Pour éviter des incidents dangereux, les industriels doivent mettre en place des mesures de maîtrise des risques, qui utilisent souvent des systèmes instrumentés de sécurité. Quelles sont les normes et les méthodes pour estimer la probabilité de défaillance de ces systèmes ?

La norme IEC 61511 relative aux Fonction instrumentées de Sécurité vient d'être mise à jour. Cette actualisation de la norme, qui fournit des prescriptions pour chaque activité du cycle de vie de sécurité de ces systèmes, permet de renforcer certains points et surtout de fournir un guide pratique pour mettre en place ses prescriptions.

La méthode LOPA est assez séduisante, parce que simple à mettre en œuvre, tout au moins en apparence. Toutefois, il est important d'éviter certaines erreurs lors de sa mise en application, qui pourraient conduire à des estimations erronées des risques. 

Quel est le risque associé à une installation industrielle? La méthode Nœud papillon est aujourd'hui l'une des méthodes de quantification des risques les plus utilisées.

L’arrêté du 4 octobre 2010 du plan de modernisation des installations industrielles (PMII) initié en 2008 impose la mise en place d’actions censées mieux prévenir le vieillissement. Cela passe par un suivi rigoureux de l'ensemble des systèmes instrumentés de sécurité (SIS) ainsi que certaines MMR qui couplent des équipements techniques (capteur, vanne, etc.) et des actions humaines.

La méthode LOPA repose sur un principe d'application simple qui consiste à définir un scénario par un couple unique événement initiateur-conséquence. Elle permet d’en décrire le déroulement chronologique et d'identifier l'ensemble des barrières techniques, humaines et organisationnelles qui permettent de réduire sa criticité.

Dans le cadre de la gestion des risques par le biais des fonctions instrumentées de sécurité, comment peut-on justifier de la bonne maîtrise de ces risques ? Découvrez une évaluation de la probabilité de défaillance grâce à cette méthode PDS, utilisée dans l'industrie offshore en Norvège.

Parmi les risques industriels, le BLEVE (Boiling Liquid Expanding Vapor Explosion) représente une problématique majeure. Quelles sont les causes d'un tel accident et comment le prévenir ?

Les industriels sont tenus d’apporter la preuve qu’ils sont en mesure d’évaluer et de maîtriser les risques associés à leur activité. Même si la réglementation n’en impose aucune, certaines méthodes d’analyse de risques et règles de l’art sont fortement conseillées par les autorités.

Quels sont les modèles mathématiques qui permettent d'estimer la probabilité d'inflammation retardée ? Ces modèles sont indispensables dans le cadre d'une évaluation quantifiée des risques en présence de produits inflammables. 

Dans le cadre de l'analyse des risques traitant de produits inflammables, il faut pouvoir évaluer les possibilités de mélange et les probabilités d'inflammation qui peuvent en résulter. Découvrez ici des méthodes d'évaluation de ces probabilités, par le biais de la détermination des événements redoutés.

Dans le cadre des études de dangers (EDD), les industriels valorisent des mesures de maîtrise de risques (MMR). Pouvoir justifier de l’efficience des MMR retenues est une des exigences de l’arrêté PCIG du 29 septembre 2005 qui indique : « Pour être prises en compte dans l’évaluation de la probabilité, les mesures de maîtrise des risques doivent être efficaces, avoir une cinétique de mise en œuvre en adéquation avec celle des événements à maîtriser, être testées et maintenues de façon à garantir la pérennité du positionnement précité. » Dès lors, il est demandé aux industriels, dans l’EDD, de caractériser les MMR valorisées en justifiant des critères de performances suivants :

• efficacité ;
• temps de réponse ;
• probabilité de défaillance ;
• testabilité ;
• maintenabilité.

La quantification des risques industriels nécessite d’évaluer les deux composantes du risque que sont la probabilité et la gravité de phénomènes dangereux tels que les incendies ou les explosions.

De plus en plus, l’évaluation de la probabilité repose sur la mise en œuvre de méthodologies dites probabilistes qui prennent en compte de nombreux paramètres parmi lesquels on peut citer la fréquence des événements redoutés, les probabilités de défaillances des barrières de sécurité et les probabilités d’inflammation.

Ces différents paramètres peuvent être quantifiés en ayant recours à des banques de données. Cette manière de procéder a pour principal intérêt d’être relativement simple à mettre en œuvre. En revanche, une question subsiste : les valeurs rapportées dans les banques de données sont-elles représentatives du cas étudié ?

