MESURES 813 - MARS 2009 - www.mesures.com
26
MESURES 813 - MARS 2009 - www.mesures.com
2/ La grille de criticité
Cette thode consiste à positionner les dif-
férents scénarios d’accidents (sans prendre
en considération les barrières de curité)
sur une matrice de critici, puis à terminer
les critères pour passer d’une situation dan-
gereuse à une situation acceptable gce aux
barrières de sécurité mises en place. Les
échelles de gravi et de probabili des é-
nements permettent de classer les différents
risques répertoriés. L exploitant doit définir
sa grille en fonction des spécificis de son
établissement. Dans le cas d’un site ICPE
(installation classée pour la protection de
lenvironnement), il peut se reposer sur les
échelles de gravité et de probabilité issues
des textes parus au Journal officiel (arrês
et circulaire datant du 29 septembre 2005).
Si les effets ou la probabili estie condui-
sent à un positionnement de l’accident en
dehors des zones de risque “accep”, il est
nécessaire de rajouter d’autres barrières de
sécurité. Dans le cadre de la norme
CEI 61511, les barrières de curité comp-
mentaires seront des fonctions instrumentées
de curité (SIF). Ces SIF devront conduire à
ce qu’aucun risque “inacceptable ne sub-
siste. Une barrière instrumene de curité
agit ralement sur la fréquence de l’évé-
nement redou, elle n’intervient pas sur la
dangerosi de l’accident. Ainsi, la barrière
tend àcaler vers la gauche (c’est-dire à
diminuer) la probabilité d’occurrence de
l’accident. Ramené au niveau d’un SIL, le
calage d’une case vers la gauche corres-
pond à SIL 1 (réduction du risque d’un fac-
teur 10), de deux cases à SIL 2 et ainsi de
suite. Cette règle implique que la disctisa-
tion en probabilisoit d’une décade par
classe.
Cette approche est simple à mettre en œuvre
et le positionnement des scénarios d’acci-
dent est aisé. Elle est utilisable sur des tech-
nologies opérationnelles depuis une riode
repsentative et ne peut s’appliquer à des
pros nouveaux sans retour d’expérience.
A l’instar du graphe de risque, cette méthode
trouve sa difficulté dans le calibrage de la
matrice.
3/ LOPA (Layer of Protection
Analysis)
Contrairement aux techniques d’évaluation
des risques purement qualitatives, l’analyse
des couches de protection fournit une esti-
mation de la fréquence d’un événement
redou. Cettethode intègre les couches
de protection de l’entreprise, tant organisa-
tionnelles que techniques. La méthode LOPA
évalue la duction du risque en analysant la
contribution des différentes couches (des
caractéristiques intrinsèques du process jus-
qu’aux mesures de secours) en cas d’acci-
dent. Elle est utilisée pour déterminer quel
SIL est assigné à chaque SIF et combien de
couches de protection sont cessaires pour
ramener le risque à un niveau tolérable.
L’objectif est de calculer le risque siduel
exprimé en fréquence daccident par an, ce
qui impose de quantifier les fréquences
doccurrence des événements initiateurs et
les probabilités de défaillances de chaque
couche.
L’analyse comprend les étapes suivantes :
- la finition de l’impact de l’énement
redou (gravi) ;
- la termination et l’énumération de tous
les événements initiateurs ;
- la termination et lénuration de toutes
les couches de protection qui emchent la
propagation de l’événement initiateur con-
duisant à l’événement redouté ;
- latermination de la fquence des é-
nements initiateurs, bae sur des données
ou des jugements d’experts ;
- la termination de l’efficacité des couches
de protection en probabilité de faillance
sur demande ;
- le calcul de la fréquence de l’événement
redou.
La thode LOPA ne s’applique que pour le
fonctionnement à la demande (le système
de sécurité n’est sollicité qu’en présence
d’un événement initiateur de la situation
ÉVALUATION DES SIL
Trois méthodes pour déterminer
le niveau de sécurité
Les normes internationales de sécurité
fonctionnelle CEI 61508 et CEI 61511
définissent une marche d’analyse du
niveau d’intégrité d’un système de
curi. Elles autorisent, suite à une
analyse de risque, la détermination du
niveau d’intégride sécurirequis
(SIL) pour une fonction instrumene de
sécuri. La norme CEI 61511 décrit dif-
férentes méthodes de détermination de
SIL, mais aucune n’est à privilégier.
