Académique Documents
Professionnel Documents
Culture Documents
: SE4057 V1
Principes d'évaluation de la
Date de publication :
10 juillet 2009
probabilité de défaillance des
Mesures de Maîtrise des Risques
(MMR)
Cet article est issu de : Environnement - Sécurité | Sécurité et gestion des risques
Abstract The French administration currently requires that French industrialists conduct
probabilistic risk studies. The challenges linked to the implementation of risk prevention
plans highlight the necessity to dispose of transparent methodologies in order to assess
the probability of industrial accidents. Over time, several regulatory documents have
defined the administrative requirements regarding the level of detail expected in order to
justify the probability of accidents. The assessment of the probability of failure (APF) in
security barriers or in Risk Control Measures (RCM) is of major importance. “Fiability” is
one of the criteria which allows for a pre-assessment of the performances of an RCM.
This article presents the various types of RCM (safety features, organisational measures
etc.) and explains the assessment methods for their APF. […]
Par mail :
infos.clients@teching.com
Par téléphone :
00 33 (0)1 53 35 20 20 © Techniques de l'Ingénieur | tous droits réservés
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
Terminologie Définition
CEI 61508 – Functional safety of Electrical/ Norme internationale qui porte sur les systèmes E/E/P électriques/électroniques/
Electronic/Programmable Electronic (E/E/PE) électroniques programmables de sécurité).
safety related systems, International La norme propose une approche ayant pour objectif la mise en place d’un système de
Electrotechnical commission (IEC), 1998 sécurité E/E/PE, en intégrant les exigences de sécurité ainsi que toutes les étapes du
cycle de vie du système E/E/PE.
Événement Initiateur Événement, courant ou anormal, interne ou externe au système, situé en amont de
l’Événement Redouté dans l’enchaînement causal et qui constitue une cause directe
dans les cas simples ou une combinaison d’événements à l’origine de cette cause
directe. Dans la représentation en « nœud papillon » (ou arbre des causes), cet
événement est situé à l’extrêmité gauche (d’après la circulaire du 7 octobre 2005,
Circulaire n° DPPR/SEI2/MM-05-0316).
Événement Redouté Événement conventionnellement défini, dans le cadre d’une analyse de risque, au
centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte de confinement
pour les fluides et d’une perte d’intégrité physique pour les solides. Les événements
situés en amont sont conventionnellement appelés « phase pré-accidentelle » et les
événements situés en aval « phase pré-accidentelle » (d’après la circulaire du 7 octobre
2005, Circulaire n° DPPR/SEI2/MM-05-0316).
Flash fire Combustion d’un mélange gazeux inflammable sans effet de pression.
Fonction de sécurité Fonction ayant pour but la réduction de la probabilité d’occurrence et/oudes effets et
conséquences d’un événement non souhaité dans un système (d’après la circulaire du
7 octobre 2005, Circulaire n° DPPR/SEI2/MM-05-0316).
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
Terminologie Définition
Mesure de prévention Mesures visant à prévenir un risque en réduisant la probabilité d’occurrence d’un
phénomène dangereux (d’après la circulaire du 7 octobre 2005, Circulaire
n° DPPR/SEI2/MM-05-0316).
Mesure de protection Mesures visant à limiter l’étendue ou/et la gravité des conséquences d’un accident sur
les éléments vulnérables (d’après la circulaire du 7 octobre 2005, Circulaire
n° DPPR/SEI2/MM-05-0316).
Performance des MMR L’évaluation de la performance se fait au travers de leur efficacité, de leur temps de
réponse et de leur niveau de confiance au regard de leur architecture (en référence à la
norme EN NF 61 508, des pratiques de maintenance,des pratiques des tests) (d’après la
circulaire du 7 octobre 2005, Circulaire n° DPPR/SEI2/MM-05-0316.
Phénomène dangereux Libération d’énergie ou de substance produisant des effets, au sens de l’arrêté du
29 septembre 2005, susceptibles d’infliger un dommage à des cibles (ou éléments
vulnérables) vivantes ou matérielles, sans préjuger l’existence de ces dernières. C’est
une « Source potentielle de dommages » (ISO/CEI51).
