre en œuvre des fonctions ins-
couches de protection ». trumentées de sécurité (SIF) qui correspondent à des automatis-
mes de sécurité composés d’un ou de plusieurs capteurs, d’une
Au sens de la norme, la sécurité fonctionnelle a pour objectif logique et d’un ou de plusieurs actionneurs/éléments finaux
d’étudier la capacité des systèmes instrumentés de sécurité (SIS) dans le but de remplir une fonction de sécurité donnée. Comme
à accomplir comme prévu les fonctions de sécurité qui leur sont présenté en figure 2, une SIF est généralement composée de
assignées dans l’optique d’éviter la survenue d’accidents pouvant trois principaux blocs :
porter atteinte à la vie des personnes, à l’environnement ou à l’inté-
grité des biens matériels. un bloc détection assuré par des capteurs ou détecteurs char-
gés d’identifier une dérive de paramètre (pression, tempéra-
ture, niveau, etc.) par rapport à une valeur seuil ;
1.2 Rappels sur les risques industriels un bloc traitement de l’information assuré par un système de
traitement logique chargé de recevoir les informations issues
Par la nature de leurs activités, de nombreuses industries sont
des capteurs et de les traiter afin de générer des ordres de
génératrices de risques. Pour prévenir les accidents et tenter d’en
limiter les conséquences, les industriels sont amenés à mettre en commande vers les actionneurs (on peut aussi trouver des
place différentes barrières pour prévenir l’apparition d’un accident systèmes à relayage) ;
(barrière de prévention), ou pour en limiter les conséquences (bar- un bloc action assuré par des actionneurs/éléments finaux
rière de mitigation et de protection). chargé de mettre le système dans une position de sécurité.
82
SE4059
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– NOUVELLES EXIGENCES DE LA NORME IEC 61511
Plans d’intervention (8)
Plans d’urgence site (7)
Protection post décharge

(cuvette de rétention, etc.) (6)
Sécurités physiques
(organe de décharge, etc.) (5)
Systèmes instrumentés
de sécurité (4)
Alarmes et interventions
humaines (3)
2
Conduite du procédé (2)
Conception
du procédé (1)
Figure 1 – Différentes couches de protection suivant LOPA [2]
De la répartition des causes de défaillances présentée en figure 3,

il ressort que les causes de dysfonctionnement de systèmes de
sécurité sont liées pour :
SIF 44 % à des erreurs de spécification ;
20 % à des modifications après réception et installation ;
Entrée Sortie
15 % à des opérations de maintenance mal réalisées ou
inadéquates ;
Logique
15 % à des erreurs de conception ou à une mauvaise
implantation ;
6 % à une mauvaise réception ou installation.
Au regard de la nature des causes pouvant conduire à des dys-
fonctionnements des systèmes de sécurité, il apparaı̂t que celles-ci
Bloc détection Bloc traitement Bloc action trouvent leurs origines tout au long du cycle de vie des systèmes.
Ce cycle de vie couvre toutes les phases d’un système : sa concep-
tion, sa réception, son exploitation, sa maintenance et son déman-
tèlement. Encadrer ces différentes étapes pour guider les princi-
Figure 2 – Les différents blocs d’une fonction instrumentée
de sécurité (SIF)
paux acteurs qui interviennent à chacune des étapes du cycle de
vie d’un système permet de limiter la survenue d’erreurs pouvant
mener à des dysfonctionnements.
Une fonction instrumentée de sécurité (SIF) est réalisée par
un système instrumenté de sécurité (SIS). Un SIS contient géné- 1.4 Rappels sur les normes de sécurité
ralement plusieurs SIF.
fonctionnelle
Afin de s’assurer que les SIS permettent d’atteindre l’objectif de 1.4.1 Évolution des normes
sécurité visé (c’est-à-dire ramener le niveau de risque aussi bas que
possible), il est important qu’ils soient conçus, exploités et mainte- À la suite d’accidents industriels majeurs survenus dans les
nus correctement. Les normes IEC 61508 et 61511 en lien avec la années 1980, dont l’accident sur la plate-forme Piper Alpha en
sécurité fonctionnelle ont pour finalité d’encadrer les étapes du 1988, le rôle crucial des barrières de sécurité a été mis en lumière.
cycle de vie des SIS et ainsi d’atteindre cet objectif. Pour prévenir et limiter les conséquences de tels accidents, des nor-
mes internationales ont été élaborées dans le but d’encadrer toutes
les étapes du cycle de vie des SIS.
1.3 Origine des défaillances des barrières Dans les années 1990, plusieurs normes ont ainsi vu le jour dans
de sécurité le but de guider les concepteurs et les intégrateurs de barrières de
sécurité instrumentées avec pour objectif de réduire autant que
Le HSE (health and safety executive) dans un rapport [3] pointe faire se peut les erreurs aléatoires, mais aussi les erreurs systéma-
du doigt l’importance d’encadrer les différentes étapes du cycle de tiques. Parmi ces normes, les plus significatives sont :
vie des SIS. En effet, d’après ce rapport, une analyse des causes ISA S84:1996 ;
profondes de défaillances de systèmes de sécurité permet de
remonter à la répartition des causes de défaillances présentée en IEC 61508:1998 (édition 1), IEC 61508:2010 (édition 2) ;
figure 3. IEC 61511:2003 (édition 1), IEC 61511:2016 (édition 2).
83
SE4059
NOUVELLES EXIGENCES DE LA NORME IEC 61511 ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Opérations de maintenance mal

réalisées ou inadéquates : 15 % Erreurs
de spécification : 44 %
Mauvaise réception
ou installation : 6 %
2 Erreur de conception
ou mauvaise
implantation : 15 %
Modifications après réception

et installation : 20 %
Figure 3 – Causes profondes des défaillances des systèmes de sécurité [3]
En particulier, la norme IEC 61508:1998 fournit une approche

générique pour les systèmes électriques et/ou électroniques Accident
et/ou électroniques programmables (E/E/EP) relatifs à la sécurité. Piper Alpha
Elle concerne les applications pour lesquelles un défaut des systè- 1 989 1 998 2 003 2 010 2 016
mes est susceptible d’avoir un impact considérable sur la sécurité
des personnes, de l’environnement et des installations. À ce jour,
cette norme constitue l’un des principaux textes de référence pour 1 988
la spécification, la conception et le fonctionnement opérationnel IEC 61508
des SIS. Cette norme a été par la suite déclinée suivant les secteurs (début des travaux)
d’activités donnant naissance à plusieurs normes filles dont : IEC 61508
Ed 1,0
l’IEC 61511 qui est la norme sectorielle « industries de
transformation » ; IEC 61511
Ed 1,0
l’IEC 62061 qui est la norme sectorielle « machine » ; COR 1 : 2 004
l’IEC 61513 qui est la norme sectorielle « nucléaire ». IEC 61508
Ed 2,0
L’IEC 61508 et l’IEC 61511 constituent des références incontourna- IEC 61511
bles dans le cadre de la mise en œuvre de la sécurité fonctionnelle. Ed 2,0
Elles permettent d’encadrer toutes les étapes du cycle de vie des
SIS depuis leurs conceptions jusqu’à leurs démantèlements.
Figure 4 – Évolution des normes IEC 61508 et 61511
L’IEC 61511 a pour finalités :
de faire la chasse aux erreurs systématiques en encadrant tou- 1.4.2 Cycle de vie
tes les étapes du cycle de vie des SIF (exemples : mauvaise
spécification du système, maintenance/tests inadaptés, etc.) ; L’IEC 61511:2016 définit le cycle de vie comme : « Activités néces-
saires à la mise en œuvre de SIF, se déroulant au cours d’une
de prendre en compte les défaillances aléatoires pouvant
période de temps, qui commence à la phase de conception d’un
empêcher les SIF de remplir leurs fonctions de sécurité.
projet et se termine lorsque toutes les SIF ne sont plus disponibles
à l’utilisation ».
L’IEC 61511 décrit les exigences relatives à la spécification, la Le 11 décembre 2005, un accident en Grande-Bretagne est survenu
conception, l’installation, au fonctionnement et à la mainte- sur le dépôt d’hydrocarbures de Buncefield. Cet accident, lié à l’explo-
nance d’un SIS de manière qu’il puisse être mis en œuvre en sion d’un nuage d’essence (UVCE), a provoqué par effet domino de
toute confiance pour établir ou maintenir le processus dans un nombreux incendies sur le dépôt (amenant à la quasi totale destruc-
état de sécurité convenable. tion des installations). Cet UVCE a fait suite à un débordement d’un
bac d’essence durant sa phase de remplissage. Ce débordement, a
pu être possible du fait de la défaillance des deux systèmes automa-
L’IEC 61511-1:2016 (édition 2) est composée de trois parties :
tiques de détection de niveau dans le réservoir.
partie 1 : cadre, définitions, exigences pour le système, le
matériel et la programmation d’application ; Suite à l’analyse des causes de cet accident, un rapport du
HSE [4] met en lumière les principales recommandations pour évi-
partie 2 : lignes directrices pour l’application de l’IEC 61511-1:2016 ; ter des dysfonctionnements similaires à ceux survenus lors de cet
partie 3 : conseils pour la détermination des niveaux exigés accident. Parmi ces recommandations, certaines sont liées aux
d’intégrité de sécurité. fonctions instrumentées de sécurité :
En 2016, la nouvelle version de l’IEC 61511 a vu le jour. Cette nou- définir les niveaux d’intégrité requis (SIL pour safety integrity
velle version, attendue de longue date, est venue renforcer et clari- level) en fonction de la criticité des risques ;
fier un certain nombre d’exigences. raisonner par fonctions de sécurité et non par équipements ;
84
SE4059
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– NOUVELLES EXIGENCES DE LA NORME IEC 61511
prévoir une maintenance et des tests adaptés pour maintenir

le « SIL » ; 2. Nouvelles exigences
appliquer le cycle de vie dans sa totalité (conception, exploita- de l’IEC 61511
tion, maintenance, démantèlement).
Ce rapport fait ressortir l’importance à accorder à l’encadrement
du cycle de vie des SIS. Les différentes étapes du cycle de vie de
l’IEC 61511:2016 sont présentées en figure 5.
2.1 Principales évolutions
Il est important de bien comprendre que les différentes étapes La nouvelle version de la norme introduit des modifications de
du cycle de vie ne doivent pas être considérées comme des activi- forme et de fond. Tout d’abord, sur la forme, les volumes des par-
tés indépendantes à conduire en parallèle sans aucune interaction. ties 1, 2 et 3 de la norme ont été modifiées :
En effet, pour la majorité des étapes, les documents qui consti- la partie 1 est légèrement réduite ( ª 80 pages contre 84) ;
tuent les délivrables d’une étape correspondent aux données
la partie 2 est presque doublée ( ª 203 pages contre 71) ;
2
d’entrée d’une autre. À titre d’exemple, lors de l’étape 3 (spécifica-
tion des exigences de sécurité du système instrumenté de sécu- la partie 3 est plus développée ( ª 102 pages contre 53).
rité), un document relatif aux spécifications des exigences de sécu-
rité (SRS pour safety requirements specification) doit être réalisé. Pour rappel, seule la partie 1 est « obligatoire » ; les parties 2 et 3
Ce document contient les spécifications relatives aux exigences sont informatives.
fonctionnelles pour les SIF et leurs niveaux d’intégrité de sécurité L’augmentation significative de la partie 2 qui fournit des recom-
associés. Ce délivrable de l’étape 3 constitue la donnée d’entrée de mandations d’application de la norme IEC 61511-1 partie 1 est liée
l’étape 4 (conception et ingénierie du système instrumenté de au retour d’expérience sur la précédente version de la norme.
sécurité) puisque c’est sur la base du SRS que sont conçues les En effet, sur de nombreux articles de la partie 1, les utilisateurs
différentes SIF. étaient parfois perdus face à certaines prescriptions peu claires pro-
pices à l’interprétation.
Comme suggéré par la figure 6, les différentes étapes du cycle
de vie doivent donc être perçues comme les pièces d’un puzzle. L’augmentation de la partie 3 qui fournit des recommandations
pour la détermination des niveaux d’intégrité de sécurité (SIL)
Au regard des différentes étapes présentées sur le cycle de vie en
s’explique en partie par :
figure 5, il est possible d’en conclure que l’IEC 61511 demande :
une place plus importante donnée à la présentation des autres
de réaliser une analyse des risques liés aux installations ;
approches que le graphe de risques pour déterminer les
de définir des facteurs de réduction du risque (RRF pour risk niveaux de SIL requis ;
reduction factor) attendus pour réduire les risques à un niveau
l’introduction des approches booléennes pour les calculs de
« tolérable » ;
probabilité de défaillance.
de spécifier dans un document (SRS) les spécifications atten-
dues pour les matériels (hardware) et le programme d’appli- Concernant le second point, la norme IEC 61511 via cette par-
cation (software) ; tie 3 tend vers les recommandations de l’ISO/TR 12489:2013 qui
de rédiger un manuel de sécurité pour le SIS ; pour le calcul de PFDavg et PFH favorise le recours à des approches
autres que l’utilisation de formules simplifiées (telles que celles
de mettre en place un système de gestion de la sécurité proposées dans l’annexe B de l’IEC 61508-6). Il est aussi abordé le
fonctionnelle ; calcul de la probabilité de défaillance associée dans le cas de plu-
de réaliser des vérifications et des audits de sécurité sieurs SIF valorisées vis-à-vis d’un même scénario d’accident.
fonctionnelle ;
Le tableau 1 indique pour le chapitre 1 de l’IEC 61511 si l’article a
de définir les opérations de test et de maintenance nécessai- été modifié de manière substantielle ou non.
res pour garantir du maintien dans le temps des performan-
ces des fonctions instrumentées de sécurité ; Sur le fond, les principales évolutions de la nouvelle version de
l’IEC 61511 sont :
de valider les systèmes avant leur utilisation (FAT pour factory
acceptance test et SAT pour site acceptance test) ; 1/ la valorisation possible sous conditions de plusieurs couches
de protection incluses dans un système de conduite (BPCS) (cf. arti-
d’encadrer les modifications du SIS. cles 9.3.2 à 9.3.5 de la norme) ;
Les principaux délivrables associés à l’application de l’IEC 61511 2/ de nouvelles exigences lorsque le facteur de réduction du
sont : risque visé est supérieur à 10 000 (cf. articles 9.2.5 à 9.2.7 de la
le plan de management de la sécurité fonctionnelle (functio- norme) ;
nal safety management plan) ; 3/ la limitation du facteur de réduction du risque associé à plu-
le (ou les) rapport(s) d’analyses de risques (exemple : rapports sieurs SIF passant par un même automate (cf. article 9.2.8 de la
HAZOP) ; norme) ;
la liste des SIF à traiter en revue SIL pour définir les facteurs 4/ la modification des exigences minimales en termes de redon-
de réduction du risque (RRF) attendus pour ces barrières ; dances en fonction du niveau de SIL visé (cf. article 11.4.5 de la
le (ou les) rapport(s) des revues SIL (niveau de SIL requis et norme) ;
RRF pour chaque SIF) ; 5/ le renforcement des exigences sur l’utilisation de matériels
le SRS (safety requirements specification) ; éprouvés (cf. article 11.9.3 de la norme) ;
le (ou les) rapport(s) de vérification des niveaux de SIL (calcul 6/ une clarification des exigences relatives aux calculs de proba-
de probabilité de défaillance des SIF : PFDavg (average proba- bilité de défaillance des SIF (cf. article 11.9.2 de la norme) ;
bility of failure on demand) ou PFH (probability of failure per
7/ une exigence relative à la prise en compte des incertitudes
hour) suivant le mode de fonctionnement de la SIF ;
dans les calculs de probabilité de défaillance des SIF (cf. arti-
le (ou les) rapport(s) de vérification ; cle 11.9.4 de la norme) ;
le (ou les) rapport(s) d’audit ; 8/ des exigences renforcées sur la mise en œuvre et l’évaluation
le (ou les) rapport(s) de validation. de la sécurité fonctionnelle.
85
2
86
SE3010
Facteurs organisationnels
de la sécurité
par Yves MORTUREUX

Vice-président à l’Institut de mâitrise des risques (IMdR), Gentilly, France
2
1. Culture de sécurité ............................................................................... SE 3 010 - 3
1.1 Management de la sécurité ...................................................................... — 3
1.1.1 Crédibilité.......................................................................................... — 3
1.1.2 Efficacité............................................................................................ — 3
1.1.3 Communication et participation ..................................................... — 4
1.2 Orientation Sécurité du collectif .............................................................. — 4
1.2.1 Représentation collective des risques ............................................ — 4
1.2.2 Normes de groupe sur les pratiques .............................................. — 4
1.2.3 Vigilance partagée ........................................................................... — 4
1.3 Attitudes Sécurité des individus .............................................................. — 4
1.3.1 Attitude face aux risques majeurs, mortels, handicapants — 5
1.3.2 Attitude face aux risques mineurs, atteintes lentes ...................... — 5
2. Résilience................................................................................................. — 5
2.1 Capacité de réaction ................................................................................. — 5
2.2 Capacité de veille ...................................................................................... — 6
2.3 Capacité d’anticipation ............................................................................. — 7
2.4 Capacité d’apprentissage ......................................................................... — 7
3. Cohérence organisationnelle ............................................................. — 7
3.1 Complémentarité de la règle et de la compétence ................................ — 8
3.2 Cohérence de la formation et du contrôle avec le niveau d’action ...... — 9
3.3 Cohérence des actions de management individuel
et des ressorts de l’action (sanctions) ..................................................... — 10
3.4 Constance des principes organisationnels ............................................. — 10
3.5 Cohérence des représentations et des attentes ..................................... — 11
3.6 Cohérence du discours et des actes
(injonctions contradictoires, exemplarité) .............................................. — 12
4. Conclusion... provisoire....................................................................... — 13
Pour en savoir plus ........................................................................................ Doc. SE 3 010
ne vue simpliste de la sécurité (applicable à toute autre performance)

U consiste à ne considérer que l’application constante des règles, toutes les
règles, rien que les règles. Cette application idéale des règles garantirait a
priori le résultat souhaité. L’application parfaite des règles (elles-mêmes
présumées parfaites ou quasiment) serait la normalité : tout écart est une tâche
à traiter comme telle.
Donc, les composants technologiques assurent leurs fonctions aux pannes
près qu’il s’agit de rendre le plus rare possible. Les opérateurs exécutent leurs
tâches, le plus possible comme des automates, hélas peu fiables et qu’il faut
sans cesse rappeler à l’ordre. Le management surveille, traque les écarts, les
relève, sanctionne.
Si quelques systèmes semblent encore se contenter de cette vision très sim-
pliste, la plupart ont intégré (éventuellement suite à de douloureuses
expériences) que l’infaillibilité n’est guère de ce monde ni pour les artefacts
Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 3 010 – 1
87
SE3010
FACTEURS ORGANISATIONNELS DE LA SÉCURITÉ _________________________________________________________________________________________
technologiques ni pour les hommes. Aussi, la version la plus répandue de la

sécurité admet que les pannes et les erreurs se produisent et le système se
protège au mieux de leurs conséquences en multipliant (si possible intelligem-
ment) les mesures de sécurité.
On parle de défense en profondeur, de redondance, de boucles de rattra-
page, de barrières indépendantes, etc. Ce modèle, dominant aujourd’hui, a
permis d’entreprendre des activités potentiellement très dangereuses (énergie,
chimie, transports, santé) avec un niveau de risques jugé acceptable.
Toutefois, les exigences de progrès qui sont suscitées à la fois à la suite
d’accidents industriels ou naturels très graves et, en même temps, paradoxale-
2
ment, en l’absence d’accidents, par un sentiment que la sécurité est un acquis
imposent de réduire les risques à des niveaux difficilement atteignables (sous
contraintes économiques et de disponibilité quasi immédiate des produits ou
des services). Ces dernières décennies ont vu trois axes de progrès contribuer
à une meilleure maîtrise des risques :
– les progrès de la sûreté de fonctionnement des composants et équipements ;
– les progrès de la sûreté de fonctionnement des systèmes grâce à leur
architecture (redondances) ;
– les progrès de la capacité du management de la sécurité (formalisation
des systèmes de management de la sécurité ou prises de conscience non for-
malisées) à embrasser plus de facteurs d’influence sur la performance du
système.
Ces exigences de progrès ne peuvent être satisfaites seulement par une
meilleure application des principes de base, mais se heurtent aussi à leurs
limites : les recherches actuelles sur le fonctionnement des organisations
concernées montrent que la réalité est plus complexe et plus riche.
Devant cette complexité, on peut se décourager, tourner le dos et s’en tenir à
des modèles simples qu’on connaît en s’acharnant à vouloir réduire les risques
par plus d’exigences, plus de contrôles, plus de contraintes, mais on s’enfonce
au lieu de rejoindre les organisations les plus performantes. On peut aussi
considérer positivement cette complexité en réalisant quelle richesse offre
aussi des potentialités extraordinaires de progresser dans la performance et la
maîtrise à condition de faire l’effort de respecter, comprendre cette complexité
pour en devenir acteur plutôt qu’adversaire.
C’est l’enjeu des propositions développées actuellement par différentes
équipes de recherche que cet article veut tenter modestement d’exploiter pour
proposer des approches concrètes et pratiques tirant avantage des résultats
obtenus. Cela n’est donc ni une recherche ni une étude, mais une proposition de
démarche essayant de réunir un certain nombre des idées captées pendant une
vie professionnelle à la frontière entre recherche et exploitation industrielle.
Cette proposition comporte trois volets.
Le premier aborde la sécurité sous un angle managérial. Le contenu est très
largement inspiré de présentations de M. Simard [1] (mais celui-ci ne peut être
tenu pour responsable de la reformulation, mâtinée d’éléments issus de l’expé-
rience de l’auteur et d’autres sources. Le terme « culture de sécurité », utilisé
par M. Simard a été conservé. Cette expression, quasiment omniprésente
depuis une bonne vingtaine d’années, couvre, selon les auteurs, des domaines
et des concepts assez éloignés les uns des autres.
Le deuxième s’intéresse à la capacité de résilience de l’organisation. Il est
très inspiré des présentations et publications de E. Hollnagel [2], E. Rigaud [3]
et des équipes qui ont travaillé sur cette approche.
Le troisième s’intéresse à la contribution de la dimension organisationnelle
(en plus des dimensions techniques et humaine plus traditionnelles) et aux
performances. Il s’intéresse particulièrement à la cohérence. Il est essentielle-
ment fondé sur l’expérience de l’auteur (qui, elle-même, doit tout aux
échanges avec tant de personnes qu’il serait impossible de les nommer).
SE 3 010 − 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
88
SE3010
_________________________________________________________________________________________ FACTEURS ORGANISATIONNELS DE LA SÉCURITÉ
1. Culture de sécurité ■ Le SMS, les processus sont perçus comme lourds, rigides, pape-
rassiers ou passéistes
Un décalage entre la perception qu’ont les acteurs concernés
Ce paragraphe est largement inspiré de présentations de d’un niveau nécessaire de contraintes, d’organisation, de systéma-
M. Simard [1]. tisme, de rigueur pour assurer la sécurité et la perception qu’ils
Cette approche de la sécurité repose sur l’idée que la ont du niveau de contrainte, de rigidité du système en place est le
contribution des acteurs à la sécurité relève de deux grands thè- signe de défauts (l’un, l’autre ou les deux) : soit les acteurs de la
mes qui sont indissolublement mêlés : sécurité sous-estiment l’exigence de sécurité ou la nécessité de
– le suivi des règles ; certaines contraintes pour y arriver, soit les règles et processus en
– les initiatives de sécurité. place sont inutilement contraignants.
Un management de la sécurité rudimentaire basé uniquement sur Dans les deux cas, les opérateurs sont conduits à contourner,
la conformité aux règles opposerait ces deux aspects, l’examen de chacun à sa façon, les contraintes mal perçues. Les moyens
la complexité des fonctionnements, tant les échecs (accidents) que
les réussites (performance idéale) montrent que les deux se
combinent dans l’action et que la frontière est quelque peu
d’imposer des processus dont les acteurs ne sont pas convaincus
trouvent leurs limites et, par l’opposition qu’ils suscitent, minimi-
sent les possibilités de synergie.
2
indistincte : les initiatives de sécurité se sédimentent en pratiques,
en normes de fait et, dans une organisation apprenante, deviennent ■ Les demandes de modification sont traitées avec lenteur, en
des règles. traînant des pieds, voire mal traitées
Les variables explicatives (pour l’analyse) ou leviers d’action (pour Rien de tel pour déconsidérer le management de la sécurité ! La
le management) relèvent par ordre d’importance de trois facteurs : contradiction est tout de suite flagrante entre les exigences d’atten-
– le management de la Sécurité ; tion aux détails, de rigueur, de priorité à la sécurité, de réactivité for-
– l’orientation Sécurité du collectif de travail ; mulées aux opérateurs et un management qui ne traiterait pas les
– les attitudes Sécurité des individus. demandes de modification avec les mêmes exigences.
Le premier facteur est plus important que les deux autres, pas Une demande de modification doit être considérée comme une
tant à cause de son influence directe qui peut, suivant les cas, être proposition d’amélioration du système. L’examen peut conclure
plus ou moins grande, mais parce qu’il influence les deux autres. que ce serait une dégradation ; il faut alors la rejeter en associant
le proposant à cette décision qu’il doit comprendre. L’attitude
De même, le deuxième est plus important que le troisième parce
consistant à traiter avec mauvaise volonté une demande de modi-
qu’il l’influence.
fication comme si le travail de conception et mise en place initiale
du système était, lui, par définition, parfait, définitif et infaillible
comme si les dirigeants et concepteurs n’avaient pas besoin des
1.1 Management de la sécurité opérateurs pour savoir ce qu’ils ont à faire conduit naturellement
les opérateurs à gérer entre eux, de même, les modifications et
La contribution du management de la sécurité à la performance arrangements qu’ils jugent bons.
peut s’évaluer (et se travailler) selon trois axes :
– la crédibilité ; ■ Les règles et procédures de sécurité ne s’intègrent pas bien à la
– l’efficacité ; production et ses contraintes, la formation à la Sécurité n’est pas
– la communication et la participation. intégrée à la formation à la compétence opérationnelle
On ne fait pas d’une part de la sécurité et d’autre part de la
1.1.1 Crédibilité production. On doit produire en sécurité. Les règles de sécurité,
quand elles sont indépendantes, apparaissent sous forme de
Il s’agit de l’écart entre l’orientation que l’entreprise et son contrainte : beaucoup d’interdits, des obligations. Elles ne disent
management veut exprimer, et la perception qu’ont les opérateurs pas comment on s’y prend ; c’est alors l’opérateur qui doit
de l’orientation de l’entreprise. Il s’agit donc en particulier de la considérer la (ou les) façon(s) de produire et trouver ou sélection-
cohérence entre les orientations exprimées par les discours et ner celle(s) qui respecte(nt) les contraintes de sécurité.
déclarations, et les orientations exprimées par les actes et décisions.
Ce travail difficile est bien mieux fait s’il bénéficie de
Même si elle est plus discrète, l’orientation exprimée par les l’expérience et du collectif. Il est sans doute souhaitable pour une
actes fait l’impression la plus forte. Une expression orale ou écrite bonne compréhension du système, des objectifs, des risques,
sur un sujet sur lequel aucune orientation claire n’est encore per- d’expliquer la production et d’expliquer la sécurité. Il est très
çue porte. En revanche, elle est faible pour modifier une percep- important pour les cas de doute d’avoir bien identifié les limites
tion existante exprimée par des actes. imposées par la sécurité.
L’évaluation de ces écarts est facile à réaliser : il s’agit d’interro-
Mais il faut aussi proposer, apprendre la façon pratique de
ger les uns et les autres sur l’orientation de l’entreprise. Le
produire dans les différents cas de figure en sécurité.
professionnalisme de l’enquêteur est important pour obtenir ce
que pense vraiment la personne interrogée et non la réponse du ■ Les réalisations positives en matière de sécurité ne sont pas
« bon élève ». Il est souhaitable de conserver l’anonymat des valorisées, diffusées, « vendues »
personnes interrogées. Il est important d’identifier les éléments qui
fondent les perceptions exprimées (quelle déclaration, quel écrit, C’est un modèle très simpliste qui considère la sécurité comme
quel fait, quel acte, etc.) vous font penser cela ? Les écarts qui en la normalité et ne sait parler de sécurité que négativement. La
ressortent indiquent les domaines où il y a perte d’efficacité et les sécurité se construit d’abord en gardant ses distances avec la
éléments cités comme base de perceptions hétérodoxes indiquent situation dangereuse, avec l’accident, en gardant de la marge ; elle
les éléments à changer : paroles, actes, comportements, etc. pour se construit en anticipant, en veillant en permanence, en réagis-
améliorer la sécurité. sant vite et bien à tout ce qui peut perturber, agresser, déstabiliser
le système. Il ne s’agit plus seulement d’une absence d’erreur ou
de faute, mais bien d’une attitude active de sécurité qui peut être
1.1.2 Efficacité valorisée, qui doit l’être pour durer.
L’efficacité du management de la sécurité peut s’évaluer en tra- Tous ces éléments sont assez faciles à observer si on veut s’en
quant les indices suivants de défaillances : donner la peine, car ils laissent des traces.
89
2
90
SE3012
Gestion de la continuité d’activité

