L'Arbre d'investigation : les "questions partitionnantes"

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

L’Arbre d’investigation, les "questions partitionnantes"

Investigation Tree, “Partitioning questions”

Jean-Yves Lehman Pascal Sudret, Hervé Challiol, Société : JY Lehman Société : Air Liquide France Industrie Adresse : 7 rue Béranger 75003 Paris Adresse : 152 av Aristide Briand 92220 Bagneux Tél : 0686306037 Tél : 0620289275, 0616761386 e-mail : [email protected] e-mail : [email protected],

e-mail : [email protected]

Résumé : L’Arbre d’investigation propose une démarche strictement déductive pour identifier les causes profondes d’un accident ou incident industriel réel lorsque leur nécessité n’est pas évidente et lorsqu’elles n’ont pas encore été rencontrées ou répertoriées dans le retour d’expérience. Les investigations motivées par la maîtrise des risques se doivent de tirer de chaque accident industriel, qui est par nature singulier, tous lesenseignements utiles à la prévention efficace des mécanismes qui l’ont provoqué.

Summary: The Investigation Tree offers a strictly deductive approach to identify the deep causes of an industrial accident or incident when their necessity is not obvious and when they have not been encountered yet or inventoried by the industry. In order to prevent the recurrence of similar mechanisms in the future, investigations driven by the will of controlling risk must draw all useful teachings from each accident, as industrial accidents are singular by nature.

1 OBJECTIF Cette publication a pour objectif de présenter une méthode d’investigation d’accident

progressivement développée au sein de L’Air Liquide au cours des vingt dernières années. Elle est illustrée par un exemple vécu, celui de l’investigation d’un événement rare survenu sur unecanalisation de transport de gaz.

2 CONTEXTE Le défi est de comprendre en profondeur les causes de l’événement survenu afin d’en tirer tous

les enseignements qui permettront d’éviter de reproduire les mêmes mécanismes. Les accidents industriels sont par nature singuliers, il est donc indispensable de tirer de chacun d’eux le maximum de retour d’expérience concernant la sécurité alors que les moyens consacrés à ces investigations sont inévitablement limités.

Nous avons tenté de dépasser les limites particulières de deux méthodes d’analyse, l’Arbre descauses (AdC) et la méthode de l’Arbre de défaillance (AdD), qui procèdent toutes les deux pardéduction des effets vers leurs causes. Nous avons appelé notre méthode « l’Arbre d’investigation ». Il utilise ce que nous appelons des « Questions partitionnantes ».

La méthode proposée emprunte à la fois à l’Arbre des causes [1], à l’Arbre de défaillance [2] et à l’Arbre fonctionnel [3] leurs recherches respectives de l’objectif d’exhaustivité.

3 L’ARBRE D’INVESTIGATION, LES QUESTIONS PARTITIONNANTES

3.1 L’emprunt à la méthode de l’arbre des causes Le point de départ est l’examen des limites des méthodes usuelles.

3.1.1 Le b.a.-ba : La méthode de l’Arbre des causes, ses limites et ses surprises Pour les accidents du travail l’outil le plus répandu, et recommandé par les organismes de

sécurité du travail est l’Arbre des causes, en anglais Root Cause Analysis. En France, l’INRS, l’Institut National de Recherche et de Sécurité, dit dans son manuel : « Les

faits sont reliés par trois types de liens logiques : enchainement, conjonction et disjonction. ».

Il est intéressant de traduire chacun de ces mots dans le langage de l’Arbre de défaillance :

Communication 5C /2 page 1/10

mailto:[email protected]


Arbre des causes Arbre de défaillance Enchainement Lien logique Conjonction Porte-ET Disjonction Cause commune

L’Arbre des causes se limite à des mots de la langue courante : enchainement et conjonction et

présente donc le très grand avantage pédagogique de ne pas faire appel à l’algèbre de Boole. Il utilise des liens logiques "fourchus" et orientés par des flèches dans le sens des causes vers leurs effets. Les liens de l’Arbre de défaillance n’ont que deux extrémités et ne sont orientés que par la convention graphique qui place toujours les causes au-dessous de leurs effets.

L’expérience montre que la méthode de l’Arbre des causes devient inappropriée lorsque l’accident est complexe car la profondeur des racines mises en évidence se révèle alors radicalement insuffisante pour poursuivre l’analyse, au risque de devenir un simple outil de reporting.

