42155210-se4055.pdf

ARTICLE

TECHNIQUES DE L’INGÉNIEUR L’expertise technique et scientifique de référence

Techniques de l'Ingénieur

se4055 p2645 Spectrométrie de masse Principe Noeud papillon : une méthode- de quantification du risque et appareillage 10/06/2015 Date de publication : 12/09/2014 Par :

Olivier IDDIR

Guy BOUCHOUX Ingénieur quantification des risques - Service expertise et modélisation - Membre du réseau des Professeur à l’université Paris XIFrance, (Orsay),Paris-La École Polytechnique, DCMR, Palaiseau experts de TECHNIP TECHNIP Défense

Michel SABLIER

Chargé de recherches au CNRS, École Polytechnique, DCMR, Palaiseau

Guy BOUCHOUX

Professeur à l’université Paris XI (Orsay), École Polytechnique, DCMR, Palaiseau

Michel SABLIER

Chargé de recherches au CNRS, École Polytechnique, DCMR, Palaiseau

Cet article fait partie de la base documentaire : Mesures - d'analyse Analyses des risques Méthodes Dans le pack : Sécurité Mesures et - Analyses gestion des risques Environnement Sécurité et dans l’univers : Technolgies de -l’information Cet article peut être traduit dans la langue de votre choix. Accédez au service Traduction à la demande dans votre espace « Mon compte ». (Service sur devis)

25/07/2015 Document délivré le : 23/06/2014 7200092269 cerist // 193.194.76.5 Pour le compte : 7200100403 -- techniques ingenieur // marie LESAVRE // 217.109.84.129 Pour toute question : Service Relation clientèle - Techniques de l’Ingénieur 249 rue de Crimée - 75019 - Paris par mail [email protected] ou au téléphone 00 33 (0) 1 53 35 20 20 Copyright © © 2014 2015 | Techniques Techniques de de l’Ingénieur l'Ingénieur | tous droits réservés Copyright

Nœud papillon : une méthode de quantification du risque par

Olivier IDDIR Ingénieur quantification des risques – Service expertise et modélisation – Membre du réseau des experts de TECHNIP TECHNIP France, Paris-La Défense

1.

Quantification du risque : une nécessité........................................

SE 4 055v2 - 2

2.

Notion d’acceptabilité du risque ......................................................

—

2

3.

Présentation de la méthode ...............................................................

—

5

4.

Quantification du nœud papillon ......................................................

—

15

5.

Limites liées à la quantification d’un nœud papillon..................

—

22

6.

Exemple de nœud papillon quantifié ...............................................

—

25

7.

Conclusion...............................................................................................

—

29

8.

Glossaire – Définitions .........................................................................

—

29

Pour en savoir plus ........................................................................................ Doc. SE 4 055v2

ans de nombreux secteurs d’activité tels que l’aéronautique, l’industrie chimique, l’industrie pétrolière, le nucléaire, il est nécessaire d’évaluer les risques afin de pouvoir se prononcer sur leur acceptabilité. Les notions de danger et de risque sont très souvent confondues, le risque étant toujours lié à l’existence d’un danger, ou d’une situation dangereuse. Pour les différencier, il est possible de considérer que le danger est « réel » et le risque « potentiel ». Certaines installations industrielles présentent, de par leurs activités, de nombreux dangers. Citons, par exemple, le stockage ou la synthèse de produits inflammables et/ou toxiques. Sur de telles installations, un des événements redoutés est la perte de confinement qui peut aboutir à des phénomènes dangereux de type incendie, jet enflammé ou explosion dans le cas d’un produit inflammable et dispersion atmosphérique dans celui d’un produit toxique. L’évaluation d’un risque nécessite d’évaluer les deux composantes du couple probabilité/gravité. La gravité des phénomènes dangereux est habituellement estimée par modélisation de l’intensité des effets à l’aide d’outils ou de logiciels. L’estimation de la probabilité d’occurrence pour les risques liés au secteur de l’industrie nécessite aujourd’hui d’avoir recours à des méthodologies utilisées depuis de nombreuses années dans d’autres domaines, tels que le nucléaire ou l’aéronautique. En effet, en France, avant les années 2000 et contrairement aux pays anglo-saxons, l’évaluation des risques reposait sur une approche déterministe. Les probabilités d’occurrence d’accidents étaient alors en grande majorité estimées par avis d’experts. Le tragique accident survenu à Toulouse le 21 septembre 2001 a initié un profond remaniement de la réglementation française qui prône aujourd’hui l’approche probabiliste. L’objectif de cet article est de présenter la méthode d’analyse de risques nommée « nœud papillon » qui résulte de la combinaison d’un arbre de défaillances et d’un arbre d’événements, centrée sur un même événement redouté. Après avoir exposé les fondements de cette méthode, il sera dressé un panorama des diverses banques de données pouvant être utilisées lors de la phase de quantification. Enfin, l’article abordera les limites de la méthode.

D

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 1

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

1. Quantification du risque : une nécessité

Gravité Gk

En 1966, à Feyzin, 18 personnes ont trouvé la mort suite au BLEVE de plusieurs sphères de stockage. Par la suite, les accidents de Flixborough (Grande-Bretagne) en 1974, Seveso (Italie) en 1976, AZF (Toulouse) en 2001 ou plus récemment Buncefield (GrandeBretagne) en 2005 sont tous des accidents qui rappellent si besoin la nécessité de disposer de méthodes et d’outils performants pour estimer les risques. En France, depuis 2001, la réglementation visant à garantir que les industriels maîtrisent leurs risques a beaucoup évolué. En fonction de la dangerosité des installations, les industriels doivent réaliser des études démontrant qu’ils ont pris l’ensemble des mesures de prévention et de protection permettant de garantir que les risques liés à leurs activités sont acceptables. Pour évaluer ces risques, différentes méthodes d’analyse peuvent être déployées (APR, HAZOP, etc.). Cependant, le nœud papillon constitue aujourd’hui la méthodologie d’analyse quantifiée du risque recommandée par l’administration française pour étudier les scénarios d’accidents les plus critiques.

Gravité croissante

5

Depuis une trentaine d’années, la succession d’accidents significatifs en termes de dommages matériels et humains, majoritairement liés à l’expansion de l’activité industrielle, vient mettre en lumière la question primordiale de la sécurité.

4

3

2

1

E

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

C

B

A

Probabilité Pk

Probabilité décroissante A : niveau de probabilité le plus fort E : niveau de probabilité le plus faible 1 : niveau de gravité le plus faible 5 : niveau de gravité le plus fort

Risque jugé inacceptable

Risque ALARP

2. Notion d’acceptabilité du risque

tiwekacontentpdf_se4055

D

Risque jugé acceptable

2.1 Estimation

Figure 1 – Exemple de matrice de criticité 5
5

2.1.1 Matrices de criticité

La matrice de criticité, présentée en figure 1, comporte trois zones de risque :

Dans le domaine du risque industriel, la quantification des risques constitue une étape incontournable. Elle permet, au regard de la probabilité et de la gravité d’un accident, de juger de la suffisance ou non des mesures de prévention dont l’objectif est de prévenir l’apparition d’accident, et des mesures de mitigation/ protection dont le but est de limiter les effets en cas d’accident. Or, afin de se prononcer sur l’acceptabilité d’un risque, il faut pouvoir le mesurer en le comparant à une échelle.

– « acceptable » : dans cette zone, les accidents présentent une probabilité suffisamment faible au regard de la gravité des conséquences associées ; – dite « ALARP » (As Low As Reasonably Practicable ) : dans cette zone, l’ensemble des mesures envisageables a été mis en place et il n’est plus possible, avec un coût économique raisonnable, de diminuer ni la probabilité, ni la gravité ; – « inacceptable » : dans cette zone, il est nécessaire de mettre en place des actions qui visent à réduire la gravité et/ou la probabilité, en définissant de nouvelles mesures de prévention et/ou de mitigation, afin de ramener si possible le risque dans la zone acceptable, ou a minima dans la zone ALARP.

Reprenant la philosophie du diagramme de Farmer, la matrice de criticité permet de juger de l’acceptabilité d’un risque. Mais contrairement au diagramme de Farmer, les matrices de criticité ne font pas intervenir une frontière linéaire, mais un ensemble de couples de valeurs de probabilité/gravité (Pk/Gk ) au-delà desquels le risque passe du domaine de l’acceptable à celui de l’inacceptable. Pour limiter les erreurs de jugement sur des événements dont le couple (Pk/Gk ) se rapprocherait de la frontière, une notion de risque, dite « ALARP » (As Low As Reasonably Practicable), est fréquemment utilisée. Il est à noter que le nombre de niveaux de probabilité et de gravité, constituant une matrice de criticité, n’a rien d’universel. Néanmoins les matrices de criticité, dites 5 × 5, c’est-à-dire composées de 5 niveaux de probabilité et de 5 niveaux de gravité, sont couramment utilisées. La figure 1 présente un exemple de matrice de criticité. Le découpage entre les différentes catégories de risque est uniquement donné à titre indicatif.

SE 4 055v2 – 2

La notion d’acceptabilité d’un risque peut sembler subjective, surtout lorsque la vie d’individus est en jeu. En effet, la distinction entre les différentes zones de risque n’est pas aisée et dépend essentiellement des définitions données aux différents niveaux de probabilité et de gravité qui constituent la matrice de criticité.

2.1.2 Matrice de criticité réglementaire en France Avant la circulaire du 29 septembre 2005 (reprise dans la circulaire du 10 mai 2010), relative aux critères d’appréciation de la démarche de maîtrise des risques d’accidents susceptibles de survenir dans les établissements dits « Seveso », visés par l’arrêté du 10 mai 2000 modifié, il n’existait pas de matrice de criticité réglementaire. Les matrices utilisées étaient soit celles proposées par les industriels eux-mêmes, soit celles réalisées par des sociétés

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

expertes dans l’évaluation des risques. Dans un souci d’homogénéité, le ministère de l’Environnement (MEDAD à l’époque) a donc proposé une matrice de criticité 5 × 5 (grille d’appréciation des risques), telle que présentée en figure 2. Elle se subdivise en 25 cases, correspondant à des couples probabilité/gravité des conséquences identiques à ceux du modèle figurant à l’annexe V de l’arrêté du 10 mai 2000 modifié, que les industriels doivent utiliser pour positionner chacun des accidents potentiels dans leur étude de dangers. Cette matrice délimite trois zones de risque accidentel : – risque élevé, figuré par le mot « non » ; – risque intermédiaire, figuré par le sigle « MMR » (mesures de maîtrise des risques), dans laquelle une démarche d’amélioration continue est particulièrement pertinente, en vue d’atteindre, dans des conditions économiquement acceptables, un niveau de risque aussi bas que possible, compte tenu de l’état des connaissances, des pratiques et de la vulnérabilité de l’environnement de l’installation ; – risque moindre, qui ne comporte ni « non » ni « MMR ».

(/an). L’unité de temps associée à la notion de probabilité confirme que les notions de fréquence et de probabilité sont bien souvent confondues. La fréquence est une grandeur observée issue d’une exploitation d’un retour d’expérience. Elle s’exprime généralement en unité de temps–1 ou opération–1. Dans le cas où le temps est le critère d’observation, la fréquence est définie par le quotient entre le nombre d’événements observés sur la période d’observation et ce temps d’observation. Lorsque la période d’observation est exprimée en années, les fréquences sont alors données en unité an–1. La probabilité d’occurrence d’un accident est assimilée à sa fréquence d’occurrence future estimée sur l’installation considérée.

En France, les accidents potentiels ou les phénomènes dangereux identifiés dans les études de dangers sont étudiés sur un intervalle temporel donné. La période de temps retenue dans le cadre réglementaire est celle rappelée dans l’échelle de probabilité de l’arrêté PCIG, à savoir l’année. L’INERIS a donc introduit la notion de probabilité d’occurrence annuelle (POA).

La gradation des cases « non » ou « MMR » en « rangs », correspond à un risque croissant, depuis le rang 1 jusqu’au rang 4 pour les cases « non », et depuis le rang 1 jusqu’au rang 2 pour les cases « MMR ». Cette gradation correspond à la priorité que l’on peut accorder à la réduction des risques, en s’attachant d’abord à réduire les risques les plus importants (rangs les plus élevés).

Dans la suite de cet article, nous retiendrons donc la terminologie suivante : – fréquence d’occurrence pour les événements redoutés (ER) ; – probabilité d’occurrence pour les événements redoutés secondaires (ERS) et pour les phénomènes dangereux (PhD). Néanmoins, en toute rigueur, le produit entre une fréquence et une probabilité donne une fréquence.

Les niveaux de probabilité et de gravité retenus pour constituer cette matrice sont respectivement présentés dans les tableaux 1 et 2. Concernant l’échelle rapportée dans le tableau 1, on peut noter qu’il est fait mention de la notion de probabilité d’occurrence et que les données quantitatives sont exprimées en unité de temps–1.

Gravité des conséquences sur les personnes exposées au risque (1)

PROBABILITÉ (sens croissant de E vers A) (1)

E

D

C

B

A

Désastreux

Non partiel (sites nouveaux : (2)) /MMR rang 2 (sites existants : (3))

Non rang 1

Non rang 2

Non rang 3

Non rang 4

Catastrophique

MMR rang 1

MMR rang 2 (3)

Non rang 1

Non rang 2

Non rang 3

Important

MMR rang 1

MMR rang 1

MMR rang 2 (3)

Non rang 1

Non rang 2

MMR rang 1

MMR rang 2

Non rang 1

Sérieux

MMR rang 1

Modéré

(1) Probabilité et gravité des conséquences sont évaluées conformément à l’arrêté ministériel relatif à l’évaluation et à

la prise en compte de la probabilité d’occurrence, de la cinétique, de l’intensité des effets, et de la gravité des conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation. (2) L’exploitant doit mettre en œuvre des mesures techniques complémentaires permettant de conserver le niveau de probabilité E en cas de défaillance de l’une des mesures de maîtrise du risque. (3) S’il s’agit d’une demande d’autorisation « AS », il faut également vérifier le critère C du 3 de l’annexe L. (4) Dans le cas particulier des installations pyrotechniques, les critères d’appréciation de la maîtrise du risque accidentel à considerer sont ceux de l’arrêté ministériel réglementant ce type d’installations.

Figure 2 – Matrice de criticité rapportée dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 3

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 1 – Échelle de probabilité proposée dans l’arrêté du 29 septembre 2005 Classe de probabilité Type d’appréciation E

Qualitative (les définitions entre guillemets ne sont valables que si le nombre d’installations et le retour d’expérience sont suffisants)

Semi-quantitative

« Événement possible mais extrêmement peu probable » : n’est pas impossible au vu des connaissances actuelles, mais non rencontré, au niveau mondial, sur un très grand nombre d’années d’installations

D

C

« Événement très improbable » : s’est déjà produit dans ce secteur d’activité, mais a fait l’objet de mesures correctives réduisant significativement sa probabilité

« Événement improbable » : un événement similaire déjà rencontré dans le secteur d’activité ou dans ce type d’organisation au niveau mondial, sans que les éventuelles corrections intervenues depuis apportent une garantie de réduction significative de sa probabilité

B

A

« Événement probable sur site » : s’est produit et/ou peut se produire pendant la durée de vie des installations

« Événement courant » : se produit sur le site considéré et/ou peut se produire à plusieurs reprises pendant la durée de vie des installations, malgré d’éventuelles mesures correctives

Cette échelle est intermédiaire entre les échelles qualitative et quantitative, et permet de tenir compte de la cotation des mesures de maîtrise des risques mises en place

Quantitative (par unité et par an)


10−5

10–5 à 10–4

10–4 à 10–3

10–3 à 10–2

 10−2

Ces définitions sont conventionnelles et servent d’ordre de grandeur à la probabilité moyenne d’occurrences, observable sur un grand nombre d’installations pendant x années. Elles sont inappropriées pour qualifier des événements très rares dans des installations peu nombreuses ou faisant l’objet de modifications techniques ou organisationnelles. En outre, elles ne préjugent pas de l’attribution d’une classe de probabilité pour un événement dans une installation particulière, qui découle de l’analyse de risque et peut être différent de l’ordre de grandeur moyen, afin de tenir compte du contexte particulier, de l’historique des installations, ou de leur mode de gestion.