Structuration et mise en pratique
par Nicolas DUFOUR

Docteur en sciences de gestion,
Professeur des universités associé, CNAM LIRSA,
Risk manager secteur assurance, ANTONY France
2
1. Qu’est-ce qu’un PCA ? ........................................................................ SE 3 012 - 2
2. Principes d’un plan de continuité d’activité ................................ — 4
3. Moyens nécessaires au fonctionnement d’un PCA .................... — 11
4. Fonctionnement et gouvernance d’un PCA .................................. — 17
5. Limites d’un PCA.................................................................................. — 19
6. Enseignements des différents cas d’usage................................... — 21
7. Conclusion – Importance d’une culture du risque
et de l’incertitude................................................................................. — 27
8. Glossaire ................................................................................................. — 28
9. Sigles, notations et symboles........................................................... — 28
Pour en savoir plus ....................................................................................... Doc. SE 3 012
a continuité d’activité est un enjeux majeur de gestion des organisations.

L Dans les secteurs réglementés (banque, assurance, pharmacie, par
exemple), ce sujet est même une obligation en termes de maîtrise des risques.
Dans les autres secteurs, ce sujet devient un enjeu essentiel pour plusieurs
raisons : les entreprises confrontées à des interruptions d’activité subissent
plusieurs catégories d’impacts. La perte d’exploitation, conséquence financière
de l’interruption d’activité, est souvent l’un des enjeux clés d’un plan de conti-
nuité d’activité (PCA) nécessitant de prévoir la continuité des processus les
plus critiques, mais aussi une reprise d’activité le plus rapidement possible
quand la continuité n’est pas garantie. Ce sujet est d’une telle importance
qu’en pratique, la notion de résilience est de plus en plus associée au PCA
(voir [G 9 068], [1]). Les autres enjeux clés de la continuité d’activité sont égale-
ment la maîtrise du risque de réputation et la qualité de service.
Dans certains secteurs, maintenir cette continuité d’activité est aussi une
obligation réglementaire pouvant s’apparenter à une défaillance de contrôle
des risques en cas de manquement.
Ce sujet n’est pas nouveau en soi ; dès les années 1950, des travaux et
réflexions mettaient en avant l’importance de la continuité d’activité au regard
des enjeux financiers d’une part et sécuritaires d’autre part, comme l’illustre le
cas de l’accident des 24 h du Mans en 1955, se traduisant par une volonté de
garantir la poursuite de l’activité après un accident grave [2]. De nombreux
autres exemples médiatiques d’organisations et d’entreprises illustrent depuis
l’importance du PCA, non seulement pour prévenir et limiter l’impact des cas
des crises, mais aussi pour se poser les bonnes questions en matière d’organi-
sation. La continuité d’activité est un processus, soit un ensemble d’activités
coordonnées faisant intervenir différentes fonctions de l’organisation avec des
objectifs (garantir la continuité d’activité, gérer l’urgence, permettre la reprise
91
SE3012
GESTION DE LA CONTINUITÉ D’ACTIVITÉ ________________________________________________________________________________________________
d’activité) et des données d’entrée transformées en données de sortie (en

général des moyens et actions dédiées à la continuité d’activité telles que
l’organisation de plans de secours et de tests réguliers de ces derniers).
Comme tout processus, la continuité d’activité s’organise, se planifie, se
teste, s’audite, s’analyse et suppose un suivi via des indicateurs dédiés.
Comme l’évoque ce directeur général adjoint d’une compagnie d’assu-

rance (interviewé en 2018 par l’auteur) : « Bien sûr, s’il y a des crises, nous
saurons faire face car nous n’avons pas le choix, mais ce que j’attends du
PCA, c’est qu’on soit le plus dans une capacité de faire face, qu’on ne se
2 pose pas toutes les questions le jour d’une crise grave, car il y aura certai-
nement de nombreuses questions à traiter, alors on gagnera du temps. Le
PCA, c’est aussi traiter un ensemble de plus courts incidents qui dégradent
notre continuité d’activité, comme la panne informatique qu’on doit res-
treindre en fréquence et en temps d’interruption. N’attendons pas tout du
PCA, mais ne croyons pas que l’on peut faire sans au XXIe siècle. » [3].
Face à ces enjeux, l’objet de cet article est d’envisager la définition et les
contours du PCA, ses principes clés, ses moyens, son fonctionnement, mais
aussi ses limites et des cas d’usage rendant concret l’enjeu de déploiement
d’un PCA.
1. Qu’est-ce qu’un PCA ? une situation subie (comme dans le cas d’une interruption d’acti-
vité sur une usine dont les points d’accès sont inopérants, suite à
une inondation par exemple). Ces perturbations peuvent être un
Après avoir défini la notion de plan de continuité d’activité, nous ensemble d’incidents pouvant inclure la notion de crise, soit des
traiterons des enjeux liés au périmètre de ce plan. événements avec impacts majeurs et impliquant des décisions
urgentes pour éviter une aggravation de la situation.
La reprise d’activité se définit comme l’ensemble des mesures
1.1 Définitions du PCA permettant (le plus souvent de manière progressive) un retour à la
normale, et ce suite à interruption partielle ou totale d’activité.
La présente section aborde les définitions liées à la continuité
d’activité ainsi que certaines définitions connexes. Le plan de secours informatique est le dispositif organisa-
tionnel et technique permettant une continuité et une reprise
La norme ISO 22301 « Sécurité et résilience – Systèmes de mana- d’activité des systèmes d’information. Ce plan de secours com-
gement de la continuité d’activité – Exigences » définit le plan de prend notamment différents éléments connexes comme le fait de
continuité d’activité via ses objectifs, et donc comme un disposi- prévoir une base de sauvegarde informatique (avec une politique
tif relatif à la mise en œuvre et à la maintenance d’un système de de sauvegarde définissant la fréquence des sauvegardes et les
management de la continuité d’activité (SMCA). Le plan de conti- actifs informationnels concernés prioritairement par ces moyens).
nuité d’activité en découlant se définit plus précisément comme Ce plan inclut également des aspects tels que la réplication des
l’ensemble des informations documentées servant de guide à un serveurs informatiques sur un site distant.
organisme pour répondre à une perturbation et reprendre, rétablir et
restaurer la livraison de produits et la fourniture de services en Les processus critiques constituent l’ensemble des activités
cohérence avec ses objectifs de continuité d’activité. cœurs de métier de l’organisation et ayant un impact majeur pour
La continuité d’activité se définit comme la capacité d’un l’entreprise sur les plans stratégiques, organisationnels, réputa-
organisme à poursuivre la livraison de produits et la fourniture de tionnels, humains ou encore financiers, et ce en cas d’interruption
services dans des délais acceptables à une capacité prédéfinie partielle ou totale de l’activité. À titre d’exemple, pour une banque,
durant une perturbation. Cette continuité s’illustre opérationnelle- délivrer les services de banque en ligne ou les moyens de paie-
ment via des mesures de continuité d’activité, lesquelles peuvent ment est un processus critique.
être définies de manière préventive (mise en place d’un site de
secours pour les collaborateurs avec tests de repli réguliers) ou
réactive (définition d’un nouveau site de repli ou mise en place de 1.2 Périmètre du PCA et éléments clés
la solution de télétravail de masse pour l’ensemble des collabora- de structuration
teurs d’une organisation suite, par exemple, à une pandémie).
Les perturbations précitées peuvent se définir comme Le périmètre du PCA comprend au minimum la couverture des
l’ensemble des situations où la continuité d’activité sur les services processus les plus critiques, ceux dont l’activité permet la survie
et produits fournis par une organisation est interrompue partielle- de l’entreprise. Il peut s’agir de processus de production de biens
ment ou totalement. Cette interruption liée aux perturbations peut ou services, ceux qui constituent l’objet même de l’organisation. Il
être à la fois la résultante d’un choix interne (interruption volon- peut également s’agir des processus supports essentiels au fonc-
taire pour éviter un plus grand dommage, comme dans le cas de tionnement de l’activité de l’entreprise et de ses processus cœurs
l’interruption d’un système d’information suite à un virus de métier ou productifs (les processus ressources humaines, infor-
d’ampleur pour éviter une plus grande infection des systèmes) ou matiques, de comptabilité).
SE 3 012 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
92
SE3012
________________________________________________________________________________________________ GESTION DE LA CONTINUITÉ D’ACTIVITÉ
On note également que dans certaines crises, les processus sup- transition pour assurer la continuité du plan d’audit en cas
ports jouent un rôle essentiel dans le rétablissement même de d’absence de l’un ou de plusieurs des auditeurs.
l’activité. Par exemple, augmenter la capacité informatique pour
Le périmètre composant le PCA comprend généralement les élé-
permettre une résorption des stocks d’opérations en attente sup-
ments suivants, comme l’indique la norme ISO 22301 :
pose un investissement plus prononcé de la direction des sys-
tèmes d’information en cas de crise. Autre exemple, certaines • une politique, le plus souvent validée par la direction générale,
crises se traduisent par des investissements importants à court et qui définit les principes de continuité d’activité, les processus
terme, ce qui suppose une mise à contribution importante des pro- jugés les plus critiques, et les mesures et moyens nécessaires pour
cessus de trésorerie. Le fait de disposer d’une enveloppe de tréso- garantir cette continuité d’activité ;
rerie en cas de crise est aussi un volet clé de certaines crises. • des équipes formées ayant la responsabilité de gérer le proces-
Enfin, les processus RH peuvent être fortement mis à contribution sus de continuité d’activité, comme le responsable des plans
avec notamment le fait d’avoir un recours accru à des intérimaires d’urgence et des plans de poursuite et de continuité d’activité
ou à des contrats à durée déterminée. (dans certains secteurs, cette fonction est même rendue obligatoire
2
telle que le ou la responsable plan d’urgence et poursuite d’activité
Dans certains cas, les processus de pilotage de l’activité peuvent dans le secteur bancaire, et ce en application de l’arrêté du
aussi sembler importants (le pilotage de l’activité via des indica- 3 novembre 2014) ;
teurs de contrôle de gestion ou certaines fonctions de gouver-
• un processus itératif et des procédures documentées de mana-
nance d’entreprise et de décision stratégique notamment). Par
gement de la continuité d’activité : définition des mesures et main-
exemple, le plan de continuité d’activité de la gouvernance d’entre-
tien en condition opérationnelle du PCA, planification des actions
prise s’attachera à définir des mesures en cas d’empêchement
en vue de renforcer la résilience de l’entreprise, revue régulière du
temporaire ou durable de tout ou partie des membres des organes
dispositif de continuité et de son efficacité, définition d’action
de gouvernance (direction générale, conseil d’administration). Ces
d’amélioration continue (retours d’expérience lors des tests de
mesures prévoient alors des actions préventives (ne pas faire
continuité d’activité, retours d’expérience lors des situations
voyager tous les membres d’une instance dans le même avion ou
réelles de crises vécues par l’entreprise).
le même train) ou des mesures réactives (prévoir un plan de suc-
cession en cas d’arrêt prolongé ou de décès d’un dirigeant de
l’entreprise, ses adjoints prenant la suite). À titre d’exemple, une
entreprise de services avait défini un plan de continuité d’activité 1.3 Documentation nécessaire au plan
pour chaque fonction de pilotage de l’entreprise. Ce plan prévoyait de continuité d’activité
notamment que l’audit interne de l’entreprise, sujette à de nom-
breux voyages, y compris dans des pays et zones à risque, puisse Le tableau 1 définit les principaux documents nécessaires dans
s’appuyer sur un cabinet d’auditeurs externes et de managers de le cadre d’un plan de continuité d’activité.
Tableau 1 – Documentation clé de la continuité d’activité (principaux éléments)

Documents Objectifs
Politique de gestion des risques Documents cadres définissant la stratégie de continuité d’activité selon une approche
Politique de continuité d’activité par les risques ainsi que l’organisation retenue en fonction de cette stratégie. Des
limites de risques et indicateurs peuvent également être fixés tels que les délais
d’interruption admis et délais de retour à la normale pour les activités critiques.
Plan d’urgence Le plan d’urgence a pour enjeux de définir les mesures à mettre en œuvre dans les
principales situations d’urgence (approche par les risques et par scénario). Cela
comprend par exemple les actions en cas de sinistre incendie telles que l’évacuation et
les mesures de protection et prévention complémentaires à mettre en œuvre.
Politique de sécurité des systèmes d’information La PSSI implique notamment de documenter les mesures d’urgence et de continuité
d’activité en cas de crise de type informatique ou de type cyber-risques impliquant une
interruption partielle ou totale, temporaire ou durable des systèmes d’information de
l’organisation.
Procédure de gestion des incidents Procédure définissant les rôles et responsabilités ainsi que les actions à réaliser par
niveau d’urgence en cas d’incidents, soit des risques opérationnels avérés ayant des
impacts réels pour l’organisation. Cette procédure implique une traçabilité a minima
des principaux incidents ainsi qu’une qualification des responsables en charge des
plans d’actions pour traiter l’incident et ses causes racines.
Fiche d’analyse impact sur l’activité Document opérationnel définissant la criticité d’un processus selon une approche par
(ou business impact analysis) un ou plusieurs critères (niveau de perturbation, nombre de collaborateurs ou de
clients touchés, etc.). Ce document décrit ensuite les délais d’interruption maximum
admis et les délais de retour à la normale cible en cas d’interruption d’activité.
Procédures de fonctionnement dégradé Ces procédures, annexes au plan de continuité d’activité, ont pour enjeu de définir
comment vont fonctionner les collaborateurs d’un périmètre en cas d’interruption de
l’activité. Cela peut être notamment :
• une procédure de fonctionnement des systèmes d’information en version dégradée
en cas d’attaque informatique virale,
• une procédure de fonctionnement des équipes commerciales sans outil d’aide à la
vente et sans application informatique (procédure de fonctionnement dégradée en
version papier).
93
SE3012
Tableau 1 – Documentation clé de la continuité d’activité (principaux éléments) (suite)

Documents Objectifs
Liste des contacts clés Document formalisant les coordonnées et fonctions des contacts clés :
• en interne : collaborateurs et prestataires intervenant sur sites,
• en externe : fournisseurs critiques, assurances, partenaires stratégiques, autorités
(selon le scénario).
Procédure de fonctionnement de la cellule Procédure décrivant le fonctionnement de la cellule de crise : répartition des rôles et
de crise responsabilité (qui coordonne la cellule de crise, qui l’organise, qui pilote les ateliers
connexes à la cellule de crise, qui prend les arbitrages et décisions clés, qui assure le
2
secrétariat de la cellule de crise, annexe des membres et contacts clés de la cellule de
crise).
Liste des actifs et applications critiques Document listant les actifs informationnels et les applications les plus critiques par
critère (disponibilité, confidentialité, intégrité, preuve). Cela comprend notamment des
procédures de continuité sur les applications traitant des données stratégiques,
financières, commerciales, clients, ainsi que des données sensibles ou personnelles
(application des ressources humaines ou applications de type relation clients).
Procédure de communication de crise Procédure définissant qui communique et comment l’entreprise communique, à la fois
en interne et en externe en cas de crise.
Procédure de sauvegarde Procédure garantissant la sauvegarde des données les plus critiques et sensibles pour
l’entreprise.
En effet, comme le prévoit la norme ISO 22301, l’entreprise doit 1.4 Périmètres classiques d’intervention
pouvoir évaluer régulièrement le caractère adapté et actualisé de
la documentation relative à la continuité d’activité, ce qui com-
du PCA – Illustrations
prend ses stratégies, ses solutions, ses plans d’actions formalisés,
Pour illustrer la notion de périmètre de PCA, nous prenons
ainsi que ses procédures. Il convient encore de s’assurer de l’effi-
comme exemple dans le tableau 2 le PCA d’un établissement de
cacité de cette documentation via des revues régulières (dont
crédit à la consommation ayant défini son plan de continuité d’acti-
l’objet est de s’assurer que ces dernières ne soient pas obsolètes,
vité. Des actions sont prévues par grand scénario d’indisponibilité.
par exemple au regard d’évolution de l’organisation, de change-
ment des sous-traitants ou de collaborateurs clés pour la conti-
nuité d’activité). Également, ces revues, ainsi que des tests/ À retenir
exercices, peuvent avoir pour objectif d’évaluer la conformité du
dispositif aux exigences réglementaires (par exemple, pour un
• Le PCA est une démarche organisée et vise principalement
opérateur d’importance vitale pour l’économie comme le prévoit la
à définir les processus les plus critiques et les moyens de
loi de programmation militaire, il convient d’avoir un PCA forma-
garantir le maintien ou la reprise d’activité de ces derniers.
lisé, documenté, revu régulièrement et testé). Ce travail d’évalua-
tion doit pouvoir être fait tant en interne avec des partenaires • Un PCA peut s’orienter autour de différents scénarios de
qu’avec des fournisseurs (au moins les plus critiques). crise et prévoit différents types d’indisponibilité (collabora-
teurs, locaux, informatique, prestataires).
Une fréquence d’actualisation de cette documentation doit pou-
voir être définie.
2. Principes d’un plan

Ces éléments de documentation peuvent être plus précis
selon les scénarios, comme l’illustre ce retour d’expérience de continuité d’activité
d’un responsable PCA du secteur des services informatiques,
interviewé en 2021 et ayant également la casquette de délé- La présente section définie les grands principes d’un plan de
gué à la protection des données (DPD) : « Notre plan de conti- continuité d’activité ainsi que des cas de déclenchement.
nuité des services prévoit des documents précis par scénario ;
cela peut sembler complexe, mais on a documenté dans
chaque situation ce qu’il convient de faire. Dans le cas de scé- 2.1 Gestion de la continuité
nario de violation de données, nous avons une procédure en
cas d’attaque externe, une procédure en cas de faille ou négli-
et de la reprise d’activité
gence interne, une procédure de notification à la CNIL, une
L’objectif du plan de gestion de la continuité et de la reprise
procédure d’urgence en cas de violation de données et une
d’activité est de viser la mise en place progressive et choisie des
procédure de communication interne et externe. Nous avons
actions de continuité et de reprise en priorisant les activités cri-
mis en place une revue annuelle de cette documentation pour
tiques, puis d’envisager ensuite un retour à la normale sur le péri-
chaque scénario et cela est le rôle d’un chargé de gestion des
mètre complet de l’entreprise. Le plan de continuité d’activité,
risques de continuité dédié dans notre entreprise, qui compte
ensuite décliné par métier ou activité de l’organisation, vise la
2 400 collaborateurs. Cette fonction à temps plein est néces-
mise en œuvre des mesures de secours permettant de limiter au
saire pour gérer la complexité. On ne prévoit jamais tous les
maximum les conséquences de sinistres physiques et informa-
scénarios, mais notre boîte à outils est prête en cas de besoin
tiques ou humains et de définir les conditions minimales de conti-
et on l’adapte au fil de nos expériences. »
nuité de l’activité.
94
SE3012
________________________________________________________________________________________________ GESTION DE LA CONTINUITÉ D’ACTIVITÉ
Tableau 2 – Périmètre du plan de continuité d’activité, illustration au sein d’un établissement

de crédit à la consommation
Scénario Action Qui ?
Déclenchement du plan de continuité d’activité Cellule de crise ; décideur

• Formaliser la décision d’activation du plan dans le journal de crise et référent communication
• Activer le site de repli
• Communiquer au responsable de continuité le nombre de collaborateurs à replier
Communication externe Responsable communication
2
• Valider la stratégie de communication externe externe
Indisponibilité des locaux
• Préparer une communication externe validée par la gouvernance et par la cellule

de crise
Renvoi à la procédure de communication de crise
Communication interne Responsable communication

• Prévenir les instances représentatives du personnel de la décision d’activer le plan interne/RPUPA
de continuité d’activité
• Récupérer la liste des contacts auprès de la direction des ressources humaines
• Mettre en œuvre la communication interne vers les acteurs de la communication
identifiés via les moyens de communication disponibles (collaborateurs repliés
notamment)
Renvoi à la procédure de communication de crise
Apporter l'assistance RH Responsable RH/coordinateur

• Apporter assistance aux collaborateurs dans la mise en œuvre du repli de la cellule de crise
• Valider la stratégie d’indemnisation des collaborateurs
Mettre en œuvre le PSI Responsable informatique,

référent informatique de la cellule
de crise
Indisponibilité des SI
Communication interne Responsable communication

• Mettre en œuvre la communication vers les collaborateurs de l’état d’avancement interne
de la situation via les moyens disponibles
Communication externe Responsable communication

• Mettre en œuvre la communication vers les clients et les partenaires externe
Mettre en œuvre les solutions de contournement Responsable continuité/

• Les métiers impactés activent les moyens de contournement décrits dans les responsables métiers impactés
procédures de continuité métier
Mettre en œuvre les solutions de continuité Responsable continuité/

• À partir du bilan par métier des compétences disponibles en interne et en externe responsables métiers impactés
Indisponibilité des ressources humaines
Suivre les indicateurs de suivi de la disponibilité des compétences et Responsables métiers impactés
équipes par activité
Communication Responsable communication

• Mettre en œuvre la communication interne (collaborateurs) et externe (clients) interne/externe
Mettre en œuvre les solutions de contournement Responsable continuité/

