Management des risques

industriels

Déploiement de la Sureté de Fonctionnement:

Notions, Méthodes, Cycle de Vie

Pr. [Link]
 Qu’est-ce qu’un risque ?
 La manière de considérer et de traiter les risques a-t-elle changé dans le
temps ?
 Quels sont les risques dans l'entreprise ? typologies possibles ?
 Quels sont les risques à traiter en priorité ? Comment hiérarchiser les risques
? Quels critères d'inacceptabilité d'un risque ?
 A quels nouveaux risques l’entreprise fait-elle face aujourd'hui ?
 Les risques sont-ils forcément mauvais ? Y a-t-il des situations dans
lesquelles il peut être favorable de s’exposer à des risques ?
 Quelle est, selon vous, la personnalité des entrepreneurs (ex : start up) ? Et
quelle devrait-elle être selon vous ?
 Peut-on éliminer les risques ou du moins certains risques ?
 Quelles sont les différentes stratégies de gestion des risques ?
 Qu’est-ce que l’assurabilité ? Tous les risques sont-ils assurables ? Et sinon,
pourquoi ?

2
 La manière de considérer et de traiter les risques a-t-elle changé dans le
temps ? Identifiez-vous des points de rupture ?
 Quels sont les risques dans l'entreprise ? typologies ?
 Quels sont les risques à traiter en priorité ? Comment hiérarchiser les risques
? Quels critères d'inacceptabilité d'un risque ?
 A quels nouveaux risques l’entreprise fait-elle face aujourd'hui ?
 Les risques sont-ils forcément mauvais ? Y a-t-il des situations dans
lesquelles il peut être favorable de s’exposer à des risques ?
 Peut-on éliminer les risques ou du moins certains risques ?
 Quelles sont les différentes stratégies de gestion des risques ?
 Qu’est-ce que l’assurabilité ? Tous les risques sont-ils assurables ? Et sinon,
pourquoi ?

3
 Quelles sont les étapes d’une gestion des risques réussie ?
 Comment savoir si une action de gestion des risques est efficace ? Quels
types de risques mettent en jeu le facteur humain dans l’organisation ?
 Quels sont les risques en matière de GRH ?
 Le recrutement est-il source de risques ? Lesquels ?
 Y a-t-il de nouveaux risques en matière de GRH ? Lesquels ?
 Le management est-il source de risques ? Lesquels ? Quel type de
management privilégier et pourquoi ?
 Selon vous, un manager doit-il être plutôt averse au risque ou plutôt joueur ?
 Lors de la mise en place d’un changement organisationnel, comment limiter
les résistances à ce changement ?
 Y a-t-il de nouveaux facteurs de risques en matière de dommages aux
personnes dans l’entreprise aujourd’hui ?
 Pourquoi certains individus prennent-ils sciemment des risques dans leur
activité professionnelle ?
 Tout le monde perçoit-il les risques de la même façon ? Sinon, pourquoi ?

4
INTRODUCTION A LA CINDYNIQUE

Cindyniques ou sciences de danger:

Les ≪ Sciences de danger ≫ sont une
discipline a part entière. Il s’agit d’un
domaine scientifique horizontal et non
vertical, c’est à dire plongeant ses racines
dans toutes les disciplines existantes.
Historique
 Approche Cindynique
La cindynique peut se définir comme la science visant à maîtriser les
dangers en développant et en exploitant les outils, les méthodes et les
techniques propres à améliorer et à optimiser la sécurité.

C'est une discipline à part entière qui évalue et tente de prévenir les
dangers induits par une activité.

Dans le domaine des risques, ce que l ’on cherche, c’est bien de les éviter.

Dans cette volonté de maitrise des risques, une partie traite des activités
de Sureté de Fonctionnement ou FMDS (Fiabilité, Maintenabilité,
Disponibilité, Sécurité).
Leur objectif est de répondre aux questions :

 comment identifier le risque ? (y compris via les signaux

faibles ou signaux précoces)

 comment le mesurer ?

 quelles en sont les conséquences?

 comment le contourner ?

 comment le prévenir ?
 Approche Cindynique / Approche Système

•Prendre une décision c’est prendre un risque

• Le “risque nul” n’est pas atteignable

•Un système est un ensemble d’éléments matériels, humains,

logiciels, informatifs en interaction pour remplir une (des) mission(s)
dans un environnement de référence.
 Approche Cindynique / Approche Système
Pour comprendre et prévenir les accidents et grandes catastrophes la
démarche cindynique se développe autour de 2 axes :

• définir le système le plus global possible rendant compte d'une activité

humaine, de la façon dont elle est organisée, conduite et contrôlée ; (Système +
Environnement + Conception + Management durant et après conception …)

• identifier dans ce système les déficits expliquant les erreurs commises (ou
pouvant être commises) par le système dans son ensemble.
 Hyperespace Cindynique

Hyperespace du danger
 Hyperespace Cindynique

Recherche des écarts / déficits

 Hyperespace Cindynique

Recherche des dissonances

 Vocabulaire du Risque
Danger :
Situation susceptible d'engendrer des événements indésirables.

