Académique Documents
Professionnel Documents
Culture Documents
20 Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016
Résumé
L’objet de cette publication est de présenter un outil d’évaluation des risques permettant d’utiliser et combiner plusieurs
approches booléennes au sein d’un même modèle. Au-delà de la possibilité d’utiliser conjointement les arbres de défaillances,
les blocs diagrammes de fiabilité et les arbres d’événement, ce nouveau module de plate-forme logicielle GRIF (développée par
Total S.A.) permet d’effectuer des calculs rigoureux sans introduction d’approximations grâce à son moteur de calcul ALBIZIA
basé sur des calculs de type BDD (Binary Decision Diagram). Un cas d’application industrielle sera étudié afin de comparer les
méthodes semi-quantitatives utilisées généralement en analyse de risque et les calculs exacts réalisables par GRIF-Bool avec
prise en compte des dépendances entre barrières de sécurité successives, moyennes a posteriori, etc.
Summary
The purpose of this communication is to present a modeling tool dedicated to risk assessment calculations that allows to
combine multiple Boolean approaches within a unique model. In addition to the possibility of using in parallel fault trees,
reliability block diagrams and event trees, this new module of GRIF (software developed by Total S.A.) is able to perform
rigorous calculations without any approximations with ALBIZIA, a computation engine based on BDD (Binary Decision
Diagrams). A business application case will be investigated in order to compare the semi-quantitative methods generally used in
risk analyses, and the calculations that can be performed with GRIF-Bool which allows to take into account dependencies
between successive safety barriers, assesses averages a posteriori, etc.
1. Introduction
L’outil GRIF (GRaphiques Interactifs pour la Fiabilité) est une plate-forme logicielle développée par Total S.A. depuis le milieu
des années 1990. Elle comprend à ce jour dix modules dédiés aux calculs pour la Sûreté de Fonctionnement, chaque module
proposant une approche ou technique de modélisation spécifique (arbre de défaillances, arbre d’événements, blocs
diagrammes de fiabilité, réseaux de Petri, etc.).
L’objectif de cette session interactive est double. Elle vise dans un premier temps à présenter le module Bool de GRIF qui
permet d’utiliser et combiner plusieurs approches booléennes au sein d’un même modèle. La seconde partie consiste à mettre
en évidence l’intérêt d’un tel outil en analyse de risque notamment lors de l’évaluation de la fréquence des risques majeurs. Afin
d’être la plus concrète possible, la démonstration du module sera basée sur un exemple de taille et de complexité suffisantes
pour que ce dernier puisse être assimilé à un cas industriel. Par ailleurs, cette session montrera les bénéfices de l’utilisation
d’un outil d’analyse multi-approches aussi bien en termes de facilité de mise en œuvre, que de rapidité des calculs et de
précision des résultats obtenus.
2. Contexte
L'évaluation des risques regroupe l'ensemble des méthodes relatives au calcul de la criticité (pertinence et gravité) des
dangers. Elle consiste à la fois en une étude qualitative et en une quantification de ces dangers.
Pour les scénarios identifiés comme étant les plus critiques en termes de Gravité lors de l’APR (sévérité « Catastrophique » ou
« Désastreuse » pour l’impact sur le personnel, l’environnement ou les installations), il est nécessaire d’effectuer un calcul
rigoureux de leur fréquence moyenne d’occurrence noté ici W.
Pour ce faire, le ou les événements initiateurs du danger considéré doivent être rigoureusement identifiés (montée en pression
en amont d’une capacité sous pression, apparition d’une fuite majeure de gaz…). Un nœud papillon (ou bow-tie en anglais) doit
être ensuite élaboré pour chaque événement initiateur (événement central critique du bow-tie) en décrivant l’impact potentiel
des différentes barrières de sécurité susceptibles d’annihiler ou de réduire le risque (détection d’une montée en pression et
fermeture de vannes, système de détection feu et déclenchement du système de lutte incendie…).