Les métiers impactés activent les moyens de contournement décrits dans les responsables métiers impactés
procédures de continuité opérationnelle par entité métier :
• répartition des tâches parmi le personnel disponible
• réaffectation du personnel effectuant les activités non critiques
• invitation des clients à utiliser le service automatisé
• exploitation de la possibilité de télétravail sur les activités ouvertes en travail
distant
• rappel des collaborateurs en congés sur les processus critiques
• recours à d’éventuelles ressources extérieures (intérims, CDD, managers et
experts de transition)
95
SE3012
Formaliser le PCA Appliquer le PCA Corriger

le PCA
Revenir à
Prévoir Réagir Gérer Maintenir
la normale
Fin
tre
nis de
Si crise
2 Procédure de remontée
d’alerte
Procédure de convocation
de la cellule de crise
Procédure de
déclenchement du PCA
Procédure de transfert du
personnel sur le site de repli
Procédure de retour à la
normale
Procédure de bilan de crise
Figure 1 – Le PCA et le tryptique « formaliser, appliquer, corriger »
En pratique, ces plans comprennent également un volet visant à tée, espacement des locaux, mesures d’hygiène et de sécurité
définir des mesures ayant pour but de recouvrer l’activité après un adaptées).
sinistre majeur. • Les situations de type mouvements sociaux avec blocage
Cela comprend notamment : de site stratégique pour l’organisation engendrant une interruption
• la définition de l’organisation de la gestion crise et son d’activité temporaire ou prolongée. Ce type de scénario peut sur-
fonctionnement ; venir du fait des conditions de dégradation du climat social de
l’entreprise ou du fait de blocages intervenant pour des entreprises
• la maîtrise de la communication interne et externe ;
différentes sur un même site commun (exemple : blocage de
• l’organisation, par processus et par métier, des procédures l’entrée d’un immeuble de grande hauteur par les salariés de l’une
opérationnelles. des entreprises présente dans ledit immeuble).
L’organisation retenue, illustrée dans la figure 1, doit permettre • Défaillance ou faillite d’un partenaire ou d’un sous-trai-
de gérer tout type de scénario de crise et être modulable, sans pré- tant ayant un rôle clé sur l’un des processus de l’entreprise. À titre
tendre à l’exhaustivité, en fonction de la gravité du sinistre et de la d’exemple, un établissement bancaire fait appel à un prestataire de
phase de la crise. services externalisés essentiels pour la gestion de ses distributeurs
automatiques de billets. Suite à un mouvement social, le service
d’alimentation des DAB n’est plus assuré pendant une période cri-
2.2 Gestion de l’urgence tique d’une semaine, dépassant la limite de 48 h fixée par l’établis-
sement bancaire. Ces défaillances peuvent aussi concerner des
La gestion de l’urgence dans les organisations implique la prise services de type fourniture d’énergie électrique, de téléphonie.
en compte de plusieurs éléments, et notamment les catégories de • Les menaces environnementales nécessitant l’intervention
menaces. Cette démarche implique de définir les actifs et les pro- de société de dépollution et des pouvoirs publics ainsi qu’une
cessus soumis à des actions d’urgence. communication de crise d’urgence adaptée.
• Les sinistres ayant un impact sur les immeubles et locaux • Les menaces cyber impliquant la réalisation de mesures de
de l’entreprise (incendie avec destruction partielle ou totale, sauvegarde informatique de type coupure d’urgence d’accès et
dégradation suite à dégât des eaux, intrusion ou attentat engen- investigation sur le risque intrusion et la compromission des accès
drant une destruction partielle ou totale de l’immeuble). Ces situa- et violation de données.
tions impliquent la mise en place d’un plan de repli sur un site
Dans tous ces cas, la prise en compte des risques géogra-
distant ou en télétravail pour les équipes pouvant mettre en œuvre
phiques et liés à l’environnement extérieur est essentielle dans le
ce type de solution.
cadre de la définition des actions d’urgence.
• Les situations de catastrophes naturelles détruisant ou ren-
Ces menaces ont différents types de conséquences : indisponibi-
dant inaccessibles les locaux de l’entreprise ou certains de ses pro-
lité des locaux, des ressources, des actifs informationnels, impossi-
cessus (distribution, événementiel par exemple).
bilité de déplacement (confinement en lien avec la pandémie,
• Les situations de type pandémie impliquant la mise en place événements naturels), baisse de l’activité (mesures de chômage
d’un plan pandémie d’urgence (recours au télétravail, équipe limi- partiel).
96
1– Introduction
2– Démarches
3
3– Retours d'expérience Réf. Internet page
De la « maîtrise » des crises SE1060 99
Le retour d'expérience en questions SE1040 103
Retour d'expérience technique SE1041 105
Retour d'expérience dans les industries de procédé AG4610 111
Leçons des accidents majeurs dans l'industrie chimique SE1050 113
Risques et accidents majeurs. Retour d'expérience cindynique SE1055 117
Dimensions humaine et organisationnelle dans le retour d'expérience SE3805 123
Pratiques de retour d'expérience (REX) pour un apprentissage organisationnel RE179 127
97
3
98
SE1060
De la « maîtrise » des crises
par Claude HANSEN-GLIZE

Analyste de crises
Expert auprès du comité scientifique du projet ICRISIS, université de Nancy
1. Petit panorama sur l’état de l’art......................................................... SE 1 060 - 2

1.1 Cas AZF ........................................................................................................ — 2
3
1.2 Risque, urgence et crise ............................................................................. — 2
1.3 Urgence, crise et rupture ............................................................................ — 3
1.4 Menaces, vulnérabilités et résistance ....................................................... — 3
1.5 Des situations critiques aux désordres graves ......................................... — 4
2. Crises caractérisées................................................................................. — 4
2.1 Ce que l’on peut en dire .............................................................................. — 4
2.2 Crise grave post-accidentelle ...................................................................... — 4
3. Irruption d’une crise dans une « organisation » ............................. — 4
3.1 Organisation en marche .............................................................................. — 4
3.2 Apparition de tensions ................................................................................ — 4
3.3 Ajout de l’événement sur l’accident ........................................................... — 5
4. Affronter et réguler les crises – les dépasser –
avec des partenaires qui s’imposent .................................................. — 5
4.1 Ce qu’il faut affronter ................................................................................... — 6
4.2 Ceux qui affrontent ...................................................................................... — 6
4.3 Ce qu’il faut réguler ..................................................................................... — 7
4.4 Ceux qui régulent ........................................................................................ — 7
4.5 Ce qu’il faut dépasser .................................................................................. — 7
4.6 Ceux qui dépassent...................................................................................... — 8
5. Organisation en arrière-plan ................................................................. — 9
5.1 Son socle : un principe ................................................................................ — 9
5.2 Son appui : des lois ..................................................................................... — 9
5.3 Son cadre : des structures .......................................................................... — 9
5.4 Ses aides : des plans de secours ................................................................ — 10
5.5 Ses moyens : des acteurs............................................................................ — 10
6. Tous ces acteurs communiquent ......................................................... — 11
6.1 Information et communication ................................................................... — 11
6.2 Motifs de communication ........................................................................... — 12
6.3 Modes de communication .......................................................................... — 13
Parution : avril 2008 - Dernière validation : janvier 2022
6.4 Quelques principes ..................................................................................... — 13

6.5 Informer et communiquer : les protagonistes .......................................... — 14
6.6 Quelques obstacles à la communication .................................................. — 14
7. Tous ces acteurs se préparent.............................................................. — 15
7.1 Obligations légales et réglementaires........................................................ — 15
7.2 Modes de préparation ................................................................................. — 16
8. Conclusion.................................................................................................. — 18
orsqu’on cherche la place qu’occupe la gestion des crises dans les organi-
L grammes ou documents produits par les principaux organismes qui en ont
la charge (entreprises, services de l’État ou autres centres de formation), on la
trouve traitée dans les départements de maîtrise des risques. Pourtant... cette
proximité n’est pas évidente.

99
SE1060
DE LA « MAÎTRISE » DES CRISES _______________________________________________________________________________________________________
Après un survol rapide de l’état de l’art en la matière et l’énumération de

quelques constantes qui permettent de caractériser ces crises (y compris le
choix de traiter des crises graves post-accidentelles), je proposerai une repré-
sentation des types de problèmes qu’elles génèrent. En effet, j’aime à dire
qu’elles exigent d’être :
– affrontées sans faux-fuyant ;
– régulées par des décisions d’actions prises en contrôle continu ;
– dépassées, à chaud, par des anticipations partielles, fréquemment renou-
velées et partagées, et à distance, par les enseignements qui en sont tirés.
J’exposerai ensuite l’organisation qui existe en arrière-plan, en termes de
principes, de lois et d’acteurs qui sont chargés ou qui se chargent de la riposte,
sans oublier les besoins en communication qui accompagnent ces organisa-
tions de crise.
J’aborderai également des problèmes plus spécifiques, tels que les réactions
3
« handicapantes » repérées au cours d’études que j’ai réalisées, ainsi que ce
grave problème de la formation à l’efficacité dans des situations déstructurées,
avec des partenaires « obligés » ; là où modélisations, simulations et retours
d’expérience prennent toute leur importance.
J’aimerais terminer par quelques réflexions concernant le soutien psycholo-
gique aux impliqués et l’intervention de la justice.
Si vous êtes ingénieur, vous pouvez l’être de formation, ou

1. Petit panorama occuper cet emploi dans une entreprise ou dans des services de
sur l’état de l’art l’état ou de collectivités territoriales, ou encore dans un organisme
de type associatif... Dans tous les cas vous avez été – ou vous
êtes – confronté à des problèmes de maîtrise de risques et à des
1.1 Cas AZF décisions à prendre dans l’urgence. En effet, ces notions sont indu-
bitablement liées à la prévention d’accidents. Qu’ont-elles à voir
Jusqu’à ce matin du 21 septembre 2001, ce n’était que le nom avec l’irruption d’une crise ?
d’une entreprise appartenant au groupe Total-Fina-Elf dont peu de
gens connaissaient l’existence. Si vous faites une recherche Inter-
net aujourd’hui sur le sigle « AZF », le premier site qui apparaît est 1.2 Risque, urgence et crise
intitulé : « Toute l’info sur la catastrophe ». AZF est donc
aujourd’hui, avant tout, « une catastrophe » connue de tous... Pour essayer de s’y repérer je propose de prendre, un court
S’il y a eu médiatisation, de celles qui durent jusqu’à aujourd’hui moment, le chemin inauguré par la sociologie d’entreprise. Michel
– et ce n’est pas fini –, ce n’est pas seulement parce qu’il y eut un Crozier [1] posait, il y a plus de trente ans, la question suivante :
grave accident dans cette entreprise. C’est essentiellement parce
« À partir de quel degré, dans quelles conditions, des tensions
que la dévastation ne s’est pas limitée à l’intérieur du site, débor-
qui, jusque-là, avaient pour conséquences de renforcer le système
dant sur les entreprises voisines de la zone industrielle et, au-delà,
d’action existant, peuvent désormais provoquer son éclatement ? »
sur la ville elle-même. Sans compter les morts humaines, qui ont
mobilisé immédiatement l’appareil judiciaire, les conséquences Il avait déjà repéré, dans les entreprises où il était appelé en
continuent à peser considérablement sur la vie de la cité de Tou- consultation, que le mode de fonctionnement habituel des services
louse et de la région Midi-Pyrénées. Elles pèsent tout autant sur était d’être soumis à des tensions. Certaines étaient susceptibles
l’ensemble des réglementations concernant les sites industriels de provoquer des dérèglements pouvant aller jusqu’à l’éclatement
dans leur environnement et, plus particulièrement, les sites Seveso des structures.
(seuil haut). La disparition de plusieurs sociétés industrielles dans
la région et l’impact négatif sur l’image de l’industrie de la chimie On peut dire que, jusqu’à ce constat « d’éclatement », les entre-
ne sont que les parties visibles d’un phénomène qui continue de prises sont capables de supporter des situations critiques qui,
générer nombre de séquelles. certes, demandent des choix risqués à faire dans l’urgence, mais
« qu’au-delà », on entre dans une situation de crise. Cette analyse
Ce n’est donc pas qu’un accident de grande envergure. Cet évé- peut être élargie à différents types d’organisations, à savoir, une
nement est à l’origine de modifications profondes dans des domai- ville, une région, ou même une nation. Dans tous les cas, de quoi
nes que tout un chacun ne soupçonne pas encore, sans parler du est fait cet « au-delà » ?
traumatisme vécu par de nombreux toulousains, ni de l’énorme
besoin de réparation qui transparaît dans la ville et toute sa région. « Innombrables, les crises qui n’ont déclenché que des mécanis-
mes d’adaptation, voire accompagnés de régression. » écrit égale-
On voit bien qu’il y a eu crise, et que celle-ci n’est pas terminée,
ment M. Crozier [1]. À l’époque, le mot « crise », après avoir été
même si l’événement ne fait plus la « une » dans les médias. Ceci
assimilé à la notion de « situation critique », se devait de porter la
nous permet-il de comprendre ce qui distingue un accident, d’un
signature d’un réel changement, nécessaire et valorisant, même si
événement, ou d’une crise ? Pas tout à fait, on le sent bien. Or, si
« ... tout changement véritable signifie toujours rupture et crise ».
l’on veut avoir une attitude adaptée lors de la survenue d’une
crise, il faut pouvoir en identifier les composantes. Il est donc La crise était ainsi la manifestation du « vivant ». Il devenait
nécessaire de continuer cette réflexion, en tout cas concernant les donc important de savoir la gérer pour en obtenir les améliora-
ingénieurs dans leurs rapports avec la survenue d’une crise. tions indispensables dans ce processus de transformation.

100
SE1060
_______________________________________________________________________________________________________ DE LA « MAÎTRISE » DES CRISES
Mais lorsque, dans les années 90, les pouvoirs publics se sont Il semblerait donc que, pour lui, ce soit le « global » qui soit
lancés dans la nécessité de « gérer la crise » pour répondre à l’exi- devenu chaotique, et au niveau « local », chacun d’entre nous doit
gence de sécurité et de sûreté développée dans la société civile, il « ... acquérir les aptitudes qu’appellent les nouveaux défis de sécu-
s’agissait de crises post-accidentelles graves, les accidents pou- rité (...) Un travail opérationnel, exigeant, précis, est à engager
vant être de type « naturel », « technologique », ou « sociétal ». pour se doter de compétences profondément renouvelées – en
Pour peu que l’on tienne compte de la multiplicité des causes, des visions, en démarches, en outils... » [4].
intervenants, des territoires, et que l’on tire la leçon des catastro- Cet appel de P. Lagadec veut encore une fois nous alerter sur la
phes qui se développaient en France, ou ailleurs dans le monde ; nécessité de penser autrement l’existence des crises, en nous aidant
que l’on montre la nécessité d’une « bonne coordination » entre à comprendre que nous n’aurons jamais fini de nous attaquer à plus
les acteurs institutionnels ou émergents ; que l’on responsabilise « impensable » et que, inlassablement, il nous faudra « ... vingt fois
ceux qui n’étaient pas déjà responsables (les décideurs – publics et sur le métier (de la sécurité) remettre notre ouvrage (...) le polisser
privés – ou les opérationnels) comme les assureurs par exemple, sans cesse et le repolisser... » pour paraphraser Boileau.
l’espoir d’une gestion optimale de la crise autorisait à penser et à
laisser dire : « Plus jamais çà ! ».
Il semble bien que, de nos jours, le concept ait évolué. Même si 1.4 Menaces, vulnérabilités et résistance
les appels au changement sont toujours largement professés dans
les discours (sous des appellations plus modernes, il est vrai), la Claude Gilbert, dans un article intitulé « Comment gérer les
3
crise n’exerce plus du tout le même attrait, elle est même à nou- crises ? Les pouvoirs publics face à des risques polymorphes » [5],
veau redoutée. Elle a repris la dimension médicale qu’elle avait à développe sa propre réflexion en reprenant l’historique du pro-
l’origine dans les aphorismes hippocratiques : elle constitue le blème. Également pionnier en la matière, ayant perçu et analysé
paroxysme de la maladie. Dans le cadre qui nous occupe, on peut les dimensions sociales et politiques des crises, il en a suivi les
même aller jusqu’à parler de maladie de société, pour ne pas dire modifications dans leur nature même : « ... Le déplacement opéré
de civilisation. par les risques majeurs, puis par les risques sanitaires, dans
Et ce sont « l’affaire » du sang contaminé, la crise de la vache l’approche des crises, se double aujourd’hui d’un autre déplace-
folle, le risque de pandémie mondiale de la grippe aviaire, les trois ment qui modifie de façon plus radicale encore la notion de crise :
situées dans le domaine de la santé publique, qui ont fait considé- la crise peut également naître du croisement entre de nouveaux
rablement évoluer les regards que l’on porte actuellement sur la types de menaces et les vulnérabilités propres aux sociétés
crise, c’est-à-dire les représentations construites dans le discours contemporaines dans le contexte actuel de la mondialisation des
public. échanges... » [5].
Si bien qu’il est possible, aujourd’hui, de discerner la coexis- Cette phrase sert d’introduction à un chapitre intitulé : « Le
tence de plusieurs approches : SPECTRE * des crises globales, nouveaux types de menace et nou-
velles vulnérabilités ».
– la prise de conscience généralisée qu’il existe d’autres catégo-
ries de crises ; N’ayons pas peur des mots : c’est le fantôme d’une nouvelle
– l’effet d’une banalisation du concept passé dans le domaine guerre mondiale qui se profile à cet horizon. Sous la forme de ces
public ; grandes épidémies dévastatrices que l’humanité a toujours
– une inquiétude plus profonde parmi nos concitoyens. connues et que l’on voudrait croire éradiquées. Quelques chose
nous permet d’oser espérer la gagner. En effet, pour la première
fois dans toute l’histoire de notre humanité, avec l’apparition du
Ce qui a fait appeler « gestion de crise » tout règlement de SIDA, la recherche concernant le traitement et, donc, l’éradication
situation sortant de l’ordinaire, exigeant un traitement possible d’une maladie, s’est développée en même temps que sa
d’urgence, et appelant à prendre des décisions « risquées ». propagation. Mais, devant « l’état d’urgence » ou « d’exception »
que créerait la lutte contre une telle catastrophe, le spectre d’une
Mais, en même temps qu’apparaissaient brusquement de nou- militarisation des appareils de sécurité publics, que viendrait
velles menaces, que la notion de sécurité civile se développait sous-tendre le concept de sécurité globale, se profile à l’horizon de
dans les textes législatifs ou réglementaires [2], et qu’en parallèle, ces recherches [6].
les recherches spécifiques dans de nombreux domaines se pour- Même si nous en sommes déjà là, ce n’est tout de même pas en
suivaient, le concept de crise est lui-même devenu beaucoup plus ces termes que la dynamique des crises dans l’espace public est
« complexe ». analysée.
« ... Le développement de controverses scientifiques, l’interpella-
tion des autorités par des personnes ou des groupes (s’estimant
1.3 Urgence, crise et rupture ou redoutant d’être) exposés à des menaces, la survenue de
désaccords entre les décideurs et/ou entre les experts, l’activité
C’est à Patrick Lagadec que l’on doit une distinction entre « ... trois
propre des médias, etc... » [7] sont les manifestations qui peuvent
catégories de phénomènes : l’urgence, « simple brèche dans un uni-
faire qu’un événement devienne une « polémique », une
vers stable » ; la crise, correspondant à « un événement qui fuse
« affaire », un « scandale », avec des mises en accusations tour-
avec mise en résonance rapide du contexte » ; et enfin la rupture,
nantes.
« moment critique dans les processus de mutation globale... » [3].
Et comme Claude Gilbert avait écrit dans [8] : « ... Les situations
C’est dans ce sens qu’il parle de « ruptures créatrices ». Car,
de ce type se présentent comme une mise à l’épreuve, voire
pour lui, « ... nous sommes aujourd’hui à une période de rupture
comme une vérification, des capacités des autorités à assurer la
en matière de sécurité, sur tous les fronts – environnement, climat,
protection des collectivités dont elles ont la charge... », on peut
santé publique, technologie, dynamiques sociales, géostratégie,
voir le déplacement opéré dans la prise en compte des protagonis-
violence. Il nous faut nous saisir de ces questions, massives et
tes et des enjeux, en seulement une quinzaine d’années.
enchevêtrées qui, de plus en plus souvent, nous apparaissent rele-
ver de « l’impensable » (...) « Nous voici projetés dans un monde Aujourd’hui, ce n’est pas une plaisanterie de dire que la crise
qui perd ses repères comme ses frontières. Nous passons de crée des potentialités de crise qui, à leur tour, mettront à l’épreuve
l’accidentel – une défaillance spécifique, sur un terrain globale- les « dispositifs de veille et de gestion de crise » comme F.
ment stable – au chaotique : un terrain profondément et durable- Chateauraynaud le dit des systèmes d’alerte, toujours dans la
ment déstructuré, matrice de problématiques de sécurité dont les même revue [9].
lois nous échappent... » Nota : * les majuscules sont de l’auteur.

101
SE1060
DE LA « MAÎTRISE » DES CRISES _______________________________________________________________________________________________________
1.5 Des situations critiques 2.2 Crise grave post-accidentelle

aux désordres graves
Même si la recherche ne peut, ni ne doit, s’empêcher de toujours
Des ambiguïtés certaines demeurent – et peut-être encore pour progresser et s’attaquer à toujours plus « impensable », il paraît
longtemps – concernant la définition de la crise et de sa gestion. souhaitable, dans ce domaine comme dans d’autres, de ne pas
En appeler aux concepts « risque », « urgence », « rupture », oublier, pour autant, d’exploiter les avancées déjà repérées. Or, les
« vulnérabilité », « menaces », sans oublier celui plus générique de crises graves post-accidentelles (L’Erika, les tempêtes de 99, AZF,
« sécurité », c’est s’appuyer sur des domaines en pleine évolution « le » tsunami,...) génèrent toujours des retours d’expérience et des
qui s’alourdissent en permanence de nouvelles significations et de modifications dans les réglementations et les comportements. Elles
nouvelles réglementations. permettent de dissocier l’accident de l’événement. Elles sont tou-
jours difficiles à accepter et à faire accepter. De grande amplitude,
Mais, pour la poursuite de mon propos, je citerai encore une fois à cinétique rapide au départ, elles forcent l’implication brutale de
P. Lagadec : « ... Certes, les risques d’hier – l’installation qui l’ensemble des partenaires de la société civile. Chacun les vit en
connaît l’accident spécifique – n’ont pas disparu, loin s’en faut, et il totale immersion, toujours dans l’urgence. Leurs effets restant visi-
faut être en mesure d’aligner les capacités de prévention (...), de bles pour une longue période, il est très difficile de les nier. Elles
réaction connues et indispensables (...) Et attention : bien des mettent en vive lumière les mécanismes sous-jacents dans toute
compétences peuvent se perdre, même en peu d’années... » [4]. situation critique, même s’ils apparaissent négligeables en temps
ordinaire. Enfin, l’apparition de conflits est inéluctable et nécessite
3
Autrefois, quand on parlait de « risque majeur », la plupart des
des médiations. Pour toutes ces raisons, il m’apparaît légitime de
personnes ne discernaient pas vraiment s’il s’agissait de celui dont
concentrer notre attention sur cette catégorie de crise.
on redoutait la survenue ou de ce qui avait (déjà) entraîné un
accident grave d’ordre technologique ou naturel. Aujourd’hui, il Pour citer Jean-Pierre Bourdier, directeur délégué coordination
semblerait qu’un phénomène équivalent se développe dans le Groupe EDF, au moment des tempêtes de décembre 1999 » [10] :
vocabulaire employé pour la gestion des entreprises et autres « ... Gérer la crise, ce n’est donc pas seulement réparer des lignes
« organisations du vivant ». D’un côté, il y a des situations criti- ou des installations, c’est mobiliser des moyens humains, médi-
ques apparaissant dans des environnements instables, dangereux caux, psychologiques pour éviter que les situations dramatiques
mais maîtrisés. Celles-ci génèrent cependant des sentiments ainsi créées ne se traduisent par des pertes de vies ou des dégâts
d’insécurité et d’instabilité qui font demander aide et assistance à sociaux irrémédiables. (...) Gérer la crise, c’est s’en tenir aux faits,
des personnes compétentes dans le traitement de ces urgences : décrire où on en est, rendre compte des actions entreprises, pas à
elles en appellent à la maîtrise des risques. De l’autre côté, on a vu pas. (...) Apprendre collectivement à gérer la crise est certes beau-
que pouvaient se développer des situations de désordre grave ou coup plus lent et beaucoup plus complexe que l’apprendre
gravissime, mettant en danger « les fonctions vitales » des structu- « chacun dans son coin », mais c’est une magnifique école de
res atteintes, quelle que soit leur échelle, et dépassant donc le civisme et de cohésion sociale... »
simple cadre des entreprises. Et celles-là, immanquablement géné-
ratrices de crises, exigent alors des attitudes et des réactions pro-
fondément différentes de la part de toutes les parties prenantes
dans la société civile. C’est ce que je propose de développer dans
le texte qui va suivre.
3. Irruption d’une crise
dans une « organisation »
Ces schémas qui entendent représenter la dimension de la crise
2. Crises caractérisées dont il va être question par la suite, sont le fruit d’un travail de
« décantation » que j’ai mené lentement à la recherche d’un outil
qui permette de clarifier pour mes interlocuteurs – en particulier
2.1 Ce que l’on peut en dire les étudiants – la plupart des notions utiles à la compréhension du
phénomène de crise.
Les crises, cependant, ne seront pas obligatoirement causées
par une occurrence de grande importance. Le domaine dans lequel
elles se développent ne servira pas, non plus, à les caractériser. Il 3.1 Organisation en marche
pourra s’agir, aussi bien de crise surgissant dans les secteurs
industriel, économique, alimentaire, financier, social ou humani- Le rectangle (figure 1) symbolise une « organisation ». Ce terme
taire... désigne autant une entreprise, qu’un groupe ou une filière, une
Les crises apparaissent comme ayant leur vie propre. Cepen- ville, une région, etc. Disons que c’est une dynamique vivante qui,
dant, on remarque qu’elles sont caractérisées par l’ampleur et les lorsqu’elle vise à conserver sa structure, utilise des procédures qui
grands nombres : qu’il s’agisse d’acteurs, de victimes, de régions sont de l’ordre du préventif, du curatif ou du correctif, afin de maî-
ou de pays impliqués, sans oublier les commissions d’analyses, triser les écarts par rapport à une norme. Même si les définitions
les expertises, etc. Elles ont toujours un caractère exceptionnel, qui m’ont été proposées par des ingénieurs pour ces trois termes
dans la démesure ou la disproportion. Elles nécessitent toujours n’ont pas eu les mêmes contenus, aucun d’entre eux n’a récusé
des dérogations, par dépassement des limites habituellement cette triade.
autorisées. S’y ajoute une très grande intrication des données, des
domaines, des spécialités contribuant ainsi à leur complexité. Si
bien que les effets de correction sur leurs trajectoires sont particu- 3.2 Apparition de tensions
lièrement imprédictibles.
Mais cette organisation est forcément soumise à des tensions :
incidents et clignotants surviennent (figure 2)... mais, comme il est
Et puis, effet souvent très mal ressenti, la diffusion immé- d’usage, seulement aux quelques personnes concernées, à des
diate dans le grand public de ce qui les constitue, leur donne moments différents, avec des intensités variées et avec des signifi-
ipso facto une coloration politique – au sens premier du cations différentes pour chacun...
terme. C’est ainsi qu’elles peuvent être considérées comme
Et puis, par moments, certains incidents deviennent vraiment
des « catastrophes » en elles-mêmes.
menaçants, des actions s’imposent dans l’urgence. La situation est

