Historique 

:
LOPA est un acronyme qui signifie "LAYERS OF PRETECTION ANALYSIS"
L’analyse des couches de protection LOPA décrite dans la partie 3 de la norme
IEC61511 et développée par CCPS (Center for Chimical Process Safety) à la fin
des années 1990 est une méthode semi-quantitative d’analyse et d'évaluation des
risques.
Elle peut être utilisée à n’importe quel moment du cycle de vie du processus ou de
l’installation (système), mais de préférence durant la phase de conception ou quand
des modifications pour un processus existant ou une amélioration de ses systèmes
de sécurité sont exigées
LOPA est un cas particulier de la méthode Arbre des Evénements(AdE) établie
dans le but de déterminer la fréquence d’une conséquence indésirable pouvant être
prévenue par une ou plusieurs couches de protection.
Le but de la méthode LOPA :
Le but principal de LOPA est de déterminer s'il y a suffisamment de couches de
protection pour l’identification et la maîtrise des risques à toutes les phases, de
conception et d’exploitation des installations et des projets industriels,
c'est-à-dire de vérifier si le risque est réduit à un niveau au moins tolérable.
Elle peut aussi être utilisée pour l’analyse d’un scénario s’il est si complexe et/ou
ayant des conséquences aussi graves qu’on ne peut pas se contenter d’une
décision basée uniquement sur un jugement qualitatif.
Notions de bases relatives à la méthode LOPA:
Couches de protection
Dans une optique de réduction des risques, les industriels sont amenés à
mettre en place différentes barrières prévues, soit pour prévenir l’apparition
d’un accident (barrière de prévention), soit pour en limiter les conséquences
(barrière de mitigation et de protection). À ce titre, la méthode LOPA
introduit le concept de « couches de protection ». Ce concept repose sur le
principe que les moyens mis en œuvre dans le but de réduire les risques
sont nombreux et diversifiés. Ces différents moyens sont prévus pour
intervenir de manière graduelle dans le temps. En d’autres termes, ces
différentes couches vont être « sollicitées » tour à tour avec pour objectif de
« stopper » le déroulement du scénario d’accident ou d’en réduire les effets.
La méthode LOPA définit huit couches de protection présentée en figure :
Ces huit couches peuvent être réparties en trois catégories :
 les couches dites de prévention prévues pour « stopper » le déroulement
de la séquence accidentelle avant l’apparition d’un événement dangereuse
 les couches dites de mitigation prévues pour limiter les conséquences
dans le cas où la survenue de l’événement dangereuse ne pourrait être
évitée
 les couches dites de protection prévues pour « limiter » l’exposition des
« Cibles » vis-à-vis des phénomènes dangereux liés à la réalisation de
l’événement dangereuse.
La répartition des différentes couches dans l’une des catégories précédentes
est présentée dans le tableau :

Tableau – Répartition des 8 couches de protection définies dans la méthode LOPA

Catégorie
Couches de prevention
Couches de mitigation/protection
Couches de protection
Conception du
procédé Conduite du
procédé
Alarmes et interventions humaines
Systèmes instrumentés de sécurité
Sécurités physiques (organes de décharge, etc.)
Protections post-décharge (cuvette de rétention,
etc.) Plans d’urgence site
Plans d’intervention

