Vous êtes sur la page 1sur 14

Introduction :

Ce chapitre présente une méthodologie pour la détermination des éléments Importants Pour la
Sécurité dans le cadre d’études des dangers. Ainsi des méthodes pour évaluer la performance
des barrières de sécurité.

2.1 Principes directeurs pour la sélection des éléments IPS :

La détermination des éléments IPS se fonde principalement sur l’analyse de risques qui
permet de distinguer les scénarios d’accidents majeurs.
Pour chacun de ces scénarios, il convient d’identifier des fonctions de sécurité à assurer en
vue de prévenir l’occurrence d’un accident majeur ou d’en limiter les conséquences.
L’exploitant retient ensuite certains éléments comme IPS parmi les barrières de sécurité
susceptibles de remplir ces fonctions avec un niveau de performance acceptable.
Cette identification des éléments IPS est réalisée préférentiellement lors de l’analyse des
risques menée en groupe de travail.
En fonction des résultats d’approches plus détaillées (évaluation quantitative des
conséquences d’accidents, examen détaillé de certains scénarios…), la liste d’éléments IPS
proposés en groupe de travail peut être complétée ou validée.
Enfin, une présentation de la liste des éléments IPS retenus doit être réalisée dans l’étude des
dangers en mettant notamment en lumière les tâches organisationnelles relatives à ces
éléments.

Ces différentes étapes sont détaillées dans les paragraphes suivants.

2.1.1 Analyse des risques :

L’analyse du risque est définie dans le Guide ISO/CEI 51 :1999 comme « l’utilisation des
informations disponibles pour identifier les phénomènes dangereux et estimer le risque ».
L’analyse des risques vise tout d’abord à identifier les sources de dangers et les situations
associées qui peuvent conduire à des dommages sur les personnes, l’environnement ou les
biens.

L analyse des risques associées a l exploitation d’installation industrielle suit le démarche


suivant .ce démarche se décompose généralement en plusieurs étapes.

• Définition du système à étudier et des objectifs à atteindre :


Cette étape préliminaire permet de définir clairement le cadre de l’analyse des risques.

• Recueil des informations indispensables à l'analyse des risques :


Cette seconde étape vise à collecter l’ensemble des informations pertinentes pour mener le
travail d’analyse de façon efficace. Outre la description fonctionnelle de l’installation à
étudier et de son environnement, il est indispensable d’avoir clairement identifié :

- Identification des potentiels de dangers sur la base des dangers liés aux produits et à
leurs conditions de mise en œuvre,
- Identification et analyse des risques d’agressions externes, qu’elles soient d’origine
naturelle (séisme, foudre, inondations…) ou liées à l’activité humaine (effets dominos,
voies de communication, malveillance…),
- Analyse des accidents passés sur les installations étudiées ou des installations
similaires.
• Définition de la démarche à adopter :

Dans cette étape, il est notamment question de choisir un ou plusieurs outils pour mener
l’analyse des risques et de retenir, si nécessaire, des échelles de cotation des risques et une
grille de criticité.

• Mise en œuvre de l’analyse de risques dans le cadre d’un groupe de travail :

Pour être aussi exhaustive que possible, l’analyse des risques doit être menée au sein d’un
groupe de travail réunissant des spécialistes des installations étudiées.

L’analyse des risques constitue le cœur de l’étude des dangers et du processus de


détermination des éléments IPS.

Importance de l'analyse des risques :

Lors de l’analyse des risques en groupe, quel que soit l’outil utilisé, il s’agit, dans un premier
temps, d’identifier une dérive ou défaillance de départ, d’en identifier l’ensemble des causes
et enfin, d’en caractériser l’ensemble des conséquences (à savoir les effets sur les cibles).
Très clairement, ce travail vise à déterminer des scénarios d’accidents.
Bien entendu, au cours de la réflexion, de nombreux scénarios peuvent être identifiés sans
qu’ils concernent tous la problématique des accidents majeurs. Il y a alors lieu d’identifier les
scénarios d’accidents majeurs qui devront être étudiés dans le cadre d’une étude des dangers
et pour lesquels des éléments IPS devront être définis.

2.1.2 Identification des scénarios d accidents majeurs :

L’identification des scénarios d’accidents majeurs est réalisée au sein du groupe de


travail sur la base d’une évaluation semi-quantitative des dommages potentiels au
niveau des cibles. Pour cela, l échelle de cotation de la gravité est inespéré a partir de la
grille de criticité.