Risque :
Mesure du niveau de danger, fonction de la probabilité d'occurence de l‘évènement
indésirable et des conséquences (gravité) de cet événement.

Sécurité :
- Absence de circonstances susceptibles de conduire a des dégâts humains ou matériel
(USA).
- Ensemble des actions destinées a assurer la protection des personnes et des biens contre
les dangers, nuisances ou gênés susceptibles d‘être provoquées par les installations ou lors
du transport de matières dangereuses (UE).
- Protection contre les événements fortuits (sinistres, catastrophes naturelles) et secours
aux personnes et aux biens affectes par ces événements (sécurité civile) .

Sureté :
- L’ensemble des mesures a prendre dans les installations ou lors du transport de matières
dangereuse en vue d’éviter les accidents et de minimiser leurs effets (UE)
- Ordre public, protection contre la malveillance (police, gendarmerie) .
 Vocabulaire du Risque
Dans le domaine des systèmes :

Sécurité :

Aptitude d’une entité à éviter de faire apparaitre, dans des

conditions données, des événements critique ou catastrophique.

Sureté ≪ de Fonctionnement ≫:

Aptitude d’une entité à satisfaire a une ou plusieurs fonctions

requises dans des conditions données.
 Le Risque

Le risque est la mesure du danger

Déficits systémiques cindynogènes
Déficits systémiques cindynogènes
Déficits systémiques cindynogènes
 Analyse d’accident : Challenger
Chronologie des événements
Dans la nuit du 27 au 28 janvier 1986 : Des ingénieurs s'inquiètent du fait que le mercure est
maintenu en dessous du point de congélation et annoncent que Challenger n'est pas prête
à endurer un tir dans ces conditions. Leur avis est ignore.
28 janvier 1986 : Il fait deux degrés sur l'aire de départ, alors qu'aucun décollage n'avait
jamais eu lieu en dessous de 9°C.
28 janvier 1986, 11h38 heure locale (heure H) : Décollage de Challenger
H + 8s : La navette se dirige vers l'Atlantique. ≪ Tout va bien ≫ déclare le commandant
Scobee depuis la navette.
H + 21s : Manœuvre de roulis terminée. Challenger s‘éloigne normalement de l'aire de
lancement.
H + 58s : La navette traverse une cellule orageuse d'une intensité jamais connue lors des
précédents vols.
Challenger est soumise a une pression énorme (3.5 tonnes de pression par mètre carré). Le
joint
de la fusée à poudre droite cède. Une flamme d'une température deux fois plus élevée que la
température de fusion de l'acier s'en échappe
H + 64.66s : La flamme a percé le réservoir d'hydrogène et s'y alimente.
H + 72.20s : Désintégration de la navette Challenger
A cette époque la Nasa venait de réaliser 24 missions sur une période de 57 mois 7 lancements
Columbia, 6 lancements Discovery, 2 Atlantis et 9 Challenger.
La Nasa industrialisait le rythme de ses lancements.
 Analyse d’accident : Challenger

Quels DSC sont mis en évidence dans cet accident?

• DSC 1 : culture d’infaillibilité,

• DSC 3 : non communication,
• DSC 7 : Absence de REX,
• DSC 5 : Subordination de la sécurité à la production,
• (DSC 4 : nombrilisme)
 LA SURETE DE FONCTIONNEMENT

Définition

Le but de la sureté de fonctionnement (dependability, SdF) est d’évaluer les

risques potentiels, prévoir l’occurrence des défaillances et tenter de minimiser
les conséquences des situations catastrophiques lorsqu’elles se présentent.

Définition de Laprie 89 : la sureté de fonctionnement d’un système

informatique est la propriété qui permet de placer une confiance justifiée dans le
service qu’il délivre.

Définition CEI 50(191) : Aptitude d’une entité à assumer une ou plusieurs

fonctions requises dans des conditions données.
 Approche

• Identifier les défaillances de la manière la plus exhaustive possible.

• Prioriser l’importance des risques qu’elles impliquent.
• D’un point de vue système il faudra prévoir les défaillances.
• Au cours de la vie du système il faudra savoir mesurer les défaillances
et capitaliser ces observations.
• Le but final étant bien sur de maitriser ces défaillances.

La SdF est ainsi qualifiée parfois de

≪ sciences des défaillances ≫.
 Les défaillances

Définition CEI 50(191) :

La défaillance est la cessation de l’aptitude d’une entité à accomplir une fonction

requise.

La défaillance est un événement, il est donc présenté ou non et peut se combiner

avec un ou plusieurs événements.

La définition précédente implique la connaissance de la fonction requise et la

définition de sa cessation.

Plusieurs classifications des défaillances sont alors possibles.

 Classification des défaillances
Par la rapidité d’apparition :

Par date d’apparition :

 Classification des défaillances
Par les effets :

Défaillance mineure : nuit au bon fonctionnement en causant un dommage négligeable

au système ou a son environnement. Pas de risque humain.

Défaillance significative : nuit au bon fonctionnement sans dommage notable. Pas de

risque humain important.

Défaillance critique : perte de ou des fonctions essentielles du système. Dégâts

important au système ou son environnement. Pas de risque motel ou de blessure pour
l’homme.

Défaillance catastrophique : perte de ou des fonctions essentielles du système. Dégâts

important au système ou son environnement. Risque mortel ou de blessures graves pour
l’homme.
 Classification des défaillances
Par les causes :

• défaillance primaire (ou première) d’une entité: dont la cause directe ou

indirecte n'est pas la défaillance d'une autre entité.

• défaillance secondaire (ou seconde) d’une entité : dont la cause directe ou

indirecte est la défaillance d'une autre entité. L'entité devenant alors indisponible
(nécessité de réparation) après disparition de la cause.

• défaillance par (de) commande d’une entité: dont la cause directe ou

indirecte est la défaillance d'une autre entité, mais elle redevient disponible après
disparition de la cause.

Ceci implique que l’on recherchera la cause de la défaillance

 De la faute à la défaillance
• Faute : cause interne de la défaillance
• Erreur : manifestation interne (signal/état incorrect)
• Défaillance : service rendu incorrect
• Conséquence : manifestation externe

La faute peut être introduite par le concepteur, l’utilisateur ou

l’environnement. Elle rend l’entité imparfaite.
 Classification des fautes

On peut donner quelques critères de classification des fautes :

- Accidentelle - Intentionnelle
- Physique - Humaine
-Interne – Externe
- Active (qui produit une erreur) - Dormante
- Douce - Dure
- Permanente - Temporaire /
Transitoire
- Opérationnelle - De conception
Les composantes de la SdF
 CYCLE DE REALISATION DES ANALYSES DE SDF
Cycle d’analyse SdF traditionnel
CYCLE DE REALISATION DES ANALYSES DE SDF
CYCLE DE REALISATION DES ANALYSES DE SDF
 A ce cycle traditionnel il convient d’ajouter :
La gestion du Retour d’Expérience (REX),

Les itérations à travers les niveaux de granularité (système, équipements,

composants, composants unitaires)

Les itérations entre analyses de SdF (mise a jour d’événements redoutés, de

Mode de défaillance …).

Ce cycle prend aussi des formes différentes suivant s’il est appliqué à un
système existant ou en cours de conception
La gestion des connaissances durant le Cycle d’analyse de
SdF
Les outils de la SdF
ANALYSE PRELIMINAIRE DES RISQUES
 Objectifs
L’objectif général est d’évaluer les problèmes à résoudre en matière
de maitrise des risques :
• Rendre compte des risques sur le système,
• Dimensionner les efforts d’études et de réduction des risques,
• Localiser les points critiques du système.
Attendus :
• Identifier l’ensemble des ER et leurs scénarios associés,
• Objectifs de SdF sur les fonctions/architecture,
• Préconiser des mesures de contrôle du risque.
Cas d’emploi:
• Projet multi acteurs,
• Présence d’exigences de sécurité,
• Systèmes complexes,
• Forte influence/interaction avec l’environnement.
 Piloter la SdF

Evaluer les risques pour :

• Entériner les décisions d’approfondir ou clore les investigations de

SdF,
• Fixer les performances de SdF attendues (limites supérieures et
inférieures),
• Canevas du suivi des ER,
• Préparation de la documentation d’un dossier de sécurité,
• Justifier certaines décisions techniques (ex. ajout de redondances).
 Mise en place
• L’APR adopte une démarche inductive dont la réalisation adopte Trois
phases principales :
Identification des dangers et événements redoutés,
Evaluation et classement des risques associés,
Propositions de mesure de couverture des risques.
• L’APR doit être utilisée le plus tôt possible dans le cycle de vie et doit
ensuite être mise à jour au fil de l’avancement de la conception et des
études de SdF.
• L’APR doit être précédée d’une définition du système et de son
environnement :
Les fonctions à remplir par le système (analyse fonctionnelle),
Comment le système va vivre, être utilisé (profil de mission /phases de
vie),
La description et la délimitation du système (arborescence technique,
organisation industrielle et schéma d’architecture et des interfaces).
• L’APR peut s’effectuer des la phase exploratoire :
Dès que l’on connait les fonctions a remplir par le système,
Dès que l’on connait les grands choix technologiques
 Mise en place
L’APR peut prendre des formes variées suivant les domaines
technologiques et les objectifs de l’études.

On peut distinguer APR et APD (Analyse Préliminaire de Danger).

Dans le second cas seule la gravité est étudiée.

Elle est effectuée en groupe de travail :

Par le responsable Qualité (ou Assurance Produit) du projet en liaison

avec le
Chef de projet,
L’Ingénieur Système,
Les responsables techniques des sous-systèmes,
Le document résultant est diffuse à l’ensemble du Projet.