Académique Documents
Professionnel Documents
Culture Documents
MÉMOIRE
Présenté en vue de l’obtention du diplôme de : MASTER
EEeeeee
ETUDE ET ANALYSE DES RISQUE DANS UN
MÉCANISME INDUSTRIEL
« CHAUDIÈRE GB1150 C »
AU SEIN : COMPLEXE FERTIAL-ANNABA
DEVANT LE JURY
Année : 2018
Remerciement
Le présent mémoire n’aurait pas vu le jour sans la contribution de nombreuses
personnes à qui j’aimerai adresser mes vifs remerciements. En premier lieu, à
mon encadreur d’université BEDJI MOKHTARE ANNABA, DR D.KHALFA pour
l’intérêt qu’elle a porté pour mon mémoire, pour son aide précieuse tout au long
de la réalisation ce projet.
Mes sincères remerciements à Mr M.BOUGHABA « enseignant de
département d’électromécanique UBM Annaba » et MR T.MAIFI « enseignant de
département mécanique UBM Annaba », je suis également reconnaissant envers
tous les enseignants qui mon aidé et aux membres du jury qui m’ont fait honneur
d’évaluer ce travail.
Je tiens à exprimer ma profonde gratitude à l’égard de mon tuteur au sein du
Complexe FERTIAL, Mr R.DOUAS « coordinateur de sécurité » pour sa
disponibilité, et sa précieuse aide pour réaliser mon projet, mes remerciements à
MR CH.RAHIMET « inspecteur de prévention » pour son aide et guide au sein de
entreprise, aussi vont également à toute l’équipe de FERTIAL surtouts :
MR F.BEN MEHIDI (directeur QHSE) ;
MR S.LAOUR (chef de structure sécurité industriels) ;
MD L.YAHIOUCHE (coordinateur environnement et énergie) ;
MD S.MOKRANI (chef de structure environnement et énergie) ;
MR M.BEHLOUL (chef de structure centrale utilités 2) ;
MR A.BOUMAAREF (chef section centrale utilités 2) ;
MR S.BOUTENA (operateur chaudières) ;
MR R.CHABI (chef service sécurité industriels) ;
MR M.BERRDJEM (maintenance) ;
MR A.BOULAHIA (chef service médicale) ;
MR F. MAHMOUDI (électricien centrale utilités 2) ;
MR M.NACER (instrumentiste chaudières).
Pour leurs grands efforts approuvés pour la réalisation de ce projet sur terrain.
Mes remerciements vont aussi à ma famille, mes amis, ainsi qu’à toute
personne ayant contribuée de près ou de loin dans la réalisation de ce travail.
Boulahia hassene
Dédicaces
Toi qui as marché à mes cotes avec attention, avec ton amour présent, toi qui m’as
appris à aimer et à vivre heureux, à toi mon soleil qui éclaire ma vie, à toi ma
Mère.
Toi, qui as toujours été là, toi qui es toujours prêt à sacrifier tout cher pour me rendre
heureux, pour effacer mes peines et mes misères, à toi mon étoile que je suivrai, à toi
mon père.
Vous, qui m’avez accompagnée au cours de la vie, vous m’avez partagé les foies et
les chagrins, vous m’avez donné le sourire,
à vous mes frères.
Au nom de l’amitié, un sentiment qu’on ne doit jamais oublier, au nom de tous les
amis qui respirent la vie, que j’ai vécu avec eux mes plus belles histoires.
A vous tous je dédie ce mémoire
Hassene
Résumé
La principale vocation de la sécurité est d’éliminer les risques inacceptables qui pourraient être
responsable de blessures physiques, d’atteinte à la santé des personnes, dégrader l’environnement et
causer des pertes de production à coût élevé.
La sécurité, ce n’est évidemment pas que de l’organisation. C’est aussi des méthodologies à
suivre, des moyens techniques à déployer. Et pour cela, une norme s’est imposée à l’échelle
internationale: l’IEC 61508. Il s’agit d’une norme orientée “performances”, c’est-à-dire qu’elle
laisse à l’utilisateur le soin de réaliser son analyse de risque et elle lui propose des moyens pour le
réduire.
Elle porte plus particulièrement sur le système E/E/PE (Electrical/ Electronic/Programmable
Electronic Safety- related systems), c’est-à-dire les systèmes électroniques et électriques de sécurité.
La norme CEI 61511 décrit différentes méthodes pour déterminer le niveau d’intégrité de
sécurité d’une fonction instrumentée de sécurité SIL « Sfety Integrity Level ».
Cette étude est accomplissait sur le site du complexe FERTIAL Annaba. Ayant pour objectif
maîtrise du risque au niveau de la section chaudière à vapeur « chaudière C » présenté au niveau
d’unité de centrale d’utilités afin d’évaluer le niveau SIL ainsi d’apporter une amélioration du
fonctionnement et des performances de ses installations, ainsi que leur sécurisation.
Dans cette étude, on a utilisé la méthode HAZOP pour identifier tous les scénarios et décortiquer
leurs enchainements.
Ainsi, une sélection des scénarios à la base d’une cotation. Ensuite déterminer le niveau d’intégrité
de sécurité par la méthode des graphes du risque « SIL requis ». Le risque résiduel fait l’objet d’une
étude LOPA dans le but de vérifier le niveau d’intégrité de sécurité requis « SIL requis ».
Les résultats et l’analyse des scénarios ont abouti à plusieurs SIL tels que le plus élevé est de
SIL3 ce qui juge que le risque est inacceptable. À cette optique, on a justifié la nécessité de la mise
en place d’un système instrumenté de sécurité SIS de niveau d’intégrité 3.
Ce dernier est composé d’un sous-système capteur configuré 2oo2, un sous-système traitement
logique configuré1oo1 et un sous-système élément final configuré aussi 2oo2. Les différentes
données ont été inspirées des bases de données notamment les taux de défaillance et les calculs sont
issus de la norme CEI 61508.
Mots-clés : la norme CEI 61508, Chaudière à vapeur, HAZOP, SIL, PFD, LOPA, SIS.
Abstract
The main purpose of security is to eliminate unacceptable risks that might be responsible for
physical injuries, damage to human health, degrade the environment and cause losses of high-cost
production.
Security, this is obviously not that of the organization. It is also to follow methodologies,
technical resources to deploy. And for that, has become a standard international: IEC 61508. This is
a standard oriented "performances", that is to say, it gives the user the task of carrying out its risk
analysis and she suggests ways to reduce it. It focuses on the E / E / PE (Electrical / Electronic /
Programmable Electronic Safety-related systems), that is to say electronic systems and electrical
safety. IEC 61511 describes various methods for determining the level of safety integrity of a safety
instrumented function (SIL Safety Integrity Level).
This study was performed on the complex FERTIAL Annaba. With the aim of mastering the
risk at the steam boiler section (boiler GB1150 C) present at utility plant unit level 2 to assessing his
SIL provide improved operation and performance its facilities and their security.
We used the HAZOP method to identify all scenarios and analyzing their chains, in addition to a
selection of scenarios based on a quotation. Then determine the level of safety integrity by the risk
graph method (SIL required). The residual risk is the subject of LOPA with the aim of verifying the
required safety integrity level (the required SIL).
The results and analysis of scenarios end in several SIL, such as the highest one: SIL3, which
means that the risk is unacceptable. Accordingly, we have justified the necessity of establishing a
safety instrumented system SIS with an integrity level of 3. This latter consists of a sensor
subsystem configured 2oo2, processing logic subsystem configured 1oo1 and as a final element; a
subsystem also configured 2oo2. The data have been inspired from databases, especially the failure
rates and calculations that are derived from the Annex B, chapter 6 of the IEC 61508 standard.
Key words: standard CEI 61508, Steam boiler, HAZOP, SIL, LOPA, SIS.
ﻣﻠﺧص
ان اھﻤﯿﺔ ﻣﮭﻨﺔ اﻻﻣﻦ ﺗﺘﻤﺜﻞ ﻓﻲ اﻟﻘﻀﺎء ﻋﻠﻰ اﻟﻤﺨﺎطﺮ اﻟﻐﯿﺮ ﻣﻘﺒﻮﻟﺔ اﻟﺘﻲ ﯾﻤﻜﻦ ان ﺗﻜﻮن اﻟﻤﺴﺆوﻟﺔ ﻋﻦ اﻻﺻﺎﺑﺎت اﻟﺒﺪﻧﯿﺔ و اﻟﺤﺎق
.اﻟﻀﺮر ﺑﺼﺤﺔ اﻟﻨﺎس و ﻛﺬﻟﻚ اﺣﺪاث ﺧﺴﺎﺋﺮ ﻋﺎﻟﯿﺔ ﻣﻦ ﻧﺎﺣﯿﺔ اﻻﻧﺘﺎج
اﻻﻣﻦ ﻟﯿﺲ ﻓﻘﻂ ﻣﺠﺮد ﺗﻨﻈﯿﻢ ﺑﻞ ھﻮ اﯾﻀﺎ ﻋﺒﺎرة ﻋﻦ ﻣﻨﮭﺠﯿﺎت ووﺳﺎﺋﻞ ﺗﻘﻨﯿﺔ ﯾﺠﺐ اﺗﺒﺎﻋﮭﺎ وﻟﮭﺬا ﺗﻢ ﻓﺮض
ﻣﻌﯿﺎر) :( CEIC61508ﻋﻠﻰ اﻟﺼﻌﯿﺪ اﻟﺪوﻟﻲ ﯾﺘﺮك ﻟﻠﻤﺴﺘﺨﺪم ﻣﮭﻤﺔ إﺟﺮاء ﺗﺤﻠﯿﻞ اﻟﻤﺨﺎطﺮ وﯾﻘﺪم ﻟﮫ طﺮق ﻟﺘﻘﻠﯿﻞ اﻟﻤﺨﺎطﺮ وھﻮ ﯾﺮﻛﺰ
ﻋﻠﻰ اﻟﻨﻈﺎم إ إ ب إ ) اﻟﻜﺘﺮوﻧﯿﻚ ,اﻟﻜﺘﺮ وﺗﻘﻨﻲ ,اﻟﺒﺮﻣﺠﺔ اﻹﻟﻜﺘﺮوﻧﯿﺔ ,اﻷﻧﻈﻤﺔ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻟﺴﻼﻣﺔ( أي أﻧﻈﻤﺔ اﻟﺴﻼﻣﺔ اﻹﻟﻜﺘﺮوﻧﯿﺔ
واﻟﻜﮭﺮﺑﺎﺋﯿﺔ ﯾﺼﻒ ھﺬا اﻟﻤﻌﯿﺎر طﺮﻗًﺎ ﻣﺨﺘﻠﻔﺔ ﻟﺘﺤﺪﯾﺪ ﻣﺴﺘﻮى ﺳﻼﻣﺔ اﻷﻣﺎن).SIL (Sfety Integrity Level
ھﺎﺗﮫ اﻟﺪراﺳﺔ ﺗﻤﺖ ﻋﻠﻰ ﻣﺴﺘﻮى ﻣﺆﺳﺴﺔ ﻓﺮﺗﯿﺎل ﻋﻨﺎﺑﺔ ﻣﻦ اﺟﻞ اﻟﺴﯿﻄﺮة ﻋﻠﻰ اﻟﻤﺨﺎطﺮ ﻓﻲ ﻗﺴﻢ اﻟﻤﻮﻟﺪات اﻟﺒﺨﺎرﯾﺔ ﻟﺘﻘﯿﯿﻢ ﻣﺴﺘﻮى
اﻟﺴﻼﻣﺔ و ﺗﺤﺴﯿﻦ اداء ﻣﻨﺸﺎﺗﮭﺎ واﻣﻨﮭﺎ.
ﻧﻄﺒﻖ دراﺳﺔ HAZOPﻣﻦ اﺟﻞ ﺗﺤﺪﯾﺪ ﺟﻤﯿﻊ اﻟﺴﯿﻨﺎرﯾﻮھﺎت و ﺗﻔﺼﯿﻞ ﻣﺮاﺣﻞ ﺣﺪوﺛﮭﺎ و ﻛﺬﻟﻚ ﻋﻤﻠﯿﺔ اﻧﺘﻘﺎء اﻟﺴﯿﻨﺎرﯾﻮھﺎت ﻋﻠﻰ
اﺳﺎس اﻟﺘﻘﺪﯾﺮ ﺛﻢ ﻧﺤﺪد ﻣﺴﺘﻮى اﻟﺴﻼﻣﺔ ﺑﺎﺳﺘﺨﺪام طﺮﯾﻘﺔ اﻟﺮﺳﻢ اﻟﺒﯿﺎﻧﻲ ﻟﻠﻤﺨﺎطﺮ ) ,(SILواﯾﻀﺎ دراﺳﺔ ﺗﺤﻠﯿﻞ طﺒﻘﺎت LOPAﻟﻠﺘﺤﻘﻖ
ﻣﻦ اﻟﻤﺴﺘﻮى اﻟﻤﻄﻠﻮب ﻟﺘﻜﺎﻣﻞ اﻟﺴﻼﻣﺔ.