La grille de criticité :

1 Niveau de probabilité :

Le niveau de probabilité d’une grille est une échelle qui repose sur une approche
qualitative, semi quantitative, quantitative de l’estimation de l’apparition des
événements redoutés.

Le tableau suivant présente les niveaux de probabilité de la grille selon l’approche


qualitative

Classe Description
qualitative :
« événement Possible n’est impossible au vu des connaissances actuelles, mais non rencontré
mais extrêmement peu au niveau mondial sur un très grand nombre d années d installation.
probable » E
« événement très s’est produit dans ce secteur d’activité mais a fait l objet de mesures
improbable » D correctives réduisant significativement sa probabilité.
« événement un événement similaire déjà rencontré dans le secteur d’activité ou
improbable » C dans ce type d’organisation au niveau mondial, sans que les
éventuelles corrections intervenues depuis apportent une garantie de
réduction significative de sa probabilité.
« événement s’est produit et/ou peut se produire pendant la durée de vie de l
probable » B installation.

s’est produit sur le site considéré et / ou peut se produire à plusieurs


« événement courant » reprises pendant la vie de l installation, malgré d’éventuelles mesures
A correctives.

Tableau : niveau de probabilité

2 Niveau de gravité :

Pour chaque événement dangereux, un niveau de gravité sera défini pour l'impact sur les
biens, un autre pour l'impact sur les personnes et un troisième pour l'impact sur
l'environnement. L’échelle de gravité semi quantifiée se présentera comme suit

A ce stade, il s'agit d'identifier les situations accidentelles qui, si elles ne sont pas maîtrisées,
peuvent conduire à des dommages majeurs sur les cibles. Dès lors, l'identification des
scénarios d'accidents majeurs doit être réalisée en négligeant l'action de toutes les
barrières de sécurité éventuellement présentes. La suite de l'analyse des risques consistera
bel et bien à montrer que ces barrières sont effectivement correctement dimensionnées vis-à-
vis des risques identifiés.
2.1.3 Définition des fonctions importante pour la sécurité :

Une fonction Importante Pour la Sécurité traduit une action à réaliser pour maîtriser au mieux
le risque d’accident majeur.
Elle peut se décliner selon qu’elle vise à :

• Prévenir l’occurrence d’un événement redouté (prévention),


• Limiter les conséquences d’un événement redouté (protection),
• Eventuellement, contrôler une situation dégradée (intervention).
Ainsi, pour chacun des scénarios d’accident majeur identifié, le groupe de travail doit
définir les fonctions IPS à assurer.
L’analyse des risques d’origine interne à une installation permet de mettre en valeur de
nombreuses fonctions de sécurité agissant en prévention et quelques-unes agissant en
protection.
L’analyse des risques d’origine externe vise quant à elle à étudier les causes et les
conséquences des agressions externes sur les équipements (chocs, flux thermiques, ondes de
pression…). Elle met en valeur certaines fonctions de prévention mais plus particulièrement
des fonctions de protection et d'intervention qui peuvent être qualifiées d'IPS par l'exploitant.
L’intervention consiste à limiter les conséquences de l’événement redouté par action humaine
ou par la mise en œuvre de moyens d’intervention qui visent à soustraire les cibles aux effets
d’un accident. De ce fait, elle peut être assimilée à une action de protection.

En règle générale, il est souhaitable de définir des fonctions IPS agissant en prévention et en
protection.

2.1.4 EXAMEN DES PERFORMANCES DES BARRIERES DE SECURITE :

Pour chacune des fonctions de sécurité identifiées, il s’agit alors de dresser la liste des
barrières de sécurité pouvant remplir a priori la fonction considérée.
Ces barrières peuvent être des équipements ou des opérations à réaliser. Elles ont
normalement été listées ou proposées lors de la phase d’analyse des risques.

Les performances des barrières de sécurité sont évaluées à partir de leur capacité de
réalisation, de leur temps de réponse et de leur niveau de confiance.
La démarche d examen des performances des barrières de sécurité était détaillée dans le
chapitre précédent.

2.1.5 Choix des EIPS :

Sur la base de l’identification des fonctions IPS des barrières et de l’évaluation des
performances de ces dernières, le groupe de travail procède à la sélection des éléments
IPS.
Dans certains cas, le groupe de travail ne peut se prononcer faute de données suffisamment
renseignées. C’est pourquoi une phase de validation des éléments IPS peut être nécessaire.

