Integration Dimention Probalite DRA-034
Short Description
Download Integration Dimention Probalite DRA-034...
Description
!"
#
Programme EAT-DRA-34 - Opération j Intégration de la dimension probabiliste dans l’analyse des risques – partie 2 : données quantifiées
PARIS (75)
Client : Ministère de l’Écologie et du Développement Durable
Liste des personnes ayant participé à l’étude :Valérie BOUISSOU, Ahmed ADJADJ
DE
DIANOUS, Charlotte
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 1 sur 101
TABLE DES MATIERES 1. GLOSSAIRE.....................................................................................................9 2. INTRODUCTION ............................................................................................11 2.1 Contexte......................................................................................................11 2.2 Propositions de l’INERIS dans le cadre du projet DRA-34 ..........................12 2.3 Structure du projet.......................................................................................13 2.4 Présentation détaillée de l’opération j .........................................................14 2.4.1 Objectifs................................................................................................... 14 2.4.2 Description des travaux ........................................................................... 14 2.5 Objet et structure du présent document ......................................................15 2.5.1 objet du présent rapport........................................................................... 15 2.5.2 organisation du présent rapport ............................................................... 15 3. EVENEMENTS INITIATEURS........................................................................17 3.1 identification des evenements initiateurs possibles .....................................17 3.2 methodologie pour l’estimation des frequences des evenements initiateurs17 3.2.1 identification des eventuelles barrieres de securite prises en compte dans l’estimation de la frequence ..................................................................... 18 3.2.2 incidence de la duree des operations ...................................................... 18 3.2.3 risque lie a une operation ponctuelle ....................................................... 19 3.3 approche semi-quantitative .........................................................................19 3.3.1 principe .................................................................................................... 19 3.3.2 exemples ................................................................................................. 20 3.3.2.1 exemple de grille de frequence ......................................................... 20 3.3.2.2 exemples de chiffres utilisables......................................................... 21 3.4 utilisation de donnees issues de la litterature..............................................22 3.4.1 demarche................................................................................................. 22 Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 3 sur 101
3.4.2 exemples de chiffres disponibles ............................................................. 23 3.4.2.1 Causes naturelles.............................................................................. 23 3.4.2.1.1 le séisme ......................................................................................... 23 3.4.2.1.2 glissement terrain ............................................................................ 24 3.4.2.1.3 volcan .............................................................................................. 24 3.4.2.1.4 les inondations ................................................................................ 24 3.4.2.1.5 vents, tempêtes, neige, brouillard.................................................... 27 3.4.2.1.6 foudre .............................................................................................. 27 3.4.2.2 Causes externes d’origine humaine .................................................. 28 3.4.2.2.1 chute d’avion ................................................................................... 28 3.4.2.2.2 malveillance..................................................................................... 30 3.4.2.2.3 effet domino..................................................................................... 30 3.4.2.3 Causes internes................................................................................. 34 3.4.2.3.1 defaillance d’origine mecanique ...................................................... 34 3.4.2.3.2 defaillance d’origine humaine .......................................................... 35 3.4.2.3.3 autres causes .................................................................................. 35 3.4.2.3.3.1 corrosion, erosion...................................................................... 35 3.4.2.3.3.2 fatigue ....................................................................................... 36 3.4.2.3.3.3 defaut de conception................................................................. 36 4. EVENEMENT REDOUTE CENTRAL (ERC) ................................................. 37 4.1 determination des erc a partir des causes et des barrieres ........................ 37 4.1.1 démarche de l’approche semi-quantitative .............................................. 37 4.1.2 avantages et limites ................................................................................. 39 4.1.2.1 avantages .......................................................................................... 39 4.1.2.2 limites ................................................................................................ 40 4.2 determination des erc a partir de bases de donnees d’erc ......................... 40 4.2.1 demarche................................................................................................. 40 Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 4 sur 101
4.2.2 avantages et limites des donnees utilisables ........................................... 41 4.2.2.1 avantages.......................................................................................... 41 4.2.2.2 inconvenients .................................................................................... 41 4.2.3 exemples de chiffres disponibles ............................................................. 43 4.2.3.1 remarques preliminaires .................................................................... 43 4.2.3.2 exemple de chiffres disponibles ........................................................ 44 5. PROBABILITES INTERMEDIAIRES..............................................................51 5.1 probabilites d’inflammation et de vce ..........................................................51 5.1.1 sources disponibles ................................................................................. 51 5.1.2 exemples de chiffres disponibles ............................................................. 53 5.1.2.1 inflammation immediate d’un liquide ................................................. 54 5.1.2.2 inflammation immediate d’un gaz ...................................................... 56 5.1.2.3 inflammation differee d’un gaz........................................................... 57 5.1.2.4 explosion d’un nuage de gaz (VCE) .................................................. 59 5.2 autres donnees ...........................................................................................60 5.2.1 probabilite d’atteinte suite a une explosion / eclatement de reservoir...... 60 5.2.2 probabilite d’atteinte suite a un feu torche ............................................... 61 5.2.3 probabilite d’atteinte suite a une dispersion (nuage toxique ou nuage inflammable) ............................................................................................ 62 5.2.4 probabilite d'atteinte des cibles en fonction du taux d'occupation............ 62 5.2.5 probabilite d'atteinte des cibles en fonction des protections possibles .... 63 6. BARRIERES DE SECURITE TECHNIQUES .................................................65 6.1 types de donnees disponibles .....................................................................65 6.2 mode de fonctionnement de la barriere.......................................................66 6.3 role des barrières dans la reduction du risque ............................................68 6.3.1 barrieres en prevention ou limitation – scenarios residuels ..................... 68 6.3.2 agregation des fonctions de securite ....................................................... 70 Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 5 sur 101
