Securite Ineris

January 16, 2018 | Author: Serge Rinaudo | Category: Risk, Computer Security, Online Safety & Privacy, Risk Management, Safety
Share Embed Donate


Short Description

Download Securite Ineris...

Description

Méthodes pour l’évaluation et la prévention des risques accidentels (DRA-006)

Eléments Importants Pour la Sécurité (EIPS)

Direction des Risques Accidentels

Septembre 2001

INERIS-DRA-2001-25427eipsweb2.doc

Eléments Importants Pour la Sécurité (EIPS) Version projet

Ce document comporte 36 pages, hors annexes et couverture

INERIS DIRECTION DES RISQUES ACCIDENTELS

Septembre 2001

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

1/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Répertoire des modifications Révision

Relecture

PROJET

Septembre 2001

Application

Modifications Création du document

2/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

PREAMBULE

Le présent document a été établi : -

au vu des données scientifiques et techniques disponibles ayant fait l’objet d’une publication reconnue ou d’un consensus entre experts,

-

au vu du cadre légal, réglementaire ou normatif applicable.

Il s’agit de données et informations en vigueur à la date de l’édition du document, le 10 septembre 2001. Le présent document comprend des propositions ou recommandations. Il n’a en aucun cas pour objectif de se substituer au pouvoir de décision du ou des gestionnaire(s) du risque ou d’être partie prenante.

3/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

TABLE DES MATIERES 1

OBJECTIF ET DOMAINE D’APPLICATION

6

1.1

Contexte général ................................................................................................................... 6

1.2

Domaine d’application ......................................................................................................... 6

2

DÉFINITIONS DES ÉLÉMENTS IPS

2.1 2.1.1 2.1.2 2.1.3

Définitions préliminaires...................................................................................................... 8 Notion d’éléments IPS............................................................................................................ 8 Notion de dérive ..................................................................................................................... 9 Notion de scénario d’accident majeur .................................................................................. 10

2.2

Définitions relatives aux éléments IPS.............................................................................. 13

3

PRINCIPES DIRECTEURS POUR LA SÉLECTION DES ÉLEMENTS IPS

8

14

3.1

Importance de l’étude de dangers ..................................................................................... 14

3.2 3.2.1 3.2.2 3.2.3 3.2.4

Processus de détermination des éléments IPS.................................................................. 15 Importance de l’analyse des risques ..................................................................................... 16 Fonctions IPS........................................................................................................................ 16 Désignation des éléments IPS............................................................................................... 16 Rôle des éléments IPS : prévention, protection, intervention............................................... 16

3.3 3.3.1 3.3.2 3.3.3 3.3.4

Attendus des éléments IPS et actions à mener ................................................................. 17 Eléments de définition .......................................................................................................... 17 Attendus des éléments IPS ................................................................................................... 19 Gestion des IPS..................................................................................................................... 20 Liens entre IPS et SGS ......................................................................................................... 21

4

DÉMARCHE ADOPTÉE PAR L’INERIS POUR LA DÉTERMINATION DES ÉLÉMENTS IPS

23

4.1 4.1.1 4.1.2 4.1.3 4.1.4

Détermination des éléments IPS dans l’étude de dangers............................................... 23 Rappels ................................................................................................................................. 23 Démarche adoptée par l’INERIS .......................................................................................... 24 Exemple d’application de la démarche................................................................................. 27 Attendus des IPS................................................................................................................... 30

4.2

Tierce expertise et éléments IPS........................................................................................ 30

5

CONCLUSION

32

6

GLOSSAIRE

33

7

BIBLIOGRAPHIE

34 4/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

8

INERIS-DRA-2001-25427

LISTE DES ANNEXES

35

5/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

1 OBJECTIF ET DOMAINE D’APPLICATION 1.1 CONTEXTE GENERAL Depuis l’année 2000, le Ministère de l’Aménagement du Territoire et de l’Environnement finance un programme d’études et de recherches, intitulé « Recueil des méthodes utilisées à l’INERIS dans le domaine des risques accidentels » (DRA-006). L’objet de ce programme est de réaliser un recueil global formalisant l’expertise de l’INERIS dans le domaine des risques accidentels. Ce recueil sera constitué de différents rapports consacrés aux thèmes suivants : •

les phénomènes physiques impliqués en situation accidentelle (incendie, explosion, BLEVE…)



l’analyse et la maîtrise des risques,



les aspects méthodologiques pour la réalisation de prestations réglementaires (étude de dangers, analyse critique..)

Chacun de ces documents reçoit un identifiant propre du type « Ω-X » afin de faciliter le suivi des différentes versions éventuelles du document. In fine, ces documents décrivant les méthodes pour l’évaluation et la prévention des risques accidentels, constitueront un recueil des méthodes de travail de l’INERIS dans le domaine des risques accidentels.

1.2 DOMAINE D’APPLICATION Le présent rapport présente la démarche adoptée par l’INERIS pour l’identification des Eléments Importants pour la Sécurité (IPS). Il s’inscrit dans une démarche de valorisation du savoir-faire de l’INERIS auprès des pouvoirs publics, des industriels et du public. L’Administration et plus particulièrement l’inspection des Installations Classées pour la Protection de l’Environnement (ICPE) a développé depuis plusieurs années la notion d’équipements et de paramètres Importants Pour la Sécurité (IPS). La Directive européenne 96/82/CE du Conseil du 9 décembre 1996, concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses, est entrée en application dans les Etats membres de l’Union Européenne, le 3 février 1999. Cette Directive, dite Seveso II, exige que les exploitants d’établissements à risques démontrent : • d’une part, qu’ils ont identifié les dangers associés à leurs installations, • d’autre part, qu’ils maîtrisent ces dangers par la mise en œuvre de dispositifs techniques ou organisationnels adéquats, dans le cadre d’une politique de prévention des accidents majeurs ou d’un système de gestion de la sécurité.

6/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Cette nécessité pour l’exploitant de démontrer la maîtrise des risques a abouti à la notion d’éléments Importants Pour la Sécurité (IPS), développée par l’Administration en France, et plus particulièrement, l’inspection des Installations Classées pour la Protection de l’Environnement (ICPE). En effet, la notion d’équipements et de paramètres IPS a émergé en France ces 10 dernières années, dans différents ouvrages ou textes réglementaires, traitant notamment des démarches de réduction des risques majeurs. Dans cette continuité, l’arrêté du 10 mai 2000, transposant pour partie la Directive 96/82/CE, impose que l’étude de dangers, réalisée sous la responsabilité de l’exploitant, permette à ce dernier de définir les facteurs (équipements et opérations) importants pour la sécurité. Ce texte réglementaire reprend ainsi les concepts déjà évoqués, par exemple, dans le guide méthodologique : Etude de dangers d’une installation industrielle, édité par le ministère de l’Environnement (1) ou dans les arrêtés du 16 et du 23 juillet 1997 relatifs respectivement aux installations de réfrigération employant de l’ammoniac et aux stockages de chlore gazeux liquéfié sous pression. Une liste non exhaustive de documents et textes réglementaires faisant référence aux éléments importants pour la sécurité est fournie en Annexe I. Malgré les réflexions déjà engagées et les documents existants sur ce thème, la notion d’élément IPS reste cependant sujette à interprétation. Pour certains, tout dispositif technique ou organisationnel de sécurité est Important Pour la Sécurité. Pour d’autres, seuls quelques-uns de ces dispositifs doivent être qualifiés d’IPS. L’objet de ce document est de présenter la vision de l’INERIS quant à la notion et au processus d’identification d’éléments IPS. Il s’appuie d’une part sur les résultats d’un groupe de travail, formé à l’initiative du Secrétariat Permanent de Prévention des Pollutions Industrielles (SPPPI) de la région Provence – Alpes – Côte d’Azur. Ce groupe composé d’industriels, d’inspecteurs des ICPE et de l’INERIS a été constitué en vue de préciser de manière consensuelle le concept d’éléments IPS. Il s’est réuni sept fois en un an, entre 1999 et 2000. Le résultat de ces travaux a été édité dans un rapport sous l’égide du SPPPI PACA, auquel le présent document fera référence (3). D’autre part, ce document intègre l’expérience de l’INERIS acquise notamment lors de la réalisation d’études de dangers et de tierce-expertises d’études de dangers d’Installations Classées pour la Protection de l’Environnement. Ce rapport livre ainsi dans un premier temps des éléments de définitions pour les notions de paramètres et éléments IPS. Ensuite, les caractéristiques à attendre des éléments IPS sont abordées, et le lien avec les actions à mener dans le cadre d’un système de gestion de la sécurité est discuté. Enfin, sur le plan méthodologique, le chapitre 4 présente la démarche et le formalisme adoptés par l’INERIS pour l’identification des éléments IPS dans les études de dangers. Ce dernier chapitre comprend en outre une illustration de cette démarche à partir d’un cas fictif.

