ARTICLE
TECHNIQUES DE L’INGÉNIEUR L’expertise technique et scientifique de référence
Techniques de l'Ingénieur
se4061 p2645 Spectrométrie de masse - Principe MOSAR - Cas industriel
et appareillage
10/04/2004 Date de publication : 12/09/2014 Par :
Pierre PERILHON
Guy BOUCHOUX Ingénieur de l'École nationale supérieure des arts et métiers (ENSAM), Ancien responsable de Professeur à l’université Paris XI (Orsay), École Polytechnique, sécurité-sûreté au Commissariat à l'énergie atomique (CEA) DCMR, Palaiseau
Michel SABLIER
Chargé de recherches au CNRS, École Polytechnique, DCMR, Palaiseau
Guy BOUCHOUX
Professeur à l’université Paris XI (Orsay), École Polytechnique, DCMR, Palaiseau
Michel SABLIER
Chargé de recherches au CNRS, École Polytechnique, DCMR, Palaiseau
Cet article fait partie de la base documentaire : Mesures - d'analyse Analyses des risques Méthodes Dans le pack : Sécurité Mesures et - Analyses gestion des risques Environnement Sécurité et dans l’univers : Technolgies de -l’information Cet article peut être traduit dans la langue de votre choix. Accédez au service Traduction à la demande dans votre espace « Mon compte ». (Service sur devis)
25/07/2015 Document délivré le : 23/06/2014 7200092269 cerist // 193.194.76.5 Pour le compte : 7200100403 -- techniques ingenieur // marie LESAVRE // 217.109.84.129 Pour toute question : Service Relation clientèle - Techniques de l’Ingénieur 249 rue de Crimée - 75019 - Paris par mail
[email protected] ou au téléphone 00 33 (0) 1 53 35 20 20 Copyright © © 2014 2015 | Techniques Techniques de de l’Ingénieur l'Ingénieur | tous droits réservés Copyright
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR Cas industriel par
Pierre PERILHON Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM) Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)
1. 1.1
Définition de l’exemple. Modélisation ............................................... Décomposition du système étudié et des systèmes environnement et opérateurs en sous-systèmes.................................................................
SE 4 061 - 2 —
2
2. 2.1 2.2 2.3 2.4 2.5 2.6
Le module A de la méthode et ses cinq étapes............................... Identification des sources de danger ......................................................... Identifier les scénarios de danger .............................................................. Évaluation des scénarios à risques ............................................................ Négociation d’objectifs et hiérarchisation des scénarios......................... Définition et qualification des moyens de prévention et de protection.. Conclusion sur le module A........................................................................
— — — — — — —
3 3 5 9 9 11 12
3. 3.1 3.2
Le module B de la méthode et ses cinq étapes ............................... Identifier les risques de fonctionnement ................................................... Évaluer les risques en construisant des arbres de défaillances et en les quantifiant ..................................................................................... Négocier des objectifs précis de prévention ............................................. Affiner les moyens de prévention .............................................................. Gérer les risques..........................................................................................
— —
13 13
— — — —
17 18 18 21
—
22
Références bibliographiques .........................................................................
—
24
Pour en savoir plus...........................................................................................
Doc. SE 4 062
3.3 3.4 3.5 4.
L’organisation des barrières dans une stratégie de défense en profondeur ...........................................................................................
a méthode MOSAR, décrite dans l’article MOSAR - Présentation de la méthode [SE 4 060], est ici développée à partir d’un exemple concret. Le choix de ce dernier répond à plusieurs contraintes : — difficulté de décrire un exemple industriel réel qui serait ainsi mis dans le domaine public ; — nécessité de choisir un exemple que l’on peut mettre sous forme pédagogique pour montrer l’intérêt de la méthode. Il doit être ni trop simple, ni trop compliqué et doit cependant montrer toute l’amplitude de la méthode ; — impossibilité de développer complètement l’exemple mais obligation d’en détailler suffisamment certaines phases pour en montrer l’efficacité. Nous avons donc retenu et construit en partie un exemple réaliste, par ailleurs suffisamment connu pour ne pas désarçonner les lecteurs et suffisamment riche pour en retenir l’attention.
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
L
tiwekacontentpdf_se4061
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 1
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
1. Définition de l’exemple. Modélisation
tions pour lesquelles une telle décomposition n’a pas d’intérêt, voire est impossible.
Nous prendrons comme exemple une installation de dépotage de propane alimentant des ateliers présentée sur la figure 1.
Elle permet cependant de générer des scénarios d’interférence ou de proximité entre les sous-systèmes si ces derniers peuvent être identifiés.
Les manières de segmenter le contexte sont multiples mais il faut remarquer que pour un découpage donné définissant le système à analyser, le reste du contexte se trouve dans l’environnement du système. Ainsi, quelle que soit la situation de la frontière retenue entre le système et son environnement, la somme des deux redonne toujours l’ensemble du contexte. Le système le plus dangereux dans ce contexte est l’installation de dépotage de propane. Elle sera donc le système sur lequel va porter l’analyse (figure 2).
1.1 Décomposition du système étudié et des systèmes environnement et opérateurs en sous-systèmes La décomposition du système étudié (ici, le système de dépotage) en sous-systèmes n’est pas obligatoire. Il existe des installa-
C’est le cas d’un laboratoire qui comprend une multitude d’objets sans sous-systèmes clairement identifiables.
Il existe plusieurs manières de décomposer une installation en sous-systèmes : — décomposition hiérarchique en fonction des relations des éléments de l’installation entre eux ; — décomposition topologique en fonction de la position des éléments de l’installation dans l’espace ; — décomposition fonctionnelle de par la situation des éléments de l’installation dans la chaîne de fonctionnement de cette dernière. Nous utiliserons une association des deux dernières en répondant à trois conditions : — les sous-systèmes répondent aux cinq critères d’un système (structure, fonction, finalité, évolution et environnement selon le modèle canonique de Le Moigne [1]) ; — chacun doit être homogène ; — leur nombre doit être le plus limité possible, en tout cas inférieur ou égal à 12.
Lotissement
Lotissement
30 m
Voie ferrée
45 m
Dépotage 120 m
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Ateliers
tiwekacontentpdf_se4061
250 m Parking
90 m 70 m
Bâtiment administratif
30 m 20 m
Route
10 m 250 m
300 m Rivière
Figure 1 – L’installation étudiée
SE 4 061 − 2 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
Soupape
Sphère
Systèmes de connexion
Bras mobile Tuyau souple Opérateur Canalisations fixes
Wagon
Pompe
Vanne trois voies pour prélèvement contrôle qualité
Figure 2 – Le système étudié
Dans le cas de l’installation de dépotage de propane, ceci conduit à cinq sous-systèmes (figure 3) : — SS1 - la sphère et ses équipements ;
2. Le module A de la méthode et ses cinq étapes
— SS2 - les tuyauteries de remplissage et d’équilibrage ; — SS3 - le wagon et ses équipements ; — SS4 - le bras mobile ; — SS5 - la pompe. Pour ce qui concerne l’environnement on considère que celui-ci est constitué d’un ensemble d’environnements emboîtés [environnement spécifique directement lié à l’installation, environnement proche (ville, campagne), environnement lointain (département, régional)].
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
On ne prend en compte, dans l’exemple, que l’environnement spécifique que l’on appellera pour simplifier, sous-système environnement.
tiwekacontentpdf_se4061
Le lecteur consultera la figure 2 de l’article [SE 4 060].
2.1 Identification des sources de danger 2.1.1 Identification des sources de danger de chaque sous-système du système dépotage Il s’agit d’identifier en quoi chaque sous-système peut être source de danger. Pour effectuer ce travail, on lit chaque sous-système à travers la grille de typologie des systèmes sources de danger décrite au § 2.2, encadré 1 de l’article [SE 4 060].
Dans l’exemple, en ajoutant le sous-système opérateur et le sous-système environnement (figure 3), on arrive pour le contexte au total à sept sous-systèmes, dont on étudie d’abord l’interaction des cinq qui constituent le système dangereux (système étudié) et à partir du résultat obtenu dont on étudiera l’interaction avec les deux autres sous-systèmes.
On remplit la première colonne du tableau A (figure 4). En faisant cette identification pour tous les sous-systèmes, on obtient donc une liste exhaustive des dangers de l’installation dépotage. La colonne phases de vie permet de préciser certains dangers. Par exemple dans le cas de la sphère, si l’on fait l’analyse dans la phase d’exploitation normale, il n’y a pas de danger de manutention. En revanche, dans les phases montage et entretien il apparaît un danger de manutention avec les organes tels que les vannes et la soupape. Il est donc possible de faire l’analyse soit phase par phase, soit en cherchant à identifier les principaux dangers apparaissant dans les différentes phases.
On pourrait aussi étudier les interactions des éléments qui composent les sous-systèmes environnement et opérateurs et faire apparaître ainsi les interférences internes à ces systèmes avant d’étudier les interférences avec les autres sous-systèmes. C’est une approche complémentaire qui n’est pas développée dans ce document.
Remarque : Deux phrases mnémotechniques pour s’aider à trouver des réponses dans la recherche des processus de danger et stimuler son imagination : — qu’est-ce qui est et qui pourrait ne pas être ? Par exemple, il y a du courant électrique et il pourrait ne pas y en avoir ; — qu’est-ce qui n’est pas et qui pourrait être ? Plus difficile. Par exemple, il n’y a pas de fuite mais il pourrait y en avoir une.
Il en est de même pour les opérateurs. Ils sont constitués en équipes, structures hiérarchiques (services, départements...). Dans l’exemple, pour simplifier aussi, et d’une manière générale dans la méthode d’analyse, on ne modélisera dans un premier temps, d’une manière globale, qu’un opérateur que l’on appellera : sous-système opérateur.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 3
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
SS1 Sphère est ses équipements
SS5 Wagon et ses équipements
SS2 tuyauteries d'équilibrage et de remplissage
SS4 Bras mobile
SS6 sous-système opérateur
SS3 Pompe
Système analysé
Route Parking
CONTEXE
Lotissement Ateliers Bâtiments administratifs Voie ferrée Rivière
SS : Sous-système
SS7 Sous-système environnement
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Figure 3 – La décomposition du contexte en sept sous-systèmes
tiwekacontentpdf_se4061
2.1.2 Identification des processus de danger Ce travail se fait ligne par ligne en recherchant les événements qui constituent les processus de danger. On utilise le tableau A (figure 4) en commençant par la colonne des événements initiaux. Ces derniers peuvent provenir soit du contenant, c’est-à-dire de l’enveloppe du système source, soit de son contenu. On recherche ensuite les événements initiateurs qui peuvent engendrer les événements initiaux et on les note dans la colonne correspondante du tableau A. Ces événements peuvent être d’origine interne ou externe au système source de danger. Dans ce dernier cas ils sont générés par les champs. La chaîne événements initiateurs – événements initiaux génère des événements principaux que l’on note dans la dernière colonne à droite du tableau A (figure 4).