6.3.2.1 prise en compte des differents sous-systemes composant la fonction de securite ......................................................................................... 70 6.3.2.1.1 systemes en serie............................................................................ 70 6.3.2.1.2 systemes en parallele...................................................................... 71 6.3.2.1.3 autres configurations ....................................................................... 71 6.3.2.2 Exemple............................................................................................. 72 6.3.2.3 probabilite relative à l’ensemble des fonctions intervenant sur un scénario ............................................................................................. 73 6.4 evaluation semi-quantitative des barrieres de securite............................... 73 6.5 nature de la defaillance – defaillances dangereuses ou sûres ................... 76 6.5.1 differents termes relatifs à la defaillance.................................................. 76 6.5.2 defaillances sures ou dangereuses.......................................................... 76 6.6 utilisation de bases de donnees ................................................................. 77 6.6.1 bases de données existantes .................................................................. 77 6.6.2 limites des bases de donnees.................................................................. 78 6.6.3 exploitation des bases de donnees.......................................................... 78 6.6.3.1 definitions .......................................................................................... 78 6.6.3.2 facteurs de correction en fonction des sites....................................... 79 6.6.3.3 representativite des donnees............................................................. 80 6.6.3.4 estimation des probabilites de defaillance dans le cas des barrieres a forte sollicitation (mode continu) ........................................................ 81 6.6.3.5 estimation des probabilites de defaillance dans le cas des barrieres fonctionnant a la sollicitation.............................................................. 82 6.6.3.5.1 utilisation des taux de defaillance à l'heure ..................................... 82 6.6.3.5.2 utilisation directe des pfd ................................................................. 84 6.7 exploitation du retour d’expérience............................................................. 84 6.7.1 cas où des défaillances sont enregistrées sur la période......................... 85 6.7.2 cas où aucune défaillance n'est enregistrée sur la période...................... 87 6.8 cas particulier des barrières passives......................................................... 88 Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 6 sur 101
7. BARRIERES DE SECURITE ORGANISATIONNELLES ...............................89 7.1 introduction..................................................................................................89 7.2 données issues de la litterature...................................................................90 7.3 exemple d’evaluation semi-quantitative.......................................................91 7.3.1 taches de contrôle ................................................................................... 91 7.3.2 barrieres humaines en intervention (a l’appel) ......................................... 92 7.4 autres barrieres organisationnelles .............................................................93 8. RÉFÉRENCES ...............................................................................................97 8.1 Références reglementaires .........................................................................97 8.2 Références techniques................................................................................97 8.3 Références propres au projet aramis ..........................................................98 9. LISTE DES ANNEXES .................................................................................101
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 7 sur 101
1. GLOSSAIRE Événement initiateur : Evénement, courant ou anormal, interne ou externe au système, situé en amont de l’événement redouté central dans l’enchaînement causal et qui constitue une cause directe dans les cas simples ou une combinaison d’événements à l’origine de cette cause directe. Dans la représentation en « nœud papillon » (ou arbre des causes), cet événement est situé à l’extrémité gauche. Événement redouté central (ERC) : Evénement conventionnellement défini, dans le cadre d’une analyse de risque, au centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte de confinement pour les fluides et d’une perte d’intégrité physique pour les solides. Les événements situés en amont sont conventionnellement appelés « phase préaccidentelle » et les événements situés en aval « phase post-accidentelle ». Phénomène dangereux (ou phénomène redouté) (PhD) : Libération d’énergie ou de substance produisant des effets, au sens de l’arrêté du 29/09/2005, susceptibles d’infliger un dommage à des cibles (ou éléments vulnérables) vivantes ou matérielles, sans préjuger l’existence de ces dernières. Accident : Evénement non désiré, tel qu'une émission de substance toxique, un incendie ou une explosion résultant de développements incontrôlés survenus au cours de l'exploitation d'un établissement qui entraîne des conséquences/ dommages vis à vis des personnes, des biens ou de l'environnement et de l’entreprise en général. C’est la réalisation d’un phénomène dangereux, combinée à la présence de cibles vulnérables exposées aux effets de ce phénomène. Scénario d’accident (majeur) : Enchaînement d’événements conduisant d’un événement initiateur à un accident (majeur), dont la séquence et les liens logiques découlent de l’analyse de risque. En général, plusieurs scénarios peuvent mener à un même phénomène dangereux pouvant conduire à un accident (majeur) : on dénombre autant de scénarios qu’il existe de combinaisons possibles d’événements y aboutissant.». Les scénarios d’accident obtenus dépendent du choix des méthodes d’analyse de risque utilisées et des éléments disponibles.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 9 sur 101
Gravité : On distingue l’intensité des effets d’un phénomène dangereux de la gravité des conséquences découlant de l’exposition de cibles de vulnérabilités données à ces effets. La gravité des conséquences potentielles prévisibles sur les personnes, prises parmi les intérêts visés à l’article L.511-1 du code de l’environnement, résulte de la combinaison en un point de l’espace de l’intensité des effets d’un phénomène dangereux et de la vulnérabilité des personnes potentiellement exposées.
Intensité des effets d’un phénomène dangereux: Mesure physique de l’intensité du phénomène (thermique, toxique, surpression, projections). Parfois appelée gravité potentielle du phénomène dangereux (mais cette expression est source d’erreur). Les échelles d’évaluation de l’intensité se réfèrent à des seuils d’effets moyens conventionnels sur des types d’éléments vulnérables [ou cibles] tels que « homme », « structures ». Elles sont définies, pour les installations classées, dans l’arrêté du 29/09/2005. L’intensité ne tient pas compte de l’existence ou non de cibles exposées. Elle est cartographiée sous la forme de zones d’effets pour les différents seuils. Barrière de sécurité (ou mesure de sécurité ou mesure de maîtrise des risques) : Ensemble d’éléments techniques et/ou organisationnels nécessaires et suffisants pour assurer une fonction de sécurité. On distingue parfois :
Les mesures (ou barrières) de prévention : mesures visant à éviter ou limiter la probabilité d’un événement indésirable ; ces mesures se situent en amont de l’événement redouté central.
Les mesures (ou barrières) de limitation : ces mesures se situent à l’aval de l’événement redouté central. Ces mesures visent à réduire la probabilité du phénomène dangereux en absence de mesures et à limiter l’intensité des effets d’un phénomène dangereux. Ces mesures conduisent à deux phénomènes dangereux selon que les mesures sont défaillantes ou non. On distingue parfois aussi les mesures (ou barrières) de protection : mesure visant à limiter les conséquences sur les cibles potentielles par diminution de la vulnérabilité.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 10 sur 101
2. INTRODUCTION 2.1 CONTEXTE Suite à la catastrophe de Toulouse en septembre 2001, le rapport parlementaire LOOS – LE DEAUT [1] a dressé un bilan des pratiques en terme de gestion des risques d’accidents majeurs sur les sites industriels. Ce rapport a fait apparaître notamment la nécessité de : -
Rénover la méthode des études de dangers (Partie 1 ; § 1.C, et à plus long terme, proposition 8) ;
-
Mettre en place des lignes de défense successives, première condition d’une prise en compte des probabilités d’occurrence des événements redoutés (Partie 1 ; § 1.C.2b, et à plus long terme, propositions 9 et 13) ;
-
Prendre en compte les aspects organisationnels dans l’évaluation des risques (Partie 1 ; § 1.C.3a).
Parallèlement à ce constat, d’autres remarques peuvent être formulées quant aux perspectives d’amélioration des études de dangers1 : -
La prise en compte des effets dominos, demandée par la Directive Seveso II [2], implique une adaptation du contenu des études de dangers, afin de permettre une gestion commune de ces effets entre des sites industriels voisins.
-
La plupart des études des dangers comportent une analyse de risques, dont la méthode et la forme ne sont pas imposées ; or cette analyse de risques peut être établie sans lien avec les analyses de risques menées par ailleurs sur les mêmes installations dans une optique d’hygiène et sécurité du travail.
-
Cette analyse de risque est utilisée pour déterminer les Eléments Importants Pour la Sécurité, sur lesquels le Système de Gestion de la Sécurité est fondé. Ces éléments amènent incontestablement des gains en terme de sécurité. La question se pose alors de leur prise en compte dans le processus de gestion des risques majeurs.