L’évaluation du risque résiduel de chaque branche de l’arbre papillon (appelée séquence accidentelle) s’effectue habituellement
en multipliant la fréquence d’occurrence de l’événement initiateur par la disponibilité ou l’indisponibilité moyenne (PFDavg pour
moyenne de la Probability of Failure on Demand) de chacune des barrières de sécurité (prévention ou mitigation) prévues. Le
risque associé à chaque scénario, alors sous la forme d’un couple « Fréquence d’occurrence (par an ou par heure) - Gravité »,
est ensuite évalué vis-à-vis de critères d’acceptabilité se présentant typiquement sous la forme d’une Matrice des risques. Sur
cette base, il est alors possible de juger si des mesures complémentaires, agissant soit sur l’occurrence, soit sur la sévérité du
scénario accidentel, sont nécessaires (étape 5 du processus décrit ci-dessus).
La partie calculatoire de cette approche très simple et très largement utilisée en évaluation des risques comporte toutefois des
limites qui peuvent s’avérer être problématiques dans certains cas :
- les indisponibilités des barrières de sécurité étant des moyennes, le calcul de W se fait donc par une multiplication de
moyennes pouvant aboutir à une sous-évaluation de fréquence finale,
- les dépendances matérielles ou systémiques éventuelles entre barrières (existence d’un ou plusieurs éléments communs
aux différents systèmes étudiés, synchronisation des tests…) sont difficiles à appréhender.
Afin de traiter correctement ces deux points, un outil de modélisation permettant de réaliser des calculs globaux (c.à.d. des
calculs combinés au sein d’un même modèle du risque initial et de l’indisponibilité des différentes barrières) et exacts (calcul de
l’évolution de W en fonction du temps = W(t)) est nécessaire. Une fois W(t) calculée rigoureusement, il est alors possible de
réaliser toutes sortes de statistiques à posteriori dont la « vraie » fréquence moyenne d’apparition du scenario : W.
Ainsi, avec le module GRIF-Bool, il est tout à fait possible par exemple de créer un arbre d’événement en introduisant
l’indisponibilité des différentes barrières de sécurité successives non pas par une simple loi constante dans laquelle est
reportée l’indisponibilité moyenne, mais en construisant de vrais modèles.
La méthode de BDD possède la particularité de donner des résultats sans aucune approximation et ce quelle que soit la
formule booléenne traitée pour les calculs de risque qu’il s’agisse de probabilité (PFDavg) ou bien de fréquence (W(t)). Cette
méthode se différentie donc des méthodes approximatives que sont les calculs de probabilités par méthode de Poincaré ou par
post-traitement sur un ensemble restreint de coupes minimales.
D’autre part, il est à noter que si un modèle combinant différentes approches est réalisé, pour l’évaluation des résultats il ne
s’agit pas d’utiliser le résultat intermédiaire issu d’un modèle pour le prendre en compte dans l’autre. ALBIZIA génère
l’expression booléenne couvrant l’ensemble des sous-modèles afin de fournir les résultats exacts (W(t)) du modèle combiné.
L’élément principal des unités de séparation est le séparateur. Il s’agit d’une capacité sous pression dans laquelle transite la
production. Les liquides sont extraits par gravité via un conduit situé sous le ballon tandis que le gaz est récupéré par un
conduit situé sur la partie haute. Plusieurs séparateurs installés en série sont parfois nécessaires : au niveau du premier
séparateur, c'est-à-dire celui qui réceptionne la production sous haute pression, sera récupéré le gaz Haute Pression (HP), un
second séparateur permettra de récupérer ensuite le gaz Moyenne Pression (MP), etc. Dans notre cas, il est considéré qu’un
seul séparateur est nécessaire en opération normale : le séparateur principal.
Le scénario à étudier dans le cadre de notre démonstration est un scénario dangereux connu sur ce genre de système. Il peut
conduire à une fuite d’hydrocarbures hautement inflammables. En effet, en cas de fermeture/blocage/bouchage de la sortie gaz
en aval du séparateur, si la production en amont n’est pas stoppée rapidement, une augmentation de la pression à l’intérieur de
celui-ci peut alors survenir et dépasser la pression limite que peut supporter l’unité (= surpression). Dans ce cas, les risques
d’apparition de fuites, notamment au niveau des brides, sont alors très élevés et l’accident est quasi-inévitable (ignition de la
fuite de gaz conduisant à un feu ou une explosion).
Afin de réduire la probabilité d’occurrence de cet événement redouté, un certain nombre de barrières de sécurité ont été
conçues :
- une première barrière appelée PSS (pour Process Shutdown System),
- une deuxième barrière appelée ESD (pour Emergency ShutDown system),
- un Système Instrumenté de Sécurité (SIS).