ﻧﺘﺎﺋﺞ و ﺗﺤﻠﯿﻼت اﻟﺴﯿﻨﺎرﯾﻮھﺎت اظﮭﺮ اﻟﻌﺪﯾﺪ ﻣﻦ اﻟﻤﺴﺘﻮﯾﺎت SISاﻋﻼھﻢ اﻟﻤﺴﺘﻮى اﻟﺜﺎﻟﺚ ھﺬا اﻻﺧﯿﺮ ﯾﺘﻜﻮن ﻣﻦ اﺳﺘﺸﻌﺎرﯾﻦ
ﻣﺒﺮﻣﺠﯿﻦ 2002واﻟﻌﻨﺼﺮ اﻟﻨﮭﺎﺋﻲ ﻣﺒﺮﻣﺞ 2002اﻣﺎ ﻋﻨﺼﺮ اﻟﻤﻌﺎﻟﺠﺔ اﻟﻤﻨﻄﻘﻲ ﻓﮭﻮ ﻣﺒﺮﻣﺞ 1001وھﺬا ﺑﺎﺳﺘﻌﻤﺎل ﻋﺒﺎرات اﻟﺤﺴﺎب
اﻟﺨﺎﺻﺔ ﺑﺎﻟﻤﻌﯿﺎر ,ﻛﻤﺎ ان اﻟﺒﯿﺎﻧﺎت اﻟﻤﺨﺘﻠﻔﺔ و ﻣﻌﺪﻻت اﻟﻔﺸﻞ ﻣﺴﺘﻮﺣﺎة ﻣﻦ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت .
ﻛﻠﻣﺎت اﻟداﻟﺔ :اﻟﻣوﻟدات اﻟﺑﺧﺎرﯾﺔ CEI61508,ﻣﻌﯾﺎ ر .SIL ،LOPA ،, SIS, HAZOP,
GLOSSAIRE
Chapitre 1 ........................................................................................................................................................................... 13
PROBLEMATIQUE ................................................................................................................................................................. 3
1.2.1 Système............................................................................................................................................................... 7
3.4.1 Historique des pannes au niveau des chaudières GB 1150 (A, B, C ) ............................................................ 57
3.5 LES effets de surpression ........................................................................................................................................ 59
Les nœuds étudiés pendant l’analyse HAZOP ont été les suivants « voir annexe A» : ............................................. 62
4.5 Conclusion................................................................................................................................................................ 98
Chapitre 5
Tableau 5. 1 : PFD du groupe logique............................................................................................................................. 102
Tableau 5. 2: PFD du groupe de débitmètres .................................................................................................................. 103
Tableau 5. 3: PFD du groupe des éléments finaux .......................................................................................................... 105
Chapitre 1
Figure 1. 1: L’espace du risque [2]........................................................................................................................................ 8
Figure 1. 2: Relation entre les notions de danger et de risque [2]. ..................................................................................... 8
Figure 1. 3: CEI 61508 et ses déclinaisons par secteur d’application. ................................................................................ 10
Figure 1. 4: Système instrumenté de sécurité (SIS E/E/P) [33].......................................................................................... 12
Figure 1. 5: Diagramme du bloc physique 1oo1. ................................................................................................................ 15
Figure 1. 6: Diagramme du bloc physique 1oo2. ................................................................................................................ 16
Figure 1. 7: Diagramme du bloc physique 2oo2................................................................................................................. 16
Chapitre 2
Figure 2. 1: historique HAZOP [29]. .................................................................................................................................... 22
Figure 2. 2: graphe de risque <<sécurité des personnes>> d'après IEC 61511. .................................................................. 30
Figure 2. 3 : Répartition des méthodes d’analyse. ............................................................................................................ 34
Figure 2. 4: Différentes couches de protection suivant LOPA [33]..................................................................................... 36
Figure 2. 5: Processus général de la méthode LOPA [3]..................................................................................................... 40
Figure 2. 6.typologie des barrières de sécurité [14] ........................................................................................................... 41
Chapitre 3
Figure 3. 1: Localisation de Fertial par rapport à la ville d’Annaba. ................................................................................... 51
Figure 3. 2 : chaudières GB1150 -C .................................................................................................................................... 57
Figure 3. 3 : Les effets de surpression [3]........................................................................................................................... 60
Figure 3. 4: Les zones de surpression en fonction des distances d'une explosion retardée [3]......................................... 60
Chapitre 4
Figure 4. 1: Matrice des risques HAZOP [26] .................................................................................................................. 63
Figure 4. 2: Principe d'IPL selon le CCPs [3]................................................................................................................... 80
Figure 4. 3 : Principe ALARP [33]. ................................................................................................................................... 80
Figure 4. 4 : Description du scénario N° 01 suivant la méthode LOPA. ........................................................................... 83
Figure 4. 5 : Description du scénario N° 02 suivant la méthode LOPA. ........................................................................... 86
Figure 4. 6 : Description du scénario N° 03 suivant la méthode LOPA. ........................................................................... 89
Figure 4. 7 : Description du scénario N° 04 suivant la méthode LOPA. ........................................................................... 92
Figure 4. 8 : Description du scénario N° 05 suivant la méthode LOPA. ........................................................................... 96
Chapitre 5
Figure 5. 1 : Représentation du principe de la solution de maîtrise (Simulink) ........................................................... 100
Figure 5. 2 : Architecture du SIS...................................................................................................................................... 106
Figure 5. 3 : Architecture du SIS (Simulink) .................................................................................................................... 107
Figure 5. 4: Logigramme présentant le fonctionnement du Switch.................................................................................. 108
Figure 5. 6. : Résultats d'exécution du programme Simulink (rapport gaz/air≤1 /2)....................................................... 109
Figure 5. 7 : Positionnement du SIS dans la conduite ..................................................................................................... 111
GLOSSAIRE
Signe signification
1
les personnes, les biens et l’environnement. En premier lieu il est indispensable de faire une
description des procédés et des installations ensuite on recense les matières et produits utilisés, un
historique des incidents et accidents répertoriés, l’identification et caractérisation des potentiels de
dangers et une estimation de leurs effets et on fait l’analyse de risques réalisés. Ces données ne
sont pas toujours explicitement formulées et recensées au niveau de la documentation de
l’entreprise. Par conséquent, il est nécessaire de réaliser un travail visant soit à améliorer la
documentation soit à rechercher les informations indispensables notamment d’identifier les risques
potentiels et les barrières de sécurité existantes. Pour ce faire, un audit de l’installation peut être
envisagé afin de recenser les documents existants, de rassembler les éléments nécessaires à la
définition du SIL et d’identifier les analyses complémentaires à mener.
La norme CEI 61511 décrit différentes méthodes de détermination de SIL. Parmi celles-ci, on
citera les méthodes qualitatives que sont « le graphe de risque » et la « grille de criticité » et la
méthode quantitative «LOPA» (Layer of Protection Analysis).
Le complexe FERTIAL est un site qui a plusieurs unités composées de plusieurs sections. Ces
dernières présentent des risques majeurs, selon la classification règlementaire (installation classée
pour l’environnement), parmi lesquelles les chaudières.
Les bases de données relatives à l’accidentologie : La base ARIA : Analyse, Recherche et
Information sur les Accidents
Elles ont montré par le Rex (le retour d’expérience), que l’explosion dans les chaudières à vapeur
est un phénomène qui représente une probabilité considérable.
Pour cela, FERTIAL souhaite maîtriser ce risque en vérifiant tout d’abord le niveau d’intégrité
de sécurité requis ensuite agir en fonction des résultats.
Dans notre étude, nous commençons par l’application de la méthode HAZOP dont l’objectif est
de sélectionner et décortiquer les scénarios qui mènent à l’explosion.
L’évaluation du niveau d’intégrité de sécurité se fait par la méthode des graphes de risque en
introduisant aussi la notion des couches de protection traitée à travers l’application de la méthode
semi-quantitative LOPA (Layer Of Protection Analysis) qui a l’aptitude de déterminer et vérifier
les SIL requis. le CCPS « le centre de création de la méthode LOPA» indique que les résultats de
l’HAZOP sont primordiaux comme éléments d’entrées de la méthode LOPA, Suite aux résultats de
la méthode LOPA, nous pouvons juger qu’un tel risque est acceptable ou non, après on décide, que
les barrières de sécurité qui ont été mises en place sont suffisantes ou pas.
À la fin de l’étude, nous proposons au complexe FERTIAL une solution de maîtrise des risques
« pour que ces derniers ne se reproduisent pas une autre fois ».
2
PROBLEMATIQUE
Puisque la sécurité et la santé des travailleurs sont des exigences essentielles pour les
employeurs, les systèmes de sécurité prennent une place primordiale dans les équipements de travail
et ceci pour des domaines aussi variés que les Industries de Procédés, les Machines, le Nucléaire, le
Ferroviaire, les Atmosphères Explosives… etc.
Cette étude a été réalisée sur le site du complexe FERTIAL Annaba. Ayant pour objectif la
maîtrise du risque au niveau de la section chaudière à vapeur (chaudière C) au niveau d’unité de
centrale d’utilités afin d’évaluer le niveau SIL ainsi d’apporter une amélioration du
fonctionnement et des performances de ses installations, ainsi que leur sécurisation.
Le risque prédominant dans cette installation étant celui d’explosion du fait de la présence
permanente et le mauvais rapport air gaz. Ce risque inacceptable, du point de vue analyse, a fait
l’objet de mesures réductrices et d’instauration de barrières de sécurité à la hauteur de la gravité
qu’il représente ; ces barrières étant principalement techniques et de design sont basées sur des
équipements électriques et électroniques sujets à des perturbations dues à l’environnement dans
lequel ils sont exploités.
Le complexe FERTIAL Annaba, par ses moyens techniques et organisationnels, s’est engagé à
maintenir ces systèmes de sécurité en état de fonctionnement fiable en permanence ; d’où la
nécessité d’avoir une approche fiabiliste en se basant sur l’analyse fonctionnelle des systèmes de
sécurité.
D’après l’étude LOPA on a déduit que l’origine du risque explosion dans la chaudière (C ) est le
mauvais rapport gaz/air de ce fait on propose de mettre en place une barrière qui traite cette
situation. S’est basé sur son importance dans le dispositif sécuritaire exploité, ainsi que le risque
majeur engendré par sa perte ou son mauvais fonctionnement qui peuvent inévitablement
compromettre tout le complexe et mettre en danger le personnel opérant dans ces installations en
plus de l’impact environnemental majeur.
Les chaudières sont des systèmes instrumentés dédié uniquement à la sécurité d’un Système
Instrumenté de sécurité SIS.
Les Systèmes Instrumentés de Sécurité (SIS) assurent la Sécurité Opérationnelle des
équipements en éliminant ou réduisant les phénomènes dangereux identifiés lors de la réalisation de
leur analyse de risques.
3
Or, ces SIS, intégrant des systèmes électriques/électroniques/électroniques programmables
(E/E/PES), doivent être conçus de façon à empêcher toutes défaillances dangereuses ou de les
maîtriser quand elles surviennent.
L’application volontaire, la série des normes CEI 61508 utilise une approche basée sur le risque
encouru permettant de déterminer les prescriptions nécessaires concernant l’intégrité de la sécurité
des systèmes relatifs à la sécurité (mécanique, hydraulique, pneumatique, électrique …) et plus
spécifiquement des systèmes à base E/E/PES (Electrique/Electronique/Electronique programmable).
Ces prescriptions déterminées, elles permettent de définir les niveaux (appelés niveau d’intégrité
de la sécurité) requis pour empêcher les défaillances dangereuses selon la la méthode des graphes
des risque.
Ces niveaux d’intégrité de la sécurité pour de tels systèmes sont plus communément appelés
SIL (Safety Integrity Level). Plus un SIL est élevé, plus la probabilité de défaillance dangereuse du
système E/E/PES est faible.
Ce SIL peut être utilisé pour les différentes fonctions stratégiques d’un procédé, et de manière
générale peut être représentatif de la bonne ou mauvaise dynamique du plan de management de la
maintenance des équipements de sécurité d’un point de vue macroscopique; et dans un proche
futur remplacer les états des bilans de tests très contraignants en terme d’analyse et d’avoir une
appréciation réelle du fonctionnement des organes névralgiques de la sécurité instrumentée de
manière à contribuer dans la sûreté de fonctionnement.
4
Chapitre 1 :
Terminologie relative à la
sécurité fonctionnelle
5
Chapitre 1 : Terminologie relative à la sécurité fonctionnelle
1.1. Introduction
Les installations industrielles peuvent présenter des risques pour les personnes, les biens et
l’environnement.
Donc, de divers dispositifs de sécurités doivent être mises en œuvre. Ces types de sécurité
utilisent des moyens contribuant soit à la prévention soit à la protection afin de minimiser les
conséquences d’un dysfonctionnement. Les Systèmes Instrumentes de Sécurité (SIS) sont utilisés en
général comme moyens de prévention pour réaliser des Fonctions Instrumentées de Sécurité (SIF)
afin de mettre le procédé surveillé dans une position de repli de sécurité.
Dans ce chapitre, nous procédons à clarifier certains termes et concepts de base tels que danger,
risque, sécurité, sécurité fonctionnelle, ... Par la suite, nous citons les principales normes de sécurité
utilisées pour concevoir les systèmes de protection. La définition des SIS et les paramètres
caractéristiques (taux de défaillance, défaillance de cause commune,...) qui interviennent dans
l'évaluation de ses performances en fonction des événements rencontres (défaillance, test) sont
détaillés.
6
1.2. Termes et définitions
1.2.1 Système
1.2.3 Dommage
« Blessure physique ou atteinte à la santé des personnes, aux biens ou à l’environnement »[3].
La figure 1.2 permet de bien apprécier l’interaction entre les notions de danger et de risque
(émergence de la notion de situation dangereuse).
