Study with the several resources on Docsity
Earn points by helping other students or get them with a premium plan
Prepare for your exams
Study with the several resources on Docsity
Earn points to download
Earn points by helping other students or get them with a premium plan
Community
Ask the community for help and clear up your study doubts
Discover the best universities in your country according to Docsity users
Free resources
Download our free guides on studying techniques, anxiety management strategies, and thesis advice from Docsity tutors
exercices corriges sureté de fonctionnement et tolérance aux fautes
Typology: Exercises
1 / 25
données, pendant l’intervalle de temps ». La fiabilité d’un équipement ou d’un réseau électrique peut se mesurer par le nombre de pannes par an.
dans des conditions données, à un instant donné ».
La disponibilité peut par exemple se déterminer à partir du calcul du nombre d’heures d’absence de fourniture électrique par an en un point donné d’alimentation. Par exemple une disponibilité de 99% signifie que le REI est disponible 99% du temps, c’est à dire que chaque année il y a environ 80 heures de non-disponibilité de tension en raison de pannes ou d’opérations de maintenance.
lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données avec des procédures et des moyens prescrits » ; par exemple, la maintenabilité peut être spécifiée par une durée moyenne de réparation.
données, des événements critiques ou catastrophiques pour les personnes et les équipements » (non quantifiable).
ses comportements, ses actions, sur le bon fonctionnement d’une entité quelle qu’elle soit, pendant toute la période d’observation ».
Le tableau 1 ci-dessous présente un bref historique de la sureté de fonctionnement.
Approche intuitive : renforcer l'élément le plus faible Premiers systèmes parallèles et redondants Approche statistique, taux de défaillance Premières estimation de probabilité d'accidents d'avion Pugsley : premier objectif de safety taux d'accident d'avion ≤ 10 ˉ5^ per flight hour
Explosion poudrière (1794) Accident chemin de fer (1842) Titanic (1912)...
Analyse des missiles allemands V1 (Robert Lusser) Loi de Murphy "If anything can go wrong, it will" Quantication de la disponibilité
Advisory Group on Reliability of Electronic Equipment (AGREE)
Tcheliabinsk 40 (1957)
Analyse des modes de défaillance et de leurs effets Programmes de recherche spatiaux Arbre de défaillance (missile Minuteman) Arbres des causes (Boeing - NASA) Livres sur la fiabilité (ex. Barlow and Proschan)
Torrey Canyon (1967)
Analyse des risques Collecte de données REX
Nouvelles techniques (simulation, réseaux de Pétri,..) Modélisation Ariane V (1996)
Tchernobyl (1986) DART (NASA, 2005) Vol Rio Janeiro.
La sureté de fonctionnement manipule un certain nombre de concepts que nous précisons dans cette partie en donnant des définitions précises. La sureté de fonctionnement peut être vue comme étant composée des trois éléments suivants :
Attributs : points de vue pour évaluer la sureté de fonctionnement ; Entraves : évènements qui peuvent affecter la sureté de fonctionnement du système ; Moyens : moyens pour améliorer la sureté de fonctionnement.
Commençons par détailler les entraves qui peuvent affecter le système et dégrader la sureté de fonctionnement. Les entraves sont reparties en 3 notions : Les fautes, les erreurs et les défaillances
Les définitions sont récursives car la défaillance d'un composant est une faute pour le système qui le contient.
Définition Faute (Fault) : La cause de l'erreur est une faute (par exemple un court-circuit sur un composant, une perturbation électromagnétique ou une faute de d’développement logiciel).
Définition Erreur (Defect) : La cause de la défaillance est une erreur affectant une partie de l'état du système (par exemple, une variable erronée).
Définition Défaillance (Failure) : Une défaillance est la cessation de l'aptitude d'une entité à accomplir une fonction requise.
Définition Panne : La panne est l'inaptitude d'une entité à accomplir une mission. Une panne résulte toujours d'une défaillance.
Les défaillances dans un système peuvent avoir des effets différents. Certaines défaillances n'affectent pas directement les fonctions du système et ne nécessitent qu'une action corrective ; d'autres, en revanche, affectent la disponibilité ou la sécurité.
On utilise généralement une échelle de gravite des effets et on considère traditionnellement 4 catégories de défaillances.
Défaillance mineure : défaillance qui nuit au bon fonctionnement (minor) d'un système en causant un dommage négligeable au système ou a son environnement sans présenter de risque pour l'homme.