2.1.6 Validation des EIPS :

La validation de la liste des éléments IPS peut faire appel à des outils particuliers permettant
d’apporter des réponses quantitatives à certaines questions soulevées par le groupe de travail.
Il peut par exemple s’agir de :
• Vérifier que la capacité de réalisation d’une tour de neutralisation de gaz toxique est
suffisante pour limiter grandement les effets associés à une fuite particulière. Dans ce
cas, il s’agira de réaliser un calcul de distances d’effets en prenant en compte le taux
d’abattage de cette tour ;
• Valider le temps de réponse de débitmètres devant détecter une chute de débit sur une
longue canalisation. Il s’agira alors de mener une étude hydraulique en étudiant la
décompression dans la canalisation ;
• Justifier le niveau d’intégrité de sécurité d’une barrière de sécurité à partir d’outils
issus de la Sûreté de Fonctionnement.
De telles études particulières doivent être réservées à des cas jugés particulièrement critiques
et pour lesquels des éléments de réponse quantifiés sont nécessaires. Une telle démarche doit
être décidée au cas par cas.
En fonction des résultats de cette étape, la liste des éléments IPS peut être amendée, modifiée
ou complétée. Dans tous les cas, elle doit être validée par l’exploitant.

2.1.7 Présentation des éléments IPS :

La dernière étape de ce processus consiste à présenter les éléments IPS dans le cadre de
l’étude des dangers.
Pour la clarté de cette présentation, il est recommandé de bien préciser à quels scénarios
d’accidents majeurs les éléments IPS se rapportent. Il est de plus indispensable de bien mettre
en lumière les actions que l’exploitant s’engage à mener pour assurer un niveau de
performances optimal des éléments IPS.

Figure 4 : Identification des éléments IPS dans les études de dangers

2.2 Méthodes basées sur les barrières de sécurité :


Des méthodes développées pour évaluer et inspecter les mesures de sécurité mises en place
sur les installations industrielles. En général, ces méthodes sont utilisées, soit pour évaluer le
contenu du rapport de sécurité, qui formalise la démonstration de l’identification et de la
maîtrise des risques, soit pour inspecter les sites.

2.2.1 ARAMIS (Accident Risk Assesment Methodology for IndustrieS) :

Dans le contexte de la maitrise des risques, ARAMIS a choisi de s’orienter vers une approche
par barrières. Il s’agit d’identifier tous les scénarios d’accidents majeurs envisageables puis de
recenser les dispositions de sécurité ou barrières s’opposant au développement de l’accident.
L’acceptabilité des risques réside ensuite dans le choix du nombre et de la performance des
barrières à installer pour considérer les risques maîtrisés.
L’organisation humaine assure le maintien dans le temps de la qualité des barrières. A cet
égard, cette dernière doit aussi être évaluée à travers un indice M qui reflète le degré de
confiance fait au système humain pour garantir la fiabilité et la disponibilité des barrières.

DEROULEMENT DE LA METHODE
La méthode ARAMIS est structurée en six étapes :

1. Identification des scénarios potentiels d'accident majeur (MIMAH)


L‘identification des scénarios d‘accident repose sur l‘utilisation d‘une série d‘arbre de
défaillance et d‘arbres d‘événement génériques correspondant aux différents types
d‘équipements utilisés régulièrement dans l‘industrie chimique.
L'identification des scénarios est précédée par une étape permettant de sélectionner les
équipements, de l‘installation étudiée, qui doivent faire l'objet d'une analyse. Cette
sélection est réalisée en tenant compte de la nature et de la quantité des substances
ainsi que des conditions dans lesquelles elles sont mises en œuvre.
Pour chaque couple formé d‘un équipement et de la substance qu‘il contient, la
méthode permet de définir la liste des événements critiques (EC), perte de
confinement ou perte d‘intégrité physique, qu‘il est susceptible de générer. A chaque
EC ARAMIS associe un arbre de défaillance générique qui sera ensuite modifié pour
correspondre aux spécificités de l‘installation étudiée. De même, à partir d‘un
événement critique et de la substance dangereuse impliquée, la méthode permet de
construire un arbre d‘événement type, qui, combiné à l‘arbre de défaillance forme un
nœud papillon représentatif de plusieurs scénarios d‘accident. Ces arbres génériques
ne constituent naturellement qu‘un guide pour l‘analyste qui doit exercer son
expertise pour conserver ou éliminer des événements, prolonger des branches lorsque
c‘est pertinent.

