Se4057

Réf.
: SE4057 V1
Principes d'évaluation de la
Date de publication :
10 juillet 2009
probabilité de défaillance des
Mesures de Maîtrise des Risques
(MMR)
Cet article est issu de : Environnement - Sécurité | Sécurité et gestion des risques
par Olivier IDDIR
Résumé L’Administration demande aujourd’hui aux industriels français de présenter des

études de dangers dites probabilistes. Les enjeux liés à la réalisation des plans de
prévention des risques technologiques mettent en lumière la nécessité de disposer de
méthodologies transparentes pour évaluer les probabilités des accidents industriels. Au fil
du temps, différent textes réglementaires sont venus préciser les demandes de
l’Administration quant au degré de détail attendu pour justifier des probabilités
d’accidents. L’évaluation de la Probabilité des Défaillances (PFD) des barrières de
sécurité ou Mesures de Maîtrise des Risques (MMR) y prend une part considérable. La «
fiabilité » est l’un des critères qui permet de préjuger de la performance d’une MMR. Ce
critère est caractérisé dans les analyses de risques par la PFD. […]
Abstract The French administration currently requires that French industrialists conduct
probabilistic risk studies. The challenges linked to the implementation of risk prevention
plans highlight the necessity to dispose of transparent methodologies in order to assess
the probability of industrial accidents. Over time, several regulatory documents have
defined the administrative requirements regarding the level of detail expected in order to
justify the probability of accidents. The assessment of the probability of failure (APF) in
security barriers or in Risk Control Measures (RCM) is of major importance. “Fiability” is
one of the criteria which allows for a pre-assessment of the performances of an RCM.
This article presents the various types of RCM (safety features, organisational measures
etc.) and explains the assessment methods for their APF. […]
Pour toute question :

Service Relation clientèle
Techniques de l’Ingénieur
Immeuble Pleyad 1 Document téléchargé le : 16/10/2021
39, boulevard Ornano
93288 Saint-Denis Cedex Pour le compte : 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Par mail :
infos.clients@teching.com
Par téléphone :
00 33 (0)1 53 35 20 20 © Techniques de l'Ingénieur | tous droits réservés
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Principes d’évaluation de la probabilité

de défaillance des Mesures de Maîtrise
des Risques (MMR)
par Olivier IDDIR
Ingénieur analyse de risques industriels

TECHNIP FRANCE
Parution : juillet 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Service expertise & modélisation – Division procédés et technologie
Évaluation de la probabilité de défaillance des MMR SE 4 057 - 2

et traçabilité ..............................................................................................
2. Différents types de Mesures de Maîtrise des Risques (MMR) ..... — 4
2.1 Différentes couches de protection .............................................................. — 4
2.2 MMR et réduction du risque ....................................................................... — 5
2.3 Différentes types de Mesure de Maîtrise des Risques .............................. — 7
3. Méthodes d’évaluation de la probabilité de défaillance
d’une MMR ................................................................................................. — 10
3.1 Allocation de l’objectif de probabilité de défaillance ................................ — 10
des dispositifs de sécurité ..................................................................... — 14
des Mesures de Maîtrise des Risques faisant intervenir
l’homme ...................................................................................................... — 15
5.1 Origine de l’intérêt porté à l’erreur humaine ............................................. — 15
5.2 Définition de l’erreur humaine .................................................................... — 15
5.3 Deux types d’erreur humaine ..................................................................... — 15
5.4 Quantification de l’erreur humaine ............................................................ — 15
6. Conclusion.................................................................................................. — 18
Pour en savoir plus ........................................................................................... Doc. SE 4 057
a maîtrise du risque industriel impose aux industriels de mener des ana-

L lyses de risques dans le but d’identifier les scénarios d’accidents
susceptibles de survenir sur leurs installations. Quelle que soit la méthodo-
logie d’analyse retenue (nœud papillon ou autre), ces analyses ont pour
vocation première de s’assurer que les Mesures de Maîtrise des Risques
(MMR) mises en place permettent d’amener le niveau de sécurité de l’installa-
tion à l’objectif recherché par l’exploitant. Cet objectif peut être fixé par :
– l’acceptabilité sociale (riverains, autorités locales, etc.) ;
– la conformité réglementaire (étude de dangers, Plan de Prévention des
Risques Technologiques) ;
– la politique interne de sécurité d’un groupe.
L’approche probabiliste utilisée aujourd’hui dans de nombreuses analyses de
risques met en lumière que l’incertitude sur les probabilités allouées aux phé-
nomènes dangereux reste relativement importante. Dès lors, il apparaît délicat
de se prononcer sur l’acceptabilité des risques en se référant uniquement à des
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. SE 4 057 – 1
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
« valeurs seuils » de probabilité. Afin de mener une approche transparente, les

analyses de risques doivent justifier de la performance de l’ensemble des
MMR susceptibles de réduire l’occurrence et/ou la gravité des effets des phé-
nomènes dangereux pouvant impacter les cibles environnantes.
La « fiabilité » est l’un des critères qui permet de juger de la performance
d’une MMR ; ce critère est souvent retranscrit au travers de la probabilité de
défaillance. Justifier des probabilités de défaillances allouées aux MMR peut
être plus ou moins complexe. En effet, en fonction du type de MMR (dispositif
de sécurité, Système Instrumenté de Sécurité, etc.), les méthodes d’évaluation
de la probabilité de défaillance sont différentes.
Cet article propose dans un premier temps d’expliciter comment il est possible
de définir un objectif sur la probabilité de défaillance d’une MMR. Dans un
second temps, il sera abordé les méthodes permettant d’évaluer les probabilités
de défaillances des dispositifs de sécurité actifs et passifs (soupape, cuvette de
rétention, etc.). Les principales méthodologies permettant d’évaluer les probabi-
lités des MMR faisant intervenir l’homme (mesure organisationnelle et système
à action manuelle de sécurité) seront aussi présentées. Pour ces différents types
de MMR, des ordres de grandeur de probabilité de défaillance seront donnés.

Le Système Instrumenté de Sécurité (SIS) fait quant à lui l’objet de
l’article [SE 4 058]. Dans cet article, sont présentées les principales notions
relatives au SIL (Safety Integrity Level) et des formules de calculs permettant
d’évaluer la probabilité de défaillance à la sollicitation.
Terminologie Définition
APR Analyse préliminaire des risques
CCPs Center for Chemical Process safety.

