chapitre 2

April 5, 2018 | Author: Anonymous | Category: Documents
Share
Report this link


Description

Introduction : Ce chapitre présente une méthodologie pour la détermination des éléments Importants Pour la Sécurité dans le cadre d’études des dangers. Ainsi des méthodes pour évaluer la performance des barrières de sécurité. 2.1 Principes directeurs pour la sélection des éléments IPS : La détermination des éléments IPS se fonde principalement sur l’analyse de risques qui permet de distinguer les scénarios d’accidents majeurs. Pour chacun de ces scénarios, il convient d’identifier des fonctions de sécurité à assurer en vue de prévenir l’occurrence d’un accident majeur ou d’en limiter les conséquences. L’exploitant retient ensuite certains éléments comme IPS parmi les barrières de sécurité susceptibles de remplir ces fonctions avec un niveau de performance acceptable. Cette identification des éléments IPS est réalisée préférentiellement lors de l’analyse des risques menée en groupe de travail. En fonction des résultats d’approches plus détaillées (évaluation quantitative des conséquences d’accidents, examen détaillé de certains scénarios…), la liste d’éléments IPS proposés en groupe de travail peut être complétée ou validée. Enfin, une présentation de la liste des éléments IPS retenus doit être réalisée dans l’étude des dangers en mettant notamment en lumière les tâches organisationnelles relatives à ces éléments. Ces différentes étapes sont détaillées dans les paragraphes suivants. 2.1.1 Analyse des risques : L’analyse du risque est définie dans le Guide ISO/CEI 51 :1999 comme « l’utilisation des informations disponibles pour identifier les phénomènes dangereux et estimer le risque ». L’analyse des risques vise tout d’abord à identifier les sources de dangers et les situations associées qui peuvent conduire à des dommages sur les personnes, l’environnement ou les biens. L analyse des risques associées a l exploitation d’installation industrielle suit le démarche suivant .ce démarche se décompose généralement en plusieurs étapes. Cette étape préliminaire permet de définir clairement le cadre de l’analyse des risques. • Recueil des informations indispensables à l'analyse des risques : Cette seconde étape vise à collecter l’ensemble des informations pertinentes pour mener le travail d’analyse de façon efficace. Outre la description fonctionnelle de l’installation à étudier et de son environnement, il est indispensable d’avoir clairement identifié : • Définition du système à étudier et des objectifs à atteindre : - Identification des potentiels de dangers sur la base des dangers liés aux produits et à leurs conditions de mise en œuvre, - Identification et analyse des risques d’agressions externes, qu’elles soient d’origine naturelle (séisme, foudre, inondations…) ou liées à l’activité humaine (effets dominos, voies de communication, malveillance…), - Analyse des accidents passés sur les installations étudiées ou des installations similaires. • Définition de la démarche à adopter : Dans cette étape, il est notamment question de choisir un ou plusieurs outils pour mener l’analyse des risques et de retenir, si nécessaire, des échelles de cotation des risques et une grille de criticité. • Mise en œuvre de l’analyse de risques dans le cadre d’un groupe de travail : Pour être aussi exhaustive que possible, l’analyse des risques doit être menée au sein d’un groupe de travail réunissant des spécialistes des installations étudiées. L’analyse des risques constitue le cœur de l’étude des dangers et du processus de détermination des éléments IPS. Importance de l'analyse des risques : Lors de l’analyse des risques en groupe, quel que soit l’outil utilisé, il s’agit, dans un premier temps, d’identifier une dérive ou défaillance de départ, d’en identifier l’ensemble des causes et enfin, d’en caractériser l’ensemble des conséquences (à savoir les effets sur les cibles). Très clairement, ce travail vise à déterminer des scénarios d’accidents. Bien entendu, au cours de la réflexion, de nombreux scénarios peuvent être identifiés sans qu’ils concernent tous la problématique des accidents majeurs. Il y a alors lieu d’identifier les scénarios d’accidents majeurs qui devront être étudiés dans le cadre d’une étude des dangers et pour lesquels des éléments IPS devront être définis. 