Chapitre n°4

L’analyse des systèmes

1. Introduction

 L’analyse préliminaire des risques a permis d’identifier les risques et les causes
principales à l’origine de ces risques. Elle a permis de proposer des mesures préventives
ou compensatoires.

 Cependant, à ce stade de l’étude, la réponse à la question « comment le risque peut il se

manifester et comment peut on se protéger contre cette éventualité? » ne peut être
exhaustive, car des interactions peuvent se produire dans le système

 Il s’agit donc d’analyser le système càd l’ensemble de l’unité où sera mis en œuvre le
procédé et de tenir compte de l’interaction des différents éléments de cette unité entre
eux, ainsi que de l’intervention des opérateurs
1
 On définit un système comme un ensemble d’éléments matériels, logiciels et humains en
interaction, organisé pour remplir une mission déterminée.

 Cette analyse ne peut se faire utilement, dans l’élaboration d’un projet, que lorsque
l’étude est suffisamment avancée. Le tableau suivant donne les éléments nécessaires à
cette réflexion (mis à jour dans le cas d’une installation existante)

 L’analyse des risques débouche nécessairement sur la rédaction de consignes

d’exploitation, de consignes de sécurité et sur l’examen de la bonne adaptation des
procédures. Cette analyse, dans ses conclusions, ne doit donc pas se limiter à des
propositions techniques mais aussi doit inclure des propositions organisationnelles et
procédurales

2
 Description du procédé Eléments de base pour l’analyse des systèmes
 Schéma de circulation des fluides (Piping and Instrumentation Diagrams PID)

 Données sur les produits, les réactions: Fiches produits, fiches réactions

 Identification des risques et mesures préventives et compensatoires proposées

(APR)
 Spécification de tout l’équipement et des accessoires (tuyauteries, robinets, ...)

 Schéma de contrôle et régulation, architecture du système contrôle commande/système

de sécurité.

 Ebauche des consignes opératoires.  Règles et procédures générales appliquées sur

le site.
3
2. L’analyse par l’arbre de défaillance

2.1 Introduction

 L’analyse par arbre de défaillance a pour objet, en partant d’un évènement

indésirable (incendie, explosion, rejet d’un produit toxique...) préalablement identifié,
de rechercher par une construction graphique toutes les combinaisons d’évènements
(c’est-à-dire de causes) qui peuvent y conduire

 Elle peut s’appliquer à des installations en projet ou existantes.

 La méthode d’analyse par arbre de défaillance peut également être utilisée pour
analyser, à posteriori, des incidents ou accidents. On parle alors habituelleent d’analyse
par arbre des causes Dans ce cas seuls sont intégrés les évènements qui se sont
réellement produits et ceux dont on n’a pas l’assurance qu’ils ne se soient produits.

4
 Si la probabilité de cet évènement indésirable ou ses conséquences sont inacceptables
par rapports aux objectifs que l’on s’est fixés, il sera alors nécessaire de rechercher les
corrections ou modifications indispesables à apporter au procédé, au schéma, à
l’appareillage etc.

 L’analyse par arbre de défaillances est la méthode la plus utilisée dans les industries de
procédé pour étudier les mesures compensatoires visant à prévenir un évènement
indésirable susceptible d’engendrer un accident et d’en limiter les conséquences en cas de
survenue.

5
2.2 Principe

 Un arbre de défaillances est un diagramme logique qui décrit l’enchainement en

parallèle ou en série, d’évènements qui conduisent dans le cadre d’un "système" à un
évènement final indésirable.

 Les évènements sont reliés par des portes logiques "ET" et "OU" suivant que
l’évènement aval nécessite ou non, pour se réaliser, la réalisation de plusieurs évènements
amont.

 La méthode consiste en partant d’un évènement final indésirable, à remonter aux

"évènements élémentaires" qui soit individuellement soit simultanément, peuvent
conduire à l’évènement final indésirable, càd des causes de cet évènement indésirable.
6
 L’établissement d’un arbre de défaillance requiert les étapes suivantes:

 Définition de l’évènement final indésirable,

 Analyse du système concerné

 Construction de l’arbre en reliant entre eux les évènements intermédiaires d’abord,

puis élémentaires, qui peuvent conduire à l’évènement final indésirable.

 Une fois l’arbre construit, on peut:

 Soit procéder à une analyse qualitative

 Soit procéder à une analyse quantitative et pour cela, il est alors nécessaire de:

- Rassembler les données quantitatives

- Evaluer la probabilité finale de l’évènement indésirable
7
2.3 Définition de l’évènement final indésirable

La définition de l’évènement final indésirable est un point fondamental. Cet évènement

peut être par exemple:

- Un incendie, une explosion, le rejet ou le débordement de produits toxiques, la

détérioration de l’appareillage, une fuite de produits corrosifs, etc...
Il est très important que cet évènement soit défini aussi précisément que possible et reste
aussi spécifique que possible pour permettre l’établissement d’un arbre pas très
compliqué et donc facilement analysable et exploitable.