Centre créé en 1985 par l’American Institute of Chemical Engineers (AIChE). Le CCPs a
pour objectif de promouvoir l’amélioration de la sécurité.
CEI 61508 – Functional safety of Electrical/ Norme internationale qui porte sur les systèmes E/E/P électriques/électroniques/
Electronic/Programmable Electronic (E/E/PE) électroniques programmables de sécurité).
safety related systems, International La norme propose une approche ayant pour objectif la mise en place d’un système de
Electrotechnical commission (IEC), 1998 sécurité E/E/PE, en intégrant les exigences de sécurité ainsi que toutes les étapes du
cycle de vie du système E/E/PE.
Événement Initiateur Événement, courant ou anormal, interne ou externe au système, situé en amont de
l’Événement Redouté dans l’enchaînement causal et qui constitue une cause directe
dans les cas simples ou une combinaison d’événements à l’origine de cette cause
directe. Dans la représentation en « nœud papillon » (ou arbre des causes), cet
événement est situé à l’extrêmité gauche (d’après la circulaire du 7 octobre 2005,
Circulaire n° DPPR/SEI2/MM-05-0316).
Événement Redouté Événement conventionnellement défini, dans le cadre d’une analyse de risque, au
centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte de confinement
pour les fluides et d’une perte d’intégrité physique pour les solides. Les événements
situés en amont sont conventionnellement appelés « phase pré-accidentelle » et les
événements situés en aval « phase pré-accidentelle » (d’après la circulaire du 7 octobre
2005, Circulaire n° DPPR/SEI2/MM-05-0316).
Flash fire Combustion d’un mélange gazeux inflammable sans effet de pression.
Fonction de sécurité Fonction ayant pour but la réduction de la probabilité d’occurrence et/oudes effets et
conséquences d’un événement non souhaité dans un système (d’après la circulaire du
7 octobre 2005, Circulaire n° DPPR/SEI2/MM-05-0316).
HAZOP Hazard Operability.

SE 4 057 − 2 est strictement interdite. − © Editions T.I.
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
Terminologie Définition
Méthode LOPA Layer of Protection Analysis.

Méthode développée à la fin des années 1990 par le CCPs. La méthode permet de
prendre en compte l’effet des différentes couches de protection (barrières) sur le
déroulement d’un scénario d’accident.
Mesure de prévention Mesures visant à prévenir un risque en réduisant la probabilité d’occurrence d’un
phénomène dangereux (d’après la circulaire du 7 octobre 2005, Circulaire
n° DPPR/SEI2/MM-05-0316).
Mesure de protection Mesures visant à limiter l’étendue ou/et la gravité des conséquences d’un accident sur
les éléments vulnérables (d’après la circulaire du 7 octobre 2005, Circulaire
MMR Mesure de Maîtrise des Risques.

Ensemble d’éléments techniques et/ou organisationnels nécessaires et suffisants pour
assurer une fonction de sécurité (d’après la circulaire du 7 octobre 2005, Circulaire
Performance des MMR L’évaluation de la performance se fait au travers de leur efficacité, de leur temps de
réponse et de leur niveau de confiance au regard de leur architecture (en référence à la
norme EN NF 61 508, des pratiques de maintenance,des pratiques des tests) (d’après la
circulaire du 7 octobre 2005, Circulaire n° DPPR/SEI2/MM-05-0316.
Phénomène dangereux Libération d’énergie ou de substance produisant des effets, au sens de l’arrêté du
29 septembre 2005, susceptibles d’infliger un dommage à des cibles (ou éléments
vulnérables) vivantes ou matérielles, sans préjuger l’existence de ces dernières. C’est
une « Source potentielle de dommages » (ISO/CEI51).
PFD (t) Probability Failure on Demand.

Probabilité sur l’intervalle [0, t] qu’un système ne puisse pas exécuter sa fonction au
moment où il est sollicité.
PFDavg Average of Probability Failure on Demand.

Valeur moyenne de la PFD (t) sur l’intervalle de temps séparant deux tests de
fonctionnement.
Probabilité d’occurrence Au sens de l’article L. 512-1 du code de l’environnement, la probabilité d’occurrence

d’un accident est assimilée à sa fréquence d’occurrence future estimée sur l’installation
considérée. Elle est en général différentede la fréquence historique et peut s’écarter
pour une installation donnée, de la probabilité moyenne évaluée sur un ensemble
d’installations similaires.
Risque « Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73).

« Combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51).
SIL Safety Integrity Level.

La norme CEI 61508 introduit 4 niveaux discrets dont la fonction estde spécifier les
prescriptions (qualitatives et quantitatives) concernantl’intégrité de sécurité des
fonctions de sécurité. À chaque niveau de SILcorrespond un facteur de réduction du
risque.
SIS Système Instrumenté de Sécurité.

Un système instrumenté de sécurité est un système visant à mettre le procédé en
position de replis de sécurité (c’est-à-dire un état stable ne présentant pas de risque
pour l’environnement et les personnes), lorsque le procédé s’engage dans une voie
comportant un risque réel pour le personnel et l’environnement (explosion, feu).
THERP Technique for Human Error Rate Prediction.

Méthode d’évaluation de la fiabilité humaine qui prend en compte des facteurs
d’influences sur le comportement humain.
TESEO Tecnica Empirica Stima Errori Operatori.

Méthode d’évaluation de la fiabilité humaine qui prend en compte des facteurs
d’influences sur le comportement humain.

1. Évaluation
de la probabilité Plans d’intervention (8)
de défaillance des MMR Plans d’urgence site (7)
et traçabilité Protections post-décharge

(cuvette de rétention) (6)
Sécurités physiques
Bien que les analyses de risques telles que les APR, HAZOP, etc., (organe de décharge) (5)
soient utilisées depuis les années 1980 dans l’industrie chimique et
pétrolière, il était rare que ces études soient quantifiées au niveau Systèmes instrumentés
de sécurité (4)
des probabilités d’incident ou accident ; lorsqu’elles l’étaient, les
évaluations étaient presque toujours basées sur des avis d’expert. Alarmes et interventions
humaines (3)
L’évolution de la réglementation française, marquée entre autre
par l’arrêté du 29 septembre 2005 a généré de lourdes Conduite du procédé (2)
conséquences au niveau des études de dangers et de leurs Conception
analyses des risques, puisque l’Administration française attend du procédé (1)
aujourd’hui une forte traçabilité concernant le processus
d’évaluation des probabilités d’occurrence des accidents indus-
Figure 1 – Différentes couches de protection suivant LOPA [1]
triels. Cette évolution impose :