2. Identification des barrières de sécurité et évaluation de leurs performances


Une fois les scénarios d‘accident potentiels identifiés, la méthode ARAMIS prévoit
d‘identifier les barrières de sécurité permettant de réduire la probabilité de
l‘accident ou d‘en réduire la gravité potentielle. Des listes de barrières sont
proposées pour aider l‘utilisateur dans sa démarche.
En parallèle, un graphe de risque inspiré de la norme CEI 61508 permet de définir
les exigences de sécurité associées à un scénario donné et de définir ainsi le niveau
de confiance global que doivent avoir les barrières de sécurité pour que le scénario soit
acceptable.

3. Evaluation de l'efficacité du management et de son influence sur les


performances des barrières de sécurité
Deux questionnaires d‘audit permettent de prendre en compte les performances du
management de l‘usine et la culture de sécurité sur le site. Les niveaux de
confiance des barrières de sécurité sont affectés par le management et la culture
de sécurité et sont donc recalculés à l'issue de cette évaluation.
4. Identification des Scénarios de Référence (MIRAS)
Une matrice de criticité est utilisée ensuite pour déterminer les scénarios de référence
qui vont faire l‘objet d‘une modélisation des effets.

5. Estimation et cartographie de la sévérité des scénarios de référence


La sévérité des scénarios est alors évaluée. Plusieurs indices de sévérité ont été définis.
Un premier indice permet de représenter les effets potentiels d'un scénario d'accident. Il
repose sur une normalisation des effets dans une échelle unique. L'indice 100
correspondant au début des effets létaux et l'indice 0 à des effets nuls. L'évaluation des
effets du scénario considéré conduit à calculer cinq distances d'effet correspondant à
cinq seuils auxquels sont affectés les indices 100, 75, 50,
25 et 0. Entre ces distances seuils, l'indice de sévérité décroît de façon linéaire.
Un indice de sévérité global a aussi été défini. Il permet de représenter le cumul des
sévérités de l'ensemble des scénarios d'accident sur le site pondéré par les probabilités
associées à chaque scénario. A l'issue de ce calcul, il est donc possible de tracer une
carte de sévérité autour du site.

6. Cartographie de la vulnérabilité
La carte de sévérité, une fois tracée, peut être mise en regard de la carte de
vulnérabilité établie dans la dernière étape de la méthode. La vulnérabilité est
estimée en faisant l'inventaire des éléments vulnérables potentiels (ou enjeux) autour
du site industriel. Chaque type d'enjeu (humain, matériel, environnemental) est
décomposé en différentes catégories dont la vulnérabilité relative à différents types
d'effets a été évaluée sur la base d'un jugement d'expert. La vulnérabilité globale
d'une zone est donc obtenue en effectuant une somme des différents types d'enjeux
pondérée par leur vulnérabilité relative au type d'effet considéré.
La méthode ARAMIS a donc pour objectif de produire, in fine des résultats utiles à
la décision en matière de maîtrise de l'urbanisation puisqu'elle permet de
représenter de façon synthétique le risque sous forme d'une carte de sévérité couplée
à une carte de vulnérabilité. Elle vise aussi à apporter des informations utiles
relatives à la maîtrise du risque à la source, en identifiant les scénarios potentiels et
les barrières qui permettent de les maîtriser. Enfin, elle constitue une approche innovante
de la quantification de l'influence du management sur la sécurité du site.
Les études de cas réalisées au cours du projet ARAMIS ainsi que les applications qui ont
été faites de la méthode depuis la fin du projet on montré son intérêt mais aussi certaines
limites ou difficultés d‘application. Une partie de ces limites est liée
à l‘absence de critères de décision permettant d‘exploiter la représentation de la sévérité
et de la vulnérabilité. Cette difficulté a été en partie levée en France par l‘adoption des
critères d‘appréciation de la maîtrise des risques et des critères de définition des zones de
maîtrise de l‘urbanisation dans le cadre des PPRT, sur la base desquels l‘indice de
sévérité peut être réinterprété. De même, l‘évaluation de
la performance des barrières de sécurité faite dans ARAMIS correspondait à une première
approche. Les connaissances en la matière ont bien évolué depuis la fin
Lopa :
La méthode LOPA [CCPS 2001] a été développée à la fin des années 1990 par le
CCPS (Center for Chemical Process Safety). LOPA signifie Layer Of Protection
Analysis (Analyse des niveaux de protection). C'est une méthode orientée au barrière au
même titre qu'ARAMIS. Les premières étapes sont d'ailleurs assez comparables à
celles de la méthode ARAMIS, en termes de principes généraux, même si de
nombreuses différences subsistent au niveau des détails des deux méthodes. En
revanche, LOPA ne prévoit pas de représentation cartographique de la sévérité et de la
vulnérabilité.

