Analyse des risques des procédés
Sommaire de la page:
- Obligations règlementaires
- Concept de risque
- Quantification du risque
- Gravité
- Fréquences
- Risque résiduel
- Notion de A.L.A.R.P.
- Acceptabilité du risque
- Organisation de l'analyse de risque
- Identification des dangers
- Analyse préliminaire des risques
- Analyse détaillée des risques
- Etude LOPA
- Rédaction de l'analyse de risque
- Causes
- Mesures préventives
- Mesures correctives et limitantes
- Représentation en noeud papillon
- Sources
Voir aussi ...
Obligations règlementaires
Les
usines soumises à la règlementation des installations classée ou à la
loi dite SEVESO II doivent réaliser une étude de danger.
Le décret du 21 Septembre 1977 précise ainsi la nature des études de
danger:
... une étude exposant
les dangers que peut présenter l'installation en cas d'accident et justifiant les mesures propres
à en réduire la probabilité et les effets ...
La directive Européenne 96/82/CE dite directive Seveso II impose un
rapport de sécurité aux fins de:
... démontrer que les
accidents majeurs ont été identifiés et que les mesures nécessaires pour les prévenir et pour
limiter les conséquences de tels accidents pour l'homme et l'environnement ont été prises;
Le rapport de sécurité doit contenir entre autres (annexe II de la DIR
96/82/CE):
... la description
détaillée des scénarios d'accidents majeurs possibles et de leur
probabilités
ou conditions d'occurence comprenant le résumé des évènements pouvant
jouer un rôle
dans le déclenchement de chacun de ces scénarios, ...
Le rapport de sécurité
est revu et si nécessaire mis à jour au moins tous les cinq ans, ou à n'importe quel moment à
l'initiative de l'exploitant ou à la demande de l'autorité compétente ...
Plusieurs rapports de
sécurité, parties de rapports ou autres rapports équivalents établis conformément à une autre
législation peuvent être fusionnés en un rapport de sécurité unique ...
La directive 96/82/CE défini l'accident majeur comme:
... un évènement tel
qu'une émission, un incendie ou une explosion d'importance majeure résultant de développements
incontrôlés survenus au cours de l'exploitation d'un établissement couvert par la
présente directive, entraînant pour la santé humaine, à l'intérieur ou à l'extérieur de
l'établissement , et/ou pour l'environnement, un danger grave, immédiat ou différé, et faisant
intervenir une ou plusieurs substances dangereuses;
Les substances dangereuses sont également rigoureusement définies dans
la directive 96/82/CE.
Concept de risque
Un évènement indésirable est caractérisé par une fréquence et une gravité.
| Interprétation des couleurs | |
|---|---|
| Risque inacceptable nécessitant probablement un changement de technologie | |
| Risque inacceptable en l'état, nécessitant des mesures popres à le réduire | |
| Risque tolérable si toutes les mesures raisonnables de réduction ont été prises (ALARP) | |
| Risque négligeable |
La gravité est liée aux conséquences de l'évènement; elle est souvent subjective; un même évènement peut être considéré peu grave pour certains, mais très grave pour d'autres. Des critères objectifs doivent être définis tels que le coût de réparation des dégâts matériels, le nombre de blessés, ...
Le risque est la combinaison de la fréquence et de la gravité. Certains risques sont acceptables, d'autres pas. Tout dépend de la fréquence et de la gravité. On pourra accepter qu'un évènement peu grave se produise à une fréquence élevée, tandis qu'un évènement grave ne devra se produire que très rarement ... voire jamais.
Les combinaisons de fréquence et de gravité peuvent être représentées par une matrice semblable à celle-ci:
Fréquences et gravités croissantes de F1, G1 à F5,G5
Quantification du risque
La quantification du risque est un processus récent dans les industries de procédé. Elle a été introduite au début des années 1980 dans l'industrie du gaz et du pétrole et s'est largement inspirée des méthodes développées dans les années 1960 par l'industrie nucléaire.Auparavant les procédés étaient conçus de telle sorte que lorsqu'une défaillance était redoutée, un moyen de détection était installé générant une alarme pour l'opérateur, ou déclenchant une action automatique. Il était admis qu'ainsi l'évènement redouté serait évité. Lorsqu'un tel évènement revêt un caractère général, il peut faire l'objet d'une règlementation. C'est ainsi que la règlementation sur les appareils à pression impose l'installation de soupapes de sécurité pour prévenir les dépassements de la pression de calcul des appareils. Cette soupape pouvait parfois être le seul moyen de protection.