Défaillance significative : défaillance qui nuit au bon fonctionnement (major) sans causer de dommage notable ni présenter de risque important pour l'homme.
Défaillance critique : défaillance qui entraine la perte d'une (hasardeuse) (ou des) fonction(s) essentielle(s) du système et cause des dommages importants au système en ne présentant qu'un risque négligeable de mort ou de blessure.
Défaillance catastrophique : défaillance qui occasionne la perte d'une (catastrophique) (ou des) fonction(s) essentielle(s) du système en causant des dommages importants au système ou à son environnement et/ou entraine la mort ou des dommages corporels.
Définition Mode de défaillance (Failure mode) : Un mode de défaillance est l'effet par lequel une défaillance est observée. Plus, précisément, il s'agit d'un des états possibles d'une entité en panne pour une fonction requise donnée.
Classification des modes de défaillance : On classe généralement les modes de défaillance en 4 catégories :
Définition Système cohérent : Un système est dit cohérent si :
Les attributs de la sûreté de fonctionnement sont parfois appelés FDMS pour Fiabilité, Disponibilité, Maintenabilité et Sécurité (RAMSS pour Reliability, Availability, Maintainability, Safety, Security).
La disponibilité est le fait d'être prêt au service.
Définition Disponibilité (Availability) : La disponibilité est l'aptitude d'une entité à être en état d'accomplir une fonction requise dans des conditions données, a un instant donné ou pendant un intervalle de temps donné, en supposant que la fourniture des moyens extérieurs nécessaires soit assurée. La fiabilité est la continuité de service.
Définition Fiabilité (Reliability) : La fiabilité est l'aptitude d'un dispositif à accomplir une fonction requise dans des conditions données pendant une durée donnée. La sécurité est l'aptitude à ne pas provoquer d'accidents catastrophiques.
Définition Sécurité innocuité (Safety) : La sécurité innocuité est l'aptitude d'une entité à éviter de faire apparaitre, dans des conditions données, des évènements critiques ou catastrophiques.
La maintenabilité est la capacité d'un système à revenir dans un état de fonctionnement correct après modifications et réparations.
Définition Maintenabilité (Maintainability) : Dans les conditions données d'utilisation, la maintenabilité est l'aptitude d'une entité à être maintenue ou rétablie, sur un intervalle de temps donné dans un état dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données avec des procédures et des moyens prescrits.
D'autres attributs de sureté de fonctionnement ont été identifies comme par exemple la testabilité (le degré d'un composant ou d'un système à fournir des informations sur son état et ses performances), ou la diagnosticabilite (capacité d'un système à exhiber des symptômes pour des situations d'erreur) survivabilite (capacité d'un système à continuer sa mission après perturbation humaine ou environnementale) et ainsi de suite.
Les moyens sont des solutions éprouvées pour casser les enchainements Faute! Erreur! défaillance et donc améliorer la fiabilité du système.
On distingue plusieurs types de redondance :
Une analyse prévisionnelle de sureté de fonctionnement est un processus d'étude d'un système réel de façon à produire un modèle abstrait du système relatif à une caractéristique de sureté de fonctionnement (fiabilité, disponibilité, maintenabilité, sécurité). Les éléments de ce modèle seront des évènements susceptibles de se produire dans le système et son environnement, tels que par exemple :
Le principe de ces méthodes consiste a partir d’une cause d’anomalie (défaillance, erreur humaine, agression externe,… etc ) et à déterminer les scenarios d’évènements qui en
résultent et/ou l’ensemble de ses conséquences possibles.
L’analyse inductive générale est définie comme un ensemble de procédures systématiques
permettant de traiter des données qualitatives.
Ces procédures étant essentiellement guidées par les objectifs de recherche. elle s’appuie
sur différentes stratégies utilisant prioritairement la lecture détaillée des données brutes pour faire émerger des catégories à partir des interprétations du chercheur qui s’appuie sur ces
données brutes.
L’analyse inductive se prête particulièrement bien à l’analyse de données portant sur des
objets de recherche à caractère exploratoire, pour lesquels le chercheur n’a pas accès à des catégories déjà existantes dans la littérature. (Mode de recherche inductif : Identique au sens de déroulement des dysfonctionnements).