102
SE1040
Le retour d’expérience en questions
par Yves MORTUREUX

Expert en sûreté de fonctionnement à la Direction déléguée Système d’exploitation
et sécurité à la SNCF
Vice-président de l’Institut de sûreté de fonctionnement
1. Pourquoi ? .................................................................................................. SE 1 040 - 2 3

2. Quoi ? .......................................................................................................... — 2
2.1 Produit du retour d’expérience................................................................... — 2
2.2 Effets du retour d’expérience ..................................................................... — 2
3. Comment ?................................................................................................. — 3
3.1 Détection et recueil...................................................................................... — 3
3.2 Analyse ......................................................................................................... — 4
3.3 Stockage des informations ......................................................................... — 4
3.4 Exploitation .................................................................................................. — 4
4. Qui ?............................................................................................................. — 5
5. Comment obtenir les informations ? ................................................. — 5
6. Comment bénéficier de l’expérience acquise dans le domaine ? — 6
Références bibliographiques ......................................................................... — 6
e retour d’expérience est une démarche consistant à apprendre de ce qui

L se passe et de ce qui s’est passé pour mieux maîtriser l’avenir.
C’est une démarche organisée et systématique de recueil et d’exploitation
des signaux que donne un système.
Le principe de cette démarche est simple et de bon sens, des pratiques et des
principes usuels depuis longtemps relèvent du retour d’expérience, même si
cette expression est récente. L’expression « retour d’expérience » recouvre
aujourd’hui un domaine de connaissances assez vaste qui évolue encore assez
rapidement. En effet, l’organisation et les pratiques qui permettent de tirer le
meilleur parti de l’expérience demandent réflexion. Les obstacles et les diffi-
cultés qui conduisent de bonnes intentions dans les impasses sont légion en
ce domaine. Nombreuses sont les organisations qui, fortes des idées simples
citées, sont parties « la fleur au fusil » dans de coûteuses organisations de
remplissage de bases de données qui, en définitive, n’ont guère contribué au
progrès de l’organisation en question.
© Techniques de l’Ingénieur, traité Sécurité et Gestion des risques SE 1 040 − 1
103
SE1040
LE RETOUR D’EXPÉRIENCE EN QUESTIONS __________________________________________________________________________________________________
1. Pourquoi ? conséquences. On parle alors souvent de « retour d’expérience

positif ». Mais cette expression est utilisée usuellement pour évo-
quer deux démarches assez différentes, tout à fait
Errare humanum est, perseverare diabolicum. Une erreur est complémentaires et qui peuvent se rejoindre en une seule.
pardonnable, récidiver ne l’est pas. Cette idée largement partagée On parle de retour d’expérience positif pour évoquer :
conduit à devoir connaître ses erreurs, les analyser, trouver des — la recherche de connaissance des éléments, des mesures, des
parades pour ne pas récidiver. C’est du retour d’expérience ! mécanismes qui expliquent la réussite du système (on ne part pas
Toute étude de risque nécessite des données. Ces données ne du principe que la réussite ne peut être due qu’au respect strict de
peuvent provenir que de son expérience ou de l’expérience la conception, mais on admet que l’apport des opérateurs est aussi
d’autrui. Certaines données, comme des taux de fiabilité, se mesu- important et doit être connu, reconnu, pris en compte et géré ; ce
rent. De telles mesures sont plus longues et difficiles à réaliser qui ne signifie pas qu’il est accepté tel quel d’office, mais que son
qu’une longueur ou une masse ; il y faut une organisation spéci- existence ne peut être niée et qu’il doit être analysé et piloté) ;
fique. C’est le retour d’expérience qui fournit ces données ! — la recherche de l’existence et du fonctionnement des boucles
de rattrapage, de la défense en profondeur. Le retour d’expérience
Une organisation s’évalue par ses performances. La mesure de
ne s’intéresse pas seulement aux événements aux conséquences
certaines performances (fiabilité, sécurité...) peut passer par un
lourdes lors desquels le système de sécurité ou de production a
retour d’expérience !
failli. Il s’intéresse aussi aux événements lors desquels un événe-
3
Le management de la sécurité passe généralement par la ment initial aurait pu conduire à une catastrophe mais la défense en
connaissance des risques, la motivation à les réduire de tout le per- profondeur, les « boucles de rattrapage » ont évité les conséquences
sonnel concerné. Analyser les échecs avec les acteurs, diffuser, par- sérieuses. L’intérêt pour ces réussites de la défense du système est
tager l’information sur les dysfonctionnements est une démarche qualifié de « retour d’expérience positif ». Il peut mettre en évidence
essentielle d’implication du personnel. C’est du retour d’expérience ! des fonctionnements prescrits, mais aussi des rattrapages imprévus
Innover est dans la plupart des activités économiques une néces- et rejoint alors la première acception citée du « retour d’expérience
sité... qui ne dispense pas d’exigences de qualité, de sûreté de positif ».
fonctionnement. L’innovation consiste, bien entendu, à prendre un
risque. Pour que les avantages de l’innovation ne soient pas per-
dus, compensés par les défauts de jeunesse, il faut exploiter au
plus vite l’expérience qui se constitue.
L’innovateur garde longtemps un avantage sur ses suiveurs
2. Quoi ?
grâce au retour d’expérience : alors que son innovation est déjà
copiée, il garde longtemps une expérience d’avance et, s’il
l’exploite, une maîtrise des risques très supérieure à celle de ses 2.1 Produit du retour d’expérience
concurrents.
La sûreté de fonctionnement en général, la maîtrise de la disponi-
Le retour d’expérience produit de la connaissance sur un sys-
bilité en particulier est affaire de compromis, d’équilibre. Les actions
tème, de la connaissance déduite de son passé.
qui peuvent augmenter la fiabilité (réduire la fréquence des inci-
dents) ou la maintenabilité (réduire les conséquences, en général la Il peut produire des évaluations du fonctionnement du système :
durée des incidents) ont un coût. C’est en mettant ce coût en rapport nombre et nature des écarts, des échecs, coûts, production.
avec la fréquence et la gravité vraisemblables des incidents que l’on Il peut produire la description des scénarios de fonctionnement
peut faire les choix les plus proches de l’optimum et mettre en ayant conduit à des résultats particuliers (accidents par exemple).
œuvre avec précision la politique de l’entreprise. Le retour d’expé-
rience est indispensable pour connaître le comportement des sys- Il peut produire des données de sûreté de fonctionnement (fré-
tèmes dans leurs milieux, dans les conditions réelles de leur quences, gravités d’événements redoutés, dispersions de valeurs a
utilisation. priori aléatoires comme des durées de bon fonctionnement de
composants...).
Une politique de maintenance, un dimensionnement de stock de
pièces de rechange, une politique de garantie au client... se
construisent bien à partir de la connaissance des comportements
possibles du produit ou du service fournis. 2.2 Effets du retour d’expérience
Un système complexe ne fonctionne jamais simplement comme
ses concepteurs ou ses organisateurs le décrivent. D’une part, la Le retour d’expérience en soi ne prend pas de décision ; il pro-
complexité exige des quantités de choix, d’ajustements, d’adapta- duit de la connaissance et cette connaissance est essentielle dans
tions plus fins, plus détaillés, plus variés selon les circonstances, la prise de décision.
pour mettre en œuvre concrètement la conception. Les acteurs
doivent trouver des solutions aux problèmes qui se présentent ; ils La connaissance produite par le retour d’expérience peut être le
perçoivent et exploitent des possibilités non prévues ou recon- déclencheur de décisions. C’est le cas classique de l’accident :
nues, différentes d’une situation à une autre. Quand on analyse de l’accident remet en cause le système de sécurité, l’enquête établit
près un système complexe, on constate qu’il fonctionne partielle- le scénario de l’accident, l’analyse de l’accident met en évidence
ment autrement et bien souvent qu’il atteint les objectifs fixés, qu’il les failles ou les faiblesses qui l’expliquent et des décisions rapides
réalise ses performances pour d’autres raisons que celles mises en sont attendues pour réduire ces possibilités d’accident.
avant lors de la conception. La connaissance produite par le retour d’expérience est aussi un
Toute modification du système fondée sur son fonctionnement trésor dans lequel on vient puiser au moment de faire des choix.
théorique expose à détruire des barrières de sécurité importantes En présence de choix, à la recherche de prévisions permettant
et non reconnues, à le dégrader de façon incompréhensible. d’évaluer les possibilités, le retour d’expérience est souvent solli-
Appuyer des analyses de risque sur les performances globales cité.
constatées du système et les attribuer d’office aux mesures pré- Dans les deux cas, mais surtout dans le second, le retour d’expé-
vues en conception sans rechercher les mesures que l’expérience rience ne sera à la hauteur des espérances que s’il a été conçu et
du système et de ses acteurs ont ajouté sans en faire état, c’est réalisé en prévision des attentes, des sollicitations, des interro-
aller droit à des échecs qui peuvent être très lourds de gations, et cela sur des durées de plusieurs années.
SE 1 040 − 2 © Techniques de l’Ingénieur, traité Sécurité et Gestion des risques
104
SE1041
Retour d’expérience technique
par André LANNOY

Institut pour la Maîtrise des Risques, IMdR
1. Objectif et enjeux ................................................................................... SE 1 041v2 - 2
3
2. Utilisation ................................................................................................. — 2
2.1 Retour d’expérience et cycle de vie.......................................................... — 2
2.2 Bases de données ...................................................................................... — 3
2.3 Utilisateurs.................................................................................................. — 3
3. Démarche.................................................................................................. — 3
3.1 Analyse ....................................................................................................... — 3
3.2 Boucle du retour d’expérience .................................................................. — 4
3.3 Rôle des ingénieurs de maintenance ....................................................... — 5
4. Structure des bases de données ........................................................ — 5
4.1 Aspect événementiel ................................................................................. — 5
4.2 Aspect matériel .......................................................................................... — 6
4.3 Grandes fonctionnalités ............................................................................ — 9
5. Qualité des données .............................................................................. — 10
5.1 Facteurs de qualité..................................................................................... — 11
5.2 Besoins des utilisateurs ............................................................................. — 11
5.3 Limites......................................................................................................... — 12
6. Analyse ...................................................................................................... — 12
6.1 Bilan de comportement ............................................................................. — 12
6.2 Classement des données........................................................................... — 12
6.3 Analyse des données................................................................................. — 12
6.4 Calcul des paramètres de fiabilité ............................................................ — 13
6.5 Apport du retour d’expérience aux évaluations probabilistes de sûreté — 15
6.6 Apport du retour d’expérience à la maintenance préventive................. — 15
6.7 Recueil de données et surveillance .......................................................... — 19
6.8 Prolongation de la durée d’exploitation, durabilité ................................ — 20
6.9 Aide à la conception .................................................................................. — 21
7. Bilan ........................................................................................................... — 21
Parution : avril 2011 - Dernière validation : septembre 2020
Pour en savoir plus ......................................................................................... Doc. SE 1 041v2
e retour d’expérience technique est un point clé stratégique des activités

L de la sûreté de fonctionnement, car il permet de mieux connaître les per-
formances des matériels et des installations, et de mettre en évidence leurs
points faibles.
Le retour d’expérience s’intègre dans le système d’information, et dans le
management des entreprises. La base de données est l’outil indispensable du
retour d’expérience. Ses objectifs doivent être clairement définis. De la qualité
des données dépendent les résultats de l’analyse. Le retour d’expérience
contribue aux enjeux de la maîtrise de la sûreté et de la protection de
l’environnement, de la disponibilité, de la durabilité et des coûts de mainte-
nance. Il est indispensable à la conception des équipements futurs.

est strictement interdite. – © Editions T.I. SE 1 041v2 – 1
105
SE1041
RETOUR D’EXPÉRIENCE TECHNIQUE ____________________________________________________________________________________________________
1. Objectif et enjeux Définitions normalisées des termes utilisés
• Défaillance (X60-500, NF EN 13306) : défaillance entraînant

L’objectif du retour d’expérience est de collecter, archiver et
la cessation de l’aptitude d’une entité à accomplir une fonction
analyser les informations spécifiques au comportement des
requise. Dans les normes, on précise souvent « défaillance
installations et des matériels importants. Le retour d’expérience
complète ».
technique est constitué par l’ensemble des faits techniques, tels
que les événements, incidents, défaillances, dégradations et • Dégradation (NF EN 13306) : défaillance altérant l’aptitude
opérations de maintenance observés pendant toute la durée de d’un bien à accomplir la fonction requise. La mission est assu-
vie des installations et des matériels qui les composent [1] [2] rée avec les critères requis. On dit, dans les normes,
[3], de l’avant-projet à la déconstruction. « défaillance partielle ».
• Degré : caractérise la « gravité » de l’anomalie au moment
de la découverte (défaillance [ou défaillance complète] ou
Il doit permettre, à un niveau local ou centralisé, d’établir des dégradation [ou défaillance partielle]). Les critères de
bilans de comportement, de mettre en évidence les points faibles défaillance sont généralement définis à partir des règles
(dysfonctionnements, modes de défaillance et de dégradation, d’exploitation de l’installation. Le degré peut également per-
causes) et, si nécessaire, d’identifier les moyens d’améliorer la fia- mettre de distinguer une éventuelle criticité de la défaillance
3
bilité des équipements. Les installations et matériels importants à (par exemple, une criticité au sens de la sécurité).
suivre participent aux enjeux de maîtrise de la sûreté, de la protec-
tion de l’environnement, de la disponibilité, des coûts de mainte- • Durabilité (NF EN 13306) : aptitude d’un bien à accomplir
nance (et, dans le secteur nucléaire, de la dosimétrie). une fonction requise dans des conditions données d’usage et
de maintenance jusqu’à ce qu’un état limite soit atteint.
Le retour d’expérience conditionne des enjeux importants pour
une entreprise. • Maintenance (X60-500, NF EN 13306) : ensemble des
actions destinées à maintenir ou rétablir une entité dans un
■ Maîtrise de la sûreté et de l’environnement état de façon à assurer un service déterminé.
Le retour d’expérience est un outil indispensable pour connaître • Maintenance corrective (X60-500, NF EN 13306) : mainte-
les performances des matériels importants pour la sûreté, grâce à nance effectuée après la détection de panne et destinée à
la mise en place de bilans de comportement. Il facilite ainsi l’auto- remettre une entité dans un état lui permettant d’accomplir
évaluation des sites, l’identification d’événements précurseurs et une fonction requise. Maintenance effectuée après défaillance.
l’obtention de données quantitatives nécessaires aux EPS (évalua- • Maintenance préventive (X60-500, NF EN 13306) : mainte-
tions probabilistes de sûreté) et à leur révision périodique, et l’ana- nance ayant pour objet de réduire la probabilité de défaillance
lyse de l’impact éventuel sur l’environnement. ou de dégradation d’un bien ou d’un service rendu. Les activi-
Le suivi du comportement des matériels au niveau local permet tés correspondantes sont déclenchées selon un échéancier
donc de garantir le niveau de sûreté d’une installation : le suivi de établi à partir d’un nombre prédéterminé d’unités d’usage
la fiabilité des matériels permet, au travers des EPS, d’évaluer le (maintenance systématique) et/ou de critères prédéterminés
niveau de sûreté moyen des installations de même conception. significatifs de l’état de dégradation du bien ou du service
(maintenance conditionnelle).
■ Maîtrise de la disponibilité • Retour d’expérience [3] : gestion des faits techniques (appe-
Le retour d’expérience des matériels qui peuvent entraîner des lés ici « fiches de défaillance » ou « fiches d’événements ») et
indisponibilités permet également d’établir des bilans de des performances techniques, observés pendant toute la durée
comportement, et là aussi, d’en déduire, si nécessaire, des actions de vie d’un produit, de la conception au retrait du service. Le
correctives pour la maîtrise de la disponibilité au niveau local ou retour d’expérience comprend trois étapes principales :
national. – la collecte et la mémorisation des données de l’expérience ;
– la validation et l’analyse des informations recueillies ;
■ Maîtrise des coûts de maintenance
– la diffusion et l’application des enseignements issus de
La collecte des données brutes relatives aux défaillances, dégra- l’analyse du retour d’expérience.
dations et opérations de maintenance est nécessaire pour établir
des bilans technico-économiques sur le comportement des maté-
riels suivis localement ou nationalement. Elle permet d’apprécier les
avaries, d’anticiper des problèmes à venir et d’optimiser les politi- Le principal objectif du retour d’expérience est de progresser
ques de maintenance préventive ; sur ce dernier point, le retour dans tous les domaines d’activité (qualité, sûreté, disponibilité,
d’expérience est indispensable aux analyses OMF (optimisation de sécurité, maintenance, coûts, facteurs humains, communication,
la maintenance par la fiabilité). Cet enjeu de la maintenance est pro- environnement, radioprotection). Le retour d’expérience n’est
bablement le plus motivant pour un exploitant dans la pratique ; il pas une fin en soi ; c’est un moyen de progrès contribuant à la
contribue fortement à la qualité des données collectées. qualité d’un produit, d’un processus ou d’une méthode de tra-
vail. L’expérience peut être positive ou négative ; elle s’acquiert
■ Maîtrise de la durabilité et prolongation de la durée à partir des situations réellement survenues, des pratiques et
d’exploitation des installations des dysfonctionnements, techniques ou organisationnels.
Il est indispensable de disposer d’historiques complets des
matériels, si l’on veut pouvoir apprécier la durabilité des matériels
et ainsi contribuer à cet enjeu majeur.
■ Aide à la conception des installations et des matériels futurs 2. Utilisation
Par la mise en évidence des points faibles et des « maladies »
des matériels, il sera possible à l’avenir d’y remédier, et ainsi 2.1 Retour d’expérience et cycle de vie
d’améliorer leur fiabilité en évitant que les anomalies du passé ne
se reproduisent. Une démarche de conception ne peut se dérouler Dans le domaine industriel, le retour d’expérience intervient à
efficacement sans prendre en compte les enseignements du retour tous les stades de la vie d’un produit ou d’une installation, de
d’expérience passé. l’avant-projet sommaire à la fin de vie, en passant par l’avant-

SE 1 041v2 – 2 est strictement interdite. – © Editions T.I.
106
SE1041
____________________________________________________________________________________________________ RETOUR D’EXPÉRIENCE TECHNIQUE
Définir Atteindre Conserver, améliorer

les performances de SdF les performances de SdF les performances de SdF
• maintien du niveau de sûreté

• amélioration de la disponibilité
• aide à la maintenance
Avant-projet Avant-projet Industrialisation

Mise en service Exploitation Retrait du service
sommaire détaillé Développement
Retour d’expérience des installations antérieures

Objectif
Mission
Méthode
Analyse fonctionnelle
Allocation d’objectifs
Modélisation de la sûreté de fonctionnement
Analyse de maintenance et du soutien
3
Exploitation du retour d’expérience
SdF : sûreté de fonctionnement
Figure 1 – Retour d’expérience et cycle de vie
projet détaillé, la réalisation, la mise en service, l’exploitation tions peuvent être structurées : elles sont codées ou narratives, fai-
(figure 1). sant l’objet d’un texte libre écrit en langage naturel. Ces
L’expérience acquise au cours de ce cycle de vie est naturel- informations sont essentielles dans les perspectives de bonne ges-
lement reconduite, pour la définition de nouveaux produits ou de tion du cycle de vie, d’optimisation de la maintenance et d’évalua-
nouvelles installations. Au cours de toutes ces phases, l’utilisation tion probabiliste de la sûreté.
des banques de données de retour d’expérience est un facteur
d’optimisation : 2.3 Utilisateurs
– au niveau du respect des critères de sécurité, pour ce qui
concerne la fiabilité des matériels, l’analyse des événements Le retour d’expérience est tout d’abord un outil utile aux ingé-
d’exploitation, les procédures de maintenance des matériels et nieries locales des sites industriels (exploitation, conduite, mainte-
d’exploitation ; nance, sûreté). Si le site est, bien évidemment, responsable de la
rédaction des faits techniques, de leur vérification et donc de la
– sur le plan de l’amélioration de la qualité des équipements et
qualité des informations (il est propriétaire des données), il est
de leur durée de vie ;
aussi le premier bénéficiaire d’un retour d’expérience qui l’aidera
– afin de vérifier les critères économiques associés à la disponi-
dans la maîtrise de ses propres enjeux.
bilité, au contrôle, à la maintenance des matériels et à l’approvi-
sionnement des pièces de rechange. Il bénéficie également aux ingénieries centrales, nationales, en
particulier pour actualiser les politiques nationales de sûreté et de
Le retour d’expérience est un processus d’amélioration continu,
maintenance et anticiper les problèmes génériques liés aux instal-
une composante importante au service du management.
lations et aux matériels.
Les concepteurs et les chercheurs sont également de grands
2.2 Bases de données bénéficiaires d’un retour d’expérience de qualité, dont l’analyse
permet de prévoir les problèmes, de développer des actions afin
Certains de ces objectifs peuvent se révéler contradictoires. Il est d’y remédier et de les éviter dans le futur. Dans ce sens, le retour
donc important d’identifier précisément ce que l’on recherche d’expérience est un outil d’anticipation et de prospective.
avant de constituer une banque de données de retour d’expérience
et de réaliser les outils d’accès et de traitement qu’il faudra lui Enfin, le retour d’expérience permet aux décideurs de définir,
associer. On peut ainsi distinguer différents types de bases de don- calculer et suivre l’évolution d’indicateurs de management (pro-
nées dans le domaine industriel : duction, coûts, taux d’accidents du travail, etc.).
– les banques d’événements à caractère historique, associant
des faits techniques ou humains (événements, incidents, acci-
dents, etc.) au temps, et qui concernent plutôt les situations 3. Démarche
d’exploitation dans les installations ;
– les banques de défaillances qui nécessitent le recueil de
défaillances, de dégradations, d’actions de maintenance et de sta-
3.1 Analyse
tistiques de fonctionnement, et qui concernent toutes les situations Une base de données de retour d’expérience des matériels
relatives aux matériels ; contient l’historique des défaillances, des dégradations survenues
– bien d’autres banques encore (de contrôle, surveillance, statis- et des opérations de maintenance. En fait, c’est le « carnet de
tiques, connaissances, etc.) dont le traitement ne fait pas l’objet de santé » de l’installation. Les données brutes qui y sont archivées ne
cet article. peuvent être utilisées directement, mais doivent être expertisées,
Ces banques contiennent des informations brutes de retour analysées et interprétées afin d’en extraire le maximum d’enseigne-
d’expérience, relatant l’événement ou la défaillance. Ces informa- ments qu’il convient ensuite de diffuser et de communiquer [3].

107
SE1041
RETOUR D’EXPÉRIENCE TECHNIQUE ____________________________________________________________________________________________________
La figure 2 présente la démarche complète d’analyse des bases

de données du retour d’expérience industriel, de leur conception à
Définition des objectifs des bases leur utilisation. Il s’agit d’une analyse locale de premier niveau
de retour d’expérience lorsqu’elle est effectuée par les sites où sont observés les faits
Conception
de la base
techniques ou après une première expertise, et d’une analyse

Structuration de la base nationale de deuxième niveau lorsque les incidents sont analysés
dans le détail ou lorsque des résultats qualitatifs ou quantitatifs
Organisation sont utilisés dans les grands projets.
Un des points critiques de l’analyse du retour d’expérience est la
qualité des données (§ 5) ; elle est primordiale car elle a un impact
Acquisition des données direct sur la fiabilité des résultats et l’interprétation du retour
(collecte)
Collecte
d’expérience.
C’est d’abord au niveau de la collecte, sur le site, où l’on sera
Qualité des informations plus à même de saisir, interpréter, vérifier, corriger et valider les
Validation au sens de la justesse données le concernant, que la qualité doit être posée, puis au
niveau de l’analyse, qui consiste à contrôler la justesse et la perti-
nence des données pour le problème posé, à expliquer les éven-
3
Administration
tuelles données extrêmes ou singulières.