Cette technique nous donne un outil de génération d’un ensemble d’événements. Ce n’est qu’un outil qu’il faut utiliser
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Exemple : l’événement surpression apparaît à deux endroits différents dans la recherche des processus de danger liés à la pression : — c’est un événement initiateur interne d’une rupture ou d’une fissure de l’enveloppe ; — c’est un événement initial interne dont l’événement initiateur interne est un dysfonctionnement de soupape et l’événement initiateur externe un flux thermique. La chaîne complète devient : Flux thermique
& &
surpression interne
&
fissure rupture
Dysfonctionnement de soupape
2.1.3 Remarques
SE 4 061 − 4
comme tel. Il nous aide à faire apparaître des événements et leurs enchaînements pouvant avoir des effets non souhaités sur des cibles qui, à ce niveau, ne sont pas encore identifiées. Il appartient à l’analyste de se servir des identifications d’événements pour construire des chaînes plus ou moins longues d’enchaînements.
Dans l’identification des événements principaux, il faut prendre garde à ne pas noter des interférences avec les autres sous-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
Phases de vie : Conception Montage Essais Exploitation : Entretien Dépannage Arrêt Transformation Démantèlement
CO MO ES EX EN DE AR TR DEM
Événements renforçateurs : Sources d'allumage Densité de population Densité de circulation de trains et de véhicules
Influence des champs : Conditions météo Corrosivité de l'air Productivité Réglementation Maintenance Organisation des équipes Qualité de formation du personnel
Événements initiateurs (3)
Types de systèmes sources de danger (1) Application de la grille
Phases de vie
A 1 - sphère et ses équipements
Externes (environnement actif)
EX
A 2 - support
Événements initiaux (2) Événements principaux
Internes
Liés au contenant
Liés au contenu
Choc Corrosion Flux thermique
Corrosion Surpression Dysfonctionnement soupape
Rupture Fissure
Surpression
EX
Corrosion
Corrosion Surcharge
Rupture Déformation
A 3 - propane vannes, soupape
EX
Erreur de remplissage Choc, Givrage Obstacle
Dysfonctionnement de la vanne Prélèvement
Blocage
A 4 - vannes, soupape
EN MO
Choc manutention en cours de montage ou de remontage
Déformation Fissuration
A 5 - sphère
EX
Énergie thermique
Diminution de résistance mécanique
A 6 - sphère
EN DE EX
Pluie Gel Maladresse
Structure glissante Accès hauteur
Accès en hauteur dangereux
A 7 - cuvette de rétention
EN DE EX
Maladresse Fatigue
Dénivellement
Circulation à pied dangereuse
A 8 - équipements
EN DE EX
Maladresse
Aspérités
Possibilité de blessures
B 2 - sphère
EX
Entrée d'air
Explosion
Explosion de la sphère
D 3 - propane
EX
Électricité statique
Fuite
Fuite enflammée
EX
Mauvaise mise à la terre
Déplacement propane
Électricité statique
E 2 - électricité statique
Fuite de propane : gaz liquide Déformation Effondrement Renversement
Débit trop grand
Sphère trop pleine Fuite
Fuite
Montée en température
BLEVE
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Figure 4 – Tableau A : établissement des processus de danger du sous-système sphère
tiwekacontentpdf_se4061
systèmes sinon la génération de scénarios deviendra confuse par la suite. Ne pas écrire explosion dans l’événement principal du processus de danger lié à la pression. Encore faut-il que la nappe de propane générée par la fuite rencontre une source d’allumage (dans une cible) pour qu’il y ait explosion. De la même manière, ne pas écrire chute de hauteur dans le processus de danger lié à l’accès en hauteur de la sphère car encore faut-il qu’un opérateur ait à accéder sur la sphère pour que cela entraîne sa chute. On ne tient pas compte des barrières de prévention et de protection existantes notamment pour une installation en fonctionnement. En effet, si l’on veut pouvoir juger de la pertinence des barrières prévues (projet) ou existantes (diagnostic), il est nécessaire de faire un point zéro sans barrières.
2.2 Identifier les scénarios de danger Dans les installations industrielles, notamment celles présentant des risques de nature chimique, on admet que les scénarios d’accidents majeurs sont connus notamment grâce au retour d’expérience. On en retient généralement six principaux [2] : — incendie ; — explosion ; — libération de produits toxiques ; — libération de produits inflammables ; — pollution des sols ; — pollution des eaux. Il est intéressant, voire indispensable de pouvoir générer des scénarios d’accidents possibles [ou plus généralement des scénarios d’événement non souhaité (ENS)] et notamment de faire apparaître les principaux. Ceci permet en effet :
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 5
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
Choc
Fuite propane
Corrosion
Déformation du support
Flux thermique Effondrement du support
Dysfonctionnement de la soupape
Renversement de la sphère
Surpression interne Surcharge Dysfonctionnement de la vanne Givrage Erreur de remplissage
SS1 SPHÈRE ET SES ÉQUIPEMENTS
Sphère trop pleine BLEVE Scénarios courts
Accès en hauteur dangereux Circulation à pied dangereuse
Scénarios d'autodestruction
Figure 6 – Scénarios court et d’autodestruction
Obstacle Explosion sphère Pluie Gel Maladresse Fatigue Entrée d'air Électricité statique
Fuite enflammée
Choc
Fuite propane
Électricité statique
Corrosion
Déformation du support
Flux thermique Effondrement du support
Dysfonctionnement de la soupape Figure 5 – Boîte noire sphère et ses équipements
Renversement de la sphère
Surpression interne
— de démontrer leur genèse ; — d’identifier leurs multiples variantes ; — d’identifier des scénarios insoupçonnés ; — d’en faire par la suite l’ossature des arbres logiques montrant l’enchaînement de tous les événements conduisant à un ENS. La technique développée ci-après permet de faire ce travail.
SS1
Surcharge Dysfonctionnement de la vanne
Sphère trop pleine
SPHÈRE ET SES ÉQUIPEMENTS
Givrage Erreur de remplissage
BLEVE Accès en hauteur dangereux Circulation à pied dangereuse
Obstacle
2.2.1 Mettre chaque sous-système sous forme d’une boîte noire
Pluie Gel
En reprenant chaque sous-système dans les tableaux A (voir figure 4), on les représente sous forme de boîtes noires dont les entrées sont les événements initiateurs d’origine interne ou externe et les sorties sont les événements principaux.
Maladresse Fatigue Entrée d'air Électricité statique
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Ce travail est une simple compilation des tableaux A (cf. figure 4, colonne 3 et dernière colonne à droite). Pour le sous-système sphère, on obtient la boîte noire figure 5.
tiwekacontentpdf_se4061
On peut remarquer que : — dans les événements d’entrée on retrouve des dysfonctionnements d’origine technique comme par exemple dysfonctionnement de vanne ou dysfonctionnement de soupape, et des dysfonctionnements opératoires comme par exemple erreur de remplissage ou maladresse ; — dans les événements de sortie on trouve des événements qui peuvent atteindre différentes cibles comme par exemple BLEVE (Boiling Liquid Expansion Vapor Explosion ) qui peut atteindre toutes les cibles ou accès en hauteur dangereux qui peut atteindre les opérateurs.
Explosion sphère Fuite enflammée Électricité statique
Figure 7 – Scénarios courts de la sphère et de ses équipements
1 Pluie Gel
Accès en hauteur dangereux Étincelle électrostatique
2 Givrage
Fuite de propane
Flux thermique 3 Surcharge
Fuite enflammée
BLEVE Effondrement du support
Figure 8 – Quelques scénarios courts de la sphère
2.2.2 Génération de scénarios courts et de scénarios d’autodestruction Pour l’instant nous n’avons, dans la génération de processus du tableau A, fait apparaître que des liaisons directes entre les événements d’entrée et de sortie des boîtes noires. Il faut maintenant combiner les événements d’entrée entre eux, les événements de sortie entre eux et identifier les retours en bouclage des événements de sortie et des événements d’entrée. Les
SE 4 061 − 6 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
deux premières opérations mettent en évidence des scénarios courts et la dernière des scénarios qui entraînent une autodestruction du sous-système (figure 6). Pour le sous-système sphère voici quelques exemples de ces scénarios (figure 7). Quelques-uns des scénarios ainsi générés sont représentés figure 8.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
Choc
Fuite propane
Corrosion
Déformation du support
Flux thermique
Choc
Déformation
Choc
Blocage
Surpression
Fuite
Cavitation
Surdébit
Suralimentation électrique
Fuite
Effondrement du support
Dysfonctionnement de la soupape
Rupture Renversement de la sphère
Surpression interne
Foudre
Surcharge
Sphère trop pleine
Dysfonctionnement de la vanne
BLEVE
SS2 Cavitation
Accès en hauteur dangereux
Givrage
Fuite enflammée
TUYAUTERIES FIXES D'ÉQUILIBRAGE ET DE REMPLISSAGE
Corrosion
Rupture Fouettement
POMPE
Obstacle
Flux thermique
Pluie Gel Maladresse Fatigue Entrée d'air Électricité statique
SS1
Explosion sphère
SPHÈRE ET SES ÉQUIPEMENTS
Fuite enflammée
Vibrations
Électricité statique
Foudre
Déformation
Choc
Fuite
Stress
Choc
Fuite
Surcharge
Électricité statique
Inconscience
Mouvement wagon
Rupture
Effondrement châssis
Choc
Fatigue
Fouettement
Flux thermique
BLEVE
Mauvaise formation
Électricité statique
Foudre
Mauvais branchement SS4
Flux thermique
Mouvement intempestif
SS5
Surpression interne
BRAS MOBILE
Corrosion
Geste maladroit Action non conforme Blessure
Absence de consignes
Renversement
WAGON ET SES ÉQUIPEMENTS
Entrée d'air
Vibrations
Débordement
Contexte dangereux
SS6 OPÉRATEUR
Explosion interne
Étincelle électrostatique
Scénario S1 Mauvaise formation opérateur
Action non conforme
Fuite enflammée
Mauvais branchement bras articulé
Fuite propane
BLEVE wagon
Onde de choc
Flux thermique sur wagon
Fuite enflammée sur sphère Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Éclatement
Corrosion
Circulation à pied dangereuse
Erreur de remplissage
tiwekacontentpdf_se4061
SS3
Surpression
Flux thermique sur sphère
Fuite enflammée Choc
BLEVE sphère
Scénario S2 Fatigue
Geste madroit
Maladresse
Accès en hauteur sphère dangereux
Contexte dangereux
Chute de hauteur de l'opérateur Figure 9 – Exemples de scénarios longs pour l’installation propane
Pour éviter de se perdre très rapidement dans un fouillis de flèches, il est nécessaire d’écrire les scénarios au fur et à mesure qu’ils sont construits.