2.1.2 Identification des scénarios d accidents majeurs : L’identification des scénarios d’accidents majeurs est réalisée au sein du groupe de travail sur la base d’une évaluation semi-quantitative des dommages potentiels au niveau des cibles. Pour cela, l échelle de cotation de la gravité est inespéré a partir de la grille de criticité. La grille de criticité : 1 Niveau de probabilité : Le niveau de probabilité d’une grille est une échelle qui repose sur une approche qualitative, semi quantitative, quantitative de l’estimation de l’apparition des événements redoutés. Le tableau suivant présente les niveaux de probabilité de la grille selon l’approche qualitative Classe qualitative : « événement Possible mais extrêmement peu probable » E « événement très Description n’est impossible au vu des connaissances actuelles, mais non rencontré au niveau mondial sur un très grand nombre d années d installation. s’est produit dans ce secteur d’activité mais a fait l objet de mesures improbable » D « événement improbable » C « événement probable » B correctives réduisant significativement sa probabilité. un événement similaire déjà rencontré dans le secteur d’activité ou dans ce type d’organisation au niveau mondial, sans que les éventuelles corrections intervenues depuis apportent une garantie de réduction significative de sa probabilité. s’est produit et/ou peut se produire pendant la durée de vie de l installation. s’est produit sur le site considéré et / ou peut se produire à plusieurs « événement courant » reprises pendant la vie de l installation, malgré d’éventuelles mesures A correctives. Tableau : niveau de probabilité 2 Niveau de gravité : Pour chaque événement dangereux, un niveau de gravité sera défini pour l'impact sur les biens, un autre pour l'impact sur les personnes et un troisième pour l'impact sur l'environnement. L’échelle de gravité semi quantifiée se présentera comme suit A ce stade, il s'agit d'identifier les situations accidentelles qui, si elles ne sont pas maîtrisées, peuvent conduire à des dommages majeurs sur les cibles. Dès lors, l'identification des scénarios d'accidents majeurs doit être réalisée en négligeant l'action de toutes les barrières de sécurité éventuellement présentes. La suite de l'analyse des risques consistera bel et bien à montrer que ces barrières sont effectivement correctement dimensionnées vis-àvis des risques identifiés. 2.1.3 Définition des fonctions importante pour la sécurité : Une fonction Importante Pour la Sécurité traduit une action à réaliser pour maîtriser au mieux le risque d’accident majeur. Elle peut se décliner selon qu’elle vise à : • Prévenir l’occurrence d’un événement redouté (prévention), • Limiter les conséquences d’un événement redouté (protection), • Eventuellement, contrôler une situation dégradée (intervention). Ainsi, pour chacun des scénarios d’accident majeur identifié, le groupe de travail doit définir les fonctions IPS à assurer. L’analyse des risques d’origine interne à une installation permet de mettre en valeur de nombreuses fonctions de sécurité agissant en prévention et quelques-unes agissant en protection. L’analyse des risques d’origine externe vise quant à elle à étudier les causes et les conséquences des agressions externes sur les équipements (chocs, flux thermiques, ondes de pression…). Elle met en valeur certaines fonctions de prévention mais plus particulièrement des fonctions de protection et d'intervention qui peuvent être qualifiées d'IPS par l'exploitant. L’intervention consiste à limiter les conséquences de l’événement redouté par action humaine ou par la mise en œuvre de moyens d’intervention qui visent à soustraire les cibles aux effets d’un accident. De ce fait, elle peut être assimilée à une action de protection. En règle générale, il est souhaitable de définir des fonctions IPS agissant en prévention et en protection. 