– de mettre en œuvre des méthodologies d’analyse qui
permettent d’évaluer de manière quantifiée la probabilité d’occur- première couche s’appuie, entre autre, sur le respect de codes et
rence des accidents (nœud papillon par exemple) ; de standards de conception. La conduite du procédé apparaît aussi
– de justifier de probabilités retenues pour les Événements comme une manière de limiter les risques en permettant de détec-
Redoutés (ER) identifiés lors des analyses de risques (perte de ter l’apparition de dérives (augmentation de température, etc.) et
confinement de réacteur, rupture de canalisation, etc.) ; en y associant des actions permettant de contrer cette dérive
– d’évaluer les performances des Mesures de Maîtrise des (régulation du débit de refroidissement, etc.).
Risques (MMR) aussi appelées « barrières de sécurité ». Un des
paramètres de performance porte sur la « fiabilité » des MMR au En revanche, les systèmes de supervision des procédés se
travers de l’allocation de probabilité de défaillance. révèlent souvent insuffisants pour garantir d’un facteur de réduc-
tion du risque suffisant pour faire face à des événements qui
Au travers de cet article, nous verrons que l’évaluation de la pro- sortent du cadre du fonctionnement normal ou des dérives
babilité de défaillance des MMR est un sujet complexe du fait que : « prévisibles » du procédé. Ainsi, pour faire face à des situations
– certaines MMR nécessitent des actions humaines, la « fiabilité où le procédé passe dans une zone incontrôlable ou lorsqu’un Évé-
humaine » étant un sujet difficile qui le devient encore plus nement Redouté est susceptible de se produire sans signe précur-
lorsqu’il s’agit d’étudier le comportement d’opérateurs en situation seur d’apparition (c'est-à-dire sans dérive de paramètre au
de stress (suite à un accident par exemple) ; préalable), il est alors nécessaire de prévoir des MMR dont l’objec-
– les MMR techniques (soupapes de sécurité, vanne d’isolement, tif est de « s’opposer » à des séquences d’événements non souhai-
détecteur de niveau haut, etc.) sont composées par des équipe- tées. Ce principe revient en fait à dissocier la conduite du procédé
ments qui ne servent que très rarement puisque les incidents ou des actions de sécurité.
pré-accident sont heureusement rares. Les industriels disposent À titre d’exemple, le suivi du niveau d’exploitation d’un bac de
alors d’un retour d’expérience sur certains équipements qui n’est stockage par l’intermédiaire d’un système de supervision est du
pas suffisant pour permettre de caractériser la « fiabilité » de leurs domaine de la conduite du procédé.
équipements.
Au contraire, l’arrêt du remplissage (fermeture d’une vanne
Cet article ne prétend pas résoudre toutes les difficultés liées à automatique sur le piquage d’alimentation) sur atteinte d’un
la détermination des probabilités de défaillance des MMR, mais niveau haut constitue une action de sécurité souvent traitée par
apporte des éléments d’information afin que le lecteur puisse évi- une chaîne de sécurité indépendante de la conduite du procédé.
ter des erreurs de méthodologie s’il est amené à conduire une ana-
lyse sur le sujet. Les plans d’urgence site et plans d’intervention mentionnées sur
la figure 1 correspondent respectivement au POI (Plan d’Opération
Interne) et au PPI (Plan Particulier d’Intervention) mis en place par
les industriels français.
2. Différents types La réglementation française introduit une notion similaire à celle
de Mesures de Maîtrise des couches de protection présentées dans la méthodologie LOPA.
En effet, la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005
des Risques (MMR) introduit la notion de lignes de défense comme « Ensemble des
dispositions adoptées en matière de conception, construction et
modalités d'exploitation incluant les mesures d'urgence internes et
2.1 Différentes couches de protection externes, afin de prévenir l'occurrence et limiter les effets d'un
phénomène dangereux et conséquences d'un accident potentiel
Afin de garantir de la bonne maîtrise des risques, les industriels associé ».
disposent de différentes « couches de protection » qui contribuent La matérialisation de ces différentes lignes de défense est
à la réduction des risques. La figure 1 présente les différentes identique à celle présentée sur la figure 1. Le tableau 1 définit les
couches retenues dans l’ouvrage LOPA [1]. huit lignes de défense retenues dans la circulaire du 7 octobre
Le concept des couches de protection repose sur le principe que 2005. Il faut cependant noter que depuis 2005, les courants de
les moyens disponibles pour réduire les risques sont nombreux. pensée et le retour d’expérience sur les études réglementaires
En premier lieu, la conception de procédés « sûrs » et la françaises (étude de dangers et Plan de Prévention des Risques
conception des équipements constituent des éléments qui Technologiques) ont amené l’Administration française à ne pas
contribuent à réduire de manière significative les risques. Cette mettre toutes ces lignes de défense sur le même « pied d’égalité ».

SE 4 057 – 4 est strictement interdite. – © Editions T.I.
À titre d’exemple, l’arborescence de la figure 3 met en évidence

Tableau 1 – Définition des huit lignes de défense les différents scénarios pouvant mener à la rupture mécanique
d’après la circulaire no DPPR/SEI2/MM-05-0316 d’un équipement sous pression renfermant un gaz inflammable.
du 7 octobre 2005
Ligne Mesures à prendre en considération Il est à noter que l’arbre des causes n’est pas exhaustif et
qu’il est donné uniquement à titre d’illustration.
Conception, construction, formation,
1
maintenance, inspection, entraînement opérationnel La figure 4, illustre la réduction du risque qu’il est possible
2 Systèmes de conduite, supervision des opérateurs d’atteindre à l’aide des différentes couches de protection.
Comme il est possible de le constater sur la figure 4, réduire un
3 Alarme de sécurité, intervention des opérateurs risque nécessite souvent d’avoir recours à plusieurs types de
4 Automatismes de mise en sécurité mesures. Ces mesures constituent différentes couches de protec-
tion qui s’opposent au déroulement du scénario d’accident. Ainsi,
5 Sécurités ultimes il est possible de parler de « progressivité » dans la mise en œuvre
des Mesures de Maîtrise des Risques. La figure 5 vient illustrer
6 Plan d’Opération Interne (POI) cette notion.
7 Maîtrise de l’urbanisation, information du public
8 Plan Particulier d’Intervention 2.2 MMR et réduction du risque
Comme nous l’avons précédemment indiqué, les MMR ont pour