2.2.3 Génération et validation de scénarios longs, construction d’arbres logiques sur les accidents principaux identifiés ■ Si l’on met toutes les boîtes noires sur une même page, il est possible de relier les sorties de certaines boîtes qui sont de même
nature (repérées en principe par les mêmes mots) que les entrées d’autres boîtes. On obtient ainsi des scénarios longs d’enchaînements d’événements ou scénarios de proximité ou aussi scénarios principaux d’ENS (accidents). Pour l’installation propane nous avons représenté toutes les boîtes noires sur la figure 9, ce qui permet de générer quelques exemples de scénarios (en ne tenant pas compte de l’environnement).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 7
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
Choc
Fuite propane
Corrosion
Déformation du support
Flux thermique
Déformation
Choc
Blocage
Surpression
Fuite
Cavitation
Surdébit
Suralimentation électrique
Fuite
Effondrement du support
Dysfonctionnement de la soupape
Rupture Renversement de la sphère
Surpression interne Surcharge
Choc
SS1
Foudre SS2
Sphère trop pleine
Fuite enflammée
Cavitation Dysfonctionnement de la vanne Givrage
SPHÈRE ET SES ÉQUIPEMENTS
BLEVE Accès en hauteur dangereux
Corrosion
Circulation à pied dangereuse
Erreur de remplissage Obstacle
Rupture TUYAUTERIES FIXES D'ÉQUILIBRAGE ET DE REMPLISSAGE
Fouettement
Corrosion
POMPE
Flux thermique Foudre
Fuite enflammée
Maladresse Fatigue Entrée d'air Électricité statique
Électricité statique
Déraillement Collision sur route Accident péniche Accident sur parking Accident dans atelier
SS7 Environnement
Explosion train Explosion navigation Explosion camion sur route Incendie sur parking Incendie atelier
Déformation
Choc
Fuite
Stress
Choc
Fuite
Surcharge
Électricité statique
Inconscience
Mouvement wagon
Rupture
Effondrement châssis
Choc
Fatigue
Fouettement
Flux thermique
BLEVE
Mauvaise formation
Électricité statique
Foudre
Mauvais branchement
Corrosion
Éclatement
Vibrations
Explosion sphère Pluie Gel
Flux thermique
SS3
SS4
Surpression interne
SS5 WAGON ET SES ÉQUIPEMENTS
Mouvement intempestif
Absence de consignes
Geste maladroit Action non conforme SS6 OPÉRATEUR
Blessure
Renversement Entrée d'air
BRAS MOBILE
Vibration
Débordement
Contexte dangereux
Explosion interne
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Figure 10 – Scénarios d’interaction avec l’environnement
tiwekacontentpdf_se4061
À ces scénarios viennent s’ajouter à l’entrée choc sur la sphère les scénarios générateurs de chocs et provenant de l’environnement (figure 10) quelques interactions avec l’environnement conduisant aussi à des chocs sur la sphère SS1. ■ À partir des scénarios longs et des scénarios courts on peut construire, en les concaténant (rassemblant) sur un même événement, un arbre logique qui est la première représentation des événements s’enchaînant pour générer un ENS. Par exemple, pour l’installation propane, on peut rassembler quelques scénarios conduisant au BLEVE de la sphère : On retient : — le scénario S1 (figure 9) ; — le scénario court 2 (figure 8) ; — les scénarios générés par l’environnement SS7 (figure 10) ; — des scénarios courts générés par le bras mobile (figure 10, SS4). On obtient l’arbre logique représenté figure 11.
SE 4 061 − 8 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
2.2.4 Remarques ■ L’événement initiateur considéré peut conduire à plusieurs, voire à une multitude de processus. On est donc placé là devant l’incertitude et la difficulté de prévisibilité des risques. Nous pouvons distinguer l’incertitude paramétrique liée à une imprécision des paramètres des processus et l’incertitude systémique liée à l’identification des processus possibles et à l’ambiguïté des enchaînements et des combinaisons possibles de ces processus. Les outils présentés nous aident à résoudre partiellement ces problèmes. ■ Le nombre de scénarios construits avec les boîtes noires n’est pas infini mais il peut être très grand. Pour éviter une explosion combinatoire et guider le travail on peut choisir les événements majeurs qui apparaissent à la sortie des boîtes noires en tant qu’événements principaux, et rechercher quels sont les scénarios qui aboutissent à ces événements. On raisonne alors par déduction. C’est le cas par exemple du BLEVE mais aussi de Blessure de l’opérateur. Nous constatons que nous avons à faire ici à l’un des six scénarios majeurs pouvant survenir dans une installation industrielle à savoir à une explosion.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
1 Mauvaise formation opérateur
Mauvais branchement du bras sur wagon
Fuite enflammée
Étincelle
2
Choc Corrosion Vibrations
3
Défaut interne Dispositif de branchement
4
Déraillement Collision sur route Accident péniche
Flux thermique sur wagon
Choc
Déformation Fuite enflammée sphère
Non-étanchéité
Explosion externe
Choc sphère
BLEVE wagon
BLEVE sphère
Étincelle Fuite sphère
5
Obstacle givrage
Dysfonctionnement vanne prélèvement Figure 11 – Arbre logique BLEVE
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
■ La liaison entre les sorties et les entrées des boîtes noires est en théorie une liaison directe (on relie les mêmes mots correspondant aux mêmes types de processus, par exemple choc généré par le wagon de différentes manières et choc à l’entrée de la sphère correspondant à différents types de chocs). Cette vision idéale est cependant rarement opérationnelle. Il faut donc se servir ici de son imagination, de son intuition et de son expérience pour relier des entrées et sorties qui n’apparaissent pas a priori comme directement connectables. C’est le cas par exemple du scénario S1 (cf. figure 9). Le mauvais branchement du bras articulé est une des actions non conformes que peut générer l’opérateur. Une étincelle électrostatique et une fuite de propane génèrent une fuite enflammée. C’est un nouveau processus qu’il faut prendre en compte. Le BLEVE du wagon génère une onde de choc, donc un choc... Il faut donc interpréter et vérifier bien sûr que les enchaînements sont plausibles. Ici aussi la technique des boîtes noires est un outil qui nous aide à mettre en relation des processus et à en faire apparaître d’autres. Nous sommes toujours dans une vision systémique.
tiwekacontentpdf_se4061
■ On obtient des scénarios plausibles. Pour décider s’ils sont possibles il est nécessaire de vérifier si les enchaînements sont possibles. Pour cela il faut évaluer quantitativement ou qualitativement les distances qui peuvent être franchies par les événements, les impacts entre les sous-systèmes et leurs effets. Ceci fait appel à l’évaluation des scénarios que nous verrons plus en détail au paragraphe 2.3. Il faut aussi évaluer si la probabilité des enchaînements d’événements est possible. Cependant il faut se méfier des scénarios qui pourraient apparaître comme fantasques parce que très peu probables. Le retour d’expérience montre que l’enchaînement d’événements est souvent fantastiquement long et il vaut sans doute mieux travailler sur ces scénarios et vérifier qu’ils sont maîtrisables plutôt que de les éliminer a priori.
établir l’évaluation de leurs effets en fonction de la distance des cibles, calculer les caractéristiques de formation de nappe de produits inflammables ou explosifs et déterminer leurs effets en fonction de la distance des cibles. Parmi ces logiciels, CAMEO diffusé en France par la Protection Civile, PHAST du TNO (Pays-Bas), les logiciels de Transoft International, ceux d’Aria Technologie. Il est aussi nécessaire d’évaluer quelles cibles les événements principaux vont pouvoir atteindre et quel sera leur impact sur ces cibles. L’atteinte des cibles ainsi que leur nature (une ou plusieurs des quatre possibles) dépend des caractéristiques évaluées des scénarios et de leurs distances par rapport aux événements finaux. Si l’on reprend l’arbre logique BLEVE (figure 11), on peut faire les constats suivants : — tous les scénarios ont la même gravité puisque c’est le BLEVE final. Ceci n’est pas valable pour tous les cas et dépend des événements finaux choisis. Dans certains cas la gravité est fonction du scénario ; — tous les scénarios atteignent les quatre cibles possibles ; — pour évaluer leurs caractéristiques le calcul est possible : calcul des débits de fuite en phase gazeuse ou liquide ou en double phase, calcul de diffusion du propane gazeux dans l’air et des caractéristiques des nappes formées, calcul des caractéristiques d’explosions et de leurs effets, calcul des caractéristiques des BLEVES et de leurs effets. Il existe des logiciels permettant de conduire tous ces calculs (cf. Pour en savoir plus [Doc. SE 4 062]) ; — les scénarios se distinguent les uns des autres par leur probabilité différente. Par exemple le scénario 1 est bien moins probable que le scénario 3 ou le scénario 5. À ce niveau de l’analyse on ne peut pas cependant calculer ces probabilités. D’où l’intérêt de pouvoir disposer d’une grille permettant de hiérarchiser les scénarios, ce que nous allons voir dans l’étape suivante ; — on peut aussi évaluer le coût des accidents.