Un retour d’expérience mesuré en nombre d’années x installations est dit « suffisant », s’il est statistiquement représentatif de la fréquence du phénomène (et pas seulement des événements ayant réellement conduit à des dommages) étudié dans le contexte de l’installation considérée, à condition que cette dernière soit semblable aux installations composant l’échantillon sur lequel ont été observées les données de retour d’expérience. Si le retour d’expérience est limité, les détails (figurant en italique) ne sont, en général, pas représentatifs de la probabilité réelle. L’évaluation de la probabilité doit être effectuée par d’autres moyens (études, expertises, essais) que le seul examen du retour d’expérience.

Tableau 2 – Échelle de gravité proposée dans l’arrêté du 29 septembre 2005

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Niveau de gravité des conséquences

tiwekacontentpdf_se4055

Zone délimitée par le seuil des effets létaux significatifs (personnes exposées)

Zone délimitée par le seuil des effets létaux (personnes exposées)

Zone délimitée par le seuil des effets irréversibles sur la vie humaine (personnes exposées)

Désastreux

Plus de 10

Plus de 100

Plus de 1 000

Catastrophique

Moins de 10

Entre 10 et 100

Entre 100 et 1 000

Important

Au plus 1

Entre 1 et 10

Entre 10 et 100

Sérieux

Aucune

Au plus 1

Moins de 10

Modéré

Pas de zone de létalité hors établissement

Présence humaine exposée à des effets irréversibles inférieure à 1

Personne exposée : en tenant compte, le cas échéant, des mesures constructives visant à protéger les personnes contre certains effets, et la possibilité de mise à l’abri des personnes en cas d’occurrence d’un phénomène dangereux, si la cinétique de ce dernier et la propagation de ses effets le permettent.

Pouvoir positionner des situations dangereuses dans une matrice de criticité suppose qu’il soit possible d’évaluer la probabilité d’occurrence et la gravité d’un événement, de sorte que se tromper de zone de risque est exclu. Or, les événements les plus graves sont aussi généralement les plus rares, l’accidentologie révèle ainsi que ces accidents sont souvent la conséquence de combinaisons de plusieurs événements. On parle alors de « séquence accidentelle ». Évaluer la probabilité d’occurrence d’accidents « complexes », c’est-à-dire dont l’origine peut être de nombreuses combinaisons

SE 4 055v2 – 4

de causes, nécessite de recourir à des méthodologies qui permettent une analyse exhaustive : – des combinaisons de causes pouvant aboutir à la réalisation de tels accidents ; – des conséquences en cas de survenue de tels accidents. C’est donc lors de l’étape d’évaluation de la probabilité d’occurrence des événements redoutés et de leurs conséquences qu’il est primordial de disposer d’une méthode « robuste » pour estimer au plus juste ces valeurs.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

3. Présentation de la méthode 3.1 Principe Le concept du nœud papillon a été introduit par la compagnie ICI (Imperial Chemical Industries ). Après l’accident survenu sur la plate-forme pétrolière Piper Alfa, la compagnie Royal Dutch/Shell a développé cette technique d’analyse au début des années 1990 afin d’améliorer la sécurité sur de telles installations. L’utilisation de la méthode du nœud papillon tend aujourd’hui à se démocratiser et son application au secteur de l’industrie est de plus en plus répandue. Le programme de recherche européen ARAMIS (Accidental Risk Assessment Methodology for Industries in the framework of Seveso II directive ) portant sur l’évaluation des risques dans le contexte de l’application de la directive Seveso II met en avant les avantages de cette méthode. Pour rappel, ce programme avait pour but : – le développement d’une méthodologie plus précise et harmonisée d’analyse de risque pour les études de dangers (ou safety reports ), dans le contexte de l’application de la directive Seveso II ; – l’identification et la qualification des principaux phénomènes accidentels majeurs (appréciation de la probabilité et de la gravité des effets physiques en utilisant, par exemple, la représentation sous forme de nœud papillon) ; – l’évaluation de la performance des fonctions et éléments de sécurité liés à la prévention des phénomènes accidentels ; – l’identification de la vulnérabilité de l’environnement des sites.

Le fondement de la méthode du « nœud papillon » est relativement simple. Elle propose pour un même événement redouté de réunir un arbre de défaillances pour expliciter les causes et un arbre d’événements pour expliciter les conséquences.

Le point central du nœud papillon est constitué par un événement redouté qui peut être par exemple une perte de confinement. La partie en amont de l’événement redouté est constituée par un arbre de défaillances qui permet d’analyser les combinaisons de causes, et de valoriser les barrières de prévention mises en place pour prévenir l’apparition de l’événement redouté. La partie en aval est, quant à elle, constituée par un arbre d’événements qui permet de différencier les conséquences en fonction du fonctionnement ou non des mesures de mitigation/protection. Le synoptique, présenté en figure 3, présente la structure d’un nœud papillon. Le tableau 3 détaille les définitions associées à chacun des événements figurant sur le modèle du nœud papillon de la figure 3. En France, différents groupes de travail nationaux ont travaillé sur la réalisation de nœuds papillons « génériques ». S’il est possible de s’en inspirer, il est indispensable de les adapter au cas étudié en prenant en compte les spécificités du site. En fonction de la nature de l’événement redouté, les événements de base peuvent être dits « indésirables ». Citons, par exemple, un choc mécanique sur une canalisation pouvant aboutir à l’événement redouté : « brèche sur canalisation », ou bien la combinaison entre un événement courant et une défaillance, tel que le montage d’un bras de dépotage et l’absence de contrôle de bonne étanchéité pouvant aboutir à l’événement redouté « mauvaise étanchéité au niveau d’un bras de dépotage », en cas de montage défectueux. Le principal intérêt du nœud papillon est qu’il permet de visualiser l’ensemble des chemins conduisant des événements de base jusqu’à l’apparition des phénomènes dangereux. Chaque chemin décrit un scénario d’accident. Un scénario d’accident est défini comme un enchaînement d’événements aboutissant à un événement redouté, conduisant lui-même à des conséquences lourdes ou effets majeurs. Cette notion est présentée dans les articles relatifs à la méthode MOSAR [SE 4 060] [SE 4 061].

Différenciation des phénomènes dangereux

Valorisation des barrières de mitigation

PhD 1 EB1

ERS 1 EI1 ERS 2

EB2

PhD 2

ER ERS 3 EI2

ERS 4

Arbre de défaillances

Arbre d’événements

Arbre des conséquences

Identification des combinaisons de causes

Identification des événements redoutés secondaires

Identification des phénomènes dangereux

Figure 3 – Schéma d’un nœud papillon

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 5

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 3 – Définition des événements composant un nœud papillon Identification

EB

Signification

Événement de base

Définition

Événement dont la réalisation, seule ou combinée, est susceptible d’aboutir à la matérialisation d’un événement intermédiaire (EI)

Événement courant survenant de façon récurrente dans la vie d’une installation (vibration, maintenance, etc.)

Événement dont la réalisation, seule ou combinée, est susceptible d’aboutir à la matérialisation de l’événement redouté (ER)

Montée en température non détectée, corrosion non détectée lors de test d’inspection, etc.

ER

Événement redouté

Événement résultant de dérives de paramètres de fonctionnement, ou de défaillances d’éléments, pouvant avoir des conséquences dommageables sur l’environnement

Rupture de capacité, brèche sur canalisation, décomposition de substance, etc.

ERS

Événement redouté secondaire

Conséquence directe de l’événement redouté

Formation d’une nappe d’hydrocarbure, fuite de gaz toxique, sur une durée de 10 min, etc.

PhD

Phénomène dangereux

Libération d’énergie ou de substance susceptible d’infliger un dommage à des cibles (ou éléments vulnérables) vivantes ou matérielles

Jet enflammé, BLEVE, Boil Over, explosion, etc.

La méthode du nœud papillon est habituellement réservée pour l’analyse d’événements dont les combinaisons de causes sont complexes à identifier, et/ou lorsque des barrières de mitigation/protection sont prévues pour limiter les conséquences de l’événement redouté. En fonction de l’utilisation du nœud papillon, il est possible que ces nœuds soient plus ou moins complexes (arborescence plus ou moins développée). La complexité d’un nœud papillon tient en effet : Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Dérive ou défaillance sortant du cadre des conditions d’exploitation usuelles définies (montée en température, sur remplissage, etc.)

Événement intermédiaire

EI

tiwekacontentpdf_se4055

Exemples

– au niveau de développement de l’arbre de défaillances ; – à la mise en évidence, explicite ou non, de la défaillance des barrières de prévention dans l’arbre de défaillances ; – à la mise en évidence, explicite ou non, de la défaillance des barrières de mitigation/protection dans l’arbre d’événements. Ainsi, deux utilisations du nœud papillon sont à distinguer : – l’analyse qualitative des risques qui vise à identifier les différents scénarios d’accidents ; – l’analyse quantitative des risques qui vise à quantifier les probabilités des différents scénarios d’accidents. Lorsque le nœud papillon est réalisé uniquement dans le but de formaliser une démarche d’analyse des risques, les barrières de sécurité sont le plus souvent représentées sous la forme de barres verticales pour symboliser le fait qu’elles s’opposent au développement d’un chemin critique aboutissant à un accident. De ce fait, dans cette représentation, chaque chemin, conduisant d’une défaillance d’origine (événements de base de l’arbre de défaillances) jusqu’à l’apparition des phénomènes dangereux, désigne un scénario d’accident particulier pour un même événement redouté.

SE 4 055v2 – 6

Le nœud papillon permet alors de juger de la bonne maîtrise ou non des risques, en explicitant clairement le rôle de chacune des barrières de sécurité sur le déroulement d’un accident. La figure 4 présente un exemple de ce type de représentation. Il est à noter que ces représentations simplifiées s’apparentent plus à la combinaison d’un arbre des causes et d’un arbre des conséquences qu’à un réel nœud papillon. En effet, pour la partie avale du nœud papillon, les différents ERS ne sont généralement pas tous détaillés et plus particulièrement ceux consécutifs au fonctionnement des barrières. Sur la représentation de la figure 4, les deux ERS possibles en fonction du fonctionnement ou non de la BM1 sont envisagés.

Lorsque les ERS consécutifs au fonctionnement des barrières sont susceptibles d’être à l’origine de phénomènes dangereux pouvant avoir des conséquences non négligeables, il est impératif de ne pas oublier de faire apparaître ces scénarios.

Lorsque le nœud papillon est élaboré dans l’objectif de quantifier les probabilités des phénomènes dangereux, cet outil peut s’avérer relativement lourd à mettre en place et son utilisation ne doit être réservée qu’à des événements jugés particulièrement critiques pour lesquels une analyse détaillée du risque est indispensable. En d’autres termes, comme cet outil d’analyse peut être particulièrement coûteux en temps, il doit être utilisé à bon escient.

Habituellement, les événements redoutés étudiés par un nœud papillon sont présélectionnés lors d’une étape d’évaluation préliminaire qui permet de hiérarchiser les risques.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

BP3 Agression thermique du réacteur (effet domino)

Rejet par les soupapes

Excès de catalyseur

BM1

ou

Excès de réactifs Perte du système de refroidissement

ou

BP1 ou

Dispersion sans inflammation Ruine du réacteur

Emballement de la réaction

Explosion

BP2 Défaillance du système régulation To

Mauvaises proportions dans le mélange

Montée en pression dans un réacteur

ou

Augmentation de la température

Barrière de prévention (BP) BP1 : mesure du débit du fluide de refroidissement avec alarme en SdC sur seuil bas BP2 : mesure de la température par un capteur dédié (en plus du capteur d’exploitation avec report d’alarme en salle de contrôle sur seuil haut) BP3 : détection feu asservissant le refroidissement du ballon

Barrière de mitigation (BM) BM1 : soupapes de décharge sur le réacteur

Figure 4 – Représentation simplifiée d’un nœud papillon

3.2 Rappels sur la méthode de l’arbre de défaillances

Événement redouté

Cette méthode est présentée dans l’article [SE 4 050]. Les rappels ci-après fournissent des éléments nécessaires à la bonne compréhension de la méthodologie du nœud papillon. L’arbre de défaillances consiste à déterminer à l’aide d’une arborescente descendante toutes les combinaisons de défaillances ou de causes amenant à la réalisation d’un événement redouté. Les événements sont reliés entre eux à l’aide de portes logiques qui permettent de traduire des liens de causalité. La construction d’un arbre de défaillances est donc basée sur un raisonnement déductif, dont la formalisation est schématisée dans l’exemple de la figure 5.

Porte logique ET

Événement intermédiaire 1

Événement de base 0

Porte « OU » : l’événement en sortie de la porte se réalisera si au moins un des événements en entrée est vérifié. Exemple : l’événement intermédiaire 1 se réalisera si au moins l’un des deux événements de base apparaît (événement de base 1 ou événement de base 2).

Événement de base 1

Événement de base 2

Niveau 2 de l’arbre

Figure 5 – Structure d’un arbre de défaillances

Il existe bien d’autres portes que les ET et les OU. Quelques exemples d’autres types de portes logiques issus de la norme NF EN 61025 sont présentés dans le tableau 4.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Niveau 1 de l’arbre

Porte logique OU

Porte « ET » : l’événement en sortie de la porte se réalisera si les événements en entrée sont vérifiés en même temps. Exemple : l’événement redouté ne se réalisera que si l’événement de base 0 et l’événement intermédiaire 1 sont réunis en même temps.

Niveau 0 de l’arbre

SE 4 055v2 – 7

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 4 – Quelques exemples de portes logiques (autres que ET et OU) Symbolique

Nom

m

VOTE MAJORITAIRE

XOR

Signification

L’événement en sortie se produit si m ou plus des événements en entrée sur un total de n se produisent

L’événement en sortie se produit si l’un des événements se produit mais pas les autres

NOR

L’événement en sortie se produit si aucun des événements en entrée de la porte ne se produit

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Dans le cadre de l’élaboration de nœud papillon, les portes logiques utilisées se limitent généralement aux portes ET et OU.

tiwekacontentpdf_se4055

La plupart des arbres de défaillances constitutifs de nœud papillon dédié à l’analyse de risques industriels font apparaître : – des défaillances d’équipements d’exploitation (pompes, compresseurs, capteurs de température, etc.) ; – des défaillances d’équipements entrant dans la composition de barrières de prévention (capteur de niveau haut, capteur de température, etc.) ; – des erreurs humaines liées à des non-respects de procédure, à des erreurs lors d’opérations de maintenance, à des erreurs d’exploitation, etc. ; – des agressions naturelles (mouvement de terrain, impact de foudre, etc.) ; – des agressions par effets domino (impact de projectile, surpression, flux thermique). L’arbre de défaillances fournit une vision synthétique des différentes causes, ou combinaisons de causes, pouvant mener à la réalisation de l’événement redouté au sommet de l’arbre. Ces différentes combinaisons sont appelées « coupes minimales ». Elles représentent les plus petites combinaisons d’événements dont la réalisation simultanée entraîne nécessairement celle de l’événement redouté. Elles ont pour ordre le nombre d’événements qui les constitue. L’analyse des coupes minimales repose sur l’application de règles de calculs associées aux portes logiques de l’arbre de défaillances. Dans l’exemple présenté en figure 6, les coupes minimales sont : – C1 : 01.02 (coupe minimale d’ordre 2) ;

SE 4 055v2 – 8

– C2 : 03.04.05 (coupe minimale d’ordre 3). Les portes « ET » ont pour effet d’augmenter l’ordre des coupes minimales ; les portes « OU » ont, quant à elles, celui d’augmenter le nombre de coupes minimales. La mise en place de mesures de prévention a comme conséquence d’introduire des portes « ET » et, donc d’accroître l’ordre des coupes.

