L'analyse préliminaire des risques vise deux objectifs:
-
identifier le plus tôt possible dans le projet les risques potentiels
pouvant être généré et mettre en place les barrières et compensations
nécessaires.
- dresser la liste la plus exhaustive possible
des scénarios d'incidents pouvant conduire à un évènement indésirable,
pour amener le risque global à un niveau acceptable;
Les scénarios doivent pouvoir être décrit sous la forme d'un tableau tel que ci-dessous:
| ID | Cause | Conséquence | Evènement
redouté | Barrières
Compensations |
|---|
| Défaillance de la régulation de pression | Augmentation de la pression au dela de la pression de calcul | - Rupture
- Perte de confinement
- Pollution
- Explosion | - Alarme de pression haute
- Soupape |
| | | | |
| | | | |
Checklist
Les
checklists sont principalement utilisées par les activités couvertes
par des codes, des normes ou des recueils de bonnes pratiques.
La
checklist est constituée en prenant les recommandations de la norme ou
guide de bonne pratique de référence et en les transformant en
questions à l'utilisateur pour qu'il vérifie si la recommandation a été
suivie. La réponse doit alors être "oui", "non" ou "non applicable".
Exemple pour un compresseur:
Le
circuit de refoulement est-il calculé pour supporter la pression
maximum d'aspiration augmentée du relevage à débit nul du compresseur?
Les
questions sont souvent rédigées de telle manière qu'une réponse
négative signifie que quelque chose à été oublié ou doit être vérifié.
Cette
procédure peut être appliquée très tôt dans le processus de conception.
Si une checklist est disponible, nul besoin de réunir un groupe de
travail pour la mettre en oeuvre. Elle peut être utilisée par une
personne seule. Si elle sera sans doute de peu d'utilité pour un
ingénieur expérimenté, elle évitera bien des oublis à une personne
travaillant sur un sujet qu'elle maitrise mal.
L'efficacité
de la méthode dépend de l'expertise de la personne qui a réalisé la
liste. Si tel ou tel item n'est pas couvert, le danger potentiel ne
sera pas identifié. C'est pourquoi cette méthode doit être considérée
comme un guide minimum pour le concepteur et toujours complétée par une
analyse systématique en groupe de travail en utilisant une des autres
méthodes décrites ci-après.
Méthode "What If"
La méthode
"What If" est une méthode de
brain storming, destinée à un groupe de travail constitué d'experts du
procédé étudié. Il doit répondre à une série de question de la forme:
Que se passe-t-il si ...
tel équipement s'arrête de fonctionner, ...
la concentration en réactif est trop forte, ...
l'opérateur oublie d'ouvrir telle vanne, ...
Le
groupe de travail doit imaginer les questions, y répondre en décrivant le scénario, partant des causes, imaginant les
conséquences et identifiant les barrières ou compensations possibles.
Le travail est mené en suivant une procédure opératoire, ou sur un schéma de circulation des fluides ou instrumenté.
La
méthode What If permet une analyse rapide, qui s'adapte bien à la
dynamique du groupe de travail. Cependant, l'absence de schéma
directeur ne garanti pas que le groupe de travail a traité tous les
aspects du problème posé.
C'est une méthode qui peut s'appliquer à
un système entier, qui ne nécessite pas d'entrer dans tous les détails,
et qui convient donc bien aux procédés en cours de conception.
Méthode "SWIFT"
Acronyme de
Structured
What
If Technique.
Alors que la méthode What If laisse le groupe de travail libre des
questions comme des réponses, la méthode SWIFT propose une checklist de
types de questions à se poser.
La méthode SWIFT, en donnant un schéma directeur minimum au groupe de travail, garanti une plus grande exhaustivité du travail.
Pour les industries de procédé, la checklist proposée inclue les éléments suivants:
- Facteurs externes (humidité, chaleur ou froid extrêmes, incendie, ...)
- Erreur opératoire ou facteur humain
- Maintenance
- Erreur de mesure, d'analyse ou d'échantillonnage
- Défaillance d'un équipement ou d'un instrument
- Perte d'intégrité
- Situation d'urgence
- Perte d'utilité
- Hygiène et atteinte à l'environnement
Aussi appelée arbre
des causes, c'est une méthode déductive qui, partant d'un évènement indésirable,
permet de trouver toutes les combinaisons de causes pouvant
y conduire. Elle est intensivement utilisée pour rechercher les causes
d'un accident qui s'est produit. Elle peut aussi être utilisée pour
anticiper un scénario indésirable.