Chacune d’elles a pour fonction de fermer la ou les vannes de sécurité installées sur la conduite en amont du séparateur en cas
de forte montée en pression à l’intérieur ou en amont de celui-ci.
Automate
1oo2
ESD
Automate Automate
SIS PSS PSV
2oo3
Sortie gaz
PT PT
A B
+ Gaz Séparateur LT
principal
ESDV SDV SIS SDV PSS
Sortie liquides
Vanne de
régulation
Figure 3. Cas industriel - Schéma des barrières PSS, ESD, et SIS
La Figure 3 présente l’architecture des trois barrières de sécurité qui protègent le séparateur contre les surpressions
éventuelles.
Les capteurs de pression n’étant pas réglés sur les mêmes niveaux de seuil, ni installés aux mêmes endroits, les différentes
barrières sont sollicitées en séquence, au fur et à mesure de la montée en pression :
- La barrière PSS est sollicitée la première : le capteur PT A envoie un signal de niveau « haut » à l’automate PSS qui
l’analyse et envoie à son tour un signal de fermeture vers la vanne de sécurité SDV PSS (SDV pour ShutDown Valve) en
inhibant le signal électrique envoyé à la vanne solénoïde (SOV).
- Si la barrière PSS n’a pas fonctionné, les capteurs PT A et PT B envoient alors un signal de niveau « très haut » à
l’automate ESD qui le traduit, via une logique 1 sur 2, et qui envoie à son tour un signal de fermeture vers la vanne de
sécurité ESDV (pour Emergency ShutDown Valve).
- Si les barrières PSS et ESD n’ont pas réussi à stopper la montée en pression, le SIS est alors sollicité : les capteurs PT
S1/S2/S3 envoient un signal de niveau « très très haut » à l’automate SIS qui l’analyse sur la base d’une logique 2 sur 3 et
qui envoie à son tour un signal de fermeture à la fois vers les vannes de sécurité SDV SIS et SDV PSS via une vanne
solénoïde (SOV) dédiée.
Note1 : Il est supposé que la PSV n’est pas dimensionnée pour absorber l’intégralité du flux. Elle n’est donc pas considérée
comme une barrière effective face à ce scénario.
Note2 : La fermeture d’une seule vanne de sécurité suffit à fermer la ligne, stopper la montée en pression et annihiler le danger.
Note3 : A noter que la vanne SDV PSS étant commune à la barrière ESD et au SIS et le capteur PT A étant commun aux
barrières PSS et ESD, les différentes barrières ne sont pas indépendantes.
Le Table 1 fournit l’ensemble des paramètres de fiabilité à considérer pour les éléments des différentes barrières de sécurité à
modéliser : transmetteurs de pression, vannes de sécurité et automates.
N.A. : Non-applicable.
Prod. SD : Arrêt de la production.
Note a : Les capteurs défaillants ne sont pas réparés mais remplacés.
Note b : Il est considéré que les pièces de rechange pour les capteurs sont disponibles.
Note c : D’après [8] p.220, le pourcentage de défaillances dangereuses non détectées en fonctionnement pour les vannes
de sécurité (= refus de fermeture à la demande) peut être réparti de la manière suivante :
- 45% des défaillances sont détectées par un test de fermeture partielle ;
- 55% des défaillances sont détectées par un test de fermeture complète.
Note d : Le capteur est débranché.
Note e : Oubli de réinhiber le bypass de la SOV.
Table 1. Cas industriel - Paramètres de fiabilités
Il est donc essentiel que les causes communes de défaillance soient correctement modélisées pour chaque groupe de
composants en redondance. Le facteur défini dans les diverses normes internationales est le plus souvent utilisé. Il est
supposé être une proportion fixe () du taux de défaillances des composants concernés. Il a été considéré ici un facteur int
(facteur de défaillance de cause commune associé au système 1oo2) égal à 10% pour les différents groupes de transmetteurs
de pression ainsi que pour les vannes de sécurité. A noté que, d’après le tableau D.5 de l’annexe 6 de [4], le facteur à
appliquer pour une configuration de type 2oo3 correspond à 1,5 int.