Base de données
Validation 3.2 Boucle du retour d’expérience

La boucle du retour d’expérience est illustrée sur la figure 3 sur
Administration
le seul exemple des défaillances et de la maintenance [4]. Elle
montre les liens forts entre le retour d’expérience des matériels et
de premier
le management de la maintenance.
Analyse
niveau
Consultation de données,
traitements simples, premières analyses La détection des défaillances (des écarts) est faite par les sites
d’exploitation des matériels. L’ensemble des défaillances ainsi
détecté, la collecte des opérations de maintenance corrective ou
préventive réalisée conditionnent la partie du retour d’expérience
Sélection de données
relative à l’analyse de maintenance.
Le premier niveau d’analyse de la défaillance est local. Le site où
la défaillance a été détectée recherche les causes et des solutions,
Fichier
de deuxième niveau
palliatives ou correctives. La structure de retour d’expérience lui

permet de rechercher des défaillances similaires, éventuellement
survenues sur des matériels identiques dans d’autres sites, et les
Analyse
Analyse qualitative et expertise

Validation au sens de la pertinence comptes rendus d’intervention associés.
Un deuxième niveau d’analyse de la défaillance, national, per-
Analyse d’événements, classement, met de vérifier l’origine des causes de la défaillance et de prendre
analyse de défaillances en compte d’éventuelles conséquences génériques sur l’ensemble
des matériels installés. Ces analyses peuvent être communiquées
Méthodes élaborées de traitement
à tous les sites d’exploitation, au concepteur, au constructeur, aux
autorités. Elles permettent en outre de compléter les doctrines de
EPS OMF Recueils maintenance, les programmes de maintenance préventive et de
Aide à la Autres
Réévaluations Aide à la Aide à la réaliser des bilans annuels de comportement des matériels.
conception applications
de sûreté maintenance décision
Le retour d’expérience est par conséquent à l’origine des
analyses de maintenance et des évolutions concernant les
Figure 2 – Démarche d’analyse des bases de données méthodes et les matériels. En effet, tout au long de la vie d’un
de retour d’expérience (d’après [3]) matériel, il est nécessaire :
Retour d’expérience :
Surveillance des matériels – événements Analyse de premier niveau
Détection des écarts – défaillances (analyse locale)
– dégradations
– opérations de maintenance
Expertise :
Mise en place des programmes Analyse de deuxième niveau
Doctrine fonctionnement
de maintenance préventive (analyse centrale)
et matériels
Concepteur
Constructeur
Autorités
Figure 3 – Boucle du retour d’expérience. Exemple de la maintenance (d’après [4])

108
SE1041
____________________________________________________________________________________________________ RETOUR D’EXPÉRIENCE TECHNIQUE
– de clarifier les modes opératoires, souvent complexes ; 4.1 Aspect événementiel

– d’adapter la fréquence des opérations de maintenance en fonc-
tion de l’expérience ; Exemple
– d’aménager le programme de maintenance en fonction des Les fiches d’« événement » des centrales françaises à eau sous
évolutions techniques et technologiques. pression contiennent l’historique des situations observées et
constituent un élément essentiel pour la gestion du retour d’expé-
Pour plus de détails, le lecteur est invité à consulter la rience. Tous les événements relatifs à l’exploitation des tranches
rubrique « Maintenance » et notamment les articles Fonction nucléaires sont enregistrés. Ce sont en particulier :
maintenance [AG 4 220], AMDEC : moyen [AG 4 220] et TPM : – tous les déclenchements de l’installation dus à un incident interne
Total Productive Management [AG 4 840]. ou externe de la centrale ;
– toutes les défaillances d’équipements observées en fonction-
nement ou en arrêt ;
3.3 Rôle des ingénieurs de maintenance – tous les événements considérés significatifs du point de vue de la
sûreté, selon les critères choisis par les autorités de sûreté.
Le rôle des ingénieurs de maintenance est essentiel. Tout L’information est collectée en centrale et est ensuite mémorisée.
d’abord, les responsables sont motivés par la maîtrise des coûts et Chaque fiche donne une description factuelle de l’événement. De nom-
la mise en place d’un programme efficace de maintenance préven-
3
breuses rubriques sont codées, mais sont complétées par un résumé
tive. Seul le retour d’expérience leur permettra de mieux connaître libre, souvent très riche en informations car il contient généralement
les défaillances et dégradations observées sur les matériels et les informations suivantes : conséquences de l’incident, circonstances
leurs causes physiques, de définir les tâches de maintenance asso- avec chronologie, causes, interventions avec action, référence. Les
ciées à chacune de ces défaillances et dégradations, d’ajuster un informations sont souvent précisées dans cet ordre syntaxique [3].
programme approprié de maintenance préventive. Le retour
d’expérience technique permettra, en outre, de vérifier a posteriori
l’efficacité de ce programme et l’évolution des coûts. Les bases événementielles sont importantes pour le retour
d’expérience technique. En effet, c’est grâce à ces bases, que l’on
Les ingénieurs de maintenance sont responsables d’un grand peut mesurer l’impact d’une défaillance sur la sûreté ou la disponi-
nombre de données de retour d’expérience, de leur qualité, de leur bilité d’une installation, sur la perte de production, etc.
validation et de leur traitement. Cette tâche est difficile car elle
nécessite de l’expertise (connaissance des matériels et du fonc- Chaque événement fait l’objet d’une analyse :
tionnement). – identification et description de l’événement : les circonstances
La maintenance, notamment préventive (et son efficacité), per- et les modalités de sa détection (figure 4), l’état de l’installation au
turbe le comportement réel du matériel et doit être prise en compte moment de l’événement, les caractéristiques de l’événement ;
pour estimer sa durée de vie ; cette estimation est indispensable – analyse causale de l’événement (liée aux facteurs technique et
pour préconiser des tâches de maintenance et leur périodicité. humain) : l’analyse technique de l’événement, l’élaboration de
l’arborescence causale et de ses éléments associés, le rattache-
Enfin, le retour d’expérience et la maintenance sont importants ment des éléments des événements à une famille, les critères
tout au long du cycle de vie du matériel, non seulement lors de son caractéristiques relatifs à la réalisation de l’activité par les acteurs,
exploitation, mais aussi lors de sa conception. En effet, la prise en les facteurs (environnementaux, sociologiques, etc.) ayant eu une
compte de la maintenance dès la conception, la définition d’un plan influence sur la réalisation de l’activité, les critères relatifs à l’orga-
de maintenance et la mise en œuvre de la logistique de mainte- nisation des activités, l’analyse des défauts ou des difficultés (dans
nance (pièces de rechange, documentation, infrastructures, etc.) les instructions ou dans les procédures) dans l’assistance à l’utili-
peuvent permettre d’optimiser la maintenance, et par conséquent, sation, dans l’interface homme/installation ;
d’optimiser la disponibilité requise à un coût de cycle de vie mini-
mal. – identification et description des conséquences : les
conséquences réelles, en termes de performances d’exploitation,
sont la disponibilité, la sûreté, et, en termes de défaillances ou de
dégradation matérielle, sont les impacts technique, humain, orga-
4. Structure des bases nisationnel, économique, financier, environnemental ; l’analyse
des conséquences potentielles (qu’est-ce qui se serait passé si... ?)
de données est extrêmement utile pour anticiper d’éventuels dysfonctionne-
ments (comme les signaux faibles) et leurs conséquences ;
– analyse des actions correctives : arrêtées au niveau local, en
La base de données est l’outil indispensable du retour d’expé-
termes de dispositions matérielles ou organisationnelles, les
rience.
actions correctives s’effectuent généralement dans l’urgence (réta-
La première étape, avant la création d’une base de données, est blir la fonction le plus rapidement possible, gérer la crise) ; ces
de bien en définir les objectifs. Une analyse des besoins est essen- analyses sont le plus souvent immédiates et qualitatives, alors que
tielle et ne peut se faire sans les utilisateurs potentiels de la base. les mesures préventives, décidées au niveau local ou central, sont
Cette analyse permet de déterminer les « anomalies » à suivre, les généralement différées et font l’objet d’analyses qualitative et
champs élémentaires à collecter, etc. Cette étape est longue et dif- quantitative, d’un traitement statistique, d’une diffusion pédago-
ficile, mais essentielle, car l’objectif est que la base soit utilisée et gique des enseignements du retour d’expérience aux autres instal-
qu’elle rende service aux utilisateurs. Elle sert à structurer la base, lations du même type ;
à l’organiser, à préparer la collecte des données sur les sites. – analyses spécifiques : utiles au niveau national pour la
L’organisation de la collecte est également importante. De cette conception des nouvelles installations ou pour la gestion de la
organisation dépend la qualité des données collectées, et donc, la durée de vie, elles concernent principalement le domaine de la
qualité des analyses qui en découleront. sûreté, de la maintenance, des facteurs humain et organisationnel,
de la gestion de crise, des matériaux ;
Un outil logiciel convivial qui évite les redondances de saisie et
– information et valorisation de l’expérience.
qui est adapté à l’organisation de la collecte, l’aide en ligne, des
temps de réponse rapides du logiciel, l’accès facile aux données Le retour d’expérience décrit l’événement, de l’apparition de la
archivées, sont autant de facteurs contribuant à une bonne qualité première cause source en situation normale jusqu’au retour à la
des données. situation normale d’exploitation, après des actions correctives.

109
3
110
AG4610
Retour d’expérience
dans les industries de procédé
par Yvan VÉROT

Directeur Hygiène-Sécurité-Environnement Industrie chez ATOFINA
1. Objet du retour d’expérience .............................................................. AG 4 610 – 2 3

2. Organisation du retour d’expérience ................................................ — 2
2.1 Communauté scientifique et technique, et pouvoirs publics .................. — 2
2.2 Industriels..................................................................................................... — 2
2.3 Démarche interne ........................................................................................ — 2
3. Place du retour d’expérience dans la maîtrise du risque ............ — 3
4. Démarche managériale .......................................................................... — 3
Références bibliographiques ........................................................................ — 4
a réalité est faite de singularités. Elle ne saurait se laisser enfermer dans la

L prévision qui en épuiserait tous les aspects.
L’écart irrémédiable existant entre le prescrit et le réel résulte de l’insurmon-
table difficulté d’enfermer dans une prévision totale l’ensemble des situations
susceptibles d’être rencontrées dans l’exploitation d’un système complexe.
Ainsi, dans le domaine industriel, il revient à l’exploitant d’assurer la réconcilia-
tion entre :
— d’une part, les prescriptions provenant des différentes lignes de savoir qui
ont conçu le procédé et construit les installations ;
— d’autre part, la réalité du fonctionnement effectif des équipements et des
installations ainsi que du comportement des acteurs.
Le retour d’expérience dans les industries de procédé comporte trois dimen-
sions : technique, organisationnelle, managériale et revêt ainsi deux aspects :
— d’une part, c’est un élément de compréhension et d’accroissement de con-
naissance ;
— d’autre part, c’est un élément essentiel de toute démarche managériale par
l’implication des acteurs et la recherche de progrès.
Cet article a pour objet de présenter l’apport du retour d’expérience dans la
recherche de maîtrise du risque dans les industries de procédé.
111
3
112
SE1050
Leçons des accidents majeurs

dans l’industrie chimique
par Jean-Louis GUSTIN

Consultant en sécurité des procédés Rhodia Ingénierie et Technologie
1.
1.1
L’accident de Seveso ...............................................................................
Description du procédé ...............................................................................
SE 1 050 - 2
— 2
3
1.2 Circonstances de l’accident ........................................................................ — 3
1.3 Revue de la littérature ................................................................................. — 4
1.4 Causes probables ........................................................................................ — 4
1.5 Pourquoi l’accident ne s’est-il pas produit plus tôt dans l’exploitation
de ce procédé ? ........................................................................................... — 5
1.6 Leçons à tirer................................................................................................ — 5
2. Accident de Bhopal ................................................................................. — 5
2.1 Description du procédé ............................................................................... — 5
2.2 Circonstances de l’accident ........................................................................ — 7
2.3 Comment l’eau est-elle entrée dans le stockeur 610 ? ............................. — 8
2.4 Leçons à tirer................................................................................................ — 8
3. Accident de Griesheim ........................................................................... — 9
3.2 Causes de l’accident .................................................................................... — 10
3.3 Cet accident s’était-il produit précédemment ? ........................................ — 10
3.4 Leçons à tirer................................................................................................ — 10
4. Emballement de la réaction phénol/formaldéhyde ......................... — 11
5. Polymérisation accidentelle en masse de monomères réactifs . — 12
6. Leçons générales à tirer......................................................................... — 14
Références bibliographiques ......................................................................... — 14
a réglementation européenne Seveso II demande que, pour chaque procédé

L chimique concerné par cette réglementation, une étude de dangers soit réa-
lisée, dans laquelle les accidents, survenus sur le même procédé ou des pro-
cédés analogues, doivent être mentionnés et faire l’objet d’une analyse. Cette
nouvelle exigence permet de s’assurer que les leçons, tirées des accidents sur-
venus dans l’industrie chimique en général, vont permettre une amélioration de
la sécurité dans l’industrie chimique, dans la Communauté européenne.
L’étude des accidents va se développer. Certains procédés présentant de mau-
vais résultats en matière de sécurité vont être identifiés comme des procédés
à risques.
Ignorer cette information ou négliger de la rassembler et de l’analyser sera
considéré comme une circonstance aggravante en cas d’accident survenant sui-
vant un scénario bien connu.
L’étude des circonstances des accidents survenus à cause d’un emballement
thermique est d’un grand intérêt. Elle permet d’identifier les facteurs ayant
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 1 050 − 1
113
SE1050
LEÇONS DES ACCIDENTS MAJEURS DANS L’INDUSTRIE CHIMIQUE ______________________________________________________________________________
contribué à l’accident et les scénarios des accidents, permettant ainsi de tirer

des conclusions qui peuvent ensuite s’appliquer à des procédés semblables ou
mettant en œuvre la même chimie.
Dans la chimie fine et la synthèse de produits pharmaceutiques, certaines
réactions mises en œuvre fréquemment ou l’utilisation de réactifs particuliers
peuvent présenter un danger. Il est donc utile de collecter les informations sur
les accidents et les incidents, pour en tirer les leçons et prévenir la répétition
de ces problèmes.
Une méthode simple pour recueillir ces informations comporte les étapes
suivantes :
— avoir une description du procédé et de la chimie concernée ;
— décrire les circonstances de l’accident et ses conséquences ;
— identifier les causes, avec une attention particulière pour la chimie
concernée ;
3 — faire une revue de la littérature pour déterminer si le même accident ne

s’est pas déjà produit ailleurs ;
— comparer les circonstances de l’accident avec celles d’autres accidents ou
incidents où les mêmes causes ou la même chimie se trouvaient impliquées ;
— identifier les considérations et les facteurs, qui pourraient constituer un
avertissement permettant d’éviter la répétition d’un accident connu.
1. L’accident de Seveso médiaire dans la production de l’hexachlorophène, un produit anti-

bactérien. Il est aussi utilisé pour la fabrication d’un herbicide,
l’acide 2, 4, 5 trichlorophénoxy-acétique, qui fut utilisé comme
défoliant dans la Guerre du Vietnam. L’incendie des forêts traitées
par ce défoliant a entraîné la formation de dioxines notamment la
Cet accident a eu une très grande influence sur la réglemen-
TCDD, avec des conséquences sévères pour les populations expo-
tation concernant l’industrie chimique dans la Communauté
sées à ce poison. Ces effets étaient évidemment connus lorsque
européenne, car il a entraîné l’adoption de la directive
est survenu l’accident de Seveso. Pour Grewer [1], il existe deux
92/501/CEE dite directive Seveso.
procédés différents pour réaliser cette réaction :
— le procédé au méthanol (vieux procédé) est un procédé
Les conséquences humaines de l’accident ont été limitées allemand dans lequel de la soude méthanolique est utilisée pour
puisqu’il n’y eut pas de victime directe. On a cependant recensé : réaliser la réaction d’hydrolyse. Ce procédé est très semblable au
procédé impliqué dans l’accident de Griesheim (§ 3). C’est un pro-
— 447 cas de brûlures chimiques attribuées à la soude ;
cédé fonctionnant sous la pression de vapeur autogène du solvant,
— 179 cas de chloracné ;
c’est-à-dire sous une pression relative de 20 bar à une température
— 34 cas présentant les deux symptômes.
de l’ordre de 165 à 180 oC.
Les conséquences financières de l’accident ne sont générale- — le procédé Boehringer [2] est une variante de ce procédé dans
ment pas rapportées dans les documents traitant de cet accident, laquelle la réaction est réalisée à 140 oC, sous une pression plus fai-
mais elles ont dû être importantes : ble mais avec un temps de cycle plus long.
— par le dédommagement des personnes atteintes ;
— l’immobilisation des surfaces agricoles contaminées ; D’après Grewer [1], les inconvénients du premier procédé sont :
— la décontamination des sols et du site. — le manque de capacité de refroidissement par reflux du solvant
sous pression ;
La dioxine de Seveso (TCDD ou 2, 3, 7, 8 tétrachlorodibenzo- — la dissolution incomplète de la soude dans le méthanol à la
dioxine) est utilisée aujourd’hui comme étalon pour évaluer la température du procédé, qui a pour conséquence que la chaleur de
toxicité des mélanges de dioxines et de furannes produits dans cette dissolution s’ajoute en cours de réaction à la chaleur de réac-
les processus de combustion ou d’incinération de dérivés tion d’hydrolyse de ∆H = – 180 kJ/mole.
chlorés. Elle est considérée comme le composé le plus toxique Ce procédé a été la cause de quatre accidents connus avant
de cette famille de composés. l’accident de Seveso.
Le procédé de Seveso, au glycol/xylène, est mis en œuvre sous
la pression atmosphérique. La réaction de synthèse est la
1.1 Description du procédé suivante :
Cl Cl glycol/xylène Cl ONa
L’accident de Seveso s’est produit dans un procédé permettant la 2 NaOH + NaCl + H2O
fabrication de 2, 4, 5 trichlorophénol par hydrolyse alcaline du 1, 170 °C
Cl Cl Cl Cl
2, 4, 5 tétrachlorobenzène. Le 2, 4, 5 trichlorophénol est un inter-
SE 1 050 − 2 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques
114
SE1050
_____________________________________________________________________________ LEÇONS DES ACCIDENTS MAJEURS DANS L’INDUSTRIE CHIMIQUE
Ce procédé est un procédé discontinu, en batch total. Au début Dans le procédé de Seveso, l’hydrolyse acide du trichlorophé-
des opérations, on charge : nate de sodium se faisait dans le réacteur ayant servi à la synthèse
du trichlorophénate de sodium.
— 3 235 kg d’éthylène glycol ;
— 603 kg de xylène ;
— 2 000 kg de 1, 2, 4, 5 tétrachlorobenzène solide (TCB) ; 1.2 Circonstances de l’accident
— 1 000 kg de soude (solide).
Les charges sont introduites dans un réacteur agité équipé d’un Le samedi de l’accident, le 10 juillet 1976, l’hydrolyse du
condenseur et d’un florentin permettant l’élimination de l’eau de trichlorophénate de sodium avec une solution aqueuse d’acide
réaction dans les condensats et le retour du xylène dans le réac- chlorhydrique, n’a pu être réalisée immédiatement et a dû être
teur. Dans les charges réalisées, le rapport molaire NaOH/ 1, 2, 4, reportée au lundi matin suivant. Cette circonstance se présentait
5 TCB est de 2,7. Il y a un excès de 0,7 équivalent de soude par rap- assez régulièrement. Dans ce cas, la vanne de vapeur placée sur le
port au 1, 2, 4, 5 TCB. serpentin de chauffage du réacteur était fermée et l’agitateur était
Le volume du réacteur utilisé à Seveso, non connu avec certi- arrêté 15 min plus tard à 5 h du matin.
tude, serait de 10 m3 d’après Grewer. Ces opérations étaient réalisées de manière intentionnelle pour
conserver le réacteur à haute température pendant le week-end
Le choix des solvants semble judicieux. En effet, la soude est
entièrement soluble dans le glycol, et le réactif et le produit de la
réaction sont solubles dans le xylène. Le xylène permet l’élimina-
afin d’éviter la cristallisation du trichlorophénate de sodium.
Ce samedi, un emballement de réaction a entraîné l’éclatement
d’un disque de rupture placé sur le réacteur, celui-ci étant calculé
3
tion de l’eau de réaction par distillation azéotropique. Cela favorise
la réaction d’hydrolyse alcaline du 1, 2, 4, 5 TCB et lui permet pour une pression d’éclatement de l’ordre de 3,8 bar, à 12 h 57 min
d’atteindre un taux de conversion voisin de 100 %. soit 7 h 30 min après l’arrêt de l’agitateur, alors que le réacteur
n’était pas surveillé. Le contenu du réacteur a été entraîné à travers
Le mélange réactionnel initial était chauffé à 170 oC par de la le disque de rupture et dispersé sous forme d’aérosol sur le voisi-
vapeur à 12 bar ayant une température de saturation de 190 oC. Ce nage, une banlieue industrielle de Milan.
mélange était maintenu à 170 oC pendant 4 h tandis que l’azéo-
trope eau + xylène était distillé afin d’éliminer l’eau de réaction au
fur et à mesure de sa formation. Puis, la totalité du xylène et 500 kg Le rejet contenait 3 500 p.p.m. de TCDD et, approximati-
de glycol étaient distillés sous vide. Cela permettait une récupéra- vement, 2 kg de TCDD ont été rejetés pendant la dépressuri-
tion simple de solvants propres, pouvant être utilisés dans l’opéra- sation du réacteur.
tion de synthèse suivante (figure 1).
La réaction de formation de cette dioxine est la suivante :
Le contenu du réacteur était alors hydrolysé par une solution
aqueuse d’acide chlorhydrique pour libérer le trichlorophénol à
partir du trichlorophénate de sodium et dissoudre le chlorure de Cl ONa Cl Cl
sodium formé dans la réaction précédente, qui se trouvait à l’état +
solide en l’absence d’eau :
Cl Cl NaO Cl
C6H2Cl3ONa + HCl → C6H2Cl3OH + NaCl
Cl O Cl
Évent vers le toit + 2NaCl
Disque Cl O Cl
Condenseur de rupture
Eau 2, 3, 7, 8 tétrachlorodibenzodioxine
Azote
Cette réaction est une réaction secondaire qui ne se produit que
Évent NaOH, TCB (solides) très faiblement dans les conditions normales du procédé. C’est
Charge une réaction très minoritaire qui s’est trouvée favorisée par les
de xylène et conditions anormales du procédé. Les conditions du procédé
Sortie de glycol devaient être adaptées par les exploitants, afin de minimiser la
Reflux
de l'eau concentration en dioxine TCDD dans le trichlorophénol obtenu.
Entrée
de vapeur Une concentration en TCDD de 1 p.p.m. dans le trichlorophénol
de chauffage pouvait être considérée comme correcte à l’époque de l’accident.
Solvant De ce fait, la production d’une concentration de 3 500 p.p.m. de
récupéré TCDD dans le contenu du réacteur constituait un très grave dys-
fonctionnement dans l’exploitation du procédé.
Sortie d'eau de
refroidissement Le disque de rupture ouvert n’était pas prévu pour un scénario
d’emballement de réaction. Il était destiné à protéger le réacteur
Entrée de l'eau Coquille contre une pression excessive lors du transfert du mélange réac-
de refroidissement externe tionnel final visqueux, par poussée d’azote, vers un autre réacteur.
Agitateur
Cependant, il semble que, à l’époque de l’accident, ce transfert par
poussée d’azote ou d’air n’était pas effectué car l’hydrolyse acide
du trichlorophénate de sodium était réalisée dans le même réac-
Sortie des teur que la synthèse de ce dernier.
condensats Vanne de fond
De ce fait, le rejet de cet évent n’était pas collecté. Un entraîne-
ment du mélange réactionnel n’était pas attendu en cas d’ouver-
Figure 1 – Procédé de Seveso. Schéma du réacteur (d’après Marshall [5]) ture du disque de rupture. Il n’est pas certain non plus que l’on ait
Toute reproduction sans autorisation du Centre franç ais d’ exploitation du droit de copie est strictement interdite.
© Techniques de l’ Ingénieur, CD-Rom Sécurité et gestion des risques SE 1 050 − 3
115
3
116
SE1055
Risq
ues et accidents majeurs
Retour d’expérience cindynique
par Jean-Louis NICOLET

Expert auprès du comité national Évaluation de la recherche (CNER)
Conseiller du groupement de recherche REXAO
Expert honoraire près la cour d’appel de Versailles
3
1. Ténériffe...................................................................................................... SE 1 055 - 2
2. Flaujac ......................................................................................................... — 6
3. Piper Alpha................................................................................................. — 8
4. Three Mile Island ...................................................................................... — 10
5. Flixborough ................................................................................................ — 12
6. Incendie sous le tunnel du Mont-Blanc .............................................. — 14
7. Typologie des erreurs humaines dans la chaîne
perception-action ..................................................................................... — 16
8. Les dix commandements du management de la sécurité............. — 17
9. En guise de conclusion ........................................................................... — 20
rik_ Mont Sainte-Odile,AZF, Concorde et le Tunnel du Mont-Blanc, autant

E de noms d’événements dramatiques, d’accidents majeurs aux
conséquences économiques, politiques et humaines importantes qui ont fait la
Une des journaux.
Aussitôt, les rescapés, les familles des victimes, la presse, la radio, la télévi-
sion, les personnalités politiques de tous bords recherchent les auteurs de la
catastrophe avant même que soient connues les causes de la défaillance du
système en cause. Il faut trouver des responsables, mais aussi et surtout des
Parution : octobre 2008 - Dernière validation : mars 2015
coupables.
Passée l’émotion, il s’agit de rechercher avec patience, sérénité, objectivité
ce qui s’est passé. Quelles sont les causes à l’origine de la défaillance ?
Comment celles-ci se sont enchaînées les unes aux autres pour amorcer une
séquence infernale conduisant à la catastrophe constatée ?
Pour le comprendre, il va falloir, à partir des épaves, des cendres, de la posi-
tion des victimes, des enregistrements qui n’ont pas été détruits, des multiples
témoignages, des archives, des plans, des opérations d’entretien effectuées
précédemment, des dialogues entre acteurs qui ont pu être sauvegardés, des
écarts par rapport aux procédures suivies... reconstituer les différents scénarii
probables qui ont conduit à la catastrophe.
S’agissant de reconstitutions a posteriori, il est important de prendre
conscience de l’extrême difficulté qu’il y a à comprendre ce qui s’est passé.
Ces analyses conduisent à mettre en évidence plusieurs scénarii auxquels sont
attachées des probabilités différentes.