Une coupe minimale ne peut se réaliser que si tous les événements qui la constituent sont réunis simultanément. Une augmentation de l’ordre d’une coupe se traduit quantitativement par une diminution de sa probabilité d’occurrence.

Sur les arbres réalisés dans le cadre des études de dangers (études réglementaires en France), les mesures de prévention sont le plus souvent symbolisées par des barres qui viennent s’opposer au déroulement de la séquence accidentelle comme représenté sur la figure 7. Cette représentation est couramment retenue pour faciliter la communication avec l’administration car elle permet de bien valoriser chaque barrière vis-à-vis des différentes séquences accidentelles. En revanche, pour quantifier la fréquence d’occurrence de l’événement redouté au sommet ou identifier les coupes minimales de l’arbre, la représentation en figure 8 est plus appropriée. À la différence de la représentation en figure 7, la défaillance de la barrière y est présentée de manière explicite. Il est important de conserver à l’esprit que les représentations des figures 7 et 8 fournissent la même information : l’événement intermédiaire ne se produira que si l’événement de base 1 et la défaillance de la barrière sont réunis de manière concomitante.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Événement redouté (TOP de l’arbre) @ TOP.-1

Événement intermédiaire

Événement intermédiaire

@ TOP.-2

@ TOP.-3

Événement de base 01

Événement de base 02

Événement de base 03

Événement de base 04

Événement de base 05

01

02

03

04

05

C1 : Coupe minimale d’ordre 2

C2 : Coupe minimale d’ordre 3

Figure 6 – Identification des coupes minimales d’un arbre de défaillances

Événement redouté

Événement redouté

Porte OU

Porte OU

Événement intermédiaire

Événement intermédiaire

Porte ET Barrière

Événement de base 1

Événement de base 1

Défaillance de barrière

Figure 7 – Représentation symbolique de l’effet d’une barrière de prévention

Figure 8 – Prise en compte de la défaillance d’une barrière de prévention

3.3 Rappels sur la méthode de l’arbre d’événements

susceptibles de se réaliser suivant que les barrières de mitigation/protection remplissent, ou non, leurs fonctions de sécurité. Dans la méthodologie du nœud papillon, l’événement initiateur de l’arbre d’événements correspond à l’événement redouté, dont les combinaisons de causes sont explicitées par l’arbre de défaillances (partie gauche de la figure 3).

Cette méthode est présentée dans l’article [SE 4 050]. Les rappels qui suivent donnent des éléments nécessaires à la bonne compréhension de la méthodologie du nœud papillon. Cette méthode a pour objectif, en partant d’un événement initiateur, de déterminer l’ensemble des séquences accidentelles

Une séquence d’événements est composée de l’événement initiateur et d’une combinaison de fonctionnement, ou de non-fonctionnement, des barrières de mitigation/protection.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 9

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Les conséquences qui résultent de combinaisons de succès et d’échecs des barrières constituent des événements redoutés secondaires (ERS). Par exemple, si l’événement redouté à l’origine de l’arbre est de type brèche sur canalisation et que les barrières valorisées permettent d’isoler la fuite, les ERS seront des fuites sur des durées différentes.

Les barrières de mitigation sont caractérisées par leur temps de réponse. Il est nécessaire de vérifier que leur durée de mise en œuvre est en adéquation avec la cinétique du phénomène dont on cherche à limiter les conséquences. La dépendance entre les éléments qui composent une barrière est importante car sa bonne prise en compte permet de ne pas faire apparaître de séquences impossibles. Par exemple, dans le cas où la fermeture d’une vanne est commandée sur une détection de fuite, la défaillance de la détection aboutira nécessairement à l’échec de la fermeture de la vanne d’isolement. Lors de l’élaboration d’un arbre d’événements, il est conseillé de respecter les recommandations suivantes : – si l’activation d’un élément composant une barrière est dépendante du succès d’un autre élément, l’arbre doit obligatoirement le faire apparaître après cet autre élément ; – si l’échec d’un élément composant une barrière implique nécessairement l’échec d’autres éléments, le succès de ces derniers ne doit pas être envisagé ; – lorsque plusieurs barrières de mitigation sont prévues vis-à-vis d’un même événement redouté, le succès d’une barrière permet de revenir à une situation sûre, le succès ou l’échec des autres barrières n’est pas à envisager. Par exemple, dans le cas où l’isolement d’une fuite peut être réalisé par l’intermédiaire de deux systèmes d’isolement redondants, en cas de succès du premier système, il n’est pas utile d’envisager les conséquences associées au fonctionnement ou non du second système.

Il est à noter que le nombre de branches d’un arbre d’événements augmente très rapidement. En effet, de manière théorique un arbre d’événements faisant intervenir n systèmes peut présenter jusqu’à (2n) branches. Cette multiplication de branches peut rapidement complexifier l’analyse. Dans le cas d’un arbre d’événements visant à valoriser des barrières de sécurité, l’arborescence théorique (2n branches) n’est quasiment jamais obtenue. De manière pratique, dans le cas où plusieurs barrières de sécurité remplissent la même fonction de sécurité, il n’est pas nécessaire de réaliser l’arborescence dans son intégralité. L’arbre d’événements en figure 10 présente un arbre « simplifié » qui correspond à un cas où les deux barrières B1 et B2 remplissent la même fonction de sécurité. Sur l’arbre de la figure 10, la simplification consiste à considérer que comme la barrière no 1 et la barrière no 2 remplissent la même fonction de sécurité, dès que la barrière no 1 remplit sa fonction, le système est mis en sécurité, et ce indépendamment du fonctionnement ou non de la barrière no 2. De ce fait, l’analyse du fonctionnement ou non de la barrière no 2 consécutivement au fonctionnement de la barrière n˚1 devient superflue.

La figure 9 présente un exemple d’arbre d’événements faisant intervenir trois barrières de sécurité. Cet arbre se parcourt de la gauche vers la droite en retenant la branche supérieure lorsque la barrière remplit sa fonction de sécurité (succès), et la branche inférieure dans le cas contraire (échec).

Événement redouté

Barrière no 1

Barrière no 2

Barrière no 3

Conséquences

Ps 3

Ps 2

« Accident » maîtrisé Pe 3

Ps 1 Ps 3

Pe 3

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Pe 2

tiwekacontentpdf_se4055

ER

Ps 3

Ps 2 Pe 3

Échec

Ps 3

Pe 1

Pe 2 Pe 3

F(ER) : fréquence d’occurrence de l’événement redouté (/an) Ps : probabilité que la barrière numéro remplisse sa fonction de sécurité à l’instant t où elle est sollicitée (sans unité) Pe : probabilité que la barrière ne remplisse pas sa fonction de sécurité à l’instant t où elle est sollicitée (sans unité)

Figure 9 – Structure d’un arbre d’événements

SE 4 055v2 – 10

« Accident » partiellement maîtrisé au bout d’un temps t

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

« Accident » non maîtrisé

Gravité croissante

Succès

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Événement redouté

Barrière de sécurité no 1 (B1)

Barrière de sécurité no 2 (B2)

Événement redouté secondaire (ERS)

Événement redouté secondaire no 1 La barrière « fonctionne »

ER Événement redouté secondaire no 2 La barrière « ne fonctionne pas »

Événement redouté secondaire no 3 Figure 10 – Structure d’un arbre d’événements « simplifié »

Pour illustrer de manière pratique ce point, l’arbre présenté en figure 12 correspond au « cas d’école » présenté en figure 11. Dans l’exemple de la figure 11, on considère un événement redouté type « brèche 10 % DN sur une canalisation de gaz inflammable ». Pour isoler la fuite, deux barrières de sécurité sont prévues : – barrière no 1 composée par un détecteur de gaz (DG), une centrale gaz et une vanne automatique V1 (temps de réponse 30 secondes) ; – barrière no 2 composée par un opérateur devant enclencher un bouton d’arrêt d’urgence (AU), un automate et une vanne automatique V2 (temps de réponse 1 min). L’arbre d’événements en figure 12 permet d’identifier trois ERS possibles consécutivement à l’ER : – l’ERS 1 consécutif au fonctionnement de la barrière no 1 : le temps de réponse de cette barrière étant de 30 s, l’ERS est une fuite isolée en 30 s ; – l’ERS 2 consécutif à la défaillance de la barrière no 1 et au fonctionnement de la barrière no 2 : le temps de réponse de la barrière no 2 étant de 1 min, l’ERS est une fuite isolée en 1 min ;

Événement redouté

Barrière de sécurité no 1 (B1)

Centrale gaz AU

V1

DG Fuite de gaz

Automate

V2

Barrière 1 : DG + centrale gaz + V1

Brèche 10 % DN Barrière 2 : AU + automate + V2

V1 : vanne d’isolement automatique no 1 V2 : vanne d’isolement automatique no 2 AU : arrêt d’urgence Figure 11 – Présentation du « cas d’école »

– l’ERS 3 consécutif à la défaillance des deux barrières : l’ERS est donc une fuite non isolée.

Barrière de sécurité no 2 (B2)

Événement redouté secondaire (ERS)

ERS 1 : fuite de gaz isolée au bout de 30 s

La barrière « fonctionne »

Brèche 10 % DN sur la canalisation ERS 2 : fuite de gaz isolée au bout de 1 min La barrière « ne fonctionne pas »

ERS 3 : fuite de gaz non isolée Figure 12 – Arbre d’événements relatif au « cas d’école » de la figure 11

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 11

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Bien que l’arbre d’événements de la figure 12 fasse intervenir deux barrières de sécurité, seuls trois ERS figurent en sortie de l’arbre. Cela s’explique par le fait que les deux barrières remplissent la même fonction de sécurité (isoler la fuite en cas de brèche). Par conséquent, dès que la barrière no 1 a fonctionné, la fuite est isolée, et ce indépendamment du fonctionnement ou non de la barrière no 2.

de remplir sa fonction au moment où elle est sollicitée. Pour chacune des barrières, il faut donc associer : – la PFD (Probability of Failure on Demand ) à la branche inférieure (c’est-à-dire la branche qui correspond au cas où la barrière ne « fonctionne pas ») ; – la valeur 1-PFD à la branche supérieure (c’est-à-dire à la branche qui correspond au cas où la barrière « fonctionne »).

Pour estimer les probabilités des différents ERS en sortie de l’arbre, il est nécessaire d’évaluer :

Sur l’arbre d’événements présenté en figure 13, sont rappelées les formules de calcul permettant d’estimer les probabilités d’occurrence des ERS.

– la fréquence d’occurrence de l’événement initiateur (événement redouté au centre du nœud papillon) ; – la probabilité de défaillance à la sollicitation des barrières de sécurité mises en place pour réduire l’intensité des conséquences en cas de survenue de l’événement initiateur.

Il est important de ne pas confondre l’arbre d’événements qui fait apparaître les différents ERS en fonction que les barrières de sécurité fonctionnent ou non et les arborescences qui visent à identifier les différents phénomènes dangereux qui peuvent découler d’un événement. L’arbre présenté en figure 14 est un exemple « d’arbre de conséquences » pour un rejet de liquide inflammable.

Pour une barrière de sécurité, la probabilité de défaillance à la sollicitation correspond à la probabilité qu’elle ne soit pas en état

Événement redouté secondaire (ERS)

Barrière de sécurité no 2 (B2)

Barrière de sécurité no 1 (B1)

Événement redouté

1 – PFD(B1)

ERS 1 : fuite de gaz isolée au bout de 30 s. P (ERS1) = F (ER) × [1 – PFD (B1)]

La barrière « fonctionne »

Brèche 10 % DN sur la canalisation

1 – PFD(B2)

ERS 2 : fuite de gaz isolée au bout de 1 min P (ERS3) = F (ER) × PFD (B1 ) × [1 – PFD (B2)]

La barrière « ne fonctionne pas » PFD(B1)

ERS 3 : fuite de gaz non isolée P (ERS3) = F (ER) × PFD (B1) × PFD (B2)

PFD(B2) Figure 13 – Quantification d’un arbre d’événements

LIQUIDES INFLAMMABLES

Dispersion

Inflammation du nuage (UVCE, flashfire)

Aérosol

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Flaque

tiwekacontentpdf_se4055

Jet

Feu de flaque

Pas de chalumeau

Évaporation Dispersion

Débit à la brèche

Pollution Chalumeau

Obstacle

Flaque

Pas d’aérosol

Flaque

Inflammation du nuage (UVCE, flashfire)

Feu de flaque Évaporation

Dispersion

Pollution

Inflammation du nuage (UVCE, flashfire)

Feu de flaque Dispersion Évaporation Pollution

Inflammation du nuage (UVCE, flashfire)

Figure 14 – Arbre des conséquences pour un rejet de liquide inflammable d’après GESIP (Guide méthodologique pour la réalisation d’une étude de sécurité concernant une canalisation de transport) – décembre 2008

SE 4 055v2 – 12

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Événement redouté

Inflammation immédiate

Barrière de sécurité

Inflammation retardée

Phénomène dangereux (PhD)

P (PhD1) = F (ER) × Pim × (1–PFD) 1–PFD

Pim

PFD

La barrière « fonctionne »

P (PhD2) = F (ER) × Pim × PFD

ER

P (PhD3) = F (ER) × (1–Pim) × (1–PFD) × Pret Pret

F(ER) La barrière « ne fonctionne pas »

1–PFD

1–Pret

1–Pim

P (PhD4) = F (ER) × (1–Pim) × (1–PFD) × 1–Pret P (PhD5) = F (ER) × (1–Pim) × PFD × Pret

PFD

Pret 1–Pret P (PhD6) = F (ER) x (1–Pim) x PFD x (1–Pret)

Figure 15 – Prise en compte des probabilités d’inflammation immédiates et retardées dans un arbre d’événements

Dans le cadre des études de dangers, étant donné que ce sont les phénomènes dangereux qui doivent être étudiés, pour les événements redoutés relatifs à des pertes de confinement de produits inflammables, il est nécessaire d’introduire dans l’arbre d’événements le phénomène d’inflammation. Pour rappel, la réglementation française demande à ce que la matrice d’appréciation des risques recense les phénomènes dangereux ayant des effets hors site. Dès lors, les sorties du nœud papillon doivent être des phénomènes dangereux et pas des ERS. Pour ce faire, il faut alors : 1. prendre en compte la possibilité que le nuage soit enflammé avant la mise en œuvre des barrières de sécurité (inflammation immédiate) ; 2. prendre en compte la possibilité que le nuage soit enflammé de manière retardée ; 3. définir la nature des phénomènes dangereux en sortie de l’arborescence ; 4. évaluer les probabilités d’inflammation immédiate et retardée. En suivant le même principe de quantification que celui présenté en figure 13, la prise en compte des probabilités d’inflammation immédiate (Pim) et retardée (Pret) se fait telle que présentée en figure 15.

3.4 Barrières de sécurité valorisées sur un nœud papillon 3.4.1 Rappels sur les différents types de barrière Sur un nœud papillon, deux types de barrière apparaissent : – les barrières de prévention côté arbre de défaillances dont le rôle est de réduire la probabilité d’occurrence des scénarios d’accidents ;

– les barrières de mitigation côté arbre d’événements dont le rôle est de réduire l’intensité des effets associés aux scénarios d’accidents.