9
sécurité.
61508-6 fournit les guides d'application des parties 2 et 3 de la norme.
61508-7 présente les techniques et les mesures recommandées lors de la validation des
systèmes E/E/EP.
La complexité de la norme IEC 61508 a conduit ses concepteurs à développer des normes
relatives à des secteurs bien précis (ex : machines, processus industriels, ferroviaire, centrales
nucléaires . . .). La figure 1.4 montre la norme IEC 61508 générique ainsi que ses normes filles
selon le secteur d'activité concerné. Elle influence le développement des systèmes E/E/EP et les
produits concernés par la sécurité dans tous les secteurs.
IEC61508 Norme
générique
11
le processus de prise de décision qui s’achève éventuellement, si l’un des paramètres dévie
au-delà d’une valeur-seuil, par l’activation du sous-système FE.
Sous-système « Eléments Finaux (FE) » : agit directement (vanne d’arrêt d’urgence) ou
indirectement (vanne solénoïdes, alarme) sur le procédé pour neutraliser sa dérive en le
mettant, en général, dans un état sûr.
12
Cette même référence, précise que l’intégrité de sécurité comprend l’intégrité de sécurité du
Matériel ainsi que l’intégrité de sécurité systématique. Elles sont définies ci-après.
Intégrité de sécurité du matériel : partie de l’intégrité de sécurité des systèmes relatifs à la
sécurité liée aux défaillances aléatoires du matériel en mode de défaillance
dangereux. Intégrité de sécurité systématique : partie de l’intégrité de sécurité des systèmes
relatifs à la sécurité qui se rapporte aux défaillances systématiques dans un mode de
défaillance dangereux, en précisant que l’intégrité systématique ne peut normalement, ou
précisément, être quantifiée, mais simplement considérée d’un point de vu qualitatif.
Les prescriptions concernant l’intégrité de sécurité des fonctions de sécurité à allouer aux SIS
sont spécifiées en termes de niveau d’intégrité de sécurité (SIL) : niveau discret parmi quatre
possibles, le SIL 4 possède le plus haut degré d’intégrité de sécurité. Sa détermination dépend
du mode de fonctionnement du SIS.
15
Figure 1. 6: Diagramme du bloc physique 1oo2.
= Équation (1- 4)
16
DC (Couverture de Diagnostic) : la capacité d’un canal à la détection « en ligne »des
défaillances des défaillances dangereuses, exprimée par un nombre allant de 0 à 1(exemple :
0.6).
Selon la norme 61508-2010 « paragraphe 7.4.3.1 » [13] la définition des contraintes est donnée
comme suit « voir annexe A». « Dans le contexte de l’intégrité de sécurité du matériel le niveau
d’intégrité (SIL) le plus élevé qui peut être annoncé pour la fonction de sécurité donnée est limité
par la tolérance aux anomalies du matériel et la proportion de défaillances en sécurité (SFF) des
sous-systèmes qui réalisent la fonction de sécurité ».
La norme définit ces deux termes comme suit :
- Une tolérance aux anomalies du matériel d’indice M signifie que (M+1) anomalies sont
susceptibles de provoquer la perte de la fonction de sécurité : pour une architecture KooN,
+ = − + .
( )
= Équation (1-
( )
6)
Les tableaux 2 et 3 de la CEI 61508-2 2010 (p27 ,28) paragraphe 7.4.4.2.2 « voir annexe A».
spécifient le SIL le plus élevé qui peut être annoncé pour la fonction de sécurité étudiée et pour des
canaux identiques :
Tableau 1. 2: Niveau d'intégrité de sécurité maximale admissible pour une sécurité .fonction exécutée par
un élément ou sous-système de sécurité de type A.
17
Tableau 1. 3: Niveau d'intégrité de sécurité maximale admissible pour une sécurité fonction réalisée par un élément
ou sous-système de sécurité de type B.
Où
- PFDSYS : est la probabilité moyenne de défaillance sur demande d’une fonction de sécurité
du système E/E/PE relatif à la sécurité ;
- PFDS : est la probabilité moyenne de défaillance sur demande du sous-système capteur
- PFDL : est la probabilité moyenne de défaillance sur demande du sous-système logique ;
- PFDFE : est la probabilité moyenne de défaillance sur demande du sous-système élément
final.
Pour les architectures usuelles (1oo1, 1oo2, 1oo2D, 2oo3, 1oo3), la norme CEI 61508 contient
des tableaux , « voir annexe A». Qui facilitent les calculs, il suffit d’avoir les paramètres définis
précédemment ( DC, MTTF) et ensuite faire une projection sur le tableau adéquat pour tirer les
PFDG (PFDS, PFDL, PFDFE).
1.7 Conclusion
La norme IEC 61508 est la norme de référence pour la spécification et la conception des SIS. Sa
18
déclinaison sectorielle dans le domaine du procès industriel est destinée aux concepteurs et
utilisateurs de ce domaine [IEC61511, 2000]. Ces normes de sécurité fonctionnelle introduisent
une approche probabiliste pour l'évaluation quantitative de la performance du SIS et la
qualification de cette performance par des niveaux de sécurité .
L'introduction de probabilité dans la mesure de niveau d'intégrité a entraîné la mise en place de
nouveaux concepts tels que les notions de calculs de probabilité moyenne de défaillance à la
sollicitation PFDavg ou de défaillance par unité de temps.
La performance ainsi calculée permet alors de qualifier le niveau SIL du SIS selon les niveaux
définis par la norme qui en sont l'un des points clés. Cette évaluation s'apparente à un calcul
d'indisponibilité de la fonction de sécurité.
19
Chapitre 2 :
ANALYSE DES RISQUES
20
Chapitre 2: Analyse des risques
2.1 Introduction
Les chaudières ont subi différents phénomènes dangereux. qui produisent des blessures graves
pouvant être mortelles, des destructions au niveau des installations et des dommages pour
l’environnement. Pour cela nous devons donner une importance considérable à la mise en place des
moyens de protection et de prévention, pour éviter que ces phénomènes ne se produisent.
La détermination des scénarios est une étape capitale dans le processus de la gestion des risques.
Pour ce faire, le système « siège du danger » est modélisé et analysé pour définir comment son
fonctionnement peut conduire à des dérives par rapport à l’intention de son concepteur.
L’HAZOP est l’outil adéquat (Crowl, 2001), qui répond à notre premier besoin, c’est-à dire
l’identification des scénarios et surtout les évènements initiateurs qui mènent à la survenance
d’accidents. Les évènements initiateurs vont être les intrants de la méthode LOPA.
Cette équipements ou systèmes, appelés barrières de sécurité, sont implantés dans les process
industriels dans le but d’assurer le fonctionnement en sécurité. Il est important que ces barrières
répondent aux exigences de certaines normes et certains niveaux de performance. Pour cela en
utilisant la Méthode des graphes de risques pour déterminer le niveau d’intégrité de sécurité SIL et
faire la vérification a partir la méthodes semi-quantitative : LOPA.
21
2.2 La méthode HAZOP
Dans les années 60, ICI (Imperial Chemical Industries) a voulu améliorer
sa procédure “Revue de Conception”.
2.2.2.1 Définition
Méthode HAZOP : « ... application d’un examen critique formel et systématique aux du procédé
et de l’ingénierie d’une intentions installation neuve ou existante afin d’évaluer le potentiel de
danger lié à la mauvaise utilisation, ou au mauvais fonctionnement, d’éléments d’équipement et
leurs effets sur l’installation dans son ensemble... » [17] .
2.2.2 .2 Objectifs
L’objectif de la méthode HAZOP [17] est, à l’origine, d’identifier les dysfonctionnements de
nature technique et dont l’enchaînement peut conduire à des opératoires événements non souhaités.
Il s’agit donc de déterminer, pour chaque sous-ensemble ou élément d’un système bien défini, les
conséquences d’un fonctionnement hors du domaine d’utilisation pour lequel ce système a été conçu.
• La norme CEI 61882 définit les objectifs de la méthode HAZOP originelle, à savoir :
– « ... identification des dangers potentiels dans le système. Le danger peut se limiter à la
proximité immédiate du système ou étendre ses effets bien au-delà, comme dans le cas des dangers
environnementaux... » ;
22
– « ... identification des problèmes potentiels d’exploitabilité posés par le système et, en
particulier, l’identification des causes, des perturbations du fonctionnement et des déviations dans la
production susceptibles d’entraîner la fabrication de produits non conformes... ».
2.2.4 Déroulement
La mise en œuvre de l’HAZOP nécessite la constitution d’un groupe de travail rassemblant
autour d’un animateur, garant de la méthode, une équipe pluridisciplinaire ayant une connaissance
approfondie de l’installation décrite sur des plans détaillés. La méthode consiste à décomposer le
système considéré en sous-ensembles, appelés « nœuds », puis à l’aide de mots–clés, ou mots
guides, spécifiques à la méthode, faire varier les paramètres du système par rapport à ses points de
consignes, appelées « intentions du procédé ».
On obtient ainsi une déviation dont l’équipe examinera les causes possibles et en déduira leurs
conséquences potentielles pour l’ensemble du système, d’où l’emploi fréquent d’«analyse des
déviations » pour caractériser la méthode HAZOP.
L’équipe se concentre alors sur les déviations conduisant à des risques potentiels pour la sécurité
des personnes, des biens et de l’environnement. Elle examine et définit ensuite les actions
recommandées pour éliminer, en priorité, la cause et/ou éliminer ou atténuer les conséquences.
L’analyse des déviations fait l’objet d’un enregistrement sous forme de tableaux des déviations,
base indispensable pour la mise en place ultérieure des actions recommandées par le groupe de
travail.
La méthode HAZOP conventionnelle comporte alors une estimation a priori de la probabilité
d’apparition des déviations et de la gravité de leurs conséquences. On obtient une estimation semi-
quantitative du risque, se poursuivant par une évaluation permettant de définir l’acceptabilité ou non
23
du risque. On qualifie alors la méthode HAZOP de « probabiliste» par rapport à l’approche originelle
qualifiée de « déterministe » .
2.2.5 Méthodologie
Comme toute méthode, l’HAZOP (probabiliste) suit des séquences bien déterminées qu’il faut les
suivre par ordre suivant :
1. Sélectionner le premier nœud
2. Établir l'intention de conception et les conditions opératoires
3. Appliquer le premier mot-clé au premier paramètre
4. Identifier toutes les causes et les enregistrer : seules les causes dont l’origine est à l’intérieur du
nœud sont prises en compte
5. Identifier la/les conséquence(s) sans barrière de protection. Les conséquences peuvent être à
l’intérieur du nœud ou à l’extérieur du nœud. Dans la pratique, on se limitera aux nœuds voisins.
6. Évaluer la/les conséquence(s) et les fréquences, d’abord sans barrière de protection.
7. Lister toutes les barrières existantes.
8. Évaluer à nouveau la/les conséquence(s) et les fréquences, cette fois avec toutes les barrières de
protection en place.
9. Si les barrières existantes sont jugées insuffisantes, les membres de l'équipe doivent se
mettre d'accord sur les recommandations à prendre pour réduire le risque au niveau acceptable.
10. Continuer avec le mot-clé suivant. Après l’application de tous les mots guides sur le premier
paramètre, continuer avec le paramètre suivant. Une fois tous les mots guides utilisés, continuer sur
le prochain nœud jusqu’à couvrir tout le système étudié.
24
2.2.6.2 Méthode systématique
L’utilisation des mots-clés appliqués aux paramètres permet une analyse systématique des
déviations de procédé. En effet, en faisant varier ces deux notions (paramètres et mots-clés), on
établit une liste, la plus complète possible, des dérives de fonctionnement d’un équipement, donc de
dangers potentiels. Ainsi, l’analyse des risques du procédé est-elle des plus exhaustives, puisque non
influencée par un type de danger plutôt qu’un autre.
Néanmoins, contrairement à la méthode AMDEC, la méthode HAZOP ne requiert pas de faire
l’étude systématique des modes de défaillance de chaque composant d’un équipement.
25
d’occurrence et de gravité des conséquences. La séquence s’étend, et devient alors celle présentée au
tableau 2.
Tableau 2. 1 : Méthode HAZOP semi-quantitative (probabiliste).
2.2.9 Exigeante :
Le découpage du système en secteurs (nœuds ou opérations) ne permet pas toujours d’avoir une
vision globale des risques, en particulier si le périmètre de l’étude est très étendu : les risques aux
interfaces peuvent ne pas être pris en compte. Le choix des membres du groupe de travail HAZOP
prend ici toute son importance.
Par ailleurs, la méthode fait plus souvent apparaître les défaillances d’équipements que les
défaillances humaines comme causes des déviations, alors que le facteur humain est faillible. Il faut
donc que le groupe de travail s’efforce de modifier cette tendance.
Tableau 2. 3 : Signification des termes utilisés dans la méthode des graphes de risques.
27
l’événement dangereux se produit. Elle est déterminée en
calculant la fraction de temps pendant laquelle la zone soumise à
l´effet dangereux est occupée
Probabilité pour que le P La probabilité que les personnes exposées puissent éviter le
danger danger si la fonction de sécurité est défaillante. Ceci dépend de
soit évité l’existence de moyens indépendants d’alerte et d’évacuation des
personnes
Taux de sollicitation W Le nombre de fois par an où la fonction de sécurité considérée est
sollicitée. Ceci
peut être déterminé en prenant en compte toutes les défaillances
qui pourraient conduire à l’événement dangereux et en estimant
l’occurrence globale. Les autres couches de protection doivent
être prises en compte.