À ce titre, l’ensemble des mesures appartenant aux lignes de objectif d’atteindre un niveau de maîtrise des risques qui permet
défense 1 et 2 ne sont pas considérées comme des MMR valori- de considérer que les risques générés par une activité ne sont pas
sables dans le cadre d’analyse quantifiée. Il est néanmoins admis « inacceptables ». Les MMR permettent de réduire la criticité des
que ces mesures permettent de réduire la probabilité d’occurrence risques en réduisant la probabilité d’occurrence et la gravité des
de certains événements initiateurs. phénomènes dangereux.
La figure 6, présente de manière symbolique le rôle des MMR,
Les concepts de couches de protection ou de lignes de défense en les assimilant à des barrières qui viennent « s’opposer » au
mettent en évidence que la maîtrise des risques repose sur : déroulement d’un scénario d’accident.
– des mesures dites de prévention dont le rôle est de diminuer Vu sous l’angle probabiliste, les MMR ont pour effet de réduire
la probabilité d’occurrence des Événements Redoutés pouvant être la probabilité du phénomène dangereux susceptible de survenir en
à l’origine de phénomènes dangereux dommageables pour des cas de défaillance de ces mesures. En effet, le phénomène dange-
cibles ; reux le plus dommageable ne peut se produire que si l’ensemble
des MMR n’a pas rempli ses fonctions de sécurité. Chaque MMR
– des mesures dites de mitigation dont le rôle est de limiter les étant caractérisée par une probabilité de défaillance, la probabilité
effets consécutifs à l’apparition des Événements Redoutés ; du phénomène dangereux diminue à chaque fois que le
« franchissement » de l’une des MMR est envisagé (ce qui est
– des mesures dites de protection dont le rôle est de protéger des
matérialisé par la diminution de l’épaisseur des flèches sur le
cibles vis-à-vis d’effets de type flux thermique, surpression ou pro-
schéma de la figure 6 ainsi que par l’arbre d’événements).
jectile, qui sont associés à la libération des phénomènes dangereux.
En effet, le franchissement d’une MMR implique sa défaillance,
La figure 2 illustre sur un nœud papillon simplifié les différents qui se traduit par une décote de la fréquence de l’Événement Initia-
types de mesures de sécurité, et leurs positionnements vis-à-vis de teur d’un facteur de réduction égal à l’inverse de la probabilité de
l’Événement Redouté. Le tableau 2 définit l’ensemble des termes défaillance.
(ER, ERS, etc.) mentionnés sur la figure 2. Pour plus d’informations Sur la figure 6 certaines sorties de l’arbre d’événements font
sur la méthodologie du nœud papillon, le lecteur pourra se référer intervenir le terme de « phénomène résiduel » lorsqu’au moins
à l’article [SE 4 055]. une des MMR remplit sa fonction de sécurité.
Mesure de protection
Mesure de prévention Mesure de mitigation

DM1
EB1 ERS 1
EI1
DM2
EB2 ERS 2
ER
ERS 3
EI2
ERS 4
Arbre de défaillances Arbre d’événements Arbre des conséquences

(identification des effets
et dommages)
Figure 2 – Les différents types de Mesures de Maîtrise des Risques

Tableau 2 – Définition des événements de la figure 2

Identification Signification Définition Exemples
Dérive ou défaillance sortant du cadre
des conditions d’exploitation usuelles définies
Événement dont la réalisation seule ou (montée en température, sur remplissage, etc.)
Événement
EB combinée est susceptible d’aboutir à la
de Base Événement courant survenant de façon
réalisation d’un Événement Intermédiaire (EI)
récurrente dans la vie d’une installation
(vibration, maintenance, etc.)
Événement dont la réalisation seule
Événement Montée en température non détectée, corrosion
EI ou combinée est susceptible d’aboutir
Intermédiaire non détectée lors de test d’inspection, etc.
à la réalisation de l’Événement Redouté (ER)
Événement résultant de dérives de paramètres
Événement de fonctionnement ou de défaillances Rupture de capacité, brèche sur canalisation,
ER
Redouté d’éléments pouvant avoir des conséquences décomposition de substance, etc.
dommageables sur l’environnement
Événement
Formation d’une nappe d’hydrocarbure,
ERS Redouté Conséquence directe de l’Événement Redouté

fuite de gaz toxique sur une durée t, etc.
Secondaire
Dommages occasionnés
au niveau de l’environnement : dommages Effets létaux ou irréversibles sur la population,
DM Dommages aux individus, dégâts aux structures, dommage matériel, épandage de produit
aux matériels, pollution de l’environnement polluant dans le milieu naturel, etc.
par les effets d’un phénomène dangereux
6
Inflammation
immédiate
Libération du gaz Effets

à l’atmosphère thermiques
Perte des propriétés
mécaniques non Dérive Inflammation
détectées du gaz retardée
4 Effet de surpression 5 6
Rupture
lié à l’éclatement
d’un équipement
pneumatique
Montée
en pression
Émission de projectile
1 2 3 (fragmentation
de l’enveloppe)
1 : Système de régulation de pression

2 : Système instrumenté permettant de limiter la pression dans l’équipement
3 : Soupape de sécurité
4 : Contrôle périodique de l’intégrité de l’enveloppe de l’équipement, mesure d’épaisseur
5 : Rideau d’eau déclenché sur détection gaz
6 : Mesures de prévention vis-à-vis des sources d’inflammation (matériel ATEX, permis feu, etc.)
Figure 3 – Matérialisation de l’effet des Mesures de Maîtrise des Risques sur un nœud papillon
Exemple Dans le cas où les MMR ne remplissent pas leurs fonctions de

sécurité, un scénario d’accident peut alors se produire. Sur la
Si un SIS dont la fonction de sécurité est d’isoler une canalisation figure 7, les cercles matérialisent les « défaillances » possibles des
par l’intermédiaire d’une vanne automatique dont le temps de ferme- MMR et la flèche le déroulement du scénario d’accident.
ture est de 30 secondes, alors le scénario résiduel correspond à une
Le modèle SCM permet de mettre en évidence que, quelle que
fuite sur une durée d’au moins t = 30 secondes (le temps de détec- soit la nature des MMR mises en place et malgré des niveaux de
tion doit aussi être pris en compte). Il est important de conserver à performances pouvant être élevés, il existe toujours des scénarios
l’esprit que même dans le cas où une MMR remplit sa fonction de d’accidents. En d’autres termes, malgré toutes les mesures de pré-
sécurité, il existe toujours un scénario résiduel, qui dans certains cas vention et de protection qu’il est possible de prendre, le « risque
peut avoir des conséquences non négligeables sur les cibles. zéro » n’existe pas.