L’Ineris détaille ici deux approches qua-
litatives, le “graphe de risque” et la
grille de critici ainsi que lapproche
quantitative LOPA (Layer of Protection
Analysis).
Il n’y a pas de recette toute faite. Les
normes proposent des thodes dif-
férentes pour l’allocation du SIL mais
n’imposent pas de règle. Le choix
dépend essentiellement de la nature des
données d’ente. Il est préférable de bien
utiliser une méthode qualitative (graphe de
risque ou matrice de critici) que d’utiliser
une méthode quantitative lorsque les dones
dentrée (fquences d’occurrence d’événe-
ments initiateurs, probabilités de faillance
des barrières de curité) sont insuffisantes.
En revanche, ces dernières s’appliqueront
mieux lorsqu’il y a des dones de retour
dexrience quantifes et lorsque l’organi-
sation du site autorise une analyse en couches
fonctionnelles inpendantes.
1/ Le graphe de risque
Le graphe de risque consiste à hiérarchiser
les niveaux de sécurité à partir de quatre
paramètres ls à la conquence du risque
sur le personnel ou l’environnement (C), à
la fréquence d’exposition au risque (F), à la
possibilité d’éviter le danger (P) et à la pro-
babilité d’occurrence du danger (W). Les
niveaux affectés aux paramètres du graphe
constituent la base de l’évaluation du risque.
Une phase de calibrage ou d’étalonnage du
diagramme de risque est cessaire. Elle per-
met d’adapter les paratres en prenant en
compte les scificis de l’entreprise et la
réglementation. La difficulté est alors de
calibrer le graphe. L’étalonnage des para-
tres doit prendre en compte toutes les situa-
tions. Un compromis doit être trouvé entre
une échelle trop large et une précision suf-
fisante. En effet, selon les choix de l’analyste,
les sultats peuvent rapidement passer d’un
niveau d’intégri à un autre. La classification
repose sur une hiérarchisation en six classes
d’exigences grades de “a à b” en passant
par SIL 1 à SIL 4. La cagorie “a correspond
alors à “aucune exigence particulière de
curité” tandis que la cagorie “b corres-
pond à “une situation inacceptable (le sys-
tème instrumenté est insuffisant).
dangereuse qui lui est inpendante) et elle
nest pas adaptée au mode continu (une -
faillance du sysme de sécuri est un é-
nement initiateur de la situation dange-
reuse). Contrairement aux deux thodes
précédentes, la thode LOPA a l’avantage
de ne pas exiger d’étalonnage puisque les
valeurs d’entrées sont quantifes. Le pro-
bme se posera cependant sur ces valeurs
qui ne sont pas communément admises et
qui diffèrent en fonction des sites, des situa-
tions, des retours d’expériences, etc.
Ineris - Adjadj Ahmed, responsable
étude et recherche en sécurité fonctionnelle
à la direction des risques accidentels
Brice Lanternier, chargé de mission sûreté
de fonctionnement à la direction
de la certification
27
Dossier sécurité fonctionnelle
Le graphe de risque
Le graphe de risque consiste à hrarchiser les niveaux de sécurité à partir de quatre
paratres ls à la conquence du risque sur le personnel ou l’environnement (C), à la
fréquence d’exposition au
risque (F), à la possibili
d’éviter le danger (P) et à la
probabilité d’occurrence du
danger (W). Les niveaux
affectés aux paramètres du
graphe constituent la base
de l’évaluation du risque.
Etalonnage des paramètres
du graphe de risque.