2.1.4 EXAMEN DES PERFORMANCES DES BARRIERES DE SECURITE : Pour chacune des fonctions de sécurité identifiées, il s’agit alors de dresser la liste des barrières de sécurité pouvant remplir a priori la fonction considérée. Ces barrières peuvent être des équipements ou des opérations à réaliser. Elles ont normalement été listées ou proposées lors de la phase d’analyse des risques. Les performances des barrières de sécurité sont évaluées à partir de leur capacité de réalisation, de leur temps de réponse et de leur niveau de confiance. La démarche d examen des performances des barrières de sécurité était détaillée dans le chapitre précédent. 2.1.5 Choix des EIPS : Sur la base de l’identification des fonctions IPS des barrières et de l’évaluation des performances de ces dernières, le groupe de travail procède à la sélection des éléments IPS. Dans certains cas, le groupe de travail ne peut se prononcer faute de données suffisamment renseignées. C’est pourquoi une phase de validation des éléments IPS peut être nécessaire. 2.1.6 Validation des EIPS : La validation de la liste des éléments IPS peut faire appel à des outils particuliers permettant d’apporter des réponses quantitatives à certaines questions soulevées par le groupe de travail. Il peut par exemple s’agir de : • Vérifier que la capacité de réalisation d’une tour de neutralisation de gaz toxique est suffisante pour limiter grandement les effets associés à une fuite particulière. Dans ce cas, il s’agira de réaliser un calcul de distances d’effets en prenant en compte le taux d’abattage de cette tour ; • Valider le temps de réponse de débitmètres devant détecter une chute de débit sur une longue canalisation. Il s’agira alors de mener une étude hydraulique en étudiant la décompression dans la canalisation ; • Justifier le niveau d’intégrité de sécurité d’une barrière de sécurité à partir d’outils issus de la Sûreté de Fonctionnement. De telles études particulières doivent être réservées à des cas jugés particulièrement critiques et pour lesquels des éléments de réponse quantifiés sont nécessaires. Une telle démarche doit être décidée au cas par cas. En fonction des résultats de cette étape, la liste des éléments IPS peut être amendée, modifiée ou complétée. Dans tous les cas, elle doit être validée par l’exploitant. 2.1.7 Présentation des éléments IPS : La dernière étape de ce processus consiste à présenter les éléments IPS dans le cadre de l’étude des dangers. Pour la clarté de cette présentation, il est recommandé de bien préciser à quels scénarios d’accidents majeurs les éléments IPS se rapportent. Il est de plus indispensable de bien mettre en lumière les actions que l’exploitant s’engage à mener pour assurer un niveau de performances optimal des éléments IPS. Figure 4 : Identification des éléments IPS dans les études de dangers 2.2 Méthodes basées sur les barrières de sécurité : Des méthodes développées pour évaluer et inspecter les mesures de sécurité mises en place sur les installations industrielles. En général, ces méthodes sont utilisées, soit pour évaluer le contenu du rapport de sécurité, qui formalise la démonstration de l’identification et de la maîtrise des risques, soit pour inspecter les sites. 2.2.1 ARAMIS (Accident Risk Assesment Methodology for IndustrieS) : Dans le contexte de la maitrise des risques, ARAMIS a choisi de s’orienter vers une approche par barrières. Il s’agit d’identifier tous les scénarios d’accidents majeurs envisageables puis de recenser les dispositions de sécurité ou barrières s’opposant au développement de l’accident. L’acceptabilité des risques réside ensuite dans le choix du nombre et de la performance des barrières à installer pour considérer les risques maîtrisés. L’organisation humaine assure le maintien dans le temps de la qualité des barrières. A cet égard, cette dernière doit aussi être évaluée à travers un indice M qui reflète le degré de confiance fait au système humain pour garantir la fiabilité et la disponibilité des barrières. DEROULEMENT DE LA METHODE La méthode