Vous êtes sur la page 1sur 36

Analyse des risques et prvention des accidents majeurs (DRA-07)

Rapport intermdiaire d'opration d Prise en compte de linfluence des barrires de scurit dans lvaluation des risques Prsentation des mthodes d'inspection TRAM, NIVRIM et AVRIM2

S. BOUCHET Unit Prvention Direction des Risques Accidentels

Juin 2001

INERIS DRA

Analyse des risques et prvention des accidents majeurs (DRA-07)


Rapport intermdiaire d'opration d Prise en compte de linfluence des barrires de scurit dans lvaluation des risques Prsentation des mthodes d'inspection TRAM, NIVRIM et AVRIM2

JUIN 2001

PERSONNES AYANT PARTICIPE A L'ETUDE


Ce document comporte 28 pages (hors couverture et annexes).

Page 1

INERIS DRA

TABLE DES MATIERES


1. 2. 3. GLOSSAIRE .......................................................................................................................................... 3 INTRODUCTION ................................................................................................................................. 4 TECHNICAL RISK AUDIT METHOD.............................................................................................. 5 3.1 GNRALITS ...................................................................................................................................... 5 3.2 MTHODOLOGIE .................................................................................................................................. 5 3.2.1 Ligne de dfense (Line Of Defence) ou barrire ....................................................................... 5 3.2.2 Catgorie de consquences........................................................................................................ 6 3.2.3 Classe de frquence ................................................................................................................... 7 3.2.4 Evaluation du risque.................................................................................................................. 7 3.2.5 Risque rsiduel .......................................................................................................................... 8 3.3 CONCLUSION ....................................................................................................................................... 8 4. NIVRIM................................................................................................................................................ 10 4.1 GNRALITS .................................................................................................................................... 10 4.2 MTHODOLOGIE ................................................................................................................................ 10 4.2.1 1re tape : prparation de l'inspection.................................................................................... 10 4.2.2 2me tape : inspection du document dcrivant la politique de prvention des accidents majeurs 11 4.2.3 3me tape : entretien avec une personne (responsable) du management de l'tablissement ... 11 4.2.4 4me tape : inspection du SGS................................................................................................. 11 4.2.5 5me tape : valuation du rsultat de "l'enqute".................................................................... 12 4.3 CONCLUSION ..................................................................................................................................... 16 5. AVRIM2 ............................................................................................................................................... 17 5.1 GNRALITS .................................................................................................................................... 17 5.2 MTHODOLOGIE ................................................................................................................................ 17 5.2.1 Matrice des risques.................................................................................................................. 17 5.2.2 Scnarios et lignes de dfense ou barrires (LOD) ................................................................. 19 5.2.3 Liens entre SGS et systme technique...................................................................................... 20 5.2.4 Les thmes de management ..................................................................................................... 20 5.3 CONCLUSION ..................................................................................................................................... 21 6. ANALYSE DES MTHODES............................................................................................................ 23 6.1 6.2 6.3 TRAM ............................................................................................................................................... 23 NIVRIM............................................................................................................................................ 24 AVRIM2 ........................................................................................................................................... 24

7. INTRT DES MTHODES ETUDIES POUR LANALYSE DE LA QUALIT DES BARRIRES TECHNIQUES ...................................................................................................................... 25 7.1 7.2 8. 9. STRUCTURATION DUNE APPROCHE POUR LANALYSE DES BARRIRES TECHNIQUES ......................... 25 COHRENCE ENTRE MATRISE TECHNIQUE ET ORGANISATIONNELLE DES RISQUES ............................. 26

RFRENCES..................................................................................................................................... 27 LISTE DES ANNEXES....................................................................................................................... 28

Page 2

INERIS DRA

1. GLOSSAIRE
TRAM : Technical Risk Audit Methodology LOD : Line Of Defence SGS : Systme de Gestion de la Scurit CEI : Commission Electrotechnique Internationale Systme E/E/PE : systme lectrique/lectronique/lectronique programmable HSE : Health and Safety Executive NIVRIM : mthode d'inspection pour les tablissements ne devant pas raliser de rapport de scurit dans le cadre de la rglementation BRZO 1999 AVRIM2 : mthode d'inspection pour les tablissements chimiques relevant de Seveso II seuil haut

Page 3

INERIS DRA

2. INTRODUCTION
En application de la directive Seveso II, les exploitants dinstallations risques sont contraints de dmontrer quils matrisent les dangers que gnre leur activit. Aussi, lINERIS a bti un programme dnomm Analyse des Risques et Prvention des Accidents Majeurs (DRA-07) qui vise faire voluer la dmarche dvaluation des risques pratique en France pour tenir compte de cette nouvelle contrainte. En effet, aujourdhui, bien souvent seul le potentiel de danger des installations est valu travers lvaluation des distances deffets de scnarios daccident majeur. Pour pouvoir faire la dmonstration que les dangers de lactivit ont t recenss et quils sont matriss, il apparat primordial de prendre en compte linfluence des mesures de rduction des risques mises en uvre par les exploitants, quil sagisse de mesures techniques ou organisationnelles. Dans le cadre du programme mentionn ci-dessus, lINERIS travaille sur la caractrisation de linfluence des mesures de rduction des risques pour en tenir compte dans lvaluation du niveau de risque dune installation. A ce titre, lINERIS a recens et examin quelques mthodes dveloppes par dautres Etats Membres de lUnion Europenne pour valuer et inspecter les mesures de scurit mises en place sur les installations soumises la directive SEVESO II. En gnral, ces mthodes sont utilises, soit pour valuer le contenu du rapport de scurit, qui formalise la dmonstration de lidentification et de la matrise des risques, soit pour inspecter les sites couverts par la directive. Le prsent document dcrit trois mthodes : La mthode TRAM dveloppe par le HSE britannique ; Les mthodes NIVRIM et AVRIM2 utilises par les autorits nerlandaises. Il convient de noter que les mthodes tudies lont t au regard des rfrences mentionnes au chapitre 8. Quelquefois, les articles ne donnent pas suffisamment de dtail pour pouvoir mener une analyse plus fine. Cependant, lINERIS a pu identifier les points forts et des particularits de ces diffrentes mthodes.

Page 4

INERIS DRA

3. TECHNICAL RISK AUDIT METHOD


3.1 GENERALITES La mthode TRAM a t dveloppe par l'administration anglaise (Health and Safety Executive). C'est un outil d'audit des risques et d'inspection. Il permet l'valuation des sites viss par les directives Seveso I et II. TRAM est base sur le modle d'arbres d'vnements (Figure 1).

