1. Historique et domaine d’application L’analyse par arbre d’évènements a été développée au début des années 1970 pour l’évaluation du risque lié aux centrales nucléaires à eau légère. Particulièrement utilisée dans le domaine du nucléaire, son utilisation s’est étendue à d’autres secteurs d’activité. De par sa complexité proche de celle de l’analyse par arbre des défaillances, cette méthode s’applique préférentiellement sur des sous-systèmes bien déterminés. Elle apporte une aide précieuse pour traiter des systèmes comportant de nombreux dispositifs de sécurité et de leurs interactions. À l’instar de l’analyse par arbre des défaillances dont elle s’inspire, elle permet d’estimer les probabilités d’occurrence de séquences accidentelles. Cette méthode est particulièrement utilisée dans le domaine de l’analyse après accidents en vue d’expliquer les conséquences observées résultant d’une défaillance du système.
2. PrincipeL’analyse par arbre des défaillances, comme nous l’avons vu précédemment, vise à déterminer, dans une démarche déductive, les causes d’un événement indésirable ou redouté retenu a priori. À l’inverse, l’analyse par arbre d’évènements suppose la défaillance d’un composant ou d’une partie du système et s’attache à déterminer les évènements qui en découlent. À partir d’un événement initiateur ou d’une défaillance d’origine, l’analyse par arbre d’évènements permet donc d’estimer la dérive du système en envisageant de manière systématique le fonctionnement ou la défaillance des dispositifs de détection, d’alarme, de prévention, de protection ou d’intervention... Ces dispositifs peuvent concerner aussi bien des moyens automatiques qu’humains (intervention des opérateurs) ou organisationnels (application de procédures).
3. DéroulementLa démarche généralement retenue pour réaliser une analyse par arbre d’événement est la suivante :
- définir l’événement initiateur à considérer
- identifier les fonctions de sécurité prévues pour y faire face
- construire l’arbre
- décrire et exploiter les séquences d’évènements identifiées
Les paragraphes suivants décrivent ces différentes étapes en suivant un exemple inspiré de l’ouvrage « Guidelines for Hazard Evaluation Procedures ».
a. Définition de l’événement initiateurIl s’agit d’une étape importante pour l’analyse par arbre d’évènements. Etant donné qu’il s’agit d’une approche qui peut vite se révéler lourde à mener, il est généralement bon de sélectionner un événement initiateur qui peut effectivement conduire à une situation critique. Ceci suppose donc de connaître, au moins de manière partielle, les principaux risques associés à l’installation considérée. Pour une analyse après accidents, ces risques sont de fait connus. Ce cas mis à part, il est pertinent d’élaborer un arbre d’évènements suite à une première analyse qui a mis en lumière les accidents potentiels à envisager. En ce sens, cette méthode apparaît complémentaire de méthodes telles que l’APR par exemple. L’exemple traité en fil conducteur considère un réacteur dans laquelle s’opère une réaction exothermique5. Le maintien en température du système est assuré par un système de réfrigération (AICHE). Pour ce cas simple, il est aisé d’identifier le risque d’emballement de réaction. Cet emballement pourrait notamment résulter de la défaillance du système de refroidissement. 5 Produisant de la chaleur Cet événement sera considéré comme événement initiateur pour la construction d’un arbre d’évènements.
b. Identification des fonctions de sécuritéLes fonctions de sécurité doivent être assurées par des barrières en réponse à l’événement initiateur. Elles ont en général pour objectif d’empêcher, dans la mesure du possible, que l’événement initiateur soit à l’origine d’un accident majeur. Elles se déclinent le plus souvent en :
- Fonctions de détection de l’événement initiateur,
- Fonctions d’alarme signifiant l’occurrence de l’événement initiateur,
- Fonctions de limitation visant en empêcher que l’événement initiateur ne perdure dans le temps,
- Fonction d’atténuation s’attachant à réduire les effets de l’événement initiateur.
Cette liste n’est bien sûr pas exhaustive. De plus, ces fonctions peuvent être réalisées par des dispositifs automatiques ou bien des actions effectuées par des opérateurs conformément à des procédures. Dans l’exemple du réacteur chimique, en réponse à la défaillance du système de refroidissement, les fonctions de sécurité suivantes ont été prévues :
- Détecter la montée en température dans le réacteur,
- Alarmer un opérateur de la montée en température,
- Rétablir le fonctionnement du système de refroidissement,
- Stopper la réaction.
Bien entendu, ces fonctions n’interviennent généralement pas simultanément. Il est particulièrement important de déterminer dans quel ordre elles vont intervenir suite à l’événement initiateur et donc d’identifier les seuils commandant leur mise en œuvre. Ces informations permettent ainsi de donner des indications quant au temps nécessaire pour la mise en place de ces mesures de sécurité. En conclusion de cette seconde étape, il est judicieux de dresser un tableau chronologique des fonctions de sécurité faisant figurer entre autres les systèmes ou équipements prévus pour assurer ces fonctions.