Dès lors, afin d’adapter les valeurs issues des banques au cas étudié, il est fréquent que l’analyste « pondère » les valeurs pour tenter de retranscrire certaines spécificités du cas étudié. Dans le cadre des analyses de risques quantifiées, le paramètre le plus fréquemment « pondéré » est incontestablement la fréquence de fuite sur canalisation.

Un des objectifs de la directive Seveso II (directive n° 96/82 du 9 décembre 1996 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses) concerne la maîtrise des risques à la source. Pour atteindre cet objectif, les industriels doivent définir et mettre en place des barrières de sécurité aussi appelées mesures de maîtrise des risques (MMR) dont le but est de réduire autant que possible les risques en réduisant la probabilité des accidents (prévention) mais aussi en limiter leurs effets à l’extérieur de l’établissement (mitigation). En pratique, c’est lors de l’analyse de risques réalisée dans le cadre de l’étude de dangers que les MMR vont être valorisées vis-à-vis des scénarios d’accidents identifiés. Le choix et la performance des MMR retenues pour garantir d’une bonne maîtrise des risques doivent être justifiés afin de garantir de leur efficience.

Une SIF a pour objectif de réduire un risque. Pour définir le niveau de SIL à allouer (SIL requis) à une SIF, il est nécessaire de mener une démarche rigoureuse.

Pour déterminer le SIL requis d’une SIF, la norme IEC 61511 introduit trois méthodes qui sont de ce fait les plus répandues dans le secteur des industries de procédés :

• graphe de risque ;
• matrice de criticité ;
• LOPA.

Dans la pratique, ces trois méthodes ont des étapes communes, qui peuvent, suivant la méthode, être explicites ou implicites :

• estimation de la criticité du risque « initial » (c’est-à-dire sans prendre en compte la SIF dont on cherche à déterminer le SIL requis) ;
• confrontation de la criticité du risque à des critères d’acceptabilité, qui permettent de déterminer le facteur de réduction du risque (FRR) que la SIF doit introduire pour rendre le risque acceptable ;
• estimation du niveau de SIL requis à partir du FRR.

L’évaluation des probabilités d’inflammation constitue une étape incontournable lors de la réalisation d’analyses quantifiées de risques. A ce jour, dans le cadre des analyses quantifiées des risques, elle est certainement l’étape la moins « bornée ».

Pour appréhender correctement l’évaluation des probabilités d’inflammation, il est nécessaire :

• d’identifier les propriétés ou caractéristiques des produits pouvant influer sur la probabilité d’inflammation ;
• de différentier les notions d’inflammation immédiate et d’inflammation retardée ;
• de connaître les principales sources d’inflammation afin de pouvoir les identifier lors de l’analyse de risques afin de s’assurer de la présence de mesures de prévention ;
• de connaître les moyens et outils disponibles pour évaluer les probabilités d’inflammation (banques de données, modèles mathématiques).

Pour prévenir ou limiter les conséquences en cas de survenue d’un scénario d’accident, les industriels mettent en œuvre des mesures de maîtrise des risques (MMR). Certaines MMR sont uniquement composées de dispositifs techniques dont les niveaux de performances sont généralement quantifiables. Le recours à des MMR totalement techniques n’est pas pourtant la panacée. De fait, les industriels privilégient parfois le maintien de l’homme dans la mise en œuvre des MMR. Par exemple, une phase de diagnostic par un opérateur qui décidera ou non de mettre en sécurité les installations peut permettre de limiter les déclenchements intempestifs des MMR et ainsi améliorer la disponibilité d’une installation. En revanche, se pose alors la question de la valorisation de l’homme en tant que MMR ou partie de MMR.

• Si les performances des MMR techniques sont « insensibles » au stress d’une situation accidentelle, que dire de celles de l’homme ?
• Comment valoriser les actions humaines dans le cadre d’une étude de dangers (EDD) ?
• Quels niveaux de performances associer aux MMR faisant intervenir des actions humaines ?

L’évaluation du niveau de SIL des fonctions instrumentées de sécurité (SIF) est une étape incontournable lors de la conception des Systèmes Instrumentés de Sécurité (SIS). Les normes IEC 61508 et IEC 61511 constituent aujourd’hui un référentiel normatif sur lequel il est possible de s’appuyer lors de la conception mais aussi tout au long du cycle de vie des SIF. Afin d’utiliser à bon escient ces normes et pour estimer correctement le niveau de SIL, il est nécessaire de maîtriser des notions essentielles telles que :

• Quelle différence entre SIS et SIF ?
• Qu’est-ce que le niveau de SIL ?
• Quel est le lien entre la probabilité de défaillance et le niveau de SIL ?
• Que se cache-t-il derrière la notion de redondance ?