Pour les méthodes déductives, la démarche est inversé puisque l’on part de l’évènement indésirable, la défaillance, et l’on recherche ensuite par une approche descendante toutes
les causes possibles.
Les méthodes d’analyse déductive ont pour finalité la recherche des combinaisons de
causes possibles d’un évènement redouté (Mode de recherche déductif : Inverse au sens de
déroulement des dysfonctionnements).
Il existe deux grands types de démarches d’investigation pour l’analyse des risques,
inductive et déductive.Les démarches inductives procèdent des causes vers les effets, et
celles déductives des effets vers les causes.
Ce sens de raisonnement intervient dans l’analyse des risques lors de l’étape de recherche des scénarios d’accidents potentiels, sous la forme de deux questions possibles à se poser :
‒ Quels évènements peuvent produire un accident redouté (mode déductif)
‒ Quelles conséquences graves (accident) peuvent avoir un incident (pannes…) (mode inductif)
On peut classer les études de danger suivant le sens de la démarche mais elles associent souvent les deux modes de réflexion (inductive et déductive) considérés comme complémentaires, en faisant appel à plusieurs méthodes d’analyse.
Méthode utilisée pour définir les relations entre :
On distingue 2 types de fonctions :
Exemple d’une analyse fonctionnelle
Le TAF regroupe les informations issues des AF E et AFI. Y figurent :
Le TAF permet d'étudier l'influence des fonctions de conception et des composants sur les fonctions de service.
La méthode SADT‚ (Structured analysis and design technique) est une méthode d’analyse et de conception des systèmes importants et complexes en facilitant la communication entre spécialistes de disciplines différentes. SADT est une méthode graphique établie par Douglas T. ROSS (Softech) vers 1974.
Elle fournit des outils notamment pour :
La méthode introduit les concepts suivants :
La méthode SADT‚ met en œuvre deux représentations complémentaires :
Contrôle
↓ Entrée → Actigramme → Sortie ou Datagramme
Activité support
SADT‚ définit une décomposition fonctionnelle hiérarchisée entre les différents niveaux de détail ; la décomposition a un niveau donne´ doit faire apparaıtre des fonctions ou des données qui sont a leur tour décomposées [approche descendante (top-down)].
Pour la validation, on doit s’assurer que les entrées d’une fonction d’un niveau donne´
doivent se retrouver dans sa décomposition, et celle-ci ne doit produire que les sorties de la fonction de niveau supérieur.
L’accent est porte´ tout d’abord sur l’analyse et la spécification du « quoi » (ce que le système doit faire) et ensuite sur les considérations sur le « Comment » (avec quels moyens
on réalise le « Quoi »). SADT‚ utilise un seul type de boıte rectangulaire dont chacun des 4
cotes possède une signification particulière (figure 4).
Un diagramme SADT‚ pour chaque niveau hiérarchique, est constitué de 3 à 6 boıtes pour
que la représentation soit suffisamment détaillée sans être trop complexe. La figure 5 représente l’enchaınement des boıtes avec leurs relations entre les entrées, les sorties et les
contrôles. Elle donne également un aperçu de la décomposition du bloc 1 à l’aide d’un diagramme de niveau hiérarchique inferieur.
L’analyse prévisionnelle des dysfonctionnements des systèmes consiste à identifier les conditions qui peuvent conduire à des défaillances et à prévoir leurs conséquences sur la
fiabilité, la maintenabilité, la disponibilité et la sécurité des systèmes en cours de conception ou déjà opérationnels.
Elle est réalisée à partir d’informations diverses dont le tri et l’analyse permettent de concevoir un mode le du système. Les informations nécessaires à l’analyse sont :
défaillance et leurs conséquences…) ;
L’analyse des Modes de Défaillance et de leurs Effets (AMDE) a été employée pour la première fois dans le domaine de l’industrie aéronautique durant les années 1960. Son utilisation s’est depuis largement répandue à d’autres secteurs d’activités telles que l’industrie chimique, pétrolière ou le nucléaire. De fait, elle est essentiellement adaptée à l’étude des défaillances de matériaux et d’équipements et peut s’appliquer aussi bien à des systèmes de technologies différentes (systèmes électriques, mécaniques, hydrauliques...) qu’à des systèmes alliant plusieurs techniques.