Paramètres de risque Classification
Conséquences CAIncident mineur
CBEffets réversibles
CCEffets létaux limités au site
CDEffets létaux en dehors du site
Exposition FAExposition rare dans la zone considérée
FBExposition fréquente dans la zone considérée
Possibilité
d’éviter le danger PAPossible sous certaines conditions
PBImpossible
Taux
de sollicitations W1Faible probabilité (accident pouvant se produire)
W2Probabilité moyenne (accident déjà observé)
W3Probabilité élevée (accident fréquent, observé plus d’une fois)
La grille de criticité
Les échelles de
gravité et
de probabili des
événements servent
à classer les différents
risques pertors
sur la grille de
criticité. Comme il
n’est pas possible
d’éliminer tous les
risques potentiels,
il est nécessaire
de définir des crires
d’acceptabilité en
3 zones :
- une zone de risque éle inacceptable, car trop dangereuse et/ou trop fréquente, figurée
par le motNON“ ;
- une zone de risque interdiaire, figue par le sigleMMR” (mesures de mtrise des
risques), pour laquelle il convient d’ajouter des barrres de sécurité ;
- une zone de risque accepe, qui ne comporte ni “NONniMMR”.
LOPA (Layer of Protection Analysis)
La méthode LOPA impose de passer du modedescriptif des aspects organisationnels
à une “qualificationen vue de manier les donesquantifiables“ et “qualifiables“
afin d’estimer la fréquence d’un énement redou.
L’analyse des couches de
protection est une manre
efficace de terminer le
niveau d’intégri de
curi (SIL) exi pour les
fonctions instrumentées
de sécurité (SIF). Dans cet
exemple, un SIL 3 est
requis pour l’événement
initiateurprésence de
polluants” et un SIL 2 pour
“défaut vapeur”. La fonctionmise en curi du acteur par dérive de la température” sera
SIL 3 (valeur maximale). Il peut y avoir bien d’autres énements initiateurs…
Danger combattu : éclatement du réacteur
SIF : mise en sécurité sur dérive de la température (emballement thermique)
Objectif
de
sécurité
Evénement
initiateur
Couches de protection
Fréquence
résultante
BPCS
(Conduite
régulation) SIF Dispositif
D’atténuation
(soupape)
Fréq./an Désignation Fréq./an PFDmoy PFDmoy PFDmoy
10-6 Présence
de polluants 10-1 10-1 10-3
(SIL 3) 10-1 10-6
10-6 Défaut vapeur 10-2 10-1 10-2
(SIL 2) 10-1 10-6
10-6
Probabilité
Gravité E D C B A
Désastreux Non partiel/
MMR 2 NON 1 NON 2 NON 3 NON 4
Catastrophique MMR 1 MMR 2 NON 1 NON 2 NON 3
Important MMR 1 MMR 1 MMR 2 NON 1 NON 2
Sérieux MMR 1 MMR 2 NON 1
Modéré MMR 1
Graphe de hiérarchisation du risque présenté dans la norme CEI 61511-3.
MESURES 813 - MARS 2009 - www.mesures.com
28
Dossier sécurité fonctionnelle
Fonction instrumentée
de sécurité (SIF) Risque combattu
Conséquences (C) Fréquence
d’exposition (F) Possibilité
d’évitement (P) Probabilité
d’occurrence (W) SIL
Contrôle de pression dans le
réseau gaz avec déclenchement
d’alarme et démarrage
des compresseurs lorsque des
seuils critiques sont atteints
Soulèvement
des soupapes CCFBAucun PBW23
Système de détection de gaz NH3
dans la zone de stockage
pour contrôler et surveiller la
concentration de gaz en
cas de fuite (risque toxique et
explosion)
Explosion CCFBAucun PBW12
Nuage toxique CCFBAucun PBW23
Le graphe de risque mis en pratique
du retour d’exrience après accidents sur
des installations similaires. Des travaux sur
les barrières de sécurité relatives à l’emploi
de l’ammoniac dans les établissements in-
dustriels réalis par l’Ineris et par des orga-
nismes similaires sont venus compter les
données recueillies pcédemment.
De toutes ces dones, les fonctions instru-
menes de sécurité, inpendantes des fonc-
tions de contrôle et de régulation, pour les-
quelles il fautterminer le SIL, ont pu être
détermies. Parmi celles-ci :
- le contle de la pression dans le seau gaz
avec clenchement d’alarme et démarrage
des compresseurs lorsque des seuils critiques
sont atteints ;
- le système de tection de gaz NH3 dans la
zone de stockage pour contler et surveiller
la concentration de gaz en cas de fuite (ris-
ques toxique et explosion).