La méthode LOPA peut être décomposée en six principales étapes :

1. Etablissement des critères de sélection des scénarios à évaluer.


Cette étape est un préalable à l'analyse de risques. Elle fournit le moyen de limiter la
durée de l'étude en ne considérant que les scénarios significatifs en termes de
conséquences. Le critère peut être un critère d'intensité (quantité de produit rejeté, flux
mesuré à la source) ou un critère de conséquence qui intègre implicitement l'existence
d'enjeux aux alentours.

2. Développement des scénarios d'accident


Les scénarios d'accident sont développés sur la base d'une analyse de risques utilisant des
outils traditionnels tels que l’AMDEC ou l'HAZOP .Les scénarios sont représentés sous
forme d'un nœud papillon.

3. Identification des fréquences d'événements initiateurs


Une analyse détaillée des scénarios est entreprise en considérant chaque
combinaison d'événements initiateurs associés à une conséquence. La fréquence
d'occurrence de chaque événement initiateur est estimée sur la base de données
internes de retour d'expérience ou de données issues de la littérature.

4. Identification des dispositifs de sécurité et de leurs probabilités de défaillance à la


demande
Pour chaque scénario on identifie alors les dispositifs de sécurité, en considérant les
critères de qualification de ces dispositifs que sont leur indépendance par rapport au
phénomène ou à l'événement auquel ils s'appliquent, la capacité de réalisation du
dispositif, la possibilité d'inspecter le dispositif. Les dispositifs qui répondent à ces
critères sont qualifiés d'IPL (Independent Protection Layer), concept à rapprocher de
celui d'EIPS (Eléments Importants Pour la Sécurité).
A chaque dispositif de sécurité est associée une probabilité de défaillance à la sollicitation
qui correspond à un facteur de réduction du risque. LOPA fait référence de façon explicite
au niveau d‘intégrité de sécurité (SIL, Safety Integrity Level), inspiré de la norme CEI
61508. Les systèmes de sécurité considérés sont essentiellement techniques, mais il est en
théorie possible de prendre aussi en compte les barrières humaines ou organisationnelles
[Gowland 2006].
5. Estimation du risque
La probabilité du scénario d'accident est alors estimée en réduisant la probabilité de
l'événement initiateur de plusieurs ordres de grandeur correspondante aux niveaux de SIL
des dispositifs de sécurité retenus. Comme dans la méthode ARAMIS, des matrices
de décision permettent de définir le niveau de réduction du risque minimum que doivent
présenter les systèmes en fonction du niveau de conséquence possible du scénario et de
la fréquence de l'événement initiateur. La méthode LOPA n'impose cependant pas
d'utiliser ces matrices et l'utilisateur est libre de mettre en Œuvre des calculs de sûreté
de fonctionnement plus traditionnels s'il le souhaite et en a la possibilité.

6. Evaluation du risque par rapport aux critères d'acceptabilité


La dernière étape de la méthode consiste à s'assurer que le risque est maîtrisé, c'est à dire
qu'il est bien inférieur aux critères d'acceptabilité qui ont été fixés au préalable. LOPA
n'impose pas de type de critère prédéfini et propose ainsi quatre catégories de critères :
• une grille de criticité comportant une limite d'acceptabilité en termes de gravité et de
fréquence ;
• un critère purement quantitatif portant sur le niveau de conséquence du scénario ;
• un critère spécifiant le nombre de dispositifs de sécurité indépendants nécessaires pour
considérer qu'un scénario est suffisamment maîtrisé ;
• un critère de risque cumulé maximum pour un site ou un procédé.

Il n‘est pas prévu dans LOPA de produire des informations utiles pour la maîtrise de
l'urbanisation. Ainsi l'évaluation de la vulnérabilité et la cartographie de la sévérité ne
sont pas abordées dans la méthode.