L’analyse des Modes de Défaillance et de leurs Effets repose notamment sur les concepts de : Défaillance , soit la cessation de l’aptitude d’un élément ou d’un système à accomplir une fonction requise, Mode de défaillance , soit l’effet par lequel une défaillance est observée sur un élément du système, Cause de défaillance , soit les évènements qui conduisent aux modes de défaillances, Effet d’un mode de défaillance , soit les conséquences associées à la perte de l’aptitude d’un élément à remplir une fonction requise.
En pratique, il est souvent difficile de bien distinguer ces différentes notions. La maîtrise de ce vocabulaire est néanmoins primordiale pour une bonne utilisation de cet outil. Pour illustrer ces différents concepts, prenons l’exemple d’une pompe. Dans des conditions normales d’exploitation, la fonction de cette pompe est sera définie comme son aptitude à fournir un débit donné à sa sortie. Si le débit en sortie de pompe est nul, nettement inférieur ou supérieur à ce débit défini, la pompe sera dite « défaillante ». Si, en cours d’exploitation, la pompe s’arrête de façon non désirée, on assistera bien à une défaillance de la pompe. Le fait que la pompe s’arrête constitue donc un effet par lequel une défaillance est observée ; il s’agit d’un mode de défaillance. La coupure de courant qui a entraîné l’arrêt de la pompe sera alors définie comme une des causes de ce mode de défaillance. L’arrêt de l’approvisionnement du réacteur alimenté par cette pompe suivie d’une dégradation du
produit de synthèse constituera des conséquences de cette défaillance. L’AMDE est une méthode inductive d’analyse qui permet : d’évaluer les effets et la séquence d’évènements provoqués par chaque mode de défaillance des composants d’un système sur les diverses fonctions de ce système, Déterminer l’importance de chaque mode de défaillance sur le fonctionnement normal du système et en évaluer l’impact sur la fiabilité, la sécurité du système considéré, Hiérarchiser les modes de défaillances connus suivant la facilité que l’on a à les détecter et les traiter.
Lorsqu’il est nécessaire d’évaluer la criticité d’une défaillance (probabilité et gravité), l’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) apparaît comme une suite logique à l’AMDE. L’AMDEC reprend en effet les principales étapes de l’AMDE et y ajoute une évaluation semi quantitative de la criticité. Cette dernière peut par exemple être réalisé sur la base des échelles proposées au chapitre 3.1.
De manière très schématique, une AMDEC se déroule sous la forme suivante : 1) Dans un premier temps, choisir un élément ou composant du système 2) Retenir un état de fonctionnement (fonctionnement normal, arrêt...) 3) Pour cet élément ou composant et pour cet état, retenir un premier mode de défaillance , 4) Identifier les causes de ce mode de défaillance ainsi que ces conséquences tant au niveau du voisinage du composant que sur tout le système, 5) Examiner les moyens permettant de détecter le mode de défaillance d’une part, et ceux prévus pour en prévenir l’occurrence ou en limiter les effets , 6) Procéder à l’évaluation de la criticité de ce mode de défaillance en terme de probabilité et de gravité, 7) Prévoir des mesures ou moyens supplémentaires si l’évaluation du risque en montre la nécessité, 8) Vérifier que le couple (P,G) peut être jugé comme acceptable, 9) Envisager un nouveau mode de défaillance et reprendre l’analyse au point 4), 10) Lorsque tous les modes de défaillances ont été examinés, envisager un nouvel état de fonctionnement et reprendre l’analyse au point 3) 11) Lorsque tous les états de fonctionnement ont été considérés, choisir un nouvel élément ou composant du système et reprendre l’analyse au point 2). Dans les faits, il est intéressant de se doter de tableaux tant en qualité de support pour mener la réflexion que pour la présentation des résultats.
Concrètement, il s’agit de passer en revue chaque équipement ou composant identifié lors de la description fonctionnelle. Il est généralement utile de repérer l’équipement considéré à partir des données fournies dans des diagrammes ou autres plans.
B/ FONCTIONS ET ETATS (COLONNE 2)
Pour chacun des équipements, il s’agit de lister ses fonctions et états de fonctionnements. Ces fonctions et états sont normalement identifiés au cours de la description fonctionnelle. Afin de mener l’analyse de la manière la plus complète possible, il est indispensable de
considérer l’ensemble des états susceptibles de survenir au cours de l’exploitation (ex. fonctionnement normal, arrêt, démarrage, stand-by...)