7/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

2 DEFINITIONS DES ELEMENTS IPS Les éléments de définitions présentés dans les paragraphes suivants sont tirés des réflexions menées dans le cadre du groupe de travail, formé à l’initiative du SPPPI de la région PACA Il convient de souligner que des définitions ont été portées à la connaissance du groupe de travail dès la deuxième réunion, par les représentants de l’UIC. En effet, l’UIC a rédigé en décembre 1999 un document technique DT 65 intitulé : « Eléments importants pour la sécurité (IPS) Définitions – Exemples » (2). Le groupe de travail a donc tenu compte des réflexions menées par l’UIC. Par ailleurs, des éléments de définition figurent également dans le guide méthodologique : Etude des dangers d’une installation industrielle, édité en 1995 par le Ministère de l’Environnement (1). Dans le cadre du présent document, les définitions élaborées au sein du groupe de travail ont été retenues préférentiellement, dans la mesure où ces dernières sont issues d’un consensus entre différents acteurs de la gestion du risque, notamment les exploitants et les inspecteurs des Installations Classées.

2.1 DEFINITIONS PRELIMINAIRES 2.1.1

NOTION D’ELEMENTS IPS

Différents textes réglementaires ou ouvrages relatifs à la réduction du risque introduisent les notions d’équipements et de paramètres IPS (1). Un paramètre peut être défini de manière simplifiée comme une grandeur physique ou chimique fonction de l’installation considérée et de son exploitation. Il peut ainsi s’agir de : • •

niveau, pression, température, conductivité, résistance…, pH, concentration…

Dans le cadre de ce document et conformément aux réflexions du groupe de travail du SPPPI PACA, la notion d’éléments IPS est préférée à la notion d’équipements et de paramètres IPS pour les raisons suivantes : • •

Un élément peut être un équipement, dispositif de sécurité ou groupe de dispositifs de sécurité ou bien une tâche, une opération réalisée par un individu, un opérateur. Par abus de langage, on parle parfois de « paramètres IPS ». Il est effectivement nécessaire d’identifier les paramètres (pression, température…) à surveiller et maîtriser pour la sécurité de l’installation. Néanmoins, seront qualifiés d’IPS les éléments permettant de maintenir ces paramètres dans une plage donnée ou en dessous de seuils particuliers. En d’autres termes, les éléments IPS visent à contrôler les dérives dangereuses d’un ou plusieurs paramètres. Ce constat met en lumière l'importance de définir au cours de l'analyse des risques les plages de fonctionnement normales et les seuils de sécurité à ne pas dépasser pour un fonctionnement sûr de l'installation.

8/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

2.1.2

INERIS-DRA-2001-25427

NOTION DE DERIVE

Lorsque la dérive d’un paramètre de fonctionnement survient, elle peut conduire à une évolution telle que ce dernier franchisse plusieurs seuils, passant ainsi d’une zone de fonctionnement normal à une zone de danger pour laquelle l’accident devient imminent. A titre d’illustration, un exemple de différentes zones de dérive pouvant être envisagées est décrit ci-dessous. • La zone de régulation correspond à la plage de fonctionnement normal ou habituel d’un appareil pour un paramètre donné. Elle peut être délimitée notamment par des seuils d’alerte. • En cas de franchissement d’un seuil d’alerte, le paramètre se trouve en zone d’alerte. A ce niveau, les opérateurs doivent être informés d’une dérive en dehors de la zone de régulation. • Si la dérive se poursuit au-delà de la zone d’alerte, le paramètre peut franchir le seuil d’alarme et se trouver ainsi en zone d’alarme. A ce stade, des actions correctives doivent être engagées en vue de ramener le système dans la zone de fonctionnement opérationnel. Ces actions pourront par exemple être menées sous la forme d’opérations à effectuer ou de déclenchements de systèmes automatiques. • Enfin, si la dérive ne peut être maîtrisée en zone d’alarme, le paramètre est susceptible de franchir le seuil de danger. Dans cette zone de danger, l’accident devient imminent. La mise en sécurité de l’installation doit alors être commandée. La notion de dérive et les différents seuils définis préalablement sont représentés de manière schématique dans la Figure 1 suivante.

paramètre

zone de danger

Seuil de danger

zone d’alarme Seuil d’alarme zone de régulation zone d’alerte

zone de fonctionnement opérationnel

Seuil d’alerte

zone de danger temps Figure 1 : Illustration d’une dérive d’un paramètre et des seuils de sécurité associés

9/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

2.1.3

INERIS-DRA-2001-25427

NOTION DE SCENARIO D’ACCIDENT MAJEUR

2.1.3.1 SCENARIO D’ACCIDENT Comme précisé dans les paragraphes précédents, les éléments IPS permettent a priori de maîtriser la dérive d’un paramètre susceptible de conduire à un accident. Les modalités d’occurrence de cet accident sont formalisées, entre autres, dans les études de dangers par la définition de scénarios d’accident. Les scénarios d’accident sont constitués d’une succession d’événements qui s’enchaînent, en général de la façon suivante : − un type de rupture accidentelle ou une défaillance ; − conduisant au rejet ou à la réaction d'un produit donné ; − qui peut être impliqué dans un phénomène tel que la dispersion atmosphérique, l'explosion ou l'incendie. En référence à la Figure 2 suivante, un accident est le résultat de la conjonction d’événements indésirables, conduisant à un événement redouté central et aboutissant à des événements majeurs en termes de conséquences. Ce schéma se fonde sur l’approche « nœud papillon » proposée au groupe de travail du SPPPI par l’INERIS pour poser un vocabulaire commun afin de préciser la notion de scénario d’accident majeur.

SCENARIO Ein 1

EM ET

EI

PhD EM

Ein 2 OU

EI

ERS

Ein 3 OU

EI

PhD

Ein 4

OU

ERC

Ein 5

EM ET

EI

PhD EM

EC 6 OU

EI

ERS

Ein 7

EM OU

EI

PhD EM

EC 8

Prévention

Barrières de défense

Arbre de défaillances

Protection

Arbre d ’événements

Figure 2 : Schéma explicatif général de la démarche « SCENARIO »

10/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

La définition d’un scénario d’accident résulte d’un processus d’analyse de risques qui intègre généralement les travaux menés dans l’analyse de risques, notamment grâce à : • • •

des outils systématiques d’analyse de risques tels que l’HAZOP, l’AMDEC ou l’APR, l’étude des agressions externes d’origine naturelle (séisme, inondations, foudre) ou liées à l’activité humaine (effets domino, voies de communication…) des considérations tirées de l’analyse des accidents passés sur l’installation considérée ou des installations similaires.

De manière très schématique, il s’agit alors de caractériser les étapes résumées ci-dessous. 1- Arbre des défaillances La partie gauche du schéma, ou arbre des défaillances, s’attache à identifier les causes d’un accident éventuel. Ainsi, l’origine d’un scénario d’accident peut résulter de : ƒ

un ou la combinaison de plusieurs événements indésirables, notés Ein dans la Figure 2. Un événement est qualifié d’indésirable lorsqu’il se situe en dehors des conditions usuelles d’exploitation.

ƒ

un ou la combinaison d’événements courants, notés EC. A l’inverse d’un événement indésirable, un événement courant est récurrent dans des conditions usuelles d’exploitation. Il a donc été identifié et accepté, moyennant le cas échéant, la mise en place de barrières de sécurité spécifiques.

ƒ

la combinaison d’événements indésirables et d’événements courants.