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
1. Évaluation
de la probabilité Plans d’intervention (8)
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
Mesure de protection
ERS 4
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
6
Inflammation
immédiate
Montée
en pression
Émission de projectile
1 2 3 (fragmentation
de l’enveloppe)
Figure 3 – Matérialisation de l’effet des Mesures de Maîtrise des Risques sur un nœud papillon
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
Risque croissant
Réduction du risque nécessaire
Figure 4 – Réduction du risque : concept général d’après la norme CEI 61508, Chapitre 5
Exemple
Un phénomène dangereux qui serait positionné en zone ALARP (As
Sans dispositif Low As Reasonably Practicable) et pour lequel seule une modification
Paramètre du procédé pour éviter lourde des installations (mise sous talus d’un réservoir, double enve-
(température, pression...) les dommages loppe d’un réservoir, etc.) pourrait entraîner une réduction des risques
répond à la notion de risque ALARP. Cette notion est présentée sur la
figure 8.
Rupture mécanique
Soupape de sécurité
Sécurité SIS* À retenir : les Mesures de Maîtrise des Risques (MMR) ont
pour fonction de réduire le niveau de criticité des phénomènes
Alarme + Asservissement dangereux liés à une activité. Les MMR remplissent des fonc-
Préalarme avec sécurités tions de sécurité (isolement d’une capacité par exemple), avec
un objectif de sécurité à atteindre. Cet objectif est imposé par le
niveau d’acceptation du risque « acceptable » qui peut varier
suivant l’objectif recherché : réglementation, politique interne
d’un groupe industriel, acceptabilité sociale, etc.
t1 t2 t3 t4 Temps
2.3 Différents types de Mesure
de Maîtrise des Risques
*Système Instrumenté de Sécurité
Il y a encore quelques années, la sémantique permettant de
caractériser les MMR était relativement « pauvre » et pouvait prê-
Figure 5 – Progressivité dans la mise en œuvre des Mesures ter à confusion. Ainsi, la seule distinction faite était celle entre les
de Maîtrise des Risques [2] mesures de prévention et les mesures de protection parmi
lesquelles pouvaient coexister :
– des mesures dites actives ;
Les MMR n’ont donc pas pour vocation de supprimer les risques,
mais uniquement d’en réduire la criticité. Cette notion de réduction – des mesures dites passives ;
des risques est définie dans la circulaire no DPPR/SEI2/MM-05-0316 – des mesures dites organisationnelles.
du 7 octobre 2005 comme « Actions entreprises en vue de diminuer Dans son rapport OMEGA 20 [4], l’INERIS propose de retenir la
la probabilité, les conséquences négatives (ou dommages), asso- répartition présentée en figure 9 dans le but de caractériser les
ciés à un risque, ou les deux [FD ISO/CEI Guide 73]. Cela peut être MMR.