Pour chaque équipement et en fonction de l’état de fonctionnement, le groupe de travail doit envisager de manière systématique les modes de défaillances possibles (Colonne 3). La définition des modes possibles de défaillance pour un équipement peut être réalisée à partir du retour d’expérience associé à l’exploitation d’équipements similaires, de tests ou essais... Par ailleurs, les modes de défaillance considérés devront tenir compte : Des utilisations du système, Des caractéristiques de l’équipement considéré, Du mode de fonctionnement, Des spécifications relatives au fonctionnement, Des délais fixés, De l’environnement.
Quel que soit le type d’équipement considéré, la liste suivante tirée de la norme CEI 60812:1985 : « Techniques d’analyse de la fiabilité des systèmes - Procédure d’analyse des modes de défaillance et de leurs effets (AMDE) » facilite l’identification des modes de défaillance par le groupe de travail.
Tableau 5 : Modes de défaillance généraux (extrait de la norme CEI 60812:1985)
De plus, cette même norme propose une liste guide de modes de défaillance génériques, qui permet d’aider le groupe de travail dans l’analyse. Cette liste est reprise ci-après. Elle présente une série de modes de défaillance générique pouvant s’appliquer en théorie à tous les cas de figure envisageables. Néanmoins, elle pourra être utilement complétée en vue de tenir compte des spécificités du système étudié.
Pour chaque mode de défaillance, le groupe de travail doit ensuite identifier les causes potentielles conduisant à ce mode de défaillance. Un mode de défaillance peut résulter de plusieurs causes, qu’il convient donc d’inventorier et de numéroter pour plus de facilité. La liste présentée dans le Tableau 8 précédent permet également de préciser des causes de défaillance dans la mesure où ces causes peuvent parfois s’apparenter à des modes de défaillance. Par exemple, un mode de défaillance d’une vanne devant se fermer peut être « Ne se ferme pas » (mode de défaillance n°6). Une des causes de ce mode de défaillance peut être un blocage physique ou coincement (mode de défaillance n°2). Enfin, il convient de tenir compte des défaillances possibles sur les équipements adjacents du système. L’évaluation des effets d’une défaillance d’un élément peut effectivement conduire à l’occurrence d’un mode de défaillance sur un autre élément du système. Il est ainsi nécessaire de veiller à l’adéquation entre les effets de défaillance considérés au cours de l’analyse et les causes d’autres modes de défaillance envisagés.
E/ EFFETS DE LA DEFAILLANCE (COLONNES 5 ET 6)
De la même façon que le groupe de travail s’est attaché à identifier les causes potentielles de défaillance, il doit examiner les conséquences de cette défaillance, au niveau du composant lui-même tout d’abord (colonne 5) puis au niveau du système global (colonne 6).
Pour le mode de défaillance envisagé, le groupe de travail examine et consigne ensuite les moyens prévus pour détecter ce mode de défaillance.
I/ DISPOSITIFS DE REMPLACEMENT (COLONNE 8)
Toutes les dispositions prises, par exemple au niveau de la conception de l’installation, en vue de prévenir ou atténuer l’effet du mode de défaillance doivent alors être examinées. Cette étape, dont les résultats sont consignés en colonne 8, vise d’une certaine façon à caractériser le comportement du système lorsqu’un de ces composants est affecté par un mode de défaillance.
J/ EVALUATION DE LA CRITICITE (COLONNES 9 ET 10)
Les colonnes 9 et 10 permettent de consigner les évaluations réalisées par le groupe de travail de la probabilité du mode de défaillance (P) et de la gravité associée à ses conséquences (G). Cette approche permet de mesurer l’influence des barrières de sécurité mises en place et de juger de la pertinence d’envisager de nouvelles barrières au regard du risque présenté. En pratique, il est parfois difficile de disposer de données précises et fiables pour procéder de manière fine à cette évaluation. On pourra alors se référer utilement à des échelles de cotations à plusieurs niveaux de probabilité et de gravité, semblable à celles présentées au paragraphe 3.3.3.1. Rappelons que les échelles de gravité et probabilité quels que soient les formats finalement retenus, doivent être présentés et acceptées en début d’analyse.