En fonction de l’action d’éventuels dispositifs de prévention, l’une des combinaisons précédemment citées conduit à considérer ou non un ou plusieurs événements initiateurs de l’accident, noté EI sur la Figure 2. Un événement initiateur représente une cause directe de l’événement redouté central. En règle générale, l’analyse de risques permet d’identifier des catégories d’évènements initiateurs qui reviennent de manière récurrente pour une installation donnée. A l’inverse, compte tenu du nombre élevé d’événements indésirables susceptibles de se produire, il est souvent difficile d’identifier, de manière complètement exhaustive, les causes possibles d’évènements initiateurs. 2- Événement Redouté Central (ERC) Un événement initiateur de l’accident peut conduire à l’Événement Redouté Central, noté ERC. L’événement redouté central correspond aux conséquences ultimes défaillance, qu’elle soit d’origine interne ou externe, affectant dangereux. Il se rapporte généralement à la perte de confinement dangereuse ou la perte d’intégrité physique de l’équipement ou dangereuse considérée .

d’une dérive ou un équipement d’une substance de la substance

11/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Il est ainsi possible de définir des évènements redoutés centraux par type d’équipements. A titre d’illustration, les évènements redoutés centraux pour les équipements suivants peuvent être : • • •

réservoir de stockage d’un produit toxique : fuite (ruine instantanée, rupture de canalisation,…) entrepôt de matières solides : départ d’incendie, réacteur chimique : éclatement du réacteur ou fuite d’une substance dangereuse (toxique, inflammable,…).

3- Arbre des événements L’événement redouté central peut se décliner en Événements Redoutés Secondaires (ERS) en fonction des caractéristiques de l’équipement et de la substance. Par exemple, pour une fuite de produit toxique, il s’agit de déterminer si cette dernière va conduire à la formation d’un nuage ou d’une flaque. Dans le cas d’un départ d’incendie dans un entrepôt, il s’agit de déterminer si l’incendie peut se généraliser ou non à la totalité de l’entrepôt. Un événement redouté secondaire peut à son tour conduire ou non, en fonction des barrières de protection mises en place, à un ou plusieurs Phénomènes Dangereux (Ph. D). Un Phénomène Dangereux désigne un phénomène physique susceptible d’entraîner une atteinte significative, immédiate ou différé, pour l’homme, l’environnement ou les structures. L’estimation des conséquences est effectuée à partir de la définition des Phénomènes Dangereux et l’événement majeur, noté EM sur la Figure 2, sera défini par l’exposition des personnes, de l’environnement ou des structures aux effets du phénomène dangereux. Nota : Si l’événement considéré est l’événement majeur EM, alors toutes les barrières deviennent des barrières de prévention (de cet événement majeur). Afin d’illustrer cette démarche, prenons l’exemple d’un réservoir de stockage de gaz inflammable liquéfié (GIL) à la température ambiante, sous sa pression de vapeur saturante. Il est alors possible de définir : • L’événement redouté central ERC, tel qu’une fuite de GIL ; • Les événements indésirables EI, qui aboutissent à l’événement redouté central peuvent être : une agression mécanique (collision par un véhicule, projectile industriel par effet domino), la rupture d’un piquage instrument par fatigue ou corrosion… ; • Les événements majeurs EM consécutifs à l’enchaînement d’événements redoutés succédant à l’événement redouté central sont constitués par exemple, d’une onde de pression susceptible d’affecter des personnes en cas d’une inflammation retardée du nuage de GIL, ou un feu torche générant des effets thermiques en cas d’inflammation rapide, ou bien encore un BLEVE générant des effets thermiques, des effets de pression et des effets missiles.

12/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

4- Barrières de défense ou de sécurité Le schéma permet d’introduire la notion de barrières de défense ou de sécurité. Une barrière de sécurité est constituée d’un équipement de sécurité ou d’une opération réalisée par un opérateur qui s’oppose à l’enchaînement d’événements susceptibles d’aboutir à l’accident. Les barrières de prévention agissent en vue de prévenir ou limiter l’occurrence de l’événement redouté, et les barrières de protection visent à diminuer les conséquences de l’événement redouté central par atténuation ou intervention. 2.1.3.2 NOTION D’ACCIDENT MAJEUR Dans le contexte de la réglementation des Installations Classées pour la Protection de l’Environnement, il peut être rappelé que l’accident majeur est un enchaînement d’événements qui aboutit à des conséquences qui portent gravement atteinte aux intérêts visés à l'article 1er de la loi du 19 juillet 1976. L’arrêté du 10 mai 2000 définit l’accident majeur. Cette définition, rappelée ci-dessous, est identique à celle mentionnée dans la directive 96/82/CE. Accident majeur : un événement tel qu'une émission, un incendie ou une explosion d'importance majeure résultant de développements incontrôlés survenus au cours de l'exploitation d'un établissement couvert par la directive, entraînant pour la santé humaine, à l'intérieur ou à l'extérieur de l'établissement, et/ou pour l'environnement un danger grave, immédiat ou différé, et faisant intervenir une ou plusieurs substances dangereuses. 2.1.3.3 SCENARIO D’ACCIDENT MAJEUR En définitive, dans le présent document, le scénario d’accident majeur est défini comme l’enchaînement d’événements indésirables, aboutissant à un événement redouté central conduisant à un accident majeur. On pourra par exemple se référer à la notion d’effets irréversibles pour la santé.

2.2 DEFINITIONS RELATIVES AUX ELEMENTS IPS Les différentes notions définies dans les précédents paragraphes permettent d’avancer une définition des éléments IPS et de préciser la signification des termes qui s’y rattachent. Pour être qualifié d’important pour la sécurité (IPS), un élément (opération ou équipement) doit être choisi parmi les barrières de défense destinées à prévenir l’occurrence ou à limiter les conséquences d’un événement redouté central susceptible de conduire à un accident majeur.

13/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

3 PRINCIPES DIRECTEURS POUR LA SELECTION DES ELEMENTS IPS L’objet de ce chapitre est de présenter les principes avancés par le groupe de travail constitué d’exploitants, d’inspecteurs des Installations Classées pour la Protection de l’Environnement et l’INERIS pour l’identification des éléments IPS. Le chapitre 4 suivant, consacré à la présentation de la démarche adoptée par l’INERIS pour l’identification des éléments IPS, reprendra de fait et détaillera les éléments décrits dans les paragraphes à venir.

3.1 IMPORTANCE DE L’ETUDE DE DANGERS Les éléments qualifiés d’IPS sont déterminés par l’exploitant dans le cadre de l’analyse des risques, menée généralement dans l’étude de dangers établie sous sa responsabilité. Dans l’étude de dangers, sont ainsi identifiés de manière synthétique les éléments IPS associés aux événements redoutés centraux susceptibles d’aboutir à des accidents majeurs. Les principes des actions à mener pour s’assurer que les éléments IPS permettront au mieux de remplir les fonctions importantes pour la sécurité sont également donnés dans l’étude de dangers. Les actions à mener sont définies en termes de test, de maintenance, de formation, etc. Ces actions entrent, le cas échéant, dans le Système de Gestion de la Sécurité (SGS), ou plus précisément dans des procédures gérées par ce SGS.

14/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

3.2 PROCESSUS DE DETERMINATION DES ELEMENTS IPS En complément des considérations développées ci-avant, un processus de détermination des IPS, issu des réflexions du groupe de travail, est proposé dans la Figure 3.

Etude des dangers Analyse des Risques

Scénarios Accident Majeur Maîtrise des Risques : Eléments IPS Attendus Efficacité & disponibilité Actions à mener Design, Formation, Tests, Maintenance... Figure 3 : Processus de détermination des EIPS Ainsi, l’analyse de risques, développée dans l’étude de dangers se trouve à la base de la détermination des éléments IPS. Elle permet en effet d’identifier des scénarios d’accident majeurs auxquels ces éléments sont associés. Les différentes étapes de ce processus ont été discutées par le groupe de travail du SPPPI PACA. Les résultats de cette approche consensuelle sont livrés dans les paragraphes suivants.

15/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

3.2.1

INERIS-DRA-2001-25427

IMPORTANCE DE L’ANALYSE DES RISQUES

Il y a eu un accord général sur le fait que c'est l'analyse des risques, partie de l'étude des dangers qui permet d'identifier les scénarios d’accident majeur auxquels sont associés des éléments IPS. Afin de choisir les éléments IPS, il convient, au cours de l’analyse de risques, de tenir compte entre autres : • • •

des conditions particulières d'exploitation : phase normale ou transitoire (arrêt, démarrage), de l’environnement immédiat de l'installation considéré (possibilité d’effets dominos…), de l’environnement général du site (cibles potentielles d’un accident majeur, agressions externes…).