Pour le vérifier on peut commencer à construire l’arbre des causes de l’accident que nous avons choisi comme exemple (éclatement d’une canalisation de transport de gaz enterrée sans fuite préalable), en utilisant exclusivement la méthode de l’Arbre des causes, mais nous avons utilisé une représentation de haut en bas à la manière d’un Arbre de défaillance (les puristes nous pardonneront).

Amincissement de la paroi jusqu'aux conditions de rupture dans les conditions de service

Canalisation en service

Propagation rapide de la rupture en zone d’épaisseur normale

Éclatement de la canalisation sans fuite préalable observée

ET

Instabilité mécanique de la structure dans les conditions de service et dans l’état qui était le

sien juste avant l’incident

Rupture locale

Pas de perforation traversante dans la zone de rupture avant l’incident

Faciès "lisse"

Corrosion externe

Corrosion externe avec faciès lisse

ETET

Aucune fuite assez importante et durable pour être observée à temps

Cause commune

Cause commune

Irrégularités de surface < 0,5mm

Aucun signe annonciateur de l’imminence d’une

rupture totale

Figure 1: Arbre des causes de l’évènement survenu de notre exemple

A l’issue cet essai de la méthode de l’Arbre des causes, on constate : 1) que la notion de porte-OU est totalement étrangère à l’ADC, 2) que, comme prévu, on n’est pas arrivé très loin, c’est dire que, contrairement à une idée

induite par l’appellation "cause racine", induite par d’autres méthodes (le "Cinq pourquoi" mal interprété et la Root Cause Analysis, RCA), les racines de l’arbre obtenu sont bien courtes,

3) qu’on a osé énoncer quelques lapalissades importantes qui ont permis de ne pas omettre que la canalisation était sous pression au moment de l’éclatement,

4) qu’on a été incité à mettre en évidence des causes communes, 5) et qu’on a utilement précisé la définition de l’évènement sommet.



Mais en s’arrêtant plus longtemps sur ces constats, on prend aussi conscience que notre arbre a deux "causes racines" et seulement deux. Et, bien qu’on n’ait encore pas réussi à les développer, elles contiennent implicitement toutes les causes possibles de l’évènement survenu. Pout trouver ces dernières, il suffit donc de développer indépendamment les ramifications de ces deux racines pour trouver toutes les causes plus profondes, quelles que soient leurs natures (techniques, organisationnelles, psychosociales, environnementales, etc.).

On voit aussi que l’analyse s’est arrêtée lorsqu’on a épuisé les causes "évidentes" dont les conjonctions sont à la fois nécessaires et suffisantes et qui sont donc accessibles au moyen d’une simple cascade de conjonctions (ou de portes-ET). La méthode ne fournit aucun moyen de creuser plus profond du fait de la limitation de son questionnement.

La recherche exclusive des causes nécessaires et suffisantes a eu pour effet de réduire massivement le nombre des évènements à considérer dans la suite de l’investigation, et donc de limiter la quantité de travail à accomplir pour atteindre la profondeur requise. Comment conserver maintenant l’avantage capital qui résulte de la démarche strictement déductive suivie dans cette première étape au moment où il faut aller plus loin, c’est-à-dire identifier des causes suffisantes sans être nécessaires ou des causes nécessaires non évidentes ?

3.2 L’emprunt à la méthode de l’Arbre de défaillance : le secret de son exhaustivité Comment s’y prend donc l’Arbre de défaillance pour ne rien oublier sous une porte-OU ?

La difficulté a été bien identifiée par les inventeurs de l’Arbre de défaillance et on en voit la trace dans le Fault Tree Handbook.

D’abord dans l’édition de 1981 (NUREG-0492), fig. 2 :

Figure 2 : Porte-OU de l’Arbre de défaillance

L’affirmation que « la causalité ne peut pas traverser une porte-OU » est soulignée dans le document lui-même. Il faut bien admettre qu’elle ne coule vraiment pas de source car il n’est pas précisé qu’il s’agit seulement de la causalité descendante, des effets vers leurs causes, et non l’inverse.