fait par le biais de chacune des trois composantes du risque, la pro- Il est intéressant de noter que dans le rapport OMEGA 20 datant
babilité, l'intensité et la vulnérabilité ». de décembre 2006, la terminologie utilisée est le terme de
Bien que la réduction des risques soit inscrite dans une « barrière ». En effet, depuis l’arrêté du 29 septembre 2005, la
démarche continue, elle nécessite parfois d’envisager la mise en notion de Mesure de Maîtrise des Risques (MMR) tend à remplacer
place de mesure dont le coût est disproportionné par rapport à la progressivement le terme barrière de sécurité. La notion de bar-
réduction du risque attendu. rière de sécurité avait pour intérêt premier de bien préciser de par
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
Événement Phénomène
Initiateur Dangereux
MMR 1 MMR 2
Événement Initiateur
F(EI)
1-Pd(MMR2) Phénomène résiduel lié à la défaillance de
MMR 1 et au succès de la MMR 2
La MMR ne remplit pas Pd(MMR1) → P = F(EI) x Pd(MMR1) x (1-Pd(MMR2))
sa fonction de sécurité
Parution : juillet 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
(Une démonstration
d’ALARP est inutile)
Risque négligeable
Barrières
de sécurité
Barrières Barrières
humaines techniques
Systèmes à action
manuelle de sécurité
Actions humaines non
relayées par des éléments
techniques de sécurité
Dispositif Systèmes
de sécurité instrumentés
de sécurité
Passif Actif
Figure 9 – Caractérisation des Mesures de Maîtrise des Risques d’après l’INERIS [4]
Élément final 1
Actionneur 1
Détecteur 1 Élément final 2
Unité de
traitement
Détecteur 2 logique Élément final 3
Actionneur 2
Élément final 4
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
Les actionneurs permettent de commander une action sur un présente généralement une cinétique de mise en œuvre plus
élément final (fermeture d’un clapet par exemple). En fonction de importante. En effet, un SAMS introduit une étape de diagnostic
la nature de la force motrice, les actionneurs sont dits pneumati- de l’opérateur qui doit juger des actions à mettre en œuvre en
ques, hydrauliques ou électriques. Une électrovanne pneumatique fonction des informations et/ou alarmes qui lui sont rapportées.
est un exemple d’actionneur.
Les éléments finaux regroupent l’ensemble des dispositifs qui
permettent d’isoler une fuite (vanne, clapet), de transférer des flux
(machine tournante type pompe et compresseur) ainsi que les dis- 3. Méthodes d’évaluation
positifs d’alarme des opérateurs (sirène et gyrophare).
de la probabilité
2.3.1.2 Dispositifs de sécurité de défaillance d’une MMR
Ces dispositifs peuvent être classés parmi les deux catégories
suivantes :
– les dispositifs passifs : ils ne mettent en jeu aucun système 3.1 Allocation de l’objectif de probabilité
mécanique pour remplir leurs fonctions ; la cuvette de rétention et de défaillance
le mur coupe-feu appartiennent à cette catégorie ;
– les dispositifs actifs : ils mettent en jeu un dispositif méca- Comme nous l’avons précédemment vu, les MMR ont pour but
nique (ressort, levier) pour remplir leurs fonctions ; la soupape de de réduire la criticité des phénomènes dangereux pouvant survenir
décharge et le clapet anti-retour appartiennent à cette catégorie. sur une installation. Pour qu’une MMR puisse ramener un risque à
Parution : juillet 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Une définition plus large implique le besoin ou non d’une un niveau acceptable, il est nécessaire que l’industriel fixe un
source d’énergie pour qu’un dispositif de sécurité puisse remplir objectif sur sa probabilité de défaillance. En effet, une MMR qui
sa fonction. Ainsi, un dispositif de sécurité est dit actif s’il néces- aurait une probabilité de défaillance à la sollicitation (PFD) de 10–1
site une source d’énergie ou une sollicitation (action automatique peut être acceptable dans le cas où la gravité du phénomène dan-
ou manuelle) pour remplir sa fonction. Au contraire, un dispositif gereux pouvant apparaître en cas de défaillance de celle-ci est
de sécurité passif n’a pas besoin de source d’énergie ou de sollici- limitée. En revanche, dans le cas où la gravité serait importante,
tation pour remplir sa fonction. alors il pourrait être nécessaire d’augmenter l’objectif de sécurité
en préconisant, par exemple, une PFD de 10–3/sollicitation.