Barrire 1

Barrire 2 Echec

Accident majeur

Echec Evnement initiateur i Succs Succs


Installation en scurit Installation en scurit

Squence de dfaillance i
Figure 1 : Modle d'arbre d'vnement

C'est une technique qui permet l'valuation approximative la fois des risques et des mesures de rduction associes aux risques pour des processus donns. Ces mesures de rduction du risque (ou barrires) sont appeles 'lignes de dfense' (LOD : Line Of Defence). Ces LOD font l'objet d'un audit. TRAM est dfinie comme une mthodologie conforme et cohrente avec les principes de la norme CEI 61508. Cette norme ralise par la Commission Electrotechnique Internationale (C.E.I.) est relative la scurit fonctionnelle des systmes lectriques / lectroniques / lectroniques programmables, relatifs la scurit. 3.2 METHODOLOGIE 3.2.1 Ligne de dfense (Line Of Defence) ou barrire Dans TRAM une LOD (Line Of Defence) est dfinie numriquement de la faon suivante:

LOD = log10 ( PFD)


avec PFD : probabilit de dfaillance sur demande. Si le taux de sollicitation de la barrire est continu, alors PFD est remplace par la probabilit de dfaillance par heure (PFU). Page 5

INERIS DRA Les lignes de dfense se rpartissent en 4 groupes : active : barrire ncessitant une source d'nergie extrieure pour remplir bien sa fonction et l'initiation de ses composants, comme une chane de dtection, passive : barrire qui n'a pas besoin de source d'nergie extrieure pour fonctionner correctement, par exemple une cuvette de rtention, une soupape de scurit mcanique, physique : barrire provenant d'un processus physique ou naturel, comme les conditions climatiques, la dissipation naturelle de la chaleur, procdure : barrire indiquant de faon trs prcise, les interventions humaines effectuer pour supprimer ou rduire les consquences d'un vnement initiateur.

3.2.2 Catgorie de consquences TRAM dfinit la catgorie de consquences (Ci) des accidents issus de dfaillances sur une chelle allant de 1 7. En pratique, considrant la scurit des personnes et les consquences environnementales, l'chelle utilise est comprise entre 3 et 7. Mais cette chelle n'est pas ferme et Ci peut prendre des valeurs suprieures 7. Ci est dtermine par : Ci = log10 ( N ) m

Ci : catgorie de consquences de la squence de dfaillances i N : critre d'acceptabilit choisi pour un accident provoquant de N 10N morts m : nombre de squence de dfaillances provoquant de N 10N morts Par exemple, un accident provoquant de 1 10 morts est acceptable si sa frquence d'occurrence est infrieure 10-6 / an (soit N = 10-6). Il existe 10 squences de dfaillance amenant des accidents (qui peuvent tre diffrents) provoquant de 1 10 morts. Dans ce cas, C=7 pour chacune des squences de dfaillances. L'utilisation des donnes de l'usine est ncessaire pour dterminer les catgories de consquences. L'chelle est logarithmique, donc un accident class dans 6 est considr comme 10 fois plus grave qu'un accident class dans 5 (voir Tableau 1).

Page 6

INERIS DRA

Catgorie de consquence >7

Descriptif Accident catastrophique : atteintes hors du site, grand nombre de dcs, grosse mdiatisation, interrogation du public, impact sur le cadre rglementaire et lgislatif. Accident important : dommages en dehors du site, nombreux morts et blesss, premier titre aux informations nationales, interrogation du public, poursuites judiciaires. Accident significatif : quelques dommages en dehors du site, petit nombre de morts et / ou nombreux blesss, la une des informations nationales, rclamation de dommages, d'enqute et d'action juridique. Accident petite chelle : perturbation l'intrieur du site, morts limits aux travailleurs impliqus dans l'accidents, quelques blesss graves, parution dans les informations locales, demande de ddommagements et enqute. Accident mineur : limit une petite partie du site, quelques blesss lgers, perte de temps, pas de mention dans la presse, uniquement une enqute de la compagnie. Accident limit de faibles consquences.
Tableau 1 : Catgories de consquences dans le modle TRAM

>6

>5

>4

>3 =3

3.2.3 Classe de frquence Dans TRAM, la classe de frquence (Fi) de la squence de dfaillances i est dfinie par :

Fi = log10 ( f i )
fi : frquence de l'vnement initiateur de la squence de dfaillances i. 3.2.4 Evaluation du risque Le risque Ri, d la squence de dfaillances i, relie la consquence et la frquence d'occurrence de la faon suivante :

Ri = f i Ci Pi
fi : frquence de l'vnement initiateur de la squence de dfaillances i Pi : probabilit pour que cette squence de dfaillances i volue vers un accident de catgorie de consquence Ci Si les barrires sont indpendantes les unes des autres, alors :

Pi = Pi , j
j

Pi,j : probabilit de dfaillance sur demande de la barrire j dans la squence de dfaillances i.

Page 7

INERIS DRA Pour tre acceptable, chacune des squences de dfaillances i doit vrifier :

Fi + LODexiges Ci
Fi : classe de frquence de la squence de dfaillances i avec LODexiges =

LODi
j

avec

LODi = log10 ( Pi , j )

Ci : catgorie de consquence de la squence de dfaillances i LODexiges donne l'acceptabilit du risque de laquelle dcoule l'acceptabilit du systme de dfense : LODexcs = LODdisponibles LODexiges Pour que le systme de dfense soit acceptable, LODexcs doit tre positif pour toutes les squences de dfaillances i. Si LODexcs est positif et infrieur 1, une analyse plus pousse est ncessaire. La quantification de LODdisponibles est le rsultat d'audits. 3.2.5 Risque rsiduel Par consquent, en fonction du critre d'acceptabilit N choisi au dpart, le risque rsiduel est donn par :

Rrsiduel = 10 (Ci + LODexcs ) = 10


3.3 CONCLUSION

( Fi + LODdiponibles )

Le modle de risque TRAM comporte donc les lments suivants : les classes de frquence des vnements initiateurs , qui proviennent de donnes gnriques et / ou d'usines (comme les taux de fuite, ), les types de scnarios qui rassemblent un certain nombre d'vnements initiateurs amenant des consquences semblables, les barrires (LOD), qui reprsentent les dispositifs de l'usine conus pour empcher l'volution d'un vnement initiateur vers un accident important, ou pour attnuer les consquences d'un accident important s'il se dveloppe. Les LOD sont quantifies en utilisant les informations collectes lors des audits, les catgories de consquences, qui fournissent un moyen de classer les accidents importants en fonction de leurs consquences possibles, les arbres d'vnement qui lient les composants ci-dessus et reprsentent les squences de dfaillances menant un accident important partir d'un vnement initiateur.

Le modle de risques est bas sur un modle classique d'escalade de risque (Figure 2).

Page 8

INERIS DRA

LODi,1

LODi,2 Pi,2 Accident majeur

Pi,1 Evnement initiateur i fi 1-Pi,1


Installation en scurit

1-Pi,2

Installation en scurit

Squence de dfaillance i
Figure 2 : Modle de risques TRAM

A partir d'une analyse de risques, des scnarios sont tablis et tous les vnements initiateurs de ces scnarios sont transposs dans un arbre d'vnements o figurent toutes les barrires. Ensuite, TRAM permet la fois l'valuation du risque et l'valuation des barrires mises en place pour ce risque (aprs avoir choisi un critre d'acceptabilit pour chaque scnario redout). Cette mthodologie prend en compte toutes les lignes de dfense : actives, passives, physiques, procdures. C'est un atout trs intressant de la mthode. Cependant, pour que l'valuation soit mene terme, TRAM ncessite une base de donnes consquente sur les probabilits de dfaillances des barrires qui sont installes sur les process et / ou quipements.