117
SE1055
RISQUES ET ACCIDENTS MAJEURS _____________________________________________________________________________________________________
Malgré les incertitudes q ui demeurent, ces analyses permettent de mettre en

évidence un certain nombre de causes d’origines techniques, organisation-
nelles, informationnelles, humaines et environnementales, mais aussi et
surtout de comprendre comment elles ont pu s’enchaîner les unes aux autres
pour amorcer la séquence accidentelle.
C’est dans cet esprit que nous avons choisi d’analyser quelques accidents
majeurs survenus dans différents secteurs industriels afin de mettre en évi-
dence d’éventuels invariants et dégager ainsi des enseignements à l’usage des
managers en vue de leur permettre d’améliorer leurs politiques de prévention.
Chaque catastrophe donne généralement lieu à une procédure pénale dont
l’instruction en première instance peut durer une dizaine d’années, sans parler
des possibilités de recours en appel, voire en cassation, aussi avons-nous pris
le parti de ne prendre aucun des accidents récents évoqués au début de notre
propos, à l’exception de l’incendie sous le tunnel du Mont-Blanc dont le déli-
béré en première instance a été rendu le 27 juillet 2005 par le tribunal de
3 Bonneville.
Notre choix s’est donc porté sur six accidents survenus dans six secteurs
industriels différents, à savoir :
– l’aérien avec l’accident de Ténériffe ;
– le ferroviaire avec l’accident de Flaujac ;
– l’off shore avec Piper Alpha ;
– le nucléaire avec Three Mile Island ;
– la chimie avec Flixborough ;
– l’autoroutier avec l’incendie du tunnel sous le Mont-Blanc.
Les minutes passent et le commandant du KLM s’impatiente car

1. Ténériffe la législation hollandaise, très stricte, ne l’autorise pas à dépasser
les quota d’heures de travail et de vol fixés.
1.1 Chronologie des événements À 15 h 58, l’aéroport de Los Candos annonce qu’il va reprendre
survenus le trafic. Pendant ce temps, le brouillard commence à tomber sur
les montagnes de Ténériffe.
Ténériffe est une petite île paradisiaque de l’archipel des Suite à cette annonce, le commandant du KLM décide de
Canaries. Le dimanche 27 mars 1977, elle fut le théâtre du plus compléter le plein de son avion avant de repartir (55 t) pour éviter
meurtrier des accidents aériens de l’histoire lorsque deux Boeing de perdre du temps à Las Palmas, pensant que de nombreux
747 se sont percutés sur la piste principale de l’aéroport Los avions seront obligés de le faire compte tenu de la consommation
Rodeos. supplémentaire occasionnée par cette escale imprévue. Devant
Cinq cent quatre-vingt-trois personnes vont y trouver la mort et être à Amsterdam dans la soirée, il ne veut pas risquer de dépas-
il n’y aura que soixante quatre survivants. ser son quota d’heures.
Comment une telle catastrophe a-t-elle pu se produire ? La tour commence à faire décoller les avions. Le KLM fait le
Pour essayer de le comprendre, revoyons le film de cette jour- plein.
née qui peut légèrement varier selon les sources retenues. Ceci est Le brouillard tombe de plus en plus, la visibilité est de l’ordre de
généralement vrai pour tous les accidents. 500 m.
Vers 13 h, un terroriste de l’ETA fait sauter une bombe sur Le parking central étant très encombré, l’accès du taxiw ay est
l’aéroport de Candos à Las Palmas. Aussitôt, les autorités ferment rendu extrêmement difficile (figure 1). Face à cette situation, la
l’aéroport par mesure de sécurité et décident de détourner tous les tour de contrôle décide que pour se rendre au point de décollage,
avions qui doivent atterrir sur l’île de Ténériffe vers l’aéroport de situé piste 30, les avions descendront la piste principale, ce qui
Los Rodeos. Cet aéroport est très petit et ne comporte qu’une n’est pas courant, mais possible et non interdit.
seule piste. Les contrôleurs n’ont jamais été confrontés à un tel
Les conditions météo lors du roulage ne permettent ni aux
trafic. Ils ne reçoivent qu’exceptionnellement des gros porteurs. Le
contrôleurs, ni aux équipages de voir un avion sur la piste.
747 – 206 B de la KLM atterrit en premier, vers 13 h 30, avec 248
L’écoute radio est donc le seul moyen de communication et de
personnes à bord dont 14 membres d’équipage. Il fait débarquer
contrôle. Pour compléter le tout, les projecteurs de la piste ne
ses passagers.
fonctionnent pas et deux des fréquences radio de l’aéroport sont
À 14 h 15 GMT, le vol 1736 de la PanAm se présente en final en panne.
avec 396 personnes à bord dont 16 membres d’équipage.
Les fiches relatives à l’aéroport indiquent que l’on ne doit pas
L’atterrissage se passe sans problème. Le commandant de bord décoller en dessous de 700 m de visibilité. À ce moment, la tour
remarque l’encombrement inhabituel qui règne sur les parkings. annonce 500 m
La tour demande au 747 de la PanAm d’aller se garer en qua- À 16 h 58, la tour donne l’autorisation au KLM de pénétrer sur la
trième position derrière le 747 de la KLM. piste principale, de la remonter et de rejoindre la piste 30 pour le
À 15 h 20, tous les avions sont posés. décollage.

118
SE1055
_____________________________________________________________________________________________________ RISQUES ET ACCIDENTS MAJEURS
À 17 h 06′ 20′′, la tour au KLM :

Les gros porteurs « Attendez pour le décollage, je vous rappelle »
KLM et PanAm
étaient garés ici
À 17 h 06′ 25′′, la tour au PanAm :
« Papa Alpha 1736, rappelez, piste dégagée »
À 17 h 06′ 29′′, le PanAm à la tour :
« OK nous rappellerons lorsque nous aurons dégagé »
Le brouillard C1 Terminal
descend de L’officier mécanicien navigant du KLM en fait part à son
la montagne commandant qui, tout à la préparation de son décollage, n’a pas
C2 prêté attention à l’échange entre la tour et le PanAm.
À 17 h 06′ 32′′, l’officier mécanicien navigant du KLM s’adressant
au commandant :
« Il n’a pas dégagé alors ? »
C3
À 17 h 06′ 34′′, le commandant du KLM, suite à l’interrogation de
Tour de contrôle son mécanicien lui répond :
3
Encombrement des parkings « Qu’est-ce-que vous dites ? »
bloquant l’accès normal des
À 17 h 06′ 34′′, l’officier mécanicien est plus affirmatif :
avions au taxiway
« Il n’a pas dégagé ce PanAm ».
Avion
PanAm À 17 h 06′ 35′′, poursuivant sa phase de décollage, le
commandant lui répond d’un ton emphatique :
Taxiway
« Mais si »
et quelques secondes plus tard c’est le drame !
C4
Trajet prévu de l’avion
PanAm vers sa position 1.2 Principales causes relevées
de décollage
et leur enchaînement
La première cause à l’origine de cette séquence accidentelle aux
conséquences dramatiques est sans nul doute l’attentat à la bombe
commis par un terroriste de l’ETA, attentat qui a amené les autorités
3200
portuaires, pour des raisons de sécurité évidentes, à fermer l’aéro-

N
port de Las Palmas et dérouter tous les avions sur Ténériffe.

La deuxième cause, et non des moindres, est que l’aéroport
Avion KLM
d’accueil n’est pas habitué, ni entraîné, à gérer à l’improviste un tel
sur la piste
de décollage
trafic avec notamment de gros porteurs tels les 747. En
conséquence, les avions sont entassés sur un parking central, trop
petit, empêchant l’utilisation du taxiway permettant aux avions de
rejoindre normalement la piste 30, ce qui va conduire les
contrôleurs à demander aux deux équipages des 747 et aux autres
avions de descendre la piste principale et de faire demi-tour pour
se mettre en position de décollage.
Troisième cause : face à cette situation exceptionnelle, les
contrôleurs vont donner l’ordre aux deux 747 de se suivre et de
descendre la piste principale, l’un derrière l’autre, les amenant
dans une configuration à très grand risque. En effet, lorsque le pre-
mier avion, arrivé en bout de piste, fait demi-tour pour se mettre
Figure 1 – Aéroport de Ténériffe en position de décollage, il se trouve face à l’autre avion qui
continue à descendre la piste.
Quatrième cause : la panne d’un certain nombre d’équipements
À 17 h 00, la tour donne l’autorisation au PanAm de rentrer sur et principalement des projecteurs de piste rendant très difficile
la piste principale, de la descendre et de sortir à la bretelle no 3 l’identification des bretelles de dégagement et notamment de celle
pour rejoindre le taxiway libre à partir de cet endroit. que devait prendre le PanAm, était la cause qui a probablement
À 17 h 05′ 44′′, le KLM à la tour : engendré la suivante.
« KLM 4805 est maintenant prêt à décoller et attendons votre Cinquième cause : le non-respect du take off.
Clearance ATC » La procédure de décollage implique normalement trois étapes :
À 17 h 05′ 53′′, la tour au KLM : – la première consiste pour la tour à donner à l’équipage son iti-
« KLM 8705, vous êtes autorisés sur la balise Papa beacon mon- néraire de dégagement pour quitter l’aéroport ;
tez et maintenez FL90 – tournez à droite après le décollage, – la deuxième étape consiste, pour la tour, à s’assurer qu’il n’y a
continuez dans la direction 04 jusqu’à l’interception du radial 320 pas d’aéronef dans le cône que va emprunter l’avion qui va
du VOR de Las Palmas ». décoller. En mode normal, les avions utilisant tous le taxiway,
seule la vérification du cône suffit. Mais le 27 mars 1977, le
À 17 h 06′ 19′′ à 22′′, le PanAm toujours sur la piste principale et taxiway étant bloqué à la circulation, il était impératif pour la tour
entendant le dialogue entre la tour et le KLM l’appelle : de vérifier que le cône et la piste principale étaient libres ;
« Et nous sommes toujours en train de remonter la piste, clipper – la troisième étape consiste à donner à l’avion l’ordre de
1736 » ; décoller, c’est-à-dire lui délivrer le take off.

119
SE1055
RISQUES ET ACCIDENTS MAJEURS _____________________________________________________________________________________________________
Sixième et dernière cause : dans le cockpit du KLM, seul le

mécanicien entend et déchiffre le dialogue entre le PanAm et la
tour. Il en fait part au commandant qui, tout à la préparation de
son décollage, n’a pas prêté attention à l’échange entre la tour et
le PanAm, et décolle quand même. Environnement
Nous sommes là face à une succession d’erreurs de communica-
tion et de représentations mentales dans un contexte dégradé. Hommes
Collectif
D’autres défaillances plus subtiles sont venues renforcer et travail
enchaîner ces dernières, à savoir :
– des contrôleurs non habitués à gérer un tel trafic ;
– la pression commerciale des gros porteurs ne voulant pas ral-
longer sensiblement leurs délais et leurs coûts ;
– le commandant du KLM voulant rejoindre Amsterdam dans la
Produits
soirée, son équipage et lui-même étant en limite de temps de
travail ;
– la décision du commandant du KLM de compléter son plein de Procédure
carburant pour ne pas perdre de temps à Las Palmas ; Équipements
Logiciels
3
– un problème de langue, fort accent espagnol des contrôleurs
rendant les communications pas toujours compréhensibles.
1.3 Séquences incidentelles, séquences

accidentelles
Une fois initié par l’acte du terroriste ETA, l’enchaînement des
causes les unes aux autres paraît inéluctable. Est-ce vraiment sûr ? Figure 2 – Modèle simplifié d’un système socio-technique
La séquence accidentelle était-elle programmée pour aller jusqu’au
drame final ? La réponse est non. Toute séquence incidentelle a
pour caractéristique de s’arrêter ou d’être stoppée à un moment
ou à un autre sous l’effet de différents facteurs. Ce peut être grâce peut être considéré comme un ensemble d’éléments en interaction
à la présence d’une barrière physique, d’un automatisme ou suite dynamique, organisés en fonction d’un but. Tous les systèmes
à une action humaine judicieuse. Au contraire, dans une séquence naturels ou artificiels sont ouverts, c’est-à-dire qu’ils échangent
accidentelle, les causes s’enchaînent les unes aux autres, rien ne avec leur environnement de l’énergie, de la matière, des informa-
vient arrêter le cours des choses et c’est finalement le drame. tions, des hommes, des valeurs...
Revenons à Ténériffe au moment où la tour décide de reprendre De tels systèmes peuvent être décomposés au moins par la pen-
le trafic. sée en trois sous-ensembles (figure 2) dont les composants tech-
La première opportunité se présente lorsque le contrôleur nologiques, informationnels et humains présentent des
constate et annonce que la visibilité est de 500 m, alors que les caractéristiques fondamentalement différentes.
fiches techniques des 747 indiquent que la limite minimum de visi-
bilité est de 700 m. Le respect de cette exigence aurait permis de
stopper net la séquence accidentelle, mais bien entendu au détri- 1.4.1 Sous-système technologique
ment de la rentabilité des appareils. Mais peut-on parler de renta-
bilité lorsque on connaît le dénouement de l’histoire ? Le sous-système technologique regroupe l’ensemble des équi-
pements, matériels, infrastructures. Dans le cas de Ténériffe, il
La deuxième opportunité surgit au moment où le commandant
s’agit des installations aéroportuaires, de la piste principale, des
de bord du KLM est averti par son mécanicien que le PanAm est
taxiways, de la tour de contrôle, des projecteurs de piste, des ins-
encore sur la piste principale. Là encore, il était temps de tout arrê-
tallations de communication, etc. Ils sont le résultat du travail des
ter. Mais voilà, on a laissé passer deux chances de pouvoir éviter
ingénieurs, des techniciens. Chaque équipement en place doit
la catastrophe.
assurer les fonctions pour lesquelles il a été prévu, conçu et ce
Deux opportunités d’arrêter la séquence accidentelle, deux compte tenu de l’environnement qui sera le sien (humidité, air
chances perdues. marin, grand froid, fortes températures...). Pour chaque équipe-
L’étude de la plupart des accidents montre que de nombreuses ment pouvant compromettre la sécurité des personnes ou avoir un
barrières de défense en profondeur ont été franchies, que des pro- impact sur l’environnement, les concepteurs, les équipementiers
cédures n’ont pas été respectées, que des matériels en panne fixent des exigences pour chacune de ses phases de vie (construc-
n’ont pas été réparés... tion, fabrication, installation, exploitation, maintenance). Cette
Le fait de positionner au même moment deux 747 sur la piste notion d’exigence, ici d’exploitation et de maintenance, prend à
principale, l’un en position de roulage, l’autre en position de Ténériffe tout son sens. Les projecteurs des pistes et des taxiways
décollage, n’était pas impératif. Cette configuration n’était ni constituent des éléments importants de sécurité. Leur défaillance,
recommandée, ni imposée par une procédure. Pour arrêter la surtout un soir par temps de brouillard, peut, comme nous l’avons
séquence accidentelle, il suffisait que les contrôleurs de la tour vu, amener un équipage, surtout ne connaissant pas l’aéroport, à
envoient en premier le KLM en bout de piste, lui donne son take passer devant l’entrée du taxiway désigné par la tour sans la voir
off et s’assurent de son envol avant de donner au PanAm l’ordre et continuer à rouler se mettant sans s’en rendre compte en situa-
de s’engager sur la piste principale. Une telle stratégie empêchait tion critique.
la collision de se produire. On comprend que de tels composants pour la sécurité doivent
faire l’objet d’une maintenance particulière et de tests périodiques
1.4 Composantes de tout système socio- fiables pour garantir leur bon fonctionnement à 100 %. Pour de tels
technique et/ou réseaux complexes équipements, si une défaillance survient, celle-ci doit être immé-
diatement détectée et signalée aux responsables compétents afin
Tout système socio-technique, comme une centrale thermique, que les procédures de sauvegarde soient immédiatement mises en
un complexe chimique, un réseau de transports métropolitains... œuvre.

120
SE1055
_____________________________________________________________________________________________________ RISQUES ET ACCIDENTS MAJEURS
Autre aspect, et non des moindres, ces équipements vivent au altitude...) ou venues de l’extérieur (ordres reçus) agir sur les moyens
rythme des évolutions technologiques. Ils se complexifient pour de commande à sa disposition (freins de l’avion, commandes des
mieux répondre aux besoins des utilisateurs. Ceux devenus obso- réacteurs) et ce conformément aux procédures en vigueur.
lètes sont démontés, démantelés, d’autres viennent les remplacer, Cela suppose qu’il connaisse parfaitement les procédures à
ce qui implique de revoir les plans, les opérations de maintenance, appliquer et ce en fonction des situations rencontrées. Connaître
les procédures de conduite, les exigences à respecter... une procédure est une chose, l’appliquer en est une autre. Dans la
pratique, il y a très souvent un gap entre ce qui est prévu par la
1.4.2 Sous-système documentaire procédure et ce qui est réellement fait par les acteurs. Si, dans de
et informationnel nombreux cas, de tels écarts n’ont pas de conséquences significa-
tives, dans d’autres, ils peuvent s’avérer catastrophiques, comme
Image informationnelle du sous-ensemble précédent, le sous- ce fut le cas à Ténériffe pour la procédure du take off.
système documentaire et informationnel regroupe l’ensemble des
plans, des notes de calcul, des procédures, des normes, des stan-
dards, des bases de données collectées durant l’exploitation, des 1.4.4 Organisation
règles législatives à respecter, etc. Plus les systèmes socio-techniques deviennent complexes, plus
Pour Ténériffe, ce sont les plans de l’aéroport, les schémas de il s’avère indispensable de concevoir et mettre en place des orga-
câblage du réseau d’éclairage des pistes, les procédures propres à nisations performantes et fiables dans lesquelles les organes direc-
3
chaque aéronef, les procédures de communications codifiant les teurs et de contrôle peuvent pleinement jouer leur rôle.
échanges entre la tour et les différents équipages, etc.
L’analyse de nombreux accidents nous montre que les exi-
La plupart de ces documents ne naissent pas ici ou là au hasard, gences de sécurité (les vraies) doivent toujours prendre le pas sur
au gré de la volonté d’un homme. Toute base documentaire décri- les exigences de production.
vant un système socio-économique se constitue progressivement,
Encore faut-il avoir su dégager, définir et recenser les exigences
par itérations successives. Au départ, un avant-projet succinct
de sécurité qui ne doivent en aucun cas être transgressées.
décrit ce que pourrait être le système, puis après aval des
instances et autorités compétentes, il sert de base pour élaborer Toute organisation possède des caractéristiques propres qu’il
un avant-projet détaillé qui lui-même va induire diverses études faut savoir identifier, apprécier, afin d’être en mesure de la corriger
qui seront confiées à des bureaux d’études spécialisés, des engi- pour la rendre plus fiable et plus sûre.
neerings, des équipementiers, etc. On retrouve ce même schéma à Ténériffe où les responsables
Un document en génère d’autres qui à leur tour en génèrent de la tour ont été amenés à arbitrer entre des exigences d’exploita-
d’autres et ainsi de suite. tion (faire décoller au plus vite l’ensemble des avions ayant atterri
Chaque étude prend en compte un certain nombre d’objectifs suite à l’attentat) et des exigences de sécurité imposant de ne faire
techniques, de contraintes économiques, financières, sécuritaires. rouler un avion sur la piste principale qu’après s’être assuré que le
Progressivement se développe une arborescence de documents précédent a bien pris son envol et de stopper tout décollage dès
chaînés les uns aux autres. Qu’une modification soit demandée, lors que la visibilité passe en dessous de 700 m.
pour une raison ou une autre, et elle va entraîner la modification Deux autres aspects de l’organisation, auxquels les magistrats
d’un ou plusieurs documents. Ceux-ci devront être indicés pour s’intéressent de plus en plus lorsqu’ils ont à rechercher la respon-
permettre de les distinguer des précédents devenus obsolètes. sabilité pénale des acteurs d’un système qui s’est avéré défaillant,
Cette base documentaire possède une architecture propre qu’il comme dans l’incendie sous le tunnel du Mont-Blanc (§ 6) sont les
s’agit de codifier afin d’être en mesure de la maîtriser, de l’utiliser organigrammes en place et les délégations officielles ou de fait.
et de l’actualiser en permanence. Il s’agit pour eux de comprendre comment sont répartis les rôles
et les responsabilités au sein du système global. Qui est respon-
1.4.3 Sous-système humain sable de quoi ? À qui ont été déléguées les fonctions de sécurité ?
Sont-elles partagées ? Comment ? Y a-t-il des délégations
Ce troisième sous-système rassemble les hommes et les formelles ? Et lesquelles ? Sont-elles écrites ? Acceptées ? Ou au
femmes en charge de l’exploitation au sens large du système glo- contraire s’agit-il de délégations de fait ? Les obligations propres à
bal, ainsi que ceux qui l’ont conçu, construit et qualifié. Dans notre chaque délégation sont-elles respectées ? Le délégataire avait-il les
cas, il s’agit des contrôleurs des deux tours de Las Palmas et compétences nécessaires pour assurer le mandat qui lui avait été
Ténériffe, des agents d’entretien des pistes, des équipes d’avitail- confié ? Disposait-il de l’autonomie suffisante ? Avait-il les moyens
lement des aéronefs, des équipages, des passagers. humains et financiers nécessaires ? Autant de questions aux-
Tour à tour, l’Homme peut être le maillon faible du système quelles l’organisation mise en place devra pouvoir répondre à la
mais aussi le maillon fort. Il peut, par son action, fragiliser le sys- demande des juges.
tème, par exemple en ne réparant pas immédiatement les projec-
teurs des pistes, en ne prenant pas les dispositions opérationnelles
qui s’imposaient, à savoir n’envoyer sur la piste principale qu’un 1.5 Mode normal. Mode dégradé
seul avion et n’autoriser le roulage du suivant qu’après s’être
assuré que le précédent avait bien pris son envol, en ne respectant L’analyse des grands accidents nous apprend qu’ils prennent tou-
pas la procédure de take off, etc. jours naissance dans une situation ou un état dégradé. Jamais – en
Mais plus souvent qu’on ne le croit, l’Homme est le maillon fort dehors des attentats – un accident ne se produit en situation nor-
du système. Ses cinq sens lui permettent d’interpréter nombre male, c’est-à-dire lorsque le système fonctionne conformément à ce
d’indices révélateurs d’une situation anormale ou qui se dégrade. qui a été prévu et que tous les équipements sont opérationnels.
Il lui est aisé de remarquer une fuite de tuyauterie, un encombre- Retournons sur l’aéroport de Ténériffe, bien avant les événe-
ment exceptionnel sur un parking d’aéroport, un brouillard qui ments, un jour de beau temps, l’ETA n’ayant pas encore projeté
s’opacifie de plus en plus, la vibration anormale d’une machine ou son action terroriste. L’aéroport accueille les avions habituels, des
l’odeur caractéristique d’un échauffement. petits porteurs. Le parking n’est pas saturé. Le taxiway est dégagé.
Pour accomplir les missions qui lui sont confiées, l’Homme doit Tranquillement, en fonction des vols programmés, les
interagir avec les éléments des deux sous-systèmes décrits ci-avant. contrôleurs de la tour donnent aux aéronefs l’ordre de se rendre
Il doit, sur la base des informations reçues des équipements du sys- piste 30 en empruntant le taxiway qui est entièrement disponible.
tème qu’il pilote (vitesse de roulage, puissance des réacteurs, Les avions se suivent, les uns derrière les autres. De leur poste de

121
3
122
SE3805
Dimensions humaine et organisationnelle

dans le retour d’expérience
par Yves MORTUREUX

Expert « Sûreté de fonctionnement », « Retour d’expérience », « Facteurs organisationnels
et humains de la sûreté de fonctionnement » à la SNCF
3
Équipe d’appui de la plateforme « Sécurité » de l’Union internationale des chemins de fer
(UIC)
1. Le retour d’expérience et le facteur humain.................................... SE 3 805 – 2

1.1 Rappels sur le retour d’expérience des systèmes sociotechniques ........ — 3
1.2 Le « facteur humain » dans la démarche de retour d’expérience ........... — 6
1.3 Les objectifs du retour d’expérience « facteur humain » ......................... — 8
2. Exemples d’outils de retour d’expérience facteur humain .......... — 8
2.1 Une approche statistique de l’erreur humaine.......................................... — 8
2.2 La compréhension des mécanismes de l’erreur humaine ....................... — 9
2.3 La connaissance et la conception des systèmes sociotechniques .......... — 12
3. Annexe : composantes humaine, sociale et organisationnelle
du système................................................................................................. — 12
3.1 L’individu ...................................................................................................... — 12
3.2 La tâche ........................................................................................................ — 13
3.3 L’organisation............................................................................................... — 15
3.4 L’environnement social ............................................................................... — 15
4. Conclusion ................................................................................................. — 16
Bibliographie ...................................................................................................... — 16
e retour d’expérience est une démarche essentielle de la maîtrise ou de la ges-

L tion des risques, de la sécurité, de la qualité. Tant dans les activités industriel-
les que dans les services publics ou privés, il est impensable de ne pas recueillir et
exploiter l’expérience qui s’accumule pour « mieux connaître, mieux comprendre,
mieux tirer profit ». Connaître les performances de son système en fonction des
conditions, comprendre l’influence sur les performances des facteurs qu’on maî-
trise ou des facteurs dont on peut contrôler l’effet, se protéger, tirer profit de cette
connaissance et de cette compréhension pour optimiser son système.
L’homme et les collectifs humains jouent un rôle déterminant dans les perfor-
mances des systèmes sociotechniques. Il est convenu, même si c’est également
contesté et contestable, d’attribuer la majorité des accidents au « facteur
humain ». Il est également convenu de reconnaître aux ressources humaines la
plus haute valeur ; elles sont à la fois les plus coûteuses et les plus riches en pos-
sibilités. La contribution humaine aux performances d’un système est, de plus,
extrêmement variée, complexe, subtile. Sa compréhension passe par l’observa-
tion et l’expérience.
Il est donc naturel que le « retour d’expérience facteur humain » soit une
démarche particulièrement précieuse pour tous les responsables de systèmes
sociotechniques. L’application des acquis des sciences humaines, sociales et

économiques à la maîtrise des risques, à la conception, l’exploitation, la mainte-
nance des systèmes sociotechniques est en plein essor et, si les progrès sont
déjà importants et significatifs, c’est un domaine qui évolue et progresse encore.