Risque Risque Risque

résiduel tolérable procédé
Risque croissant
Réduction du risque nécessaire
Réduction du risque effective
Couverture partielle Couverture partielle

Couverture partielle
par d'autres couches par d’autres couches
du risque par les SIS
de prévention-mitigation de protection
Réduction du risque « globale » obtenue à l’aide de l’ensemble

des couches de protection
Figure 4 – Réduction du risque : concept général d’après la norme CEI 61508, Chapitre 5
Exemple
Un phénomène dangereux qui serait positionné en zone ALARP (As
Sans dispositif Low As Reasonably Practicable) et pour lequel seule une modification
Paramètre du procédé pour éviter lourde des installations (mise sous talus d’un réservoir, double enve-
(température, pression...) les dommages loppe d’un réservoir, etc.) pourrait entraîner une réduction des risques
répond à la notion de risque ALARP. Cette notion est présentée sur la
figure 8.
Rupture mécanique
Soupape de sécurité
Sécurité SIS* À retenir : les Mesures de Maîtrise des Risques (MMR) ont
pour fonction de réduire le niveau de criticité des phénomènes
Alarme + Asservissement dangereux liés à une activité. Les MMR remplissent des fonc-
Préalarme avec sécurités tions de sécurité (isolement d’une capacité par exemple), avec
un objectif de sécurité à atteindre. Cet objectif est imposé par le
niveau d’acceptation du risque « acceptable » qui peut varier
suivant l’objectif recherché : réglementation, politique interne
d’un groupe industriel, acceptabilité sociale, etc.
t1 t2 t3 t4 Temps
2.3 Différents types de Mesure
de Maîtrise des Risques
*Système Instrumenté de Sécurité
Il y a encore quelques années, la sémantique permettant de
caractériser les MMR était relativement « pauvre » et pouvait prê-
Figure 5 – Progressivité dans la mise en œuvre des Mesures ter à confusion. Ainsi, la seule distinction faite était celle entre les
de Maîtrise des Risques [2] mesures de prévention et les mesures de protection parmi
lesquelles pouvaient coexister :
– des mesures dites actives ;
Les MMR n’ont donc pas pour vocation de supprimer les risques,
mais uniquement d’en réduire la criticité. Cette notion de réduction – des mesures dites passives ;
des risques est définie dans la circulaire no DPPR/SEI2/MM-05-0316 – des mesures dites organisationnelles.
du 7 octobre 2005 comme « Actions entreprises en vue de diminuer Dans son rapport OMEGA 20 [4], l’INERIS propose de retenir la
la probabilité, les conséquences négatives (ou dommages), asso- répartition présentée en figure 9 dans le but de caractériser les
ciés à un risque, ou les deux [FD ISO/CEI Guide 73]. Cela peut être MMR.
fait par le biais de chacune des trois composantes du risque, la pro- Il est intéressant de noter que dans le rapport OMEGA 20 datant
babilité, l'intensité et la vulnérabilité ». de décembre 2006, la terminologie utilisée est le terme de
Bien que la réduction des risques soit inscrite dans une « barrière ». En effet, depuis l’arrêté du 29 septembre 2005, la
démarche continue, elle nécessite parfois d’envisager la mise en notion de Mesure de Maîtrise des Risques (MMR) tend à remplacer
place de mesure dont le coût est disproportionné par rapport à la progressivement le terme barrière de sécurité. La notion de bar-
réduction du risque attendu. rière de sécurité avait pour intérêt premier de bien préciser de par

Événement Phénomène
Initiateur Dangereux
MMR 1 MMR 2
1-Pd(MMR1) Phénomène résiduel lié au succès de la

La MMR remplit sa MMR 1 → P = F(EI) x (1-Pd(MMR1))
fonction de sécurité
Événement Initiateur
F(EI)
1-Pd(MMR2) Phénomène résiduel lié à la défaillance de
MMR 1 et au succès de la MMR 2
La MMR ne remplit pas Pd(MMR1) → P = F(EI) x Pd(MMR1) x (1-Pd(MMR2))
sa fonction de sécurité
Phénomène dangereux lié à la

défaillance de la MMR 1 et de la MMR 2
Pd(MMR2) → P = F(EI) x Pd(MMR1) x Pd(MMR2)
F(EI) : fréquence d’occurence de l’Événement Initiateur

Pd(MMR1) : probabilité de défaillance de la Mesure de Maîtrise des Risques 1
Pd(MMR2) : probabilité de défaillance de la Mesure de Maîtrise des Risques 2
Figure 6 – « Matérialisation » de l’effet des MMR adapté d’après LOPA [1]
pas de risque pour les personnes et l’environnement) d’un système

lorsque des seuils prédéfinis sont atteints. D’une manière générale,
une majorité des SIS rencontrés dans l’industrie chimique et pétro-
Phénomène lière sont composés des trois blocs fonctionnels suivants :
dangereux – un bloc « détection » chargé d’identifier la dérive d’un para-
mètre (pression, température, etc.) vers un état dangereux, cet état
dangereux étant souvent définit par une valeur seuil ;
– un bloc « traitement logique » chargé de recevoir le signal pro-
venant des dispositifs de détection et de le traiter afin de
commander un actionneur par l’intermédiaire d’un signal de
sortie ;
MMR 3 – un bloc « élément final » chargé de mettre le système dans
une position de sécurité.
La figure 10 présente un exemple de structure de SIS. Son
MMR 2
M
architecture est donnée uniquement à titre d’illustration. Dans cet
exemple, chaque actionneur permet de commander deux éléments
MMR 1 finaux ; cette configuration ne constitue en rien un standard.
Initiateurs
En revanche, il est important de rappeler qu’il existe une multi-
tude d’architectures de SIS possibles, qui dépendent de la probabi-
Figure 7 – « Matérialisation » de la défaillance des MMR adaptée lité de défaillance requise pour le SIS.
du modèle SCM (Swiss Cheese Model ) [3]
Pour qu’un SIS remplisse sa fonction de sécurité, chaque élé-
ment qui entre dans sa composition doit remplir sa fonction.
son nom son rôle. En effet, si un scénario d’accident peut être Les capteurs et détecteurs permettent de convertir une grandeur
schématisé par une droite menant d’un événement initiateur à un physique (concentration d’un gaz, pression, température, etc.) en
phénomène dangereux, les MMR mises en place par les industriels une grandeur interprétable par l’unité de traitement (tension, cou-
constituent des barrières qui doivent être « franchies » pour que le rant, etc.).
scénario puisse se produire.
Les unités de traitement permettent de traiter les informations
transmises par les dispositifs de détection. Elles peuvent être
2.3.1 Terminologie relative aux barrières classées en fonction de leurs technologies parmi :
techniques – les technologies câblées type relais ;
– les technologies programmées qui regroupent entre autre les
2.3.1.1 Systèmes Instrumentés de Sécurité (SIS) Automates Programmes Industriels (API), les Systèmes Numéri-
Un SIS définit un ensemble d’éléments permettant d’assurer la ques de Contrôle Commande (SNCC) ainsi que les Automates Pro-
mise dans un état sûr (c’est-à-dire dans un état stable ne présentant grammables de Sécurité (APS).