Page 9

INERIS DRA

4. NIVRIM
4.1 GENERALITES NIVRIM a t dveloppe pour le Ministre des Affaires Sociales Nerlandais. C'est un outil d'inspection qui permet d'valuer si le SGS d'une entreprise rpond correctement aux exigences de la directive Seveso II pour les installations classes seuil bas. L'inspection effectue par cet outil comprend 6 tapes. La 6me tape concerne la notification des rsultats et ne sera pas dveloppe dans le prsent rapport. NIVRIM est issue de la mthode AVRIM2, ddie l'inspection des installations concernes par le seuil haut de la directive Seveso II. En effet, la mthode AVRIM2 intgre l'outil d'inspection NIVRIM dans sa globalit. 4.2 METHODOLOGIE 4.2.1 1re tape : prparation de l'inspection Il s'agit d'avoir un aperu de l'aspect technique des risques d'accidents majeurs, au travers des caractristiques de l'tablissement et du SGS, et de voir quels sont les textes applicables cette activit. Les documents utiliss par l'quipe d'inspection sont les notifications, les autorisations et tous les documents disponibles de l'tablissement (livre de scurit, procdures, valuation des risques, plan d'urgence interne). Les points particuliers examins de prs sont : - diversit de produits dangereux de l'tablissement, - type d'activit : stockage, chargement/dchargement, process en batch ou en continu,

- classement par catgories : produits dangereux, process, - quantit de produit dangereux sur le site en comparaison au seuil bas et au rapport de scurit, - dimension de l'tablissement pour identifier les accidents potentiels dus des effets domino, - le nombre de personnes exposes en dehors de l'tablissement dans le cas d'un accident majeur, - valuation des consquences potentielles, - retour d'exprience et analyse des circonstances pouvant conduire l'accident majeur, comme corrosion, rosion, erreurs humaines, facteurs externes, - estimation des effets potentiels en cas de perte de confinement : feu, explosion, dispersion, - ge du site, - ge des installations.

Page 10

INERIS DRA 4.2.2 2me tape : inspection du document dcrivant la politique de prvention des accidents majeurs Le but de cette 2me tape est de vrifier qu'un document existe, est disponible et d'valuer s'il couvre l'ensemble des points suivants : - si la politique a pour but de prvenir les accidents majeurs, - les tches, responsabilits et autorit pour effectuer des plans de prvention, - les critres pour valuer le risque d'accident majeur, - les moyens disponibles, - l'application des procdures au travers de procdures bien tablies, - l'application et valuation des politiques de prvention, - la structure de la communication. La qualit du document dcrivant la politique de prvention des accidents majeurs est estim sur une chelle 3 niveaux : - mauvais : les objectifs sont crits dans le document mais ils ne sont pas mesurables et le responsable de l'application des politiques de scurit n'est pas clairement identifi. - acceptable : Le document mentionne la plupart des sujets de la check-list de NIVRIM. Les objectifs de la politique de prvention sont clairs, les critres d'valuation du risque majeur sont fournis, les responsabilits sont dfinies. Cependant, le document ne mentionne pas suffisamment les moyens disponibles, l'application et l'valuation de la politique, et les faons par lesquelles les lignes directrices sont communiques au personnel impliqu dans la politique de prvention. - bon : le document contient tous les lments mentionns dans la check-list de l'tape 2 de NIVRIM. 4.2.3 3me tape : entretien management de l'tablissement avec une personne (responsable) du

L'engagement de l'quipe de management de l'tablissement doit tre sans ambigut (pour la politique de prvention des accidents majeurs et son application). Afin d'viter de trop impliquer l'quipe de management dans la vrification de l'engagement, l'quipe d'inspection s'entretient avec le(s) directeur(s) du management seulement. Le but de cette 3me tape est d'obtenir une image globale de la politique de prvention des accidents majeurs et de la qualit du SGS. Le dialogue doit suffisamment montrer si le management prend en compte les risques majeurs et s'il met en uvre les moyens adquats pour les matriser. 4.2.4 4me tape : inspection du SGS Cette tape est primordiale car elle permet de vrifier le fonctionnement du SGS avec plus de dtails. Dans cette tape, l'quipe d'inspection vrifie l'existence du SGS, son degr de couverture, sa connaissance et son application dans les ateliers. L'quipe d'inspection s'entretient avec plusieurs membres d'quipe de mme que les managers de la production responsables pour leur part du SGS, et vrifie leur dire en discutant avec les oprateurs. Page 11

INERIS DRA Dans cette tape, le SGS est divis suivant les 7 thmes de l'annexe 3 de la directive Seveso II. Pour chaque thme, une check-list est disponible avec des questions cotes sur une chelle 4 niveaux : - absent : pas d'approche systmatique (--), - faible : approche systmatique faiblement dveloppe (-), - raisonnable : approche systmatique disponible et plus ou moins complte, son excution pourrait tre amliore (-/+), - prsent : l'approche systmatique est prsente, complte et connue par le personnel ouvrier (+). La check-list peut tre prsente sous forme de tableau :
Prsence Est ce que la communication et les supports d'information sur le risque majeur sont organiss ? Le travail journalier est-il conforme avec l'organisation de la scurit ? Les oprateurs connaissent ils les exigences associes leur poste de travail pour le contrle de accidents majeurs + -/+ -Degr de couverture -/+ -Appropriation ---

Tableau 2 : Exemple de check-list pour chacun des 7 thmes de l'annexe 3 de la directive

Les 2 premires colonnes (prsence et degr de couverture) sont remplies en discutant avec le directeur et l'quipe de management, tandis que l'valuation de la dernire (appropriation) est obtenue partir des discussions avec les oprateurs. 4.2.5 5me tape : valuation du rsultat de "l'enqute" Toutes les informations obtenues lors des prcdentes tapes sont rassembles afin d'obtenir une photographie sur la qualit de fonctionnement du SGS. Une boucle de contrle a t dveloppe pour les socits obliges de produire un rapport de scurit, connue sous le nom de "boucle AVRIM2". Bien que le nombre de questions contenues dans les check-list de NIVRIM est bien infrieur celui de AVRIM2, cette boucle peut tre utilise pour vrifier l'adquation des SGS pour les tablissements classs seuil bas. Elle est constitue de 15 lments et relations. Elle est dcompose en 3 principaux compartiments, NIVRIM n'utilise que le 2me compartiment (qui est le compartiment intermdiaire), appel management de l'installation. Ce compartiment intermdiaire est compos de 3 niveaux : - fiabilit humaine, - communication, contrle et retour d'information, - organisation et normes.