1
Projet proposé avant la parution de la loi n° 2003-699 du 30 juillet 2003 relative à la prévention des risques technologiques et naturels et à la réparation des dommages et avant la mise en place des PPRT qui en découlent. L’INERIS est par ailleurs impliqué dans l’aide à l’élaboration des PPRT dans le cadre d’un autre projet pour le MEDD (DRA-41).
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 11 sur 101
-
L’incidence des risques naturels est prise en compte par un certain nombre de moyens, parmi lesquels l’examen des zones inondables, le classement en terme de sismicité et les dispositions constructives que cela entraîne, ou l’application des règles DTU. Cependant, une réflexion de fond pour augmenter la sécurité des IC face aux risques naturels reste à mener.
-
L’examen d’autres causes potentielles d’accidents génériques et diffuses, telles que les pertes d’utilité et la malveillance, améliore la qualité de l’analyse des risques.
-
La probabilité et de la cinétique des phénomènes accidentels doivent être mieux estimés afin de permettre une meilleure gestion des territoires autour des sites industriels.
-
De façon générale, une étude de dangers doit être la plus claire et la plus cohérente possible. Elle doit être compréhensible par les riverains tout en apportant des éléments détaillés à l’Administration sur l’évaluation des risques et du niveau de maîtrise de ces risques par l’exploitant.
2.2 PROPOSITIONS DE L’INERIS DANS LE CADRE DU PROJET DRA-34 L’INERIS a proposé au Service de l’Environnement Industriel du Ministère de l’Ecologie et du Développement Durable (MEDD) un appui technique visant à faire évoluer l’analyse de risque pratiquée dans le cadre des études de dangers, notamment sur les aspects identifiés dans le paragraphe précédent. Cet appui technique est formalisé dans le cadre du projet intitulé « Analyse des risques et Prévention des Accidents Majeurs », dont le déroulement est prévu de 2003 à 2006, avec un financement assuré principalement par le titre IV du MEDD. De façon générale, l’étude des dangers doit constituer de la part de l’exploitant, tout à la fois, un engagement et une démonstration de la maîtrise des risques d’accidents majeurs. Afin d’être une démonstration, elle doit être agencée sur la base d’une démarche systémique au cœur de laquelle se trouve l’analyse de risques. Le projet se propose de faire évoluer l’analyse des risques, notamment en ce qui concerne : -
les risques liés aux produits,
-
les risques liés à l’exploitation des installations,
-
le lien avec la sécurité aux postes de travail et les exigences du Code du Travail,
-
les pertes d’utilité et les actes de malveillance,
-
les effets dominos entre sites industriels voisins,
-
les risques naturels et la vulnérabilité des installations à ces risques,
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 12 sur 101
Il s’agit, pour chaque thème évoqué ci-dessus, d’améliorer : -
l’identification des risques (combinaison de la gravité, de la fréquence et de la vulnérabilité des cibles),
-
leur estimation en vue de leur hiérarchisation,
-
l’identification des mesures spécifiques, d’ordre technique et organisationnel, permettant de maîtriser ces risques,
-
l’évaluation du bénéfice apporté par ces mesures en terme de réduction des risques, de façon logique, systématique et cohérente.
L’ensemble de cette démarche constitue l’analyse des risques. Le projet DRA-34 fera également des propositions sur la façon dont les résultats de cette analyse pourront ensuite être présentés et exploités dans le cadre de l’étude de dangers pour : -
Identifier des scénarios d’accidents, de gravité et de probabilité graduées en fonction de la prise en compte des mesures de réduction des risques,
-
Estimer ou évaluer les conséquences de ces scénarios sur les cibles identifiées et leur probabilité d’occurrence,
-
Faciliter l’utilisation des études de dangers dans le cadre de la gestion des risques en répondant aux exigences réglementaires.
2.3 STRUCTURE DU PROJET Le programme, qui a débuté en 2003, s’organise en 2005 autour des 10 opérations suivantes : -
Opération a : Redéfinition des études de dangers pour améliorer leur contenu et leur forme,
-
Opération b : scénarios,
-
Opération c : Exigences pratiques en terme de barrières de sécurité,
-
Opération d : Examen des risques entraînés par les pertes d’utilité et la malveillance et de la façon de les intégrer dans l’analyse des risques,
-
Opération e : Travail sur les concepts et méthodes de détermination des effets domino tant externes qu’internes (synergies d’accident),
-
Opération f : Examen des conséquences pour les Installations Classées pour la Protection de l’Environnement des risques naturels et de la façon de les intégrer dans l’analyse des risques,
Méthodes
systémiques
de
détermination
d’ensemble
de
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 13 sur 101
-
Opération g : Examen des pratiques découlant de l’application du code du travail dans les IC,
-
Opération h : Intégration de la démarche Etude de dangers dans la gestion des risques environnementaux, interrompue en 2004,
-
Opération i : Analyse des risques liés aux produits (opération débutant en 2005),
-
Opération j : Intégration de la dimension probabiliste dans l’analyse des risques (opération débutant en 2005).
Le présent document est rattaché à l’opération j du projet.
2.4 PRESENTATION DETAILLEE DE L’OPERATION J 2.4.1 OBJECTIFS La loi du 30 juillet 2003 relative à la prévention des risques technologiques et naturels et à la réparation des dommages prévoit la réalisation de plans de prévention des risques technologiques (PPRT). Dans ce cadre, les scénarios d’accidents majeurs doivent être qualifiés selon trois critères : leur cinétique, leur gravité et leur probabilité. Ce dernier terme n’est pas sans importance puisqu’il traduit une évolution vers une évaluation plus probabiliste. L'objectif premier de cette opération est d’améliorer l’évaluation de la probabilité d’occurrence des scénarios d’accidents majeurs dans les études des dangers, cette probabilité tenant compte des barrières de sécurité. Pour cela, il convient dans un premier temps de : -
poser les définitions et les principes de base relatifs aux approches probabilistes,
-
recenser les outils existants et évaluer leurs avantages et les limites de leur utilisation.
2.4.2 DESCRIPTION DES TRAVAUX Les tâches suivantes seront menées : -
état de l’art sur les approches probabilistes quantifiées et semi-quantitatives dans le domaine des accidents industriels majeurs, développés en France et en Europe,
-
amélioration de l’estimation de la probabilité des scénarios d’accidents majeurs, dans la logique de l’approche par barrières,
-
application de cette méthode sur une ou plusieurs études de cas.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 14 sur 101
A l'issue de cette opération seront fournis : -
un document synthétisant l’état de l’art en terme d’approche probabiliste ;
-
une méthode visant à améliorer l’évaluation de la fréquence des scénarios d’accidents majeurs, en intégrant une dimension probabiliste dans le cadre des EDD.