L’estimation d’un facteur de réduction s’appuie sur une équivalence SIL (Safety Integrity Level = Niveau d’intégrité de sécurité)
pour la barrière de sécurité, ce niveau de SIL étant lui-même conditionné par la PFDavg de la barrière et son architecture en
accord avec les principes clés des normes NF EN 61508 [4] et NF EN 61511 [5]. Le facteur de réduction 10-SIL est alors
appliqué à la probabilité d’occurrence de l’EI (Événement initiateur) pour ladite barrière.
Pour rappel, le facteur de réduction de chacune des barrières de sécurité (respectivement PSS, ESD et SIS) est évalué
individuellement en considérant chacune comme une « couche » de protection indépendante, le facteur de réduction globale
étant par la suite obtenu par produit.
Pour rappel :
Cette approche dissociée présente l’inconvénient de négliger les dépendances entre barrières, un élément commun tel que le
capteur PT A étant comptabilisé deux fois : une première fois dans la barrière PSS et une deuxième ESD. L’erreur est minime
lorsque le composant n’est pas le principal contributeur à la PFD de la barrière. C’est le cas pour les capteurs PT. Il n’en va pas
de même pour les vannes de sécurité. Le traitement des dépendances entre barrières est donc assuré en affectant simplement
chaque élément commun à une seule et unique barrière en maintenant une certaine logique avec la séquence de sollicitation
des barrières. Le capteur PT A commun à la barrière PSS et ESD est ainsi affecté à la barrière PSS, sollicitée la première, tout
comme la vanne de sécurité SDV PSS.
Elément PFDavg (élément simple) Barrière PSS Barrière ESD Barrière SIS
-4
PT A 2.1 10 X
PT B 2.1 10-4 X
-4
PT S1/S2/S3 (2oo3) 2.1 10 X
PSS 5.0 10-3 X
ESD 5.0 10-3 X
SIS 5.0 10-4 X
SOV PSS 2.5 10-3 X
SOV SIS (SDV PSS) 2.5 10-3
SDV PSS 1.2 10-2 X
-3
SOV SIS (SDV SIS) 2.5 10 X
SDV SIS 1.2 10-2 X
SOV ESD 2.5 10-3 X
ESDV 1.2 10-2 X
-2
Total PFDavg 2.0 10 2.0 10-2 1.5 10-2
SIL équivalent 1 1 1
Facteur réduction 10 10 10
Cette approche simple conduit à un facteur 1000 de réduction globale de l’occurrence de l’événement initiateur.
En considérant une fréquence initiale de montée en pression de 1.15 10-1 /an (fréquence donnée dans le paragraphe § 4.2), la
fréquence d’occurrence annuelle d’une fuite est donc estimée à (risque résiduel) :
1.15 10-4 /an
En pratique, le niveau de SIL d’un SIS tel que celui considéré dans ce cas test est déjà disponible. Les calculs par GRIF
permettent d’attribuer un SIL de 2 au SIS. La méthode simplifiée serait donc limitée à l’estimation des facteurs de réduction
pour les boucles PSS et ESD. Le SIS s’appuyant sur la vanne SDV PSS, le traitement simplifié des dépendances aboutirait à
ne considérer que la boucle ESD. Le facteur de réduction globale serait alors identique (1000) ainsi que l’estimation de la
probabilité d’occurrence annuelle de la fuite.
Les différents paramètres d’entrée ont été introduits en utilisant deux types de loi présents dans le logiciel :
- La loi « Test périodique à 11 paramètres » pour les vannes et les capteurs ;
- La loi constante pour les automates.
La Figure 4 présente les modèles réalisés pour les différentes barrières de sécurité ainsi que les « connections » modélisant les
dépendances systémiques :
La déf aillance du capteur A est connectée
à un bloc du diagramme de f iabilité
Barriere
ESD
Barriere
PSS
Barriere
SIS
Note : Les éclairs sur les événements ou blocs signalent la prise en compte de causes communes de défaillance.
La Figure 5 présente l’arbre d’événement qui connecte les différents modèles et régit le calcul global :
Comme le montre la figure ci-dessus, les différents modèles réalisés sont connectés via un arbre d’événement. La probabilité
d’apparition de l’événement initiateur « Montée en pression soudaine à l’intérieur du séparateur » est modélisée par une loi
constante de paramètre 1.31 10-5 h-1 (fréquence donnée dans le paragraphe § 4.2 convertie en h-1).
Note : Dans ce cas test, seuls les échecs successifs des différentes barrières sont étudiés. Les scenarios résiduels ne sont
donc pas affichés dans l’arbre d’événement.