ARAMIS est structurée en six étapes : 1. Identification des scénarios potentiels d'accident majeur (MIMAH) L‘identification des scénarios d‘accident repose sur l‘utilisation d‘une série d‘arbre de défaillance et d‘arbres d‘événement génériques correspondant aux différents types d‘équipements utilisés régulièrement dans l‘industrie chimique. L'identification des scénarios est précédée par une étape permettant de sélectionner les équipements, de l‘installation étudiée, qui doivent faire l'objet d'une analyse. Cette sélection est réalisée en tenant compte de la nature et de la quantité des substances ainsi que des conditions dans lesquelles elles sont mises en œuvre. Pour chaque couple formé d‘un équipement et de la substance qu‘il contient, la méthode permet de définir la liste des événements critiques (EC), perte de confinement ou perte d‘intégrité physique, qu‘il est susceptible de générer. A chaque EC ARAMIS associe un arbre de défaillance générique qui sera ensuite modifié pour correspondre aux spécificités de l‘installation étudiée. De même, à partir d‘un événement critique et de la substance dangereuse impliquée, la méthode permet de construire un arbre d‘événement type, qui, combiné à l‘arbre de défaillance forme un nœud papillon représentatif de plusieurs scénarios d‘accident. Ces arbres génériques ne constituent naturellement qu‘un guide pour l‘analyste qui doit exercer son expertise pour conserver ou éliminer des événements, prolonger des branches lorsque c‘est pertinent. 2. Identification des barrières de sécurité et évaluation de leurs performances Une fois les scénarios d‘accident potentiels identifiés, la méthode ARAMIS prévoit d‘identifier les barrières de sécurité permettant de réduire la probabilité de l‘accident ou d‘en réduire la gravité potentielle. Des listes de barrières sont proposées pour aider l‘utilisateur dans sa démarche. En parallèle, un graphe de risque inspiré de la norme CEI 61508 permet de définir les exigences de sécurité associées à un scénario donné et de définir ainsi le niveau de confiance global que doivent avoir les barrières de sécurité pour que le scénario soit acceptable. 3. Evaluation de l'efficacité du management et de son influence sur les performances des barrières de sécurité Deux questionnaires d‘audit permettent de prendre en compte les performances du management de l‘usine et la culture de sécurité sur le site. Les niveaux de confiance des barrières de sécurité sont affectés par le management et la culture de sécurité et sont donc recalculés à l'issue de cette évaluation. 4. Identification des Scénarios de Référence (MIRAS) Une matrice de criticité est utilisée ensuite pour déterminer les scénarios de référence qui vont faire l‘objet d‘une modélisation des effets. 5. Estimation et cartographie de la sévérité des scénarios de référence La sévérité des scénarios est alors évaluée. Plusieurs indices de sévérité ont été définis. Un premier indice permet de représenter les effets potentiels d'un scénario d'accident. Il repose sur une normalisation des effets dans une échelle unique. L'indice 100 correspondant au début des effets létaux et l'indice 0 à des effets nuls. L'évaluation des effets du scénario considéré conduit à calculer cinq distances d'effet correspondant à cinq seuils auxquels sont affectés les indices 100, 75, 50, 25 et 0. Entre ces distances seuils, l'indice de sévérité décroît de façon linéaire. Un indice de sévérité global a aussi été défini. Il permet de représenter le cumul des sévérités de l'ensemble des scénarios d'accident sur le site pondéré par les probabilités associées à chaque scénario. A l'issue de ce calcul, il est donc possible de tracer une carte de sévérité autour du site. 6. Cartographie de la vulnérabilité La carte de sévérité, une fois tracée, peut être mise en regard de la carte de vulnérabilité établie dans la dernière étape de la méthode. La vulnérabilité est estimée en faisant l'inventaire des éléments vulnérables potentiels (ou enjeux) autour du site industriel. Chaque type d'enjeu (humain, matériel, environnemental) est décomposé