En France, dans le cadre des études de dangers réglementaires, le terme « barrière » est maintenant remplacé par « mesure de maîtrise des risques » (MMR). Dans la suite de l’article nous conserverons néanmoins le terme de barrière puisque la méthode présentée va bien au-delà du contexte franco français. Dans son rapport Ω10 [1], l’INERIS différencie trois types de barrières de sécurité : – les barrières humaines constituées par une action humaine qui s’oppose à l’enchaînement d’événements susceptible d’aboutir à un accident ; – les barrières techniques constituées d’un dispositif de sécurité ou d’un système instrumenté de sécurité (SIS) qui s’oppose à l’enchaînement d’événements susceptible d’aboutir à un accident ; – les systèmes à action manuelle de sécurité (SAMS) qui font intervenir des éléments techniques et humains.

3.4.2 Barrière humaines Il s’agit d’une action ou d’une succession d’actions menées par un ou plusieurs opérateurs. L’opérateur peut avoir une fonction de prévention ou de mitigation. Ces barrières mettent en œuvre des actions non relayées par des éléments techniques de sécurité. Exemple de barrière humaine de prévention : contrôle du bon raccordement d’un bras de transfert avant démarrage d’une phase de transfert. Exemple de barrière humaine de mitigation : isolement d’une fuite par fermeture d’une vanne manuelle suite à une détection visuelle par un opérateur lors d’une ronde.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 13

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

3.4.3 Barrières techniques 3.4.3.1 Systèmes instrumentés de sécurité (SIS) La majorité des SIS rencontrés dans l’industrie sont composés de trois blocs fonctionnels : – un bloc « détection », chargé d’identifier la dérive d’un paramètre (pression, température, etc.) vers un état dangereux, cet état dangereux étant souvent associé à une valeur seuil ; – un bloc « traitement logique », chargé de recevoir le signal provenant des dispositifs de détection et de le traiter afin de commander un actionneur par l’intermédiaire d’un signal de sortie ; – un bloc « action », chargé de mettre le système dans une position de sécurité. 3.4.3.2 Dispositifs de sécurité Ces dispositifs peuvent être classés parmi les deux catégories suivantes : – dispositif passif : dispositif ne mettant en jeu aucun système mécanique pour remplir sa fonction ; – dispositif actif : dispositif mettant en jeu un dispositif mécanique (ressort, levier…) pour remplir sa fonction. Par exemple : – une cuvette de rétention est considérée comme un dispositif passif ; – une soupape de sécurité est considérée comme un dispositif actif.

3.4.4 Système à action manuelle de sécurité (SAMS) Un SAMS fait interagir un ou plusieurs opérateurs avec des dispositifs techniques. Par exemple, l’arrêt de pompe de transfert suite à l’enclenchement d’un bouton d’arrêt d’urgence par un opérateur répond à la définition d’un SAMS.

3.4.5 Critères de performance des barrières

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Pour les besoins du nœud papillon quantifié, deux critères doivent être évalués : 1. les probabilités de défaillance des barrières de mitigation car elles interviennent dans le calcul des probabilités des phénomènes dangereux (côté arbre d’événements) ; 2. le temps de réponse des barrières de mitigation car ces temps influent sur l’intensité des effets.

tiwekacontentpdf_se4055

3.4.5.1 Probabilité de défaillance La probabilité de défaillance correspond à la probabilité que la barrière ne remplisse pas sa fonction de sécurité. Deux approches permettent d’estimer cette grandeur : 1. l’approche semi-quantitative qui permet d’associer un facteur de réduction de risque à une barrière. La probabilité de défaillance de la barrière n’est pas évaluée précisément. Par exemple, la méthode présentée dans le rapport Ω10 de l’INERIS [1] permet d’estimer un niveau de confiance (NC) qui est lié à la probabilité de défaillance de la barrière. À chaque niveau de confiance correspond : – un facteur de réduction du risque compris entre 10NC et 10(NC+1), – une probabilité de défaillance comprise entre 10–(NC+1) et 10–NC ; 2. l’approche quantitative qui permet de calculer la probabilité de défaillance à partir des paramètres de fiabilité (taux de défaillance, temps de réparation, etc.) des équipements qui composent la barrière. En fonction du mode de fonctionnement de la barrière, la grandeur estimée sera :

SE 4 055v2 – 14

– la PFD (Probability of Failure on Demand ) si la barrière est en mode de fonctionnement à la demande, c’est le cas par exemple pour une vanne d’isolement automatique dont la fermeture est déclenchée en cas de fuite accidentelle, – la PFH (Probability of Failure per Hour ) si la barrière est en mode de fonctionnement continu.

En France, dans le cadre des nœuds papillons présentés dans les études de dangers réglementaires, ce sont généralement des PFDavg (moyenne de la PFD sur la période de test) qui sont calculées. En effet, la plupart des barrières de mitigation ont un fonctionnement à la sollicitation (leur taux de sollicitation étant par ailleurs faible). Les méthodes et outils disponibles pour estimer les probabilités de défaillance des barrières de sécurité sont présentées de manière détaillée dans [SE 4 057] [SE 4 058]. 3.4.5.2 Temps de réponse Le temps de réponse correspond à l’intervalle de temps entre le moment où la barrière est sollicitée et le moment où elle remplit dans son intégralité la fonction de sécurité. Le temps de réponse doit intégrer le temps nécessaire : 1. au fonctionnement du ou des dispositifs de détection (une fois sollicité) ; 2. à la transmission et au traitement de l’information envoyée par les dispositifs de détection ; 3. à la réalisation de l’action de sécurité (par exemple : fermeture de dispositifs d’isolement, arrêt d’une pompe, etc.).

Il n’existe pas de temps de réponse « idéal », même si dans l’absolu celui-ci doit être le plus faible possible. En effet, plus le temps de réponse d’une barrière sera long et plus la gravité du scénario sera importante. Par exemple, dans le cas où une barrière de mitigation aurait pour objectif d’isoler une fuite, plus le temps de réponse de la barrière sera long, plus la quantité de produit rejetée à l’atmosphère sera grande (jusqu’à la stabilisation du rejet). Le tableau 5 présente l’évolution de la masse explosible en fonction de la durée d’une fuite de propane à pression de saturation (To = 15 oC) suite à une rupture de canalisation de diamètre 6″. En fonction de la nature de la barrière, ce paramètre peut être plus ou moins « pertinent ». Pour les barrières de type dispositifs actifs, le temps de réponse est généralement considéré comme quasi instantané. Pour les autres types de barrières, le temps de réponse peut être évalué par : 1. une mesure sur site ; 2. une évaluation à partir des données du « fournisseur ».

Dès que possible, la mesure sur site est à privilégier car elle permet de mesurer le temps de réponse réel de la barrière. Pour une barrière prévue en phase de projet, l’évaluation pourra se baser sur le retour d’expérience pour des systèmes équivalents ou sur les données « fournisseur ».

Pour les barrières composées de plusieurs équipements, le temps de réponse s’évalue par la somme des temps de réponse de chacun.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Tableau 5 – Influence du temps de réponse d’une barrière de mitigation Temps de réponse de la barrière 30 s

20 s

15 s

Conditions atmosphériques

3-F

5-D

3-F

5-D

3-F

5-D

Masse explosible ................................................................... (kg)

726

480

638

471

543

440

3-F : vent 3 m/s et classe de Pasquill « moyennement à très stable ». 5-D : vent 5 m/s et classe de Pasquill « neutre ». Nota : ces résultats sont liés à des hypothèses de calcul non présentées dans l’article.

4.Quantification du nœud papillon

La quantification d’un nœud papillon comporte trois principales étapes (figure 16) :

4.1 Principe de la quantification La quantification d’un nœud papillon, dont l’objectif est d’estimer les probabilités d’occurrence des phénomènes dangereux, nécessite dans un premier temps d’évaluer celles de l’événement redouté. Puis, il s’agit d’affecter des probabilités de défaillance aux barrières de mitigation/protection figurant dans l’arbre d’événements, afin d’en déduire les probabilités des phénomènes dangereux.

Estimation de la fréquence de l’événement redouté (exemple : rupture d’une canalisation de transport de gaz naturel)

Estimation des probabilités des événements redoutés secondaires (exemple : – fuite « maîtrisée » au bout du temps t 1 – fuite « maîtrisée » au bout du temps t 2 > t 1 – fuite « non maîtrisée »)

Estimation des probabilités des phénomènes dangereux (exemple : – jet enflammé – UVCE (Unconfined Vapor Cloud Explosion)

1. évaluation de la fréquence d’occurrence de l’événement redouté, soit de « manière directe » en se référant à des banques de données quantifiées, soit par « le calcul », c’est-à-dire à partir des probabilités des événements de base constitutifs de l’arbre de défaillances et des règles de calculs associées aux portes logiques ; 2. estimation des probabilités de défaillance des barrières de mitigation/protection prévues pour limiter les conséquences en cas de réalisation de l’événement redouté ; 3. évaluation des probabilités des phénomènes dangereux à partir des deux étapes précédentes.

La fréquence de l’événement redouté peut être estimée à partir : – d’avis d’expert – de banques de données quantifiées – de la quantification de l’arbre de défaillances

Les probabilités de défaillance des barrières de mitigation/ protection peuvent être estimées à partir : – d’avis d’expert – de méthode semi-quantifiée (type Ω 10) – de calculs de fiabilité à l’aide de paramétres de fiabilité issus banques de données de fiabilite

Les probabilités d’inflammation peuvent être estimées à partir : – d’avis d’expert – de banques de données – de modèles d’ignition

Figure 16 – Principales étapes nécessaires à la quantification des probabilités d’occurrence des phénomènes dangereux liés à un même événement redouté

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 15

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Dans le cas d’événements redoutés relatifs à des secteurs ou activités dont le retour d’expérience est faible, il est difficile d’estimer directement leurs fréquences d’occurrence à l’aide de statistiques d’accidents (la taille de l’échantillon statistique étant souvent trop faible pour que l’estimateur puisse être considéré représentatif). Lorsque la fréquence d’occurrence de l’événement redouté est estimée directement à partir de banques de données d’accidentologie quantifiée, c’est-à-dire sans avoir recours à la quantification de l’arbre de défaillances, il est nécessaire de disposer de données permettant d’estimer la fréquence d’occurrence d’événements redoutés de type brèche sur canalisation, perte de confinement sur une enceinte de stockage, etc. Certaines banques de données compilent de nombreuses valeurs issues d’une analyse de l’accidentologie (nombre d’accidents survenus pendant une période d’observation T), ou de confrontation d’avis d’experts. La quantification des arbres d’événements, qui permet d’estimer la probabilité d’occurrence des conséquences suite à l’apparition de l’événement redouté, nécessite d’allouer des probabilités de défaillance aux barrières de mitigation/protection mises en place. La plupart des arbres d’événements font donc apparaître des défaillances : – de fonctions instrumentées de sécurité (chaînes de sécurité asservies sur détection de fuite, niveau haut, débit bas, etc.) ; – « d’opérateur » (absence de réaction ou action inappropriée pour faire face à l’événement redouté, etc.) ; – de barrière de protection « passive » (cuvette de rétention, mur de protection, etc.). Pour estimer ces probabilités de défaillance, il est nécessaire de se référer à des banques de données.

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

La précision de l’estimation des probabilités d’occurrence des phénomènes dangereux dépend évidemment de la cohérence du nœud papillon réalisé, mais aussi grandement des données utilisées lors de sa quantification. Découlent alors les questions suivantes : – Où trouver des données quantifiées permettant d’estimer les fréquences des événements de base ou des événements redoutés ? – Où trouver les données quantifiées permettant d’alimenter les calculs de probabilités de défaillance des barrières de sécurité ? – Comment juger de la crédibilité des données rapportées dans la littérature (banque de données, articles, etc.) ? – Ces données sont-elles directement transposables au cas étudié par le nœud papillon ?

tiwekacontentpdf_se4055

4.2 Banques de données : outil précieux à la quantification du nœud papillon 4.2.1 Différents types de banques de données Quatre types sont à distinguer : 1. les banques de données d’accidentologie (non quantifiées) qui rapportent pour de nombreux accidents leurs natures (incendie, explosion, etc.), leurs causes (lorsqu’elles sont identifiées), et leurs conséquences ; 2. les banques de données quantifiées qui rapportent des fréquences pour des événements redoutés de type perte de confinement sur canalisation, perte de confinement sur un réservoir de stockage, etc ; 3. les banques de données de fiabilité qui rapportent des taux de défaillance d’équipements nécessaires au contrôle et au fonctionnement de procédé (capteur de température, pompe de transfert, etc.), mais aussi des données de fiabilité relatives à des

SE 4 055v2 – 16

équipements de sécurité (détecteur de gaz, pompe incendie, vanne d’isolement automatique, etc.) ; 4. les banques de données relatives à la « fiabilité humaine ».

Les banques de données d’accidentologie (non quantifiées) ne présentent pas de réel intérêt lors de la quantification d’un nœud papillon car elles ne rapportent pas de fréquence d’accident.

Les banques de données quantifiées rapportent des fréquences qui peuvent découler d’une analyse statistique du retour d’expérience (nombre d’accidents observés ramenés sur une période d’observation t ) ou d’avis d’expert. Ces valeurs peuvent être considérées comme des valeurs « moyennes », qu’il est possible de pondérer à la hausse ou à la baisse en fonction du cas étudié [SE 5 080]. Ce type de banque est utilisé pour estimer les fréquences des événements redoutés positionnés au centre du nœud papillon. Les banques de données de fiabilité rapportent généralement des taux de défaillance de matériels. Ces taux peuvent découler : – d’évaluation reposant sur des analyses de type AMDEC ; – d’une analyse statistique des défaillances survenues sur des matériels testés en laboratoire ; – d’une analyse statistique des défaillances survenues sur des matériels en fonctionnement sur des installations industrielles. Ce type de banque est utilisé lors de l’évaluation des probabilités de défaillance des barrières de mitigation valorisées dans les arbres d’événements. Les banques de données relatives à la fiabilité humaine rapportent des probabilités d’erreur ou d’échec d’opérateur. Celles-ci sont, le plus souvent, issues : – d’une analyse des réponses observées lors de mise en situation à l’aide d’un simulateur ; – d’applications de méthode dédiées à la fiabilité humaine (méthode THERP, SLIM, etc.), ou du retour d’expérience. Ce type de banque est utilisé lors de l’évaluation des probabilités de défaillance faisant intervenir un opérateur dans des barrières de mitigation valorisées dans les arbres d’événements. Dans le cadre des études de dangers, ces différents types de banques sont généralement tous utilisés lors de l’analyse des risques. Pour chacune des trois principales phases d’une étude de dangers [G 4 218], la figure 17 indique quel type de banque utiliser. Dans les études de dangers réalisées par les industriels relevant de la réglementation des ICPE, c’est lors de l’analyse détaillée des risques que la méthode du nœud papillon est la plus utilisée. Pour les besoins de la quantification des phénomènes dangereux, l’analyste peut recourir à : – des banques de données quantifiées : • pour évaluer les fréquences d’événements redoutés tels que des ruptures de canalisation, brèches sur réservoir de stockage, rupture de piquage, etc., • des probabilités d’inflammation lorsque l’analyse des risques identifie des mises à l’atmosphère de produit inflammable ; – des banques de données de fiabilité pour évaluer les taux de défaillance des équipements qui entrent dans la composition des barrières de sécurité afin de pouvoir évaluer leurs probabilités de défaillance.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Banque de données d’accidentologie

Identification des dangers

Identification des dangers et définition d’événements redoutés (ER)

Fréquences d’ER ou d’EI

Banque de données quantifiées

Analyse préliminaire des risques

Hiérarchisation des scénarios d’accidents liés aux différents ER

Probabilités de défaillance des barrières

Banque de données de fiabilité Analyse détaillée des risques Banque de données quantifiées

Fréquences d’ER ou d’EI

Évaluation de la criticité (couple P/G) des scénarios d’accidents liés aux différents ER

Probabilités d’inflammation

Nota : le recours à des banques de données quantifiées en phase d’analyse préliminaire des risques n’est pas systématique. À ce stade de l’analyse, utiliser des banques de données quantifiées « génériques » est acceptable.