Page 12

INERIS DRA 4.2.5.1 Boucle de contrle AVRIM2

Confinement
8.Attendus de la fiabilit humaine

9 Fiabilit du confinement

Niveau 1 : fiabilit du confinement

Niveau 2 : fiabilit humaine


6.Application du systme de contrle

7 Fiabilit humaine

10.Retour d'information sur l'quipement 11. Retour d'information sur les performances humaines

Management de l'installation

5 Systmes de contrle et de suivi formaliss (crits)

Niveau 3 : communication, contrle et retour d'information

12 Systmes de suivi formel

4. Procdures de formalisation

13.Analyse et suivi (de prs)

3 Organisation, connaissances, normes, planifications, politiques


2.Adaptation au systme "extrieur"

Niveau 4 : Organisation et normes


15.Amlioration de la scurit

14 Systme de rvision

Systme extrieur

1 Systme "extrieur"

Niveau 5 : Systme extrieur

Rvision des formations, normes

Figure 3 : Boucle de contrle et de management AVRIM2

Page 13

INERIS DRA Une matrice croise les diffrentes questions des 7 check-list de l'tape 4 avec les 15 lments et relations de la boucle de contrle et de management, soit :
1 0 2 1 3 5 4 10 5 26 6 17 7 6 8 1 9 1 10 8 11 4 12 15 13 10 14 8 15 6

Tableau 3 : Nombres de questions relatives aux lments de la boucle NIVRIM

Par exemple, il n'y a pas de question pour la relation 1, il y en a 10 pour la relation 4, et 15 pour l'lment 12, etc 4.2.5.2 Dtails des diffrents lments de la boucle Les paragraphes ci-dessous reprennent et explicitent les diffrents lments de la boucle, l'exception de la partie "systme extrieur". 3 : organisation, connaissances, normes, planifications, politiques. La socit doit tablir une organisation du management qui dterminera et appliquera la politique de scurit. Cette organisation doit avoir des connaissances sur la scurit, lui permettant d'tablir des normes de scurit sur lesquelles la scurit des oprations sera value et ajuste. La socit s'engage appliquer des politiques et des plans, et dsigner du personnel avec des rles spcifiques pour veiller l'application et la coordination de la politique et des plans. 4 : procdures de formalisation. Les politiques, les standards et les plans sont formaliss par des procdures qui dtermineront ce qui doit tre crit et l'organisation de l'information. Les procdures de formalisation doivent reprendre ce qui est important pour le SGS, et permettre l'organisation de l'information pour qu'elle soit accessible et comprhensible par tous. 5 : Systmes de contrle et de suivi formaliss (crits). Tous les supports de documentation jouent un rle dans le suivi et le contrle des personnes et des quipements. Sont inclus les politiques, les plans, les procdures, les schmas, les ordres de mission, les donnes de scurit des matriels, les revues de scurit, le manuel de scurit Le systme de documentation devra reprendre la connaissance de la socit sur le travail en scurit, dmontrer qu'il a t soumis la revue de scurit et accept par les responsables. Il doit tre disponible et comprhensible par tous les utilisateurs. 6 : Application du systme de contrle. Ce n'est pas suffisant de mettre le SGS sur papier. La politique et les procdures doivent tre appliques au moyen de la structure de management, par tout le personnel, des dirigeants aux oprateurs, en utilisant la communication, la formation et tous les moyens disposition (personne, quipement, outils, contrles et affichages).

Page 14

INERIS DRA 7 : Fiabilit humaine. C'est la fonction qui affecte finalement la fiabilit de confinement au travers de la conception, la construction, la maintenance et l'exploitation. La fiabilit humaine dpendra de l'information, des formations, de l'interface homme machine, de la dfinition des tches et des charges de travail, de l'environnement de travail. Elle dpendra galement de l'efficacit avec laquelle est contrle la scurit au travers de l'application de normes et procdures. 8 : Attendus de la fiabilit humaine. Les processus de prise de dcision qui dterminent les actions, telles que la rsolution des conflits entre les besoins et pressions de la production, et la scurit dterminent les attendus. La discipline la compagnie pour l'excution des rgles, telles qu'effectuer des revues de dangers, suivre les procdures correctement, assurer une maintenance approprie sans danger, etc., influencera le comportement des personnes sur la scurit de l'usine. Les non conformits, incidents et presque incidents seront un indicateur de performance. 9 : Fiabilit du confinement. Le confinement est ralis par des rservoirs, des conduites de transfert, des petites canalisations qui contiennent les produits dangereux, et tous les systmes associs dans la conception de l'usine et du process chimique qui agissent en prvention et en protection contre le dpassement de la limite de contenance. Les actions et dcisions humaines qui sont prises en diffrents points du cycle de vie de l'installation affecteront l'intgrit des systmes de confinement. 10, 11 : Retour d'information. L'application de la scurit est suivie par des mesures, l'observation, des audits, des runions revue de scurit, et par la remonte des informations des oprateurs vers leur hirarchie. Finalement, les informations du suivi de la scurit retournent au plus haut niveau du management par l'intermdiaire de rapports rguliers de performance de la scurit. 12 : Systmes de suivi formel. La prise des informations pour le suivi de la scurit est hautement dpendante des exigences formelles du suivi de la scurit, et l'existence de personnel avec des rles spcifiques pour le suivi de la scurit, telle qu'une quipe interne d'audit, entrane la ralisation d'audit et l'utilisation de systme d'audit formalis. Le systme de suivi formel se rapporte aux normes qui ont t labores et appliques sur la partie "contrle" de la boucle. Il inclut la rcupration des donnes sur les incidents et presque incidents.

Page 15

INERIS DRA

13 : Analyse et suivi. Les donnes rcupres propos de la performance du SGS ncessiteront une analyse, afin de fournir des informations significatives, pour pouvoir en tirer les enseignements. Il est important de ne pas se limiter l'analyse des statistiques des vnements suivis, mais aussi d'analyser les raisons sous jacentes, par exemples : pourquoi une norme correspondante l'application de la scurit n'a pas t respecte, quel contrle tait dfaillant ou n'tait pas en place ? 14 : Systme de rvision. Le procd d'analyse permet d'identifier les dfaillances de contrle ou les pertes de contrle. Il est alors ncessaire de rviser ou de renforcer le procd de contrle par lequel la scurit est applique. De cette faon, le systme entier est auto ajust. 15 : Amlioration de la scurit. Le suivi pour identifier les besoins de rviser le SGS est appliqu pour la scurit, au moins pour obtenir le niveau fix dans les normes, ou pour l'amliorer quand les normes sont toujours satisfaites. Quand la boucle est entire, l'amlioration continue de la scurit est accomplie, ce qui est mis en vidence par la formalisation de plans d'amlioration de la scurit. 4.3 CONCLUSION NIVRIM est un outil d'inspection trs labor qui permet l'valuation du SGS des installations couvertes par le seuil bas de Seveso II aux Pays Bas. AVRIM2 englobe la mthode NIVRIM, dont elle est issue. La connaissance pralable de NIVRIM permet une meilleure comprhension d'AVRIM2.