en différentes catégories dont la vulnérabilité relative à différents types d'effets a été évaluée sur la base d'un jugement d'expert. La vulnérabilité globale d'une zone est donc obtenue en effectuant une somme des différents types d'enjeux pondérée par leur vulnérabilité relative au type d'effet considéré. La méthode ARAMIS a donc pour objectif de produire, in fine des résultats utiles à la décision en matière de maîtrise de l'urbanisation puisqu'elle permet de représenter de façon synthétique le risque sous forme d'une carte de sévérité couplée à une carte de vulnérabilité. Elle vise aussi à apporter des informations utiles relatives à la maîtrise du risque à la source, en identifiant les scénarios potentiels et les barrières qui permettent de les maîtriser. Enfin, elle constitue une approche innovante de la quantification de l'influence du management sur la sécurité du site. Les études de cas réalisées au cours du projet ARAMIS ainsi que les applications qui ont été faites de la méthode depuis la fin du projet on montré son intérêt mais aussi certaines limites ou difficultés d‘application. Une partie de ces limites est liée à l‘absence de critères de décision permettant d‘exploiter la représentation de la sévérité et de la vulnérabilité. Cette difficulté a été en partie levée en France par l‘adoption des critères d‘appréciation de la maîtrise des risques et des critères de définition des zones de maîtrise de l‘urbanisation dans le cadre des PPRT, sur la base desquels l‘indice de sévérité peut être réinterprété. De même, l‘évaluation de la performance des barrières de sécurité faite dans ARAMIS correspondait à une première approche. Les connaissances en la matière ont bien évolué depuis la fin Lopa : La méthode LOPA [CCPS 2001] a été développée à la fin des années 1990 par le CCPS (Center for Chemical Process Safety). LOPA signifie Layer Of Protection Analysis (Analyse des niveaux de protection). C'est une méthode orientée au barrière au même titre qu'ARAMIS. Les premières étapes sont d'ailleurs assez comparables à celles de la méthode ARAMIS, en termes de principes généraux, même si de nombreuses différences subsistent au niveau des détails des deux méthodes. En revanche, LOPA ne prévoit pas de représentation cartographique de la sévérité et de la vulnérabilité. La méthode LOPA peut être décomposée en six principales étapes : 1. Etablissement des critères de sélection des scénarios à évaluer. Cette étape est un préalable à l'analyse de risques. Elle fournit le moyen de limiter la durée de l'étude en ne considérant que les scénarios significatifs en termes de conséquences. Le critère peut être un critère d'intensité (quantité de produit rejeté, flux mesuré à la source) ou un critère de conséquence qui intègre implicitement l'existence d'enjeux aux alentours. 2. Développement des scénarios d'accident Les scénarios d'accident sont développés sur la base d'une analyse de risques utilisant des outils traditionnels tels que l’AMDEC ou l'HAZOP .Les scénarios sont représentés sous forme d'un nœud papillon. 3. Identification des fréquences d'événements initiateurs Une analyse détaillée des scénarios est entreprise en considérant chaque combinaison d'événements initiateurs associés à une conséquence. La fréquence d'occurrence de chaque événement initiateur est estimée sur la base de données internes de retour d'expérience ou de données issues de la littérature. 4. Identification des dispositifs de sécurité et de leurs probabilités de défaillance à la demande Pour chaque scénario on identifie alors les dispositifs de sécurité, en considérant les critères de qualification de ces dispositifs que sont leur indépendance par rapport au phénomène ou à l'événement auquel ils s'appliquent, la capacité de réalisation du dispositif, la possibilité d'inspecter le dispositif. Les dispositifs qui répondent à ces critères sont qualifiés d'IPL (Independent Protection Layer), concept à rapprocher de celui d'EIPS (Eléments Importants Pour la Sécurité). A chaque dispositif de sécurité est associée une probabilité de défaillance à la sollicitation qui correspond à un facteur de réduction du risque. LOPA fait référence de façon explicite au niveau d‘intégrité de sécurité (SIL, Safety Integrity Level), inspiré de la norme CEI 61508. Les systèmes de sécurité considérés sont essentiellement techniques, mais il est en théorie possible de prendre aussi en compte les barrières humaines ou organisationnelles [Gowland 2006]. 