Tableau 1 : Exemple de tableau définissant les fonctions de sécurité
c. Construction de l’arbre
La construction de l’arbre consiste alors à partir de l’événement indésirable à envisager soit le bon fonctionnement soit la défaillance de la première fonction de sécurité. L’événement initiateur est représenté schématiquement par un trait horizontal. Le moment où doit survenir la première fonction de sécurité est représenté par un nœud. La branche supérieure correspond généralement au succès de la fonction de sécurité, la branche inférieure à la défaillance de cette fonction.
Figure 1 : Méthode de construction de l’arbre.
La suite de la méthode consiste alors à examiner le développement de chaque branche de manière itérative en considérant systématiquement le fonctionnement ou la défaillance de la fonction de sécurité suivante. Cette démarche temporelle permet d’identifier des séquences d’évènements susceptibles de conduire ou non à un accident potentiel. Elle n’est cependant généralement pas suffisante en vue de construire un arbre. Il est ainsi indispensable durant la construction de l’arbre d’observer les points suivants :
- Si une fonction dépend d’autres fonctions, elle doit être considérée après ces fonctions,
- Dans le même ordre d’idée, si l’échec d’une fonction implique automatiquement l’échec d’autres fonctions, le succès de ces dernières n’est pas à considérer. Ainsi, dans notre exemple, si la sonde de température est défaillante, il n’y a pas lieu d’étudier le fonctionnement de l’alarme ou le déclenchement automatique de l’inhibition de la réaction,
- Si le succès d’une fonction agit sur le paramètre déclenchant d’autres fonctions ultérieures, le succès ou la défaillance de cette fonction ne doivent pas être envisagés dans le développement de cette branche. Ainsi, si l’opérateur parvient à rétablir le système de refroidissement avant que la température dans le réacteur ne dépasse T2, il n’y a pas lieu de considérer l’inhibition automatique de la réaction,
- Si la défaillance d’un sous-système entraîne la défaillance commune de plusieurs systèmes assurant des fonctions de sécurité, ce sous-système doit être considéré avant ces systèmes. Ce cas de figure envisage ainsi les modes communs de défaillances. Elles se rapportent souvent à des pertes d’utilités (électricité, air comprimé...) ou des agressions externes majeures. Dans notre exemple, si l’alimentation électrique est commune à tous les systèmes considérés, il convient de considérer juste après l’événement initiateur une fonction du type « Maintien de l’alimentation électrique ». Nous considérerons ici que tous ces systèmes ont une alimentation distincte. De la même façon, la défaillance de la sonde de température dans le réacteur est supposée entraîner la défaillance commune du système d’alarme et d’inhibition de réaction. Elle a donc été considérée en premier lieu.
Le respect de ces règles et l’élimination des branches physiquement impossibles conduisent à l’élaboration d’un arbre d’évènements réduit, semblable à celui présenté ci-dessous relativement au cas de figure pris en exemple.
Figure 2 : Exemple d’arbre d’évènements réduit
d. Exploitation de l’arbre
La réalisation d’un arbre d’évènements permet en définitive de déterminer la probabilité d’occurrence des différentes conséquences à partir des séquences identifiées. Cette dernière ne peut être effectuée qu’à partir d’un arbre d’évènements préalablement réduit. La réduction de l’arbre concourt entre autres à éliminer les chemins non physiquement possibles ainsi qu’à identifier les modes communs de défaillances. Cette opération est nécessaire pour assurer l’indépendance des évènements intermédiaires présentés. La probabilité d’occurrence d’une conséquence suite à une séquence particulière peut alors être estimée, pour des évènements indépendants, comme le produit de la probabilité d’occurrence de l’événement initiateur et de la probabilité de défaillance ou de fonctionnement selon le cheminement des évènements intermédiaires. La figure ci-dessous permet d’expliciter cette détermination des probabilités pour un arbre d’évènements réduit. Rappelons qu’un arbre des évènements ne doit pas être considéré comme un outil visant à déterminer la probabilité d’un événement avec exactitude mais comme un outil pour caractériser l’enchaînement des actions et des évènements pouvant conduire ou non à un accident.
Figure 3 : Exemple d’exploitation d’un arbre d’évènements
4. Limites et avantages
L’analyse par arbre d’évènements est une méthode qui permet d’examiner, à partir d’un événement initiateur, l’enchaînement des évènements pouvant conduire ou non à un accident potentiel. Elle trouve ainsi une utilité toute particulière pour l’étude de l’architecture des moyens de sécurité (prévention, protection, intervention) existants ou pouvant être envisagés sur un site. A ce titre, elle peut être utilisée pour l’analyse d’accidents a posteriori. Cette méthode peut s’avérer rapidement lourde à mettre en œuvre. En conséquence, il faut définir avec discernement l’événement initiateur qui fera l’objet de cette analyse.