est strictement interdite. – © Editions T.I. SE 3 805 − 1
123
SE3805
DIMENSIONS HUMAINE ET ORGANISATIONNELLE DANS LE RETOUR D’EXPÉRIENCE ________________________________________________________________
Ce dossier n’a pas vocation à faire le point sur les recherches et les théories qui
fondent la démarche de retour d’expérience « facteur humain ». Il s’appuie sur
les expériences et pratiques des grandes entreprises ou organisations qui ont
partagé dans les groupes de travail, de réflexion, de recherche les leçons de leurs
expériences. Les recommandations qui peuvent être présentées aujourd’hui doi-
vent beaucoup indirectement aux spécialistes et chercheurs du monde entier,
mais surtout directement aux praticiens qui ont accepté de partager leurs expé-
riences dans les structures organisées directement par ces entreprises ou par
des institutions de recherche ou des associations.
La première partie de ce dossier est consacrée aux principes qui ont fait leurs
preuves dans la construction d’une démarche de retour d’expérience appliquée
à un système sociotechnique. Elle évoque, les buts et les moyens de la démarche
de retour d’expérience et ce qui est spécifique à la prise en compte de la contri-
bution des hommes et des collectifs humains.
3 La seconde partie décrit trois exemples d’outils (questionnements) qui

permettent de mettre en œuvre une démarche de retour d’expérience en
prenant en compte la dimension humaine et sociale. Ces outils ont fait leurs
preuves, toutefois, il est plus recommandable de les adapter que de les copier.
L’appropriation, la compréhension des outils par ceux qui conduisent la démar-
che est un facteur essentiel de succès. Aussi vaut-il mieux reconstruire ses
propres outils que vouloir imposer l’usage de ceux-ci ou d’autres, si bien
conçus soient-ils.
1. Le retour d’expérience Remarque : quand l’enjeu est important et que la sécurité est
impactée, les concepteurs s’efforcent de la faire reposer sur des élé-
et le facteur humain ments, connus et testés, d’utiliser ces éléments dans les contextes –
environnement, données… – dans lesquels ils sont connus. Néan-
moins, l’innovation étant nécessaire, une part d’inconnu et de pros-
pective subsiste bien naturellement et la façon, dont les hommes la
Les démarches structurées de maîtrise des risques se sont déve- gèrent et se protègent des conséquences potentiellement néfastes
loppées de façon très systématique d’abord sur des objets technolo- des phénomènes qu’ils ne maîtrisent pas complètement, est déci-
giques très complexes comme, par exemple, un avion moderne. Le sive pour les résultats.
résultat final dépend pourtant non seulement de la sûreté de fonc-
tionnement des objets technologiques mis en œuvre, mais aussi des ■ Avec les « composants humains », c’est l’inverse qui se produit :
activités des personnes impliquées. Aussi, dès que les progrès de la le « composant » apporte au système toute l’immense richesse, tou-
technique aboutissent à une maîtrise suffisante des risques dus aux tes les possibilités (qui se révéleront conformes aux attentes, supé-
défaillances des composantes technologiques des systèmes rieures à celles-ci, ou productrices d’ « erreurs ») de l’être humain,
sociotechniques, la part des échecs qui ne sont plus simplement seul ou en groupe. La complexité de la contribution humaine à la
imputables à ces défaillances devient significative, voire prépondé- performance du système est entière. On influe considérablement
rante et il faut prendre en charge la sûreté de fonctionnement du sur cette contribution à travers la sélection, la formation, l’organisa-
système sociotechnique. Les décisions, les actions des concepteurs, tion, la motivation, la conception des interfaces homme-machine,
opérateurs, mainteneurs, voire des clients, des utilisateurs, des etc. Mais on ne peut pas simplifier l’homme, ne retenir que les fonc-
réglementateurs, de l’encadrement de ces acteurs, etc. jouent un tions qu’on maîtriserait. On ne construit pas la « composante
rôle aussi, voire plus, important que la fiabilité et la maintenabilité humaine » d’un système à partir de composants connus et
des composants techniques dans la sûreté de fonctionnement du maîtrisés ; on sollicite directement la formidable complexité de
système. Pour ce faire, il faut donc mettre en jeu des connaissances l’être humain.
aussi pertinentes sur les hommes et les collectifs humains que sur
les composants techniques.
L’analyse des situations sélectionnées pour le retour d’expé-
■ Avec les composants techniques, nous sommes en présence rience ne se conduit donc pas de la même façon quand le sys-
d’objets dont chaque élément a été choisi, sélectionné et qui ont été tème étudié est un objet technologique ou un système
assemblés consciemment et volontairement par des hommes, en sociotechnique. On ne sait pas décrire, modéliser l’activité
principe, responsables. Il ne dépend que de l’équipe de conception humaine comme on peut représenter les fonctionnements d’un
de s’en tenir à des éléments connus, testés (éventuellement testés, objet technologique en combinant les fonctionnements de ses
évalués pour l’occasion), de s’en tenir à une architecture maîtrisée composants. Aussi, le cumul et l’analyse des expériences
(grâce à des moyens, en particulier informatiques, de plus en plus sont-ils particulièrement précieux pour connaître, comprendre,
développés, la complexité qui reste maîtrisable par les concepteurs prévoir de mieux en mieux le fonctionnement des systèmes
peut atteindre des niveaux élevés). sociotechniques.

SE 3 805 − 2 est strictement interdite. – © Editions T.I.
124
SE3805
________________________________________________________________ DIMENSIONS HUMAINE ET ORGANISATIONNELLE DANS LE RETOUR D’EXPÉRIENCE
Les techniques ont encore beaucoup de progrès à faire, mais elles et gravité, tous scénarios imaginables pris en compte, est
sont déjà parvenues, dans de nombreux domaines, à des niveaux acceptable) ;
tels que les progrès à venir sont certainement très onéreux. Alors — quels que soient les scénarios initiés, les barrières de sécurité
que les progrès possibles dans la contribution humaine aux perfor- s’opposeront à la survenue d’un accident ;
mances sont très importants et pas nécessairement onéreux. Ils — que le système restera dans les limites des états jugés accepta-
supposent, en revanche, de progresser significativement dans la bles, compte tenu des connaissances et moyens accessibles.
compréhension de cette dimension des systèmes sociotechniques.
Considérer les hommes uniquement au niveau des opérateurs et, Un système de sécurité bénéficie donc d’une description a priori
comme des automates particulièrement faillibles, consiste à pren- exhaustive et détaillée de tous ses fonctionnements théoriquement
dre les inconvénients et laisser de côté les avantages des contribu- possibles. Un accident est donc nécessairement le résultat soit
tions humaines. Le « retour d’expérience facteur humain » est une d’une agression imprévue (était-elle imprévisible ?), soit d’un fonc-
démarche essentielle et indispensable (sans être la seule) dans un tionnement du système anormal, supposé écarté (ou suffisamment
domaine décisif au début de ce XXIe siècle. improbable) par l’étude de sécurité. Un incident (aux conséquences
acceptables contrairement à l’accident) est soit, une partie d’un scé-
Revoyons donc d’abord rapidement les points principaux d’une nario d’accident (normalement tronqué par une barrière de sécurité,
démarche de retour d’expérience en simplifiant volontairement à moins que ce soit seulement la chance qui ait fait la différence),
pour mettre en évidence en peu de mots les points principaux au soit un scénario de dysfonctionnement accepté puisqu’il ne met pas
détriment de la richesse de la réalité à laquelle on ne pourrait rendre la sécurité en danger.
3
justice qu’avec beaucoup plus de nuance.
Tout accident est donc l’occasion de réviser la représentation
(dont l’accident montre qu’elle était peut-être un peu optimiste) du
système de sécurité, c’est-à-dire de l’idée qu’on a du système, sur
1.1 Rappels sur le retour d’expérience laquelle se fondent les décisions de management du système. Tout
des systèmes sociotechniques incident est soit une confirmation de la représentation du système,
soit l’occasion d’une révision comme si l’accident qui n’a été évité
que par chance était arrivé.
1.1.1 Les quatre grandes étapes de la démarche C’est cette révision de la représentation du système sur laquelle
de retour d’expérience on travaille qui doit découler d’une bonne analyse de l’accident ou
de l’incident. Elle doit donc normalement déboucher sur une révi-
■ Approche individuelle de l’événement sion du système puisqu’il s’est révélé avoir une faille jusque-là igno-
rée (inconnue ou imaginée mais supposée comblée ou absente).
La démarche de retour d’expérience vise donc à tirer les leçons de
l’expérience. Elle consiste donc à prélever là où « ça se passe » cette ■ Cumul d’expériences
expérience, réunir les expériences venues de toutes les sources et
tirer des leçons de l’ensemble. La démarche de retour d’expérience décrite succinctement ci-
dessus est simple en ce qu’elle repose sur une représentation oui/
Il importe d’insister sur la supériorité d’une démarche bien orga- non, tout ou rien : événement ou conséquence acceptable/inaccep-
nisée qui articule les phases citées pour tirer les leçons de l’ensem- table, fonctionnement conforme/non conforme. La réalité des fonc-
ble des expériences et connaissances disponibles, par rapport à la tionnements des systèmes complexes est plus nuancée, plus riche,
démarche plus légère et plus courante consistant à vouloir tirer des plus complexe.
leçons d’un événement pris isolément.
Au-delà de l’analyse d’un événement considéré comme inaccep-
On peut distinguer deux stades significatifs dans un développe- table, pour en déduire ce qui manquait au système pour éviter de
ment de la démarche de retour d’expérience de la plus simple vers tels événements, la démarche de retour d’expérience est à la base
la plus riche : de la sûreté de fonctionnement des systèmes qui est une démarche
— analyse d’un incident ou accident en vue d’en éviter le retour ; d’optimisation de recherche d’équilibre : il ne s’agit pas d’écarter ou
— cumul et intégration des connaissances sur les fonctionne- de prétendre écarter tout risque, mais bien de maîtriser les risques,
ments réels du système pour mieux le maîtriser, réduire les incerti- au sens de n’en prendre qu’en connaissance de cause.
tudes sur les risques.
■ Analyse d’un événement Dans cet esprit, cumuler les leçons tirées des analyses d’évé-
La démarche d’analyse des causes d’un incident pour en prévenir le nement est la façon la plus efficace de développer une connais-
retour est, à première vue, une démarche naturelle qui est couram- sance intime d’un système en conditions de fonctionnement
ment pratiquée de façon spontanée. Une démarche d’analyse de tout réelles.
ce qui a contribué à un incident pour, d’abord, comprendre et appren-
dre, puis prendre des décisions en intégrant ce que l’incident apprend
à ce qu’on sait déjà ne peut s’installer que par la volonté et l’organisa- Le cumul des enregistrements des sollicitations et des défaillan-
tion, le professionnalisme et la méthode. Les organisations ou entre- ces permet de mesurer, « en vraie grandeur », les taux de défaillance
prises en charge de systèmes sur lesquels pèsent des obligations de des composants ou équipements pour lesquels la fiabilité (mainte-
sécurité se sont organisées pour entreprendre systématiquement nabilité) se mesure de façon pertinente par une probabilité.
cette démarche en présence de dysfonctionnements révélateurs de L’analyse des scénarios des événements permet d’identifier des
faiblesses anormales du système vis-à-vis de la sécurité. enchaînements pas toujours imaginés en conception ou en étude de
En effet, la gestion d’un « système de sécurité » (système assu- risque a priori. Rechercher toutes les combinaisons possibles de ces
rant entre autres des fonctions dont les échecs mettent en cause la éléments de scénarios (éléments tirés des scénarios qui se sont pro-
sécurité des personnes, des biens ou de l’environnement) impose duits, mais combinés autrement) permet d’anticiper des scénarios
une conception, a priori, des fonctionnements possibles du système soit jusqu’ici inimaginables, soit jugés irréalistes et dont certains
(y compris en cas d’erreurs, de défaillances, d’agressions raisonna- peuvent être menaçants.
blement prévisibles de l’environnement et en prenant en compte les L’analyse en profondeur des événements aboutit aux mécanismes
aléas) associée à une démonstration de sécurité. C’est-à-dire une de production d’erreur ou aux facteurs d’influence qui ont joué un
démonstration que : rôle dans les événements négatifs. Avec le recul sur un ensemble
— quels que soient les scénarios, ils ne conduiront pas à des important d’événements (même peu importants), les faiblesses du
dommages inacceptables (ou que le niveau de risque en fréquence système et les possibilités de progrès apparaissent nettement. On

est strictement interdite. – © Editions T.I. SE 3 805 − 3
125
SE3805
DIMENSIONS HUMAINE ET ORGANISATIONNELLE DANS LE RETOUR D’EXPÉRIENCE ________________________________________________________________
peut aussi évaluer (sous l’hypothèse « toutes choses égales par ■ Motiver à signaler les événements
ailleurs ») l’impact d’une mesure qui affecterait l’une de ces faibles- Dans toute démarche de retour d’expérience, il ne suffit pas
ses par la somme des événements qui eussent été évités. d’avoir décidé les événements qu’on veut prendre en compte, c’est-
Enfin, le regard sur le cumul des événements permet de distin- à-dire détecter, analyser, enregistrer, exploiter. Il faut encore s’orga-
guer des dynamiques, des évolutions, des tendances. niser pour que les événements en question soient signalés par ceux
Voici les quatre grandes étapes de la démarche de retour qui sont en situation de les détecter.
d’expérience ; l’ordre dans lequel elles sont présentées a un carac-
tère chronologique. Toutefois, les enchaînements entre les Cette question de la motivation des hommes de terrain qui
différentes étapes d’un scénario ne relèvent pas de l’automatisme. sont bien placés pour repérer et signaler les fonctionnements
« anormaux » est une question cruciale pour toutes les organi-
sations de retour d’expérience.
1.1.2 La détection des situations et la collecte
des faits
Cette question est particulièrement complexe à propos de retour
d’expérience « facteur humain ». En effet, tout fonctionnement non
■ Choisir les événements
conforme, tout accident, met potentiellement en cause les agents
qui sont susceptibles de signaler ces événements.
3 La première étape est de déterminer quels événements (ou

situations) justifient une démarche de retour d’expérience.
La démarche de retour d’expérience est forcément une démarche
de confiance entre tous les acteurs du système, dirigeants, exploi-
tants, concepteurs, mainteneurs, animateurs du retour d’expé-
rience. L’exhaustivité et la qualité des informations qui peuvent,
Il est évident que tout accident, tout événement dont les
traitées par le processus de retour d’expérience, faire progresser la
conséquences sont inacceptables mérite analyse et devrait appren-
maîtrise des risques du système, dépendent de l’intérêt de chacun
dre quelque chose sur le système.
de prendre et fournir les informations utiles. Un retour d’expérience
En allant un peu plus loin, tout événement qui ne doit qu’à la pertinent appliqué à un système sociotechnique est donc
chance (plutôt qu’aux dispositions prises) d’avoir évité des consé- incompatible :
quences inacceptables mérite exactement autant la prise en compte — avec une culture de la sanction associée d’office à l’accident, à
par la démarche de retour d’expérience. la non-conformité ou à l’erreur ;
Plus généralement, tout fonctionnement différent du fonctionne- — avec une culture de la recherche de coupables chaque fois que
ment nominal prévu et spécifié par les concepteurs, même s’il pro- le résultat n’est pas satisfaisant ;
duit des résultats acceptables, mérite la démarche. En effet, ces — avec un fonctionnement primant le « pas vu, pas pris » ;
fonctionnements ont beaucoup à apprendre aux responsables du — avec une culture considérant une non-conformité comme
système : l’explication toute trouvée d’un incident ou accident.
— d’une part, il est possible que ce fonctionnement, différent des La clef est l’intérêt de chacun à signaler les situations et à donner
processus spécifiés, conduise dans d’autres circonstances à des toutes les informations sincères. Si certains acteurs du système
résultats insatisfaisants, voire désastreux ; (même peu nombreux) ont intérêt à sélectionner les informations
— d’autre part, ce fonctionnement peut être révélateur de possi- qu’ils donnent, les conclusions qui seront tirées du retour d’expé-
bilités inattendues qui mériteraient d’être exploitées (mais peut-être rience seront déformées, lacunaires, trompeuses tout en ayant exac-
avec des précautions à mettre en place) ; tement le même aspect que des informations fidèles, fiables, justes.
— enfin, ce fonctionnement, différent de celui spécifié, ne s’est Ces conclusions peuvent conduire à appliquer, en toute confiance,
pas imposé à la place de celui-ci par pur hasard. Il y a nécessaire- des décisions lourdement contre-productives.
ment à comprendre et à apprendre des raisons et du processus qui La démarche de retour d’expérience sollicite les opérateurs ; ils
a conduit à l’installation de ce fonctionnement non souhaité (mais doivent y trouver leur compte car il n’y a pas d’autre moyen crédible
pas automatiquement non souhaitable). de s’assurer qu’ils partagent les informations qu’ils sont les seuls à
La première raison de prendre en compte un événement, dans un détenir. Le retour d’expérience étant à la base de démarche d’amé-
processus de retour d’expérience structuré, est donc le caractère lioration, les opérateurs sont les premiers motivés à alimenter le
« anormal » de l’événement, qu’il soit anormal par ses conséquen- retour d’expérience si les leçons en sont vraiment tirées et les amé-
ces ou ses moyens. liorations possibles réellement apportées. Personne ne ressent plus
Le retour d’expérience est aussi une façon d’apprendre à bien vite que ceux qui sont en première ligne, si le retour d’expérience
connaître les parties du système qu’on ne connaît pas à fond. est sincère, exploité pour améliorer le système ou si c’est une orga-
Comme rappelé plus haut, un système sociotechnique repose, au nisation alibi qui génère des tâches bureaucratiques et des mises en
moins en partie, sur la contribution des hommes. Celle-ci, malgré cause pénibles en évitant les vraies questions et sans conduire à des
toute la richesse des sciences humaines et sociales, reste d’une améliorations perceptibles.
complexité qui nous dépasse. C’est donc un domaine dans lequel il
y a toujours beaucoup à apprendre de l’expérience, de l’observation.
Ce domaine du facteur humain n’a pas l’exclusivité de la complexité 1.1.3 L’analyse des événements
et de l’incomplétude de la connaissance ; l’environnement et cer-
tains domaines techniques ont également grand besoin du retour L’événement étant connu (identifié et décrit), il s’agit de compren-
d’expérience pour faire progresser la connaissance des phénomè- dre les rôles joués par les divers éléments dans sa survenue. Il s’agit
nes à l’œuvre. de reconstituer le scénario réel, non seulement chronologiquement,
ce qui peut être déjà fait, mais aussi logiquement.
Le retour d’expérience est organisé alors comme un monitoring
du système. Soit, il s’agit d’une loupe qui observe finement et enre- ■ Cette analyse consiste à confronter :
gistre les comportements de tel ou tel élément du système qu’on — les informations et indices relevés « à chaud » (par exemple
cherche à connaître, soit il s’agit de mesurer des paramètres dont les position d’un levier, déclaration d’un témoin, température…) et les
valeurs ne sont pas bien connues. informations recueillies après, à partir des informations « à chaud »
Cette deuxième raison de prendre en compte certaines familles (par exemple : formation du conducteur, durée du service effectué…
d’événements dans un processus de retour d’expérience tire donc à partir de son identité et des enregistrements…) ;
des lacunes de l’analyse de risque disponible a priori, la définition — la connaissance des hommes de terrain (opérateurs de pre-
des événements à enregistrer, analyser, exploiter. mière ligne, encadrement de proximité…) ;

SE 3 805 − 4 est strictement interdite. – © Editions T.I.
126
RE179
RECHERCHE
Pratiques de retour d’expérience

(REX) pour un apprentissage
organisationnel
par Safiétou MBAYE

3
Chercheure en facteurs organisationnels et humains
EDF Recherche et développement, Clamart, France
Stéphanie TILLEMENT
Maître-assistante en sociologie des organisations
École des mines de Nantes, France
Geneviève SALIOU
Violaine BRINGAUD
et Benoît JOURNE
Professeur des universités en sciences de gestion
Université de Nantes, IEMN-IAE, France
Résumé : Cet article s’intéresse aux modalités d’application du retour d’expérience

(REX) à travers une présentation de ses fondements et l’analyse de trois configurations
observées dans une entreprise ferroviaire et deux entreprises de production d’énergie.
Il montre notamment qu’une même structure de REX peut soutenir divers usages et
répondre à différents besoins stratégiques et opérationnels. L’accent est mis sur les
pratiques des acteurs qui modulent le REX de manière à produire de l’apprentissage
organisationnel.
Parution : novembre 2014 - Dernière validation : novembre 2018
Mots-clés : Maîtrise des risques, apprentissage organisationnel, management, appli-

cations, retour d’expérience, sécurité industrielle
Abstract : This paper presents Operational Experience Feedback principles through

an expose of its foundations and an analysis of its applications in a railway company
and two energy production companies. It shows how an after-event process can
support various practices and meet various strategic and operational needs. It specifi-
cally shows how individual and collective reflexions take place in different organizations
and produce organizational learning.
Keywords : Risk management, organizational learning, management, practical appli-

cations, operational experience feedback, industrial safety
11 – 2014 © Editions T.I. RE 179 - 1
127
RE179
RECHERCHE
Points clés
Domaine : Facteurs organisationnels et humains pour la sécurité industrielle
Degré de diffusion de la technologie : Émergence | Croissance | Maturité
Technologies impliquées : Psychologie du travail, sociologie, gestion, ergono-
mie, science de l’ingénieur
Domaines d’application : Industries à risques (transport, énergie)
Principaux acteurs français : Chaire Recherche en sûreté organisation
hommes (RESOH) de l’École des mines de Nantes ; Fondation et institut pour une
culture de sécurité industrielle (FonCSI/ICSI) ; groupe Facteurs organisationnels et
humains pour les systèmes socio-techniques (FOHST) d’EDF Recherche et
3
développement ; Institut de maîtrise des risques (IMdR) ; pôle sûreté nucléaire de
l’Institut de radioprotection et de sûreté nucléaire (IRSN)
Pôles de compétitivité : –
Centres de compétence : –
Industriels : –
Autres acteurs dans le monde : –
Contact : safietou.mbaye@edf.fr, stephanie.tillement@mines-nantes.fr,
geneviève.saliou@edf.fr, violaine.bringaud@edf.fr, benoit.journe@univ-nantes.fr
1. Contexte un organisme externe de contrôle, comme il peut servir à éta-

blir des bilans internes sur le comportement des matériels du
même type. Il est également possible que ce dispositif soit
Le retour d’expérience (REX) constitue une obligation régle- utile à la formation professionnelle : les enseignements tirés
mentaire pour les industries à risques, mais concerne poten- des analyses des défaillances de matériel peuvent être utilisés
tiellement toutes les organisations soucieuses d’améliorer pour apprendre à des techniciens à reconnaître des compor-
leurs performances. Son principe et sa finalité sont simples en tements anormaux. Il apparaît ainsi que le REX a différentes
apparence : il s’agit d’apprendre de ses expériences pour facettes et qu’il n’existe pas en tant que tel. Il aurait plutôt
améliorer le niveau de sécurité. Toutefois, les entreprises qui tendance à se construire à l’intérieur d’un projet, porté par un
se sont engagées dans cette démarche ont pu éprouver de organisme de contrôle, un groupe d’experts ou un manager,
grandes difficultés dans sa mise en œuvre concrète et être qui déciderait d’initier une certaine démarche de REX pour
relativement déçues des résultats tangibles, parfois difficiles à répondre à un besoin particulier. Dans cette perspective, le
évaluer, au regard des efforts consentis. Le risque serait que principal enjeu du REX repose sur le projet dans lequel il s’ins-
le REX ne soit plus perçu que comme une lourdeur bureaucra- crit. Nous pensons en effet qu’il importe autant de rappeler les
tique imposée de l’extérieur, alors qu’il demeure un processus fondements des actions entreprises par les acteurs du REX
clé d’amélioration de la sécurité. Cet article propose d’aller que d’insister sur les méthodes de recueil et d’analyse de don-
au-delà de l’apparente simplicité du REX. Il attire l’attention nées de REX. C’est pourquoi nous proposons dans cet article
du lecteur sur le fait que le REX ne se réduit pas à une tech- de présenter différentes pratiques de REX, de manière à ren-
nique de collecte et de traitement de données, mais qu’il pos- dre compte des besoins des acteurs qui les initient et des
sède de nombreuses facettes et des finalités multiples. Il conditions de leur réussite, qui reposent pour une grande part
montre que le succès de la démarche dépend pour une large sur la capacité des managers à créer un climat de confiance
part du projet managérial dans lequel il s’insère et de la clari- entre les acteurs du dispositif. Cela revient à considérer le
fication des objectifs qui lui sont assignés. REX à la fois comme dispositif de gestion et comme projet
de management. Nous comptons ainsi rapprocher le dispo-
Dans les organisations à hauts risques, sur lesquelles nous
sitif du projet qu’il sert, pour mieux en rappeler le sens, car il
nous centrons ici, le REX constitue une importante source
convient d’en avoir conscience pour concevoir, organiser ou
d’investissement pour améliorer la fiabilité des outils de pro-
étudier le REX.
duction, renforcer la sécurité des installations et des person-
nes et préserver l’environnement. Il peut ainsi se définir par Dans ce but, le présent article comporte quatre parties. La
sa finalité, mais cette dimension ne permet pas de rendre première partie rappelle les fondements du REX dans les
compte de sa structuration ou des dynamiques organisation- industries à hauts risques technologiques et présente ses
nelles sous-jacentes à sa mise en œuvre. Le domaine d’appli- différentes étapes pour donner à voir sa structuration. La
cation, l’objet, le niveau d’analyse ou encore la méthodologie deuxième partie présente, à titre d’illustration, ses diverses
sont autant de facteurs structurants du REX. En effet, le REX applications pour fournir une grille de catégorisation des dis-
est souvent défini comme une démarche d’apprentis- positifs de REX. La troisième partie expose trois analyses de
sage organisationnel devant nourrir une boucle d’amé- pratiques de REX, dans trois secteurs d’activité. Nous y mon-
lioration continue des performances de l’entreprise. trons en particulier comment des acteurs (managers, experts
Pourtant, dans la pratique, il peut servir différents besoins, techniques, spécialistes en facteurs humains) arrivent à
clairement explicités dans des notes d’organisation ou générés inscrire le REX dans un projet managérial plus vaste que celui
par une situation imprévue. Un même dispositif de recueil et pour lequel il a été initialement conçu. La quatrième partie
d’analyse de données techniques issues de la surveillance d’un de cet article livre une discussion générale des études de cas
matériel peut alors être utilisé pour déclarer des incidents à présentées.
RE 179 - 2 © Editions T.I. 11 – 2014
128
RE179
RECHERCHE
2. Fondements et structuration
du REX Événement
Historiquement, c’est à la suite des catastrophes de