Cette affirmation n’est d’ailleurs pas reprise dans l’édition de la NASA en 2002. Cette dernière introduit cette même figure IV-3 en disant : “Inputs to an OR-gate are restatements of the output but are more specifically defined as to cause or to specific scenario” et elle précise en note que les entrées de la porte OU sont des subevents (sous-évènements). Sa figure IV-4 ajoute que chacun d’eux “is still a restatement (répétition) of the output event”. Ces sous-évènements ou répétitions apparaissent malheureusement dans des symboles « évènement » alors qu’ils sont d’une toute autre nature.



Les choses deviennent plus claires dans le sous-chapitre suivant :

4.2 Component Fault Categories: Primary, Secondary, and Command It is useful for the fault tree analyst to classify faults into three categories: primary, secondary and command. A primary fault is any fault of a component that occurs in an environment for which the component is qualified..... A secondary fault is any fault of a component that occurs in an environment for which it has not been qualified.... Because primary and secondary faults are generally component failures, they are usually called primary and secondary failures. A command fault in contrast, involves the proper operation of a component but at the wrong time or in the wrong place...

Et l’édition NASA 2002 ajoute : Oftentimes, the analyst doesn’t think of these fault categories when constructing a FT. Secondary failures may, for example, not be included under a tacit assumption that only primary failures and design conditions are considered. However, there has been many a FT constructed that inadvertently omitted one or more of these faults due to shortcut thinking. Even if the analyst doesn’t explicitly use these categories, they serve as a useful checklist to assure that the FT is complete in its coverage of the different types of faults.

Ce dernier paragraphe reflète le chemin parcouru par les auteurs entre 1981 et 2002. Le secret de l’exhaustivité des arbres de défaillance se trouve donc dans la "checklist" des catégories de défaillances : il suffit, qu’à chaque pas, l’analyste examine successivement et soigneusement ces catégories de défaillances pour que son analyse soit exhaustive. En outre, à chaque pas, les défaillances possibles entrant dans chacune de ces catégories de l’analyse sont suffisamment peu nombreuses et évidentes pour qu’un analyste aguerri puisse les identifier toutes sans en oublier une seule. C’est de cette expérience d’exhaustivité que témoignent les auteurs du Fault Tree Handbook.

Puisque ces trois catégories ne résultent que de la seule notion de défaillance, la checklist est invariable.

Mais, si l’on reprend notre arbre de causes « aménagé » ci-dessus, on s’aperçoit que les causes identifiées ne se limitent pas du tout à des défaillances c’est-à-dire à des dysfonctionnements et que l’Arbre de Défaillance seul ne répond pas à notre exigence d’exhaustivité.

Il faut remarquer que ces catégories de défaillances constituent une "partition" de l’ensemble de toutes les défaillances immédiates possibles capables de causer une défaillance élémentaire donnée. C’est donc finalement cette notion de partition de l’ensemble de toutes les défaillances possibles qui permet à la nécessité (et non à la causalité) de franchir les portes-OU dans le sens descendant.

Il se trouve que, dans le chapitre B-5 de son annexe sur les probabilités consacré au théorème

de Bayes. Le Fault Tree Handbook définit et illustre bien la notion de partition de l’ensemble de toutes les causes possibles d’un évènement.

Figure B-7 portrays a partitioning of the universal set Ω into subsets Al, A2, A3, A4 and A5.



Figure 3 : Représentation d’une partition de l’ensemble universel Ω

Les sous-ensembles A1 à A5 constituent une partition parce qu’ils couvrent l’ensemble universel des possibles sans laisser aucun vide. Pour examiner exhaustivement tout l’ensemble universel Ω des causes possibles qu’on ne connait pas, il suffit donc d’examiner successivement chacun des sous-ensembles ou catégories de causes possibles A1 à A5 de l’ensemble des causes Ω.

Ce moyen de franchir une porte-OU est très général et il peut donc s’appliquer à la recherche de n’importe quelle sorte de cause immédiate possible, qu’elle soit une défaillance ou non. Mais cette extension a un coût car elle entraine que les catégories à utiliser pour chercher des causes possibles quelconques ne seront plus invariables tout au long de l’arbre. C’est à ce moment qu’interviennent les questions partitionnantes pour les identifier :

1) Les catégories pourront changer à chaque pas et elles pourront ne pas se trouver sur le chemin causal ;

2) Pour que le raisonnement soit clair, elles devront figurer explicitement dans l’arbre avec un symbolisme exprimant qu’il ne s’agit pas d’évènements, mais en contrepartie leur affichage explicite assurera la traçabilité du raisonnement et sa critique ultérieure, et cette ouverture à la critique est encore une manière de se rapprocher de l’exhaustivité.