3.2.2

FONCTIONS IPS

Au regard des scénarios d’accidents majeurs identifiés pour chaque équipement de process, les fonctions IPS ont pour objectif de prévenir et contrôler les dérives ou défaillances susceptibles de conduire à un accident majeur. Elles se traduisent généralement en terme d’actions à conduire. A titre d’exemple, une fonction IPS peut consister à prévenir la montée en pression au sein d’un réservoir. 3.2.3

DESIGNATION DES ELEMENTS IPS

Pour chaque type de dérive ou défaillance pouvant conduire à un événement majeur, les éléments de sécurité sont choisis, dans le cadre de l’étude de dangers, sous la responsabilité de l'exploitant. Parmi l’ensemble des barrières ainsi identifiées, certaines sont qualifiées d'IPS lorsqu’elles contribuent de manière prépondérante à assurer la fonction de sécurité qui s’oppose à un événement majeur. Il n’y a pas forcément unicité de l’élément IPS pour un scénario d’accident majeur donné. En d’autres termes, plusieurs éléments IPS peuvent contribuer à la maîtrise des risques pour un même scénario d’accident majeur. Ainsi, les choix des exploitants peuvent être différents pour une même installation selon le contexte d’exploitation. 3.2.4

ROLE DES ELEMENTS IPS : PREVENTION, PROTECTION, INTERVENTION

Les éléments IPS qui sont déterminés dans le cadre d'une analyse des risques d'origine interne, agissent principalement en prévention, contribuant à éviter l’occurrence de l’événement redouté et parfois en protection en vue de limiter les conséquences de l’événement redouté. La prévention peut prendre la forme de suivi de paramètres qui, en cas de dérive, pourraient aboutir à la perte du contrôle de l’installation et, in fine, à l’accident majeur.

16/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

L’analyse des risques d’origine externe vise généralement à étudier les causes et les conséquences des agressions externes sur les équipements (chocs, flux thermiques, ondes de pression…). Elle permet également de déterminer des éléments de prévention et de protection IPS ; elle est notamment pertinente pour la détermination des éléments d'intervention qui peuvent être qualifiés aussi d'IPS par l'exploitant. L’intervention consiste à limiter les conséquences de l’événement redouté par action humaine ou par la mise en œuvre de moyens d’intervention qui visent à soustraire les cibles aux effets d’un accident.

3.3 ATTENDUS DES ELEMENTS IPS ET ACTIONS A MENER Il est important de ne pas confondre la détermination des éléments IPS (EIPS) avec les attendus de ces éléments IPS. Au regard de l'analyse des risques, l'exploitant définit les attendus des EIPS et les actions à mener pour garantir leur bon fonctionnement en accord avec les attendus. La détermination des attendus des EIPS permet ensuite de définir des caractéristiques que devront remplir les éléments IPS. La détermination des attendus des EIPS passe au préalable par la définition d’objectifs de sécurité à réaliser compte tenu du contexte propre à chaque établissement. Ces objectifs sont généralement mis en lumière au moment de l’analyse de risques et de l’évaluation des conséquences des scénarios d’accident associés aux installations de l’établissement. Ils prennent ainsi en compte à la fois la dangerosité des installations mais également la vulnérabilité de son environnement. En définitive, la détermination d’objectifs de sécurité permet d’identifier les attendus des EIPS et les actions à mener, en adéquation avec le niveau de sécurité global requis pour l’établissement. 3.3.1

ELEMENTS DE DEFINITION

Le présent paragraphe a pour objet de donner des éléments de définitions utiles quant à la précision des attendus des éléments IPS. En général, les critères d’appréciation des éléments de sécurité peuvent se mesurer en termes d’efficacité et de disponibilité, deux caractéristiques prépondérantes et indissociables. Ces caractéristiques regroupent notamment les notions de : fiabilité, de rapidité de réponse…

17/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

3.3.1.1 EFFICACITE L’efficacité peut être définie comme la capacité d’un élément à réaliser correctement la tâche ou la fonction pour laquelle il a été choisi, lorsque les conditions de fonctionnement sont nominales. Il a été souligné que l’efficacité devrait être abordée avant la fiabilité. Pour atteindre l’efficacité requise, des éléments IPS peuvent être combinés entre eux (redondance) ou non : il n’y a pas de démarche systématique. 3.3.1.2 FIABILITE ET DISPONIBILITE La fiabilité correspond à l’aptitude d'une entité à accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné. La disponibilité, quant à elle, peut être définie comme l’aptitude d'une entité à être en état d'accomplir une fonction requise dans des conditions données à un instant donné, ou pendant un intervalle de temps donné, en supposant que les moyens nécessaires sont fournis. Ces deux définitions sont extraites de la norme CEI 61069 relative à l’évaluation de la sûreté de fonctionnement d’un système. Quelques éléments de définitions complémentaires, également issus de cette norme sont donnés en annexe 2 du présent document. La disponibilité et la fiabilité sur les équipements sont souvent difficiles à quantifier sur la base de données chiffrées. Afin de préciser ces deux notions, les représentants de l’industrie indiquent que la notion d’efficacité et de fiabilité est appréciée à travers les éléments présentés dans le document UIC DT 65, notamment : • • • • • •

Principe de concept éprouvé, Principe de sécurité positive, Principe de tolérance à la première défaillance, Principe de résistance aux contraintes spécifiques, Principe de testabilité, Principe d’inspection – Maintenance spécifique.

3.3.1.3 BARRIERES PASSIVES ET ACTIVES Par ailleurs, la notion de barrières passives ou actives est assez souvent utilisée, lorsqu’il s’agit de maîtrise des risques. Pour préciser ces termes, les définitions suivantes sont proposées : • Une barrière est active si elle nécessite une source d’énergie ou une sollicitation (action automatique ou manuelle) pour remplir sa fonction. • Une barrière est passive si elle n’a pas besoin de source d’énergie ou de sollicitation pour remplir sa fonction.

18/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

En général, une barrière passive est un élément de sécurité dont la disponibilité est, intuitivement, proche de la valeur 1. Néanmoins, il convient de préciser qu’une barrière passive peut également être indisponible ou défaillante. Deux exemples permettent d’illustrer cette remarque : • Une cuvette de rétention, barrière passive, ne remplira correctement sa fonction que si elle a été correctement conçue et si son étanchéité est maintenue dans le temps. • Un disque de rupture sur un réacteur, barrière passive, ne remplira correctement sa fonction que si l’exploitant s’assure qu’il n’y a pas de dépôts ou de bouchage qui risqueraient de modifier les conditions d’ouverture (augmentation de la pression d’ouverture). 3.3.2

ATTENDUS DES ELEMENTS IPS

3.3.2.1 ATTENDUS DES EQUIPEMENTS IPS L’efficacité doit être examinée prioritairement à toute autre considération dans la mesure où il convient de retenir les équipements dont la performance permet d’assurer au mieux la fonction importante pour la sécurité. Pour les équipements ou dispositifs sélectionnés en tant qu’Importants Pour la Sécurité sur la base de leur efficacité, le critère de disponibilité apparaît ensuite comme fondamental. Partant de ce principe, la fonction de sécurité du système devant rester disponible en cas de défaillance unique d’un des éléments assurant la fonction, le principe de sécurité positive ou la redondance peuvent être des moyens de garantir la fonction de sécurité. Le principe de sécurité positive permet en effet de garantir la fonction de sécurité en cas de manque en alimentation ou utilités (électricité, air comprimé…) de l’équipement considéré. Cet état est représentatif d’un arrêt de production ou d’opérations, qui, le plus souvent, correspond à la mise en sécurité des installations. Il semble souvent difficile de déterminer des critères génériques d’efficacité et de disponibilité de manière systématique. Pour contourner cette difficulté, il peut être envisagé de se référer à la notion de concept éprouvé qui renvoie au retour d’expérience acquis dans l’industrie pour des dispositifs employés avec des produits donnés, dans un environnement donné. Si cette option est retenue, le principe de concept éprouvé devra néanmoins, dans chaque détermination d’éléments IPS, être argumenté à partir du retour d’expérience, de données de fiabilité ou de références à des standards.