Gravité
La gravité est le niveau d'atteinte aux personnes, au matériel ou à l'envionnement. Diverses définitions sont possibles. En France l'arrêté du 29 Septembre 2005 défini cinq niveaux de gravité allant de "modéré" à "désastreux" selon le nombre de personnes exposées à des effets irréversibles ou létaux.Ci-après un exemple de grille d'évaluation des gravités.
| Niveau de Gravité | Cibles humaines | Cibles matérielles | Cibles environnementales |
|---|---|---|---|
| G5 "Désastreux" |
Plus de 10 personnes exposées à des effets létaux significatifs (Arrêté 29-09-2005) |
||
| G4 "Catastrophique" |
Effets létaux ou irréversibles sur un grand
nombre de personnes à l’extérieur du site ou au niveau des zones du site comportant les niveaux d’occupation les plus importants Moins de 10 personnes exposées à des effets létaux (Arrêté 29-09-2005) |
Atteinte d’un bien ou d'un équipement très sensible ou stratégique. Atteinte d’un équipement dangereux ou d’un équipement de sécurité critique conduisant à une aggravation générale des conséquences de niveau G4 | Atteintes critiques à des zones particulièrement vulnérables (espèce protégée très rare par exemple) ou du fait de répercussion à l'échelle départementale, régionale,nationale ou internationale. |
| G3 "Important" |
Effets létaux ou irréversibles sur au moins une personne à l’extérieur du site ou au niveau des zones du site comportant les niveaux d’occupation les plus importants. Entre 1 et 10 personnes exposées à des effets létaux (Arrêté 29-09-2005) |
Atteinte d’un bien, équipement dangereux ou de sécurité à l’extérieur du site Atteinte d’un équipement dangereux ou d’un équipement de sécurité critique sur le site conduisant à une aggravation générale des conséquences de niveau G3 |
Atteintes critiques à des zones vulnérables (ZNIEFF, points de captage…) avec répercussions à l’échelle locale |
| G2 "Sérieux" |
Effets létaux ou irréversibles limités à une zone avec un niveau d’occupation faible Moins de 10 personnes exposées à des effets irréversibles (Arrêté 29-09-2005) |
Atteinte d’un équipement dangereux ou d’un équipement de sécurité critique sur le site sans aggravation générale des conséquences |
Atteintes sérieuses à l’environnement nécessitant des travaux lourds de dépollution |
| G1 "Modéré" |
Pas d’effets significatifs sur le personnel du site. Présence humaine exposée à des effets irréversibles inférieure à une personne (Arrêté 29-09-2005) |
Pas d’effets significatifs sur les équipements du site ou Atteintes à des équipements dangereux du site sans synergie d’accidents ou à des équipements de sécurité non critiques |
Pas d’atteintes significatives à l’environnement ou atteintes limitées au site et nécessitant des travaux de dépollution minimes |
Les conséquences des incidents sont évaluées au moyen d'une
quantification des effets des phénomènes dangereux:
- la surpression générée par une explosion,
- le rayonnement généré par un incendie,
- le niveau de toxicité généré par une fuite dans le milieu
naturel, ...