L’AMDEC s’avère très efficace lorsqu’elle est mise en œuvre pour l’analyse de défaillances simples d’éléments conduisant à la défaillance globale du système. De par son caractère systématique et sa maille d’étude généralement fine, elle constitue un outil précieux pour l’identification de défaillances potentielles et les moyens d’en limiter les effets ou d’en prévenir l’occurrence. Comme elle consiste à examiner chaque mode de défaillance, ses causes et ses effets pour les différents états de fonctionnement du système, l’AMDEC permet d’identifier les modes communs de défaillances pouvant affecter le système étudié. Les modes communs de défaillances correspondent à des événements qui de par leur nature ou la dépendance de certains composants provoquent simultanément des états de panne sur plusieurs composants du système. Les pertes d’utilités ou des agressions externes majeures constituent généralement des modes communs de défaillance. Dans le cas de systèmes particulièrement complexes comptant un grand nombre de composants, l’AMDEC peut être très difficile à mener et particulièrement fastidieuse compte tenu du volume important d’informations à traiter. Cette difficulté est décuplée lorsque le système considéré comporte de nombreux états de fonctionnement. Par ailleurs, l’AMDEC considère des défaillances simples et peut être utilement complété, selon les besoins de l’analyse, par des méthodes dédiées à l’étude de défaillances multiples comme l’analyse par arbre des défaillances par exemple.
Rupture de l’équilibre dans une situation donnée.
Il est le résultat d’au moins un des cinq éléments suivants :
Cette méthodologie comporte 4 étapes :
1. Définir le sujet de l’étude (recherche du besoin fondamental), 2. Définir l’objet sur lequel porte l’étude (par les méthodes fonctionnelles), 3. Analyser les dangers et les risques (par les méthodes fonctionnelles et qualitatives utilisées en Sûreté de Fonctionnement), 4. Tirer les conclusions de l’étude selon le sujet défini.
Répondre à 3 questions et valider le besoin :
1 : pour qui? une autorité de sûreté, la hiérarchie, un groupe de travail, …
2 : sur quoi? une organisation, un système, un sous-système, une procédure, un essai, …
3 : dans quel but? Pourquoi cette action? identifier les risques, informer le demandeur, améliorer la sécurité du personnel, reconcevoir un système, valider une procédure…
Réaliser une APR/APD, c’est :
Remarque : si l’étude le nécessite, faire appel aux méthodes classiques de SdF pour rechercher les événements indésirables, leurs causes, leurs effets, leurs probabilités.
Il est souhaitable que ce découpage soit en nombre pair pour éviter l’attirance du jugement pour la valeur médiane d’un découpage en 3 ou 5.
Niveau Gravité G Probabilité P 1 Blessures légères Improbables 2 Blessures graves Très rare 3 Blessures très graves Rare 4 Mort Probable
Éléments dangereux
Événement causant une situation dangereuse
Situation dangereuse
Événement causant un accident potentiel
Accident potentiel
Conséquences Risque P G R
Mesures préventives
Bouteille d’azote
Choc sur la bouteille
Chute de la bouteille
Rupture du col sur obstacle
Déplacement t brutal de la bouteille
Chocs sur
fixer la bouteille réserver un espace libre
Énerge électrique
Ouverture d’une armoire électrique
Manipulation d’organes de commande
Contact accidentel avec pièces sous tension
électrocution Atteintes corporelles + ou - graves
Placer des écrans isolants Former et informer Eau de javel Avoir accès à la bouteille
Prendre la bouteille
Ouvrir la bouteille
Ingérer l’eau de javel
Atteintes corporelles + ou - graves
Limiter les accès
Une étude HAZOP ( Hazards and Operability Study ), exécutée par une équipe, est un processus détaillé d’identification des dangers et des problèmes d’exploitation. L’étude HAZOP s’attache à l’identification des déviations potentielles par rapport à l’intention de conception, à l’examen de leurs probabilités d’occurrence et des causes possibles et à l’évaluation de leurs conséquences.