19/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Sur la base de l’annexe du document UIC DT 65 mentionné, d’autres critères permettant de caractériser les attendus des éléments IPS ont été évoqués dans le groupe de travail de manière non exhaustive. Sont livrés ci-après les commentaires recueillis : • Testabilité En ce qui concerne la testabilité, il convient de privilégier le test de la chaîne complète des équipements de sécurité (détecteur, transmetteur, automate, actionneur..) et de préférence in situ. Si des équipements ne sont pas testables, il convient alors de rassembler des informations provenant des constructeurs pour évaluer leur fiabilité. • Maintenance – disponibilité Si des éléments IPS sont en maintenance ou non disponibles, l’exploitant doit avoir prévu le mode de fonctionnement dégradé. Il peut soit, préciser quels sont les éléments qui se substituent aux éléments IPS prévus initialement (autres équipements ou tâches particulières), ou bien il peut définir un mode de fonctionnement de repli sûr. Dans le cadre d’une installation nouvelle, il convient de prendre en compte dès la conception l’efficacité et la fiabilité des éléments IPS, ainsi que les actions à mener. 3.3.2.2 ATTENDUS DES OPERATIONS IPS De la même manière que pour les équipements IPS, les attendus d’opérations IPS devraient être spécifiés, en utilisant les notions d’efficacité et de disponibilité. Ce point n’a pas été traité en détail dans ce groupe de travail. Des réflexions sont actuellement en cours pour déterminer les attendus des opérations qualifiées d’IPS. 3.3.3

GESTION DES IPS

Les attendus relatifs aux éléments IPS sont généralement traduits en terme de caractéristiques de conception, d’exploitation, de maintenance, de contrôle… qui constituent des actions à mener par l’exploitant. L'objectif final est d'assurer un niveau d’efficacité et de fiabilité des éléments IPS proportionné au risque d’accident majeur. Certains éléments IPS font l'objet d'un suivi particulier en application de règlements spécifiques. L'exploitant pourra, s’il le juge nécessaire au regard de l'analyse des risques, engager des actions plus drastiques que celles exigées par l'application de la réglementation au sens strict, selon des exigences (spécifications) qui lui sont propres. Généralement, pour les équipements, les actions à mener peuvent se décliner en : 1. Définition d'exigences, sur les caractéristiques intrinsèques des éléments, 2. Plan de maintenance, 3. Plan de contrôle et de tests périodiques.

20/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Le parallèle peut être fait sur les opérations importantes pour la sécurité : 1. Définition d'exigences, sur les tâches à réaliser : aptitudes et compétences, 2. Définition des rôles et des attributions, 3. Modes opératoires, 4. Plan de formation, exercices. Les actions à mener sont résumées dans l’étude de dangers et le cas échéant définies dans le cadre du Système de Gestion de la Sécurité ou tout autre politique de prévention des accidents majeurs. 3.3.4

LIENS ENTRE IPS ET SGS

Il existe une articulation entre, d’une part, l’identification et les actions sur les éléments IPS, et d’autre part, le Système de Gestion de la Sécurité (SGS). D’emblée, le groupe de travail du SPPPI a considéré que le SGS doit comporter, en particulier, une identification formelle des éléments importants pour la sécurité et une description formelle de ce qui est mis en œuvre pour son application. Le traitement des éléments IPS devrait être décliné dans le SGS au niveau du chapitre Maîtrise des procédés, maîtrise de l’exploitation de l’annexe III à l’arrêté du 10 mai. La procédure de gestion des modifications du SGS doit prendre en compte la notion d’IPS. Plus précisément, une modification sur les installations ou sur l’organisation des opérations menées dans une installation peut conduire à la mise à jour de la liste des éléments IPS. Enfin, le SGS doit permettre de vérifier que les éléments IPS choisis répondent aux attendus. Aussi, une fois les éléments IPS déterminés, si un système de gestion de la sécurité existe et fonctionne correctement (selon des critères d’évaluation à définir), alors il pourrait être tenu compte dans le choix de scénarios d’évaluation du risque résiduel des mesures de prévention organisationnelles et techniques spécifiques prises par un industriel. Ce processus est représenté dans la Figure 4 suivante.

21/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Processus d’ Évaluation des Risques Résiduels

Combinaison d’ Éléments IPS Identification Description

Détermination des risques

Scénario Équipement

Opération

Attendus efficacité & disponibilité

Attendus efficacité & disponibilité

des fonctions fonctionnelle

d’ accidents IPS majeurs

d’ Évaluation des risques résiduels

Tâches organisationnelles

ORGANISATION Attendus efficacité & disponibilité

Figure 4 : Processus d’évaluation des risques résiduels En résumé, l’analyse de risques permet d’identifier des scénarios d’accident majeur auxquels sont associés certaines barrières de sécurité, pouvant être qualifiées d’IPS. Ces barrières, pouvant être des équipements ou des opérations devront assurer les fonctions de sécurité retenues avec une certaine efficacité et disponibilité. La garantie et la qualité de ces attendus font l’objet de tâches organisationnelles au sein de l’établissement et le cas échéant sont décrites dans un Système de Gestion de la Sécurité. En définitive, si l’ensemble de cette chaîne est évalué avec succès, il est raisonnable de procéder à l’évaluation des conséquences de scénarios d’accident prenant en compte le bénéfice apporté notamment par les éléments Importants Pour la Sécurité (scénarios d’évaluation des risques résiduels).

22/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

4 DEMARCHE ADOPTEE PAR L’INERIS POUR LA DETERMINATION DES ELEMENTS IPS Les précédents chapitres ont présenté les réflexions menées par le groupe de travail du SPPPI PACA auxquelles l’INERIS, qui a participé à ces travaux, souscrit naturellement. L’objet du présent chapitre est de présenter la démarche adoptée par l’INERIS pour la détermination d’éléments Importants Pour la Sécurité dans le cadre d’études de dangers ou d’analyses critiques d’études de dangers. Cette démarche rentre de fait en adéquation avec les principes directeurs présentés ci-avant.

4.1 DETERMINATION DES ELEMENTS IPS DANS L’ETUDE DE DANGERS 4.1.1

RAPPELS

Dans le cas d’installations soumises à autorisation, l’exploitant doit apporter la démonstration, dans l’étude de dangers qui est réalisée sous sa responsabilité, qu’il a identifié les risques générés par ses activités et qu’il les maîtrise compte tenu notamment de son environnement. Cette maîtrise des risques passe entre autres par l’identification de barrières de sécurité susceptibles de prévenir l’occurrence d’un événement redouté ou de limiter les conséquences d’un accident majeur. Parmi ces barrières, l’exploitant doit ainsi retenir un certain nombre d’éléments, que ce soit des équipements ou des opérations, qu’il choisit de qualifier d’Importants Pour la Sécurité (IPS). Dès lors, il est clair que la sélection d’éléments IPS ne revêt pas un caractère systématique. En d’autres termes, il n’est pas exclu que pour deux installations similaires, les listes d’éléments IPS soient différentes. En effet, le choix de retenir un élément comme Important Pour la Sécurité pourra dépendre par exemple de l’environnement du site et de la stratégie prônée en matière de sécurité par l’exploitant. Néanmoins, il convient de rappeler que les éléments IPS doivent être associés à des scénarios d’accident majeur, identifiés au cours de l’analyse de risques développée dans l’étude de dangers. De plus, il est clair que les mesures prises pour garantir le bon fonctionnement (efficacité) des éléments identifiés IPS doivent pouvoir être vérifiées par l’administration, notamment lors des inspections. C’est pourquoi, l’identification des éléments IPS doit être formalisée dans l’étude de dangers. Enfin, il revient à l’exploitant de définir les attendus de ses éléments IPS en terme d’efficacité et de disponibilité, dans la mesure où il connaît le mieux ses installations.

23/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

4.1.2

INERIS-DRA-2001-25427

DEMARCHE ADOPTEE PAR L’INERIS

La démarche adoptée par l’INERIS afin de déterminer les éléments IPS est présentée de manière schématique dans la Figure 5. Cette démarche apparaît comme cohérente avec les principes énoncés par le groupe de travail du SPPPI de la région PACA. Identification des dangers & Analyse des Risques

Analyse d’accidents Risques origine interne Risques origine externe

Liste des événements redoutés

Approche nœud papillon

Hiérarchisation selon Gravité / Fréquence Identification des Scénarios d’Accident Majeur

Hiérarchisation selon la gravité Prévention

Identification des Fonctions IPS

Protection Equipements

Choix des Elements IPS

Opérations

Figure 5 : L’identification des fonctions et des éléments IPS dans les études de dangers En résumé, la détermination des éléments IPS se fonde avant tout sur l’analyse de risques qui permet, en outre, de distinguer les scénarios d’accident majeur. Pour chacun de ces scénarios, il convient ensuite d’identifier des fonctions de sécurité à assurer en vue de prévenir l’occurrence d’un accident majeur ou d’en limiter ses conséquences. Parmi les barrières de sécurité susceptibles de remplir ses fonctions, l’exploitant peut retenir certains éléments qui seront qualifiés d’IPS, en fonction par exemple des contraintes liées à l’environnement du site et à sa stratégie de réduction du risque. Ces différentes étapes sont détaillées dans les paragraphes suivants.