2.5 OBJET ET STRUCTURE DU PRESENT DOCUMENT 2.5.1 OBJET DU PRESENT RAPPORT Le rapport INERIS DRA34 opération j – 2005 a pour objectif de faciliter la réalisation d'études de dangers prenant en compte l'évaluation de la probabilité d'occurrence des phénomènes dangereux. La partie 1 du rapport de l’opération j s’intéresse au principe et à la présentation des différentes méthodes d’analyse des risques. Le présent rapport, noté partie 2 données quantifiées, s’intéresse plus particulièrement aux données disponibles. Il présente : -
des exemples de données chiffrées permettant la quantification des probabilités d'occurrence ;
-
des remarques quant aux avantages et inconvénients des données utilisables ;
-
des informations qualitatives pouvant permettre d'estimer la validité d'un chiffre utilisé.
Le présent rapport n'a pas vocation à être exhaustif. Il pourra être enrichi au fil des années. De nombreuses sources de données n'ont pas été exploitées dans le cadre de ce rapport. C'est le cas notamment : -
des données génériques sur les barrières présentées dans le Red Book,
-
des données semi-quantifiées présentés dans le guide UFIP sur le stockage et le raffinage,
-
des données spécifiques à certains secteurs d'activités (GdF…).
2.5.2 ORGANISATION DU PRESENT RAPPORT Pour l’étude du nœud papillon, les données disponibles peuvent être des fréquences d’événements ou des probabilités conditionnelles qui permettent de passer d’un événement à un autre. Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 15 sur 101
Chaque chapitre présente les données utilisables à différentes parties de l’arbre de défaillance : -
le chapitre 3 traite des données sur les évènements initiateurs (causes) ;
-
le chapitre 4 traite des données sur les évènements redoutés centraux (ERC) ;
-
le chapitre 1 traite des données sur les probabilités intermédiaires prises en compte pour l’évaluation des probabilités des phénomènes dangereux (PhD) et des accidents majeurs ;
-
le chapitre 1 traite des données sur les barrières techniques de sécurité ;
-
le chapitre 1 traite des données sur les barrières organisationnelles de sécurité.
Pour chaque catégorie, pour chaque donnée, il existe plusieurs sources d’informations quantifiées :
Les données génériques issues d’études particulières et qui concernent le plus souvent un sujet spécifique (type d’événement, secteur industriel particulier, équipement particulier). Elles peuvent être issues d’analyse ou d’étude du retour d’expérience, de données fournies par les constructeurs ou de données issues d’autres études,
Les données spécifiques au site étudié, issues du retour d’expérience (données liées au site ou liées à l’industrie concernée): lorsqu’elles existent et qu’elles sont suffisamment fournies, elles représentent la source qui devrait être normalement la plus adaptée,
Les données issues de jugement d’experts.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 16 sur 101
3. EVENEMENTS INITIATEURS 3.1 IDENTIFICATION DES EVENEMENTS INITIATEURS POSSIBLES Les causes peuvent être de différentes natures : ¾ causes externes naturelles : ¾ séisme, glissement de terrain, volcan, ¾ inondation, ¾ vent, tempête, neige ¾ foudre. ¾ causes externes d’origine humaine : ¾ chutes d’avion, ¾ malveillance, ¾ effets domino externes (trafic sur voies externes au site, risques liés aux installations environnantes, rupture de canalisations de transport, etc). ¾ causes internes : -
défaillance d'un équipement mécanique (rupture d'un réservoir, etc),
-
intervention externe (chute de grue, feu, impact par véhicule),
-
défaillances des dispositifs techniques internes au site (défaillance régulation, ouverture soupape, etc),
-
défaillances humaines (mauvaise manipulation en phase de travaux, au cours d'opérations de dépotage, etc).
¾ les effets domino internes.
3.2 METHODOLOGIE POUR L’ESTIMATION DES FREQUENCES DES EVENEMENTS INITIATEURS
Les fréquences d’occurrence des évènements initiateurs (causes) peuvent être estimés de différentes façons (à partir de valeurs issues de bases de données, à partir du retour d’expérience d’un groupe de travail…). Ce chapitre donne des informations sur la façon dont les données brutes peuvent ensuite être corrigées pour tenir compte des conditions réelles du site étudié. Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 17 sur 101
3.2.1 IDENTIFICATION DES EVENTUELLES BARRIERES DE SECURITE PRISES EN COMPTE DANS L’ESTIMATION DE LA FREQUENCE Il est important au cours de l'évaluation des fréquences d'occurrence des évènements initiateurs de bien identifier si la barrière (technique ou organisationnelle) associée à la cause n'a pas déjà été prise en compte dans la fréquence de la cause : si la barrière est déjà prise en compte, elle ne devra pas être prise en compte une deuxième fois en tant que barrière. Par exemple la formation ne doit pas être ajoutée en barrière à l'erreur humaine si la fréquence de l'erreur humaine est issue d'un REX avec existence d'une formation. De même, les bonnes pratiques de conception ne doivent pas être ajoutées en barrière à la défaillance matérielle si l'estimation de la fréquence de la défaillance matérielle en tient compte.
3.2.2 INCIDENCE DE LA DUREE DES OPERATIONS Pour les installations qui ne fonctionnent pas en continu (opérations de transfert, batch, etc) et pour lesquelles le risque n’est pas continu mais est conditionné à un état du système qui n’est pas permanent, il faudra tenir compte du ratio de temps entre la durée où le risque existe et la durée totale de référence. Ainsi, lorsque la fréquence d’occurrence de la cause servant de base à l’estimation correspond à un fonctionnement annuel, la fréquence d'occurrence de l’événement initiateur doit être modifiée pour tenir compte de la durée réelle de l'opération à risques. Nous citerons pour illustration deux exemples issus du LOPA [10]. Dans cet exemple, les probabilités de défaillance proposées initialement correspondent à un fonctionnement de l'équipement supposé toute l'année. Exemples extraits du LOPA : Cas n°1 : si une défaillance d’un flexible relié de manière continue (environ 8 000 heures/an) est de 1.10-2/an mais que l’opération de transfert n’a lieu que 40 fois par an pendant 2 heures, alors la fréquence réelle de la cause (défaillance du flexible) sera : F = (1.10-2/an) x (40 x 2) / 8000 = 1.10-4/an Cas n° 2 : une régulation de débit sur une opération par batch a une probabilité de défaillance de 10-2/an. L'opération batch a lieu 8 fois par an et dure 1 heure. Le taux de défaillance, en tenant compte de la durée et de la fréquence des opérations, est alors : F = 1.10-2 x 8 / 8000 = 1x 10-5 /an note : il faudra s’assurer que l’opération est suffisamment habituelle pour qu’elle n’engendre pas de risque nouveau.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 18 sur 101
3.2.3 RISQUE LIE A UNE OPERATION PONCTUELLE Dans certains cas, la fréquence d'occurrence se rapporte à une opération ponctuelle (par exemple le raccordement d’un flexible). Il faut alors multiplier la fréquence d'occurrence par opération par le nombre d'opérations annuelles.