| Zones des dangers | Effets constatés | Seuils d'effets thermiques | Seuils
des effets toxiques (pour une exposition de 1 à 60 minutes) |
Seuils d'effets de surpression | |
|---|---|---|---|---|---|
| Effets sur la vie humaine | Effets indirects sur l'homme | Effets indirects par bris de vitre | 20 mbar | ||
| Zone des dangers significatifs | Effets irréversibles | 3 kW/m² ou 600 (kW/m²)4/3.sec | Seuil des effets irréversibles (SEI) | 50 mbar | |
| Zone des dangers graves | Premiers effets létaux | 5 kW/m² ou 1 000 (kW/m²)4/3.sec | Seuil des effets létaux (SEL): CL1% | 140 mbar | |
| Zone des dangers très graves | Effets létaux significatifs | 8 kW/m² ou 1 800 (kW/m²)4/3.sec | Seuil des effets létaux significatifs (SELS): CL5% | 200 mbar | |
| Effets sur les structures | Destruction significative des vitres | 5 kW/m² | Pas d'effet sur les structures | 20 mbar | |
| Dégâts légers | Dégâts mineurs sur les maisons | Pas d'effet sur les structures | 50 mbar | ||
| Dégâts graves | Hors structures béton | 8 kW/m² ou 1 800 (kW/m²)4/3.sec | Pas d'effet sur les structures | 140 mbar | |
| Effets domino pour la surpression, fluage des aciers pour les effets thermiques | 16 kW/m² ou 4840 (kW/m²)4/3.sec | Pas d'effet sur les structures | 200 mbar | ||
| Dégâts très graves sur les structures hors béton | Tenue du béton aux effets thermiques | 20 kW/m² ou 6515 (kW/m²)4/3.sec | Pas d'effet sur les structures | ||
| Dégâts très graves | Ruine du béton et destruction quasi complète des maisons | 200 kW/m² | Pas d'effet sur les structures | 300 mbar |
CL1% : concentration pour laquelle 1%
de la population exposée décède
CL5% : concentration pour laquelle 5%
de la population exposée décède
Les valeurs de concentration correspondant aux seuils des
effets
réversibles et irréversibles sont tirées de la littérature
toxicologique. Par exemple pour l'ammoniac l'INERIS a publié en 2003
une note de synthèse proposant les valeurs suivantes pour différents
temps d'exposition:
SER : 80ppm (60 min) ou 280ppm (1 min)
SEI : 354ppm (60 min) ou 1500ppm (1 min)
SEL : 3400ppm (60 min) ou 25300ppm (1 min)
Fréquences
La détermination de la fréquence d'apparition d'un évènement suppose qu'on puisse décrire l'enchaînement de circonstances qui y ont conduit: le scénarioLe calcul de la fréquence est alors une combinaison de la fréquence de l'évènement initiateur (exemple: 1 fois par an un capteur de niveau donne une information erronée), et de probabilités de rencontrer les circonstances favorables au scénario (exemple: 1 fois sur 10 l'opérateur ne réagit pas à temps à l'alarme de niveau haut et ne peut empêcher le débordement du réservoir); dans ce scénario, on estime que 1 fois tous les 10 ans la défaillance du capteur de niveau conduira au débordement du réservoir.
Plusieurs scénarios peuvent conduire au même évènement redouté; la fréquence d'apparition de l'évènement doit combiner les différents scénarios.
De même, différentes conséquences d'un même évènement sont possibles; la fréquence d'apparition doit tenir compte de la probabilité de voir la conséquence se réaliser.
Par commodité, les scénarios sont souvent représentés sous la forme d'un noeud papillon schématisant les différents scénarios aboutissant à un même évènement redouté, et les différentes conséquences possibles.
| Définition Qualitative | Définition Quantitative | ||
|---|---|---|---|
| F1 | « évènement possible mais extrêmement peu probable » | n’est pas impossible au vu des connaissances actuelles, mais non rencontré au niveau mondial sur un très grand nombre d’années installations | <10-5an-1 |
| F2 | « évènement très improbable » | s’est déjà produit dans ce secteur d’activité mais à fait l’objet de mesures correctives réduisant significativement sa probabilité | <10-4an-1 |
| F3 | « évènement improbable » | un événement similaire déjà rencontré dans le secteur d’activité ou dans ce type d’organisation au niveau mondial, sans que les éventuelles corrections intervenues depuis apportent une garantie de réduction significative de sa probabilité | <10-3an-1 |
| F4 | « évènement probable » | s’est produit et/ou peut se produire pendant la durée de vie de l’installation | <10-2an-1 |
| F5 | « évènement courant » | s’est produit sur le site considéré et/ou peut se produire à plusieurs reprise pendant la durée de vie de l’installations, malgré d’éventuelles mesures correctives | >10-2an-1 |
Le seuil d'acceptabilité du risque est délicat à définir. Il doit être défini conjointement avec les autorités autorisant l'exploitation.