Page 16

INERIS DRA

5. AVRIM2
5.1 GENERALITES AVRIM2, de mme que NIVRIM a t dveloppe pour le Ministre des Affaires Sociales Nerlandais. AVRIM2 est une mthode holistique, base sur le concept de scnarios et de lignes de dfense (concept similaire TRAM). Cette mthode permet d'valuer "la solidit" du Systme de Gestion de la Scurit d'une entreprise, en ce qui concerne la matrise des risques de perte de confinement de substances dangereuses, dans le cadre des sites soumis la directive Seveso II et classs seuil haut. L'valuation est effectue travers l'examen du rapport de scurit (quivalent de l'tude des dangers) et une inspection du site. Cette mthode et son logiciel d'application SAVRIM (la version anglaise n'est pas disponible la date de rdaction de ce rapport) permettent d'assister l'valuation du rapport de scurit et d'effectuer l'inspection des risques majeurs d'un site industriel, avec au dpart, une limitation aux effets susceptibles de se produire sur le site (on-site). AVRIM2 repose sur le concept suivant : le SGS doit tre adapt au systme technique et aux risques associs. Ce concept drive de l'exprience et de l'observation des lgislateurs et Inspecteurs du travail du Ministre des Affaires Sociales Nerlandais. Ce concept exige que : les Inspecteurs doivent en premier valuer le systme technique avant d'examiner le SGS, l'Industriel doit montrer par quels moyens le SGS gre la prvention des accidents majeurs du systme technique. 5.2 METHODOLOGIE 5.2.1 Matrice des risques La matrice des risques permet l'valuation de l'occurrence des scnarios. L'application de la directive SEVESO II aux Pays Bas exige une valuation quantifie des risques pour les scnarios avec des consquences hors du site. Les donnes de dfaillance pour cette valuation quantitative proviennent de donnes historiques gnriques et d'expertises. Ces donnes ont pour but de se concentrer sur la fiabilit des systmes de LOD (Line Of Defence) et les possibles consquences en cas de dfaillances, permettant ainsi l'Inspecteur de mener bien une vrification de la qualit des LOD. Dans cette perspective, une approche semi quantitative est recommande ; le calcul des probabilits de dfaillances et les consquences qui en dcouleraient peuvent tre classs dans des catgories, dont les critres sont proposs par l'exploitant. La matrice des risques rsulte de la composition de ces catgories. Plus les consquences des scnarios d'accident sont graves, plus la fiabilit des LOD devra tre importante.

Page 17

INERIS DRA
Probabilit de perte de confinement 5 Trs grave 5 Trs importante 4 Importante 3 Moyenne 2 Faible 1 Trs faible X X X X O 4 Majeure X X X O O

Consquence 3 Srieuse X X O O = 2 Mineur X O O = = 1 Ngligeable O O = = =

Tableau 4 : Matrice des risques AVRIM2

X : risque lev inacceptable. La Socit doit le rduire par des mesures de prvention et / ou des moyens de protection. O : risque lev. La Socit doit adresser aux inspecteurs des analyses cots bnfices des rductions de risque supplmentaires mettre en place. Les inspecteurs doivent vrifier ces analyses cots bnfices et les contrles dj en place. = : acceptable. Aucune action n'est requise.
Echelle de probabilit 1 trs faible jamais vu dans ce secteur industriel presque impossible dans l'tablissement <10-4 par an 2 faible dj rencontrer dans ce secteur industriel possible dans l'tablissement <10-3 par an 3 moyenne dj rencontrer dans la socit occasionnelle mais peut arriver quelque fois dans l'tablissement <10-2 par an 4 importante arrive quelque fois par an dans toute la socit possibilit d'incidents isols dans l'tablissement <10-1 par an 5 trs importante arrive plusieurs fois par an dans toute la socit incidents rpts dans l'tablissement >10-1 par an 1 ngligeable impact mineur sur le personnel, pas d'arrt de production cot < 4540 2 mineur soins mdicaux pour le personnel, dommage mineur, petite perte de production cot < 45400 3 srieuse personnel srieusement bless (arrt de travail), dommages limits, arrt partiel de la production cot < 227000 4 majeure blessure handicapante vie, dommages importants, arrt de la production cot < 454000 5 trs grave un ou plusieurs morts, dommages trs tendus, long arrt de la production cot > 4540000 Echelle des consquences

Tableau 5 : Classe de frquences AVRIM2

Page 18

INERIS DRA 5.2.2 Scnarios et lignes de dfense ou barrires (LOD) La description des tapes par lesquelles les accidents peuvent se raliser est base sur l'identification de scnarios, avec unicit ou combinaison de dfaillances du systme technique, donc des quipements et procdures relatifs la matrise du confinement des substances dangereuses. Ces scnarios sont retranscrits l'aide d'arbres de dfaillances et d'arbres d'vnements, joints, constituant une figure en forme de "nud papillon".

Evnements initiateurs

Barrires de Dfense techniques

D A N G E R S

Major accident

C O N S E Q U E N C E S

Figure 4 : modle du nud papillon AVRIM2 est compos de 11 arbres gnriques auxquelles sont associs 139 vnements de base, reprsentant un total de 125 scnarios de perte de confinement. Sur les arbres gnriques sont places les lignes de dfense qui agissent soit en prvention, soit en protection. 4 types de LOD sont dfinies dans AVRIM2 : - LOD physiques : elles sont intrinsques au matriel, comme l'paisseur du mtal d'un rservoir - LOD "contrle et instrumentation" : elles prviennent une dfaillance de mesure et/ou de contrle du process. Par exemple, une boucle de contrle, un filtre, une pompe, etc, font partie de cette catgorie, - LOD passives : protection contre les chocs, soupapes - LOD pour prvenir l'erreur humaine : procdures, informations, formations. Ces LOD permettent le lien entre le SGS et le systme technique : en effet, le SMS est li aux LOD, qui prviennent ou protgent contre l'occurrence des scnarios, et ces LOD font partie du systme technique.

Page 19

INERIS DRA 5.2.3 Liens entre SGS et systme technique A chaque vnement de base (obtenu partir des arbres gnriques) correspond un ensemble de lien qualifi de "check-list LOD". Une "check-list LOD" comprend : - un vnement de base, - un ou plusieurs types de LOD associs au scnario issu de l'vnement de base, - des cycles de vie par LOD, - des thmes de management par cycle. Les cycles de vie sont : - la conception et les modifications, - la construction, - l'exploitation, - la maintenance, l'inspection et les tests.