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
PFD(t) PFD(t)
1 10–x
10–x
PFDavg
0 0
Temps Temps
TI
Évolution de la probabilité de défaillance PFD(t) Évolution de la probabilité de défaillance PFD(t)
d’un système non testé périodiquement d’un système soumis à une période de test TI
déterminer les phénomènes dangereux qui y sont liés. Identification des ER pour lesquels
la MMR réduit l’occurence
Ces phénomènes dangereux font ensuite l’objet d’une modélisa-
tion des effets dans le but d’évaluer leurs gravités. Ces modélisa-
tions doivent être réalisées en retenant l’hypothèse que la MMR ne
Évaluation de la probabilité des ER à l’aide
remplit pas sa fonction de sécurité.
de banques de données, d’analyse
quantitative ou d’avis d’expert
Connaissant la gravité des effets des phénomènes dangereux et
la probabilité de l’Événement Redouté, il est alors possible de
déduire la PFDavg maximale admissible pour que les phénomènes
dangereux soient positionnés dans une zone de risque acceptable. Sélection de l’un des ER au regard
Généralement, le phénomène dangereux retenu correspond au de sa probabilité P(ER)
plus dommageable.
Exemple
Afin d’illustrer la méthodologie présentée en figure 12, considérons
qu’un industriel envisage de mettre en place comme MMR un SIS Sélection du phénomène dangereux
le plus dommageable Gmax
composé par un clapet interne au niveau du piquage de soutirage,
dont la fonction de sécurité est de se fermer sur détection gaz, dans
le but de réduire la probabilité d’occurrence de l’Événement Redouté
« Fuite sur piquage de soutirage d’une capacité sous pression ».
Quelle est alors la probabilité de défaillance maximale qu’il est possi- Positionnement du couple P(ER)/ )/Gmax
dans une matrice de criticité
ble d’accepter pour ce SIS ?
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
MMR rang 2
Désastreux (5) NON rang 1 NON rang 2 NON rang 3 NON rang 4
(non partiel)
Important (3) MMR rang 1 MMR rang 1 MMR rang 2 NON rang 1 NON rang 2
Figure 13 – Influence de la probabilité de défaillance à la sollicitation (PFD) d’une MMR sur la criticité d’un phénomène dangereux
– une zone de risque considérée comme ALARP (As Low As – d’outils de modélisation permettant d’évaluer les distances
Reasonably Practicable), zone dans laquelle l’industriel doit d’effets relatives aux différents phénomènes dangereux liés à
démontrer que le niveau de criticité des phénomènes dangereux l’Événement Redouté ;
qui figurent dans cette zone ne peut être réduit avec un coût éco- – de données précises concernant le recensement des cibles
nomique raisonnable (cases jaunes de la matrice) ; inclues dans les zones impactées par les distances d’effets.
– une zone de risque considérée comme non acceptable, zone
dans laquelle l’industriel doit prévoir la mise en place de MMR
complémentaire afin de ramener la criticité des phénomènes dan- À retenir : l’utilisation de cette méthodologie nécessite de
gereux qui figurent dans cette zone à un niveau ALARP ou accep- mettre en place des outils et méthodes d’analyses de risques
table (cases oranges de la matrice). détaillées qui peuvent être couteux en termes de temps d’ana-
lyse. Cette méthode est réservée aux phénomènes les plus cri-
À l’aide d’une banque de données, la probabilité de l’Événement
tiques. Pour les autres, il est possible d’utiliser des
Redouté « Fuite sur piquage de soutirage d’une capacité sous
méthodologies semi-quantitatives (graphe de risque ou LOPA),
pression » a été évalué à 2 · 10–4/an (classe de probabilité C).
dont la mise en œuvre est plus simple.
En cas de fuite sur le piquage de soutirage suivie d’une inflam-
mation, un phénomène de flash fire a été identifié comme phéno-
mène fixant le niveau de gravité. À ce titre, l’industriel a réalisé la 3.1.2 Allocation par la méthode LOPA
modélisation du flash fire consécutif à l’inflammation du rejet en (Layer Of Protection Analysis)
considérant une durée de fuite égale à 30 minutes (temps néces-
saire à la vidange). Au regard des cibles environnantes, le phéno- Cette méthode intègre les couches de protection de l’entreprise,
mène de flash fire est caractérisé par un niveau de gravité de 4, tant organisationnelles que techniques. La méthode LOPA évalue
c’est-à-dire catastrophique. Ce couple P/G est matérialisé dans la la réduction du risque en analysant la contribution des différentes
matrice de la figure 13 à l’aide du point A. couches (des caractéristiques intrinsèques du procédé jusqu’aux
mesures de secours) en cas d’accident. Elle peut être utilisée dans
Au regard de la matrice de la figure 13, il n’est pas possible de le but de déterminer la probabilité de défaillance maximale admis-
ramener le phénomène de flash fire consécutif à une fuite sur une sible pour chaque MMR dont la mise en place est envisagée dans
durée de 30 minutes en zone de risque « acceptable ». En effet, la le but de ramener le risque à un niveau acceptable.