24/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

4.1.2.1 IDENTIFICATION DES DANGERS L’objet de ce document n’est pas de détailler le processus global d’analyse de risques devant être développé dans une étude de dangers. Pour plus de précision, le lecteur pourra se reporter au document « Outils systématiques d’analyse de risques » édité par l’INERIS (référence). Néanmoins, pour plus de clarté, le parti a été pris de rappeler, dans les grandes lignes, les principaux concepts de l’analyse de risques. L’analyse de risques, développée dans l’étude de dangers, permet d’une part d’identifier les dangers associés à l’installation étudiée et d’autre part de recenser les barrières de sécurité existantes ou pouvant être envisagées relativement à ces dangers. Elle s’appuie principalement sur : • •



l’analyse des accidents passés sur l’installation objet de l’étude ou sur des installations similaires, l’étude des agressions externes susceptibles de porter atteinte à l’intégrité des installations considérées. Ces agressions externes peuvent être d’origine naturelle : séisme, foudre, inondations, intempéries…Elles peuvent également être liées à l’activité humaine : présence d’autres installations industrielles à risque dans l’environnement du site, voies de communication à proximité (voies ferrées, couloir aérien…) l’analyse des défaillances d’origine interne. Pour ce faire, l’utilisation d’outils systématiques d’analyses de risques, tels que l’HAZOP, l’AMDEC ou l’Analyse Préliminaire de Risque (APR) peut être préconisée.

De plus, l’analyse de risques doit envisager les différentes phases d’exploitation (normale, arrêt, démarrage) et mettre en lumière, le cas échéant, les plages de fonctionnement normales de l’installation ainsi que les plages d’alerte et de danger. En définitive, cette phase permet de lister, pour chaque équipement de process, les évènements redoutés ainsi que les causes, les conséquences et les barrières de sécurité qui leur sont associés. L’approche « nœud papillon », présentée au chapitre 2 de ce document permet, le cas échéant, de synthétiser les informations issues de cette analyse et de positionner les barrières de sécurité identifiées par rapport à l’enchaînement d’évènements pouvant conduire à un accident. 4.1.2.2 HIERARCHISATION DES EVENEMENTS REDOUTES En pratique, les évènements redoutés ainsi identifiés au cours de l’analyse de risques représentent un volume d’informations conséquent et souvent non homogène. Il apparaît donc indispensable de hiérarchiser ces évènements en vue de porter les efforts en priorité sur les risques jugés les plus importants. Cette hiérarchisation peut s’effectuer, au cours du processus d’identification des dangers, en attribuant une note à chaque événement en fonction de sa probabilité d’occurrence et de sa gravité (ou sévérité). Cette cotation est effectuée par l’exploitant, dans la mesure où ce dernier connaît le mieux ses installations.

25/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

A titre d’illustration, un exemple de cotation en gravité est présenté ci-dessous

Tableau 1 : Exemple de cotation en gravité 4.1.2.3 SELECTION DES SCENARIOS D’ACCIDENT MAJEUR La phase d’identification et de hiérarchisation des évènements redoutés permet de mettre en lumière les enchaînements d’évènements susceptibles de conduire à un accident majeur, soit à un accident entraînant des effets graves, immédiats ou différés pour la santé de l’homme ou pour l’environnement au-delà des limites du site. Les scénarios d’accident majeur concernent ainsi généralement les évènements dont la gravité (relativement à l’environnement) a été jugée la plus élevée dans l’analyse de risque. Vis-à-vis de ces scénarios d’accident, l’analyse de risque a également permis d’identifier les barrières de sécurité susceptibles de prévenir l’occurrence de l’accident majeur ou d’en limiter ses effets. 4.1.2.4 DEFINITION DES FONCTIONS IMPORTANTES POUR LA SECURITE Une fonction Importante pour la Sécurité traduit une action à réaliser pour maîtriser au mieux le risque d’accident majeur. Elle peut se décliner selon qu’elle vise à : • • •

Prévenir l’occurrence d’un événement redouté (prévention), Limiter les conséquences d’un événement redouté (protection), Eventuellement, contrôler une situation dégradée (intervention).

Ainsi, pour chacun des scénarios d’accident majeur identifié, il convient de définir les fonctions IPS à assurer. A titre d’exemple, dans le cas du dépotage d’un camion citerne de liquide inflammable, une fonction de sécurité à envisager pourrait être : « Prévenir la déconnexion en cours de dépotage ».

26/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Ces fonctions sont liées aux procédés et opérations mis en œuvre, et dépendent donc de l’installation et de son exploitation. Il convient de noter que plusieurs fonctions peuvent se rapporter à un même événement redouté, en particulier si cet événement est consécutif à la combinaison de plusieurs événements indésirables. Il n’y a donc pas unicité des fonctions de sécurité pour un événement redouté donné. Au contraire, il est judicieux, dans la mesure du possible, d’identifier, pour un même scénario d’accident majeur, des fonctions IPS de prévention et de protection. En effet, l’analyse de risques ne permettant pas d’assurer l’exhaustivité des évènements redoutés envisagés, il est important de disposer de moyens de protection susceptibles de limiter les conséquences d’un accident quelle qu’en soit la cause. Par ailleurs, il semble naturel, du point de vue de la maîtrise des risques, de s’attacher à prévenir un accident majeur. 4.1.2.5 SELECTION DES ELEMENTS IPS Pour chacune des fonctions de sécurité identifiées, il s’agit alors de dresser la liste des barrières de sécurité pouvant remplir a priori la fonction considérée. Ces barrières peuvent être des équipements ou des opérations à réaliser. Elles auront été listées ou seront éventuellement proposées lors de la phase d’analyse de risques. L’exploitant a alors la responsabilité de retenir, parmi ces barrières, les éléments qui seront qualifiés d’Importants Pour la Sécurité. Comme précisé au paragraphe 4.1.1, il n’existe pas à ce niveau de démarche systématique pour le choix des éléments IPS. En effet, ce choix dépend notamment des contraintes liées à l’environnement du site et à la stratégie prônée par l’exploitant en matière de sécurité. En définitive, la définition des éléments IPS découle d’un processus issu de l’analyse de risques. Elle est donc propre à chaque établissement et ne saurait être menée de manière forfaitaire. 4.1.3

EXEMPLE D’APPLICATION DE LA DEMARCHE

L’objet de ce paragraphe est d’illustrer grâce à un cas pratique la démarche adoptée par l’INERIS pour l’identification d’éléments IPS dans une étude de dangers. Il est entendu que le cas fictif considéré ici n’a d’autres valeurs que celle d’exemple. Le cas de figure retenu ici concerne un site comportant notamment un réservoir d’essence. Dans ce cas particulier, il est supposé que l’analyse de risques, menée notamment grâce à une Analyse Préliminaire des Risques au sein d’un groupe de travail, a permis entre autres d’identifier comme événement redouté l’épandage d’essence suite à un surremplissage du réservoir. En outre, cette démarche a mis en lumière les sécurités existantes, présentées dans le Tableau 2 à suivre.