2.3 Évaluation des scénarios à risques 2.3.1 Évaluation quantitative ou qualitative Comme nous l’avons vu en partie au paragraphe 2.2, cette étape permet d’évaluer quantitativement si c’est possible (par le calcul éventuellement à l’aide de logiciels) ou qualitativement par travail de groupe ou le jugement d’experts si le calcul n’est pas possible, les caractéristiques des différents événements identifiés et leurs interactions avec les sous-systèmes. Il existe de nombreux logiciels que l’on peut mettre en œuvre à ce niveau de l’analyse pour calculer des diffusions atmosphériques de produits, calculer les caractéristiques de formation de nappes de produits toxiques et
2.4 Négociation d’objectifs et hiérarchisation des scénarios 2.4.1 Négociation de grilles « Gravité × Probabilité » Jusqu’ici nous n’avons pas situé le travail d’analyse par rapport à des objectifs. La mise en évidence de scénarios de risques et leur évaluation permet de mieux définir ces objectifs. Dans un premier temps, il est nécessaire de construire un outil qui permettra de
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 9
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
concrétiser ces objectifs. Celui choisi est la grille « Gravité × Probabilité (G × P) ». On peut en construire une par cible.
8 niveaux (toujours en nombre pair pour éviter la tendance à se situer dans un niveau médian) ; — la deuxième chose à faire est de situer dans la grille la frontière entre ce qui est considéré comme acceptable et ce qui est considéré comme inacceptable. Ceci constitue un deuxième niveau de négociation.
Prenons le cas d’une grille pour les opérateurs (figure 12a ) : — la première chose à faire est de négocier les niveaux des deux axes de la grille. En principe on construit des axes à 4, 6 ou
G = gravité ou effet sur une cible, par exemple un ou plusieurs opérateurs
Grille G ✕ F Niveau
Très important Mort d'homme
S2
Important Effets irréversibles Accident avec IPP
4
INACCEPTABLE INACCEPT
3
Peut important Effets réversibles Accident avec AT sans IPP
2
Mineur Blessures légères Accident sans AT
ACCEPTABLE Acceptable Très improbable
Risque
S2'
Improbable
Peu probable
1 Probable
P = probabilité de l'effet
Zéro fois
Peut-être Une fois Plus une fois d'une fois Dans la durée de vie de l'installation ou de l'expérience Nuisance Nuisance exceptionnelle très temporaire 1 2 1/an
5
Possible 10-2 < P < 10-1/an
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
4
tiwekacontentpdf_se4061
2
1
3 Blessures réversibles
4 Blessures irréversibles
5 Mort de personne
6 Destruction de plusieurs cibles
3
Rare 10-4 < P < 10-2/an
INACCEPTABLE
5
2
3
Extrêmement rare 10-6 < P < 10-4/an
2
Improbable 10-8 < P < 10-6/an
4
1
Fortement improbable P < 10-8/an
1'
1
ACCEPTABLE
Conséquences nulles
Conséquences mineures Pas de blessures de personne
Conséquences significatives
Conséquences critiques
Catastrophique niveau 1
Catastrophique niveau 2
b grille G ✕ P pour les autres cibles et situation des scénarios Figure 12 – Grilles Gravité × Probabilité (cf. figure 9) a) Pour les opérateurs et situation du scénario S2
SE 4 061 − 10 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
G
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
Pour l’installation de propane, la grille figure 12a est une grille possible pour situer les risques pour les opérateurs. Admettons bien sûr qu’elle ait été négociée par les acteurs concernés et notamment avec les opérateurs.
2.4.2 Situation des scénarios dans les grilles G × P et hiérarchisation de ces derniers Il est alors possible d’y situer le scénario S2 de la figure 9 qui est au niveau 2 en probabilité et au niveau 4 en gravité. De la même manière on peut construire une grille G × P pour les risques majeurs et situer les scénarios du BLEVE dans cette dernière (figure 12b). On peut aussi construire des grilles concernant le coût des accidents en prenant en compte par exemple le coût de la perte de production ou de la perte de l’outil de travail en fonction du temps ce qui permet de hiérarchiser les scénarios en fonction de cette perte.
2.5 Définition et qualification des moyens de prévention et de protection 2.5.1 Identification des barrières de prévention et de protection Ces barrières vont permettre de neutraliser les scénarios identifiés. L’arbre logique montre, qu’en principe, il suffit de neutraliser les événements primaires (ceux qui apparaissent les premiers) pour que le scénario correspondant n’ait pas lieu. Exemple : sur l’arbre logique BLEVE (figure 11) le scénario 1 peut être neutralisé en s’assurant d’une bonne formation des opérateurs. Pour renforcer la prévention on recherche aussi les barrières possibles tout le long du scénario aussi bien sur les événements que sur leurs enchaînements. Exemple : élimination des étincelles d’origine électrostatique par une bonne mise à la terre et le renforcement des piquages des tuyauteries, partie fragile, pour éviter leur arrachement par choc.
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
2.5.2 Types de barrières
tiwekacontentpdf_se4061
On distinguera deux types de barrières : — les barrières technologiques ; — les barrières d’utilisation. ■ Barrière technologique (BT) Il s’agit d’un élément ou ensemble technologique faisant partie intégrante de l’installation, qui s’oppose automatiquement à l’apparition d’un événement préjudiciable à la sécurité et qui ne nécessite pas d’intervention humaine. Elle peut être statique (écran fixe, capot de protection, enceinte de confinement par exemple) ou dynamique (soupape de sécurité à ouverture automatique, éléments de contrôle commande par exemple). ■ Barrière opératoire ou d’utilisation (BU) Il s’agit d’une action nécessitant une intervention humaine, reposant sur une consigne précise, activée ou non par un élément ou un ensemble technologique (procédure, mode opératoire, application de règles, vanne à ouverture manuelle, protections individuelles par exemple).
Les BU sont souvent considérées comme étant plus faibles que les BT. Elles sont en fait très sensibles à la formation, et notamment à la formation sécurité, des opérateurs. ■ L’identification des barrières se fait à l’aide d’un tableau : le tableau B (tableau 1) qui facilite le travail. Ce tableau peut être construit en fonction du contexte. Le tableau représente un exemple de tableau avec application à deux des scénarios de l’installation propane.
2.5.3 Remarques sur le tableau B ■ Les premières barrières recherchées sont les barrières de conception. En effet on commence toujours par travailler la prévention et la protection collectives, la protection individuelle n’intervenant que si la protection collective est insuffisante car elle introduit des nuisances. Exemple : lors de la conception d’une installation pouvant émettre des vapeurs toxiques dans un atelier, par exemple, on va prévoir une ventilation efficace d’aspiration de ces vapeurs plutôt que de faire porter des appareils de protection respiratoires aux opérateurs présents dans l’atelier. Ces barrières sont des BT. ■ La ventilation est une barrière importante qui fait partie des barrières de conception. Elle intervient sur l’événement principal ou flux (c’est un absorbeur de flux). Ici elle ne joue aucun rôle car l’installation est en plein air. ■ L’habilitation est une procédure écrite (avec cosignature de l’habiliteur et de l’habilité) qui consiste à confier à un exécutant un travail décrit pour lequel l’habiliteur s’est assuré que l’habilité a la connaissance des risques, les moyens et l’autorité d’assurer ce travail. ■ L’identification des facteurs d’ambiance ne conduit pas forcément à une définition de barrières mais il peut la faciliter. Il est une introduction à l’approche ergonomique. ■ Les consignations sont des procédures qui consistent à mettre en sécurité une installation ou une partie d’installation de manière à ce que même si quelqu’un veut la remettre en fonctionnement, il ne puisse pas le faire. Elles font l’objet de verrouillages avec clef unique possédée par le consignateur seul. ■ L’implantation consiste à définir quelle est la meilleure implantation possible compte tenu des risques identifiés et de l’environnement. ■ Les barrières de protection de l’environnement sont les barrières qui, compte tenu du scénario, vont permettre de protéger les autres cibles de l’environnement.
2.5.4 Qualification des barrières de prévention et de protection Une fois les barrières définies, il faut s’assurer qu’elles ne présentent ou ne génèrent pas de risques, et il faut les qualifier dans le temps c’est-à-dire s’assurer de leur pérennité. Pour cela on constate que si l’on introduit chaque barrière dans le tableau B, le tableau obtenu (tableau 2) baptisé alors tableau C, comporte un certain nombre de rubriques qui permettent de répondre aux deux contraintes définies ci-dessus. Le tableau 2 illustre ceci pour l’installation propane. Le tableau montre que la colonne conception, combinée à la grille 1 (cf. encadré 1 dans l’article [SE 4 060]) permet de vérifier que les barrières n’introduisent pas de nouveaux risques et les autres colonnes permettent de les qualifier dans le temps.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 11
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
(0)
Tableau 1 – Tableau B Scénarios
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Barrières
tiwekacontentpdf_se4061
Type de barrière S1 – phase EX (figure 9)
S2 – phases EX et MA (figure 9)
Barrières de conception
Bonne conception du bras articulé (branchement et débranchement faciles) Clapets d’étanchéité sur les entrées d’alimentation Renforcement au choc des piquages des wagons Mise à la terre du bras
Conception correcte de l’accès en hauteur Éventuellement système chauffant antigel sur cet accès Échelles et platelages antidérapants
BT
Contrôles et vérifications techniques
Contrôles périodiques de l’état du dispositif
Contrôles périodiques de l’état de l’accès
BU
Maintenance
Maintenance préventive
Préventive
BU
Contrôle qualité
De réception des éléments
De réception des éléments
BU
Télésurveillance
Explosimètre
–
BT
Procédures
Procédure de branchement et de débranchement
–
BU
Consignes
Consigne de sécurité au poste de branchement
D’accès
BU
Consignations
En cas d’incident ou de travaux
En phase incidentelle
BU
Facteurs d’ambiance
Travail en plein air Risque de givrage
Travail en plein air par toutes conditions météos Stress
Comportement humain
Travail de branchement à confier à des opérateurs confirmés
Accès en hauteur autorisé à des agents en bonne forme physique
BU
Habilitations
À l’opération de branchement
Barrières de protection individuelle
Efficace contre le givrage et les effets mécaniques : gants, casque, lunette, tablier cuir
Chaussures de sécurité antidérapantes
BU
Formation des opérateurs
Pour le branchement et le débranchement du bras
À l’accès en hauteur
BU
Surveillance médicale
Travail en plein air
De la fatigue
BU
Implantation
–
Meilleure implantation possible de l’accès (au sud)
BT
Balisage – accèscirculation
Veiller aux accès et à la circulation autour du bras
Accès correctement dimensionné
BT BU
Réglementation applicable
néant
Travail en hauteur
BU
Barrières de protection de l’environnement
Cuvette de rétention Mur de séparation Merlon éventuel
2.5.5 Nouvelle situation des scénarios dans les grilles G × P Il est possible de vérifier comment les barrières font évoluer la position des scénarios dans les grilles G × P. ■ Commençons par le scénario S2 (figure 12a ) qui devient le scénario S2′. On peut admettre, compte tenu des barrières envisagées, que gravité et probabilité seront diminuées et que cet ENS sera peu probable et avec des conséquences mineures. Cette décision sera prise par le groupe de travail après discussion d’évaluation. ■ Pour ce qui concerne maintenant le BLEVE le scénario 1 (cf. figure 9), après mise en place des barrières devient le scénario 1′. Il
SE 4 061 − 12 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
BU
BT
garde le même niveau de gravité car, s’il arrive, aucune barrière ne peut en diminuer les effets mais sa probabilité est fortement diminuée et il devient fortement improbable (figure 12b ). Il s’agit alors d’un Risque résiduel.