Figure 17 – Banques de données à utiliser en fonction des phases de l’analyse de risques

4.2.2 Banques de données d’accidentologie non quantifiées Bien que ces banques de données soient inappropriées à la quantification d’un nœud papillon, il est souvent nécessaire d’y avoir recours afin d’identifier la nature des événements redoutés susceptibles de se produire sur une installation donnée. En effet, ces informations permettent, par secteur d’activité, d’identifier les événements redoutés déjà survenus, mais aussi certaines de leurs causes. Ces banques sont donc utiles car le nœud papillon doit permettre d’identifier de manière correcte (et si possible exhaustive) les causes des différents événements redoutés analysés. Le tableau 6 liste quelques exemples de banques de données d’accidentologie fréquemment utilisées lors de l’analyse de l’accidentologie, étape incontournable d’une analyse de risques.

■ ARIA Depuis 1992, le bureau d’analyse des risques et pollutions industrielles (BARPI) est chargé de la compilation et de la diffusion des données relatives au retour d’expérience. Pour l’essentiel, les événements recensés résultent de l’activité d’usines, d’ateliers et de dépôts, relevant de la législation relative aux installations classées (ICPE), ainsi que du transport de matières dangereuses.

Les informations sur les accidents répertoriés proviennent de différentes sources. Il s’agit, pour l’essentiel, de services de l’État, de la presse et, parfois, de certains organismes professionnels. La base de données ARIA comporte aujourd’hui plus de 30 000 accidents ou incidents, résumés et codifiés selon de très nombreux paramètres caractérisant les causes, les circonstances, les conséquences, ainsi que les mesures correctives adoptées. La base ARIA ne fournit aucune fréquence d’accident. Elle rapporte uniquement leur nature et en explicite le plus souvent les causes. Malgré des manques évidents, cette banque de données reste incontournable lors de la réalisation de dossiers réglementaires pour l’administration française.

■ FACTS Cette base de données recense plus de 20 000 accidents et « presque accidents » impliquant des substances dangereuses dans les installations industrielles fixes du monde entier.

■ MHIDAS Cette banque contient à ce jour environ 11 000 références, la période d’observation s’étendant depuis 1964. Des mises à jour régulières sont réalisées afin de la réactualiser. Seules sont rapportées les informations sur les accidents ayant eu des effets hors des

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 17

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 6 – Quelques banques d’accidentologie non quantifiée Nom de la banque ou du rapport

Organisme gestionnaire

Accidents recensés

Forme de la banque

Lien internet

ARIA (analyse, recherche et informations sur les accidents)

Bureau d’analyse des risques et pollutions industrielles (BARPI)

Accidents survenus sur les installations ICPE en majorité

Internet (accès gratuit)

http://aria. ecologie.gouv.fr

FACTS (Failure and Accidents Technical information System )

TNO

Accidents impliquant des substances dangereuses dans le monde entier

Internet (accès payant – gratuit limité)

http://www. factsonline.nl/

UK Health and Safety Executive (HSE)

Accidents impliquant le transport, le stockage ou l‘utilisation dans les procédés de substances dangereuses principalement aux États-Unis et en Grande-Bretagne

Cette banque n’est plus maintenue à jour par le HSE. Son accès via internet n’est plus disponible

Major Accident Hazard Bureau

Accidents et « presque accidents » survenus sur les sites industriels des pays membres de l‘Union européenne, appliquant la directive SEVESO

Internet (accès payant)

MHIDAS (Major Hazard Incidents Data Service )

MARS (Major Accident Reporting System )

sites. Leur gravité est quantifiée en termes de décès, de dommages sur l’installation et sur l’environnement. Les accidents recensés couvrent aussi bien le transport, le stockage, que la transformation de produits dangereux. Ces accidents concernent le monde entier ; ceux recensés en Grande-Bretagne et aux États-Unis y figurent néanmoins en nombre plus important.

pour un secteur d’activité donné. Elles présentent un intérêt particulier lorsque l’on estime de manière directe la fréquence d’un événement redouté ou d’un phénomène dangereux. Le tableau 7 liste quelques exemples de banques de données sectorielles.

■ MARS

Cette banque est dédiée aux accidents de type fuite de gaz naturel sur des pipelines onshore dans le domaine publique. L’EGIG regroupe le retour d’expérience de douze compagnies européennes exploitant des canalisations de transport.

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Cette banque collecte des informations sur les accidents majeurs qui ont lieu sur le territoire européen dans le cadre de la directive européenne SEVESO. Les informations proviennent donc des différents États membres. Elle contient actuellement des informations sur plus de 700 accidents majeurs. Deux rapports sont rédigés pour chacun d’eux. Le premier, dit « rapport court », permet de prendre connaissance des faits essentiels (type d’accident et substance impliquée, sources, causes et effets immédiats, mesures d’urgence), dès l’occurrence de l’accident. Le second, dit « rapport complet » est quant à lui établi une fois que toutes les études nécessaires sur l’accident ont été effectuées. Il contient ainsi, en plus des informations du rapport court, des renseignements sur l’industrie, l’activité et les composés impliqués, les causes immédiates et sous-jacentes, les effets sur l’environnement, etc.

tiwekacontentpdf_se4055

https://emars.jrc.ec. europa.eu/

■ EGIG

■ UKOPA Cette banque est dédiée aux fuites dans le domaine public sur pipeline à haute pression de transport de gaz naturel et de certaines autres substances dangereuses.

■ Offshore Hydrocarbon releases statistics and analysis Cette banque recense les pertes de confinement survenues sur les plates-formes offshore en Mer du Nord. Les données compilées sont fournies par les opérateurs de plates-formes. La déclaration des pertes de confinement se fait par le biais d’un formulaire contrôlé par les autorités compétentes.

4.2.3 Banques de données quantifiées Ces banques rapportent des fréquences d’accidents le plus souvent par secteur d’activité. Elles présentent donc un intérêt particulier lorsque l’on souhaite estimer, de manière directe, la fréquence d’occurrence d’un événement redouté. Il est à noter que pour certains d’entre eux, tels que les brèches ou ruptures de capacités, c’est ce type de quantification qui est couramment retenu. Deux types de banques coexistent : – les banques sectorielles spécifiques à un secteur d’activité donné (transport de gaz, exploitation offshore, etc.) ; – les banques génériques qui compilent des valeurs issues de diverses sources et qui de ce fait ne sont pas spécifiques à un secteur d’activité. 4.2.3.1 Banques quantifiées « sectorielles » Ces banques de données rapportent des fréquences d’accidents estimées à partir d’une analyse statistique du retour d’expérience

SE 4 055v2 – 18

À ce jour, dans le cadre des QRA (Quantitative Risk Assessment ) réalisés sur les installations offshore, les fréquences de fuite utilisées reposent sur des corrélations mathématiques déduites de l’analyse du retour d’expérience. Ces corrélations mathématiques permettent de déterminer des fréquences par intervalles de tailles de brèches. Il est à noter que les fréquences compilées dans le rapport de l’OGP [3] sont estimées à partir de ces corrélations. Ce rapport présente des fréquences de fuite par intervalle de taille de brèche pour seize catégories d’équipements (canalisations, pompes, échangeurs de chaleur, etc).

■ Last Fire report Ce rapport concerne les réservoirs de stockage d’hydrocarbures à toits flottants de plus de 40 m de diamètres. Les valeurs rapportées découlent de l’analyse du retour d’expérience des industriels qui participent à ce projet.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Tableau 7 – Quelques banques de données quantifiées « sectorielles » Nom de la banque ou du rapport

Organisme gestionnaire

Gas Pipeline Incident – 8th Report of the European Gas Pipeline Incident Data Group

EGIG (European gas pipeline incident data group )

8th

Pipeline Product Loss Incidents – 8th Report of the UKOPA Fault Database Management Group

UKOPA (United Kingdom Onshore Pipeline Operator’s Association )

8th

Offshore Hydrocarbon releases statistics and analysis

UK Health and Safety Executive (HSE)

LAST FIRE Report

Version

Secteur d’activité

Nature des données

Forme de la banque

Transport de gaz naturel dans pipeline – Europe

Fréquences de fuites avec répartition par type de causes et par caractéristiques de pipeline (diamètre, épaisseur, etc.)

Rapport (accès libre sur le site de l’EGIG) http://www.egig.eu/

– novembre 2011

Fréquences de fuites avec Transport d’hydro- répartition par type de caucarbure liquide – ses et par caractéristiques Royaume-Uni de pipeline (diamètre, épaisseur, etc.)

Rapport (accès libre sur le site de l’UKOPA) http://www.ukopa.co.uk/

Mise à jour annuellement

Exploitation des plates-formes pétrolières en Mer du Nord

– Fréquences d‘occurrence de perte de confinement sur équipements (canalisation, pompe, réservoir, etc.) – Taux d‘inflammation

2010

Réservoirs atmosphériques de large diamètre à toit flottant

Fréquences d’accident sur les bacs de stockage à toit flottant (type feu de bac)

– Décembre 2011

Ressource Protection International (RPI)

Rapport (accès payant mise à jour)

Rapport (accès réservé aux membres) http://www.las-fire.co.uk/

4.2.3.2 Banques quantifiées « génériques »

■ Failure Rate and Event Data for use within Land Use Planning

Ces banques sont dites « génériques » car elles rapportent des fréquences d’accidents issues de diverses sources et de secteurs d’activité variés. Les données compilées proviennent le plus souvent d’une analyse statistique du retour d’expérience ou d’avis d’experts (cas de certaines valeurs du Reference Manual Bevi Risk Assessments ). Le tableau 8 liste quelques exemples de banques de données.

Risk Assessments Ce rapport s’inspire de la base anglaise FRED (Failure Rate and Event Data ) développée par le HSE. Elle est utilisée pour définir les périmètres de maîtrise de l’urbanisation autour des sites industriels en Grande-Bretagne. Les données compilées dans FRED sont pour la plupart des données estimées à partir de valeurs issues d’autres banques.

Tableau 8 – Quelques banques de données quantifiées « génériques » Organisme gestionnaire

Nom de la banque ou du rapport

Version

Secteur d’activité

UK Health and Safety Executive (HSE)

Failure Rate and Event Data for use within Land Use Planning Risk Assessments

2010

Tous secteurs d’activité

– Fréquences de fuites sur les équipements (canalisations, réservoirs, pompe, compresseur, etc.)

Rapport (accès libre sur internet)

Handboek Kanscijfers

2009

Tous secteurs d’activité

– Fréquences de fuites sur les équipements (canalisations, réservoirs, pompe, compresseur, etc.) – Probabilités d‘ignition

Rapport (accès libre sur internet)

2009

Tous secteurs d’activité

– Fréquences de fuites sur les équipements (canalisations, réservoirs, pompe, compresseur, etc.) – Probabilités d‘ignition

Rapport (accès libre sur internet)

Tous secteurs d’activité

– Fréquences d‘événements initiateurs (ou causes) – Fréquences d‘événements redoutés de type perte de confinement d’équipement – Taux de défaillance de matériels (pompes, vannes, etc.)

AMINAL

RIVM

Reference Manual BEVI Risk Assessment

J.R. Taylor

The Hazardous materials Release and accident frequencies for process plant

2005

Nature des données

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Forme de la banque

Rapport

SE 4 055v2 – 19

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

■ Handboek Kanscijfers Ce rapport fournit des modèles et des données destinées à servir de support à la quantification des risques (en Belgique flamande) pour les activités de transport de matières dangereuses et sur les installations fixes. Sa finalité est d’harmoniser les méthodes et les données utilisées dans les analyses quantifiées des risques. Les données rapportées sont issues de diverses origines.

■ Reference Manual Bevi Risk Assessments Ce rapport remplace le CPR18 E (Purple Book 1999). Il compile des conseils en matière d’analyse quantitative de risques. Il fournit des modèles et des données pour la réalisation de QRA pour les installations fixes traitant des substances dangereuses aux Pays-Bas. Il a pour objectif d’harmoniser les méthodes et les données utilisées dans les évaluations quantitatives des risques. Globalement, les valeurs annoncées sont identiques à celles rapportés dans le CPR 18 E.

Cet ouvrage constitue aujourd’hui l’une des références bibliographiques les plus utilisées dans les analyses de risques réalisées dans le cadre des études de dangers, son principal avantage étant de proposer des fréquences d’occurrence, pour de nombreux événements redoutés de type « perte de confinement ». En effet, il rapporte notamment des fréquences de perte de confinement relatives aux réservoirs atmosphériques et pressurisés, aux canalisations process, aux pompes, aux échangeurs de chaleur, au stockage et aux enceintes de transport (camion et wagon) de produits dits « dangereux ». Les données sont issues, pour la plupart, de la publication IPO A73 du Committee for the Prevention of Disasters (Pays-Bas), en grande partie basée sur les résultats du rapport COVO.

Nota : concernant les fréquences de fuites sur canalisation, on peut noter que contrairement au CPR 18 E, il n’est plus mentionné qu’en cas de conditions favorables à la survenue d’une fuite, les fréquences de fuites et de ruptures doivent alors être multipliées par un facteur allant de 3 à 10, selon le cas étudié.

■ Hazardous materials release and accident frequencies and accident frequencies for process plant Ce rapport a pour vocation de servir de guide lors du calcul des fréquences de fuites à l’aide d’une approche type barrière. Il apporte aussi des conseils pour prendre en compte les spécificités des installations étudiées afin de pondérer les fréquences de fuites des équipements en fonction des standards de conception, des conditions opératoires, de la maintenance, etc. Les valeurs compilées sont issues de diverses sources.

4.2.4 Banques de données de fiabilité Elles compilent principalement des taux de défaillance d’équipements. Avoir recours à ces banques est particulièrement intéressant lors de l’estimation des probabilités de défaillance des barrières, étape nécessaire pour quantifier l’arbre d’événements. Ces banques de données rapportent des taux de défaillance de matériel généralement issus : – d’une analyse des défaillances observées dans des conditions réelles ; – ou d’une analyse de type AMDEC. Le tableau 9 liste quelques exemples de banques de données de fiabilité. Il est important de garder à l’esprit que ces banques de données rapportent, pour la plupart, des taux de défaillance, et non des probabilités de défaillance. Ces taux de défaillance constituent, néanmoins, une des données d’entrée nécessaire pour l’estimation des probabilités de défaillance des barrières de mitigation valorisées dans les arbres d’événements.