L'évènement indésirable peut être par exemple:
- un incendie,
- le rejet d'un produit toxique,
- ...
Contrairement
aux méthodes inductives (qui recherchent les effets d'un évènement
initiateur), la méthode de l'arbre des défaillances permet d'aisément
identifier des scénarios parallèles ou des combinaisons d'évènements.
On construit alors un arbre où les évènements intermédiaires sont
associés par des ET et des OU,
en remontant jusqu'aux évènements initiaux.
Cette méthode permet une quantification du risque en attribuant à
chaque évènement initial un niveau de probabilité. Par exemple:
| Niveau | Fréquence annuelle
ou probabilité |
|---|
| 1: extrêmement rare | 10-6 |
| 2: très rare | 10-5 |
| 3: rare | 10-3 |
| 4: possible | 10-2 |
| 5: fréquent | 10-1 |
| 6:très fréquent | >1 |
La probabilité qu'un évènement survienne est égale à:
- la somme des probabilités des causes si elle sont liées par un OU
- le produit de la probabilité des causes si elle sont liées par un ET
Modes de défaillance génériques- Défaillance structurelle (rupture)
- Blocage physique au coincement
- Vibrations
- Ne reste pas en position
- Ne s'ouvre pas
- Ne se ferme pas
- Défaillance en position ouverte
- Défaillance en position fermée
- Fuite interne
- Fuite externe
- Dépasse la limite supérieure tolérée
- Est en dessous de la limite inférieure
- Fonctionnement intempestif
- Fonctionnement intermittent
- Fonctionnement irrégulier
- Indication erronée
- Ecoulement réduit
- Mise en marche erronée
- Ne s'arrête pas
- Ne démarre pas
- Ne commute pas
- Fonctionnement prématuré
- Fonctionnement après le délai prévu (retard)
- Entrée erronée (augmentation)
- Entrée erronée (diminution)
- Sortie erronée (augmentation)
- Sortie erronée (diminution)
- Perte de l'entrée
- Perte de la sortie
- Court-circuit (électrique)
- Circuit ouvert (électrique)
- Fuite (électrique)
- Autres
conditions de défaillance exceptionnelle suivant les caractéristiques
du système, les conditions de fonctionnement et les contraintes
opérationnelles
L'analyse par l'arbre d'évènement, aussi connue sous l'acronyme AMDEC, consiste en un examen systématique
des conséquences des défaillances ou pannes de chacun des éléments du
système. Par exemple pour une pompes, les défaillances envisagées seront:
- ne s'arrête pas sur demande
- ne démarre pas sur demande
- s'arrête intempestivement
- la garniture n'est plus étanche
- le corps de pompe présente une fuite
Pour chaque mode de défaillance pertinent pour l'équipement analysé, les causes sont recherchées, et les effets sont évalués.
De même la défaillance des moyens de détection en place est envisagée.
Un arbre est ainsi construit décrivant les évènements induits par une
défaillance initiale selon que les moyens de détection d'alarme et de
sécurité ont fonctionné ou non.
Méthode "HAZOP"
La méthode HAZOP (Hazard and Operability Study) a été proposée par
ICI en 1977. L'UIC en France en a publié une version dans son cahier de
sécurité n°2 sous le titre: Etude de sécurité sur schéma de circulation
des fluides.
La
méthode HAZOP permet d'analyser systématiquement ligne par ligne, un procédé ou une
procédure dans le but de vérifier si une déviation des paramètres
conduit à une conséquence indésirable.
Le procédé est décomposé en systèmes, chacun pouvant être défini comme
un ensemble matériel, logiciel ou humain organisé pour remplir une
fonction ou une mission déterminée.
Chaque système est caractérisé par sa fonction en terme de:
- matière mise en oeuvre
- activité (chauffer, refroidir, mélanger, séparer, ...)
- source
- destination
Comme
la méthode de l'arbre d'évènement, c'est une méthode inductive où les
modes de défaillance sont des déviations de paramètres de procédé.