gravité du phénomène dangereux étant fixée à 4, l’industriel a
alors le choix : La méthode a pour vocation d’évaluer la fréquence annuelle
résiduelle d’accident. Pour se faire, il est alors nécessaire de pou-
– soit de définir un objectif de 10–1/sollicitation pour la PFD du voir quantifier les fréquences d’occurrence des événements initia-
SIS, dans ce cas de figure, le scénario de flash fire consécutif à une teurs et les probabilités de défaillance associées à chaque couche
fuite 30 minutes serait MMR rang 2 (point B dans la matrice de la de protection.
figure 13) ;
– soit de définir un objectif de 10–2/sollicitation pour la PFD du Les principales étapes de la méthode LOPA sont :
SIS, dans ce cas de figure, le scénario de flash fire consécutif à une 1. L’évaluation de la gravité dans le cas où l’Événement
fuite 30 minutes serait MMR rang 1 (point C dans la matrice de la Redouté se produirait.
figure 13). 2. L’identification de l’ensemble des événements initiateurs
Le passage de A en B ou de A en C correspond à un Facteur de dont la réalisation est susceptible de mener à celle de l’Évé-
Réduction du Risque respectivement égal à 10 et 100. nement Redouté.
L’intérêt de cette méthodologie est de définir de manière précise 3. L’identification de l’ensemble des mesures (ou couches de
la PFD d’une MMR par rapport à un scénario donné. En revanche, protection) qui permettent de prévenir du déroulement du
elle nécessite de disposer : scénario menant à l’Événement Redouté.
– de données permettant d’évaluer la probabilité ou la fréquence 4. L’évaluation de la fréquence des événements initiateurs, à
de l’Événement Redouté ; l’aide de valeurs d’occurrence déduites du retour d’expé-
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
rience du site, du retour d’expérience d’un secteur d’activité – possibilité d’éviter l’événement dangereux (P) ;
ou encore d’avis d’expert. – probabilité de l’occurrence non souhaitée (W).
5. L’évaluation des probabilités de défaillances à la sollicitation La norme CEI 61508-5 précise : « les paramètres de risque défi-
allouées aux différentes mesures. nis ci-dessus sont considérés comme suffisamment génériques
6. L’évaluation de la probabilité d’occurrence de l’Événement pour concerner la plupart des applications. Toutefois, certaines de
Redouté en prenant en compte le facteur de réduction lié aux ces applications peuvent nécessiter le recours à des paramètres de
mesures mises en place (probabilité résiduelle). risque supplémentaires ».
Pour chacun de ces paramètres, plusieurs critères d’appréciation
Les différentes étapes de cette méthodologie sont proches de
sont proposés. À titre d’exemple, le tableau 3 présente différents
celles présentées au paragraphe 3.1.1. En revanche, la définition
critères d’appréciation retenus pour les quatre paramètres (C, F, P
du risque acceptable n’est pas imposée par des valeurs de couples
et W). Ces critères sont fortement inspirés de ceux présentés dans
probabilité-gravité.
la norme CEI 61508-5.
En combinant les paramètres de risque décrits ci-dessus, il est
À retenir : la méthodologie LOPA constitue une approche possible de développer une arborescence des risques comparable
probabiliste « implicite » qui présente comme principal intérêt à celle qui est présentée en figure 14.
de prendre en considération l’ensemble des différentes L’exploitation du graphe de risque est relativement simple ; en
couches de protection, tant techniques qu’organisationnelles. fonction des critères choisis pour chacun des paramètres (C, F, P et
W), il suffit de suivre l’arborescence pour définir le niveau de sécu-
rité à allouer au SIS. Par exemple, supposons que les critères C3,
Parution : juillet 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
3.1.3 Allocation par la méthode du graphe F1, P2 et W3 aient été retenus, alors il apparaît que le niveau de
de risque sécurité requis pour le SIS soit SIL 3.