AVRIM 2

AVRIM2 est une méthode basée sur le concept de scénarios et de lignes de défense (concept
similaire à TRAM). Cette méthode permet d'évaluer "la solidité" du Système de Gestion de la
Sécurité d'une entreprise, en ce qui concerne la maîtrise des risques de perte de confinement
de substances dangereuses. L'évaluation est effectuée à travers l'examen du rapport de sécurité
(équivalent de l'étude des dangers) et une inspection du site.

Méthodologie :

Matrice des risques :

La matrice des risques permet l'évaluation de l'occurrence des scénarios par évaluation
quantitatif des risques pour les scénarios avec des conséquences hors du site.
Les données de défaillance pour cette évaluation quantitative proviennent de données
historiques génériques et d'expertises. Ces données ont pour but de se concentrer sur la
fiabilité des systèmes de LOD (Line Of Defence) et les possibles conséquences en cas de
défaillances, permettant ainsi à l'Inspecteur de mener à bien une vérification de la qualité des
LOD.
Dans cette perspective, une approche semi quantitative est recommandée ; le calcul des
probabilités de défaillances et les conséquences qui en découleraient peuvent être classés dans
des catégories, dont les critères sont proposés par l'exploitant. La matrice des risques résulte
de la composition de ces catégories. Plus les conséquences des scénarios d'accident sont
graves, plus la fiabilité des LOD devra être importante.

Tableau : Matrice des risques AVRIM2

X : risque élevé inacceptable. La Société doit le réduire par des mesures de prévention et / ou
des moyens de protection.
O : risque élevé. La Société doit adresser aux inspecteurs des analyses coûts bénéfices des
réductions de risque supplémentaires à mettre en place. Les inspecteurs doivent vérifier ces
analyses coûts bénéfices et les contrôles déjà en place.
= : acceptable. Aucune action n'est requise.

Echelle de probabilité Echelle des conséquences

1 : très faible 1 : négligeable


jamais vu dans ce secteur industriel impact mineur sur le personnel, pas d'arrêt de
presque impossible dans l'établissement production
<10-4 par an
2 : mineur
2 : faible soins médicaux pour le personnel, dommage
déjà rencontrer dans ce secteur industriel mineur, petite perte de production
possible dans l'établissement
<10-3 par an 3 : sérieuse
personnel sérieusement blessé (arrêt de
3 : moyenne travail),
déjà rencontrer dans la société dommages limités, arrêt partiel de la
occasionnelle mais peut arriver quelque fois production
dans
l'établissement 4 : majeure
<10-2 par an blessure handicapante à vie, dommages
importants, arrêt de la production
4 : importante
arrive quelque fois par an dans toute la 5 : très grave
société un ou plusieurs morts, dommages très
possibilité d'incidents isolés dans étendus,
l'établissement long arrêt de la production
<10-1 par an

5 : très importante
arrive plusieurs fois par an dans toute la
société
incidents répétés dans l'établissement
>10-1 par an

Tableau : Classe de fréquences AVRIM2

Scénarios et lignes de défense ou barrières (LOD) :


La description des étapes par lesquelles les accidents peuvent se réaliser est basée sur
l'identification de scénarios, avec unicité ou combinaison de défaillances du système
technique, donc des équipements et procédures relatifs à la maîtrise du confinement des
substances dangereuses. Ces scénarios sont retranscrits à l'aide d'arbres de défaillances et
d'arbres d'événements, joints, constituant une figure en forme de "nœud papillon".

Liens entre SGS et système technique :

A chaque événement de base (obtenu à partir des arbres génériques) correspond un ensemble
de lien qualifié de "check-list LOD".
Une "check-list LOD" comprend :
-un événement de base,
- un ou plusieurs types de LOD associés au scénario issu de l'événement de base,
- des cycles de vie par LOD,
- des thèmes de management par cycle.
Les cycles de vie sont :
- la conception et les modifications,
- la construction,
- l'exploitation,
- la maintenance, l'inspection et les tests.

Les thèmes de management :

Les thèmes de management réalisent l'interconnexion du système technique au système de


management. Pour chaque cycle de vie existe un modèle de management, une boucle de suivi
et de contrôle. Cette boucle possède un nombre de composants de contrôle et de suivi liés,
comme par exemple un système de contrôle d'auto amélioration et d'auto régulation.
Pour chacun des 15 composants de la boucle du système, il existe des thèmes communs.
Les points importants pour l'audit du système sont groupés sous 9 thèmes, qui rappellent
chacun des 15 composants de la boucle. La sélection d'un nombre limité de thèmes (9) rend
possible un audit restreint de la boucle de contrôle et de suivi.