2.6 Conclusion sur le module A Le module A est terminé. C’est en fait la partie la plus originale de MOSAR. Nous avons fait une analyse principale de sécurité de l’installation ou une analyse des risques principaux de l’installation (figure 13).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
(0)
Tableau 2 – Tableau C simplifié Barrières de conception
Scénario
Type
Éléments de conception de ces barrières (grille 1) (1)
Contrôles et vérifications techniques
Bras articulé
1
BT
A2 Note de calcul de résistance A3 Bon équilibrage A4 Manutention facile A9 Montage antivibratoire C1 Moteurs antidéflagrants
Clapets d’étanchéité du branchement du bras mobile
1
BT
A1 Correctement calculés au dP
Vérification périodique de bon fonctionnement
Renforcement au choc des piquages des wagons
1
BT
A2 Dimensionnement correct
Vérification périodique d’état
Mise à la terre
1
BU
Bonne continuité électrique Résistance de terre adaptée
Vérification périodique de la résistance de terre
Système antigel de l’accès en hauteur
1
BT
A2 Éléments robustes
Vérification périodique de bon fonctionnement
Échelle et platelage antidérapants
2
BT
Maintenance
Déjà pris en compte
Déjà pris en compte
Préventive (corrosion)
Préventive (corrosion)
Vérification périodique d’état
(1) Cf. encadré 1 dans [SE 4 060].
Installation
Tableau A Dangers et processus A1 A2 B3 D2 C2
Tableau B Tableau C
On voit donc bien ici que toute analyse conduisant à un découpage incontournable mais réducteur, les principes de la systémique nous enjoignant de remettre en relation ce qui a été découpé, ont été appliqués au maximum des possibilités.
Arbres logiques Qualification des barrières Scénarios
3. Le module B de la méthode et ses cinq étapes
Grille 1 Barrières BU BT
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Figure 13 – Synthèse du module A
tiwekacontentpdf_se4061
Dans la plupart des cas, cette analyse est suffisante. Mais il peut être nécessaire d’aller plus loin soit parce qu’on le décide pour parachever l’analyse et aller jusqu’à la mise en place d’une culture de sécurité, soit parce qu’une réglementation l’impose (Installations Classées par exemple). On entrera alors dans le module B de la méthode. Synthétisons cette partie de l’analyse en examinant les découpages et remises en relations développées (figure 13) : — l’installation est tout d’abord découpée en sous-systèmes ; — chacun de ceux-ci est combiné avec la grille 1 pour donner un découpage en dangers et en processus de danger ; — les sous-systèmes et leurs processus de danger sont ensuite, par la technique des boîtes noires, recombinés entre eux pour faire apparaître les différents types de scénarios ; — ceux-ci sont rassemblés dans les arbres logiques ; — après négociation d’objectifs avec les acteurs, ce qui consiste à combiner les scénarios avec leur point de vue, les scénarios des arbres logiques sont combinés avec le tableau B pour donner un découpage en barrières ; — la combinaison des éléments du tableau B donne le tableau C ; — en combinant les barrières avec le tableau C, on les qualifie.
3.1 Identifier les risques de fonctionnement Reprenons l’arbre logique BLEVE de la figure 11. Nous allons nous intéresser aux dysfonctionnements techniques et aux dysfonctionnements opératoires qui constituent les événements initiaux de cet arbre et que dans un premier temps, dans le module A, nous n’avons pas cherché à détailler et avons traité de manière globale (figure 14). À titre d’exemple, retenons : — le dysfonctionnement opératoire : mauvaise formation mauvais branchement du bras — et le dysfonctionnement technique : défaut interne du dispositif de branchement.
&
Nous allons chercher à préciser les événements initiateurs de ces événements. Pour ce qui concerne les dysfonctionnements opératoires (cf. § 3.1.1), le travail se fera par une analyse d’activité. Pour ce qui concerne les dysfonctionnements techniques, le travail se fera en utilisant des outils tels que l’AMDEC (Analyse des modes de défaillance, de leurs effets et de leur criticité) (cf. article AMDEC-Moyen [AG 4 220] dans le traité l’Entreprise industrielle) ou HAZOP (HAZard and Operability Study) (cf. article Sécurité et gestion des risques [AG 4 698] dans le traité l’Entreprise industrielle) suivant les cas.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 13
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
1
______________________________________________________________________________________________________________________________
DYSFONCTIONNEMENT OPÉRATOIRE
Mauvais branchement du bras sur wagon
Flux thermique sur wagon
Fuite enflammée
Mauvaise formation de l'opérateur Étincelle
2
Chocs Corrosion Vibrations
3
DYSFONCTIONNEMENT TECHNIQUE
BLEVE wagon
Choc
Déformation
Fuite enflammée sphère
Non-étanchéité
BLEVE sphère
Défaut interne du dispositif de branchement 4
Déraillement Collision sur route Accident péniche
Explosion externe
Choc sphère
Étincelle Fuite sphère
5
Dysfonctionnement vanne prélèvement
Obstacle givrage
Figure 14 – Exemples de dysfonctionnements techniques et opératoires
Dysfonctionnements possibles
Opérations 1 Vérification de mobilité du bras
Conséquences
Pas de vérification
Bras peut se bloquer
Blocage du bras
Pas de déplacement possible Grippage du joint
2 Mise en place du bras par rotation
Défaut du joint de rotule Blocage du bras Défaut du joint de rotule
3 Enclenchement du bras dans le dispositif de connexion du wagon
Mauvais positionnement
4 Verrouillage du dispositif
Mauvais verrouillage
Fuite
Détérioration du clapet
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Détérioration du joint
tiwekacontentpdf_se4061
5 Vérification du verrouillage et de l'étanchéité
Pas de vérification
6 Vérification de continuité de terre
Pas de vérification
Fuite si dysfonctionnements précédents Génération d'électricité statique sans écoulement à la terre
Étincelles
Figure 15 – Opérations nécessaires pour le branchement du bras mobile
3.1.1 Identifier les dysfonctionnements opératoires détaillés
De nombreuses méthodes [3] et sociétés spécialisées traitent de l’analyse d’activité.
Cette partie de l’analyse consiste à prendre en compte aussi complètement que possible le facteur humain.
Afin d’illustrer schématiquement cette étape, dressons un tableau simplifié des opérations nécessaires pour le branchement du bras mobile sur le wagon (figure 15).
Le principe général de l’analyse d’activité consiste à comparer l’activité prescrite (dans les modes opératoires) et l’activité réelle et donc à observer l’opérateur sans le perturber. L’activité réelle de l’opérateur, qui possède des savoir-faire et sa propre image mentale, est différente de celle prévue par les concepteurs qui ont leur image mentale de cette activité, surtout s’ils n’ont pas associé les opérateurs dans leur rédaction des procédures.
SE 4 061 − 14 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Il est à noter que sont mis en évidence des dysfonctionnements de nature opératoire mais aussi de nature technique. Ces dysfonctionnements peuvent être représentés sous la forme d’un premier arbre de défaillances de fonctionnement (figure 16) (cf. article Arbres de défaillance, des causes et d’événement [SE 4 050].
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
Mauvais verrouillage
Blocage du bras au cours du déplacement
Déterioration du clapet
1
Grippage Blocage du bras au cours d'une opération précédente
Défaut de jonction
2
Fuite sur dispositif de branchement du bras mobile
Défaut joint de rotule
Mauvais positionnement du bras Mauvaise formation Pas de vérification Stress
Figure 16 – Arbre de défaillances de fonctionnement
Dispositif de Tuyaux souples branchement sur le wagon (phase gazeuse)
Pour ouvrir le clapet à la connexion, il faut exercer une force F1 telle que :
Pi 2
F1 + Patm ✕ S2 > F + Pi ✕ S1
Tuyauteries fixes Raccord
Pi = f (température externe)
S1
1 F
Colonne mobile
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Dispositif de branchement sur le wagon (phase liquide)
tiwekacontentpdf_se4061
3
Figure 17 – Bras mobile et ses dispositifs de connexion
pression interne pression atmosphérique surfaces force
a clapet antiretour du dispositif de connexion
Pivot Socle
La connexion se fait par mise en place du bras par rotation et branchement des deux dispositifs sur le wagon. Le bras se corrode et s'use dans le temps, surtout le tuyau mobile. Le dessin constitue l'enveloppe de l'appareil.
S2 Patm F1
avec Pi Patm S 1 , S2 F
Pi ✕ S1 + F > Patm
✕
S2 Ressort exerce sa force sur le clapet
Clapet guidé
Contact étanche du clapet
Pas de fuite de liquide
Ressort de rappel bien taré
b petite analyse fonctionnelle
3.1.2 Identifier de manière détaillée les dysfonctionnements techniques Cette étape se fait en réalisant des AMDEC ou des HAZOP, suivant le cas, sur les éléments techniques des sous-systèmes. Par exemple on peut faire une AMDEC sur le clapet anti-retour du dispositif de connexion du bras mobile sur le wagon. Celui-ci se présente schématiquement comme indiqué figures 17 et 18. Ce qui permet de construire le tableau d’AMDEC (tableau 3) qui permettra de construire un deuxième arbre de défaillance de fonctionnement (figure 19). Celui-ci se connecte en 1 sur l’arbre de défaillance précédent (figure 16).