C’est ainsi que par exemple dans le cas d’une colonne destinée à absorber des
composés toxiques dans un flux gazeux contenant des éléments combustibles, on étudiera
séparément: - le risque de rejet dans l’atmosphère de produits toxiques,

- le risque d’incendie ou d’explosion

8
2.4 Evènements élémentaires
 On définit les "évènements élémentaires" comme des évènements:
 Indépendants entre eux

 Qui ne sont plus décomposés en évènements plus simples, soit parce que cela
n’apparait plus comme nécessaire, soit parce que cela est impossible.
 Dont la fréquence ou la probabilité d’apparition peut être évaluée.

 Ces "évènements élémentaires" sont notamment:

 Les défaillances ou pannes des éléments constitutifs, de conduite et de surveillance

du système
 Les erreurs humaines

 Les agressions éventuelles du milieu environnant

9
Lorsque l’on désire procéder à une analyse quantifiée, il est de plus nécessaire de pouvoir
évaluer la fréquence ou la probabilité d’apparition de ces évènements élémentaires.

l’une des difficultés dans l’établissement de l’arbre de défaillance est de savoir définir les
"évènements élémentaires" et donc de savoir raisonnablement s’arrêter dans la recherche
en amont des évènements précurseurs.
Bien qu’il n’y ait pas de règle intangible en ce domaine, on peut cependant d’expérience
recommander de remonter jusqu’aux évènements dont on peut raisonnablement estimer
la probabilité.

On arrête la décomposition quand on ne gagne plus d’information

10
2.5 Construction de l’arbre

 La construction d’un arbre de défaillances doit répondre à un certain nombre de règles

qui scrupuleusement respectées, conduisent au diagramme logique d’enchainement
d’évènements précédemment décrits.
 Il faut s’attarder à rechercher les évènements qui sont des causes immédiates,
nécessaires et suffisantes.

 Cela signifie qu’il faut procéder étape par étape dans la recherche des causes
immédiates et ne pas aller directement à une cause qui "saute aux yeux". Faute de
respecter ce principe, on risque d’oublier certains évènements et d’aboutir à un arbre
incomplet et erroné.

 Une bonne façon de ne pas se tromper est de poser la double question: la cause est elle
nécessaire? La cause est elle suffisante?

11
Symbolisme

Par souci de standardisation et d’universalisation, il a été développé différents symboles

utilisables lors d’une analyse par arbre de défaillances

12
13
14
15
16
17
Réduction de l’arbre

L’application de la méthode conduit par exemple, à la construction de l’arbre suivant:

18
2.6 Exploitation de l’arbre

L’arbre construit, son exploitation comprend deux étapes:

• L’analyse qualitative
• L’analyse quantitative
2.6.1 Analyse qualitative

L’analyse qualitative d’un arbre de défaillances consiste à étudier le cheminement depuis

les évènements élémentaires vers l’évènement final. De part les définitions mêmes des
portes logiques "ET" et "OU", toute combinaison d’évènements qui conduirait à
l’évènement final en ne franchissant que des portes OU, çàd sans rencontrer d’obstacle,
signifierait que le système étudié peut s’avérer peu fiable.

Par contre un, cheminement qui progresserait en franchissant des portes ET indiquerait un
meilleur contrôle du système

19
L’exploitation qualitative des arbres de défaillances permet de déterminer s’il est facile ou
pas d’atteindre l’évènement final. Elle permet également de mesurer le progrès réalisé par
une modification de schéma quant au cheminement des évènements vers l’évènement
final.

Coupes minimales
 Une coupe est un ensemble d’évènements suffisant pour entrainer l’évènement
indésirable; on parle aussi de " chemin ".

 On appelle ainsi de coupe minimale ou chemin critique la plus petite combinaison

d’évènements entrainant l’évènement indésirable; par définition si l’un des évènements
d’une coupe minimale ne se produit pas, l’évènement indésirable ne se réalise pas.

 L’ordre d’une coupe minimale est le nombre d’évènements figurant dans cette coupe.

20
 Exemple

.
Les coupes minimales sont: C et A B

L’évènement "A et B et C" qui entraine l’évènement T représente

bien une coupe mais n’est pas la plus petite combinaison
d’évènements entrainant l’évènement T. En particulier
l’évènement "A et B" est une combinaison plus petite.