Tchernobyl, Bhopal et Challenger, survenues entre 1984 et Détection
1986, que le besoin d’organiser les échanges sur les risques des
grands systèmes technologiques est né [1]. L’Agence interna-
tionale de l’énergie atomique (AIEA) venait de conclure que Recueil des faits
l’accident de Tchernobyl était en partie dû à une faible culture
de sécurité [2]. Il devenait nécessaire de comprendre les
mécanismes sous-jacents au développement de crises Décision de réaliser l’analyse
graves : l’expérience s’est imposée comme un moyen de cer-
ner les conditions de survenue des accidents majeurs [3]. Ce
besoin nouveau a d’abord donné lieu à la création de dispositifs
de collecte, d’archivage informatique et d’analyse de données
Identification des acteurs de l’analyse
3
techniques sur le comportement des installations et matériels
importants pour la fiabilité des systèmes de production [4]. Ces Analyse des causes
dispositifs permettent de constituer des banques de
défaillances et peuvent, dans certains cas, être qualifiés de
REX « événementiel » ou « accidentel ». Les analyses produites Définition des enseignements
dans ce cadre sont réalisées par des experts techniques et
visent essentiellement à déterminer les causes des variations
de comportements des matériels par rapport à des règles de Rédaction du compte-rendu d’événement
fonctionnement préétablies de manière déterministe ou proba-
biliste. Au-delà de l’étude techniciste des écarts aux règles, la
Diffusion du compte-rendu d’événement
recherche en sciences sociales va plutôt adopter une perspec-
tive systémique pour étudier les cultures et conduites
managériales à l’origine des accidents [5]. Elle cherchera à
Mise en œuvre des actions correctives
compléter la vision technique des causes de défaillances par des
approches centrées sur l’étude des facteurs humains et organi-
sationnels de la sécurité industrielle. Il s’agit à partir de là de
Vérification réalisation/efficacité des actions correctives
considérer toutes les composantes (humaines, sociales et tech-
niques) du système pour renforcer la fiabilité des installations à
hauts risques.
Figure 1 – Représentation d’un cycle formalisé
C’est donc dans le cadre d’une réflexion générale sur la de retour d’expérience
culture de sécurité que le retour d’expérience (REX) a mûri. Il
a ainsi été identifié comme une démarche d’apprentissage
organisationnel devant servir à développer la culture de précise et détaillée du contexte de l’événement en vue de per-
sécurité des industries à hauts risques [6]. Il se définit dès mettre à l’analyste d’appréhender la situation [8] ;
lors comme un processus continu de réflexion sur les prati- – la prise de décision liée à l’analyse de l’événement
ques organisationnelles de gestion des risques, et repose sur qui repose sur le niveau de criticité (ou de risque) jugé inac-
l’hypothèse selon laquelle l’adoption d’une posture réflexive ceptable dans l’organisation, mais aussi par les acteurs de la
vis-à-vis des situations accidentelles permettrait d’inventer situation. En effet, le lancement du REX dépend du fait qu’une
des modes opératoires plus en accord avec les exigences de personne estime que le dysfonctionnement est suffisamment
l’activité [7]. significatif (ou critique) pour donner lieu à une analyse ;
Sur la forme, le REX est très souvent présenté comme une – l’identification des acteurs de l’analyse qui relève des
succession d’étapes à l’intérieur d’un cycle de traitement de besoins en expertise pour comprendre les aspects techniques,
l’information recueillie à la suite d’un dysfonctionnement. humains ou organisationnels ayant pu contribuer à la surve-
Néanmoins, tous les dispositifs de REX ne présentent pas le nue de l’événement ;
même degré de formalisme et ne sont pas dédiés à la sécu-
rité. Les représentations les plus synthétiques mettent en – l’analyse proprement dite de l’événement qui est une
évidence trois étapes successives, à savoir la détection, étape essentielle du processus d’apprentissage des défaillan-
l’analyse des causes et la mise en œuvre d’actions cor- ces humaines, techniques et organisationnelles. Son but est
rectives. Nous nous arrêterons sur une des représentations de décrire l’événement par sa cause ou un ensemble de
les plus exhaustives de ces étapes qui a été proposée en 2006 causes [9], et elle repose sur différents modèles qui se
par l’Agence internationale de l’énergie atomique dans un caractérisent : (1) soit par la structure causale du cas
guide de mise en œuvre d’un système national de REX (uni-causalité, multi-causalités ou conception systémique), (2)
(figure 1). soit par le champ d’investigation (par exemple : individu,
poste de travail ou système sociotechnique) [10] ;
La boucle comprend dix étapes, allant de la détection d’un
– la définition des enseignements à tirer de l’analyse
événement en lien avec la sécurité des installations nucléai-
qui doit apporter une lecture nouvelle de la situation événe-
res, au suivi de la réalisation et de l’efficacité des actions cor-
mentielle permettant de déterminer les conditions de sa répé-
rectives mises en œuvre pour éviter la répétition d’un
tition. Ils portent sur des aspects techniques, humains, et/ou
événement indésirable. Les étapes intermédiaires étant :
systémiques, susceptibles de se traduire par des actions, dif-
– le recueil des faits qui est déterminant pour la qualité de férenciées ou complémentaires, centrées sur le matériel et/ou
l’analyse dans la mesure où il doit offrir une représentation l’individu, le collectif de travail, le système ;
11 – 2014 © Editions T.I. RE 179 - 3
129
3
130
1– Introduction
2– Démarches
4
4– Méthodes d'évaluation Réf. Internet page
Introduction à la fiabilité des structures SE2070 133
131
4
132
SE2070
Introduction à la fiabilité
des structures
par André LANNOY

Institut pour la Maîtrise des risques (IMDR)
1. Enjeux liés à l’analyse des risques relatifs aux structures......... SE 2 070v2 - 2

2. Caractéristiques des composants passifs ....................................... — 3
3. Causes de défaillances des structures
et mesures préventives......................................................................... — 4
4
4. Méthode OMF appliquée aux structures.......................................... — 4
4.1 Phase 1 : évaluation des enjeux................................................................ — 5
4.2 Phase 2 : évaluation des performances ................................................... — 5
4.3 Phase 3 : optimisation de la maintenance ............................................... — 6
5. Retour d’expérience disponible.......................................................... — 6
6. Retour d’expérience très insuffisant : analyse de fiabilité
des structures.......................................................................................... — 8
6.1 Objectif de l’analyse de fiabilité des structures et indicateurs ............... — 8
6.2 Traitement des incertitudes ...................................................................... — 8
6.3 Méthodes résistance-contrainte ............................................................... — 9
6.4 Méthodes d’évaluation de l’indice de fiabilité ......................................... — 9
7. Démarche d’analyse de fiabilité des structures ............................ — 9
8. Exemples d’application......................................................................... — 10
8.1 Comportement d’un échangeur : optimisation de l’inspection
des générateurs de vapeur........................................................................ — 10
8.2 Évaluation et maîtrise du vieillissement de composants
et structures ................................................................................................ — 11
8.3 Méthode RBI « risk based inspection » — 13
9. Conclusion................................................................................................ — 13
Pour en savoir plus ...........................................................................................Doc. SE 2 070v2
ien que rares, les événements tels que ruptures de tuyauteries, de réser-
B voirs, d’enceintes peuvent conduire à des conséquences extrêmement
Parution : juillet 2011 - Dernière validation : mars 2015
graves. Jusqu’au début des années 2000, on se protégeait de ces événements

en prenant des marges, des facteurs de sécurité, que l’on cumulait sur l’ensemble
des paramètres influents, à l’aide d’une méthodologie uniquement détermi-
niste. Cette démarche ne permet pas néanmoins de bien connaître les risques
pris. Dans l’analyse de la fiabilité des structures, les paramètres influents sont
considérés comme des variables aléatoires et, à partir d’une équation physique
de défaillance dont les variables sont probabilisées, on calcule la probabilité de
défaillance. Les applications industrielles sont nombreuses : optimisation de la
maintenance et des inspections, calcul de durée de vie résiduelle, etc.
Le retour d’expérience et la connaissance des cinétiques de dégradation sont
deux des conditions essentielles d’application de l’analyse de fiabilité des
structures.
Le dimensionnement des structures est fondé sur une démarche réglemen-
taire et codifiée, essentiellement déterministe. Des coefficients de sécurité sont
introduits dans les calculs afin de respecter des marges importantes pour
garantir leur intégrité.

133
SE2070
INTRODUCTION À LA FIABILITÉ DES STRUCTURES _________________________________________________________________________________________
Ce dimensionnement ne permet pas d’évaluer le risque lié à la défaillance

d’une structure, sa fiabilité. Il donne généralement une marge volontairement
pessimiste vis-à-vis des différents modes de ruine possibles et conduit le plus
souvent à des surdimensionnements, injustifiés, donc à des surcoûts. En outre,
certains chargements peuvent être ignorés au moment de la conception et
découverts seulement à l’exploitation. Les structures vieillissent, les propriétés
des matériaux peuvent se trouver altérées, les modes d’exploitation ne sont
plus les mêmes.
La démarche probabiliste, de fiabilité des structures, s’avère alors essen-
tielle. Le risque est évalué sous la forme d’une probabilité et non plus sous la
forme d’un jugement binaire (le dimensionnement est acceptable ou non,
l’exploitation peut être poursuivie ou non).
Le calcul de cette probabilité permet de réduire le risque de défaillance par
l’organisation des programmes de maintenance-inspection, de prolonger la
durée d’exploitation en optimisant leur utilisation.
Cet article donne quelques éléments de fiabilité des structures. Après avoir
identifié quelques causes de défaillance des structures et les mesures préven-
tives associées pour éviter la défaillance, on rappelle les caractéristiques
4
principales des composants passifs. On se place volontairement avec une
vision d’exploitant, cherchant à minimiser le risque de défaillance d’une struc-
ture et à optimiser son exploitation. On présente très brièvement la
méthodologie d’optimisation de la maintenance par la fiabilité (OMF-struc-
tures), appliquée aux composants passifs, dont un des rôles est d’optimiser les
inspections en service et la maintenance. On précise brièvement les fonde-
ments du calcul de fiabilité des structures. Le lecteur intéressé pourra se
référer aux ouvrages mis en référence pour de plus amples développements et
pour la présentation d’applications industrielles.
Il est évident que l’on ne peut pas faire le tour en un article d’un domaine qui
a donné lieu à de multiples publications depuis l’Antiquité. On se référera en
particulier aux références [1] [21], bien documentées et aux références [11] [16]
[23] [24].
Le lecteur pourra consulter à titre d’exemple l’article Eurocodes [C 60] du traité Construction.
Glossaire de quelques termes fréquemment utilisés

dans l’analyse des risques liés aux structures
1. Enjeux liés à l’analyse
Termes Définition
des risques relatifs
Probabilité = 1 – fiabilité ; c’est la probabilité
aux structures
de défaillance que la fonction de défaillance Z devienne
négative ou nulle pendant une période Les méthodes d’analyse de fiabilité des structures sont apparues
de référence choisie pour l’estimation dans le cadre de la maîtrise des risques à partir des années 1950.
Dans le passé, la sécurité-sûreté des structures reposait sur les tra-
Fonction Elle est exprimée en fonction ditions des compagnons et sur le retour d’expérience de
de défaillance des variables de base et probabilisée ; conception et de comportement des structures. Depuis les années
ou équation il y a défaillance si Z ⭐ 0 1960-1970 (depuis les années 1980 en France), des travaux impor-
de défaillance tants ont été réalisés sur la capacité de résistance des structures,
β Indice de fiabilité, indice de Hanover-Lind les lois de dégradation des matériaux, les chargements, les perfor-
mances des contrôles non destructifs, et les méthodes de fiabilité
Point β Ou point de conception ; c’est le point le des structures et les méthodes numériques associées se sont
plus probable, le plus proche de l’origine développées [8] [10]. Les premières méthodes dites risk based –
dans l’espace normalisé U (§ 6.4). Il est risk informed sont apparues à la fin des années 1980.
situé sur la surface de défaillance ; les
Dès l’Antiquité, des règlements ont été édictés, par exemple, par
valeurs des variables de base en ce point
le roi Hammurabi en Mésopotamie (1780 BC) ou par l’empereur
sont les valeurs les plus probables
Tibère (après la catastrophe de Fidenes en 27 AD). Les bonnes pra-
conduisant à la défaillance
tiques de conception-construction, les réglementations ont été éla-
Fiabilité cible C’est une fiabilité considérée acceptable borées au fil des siècles. Récemment, les CEN (comités européens
au regard du retour d’expérience passé, de normalisation) ont spécifié des exigences de sécurité-sûreté
du jugement d’expert, de codes – normes dans les Eurocodes.
– recommandations – réglementations, Traditionnellement, on utilise des méthodes déterministes pour
de réactions sociétales, d’analyses le dimensionnement. Depuis quelques années, les méthodes pro-
coûts-bénéfices babilistes deviennent incontournables. Elles seules permettent de

134
SE2070
_________________________________________________________________________________________ INTRODUCTION À LA FIABILITÉ DES STRUCTURES
prendre en compte les incertitudes (dues à la connaissance des (des coefficients de sécurité, des coefficients d’« ignorance »),
propriétés des matériaux, des chargements, etc.), d’optimiser plus alors que l’approche probabiliste tente d’être aussi réaliste que
efficacement la maintenance et de mieux informer sur les marges possible. Dans la pratique, il semble plus raisonnable de toujours
dont on dispose. procéder à une évaluation probabiliste puis de choisir un dimen-
À l’heure actuelle, les questions les plus courantes se posent à sionnement majorant en fonction des résultats probabilistes.
propos du comportement de structures vieillissantes, industrielles
ou de génie civil, et de leur surveillance.
Les études d’analyse des risques liés aux structures répondent
aux enjeux suivants : 2. Caractéristiques
– assurer la sécurité-sûreté d’une structure, tout au long de son
cycle de vie ;
des composants passifs
– empêcher un impact environnemental s’il y a défaillance ;
– rendre disponible la structure par la surveillance de l’évolution ■ On sait que les méthodes à utiliser pour évaluer la fiabilité
d’une dégradation et l’estimation de sa durée de vie résiduelle ; dépendent non seulement de la disponibilité d’un retour d’expé-
– optimiser les périodes d’inspection-maintenance ; rience validé, mais aussi de la nature du système, structure ou
– prolonger la durée d’utilisation, estimer la durabilité ; composant (SSC) :
– améliorer le dimensionnement déterministe en réduisant les – pour les composants actifs (les pompes, les robinets...), l’éva-
coefficients de sécurité ou les marges excessifs. luation se fait essentiellement à partir du retour d’expérience, sur
La fiabilité des structures apporte une aide essentielle à la des bases statistiques ;
décision car elle fournit des éléments de réponse aux questions – pour les composants passifs (les structures, les tuyauteries, les
suivantes : récipients sous pression...), on peut utiliser soit le retour d’expé-
4
– l’identification des dangers : quels événements, quels scéna- rience disponible, soit les méthodes de fiabilité des structures.
rios peuvent se produire ?
■ Les composants passifs ont les caractéristiques suivantes :
– l’évaluation probabiliste : quelle est la probabilité de
défaillance d’une structure ? – ils connaissent un faible nombre de mécanismes de vieillis-
– l’évaluation déterministe : quel est l’impact de la défaillance sement, généralement bien identifiés ;
sur la sécurité-sûreté, l’environnement, la compétitivité et les – les cinétiques de dégradation sont lentes et progressives ;
coûts ? – les défaillances sont rares, mais leurs conséquences sont
– la mise en œuvre de parades : quels moyens, quelles mesures généralement graves pour la sûreté, la disponibilité et les coûts.
de surveillance peuvent être recommandés pour la surveillance
des structures existantes ? Par conséquent, les méthodes de la fiabilité classiques sont
souvent non appropriées. On utilise donc essentiellement l’exper-
Les résultats de l’analyse de fiabilité des structures sont les élé- tise ou l’analyse de la fiabilité des structures. Le mécanisme de
ments clés de l’analyse de risque ou de la valorisation tech- vieillissement étant identifié, il convient de disposer du modèle de
nico-économique. dégradation adapté à ce mécanisme, d’écrire l’équation détermi-
L’objectif essentiel de l’analyse des risques liés aux structures niste de défaillance et de la « probabiliser ». Disposer d’un modèle
est donc d’optimiser leur dimensionnement déterministe, mais de dégradation pertinent est certainement une des grandes diffi-
aussi leur exploitation – maintenance – prolongation d’exploitation cultés de la fiabilité des structures.
du point de vue de la sécurité – sûreté et des coûts, tout en pre- Dans un second temps, après avoir défini une situation particu-
nant les dispositions nécessaires afin d’éviter leur défaillance. lière (par exemple, un mode particulier de défaillance ou une ruine
Insistons aussi sur le fait que l’approche déterministe est complète de la structure...), on peut calculer la fiabilité à un hori-
pessimiste : elle prend systématiquement des valeurs pessimistes zon donné.
Terminologie (référence : Nuclear Energy Agency (NEA) et Electrical Power Research Institue (EPRI) [4])
Analyse de la défaillance Procédé systématique de détermination et de documentation des mécanismes et des causes
superficielles et profondes de la défaillance d’un SSC.
Conditions de service Conditions réelles qui ont un impact sur le SSC (conditions normales, transitoires
d’exploitation, erreurs, conditions accidentelles).
Critère d’acceptabilité Limite spécifique d’un indicateur fonctionnel ou d’état, utilisée pour évaluer l’aptitude
d’un SSC à remplir la fonction pour laquelle il est conçu.
Défaillance Inaptitude ou interruption de l’aptitude d’un SSC à fonctionner dans les limites des critères
d’acceptabilité.
Dégradation Détérioration immédiate ou graduelle des caractéristiques d’un SSC qui pourrait altérer son
aptitude à fonctionner dans les limites des critères d’acceptabilité ; si elle est progressive,
alors il y a vieillissement ; elle est engendrée par les conditions de service.
Effets du vieillissement Modifications nettes des caractéristiques d’un SSC qui se produisent avec le temps
ou l’utilisation et qui sont dues aux mécanismes de vieillissement.
Gestion du vieillissement Mesures d’ordre technique, d’exploitation ou de maintenance, visant à maintenir,
dans les limites acceptables la dégradation par vieillissement et l’usure des SSC.
Inspection en service Examen ou contrôle de l’intégrité d’un SSC pendant l’exploitation ou l’arrêt.

135
Gagnez du temps et sécurisez vos projets
en utilisant une source actualisée et fiable
   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
 + de 340 000 utilisateurs chaque mois

 + de 10 000 articles de référence et fiches pratiques
 Des Quiz interactifs pour valider la compréhension
SERVICES ET OUTILS PRATIQUES
  
Questions aux experts* Articles Découverte Dictionnaire technique multilingue Archives Info parution
Les meilleurs experts techniques La possibilité de consulter 45 000 termes en français, anglais, Technologies anciennes et versions Recevez par email toutes les nouveautés
et scientifiques vous répondent des articles en dehors de votre offre espagnol et allemand antérieures des articles de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
Les offres Techniques de l’Ingénieur

INNOVATION ENVIRONNEMENT – SÉCURITÉ ÉLECTRONIQUE – PHOTONIQUE PROCÉDÉS CHIMIE – BIO – AGRO
• Éco-conception et innovation responsable • Sécurité et gestion des risques • Électronique • Formulation
• Nanosciences et nanotechnologies • Environnement • Technologies radars et applications • Bioprocédés et bioproductions
• Innovations technologiques • Génie écologique • Optique – Photonique • Chimie verte
• Management et ingénierie de l’innovation • Technologies de l’eau • Opérations unitaires. Génie de la réaction
• Smart city  Ville intelligente • Bruit et vibrations TECHNOLOGIES DE L’INFORMATION chimique
• Métier : Responsable risque chimique • Sécurité des systèmes d’information • Agroalimentaire
MATÉRIAUX • Métier : Responsable environnement • Réseaux Télécommunications
• Bois et papiers • Le traitement du signal et ses applications SCIENCES FONDAMENTALES
• Verres et céramiques ÉNERGIES • Technologies logicielles – Architectures des • Mathématiques
• Textiles • Hydrogène systèmes • Physique Chimie
• Corrosion – Vieillissement • Ressources énergétiques et stockage • Sécurité des systèmes d’information • Constantes physico-chimiques
• Études et propriétés des métaux • Froid industriel • Caractérisation et propriétés de la matière
• Mise en forme des métaux et fonderie • Physique énergétique AUTOMATIQUE – ROBOTIQUE
• Matériaux fonctionnels. Matériaux biosourcés • Thermique industrielle • Automatique et ingénierie système BIOMÉDICAL – PHARMA
• Traitements des métaux • Génie nucléaire • Robotique • Technologies biomédicales
• Élaboration et recyclage des métaux • Conversion de l’énergie électrique • Médicaments et produits pharmaceutiques
• Plastiques et composites • Réseaux électriques et applications INGÉNIERIE DES TRANSPORTS
• Véhicule et mobilité du futur CONSTRUCTION ET TRAVAUX PUBLICS
MÉCANIQUE GÉNIE INDUSTRIEL • Systèmes aéronautiques et spatiaux • Droit et organisation générale de la construction
• Frottement, usure et lubrification • Industrie du futur • Systèmes ferroviaires • La construction responsable
• Fonctions et composants mécaniques • Management industriel • Transport fluvial et maritime • Les superstructures du bâtiment
• Travail des matériaux – Assemblage • Conception et production • Le second œuvre et l’équipement du bâtiment
• Machines hydrauliques, aérodynamiques et • Logistique MESURES – ANALYSES • Vieillissement, pathologies et réhabilitation du
thermiques • Métier : Responsable qualité • Instrumentation et méthodes de mesure bâtiment
• Fabrication additive – Impression 3D • Emballages • Mesures et tests électroniques • Travaux publics et infrastructures
• Maintenance • Mesures mécaniques et dimensionnelles • Mécanique des sols et géotechnique
• Traçabilité • Qualité et sécurité au laboratoire • Préparer la construction
• Métier : Responsable bureau d’étude / conception • Mesures physiques • L’enveloppe du bâtiment
• Techniques d’analyse • Le second œuvre et les lots techniques
• Contrôle non destructif
www.techniques-ingenieur.fr
 CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
Powered by TCPDF (www.tcpdf.org)

Extrait 42154210

Transféré par

Droits d'auteur :

Formats disponibles

Extrait 42154210

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Extrait 42154210

Transféré par

Droits d'auteur :

Formats disponibles

ENVIRONNEMENT - SÉCURITÉ

Ti112 - Sécurité et gestion des risques

Réf. Internet : 42154 | 3e édition

Actualisation permanente sur

Une information fiable, claire et actualisée

Les meilleurs experts techniques et scientifiques

Une collection 100 % en ligne

Des services associés

 Des services associés

Management de la sécurité Réf. Internet : 42154

Méthodes d'analyse des risques Réf. Internet : 42155

Risques chimiques - Toxicologie et écotoxicologie Réf. Internet : 42156

Risques chimiques - Pesticides et produits phytosanitaires Réf. Internet : 42568

Encadrer le risque chimique et connaître ses obligations Réf. Internet : 22742

Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743

Risques d'explosion - Phénoménologie et effets Réf. Internet : 42157

Risques d'explosion - Évaluation, prévention Réf. Internet : 42709

Risques d'incendie Réf. Internet : 42583

Risques électriques Réf. Internet : 42496

Sécurité par secteur d'activité et par technologie Réf. Internet : 42159

Sécurité des systèmes industriels Réf. Internet : 42830

Santé et sécurité au travail Réf. Internet : 42158

Menaces et vulnérabilités : protection des sites industriels Réf. Internet : 42648

Risques naturels et impacts industriels Réf. Internet : 42828

dont les exper ts scientifiques sont :

Jean-Pierre DAL PONT

1– Introduction Réf. Internet page

Sécurité et gestion des risques SE12 11

Les concepts cindyniques. Comprendre leur nature et leur intérêt SE100 15

Rupture mémorielle et vulnérabilité croissante aux catastrophes P4239 19

Importance de la sécurité dans les entreprises AG4600 23

Gestion des risques professionnels SE3910 25

Système de management de la sécurité : mise en place sur site AG4650 29

Recommandations sur les systèmes de gestion de la sécurité formalisés SE4620 33

2– Démarches Réf. Internet page

Gestion globale des risques AG1100 49

La sûreté de fonctionnement : démarches pour maîtriser les risques SE1020 55

Démarche générale de maîtrise du risque dans les industries de procédé AG4605 57

Gestion des risques d'un projet SE2040 59

Évaluation du vieillissement industriel. Méthodologie SE2080 63

Évaluation des risques. Les résultats dans un document unique SE3200 69

Principes d'évaluation de la probabilité de défaillance des Mesures de Maîtrise des SE4057 71

Nouvelles exigences de la norme IEC 61511 SE4059 81

Gestion de la continuité d’activité. Structuration et mise en pratique SE3012 91

3– Retours d'expérience Réf. Internet page

De la « maîtrise » des crises SE1060 99

Le retour d'expérience en questions SE1040 103

Retour d'expérience technique SE1041 105

Retour d'expérience dans les industries de procédé AG4610 111

Leçons des accidents majeurs dans l'industrie chimique SE1050 113

Risques et accidents majeurs. Retour d'expérience cindynique SE1055 117

Dimensions humaine et organisationnelle dans le retour d'expérience SE3805 123

Pratiques de retour d'expérience (REX) pour un apprentissage organisationnel RE179 127

4– Méthodes d'évaluation Réf. Internet page

Introduction à la fiabilité des structures SE2070 133

Sécurité et gestion des risques SE12 11

Les concepts cindyniques. Comprendre leur nature et leur intérêt SE100 15

Rupture mémorielle et vulnérabilité croissante aux catastrophes P4239 19

Importance de la sécurité dans les entreprises AG4600 23