Une fois le modèle construit, les calculs ont été lancés sur une période de 1 an (soit 8760 heures). La fréquence d’occurrence
annuelle d’une fuite (risque résiduel) donnée par le moteur ALBIZIA est de :
2.74 10-5 /an
Ce résultat étant plus faible que celui obtenu par la méthode semi-quantitative (plus de 4 fois inférieur), il est donc moins
conservatif d’un point de vue sécurité.
5. Conclusion
L’étude du cas industriel a permis de mesurer l’impact de la prise en compte de la dépendance entre barrières et de l’utilisation
de valeurs instantanées dans le calcul de la fréquence d’occurrence du risque. La comparaison des résultats obtenus montre
que le calcul réalisé via GRIF-Bool est moins conservatif que les méthodes semi-quantitatives conventionnelles de l’analyse de
risque (le rapport entre les deux résultats finaux est de 1 à plus de 4).
Cela signifie que modéliser rigoureusement la probabilité de défaillance à la demande de chacune des barrières permet in fine
de maitriser le dimensionnement des systèmes instrumentés de sécurité et donc de dépenser au juste besoin. A noter que
limiter les coûts de fabrication, d’installation et d’opérations est essentiel dans le contexte mondial actuel, particulièrement
compliqué pour l’industrie pétrolière et gazière.
La Figure 6 montre les résultats obtenus par chacune des deux méthodes placés dans une matrice des risques, en supposant
que la conséquence de l’événement redouté est Désastreux :
Méthode semi-quantitative
Figure 6. Cas industriel - Résultats des deux méthodes placés dans la matrice des risques
Il est important de préciser que la méthode semi-quantitative utilisée dans le cadre de cette communication donne toujours des
résultats conservatifs du point de vue de la sécurité. A l’inverse, les méthodes qui consistent à multiplier la PFDavg des
différentes barrières peuvent mener à une sous-évaluation du risque résiduel et donc à un sous-dimensionnement des SIS. Ces
méthodes approchées malheureusement très largement utilisées peuvent donc s’avérer être parfois dangereuses...
Enfin, il est à noter que la flexibilité et les perspectives offertes par un outil d’analyse booléenne multi-approches peuvent bien
évidemment s’avérer très intéressantes en dehors du cadre des analyses de risque et dans bien d’autres secteurs que
l’industrie pétrolière et gazière.
6. Abréviations
ADD Arbre De Défaillance CCF Common Cause Failure
ALARP As Low As Reasonably Practicable BDD Binary Decision Diagram
Avg Average EI Événement Initiateur
APR Analyse Préliminaire de Risque ESD Emergency ShutDown
7. Références
[1] Probabilistic risk assessment considering parameter and model uncertainties - Florent Brissaud (FMDS industrie, France) et Elsa
Rosner (DNV GL, Paris, France), 25th European Safety and RELiability Conference (ESREL), Zürich, Switzerland, September 7-10,
2015
[2] Probability and frequency calculations related to protection layers revisited - Fares Innala (Batna University), Pierre-Joseph Cacheux
(Total S.A. E&P), Stéphane Collas (Total S.A. E&P), Yves Dutuit (Total Associate Professors), Cyrille Folleau (SATODEV), Jean-
Pierre Signoret (Total Technology Specialist), Philippe Thomas (SATODEV), Journal of Loss Prevention in the Process Industries 31
(2014) 56-69
[3] Dictionnaire d’Analyse et de Gestion des Risques - Alain Desroches, Alain Leroy, Jean-François Quaranta, Frédérique Vallée,
LAVOISIER, 2006
[4] IEC 61508 : Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité, Ed. 2.0
[5] IEC 61511 : Sécurité fonctionnelle – Systèmes instrumentes de sécurité pour le secteur des industries de transformation, Ed. 2.0
[6] OREDA participants, OREDA, Offshore Reliability Data Handbook, Volume 1 – topside data. 5th edition, 2009.
[7] OREDA participants, OREDA, Offshore Reliability Data Handbook, Volume 1 – topside equipment. 6th edition, 2015.
[8] EXIDA : Safety Equipment Reliability Handbook, Third edition, Volume 3: Final Elements
Mots clés
Évaluation des risques, Analyse de risque, Modélisation, Calculs booléens, Systèmes instrumentés de sécurité