Pour estimer les probabilités d’inflammation, deux approches coexistent :

• la quantification à l’aide de banques de données ;
• la quantification à l’aide de modèles mathématiques.

Dans le cadre des Études De Dangers, l’utilisation de banques de données constitue l’approche la plus répandue. Comme pour d’autres paramètres (exemple : fréquence de fuite), la banque de données retenue doit être justifiée. Hormis, la notoriété de la source retenue, il est important de s’assurer que les valeurs extraites de la banque de données sont bien représentatives du cas étudié. Les probabilités rapportées dans les banques de données sont en effet souvent associées à des critères ou conditions justifiant leur domaine de validité. Dans le cadre d’une Étude De Dangers, avant de recourir aux banques de données pour estimer des probabilités d’inflammation, il est nécessaire de se poser les questions suivantes :

• Quels sont les paramètres pris en compte dans les banques de données qui rapportent des probabilités d’inflammation ?
• Quels sont les points faibles de la quantification de la probabilité d’inflammation à l’aide de banques de données ?
• Quelles sont les banques de données connues de l’Administration (DREAL et/ou DGPR) ?

Pour éviter des incidents dangereux, les industriels doivent mettre en place des mesures de maîtrise des risques, notamment en utilisant des systèmes instrumentés de sécurité. Quelles sont les normes et les méthodes pour déterminer et prévenir les possibles défaillances de ces systèmes instrumentés de sécurité?

L’évolution de la réglementation initiée par la loi n° 2003-699 du 30 juillet 2003 a eu pour effet d’inciter les industriels à analyser de manière exhaustive les différents scénarios d’accidents susceptibles de se produire sur leurs installations. Par exemple, la prise en compte de différentes tailles de brèches sur les équipements, ou celle systématique du fonctionnement et du non-fonctionnement des mesures de maîtrise des risques (MMR) a entraîné une « explosion » du nombre de phénomènes dangereux positionnés dans la grille d’appréciation des risques. Pour respecter la règle d’acceptabilité de la circulaire du 10 mai 2010, des agrégations de phénomènes sont donc proposées par les industriels. On peut alors observer à ce jour qu’à installations équivalentes, le nombre de phénomènes dangereux présentés dans la grille d’appréciation des risques peut différer. Dès lors, découlent trois principales questions :

• Existe-t-il des règles précisant la nature des agrégations possibles ?
• Quel est le principe de l’agrégation ?
• Quelles sont les agrégations les plus courantes ?

L’évaluation du niveau de SIL d’une SIF comporte plusieurs étapes :

• Étape 1 : Choisir une méthode de calcul ;
• Étape 2 : Collecter et estimer les données nécessaires aux calculs ;
• Étape 3 : Vérifier que le SIL calculé est compatible avec les exigences architecturales de la norme IEC 61511.

Dans le cadre des études de dangers (EDD), le phénomène de BLEVE constitue généralement un accident majeur dont les effets sont dimensionnants pour la maîtrise de l’urbanisation. Suite à de tragiques accidents comme celui de Feyzin (1966 – France) ou encore à San Juanico, proche de Mexico (1984 – Mexique), les industriels ont su tirer profit de l’accidentologie pour mettre en œuvre des mesures de maîtrise des risques (MMR) adaptées afin de prévenir ce phénomène. En revanche, pour s’assurer de la pertinence des MMR en place sur un site, il est impératif de :

• comprendre la physique du phénomène ;
• connaître les principales causes susceptibles de mener à ce phénomène ;
• connaître les MMR classiquement mises en œuvre pour prévenir ce phénomène.

Par ailleurs, pour estimer les effets associés à un BLEVE de gaz liquéfié inflammable, il s’avère nécessaire de connaître les modèles recommandés par l’Administration.

En cas d’inflammation d’un nuage de gaz dans sa plage d’inflammabilité, c’est-à-dire que si la concentration de gaz dans l’air se situe entre la limite inférieure d’inflammabilité (LII) et la limite supérieure d’inflammabilité (LSI), il sera observé un phénomène dit de feu de nuage (flash fire). Ce feu de nuage générera des effets thermiques et des effets de surpression. Dans le cadre des études de dangers, les effets de surpression associés au phénomène de feu de nuage sont généralement estimés à l’aide de la méthode Multi-Énergie.