3.3 APPROCHE SEMI-QUANTITATIVE 3.3.1 PRINCIPE Une approche possible, simple, pour évaluer la fréquence d’occurrence des causes d’un évènement est l’approche semi-quantitative. La méthode consiste à estimer la fréquence d’occurrence des causes en classe de fréquence. Cette estimation est réalisée en groupe de travail, au cours d’une séance d’analyse de risques, sur la base du retour d'expérience du groupe de travail. Le groupe de travail doit être représentatif et avoir une bonne culture des risques. Le retour d’expérience s’appuie sur l’expérience propre au site étudié et sur l’expérience du secteur industriel concerné. Cette méthode, simple, est bien adaptée aux causes, dans la mesure où les fréquences se rapportent à des évènements représentatifs de la vie d’une installation qui sont donc identifiables et estimables en fréquence par le groupe de travail. Elle est a priori plus pertinente que des valeurs génériques, puisque les estimations sont faites à partir du retour d'expérience du site ou de l'industrie concernée.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 19 sur 101
3.3.2 EXEMPLES 3.3.2.1
EXEMPLE DE GRILLE DE FREQUENCE
Un exemple de grille de fréquence utilisable est donnée ci-dessous (extrait du rapport DRA34 – opération b et c) [7]. Classe de fréquence
Traduction qualitative
Traduction quantitative
-2
Evènement susceptible de se produire ou se Environ 100 fois produisant tous les jours ou toutes les semaines. par an
-1
Evènement susceptible de se produire ou se Environ 10 fois produisant tous les mois. par an
0
Evènement susceptible de se produire ou se Environ produisant tous les ans. par an S’est déjà produit sur le site ou de nombreuses fois sur d’autres sites
1
fois
1
Evènement probable dans la vie d’une Environ 10-1 par installation. an Ne s’est jamais produit de façon rapprochée sur le site mais a été observé de façon récurrente sur d’autres sites.
2
Evènement peu probable dans la vie d’une Environ 10-2 par installation. an Ne s’est jamais produit de façon rapprochée sur le site mais quelques fois sur d’autres sites.
3
Evènement improbable dans la vie d’une Environ 10-3 par installation. an ou 100 kg/s ou rejet instantané de > 10000 kg
0,09
0,7
Note 1 : les gaz sont classés en fonction de leur réactivité. Voir tableau annexe 3.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 56 sur 101
Note 2 : dans le cas de rupture catastrophique, la probabilité de BLEVE doit être précisée et pourrait faire l’objet d’une probabilité intermédiaire supplémentaire. Sa détermination sera précisée dans une version ultérieure. A défaut de l’utilisation d’une valeur moyenne générique, on peut évaluer la probabilité d'inflammation au travers de l'analyse : ¾ de la réactivité de la substance, ¾ de la nature de la fuite (débit continue ou instantanée), ¾ de la présence de source d’inflammation (barrières de prévention et dispositifs anti-explosion), liée à l'environnement et aux barrières de prévention mis en place. La probabilité d’atteinte d’une source d’inflammation dépendra également de la durée de présence du nuage dans l’environnement, ¾ de la nature de la cause, celle-ci pouvant être elle-même source d’inflammation. 5.1.2.3
INFLAMMATION DIFFEREE D’UN GAZ
L'étude bibliographique met en évidence que la nature du site et de son environnement est un paramètre déterminant sur la probabilité d'inflammation différée. Sur la base de la recherche bibliographique, ARAMIS propose de retenir les valeurs dans le tableau ci-dessous pour les probabilités d’inflammation différée en fonction de la nature de l'installation. Probabilité d’inflammation Unités de combustion
1
Locaux techniques
1
Locaux non équipés de dispositifs anti-explosion
1
Zone d’utilités (pompes, compresseurs, ventilateurs…) Avec dispositif anti-explosion
0,5
Avec dispositif anti-explosion sur toute la zone
0,1 1
Sans dispositif anti-explosion Zone d’habitation
1
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 57 sur 101
Site en construction
1
Environnement industriel
0,9
Unités procédé Avec dispositif anti-explosion
0,8
Avec dispositif anti-explosion
0,1
sur toute la zone Sans dispositif anti-explosion
1
Unités de stockage Avec dispositif anti-explosion
0,5
Avec dispositif anti-explosion
0,1
sur toute la zone Sans dispositif anti-explosion Zones de transfert
1 Jour
Nuit
Camions
0,7
0
Wagons
0,6
0
Bateaux
0,6
0
Jour
Nuit
Travail à 1 équipe
0,4
0,1
Travail à 2 équipes
0,8
0,2
Travail à 3 équipes
1
1
Jour
Nuit
1
0,2
0,6
0,1
Jour
Nuit
0,6
0,1
Zones de manœuvre et de stationnement de véhicules à moteur
Route De plus de 2 voies De petite taille Voies ferrées et tramway
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 58 sur 101
Il faut noter que l’estimation de la probabilité d’inflammation différée dépend : -
de l’évaluation de la taille du nuage et de la probabilité d’atteinte des sources d’inflammation dans ce nuage. La taille du nuage dépend de la quantité de gaz rejetée. La probabilité d’atteinte d’une source d’inflammation dépendra également de la durée de présence du nuage dans l’environnement,
-
des conditions météorologiques,
-
de la direction du vent.
5.1.2.4
EXPLOSION D’UN NUAGE DE GAZ (VCE)
L'étude bibliographique menée dans le cadre d'ARAMIS a montré (cf annexe 2) que la probabilité d'inflammation était liée à : -
l'encombrement des zones atteintes par le nuage,
-
au débit de fuite,
-
au produit.
ARAMIS propose de retenir le critère d’encombrement comme déterminant et propose les valeurs suivantes . Probabilité de VCE Faible encombrement
0,1
Encombrement moyen
0,5
Fort encombrement
2/3
D’autre part, on note que le Purple Book précise que pour l’explosion d’un nuage de gaz, les deux phénomènes VCE et flashfire doivent être modélisés en adoptant les probabilités suivantes pour chacun des deux phénomènes : VCE
0,4
flashfire
0,6
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 59 sur 101
5.2 AUTRES DONNEES On s’intéresse dans ce paragraphe aux probabilités d’atteinte de cibles à partir d’un phénomène dangereux. La probabilité d’atteinte des cibles intervient à deux niveaux : -
pour estimer la possibilité d’effet domino ;
-
pour évaluer la gravité d’un accident majeur.
La réglementation française permet de raisonner en terme de distances d’effet sur les personnes et les structures. Pour un phénomène dangereux donné, on attribue une distance d’effet à partir de l’origine du phénomène dangereux. On peut considérer de façon simplifiée que si une cible se situe dans le cercle des rayons d’effet, alors elle est atteinte par le phénomène dangereux. Il s’agit d’une approche déterministe qui fait abstraction de la notion de probabilité d’atteinte de la cible. Celle-ci peut être prise en compte pour évaluer la possibilité d’effet domino ou pour évaluer la gravité d’un accident majeur. Les paragraphes suivants donnent quelques éléments de réflexion.