Figure 18 – Clapet antiretour du dispositif de branchement du bras mobile
3.1.3 Remarques L’analyse d’activité et l’analyse des dysfonctionnements techniques est un travail de spécialistes long et coûteux, surtout dans une installation industrielle. Il se couple bien avec une analyse de défaillances qui rejoint la qualité et la maintenance.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 15
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
Déformation Mauvais contact sur portée
Dépôt de matière Présence d'obstacles Objet
Usure Coincement Défaut de guidage du clapet
Grippage Défaut de métal
1
Rupture Fuite par détérioration du clapet Coincement Défaut du ressort de rappel Rupture
P1✕S1+F > Patm✕S2 Ressort de rappel sans action Ressort mal taré
Figure 19 – Arbre de défaillances dysfonctionnement clapet
(0)
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Tableau 3 – Tableau d’AMDEC pour le clapet antiretour
tiwekacontentpdf_se4061
Désignation de l’équipement
Fonction
Clapet d’étanchéité
Assurer l’étanchéité du branchement du bras mobile
Ressort de rappel
Repère
Mode de défaillance
Cause de défaillance
Effet de défaillance
Détection de la défaillance
Dispositif de remplacement
Probabilité de défaillance
Niveau de criticité
Remarques
Effet local
Effet final
Bruit Brouillard Odeur
Vanne d’isolement
Possible
Maxi
Maintenance préventive Choix du métal (autolubrifiant)
2
Non-étanchéité
Mauvais fonctionnement
Fuite de propane
Formation d’un nuage de propane et d’air
Appliquer le clapet sur sa portée
1
Force insuffisante ou nulle
Mauvais tarage Rupture
Nonapplication du clapet sur sa portée
Fuite
Bruit Brouillard Odeur
Vanne d’isolement
Possible
Maxi
Choix du métal
Guidage du clapet
Guider le déplacement du clapet
2
Coincement Rupture
Usure Grippage Défaut du métal
Nonapplication du clapet sur sa portée
Fuite
Bruit Brouillard Odeur
Vanne d’isolement
Possible
Maxi
Maintenance préventive
Contact d’étanchéité de la portée du clapet
Assurer l’étanchéité du clapet
Fuite
Bruit Brouillard Odeur
Vanne d’isolement
Maxi
Vérification de la portée avant branchement
SE 4 061 − 16 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
3
DéformaNonMauvais tion applicacontact Dépôt tion du Présence d’obstacle de matière clapet sur sa portée Objet
Possible
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
6
Flux thermique
Sphère trop pleine
P > Présistance Dilatation propane liquide
Pas de vidange possible Rupture enveloppe
Soupape bloquée Pas de dépressurisation Faible débit soupape
BLEVE sphère Incendie sur élément proche
5
Feu dans l'environnement
Choc
Flux thermique
Fuite sur sphère 4
6
Fuite enflammée
Dysfonctionnement vanne prélèvement 3
Source d'allumage Rayonnement trop intense
T > T ls Intervention non efficace ou impossible
Moyens insuffisants
T température
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Figure 20 – Arbre de défaillance BLEVE (corps principal) incomplet [le choc peut provenir du BLEVE du wagon : arbre 5 non représenté sur lequel se branche l’arbre 2 (cf. figure 16) sur lequel se branche l’arbre 1 (cf. figure 19)]
tiwekacontentpdf_se4061
3.2 Évaluer les risques en construisant des arbres de défaillances et en les quantifiant
l’intervention. On peut alors constater qu’un flux thermique est un mode commun de défaillance, ce qui est assez évident, à la rupture de l’enveloppe et au dépassement des conditions limites de surchauffe du propane.
3.2.1 Construire des arbres de défaillance sur les risques principaux
3.2.2 Quantifier les arbres de défaillance (ADD)
À ce niveau de l’analyse, nous avons toute l’information pour construire des arbres de défaillance sur les ENS principaux identifiés dans le module A. En effet : — les arbres logiques du module A sont les squelettes de ces arbres ; — les ADD construits sur les dysfonctionnements techniques et opératoires développent les événements primaires des arbres logiques. En construisant l’ADD on combine verticalement les événements qui ne l’étaient que linéairement et on fait apparaître, dans les combinaisons, des événements nouveaux qui n’étaient pas encore apparus. Si nous illustrons ceci à partir de l’arbre de défaillance BLEVE de la sphère représenté de manière non complète, figure 20, apparaissent dans la construction logique de l’arbre à partir de l’arbre logique de la figure 11, par exemple, les événements entraînant la rupture de l’enveloppe et ceux concernant
La technique des ADD permet d’utiliser tous les avantages liés à leurs propriétés (cf. article [SE 4 050]) : — visualisation de l’enchaînement combinatoire de tous les événements conduisant aux ENS ; — possibilité de neutraliser les ENS en inhibant les événements primaires et ceux des scénarios ; — identification des modes communs ; — possibilité de réduire l’arbre (le simplifier) si l’on peut écrire son équation en algèbre de Boole : • détermination des coupes de l’arbre ou des différents groupes de nombre d’événements primaires se combinant pour générer l’ENS (ordre 1 : il suffit d’un événement primaire pour générer l’ENS ; ordre 2 : il suffit de deux événements primaires pour générer l’ENS...), • quantification de l’arbre, c’est-à-dire calcul de la probabilité de l’ENS en appliquant l’équation de l’arbre en algèbre de Boole. Pour cela il est nécessaire de connaître la probabilité des événements primaires. Si l’on examine les événements primaires
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 17
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
de l’ADD BLEVE, on remarque toute la difficulté de trouver ces dernières. Pour cette raison, il est rare, en milieu industriel, de pouvoir calculer la probabilité des ENS. Nous pouvons contourner cette difficulté en mettant en œuvre une technique exposée au paragraphe 3.3 qui va permettre de faire une allocation d’un nombre de barrières.
3.3 Négocier des objectifs précis de prévention
A 2BT 2BU
C 2BT 2BU
ENS
B
D
Première configuration Deuxième configuration
Figure 21 – Répartition logique de barrières
Comme il est rare de pouvoir placer directement les barrières sur les ENS, on les répartit en remontant l’arbre de défaillances à l’envers.
L’autre met une égale confiance dans la technique et dans les opérateurs, ce qui sous-entend que ces derniers sont bien formés notamment à la connaissance et à la maîtrise des risques.
3.3.1 Négocier une allocation de barrières
3.3.2 Répartir les barrières sur les ADD
Pour ce faire on construit une grille négociée entre les acteurs, qui fait correspondre un nombre de barrières à chaque niveau de gravité défini dans la quatrième étape du module A (cf. § 2.4). Prenons le cas de la grille G × P pour les cibles écosystèmes et populations de l’installation de propane. On peut construire le tableau de correspondance (tableau 4).
À partir de l’allocation de barrières choisie sur l’ENS, on utilise la logique de l’arbre pour remonter à une allocation sur les événements primaires de ce dernier (figure 21).
(0)
Tableau 4 – Tableau de correspondance Gravité – Nombre de barrières Objectif en nombre de barrières Gravité G
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
2BT 2BU
2BT 2BU
À ce niveau de l’analyse il est possible d’utiliser la logique des arbres de défaillances pour allouer une répartition d’un nombre de barrières de prévention sur les ENS. Il sera alors nécessaire de pratiquer une deuxième négociation pour fixer le nombre de barrières en fonction de la gravité des ENS.
tiwekacontentpdf_se4061
2BU 2BT
technologiques
d’utilisation
6
4 ou 3
2 ou 3
5
3 ou 3
2 ou 3
4
3 ou 2
1 ou 2
3
2 ou 1
1 ou 2
2
1 ou 0
1 ou 2
1
1 ou 0
0 ou 1
À chaque niveau, le choix entre les deux possibilités n’est pas innocent. L’un privilégie les BT et considère donc qu’on ne peut pas trop faire confiance aux opérateurs.
SE 4 061 − 18 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
L’objectif, dans ce cas, étant d’avoir 2BT et 2BU sur l’événement final, on trouve au moins deux répartitions possibles (figure 21). Chaque fois que l’on franchit une porte ET dans le sens de la lecture inductive de l’arbre, les barrières des événements précédant la porte (événements amonts) s’additionnent sur l’événement suivant la porte (événement aval). Chaque fois que l’on franchit une porte OU dans le même sens, le nombre de barrières reste le même sur l’événement suivant la porte. Illustrons ce travail avec l’ADD BLEVE : — première configuration de répartition des barrières (figure 22, page 21) ; — deuxième configuration d’allocation de barrières. Dans cette deuxième configuration (figure 23, page 22) on fait la même allocation de barrières sur l’événement final mais on la répartit de manière différente de la première configuration. On obtient une répartition différente sur les événements primaires.
3.3.3 Remarque Avec des arbres de défaillances ayant de nombreuses portes ET, on arrive très vite à une limitation du nombre de barrières à répartir sur les événements en amont d’une porte ET puisque le nombre de barrières sur chaque événement amont de la porte est égal au nombre de barrières sur l’événement aval divisé par le nombre d’événements amonts. On décide alors de mettre au moins une barrière sur les événements primaires.
3.4 Affiner les moyens de prévention À partir des différents modes de répartition des barrières, on construit un tableau D (tableau 5) où l’on recense toutes les barrières qu’il est possible de mettre sur les événements primaires. Il est évidemment fait appel aux barrières identifiées dans le module A, complétées avec celles trouvées dans le module B.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
1 BT + 1 BU 6 1 BU
Sphère trop pleine
Flux thermique
1 BT + 1 BU
1 BT + 1 BU
P > Présistance
Dilatation propane liquide 1 BT
Pas de vidange possible
2 BT + 1 BU 1 BT
Soupape bloquée
1 BT
Rupture enveloppe
Pas de dépressurisation 1 BT
Faible débit soupape 3 BT + 3 BU 1 BT + 1 BU
BLEVE sphère
Incendie sur élément proche 1 BT + 1 BU
1 BT 5
Choc 1 BT
4
Dysfonctionnement vanne prélèvement 3
1 BT
Feu dans l'environnement
Fuite sur sphère
1 BT + 1 BU
1 BU
Fuite enflammée
Source d'allumage
1 BU
6 1 BT + 1 BU Flux thermique
2 Bu + 1 BT
Rayonnement trop intense
1 BU
1 BU
Intervention non efficace ou impossible
T > T ls
Moyens insuffisants
T température
Première configuration
Figure 22 – Première répartition de barrières sur l’arbre de défaillances BLEVE sphère
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
On peut s’arrêter là et vérifier simplement que les barrières permettent de neutraliser tous les événements sinon on fait apparaître des risques résiduels.
tiwekacontentpdf_se4061
On peut aussi évaluer (ou on calcule si cela est possible) le coût des barrières. On évalue l’avantage en matière de sécurité des configurations en nombre de barrières et leur avantage en matière de coût. Il reste à trancher entre les deux lorsque les résultats sont contradictoires. La lecture du tableau (tableau 5) fait apparaître les points suivants : — la configuration 1 est la meilleure sur le plan de la sécurité car c’est dans celle-ci qu’il manque le moins de barrières pour satisfaire les objectifs ; — elle est un peu plus chère en coût d’investissement car en quatre points les barrières sont surdimensionnées ; — on retiendra donc la configuration 1.