Les principales caractéristiques d’une étude HAZOP sont entre autres :
L’étude est un processus créatif. Elle consiste à utiliser une série de mots guides pour identifier des déviations potentielles par rapport à l’intention de conception et à employer ces déviations comme « déclencheurs » stimulant l’imagination des membres de l’équipe dans la recherche des causes de la déviation et dans l’évaluation des conséquences qu’elles peuvent engendrer. L’étude se déroule sous la direction d’un chef d’étude qualifié et expérimenté. Celui-ci s’assure de mener un examen exhaustif du système en s’appuyant sur une pensée logique et analytique. De préférence, le chef d’étude est assisté par un scribe qui note les dangers et/ou les perturbations identifiés en vue de leur évaluation et de la recherche de solutions. La qualité de l’étude repose sur les qualifications et l’expérience des spécialistes formant l’équipe. Ces spécialistes de diverses disciplines doivent faire preuve d’intuition et de perspicacité. Il convient d’effectuer l’examen dans un climat de pensée positive et de franche discussion. Lorsqu’un phénomène est identifié, il est noté pour être ultérieurement évalué et résolu. Les solutions aux problèmes ne constituent pas le principal objectif de l’étude HAZOP, mais elles peuvent, le cas échéant, être notées et transmises aux responsables de la conception.
- Transport de minerai par rail (exemple non complet)
À l’origine, l’étude HAZOP était une technique développée pour les systèmes impliquant le traitement d’un milieu fluide ou autres flux de matière dans les industries de transformation, notamment l’industrie des procédés chimiques et pétroliers. Cependant, son domaine d’application n’a cessé de s’étendre au cours des dernières années, et la technique HAZOP s’applique aujourd’hui, par exemple :
aux applications logicielles, y compris les systèmes électroniques programmables; aux systèmes assurant le déplacement des personnes par différents modes, tels que le transport routier et le transport ferroviaire; à l’examen de différentes séquences de fabrication et aux procédures d’exploitation; à l’évaluation des procédures administratives dans différentes industries; à l’évaluation de systèmes spécifiques, tels que les appareils médicaux.
L’étude HAZOP est particulièrement utile dans l’identification des faiblesses des systèmes nécessitant la circulation de matières, de personnes ou de données, nécessitant un certain nombre d’événements ou d’activités d’une séquence planifiée ou des procédures contrôlant cette séquence. L’étude HAZOP n’est pas seulement un outil précieux pour la conception et le développement de nouveaux systèmes. Elle peut être utilisée avec profit pour l’examen des dangers et des problèmes potentiels liés à différents états de l’exploitation d’un système donné (démarrage, attente, fonctionnement normal, arrêt normal, arrêt d’urgence, etc.). Elle peut également être employée dans le processus et les séquences de fabrication par lot et en régime instable, ainsi que dans les séquences continues. L’étude HAZOP peut être considérée comme une partie intégrante du processus global de bonne ingénierie et de la gestion du risque.
A / Relation avec d’autres outils d’analyse
L'étude HAZOP peut être utilisée en combinaison avec d’autres méthodes d’analyse de la sûreté de fonctionnement, telles que l’analyse des modes de défaillance, de leurs effets et criticité (AMDEC) et l’analyse par arbre de panne (AAP). De telles combinaisons peuvent être utilisées dans les situations exposées ci-dessous :
L’étude HAZOP indique clairement que les qualités de fonctionnement d’une entité spécifique de l’équipement sont critiques et doivent être examinées en profondeur. Dans ce cas, il est avantageux de compléter l’étude HAZOP par une AMDEC de cette même entité. À la suite de l’étude HAZOP des déviations par élément ou par caractéristique, il est possible d’analyser l’effet de déviations multiples ou de quantifier l’éventualité des défaillances en utilisant une AAP.
L’étude HAZOP est une approche centrée essentiellement sur le système, contrairement à l’AMDEC qui est centrée sur la composante. En effet, l’AMDEC part d’une défaillance possible d’une composante, pour étudier ensuite les conséquences de cette défaillance sur l’ensemble du système. L’étude est donc uniquement dans le sens cause à effet. Ce concept diffère de celui d’une étude HAZOP qui commence par identifier les déviations possibles par rapport à l’intention de conception et, à partir de là, procède dans deux directions, l’une pour chercher les causes possibles de la déviation et l’autre pour en déduire les conséquences.