5.2.4 Les thmes de management Les thmes de management ralisent l'interconnexion du systme technique au systme de management. Pour chaque cycle de vie existe un modle de management, une boucle de suivi et de contrle. Cette boucle possde un nombre de composants de contrle et de suivi lis, comme par exemple un systme de contrle d'auto amlioration et d'auto rgulation. Pour chacun des 15 composants de la boucle du systme, il existe des thmes communs. Les points importants pour l'audit du systme sont groups sous 9 thmes, qui rappellent chacun des 15 composants de la boucle (voir NIVRIM). La slection d'un nombre limit de thmes (9) rend possible un audit restreint de la boucle de contrle et de suivi. Ces 9 thmes de management qui interviennent dans tous les cycles de vie sont : - connaissance des dangers / risques, - utilisation de normes, - matrise des conflits scurit - production, - tudes de scurit obligatoires, - procdures de scurit, - aptitude, comptence et entranement, - les facteurs humains dans le management, - supervision et vrification, - retour d'exprience. Le concept permet de passer du systme technique au SGS mais galement du SGS au systme technique selon le modle prsent dans la figure ci-dessous. La Figure 5 montre l'imbrication des diffrentes "couches" successives depuis les dangers et leur identification jusqu'au cycle de vie, en passant par les LOD et le SGS. Page 20

INERIS DRA

Operations

Design

LIFE CYCLE
Hazard review systems

Construction

Maintenance

Standards

Knowledge of hazards

SAFETY MANAGEMENT

Manning, competence, training

Technical systems

Physical containment Procedures

HAZARD CONTROL (Lines Of Defence) Process instrumentation and HAZARD EVALUATION


Loss of Containment Scenarios control

Conflict handling

Work systems

Flammable

Toxic

HAZARDS
Human factors Management

Physical Barriers for diverting mass/energy

Management systems
Incident analysis

Supervision and checking

Figure 5 : Prsentation des dangers en relation avec les systmes technique et de management

5.3 CONCLUSION Pour l'instant, cette mthode est uniquement applique aux usines chimiques. Cette mthode est avant tout base sur des scnarios qui amnent une perte de confinement, retranscrits par des arbres de dfaillances et d'vnements, d'o l'importance de l'analyse des risques. AVRIM2 reprend des concepts dvelopps dans TRAM (notamment les LOD et le passage du quantitatif au semi quantitatif). La quantification des dfaillances reste difficile et s'obtient par un retour d'exprience ou le recours aux experts. La difficult est amoindrie en raisonnant sur du semi quantitatif, donc sur des classes de probabilit et catgories de consquence. C'est une procdure uniforme qui permet l'valuation des sites classs seuil haut dans la directive Seveso II. La mthode met en vidence des liens entre le systme technique et le SGS, et elle en tient compte pour l'valuation du SGS. L'valuation du SGS est principalement base, aux Pays bas, sur la partie gauche de la figure en papillon, soit l'arbre des dfaillances, de par l'approche probabiliste prne. De plus, ces valuations sont menes par des Inspecteurs du travail Nerlandais qui se focalisent plus sur les aspects de prvention que sur les aspects de protection.

Page 21

INERIS DRA En France, de par notre approche dterministe, l'valuation du SGS recherche se porte plus sur la partie droite de la figure en papillon (arbre des vnements), sur les barrires qualifies de protection voire d'intervention. En rsum, AVRIM2 sert la fois pour l'valuation des scnarios et LOD retenus dans le rapport de scurit, et pour l'valuation du SGS par l'intermdiaire de NIVRIM, module issu de la mthode AVRIM2.

Page 22

INERIS DRA

6. ANALYSE DES METHODES


Ce chapitre prsente une synthse des points forts et des particularits des mthodes tudies dans les chapitres prcdents. Il convient de souligner que ces approches sont toutes bases sur le concept de barrires de scurit (Line Of Defence) avec raisonnement en semi quantitatif pour lvaluation de leurs qualits. LINERIS a pu tester cette approche et la trouve approprie pour l'analyse des risques et l'identification des mesures de rduction de risques. A partir de ltude de ces mthodes, lINERIS a identifi les tapes particulirement importantes pour proposer une dmarche dvaluation de la qualit des mesures de rduction des risques, quelles soient dordre technique ou organisationnel. Par ailleurs, il convient dinsister en prambule ce chapitre que toutes les mthodes tudies nont de sens et dintrt que si une analyse des risques pertinente est mene, en particulier, dans le sens de lidentification des dangers. A ce titre, il convient dinsister sur limportance de mener lanalyse des risques en groupe de travail avec une mthode structure de type HAZOP, AMDEC, APR ou Arbre des Dfaillances. La combinaison des mthodes inductives et dductives est lidal, mais la lourdeur de ces deux tapes est gnralement rdhibitoire. Il convient donc de retenir que lanalyse des risques constitue le fondement et le pralable ces approches dvaluation des barrires de scurit techniques et organisationnelles 6.1 TRAM Domaine dapplication Mthode d'valuation du rapport de scurit et audit de scurit par linspection. Points forts Evaluation la fois des risques et des barrires associes, Evaluation possible de toutes les barrires (active, passive, procdure, physique), Compatibilit avec les normes CEI 61508 et CEI 61511, Approche semi-quantitative avec critres dacceptabilit du nombre de barrires installer face une squence accidentelle, Introduction de la notion dquivalence des barrires de scurit, Proposition d'une approche daudit pour vrifier que la ralit est conforme lapproche thorique mene partir du rapport de scurit. Donnes dentre, besoins, contraintes Ncessit d'une base de donnes sur les probabilits de dfaillances des barrires, mais aussi sur les frquences doccurrence des vnements initiateurs. Ce genre dinformation est difficile obtenir pour un process particulier. Forcment, faute de retour dexprience suffisant sur linstallation tudie, des incertitudes seront introduites en utilisant les informations de bases de donnes gnriques. Besoin de dfinir des critres dacceptabilit pour le nombre et la qualit des barrires. Dans cette mthode, les critres dacceptabilit sont fixs sur la base du nombre de victimes susceptibles dtre impliques en cas daccident. Page 23

INERIS DRA 6.2 NIVRIM Domaine dapplication Mthode dinspection plus oriente sur les mesures organisationnelles, utilise pour l'inspection des tablissements seuil bas selon Seveso II. Points forts Cohrence avec une approche sociologique de l'valuation des organisations, Prise en compte la fois la formalisation dun systme de gestion de la scurit et le fonctionnement de ce systme, Vrification de l'impact du SGS tous les niveaux hirarchiques (du directeur l'oprateur), Prsence d'une grille d'audit permettant l'inspection du SGS. Donnes dentre, besoins, contraintes Ncessit de mener des entretiens, d'avoir des rencontres avec le personnel des installations inspectes : la dure de linspection stend sur plusieurs jours, Ncessit d'une sensibilisation aux concepts de gestion, aux facteurs humains et aux organisations. 6.3 AVRIM2 Domaine dapplication Mthode dinspection et danalyse du rapport de scurit, utilise pour l'inspection des tablissements seuil haut selon Seveso II. Points forts Lien entre les mesures techniques de matrise des risques et les mesures organisationnelles, Dmarche systmatique et gnrique : rassurant pour linspection, mais quelquefois pas suffisamment dtaill sur des points prcis du process, Idem NIVRIM quant l'valuation du SGS. Donnes dentre, besoins, contraintes Ncessit de mener des entretiens, d'avoir des rencontres avec le personnel des installations inspectes : la dure de linspection stend sur plusieurs jours, Ncessit d'une sensibilisation aux concepts de gestion, aux facteurs humains et aux organisations. De manire gnrale et valable pour les trois mthodes tudies, lapproche est lourde et ncessite un investissement important pour la personne qui mne lanalyse. Cependant des logiciels permettent, aussi bien pour TRAM que pour AVRIM2, de faciliter le traitement des donnes. Page 24