5.2.1 PROBABILITE D’ATTEINTE SUITE A UNE EXPLOSION / ECLATEMENT DE RESERVOIR
Un éclatement d’équipement conduit à deux types d’effet : ¾ effet de surpression : les effets sont isotropes. On peut déterminer un cercle d’effet. Tout équipement dans le cercle sera affecté par cette surpression. Il faudrait pouvoir estimer la probabilité pour qu’un équipement donné soit endommagé par cette surpression. L’approche retenue est plutôt déterministe. Des calculs de tenue à l’onde de surpression sont possibles pour les équipements : les équipements qui tiennent à l’onde de surpression ne sont alors pas retenus comme pouvant être endommagés. Pour des estimations plus simples, les seuils des effets de surpression engendrant des effets domino peuvent être utilisés pour évaluer les équipements qui peuvent être impactés en cas de surpression.
¾ Effet missile : dans le cas des effets missile, il faudrait pouvoir estimer la probabilité d’atteinte des cibles par un missile : cette probabilité est difficile à évaluer. Elle dépend : ¾ du type d’équipement (sphère, réservoir…) : les calculs balistiques peuvent estimer les formes, tailles et directions d’envoi des missiles ;
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 60 sur 101
¾ de l’angle relatif entre l’équipement qui éclate et la cible : des études menées par Holden « Assessment of missile hazards : review of incident experience relevant to major hazard plant » - 1988 ont mis en évidence que pour citernes horizontales, la direction dans laquelle partaient les missiles les plus pénalisants en terme de masse, vitesse et portée (fonds bombés) était située dans un angle de 30° autour de l’axe du cylindre. La distribution angulaire des projectiles est précisée et montre que dans les angles supérieurs à 30°, la probabilité d’émission de missiles reste élevée (distribution de 0,4 pour 0,6 dans les angles de 30°) mais ces missiles seraient moins pénalisants. ¾ De la taille de la cible : la probabilité d’atteinte de la cible dépend de l’angle solide sous lequel la cible est « vue » depuis l’équipement qui éclate. ¾ De la tenue de la cible au missile : des calculs balistiques sont nécessaires pour évaluer l’impact sur une cible et pour évaluer la tenue de la cible à cet impact. ¾ Des obstacles éventuels entre l’équipement et la cible. Note : on pourra se reporter au rapport INERIS DRA34 – opération e relatif aux effets domino.
5.2.2 PROBABILITE D’ATTEINTE SUITE A UN FEU TORCHE Il faut pouvoir estimer la probabilité d’atteinte d’une cible. Celle-ci dépend : ¾ des dimensions du feu torche : longueur de flamme, largeur de flamme, ¾ de l’angle et de la direction dans lesquels se développe la flamme : la flamme peut se développer dans une direction donnée en fonction de la position de la rupture, de la direction du vent (cf paragraphe suivant), ¾ des obstacles éventuels.
Note : on pourra se reporter au rapport INERIS DRA34 – opération e relatif aux effets domino.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 61 sur 101
5.2.3 PROBABILITE D’ATTEINTE SUITE A UNE DISPERSION (NUAGE TOXIQUE OU NUAGE INFLAMMABLE) La dispersion atmosphérique intervient pour estimer les conséquences de différents phénomènes dangereux : ¾ en cas de dispersion de gaz inflammable (VCE, flashfire…), ¾ en cas de dispersion de gaz toxique. Les paramètres qui ont une influence sur la modélisation sont : ¾ la direction du vent, ¾ les conditions météorologiques (classes de stabilité et vitesse du vent). Des probabilités pourraient être introduites tenant compte de la répartition de la rose des vents et de la fréquence d'apparition de certaines conditions météorologiques. La démarche pouvant être retenue est l'évaluation des conséquences dans les conditions les plus pénalisantes de conditions atmosphériques en représentant les effets sur un cercle autour du point de fuite, ce qui est une approche plus simple mais pénalisante. On note que la réglementation (arrêté du 29 septembre 2005 [4]) précise que pour les nuages toxiques, il faut retenir un panache pour l’évaluation des personnes exposées. Ce panache doit être déterminé de façon à ce que l’événement soit représentatif par rapport à son positionnement dans la grille probabilité / gravité.
5.2.4 PROBABILITE D'OCCUPATION
D'ATTEINTE
DES
CIBLES
EN
FONCTION
DU
TAUX
Lorsque la probabilité que le phénomène dangereux atteigne un point où peut se situer une cible est déterminée (tenant compte éventuellement des différents paramètres vus précédemment – direction des missiles, direction du vent, etc), il faut ensuite tenir compte de la durée d'exposition de la cible.
Ainsi, on pourra faire intervenir la probabilité d’avoir des personnes dans la zone de danger ce qui revient à connaître le taux de présence des cibles et à savoir si la présence des cibles est corrélée avec la période où le danger existe. Par exemple : -
si un stade de 1000 personnes n'est occupé que 10% du temps, la probabilité d'atteinte de la cible pourra être réduite d'un facteur 10 par rapport à la probabilité de l'effet engendré par le phénomène dangereux, si le risque est bien présent 100% du temps. L’aversion au risque peut amener toutefois à modifier cette probabilité. La règle devra être précisée.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 62 sur 101
-
Si un risque donné n'existe que pendant une période limitée (par exemple un dépotage qui ne se produit qu'en semaine) et que la cible n'est pas présente pendant cette période (le stade voisin n'est pas occupé en semaine), la probabilité d'atteinte de cette cible pour les accidents liés aux opérations de dépotage sera nulle.
Note : -
On s'intéresse à ce niveau au problème d'atteinte de la cible (gravité) et non plus à la probabilité d'avoir un phénomène dangereux en un point donné.
-
Il faut pouvoir être en mesure de vérifier les taux et les périodes d’occupation des locaux où des entités vulnérables sont présentes. Il faut d’autre part s’assurer que des mesures sont prises pour que ces paramètres ne fluctuent pas dans le temps.
5.2.5 PROBABILITE D'ATTEINTE DES CIBLES EN FONCTION DES PROTECTIONS POSSIBLES
En un point donné, une cible sera plus ou moins exposée au danger selon son degré de protection. Ainsi, selon que la cible est à l'extérieur ou à l'intérieur de locaux, elle ne sera pas exposée de la même façon. La conception des locaux entre ensuite en jeu. On aborde alors le problème des mesures de sécurité permettant de limiter les effets sur les cibles. La possibilité de fuir le danger pourra également être intégrée dans l'évaluation du risque. Ces paramètres ont fait l'objet d'études dans le cadre du transport routier. Note : On s'intéresse à ce niveau au problème d'atteinte de la cible (gravité) et non plus à la probabilité d'avoir un phénomène dangereux en un point donné.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 63 sur 101
6. BARRIERES DE SECURITE TECHNIQUES 6.1 TYPES DE DONNEES DISPONIBLES Les barrières de sécurité sur un site sont de deux types : ¾ les barrières techniques (systèmes instrumentés de sécurité, barrière active ou barrière passive), ¾ les barrières organisationnelles. On s’intéresse dans ce chapitre aux barrières techniques de sécurité. Le chapitre 1 traite des barrières organisationnelles de sécurité. Dans les études probabilistes, le paramètre pertinent est le facteur de réduction de risque associé à une fonction de sécurité. Ce facteur de réduction de risques est lié à la probabilité de défaillance des barrières composant la fonction de sécurité. Il est lié également à l'architecture de la fonction de sécurité.