Le risque ne peut être justifié

sauf dans des circonstances
extraordinaires.
Zone intolérable
Zone tolérable ou Tolérable seulement si une réduction de

ALARP risque supplémentaire est irréalisable ou
si son coût est disproportionné par rap-
(Risque pris seulement port à l’amélioration obtenue.
si un bénéfice est désiré)
Comme le risque est réduit, il est d’autant

moins nécessaire de dépenser pour le
réduire encore afin de satisfaire à ALARP.
Le concept de diminution proportionnelle
est symbolisé par ce triangle.
Zone généralement Il est nécessaire de maintenir

acceptée l’assurance que le risque reste
à ce niveau.
(Une démonstration
d’ALARP est inutile)
Risque négligeable
Figure 8 – Définition de la notion ALARP d’après annexe B de la norme CEI 61508-5
Barrières
de sécurité
Barrières Barrières
humaines techniques
Systèmes à action
manuelle de sécurité
Actions humaines non
relayées par des éléments
techniques de sécurité
Dispositif Systèmes
de sécurité instrumentés
de sécurité
Passif Actif
Figure 9 – Caractérisation des Mesures de Maîtrise des Risques d’après l’INERIS [4]
Élément final 1
Actionneur 1
Détecteur 1 Élément final 2
Unité de
traitement
Détecteur 2 logique Élément final 3
Actionneur 2
Élément final 4
Les flèches matérialisent la transmission des informations

(câbles, réseau d’air comprimé, etc).
Figure 10 – Schéma simplifié de l’architecture d’un SIS

Les actionneurs permettent de commander une action sur un présente généralement une cinétique de mise en œuvre plus
élément final (fermeture d’un clapet par exemple). En fonction de importante. En effet, un SAMS introduit une étape de diagnostic
la nature de la force motrice, les actionneurs sont dits pneumati- de l’opérateur qui doit juger des actions à mettre en œuvre en
ques, hydrauliques ou électriques. Une électrovanne pneumatique fonction des informations et/ou alarmes qui lui sont rapportées.
est un exemple d’actionneur.
Les éléments finaux regroupent l’ensemble des dispositifs qui
permettent d’isoler une fuite (vanne, clapet), de transférer des flux
(machine tournante type pompe et compresseur) ainsi que les dis- 3. Méthodes d’évaluation
positifs d’alarme des opérateurs (sirène et gyrophare).
de la probabilité
2.3.1.2 Dispositifs de sécurité de défaillance d’une MMR
Ces dispositifs peuvent être classés parmi les deux catégories
suivantes :
– les dispositifs passifs : ils ne mettent en jeu aucun système 3.1 Allocation de l’objectif de probabilité
mécanique pour remplir leurs fonctions ; la cuvette de rétention et de défaillance
le mur coupe-feu appartiennent à cette catégorie ;
– les dispositifs actifs : ils mettent en jeu un dispositif méca- Comme nous l’avons précédemment vu, les MMR ont pour but
nique (ressort, levier) pour remplir leurs fonctions ; la soupape de de réduire la criticité des phénomènes dangereux pouvant survenir
décharge et le clapet anti-retour appartiennent à cette catégorie. sur une installation. Pour qu’une MMR puisse ramener un risque à
Une définition plus large implique le besoin ou non d’une un niveau acceptable, il est nécessaire que l’industriel fixe un
source d’énergie pour qu’un dispositif de sécurité puisse remplir objectif sur sa probabilité de défaillance. En effet, une MMR qui
sa fonction. Ainsi, un dispositif de sécurité est dit actif s’il néces- aurait une probabilité de défaillance à la sollicitation (PFD) de 10–1
site une source d’énergie ou une sollicitation (action automatique peut être acceptable dans le cas où la gravité du phénomène dan-
ou manuelle) pour remplir sa fonction. Au contraire, un dispositif gereux pouvant apparaître en cas de défaillance de celle-ci est
de sécurité passif n’a pas besoin de source d’énergie ou de sollici- limitée. En revanche, dans le cas où la gravité serait importante,
tation pour remplir sa fonction. alors il pourrait être nécessaire d’augmenter l’objectif de sécurité
en préconisant, par exemple, une PFD de 10–3/sollicitation.
2.3.2 Terminologie relative aux « barrières