27/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427



Equipements ou opération

Situation de danger

Causes

Conséquence s

Sécurités existantes

Gravité















20

Réservoir d’essence

Prévention : Procédures pour les opérations de transfert de produits (dépotage,…)

4

Fuite Surremplissage Feu de nappe d’essence Explosion d’un nuage de vapeurs Pollution

Jauge permettant une lecture locale du niveau Mesure du niveau d’exploitation avec alarme sonore et visuelle en salle de contrôle Alarme de niveau haut sonore et visuelle en salle de contrôle Alarme de niveau très haut avec fermeture asservie des vannes de sectionnement automatiques et des vannes d’entrée des bacs Protection : Cuvette de rétention Couronnes d’arrosage mixte (eau, émulseur)















Tableau 2 : Extrait d’une Analyse Préliminaire des Risques relative à l’exemple fictif d’un réservoir d’essence L’événement redouté ainsi identifié est côté par le groupe de travail en gravité maximale (4 sur une échelle de 1 à 4 dans l’exemple considéré) compte tenu des conséquences possibles sur l’intégrité physique des personnes à l’extérieur de l’établissement. Encore une fois, il s’agit d’un exemple fictif ; la cotation en gravité est bien entendu fonction notamment de l’environnement du site étudié. Cet événement conduit donc à considérer un scénario d’accident majeur et de fait il est nécessaire d’y associer des fonctions Importantes Pour la Sécurité à la fois en prévention et protection. Par exemple, les fonctions IPS associées à ce scénario pourraient être : • •

Prévenir l’épandage d’hydrocarbures suite à un surremplissage, Limiter les conséquences d’un épandage d’hydrocarbures

28/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Les barrières susceptibles d’assurer ces fonctions ont été mises en lumière ou proposées notamment lors de l’analyse préliminaire des risques. Reste enfin à déterminer, parmi ces barrières, les équipements ou les opérations qui pourraient être retenues en tant qu’IPS par l’exploitant. A titre d’exemple, l’exploitant pourrait retenir, relativement à ce scénario d’accident majeur, les éléments IPS présentés dans les tableaux à suivre. Fonction de sécurité IPS

Prévenir l’épandage d’hydrocarbures suite à un surremplissage

Équipement ou tâche I.P.S.

Procédures pour les opérations de transfert de produit Alarme de niveau très haut • Alarme sonore en salle d’exploitation • Sur franchissement, fermeture des vannes de sectionnement automatiques et des vannes d’entrée des bacs

Exemples d’actions à mener

Maintenance préventive de l’alarme de niveau très haut • Procédure d’entretien et de vérification régulière à formaliser.

Fonction de sécurité IPS

Limiter les conséquences d’un épandage d’hydrocarbures

Équipement ou tâche I.P.S.

Cuvette de rétention Réseau d’extinction (couronnes d’arrosage mixte)

Exemples d’actions à mener

Procédure d’entretien de la cuvette et du réseau d’extinction

Il est rappelé que l’exemple traité ci-dessus n’a d’autre but que celui d’illustrer la démarche présentée dans les paragraphes précédents. Il est évident que ce cas fictif ne peut être considéré comme représentatif pour des installations similaires dans la mesure où : − L’identification des éléments IPS découle d’un processus d’analyse de risques complet, propre à chaque installation, − La détermination des éléments IPS est effectuée sous la responsabilité de l’exploitant.

29/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

4.1.4

INERIS-DRA-2001-25427

ATTENDUS DES IPS

L’exploitant a la responsabilité de retenir les éléments qui seront qualifiés d’IPS, dans la mesure où il connaît le mieux ses installations. Il définit ses exigences sur ces barrières en terme d’efficacité, de disponibilité ou de sûreté. Il convient également de proportionner les exigences sur les éléments IPS au danger (conséquences potentielles des scénarios d’accident majeur). A ce titre, il peut être pertinent d’évaluer les qualités des barrières de sécurité en utilisant des normes et référentiels d’évaluation tels que les normes IEC 61508 « Sécurité fonctionnelle des systèmes de sécurités électriques / électroniques / électroniques programmables »et IEC 61511 « Sécurité fonctionnelle : systèmes instrumentés de sécurité pour le secteur des industries de transformation ». Si des barrières de sécurité ne permettent pas d’atteindre le niveau d’efficacité ou de disponibilité ou de sûreté requis pour assurer la fonction de sécurité, la redondance des éléments peut être envisagée. Toutefois, cette dernière ne doit pas être exigée de manière systématique. En effet, du matériel sophistiqué peut avoir de meilleures performances que 2 équipements placés en redondance. Enfin, l’exploitant décrit les actions prévues dans le cadre du Système de Gestion de la Sécurité ou de tout autre système d’organisation de la sécurité (pour les établissements ne devant pas réglementairement formaliser un SGS), pour assurer que les exigences en matière d’éléments IPS soient assurées.

4.2 TIERCE EXPERTISE ET ELEMENTS IPS Comme rappelé préalablement à de multiples occasions, il revient à l’exploitant de choisir les éléments qu’il qualifie d’Importants Pour la Sécurité. De ce fait, dans une démarche de tierce expertise telle que l’analyse critique d’une étude de dangers, il n’est souvent pas possible de se prononcer directement sur les éléments IPS retenus. Ce choix résulte en effet d’une réflexion propre à l’exploitant, prenant en compte des contraintes liées à l’environnement, à la stratégie de maîtrise des risques spécifiques au site. Aussi, plutôt que d’émettre un avis sur les éléments IPS eux-mêmes, l’INERIS analyse la démarche qui a conduit à leur identification.

30/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Cette analyse consiste alors essentiellement à : 1)

Décrire et commenter la définition retenue dans l’étude de dangers quant aux fonctions et éléments IPS. A savoir par exemple : La notion d’élément IPS regroupe-t-elle à la fois des équipements et des opérations ? Un élément IPS est-il considéré comme une barrière vis-à-vis d’un accident majeur ?

2)

Vérifier la cohérence entre l’analyse de risques menée dans l’étude de dangers et la sélection des éléments IPS et notamment : Les éléments retenus comme IPS sont-ils effectivement des barrières vis-à-vis des scénarios d’accident majeur identifiés dans l’étude de dangers ? Des éléments IPS ont-ils été identifiés pour chacun des scénarios d’accidents majeurs considérés ? Pour un même scénario d’accident majeur, des éléments portant sur la prévention et des éléments portant sur la protection ont-ils été retenus ?

3)

S’assurer que l’ensemble des scénarios d’accident majeur envisageables a bien été identifié suite à l’analyse de risques dans l’étude de dangers. Si tel n’est pas le cas, il y a lieu de déterminer si de nouvelles fonctions de sécurité doivent être envisagées.

Dans tous les cas, il convient de souligner qu’il revient à l’exploitant et non au tiers expert de déterminer les éléments qui seront qualifiés d’IPS

31/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

5 CONCLUSION L’objectif de l’identification des paramètres et des éléments importants pour la sécurité (IPS) est de déterminer les éléments de sécurité qui ont un rôle prépondérant (sur l’ensemble des éléments de sécurité) pour la prévention des accidents majeurs potentiels identifiés dans le cadre d’une analyse des risques. Le présent rapport précise les notions de paramètres et d’éléments (IPS) en se basant sur les travaux d’un groupe de travail mené dans le cadre du SPPPI PACA et sur l’expérience de l’INERIS. Ainsi, il convient de retenir que les éléments IPS peuvent être des équipements ou des opérations choisies par l’exploitant parmi l’ensemble des éléments de sécurité présents sur le site, en vue de prévenir l’occurrence ou de limiter les conséquences d’un accident majeur. L’INERIS propose un processus de détermination des éléments IPS en liaison directe avec l’analyse des risques. Cette dernière permet en effet d’identifier les scénarios d’accident majeur à considérer dans le cadre par exemple d’une étude de dangers et de lister les barrières de sécurités existantes ou à envisager. Vis-à-vis de ces scénarios d’accident majeur, il convient alors d’identifier des fonctions de sécurité permettant de maîtriser les risques. Les éléments IPS seront alors retenus par l’exploitant parmi les barrières susceptibles de remplir ces fonctions. Dans la mesure du possible, il est préférable, pour chacun des scénarios envisagés, de considérer des éléments portant sur la prévention et la protection. Enfin, la détermination des éléments IPS découle d’un processus d’analyse propre à chaque établissement et ne peut être effectuée de manière générique. Ce document présente également le lien entre les barrières de sécurité IPS et le système de gestion de la sécurité, lien qui peut être vérifié par l’administration, notamment lors des inspections. Ce travail demeure une contribution à une problématique complexe. Il est souhaitable que les enseignements tirés des applications de cette réflexion contribuent à préciser la démarche. Il convient d’être vigilant sur le fait que cette approche ne se limite pas à un exercice réglementaire mais participe à une meilleure gestion des risques par les industriels et un meilleur contrôle par l’inspection des installations classées.

