Principe de l’approche MADS
Principe de l’approche MADS
Cette approche et le modèle systémique qui lui est associé ont été développés par une équipe de recherche de l’Université de Bordeaux I en collaboration avec des ingénieurs du CEA.
L’approche
MADS (Méthodologie d’Analyse des Dysfonctionnements dans les Systèmes) a pour objet d’appréhender les
événements non souhaités (
ENS) caractérisés comme les « dysfonctionnements susceptibles de provoquer des effets non souhaités sur l’individu, la population, l’écosystème et l’installation »
. La
Méthode Organisée Systémique d’Analyse des Risques (MOSAR) développée par Périlhon est l’outil qui est associé à cette approche. L’approche s’appuie sur une vision systémique du système considéré
.
Cette approche est basée sur le modèle de processus de danger, représenté ci-dessous, qui a pour objet de décrire l’enchaînement des événements conduisant à une situation dangereuse. Le processus relie les processus sources de danger aux processus susceptibles d’être affectés au niveau de la cible. La liaison s’effectue par l’intermédiaire d’un flux de danger (matière, énergie, information) orienté de la source vers la cible. Sources, cibles et flux sont immergés dans un champs de danger qui peut influencer l’état du système source mais également l’effet sur les cibles et le flux.
De manière générale, les sources de danger sont systématiquement présentes dans l’environnement. Fort heureusement, il y a beaucoup moins d’accidents qu’il n’y a de sources de danger. Celles-ci sont donc souvent présentes à l’état latent. Seule leur activation peut conduire à une situation accidentelle. L’événement initiateur peut être considéré comme la cause de l’activation de la source de danger qui se traduit par l’occurrence d’un événement initial générateur d’un flux. Ce flux peut être un flux d’énergie, de matière et d’information. Il provoque un événement terminal qui peut avoir un impact sur les cibles exposées (individu, population, système technique, environnement) conduisant à des effets divers. Il faut qu’il y ait présence simultanée dans l’espace et le temps (champ de danger) d’une source de danger, d’un événement initiateur, d’un événement initial et d’une ou plusieurs cibles, pour que le processus de danger puisse se réaliser.
Exemples de processus de danger
Considérons comme source de danger, une bouteille contenant un gaz toxique : le monoxyde de carbone CO. La finalité du contenant (bouteille) est de maintenir confiné le contenu (gaz monoxyde de carbone). Un des dysfonctionnements redoutés pour cette bouteille est la perte de confinement du CO (non atteinte de la finalité du système). L’événement initial est donc, pour ce système, la rupture de confinement. Les événements initiateurs possibles peuvent être multiples : choc, corrosion interne, corrosion externe, par exemple. Différents flux caractérisent ce processus de danger : flux de matière (gaz), flux d’énergie (énergie cinétique), flux d’information (bruit). L’événement terminal est la présence de CO dans l’atmosphère avec un effet toxique sur les cibles (individu, population).
Un processus de danger qui prend une source de danger de l’environnement naturel est présenté ci-dessous.
Des scénarios couplant plusieurs processus peuvent être construits en utilisant ce modèle. Le couplage entre processus s’effectue entre événements terminaux et événements initiateurs. La conséquence d’un processus peut être la cause d’un autre processus.
Comme décrit sur le schéma précédent, les notions d’aléas et de vulnérabilité peuvent être définies par rapport au modèle du processus de danger. L’aléa est constitué d’une chaîne causale qui va de l’événement initiateur (fortes précipitations dans ce cas) à l’événement terminal (inondation). Les enjeux et la vulnérabilité concernent les cibles exposées (usines dans ce cas). L’événement déclencheur ou événement initial est dans ce cas le débordement du cours d’eau.
Quantification des risques
Le processus de danger peut être également évalué quantitativement :
-
en terme de probabilité :
Il est nécessaire d’avoir concomitance des différents événements constituant la chaîne causale entre événement initiateur et événement terminal pour que l’ENS se produise. Pour l’exemple du processus de danger sur le cours d’eau, la probabilité que l’enchaînement des événements conduise à un impact sur les cibles est la suivante si les fortes précipitations peuvent être considérées comme seul événement initiateur :
P(Impact sur les cibles)=P(EI1)xP(SD)xP(ED)xP(F)xP(ET)
Ces niveaux de probabilité sont souvent évalués à partir de l’analyse du retour d’expérience (analyse des événements non souhaités s’étant produits dans des conditions identiques).
-
en terme de gravité :
Des modèles déterministes permettent d’estimer les niveaux de gravité. Ils représentent l’effet sur les cibles des effets terminaux des processus de danger activés. Ces modèles dépendent bien évidemment de la typologie du risque considéré. A titre d’exemple, différents modèles permettent de simuler les effets d’un incendie, d’une explosion ou de dispersion de polluants dans le domaine des risques technologiques.
Dans la plupart des analyses de risque, des niveaux discrets de probabilité et de gravité sont définis. Un exemple de grille de criticité est donné ci-dessous. Le nombre de niveaux de gravité et de fréquence ainsi que les domaines de risques acceptables, tolérables et inacceptables sont définis par les acteurs de l’étude avant de débuter les processus d’identification et d’analyse des risques.
Les niveaux de fréquence sont caractérisés par un indice qui représente une valeur de probabilité ramenée à une unité qui peut être une durée de référence (par an, par jour, par heure) ou à une sollicitation (défaillance dans la mise en fonctionnement d’un système).
Les conséquences de l’
ENS sont caractérisées par l’indice de gravité avec, par exemple, pour les deux indices extrêmes :
-
Indice 1 : Conséquences mineures. Pas de blessure de personnes. Inconfort dans le travail (bruit, odeurs, éclairage insuffisant, vibrations, …). Destruction de biens ne mettant pas en cause l’intégrité ou la mission du système.
-
Indice 5 : Conséquences catastrophiques. Plusieurs personnes blessées grièvement, ou mort d’un ou plusieurs individus. Pollution de l’environnement par émission importante ou répétée d’un produit de toxicité élevée. Destruction complète du système.
Extension de l’application de MADS vers les sphères économiques, juridiques, organisationnelles
Le modèle MADS est essentiellement appliqué aux systèmes techniques. La prise en compte du facteur humain et des défauts d’organisation n’était pas prévue initialement. De récents travaux, qui avaient pour objet de développer une méthode d’analyse globale des risques en entreprise
ont permis d’étendre l’utilisation de la méthode MADS-MOSAR aux sphères économiques, juridiques, organisationnelles et environnementale.