Risque résiduel
Le risque d'un évènement est défini par la combinaison d'une gravité des conséquences et d'une fréquence d'apparition.On distingue:
- le risque initial, évalué sans moyen d'atténuation (exemples: une fuite de substance dangereuse se produit sans considérer ni moyen de confinement, ni détection, ni moyen de prévention des surpressions).
- le risque résiduel, évalué compte tenu des moyens d'atténuation. Certains sont destinés à réduire la gravité, et d'autres à réduire la fréquence.
Notion de A.L.A.R.P.
ALARP est l'acronyme de l'expression anglaise "As Low As is Reasonably Practicable" qu'on peut traduire par "Aussi faible que possible".Il qualifie un risque, et aide à décider si un risque résiduel est acceptable.
Il signifie que toute tentative de réduction supplémentaire du risque nécessiterait un effort ou des contraintes disproportionnés.
Acceptabilité du risque
Le critère principal pour quantifier le risque acceptable est le risque individuel. C'est la probabilité acceptée de décès accidentel pour une personne présente de manière continue pendant une année en un lieu et exposée à une activité à risque sur laquelle il n'a aucun contrôle.Cette fréquence est définie par les autorités locales et peut différer d'un pays à un autre.
Organisation de l'analyse de risque
L'analyse des risques se composent des activités suivantes:- la définition des scénarios d'accidents;
- l'identification des causes et des conséquences des scénarios d'accidents;
- l'estimation de la fréquence et de la gravité de ces scénarios.
L'analyse de risque dans un projet doit débuter au plus tôt dans son déroulement afin d'identifier rapidement les freins à son développement et les aménagements à prévoir; par exemple: études complémentaires sur la toxicité, l'inflammabilité de substance employées, cuvettes de rétention, pression de calcul des équipements, ...
Cependant la méthode employée doit tenir compte du niveau de définition du projet afin de ne pas être bloquée par l'absence ou le manque de précision des éléments disponibles (schémas, modes opératoires, ...).Les méthodes proposées sont nombreuses, et la règlementation n'en impose aucune en particulier. L'industriel est donc libre de ses choix et de son organisation. Cependant, si le projet doit faire l'objet d'une demande d'autorisation d'exploiter, il est important que la méthodologie suivie soit agréée par l'administration.
Les étapes classiques sont les suivantes:
- identification des dangers et des évènements redoutés dès la phase de conception
- analyse préliminaire des risques afin de lister tous les scénarios d'incident et évaluer leurs conséquences
- classement des scénarios et sélection de ceux devant être analysés en détail
- analyse détaillée des risques pour rendre acceptables les plus critiques
- arbre des cause-arbre des évènements pour les risques les plus importants
Identification
des dangers
Cette méthode permet au plus tôt, dès la phase de recherche et
de développement du procédé, de:
- identifier les éléments dangereux et les causes d'accidents
- évaluer les conséquences et imaginer les mesures
préventives ou correctives
- répertorier les études complémentaires nécessaires
Cette analyse s'intéresse plus particulièrement à:
- l'analyse des risques liés aux produits
- l'identification des risques liés aux procédés
Elle s'appuie sur:
- une recherche d'antécédents d'accidents
- des fiches produits rassemblant pour chacun les propriétés physiques,
chimiques, d'inflammabilité, de réactivité, de toxicité ...
- un tableau des incompatibilités de chaque produit avec les autres
présents dans l'installation ...
- des fiches opérations rassemblant les données sur la chimie et la
thermique des réactions, la collecte et le traitement des effluents ...
Cette analyse doit aboutir à une liste d'évènements redoutés, indésirables et leurs conséquences potentielles. Les causes peuvent être liées au procédé lui-même (défaillance d'un équipement par exemple) ou à son environnement (innondation, incendie voisin, collisions, ...); elles ne sont pas détaillées, et peuvent être génériques. Toutes les phases de fonctionnement de l'installation sont passées en revue: démarrage, arrêt, remplissage, vidange, tests et épreuves, ...