Toutes ces couches de protection ont donc pour objectif d’atteindre un niveau de
sécurité ou de maîtrise des risques acceptable
Couches de protection indépendantes (IPLs)
Une IPL est un dispositif, un système ou une action qui est capable de prévenir un
scénario d’accident et/ou réduire ses effets, indépendamment de l’événement
initiateur ou des composants des autres couches de protection conçues et prévues
pour le même scénario.
Une barrière de sécurité qualifiée d’IPL doit être :
Efficace
Une IPL est efficace si elle est :
 capable de détecter l’événement initiateur qui l’incite à agir,
 capable de détecter à temps cet événement initiateur ou dérive pour prendre
l’action corrective qui devrait prévenir la conséquence indésirable associée à un
scénario déterminé ;
 capable de remplir la fonction de sécurité à laquelle elle est dévolue pendant
le temps disponible.
Indépendance
Une barrière de sécurité est qualifiée IPL, si son fonctionnement ne dépend pas ni
de fonctionnement des autres barrières de sécurité ni de fonctionnement du
système lui-même. Cette propriété d’indépendance permettra à une IPL de remplir
sa fonction de sécurité indépendamment de toute cause ou défaillance commune.
La détermination des modes de défaillances communs permet de juger lesquelles
de barrières de sécurité sont des IPL.
Testabilité
Une IPL doit être conçue pour permettre périodiquement de s’assurer par test de
leur efficacité. Pratiquement ces tests doivent être effectués afin de contrôler et de
vérifier les performances des IPL (temps de réponse et niveau de confiance).
Étapes de la méthode LOPA :
Comme toutes les méthodes d’analyse de risques, LOPA possède ses propres
règles d’élaboration et peut être décomposée en sept principales étapes :
Etape 1 : Établissement des critères d’acceptabilité des scénarios d’accidents
Cette étape est préalable à l’analyse des risques, elle fournit un moyen de limiter la
durée de l’étude en ne considérant que les scénarios significatifs en termes de
conséquences. L’établissement des critères d’acceptabilité est fait en fonction du
contexte de chaque établissement/entreprise concerné et aussi des objectifs
poursuivis. Quelques que soient les critères d’acceptabilité retenus, il est
indispensable qu’ils soient connus et explicites préalablement avant toute phase
d’analyse des risques industriels.
L’estimation des conséquences des risques permet l’identification des scénarios
d’accidents les plus importants. Pour les scénarios jugés inacceptables, une
évaluation plus fine de gravité demeure indispensable.
Etape 2 : Développement et sélection d’un scénario d'accident
Les scénarios d’accident sont développés par des méthodes préliminaires
d’analyse telles que l’AMDEC et l’HAZOP. Le scénario développé par LOPA décrit
un seul couple (cause-conséquence). IL est constitué d’un événement initiateur, de
la défaillance des IPL et d’une conséquence indésirable. Ce scénario est représenté
sous forme d’un AdE
Selon la nature de la conséquence, est effectuée l’analyse ; dans le cas de
l’industrie pétrochimique par exemple, on doit préciser pour le scénario la probabilité
d’ignition du produit inflammable et la probabilité qu’une personne soit présente sur
le lieu et être touchée par l’événement.
Etape 3 : Identification de l'événement initiateur du scénario et estimation de
sa fréquence
L'événement initiateur doit mener à la conséquence résultant de la défaillance de
toutes les couches de protection. Cet événement peut être un événement externe,
une défaillance d’un équipement ou une défaillance humaine. Quant à la fréquence
de l’événement initiateur, elle peut être estimée, à partir des données de l’industrie,
des données du concepteur, d’un jugement d’experts, etc. Cependant, ces données
de défaillance devraient être sélectionnées en prenant soin quelles soient
représentatives de l’industrie ou de l’opération analysée.
A noter que, ces données sont parfois exprimées par une probabilité de défaillance
à la demande (PFD). Dans ce cas, la fréquence de l’événement initiateur doit être
déterminée en estimant combien de fois par an le system a été sollicité.
Etape 4 : Identification des IPLs et estimation de leurs PFD
LOPA s’intéresse uniquement aux couches de protection qualifiées d’IPLs
(Independent Protection Layers) qui exige dans sa démarche une identification et
une évaluation des couches de protection indépendantes mises en place dans un
système industriel afin de pouvoir maîtriser les risques d’accidents inhérents à ce
système. Comme toute barrière de sécurité, une couche de protection (IPL) peut
être un élément, un système, un appareil, une action ou une  procédure destinée à
exécuter une certaine fonction de sécurité afin de prévenir un scénario d’accident
et /ou réduire ses effets.
Une valeur de probabilité de défaillance à la demande (PFD) est ensuite affectée à
chaque IPL. Déterminer ou spécifier la valeur appropriée de la PFD est un point
important de LOPA. Les données disponibles pour évaluer la PFD d’une IPL
peuvent être issues des bases de données, du retour d’expérience du secteur
industriel concerné ou des données du constructeur.
Etape 5 : Calcul de la fréquence de la conséquence réduite
La détermination des fréquences des scénarios d’accidents est une étape clé qui
sert à évaluer les conséquences des scénarios d’accidents en termes de leurs
probabilités d’occurrence et leurs conséquences engendrées. La fréquence d’un
scénario d’accident est donnée par l’équation suivante :

ʄ ᵢͨ = ʄ ᵢˡ .𝛱ⱼᴶ₌₁ PFDᵢⱼ
Où:

ʄ ᵢͨ : Fréquence de la conséquence C pour l’événement initiateur i.