Tram :

La méthode TRAM a été développée par l'administration anglaise (Health and Safety
Executive). C'est un outil d'audit des risques et d'inspection .cette méthode est basée sur le
modèle d'arbres d'événements.

C'est une technique qui permet l'évaluation approximative à la fois des risques et des mesures
de réduction associées aux risques pour des processus donnés. Ces mesures de réduction du
risque (ou barrières) sont appelées 'lignes de défense' (LOD : Line Of Defence). Ces LOD
font l'objet d'un audit.

TRAM est définie comme une méthodologie conforme et cohérente avec les principes de la
norme CEI 61508.

Méthodologie :

Ligne de défense (Line Of Defence) ou barrière :

Dans TRAM une LOD (Line Of Defence) est définie numériquement de la façon suivante:

LOD = −log10 (PFD)

avec PFD : probabilité de défaillance sur demande. Si le taux de sollicitation de la barrière est
continu, alors PFD est remplacée par la probabilité de défaillance par heure (PFU).

Les lignes de défense se répartissent en 4 groupes :


• active : barrière nécessitant une source d'énergie extérieure pour remplir à bien sa
fonction et l'initiation de ses composants, comme une chaîne de détection,
• passive : barrière qui n'a pas besoin de source d'énergie extérieure pour fonctionner
correctement, par exemple une cuvette de rétention, une soupape de sécurité
mécanique,
• physique : barrière provenant d'un processus physique ou naturel, comme les
conditions climatiques, la dissipation naturelle de la chaleur,
• procédure : barrière indiquant de façon très précise, les interventions humaines à
effectuer pour supprimer ou réduire les conséquences d'un évènement initiateur.

Catégorie de conséquences :

TRAM définit la catégorie de conséquences (Ci) des accidents issus de défaillances sur une
échelle allant de 1 à 7. En pratique, considérant la sécurité des personnes et les conséquences
environnementales, l'échelle utilisée est comprise entre 3 et 7. Mais cette échelle n'est pas
fermée et Ci peut prendre des valeurs supérieures à 7.
Ci est déterminée par :
Ci= -log 10 (αN/m)

Ci : catégorie de conséquences de la séquence de défaillances i


αN: critère d'acceptabilité choisi pour un accident provoquant de N à 10N morts
m : nombre de séquence de défaillances provoquant de N à 10N morts

Tableau 1 : Catégories de conséquences dans le modèle TRAM


Classe de fréquence :

Dans TRAM, la classe de fréquence (Fi) de la séquence de défaillances i est définie par :

Fi = log10 ( fi )
fi : fréquence de l'évènement initiateur de la séquence de défaillances i.

Evaluation du risque :

Le risque Ri, dû à la séquence de défaillances i, relie la conséquence et la fréquence


d'occurrence de la façon suivante :

R i = f iC iP i
fi : fréquence de l'évènement initiateur de la séquence de défaillances i
Pi : probabilité pour que cette séquence de défaillances i évolue vers un accident de catégorie
de conséquence Ci
Si les barrières sont indépendantes les unes des autres, alors :

Pi,j : probabilité de défaillance sur demande de la barrière j dans la séquence de défaillances


i.

Pour être acceptable, chacune des séquences de défaillances i doit vérifier :

Fi + LODexigées ≥ Ci
Fi : classe de fréquence de la séquence de défaillances i

Avec : LODexigées = Σj LODi avec LODi = −log10 (Pi, j )

LODexigées donne l'acceptabilité du risque de laquelle découle l'acceptabilité du système de


défense :
Ci : catégorie de conséquence de la séquence de défaillances i

Principe de la méthode :

Le principe de cette méthode comporte les éléments suivants :

• Les classes des fréquences des événements initiateurs qui proviennent des données
génériques et/ou d usines (comme les taux de fuite…) ;
• Les types de scénarios qui rassemblent un certain nombre d’évènements initiateurs
amenant à des conséquences semblables ;
• Les barrières (LOD),qui représentent les dispositifs de l’usine conçus pour empêcher l
évolution d un événement initiateur vers un accident important ,ou pour atténuer les
conséquences d un accident important s il se développe.les LOD sont quantifiées en
utilisant les infirmations collectées lors des audits ;
• Les catégories des conséquences