L’objectif de la revue SIL est de définir le niveau SIL par rapport aux conséquences de
l’événement dangereux sur les personnes, mais aussi par rapport aux conséquences sur
l’environnement et les biens.
Un graphe de risques est alors utilisé pour chacune des trois catégories de conséquences
(personnes, environnement et dommages aux biens) ; le SIL retenu pour la fonction de sécurité est le
plus élevé des trois niveaux.
2.3.3.2 Graphes de risques et des échelles de cotation
Les graphes de risques ainsi que les définitions des paramètres issus de la norme IEC 61511 [28]
sont les suivants :
Tableau 2. 4: Échelles de cotation des paramètres d’évaluation du risque
28
conséquences mois ou dommages
importantes, importants d’équipements
auxquelles il essentiels)
peut être remédié
rapidement sans
laisser
Conséquences d’atteinte durable
«C» C4 Effet catastrophique, de Rejet à l’extérieur Perte très importante
très nombreuses personnes du site, ayant des (perte production plus que
tuées conséquences 6 mois ou dégâts
importantes, considérables sur l'unité
auxquelles il ne peut de
pas être remédié procès)
rapidement ou qui
laissent des atteintes
durables
F1 Présence improbable du
personnel dans la zone
dangereuse (< 10% du
temps) Paramètre « F » non Paramètre « F » non
Occupation F2 Présence probable du applicable applicable
«F» personnel dans la zone
dangereuse (>= 10% du
temps
.
29
2.3.3.3 Graphes de risque
On emploie un graphe de risque [27,28] pour chaque catégorie de conséquences. En pratique, un
niveau SIL 4 ne doit jamais être requis pour une fonction de sécurité, car les matériels (capteurs,
automates, actionneurs) ne permettent pas d’atteindre ce niveau très élevé de fiabilité.
Les graphes de risques sont donnés ci –après :
30
Tableau 2. 6: La liste des fonctions retenues [28]
32
2.5.3 Objectif de la méthode
La méthode LOPA est une méthode semi-quantitative développée dans l’optique :
de juger de l’adéquation entre les barrières mises en œuvre et le niveau de risque visé ;– de
statuer sur le besoin de mise en œuvre de nouvelles barrières ;
de définir les « exigences » minimales sur la probabilité de défaillance des barrières à mettre
en place dans le cas où les barrières existantes ne permettraient pas de justifier d’un risque
acceptable;
d’évaluer la fréquence d’occurrence résiduelle d’un scénario d’accident.
La première étape de la méthode LOPA consiste à définir le scénario d’accident. Un scénario est
composé rio d’accident. Un scénario est composé a minima de deux éléments :
– un événement initiateur ;
– une conséquence.
L’un des principes de base de la méthode est qu’un scénario doit être composé d’un unique
couple événement initiateur/ conséquence. Dans le cas où un même événement initiateur peut mener
à différentes conséquences, il est alors nécessaire de définir autant de scénarios que de
conséquences.
Un scénario peut, en plus des deux éléments définis précédemment, inclure :
des conditions de réalisation qui correspondent à des conditions nécessaires pour que
l’événement initiateur puisse aboutir à la conséquence envisagée
– la défaillance des barrières de sécurité mises en place vis-à-vis du scénario d’accident.
Cette méthode intègre toutes les couches de protection de l’entreprise, tant organisationnelles que
techniques. La méthode LOPA évalue la réduction du risque en analysant la contribution des
différentes couches (qui englobe l’ensemble des barrières depuis la conception du procédé jusqu’aux
mesures de secours) en cas d’accident. L’ouvrage du CCPs introduit la notion de barrière de sécurité
indépendante (IPL).
Dans le cadre de l’application de la méthode, seules les barrières de sécurité qui vérifient les
conditions pour être retenues comme IPL sont à valoriser dans le calcul de la fréquence d’occurrence
résiduelle du scénario.
La méthode LOPA trouve plusieurs applications :
compléter l’analyse menée dans l’HAZOP si le groupe de travail considère le scénario trop
complexe ou que les conséquences sont trop importantes
déterminer les niveaux de SIL requis pour les fonctions instrumentées de sécurité (SIF) ;
évaluer l’impact de la modification du procédé ou des barrières de sécurité ;
33
analyser de manière plus détaillée certains scénarios d’accidents.
Aujourd’hui, le retour d’expérience montre que la méthode LOPA est principalement utilisée
dans le cadre de l’application des normes SIL (IEC ou ISA). En revanche, les propositions de mise
en place de barrières supplémentaires dans le but de réduire un risque ne doivent pas se limiter aux
seules SIF.
La méthode LOPA peut aussi être utilisée comme une alternative à une analyse quantifiée en
termes de fréquence d’occurrence et de gravité. À ce titre, la figure 2.4 présente l’exemple de
répartition des méthodes d’analyse de risques proposé par le CCPs .
35
2.5.6 Description des différentes couches de protection
Dans le cadre de la réduction des risques, on est amené à mettre en place différentes barrières
prévues, soit pour agir sur la probabilité d’un accident (barrière de prévention), soit sur la gravité
(barrière de mitigation et de protection).
39
Figure 2. 5: Processus général de la méthode LOPA [3].
Dans la catégorie des barrières techniques de sécurité, il peut s’agir de dispositifs desécurité
ou de systèmes instrumentés de sécurité.
40
Figure 2. 6.typologie des barrières de sécurité [14]
Les dispositifs passifs : qui ne mettent en jeu aucun système mécanique pour remplir
leur fonction et qui ne nécessitent ni action humaine (hors intervention de type
maintenance), ni action d’une mesure technique, ni source d’énergie externe pour remplir
leur fonction. On retrouve notamment dans cette catégorie les cuvettes de rétention, les
disques de rupture, les arrête-flammes ainsi que les murs coupe-feu.
Les dispositifs actifs qui mettent en jeu des dispositifs mécaniques (ressort, levier…) pour
remplir leur fonction. On retrouve notamment dans cette catégorie les soupapes de décharge
et les clapets limiteurs de débit. Ils peuvent nécessiter une source d'énergie externe pour
fonctionner.
Tableau 2. 8. Exemples de dispositifs et passifs
41
À ce stade il faut mettre en évidence une notion : une vanne de sécurité n'est pas
considérée comme un dispositif de sécurité, car elle n'assure pas à elle seule une fonction de sécurité
dans sa globalité. Il faut une action humaine et/ou une source d'énergie externe pour l'actionner. (Voir
Chapitre SIS).
Une barrière est dite performante si elle vérifie les trois critères suivants :
42
Tableau 2. 9 : Proposition de fréquences d’occurrence pour des événements initiateurs (d’après l’IEC
61511-3).
44
2.5.9 Quantification des probabilités de défaillance des barrières :
2.5.9.1 Barrières « actives » :
La méthode LOPA définit deux principaux types de barrières de sécurité pouvant être définies
comme des IPL actives. Il s’agit des systèmes suivants :
BPCS qui inclut détecteur(s), système logique et actionneur(s)
SIF qui inclut détecteurs(s), système logique de sécurité et
actionneur(s).
Les probabilités de défaillance associées à ces systèmes sont rappelées dans le tableau 9.Les valeurs
de PFD proposées pour les SIF (caractérisés par un niveau de SIL) sont en accord avec les valeurs
rapportées dans la norme IEC 61511. Pour rappel, la probabilité de défaillance d’une SIF permet de
déterminer son niveau de SIL (Safety Integrity Level) ou niveau d’intégrité de sécurité. Il existe
quatre niveaux de SIL allant de 1 à 4 :
SIL 4 renvoyant au niveau de sécurité le plus « élevé » ;
SIL 1 renvoyant au niveau de sécurité le plus « faible ».
Tableau 2. 11 : Probabilité de défaillance à la sollicitation pour les barrières actives [20]
45
Tableau 2. 12: Probabilité de défaillance à la sollicitation pour les barrières passives.
46
Tableau 2. 13: Probabilité de défaillance à la sollicitation pour les barrières humaines.
47
En fonction des critères retenus pour estimer le niveau de gravité à associer à la conséquence du
scénario, d’autres paramètres pourront être inclus dans le calcul de la fréquence résiduelle .
La probabilité de présence du personnel dans la zone exposée à la conséquence (si
l’évaluation de la gravité est faite en fonction du nombre de personnes impactées)
la probabilité de blessure ou de mort en fonction du seuil et de la durée d’exposition à un
effet (surpression, toxique ou thermique).
Le tableau 2.15 résume les différentes formules de calcul qui peuvent être utilisées pour estimer
la fréquence d’occurrence résiduelle d’un scénario. Pour illustrer les différentes formules, nous
considérerons que le scénario étudié génère une fuite à l’atmosphère d’un produit qui présente un
caractère inflammable et toxique.
Fuite du produit
= ∗
Fuite enflammée
= ∗ ∗
= ∗ ∗ 1−
48
Personnel exposé au seuil des
= ∗ ∗ 1− ∗ ∗ é effets générant la mort
(toxique)
Personnel exposé au seuil
= .( ). . é . é d’effet générant des blessures
(thermique/surpression).
Personnel exposé au seuil des
= ∗ ∗ 1− ∗ ∗ effets générant la mort
(thermique/surpression)
Notations :
Conclusion :
La méthode HAZOP est une méthode systématique et un outil puissant dans le domaine des
procédés utilisant des fluides. Elle nous a aidé à identifier toutes les causes des scénarios ainsi leurs
enchainements, mais elle ne peut pas traiter les scénarios assez complexes.
La Méthode des graphes de risques employée pour déterminer un niveau SIL est une évaluation
du risque basée sur une matrice de risques. Il s’agit d’une évaluation qualitative des conséquences
potentielles consécutives.
La méthode LOPA est un outil très puissant qui nous aide à déterminer et vérifier le niveau
d’intégrité de sécurité requis (SIL requis) avec une démarche semi-quantitative et en utilisant les
bases de données cela est très pratique, surtout dans le cas où on n’a pas suffisamment de données.
D’autre part, la détermination du SIL requis montre à l’employeur la nécessité ou non de la mise
en place des barrières de sécurité et plus précisément le niveau d’intégrité de sécurité exigé pour
que la barrière soit satisfaisante et ainsi d’établir ou maintenir les processus dans un état de
sécurité.
49
Chapitre 3 :
CHAMPS D’ETUDE
(INSTALLATION)
50
Chapitre 3 : CHAMPS D’ETUDE (INSTALLATION)
3-1 Présentation du complexe Fertial Annaba
La zone d’étude est située à l’extrême Nord-Est de l’Algérie, dans la wilaya d’Annaba.
L’ensemble des unités de FERTIAL se trouve sur la plateforme chimique, située au Sud-est de la
ville d’Annaba vers la route des salines sur les berges de la mer Méditerranée.
L´usine Fertial d'Annaba est située sur un terrain vague de forme trapézoïdale et d'une surface de
184.817 m2 dans la zone industrielle qui se trouve au sud de la ville d'Annaba.
Les unités de productions des engrais azotés et la centrale utilité II sont implantées dans la partie
Nord et les unités de productions d’engrais phosphatés et centrale utilité I dans la partie Sud.
Le site du complexe occupe une superficie de l’ordre de 108 hectares délimité :
Nord-Est par la méditerranée,
Sud-Est par l’Oued Seybouse et la cité Sidi Salem,
Sud-Ouest par la route RN 44 et par la Cité et El Bouni
Nord-Ouest par l’Oued Boudjlina et la cité Seybouse.
Dans le cadre de son domaine d’activités, la société des fertilisants d’Algérie FERTIAL SPA
ANNABA produit et commercialise:
L’ammoniac anhydre liquide (-33° C)
51
Nitrate d’Ammonium granulé à usage agricole et Technique
Le Calcium Ammonium Nitrate 27% Azote (CAN 27)
Différentes types d’engrais NPK (Azote, Nitrate, Phosphate)
les capacités de production des différentes unités sont reprises ci-dessous:
Unités Capacité de traitement
Une unité d’ammoniac- procédé Kellogg 1000 t/j
52
3.2.2 Section dessalement de l’eau de mer
Il existe 4 blocs de dessalement eau de mer de débit 200t/h par unité. Fonctionnant avec système de
distillation (multi-flash) et éject-compression.
L’eau distillée produite est stockée dans des bacs de réserve.
3.3.2.1Ballon supérieur :
C’est un ballon cylindrique horizontal où l’on maintient un niveau constant pour ne pas rompre
la circulation naturelle. Il est équipé de :
• Séparateur vapeur-eau (dynamique et statique) pour éviter les entrainements.
• D’une arrivée d’eau d’alimentation distribuée par des gicleurs le long du tube d’entrée (ce qui
permet de répartir le débit le long du ballon) pour éviter des turbulences et calmer le niveau.
• Une prise de purge qui est utilisée en purge continue de déconcentration
• Deux soupapes de sécurité et vidange
54
3.3.2.4 Tubes d’alimentations
Ce sont les tubes qui alimentent le ballon inférieur avec l’eau de chaudière par gravité de ballon
supérieur.
3.3.2.5 Tubes-écrans
Ce sont les tubes entre le ballon inférieur et le ballon supérieur qui sont en contact avec la
flamme.
3.3.2.7 Économiseur
L’économiseur est un faisceau tubulaire placé dans l’échappement des fumées qui permet de
récupérer des calories disponibles dans les fumées en réchauffant l’eau d’alimentation du ballon de
la chaudière.