ʄ ᵢˡ: Fréquence de l’événement initiateur.
PFDᵢⱼ: Probabilité de défaillance à la demande de la i ème IPL qui oppose
la survenance de la conséquence.
Cette procédure de calcul des fréquences de multiples scénarios d’accidents nous
aidera surtout à établir la comparaison par rapport aux critères d’acceptabilité
élaborés préalablement et aussi de juger si ces risques sont acceptables ou non.

Etape 6 : Evaluation du risque par rapport aux critères d’acceptabilité

Cette étape consiste à évaluer les scénarios d’accidents estimés par rapport aux
critères d’acceptabilité qui ont été fixés au préalable afin de s’assurer que les
scénarios sont acceptables. Si ces scénarios d’accidents sont inacceptables des
recommandations et des couches de protection doivent être implémentées afin de
maîtriser et les ramener à un niveau jugé tolérable.
Formalisme de la méthode LOPA:

Tableau d’analyse proposé pour la conduite d’une revue LOPA d’après le chapitre 3 de la
norme IEC 61511
PFD des couches de protection Probabilité
Probabilité d’occurrence
Conception Atténuation Barrière PFD
No EI G CI P(CI)
d’occurrence résiduelle Note
générale BPCS Alarmes supplémentaire de mitigation intermédiaire (SIF)
du procédé accès limité, etc. (non SIF) (avec SIF)

EI : événement indésirable/événement initiateur.

G : niveau de gravité de l’événement indésirable.
CI : cause initiatrice (événement initiateur).
P(CI) : probabilité d’occurrence de la cause initiatrice.
BPCS : Basic Process Control System.
PFD(SIF) : probabilité de défaillance à la sollicitation de la fonction instrumentée de sécurité.

Avantages, limites de la méthode LOPA conventionnelle :

La méthode LOPA présente plusieurs avantages (CCP, O1), (Kir, 05), (Ken, 10) :
C’est un outil performant et efficace d’évaluation des risques et de prise de décision
quant aux mesures de protection et de réduction.
C’est est un outil simple et flexible permettant de déterminer la réduction apportée
par chaque mesure de réduction (IPL) en lui attribuant des probabilités de
défaillance.
 Elle permet de déterminer le SIL associé au SIS.
 C’est un outil d’estimation des conséquences limites.
 C’est est un outil d’aide à la décision quant à l’acceptabilité du risque.
 En la comparant à d’autres méthodes d’analyse des risques telles que l’arbre
de défaillance, la méthode LOPA exige moins du temps et moins de coûts
pour sa réalisation. Cette caractéristique lui confère la possibilité d’être
appliquée à un grand nombre de scénarios qui sont quantitativement difficiles
à évaluer.
Cependant, la méthode LOPA présente également des limites :
 La limitation relative à la prise en compte d’un scénario résultant d’un simple
couple ‘’cause-conséquence’’
 LOPA est un outil qui ne peut pas être appliqué pour étudier tous les
scénarios d’accidents surtout ceux qui présentent des combinaisons des
défaillances.
 L’objectivité et l’efficacité des résultats de LOPA dépendent de la disponibilité
des données, alors qu’en réalité on ne peut pas se passer des jugements
d’experts et des bases de données.
 LOPA utilise des données sous forme de grandeurs typiques pour la
fréquence de l'événement initiateur, la gravité de la conséquence et les
probabilités de défaillance à la demande des couches de protection pour
évaluer le risque d'un scénario.
 Les données sur les défaillances utilisées devraient être représentatives de
l'industrie ou du système étudié et n’être utilisées que si elles sont
statistiquement significatives. Autrement dit être disponibles sur une période
de temps adéquate.