Le graphe de risque est une méthode dédiée aux SIS, qui per- La robustesse de cette méthodologie repose grandement sur la
met de définir le niveau de SIL (Safety Integrity Level) requis en définition des paramètres qui permettent de construire le graphe
fonction de paramètre prédéfinis. La notion de SIL est largement de risque. En effet, la définition de ces paramètres et les choix de
développée dans les normes CEI 61508 et CEI 615011. Le lecteur l’analyste ont un poids important sur la représentativité du résul-
pourra se reporter à l’article [SE 4 058] qui rappelle les principales tat. Cette méthode, comme toutes les méthodes qualitatives,
notions relatives au SIL. À titre de rappel, il existe quatre niveaux nécessite donc que l’analyste soit doté d’un niveau d’expertise suf-
de SIL, un système de sécurité possédant un niveau de SIL « n », a fisant afin de pouvoir « calibrer » les différents paramètres dans le
une probabilité de défaillance à la sollicitation comprise entre but de les adapter à l’installation étudiée. Un bon calibrage impli-
« 10–n » et « 10–(n+1) » et permet donc de réduire la probabilité de que de définir une échelle qui ne soit pas trop large afin de garan-
l’événement d’un facteur compris entre 10n et 10n+1. tir une précision suffisante dans les choix parmi les critères
hiérarchisés (C1, C2, etc.). En d’autres termes, les choix de l’ana-
Cette méthode repose sur un raisonnement qui permet de défi- lyste peuvent rapidement modifier la conclusion de l’analyse en
nir la nature de la situation dangereuse lorsque les systèmes rela- faisant passer le niveau d’intégrité d’une classe de probabilité (ou
tifs à la sécurité sont défaillants ou non disponibles. Pour ce faire, niveau de SIL) à une autre.
un certain nombre de paramètres qui permettent de graduer et
d’apprécier les risques sont utilisés. Cette méthodologie est À retenir : la méthodologie du graphe de risque constitue une
détaillée de manière précise au chapitre 5 de la norme CEI 61508 alternative à la réalisation d’une analyse détaillée des risques dans
(CEI 61508-5). le but de définir la PFDavg « maximale » admissible pour un SIS. En
Les quatre paramètres de risque habituellement utilisés sont les revanche, les critères d’évaluation permettant de définir les critè-
suivants : res C, F, P et W peuvent être difficiles à définir. Entre autres, il peut
– conséquence de l’événement dangereux (C) ; s’avérer délicat de juger des « conséquences de l’événement
– fréquence et durée d’exposition au danger (F) ; dangereux » sans avoir recours à la modélisation des effets.