La coupe minimale C est d’ordre? 1

.
La coupe minimale A B est d’ordre? 2
21
Exploitation qualitative

Cette approche qualitative ne prend pas en compte les valeurs réelles des probabilités (ou
fréquences) des évènements considérés. Elle suppose que ces probabilités sont toutes du
même ordre de grandeur.

 La recherche de coupes minimales permet de mettre en évidence les maillons faibles du

système.

 Ces maillons faibles correspondent aux coupes minimales de plus petit ordre.

 Les portes ET ont pour effet d’augmenter l’ordre des coupes minimales et donc de
réduire la probabilité de l’évènement final indésirable.

22
2.6.1 Analyse quantitative
Il s’agit de la quantification probabiliste de l’arbre de façon à déterminer la fréquence ou
la probabilité d’apparition de l’évènement final
Cela suppose que chacun des évènements élémentaires puisse être connu en fréquence ou
en probabilité, ce qui peut faire l’objet d’estimations, par exemple par la méthode de
DELPHI.

 cependant, l’évaluation de la probabilité d’une défaillance humaine est un problème

complexe qui rend cette quantification difficile.
Exploitation quantitative simplifiée
Il est souvent difficile d’obtenir les probabilités des évènements élémentaires. On procède
alors à une exploitation quantitative simplifiée.
A titre d’exemple, on peut classer les évènements élémentaires selon une grille à six
niveaux correspondant aux probabilités (ou fréquences annuelles) suivantes:
23
Niveau 1 : évènement extrêmement rare 10-6

Niveau 2 : évènement très rare 10-5

Niveau 3 : évènement rare 10-4

Niveau 4 : évènement possible 10-3

Niveau 5 : évènement fréquent 10-2

Niveau 6 : évènement très fréquent 10-1

24
L’application des règles de combinaison des probabilités (calcul approché) permet, par
report sur l’arbre de défaillances, de trouver la probabilité de l’évènement final
indésirable.
Ces règles sont:

 L’évènement résultant d’une porte OU a la probabilité correspondant à la somme des

probabilités des évènements immédiatement antérieurs.

 L’évènement résultant d’une porte ET a la probabilité correspondant au produit des

probabilités des évènements immédiatement antérieurs.

 La probabilité de l’évènement indésirable doit être d’autant plus faible que les
conséquences de cet évènement seraient plus importantes.

25
Exploitation quantitative

Le traitement simplifié ne peut pas apporter toutes les informations qu’il peut être
souhaitable d’avoir sur la sécurité d’un système. C’est pourquoi on s’oriente, toutes les
fois où cela est nécessaire et possible, vers un traitement quantitatif plus précis.

Cela suppose que chaque évènement élémentaire soit connu en fréquence ou en

probabilité, ce qui pourrait être obtenu:

 Soit à partir de banques de données de défaillances

 Soit par jugement d’expert

 Soit à partir d’essais toutes les fois où cela est possible

 Soit à partir de retour d’expérience de systèmes analogues

26
Cependant, il convient de préciser que ces données peuvent varier en fonction de
différents facteurs: environnement, politique de maintenance...

Cette probabilité d’occurrence est obtenue à partir des probabilités des coupes minimales
en appliquant le théorème de Pointcare.

Dans l’exemple précédent, nous avons:

P(T) = P(C) + P(A).P(B) – P(A).P(B).P(C)

Depuis quelques années, des logiciels de traitement des arbres de défaillances sont
apparus. De tels logiciels permettent:

 Une représentation graphique de l’arbre;  La prob de l’év final indésirable

 Les coupes minimales avec leur prob et leur contribution;

27
 L’importance des facteurs: fréquence d’intervention d’un évènement dans la
défaillance du système.

Remarques

 Une quantification d’arbre de défaillances n’est pas un moyen d’obtenir une valeur
exacte de la probabilité d’occurrence de l’évènement indésirable.

 Par contre la quantification d’arbre de défaillances permet de mettre en évidence le poids

relatif des évènements élémentaires dans le résultat et par conséquent de modifier plus
efficacement le système.

28
2.7 Intérêt de la méthode

La mise en évidence de différents scénarios conduisant à l’évènement indésirable, ainsi

que l’estimation de leurs probabilités d’occurrence permet:

 De hiérarchiser les scénarios en fonction de leur probabilité et ainsi de fixer les

priorités d’action
 De guider la recherche des solutions les plus efficaces de réduction de la probabilité
d’occurrence de l’évènement final indésirable.
La réduction de la prob d’occurrence de l’év indésirable peut se faire:
 Soit par la suppression d’év élémentaires

 Soit par la diminution de la prob d’occurrence de ces évts élémentaires

 Soit par l’ajout de portes ET entre l’év indésirable et les évts élémentaires
29
Application: stockage de gaz liquéfié toxique

1. Définition du système

Le gaz toxique produit dans l’unité de fabrication est humide et sans pression. Avant de le
liquéfier, on procède à une épuration et à un séchage, puis il est comprimé et liquéfié sous
pression dans un échangeur refroidi à l’eau. Le gaz liquéfié passe par gravité de l’unité de
condensation au stockage.