3) Le raisonnement ainsi mis à plat sera également utile pour justifier les conclusions et enseignements obtenus.

3.3 Les questions partitionnantes Elles sont l’application du deuxième précepte du Discours de la méthode de Descartes qui

prescrit de « diviser les difficultés pour les mieux résoudre », et du quatrième et dernier qui prescrit de « faire partout des dénombrements si entiers, et des revues si générales, que je fusse assuré de ne rien omettre ». Les catégories doivent couvrir l’ensemble de tous les possibles sans laisser aucun vide.

Elles sont l’outil qui permet de compléter le questionnement de l’Arbre des causes sans limiter les causes possibles à des dysfonctionnements comme le fait l’arbre de défaillance : elles partitionnent l’ensemble de tous les possibles. En reprenant les mots de Descartes, elles le divisent sans rien omettre1.

1 afin de pouvoir se concentrer et mobiliser tous ses moyens (raisonnement, imagination créativité, enquête, partage avec les autres, rédaction, représentation de ce qu’on peut imaginer : dessin; calculs, modélisation, abstraction , généralisation… etc.

L’arbre permet de se concentrer sur un détail tout le temps qu’il faut et d’y revenir plusieurs fois sans aucune crainte d’oublier tout le reste en étant sûr de pouvoir le retrouver immédiatement à tout moment et de ne pas perdre la



Une catégorie est quelque chose d’arbitraire qui est de l’ordre du classement. On peut classer selon des critères très variables. Les objets, donc les causes possibles, peuvent se ranger de multiples manières ou points de vue dont certains sont plus pertinents que d’autres vis-à-vis de la recherche en cours. Il existe un nombre incalculable de partitions possibles d’un ensemble, mais seul un petit nombre d’entre elles présente une utilité dans la recherche des causes immédiates possibles d’un effet donné.

Notre expérience conduit à conclure qu’une partition utile doit avoir du sens vis-à-vis de l’effet dont on cherche toutes les causes immédiates possibles. Autrement dit, elle doit parler au bon sens. Chaque question partitionnante propose une manière de structurer la recherche des causes immédiates possibles d’un effet en l’observant d’un point de vue particulier. Elles ont toutes la même structure : « Dans quelles catégories chercher les causes immédiates possibles d’un évènement élémentaire ? »

Exemples de questions partitionnantes

1) Quand les causes possibles peuvent-elles s’être produites ? En effet, le temps est unidimensionnel et se segmente très naturellement. Cette question peut se décliner de plusieurs manières : a. Dans quels intervalles de temps ? b. Pendant quelles phases ? Dans quelles phases de vie ? Avant, pendant ou après ?

2) Où ? a. Dans quelles zones ? (C’est la logique des MLD2): b. A l’intérieur de, à l’extérieur de ? autour de ? à l’extérieur tout court ? ailleurs ? c. Contre quoi ? à travers quoi ?

3) Par quels agents ? (C’est la logique de l’Arbre de défaillance) 4) Par quels phénomènes ?

a. par quels types de ? par quels genres de ? b. par quels processus ? par quels mécanismes ? (par quelles combinaisons de

phénomènes ?) 5) Critère quelconque

a. Si, sinon? b. Parmi les causes qui possèdent une propriété quelconque ou parmi celles qui ne la

possèdent pas ? Cette dernière question peut être déclinée sous une forme particulière : « Parmi les causes

possibles qui sont déjà répertoriées ou parmi celles qui ne le sont pas encore ? ». Elle peut surprendre mais elle est pertinente et importante lorsque l’inventaire des causes possibles résulte de l’expérience. En effet, il serait déraisonnable de ne pas commencer par utiliser le retour d’expérience, d’abord parce ce serait un travail inutile mais aussi et surtout parce que l’histoire a plus d’imagination que nous. Il faut donc commencer par se mettre à l’école des spécialistes compétents, des statistiques de la profession et de la littérature pour recenser ces causes déjà répertoriées et en comprendre les mécanismes. Mais la liste des causes déjà, répertoriées est empirique et n’a donc pas de raison d’être exhaustive vis-à-vis de l’effet considéré.