W1 Faible probabilité
Probabilité
W d’occurrence W2 Probabilité moyenne
de l’événement
W3 Forte probabilité
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
--- : Aucune prescription sécurité n’est nécessaire nécessaire de pouvoir faire correspondre à ce type de MMR un fac-
teur de réduction du risque. Ainsi, la notion de probabilité de
a : Pas de prescription sécurité particulière
défaillance à la sollicitation est souvent extrapolée à ce type de
b : Un SIS n'est pas suffisant pour garantir de la maîtrise des risques mesure. Pour évaluer la probabilité de défaillance de tels disposi-
tifs, il est possible de procéder :
Figure 14 – Exemple de graphe de risque
– par cotation dite directe en ayant recours à des banques de
données ;
Tableau 4 – Quelques valeurs de PFD pour des dispositifs passifs de sécurité issues de LOPA [1]
Dispositif de sécurité passif PFD issue de la littérature PFD retenue dans LOPA
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
Tableau 5 – Quelques valeurs de PFD pour des dispositifs actifs de sécurité issues de LOPA [1]
et du Guidelines for Process Equipment Reliability Data [5]
Dispositif de sécurité actif PFD issue de LOPA PFD issue du CCPs
2,85 · 10–4 à 6,73 · 10–3
Clapet anti-retour Pas de valeur rapportée
(moyenne 2,2 · 10–3)
7,9 · 10–6 à 7,98 · 10–4
Soupape non pilotée
10–5 à 10–1/sollicitation (moyenne 2,12 · 10–4)
(10–2/sollicitation préconisée) 9,32 · 10–6 à 1,82 · 10–2
Soupape pilotée
(moyenne 4,15 · 10–3)
10–5 à 10–1/sollicitation
Disque de rupture Pas de valeur rapportée
(10–2/sollicitation préconisée)
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
Phase
Succès ou
échec de l’action
humaine
Phase d’action
Phase
de diagnostic
Phase
de détection
Événement
initiateur (incident
Parution : juillet 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
ou accident)
Temps
10–7
Les principales méthodes d’évaluation font mention de facteurs 1 10 100 1 000
ayant un poids plus ou moins grand sur la probabilité d’erreur t (min)
humaine. Les principaux à retenir sont les suivants :
– le niveau de formation initiale, l’expérience et l’entraînement Figure 17 – Évolution de la probabilité d’échec en fonction
face à la réalisation d’un Événement Redouté ; du temps [7]
– la complexité de la tâche à réaliser (routinière ou non ; nombre
de tâches concomitantes, dépendance ou non entre les tâches
d’une même séquence) ;
– le temps de réponse disponible, lorsque l’opérateur est face à
une situation complexe ; Tableau 6 – Évolution de la probabilité d’erreur
– le niveau de stress de l’opérateur qui peut être lié : à la percep- en fonction du temps
tion de la gravité de l’Événement Redouté, au temps disponible
pour réaliser la tâche, etc. Temps Probabilité d’erreur
(min) (/action)
Afin de prendre en compte l’influence du temps de réaction,
Swain propose un modèle retranscrit au travers de la figure 17 qui 1 1
permet de prendre en compte l’évolution de la probabilité d’échec
en fonction du temps. Il est à noter que ce modèle repose essen- 5 2 · 10–1
tiellement sur un consensus d’expert en « fiabilité humaine » du
secteur d’activité du nucléaire. 10 1 · 10–1
À partir du graphique de la figure 17, il est possible d’en déduire
les ordres de grandeurs de probabilité d’échec (ou erreur) d’un 20 1 · 10–2
opérateur en fonction du temps qui sont présentées dans le
tableau 6. 30 1 · 10–3
Au regard de l’évolution de la probabilité d’erreur en fonction du
60 1 · 10–4
temps, il semble que l’homme ne puisse pas être jugé très
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
influer sur la « fiabilité » humaine. Pour des opérations qui ne sont pas de routine
Temps disponible : 3 secondes 10
5.4.2 Principales méthodologies d’évaluation
Temps disponible : 30 secondes 1
Il existe de nombreuses méthodes relatives à l’évaluation des
probabilités d’erreur humaine. Parmi elles, on peut relever la Temps disponible : 45 secondes 0,3
méthode THERP [8] (Technique for Human Error Rate Prediction)
ou encore la modèle TESEO [9] (Tecnica Empirica Stima Errori Temps disponible : 60 secondes 0,1
operatori ). À titre de complément, on peut citer : Compétence/formation
– la méthode HCR (Human Cognitive Reliability Correlation) [10] ; de l’opérateur C3
– la méthode HEART (Human Error Assessment And Reduction
Technique). Bien formé, expert 0,5
Il est à noter le rapport OMEGA 20 de l’INERIS [4] qui propose Formation et connaissance moyennes 1
une méthodologie d’évaluation de la probabilité de défaillance des
« barrières humaines ». La méthode proposée postule que le Faible niveau de formation et
niveau de confiance optimal pouvant être alloué à un opérateur est d’entraînement 3
de 2 soit une probabilité de défaillance comprise entre 10–3 et 10–2.