Suite à l’accident AZF en 2001, la France a complètement remis en cause sa politique d’acceptabilité des sites SEVESO vis-à-vis des riverains. Ainsi, en 2005, une nouvelle réglementation, prônant le cumul des risques auxquels un riverain est exposé, a vu le jour dans le but de juger de l’acceptabilité des risques encourus par le riverain. Pour élaborer le plan de prévention des risques technologiques (PPRT), les industriels doivent proposer une liste de phénomènes dangereux à retenir. Quelques questions se posent alors :

• Comment choisir les phénomènes dangereux à retenir pour élaborer un PPRT ?
• Est-il possible d’exclure certains phénomènes d’un PPRT ?
• Si oui, sur quelles règles se baser ?

Les mesures de maîtrise des risques instrumentées (MMRI) sont des barrières de sécurité qui comportent des éléments techniques et/ou organisationnels faisant intervenir de l’instrumentation de sécurité. Plus concrètement, une MMRI comporte une prise d’information (capteur/détecteur), un système de traitement (automate, système à relayage, etc.) et une action qui peut être automatique ou nécessiter une intervention humaine pour sa mise en œuvre.

L’arrêté du 4 octobre 2010 relatif au plan de modernisation des installations industrielles (PMII), demande aux industriels de mettre en place des actions vis-à-vis du vieillissement des mesures de maîtrise des Risques Instrumentées (MMRI). L’objectif visé est de pouvoir garantir le maintien dans le temps des performances des MMRI valorisées lors de la réalisation de l’étude de dangers.

Face à ces nouvelles obligations, les exploitants peuvent s’interroger sur les points suivants :

• Quelles sont les exigences réglementaires ?
• Quelles sont les échéances ?
• Sur quel référentiel est-il possible de s’appuyer ?
• Comment sélectionner une MMRI ?
• Comment définir le programme et plan de surveillance ?
• Que doit contenir une fiche de vie ?

Dans le cadre des études de dangers, la méthode de l’arbre de défaillances est couramment retenue en phase d’analyse détaillée des risques pour analyser les combinaisons de causes menant à un événement redouté. Pour bien appréhender la méthode, il est nécessaire :

• de comprendre le processus de construction d’un arbre de défaillances ;
• savoir identifier la composition des combinaisons de causes qui mènent à l’événement redouté (représenté au sommet de l’arbre de défaillances) ;
• savoir quantifier l’arbre de défaillances.

Lors de la réalisation d’analyses de risques, des barrières de sécurité sont valorisées dans le but de justifier que les risques sont prévenus et maîtrisés. Dès lors, plusieurs questions viennent spontanément à l’esprit :

• Y a-t-il suffisamment de barrières de sécurité ?
• Comment définir précisément le besoin en termes de réduction du risque ?
• Les barrières mises en place sont-elles suffisantes pour justifier d’un risque résiduel acceptable ?

La méthode LOPA (Layer of Protection Analysis) permet de valoriser l’ensemble des couches de protection (barrières organisationnelles et techniques) en apportant des réponses pragmatiques aux questions précédentes.

Afin de prévenir et/ou limiter les conséquences en cas de survenue d’un événement redouté, les industriels mettent en place des barrières de sécurité (ou mesure de maîtrise des risques). Selon le fonctionnement ou non de ces barrières, les conséquences observées seront d’occurrence et d’intensité différentes. Afin de mener une analyse exhaustive, il est nécessaire de disposer d’une méthode qui permette de définir précisément l’ensemble des conséquences observables. Pour ce faire, la méthode de l’arbre d’événements est reconnue comme une méthode efficiente.

Pour prévenir la survenue d’accidents majeurs, les industriels réalisent des analyses de risques. Le retour d’expérience permet de mettre en évidence que les accidents industriels majeurs sont généralement la conséquence d’un enchaînement d’événements indésirables combiné à des défaillances de barrières de sécurité. Pour analyser de tels accidents, il est nécessaire de disposer de méthodes d’analyse suffisamment fines et détaillées pour identifier l’ensemble des séquences accidentelles sans en écarter aucune a priori. Le nœud papillon permet de répondre à ce besoin en fournissant une arborescence détaillée capable d’expliciter le déroulement chronologique d’un accident.