Exemple de résultat d'identification des dangers
| Equipement | Phase de fonctionnement | Cause | Evènement redouté | Danger | Proposition de protection |
|---|---|---|---|---|---|
| Réacteur | Remplissage | Défaillance du compteur | Débordement | Pollution du réseau d'égout | Cuvette de rétention sous le réacteur |
| Réaction | Perte du refroidissement | Surpression au delà de la pression de calcul et perte de confinement | Mise à l'atmosphère d'une substance inflammable et explosion | Mise ne place d'une soupape reliée à un absorbeur | |
| Tuyauterie d'approvisionnement | Collision avec un engin | Perte de confinement | Epandage d'une substance toxique pour l'environnement | Placer la tuyauterie en caniveau |
Analyse préliminaire des risques
L'analyse préliminaire des risques est la suite naturelle de l'identification des dangers. Elle permet de décrire tous les scénarios d'incident pouvant conduire aux évènements redoutés, et d'évaluer leur probabilité de se produire jusqu'au bout, ainsi que la gravité de ses conséquences. Cette analyse est dite "préliminaire" car elle sera suivie d'une analyse détaillée sur les scénarios les plus critiques.De nombreuses méthodes sont proposées pouvant être classées en deux catégories:
- les méthodes inductives, qui partant de la cause recherchent les enchaînements conduisant au danger
- les méthodes déductives, qui partant de l'évènement redouté, recherchent les causes et les défaillances
Les méthodes les plus utilisées dans les industries de procédés sont:
- AMDE/AMDEC
- What-If
- SWIFT
- Hazop
- Arbre des cause
Analyse détaillée des risques
L'analyse préliminaire des risques à produit une liste de scénarios dont certains doivent être étudiés en détail, car:- ils conduisent à une risque inacceptable en l'état, et des mesures supplémentaires de protection doivent être imaginées
- ils présentent un risque qui pourrait être accepté si et seulement si on démontre que toute mesure raisonnable a étée prise pour le réduire.
L'analyse détaillée vise à:
- affiner les calculs de fréquence et gravité
- évaluer l'effet de mesures supplémentaires sur les niveaux de fréquence et gravité
Etude LOPA
LOPA est l'acronyme de Level Of Protection Analysis.C'est une méthode structurée pour vérifier si le niveau de risque, en tenant compte des protections en place, est conforme à ce qui est attendu.
Elle est utilisée au cours d'une analyse détaillée des risques, sur une sélection de scénarios identifiés au cours de l'analyse préliminaire.
| Type d'évènement initiateur | Probabilité an-1 |
|---|---|
| Arrêt intempestif d'une machine tournante | 1 |
| Défaillance d'une régulation | 1/10 |
| Défaillance d'une garniture | 1/10 |
| Rupture d'un joint | 1/100 |
| Rupture d'un équipement fixe | 1/100 |
Pour chaque scénario, il convient de:
- identifier l'évènement initiateur et déterminer sa
fréquence d'apparition
- évaluer le niveau de gravité des conséquences
- définir le degré de réduction du risque pour rendre le
risque acceptable ou tolérable si ALARP
-
définir les protections indépendantes et estimer leur probabilité de
défaillance (PFD: Probability of Failure on Demand)
- combiner les différentes probabilités pour obtenir le
niveau de réduction du risque et le comparer à l'objectifs
| Type de protection | PFD |
|---|---|
| Système automatique SIL1 | 1/10 |
| Système automatique SIL2 | 1/100 |
| Soupape de sécurité | 1/100 |
| Intervention d'un opérateur entrainé mais stressé | 1/10 |
- être capable de détecter l'anomalie, et pouvoir agir avec la vitesse et l'intensité nécessaire
- être indépendant de l'évènement initiateur
- être indépendant de toute autre mesure de protection déja prise en compte
- être contrôlable et/ou testable pour s'assurer de sa disponibilité
Par exemple:
- une indication locale doit être effectivement périodiquement relevée par l'opérateur
- une alarme doit laisser suffisament de temps à l'opérateur pour agir efficacement et stopper le phénomène
- une alarme générique doit laisser le temps à l'opérateur d'analyser la situation pour identifier quel scénario parmis tous ceux possibles est en train de se produire, avant d'agir
- une alarme se déclenchant fréquemment pour des raisons anodines sera probablement ignorée par l'opérateur
- une soupape de sécurité doit être explicitement dimensionnée ou validée pour le scénario considéré
- une procédure ne peut constituer une protection si la cause du scénario est une erreur humaine ou une mauvaise application d'une procédure
Les protections faisant appel à un système instrumenté, sont qualifiés d'un SIL (System Integrity Level) défini par le constructeur ou l'architecte du système. Ils sont SIL1, SIL2, SIL3 voire plus rarement SIL4 qui correspond à différentes probabilités de défaillance.