Cette partie de l’analyse est encore peu développée et assez rarement mise en œuvre. Elle met bien en évidence les choix implicites ou explicites faits entre BT et BU. Elle nécessite que l’on s’assure pour chacun des types de barrières (BT ou BU) que les barrières sont homogènes en efficacité.
3.5 Gérer les risques Pour terminer l’analyse, avec les scénarios identifiés et en recensant les moyens d’intervention et leur mise en œuvre à travers l’organisation, on crée les plans d’intervention en cas d’accidents (POI ou Plan d’Opérations Interne en milieu industriel ; PUI ou Plan d’Urgence Interne en milieu nucléaire). Ces plans sont destinés à montrer qu’il est possible de faire face aux ENS, s’ils surviennent, et qu’il est possible d’en limiter les effets. Par exemple, dans le scénario BLEVE, le POI doit prévoir quels moyens (et comment ils seraient mis en œuvre), permettraient de lutter contre une fuite enflammée pour éviter le déroulement du scénario complet. On peut à ce niveau sur chacun des ENS ayant fait l’objet d’un ADD, construire un arbre d’événement (causes-conséquences), (figure 24) qui aide à identifier les conséquences de cet événement suivant l’efficacité des moyens mis en place pour en limiter les effets s’il survient. Il est aussi possible de placer des barrières sur cet arbre pour neutraliser ou limiter les conséquences des événements qu’il fait apparaître. Ces barrières sont du type barrières de protection, procédures en cas d’accident, procédures ultimes en bout de l’arbre. Cet arbre est donc symétrique de l’ADD par rapport à l’ENS.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 19
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
1 BT + 1 BU Flux thermique
1 BT + 1 BU
1 BT + 1 BU
P > Présistance
6 Sphère trop pleine
1 BU
Dilatation propane liquide 1 BT
Pas de vidange possible
2 BU + 1 BT Soupape bloquée
1 BU
Rupture enveloppe
1 BU Pas de dépressurisation
Faible débit soupape
1 BU
3 BT + 3 BU 2 BT BLEVE sphère
Incendie sur élément proche 2 BT
1 BT Choc
5
1 BT 4
Dysfonctionnement vanne prélèvement 3
1 BT
Feu dans l'environnement
Fuite sur sphère
2 BT
1 BT
Fuite enflammée
Source d'allumage
1 BU
6 2 BT Flux thermique
2 BT + 1 BU
Rayonnement trop intense
1 BU
1 BU
Intervention non efficace ou impossible
T > T ls
Moyens insuffisants
T température
Deuxième configuration
Figure 23 – Deuxième répartition de barrières sur l’arbre de défaillances BLEVE de la sphère
(0)
Tableau 5 – Tableau D Barrières possibles
1re
Configuration
2e Configuration
Coût (2)
ENS primaire
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
BT
tiwekacontentpdf_se4061
Rayonnement trop intense
BU
Exigence
Avantage (1)
Exigence
Protection individuelle
1 BU
OK
1 BU
OK
1 BU
+
1 BU
+
+
Avantage
(1) 1re Configuration
Moyens de lutte insuffisants
Arrosage fixe automatique
Autre source d’allumage
Débroussaillage
Permis de feu Vérification périodique Débroussaillage
1 BU
++
1 BT
++
+
Dispositif de mise à la terre non branché
Dispositif automatique
Consigne de branchement
1 BU
+
1 BT
+
+
Contrôle et entretien périodiques Consigne contrôle avant branchement
1 BU
+
1 BT
OK
Dispositif de mise à la terre défectueux (1)
(2) (3)
+
La configuration répond aux exigences : + une barrière possible en plus, ++ deux barrières possibles en plus, – manque une barrière pour répondre aux exigences, – – manquent deux barrières pour répondre aux exigences. + : impact positif en terme de coût d’investissement. Ne pas oublier de qualifier ces barrières en les introduisant dans la grille.
SE 4 061 − 20 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Barrières ajoutées dans la configuration 2e Configuration retenue (3) Coût (2)
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Arrosage fixe automatique
Dispositif automatique
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
Tableau 5 – Tableau D (suite) Barrières possibles
1
re
Configuration
2e Configuration
Coût (2)
ENS primaire BT
Soupape bloquée
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Exigence
Avantage (1)
Exigence
Contrôle et entretien périodiques
1 BT
–
1 BU
OK
1 BT
OK
1 BU
OK
Avantage
Faible débit de soupape
Soupape bien calculée
Sphère trop pleine
Détection du niveau doublée
Consigne Contrôle périodique du détecteur
1 BU
++
1 BU
++
Vidange impossible
Sphère vide en attente
Consigne
1 BT
+
1 BT
+
Autre choc sur sphère
Protection des piquages
Défaut vanne de prélèvement
Vanne bien conçue
1 BT
OK
1 BT
OK
Contrôle périodique
1 BT
+
1 BT
+
Stress
Personnel entraîné
1 BT
–
1 BT
–
Mauvaise formation
Formation correcte entraînement
1 BT
–
2 BT
––
Défaut joint de rotule
Contrôle périodique maintenance préventive
1 BT
OK
2 BT
–
Blocage bras au cours opération précédente
Vérification avant mise en œuvre
1 BT
–
2 BT
––
Formation entraînement
1 BT
+
2 BT
–
1 BT
OK
2 BT
–
Blocage du bras au cours du déplacement
Guide mécanique de connexion
Mauvais verrouillage du bras
Sécurité de verrouillage
Déformation clapet
Choix du métal
Entretien préventif
1 BT
+
2 BT
–
Dépôt matière sur clapet
Filtre
Nettoyage après travaux Contrôle propreté
1 BT
+
2 BT
OK
Nettoyage après travaux Contrôle propreté Contrôle avant branchement
1 BT
OK
2 BT
–
Objet sur clapet
tiwekacontentpdf_se4061
BU
Usure guide clapet
Choix du métal
Maintenance préventive
1 BT
+
2 BT
–
Grippage guide clapet
Métal autolubrifiant
Maintenance préventive
1 BT
+
2 BT
–
Défaut du métal
Choix du métal
Contrôle qualité Tests
1 BT
+
2 BT
OK
Coincement ressort
Contrôle périodique
1 BT
–
2 BT
––
Rupture ressort
Contrôle qualité Tests
1 BT
–
2 BT
––
1 BT
OK
1 BT
OK
1 BT
OK
1 BT
OK
PI × S1 + F > Pat Par construction m × S2 Ressort mal taré
Tarage du ressort Contrôle périodique
(1)
(2) (3)
9 OK 4+ 2++ 8– 4– –
8 OK 11+ 2++ 6–
BILAN
(1) 1re Configuration
+
Barrières ajoutées dans la configuration 2e Configuration retenue (3) Coût (2)
+
Détecteur de niveau double
Sécurité de verrouillage
Filtre
4+
2+
La configuration répond aux exigences : + une barrière possible en plus, ++ deux barrières possibles en plus, – manque une barrière pour répondre aux exigences, – – manquent deux barrières pour répondre aux exigences. + : impact positif en terme de coût d’investissement. Ne pas oublier de qualifier ces barrières en les introduisant dans la grille.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 21
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
MOSAR
______________________________________________________________________________________________________________________________
6
Flux thermique
Sphère trop pleine
P > Présistance Dilatation propane liquide
Pas de vidange possible Rupture enveloppe
Soupape bloquée Pas de dépressurisation Faible débit soupape Barrières, procédures de prévention
BLEVE sphère
Incendie sur élément proche
5
6
Feu dans l'environnement
Choc
Flux thermique
Fuite sur sphère 4
Dysfonctionnement vanne prélèvement
Fuite enflammée 3
Source d'allumage Rayonnement trop intense
T > T ls Intervention non efficace ou impossible
Moyens insuffisants
T température
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Barrières, procédures de protection
tiwekacontentpdf_se4061
Une intervention est possible La fuite s'enflamme OUI
Fuite en phase liquide
Le BLEVE atteint le wagon OUI
Le wagon est percé OUI
OUI NON
Poursuite de l'analyse
NON OUI NON
NON
NON
OUI OUI NON NON
Une nappe dérivante gazeuse se forme
Arbre d'événement
Figure 24 – Arbre causes-conséquences sur l’ENS BLEVE sphère
SE 4 061 − 22 Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
______________________________________________________________________________________________________________________________ MOSAR
4. L’organisation des barrières dans une stratégie de défense en profondeur Cette dernière se caractérise par : — la prévention de défaillances de fonctionnement des systèmes : • en conception : elle est prise en compte en partie dans le tableau B, dans la recherche de barrières de conception et dans l’application des AMDEC, dans le module B, • par la qualité : prise en compte dans la qualification des barrières avec le tableau C (y compris pour les barrières complémentaires issues du tableau D), • par la définition du domaine de fonctionnement autorisé. Par exemple, à partir des scénarios d’accidents majeurs : fixation du niveau de remplissage de la sphère de propane avec marges d’alerte et d’alarme. Ceci conduit à la définition des défaillances exclues : débordement de propane aussi bien dans la sphère que dans le wagon. Déconnexion intempestive du wagon. Apparaissent alors les Éléments Importants pour la Sécurité (EIS) qui peuvent être aussi des barrières technologiques (BT) ou des barrières d’utilisation (BU). Dans les cas ci-dessus ce seront : la pompe, le détecteur de niveau, les branchements sur le wagon, la soupape. Ces éléments feront l’objet de mesures renforcées (surveillance, qualification, requalification après entretien). Ces mesures, déjà prises en compte pour les EIS qui sont des barrières, peuvent être intégrées dans les tableaux B et C pour les autres EIS ; — la maintenance de l’installation dans le domaine autorisé : • par la maîtrise de l’installation dans le domaine autorisé qui s’obtient par la surveillance, le contrôle, les mesures de régulation (par exemple régulation de la pression différentielle entre la sphère et le wagon pour éviter le débordement de l’un dans l’autre. C’est une barrière de conception qui doit apparaître dans le tableau B. Toutes ces mesures apparaissent dans le tableau de qualification C ;
— la maîtrise des accidents à l’intérieur des hypothèses de conception : • par les systèmes de sauvegarde et les procédures accidentelles. Par exemple en cas de menace de débordement de la sphère, une procédure d’arrêt rapide de la pompe et d’isolement de la sphère. En cas de fuite sur le système de branchement du wagon ou de menace de rupture, une procédure d’isolement du wagon télécommandée. Ces procédures doivent apparaître dans le tableau B au cours de l’analyse avec qualification dans le tableau C, • par la mise en évidence de défauts de mode commun qui apparaissent dans les arbres de défaillance du module B et sont pris en compte sous forme de barrières dans le tableau D avec qualification dans le tableau C. Par exemple une coupure générale d’électricité, • par la définition de redondances pour les systèmes sensibles. Par exemple on peut doubler la soupape de sécurité de la sphère par une membrane de rupture tarée à une pression supérieure à la pression d’ouverture de la soupape. C’est aussi une barrière de conception qui doit apparaître dans le tableau B avec qualification par le tableau C ; — la limitation des conséquences d’accidents graves par des mesures complémentaires qui apparaîtront lors de la construction des arbres causes-conséquences construits dans le dernier niveau de l’analyse. Ces mesures porteront sur une analyse de l’installation hors de son dimensionnement, par la définition éventuelle d’autres systèmes redondants et par les mesures conservatoires à prendre en cas d’accidents majeurs. Dans le cas de la sphère de propane le seul système redondant qui peut être prévu est la présence d’une sphère vide permettant une vidange, avec procédure associée. Les autres mesures sont les mesures d’intervention du POI et du PPI. Barrières de prévention, barrières de protection, procédures de surveillance, contrôle, procédures en cas d’accident, procédures ultimes, s’organisent ainsi à travers la défense en profondeur. Il sera, bien entendu, nécessaire de prendre en compte cet ensemble de moyens dans l’organisation de l’installation et dans son management.