humaines » À retenir : la PFD d’une MMR doit être déterminée en
considérant la criticité du phénomène dangereux susceptible
Une « barrière humaine » est constituée par une action ou une de générer des dommages sur les cibles (personnes et environ-
succession d’actions menées par un ou plusieurs opérateur(s). nement) dans le cas où elle viendrait à défaillir.
L’opérateur peut avoir une fonction de prévention ou de mitigation.
En effet, lorsqu’un opérateur vérifie le montage adéquat d’un flexi-
ble ou qu’il contrôle la position d’une vanne, l’opérateur intervient Lors de ce type de raisonnement, il est important de conserver à
en prévention d’un Événement Redouté. En revanche, lorsqu’un l’esprit que la PFD déterminée pour les SIS correspond à une pro-
opérateur intervient de manière consécutive à une alarme et qu’il babilité moyenne de défaillance à la sollicitation notée PFDavg
doit réaliser des actions permettant de rétablir un système ou un (average of the probability failure on demand). Cette PFDavg ne
procédé dans un état sûr, il intervient alors en mitigation. doit pas être confondue avec la probabilité de défaillance à la solli-
Il est indispensable de bien distinguer ces deux types de mesures citation notée PFD (t). Ces deux notions sont définies ci-après.
car la probabilité qu’un opérateur ne remplisse pas bien sa mission • Probabilité de défaillance à la sollicitation PFD (t) : probabilité
(et donc que la « barrière » soit franchie) dépend grandement de la sur l’intervalle [0, t ] qu’un système ne remplisse la fonction
nature de la tâche réalisée. On parle à ce titre d’erreur pré-acciden- pour laquelle il est conçu à l’instant t où il est sollicité. Cette
telle (lorsque l’opérateur intervient en prévention) et d’erreur probabilité s’exprime comme suit :
post-accidentelle (lorsque l’opérateur intervient en mitigation).
PFD (t ) = 1− R (t ) avec R (t ) : fiabilité du sy
ystème
2.3.3 Terminologie relative aux Systèmes • Probabilité de défaillance moyenne à la sollicitation PFDavg :
à Action Manuelle de Sécurité (SAMS) valeur moyenne de la probabilité de défaillance à la sollicita-
tion PFD (t ) par rapport à la période de temps séparant deux
Un SAMS comporte une composante humaine et une tests notée TI. Cette probabilité s’exprime comme suit :
composante technique. Pour ce type de MMR, il y a donc inter-
action entre l’homme et des éléments techniques de sécurité qui TI
entrent généralement dans la composition de SIS. 1
TI ∫0
PFDavg = PFD (t ) dt
Ce type de MMR est relativement fréquent lorsqu’il n’est pas
possible ou souhaitable d’asservir l’activation automatique d’élé-
ments finaux à une détection. Par exemple, la fonction de sécurité Les schémas en figure 11 permettent d’illustrer les notions de
visant à sectionner l’alimentation d’une canalisation sur une détec- PFD (t ) et PFDavg .
tion de chute de pression par l’intermédiaire d’un opérateur en Comme le mettent en évidence les schémas de la figure 11,
salle de contrôle constitue un SAMS. l’hypothèse faite est la suivante : suite à un test de bon fonction-
Avoir recours à ce type de MMR peut se révéler être un choix nement, la probabilité de défaillance à la sollicitation retrouve sa
judicieux afin de se prémunir des déclenchements intempestifs valeur initiale (remise à zéro).
d’organes de sécurité. En effet, dans le cas où la fermeture d’une
vanne d’isolement d’une capacité serait asservie sur atteinte du 3.1.1 Allocation par l’analyse de risques
seuil haut d’un seul détecteur de gaz, alors il est probable d’obser-
ver des déclenchements intempestifs (consécutivement à une La première méthode qui permet de déterminer la PFDavg maxi-
dérive ou défaillance du détecteur par exemple). En revanche, un male admissible pour une MMR est de mener une analyse des
SAMS remplissant la même fonction de sécurité qu’un SIS risques en identifiant l’ensemble des Événements Redoutés pour

PFD(t) PFD(t)
1 10–x
10–x
PFDavg
0 0
Temps Temps
TI
Évolution de la probabilité de défaillance PFD(t) Évolution de la probabilité de défaillance PFD(t)
d’un système non testé périodiquement d’un système soumis à une période de test TI
Figure 11 – Distinction entre PFD (t ) et PFDavg
lesquels la MMR est susceptible d’en prévenir l’apparition. Il faut

ensuite sélectionner l’un de ces Événements Redoutés afin de
déterminer les phénomènes dangereux qui y sont liés. Identification des ER pour lesquels
la MMR réduit l’occurence
Ces phénomènes dangereux font ensuite l’objet d’une modélisa-
tion des effets dans le but d’évaluer leurs gravités. Ces modélisa-
tions doivent être réalisées en retenant l’hypothèse que la MMR ne
Évaluation de la probabilité des ER à l’aide
remplit pas sa fonction de sécurité.
de banques de données, d’analyse
quantitative ou d’avis d’expert
Connaissant la gravité des effets des phénomènes dangereux et
la probabilité de l’Événement Redouté, il est alors possible de
déduire la PFDavg maximale admissible pour que les phénomènes
dangereux soient positionnés dans une zone de risque acceptable. Sélection de l’un des ER au regard
Généralement, le phénomène dangereux retenu correspond au de sa probabilité P(ER)
plus dommageable.
Ce phénomène est donc celui pour lequel l’exigence sur la pro-

babilité de la MMR sera la plus forte. En d’autres termes, le Facteur Définition des phénomènes dangereux
de Réduction de la Probabilité (FRP) nécessaire pour que la proba- liés à cet ER
bilité de ce phénomène soit acceptable sera le plus grand. Cette
approche qui consiste à retenir de manière implicite un « scénario
enveloppe » renvoie vers une approche déterministe des risques
malgré l’aspect probabiliste de la méthode. Modélisation de ces phénomènes dangereux
en considérant la MMR « inopérante »
L’organigramme de la figure 12 résume l’ensemble des étapes
permettant de définir un objectif « de sécurité » pour une MMR. Il
apparaît dès lors que le choix du scénario pour lequel la PFD maxi-
male admissible est déterminée influe fortement sur les résultats. Évaluation de la gravité de ces phénomènes
dangereux au regard des cibles environnantes
Exemple
Afin d’illustrer la méthodologie présentée en figure 12, considérons
qu’un industriel envisage de mettre en place comme MMR un SIS Sélection du phénomène dangereux
le plus dommageable Gmax
composé par un clapet interne au niveau du piquage de soutirage,
dont la fonction de sécurité est de se fermer sur détection gaz, dans
le but de réduire la probabilité d’occurrence de l’Événement Redouté
« Fuite sur piquage de soutirage d’une capacité sous pression ».
Quelle est alors la probabilité de défaillance maximale qu’il est possi- Positionnement du couple P(ER)/ )/Gmax
dans une matrice de criticité
ble d’accepter pour ce SIS ?
Pour cet exemple, le référentiel d’acceptabilité des risques choisi

est celui fixé par la matrice de criticité présentée dans la circulaire Détermination du Facteur de Réduction de la Probabilité (FRP)
du 29 septembre 2005 relatif aux critères d’appréciation de la permettant de positionner le couple en zone de risque acceptable
démarche de maîtrise des risques d’accidents susceptibles de sur-
venir dans les établissements dits « SEVESO », visés par l’arrêté
du 10 mai 2000 modifié, MEDD, BO no 5/21 du 15/11/2005. Cette
Déduction de la PFD maximale pour
matrice est présentée en figure 13. De manière simplifiée, cette
la MMR : PFDmax = 1 / FRP
matrice comprend trois zones de risques :
– une zone de risque considéré comme acceptable, zone dans

laquelle l’industriel n’a pas besoin de mettre en place des MMR Figure 12 – Méthodologie permettant de définir un objectif de PFD
complémentaires (cases vertes de la matrice) ; pour une MMR

Probabilité (sens croissant de E vers A)
Gravité des conséquences

E D C B A
sur les personnes
P < 10–5 10–5 ⭐ P < 10–4 10–4 ⭐ P < 10–3 10–3 ⭐ P < 10–2 P ⭓ 10–2
exposées au risque
MMR rang 2
Désastreux (5) NON rang 1 NON rang 2 NON rang 3 NON rang 4
(non partiel)
MMR rang 1 MMR rang 2 NON rang 1