L’objectif d’une investigation est de couvrir l’ensemble des possibles vis à vis de cet effet considéré et d’examiner en particulier les causes pour lesquelles il n’existe pas encore de REX ou si peu qu’il peut ne pas être connu des spécialistes. Contrairement aux autres catégories de la méthode qui doivent être déclinées à la demande, la catégorie des causes inédites est invariable et

vue d’ensemble ni la mise en perspective des enjeux et des priorités. C’est cette liberté qui permet d’atteindre un très haut niveau d’exhaustivité dans la recherche de toutes les causes immédiates possibles d’un effet donné.

2 Master Logic Diagrams, Diagrammes logiques maîtres



incontournable chaque fois que le recensement des causes immédiates possibles s’appuie sur le retour d’expérience des accidents et incidents,

Nous pensons que la liste de ces questions n’est pas close et qu’elle doit rester ouverte. Elle

s’enrichit au fil des investigations. Et avec la pratique, leur déclinaison et leur combinaison en fonction des circonstances finit par devenir un jeu.

Nous avons maintenant réuni l’ensemble des moyens nécessaires à la réalisation d’une investigation structurée vis-à-vis de phénomènes complexes et non communs. L’arbre se construit au fur et à mesure de l’investigation et des résultats, mais il constitue toujours le point de départ d’actions, c'est-à-dire qu’il est toujours l’acte de réflexion avant l’action et ce à chaque étape de l’arbre.

3.4 La construction progressive de l’arbre La construction de l’arbre suit les étapes suivantes : 1) A chaque pas, c'est-à-dire avant de tracer un lien d’un effet à sa ou ses causes immédiates,

on commence par essayer le questionnement de l’AdC afin de bénéficier de son caractère strictement déductif. Mais dans les cas complexes, on butte sur des barrages que l’AdC est incapable de franchir, soit parce que les causes directes possibles ne sont pas toujours à la fois nécessaires, suffisantes et évidentes, soit parce qu’elles peuvent être suffisantes sans être nécessaires.

2) Alors, chaque fois qu’on est confronté à une telle difficulté, on l’attaque en choisissant une ou plusieurs questions partitionnantes pour classer les causes immédiates possibles en catégories. On peut le plus souvent éliminer en bloc une ou plusieurs de ces catégories.

3) Puis on recherche la totalité des causes immédiates possibles en concentrant successivement tout l’effort sur chacune des catégories restantes. Il peut arriver que cette recherche n’aboutisse pas à une cause concrète mais seulement à la nécessité d’un processus causal. Dans ce cas particulier, on poursuit la construction par analyse purement déductive pour trouver ce qui est nécessaire pour que ce processus puisse se réaliser. Puis, en passant au pas suivant, on recommence par utiliser le raisonnement déductif de l’arbre des causes, même si de telles nécessités ne sont pas des événements.

4) On s’efforce de réfuter chacune des causes ainsi recensées. Ces réfutations peuvent être immédiates ou non. Les raisons de ces décisions doivent être formulées sur l’arbre. - Les causes réfutées ne sont pas développées. - On poursuit immédiatement l’analyse des causes jugées possibles en passant au niveau

immédiatement inférieur. - On définit l’attitude à prendre vis à vis des causes restantes : estimation d’un degré

provisoire de vraisemblance, identification des informations à rechercher pour affiner cette estimation, identification des connaissances à acquérir pour aller plus loin, acquisition de ces connaissances, lancement des travaux nécessaires et en attendant, poursuite mesurée de la construction de ces causes restantes en fonction des degrés de vraisemblance estimés.

La description du processus d’analyse sous cette forme algorithmique ne doit pas cacher qu’il est lent et laborieux. Il implique non seulement des raisonnements mais aussi des actions très diverses qui impliquent d’assez nombreux acteurs différents, dont les résultats ne sont pas immédiats, qui peuvent être décevantes et qu’il faut assez souvent reprendre. Ceci demande à la fois de la confiance en soi et dans les autres, de l’énergie, de la ténacité et des facultés d’adaptation.