55
L’appoint en eau dans la chaudière est réalisé grâce à une pompe alimentaire fonctionnant
à une pression légèrement supérieure à la pression interne du ballon.
L’eau alimentaire traverse l’économiseur être préchauffé avant d’entrer au ballon supérieur, le
ballon rempli, elle s’écoule par gravité au ballon inférieur par l’intermédiaire du tube d’alimentation
ensuite passe vers les tubes-écran où se fait l’ébullition.
La vapeur saturée collectée traverse le 1er séparateur dynamique (siclon) pour éliminer les
gouttelettes d’eau entrée au ballon supérieur puis elle est avancée vers le 2eme séparateur
statique(les chicanes).
En fin, la vapeur encore saturée entre dans les surchauffeurs primaire et secondaire. Dans le cas
ou température de vapeur est élevée elle passe par un désurchauffeur sous forme d’un serpentin
plongé dans le ballon inférieur [32].
56
12
16
13
4
8
2
5 3
1
15 9
1 AIR 9 Surchauffeur 2 12
10
2 Source de gaz naturel CH4 10 Ballon inférieur
11
3 chambre de combustion 11 Désurchauffeur
57
L’alimentation de la chaudière de l’unité ne se réalise qu’à partir de l’eau déminéralisée.
Tout au long des années de marche de l’installation, les chaudières de la centrale ont subi différents
problèmes.
Durant les premières années de démarrage de la centrale (avril 1983), il a été observé
plusieurs problèmes dus essentiellement au manque d’expérience et à la mauvaise prise en charge
des perturbations ; nous citons [29,30] :
Le soutirage de vapeur par les unités et le retour brusque des vapeurs en sortie de pompage,
ont causé l’entrainement d’eau vers le surchauffeur causant ainsi la déformation de ces tubes
(gonflement et fissurations des tubes) ainsi que la perturbation du niveau du ballon supérieur de
la chaudière.
En 1987, il a été signalé l’infiltration d’eau de mer dans l’eau déminéralisée causant ainsi une
mauvaise qualité d’eau alimentaire, qui fut le résultat d’une fuite brusque de l’eau de mer dans
les condensats (échangeur condensats-eau de mer). La chaudière fut ainsi alimentée avec une
eau contaminée (présence de dureté et de chlorures élevés). La vigilance du personnel a été
d’isoler l’échangeur fissuré après analyses et le changement d’alimentation d’eau par vidange et
extraction. cet accident à failli causer l’arrêt de toute l’unité.
En 1990, il a été vécu un autre type de problème. Ce fut l’explosion des chaudières ; un
mauvais balayage de la chambre de combustion au démarrage a laissé des poches de gaz à
l’intérieur de la chambre. La conséquence du fort débit de gaz a été une explosion allant jusqu’à
la destruction de la chambre de combustion.
De 1992 à 2000, suite au vieillissement des différentes instruments de commande, il a été
rapporté des alarmes parasitaires telles que :
Blocage des paramètres de marche de la chaudière, blocages des chaines où boucles
de régulation de contrôle des paramètres (pression-niveau-débit d’eau).une catastrophe a été
évitée par un contrôle local et visuel de la chaudière.
Le déclenchement alarmant des pompes alimentaire des chaudières causées par un
niveau bas d’eau au niveau de la bâche alimentaire a perturbé le fonctionnement de la
chaudière.
Au niveau de l’équipement de la chaudière, il fut constaté des fissurations causées par
des "points chauds". d’Explosivité (LSE).
58
3.5 LES effets de surpression
59
Figure 3. 3 : Les effets de surpression [3].
Figure 3. 4: Les zones de surpression en fonction des distances d'une explosion retardée [3].
3.6 Conclusion
La section chaudière joue un rôle capital dans le complexe de production dont son indisponibilité
est une situation gravement non souhaitée ainsi les conséquences qui peuvent résulter des dommages
graves sur les personnes, l’environnement, les installations et la production. Pour toutes ces raisons,
l’installation requiert qu’on veille à son fonctionnement en sécurité.
60
Chapitre 4 :
SYNTHESE
61
Chapitre 4 : SYNTHESE
4.1 Introduction
Comme la section chaudière est une unité motrice du complexe de production, on doit assurer
son bon fonctionnement ainsi que sa disponibilité. D’après le Rex (retour d’expérience), les risques
majeur explosion est l’évènement que redoute FERTIAL.
Dans ce chapitre, plusieurs outils pratiques et une démarche sont mis en œuvre dans le but de
maîtriser tel évènement.
Les nœuds étudiés pendant l’analyse HAZOP ont été les suivants « voir annexe A» :
1. Système de combustion et fumées Chaudières GB-1150-C.
2. Générateur de vapeur Chaudières GB-1150-C.
3. Circuit d’eau alimentaire Chaudières GB-1150-C.
62
4.2.3 Cotation :
Après l’identification des risques, une évaluation du risque est réalisée en identifiant la
fréquence d’occurrence ainsi que la gravité des conséquences. Cette évaluation est basée sur le
principe de la matrice de risque. Les conséquences sont classées en quatre catégories :
L’environnement
La production
Le but final est d’identifier toutes les dérives potentielles relatives aux chaudières A et B. La matrice
de risques est représentée dans la figure (4.1), les classes de gravité et probabilité sont :
63
P3 Très improbable
Une fois par an sur un ensemble de plus de 1000 unités
Pourrait se produire une fois sur un ensemble de 100 à 200 unités similaires 10-3 à 10-4
sur une période de 20 à 30 ans
Est déjà survenu dans la société, mais des mesures correctives ont été prises
P2 Extrêmement improbable
Est déjà survenu dans l'industrie, mais des mesures 10-4 à 10-5
correctives ont été prises
P1 Extrêmement rare
Événement physiquement possible, mais n'a jamais ou <10-5
rarement eu lieu sur une période de 20 à 30 ans pour un grand nombre de
sites
Tableau 4. 2: Les classes de probabilité [26]
64
Tableau 4. 3: Les classes de gravité [26]
Décès multiples. Hospitalisations Un décès. Incapacité Pollution majeure externe au site et/ou une perte importante Plus de 180 jours de
multiples avec effets irréversibles permanente, multiple de la perte de production
hospitalisation ou effet majeur vie aquatique.
G5 de santé publique.
Un à trois décès. Incapacité Blessure grave ou effet sur la Pollution importante avec des conséquences De 30 à 180 jours de
permanente, multiple santé avec une ou plusieurs environnementales externes au site perte de production
G4 hospitalisation ou effet majeur de journées d’arrêt de travail ou
santé publique. des effets important sur la
santé
Blessure grave ou effet sur la santé Blessures Une importante pollution interne au site. De 5 à 29 jours de
avec une ou plusieurs journées mineures ou effet sur la santé. perte de production
G3 d’arrêt de travail ou des effets Traitement médical avec
importants sur la santé travail restreint ou effet sur
la santé à moyen terme
Blessures Mineures ou effet sur Blessé léger ou effet sur la Déversement modéré dans la limite du site De1 à 4 jours de perte de
G2 la santé. Traitement médical avec santé. Traitement médical, production
travail restreint ou effet sur la santé effets sur la santé mineurs,
à moyen terme premiers secours.
Blessé léger ou Effet sur la santé. Pas d’effet à l’extérieur du site Léger effet. Déversement dans les limites du site, sans Moins de1 jour de perte
G1 Traitement médical , effets sur la conséquences sur l'environnement de production
santé mineure, premiers secours.
65
4.2.4 Tableau HAZOP
L’application de la méthode HAZOP selon les données précédentes nous a menées à ces tableaux.
66
Change de la G P G Régulation préalable G P G
Position de la 4 3 4 de la pression de gaz 4 2 4
flamme avec P Interlock arrêt de la P
dommage des tubes 3 chaudière 2
La pré ventilation
Explosion à cause G P G Régulation préalable G P G
de poches de gaz non 5 3 5 de la pression de gaz 5 2 5
brulés dans la P Interlock arrêt de la P
chambre de 3 chaudière 2
combustion Analyse en ligne des
fumées
Explosion en cas de G P G Régulation préalable G P G
rallumage 5 3 5 de la pression de gaz 5 2 5
P P
Balayage renforcé
3 2
Débit Pas de Défaillance de la boucle Explosion par G P G Analyse en ligne de G P G Etudier la nécessité
de régulation excès de gaz 5 3 5 fumées 5 2 5 d'une alarme de basse
P Analyseur d’oxygène P pression en aval du
GFV 1101 C 3 2 ventilateur
Analyseur de
monoxyde de carbone
CO
67
Perte de flamme et G P G Interlock arrêt G P G
de production 3 3 3 chaudière 3 1 3
P Analyse en ligne de P
3 fumées 1
Explosion en cas de G P G Balayage renforcé G P G
rallumage 5 3 5 5 2 5
P P
3 2
Arrêt de ventilateur Explosion par G P G Analyse en ligne de G P G
excès de gaz 5 3 5 fumées 5 1 5
P Interlock arrêt P
3 chaudière 1
Indicateur de vitesse
SSL1102C de
ventilateur.
Impact sur G P G Analyse en ligne de G P G
l’environnement 3 3 3 fumées 3 1 3
P Interlock arrêt P
3 chaudière 1
Perte de flamme et G P G Analyse en ligne de G P G
de production 3 3 3 fumées 3 1 3
P P
3 Interlock arrêt 1
chaudière
Explosion en cas de G P G Balayage G P G
rallumage 5 3 5 5 1 5
P Interlock arrêt P
3 chaudière 1
68
Fermeture de la vanne Explosion par G P G Analyse en ligne de G P G
d’air de combustion excès de gaz 5 3 5 fumées 5 1 5
P Excès air (introduit P
3 dans la chambre de 1
combustion jusqu’à 30
% d’air en plus de la
quantité
stœchiométrique.
Impact sur G P G Analyse en ligne de G P G
l’environnement 3 3 3 fumées 3 1 3
P P
3 1
Perte de flamme et G P G Interlock arrêt G P G
de production 3 3 3 chaudière 3 1 3
P Analyse en ligne de P
3 fumées 1
Explosion en cas de G P G Balayage renforcé G P G
rallumage 5 3 5 5 1 5
P P
3 1
Défaillance de la boucle Perte de flamme et G P G Interlock, arrêt de la G P G
De régulation de production 3 3 3 chaudière 3 1 3
GFV1102C P P
3 Analyse en ligne de 1
fumés
Explosion en cas de G P G Balayage renforcé G P G
rallumage 5 3 5 5 1 5
P P
3 1
69
Défaillance de poste de Perte de flamme et G P G Alarme basse G P G
détente gaz naturel ou de production 3 3 3 pression gaz 3 1 3
problème de fermeture de P P
gaz 3 Interlock arrêt de 1
chaudière
Position de sécurité
des vannes TOR
70
4.2.4.2Nœud 2 : Générateur de vapeur Chaudières GB-1150-C.
Utilités Perte Défaillance du système Perte de contrôle G P G Groupe alternateur G P G Mettre en place un
d’électricité électrique sur le système de 4 2 4 4 1 4 groupe de secours
régulation P Double alimentation P
2 électrique 1
Générate Débit Inverse Arrêt de la pompe Haute pression Dans G P G Clapet anti-retour G P G
Ur de Débit la bâche alimentaire 3 3 3 3 1 3
vapeur P P
3 1
Pression Trop de Défaillance de la boucle Rupture des tubes G P G Alarme HP G P G
pression de régulation 4 4 4 4 1 4
P P
Détérioration de 4 1
Soupape de sécurité
ballon
Arrêt brusque d’un Rupture des tubes G P G Soupape de sécurité G P G
équipement 4 4 4 4 1 4
consommateur P Alarme HP P
4 1
Pas assez de Perte chaudière Perte de production G P G Boucle de régulation G P G
Déclenchement Reteur de 1 3 1 air/gaz. 1 2 1
vapeur en cas de P P
surconsommation. 3 2
/consommation
Augmentation brusque Gonflement ballon G P G Système régulation G P G
de la consommation en Vapeur>46bar 3 3 3 niveau/vapeur 3 1 3
vapeur P P
3 Boucle de régulation 1
air/gaz
71
Température Pas assez de Défaillance de la Surconsommation G P G Alarme basse G P G
boucle de régulation de de combustible, impact sur les 2 2 2 température 2 1 2
température TV1101C équipements consommateurs P P
2 1
Mauvais échange dû à Surconsommation de combustible, G P G Analyser G P G
l’entartrage des tubes impact sur les équipements 2 2 2 régulièrement l’eau 2 1 2
consommateurs P P
2 1
Trop de Défaillance de la boucle Endommagement G P G Alarme HT G
de régulation de des équipements consommateurs 3 2 3 3
température TV1101C P P
2 1
Pression haute dans le Endommagement G P G Alarme HT ballon G
réseau de vapeur des équipements consommateurs 3 2 3 chaudière 3
P Alarme HT P
2 équipements 1
consommateurs
Rupture des tubes Endommagement de chaudières G P G maintenances
2 3 2
P
3
Coup bélier Rupture des tubes G P G Purge d’eau
3 2 4 présente dans les
P tubes surchauffeur
2 primaire et
secondaire en cas de
Démarrage de
chaudières
Démarrage de chaudières Endommagement de chaudières G P G Démarrage de
progressivement
brusque -Choc thermique du métal. 4 3 4 chaudières
pendant 4 h (40 bar-
P progressivement.
420 c).
3
72
Niveau Trop de Défaillance de la boucle Risque G P G Alarme haut niveau G P G
LC/LV1104 C d’endommagement 4 3 4 4 1 4
des tubes P P
-les parois des tubes 3 1
surchauffés.
Pas assez de Défaillance de la boucle -Endommagement G P G Interlock arrêt de la G P G
LC/LV1104 C de la chaudière 4 3 4 chaudière 4 1 4
-Le niveau d’eau P P
dans la ballon 3 Alarme niveau bas 1
diminue rapidement.
-les parois des tubes
surchauffés.
-Explosion des
parties sous pression
de la chaudière.
Rupture des tubes -Endommagement G P maintenance
de la chaudière 4 3
-Niveau au ballon
diminue (impulsion
de ballon)
Arrêt de la pompe Endommagement G P G Alarme BP eau G P G
alimentaire de la chaudière 4 3 4 alimentaire 4 1 4
-manque d’eau P P
d’alimentation. 3 Alarme arrêt de la 1
-Le niveau d’eau pompe
dans la ballon
Interlock pompe 1 et
diminue rapidement.
démarrage pompe 2
-les parois des tubes
surchauffés.
-Explosion des
parties sous pression
des chaudières.73
Niveau très bas bâche Cavitation de la G P G Alarme niveau bas G P G
alimentaire pompe 2 2 2 Sonde de niveau 2 1 2
P P
2 Indicateur de niveau 1
Endommagement G P G Interlock arrêt de la G P G
de la chaudière 4 3 4 chaudière 4 1 4
P Alarme niveau bas P
3 Sonde de niveau 1
Indicateur de niveau
74
4.2.4.3 Nœud 3 : Circuit d’eau alimentaire Chaudières GB-1150 C :
alimentai P P
re 3 3
Défaillance de la boucle Surpression, G P G Soupape de sécurité G P G
régulation Dommage sur les 2 3 2 1 3 1
PC/PV1052C équipements P P
niveau Trop de Défaillance de la boucle Débordement de la G P G
3 Garde hydraulique G P G
3
LT/LV1051C bâche 1 5 1 1 5 1
P P
5 3
Arrêt de la pompe Débordement de la G P G Garde hydraulique G P G
alimentaire bâche 1 5 1 1 3 1
GP1160C P P
Pas assez de Défaillance de la boucle Cavitation de la G P G
5 Interlock arrêt de G P G
3
de régulation de niveau pompe 3 2 3 chaudière 3 1 3
LTLC1051 C P Soupape casse vide P
2 1
75
Rupture ou fuite dans la Cavitation de la G P G Alarme niveau bas G P G
conduite pompe 3 2 3 3 1 3
P P
2 1
Arrêt chaudière G P G Alarme niveau bas G P G
3 2 3 3 1 3
P P
2 1
Utilités Perte d’air Défaillance de système Perte de contrôle G P G Alarme base pression G P G
comprimé de compression d’air sur le système de 4 2 4 dans le réseau d’air 4 1 4
régulation P comprimé P
2 Position de sécurité 1
des vannes TOR
76
4.3 Mise en œuvre de la méthode des graphes des risques :
Chaudière (s) TAG SIF Initiateur Action associé But fonction C F P W1 Niveau SIL
01 GB-1150 c LSLL-1057C LS-1057C arrêt pompe GP- -Prévenir dommage dans la bâche alimentaire GL- C1 P1 W1 SIL -
1160A/B/C/D 1359C par très bas niveau
-Prévenir dommage dans la bâche alimentaire GL
1359C par très bas niveau
02 GB-1150 c LSLL-1057c LS-1103C Arrêt combustion -Prévenir dommage de chaudière par niveau très bas C2 P2 W2 SIL 2
03 GB-1150 c ZSH1201C ZSH-1201C Démarrage d'autre -Prévenir dommage de chaudière par niveau très bas C3 P1 W1 SIL 2
pompe
(GP1160A/B/C/D)
04 GB-1150 BT-1101.2C BT-1101/2C Arrêt chaudière -Prévenir risque d'explosion par non allumage du C3 F2 P2 W2 SIL 3
brûleur
05 GB-1150 c PSH-1110C PS-1110C Arrêt chaudière -Prévenir dommage par explosion dans la chambre de C3 F2 P2 W1 SIL 2
combustion de la chaudière comme conséquence de
77
défaillance des boucles de régulation gaz/air
06 GB-1150 c PDSL-1102C PDS-1102C Arrêt chaudière Prévenir risque d'explosion par défaut d'air C3 F2 P2 W1 SIL 2
07 GB-1150 c MZH-1154C MZH-1154C Arrêt chaudière -Prévenir risque d'explosion par accumulation de gaz C3 F2 P2 W1 SIL 2
dans la chambre de combustion comme conséquence
de l'arrêt de ventilateur GZ1154C
08 GB-1150 c ZSL-1101.8C ZSL- Arrêt chaudière -Prévenir dommage dans la chambre de combustion C2 P2 W1 SIL 1
1101.8C par fermeture de clapet de cheminée
09 GB-1150 c FSL-1101C FT-1101C Arrêt séquence -Prévenir le risque d'explosion par accumulation de gaz C3 F2 P1 W2 SIL 2
d'allumage (ouverture dans la chambre de combustion
de vannes 100%)
10 GB-1150 c AAL-1101C AT-1101C Arrêt séquence -Prévenir le risque d'explosion par accumulation de gaz C3 F2 P2 W2 SIL 3
d'allumage dans la chambre de combustion
11 GB-1150 c ZSH-1111/13C ZSH- Arrêt séquence -Prévenir le risque d'explosion par accumulation de gaz C3 F2 P1 W2 SIL2
1111/13C d'allumage dans la chambre de combustion
12 GB-1150 c ZSL-1110/12C ZSL- Arrêt séquence -Prévenir le risque d'explosion par accumulation de gaz C3 F2 P1 W2 SIL2
1110/12C d'allumage dans la chambre de combustion
13 GB-1150 c PSL-1121C PS-1121C Arrêt chaudière -Prévenir le risque d'explosion par dommage de la C3 F2 P2 W1 SIL1
photocellule pour surchauffe ment
78
4.3.2 LISTE DES ACTIONS :
La revue SIL a donné comme résultat trois fonctions de sécurité instrumentées avec niveau SIL 3:
AAL-1101C
BT-1101.2C
4.3.3 Conclusion :
On a étudié un total de 13 fonctions de sécurité instrumentées pour lesquelles on a obtenu des
niveaux SIL -, aucun niveau SIL à, deux niveaux SIL 1, huit SIL 2.et deux SIL 3
Nous suggérons une action commune pour les deux fonctions qui ont un niveau de risque très élevé:
De ce fait une analyse LOPA est une étape primordiale pour déterminer le besoin de SIL 3 ; et on a
utilisé les résultats d’HAZOP comme des éléments d’entrée.
79
4.4 Mise en œuvre de la méthode LOPA :
Après avoir identifié les scénarios à l’aide de la méthode HAZOP, recommandée par le CCPs, et
que cette dernière n’arrive pas à les traiter à cause de leur complexité, le risque reste inacceptable
alors une addition d’une ou plusieurs IPL(s) résout le problème.
Pour mettre en évidence ce principe en procède à la schématisation d’un système à trois
IPLs :
es
Conséquenc
Evènement
Les scénarios à risque résiduel situés dans la zone ALARP ((As Low As Reasonably
Praticable : aussi faible que raisonnablement possible) font l’objet d’une étude LOPA, sachant que
les évènements initiateurs sont les causes dans l’étude HAZOP.
4.4.1.1 Scénario N° 01
Explosion dans la phase démarrage de la chaudière à cause d’une défaillance de la boucle de
régulation entrainant un excès de débit ce qui engendre des dommages pour le personnel,
l’environnement et les installations.
80
Analyse du scénario N°01 :
Vis-à-vis ce scénario, il existe une seule IPL de type procédure, c’est le balayage (la pré
ventilation) pendant 2 min.
Or la boucle de régulation commandée par le BPCS est à l’origine de l’excès de débit ce qu’il ne
vérifie pas les conditions d’IPL. L’analyse du scénario est résumée dans le tableau (4.5).
= . (∏ ). . é . é Équation (4. 1 )
Telle que,
: Fréquence de la conséquence associée à l’événement initiateur i à l’origine du
scénario d’accident.
81
En se référant aux critères d’acceptabilité de l’industriel, supposons que la fréquence cible pour le
risque d’explosion (Crowl, 2001) soit de. La fréquence d’occurrence étant supérieure à la fréquence
cible, il est alors possible de déterminer le facteur de réduction du risque (RRF) (RRF) qui
permettrait de rendre ce risque acceptable. Ce facteur se calcule comme suit :
é é
= = = Équation (4. 2)
é
Pour assurer ce RRF, il faut alors proposer la mise en place d’une barrière de sécurité qui soit donc
inférieure ou égale à RRF . On déduit alors que la PFD de l’IPL à proposer ne doit pas dépasser 10.
Elle doit être d’un niveau d’intégrité de sécurité SIL2 ou plus.
82
IPL1 (RRF+10)
Atteinte du :
Défaillance de la boucle de Excès de gaz dans la chambre
régulation GFV1101-A/B de combustion Personnel, Environnement
Installation.
Explosion
conditionnels de
réalisation
Facteurs
83
N° du scénario : 01 N° de l’équipement : Titre du scénario : Explosion dans la phase
GFV1101-C démarrage causée par un excès de débit suite à
une défaillance de la boucle de régulation.
Date : 20/05/2018 Description Probabilité Fréquence
Conséquences/niveau de gravité associée Explosion de la chaudière C
Fréquence « cible » pour atteindre le niveau de Ce scénario entraine un risque pour le personnel, 10-5
risque acceptable l’installation et l’environnement.
Évènement initiateur du scénario Défaillance de la boucle de régulation 10-1 (l'Icsi, 2009)
Conditions de réalisation du scénario -
Facteurs conditionnels de Probabilité d’explosion 1
réalisation (si applicables au scénario)
Probabilité de présence du personnel dans la zone d’effet 1
atteinte par le scénario
Probabilité de blessures 1
Autres -
Fréquence du scénario sans les barrières 10-1
Barrières de sécurité respectant Les critères Balayage pendant 2 min (une action de type procédurale) 10-1(Villemeur,
d’indépendance explicités dans la méthode LOPA 1997)
Autres barrières de sécurité ne respectant pas les
critères d’indépendance explicités dans la - -
méthode LOPA
Total des PFD associés aux Barrières de sécurité 10-1
indépendantes (IPL).
Fréquence du scénario avec les barrières indépendantes 10-2
Fréquence « cible » permettant de justifier d’un risque acceptable est-elle atteinte ? (Oui/Non) : Non
Actions requises pour atteindre le niveau de risque acceptable : augmenter la durée de balayage (>2 min ,au minimum 3 fois)
Notes : le renforcement du Balayage (trois fois) réduit le risque d’au moins un facteur 20 pour le
ramener dans une zone acceptable. Un niveau d’intégrité SIL 2 est donc requis.
Références : PID chaudière A/B, étude HAZOP.
Identité des membres ayant participé à la revue LOPA : BOULAHIA HASSENE
Tableau 4. 5: analyse du scénario N° 01.
84
4.4.1.2 Scénario N° 02
Destruction des tubes causée par le changement la position de la flamme suite à une défaillance
de la boucle de régulation ce qui va engendrer des dommages pour l’installation et le personnel.
Analyse du scénario N°02 :
Vis-à-vis ce scénario, il n’existe aucune IPL. La boucle de régulation commandée par le BPCS est
à l’origine de l’excès de débit ce qu’il ne vérifie pas les conditions d’IPL. L’analyse du scénario est
résumée dans le tableau (4.6).
En se référant à la formule donnée par le CCPS, la fréquence d’occurrence du scénario peut
s’évaluer comme suit :
= . ∏ Équation (4. 3)
Pour assurer ce RRF, il faut alors proposer la mise en place d’une barrière de sécurité qui soit donc
inférieure ou égale à RRF. On déduit alors que la PFD de l’IPL à proposer ne doit pas dépasser
10.Elle doit être d’un niveau d’intégrité de sécurité SIL2 ou plus.
85
Interlock (RRF=10)
Évènement Conséquences
initiateur
Défaillance de la boucle de Destruction des Changement la position de
régulation GFV1101-C tubes la flamme
86
Numéro du scénario : 02 N° de l’équipement : GFV1102 C Titre du scénario : destruction des
tubes causée par le changement la
position de la flamme suite à une
défaillance de la boucle de régulation.
Date 20/05/2018 Description Probabilité Fréquence
Conséquences/niveau de gravité associée Dommage sur les tubes
Fréquence « cible » pour atteindre le niveau de risque acceptable Ce scénario entraine un risque pour l’installation 10-5
Évènement initiateur du scénario Défaillance de la boucle de régulation 10-1/an(l'Icsi, 2009)
Conditions de réalisation du scénario
Facteurs conditionnels de réalisation (si applicables au scénario) Probabilité d’explosion 0
Probabilité de présence du personnel dans la zone 0
d’effet atteinte par le scénario
Probabilité de blessures 0
Autres
Fréquence du scénario sans les barrières 10-1
Barrières de sécurité respectant les critères d’indépendance explicités
dans la méthode LOPA
Autres barrières de sécurité ne respectant pas les critères Interlock (à l’aide d’un 10-1 (Crowl,2001)
d’indépendance explicités dans la méthode LOPA capteur photo cellule et une alarme)
Total des PFD associés aux barrières de sécurité indépendantes (IPL) -
Fréquence du scénario avec les barrières indépendantes 10-2
Fréquence « cible » permettant de justifier d’un risque acceptable est-elle atteinte ? (Oui/Non) : Non
Actions requises pour atteindre le niveau de risque acceptable : mettre en place une SIF de SIL2
Note : le niveau d’intégrité de sécurité requis est de SIL2
Références : PID, étude HAZOP, base documentaire
Identité des membres ayant participé à la revue LOPA : BOULAHIA HASSENE
87
4.4.1.4 Scénario N° 03
Explosion suite à une formation des poches de gaz non brulé dans la chambre de combustion à cause
d’une défaillance de la boucle de régulation ce qui entraine des dommages pour le personnel, les
installations et l’environnement.
Analyse du scénario N°03 :
Vis-à-vis de ce scénario, la boucle de régulation commandée par le BPCS vérifie les critères
d’une IPL. L’analyse de ce scénario est résumée dans le tableau (4.7) .et le calcul du PFD est basé
sur l’équation (4.1).
Pour ce scénario, les valeurs suivantes sont retenues :
= 10-1 (en accord avec la valeur proposée dans (crowl, 2001) pour la défaillance
d’une boucle de régulation gérée par un BPCS).
= 1 (on suppose la formation d’un mélange stœchiométrique dans la chambre
de combustion).
é = 1 (la salle de contrôle est dans la zone des effets de surpression, ainsi cette
dernière est gérée par les opérateurs qui doivent être toujours présents).
é = 1 (la salle de contrôle est dans la zone des effets de surpression, ainsi cette
dernière est gérée par les opérateurs qui doivent être toujours présents).
En se référant aux critères d’acceptabilité de l’industriel, supposons que la fréquence cible pour le
risque d’explosion (Crowl, 2001) soit de. La fréquence d’occurrence étant supérieure à la fréquence
cible, il est alors possible de déterminer le facteur de réduction du risque (RRF) (RRF) qui
permettrait de rendre ce risque acceptable. Ce facteur se calcule comme suit :
é é
= = = Équation (4. 5)
é
Pour assurer ce RRF, il faut alors proposer la mise en place d’une barrière de sécurité qui soit
donc inférieure ou égale à RRF. On déduit alors que la PFD de l’IPL à proposer ne doit pas dépasser
10. Elle doit être d’un niveau d’intégrité de sécurité SIL2 ou plus.
88
Évènement initiateur
Conséquences
= 10
Atteinte du :
Défaillance de la Formation des
Personnel , Environnement
boucle de régulation poches de gaz
GFV1101-C Installation.
Explosion
conditionnels de
réalisation
Facteurs
Présence du personnel
dans la zone
89
N° du scénario : 03 N° de l’équipement : Titre du scénario : Explosion suite à une formation
CFV1102C des poches de gaz non brulé dans la chambre de
combustion à cause d’une défaillance de la boucle de
régulation ce qui entraine des dommages pour le
personnel, les installations et l’environnement.
Date : 30/04/18 Description Probabilité Fréquence
Conséquences/niveau de gravité associée Explosion de la chaudière C
Fréquence « cible » pour atteindre le niveau de risque Ce scénario entraine un risque pour le 10-5
acceptable personnel, l’installation et l’environnement.
Évènement initiateur du scénario défaillance de la boucle de régulation 10-1 (l'Icsi, 2009)
Conditions de réalisation du scénario -
Facteurs conditionnels de réalisation (si applicables auProbabilité d’explosion 1
scénario) Probabilité de présence du personnel dans la 1
zone d’effet atteinte par le scénario
Probabilité de blessures 1
Autres -
Fréquence du scénario sans les barrières 10
-1
90
4.4.1.5 Scénario N° 04
Explosion par excès de gaz suite à un arrêt du ventilateur ce qui entraine des dommages pour le
personnel, les installations et l’environnement.
Analyse du scénario N°04 :
Vis-à-vis de ce scénario, la boucle de régulation commandée par le BPCS vérifie les
critères d’une IPL. L’analyse de ce scénario est résumée dans le tableau (4.8). et le calcul du PFD est
basé sur l’équation (4.1).
Pour ce scénario, les valeurs suivantes sont retenues :
= 10-1 (en accord avec la valeur proposée dans (l'Icsi, 2009).
= 10-1 (en accord avec la valeur proposée dans (Crowl, 2001) pour la défaillance
d’une boucle de régulation gérée par un BPCS).
= 1 (on suppose la formation d’un mélange stœchiométrique dans la chambre
de combustion).
é = 1 (la salle de contrôle est dans la zone des effets de surpression, ainsi cette
dernière est gérée par les opérateurs qui doivent être toujours présents).
é = 1 (la salle de contrôle est dans la zone des effets de surpression, ainsi cette
dernière est gérée par les opérateurs qui doivent être toujours présents).
En se référant aux critères d’acceptabilité de l’industriel, supposons que la fréquence cible pour le
risque d’explosion (Crowl, 2001) soit de. La fréquence d’occurrence étant supérieure à la fréquence
cible, il est alors possible de déterminer le facteur de réduction du risque (RRF) (RRF) qui
permettrait de rendre ce risque acceptable. Ce facteur se calcule comme suit :
é é
= é
= = Équation (4. 6)
Pour assurer ce RRF, il faut alors proposer la mise en place d’une barrière de sécurité qui soit donc
inférieure ou égale à RRF. On déduit alors que la PFD de l’IPL à proposer ne doit pas dépasser
10.Elle doit être d’un niveau d’intégrité de sécurité SIL2 ou plus.
91
SIS (RRF=10)
Évènement initiateur
Conséquences
= 10
Explosion
conditionnels de
réalisation
Facteurs
Présence du
personnel dans
la zone
92
N° du scénario : 04 N° de l’équipement : Titre du scénario : Explosion par
GZ1154C excès de gaz suite à un arrêt du
ventilateur.
Date : 30/04/2018 Description Probabilité Fréquence
Conséquences/niveau de gravité associée. Explosion de la chaudière C
Fréquence « cible » pour atteindre le niveau de risque acceptable Ce scénario entraine un risque pour le personnel,
l’installation et l’environnement. 10-5
Évènement initiateur du scénario Arrêt de ventilateur 10-1 (l'Icsi, 2009)
Conditions de réalisation du scénario -
Facteurs conditionnels de Probabilité d’explosion 1
réalisation (si applicables au scénario) Probabilité de présence 1
du personnel dans la zone d’effet atteinte par le
scénario
Probabilité de blessures 1
Autres -
Fréquence du scénario sans les barrières 10-1
Barrières de sécurité respectant Les critères d’indépendance
explicités dans la méthode LOPA
Autres barrières de sécurité ne respectant pas les critères SIS : boucle de régulation 10-1 (l'Icsi, 2009)
d’indépendance explicités dans la méthode LOPA
Total des PFD associés aux barrières de sécurité indépendantes -
(IPL)
Fréquence du scénario avec les barrières indépendantes 10-2
Fréquence « cible » permettant de justifier d’un risque acceptable est-elle atteinte ? (Oui/Non) : Non
Actions requises pour atteindre le niveau de risque acceptable : proposer une SIF de SIL 2
Notes : le niveau d’intégrité de sécurité est SIL 2
Références : PID chaudière A/B, étude HAZOP.
Identité des membres ayant participé à la revue LOPA : BOULAHIA HASSENE
Tableau 4. 8: analyse du scénario N° 4.
93
4.4.1.5 Scénario N° 05
Explosion des chaudières suite à une surpression au niveau ballon supérieure, à cause défaillance
de la boucle de régulation ce qui entraine des dommages pour le personnel, les installations et
l’environnement.
Analyse du scénario N°05 :
Vis-à-vis de ce scénario, aucune IPL n’est valorisable puisque l’événement initiateur à l’origine
de la formation des poches de gaz est la défaillance de la boucle de régulation commandée par le
BPCS ce qu’il ne vérifie pas les conditions d’IPL. L’analyse de ce scénario est résumée dans le
tableau (4.9).et le calcul de la PFD est basé sur l’équation (4.1).
P explosion= 0,9 (on suppose ici un épandage massif d’hydrocarbure non circonscrit dans une
zone où la maîtrise des sources d’inflammation est assurée).
é = 0.2 (la salle de contrôle est dans la zone des effets de surpression, ainsi cette
dernière est gérée par les opérateurs qui doivent être toujours présents).
é =1 (la salle de contrôle est dans la zone des effets de surpression, ainsi cette
dernière est gérée par les opérateurs qui doivent être toujours présents).
PFD (IPL 1) = 2 × 10–2
PFD (IPL 2) = 1 × 10–2
D’où : f2c=0,1. 0, 02. 0, 01. 0, 9. 0, 2. 1= 3,6. 10-6
En se référant aux critères d’acceptabilité de l’industriel, supposons que la fréquence cible pour le
risque d’explosion (Crowl , 2001) soit de. La fréquence d’occurrence étant supérieure à la fréquence
cible, il est alors possible de déterminer le facteur de réduction du risque (RRF) (RRF) qui
permettrait de rendre ce risque acceptable. Ce facteur se calcule comme suit :
é é , ∗
= = = . Équation (4. 7)
é ∗
La fréquence d’occurrence résiduelle du scénario étant supérieure à la fréquence cible (RRF > 1),
il est possible d’en conclure que la SIF proposée en action du scénario 1 ne permet pas de justifier
pour le scénario 2 d’un risque acceptable. Une possibilité est alors de proposer de modifier la
conception de la SIF (redondance de capteurs et/ou d’actionneurs) afin d’obtenir un niveau de SIL
plus élevé.
La proposition faite est donc de mettre en place une fonction instrumentée de sécurité (SIF) de
niveau SIL 2. La proposition faite est donc de mettre en place une fonction
Instrumentée de sécurité (SIF) de niveau SIL 2 composée par
– deux régulateurs de pression en redondance (1oo2) ;
– un automate programmable de sécurité (APS) –
94
– et une vanne d’isolement automatique de l’eau
Supposons que le calcul de la PFD à l’aide des formules proposées dans la norme IEC 61511
aboutisse à une valeur de 4 × 10-3/sollicitation. La fréquence résiduelle du scénario 2 avec Prise en
compte de cette SIF serait égale à :
La fréquence d’occurrence résiduelle du scénario étant inférieure à la fréquence cible, il est alors
possible d’en conclure que la SIF proposée permet bien de justifier d’un risque acceptable.
95
IPL 1 : SIF
IPL2 : Soupapes
Défaillance de la Atteinte du :
Surpression Détérioration de ballon
boucle de régulation dans le ballon Personnel,
Environnement
PS-1110C
Installation.
Explosion
de réalisation
conditionnels
Facteurs
Présence du personnel
dans la zone
96
Tableau 4. 9: analyse du scénario N° 5.
98
Chapitre 5 :
Maîtrise de risque
99
Chapitre 5 : Maîtrise de risque
5.1 Introduction
D’après l’étude LOPA on a déduit que l’origine du risque explosion dans la chaudière (C) est le
mauvais rapport gaz/air de ce fait on propose de mettre en place une barrière qui traite cette
situation. Elle consiste en deux débitmètres un pour la conduite de gaz et un autre pour la conduite
d’air, chacun est placé en amont de la vanne de régulation, qui vont mesurer le débit et en faisant le
rapport gaz/air on les compare à un seuil. Une fois le rapport dépasse ce dernier on envoie un signal
pour que les vannes TOR se ferment.
Le nombre de pairs de débit, unité logique (APS) et pairs de vanne TOR est calculé à l’aide
de la norme CEI 61508.
Le nombre de pairs de débit, unité logique (APS) et pairs de vanne TOR est calculé à l’aide de
la norme CEI 61508.
5.2 Données
a) Le taux de défaillance est donné par la base de données OREDA (AUTOR &
AUTOR, 2002) [31]:
Débitmètre : h-1
Vanne TOR : h-1
Traitement logique : h-1
Débitmètre :
Vanne TOR :
Traitement logique : pas utile parce qu’on est en configuration 1oo1
c) Couverture du diagnostic DC est donnée aussi par la norme CEI 61508.2 2010(tableau
A-1 page (49-50) « voir Annexe A »:
Débitmètre : DC = 90 %
Vanne TOR : DC = 60 %
Traitement logique : DC = 99 %
Dans notre cas la fonction de sécurité nécessite un système de niveau SIL3. L’évaluation
initiale de l’architecture du système tient compte d’un groupe de deux débitmètres 2oo2. Le
sous-système logique (Automate programmable de sécurité), est configuré 1oo1 pilotant un
groupe de deux vannes TOR (tout ou rien) aussi d’une logique majoritaire 2oo2. Pour cette
architecture on suppose une période de test périodique d’un an.