32/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

6 GLOSSAIRE AMDEC :

Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité

APR :

Analyse Préliminaire des Risques

ARIA :

Analyse, Recherche et Information sur les Accidents

BARPI :

Bureau d’Analyse des Risques et Pollutions Industrielles

BLEVE :

Boiling Liquid Expanding Vapour Explosion

EI :

Evènement Initiateur

EM :

Evènement Majeur

ER :

Evènement Redouté

ERC :

Evènement Redouté Central

ERS :

Evènement Redouté Secondaire

EIn :

Evènement Initiateur

GIL :

Gaz Inflammable Liquéfié

GNL :

Gaz Naturel Liquéfié

GPL :

Gaz de Pétrole Liquéfié

HAZOP :

HAZard OPerability

IPS :

Important pour la Sécurité

MATE :

Ministère de l’Aménagement du Territoire et de l’Environnement

NIST :

National Institute of Standards and Technology

PACA:Provence Alpes Côte d’Azur RIA :

Robinet d’Incendie Armé

SGS :

Système de Gestion de la Sécurité

SPPPI :

Secrétariat Permanent de Prévention des Pollutions Industrielles

TNO :

The Netherlands Organization of Applied Scientific Research

UIC:

Union des Industries Chimiques

33/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

7 BIBLIOGRAPHIE 1-

Guide méthodologique : Etude des dangers d’une installation industrielle, du Ministère de l’Environnement (DPPR)

2-

Eléments « Importants pour la Sécurité » (IPS) – Définitions – Exemples, Document Technique DT 65 (1999) Union des Industries Chimiques (UIC)

3-

Les Risques – Synthèse des travaux du groupe de travail IPS, SPPPI, Décembre 2000

4-

Sûreté fonctionnelle des systèmes dédiés à la sécurité, E. FAE, J-L DURKA, INERIS, 2000

5-

Conception et évaluation de la sécurité fonctionnelle des systèmes instrumentés de process industriels, E. FAE, J-L DURKA, INERIS, 2000

6-

Norme IEC 61508 : Sécurité fonctionnelle des systèmes de sécurités électriques / électroniques / électroniques programmables relatifs à la sécurité

7-

Norme IEC 61511 : Sécurité fonctionnelle : systèmes instrumentés de sécurité pour le secteur des industries de transformation

8-

Norme CEI 61069 : Evaluation de la sûreté de fonctionnement d'un système

34/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

8 LISTE DES ANNEXES

Repère

Désignation précise

Nb pages

Annexe 1

Liste des textes traitant de la notion d’IPS

1

Annexe 2

Quelques éléments issus de la norme CEI 61069 Evaluation de la sûreté de fonctionnement d'un système

2

35/36 Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS – VERSION PROJET

INERIS-DRA-2001-25427

Annexe 1 : Liste des textes traitant de la notion d’IPS

ELEMENTS IPS

INERIS-DRA-2001-25427eipsweb2.doc

ANNEXE 1 : LISTE DES TEXTES TRAITANT DE LA NOTION D’IPS La notion d’équipements et de paramètres IPS est apparue ces 10 dernières années, dans différents ouvrages et documents, traitant notamment des démarches de réduction des risques majeurs. La liste des textes qui évoquent la notion d’équipements et paramètres IPS est présentée cidessous. [1] 1992 : Document du Ministère de l’Environnement (octobre 1992) : Liste des questions à se poser pour l’évaluation des études d’impact et des études de dangers [2] 1995 : Guide méthodologique : Etude des dangers d’une installation industrielle, du Ministère de l’Environnement (DPPR) [3] 1996 : La Directive 96/82/CE du Conseil du 9 décembre 1996 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses, notamment son Annexe II [4] 1996 : Retour d’expériences chimie fine – Recommandations, Elaboré par le Groupe de travail Chimie Fine, Edité par le Ministère de l’Environnement (DPPR-SEI). [5] 1996 : Le guide d’étude des risques technologiques de l’AFF : Installations frigorifiques fonctionnant à l’ammoniac, notamment la Partie 2 Chapitre 8 : Equipements et paramètres importants pour la sécurité [6] 1997 : L’arrêté du 23 juillet 1997 relatif aux stockages de chlore gazeux liquéfié sous pression lorsque la quantité totale susceptible d'être présente dans l'installation est supérieure ou égale à 18 tonnes (JO du 25 novembre 1997), notamment le Titre V Organisation de la sécurité, Chapitre 1er Dispositions en matière de sécurité [7] 1997 : L’arrêté du 16 juillet 1997 relatif aux installations de réfrigération employant l'ammoniac comme fluide frigorigène, notamment le Titre VIII Risques industriels lors d'un dysfonctionnement de l'installation, article Equipements et paramètres de fonctionnement importants pour la sécurité. [8] 2000 : Arrêté du 10 mai 2000 et circulaire du 10 mai relatif à la prévention des accidents majeurs impliquant des substances ou des préparations dangereuses présentes dans certaines catégories d’installations classées pour la protection de l’environnement soumis à autorisation. (Arrêté transposant pour partie la directive 96/82/CE susmentionnée)

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ELEMENTS IPS

INERIS-DRA-2001-25427eipsweb2.doc

Annexe 2 : Quelques éléments issus de la norme CEI 61069 Evaluation de la sûreté de fonctionnement d'un système

ANNEXE 2 : QUELQUES ELEMENTS ISSUS DE LA NORME CEI 61069 EVALUATION DE LA SURETE DE FONCTIONNEMENT D'UN SYSTEME Evaluation d'un système : jugement basé sur des éléments concrets, de la bonne aptitude du système à remplir une mission spécifique ou une classe de mission.

Mission d'un système : ensemble de l'activité assignée au système pour atteindre un but défini, dans un temps et sous des conditions définis.

Sûreté de fonctionnement : mesure dans laquelle on peut se fier au système pour qu'il exécute exclusivement et correctement une tâche dans des conditions données, à un instant donné ou pendant un intervalle de temps donné, en supposant que la fourniture des moyens nécessaires est assurée. La sûreté de fonctionnement comprend :



l'intégrité : assurance fournie par un système que les tâches seront accomplies correctement à moins que le système ne prévienne que l'un quelconque de ses états pourrait conduire à une situation contraire,



la sûreté : assurance fournie par un système de sa capacité à refuser toute entrée incorrecte ou tout accès non autorisé,



la fiabilité : aptitude d'une entité à accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné,



la maintenabilité : dans des conditions données d'utilisation, aptitude d'une entité à être maintenue ou rétablie dans un état dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données, avec des procédures et des moyens prescrits,



la disponibilité : aptitude d'une entité à être en état d'accomplir une fonction requise dans des conditions données à un instant donné, ou pendant un intervalle de temps donné, en supposant que les moyens nécessaires sont fournis,



la crédibilité : mesure dans laquelle un système est capable de reconnaître et signaler son état et de résister à des entrées incorrectes ou des accès non autorisés.

Pour qu'un système soit sûr en ce qui concerne son fonctionnement, il est nécessaire qu'il soit prêt à accomplir ses fonctions. C'est une question de disponibilité du système qui dépend de la fréquence de défaillance du système (fiabilité) et du temps nécessaire à maintenir ou restaurer le système (maintenabilité). Dans la pratique, la disponibilité dépend des procédures suivies et des moyens disponibles pour maintenir le système.

ELEMENTS IPS

INERIS-DRA-2001-25427eipsweb2.doc

Toutefois, quand le système est prêt à accomplir ses fonctions, cela ne signifie pas qu'ils accomplissent ces fonctions correctement. C'est une question de crédibilité qui dépend de la capacité du système à émettre une alarme s'il passe dans un état où il n'est plus capable d'accomplir correctement tout ou partie de ses fonctions (intégrité) et de la capacité du système à rejeter toute entrée incorrecte ou accès non autorisés (sûreté). La figure suivante indique les relations entre la sûreté de fonctionnement et ses composantes.

Sûreté de fonctionnement Disponibilité Fiabilité

Maintenabilité

Crédibilité Intégrité

Sûreté

Relation et hiérarchie en matière de sûreté de fonctionnement

Par conséquent, la sûreté de fonctionnement ne peut pas être évaluée directement, il est nécessaire d'évaluer individuellement chacune des propriétés composantes. La sûreté de fonctionnement ne peut être décrite par un seul nombre. Certaines de ces composantes peuvent être exprimées sous forme de probabilités, d'autres composantes sont déterministes avec certains aspects qui peuvent être quantifiés, d'autres aspects ne peuvent qu'être décrits de manière qualitative.

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF