Maîtrise des risques

UV TS 01
Risque industriel
2ème Partie
(module n°4)
 Plan

1. Reprise du sujet « criticité »

2. Retour d’expérience : Flixborough
3. Méthodes d’analyse des risques
1. Méthode HAZOP
2. Revue What if ?
Conclusion
 Retour sur un point de cours et de TD
DÉTERMINATION DE LA CRITICITÉ
 Détermination de la criticité

Niveau Exemple

1 – Peu Fréquent / Fréquent 1 fois par mois

R=PxG 2 - Rare 1 fois tous les ans

3 – Très rare 1 fois tous les 10 ans

4 – Extrêmement rare 1 fois tous les 25 ans

Gravité
Mineure Significative Grave Très grave
Probabilité
Niveau Définition Exemple

1 - Mineur Blessure bénigne / soin infirmier Plaie légère,… Fréquent ou C2 C3 C3 C3

Peu fréquent
2 - Significatif Blessure avec arrêt (incapacité Fracture,…
temporaire)

3 - Grave Blessure avec arrêt (incapacité Perte d’un doigt,.. Rare C1 C2 C3 C3

permanente) Trouble musculo
Maladie professionnelle squelettique (TMS)

4 – Très grave Blessure avec arrêt (incapacité Inapte au travail Très rare C1 C1 C2 C3
permanente grave) Amiante
Maladie professionnelle grave
décès
Extrêmement C1 C1 C2 C3
rare
 Matrice Shell
Probabilité Définition
Gravité Conséquences potentielles
P : Personnes
Note B : Biens E Arrivé plusieurs fois par an sur votre site
E : Environnement
R : Réputation
P : plusieurs décès D Arrivé plusieurs fois par an dans votre
5 B : dommages énormes (perte partielle ou totale
d’opération et coût supérieur à 10 M€ compagnie
E : effets énormes
R : impact international C
P : un à trois décès Arrivé dans votre compagnie
4 B : dommages importants (perte partielle
d’opération 2 semaines d’arrêt coût inférieur à 10 B
M€ S’est produit dans votre industrie
E : effets importants
R : impact national A
P : blessures graves (Arrêt de travail prolongé) Pas connu dans votre industrie
3 B : dommages localisés, arrêt partiel d’unité (peut
redémarrer et coût inférieur à 1 M€) A B C D E
E : effets localisés
R : impact important 0
P : blessures mineures (AAA)
2 B : dommages mineurs, bref arrêt de production 1
(coût inférieur à 100 000 €)
E : effets mineurs 2
R : impact limité
P : blessures légères (soin infirmerie ASA) 3
1 B : dommages légers, pas d’arrêt de production
(coût inférieur à … €) 4
E : faibles effets (internes au site ou coût
négligeable) 5
R : impact faible
P : pas de blessé
0 B : pas de dommages Vert : maîtrise permanente du risque
E : pas d’effet (ni environnement, ni coût) Jaune : mesures de réduction (ALARP) nécessaires pour la maîtrise du risque
R : pas d’impact Rouge : analyse du risque ou solution alternative
(jaune hachuré = indéterminé entre vert et jaune)
 Matrice calculée
V
4 4 8 12 16

3 3 6 9 12

2 2 4 6 8

1 1 2 3 4

1 2 3 4 G

Acceptable C<4
A surveiller de 4 à 6
Inacceptable C>6
 Matrice construite puis chiffrée
V
4 4,5 8 12 16

3 3 6 9 12,5

2 2 4,25 6,5 8,5

1 1 2,5 3,5 4,75

1 2 3 4 G

Outil pour classer les événements dans une liste sur la base d’une pondération issue
du produit V x G = R où on affecte un poids supérieur à G
(V=3 x G=1 => R=3, V=1 x G=3 => R= 3,5 Seule exception en cas de changement
de zone de risque 4,5 et 4,25)
 Résultat d’une cartographie des risques
N°7 Attentat
Vraisemblance
N°27 Rumeur, dénigrement, boycott
4 9
N°12 Atteinte des VIP, athlètes,…
N°13 Accident de personne (du travail ou d’un spectateur)
3 16 29 13 17
N°17 Grève des transports en commun
N°3 Atteintes aux structures
1 6 8 10 11
2 4 19 20 24
18 21
12 7 27
N°22 Interdiction administrative
N°9 Dégradation
2 14 25 26
1 28
15 23 5 3 22
N°1 Incendie et / ou explosion grave dans le stade
1 2 3 4 Gravité N°6 Risques naturels
N°8 Sabotage
N°10 Mouvement de foule
N°11 Mouvement de foule (sur le parvis)
N°18 Blocage par des manifestants
N°21 Empêchement (ou interdiction) due à une épidémie
N°5 Risque de voisinage
N°16 Grève de personnel des sous-traitants
N°29 Action en justice contre le Stade de France
N°15 Grève de personnel du Consortium
N°23 Malversation, fraude
N°4 Défaillance informatique (de « process »)
N°19 Blocage par événement dans l’environnement
N°20 Défaillance d’un partenaire
N°24 Vol de documents, d’informations
N°2 Incendie et / ou explosion grave dans un parking
N°14 Maladie professionnelle
N°25 Pollution majeure dans le stade (historique, accidentelle)
N°26 Pollution majeure dans un parking (historique ou accidentelle)
N°28 Mise en cause qualité de service
 Introduction d’une 3ème composante
R =P x G
Ajout d’une appréciation de :
• La maîtrise du risque
(1= procédé maîtrisé à 4 Non-conformité, absence de procédure)
OU
• La détectabilité du risque
(1= détection systématique et monitorée à 4 détection impossible
en l’état)
 Exemple
2 4 6 8 10

Probabilité Rare très haute

Gravité pas d’effet catastrophique
Détectabilité détection systématique détection impossible
Exemple
Exemple
Samedi 1er juin 1974

FLIXBOROUGH
Explosion d’un nuage de 40 à 50 tonnes de cyclohexane
Soit environ 20 tonnes d’équivalent TNT
 Présentation du contexte
L’usine synthétise un intermédiaire du Nylon à partir
de cyclohexane

Implantée dans une commune rurale à 260 km au

Nord de Londres

L’installation concernée : unité d’oxydation du

cyclohexane par l’air
L’installation
• une cascade de 6 réacteurs de 45 m3
chacun
• relié par une conduite de 28’’
• réaction en présence de catalyseur à
155°C et 8,8 bar
• débit de circulation 250 à 300 m3/h
 Les 6 mois avant l’explosion

En début d’année, départ de l’ingénieur d’entretien, non remplacé

Fonction confiée provisoirement à un technicien (spécialité électricité)

Le 27 mars découverte d’une fuite sur réacteur n°5

Le 28 mars décision de retirer le réacteur et d’installer un by-pass

By-pass réalisé avec du tube de D= 20’’ (le seul disponible) et non 28’’
Les modifications de l’installation
Les modifications de l’installation
 La séquence accidentelle
Entre le 1er avril et le 29 mai, le bricolage tient

29 mai : découverte d’une fuite => arrêt de l’installation

Samedi 1er juin : redémarrage de l’installation

• à 4 h nouvelles fuites => arrêt

• à 5 h redémarrage (fuites résorbées d’elles mêmes !)

• Nouvelle fuite => nouvel arrêt

(outillage spécifique non disponible)

• à 7 h redémarrage
• augmentation de la pression et de la température
• défaut d’azote
 L’accident
16 h 53 : rupture de la conduite de 20’’

Rejet d’environ 50 tonnes de cyclohexane

~ 30’ allumage du nuage

Explosion équivalente à 20 tonnes de TNT

28 morts et 90 blessés

Bâtiments détruits sur 600 m

90% des bâtiments endommagés sur 3,5 km
Bris de vitres dans un rayon de 13 km

Incendie pendant 2,5 jours

 Quelques enseignements

Les britanniques vont se lancer dans des études de risques

et largement inspirer la Directive SEVESO (1982)

Le programme électronucléaire français est lancé en 1974

obligation de prendre en compte le risque industriel

Séquence pré accidentelle souvent observée => alerte

 Une méthode spécifique

LA MÉTHODE HAZOP
Articulation entre les 3 méthodes
 HAZard & OPerability Studies
Approche par la dérive des paramètres
TROP DE débit

En 1963, construction par ICI d’une installation de

production de phénol et d’acétone à partir de cumène.
Réduction extrême des coûts => n’est-on pas allé trop
loin ?
Etude pour trouver les points faibles et optimiser
l’argent mis à disposition en s’inspirant de méthodes
d’organisation
 Mots guides
• TROP DE excès d’un paramètre (débit,
pression, température, viscosité,….)
• PAS DE absence du paramètre désiré
• INVERSION DE SENS
• MOINS DE (ou PAS ASSEZ de) insuffisance d’un
paramètre
• EN PLUS présence intempestive (phase :
vapeur, solide,… impuretés, eau, air,…)
• AUTRES démarrage intempestif, arrêt,
fonctionnement trop rapide, trop lent,….
 Cas des procédés en « batch »
• AVANT
• APRES
• TROP TÔT
• TROP TARD
Principe de la démarche HAZOP

Dérive de paramètre

Causes Conséquences
potentielles Préjudices

Détections &
actions possibles
actuellement ?

Actions
correctives
 Importance du lien causes / conséquences

Dérive Conséquences

Trop de pression déformation de l’enveloppe, éclatement

Seules solutions: capteur de pression ou soupape

Si on recherche les causes :

- fermeture vanne en aval
- surdimensionnement du compresseur
ou défaut de régulation
 Importance du lien causes / conséquences

Dérive Conséquences

Trop de débit réaction trop chauffée

de fluide caloporteur (emballement de réaction)

sauf si rupture du circuit caloporteur

en amont du réacteur
- absence de chauffage
- fuite du fluide à l’extérieur (et
inflammation ?)
 Les étapes
1. Choix des points à étudier
« capteurs du circuit » ou points spécifiques
2. Définir les paramètres
ne pas hésiter à être le plus complet possible :
retenir des paramètres qui se découplent dans
un seul cas (débit / niveau (fuite))
3. Choisir les mots guides
4. Débuter l’étude
 Tableau HAZOP

Existants

Possibles en fonction :
- des installations
- des procédures existantes

Eventuelle quantification de la gravité pour hiérarchiser les actions

Doit être complété par un tableau de suivi des actions décidées
 Qui fait ?
Nouvelle installation Installation existante
• Chef de projet • Le responsable d’unité
• L’ingénieur process • Le contremaître responsable de
• Le futur exploitant l’installation
• L’instrumentiste • L’ingénieur de production
• Un membre service de • L’ingénieur sécurité
maintenance • L’instrumentiste
• Un chimiste R&D • Un membre du service de
• L’expert HAZOP maintenance
• L’ingénieur d’étude
• L’expert HAZOP

Nombre optimal 7- 8 personnes, dont le « financier »

 Sur quels documents ?
• Travail le plus tôt possible mais sur des
documents « fiables » (PID)
• Éventuellement sur flowsheets …

• Recherche des dérives

– Indésirables
– Bénéfiques
 Pour être efficace
• Expert HAZOP indépendant
• Les experts de l’installation
• Le décideur final des modifications

• 2 à 3 réunions (1/2j) par semaine

• 1h1/2 à 3h par composant important (four,
réacteur, colonne à distiller,…
• Travail complémentaire entre les réunions
Cas sulfonation de naphtalène
Cas sulfonation de naphtalène

Chargement du naphtalène
Fusion du naphtalène
Sulfonation par addition H2SO4
Addition de formol
Condensation du produit

Neutralisation par solution de

Chaux
Filtration du produit
 Hazop

Trop de débit de formol

Cause : erreur de l’opérateur

Conséquence : emballement de la réaction

Détection par l’opérateur ?

Stopper l’ajout de formol et augmenter refroidissement ?

Toute l’étude a conclu à une augmentation de l’instrumentation

Exemple d’étude HAZOP

d’un stockage d’ammoniac

dans le cadre d’une étude
« SEVESO »
 Préparation de l’étude
• Renumérotation de tous les équipements
(dont 720 vannes)
• Mise à jour des PID
• Reformalisation des consignes
• Rédaction des descriptifs
– Installations
– Produits
– Réactions dangereuses
 Organisation
• 9 personnes ont participés
– 4 exploitants
– 2 mécaniciens
– 1 instrumentiste
– Le responsable de l’Etude des Dangers
– L’expert HAZOP

+ quelques interventions (électricien, exploitant de

l’atelier ammoniac, …)
 Mise en œuvre
Sélection des équipements « significatifs »

Mots guides utilisés : Paramètres étudiés :

• TROP DE • NIVEAU
• PAS DE • PRESSION
• MOINS DE • TEMPERATURE
• Inversion de sens • DEBIT
• IMPURETES
 Déroulement
• 20 réunion HAZOP (1/2 j) sur 10 semaines
+ travaux de recherche d’informations
complémentaires

• Au final : Préparation + HAZOP + Arbres de

défaillance + rédaction = 2 h.an
 Résultats
• Environ 50 recommandations de modifications
• Principales remarques :
– Modification d’Arrêts d’urgence
– Pb détection erreur de fournitures produits
– Possibilité de P > Pression de calcul
– Ambigüité d’info en salle de contrôle
– Cumul pour des capteurs de fonction sécurité &
exploitation
 Choix de BP 1127 comme « capteur dans le circuit »

Défaillance du détecteur de niveau=> niveau bas =>

1. arrêt pompes aval
2. débordement
3. liquide dans circuit gaz
4. déclenchement compresseurs

Arrêt total de l’installation

Difficulté de diagnostic
 Bilan
• La méthode HAZOP dédiée industrie de
procédé
• Un puissant outil :
– D’aide à la conception sûre
– De mise en évidence des événements redoutés =>
intro à d’autres méthodes
• Méthode participative
=> Appropriation des résultats
Mais …
 Pierrelatte 10/05/10
Poste de chargement de bouteilles
Fluor (10 ou 20%) Azote (90 ou 80%)
Azote risque d’anoxie
Fluor gaz toxique

Les bouteilles sont à 50 bar, le chargement doit les amener à 105 bar
Chargement de 2 cadres (A & B) à 90 bar, puis poursuite sur A seulement
Quand A à 105 bar, basculement automatique sur B
L’opérateur intervient pour remplacer les bouteilles de A.
Cadre B à son tour à 105 bar, basculement sur A alors que le
remplacement n’est pas achevé => rejet de gaz, 3 salariés légèrement
Intoxiqués.

Changement de procédures non pris en compte dans l’HAZOP

 Fabrication de détergents 15/01/11
Les eaux de procédés, chargées en matières organiques sont envoyées
dans un décanteur avant d’être rejetées dans la STEP

Un incendie s’est déclenché dans les surnageants, rapidement maîtrisé

Modification de l’atelier => plus de matières organiques

(pas traité dans l’HAZOP)

Système de chauffage par serpentin immergé (152°C) pour empêcher gel

Matière organique mal pompée => chauffage, décomposition

et inflammation

Nouvelle HAZOP : retrait serpentin & calorifugeage,

procédure de nettoyage et système d’extinction par injection de vapeur
 Rejet nuage d’acide
Heilbronn 21/09/10

A+B -> C
C+ H2O -> C’ + HCl
C’ + NaOH -> D + H2O

A P
Usine de 1947
nombreuses modifications P

Vanne manuelle mal réglée (absence de repère)

Ajout de 30 l d’eau au lieu de 3 l => emballement de la réaction
Automatisme en cas de surpression (>0,5 bar) ne peut rien
Rupture de la verrerie => rejet dans l’atelier
Ventilation (incendie) => rejet à l’extérieur (7 personnes intoxiquées)
 HAZOP incomplète
Disque de rupture taré à une pression supérieure
à celle de la verrerie

Réglage du débit (et de la quantité) d’eau dépendant

de l’opérateur (sans qu’il ne dispose de repère précis)

Probablement pas d’étude spécifique pour cette opération,

ni après chaque modification
 Comparaison des méthodes
Etudes de circuits de déchargement de SO2 & NH3
• HAZOP
– ~ 75% de ce qui est trouvé par
différentes méthodes.
– Idem pour ce qui est trouvé par Rex
– Ses limites :
• Défaillances de composants
• Erreurs humaines
• Agressions extérieures
AMDEC performante
˗ pour défaillances composants
˗ pour les systèmes alarme - contrôle

Besoin d’associer des méthodes complémentaires

 Quelques conseils
• L’animateur doit savoir gérer la réunion (ne pas
laisser dériver mais laisser de la liberté => idées
nouvelles, analogies, recueil d’expérience
• Reprendre l’étude après toute modification (au
moins avec les personnes les plus concernées,
dont les opérateurs !)
• Ne pas hésiter à compléter avec d’autres
méthodes
En fin d’étude, une possibilité de vérification

LA REVUE WHAT IF ?
 Objectif et intérêt de la méthode
• Identifier des risques qui seraient passés inaperçus au long des
études de sécurité accompagnant le projet

• Simple à mettre en œuvre

• Eclairage neuf par des personnes d’expérience extérieures au projet
• Travail de groupe stimulant

• Limitation du fait de l’absence de systématisme

 Documentation & préparation
• Chaque participant doit recevoir 15 j avant la réunion

• une description du procédé + schémas simplifiés

• une implantation générale

• Pour la réunion :

• schéma de procédé à disposition (1 pour 3 personnes)

• plan d’implantation détaillé
• liste de matériel principal (avec spécification)
• manuel opératoire (provisoire éventuellement)
• dossier de sécurité
– tableau des déviations
– liste des alarmes et sécurité
 Participants
• Chef de projet
• L’ingénieur procédé
• Le futur exploitant
• Un membre service instrumentation
• Un membre service de maintenance
• Un chimiste R&D
• L’ingénieur sécurité
• Des experts

Groupe similaire à celui d’une étude HAZOP

mais avec plus « d’extérieurs »
 Déroulement
• Introduction
Description de l’installation et du procédé par l’ingénieur procédé
Questions de compréhension

• Questions de sécurité
Animateur initie la discussion qui se poursuit par des jeux de questions
sous la forme « que se passe t-il si … »
Les questions sans réponse sont reportées hors réunion (éviter les
discussions stériles)

• Compte rendu
Les questions posées, les réponses, les actions & études demandées
Réponses écrites aux questions restées sans réponse (validation en
comité réduit)
CR final à tous les participants
 Questions typiques
• Manque d’utilités
Que se passe t-il si on n’a pas d’air d’instrumentation, d’électricité, d’azote, d’eau,
de vapeur,…?
• Changement de composition
Que se passe t-il si la qualité des matières change ?
Que se passe t-il si certaines impuretés sont introduites ?
• Conditions opératoires inhabituelles
Que se passe t-il s’il y a un dépassement des conditions opératoires normales (T,
P, Q, pH,…) ?
• Défaillance de matériel
Que se passe t-il si des instruments ou des analyseurs tombent en panne ?
Que se passe t-il si des produits fuient dans l’atmosphère ?
Que se passe t-il si certaines vannes ne fonctionnent pas correctement?
• Non respect des consignes d’exploitation
Que se passe t-il si certaines consignes ne sont pas observées ?
 Questions typiques
• Conséquences d’incidents externes à l’unité
Que se passe t-il si des soupapes ou des disques de ruptures fonctionnent dans
les unités avoisinantes ?
Que se passe t-il en cas d’incendie dans les unités avoisinantes ?
• Conséquences d’incidents internes à l’unité
Que se passe t-il pour les unités avoisinantes en cas d’incident ?
• Manipulation des produits
Que se passe t-il si les catalyseurs sont mis à l’air, dans l’eau,…?
Que se passe t-il le produit est libéré au sol, dans l’atmosphère, dans l’eau,…?
• Résidus
Que se passe t-il s’ils ne sont pas envoyés au traitement des effluents ?
• Sécurité
Que se passe t-il si une vanne s’ouvre ou se ferme trop lentement ? comment les
délais d’ouverture ou de fermeture peuvent affecter les actions de sécurité ?
Que se passe t-il si on considère que la fiabilité d’un instrument est douteuse ?
CONCLUSION POUR CETTE
« ÉTAPE »
 Méthode HAZOP
• Méthode centrale pour les études de
procédés (« efficace à 75% »)
• Nécessite des approches complémentaires
(AMDEC, What if?, …. Arbres de défaillance…)
Paramètre de
fonctionnement

Limite de fonctionnement

Fonctionnement nominal

Limite de fonctionnement
TROP de

PAS ASSEZ de
 Mode de Dérive de
défaillance paramètre

Causes Conséquences
potentielles Préjudices

Méthodes inductives : AMDEC, HAZOP, What if?

Causes Evénement
potentielles redouté

Méthodes déductives : arbre de défaillance

 Méthode HAZOP
• Méthode centrale pour les études de
procédés (« efficace à 75% »)
• Nécessite des approches complémentaires
(AMDEC, What if?, …. Arbres de défaillance…)
• Doit être suivi de mise en œuvre (son côté
participatif le facilite)
• Pérenniser les résultats
La sécurité n’est jamais acquise
La Directive SEVESO impose un SGS :
Système de Gestion de la Sécurité

Diagnostic/Enjeux

Engagement et Politique

Revue et
amélioration Planification

Mesure Mise en
et évaluation œuvre