On a :
λ = 2λ = 10
Donc :
λ = 0.5 ∗ 10
λ = λ = 0.5 ∗ 10
D’après Équation (1- 4) en trouve :
(0.5 ∗ 10 + 0.495 ∗ 10 )
= = 0.99(99%)
( 0.5 ∗ 10 + 0.495 ∗ 10 + 0.5 ∗ 10 )
=0 − = 0, = +1 = 1001
λ = 2.5 ∗ 10
λ = λ = 2.5 ∗ 10
D’après Équation (1- 4) en trouve :
102
D’après Équation (1- 5) en trouve :
(2.5 ∗ 10 + 2.25 ∗ 10 )
= = 0.95(95%)
( 2.5 ∗ 10 + 2.25 ∗ 10 + 0.25 ∗ 10 )
= − = , = + =
103
On a selon la norme CEI 61508 :
=∑ Équation (5.1)
= 10 + 10
= 4.4 ∗ 10
λ = 2.5 ∗ 10
λ = λ = 2.5 ∗ 10
D’après Équation (1- 4) en trouve :
λ = (1 − 0.6) ∗ 2.5 ∗ 10 = 1 ∗ 10
D’après Équation (1- 6) en trouve :
(2.5 ∗ 10 + 1.5 ∗ 10 )
= = 0.8(80%)
( 2.5 ∗ 10 + 1.5 ∗ 10 + 1 ∗ 10 )
D’après le tableau (1.3) en trouve :
SFF Tolérance aux anomalies matérielles(M)
0 1 2
<60% SIL1 SIL2 SIL3
60% ─ <90% SIL2 SIL3 SIL4
90% ─ <99% SIL3 SIL4 SIL4
>=99% SIL3 SIL4 SIL4
= − = , = + =
104
5.3.3.2 Calcul de PFDFE :
La probabilité moyenne de défaillance sur demande pour le sous-système élément final, ,
dans un fonctionnement en mode faible demande (intervalle entre tests périodiques de six mois et
durée MTTR de 8 h) est obtenue à l’aide du tableau B.3 (suite) du chapitre 6 de la norme CEI 61508
(voir annexe 1).
Tableau 5. 3: PFD du groupe des éléments finaux
= 2 ∗ 10
= 2 ∗ 10 + 2.6 ∗ 10 + 2 ∗ 10
= 6.6 ∗ 10
10 ≤ < 10
= ’ é é é
105
5.3.5 Architecture du SIS :
FDL = 2, 6 . 10−4
106
5.3.6 Mise en place du SIS
Après avoir construire le SIS et justifier le nombre de capteur, traitement logique et actionneur,
également la configuration de chaque sous-système, on est amené à positionner chacun de ces
derniers.
Une simulation avec Matlab, Simulink, a été faite pour tester le fonctionnement du SIS telle que
l’architecture est la suivante :
Input : deux signaux d’entrée venants de deux débitmètres (débitmètre gaz et débitmètre air).
A. Traitement logique (APS) :
Un diviseur : qui va faire le rapport ;
Un switch : le switch compare le rapport avec le seuil (1/2), selon le responsable de l’Unité
Centrale II, si le rapport est supérieur à celui-ci, on a une sortie égale à 1 sinon la sortie est nulle.
107
Débit
gaz/air
gaz/air>1/2
Signal=0
Signal=1
Débit
B. Output : si le signal de sortie vaut 1 les deux vannes (vanne gaz et vanne air) se mettent en
position 0 (fermées). Le graphe suivant décrit le comportement des deux vannes :
108
D é b it g a z 10
0
0 1 2 3 4 5 6 7 8 9 10
T e m p s (s )
6
D é b it a ir
0 1 2 3 4 5 6 7 8 9 10
T e m p s (s )
2
S é c u rit é g a z
-1
0 1 2 3 4 5 6 7 8 9 10
P o s it io n d e la v a n n e
T e m p s (s )
2
S é c u rit é a ir
-1
0 1 2 3 4 5 6 7 8 9 10
T e m p s (s )
109
5.3.7 Positionnement du SIS sur la conduite
Comme le scénario qui a présenté un niveau d’intégrité 3, SIL3, est due à une défaillance de
la boucle de régulation, de même que les autres, donc on doit agir sur la régulation gaz en
agissant sur le débit en aval des vannes de régulation gaz et air. De ce fait, deux débitmètre est
placé après la vanne pour mesurer le débit qui va être injecté.
Pour les vannes, elles ont été placées également en aval pour minimiser le maximum possible
le gaz et l’air qui entre dans la chambre de combustion après le verrouillage. Une esquisse faite
par SolidWorks est envisagée dans la figure (5.7).
110
1. Capteur de débit (gaz)
2. Capteur de débit (air)
3. Vanne de régulation (gaz)
4. Vanne de régulation (air)
5. Vanne TOR (gaz)
6. Vanne TOR (air)
5
1
6
3
2
GAZ
4
AIR
Six scénarios résultent de la méthode HAZOP qui font l’objet d’un risque inacceptable ;
D’après les résultats du graphe des risque et la méthode LOPA, le niveau d’intégrité de sécurité 3
(SIL3) et l’origine de tous les scénarios soit une mauvaise régulation qui aboutit à un excès de gaz
dans la chambre de combustion ;
La solution de maîtrise (SIL3) agit sur le débit air et débit gaz et par conséquent, elle traite tous
les scénarios.
112
Conclusion générale
La modélisation des effets a montré la gravité des conséquences engendrées par l’explosion de la
chaudière vu que son emplacement présente une source de danger pour un élément très vulnérable, il
s’agit de la salle de contrôle. Par conséquent on a justifié l’importance de la présente étude.
Après avoir analysé les risques en utilisant la méthode HAZOP, six scénarios ont été jugés
inacceptables suite à une cotation à l’aide de la matrice des risques. Cette étape a montré la présence
d’un risque résiduel, dont son maîtrise nécessite des résultats plus pointus et plus détaillés, ce qui
n’est pas le cas pour la HAZOP car ne traite pas tous les scénarios à cause de leurs complexités.
De ce fait, on a utilisé la méthode des graphes des risques qui nous a permet de déterminer le
niveau d’intégrité de sécurité requis (SIL requis) au niveau de la chaudière C , en analysant les
couches de protection existantes. LOPA a abouti à plusieurs SIL dont le plus élevé est de SIL3.
Le résultat SIL3 est un indicateur sur lequel on se réfère pour dire que les barrières de sécurité ou
bien les couches de protection existantes, pour les chaudières C, sont insuffisantes. Ainsi, il n’existe
pas suffisamment d’IPL à cause de la dépendance des sous- systèmes capteur et actionneurs au
BPCS et non pas à un APS.
En raison du critère l’indépendance, qui est l’un des deux critères de considération d’une barrière
comme une IPL, on a proposé une solution de maîtrise. Il s’agit d’un Système Instrumenté de
sécurité de niveau d’intégrité de sécurité 3 (SIL3) composé d’un groupe de capteurs, un groupe
d’actionneurs et un APS dans le but de couvrir tous les scénarios.
113
Recommandation Et Justes D’investigations
Formation du personnel
Maintenance ;
L’amélioration de l’implication de la maintenance par le système
management de sécurité ;
Sécurité ;
Retour d’expérience ;
Créer/organiser un système de retour d’expérience statistique ;
Créer un rapport mensuel de bilan des opérations de maintenance
corrective sur les constituants des fonctions instrumentées de sécurité
permettant de constituer des indicateurs sur les fréquences de
déclenchement des fonctions et la fiabilité réelle des constituants. Ceci
doit permettre d’alimenter une base de retour d’expérience.
114
REFERENCE
1. Ahmed, R. (2007). Modélisation et simulation thermo hydraulique d'un générateur de vapeur
industriel en régime transitoire par le code RELAP5/Mod3.2. [Thèse].
2. Antar, S. (2015). Propagation d’incertitude et analyse de sensibilité dans l’évaluation des
performances des systèmes instrumentés de sécurité à l’aide de l’outil SIMLAB. . [Thèse].
3. Hammad, kH. (2016). MAÎTRISE DU RISQUE D’EXPLOSION AU NIVEAU DES
CHAUDIÈRES Cas : FERTIAL Algérie. [Thèse].
4. Walid, M. (2011). Evaluation de la performance des Systèmes Instrumentes de Sécurité
paramètres imprécis. . [Thèse].
5. Shahinez, B. (2011). La gestion des niveaux de sécurité intégrée « System Integrated Level »
dans un procédé au niveau du GL2Z. [Thèse].
6. Mohamed-Habib, M. (2009). Pour une Meilleure Approche du Management des Risques
[Thèse].
7. Rafika. El harabi. (2011). Supervisions des processus chimiques à base de modèle bande
graphe [Thèse].
8. DEGHAL Née CHERIDI Amina Lyria. (2013). ETUDE NUMERIQUE DU TRANSITOIRE
ACCIDENTEL D’UNE CHAUDIERE INDUSTRIELLE PAR LE CODE
RELAP5/MOD3.2. [Thèse].
9. Ahmed, R. (2007).modélisation et simulation thermo hydraulique d’un générateurs de vapeur
industriel en régime transitoire par le code RELAP/MODE3.2. . [Thèse].
10. CEI. (1998). Sécurité fonctionnelle des systèmes électriques/ électroniques/électroniques
programmables relatifs à la sécurité – Parties 4: Définitions et abréviations. Norme CEI
61508.
11. CEI. (2003). Sécurité fonctionnelle – Systèmes instrumentés de sécurité pour le domaine de
la production par processus –. CEI 61511-1.
12. Functional safety of electrical/electronic/programmable electronic safety-related systems -
Part 1: General requirements (IEC 61508-1 2010).
13. (IEC 61508 2010).Functional safety of electrical/electronic/programmable electronic safety-
related systems .
14. Kathy MILLET Janvier 2007, Sécurité Fonctionnelle et Niveaux de Sécurité (SIL),.
15. Th.Martin, SIL-Assistant Version 0.1 Beta
16. Gilles, Z. (2009). Sûreté de fonctionnement des systèmes industriels complexes Principaux
concepts. [Article de base documentaire]. Techniques de l'ingénieur Systèmes d'information
et de communication, base documentaire : TIB397DUO (réf. article : s8250).
17. Michel, Royer. (2009). HAZOP : une méthode d'analyse des risques - Présentation et
contexte. [Article de base documentaire]. Techniques de l'ingénieur Systèmes d'information
et de communication, base documentaire : (réf. article : se4030) Document délivré le :
23/06/2014Pour le compte : 7200100403 - techniques ingénieur // marie LESAVRE //
217.109.84.129.
18. olivier, iddir. (2009). Évaluation de la probabilité de défaillance d'un Spectrométrie de masse
- Principe et appareillage Système Instrumenté de Sécurité (SIS)
[Article de base documentaire]. Techniques de l'ingénieur Systèmes d'information et de
communication, base documentaire : (réf. article : se4058).
19. Jean-Pierre et Alain RIOU. (2009). Évaluation Différents types de chaudières industrielles.
[Article de base documentaire]. Techniques de l'ingénieur Systèmes d'information et de
communication, base documentaire : (réf. article : b 1 480).
20. olivier, iddir. (2012). Méthode LOPA : principe et exemple d'application
115
[Article de base documentaire]. Techniques de l'ingénieur Systèmes d'information et de
communication, base documentaire : (réf. article : se4075) .
21. INERIS RAPPORT FINAL .Client (MEEDDM) 09/08/2010. Liste des personnes ayant
participé à l’étude : Sébastien EVANNO. Référentiels, normes et guides de bonnes pratiques
pour l’exploitation des chaudières industrielles au gaz. RAPPORT D’ÉTUDE (N° DRA-09-
102957-01582B).
22. Center for Chemical Process Safety of the American Institute of Chemical Engineers3 Park
Avenue New York, New York 10016-5991(2001). .Layer of Protection Analysis SIMPLIFIED
PROCESS RISK ASSESSMENT.
23. Etude de danger des installations FERTIAL SPA-USINE ANNABA .institut supérieure
OPTIM (2007).
24. Guide de conduite et d’entretien de chaudières GB1150 A/B/C FML.M.102 parie 1 et 2
(Réf : L62050) 1976.sonatrach –annaba.
25. Mechanical risk assessment. (Risk _Assessment_SAACKE_Heat_Generator.xls / Mechanical
risk assessment).19/04/2018.
26. : Méthode HAZID d'identification de dangers (code : 2DQE 006-ES) fertial- annaba
17 /09/2015.
27. Rénovations instrumentation chaudières 1150 A/B.ASMIDAL-ANNABA (21/06/1999).
28. Méthode SIL (Niveaux d´Intégrité de la Sécurité) (code : 2DQE 007-ES) fertial- annaba
17/08/2015.
29. ETUDE DE DANGERS FERTIAL SPA, SITE D’ANNABA Report No: Rev. Document No:
18EKBKA-4, project No: PPO83560, Date: 2014-03-24.
30. ETUDE DE DANGERSCOMPLEMENTAIRE FERTIAL SPA, SITE D’ANNABA Report
No: ANN-01-EDD-2014, Rev. 0 , Document No: 1NYDY02-6, project No: PP128644 ,Date: 2015-
06-04
31. AUTOR, O., & AUTOR, S. I. M. (2002). OREDA : OFFSHORE RELIABILITY DATA
HANDBOOK: OREDA.
32. Institut français de pétrole (ENSPM) Risques et Précautions liés aux Matérielles thermiques
descriptions des chaudières (réf : D2-2/B).
33. INNAL Fares (Docteur en Sûreté de Fonctionnement) : chargé de CM / TD, Systèmes
Instrumentés de Sécurité (SIS). Version 2011-2012 .université bedji lakhder Batna.
116
Annexe A :
NORME « IEC-61508-2010» :
117
ANNEXE B :
Les P&ID ou la liste des interlocks utilisés dans la
préparation<<SCHEMAS DES REALISATION AVEC
PRÉSENTATION DES NŒUDS>>
118