Tableau 9 – Quelques exemples de banques de données de fiabilité Nom de la banque ou du rapport

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Reliability Data for Safety Instrumented Systems

tiwekacontentpdf_se4055

Organisme gestionnaire

SINTEF

Version

2013

5th Edition – 2009

OREDA (Off Shore Reliability Data ) SINTEF

Safety Equipment Reliability Handbook

Guidelines for Process Equipment Reliability Data

SE 4 055v2 – 20

EXIDA (EXcellence In Dependable Automation )

Center for Chemical Process Safety (CCPS)

Secteur d’activité

Nature des données

Forme de la banque

Exploration offshore – plate-forme pétrolières en Mer du Nord

– Taux de défaillance des équipements (pompe, compresseur, etc.) et des dispositifs de sécurité (détecteurs de gaz, feu, etc.) – Répartitions des causes de défaillance des équipements par mode – Données relatives à la maintenance

Ouvrage papier (payant)

Exploration offshore – plate-forme pétrolière en Mer du Nord

– Taux de défaillance des équipements (pompe, compresseur, etc.) et des dispositifs de sécurité (détecteurs de gaz, feu, etc.) – Répartitions des causes de défaillance des équipements par mode – Données relatives à la maintenance (exemple : temps moyen de réparation)

Ouvrage papier (payant)

Tous secteurs

– Taux de défaillance des équipements (pompe, compresseur, etc.) et des dispositifs de sécurité (détecteurs de gaz, feu, etc.) – Répartitions des causes de défaillance des équipements par mode

Ouvrage papier (payant)

Industrie chimique, pharmaceutique, nucléaire, gaz et pétrole

– Taux de défaillance des équipements – Répartition des causes de défaillance par mode

Ouvrage papier (payant)

3th Edition – 2007

1999

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

■ Reliability Data for Safety Instrumented Systems 2013 Cet ouvrage compile des données de fiabilité permettant d’appliquer la méthode PDS proposée par le SINTEF, dédiée à l’estimation de l’indisponibilité et à la perte de production liée aux systèmes instrumentés de sécurité. La méthode PDS est en phase avec les principes de base des normes IEC 61508 et 61511 tout en présentant quelques spécificités. La dernière version de cette approche est décrite dans [4]. Les données de fiabilités compilées reposent en grande partie sur celles rapportées dans l’OREDA (ces données sont complétées par d’autres sources et par des avis d’experts pour certains paramètres de fiabilité). En revanche, les différents types de défaillance y sont présentés différemment.

■ OREDA 5e édition Cette banque rapporte des taux de défaillance relatifs aux matériels (capteurs, pompes, compresseurs, etc.) de plates-formes pétrolières. Les données proviennent de groupes pétroliers : AGIP, BP, Chevron Texaco, Exxon, Norsk Hydro, Phillips Petroleum Company Norway, Statoil, Saga Petroleum, Shell et Total. Cette banque de données a pour avantage de définir explicitement les limites de l’équipement étudié et de rapporter le nombre d’équipements ayant composé l’échantillon statistique. De plus, cette banque est très complète, ce qui fait d’elle une référence incontournable dans les études de disponibilité pour les installations offshore.

distinction explicite entre les défaillances dites « dangereuses » et les défaillances non dangereuses. Les taux de défaillance, relatifs à chacun de ces types de défaillance, y sont rapportés.

■ Guidelines for Process Equipment Reliability Data Cette banque rapporte des données de fiabilité relatives à des équipements, tels que des capteurs (débit, niveau, température, etc.), des pompes, des vannes manuelles et motorisées. Son avantage est de clairement définir les limites de l’équipement. Ainsi, il est aisé de savoir si la motorisation de la vanne est incluse, ou non, dans le taux de défaillance rapporté. Pour certains équipements, sont indiqués les taux de défaillance à la sollicitation et en fonctionnement continu. Une répartition des causes de défaillance est aussi donnée, ce qui permet de connaître le rapport entre les défaillances par dérive et celles catalectiques (défaillance soudaine et brutale).

En comparant différentes banques de données, il est possible de constater pour des équipements similaires des écarts pouvant dépasser le facteur 10. Il est donc conseillé, dès que possible, d’en étudier plusieurs afin d’évaluer la dispersion des valeurs. Il est aussi nécessaire de bien identifier la nature des défaillances couvertes par la valeur rapportée.

■ Safety Equipment Reliability Handbook – Third edition Cette banque est développée par la société Excellente In Dependable Automation qui réunit des experts en sécurité et en fiabilité. Elle rapporte des valeurs de taux de défaillance pour des équipements, tels que des capteurs de température, pression, etc., des détecteurs de flamme, gaz, etc., des automates et des organes de sectionnement de type vanne, etc. Son niveau de détail fait d’elle l’une des références couramment utilisées dans les études permettant d’estimer les niveaux de SIL (Safety Integrity Level ) des systèmes instrumentés de sécurité (SIS). L’avantage principal de cette banque de données est la

Événement redouté

Barrière de sécurité no 1 (B1)

4.3 Principe de la semi-quantification Si les probabilités de défaillance des MMR ont été estimées à l’aide de niveau de confiance (NC), il est tout de même possible d’évaluer les classes de probabilité des phénomènes dangereux. On parle alors de semi-quantification. Pour ce faire, il suffit de considérer que la PFD équivalente à un NC donné est égale à 10–NC. Connaissant la classe de probabilité de l’ER, il est alors possible de déterminer la classe de probabilité des différents phénomènes dangereux. Un exemple est donné en figure 18.

Barrière de sécurité no 2 (B2)

1–PFD ≈ 1

Phénomène dangereux

PhD1 → 10–6  P < 10–5 → Classe D

La barrière « fonctionne »

ER Classe D (10–5  F < 10–4)

NC = 1 PFD = 10–1

1-PFD ≈ 1 PhD2 → 10–6  P < 10–5 → Classe E

La barrière « ne fonctionne pas »

PhD3 → 10–7  P < 10–6 → Classe E NC = 1 PFD = 10–1 NC = 1

Figure 18 – Exemple de semi-quantification par NC

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 21

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

5. Limites liées à la quantification d’un nœud papillon

matrice de criticité, ce qui peut avoir des conséquences importantes en termes de sécurité. Comme nous l’avons vu précédemment, le principal intérêt du nœud papillon est de combiner deux méthodes (arbre de défaillances et arbre d’événements) autour d’un même événement redouté. Cet avantage cache néanmoins le problème de fond de la propagation des imprécisions cumulées à chacune des étapes présentées en figure 16. En effet, il est indéniable que la quantification d’un nœud papillon est nécessairement entachée d’incertitudes dont les origines sont diverses :

5.1 Imprécisions liées aux données d’entrée

– identification non exhaustive des causes, ou combinaison de causes, aboutissant à la réalisation de l’événement redouté ; – incertitudes lors de l’estimation des fréquences et/ou probabilité des événements de base constitutifs de l’arbre de défaillances (lors d’une quantification par le calcul de la fréquence d’occurrence de l’ER) ; – incertitudes lors de la quantification directe de la fréquence d’occurrence de l’événement redouté à l’aide de banques de données quantifiées ; – incertitudes lors de l’estimation des probabilités de défaillance des barrières de mitigation figurant dans l’arbre d’événements.

Lors de la quantification d’un nœud papillon, il est nécessaire de conserver à l’esprit que les probabilités des phénomènes dangereux estimées par le calcul doivent être considérées comme des ordres de grandeur et non des valeurs exactes. Ainsi, les valeurs obtenues par quantification d’un nœud papillon sont souvent arrondies afin de prendre en compte l’erreur liée aux incertitudes sur les données d’entrée. Par exemple, annoncer une probabilité d’occurrence égale à 7,56 × 10–5 n’aurait pas beaucoup de sens au regard des incertitudes relatives : – à la fréquence allouée à l’événement redouté ; – aux probabilités de défaillance allouées aux barrières de mitigation ; – aux probabilités d’ignition immédiate et retardée (dans le cas où l’ER aboutit à la libération d’un produit inflammable). À titre d’exemple, la quantification des probabilités de défaillance de barrière de mitigation, à partir du taux de défaillance et de la fréquence de test, génère une incertitude sur les probabilités des phénomènes dangereux.

5.2 Imprécisions en amont de l’événement redouté En fonction de leurs positions dans l’arbre de défaillances, tous les événements de base n’ont pas le même poids sur la probabilité d’occurrence de l’événement redouté.

Exemple : supposons que le taux de défaillances dangereuses non détectées (λDU) d'un capteur de température soit compris entre 2 × 10–6/h et 9 × 10–6/h. En supposant que ce capteur soit testé tous les 6 mois, en fonction du choix du taux de défaillance (minimum, maximum, moyenne, etc.), la probabilité de défaillance moyenne à la demande du capteur (PFDavg) variera entre 5 × 10–3 et 2 × 10–2.

Par le jeu des combinaisons de différentes portes logiques (porte OU, ET, ou autre), une variation importante des probabilités de certains événements de base peut, dans certains cas, n’entraîner qu’une faible variation de la probabilité d’occurrence de l’événement redouté. L’exemple pris par Lievens [2], présenté en figure 19, permet de mettre en évidence la variation de la probabilité d’occurrence de l’événement redouté (ER), lorsque la probabilité de l’un des événements de base est multipliée par un facteur 8.

L’exemple précédent montre que retenir la borne haute, ou au contraire la borne basse, génère des écarts à l’origine d’une incertitude sur le positionnement d’un phénomène dangereux dans une

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

ER

tiwekacontentpdf_se4055

A1

B1

C1

A2

B2

C2 C3

B3

C4

C5

B4

C6

C7

B5

C8

Figure 19 – Évaluation de la sensibilité des événements de base

SE 4 055v2 – 22

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

C9

C10

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Tableau 10 – Variation de P (ER ) en fonction de la probabilité des événements de base Événement

C1

C2

C3

C4

C5

C6

C7

C8

C9

P (ER )

× 10–7

× 10–6

× 10–7

× 10–7

× 10–7

× 10–7

× 10–7

× 10–7

× 10–6

9

9

6,3

9

Le tableau 10 permet de mettre en évidence que seuls les événements C2, C9 et C10 peuvent avoir une influence notable sur la probabilité de l’événement ER. En d’autres termes, une erreur lors de l’évaluation des probabilités de ces événements aura une forte répercussion sur le résultat final. L’intérêt de ce type de démarche est d’identifier les événements de base prépondérants sur l’occurrence de l’événement sommet de l’arbre. En effet, il est parfois difficile d’estimer la probabilité de certains événements, et l’allocation de probabilité aux événements de base peut être très coûteuse en temps si l’on souhaite se référer systématiquement à des banques de données. Réaliser un test de sensibilité permet donc d’identifier les événements « prépondérants ». Cette hiérarchisation a pour but de mettre en évidence les événements de base dont il est nécessaire d’évaluer précisément la probabilité pour limiter l’erreur commise sur celle de l’événement redouté. Cependant, juger de l’influence d’un paramètre peut sembler subjectif. En effet, pour mener une telle approche, il faut alors définir la limite à partir de laquelle on estimera qu’un événement a une influence non significative.

5.3 Imprécisions en aval de l’événement redouté Comme nous l’avons précédemment dit, à ce jour, pour de nombreux événements redoutés, la quantification du nœud papillon ne commence réellement qu’en aval de celui-ci (c’est-à-dire à partir de l’arbre d’événements). En effet, l’occurrence de l’événement redouté est, dans le meilleur des cas, estimée à partir de fréquences issues de banques de données. À titre de rappel, l’estimation des probabilités des différents événements redoutés secondaires et, par la suite, celles des phénomènes dangereux, résultent de la combinaison de la fréquence d’occurrence de l’événement redouté et des probabilités de défaillance des mesures de mitigation/protection figurant dans l’arbre d’événements. Ainsi, il apparaît que les « erreurs » lors de l’estimation des probabilités de défaillance des barrières se répercuteront directement sur les probabilités des événements redoutés secondaires.

5.4 Limites de la quantification à l’aide de banques de données 5.4.1 Limite de la quantification des ER à partir de banques de données L’estimation de la probabilité d’occurrence d’un accident sur un site industriel implique de prendre en compte l’effet des barrières de prévention et de mitigation mises en place par l’industriel. En effet, ces barrières permettent de prévenir l’apparition des événements redoutés identifiés et de diminuer la gravité des phénomènes dangereux consécutifs à la réalisation de ces événements.

9

9

9

6,3

3,6 × 10–6

La quantification de la fréquence d’occurrence d’événements redoutés à partir de banques quantifiées trouve donc ici sa limite puisqu’elle ne prend pas, ou peu, en compte l’effet des mesures mises en place par l’industriel pour réduire les risques. En effet, lors de l’estimation de la fréquence d’occurrence d’un événement redouté, à partir des fréquences d’accident rapportées dans les banques de données, il serait nécessaire de pondérer ces valeurs à la hausse ou à la baisse suite à une analyse des mesures mises en place par l’industriel sur le site faisant l’objet de l’étude. Dans la pratique, cette pondération n’est jamais faite en raison de la difficulté à justifier des coefficients de pondération retenus [SE 5 080]. L’utilisation de fréquences d’occurrence issues de banque de données ne peut se faire qu’en conservant à l’esprit que ces valeurs sont nécessairement entachées d’incertitude pour les quatre raisons suivantes : – les banques de données ne rapportent généralement pas d’information concernant le niveau de sécurité (nature et performances des barrières de sécurité) des installations sur lesquelles se sont produits les accidents. Par conséquent, il est difficile de savoir si l’installation étudiée est plus sûre, ou moins sûre, que celles qui constituent l’échantillon statistique ; – dans le cas d’installations existantes en faible nombre, ou en service depuis peu de temps, la taille de l’échantillon (nombre d’installations × durée d’observation) ne permet généralement pas d’obtenir des fréquences d’accidents représentatives (ou du moins avec un intervalle resserré autour d’une moyenne) ; – le calcul de fréquence d’occurrence basé sur le retour d’expérience ne prend en compte que les scénarios déjà survenus. Or, il est possible que d’autres combinaisons d’événements soient susceptibles d’aboutir à la réalisation de ce même accident. Par conséquent, les fréquences d’occurrence déduites de l’accidentologie peuvent s’avérer optimistes ; – les fréquences d’accident évaluées à partir des banques de données incluent parfois des accidents anciens dont les industriels ont su tirer des enseignements (modification du procédé, mise en place de nouvelles barrières de sécurité, etc.).

5.4.2 Cas particulier de l’événement redouté « brèche sur canalisation » Dans de nombreux secteurs d’activité, il est courant de trouver des sites industriels dont les procédés nécessitent la synthèse, le stockage et le transfert de produits dangereux (principalement toxiques ou inflammables). Par conséquent, il est très fréquent, lors des analyses de risques, de définir l’apparition d’une brèche ou la rupture franche d’une canalisation comme événement redouté. Qualitativement, il est possible de regrouper les causes de fuites sur canalisation en trois grandes catégories : – les agressions externes, liées à des sollicitations ponctuelles, telles que les impacts d’engin (engin de manutention, camions, etc.), la défaillance des supports, les phénomènes naturels (mouvement de terrain, séisme, etc.) ; – les erreurs d’exploitation dont la cause principale est l’erreur humaine (erreur ou défaut de surveillance ou de maintenance), la dérive non maîtrisée de paramètre procédé (température, pression, etc.), ainsi que l’apparition de régimes transitoires lors des phases de démarrage et d’arrêt des installations ; – les défauts de conception et les phénomènes de vieillissement tels que la fatigue ou l’usure constituent des agressions continues dans le temps et provoquent une dégradation progressive de l’état

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

9

C10

SE 4 055v2 – 23

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

de la canalisation. Les phénomènes de corrosion, érosion, abrasion, etc. sont des contributeurs importants de ce type d’agressions. Concernant les fréquences de fuite sur canalisation, il est nécessaire de retenir que l’approche probabiliste pour les canalisations s’appuie soit sur des données d’accidentologie qui sont, de par leur nature, incomplètes, soit sur des avis d’experts qui peuvent être contestables. Lorsque l’on souhaite utiliser des fréquences de fuites extraites de banques de données, il est nécessaire de savoir ce qu’englobe exactement le terme canalisation. En effet, il ne faut pas oublier qu’il est difficile de dissocier la canalisation en elle-même des accessoires (organes de sectionnement, soupapes d’expansion thermique, instruments de mesure, brides, etc.) nécessaires à son exploitation. Certaines banques de données englobent ces équipements dans les fréquences de fuites rapportées, d’autres mentionnent explicitement qu’ils doivent être considérés séparément. Il est néanmoins conseillé, avant d’utiliser les valeurs rapportées par une banque de données, de bien se renseigner sur son champ d’application. Rares sont les banques qui rapportent des répartitions statistiques de causes de fuites. Ce type de répartition est néanmoins très utile pour pouvoir juger de l’adéquation des barrières de prévention mises en place sur les sites industriels. En effet, connaître les causes dont le poids est le plus important sur la fréquence de fuite permet de positionner, ou de renforcer, de manière judicieuse les barrières de prévention en les juxtaposant aux causes les plus probables.