Les données disponibles pour évaluer un facteur de réduction de risques sont de plusieurs types : ¾ Elles peuvent être issues d’une évaluation semi-quantitative des barrières de sécurité. Différentes méthodes existent. Une de ces méthodes est développée dans le rapport INERIS Omega 10 « Evaluation des barrières techniques de sécurité ». Dans la méthode développée par l’INERIS, le paramètre disponible est alors le niveau de confiance (NC) qui est lié à la probabilité de défaillance de la barrière. D’autres noms existent, par exemple facteur de crédit (terme utilisé au Québec). A chaque niveau de confiance (noté NC) correspond un facteur de réduction du risque de 10NC. Le NC est une extrapolation du SIL (Safety Integrity Level) défini dans les normes de sûreté de fonctionnement pour les systèmes instrumentés de sécurité (SIS).
¾ Elles peuvent être issues de bases de données : les caractéristiques disponibles sont : ¾ soit la probabilité de défaillance rapportée à une échelle de temps ou à la demande (PFD) ; ¾ soit le taux de défaillance à l’heure λ ou à la sollicitation γ ; ¾ soit le MTBF (Mean Time Between Failure).
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 65 sur 101
¾ Elles peuvent être issues du retour d’expérience de l’industriel ou du secteur industriel concerné. ¾ En général, pour les barrières testées, il est possible de recueillir le nombre de défaillances au cours de tests. La donnée disponible est alors le nombre de défaillances sur sollicitation. Dans certains cas, si aucune défaillance n’est enregistrée sur la période d’essais, le nombre de sollicitations sera la donnée disponible. ¾ Pour d’autres barrières, on peut enregistrer le nombre de défaillances en fonctionnement. La donnée disponible est alors le nombre de défaillances à l’heure. Dans certains cas, si aucune défaillance n’est enregistrée sur la période d’essais, la durée d’essais sera la donnée disponible.
¾ Elles peuvent être issues de données de constructeurs : ¾ Les constructeurs peuvent donner des taux de défaillance, des temps moyens entre défaillance (MTBF). Mais ces données sont difficilement utilisables dans la mesure où elles correspondent à des essais sur des barrières. Le contexte d’utilisation réel de la barrière n’est pas pris en compte. Les paramètres tels que la nature du produit, l'environnement, les moyens de maintenance, le mode d'alimentation en énergie (électricité, air comprimé), le montage, etc… ne sont pas pris en compte. L’utilisation brute de ces données n’est donc pas acceptable dans une analyse de risques, sans justification. Ces données ne seront pas exploitées davantage dans le cadre de ce rapport. Les bases de données concernant les barrières techniques actives ou les systèmes instrumentés de sécurité sont nombreuses (cf annexe 4). Les données relatives aux barrières passives sont plus rares. Le LOPA en fournit quelques unes (cf chapitre 6.8).
6.2 MODE DE FONCTIONNEMENT DE LA BARRIERE Les barrières peuvent avoir deux types de fonctionnement : -
Elles peuvent être identifiées comme agissant sur une dérive de paramètre ou un accident. Elles changent alors d’état pour mettre le système en sécurité. Il s’agit d’une mode de fonctionnement à la sollicitation et on s’intéresse alors pour ces barrières au taux de défaillance à la sollicitation et à la probabilité de défaillance à la sollicitation (PFD pour Probability of Failure on Demand). C'est le cas par exemple d'une fermeture de vanne sur détection de gaz suite à une fuite accidentelle.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 66 sur 101
-
Elles peuvent être identifiées comme agissant en mode de fonctionnement continu. Dans ce cas, on s'intéresse au taux de défaillance et à la probabilité de défaillance de la barrière rapportés à une unité de temps, par exemple des taux de défaillance à l'heure ou des probabilités de défaillance par an. C'est le cas par exemple d'un système d'inertage sur un silo de poussières.
L’utilisation de la PFD correspondant à un mode à faible sollicitation suppose que la barrière est peu sollicitée dans la période étudiée. Sinon, il faut avoir recours à un mode de fonctionnement en continu.
Note : lorsque la défaillance d'un dispositif technique quel qu'il soit (barrière de sécurité ou non) est envisagée comme cause d'accident, la même méthode que celle décrite pour les barrières sera appliquée pour estimer une probabilité de défaillance, qui sera alors associée à une fréquence de cause d'accident. Dans ce cas (défaillance de dispositif considéré comme une cause d'accident), le mode de fonctionnement généralement considéré est le mode de fonctionnement continu (défaillance d'une pompe de refroidissement, etc).
Pour un dispositif technique, les deux types de mode de fonctionnement sont possibles. Les défaillances envisagées conduisent alors à des situations dangereuses différentes. Il faut donc être vigilant sur la nature de la défaillance à laquelle on s'intéresse. Par exemple, une soupape de sécurité protégeant un équipement contenant un produit dangereux sous pression peut intervenir : -
Soit en mode à la sollicitation : elle agit en barrière de prévention à une rupture sur une cause de surpression. Les défaillances concernent les cas de non–ouverture. Le non-fonctionnement de la soupape (non-ouverture sur sollicitation) conduit à la situation dangereuse qui peut être l'éclatement de l'équipement associé.
-
Soit elle peut intervenir en cause de défaillance si elle vient à s'ouvrir de façon intempestive. Dans ces conditions, on s’intéresse au taux de défaillance en fonctionnement continu de la barrière. Les défaillances qui interviennent dans ce cas sont les défaillances de non-maintien en fermeture qui conduisent à la situation dangereuse de rejet à l'atmosphère d'un produit dangereux
De même, une pompe peut intervenir : -
Soit en mode à la sollicitation : elle doit se mettre en route sur situation de danger. Les défaillances concernent le non-démarrage de la pompe ;
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 67 sur 101
-
Soit elle fonctionne en mode continu et son arrêt est une cause d'accident : on s'intéressera alors aux défaillances d'arrêt de la pompe, en mode de fonctionnement continu.