Pour chaque système est appliqué une analyse systématique des dérives avec pour chaque:
- une recherche des cause possibles
- une recherche des conséquences et dangers encourus si la dérive n'est pas maîtrisée
- une recherche des protections ou détections en place
- des recommandations pour améliorer la sécurité si celle-ci est jugée insuffisante
Les dérives analysées peuvent être:
- des dérives de fonction
- des dérives de paramètres de fonctionnement (débit, pression,
température, composition, pH, tension électrique, fréquence,
concentration,...)
Pour chaque fonction ou paramètre analysé des mots clés typiques sont
systématiquement appliqués (pas de, moins de, plus de, inverse,
différent de, ...)
La
méthode HAZOP, est sans doute la méthode la plus utilisée dans les
industries de procédé. Grâce à son cadre rigide, elle garanti une
certaine exhaustivité de l'analyse, tant que la liste des mots clés
utilisés est elle-même exhaustive. Cependant elle ne garanti pas la
qualité des réponses du groupe de travail. C'est une technique longue
et fastidieuse, et il n'est pas rare, à la relecture du résultat, de
mesurer la fatigue du groupe de travail à la qualité des réponses
apportées.
Pour assurer un résultat de qualité il est recommandé de veiller à:
- rassembler préalablement un maximum d'informations sur les risques potentiels du procédé
- prévoir un temps suffisant pour la réalisation de l'analyse
-
constituer une équipe suffisament nombreuse pour être productive mais
pas trop pour rester contrôlable (5 à 7 personnes semble l'optimum)
-
empêcher les diversions pendant le travail du groupe, telles que appels
téléphoniques, e-mails, les discussions hors sujet, ...
- laisser se dérouler les phases de créativité du groupe qui constitues l'essence même de la méthode
- éviter de se référer à, ou de recopier des analyses similaires
-
faire diriger le groupe de travail par un animateur capable de vérifer
que le groupe ne se contente pas des risques les plus évidents, mais
recherche bien tous les scénarios envisageables.
- s'assurer que les barrières sont réellement efficaces pour le scénario envisagé
-
si les protections existantes ne sont pas satisfaisantes, éviter de
résoudre une question technique pendant l'analyse, mais seulement
proposer des recommandations qui seront appronfondies et validées par
un groupe d'experts.
C'est une méthode qui doit être réservée au stade
final de la conception, quand des plans détaillés sont disponibles, ou
bien pour la mise à jour de l'analyse de risque d'une unité existante.
Volume de travail associé
D'après
Guidelines for Hazard Evaluation Procedures publié par AIChE.
L'AIChE
(American Institute of Chemical Engineers) a cherché à comparer les
différentes méthodes disponibles pour réaliser l'analyse des risques
procédé.
L'estimation du volume de travail rapporté ci-dessous inclu:
- la préparation de l'analyse
- l'analyse elle-même
- la rédaction de l'analyse
| Méthode | Procédé simple | Procédé complexe |
|---|
| Checklist | 1 à 2 pers
1 à 3 jours | 1 à 2 pers
1 à 2 semaines |
| What If | 2 à 3 pers
3 à 6 jours | 3 à 5 pers
2 à 3 semaines |
| SWIFT | 2 à 3 pers
2 à 4 jours | 3 à 5 pers
2 à 5 semaines |
| Hazop | 3 à 4 pers
1 à 2 semaines | 5 à 7 pers
4 à 10 semaines |
| AMDEC | 1 à 2 pers
3 à 7 jours | 2 à 4 pers
3 à 8 semaines |
| Arbre des causes | 2 à 3 pers
2 à 3 semaines | 2 à 5 pers
7 à 13 semaines |
Critères de choix de la méthode d'analyse
A
part la méthode des checklists, plutôt destinée à vérifier la
conformité à un code ou une bonne pratique, toutes peuvent être
employées pour identifier des scénarios d'incident.
L'arbre
d'évènement est particulièrement adapté pour analyser les dangers liés
aux défaillances de systèmes électroniques ou informatiques, pour
lesquels l'Hazop n'est pas adapté.
What-if ou Hazop sont mieux adaptés aux procédés discontinus que l'arbre des défaillances
L'analyse des défaillances multiples est plus efficace avec l'arbre des causes.
La
méthode What-if peut être appliquée tout au long du processus de
développement d'un procédé y compris pendant la phase de recherche.
Les
méthodes Hazop, AMDEC et arbre des causes sont à réserver aux
installations existantes ou au stade d'ingéniérie de détail pour les
installations nouvelles.