Cette valeur est ensuite corrigée (surcotée) ou non en fonction de Anxiété C4
différents paramètres (complexité de l’action, niveau de Situation d’urgence réelle 3
compétence de l’opérateur, etc.).
Situation d’urgence potentielle 2
5.4.2.1 Principe de la méthode THERP
Situation normale 1
Cette méthode a été développée par Swain en 1961 et appliquée
pour la première fois en 1972 à un système industriel dans le cadre Ergonomie (interface avec l’usine) C5
de l’étude de sécurité portant sur les réacteurs nucléaires intitulée
WASH-1400. Cette méthode a par la suite été améliorée en asso- Excellente 0,7
ciation avec Guttman en 1983 dans l’ouvrage « Handbook of Bonne 1
human reliability analysis with emphasis on nuclear power plant
application ». Moyenne 3à7
Dans cette méthode, la probabilité d’erreur s’exprime comme Faible 10
par le produit de trois termes :
– une probabilité de base (suivant opération et interface
homme-machine) ; La « probabilité de défaillance » pour une mission donnée cor-
– un coefficient correctif (stress) ; respond au produit de ces différents coefficients. Les coefficients
– une probabilité de non-récupération de l’erreur. proposés dans la méthode TESEO sont présentés dans le
Cette méthode n’est pas plus développée dans cet article, du fait tableau 7.
de sa complexité qui la rend difficilement applicable dans des ana-
L’ouvrage intitulé « L’état de l’art dans le domaine de la fiabilité
lyses de risques telles que celles menées dans le cadre d’études de
humaine » [11] liste les principales limites de la méthode TESEO :
dangers réglementaires.
– les facteurs de pondération ne sont pas basés sur des justifica-
5.4.2.2 Principe du modèle TESEO tions robustes mais sur des avis d’expert ;
Cette méthode prend en compte cinq facteurs qui sont : – le modèle TESEO n’est que peu validé par des données
expérimentales ;
– la nature de la tâche ;
– le modèle n’est pas adapté à la quantification de diagnostics
– le temps disponible pour la réaliser ;
complexes.
– la formation de l’opérateur ;
– le stress généré (gravité de l’accident) ; En revanche, sa simplicité permet une application rapide, ce qui
– les facteurs d’ergonomie. constitue un réel atout.
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
P
O
U
Principes d’évaluation de la probabilité R
de défaillance des Mesures de Maîtrise
E
des Risques (MMR) N
O
I
À lire également dans nos bases
R
MORTUREUX (Y.). – Arbre de défaillances, des cau- IDDIR (O.). – Le Nœud Papillon : une méthode de IDDIR (O.). – Évaluation de la probabilité de dé-
ses et d’événement. [SE 4 050] Sécurité et ges- quantification du risque majeur. [SE 4 055] Sé- faillances d’un Système Instrumenté de Sécu-
tion des risques (2002). curité et gestion des risques (2008). rité (SIS). [SE 4 058] Sécurité et gestion des ris-
ques (2009).
MORTUREUX (Y.) et AMDE (C.). – [SE 4 040] Sécu-
rité et gestion des risques (2005). P
Sources bibliographiques L
[1] CCPS. – LOPA – Layer Of Protection Analy-
sis, simplified process risk assessment
[6] DINO (G.), DIMATTIA1, FAISAL (I.), KHAN2 et
AMYOTTE (P.-R.). – Determination of Human
[9] BELLO et COLOMBARI. – The human opera-
tor failures in petrochemical facilities : an his-
U
[2]
(2001).
Sites Internet
Institut national de l’environnement industriel et des risques (INERIS) Institut pour la maîtrise des risques (IMdR)
http://www.ineris.fr http://www.imdr-sdf.asso.fr
http://www.ineris.fr/badoris Institut pour une culture du risque industrielle.
http://www.icsi-eu.org/
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
ACCÈS
SERVICES ET OUTILS PRATIQUES
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com