| PFD | |
|---|---|
| SIL1 | 1/10 - 1/100 |
| SIL2 | 1/100 - 1/1000 |
| SIL3 | 1/1000 - 1/10 000 |
| SIL4 | 1/10 000 - 1/100 000 |
La confiance qu'on peut accorder à une mesure de protection dépend de la fiabilité du matériel utilisé, mais aussi de la fréquence des vérifications et tests pour s'assurer de sa disponibilité. Ainsi un équipement peu fiable peut néanmoins présenter une disponibilité élevée si il est vérifié et éventuellement remis en état fréquemment.
Les régulations sont rarement prises en compte comme moyen de protection car pouvant être désactivées par l'exploitant de l'installation, leur disponibilité n'est pas garantie.
Rédaction de l'analyse de risque
A l'issue du travail d'analyse, quelle que soit la méthode
utilisée,
une synthèse doit être rédigée expliquant pour chaque évènement majeur
redouté:
- les causes possibles identifiées
- les mesures préventives adoptées pour réduire la probabilité
d'occurence de l'évènement
- les mesures correctives et limitantes destinés à limiter les effets
de l'évènement
Les causes, mesures préventives, correctives et limitantes les plus
courantes sont:
Causes
- défaillance d'une régulation due à la prise de mesure, au
capteur, au système de conduite ou à l'actionneur
- réaction chimique incontrôlée par manque d'utilité, mélange
indésirable, ...
- apport excessif de calorie par feu, ...
- refroidissement insuffisant
- arrêt d'une machine (pompe, compresseur, ...)
- sollicitation mécanique excessive en raison de vibrations, coups de
bélier, chocs, gel, mise
sous vide, ...
Mesures préventives
- enregistrement des paramètres de fonctionnement (pression,
température, niveau, ...) permettant de détecter une dérive
- position de sécurité des vannes automatiques par manque d'utilité
(ouverte ou fermée par manque d'air ou d'électricité)
- possibilités de secours des utilités (alimentation électrique sur
batteries, ...)
- conception de l'installation (nature des joints, pression et
température de calcul des
équipements, ...)
- procédures et surveillance des travaux
- procédures de démarrage et d'arrêt
- ...
Mesures correctives et limitantes
- actions de mise en sécurité de l'installation si une valeur
excessive est détectée sur un des paramètres de fonctionnement
(température, pression, niveau, concentration, ...)
- soupapes
- moteurs antidéflagrants
- détecteurs de gaz
- moyens de vidange rapide
- moyens de collecte et de retraitement des égouttures et épandages
- moyens d'alerte
- moyens de lutte fixes et mobiles contre le feu (rideaux d'eau,
pompiers mobilisables, ...)
Représentation en noeud papillon
Les
scénarios pouvant mener à des évènements majeurs doivent faire l'objet
d'une représentation dite en
noeud papillon. Elle est nommée ainsi car
partant de l'évènement redouté au centre, et en développant un arbre de
causes d'un coté et un arbre des conséquences de l'autre on obtient une
représentation graphique ressemblant à un noeud papillon.
Sources
Pour plus d'informations sur les méthodes d'analyse des risques on peut consulter le document publié par l'INERIS: Ω7: méthodes d'analyse des risques générés par une installation industriellePour la mise en oeuvre de la méthode Hazop: Études de danger et d'exploitabilité (études HAZOP) IEC 61882
Votre avis est précieux pour améliorer ce site.
Avez-vous trouvé cette page utile?