Chacune de ces étapes se répète chaque fois qu’elle est nécessaire jusqu’à identifier, pour les branches d’arbre conservées, les causes intéressantes, c’est-à-dire celles qui sont susceptibles de se reproduire et de justifier des actions de prévention. Chaque étape est documentée et justifiée à l’aide des outils vus ci avant : des morceaux d’arbres de défaillances, les questions partitionnantes,



les réfutations, les hypothèses, les actions etc. L’ensemble de la démarche intellectuelle de l’investigation est ainsi décrite dans l’arbre qui est la mémoire de l’investigation.

3.5 Développement de la racine Corrosion externe de notre exemple d’investigation Nous avons choisi cette racine parce que c’est celle qui comporte le plus d’inconnu et qui

illustre donc le mieux l’utilisation des questions partitionnantes. Les figures 4 et 5 suivantes illustrent la progression pas à pas de la construction de l’Arbre.

Voir figures 4 et 5.

Amincissement critique à faciès lisse par corrosion

externe, provoquant l’éclatement à la pression de

service

OU

Par l’oxygène dissous dans l’eau

liquide du sol

1

Par l’oxygène dissous par la condensation de la

vapeur d’eau de l’air du sol

Par des chlorures

Par des bactéries

Causes non répertoriées

Par de l’air humide dans une

cavité du sol

Causes répertoriées

par la profession 2

- Défauts d’étanchéité du revêtement- Absence prolongée de protection cathodique

Evènement sommet

Par quel agent corrosif ?

Rapport 2011

Rapport 2011

Contre-exemple au voisinage immédiat

Les causes bien répertoriées sont faciles à trouver par enquête auprès des personnes compétentes. Si elles sont seules, les causes bien connues n’entraînent que des faciès caverneux. Mais le nôtre est lisse. . Le faciès lisse a donc au moins une autre cause nécessaire. Il faut la ou les trouver. Faciès caverneux

Quand ? - Avant, pendant, après ? - Avant, pendant après quoi ? - Pendant quelles phases de vie ? - Pendant quelles phases? de corrosion Par quel processus ?

Figure 4: Pas n°1 et 2

Le premier pas s’ouvre sur la question partitionnante « Par quel agent corrosif ? ». On conclut par élimination que c’est paradoxalement l’agent corrosif le plus commun qui est à l’origine de l’évènement exceptionnel survenu. Cette déduction repose sur la confiance dans l’exhaustivité de l’inventaire des causes possibles qui a été effectué. La réduction de l’éventail des causes possibles qui en résulte est considérable.

La question partitionnante du troisième pas « Répertorié ou non ? » montre que, contrairement au présupposé de l’AdC et de l’AdD, une cause nécessaire peut ne pas être du tout évidente, et même être ignorée par les paradigmes en vigueur.



Par l’oxygène dissous dans l’eau

liquide du sol

Causes non répertoriées

Causes répertoriées

par la profession 2

Mécanisme d’élimination des

produits de corrosion au fil de leur formation

Lavage par l’eau

du sol

3Cratères résultant de la phase

précédente de corrosion moins profonds que

l’amincissement ultérieur par corrosion uniforme OU État

initial

Cratères résultant de la phase précédente de

corrosion plus profonds que l’amincissement ultérieur par

corrosion uniforme

Surface initiale lisse

4Dissolution des

produits solides et entrainement des

produits insolubles

5

Quand ? - Avant, pendant, après ? - Avant, pendant après quoi ? - Pendant quelles phases de vie ? - Pendant quelles phases de corrosion ? Par quel processus ?

Par quel agent ?

Ce processus doit avoir un sens vis-à-vis du mécanisme de formation de la rouille :

Figure 5 : Pas n°2, 3, 4 et 5

Ce même illustre aussi que les questions partitionnantes, qui ont été inventées pour traverser les

portes-OU, peuvent être nécessaires pour identifier une cause manquante d’une conjonction. On voit aussi que les catégories de causes possibles s’insèrent naturellement dans le tissu logique du raisonnement sans pour autant s’inscrire dans l’enchainement causal. Seule la partition « Par quel agent ? » s’inscrit toujours dans l’enchainement des causes, comme dans l’AdD.

Le pas n°5 est une simple traduction du langage courant en langage physico-chimique. Sur la figure 6, le pas n°6 découle physiquement de l’effet questionné et le pas n°7 ne fait que

traduire que la circulation d’un fluide résulte de la conjonction d’un "chemin possible" et d’une "cause de mouvement". Ces derniers ne sont pas des évènements mais des nécessités intemporelles. Leur expression dans l’arbre est indispensable à la compréhension du raisonnement, mais à condition de ne pas figurer dans des symboles "évènement".