INERIS DRA

7. INTERET DES METHODES ETUDIEES POUR LANALYSE DE LA QUALITE DES BARRIERES TECHNIQUES
TRAM et AVRIM2 (et NIVRIM) sont des mthodes utilises respectivement en Angleterre et aux Pays Bas pour mener bien l'inspection des tablissements soumis la directive Seveso II. Bien que TRAM soit plus axe sur les dispositifs techniques, elle permet aussi la prise en compte des barrires de type organisationnel. AVRIM2 et NIVRIM, quant elles, sont plus orientes sur l'inspection du SGS. Le champ d'application de ces mthodes se cantonne pour l'instant aux tablissements chimiques. Lanalyse de ces mthodes a t utile deux niveaux : Premirement, pour structurer une approche pour vrifier l'efficacit des barrires de scurit. Deuximement, pour trouver une cohrence entre la matrise technique et organisationnelle des risques. 7.1 STRUCTURATION DUNE APPROCHE POUR LANALYSE DES BARRIERES TECHNIQUES En ce qui concerne la structuration dune approche pour vrifier l'efficacit des barrires de scurit mises en place par les exploitants, les concepts de la mthode TRAM nous semblent trs intressants et utiles pour proposer une approche adapte au contexte franais. En particulier, lapproche semi-quantitative propose dans TRAM qui vise proportionner la qualit des barrires au niveau de consquences des squences potentielles daccident est approprie et pourra tre adapte. Le raisonnement est plus facile mener sur la qualit des barrires que sur la quantification de la probabilit doccurrence des vnements accidentels. Toutefois, pour mener lanalyse, il est ncessaire de connatre les probabilits de dfaillances des barrires de scurit et des chanes de scurit. Ce type de donnes est toujours difficile obtenir. Aussi, lINERIS continuera de travailler sur ce thme, notamment en se rapprochant dindustriels, utilisateurs dquipements de scurit. Dans cette optique, des contacts ont t pris avec lEXERA. Autre point fort de la mthode TRAM, lapproche est cohrente avec lapplication des normes CEI 61508 et CEI 61511. L'application de ces normes, ddies la scurit fonctionnelle des systmes lectriques / lectroniques / lectroniques programmables (cf. annexe A) permet de dterminer, entre autre, le niveau d'intgrit et de scurit des barrires, qui est en relation directe avec leurs probabilits de dfaillances. Au total, la combinaison de lapproche semi-quantitative de TRAM et la mthode dvaluation des normes CEI permettrait de construire un systme danalyse cohrent et oprationnel qui pourrait tre utile pour mener lanalyse des barrires dans le cadre de ltude des dangers. Il reste le vrifier sur le terrain industriel que lanalyse complte peut tre mene. Des tests de lapproche devraient tre lancs prochainement.

Page 25

INERIS DRA 7.2 COHERENCE ENTRE MAITRISE TECHNIQUE ET ORGANISATIONNELLE DES RISQUES Les mthodes NIVRIM et AVRIM2 se focalisent plus sur lanalyse du systme de management. Lapproche qui est dveloppe dans ces 2 mthodes est base sur le fait que le systme organisationnel (SGS) est li au systme technique par l'intermdiaire des barrires (LOD), ce qui donne une cohrence entre la matrise technique et organisationnelle des risques. LINERIS a dcid de dvelopper ce concept pour formaliser une mthode danalyse des risques qui combine les aspects techniques et organisationnels. Cette mthode a t baptise ATOS (Analyse Technique et Organisationnelle de la Scurit). Elle sarticule de la manire suivante : Dans un premier temps, une analyse des risques techniques des activits de lentreprise est ralise. Cette analyse repose sur la mise en uvre de mthodes classiques danalyses telles que lAnalyse Prliminaire des Risques, Analyse des Modes de Dfaillances et leurs Effets, Hazop, Cette analyse est effectue en vue didentifier les activits ayant un impact sur la scurit et donc potentiellement sur lenvironnement et de mettre en lumire les barrires techniques de scurit prsentes sur le site. Dans un second temps, un audit des pratiques organisationnelles est ralis pour toutes les activits identifies ltape prcdente. Cet audit porte sur : Les aspects formels de lorganisation : valuation des procdures mises en place par lindustriel en vue de grer la scurit relative au risque majeur (analyse et valuation des risques, gestion des modifications, gestion du retour dexprience), Les aspects informels de lorganisation (communication, prise de dcision, coopration, comptences). Cet audit met en uvre des techniques spcifiques pour lanalyse des facteurs organisationnels. Cette approche complte sera teste prochainement sur le terrain. A ce titre, lINERIS recherche des partenaires industriels, en particulier des PMI de la chimie.

Page 26

INERIS DRA

8. REFERENCES
Linda J. BELLAMY, Willit G. J. BROUWER. AVRIM2, a Dutch major hazard assessment and inspection tool. Journal of hazardous materials, n65 (1999), p 191-210. A. R. HALE, F. GULDENMUND, K. SMITH, L. BELLAMY. Modification of technical risk assessment with management weighting factors ESREL 1998 A. R. HALE, M. A. F. COSTA, L. H. J. GOOSSENS, K. SMIT. Relative importance of maintenance management influences on equipment failure and availability in relation to major hazards. ESREL 1999. Linda J. BELLAMY, Ir. JAAP van der SCHAAF. Major hazard management : technical-management links and the AVRIM2 method Seveso 2000, Athne (1999). Joy I. H. OH, Linda J. BELLAMY. AVRIM2 : a holistic assessment tool for use within the context of EU Seveso II directive. Seveso 2000, Bordeaux. A. ZANDVOORT. Implementation of the seveso-2 guideline at a large chemical site in the Netherlands. The conference forum Aldgate East, London, 6-8 november 2000. Joy I. H. OH, Linda J. BELLAMY. Use of the inspection tool AVRIM2 to inspect the demonstrating aspects. The conference forum Aldgate East, London, 6-8 november 2000. Dr Tom. MADISON, Dr P. KIRK, Richard STANSFIELD. Technical Risk Audit Method (TRAM). Development and application to the auditing of major hazard sites. Patrick J. NAYLOR, Dr Tom MADISON, Richard STANSFIELD. TRAM : Technical Risk Audit Methodology for comah sites. CEI 61508. Scurit fonctionnelle des systmes lectriques / lectroniques / lectroniques programmables relatifs la scurit. 1998. CEI 61511. Functional safety : safety instrumented systems for the process industry sector. 1999. Eric FAE, Jean-Luc DURKA. Conception et valuation de la scurit fonctionnelle des systmes instruments de process industriels. Rapport INERIS. 2001 Page 27