B / Limites de l’étude HAZOP
Bien que les études HAZOP aient fait preuve d’une extrême utilité dans différents milieux, la technique a des limites dont il faut tenir compte dans le choix de son application :
L’étude HAZOP est une technique d’identification des dangers qui examine méthodiquement les effets des déviations sur chaque partie. Parfois, un danger provient d’une interaction entre un certain nombre de parties du système. Ceci impose une étude plus détaillée du danger, faisant appel à des techniques telles que l’analyse par arbre d’événements ou l’analyse par arbre de panne. Comme pour toute technique d’identification de dangers ou de problèmes d’exploitation, il n’y a aucune garantie que l’étude HAZOP identifie tous les dangers ou tous les problèmes d’exploitation. Par conséquent, il est préférable que l’étude d’un système complexe ne repose pas uniquement sur une étude HAZOP. En général, cette technique est utilisée en combinaison avec d’autres techniques appropriées au système étudié. Il est essentiel d’intégrer d’autres études pertinentes pour obtenir un système efficace de gestion des risques. Un grand nombre de systèmes sont étroitement liés entre eux et une déviation dans l’un d’eux peut avoir une cause ailleurs. Une intervention locale appropriée peut ne pas cibler la cause réelle et ne pas empêcher un accident de se produire ultérieurement. Beaucoup d’accidents se sont produits à la suite de modifications locales mineures dont les effets par contrecoup ailleurs n’avaient pas été prévus. Bien qu’il soit possible de remédier à ce problème en reportant les implications des déviations d’une partie à une autre, ceci n’est souvent pas réalisé dans la pratique. Le succès d’une étude HAZOP dépend en grande partie de la capacité et de l’expérience du chef d’étude, de la connaissance des membres de l’équipe ainsi que de leurs interactions. L’étude HAZOP ne considère que les parties qui apparaissent sur les plans de conception. Les activités et les opérations qui n’y apparaissent pas ou qui ne sont pas mentionnés par les membres de l’équipe ne sont pas prises en compte.
Le principe de la méthode HAZOP est l’utilisation de « mots guides » pour effectuer une recherche systématique des déviations par rapport à l’intention de conception. Pour faciliter l’examen, un système est divisé en parties (sous-systèmes, aussi appelés « nœuds ») de telle sorte que l’intention de conception puisse être définie de manière adéquate pour chacune d’elles. La taille de la partie choisie varie selon la complexité du système et la sévérité du danger. Elle est petite pour les systèmes complexes ou pour ceux qui présentent des dangers importants. Pour les systèmes simples ou pour ceux engendrant des faibles dangers, l’utilisation de grandes parties réduit le temps d’étude. L’intention de conception pour une partie d’un système est formulée sur la base des éléments qui possèdent les caractéristiques essentielles de la partie et en représentent les divisions naturelles. Le choix des éléments à examiner est, dans une certaine mesure, une décision subjective puisqu’il existe plusieurs combinaisons menant au but recherché. Les éléments du système peuvent être des étapes ou des phases discrètes d’une procédure, des signaux individuels et des entités d’un système de commande, un équipement ou des composantes d’un processus ou d’un système électronique, etc. La figure 11 illustre le déroulement d’une étude HAZOP.
Il est important de bien identifier l’origine, la fonction et la sortie du nœud, par exemple selon les termes suivants :
matériau d’entrée provenant d’une certaine source; operation sur un matériau; produit(s) de sortie transporté(s) vers une destination.
L’intention de conception d’un nœud contiendra donc les éléments suivants : matériaux, activités, sources et destinations, qui peuvent être considérés comme éléments du nœud. Il est aussi utile de définir les éléments en termes de caractéristiques quantitatives ou qualitatives. Par exemple, dans un système chimique, l’élément « matériau » peut être défini en termes de caractéristiques telles que la température, la pression et la composition. Pour l’activité « transport », des caractéristiques telles que la vitesse de déplacement ou le nombre de passagers peuvent être pertinentes. Pour les systèmes informatiques, les informations plutôt que les matériaux seront prises en considération dans chaque partie.
L’équipe HAZOP examine chaque élément (et, le cas échéant, sa caractéristique) pour y rechercher les déviations par rapport à l’intention de conception susceptibles d’entraîner des conséquences indésirables. Pour identifier ces déviations, elle emploie un système de questions dans lequel interviennent des « mots guides » prédéfinis. Le rôle d’un mot guide est de stimuler l’imagination, de focaliser l’étude et de soulever des idées et des discussions, de façon à augmenter les chances de réalisation d’une étude complète. Les principaux mots guides et leurs significations sont présentés dans le tableau 5.
Tableau 11 - Principaux mots guides avec leur signification générale
D’autres mots guides relatifs au temps, à un ordre ou à une séquence sont également définis dans le tableau 6.
Tableau 12 - Mots guides relatifs au temps ou une séquence