Catastrophique (4) NON rang 2 NON rang 3
C B A
Important (3) MMR rang 1 MMR rang 1 MMR rang 2 NON rang 1 NON rang 2
Sérieux (2) MMR rang 1 MMR rang 2 NON rang 1

Modéré (1) MMR rang 1
Figure 13 – Influence de la probabilité de défaillance à la sollicitation (PFD) d’une MMR sur la criticité d’un phénomène dangereux
– une zone de risque considérée comme ALARP (As Low As – d’outils de modélisation permettant d’évaluer les distances
Reasonably Practicable), zone dans laquelle l’industriel doit d’effets relatives aux différents phénomènes dangereux liés à
démontrer que le niveau de criticité des phénomènes dangereux l’Événement Redouté ;
qui figurent dans cette zone ne peut être réduit avec un coût éco- – de données précises concernant le recensement des cibles
nomique raisonnable (cases jaunes de la matrice) ; inclues dans les zones impactées par les distances d’effets.
– une zone de risque considérée comme non acceptable, zone
dans laquelle l’industriel doit prévoir la mise en place de MMR
complémentaire afin de ramener la criticité des phénomènes dan- À retenir : l’utilisation de cette méthodologie nécessite de
gereux qui figurent dans cette zone à un niveau ALARP ou accep- mettre en place des outils et méthodes d’analyses de risques
table (cases oranges de la matrice). détaillées qui peuvent être couteux en termes de temps d’ana-
lyse. Cette méthode est réservée aux phénomènes les plus cri-
À l’aide d’une banque de données, la probabilité de l’Événement
tiques. Pour les autres, il est possible d’utiliser des
Redouté « Fuite sur piquage de soutirage d’une capacité sous
méthodologies semi-quantitatives (graphe de risque ou LOPA),
pression » a été évalué à 2 · 10–4/an (classe de probabilité C).
dont la mise en œuvre est plus simple.
En cas de fuite sur le piquage de soutirage suivie d’une inflam-
mation, un phénomène de flash fire a été identifié comme phéno-
mène fixant le niveau de gravité. À ce titre, l’industriel a réalisé la 3.1.2 Allocation par la méthode LOPA
modélisation du flash fire consécutif à l’inflammation du rejet en (Layer Of Protection Analysis)
considérant une durée de fuite égale à 30 minutes (temps néces-
saire à la vidange). Au regard des cibles environnantes, le phéno- Cette méthode intègre les couches de protection de l’entreprise,
mène de flash fire est caractérisé par un niveau de gravité de 4, tant organisationnelles que techniques. La méthode LOPA évalue
c’est-à-dire catastrophique. Ce couple P/G est matérialisé dans la la réduction du risque en analysant la contribution des différentes
matrice de la figure 13 à l’aide du point A. couches (des caractéristiques intrinsèques du procédé jusqu’aux
mesures de secours) en cas d’accident. Elle peut être utilisée dans
Au regard de la matrice de la figure 13, il n’est pas possible de le but de déterminer la probabilité de défaillance maximale admis-
ramener le phénomène de flash fire consécutif à une fuite sur une sible pour chaque MMR dont la mise en place est envisagée dans
durée de 30 minutes en zone de risque « acceptable ». En effet, la le but de ramener le risque à un niveau acceptable.
gravité du phénomène dangereux étant fixée à 4, l’industriel a
alors le choix : La méthode a pour vocation d’évaluer la fréquence annuelle

Langue

Se4057

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Se4057

Transféré par

Droits d'auteur :

Réf.

par Olivier IDDIR

Résumé L’Administration demande aujourd’hui aux industriels français de présenter des

Pour toute question :

Principes d’évaluation de la probabilité

Ingénieur analyse de risques industriels

Service expertise & modélisation – Division procédés et technologie

Évaluation de la probabilité de défaillance des MMR SE 4 057 - 2

a maîtrise du risque industriel impose aux industriels de mener des ana-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

« valeurs seuils » de probabilité. Afin de mener une approche transparente, les

de MMR, des ordres de grandeur de probabilité de défaillance seront donnés.

APR Analyse préliminaire des risques

CCPs Center for Chemical Process safety.

HAZOP Hazard Operability.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Méthode LOPA Layer of Protection Analysis.

MMR Mesure de Maîtrise des Risques.

PFD (t) Probability Failure on Demand.

PFDavg Average of Probability Failure on Demand.

Probabilité d’occurrence Au sens de l’article L. 512-1 du code de l’environnement, la probabilité d’occurrence

Risque « Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73).

SIL Safety Integrity Level.

SIS Système Instrumenté de Sécurité.

THERP Technique for Human Error Rate Prediction.

TESEO Tecnica Empirica Stima Errori Operatori.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

de défaillance des MMR Plans d’urgence site (7)

et traçabilité Protections post-décharge

triels. Cette évolution impose :

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

À titre d’exemple, l’arborescence de la figure 3 met en évidence

Comme nous l’avons précédemment indiqué, les MMR ont pour

Mesure de prévention Mesure de mitigation

Arbre de défaillances Arbre d’événements Arbre des conséquences

Figure 2 – Les différents types de Mesures de Maîtrise des Risques

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Tableau 2 – Définition des événements de la figure 2

ERS Redouté Conséquence directe de l’Événement Redouté

Libération du gaz Effets

1 : Système de régulation de pression

Exemple Dans le cas où les MMR ne remplissent pas leurs fonctions de

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Risque Risque Risque

Réduction du risque effective

Couverture partielle Couverture partielle

Réduction du risque « globale » obtenue à l’aide de l’ensemble

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

1-Pd(MMR1) Phénomène résiduel lié au succès de la

Phénomène dangereux lié à la

F(EI) : fréquence d’occurence de l’Événement Initiateur

Figure 6 – « Matérialisation » de l’effet des MMR adapté d’après LOPA [1]

pas de risque pour les personnes et l’environnement) d’un système

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Le risque ne peut être justifié

Zone tolérable ou Tolérable seulement si une réduction de

Comme le risque est réduit, il est d’autant

Zone généralement Il est nécessaire de maintenir

Figure 8 – Définition de la notion ALARP d’après annexe B de la norme CEI 61508-5

Les flèches matérialisent la transmission des informations

Figure 10 – Schéma simplifié de l’architecture d’un SIS

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

2.3.2 Terminologie relative aux « barrières

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Figure 11 – Distinction entre PFD (t ) et PFDavg