INERIS DRA

9. LISTE DES ANNEXES


Repre A Dsignation prcise Cycle de vie et niveau dintgrit de scurit dans les normes CEI 61511 et CEI 61508 Nombre de pages 6

Page 28

INERIS DRA

ANNEXE A

CYCLE DE VIE ET NIVEAU DINTEGRITE DE SECURITE DANS LES NORMES CEI 61511 ET CEI 61508

Annexes

INERIS DRA

CYCLE DE VIE ET NIVEAU DINTEGRITE DE SECURITE DANS LES NORMES CEI 61511 ET CEI 61508

Les normes CEI 61508 et 61511 ont t ralises par des groupes de travail internationaux, sous la direction de la Commission Electrotechnique Internationale. La norme CEI 61508 traite de la scurit fonctionnelle des systmes lectriques / lectroniques / lectroniques programmables relatifs la scurit. La CEI 61511 est une dclinaison de la 61508 applique aux processus industriels. L'approche de ces normes est base sur deux concepts qui sont le cycle de vie et le niveau d'intgrit de scurit.

Le cycle de vie
Afin de traiter de faon systmatique toutes les activits ncessaires pour assurer le niveau d'intgrit de scurit prescrit pour les systmes E/E/PE relatifs la scurit, les normes 61508 et 61511 ont choisi un cycle de vie de scurit global comme cadre technique, qui englobe les trois mesures suivantes de rduction des risques : systmes de scurit E/E/PE, systmes de scurit bass sur d'autres technologies, dispositifs externes de rduction de risque. Le cycle de vie de scurit globale est reprsent Figure 6. Les activits relatives la vrification, la gestion et l'valuation de la scurit fonctionnelle ne sont pas reprsentes mais concernent toutes les phases globales du cycle de vie de scurit des systmes E/E/PE. La portion du cycle de vie de scurit global qui concerne les systmes de scurit E/E/PE est appele "cycle de vie de scurit du systme E/E/PE" (cf. Figure 7). Chaque systme de scurit E/E/PE possde un cycle de vie.

Annexes

INERIS DRA

1 Ide gnrale

2 Dfinition globale du domaine d'application

3 Analyse des dangers et des risques

4 Prescriptions globales de scurit 5 Allocation des prescriptions de scurit

Planification globale 6 Planification globale de l'exploitation et de la maintenance 7 Planification globale de la validation de la scurit 8 Planification globale de l'installation et de la mise en service

9 Ralisation des systmes de scurit E/E/PE

10 Ralisation des systmes de scurit autre technologie

11 Dispositifs externes de rduction de risque

12 Installation et mise en service globale

13 Validation globale de la scurit

Retour vers la phase du cycle de vie de scurit global adquate

14 Exploitation, maintenance et rparations globales

15 Modification et remise niveau global

16 Mise hors service ou au rebus

Figure 6 : Cycle de vie de scurit globale (issue de la figure IEC 1647/98)

Annexes

INERIS DRA

9 Ralisation des systmes de scurit E/E/PE

9.1 Spcification des prescriptions de scurit pour les systme E/E/PE 9.1.1 Spcification des prescriptions pour les fonctions de scurit 9.1.2 Spcification des prescriptions pour l'intgrit de scurit

9.2 Planning de validation de la scurit des E/E/PE

9.3 Conception et dveloppement des E/E/PE

9.4 Intgration des E/E/PE

9.5 Procdures d'exploitation et de maintenance des E/E/PE

9.6 Validation de la scurit des E/E/PE

Vers l'tape 14 de la Figure 6

Vers l'tape 12 de la Figure 6

Figure 7 : Cycle de vie de scurit du systme E/E/PE (issue de IEC 1 647/98)

Annexes

INERIS DRA

Le niveau d'intgrit de scurit ou Safety Integrity Level (S.I.L.)


La dtermination du besoin d'un systme E/E/PE pour un quipement donn, en plus d'autres dispositifs externes de scurit, est effectu au pralable par une analyse de risques. Cette analyse des risques est suivie de l'utilisation d'un modle de rduction du risque pour estimer le S.I.L. associ au systme E/E/PE. Cette dmarche est illustre Figure 8.
Consquences d'vnement dangereux Risque quipement Frquences d'vnement dangereux Dispositifs externes de rduction du risque

Systmes E/E/PE relatifs la scurit

Systmes relatifs la scurit bass sur d'autres technologies

Risque tolrable cible

Analyse des risques

Rduction ncessaire du risque

Intgrit de scurit relative aux dispositifs externes de rduction de risque et aux systmes relatifs la scurit adapts la rduction ncessaire du risque

Figure 8 : Concepts de risque et d'intgrit de scurit

La norme 61508 spcifie 4 niveaux d'intgrit de scurit, le niveau 4 tant le plus lev et le niveau 1 le plus faible. Les objectifs en matire de scurit pour les 4 niveaux d'intgrit de scurit sont spcifis dans le Tableau 6 et le Tableau 7. Deux paramtres sont spcifis, un pour les systmes relatifs la scurit fonctionnant en mode demande basse et un pour les systmes relatifs la scurit fonctionnant en mode demande continue ou leve.
Niveau d'intgrit de scurit 4 3 2 1 Mode de fonctionnement faible sollicitation (Probabilit moyenne de dfaillance excuter, lors d'une sollicitation, la fonction pour laquelle il a t conu) 10-5 < 10-4 10-4 < 10-3 10-3 < 10-2 10-2 < 10-1

Tableau 6 : Correspondance entre niveaux d'intgrit de scurit et probabilit de dfaillance pour un systme de scurit E/E/PE fonctionnant en mode faible sollicitation

Annexes

INERIS DRA

Niveau d'intgrit de scurit 4 3 2 1

Mode de fonctionnement continu ou forte sollicitation (Probabilit d'une dfaillance dangereuse par heure) entre 10-9 et 10-8 entre 10-8 et 10-7 entre 10-7 et 10-6 entre 10-6 et 10-5

Tableau 7 : Correspondance entre niveaux d'intgrit de scurit et probabilit de dfaillance pour un systme de scurit E/E/PE fonctionnant en mode continu ou de forte sollicitation

L'application des normes CEI 61508 et 61511 permet donc d'apprcier si un systme de scurit E/E/PE est ncessaire et de dterminer son niveau d'intgrit de scurit associ pour rduire le risque (analyse de risques et rduction du risque). L'application d'un cycle de vie dfini par les normes permet la vrification du niveau d'intgrit de scurit prescrit a chaque stade de sa vie, de la conception la mise hors service en passant par les modifications.

Annexes

INERIS DRA