– la présence de contraintes extérieures, vibrations, température excessive, ambiance corrosive, etc., susceptible de modifier la valeur du taux de défaillance du fait d’un vieillissement précoce de l’équipement ; – la politique de maintenance. Il faut aussi garder à l’esprit que les probabilités de défaillance estimées par le calcul à partir des taux de défaillance reposent généralement sur deux hypothèses simplificatrices : – constance des taux de défaillance ; – indépendance des défaillances. La première hypothèse considère que le taux de défaillance d’un équipement est constant sur sa période de vie utile. Elle est basée sur les observations faites sur le comportement de nombreux équipements électroniques qui rapportent que la courbe représentative du taux de défaillance des équipements, au cours du temps, présente un palier sur un intervalle relativement long, appelé « vie utile de l’équipement ». La variation du taux de défaillance en fonction du temps est donnée par la courbe, dite « en baignoire », présentée en figure 20. Le tableau 11 présente, pour chaque période, les causes pouvant être à l’origine d’une défaillance, ainsi que les mesures de prévention envisageables afin d’éviter que le matériel ne devienne défaillant.

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Les données de fiabilité recensées dans ce type de banques sont principalement des taux de défaillance pour des équipements fonctionnant en continu, ou à la sollicitation. Il est nécessaire de bien préciser que ces valeurs doivent par la suite être utilisées dans des lois de fiabilité (type loi exponentielle par exemple) afin de pouvoir estimer une probabilité de défaillance. Les taux de défaillance rapportés dans les banques de données peuvent s’avérer difficilement transposables pour réaliser une analyse prévisionnelle de fiabilité, car de nombreux paramètres influent sur ces valeurs. Citons par exemple : – la taille de l’échantillon testé : en effet, plus l’échantillon est grand, plus le taux de défaillance rapporté peut être considéré comme représentatif ;

tiwekacontentpdf_se4055

Taux de défaillances λ (t)

5.4.3 Limite de la quantification des probabilités de défaillance des barrières de sécurité à partir de banques de données

Période de jeunesse

Période de « vie utile »

Période d’usure

Temps t

Figure 20 – Courbe en baignoire

Tableau 11 – Causes de défaillance des matériels suivant la période de vie Période

Jeunesse

Vie utile

Causes de défaillance

Mesures de prévention

Défaut de conception

Vérification des spécifications aux besoins

Défaut de fabrication

Contrôle qualité

Défaut de montage

Test avant mise en service

Erreur humaine

Procédures organisationnelles

Défaillance aléatoire

Redondance

Environnement

Contrôle préventif pour détecter et prévenir les phénomènes de corrosion, érosion, fissuration, à l’origine d’un vieillissement accéléré

Âge

Maintenance et remplacement préventif

Fatigue

–

Usure

SE 4 055v2 – 24

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Si l’hypothèse de constance du taux de défaillance, c’est-à-dire l’exclusion des périodes de jeunesse et d’usure, est justifiée pour des composants électroniques, du fait de leur période de « vie utile » très longue (de l’ordre de 100 000 h), cette hypothèse l’est beaucoup moins pour des équipements mécaniques. En revanche, si le taux de défaillance est considéré constant sur une fenêtre temporelle, la probabilité de défaillance d’un équipement varie avec le temps. La seconde hypothèse considère qu’il n’y a pas de lien entre les défaillances des composants d’un équipement. En d’autres termes, le taux de défaillance d’un composant ne dépend pas des défaillances qui se sont produites, ou qui se produisent sur d’autres composants.

5.5 « Transposabilité » des banques de données Une grande vigilance est nécessaire lorsque l’on souhaite utiliser des taux de défaillance ou des fréquences d’accident extraites de banques de données. En effet, la crédibilité et la qualité de ces données font souvent l’objet de controverses. Ainsi, d’une banque de données à une autre, il est fréquent de trouver, pour un même événement, des valeurs pouvant varier d’un facteur dix. Concernant les banques de données quantifiées, il est indispensable avant utilisation des valeurs compilées : – de vérifier le domaine de validité des valeurs (installation onshore, offshore, etc.) ; – de s’assurer que les données sont issues d’une analyse statistique d’un retour d’expérience dont la taille de l’échantillon statistique peut être considérée représentative. Concernant les banques de données de fiabilité, les problèmes récurrents suivants sont à relever : – définition du matériel souvent trop sommaire (pompe, vanne, capteur, etc.), et qui ne permet pas de distinguer, pour les équipements commandés, si le taux de défaillance est relatif uniquement à l’élément final, ou si la défaillance de la commande est incluse (cas d’une vanne motorisée, par exemple) ; – taille de l’échantillon, ainsi que durée de fonctionnement du matériel testé ne sont souvent pas précisées ; – modes de défaillance rarement explicités et non exhaustifs, les défaillances par dérive étant plus fréquentes et, dans certains cas, peuvent aboutir à un échec d’une fonction de sécurité, sans pour autant que l’équipement soit défaillant (cas d’un capteur de température présentant une dérive basse et asservissant la fermeture d’une vanne d’alimentation en réactif sur atteinte d’un seuil haut de température) ; – conditions dans lesquelles l’appareil a été testé souvent jamais rapportées, ce qui pose un réel problème lorsque l’on souhaite estimer, de manière prévisionnelle, la probabilité de défaillance d’un équipement installé dans un environnement pouvant fortement influer sur le taux de défaillance à retenir (ambiance corrosive, vibrations excessives). Il est alors possible de conseiller l’emploi de données de fiabilité (taux de défaillance) uniquement après avoir répondu au trois questions suivantes : – Quelle crédibilité peut-on donner à la banque de données ? – Le matériel étudié a-t-il son équivalent dans la banque de données ? – Les conditions d’exploitation de ce matériel sont-elles similaires ? Transposer des données d’un secteur d’activité à un autre est une question primordiale au cœur des débats portant sur l’approche probabiliste du risque. En effet, la principale question est, une fois la crédibilité de la source vérifiée, de déterminer si des

données issues d’une banque de données spécifique à un secteur d’activité peuvent être extrapolées à un autre. Par exemple, un taux de défaillance d’une pompe extrait de l’OREDA (exploitation offshore ) peut-il être considéré représentatif pour une pompe utilisée dans le secteur de la chimie ? A priori, la réponse serait non. En effet, les conditions opératoires influent sur le taux de défaillance. Néanmoins, en l’absence de donnée spécifique à un secteur d’activité, il est envisageable de retenir l’ordre de grandeur issu d’une banque couvrant un secteur différent. Comparer des taux de défaillance issus de banques de données différentes n’est pas aisé. Dans certains cas l’homogénéité de certains résultats peut plus tenir du « hasard » que d’une réelle convergence des valeurs du fait de causes et modes de défaillance similaires. Ainsi, il n’est pas étonnant que les taux de défaillance de deux équipements qui ne sont pas soumis aux mêmes conditions d’exploitation (conditions opératoires, environnement, etc.) divergent. On peut donc conseiller d’utiliser les valeurs issues de banques de données avec précaution, en s’assurant que le domaine sur lequel on souhaite transposer la donnée est bien couvert par la source.

6. Exemple de nœud papillon quantifié 6.1 Présentation du cas étudié Afin d’illustrer la méthodologie du nœud papillon quantifié, un cas simplifié avec pour événement redouté « rupture d’un bras de dépotage d’un wagon de gaz liquéfié » est étudié. Les hypothèses sont les suivantes : – le dépotage de gaz liquéfié ne se fait pas dans une enceinte fermée ; – le poste de dépotage est situé dans une zone pouvant être potentiellement atteinte par effets domino (explosion sur une unité voisine). Le cas traité a pour objectif d’illustrer les différentes étapes de la méthode : – la réalisation de l’arbre de défaillances qui permet une analyse des coupes minimales de l’arbre et une évaluation de la fréquence d’occurrence de l’événement redouté ; – la réalisation de l’arbre d’événements qui permet de mettre en évidence l’ensemble des conséquences et d’évaluer leurs probabilités suite à la réalisation de l’événement redouté. Ce « cas d’école » n’a pas pour objectif de : – présenter l’ensemble des barrières de sécurité classiquement mises en œuvre lors d’une telle opération ; – fournir un nœud papillon type pour l’événement redouté traité ; – reproduire précisément la conception d’une installation de dépotage d’un wagon de gaz liquéfié. L’exemple retenu est volontairement simplifié et peu développé pour permettre une illustration aisée de la méthode. Il ne se veut donc pas représentatif du niveau de détail des nœuds papillons généralement réalisés dans le cadre d’une analyse de risques.

6.2 Présentation de l’arbre de défaillances L’arbre présenté en figure 21 n’a pas pour objectif d’être exhaustif sur la nature des causes pouvant mener à l’événement redouté. Cet arbre est volontairement simplifié pour les besoins de l’exercice afin de ne pas complexifier son arborescence et son exploitation.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 25

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Rupture d’un bras de dépotage d’un wagon de gaz liquéfié

+

Or1

Mouvement de la citerne durant la phase de dépotage

Déconnexion du bras au niveau du piquage

And3

+

Absence de contrôle de l’état des pièces de connexion et du montage

Connexion bras/ citerne défaillante

Mouvement de la citerne suite à l’onde de pression d’une explosion à proximité

Collision par un autre wagon

Or2 +

And6

3

6

Evt3

Mauvais montage

Evt6

Erreur d’orientation d’un wagon

Usure des pièces de connexion

1 Evt1

Or4

2

Défaillance des taquets dérailleurs

5

4

Evt2

Evt4

Evt5

Figure 21 – Arbre de défaillances relatif à l’événement redouté « rupture d’un bras de dépotage d’un wagon de gaz liquéfié »

6.3 Exploitation quantitative de l’arbre de défaillances

réalisation entraîne celle de l’événement redouté. La somme des probabilités des coupes minimales 1 et 3 représentent environ 90 % de la probabilité de l’événement redouté. Ainsi, pour diminuer de manière significative cette probabilité, il est primordial de diminuer celles des coupes minimales composées par les événements EVT1, EVT3, EVT6.

Les probabilités affectées aux événements de base de l’arbre de défaillances sont données uniquement à titre d’exemple. Ces valeurs sont présentées dans le tableau 12.

Supposons que la mesure de prévention supplémentaire suivante soit proposée : conception d’une enceinte de protection résistante à la surpression (mesure de prévention permettant de diminuer la probabilité d’occurrence de l’événement EVT6). Le souffle généré par une explosion à proximité de l’aire de dépotage ne peut donc plus être à l’origine d’un mouvement de la citerne qu’en cas de défaillance du mur d’enceinte (événement EVT7 dont la probabilité de défaillance est estimée de l’ordre de 10–3). Le tableau 14 présente l’évolution de la composition des coupes minimales liée à la prise en compte de cette nouvelle barrière.

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

À partir des valeurs présentées dans le tableau 12, la fréquence d’occurrence de l’événement redouté « rupture du bras de dépotage d’un wagon de gaz liquéfié» peut être estimée de l’ordre de 2,2 × 10–4/an.

tiwekacontentpdf_se4055

Le tableau 13 présente la liste des coupes minimales ainsi que la contribution de chaque coupe à la probabilité d’occurrence de l’événement redouté. Le tableau 13 met en évidence qu’il existe quatre coupes minimales, c’est-à-dire quatre combinaisons d’événements dont la

Tableau 12 – Probabilités et fréquences affectées aux événements de l’arbre en figure 21 Références

Événement

Probabilité/fréquence

EVT1

Mauvais montage

F = 10–2/an

EVT2

Usure des pièces de connexion

F = 10–3/an

EVT3

Absence de contrôle de l’état des pièces de connexion et du montage (défaillance d’une barrière de prévention)

EVT4

Erreur d’orientation d’un wagon

EVT5

Défaillance des taquets dérailleurs (défaillance d’une barrière de prévention)

EVT6

Mouvement de la citerne suite à l’onde de pression d’une explosion à proximité (effet domino)

SE 4 055v2 – 26

P = 10–2 F = 10–2/an

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

P = 10–3 F = 10–4/an

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

Tableau 13 – Liste des coupes minimales de l’arbre de défaillances en figure 21 Contribution de la coupe minimale

Références

Composition de la coupe minimale

Probabilité de la coupe minimale

1

EVT6

10–4

2

EVT3.EVT2

10–5

4,5

3

EVT3.EVT1

10–4

45,5

4

EVT4.EVT5

10–5

4,5

(%) 45,5

Tableau 14 – Liste des coupes minimales de l’arbre de défaillances présenté en figure 21 avec prise en compte des barrières de prévention supplémentaires Contribution de la coupe minimale

Références

Composition de la coupe minimale

Probabilité de la coupe minimale

1

EVT6.EVT7

10–7

0,08

2

EVT3.EVT2

10–5

8,3

3

EVT3.EVT1

10–4

83,3

4

EVT4.EVT5

10–5

8,3

Le tableau 14 met en évidence que la mise en place de la mesure de prévention proposée permettrait d’augmenter l’ordre de la coupe minimale no 1. En considérant la barrière de prévention proposée (c’est-à-dire en prenant en compte EVT7), la probabilité d’occurrence de l’événement redouté « rupture d’un bras de dépotage d’un wagon de gaz liquéfié » peut être estimée de l’ordre de 1,2 × 10–4/an. La prise en compte de la mesure de prévention supplémentaire proposée permettrait donc de diminuer d’un facteur 2 la probabilité de l’événement redouté.

Événement redouté

Barrière de mitigation no 1 (BM1) – tR = 30 s

6.4 Présentation de l’arbre d’événements Il est à noter qu’afin de ne pas trop complexifier l’arbre d’événements, seules deux barrières de mitigation ont été retenues : – BM 1 : clapet de fond de la citerne du wagon dont la fermeture est asservie à l’enclenchement d’un arrêt d’urgence (temps de réponse 30 s) ; – BM 2 : la vanne automatique d’isolement en pied de bras dont la fermeture est asservie sur détection gaz (temps de réponse 1 min). Les probabilités de défaillance allouées aux barrières figurant dans l’arbre d’événements présenté en figure 22 sont récapitulées dans le tableau 15.