Le choix de la méthode dépend principale-
ment de la nature des données à disposition
suite à l’analyse des risques. Dans cette ap-
plication, les dones disponibles étaient :
- les distances d’effet ;
- le nombre de personnes exposées ;
- le temps d’exposition ;
- les possibilités afin d’éviter le danger ;
- le retour d’exrience en accidentologie.
Le graphe de risque s’est donc imposé dans
ce cas. La quantification n’aurait pas eu de
sens puisque les valeurs des données d’en-
trées n’étaient pas assez précises. Il n’y avait
en effet aucun élément sur les énements
initiateurs et leur fréquence d’occurrence,
ainsi que sur les probabilités de défaillance
des barrières de curité.
Une phase d’étalonnage des paramètres du
graphe de risque a été cessaire. Elle a pris
en compte les spécificités de l’entreprise et
le retour d’exrience. Cette méthode est la
plus simple d’utilisation. Cependant le SIL
requis peut facilement varier d’un niveau en
fonction des incertitudes sur les paratres
dentrée.
Linstallation est un réseau de refroi-
dissement à l’ammoniac. Pour
absorber la chaleur produite dans
les acteurs, on envoie de l’am-
moniac qui s’évapore au contact de la chaleur.
La ligne dalimentation en ammoniac liquide
provenant de la cuve est pae en deux
lignes parallèles. Le séparateur refroidit l’am-
moniac liquide avant de lenvoyer aux ac-
teurs. Il est destiné également à parer lam-
moniac liquide de l’ammoniac gazeux,
provenant de la ligne de retour, pour em-
cher la présence de liquide à l’aspiration des
compresseurs. Les compresseurs aspirent
l’ammoniac gazeux du parateur et le re-
foulent vers un condenseur évaporatif. Ils
compriment lammoniac gazeux à une pres-
sion le liquéfiant. Une tour de refroidisse-
ment permet de refroidir l’eau industrielle
alimentant le condenseur. Le système de
refroidissement est équipé de vannes qui
isolent certains tronçons en cas de fuite. Il est
également équide soupapes de sécurité
pour le protéger contre les surpressions.
L’examen des installations a conduit à iden-
tifier les produits et les équipements mis en
œuvre dans ce système ainsi que les spécifi-
cis de l’environnement afin de terminer
les potentiels de dangers. Il prend également
en compte les documents existants et les
études de curité réalies.
L’examen a identifié les points suivants :
- sources potentielles de dangers : perte de
confinement de l’ammoniac par rupture
mécanique ou souvement de soupape ;
- dans le cas des scénarios majorants, les dis-
tances d’effet létal sont limitées au site ;
- une fiche d’accident relate un cas de rejet
dammoniac par souvement de soupape ;
- les systèmes instrumens assurent à la fois
des fonctions de conduite et de sécurité ;
- aucune information sur les événements
initiateurs et leurs fréquences d’occurrence,
ainsi que sur les probabilis de défaillances
des barrières de curité n’est disponible.
Ces données étant insuffisantes pour identi-
fier les SIF et definir leur SIL, il est donc
nécessaire de compléter ces données par le
retour d’exrience et les avis d’experts.
Une recherche d’accidents sur la base de
données d’accidentologie ARIA du Bureau
d’analyse des risques et pollutions indus-
trielles (BARPI) pour des installations impli-
quant de l’ammoniac permet d’identifier les
dangers suivants :
- la rupture d’une canalisation hiculant de
lammoniac ;
- l’éclatement mécanique de capacis ;
- l’explosion d’un nuage de vapeurs inflam-
mables d’ammoniac ;
- l’épandage d’une solution contenant de
lammoniac.
Cette recherche autorise la prise en compte
1 / 2 100%
La catégorie de ce document est-elle correcte?
Merci pour votre participation!

Faire une suggestion

Avez-vous trouvé des erreurs dans linterface ou les textes ? Ou savez-vous comment améliorer linterface utilisateur de StudyLib ? Nhésitez pas à envoyer vos suggestions. Cest très important pour nous !