6.3 ROLE DES BARRIERES DANS LA REDUCTION DU RISQUE Les barrières interviennent dans la réduction du risque. Les chapitres suivants précisent comment les barrières interviennent sur la réduction du risque. Il est important au cours de l'évaluation des fréquences d'occurrence des causes de bien identifier si la barrière (technique ou organisationnelle) associée à la cause n'a pas déjà été prise en compte dans la fréquence de la cause : si la barrière est déjà prise en compte, elle ne doit pas être prise en compte une deuxième fois en tant que barrière. Par exemple, si le risque de départ de feu est évalué en tenant compte de l'interdiction de fumer mise en place sur une zone donnée (retour d'expérience tenant compte de cette interdiction), on ne tiendra pas compte de l'interdiction de fumer en tant que barrière supplémentaire. Des exemples sont présentés ci-dessous pour expliquer comment les barrières interviennent dans la réduction du risque. La probabilité de défaillance des barrières (PFD) est associée à un paramètre noté Niveau de Confiance (NC) (cf chapitre 6.4). Ce paramètre est celui retenu par l’INERIS. D’autres paramètres existent permettant de qualifier la probabilité de défaillance. Les barrières présentées en exemple sont supposées indépendantes entre elles, ce qui permet de multiplier les probabilités de défaillance des barrières.
6.3.1 BARRIERES EN PREVENTION OU LIMITATION – SCENARIOS RESIDUELS Les barrières de sécurité ont un rôle différent selon qu'elles interviennent en prévention ou en limitation :
¾ en prévention, elles permettent de réduire la probabilité d'occurrence d'un événement redouté central :
si la barrière agit en mode à la sollicitation, on peut multiplier la fréquence d'occurrence de la cause exprimée en F/an par la probabilité de défaillance de la barrière exprimée en Probabilité de défaillance à la sollicitation (PFD). La probabilité d'occurrence de l'ERC s'exprime alors dans la même unité que celle de la fréquence de la cause.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 68 sur 101
Note : généralement pour ce type de barrières, le fonctionnement de la barrière ne conduit pas à un deuxième scénario : si la barrière fonctionne, l'ERC ne se produit pas. En revanche, pour certains dispositifs, dont le fonctionnement génère le rejet d'une substance dangereuse (par exemple les soupapes de sécurité), un scénario résiduel est issu du fonctionnement de la barrière. Mais il s'agit alors d'un autre ERC (avec souvent des conséquences de classes d’intensité différentes). Note : s'il existe des modes communs de défaillance et une dépendance entre barrières, le facteur de réduction de risques n'est pas le produit des facteurs associés à chaque barrière.
si la barrière agit en mode continu, on peut multiplier la fréquence d'occurrence de la cause exprimée en F/an par la probabilité de défaillance de la barrière exprimée en Probabilité de défaillance. La probabilité d'occurrence de l'ERC s'exprime alors dans la même unité que celle de la fréquence de la cause.
¾ en limitation, les barrières permettent de réduire la fréquence d'occurrence de l'événement majeur (avec conséquences maximales) et de réduire les conséquences de l'accident majeur (la fréquence d'occurrence est alors celle de l'événement redouté central). ¾ Le traitement des probabilités s'effectue comme pour les barrières de prévention (multiplication des probabilités de l'événement redouté central par la probabilité de défaillance à la sollicitation (mode à la sollicitation) ou par la probabilité de défaillance (mode à fonctionnement continu).
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 69 sur 101
6.3.2 AGREGATION DES FONCTIONS DE SECURITE 6.3.2.1 PRISE EN COMPTE DES DIFFERENTS SOUS-SYSTEMES COMPOSANT LA FONCTION DE SECURITE Une fonction de sécurité est généralement décomposée en plusieurs soussystèmes. Pour estimer la réduction de risque induite par la fonction de sécurité, il faut dans un premier temps décomposer cette fonction en ses différents soussystèmes, estimer la probabilité de défaillance de chaque sous-système et enfin en déduire la probabilité de défaillance de la fonction de sécurité globale. L'estimation de la probabilité de défaillance de la fonction globale repose sur l'analyse de l'architecture de la fonction selon que les sous-systèmes sont en série ou en parallèle. Elle repose également sur l'analyse des modes communs de défaillance et des éléments éventuellement communs à plusieurs sous-systèmes. 6.3.2.1.1
SYSTEMES EN SERIE
Lorsque deux sous-systèmes sont en série, la défaillance d’un composant suffit à mettre le système en dysfonctionnement.
Approche "sûreté de fonctionnement"
La fiabilité d'un composant (Ri) est liée à la probabilité de défaillance (Pi) de ce composant par la relation : Ri + Pi = 1. Le système est fiable si tous les composants sont fiables. R1
Ri
La fiabilité du système global est alors le produit des fiabilités des différents composants : R(t ) = ∏ Ri . La probabilité de défaillance du système s'en déduit.
Approche semi-quantitative
Dans l’approche retenue par l’INERIS (mais d’autres méthodes semi-quantitatives existent), chaque composant a un niveau de confiance NCi (liée à sa probabilité de défaillance). NC1
NCi
Le Niveau de confiance global du système sera : NC = Min[NCi ] . La formule NC = Min[NCi ] est facile d'utilisation. Néanmoins, elle peut conduire à surestimer le NC du système complet (et donc sous-estimer la probabilité de défaillance) par exemple si le nombre de composant est élevé. Malgré ce biais, elle a l’avantage d’être démonstrative et c'est la démarche retenue par l’INERIS dans les études de dangers. Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 70 sur 101
6.3.2.1.2
SYSTEMES EN PARALLELE
Approche "sûreté de fonctionnement" R1 Ri
La défaillance de tous les composants est nécessaire pour mettre le système en dysfonctionnement. Le système est ainsi défaillant si tous les composants sont défaillants. La probabilité de défaillance du système est égale au produit des probabilités de défaillance des sous-systèmes : P(t ) = ∏ Pi
Approche semi-quantitative NC1 NCi
Le Niveau de confiance du système est égal à la somme des niveaux de confiance : NC = ∑ NCi La formule NC = ∑ NCi peut conduire à sous estimer le NC du système complet (soit sur-estimer la probabilité de défaillance) si le nombre de composants est important. Malgré ce biais, elle a l’avantage d’être démonstrative et c'est la démarche retenue par l’INERIS dans les études de dangers. 6.3.2.1.3
AUTRES CONFIGURATIONS
D'autres configurations existent faisant intervenir par exemple des architectures de type parallèle m/n. Le diagramme parallèle m/n correspond à une configuration où le système fonctionne si au moins m composants fonctionnent sur les n. Nous ne détaillerons pas dans ce rapport les différentes configurations possibles.
Réf. : INERIS – DRA – PREV – 2005 - 46036 – Op j – Probabilité – partie 2 : Données quantifiées Page 71 sur 101
6.3.2.2 EXEMPLE On considère la fonction de sécurité : arrêt d’une fuite. La fonction est décomposée en trois sous-systèmes, chaque sous-système étant supposé indépendant : la détection est assurée par exemple par un détecteur de gaz et un débitmètre, le traitement est assuré par exemple par un automate de sécurité et par un relayage et l’actionneur est composé par exemple d’une vanne d’isolement. On suppose que la probabilité de défaillance à la sollicitation des sous-systèmes est respectivement : PFD ~
View more...
Comments