Barrière de mitigation no 2 (BM2) – tR = 1 min

1–PFDavg = 0,99 1–PFDavg = 0,9

PFDavg = 10–2

Rupture d’un bras dépotage d’un wagon de gaz liquéfié

(%)

1–PFDavg = 0,99

1,2 × 10–4/an

Événement redouté secondaire (ERS)

ERS 1 : fuite alimentée par le wagon pendant 30 s et par le réservoir pendant 1 minute. P(ERS1) ≈ 1,1 × 10–4/an ERS 2 : fuite alimentée par le wagon pendant 30 s et par le réservoir sur une durée prolongée. P(ERS2) ≈ 1,1 × 10–6/an ERS 3 : fuite alimentée par le wagon sur une durée prolongée et par le réservoir sur une durée de 1 minute. P(ERS3) ≈ 1,2 × 10–5/an ERS 4 : fuite alimentée par le wagon et par le réservoir sur une durée prolongée. P(ERS4) ≈ 1,2 × 10–7/an

PFDavg = 10–1 PFDavg = 10–2

Figure 22 – Arbre d’événements consécutif à la réalisation de l’événement redouté « rupture d’un bras de dépotage d’un wagon de gaz liquéfié »

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 27

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 15 – Probabilité de défaillance des barrières de mitigation figurant dans l’arbre d’événements en figure 22 Barrière mitigation

Causes de défaillance

Probabilité de défaillance de la barrière

Clapet de fond de la citerne du wagon

Défaillance mécanique (clapet bloqué en position ouverte)

PFDavg ≈ 10–1

Vanne automatique côté stockage

• Défaillance mécanique de la vanne (vanne bloquée en position ouverte) • Absence d’ordre de fermeture

PFDavg ≈ 10–2

6.5 Exploitation quantitative de l’arbre d’événements

6.6 Présentation du nœud papillon simplifié

Afin de quantifier l’arbre d’événements, il est nécessaire d’allouer, à chaque barrière de mitigation, une valeur de probabilité de défaillance. Pour ce faire, il faut identifier les causes pouvant aboutir à la défaillance de la barrière. Cette identification est conseillée afin de distinguer dans les banques de données quels sont les taux de défaillance à retenir (lorsque la banque rapporte des valeurs par cause ou mode de défaillance).

Comme dit précédemment, il est très rare de présenter dans des études les nœuds papillons complets, c’est-à-dire la réunion de l’arbre de défaillances et de l’arbre d’événements autour du même événement redouté. En effet, les nœuds papillons qui découlent d’une réunion de ces deux arbres sont souvent très difficiles à comprendre du fait de la multiplicité des branches. Ainsi, il est fréquent de faire figurer, sous la forme d’un nœud papillon : – une simplification de l’arbre de défaillances avec une présentation symbolique de l’effet des mesures de prévention ; – un arbre d’événements simplifié sur lequel le rôle des barrières de mitigation est aussi symbolisé par des barres verticales venant s’opposer au déroulement d’un scénario d’accident.

Le tableau 15 présente, pour chaque barrière, la (ou les) principale(s) cause(s) à l’origine de la défaillance de la barrière et propose les probabilités de défaillance retenues pour les besoins de l’exemple. L’arbre d’événements présenté en figure 22 permet de mettre en évidence que, suite à la réalisation de l’événement redouté « rupture d’un bras de dépotage d’un wagon de gaz liquéfié », les principales conséquences envisageables, en fonction du fonctionnement ou non des barrières de sécurité, sont les suivantes : – fuite alimentée par le wagon pendant 30 s et par le réservoir pendant 1 min ; – fuite alimentée par le wagon pendant 30 s et par le réservoir sur une durée prolongée ; – fuite alimentée par le wagon sur une durée prolongée et par le réservoir sur une durée de 1 min ; – fuite alimentée par le wagon et par le réservoir sur une durée prolongée.

Cette présentation simplifiée a pour intérêt de visualiser rapidement les différentes conséquences liées à un même événement redouté. Son inconvénient est de ne pas permettre une présentation exhaustive de l’ensemble des conséquences suivant que les mesures de mitigation remplissent, ou non, leurs fonctions de sécurité. La figure 23 présente le nœud papillon simplifié relatif à l’événement redouté « rupture d’un bras de dépotage d’un wagon de gaz liquéfié ».

Déconnexion du bras au niveau du piquage

Mauvaise fixation citerne/bras

Vidange complète du wagon

BP1

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

ou

tiwekacontentpdf_se4055

Rupture du bras de dépotage d’un wagon de gaz liquéfié

BM1 Fuite de gaz liquéfié

Fuite prolongée côté stockage

Mouvement de la citerne causée par une onde de pression

BM2 BP3 ou

Collision avec un autre wagon BP2

Mouvement de la citerne durant la phase de dépotage

Liste des barrières de prévention BP 1 : contrôle de l’état des pièces de connexion et du montage BP 2 : taquet dérailleur BP 3 : enceinte de protection Liste des barrières de mitigation BM 1 : clapet de fond du wagon BM 2 : vanne d’isolement automatique en pied de bras

Légende : BM : barrière de mitigation BP : barrière de prévention Porte OU Porte ET

Figure 23 – Nœud papillon simplifié relatif à l’événement redouté « rupture du bras de dépotage d’un wagon de gaz liquéfié »

SE 4 055v2 – 28

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

À l’heure actuelle, il est courant dans les études de dangers de retenir ce type de représentation simplifiée à la place des nœuds papillons qui résulteraient de la stricte réunion de l’arbre de défaillances et de l’arbre d’événements.

7. Conclusion La méthode du nœud papillon constitue aujourd’hui, dans le domaine de l’analyse du risque industriel, l’une des méthodes de quantification du risque les plus utilisées. En effet, son application rigoureuse permet d’identifier de manière exhaustive les causes et conséquences liées à un événement redouté. Cette méthode permet de visualiser concrètement les combinaisons de causes pouvant mener à un accident, mais aussi les barrières de prévention et de mitigation mises en œuvre pour prévenir et limiter les effets de l’accident. En revanche, la quantification d’un nœud papillon ne peut se faire que si l’on dispose de données quantifiées (fréquence d’occurrences pour les ER, taux de défaillance, probabilité d’inflammation, etc.). C’est évidemment lors de la quantification que les difficultés inhérentes à l’évaluation du risque émergent. En effet, il est impossible de suggérer que l’on puisse construire un nœud papillon sans se poser de questions sur la crédibilité et l’origine des données utiles à sa quantification. Or, s’il existe de nombreuses banques de données permettant d’alimenter les calculs, l’hétérogénéité des valeurs, la propagation d’incertitudes liées à la méthode, laissent une place prédominante au jugement de l’analyste ou, plus simplement, à l’avis d’expert. En d’autres termes, la quantification d’un nœud papillon ne doit pas venir se substituer à une approche plus pragmatique, faute de quoi l’analyse menée n’aboutira qu’à une quantification « théorique » des risques résultant d’une succession de calculs mathématiques.

8. Glossaire – Définitions Danger ; Hazard Cette notion définit une propriété intrinsèque à une substance (butane, chlore...), à un système technique (mise sous pression d’un gaz...), à une disposition (élévation d’une charge), à un organisme (microbes), etc., de nature à entraîner un dommage sur un « élément vulnérable » [sont ainsi rattachées à la notion de « danger » les notions d’inflammabilité ou d’explosivité, de toxicité, de caractère infectieux, etc. inhérentes à un produit et celle d’énergie disponible (pneumatique ou potentielle) qui caractérisent le danger] (définition issue de la circulaire du 10 mai 2010). Risque ; Risk « Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73), « combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51). Événement redouté central ; Central hazardous event Événement conventionnellement défini, dans le cadre d’une analyse de risque, au centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte de confinement pour les fluides et d’une perte d’intégrité physique pour les solides. Les événements situés en amont sont conventionnellement appelés « phase préaccidentelle » et les événements situés en aval « phase postaccidentelle » (définition issue de la circulaire du 10 mai 2010). Scénario d’accident ; Scenario Enchaînement d’événements conduisant d’un événement initiateur à un accident (majeur), dont la séquence et les liens logiques découlent de l’analyse de risque. En général, plusieurs scénarios peuvent mener à un même phénomène dangereux pouvant conduire à un accident (majeur) : on dénombre autant de scénarios qu’il existe de combinaisons possibles d’événements y aboutissant. Les scénarios d’accident obtenus dépendent du choix des méthodes d’analyse de risque utilisées et des éléments disponibles (définition issue de la circulaire du 10 mai 2010).

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

SE 4 055v2 – 29

Nœud papillon : une méthode de quantification du risque par

Sources bibliographiques Rapport INERIS. – Omega 10 : Évaluation des barrières techniques de sécurité (2008).

[2]

E N

Olivier IDDIR Ingénieur quantification des risques – Service expertise et modélisation – Membre du réseau des experts de TECHNIP TECHNIP France, Paris-La Défense

[1]

P O U R

LIEVENS (C.). – Sécurité des systèmes. Cepadues (1976).

[3] [4]

OGP. – Process release frequencies. Report no 434-1 (2010). SINTEF. – PDS Method handbook (2013).

S A V O I R

À lire également dans nos bases PERILHON (P.). – MOSAR : présentation de la méthode. [SE 4 060]. PERILHON (P.). – MOSAR : cas industriel. [SE 4 061]. MORTUREUX (Y.). – Arbre de défaillances, des causes et d’événements. [SE 4 050]. MORTUREUX (Y.). – La sûreté de fonctionnement : méthode pour maîtriser les risques. [AG 4 670]. MORTUREUX (Y.). – Analyse préliminaire des risques. [SE 4 010].

MORTUREUX (Y.). – AMDE (C.). [SE 4 040]. IDDIR (O.). – Principes d’évaluation de la probabilité de défaillance des mesures de maîtrise des risques. [SE 4 057]. IDDIR (O.). – Évaluation de la probabilité de défaillance d’un système instrumenté de sécurité (SIS). [SE 4 058]. IDDIR (O.). – Pondération des fréquences de fuite dans le cadre des analyses de risques industriels. [SE 5 080].

IDDIR (O.). – Quantification du risque dans le cadre des études de dangers. [G 4 218]. ROYER (M.). – HAZOP : une méthode d’analyse des risques – Présentation et contexte. [SE 4 030]. ROYER (M.). – HAZOP : une méthode d’analyse des risques – Principe. [SE 4 031]. ROYER (M.). – HAZOP : une méthode d’analyse des risques – Mise en œuvre. [SE 4 032].

Normes et standards NF EN 61025

Analyse par arbre de panne (AAP)

Réglementation Arrêté ministériel du 29 septembre 2005 relatif à l’évaluation et à la prise en compte de la probabilité d’occurrence, de la cinétique et de l’intensité des effets et de la gravité des conséquences des accidents potentiels dans les études de dangers des IC soumises à autorisation http://www.legifrance.gouv.fr/affichTexte.do;jsessionid= 3AC066255D1D404EECD26957EF87C943.tpdjo07v_3?cidTexte= JORFTEXT000000245167&categorieLien=id

Circulaire du 10 mai 2010 récapitulant les règles méthodologiques applicables aux études de dangers, à l’appréciation de la démarche de réduction du risque à la source et aux plans de prévention des risques technologiques (PPRT) dans les installations classées en application de la loi du 30 juillet 2003 http://www.ineris.fr/aida/?q=consult_doc/consultation/2.250.190.28.8.12386

Copyright © – Techniques de l’Ingénieur – Tous droits réservés

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Doc. SE 4 055v2 – 1

P L U S

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

TECHNIQUES DE L’INGÉNIEUR

UNE APPROCHE GLOBALE DE VOS BESOINS

Plus de 8000 articles scientifiques et techniques en français et les services associés pour aller plus loin dans vos recherches documentaires et bibliographiques. Techniques de l’ingénieur est la base de référence des bureaux d’études et de la conception, de la R&D, de la recherche et de l’innovation industrielle.

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Les experts de Techniques de l’Ingénieur partagent leurs savoir-faire techniques et organisationnels. Montez en compétence grâce aux journées techniques et formations HSE ou privilégiez un parcours sur mesure développé par les conseillers formation et réalisé à vos dates et dans votre établissement.

tiwekacontentpdf_se4055

Tout l’ADN de Techniques de l’Ingénieur à votre disposition. Les experts et spécialistes scientifiques de Techniques de l’Ingénieur, praticiens expérimentés, vous accompagnent tout au long de vos projets pour vous conseiller : diagnostics, recommandations techniques et montée en capacité de votre R&D jusqu’à l’innovation.

LES THÉMATIQUES COUVERTES Sciences fondamentales

Électronique - Automatique

Génie industriel

Technologies de l’information

Procédés Chimie-Agro-Bio

Construction

Mesures - Analyse

Innovations

Matériaux

Environnement - Sécurité

Mécanique

Transports

Énergies

Biomédical - Pharma

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

Accédez à l’information la plus pertinente, approuvée par plus de 300 000 utilisateurs parmi vos clients, fournisseurs ou partenaires, grâce à votre abonnement aux ressources documentaires et services inclus (1) :

SÉMINAIRES EN LIGNE : profitez, tout

COMPLÉMENT 360 : en complément des

au long de l’année, de formations à distance sur le thème : « Optimiser sa veille scientifique et technologique avec Techniques de l’Ingénieur ». Ces séminaires vous montrent comment exploiter au mieux les ressources et fonctionnalités de techniques-ingenieur.fr et améliorer la pertinence de vos résultats de recherche.

ressources documentaires comprises dans votre abonnement, utilisez cet outil pour approfondir vos recherches en découvrant les autres publications également disponibles sur internet.Vous accédez à toutes les références bibliographiques liées au sujet qui vous concerne.

ANNUAIRE DES LABORATOIRES ET CENTRES DE RECHERCHE : pour chacune

SERVICE QUESTIONS-RÉPONSES :

des bases documentaires, vous avez à disposition une sélection pertinente des 15 premiers centres de recherche, profils de chercheur, projets et publications parmi les données de plus de 50 000 centres de recherche privés et publics.

Besoin de compléments d’information ou de validation pour mieux prendre vos décisions ? Posez des questions techniques, scientifiques, réglementaires, juridiques ou encore économiques aux plus grands spécialistes des domaines couverts par vos bases documentaires, c’est compris dans votre abonnement !

ARCHIVES : accédez aux versions antérieures de

vos articles, ainsi qu’à ceux qui traitent des technologies plus anciennes.

DICTIO N N A IRE T E CH N IQ U E MULTILINGUE : cet outil en ligne pro-

SERVICE ACTUALITÉ : pour une vision globale et

pose plus de 45 000 termes scientifiques et techniques relatifs aux domaines qui vous concernent. Pour 10 000 d’entre eux, retrouvez des illustrations, avec légendes, elles aussi toujours traduites en 4 langues.

quotidienne de l’actualité et des innovations technologiques, Techniques de l’Ingénieur met à votre disposition un service de Veille & Actualités. Ce service regroupe en 11 thématiques les grands domaines de l’ingénierie pour donner au lecteur une visibilité globale des dernières innovations.

ARTICLES DÉCOUVERTE : bénéficiez

d’un crédit de 1 à 5 articles au choix, à consulter gratuitement, dans les bases documentaires auxquelles vous n’êtes pas abonné.

MOBILITÉ : Techniques de l’Ingénieur propose

un site internet intégralement compatible mobile et tablettes (iPad).

ET AUSSI : le statut d’abonné vous donne accès à des prestations complémentaires, sur devis : l’impression à la demande

tiwekacontentpdf_se4055

✁

(1) La disponibilité des services dépend du périmètre de votre abonnement.

En savoir plus ou découvrir le contenu de Techniques de l’Ingénieur ? Les conseillers régionaux de Techniques de l’Ingénieur sont à votre écoute pour vous proposer des solutions sur mesure.

❏ M.

Pour recevoir, sans engagement de votre part, toute l’information sur les produits des Techniques de l’Ingénieur, complétez cette demande d’information.

Techniques de l'Ingénieur

A retourner à : Techniques de l’Ingénieur 249 rue de Crimée 75925 Paris cedex 19 Tél. : 01 53 35 20 20 Fax : 01 53 26 79 18 email : [email protected]

❏ Mme

Nom : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Prénom : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

72/WQ/VBM1201

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5

pour obtenir un ou plusieurs ouvrages supplémentaires (versions imprimées de vos bases documentaires) ou encore la traduction d’un article dans la langue de votre choix.

Société / Organisme : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. Adresse : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CP : |__І__|__І__І__|

Ville : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Tél. : |__І__|__І__|__І__|__І__|__І__|

Fax : |__І__|__І__|__І__|__І__|__І__|

Email : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Effectif : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAF : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5