Concentration de l’eau en hydroxyde ferreux inférieure à la limite de solubilité

Dissolution des produits solides et entrainement des produits insolubles

Passage de l’eau environnante sous le revêtement à travers des ouvertures débouchantes

Vitesse d’écoulement de l’eau suffisante pour entrainer les cristaux du précipité d’hydroxyde ferrique Une ou des

causes de mouvement

Un chemin possible(un fluide, des milieux

et des obstacles)

7

7

6Energie thermique,

hydraulique, cinétique?

Figure 6: Pas n°6 et 7

3.6 L’interactivité L’arbre d’investigation croît et change continuellement au cours de l’investigation. Cet arbre

vivant, avec les commentaires qu’il doit comporter pour être clair, est un outil très performant de gestion en temps réel de l’investigation en tant que projet. C’est un véritable tableau de bord qui permet de définir les actions et de les réorienter au fil des informations recueillies, des résultats obtenus et de l’enjeu de retour d’expérience, et d’adapter en permanence les efforts



correspondants. S’il est partagé régulièrement avec les participants, il permet à chacun de moduler et de situer à tout moment son action particulière dans l’action collective et d’en voir le sens.

Il aide aussi à décider à quel moment arrêter les recherches de l’investigation : c’est lorsqu’on a atteint les degrés de vraisemblance et de compréhension des mécanismes qui sont nécessaires au choix éclairé des meilleures mesures de prévention. Ceci illustre bien que la prévention est indissociable des investigations.

Il faut encore reconnaître que cet exercice continu de questionnement, d’expression verbale et d’articulation logique est exigeant. Il faut y être entraîné, mais il est bon aussi de pouvoir faire régulièrement appel à la critique rigoureuse et bienveillante d’une personne extérieure également rompue à ce genre de gymnastique intellectuelle.

4 CONCLUSION Notre Arbre d’investigation est donc un Arbre des causes possibles : - en continuelle évolution jusqu’à la conclusion de l’investigation, - qui ne se limite pas aux causes immédiates évidentes des évènements élémentaires mais qui

s’étend à toutes les causes immédiates possibles de chaque évènement élémentaire, - en s’appuyant sur les préceptes de la méthode de Descartes et sur l’expérience

d’exhaustivité de l’Arbre de défaillance - et qui à son terme révèle l’arbre des causes ultimes que l’on peut appeler sans détour

« causes racines » dont les enseignements sont la raison d’être des investigations d’accidents industriels.

Plusieurs expériences, dont celle présentée en exemple, montrent la richesse de la démarche. Et nous pensons que la méthode est aujourd’hui suffisamment claire pour être transmissible à des candidats volontaires et sélectionnés pour ce genre de missions, sans nécessiter de développement supplémentaire.

5 REMERCIEMENTS Cette présentation serait incomplète si elle ne citait nommément pas deux acteurs essentiels de

cette aventure : Frédéric Bachelier (qui a introduit, sans le dire, du savoir-faire d’Arbre fonctionnel (méthode présentée par Pascal Sudret au λµ5) dans les investigations fondatrices de 1997 et 1998 et qui m’a fait découvrir l’ISdF puis l’IMdR) et Etienne Werlen qui, une dizaine d’années plus tard, a eu l’idée « d’aller voler à l’Arbre de défaillance le secret de son exhaustivité ».

6 RÉFERENCES [1] L’analyse de l’accident du travail, La méthode de l’arbre des causes. INRS, www.inrs.fr/dms/inrs/CataloguePapier/ED/TI-ED-833/ed833.pdf [2] Fault Tree Handbook NASA, version 2, 2002: §4.4.2 (Component Fault Categories), Appendix §B.5 (Bayes theorem, Universal Set Ω, Partition); §2.4 (MLD, Master Logic Diagrams). [3] λµ5 : L'arbre fonctionnel : une méthode éprouvée d'analyse prévisionnelle de la fiabilité (Société Européenne de Propulsion).


L'Arbre d'investigation : les "questions partitionnantes"

Documents

Transcript of L'Arbre d'investigation : les "questions partitionnantes"