5. Estimation du risque La probabilité du scénario d'accident est alors estimée en réduisant la probabilité de l'événement initiateur de plusieurs ordres de grandeur correspondante aux niveaux de SIL des dispositifs de sécurité retenus. Comme dans la méthode ARAMIS, des matrices de décision permettent de définir le niveau de réduction du risque minimum que doivent présenter les systèmes en fonction du niveau de conséquence possible du scénario et de la fréquence de l'événement initiateur. La méthode LOPA n'impose cependant pas d'utiliser ces matrices et l'utilisateur est libre de mettre en Œuvre des calculs de sûreté de fonctionnement plus traditionnels s'il le souhaite et en a la possibilité. 6. Evaluation du risque par rapport aux critères d'acceptabilité La dernière étape de la méthode consiste à s'assurer que le risque est maîtrisé, c'est à dire qu'il est bien inférieur aux critères d'acceptabilité qui ont été fixés au préalable. LOPA n'impose pas de type de critère prédéfini et propose ainsi quatre catégories de critères : • • • • une grille de criticité comportant une limite d'acceptabilité en termes de gravité et de fréquence ; un critère purement quantitatif portant sur le niveau de conséquence du scénario ; un critère spécifiant le nombre de dispositifs de sécurité indépendants nécessaires pour considérer qu'un scénario est suffisamment maîtrisé ; un critère de risque cumulé maximum pour un site ou un procédé. Il n‘est pas prévu dans LOPA de produire des informations utiles pour la maîtrise de l'urbanisation. Ainsi l'évaluation de la vulnérabilité et la cartographie de la sévérité ne sont pas abordées dans la méthode. AVRIM 2 AVRIM2 est une méthode basée sur le concept de scénarios et de lignes de défense (concept similaire à TRAM). Cette méthode permet d'évaluer "la solidité" du Système de Gestion de la Sécurité d'une entreprise, en ce qui concerne la maîtrise des risques de perte de confinement de substances dangereuses. L'évaluation est effectuée à travers l'examen du rapport de sécurité (équivalent de l'étude des dangers) et une inspection du site. Méthodologie : Matrice des risques : La matrice des risques permet l'évaluation de l'occurrence des scénarios par évaluation quantitatif des risques pour les scénarios avec des conséquences hors du site. Les données de défaillance pour cette évaluation quantitative proviennent de données historiques génériques et d'expertises. Ces données ont pour but de se concentrer sur la fiabilité des systèmes de LOD (Line Of Defence) et les possibles conséquences en cas de défaillances, permettant ainsi à l'Inspecteur de mener à bien une vérification de la qualité des LOD. Dans cette perspective, une approche semi quantitative est recommandée ; le calcul des probabilités de défaillances et les conséquences qui en découleraient peuvent être classés dans des catégories, dont les critères sont proposés par l'exploitant. La matrice des risques résulte de la composition de ces catégories. Plus les conséquences des scénarios d'accident sont graves, plus la fiabilité des LOD devra être importante. Tableau : Matrice des risques AVRIM2 X : risque élevé inacceptable. La Société doit le réduire par des mesures de prévention et / ou des moyens de protection. O : risque élevé. La Société doit adresser aux inspecteurs des analyses coûts bénéfices des réductions de risque supplémentaires à mettre en place. Les inspecteurs doivent vérifier ces analyses coûts bénéfices et les contrôles déjà en place. = : acceptable. Aucune action n'est requise. Echelle de probabilité 1 : très faible jamais vu dans ce secteur industriel presque impossible dans l'établissement


Comments

Copyright © 2025 UPDOCS Inc.