Références bibliographiques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
[1]
tiwekacontentpdf_se4061
LE MOIGNE (J.L.). – Théorie du Système Général, théorie de la modélisation. Éd. PUF. Paris.
[2]
NICOLET (J.L.), WANNER (J.C.) et CARNINO (A.). – Catastrophes, non merci ! La prévention des risques technologiques et humains. Éd. Masson. Paris (1989).
[3]
COLLECTIF. – L’état de l’art dans le domaine de la fiabilité humaine. Institut de Sûreté de fonctionnement. Éd. Octarès Toulouse (1994).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
SE 4 061 − 23
P O U R
Méthode MADS-MOSAR Pour en favoriser la mise en œuvre par
Olivier GRANDAMAS
E N
Docteur en génie de l’environnement Directeur d’Asphaleia
Sources bibliographiques [1]
[2]
PERILHON (P.). – L’analyse des risques – Méthode MOSAR. Brochure HE-54/96/35A EDF et INSTN CEA Grenoble, Éditions Prévention. PERILHON (P.). – La gestion des risques – Méthode MADS-MOSAR II. Manuel de mise en œuvre. Éd. Démos (2007).
[3]
[4]
LE MOIGNE (J.L.). – Théorie du système général, théorie de la modélisation. 4e édition, éd. PUF, Paris (1994). Actes des colloques cindyniques. Institut Européen de Cindyniques (1992) (1994) (1996).
[5]
Actes des assises internationales des formations universitaires et avancées dans le domaine des sciences et techniques du danger. Université Bordeaux 1, IUT A, Département Hygiène, Sécurité, Environnement (1993).
S A V O I R
À lire également dans nos bases
P L U S
PERILHON (P.). – MOSAR – Présentation de la méthode. [SE 4 060] Techniques de l’Ingénieur. PERILHON (P.). – MOSAR – Cas industriel. [SE 4 061] Techniques de l’Ingénieur.
Supports numériques Logiciel MADS-MOSAR, CD-Rom version 2.09, Éditions Fox Média, 38 MEYLAN, {Logiciel d’apprentissage} (1999).
Outils logiciels ASPHALES – Société ASPHALEIA http://www.asphaleia.fr Envision Risks – Société Case France – MOSAR http://www.case-france.com
Sites Internet IUT HSE – Université de Bordeaux 1 – Michel LESBATS http://portaildurisque.iut.u-bordeaux1.fr/promethScienceDanger.htm
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. – © Editions T.I.
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Doc. SE 4 062 – 1
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
TECHNIQUES DE L’INGÉNIEUR
UNE APPROCHE GLOBALE DE VOS BESOINS
Plus de 8000 articles scientifiques et techniques en français et les services associés pour aller plus loin dans vos recherches documentaires et bibliographiques. Techniques de l’ingénieur est la base de référence des bureaux d’études et de la conception, de la R&D, de la recherche et de l’innovation industrielle.
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Les experts de Techniques de l’Ingénieur partagent leurs savoir-faire techniques et organisationnels. Montez en compétence grâce aux journées techniques et formations HSE ou privilégiez un parcours sur mesure développé par les conseillers formation et réalisé à vos dates et dans votre établissement.
tiwekacontentpdf_se4061
Tout l’ADN de Techniques de l’Ingénieur à votre disposition. Les experts et spécialistes scientifiques de Techniques de l’Ingénieur, praticiens expérimentés, vous accompagnent tout au long de vos projets pour vous conseiller : diagnostics, recommandations techniques et montée en capacité de votre R&D jusqu’à l’innovation.
LES THÉMATIQUES COUVERTES Sciences fondamentales
Électronique - Automatique
Génie industriel
Technologies de l’information
Procédés Chimie-Agro-Bio
Construction
Mesures - Analyse
Innovations
Matériaux
Environnement - Sécurité
Mécanique
Transports
Énergies
Biomédical - Pharma
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
Accédez à l’information la plus pertinente, approuvée par plus de 300 000 utilisateurs parmi vos clients, fournisseurs ou partenaires, grâce à votre abonnement aux ressources documentaires et services inclus (1) :
SÉMINAIRES EN LIGNE : profitez, tout
COMPLÉMENT 360 : en complément des
au long de l’année, de formations à distance sur le thème : « Optimiser sa veille scientifique et technologique avec Techniques de l’Ingénieur ». Ces séminaires vous montrent comment exploiter au mieux les ressources et fonctionnalités de techniques-ingenieur.fr et améliorer la pertinence de vos résultats de recherche.
ressources documentaires comprises dans votre abonnement, utilisez cet outil pour approfondir vos recherches en découvrant les autres publications également disponibles sur internet.Vous accédez à toutes les références bibliographiques liées au sujet qui vous concerne.
ANNUAIRE DES LABORATOIRES ET CENTRES DE RECHERCHE : pour chacune
SERVICE QUESTIONS-RÉPONSES :
des bases documentaires, vous avez à disposition une sélection pertinente des 15 premiers centres de recherche, profils de chercheur, projets et publications parmi les données de plus de 50 000 centres de recherche privés et publics.
Besoin de compléments d’information ou de validation pour mieux prendre vos décisions ? Posez des questions techniques, scientifiques, réglementaires, juridiques ou encore économiques aux plus grands spécialistes des domaines couverts par vos bases documentaires, c’est compris dans votre abonnement !
ARCHIVES : accédez aux versions antérieures de
vos articles, ainsi qu’à ceux qui traitent des technologies plus anciennes.
DICTIO N N A IRE T E CH N IQ U E MULTILINGUE : cet outil en ligne pro-
SERVICE ACTUALITÉ : pour une vision globale et
pose plus de 45 000 termes scientifiques et techniques relatifs aux domaines qui vous concernent. Pour 10 000 d’entre eux, retrouvez des illustrations, avec légendes, elles aussi toujours traduites en 4 langues.
quotidienne de l’actualité et des innovations technologiques, Techniques de l’Ingénieur met à votre disposition un service de Veille & Actualités. Ce service regroupe en 11 thématiques les grands domaines de l’ingénierie pour donner au lecteur une visibilité globale des dernières innovations.
ARTICLES DÉCOUVERTE : bénéficiez
d’un crédit de 1 à 5 articles au choix, à consulter gratuitement, dans les bases documentaires auxquelles vous n’êtes pas abonné.
MOBILITÉ : Techniques de l’Ingénieur propose
un site internet intégralement compatible mobile et tablettes (iPad).
ET AUSSI : le statut d’abonné vous donne accès à des prestations complémentaires, sur devis : l’impression à la demande
tiwekacontentpdf_se4061
✁
(1) La disponibilité des services dépend du périmètre de votre abonnement.
En savoir plus ou découvrir le contenu de Techniques de l’Ingénieur ? Les conseillers régionaux de Techniques de l’Ingénieur sont à votre écoute pour vous proposer des solutions sur mesure.
❏ M.
Pour recevoir, sans engagement de votre part, toute l’information sur les produits des Techniques de l’Ingénieur, complétez cette demande d’information.
Techniques de l'Ingénieur
A retourner à : Techniques de l’Ingénieur 249 rue de Crimée 75925 Paris cedex 19 Tél. : 01 53 35 20 20 Fax : 01 53 26 79 18 email :
[email protected]
❏ Mme
Nom : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Prénom : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72/WQ/VBM1201
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
pour obtenir un ou plusieurs ouvrages supplémentaires (versions imprimées de vos bases documentaires) ou encore la traduction d’un article dans la langue de votre choix.
Société / Organisme : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. Adresse : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CP : |__І__|__І__І__|
Ville : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tél. : |__І__|__І__|__І__|__І__|__І__|
Fax : |__І__|__І__|__І__|__І__|__І__|
Email : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Effectif : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAF : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ce document a été délivré pour le compte de 7200092269 - cerist // 193.194.76.5