Pour mener à bien une analyse par nœud papillon, quatre étapes clefs sont à mettre en œuvre :

• Définir l’événement redouté qui constitue le point central du nœud papillon.
• Construire l’arbre de défaillances (cf. Étude des dangers : recenser les intérêts extérieurs à protéger) afin de mettre en évidence l’ensemble des combinaisons de causes pouvant mener à l’événement redouté.
• Construire l’arbre d’événements (cf. Études des dangers : arbre d’événements (méthode d’analyse détaillée des risques ADR)) afin de mettre en évidence l’ensemble des conséquences possibles en fonction que les barrières de mitigation remplissent ou non leurs fonctions de sécurité.
• Quantifier le nœud papillon, c’est-à-dire évaluer les fréquences d’occurrence des conséquences en sortie de l’arbre d’événements.

Avec l’émergence des analyses de risques quantifiées (analyses dites « probabilistes »), les banques de données se révèlent être un outil précieux et indispensable pour évaluer la probabilité d’occurrence des accidents industriels.

Pour évaluer la probabilité d’un phénomène, la méthode la plus simple consiste à utiliser des données issues de l’accidentologie, basées sur une analyse statistique des événements déjà observés. Une autre approche possible consiste en l’évaluation de la probabilité par calcul à l’aide de méthodes telles que le nœud papillon, l’arbre de défaillances, l’arbre d’événements ou encore la méthode LOPA. Ces deux approches nécessitent d’utiliser différents types de banques de données. Dès lors, la question qui se pose est la suivante : À quelles banques de données faut-il se référer ?

Vous devez définir la méthodologie d’analyse des risques à mettre en œuvre dans le cadre de votre étude de dangers ou bien superviser sa réalisation et des questions vous viennent naturellement à l’esprit :

• Quels objectifs sont à atteindre (en d’autres termes, que faut-il démontrer) ?
• Peut-on utiliser plusieurs méthodes ?
• Comment choisir parmi les méthodes existantes ?
• La DREAL peut-elle m’imposer une méthode ?
• Quelles compétences et ressources sont nécessaires ?

L’évaluation des probabilités d’inflammation constitue une étape importante dans la quantification des risques liés aux activités qui utilisent, stockent ou synthétisent des produits inflammables. Pour autant, elle se révèle difficile, car dépendante de la nature du produit, de sa pression et température et bien sûr de l’environnement dans lequel a lieu la fuite. La distinction entre l’inflammation immédiate et l’inflammation retardée est nécessaire, et conduit à un calcul de probabilité englobant les deux phénomènes. De plus, les composantes de cette probabilité sont variées, entre autres la densité des sources d’inflammation, la durée de persistance du mélange inflammable et la nature de la cause de perte de confinement.

Les normes IEC 61508 et 61511 permettent de caractériser la performance d'un équipement de sécurité (61508) et d'une fonction instrumentée de sécurité (61511) en évaluant son niveau de SIL (Safety Integrity Level). Il existe quatre niveaux de SIL, le niveau 4 renvoyant au niveau le plus « élevé », le niveau 1 au niveau le plus « faible ». Un système de SIL « n », a une probabilité de défaillance à la sollicitation comprise entre 10-n et 10-(n+1). Pour déterminer le niveau de SIL d'une fonction instrumentée de sécurité, il est nécessaire de calculer la probabilité de défaillance. L'article explicite la manière dont il est possible d'évaluer la probabilité de défaillances à la sollicitation à l'aide de formules de calcul simplifiées ou à l'aide de la méthode arbre de défaillances.

L’Administration demande aujourd’hui aux industriels français de présenter des études de dangers dites probabilistes. Les enjeux liés à la réalisation des plans de prévention des risques technologiques mettent en lumière la nécessité de disposer de méthodologies transparentes pour évaluer les probabilités des accidents industriels. Au fil du temps, différent textes réglementaires sont venus préciser les demandes de l’Administration quant au degré de détail attendu pour justifier des probabilités d’accidents. L’évaluation de la Probabilité des Défaillances (PFD) des barrières de sécurité ou Mesures de Maîtrise des Risques (MMR) y prend une part considérable. La « fiabilité » est l’un des critères qui permet de préjuger de la performance d’une MMR. Ce critère est caractérisé dans les analyses de risques par la PFD. Cet article présente les différents types de MMR (dispositifs de sécurité, mesure organisationnelle, etc.) et explicite les méthodes d’évaluation de leurs PFD. Pour ces différents types de MMR, des ordres de grandeur de PFD classiquement utilisés sont présentés.