Le réservoir de stockage est métallique en construction soudée et en acier non allié, dont
la pression maximale de service correspond à la tension de vapeur du gaz liquéfié à 50°C.

Le réservoir est posé sur un système de pesée continue qui asservit l’introduction du
produit dans le stockage par une vanne automatique.

30
Il est muni de:

 d’une soupape dont l’échappement est capté vers une absorption par une solution
neutralisante. Une membrane mince entre la soupape et l’installation d’absorption évite
le retour d’humidité. En outre une capacité tampon en aval de la soupape permet de
détecter un échappement de liquide;

 d’un dispositif de sécurité de niveau haut qui asservit l’introduction du produit dans le
stockage par l’intermédiaire de la même vanne automatique;

 d’une tubulure de remplissage;

 d’une tubulure de vidange;  d’une tubulure de dégazage;

 d’un enregistrement et d’une alarme de pression haute.

31
32
2. Définition de l’évènement final indésirable

Dans cette étude l’évènement final indésirable est la fuite de produit à partir du
stockage, à l’exception de l’échappement provoqué par l’ouverture éventuelle de la
soupape, qui ferait l’objet d’une autre étude centrée sur l’installation d’absorption.

3. Examen du système

L’examen de l’unité de fabrication a montré au cours des études préliminaires de risques,

que le produit envoyé au stockage pouvait contenir deux contaminants indésirables, en
cas d’incident de fonctionnement: de l’eau et un gaz.
L’APR a montré que le produit devenait très corrosif vis-à-vis de l’acier en présence de
l’humidité et que le gaz contaminant possible pouvait réagir violemment avec le produit
stocké.

33
 L’installation doit donc être protégée contre les entrées d’humidité et soigneusement
séchée avant mise en service. Ce séchage est effectué par balayage à l’air sec et contrôle
du point de rosée de l’air extrait. La procédure prévoit une succession de mise en
pression et de détentes d’air sec. L’humidité du produit est contrôlée après séchage.

 En ce qui concerne le contaminant gazeux, une garde hydraulique évite en principe à

ce gaz d’entrer dans le stockage en cas d’incident à l’unité de condensation. En outre un
dégazage permanent sur le stockage permet d’éviter toute accumulation accidentelle.

 Un seul ouvrier contrôle l’unité de condensation et fait des rondes périodiques vers le
stockage. Il peut être momentanément indisponible par suite d’une intervention inopinée
ou d’un démarrage.

34
Travail demandé

Construire l’arbre de défaillances de l’évènement indésirable « fuite de produit »

Déterminer le nombre de coupes minimales de votre arbre de défaillances

Estimer la probabilité annuelle de fréquence de l’évènement indésirable final

35
 4. Construction de l’arbre
 L’examen du système et de ses défaillances possibles ont permis de connaitre l’arbre
de défaillances de l’évènement final
 A titre d’exemple nous donnons ci-après la démarche employée pour obtenir
l’enchainement des évènements conduisant à une déchirure de l’enveloppe du
stockage
Cet évènement peut résulter de deux causes individuelles (OU):
• Surpression au-delà de la limite de rupture;
• Impact de corps extérieurs sur l’enveloppe
La surpression peut être elle-même engendrée par 3 causes individuelles (OU)
• Surcharge de gaz liquéfié dans le stockage; • Une température trop élevée
• Réaction due à l’accumulation de gaz contaminant dans la phase gazeuse du
stockage. 36
 La Surcharge de gaz liquéfié dans le stockage peut être engendrée par 3 causes
simultanées (ET):
• défaillance au niveau du dispositif d’alarme de pression haute: cette défaillance
peut résulter de 2 causes individuelles (OU);
- défaillance de l’alarme de pression haute elle même
- défaillance de l’opérateur en cas de fonctionnement de l’alarme
• défaillance au niveau du système de pesée continue, du dispositif de sécurité de
niveau haut, de la vanne automatique: cette défaillance peut résulter de 2 causes
individuelles (OU):
- Blocage de la vanne automatique en position ouverte
- défaillance simultanée du système de pesée continue et du dispositif de sécurité
haut niveau
• blocage de la soupape en position fermée, lui-même considéré comme un évènement
élémentaire. 37
• La réaction de gaz contaminant peut résulter de 3 causes simultanée (ET);

- défaillance du système de dégazage permanent

- Incident à l’unité de condensation

- défaillance de la garde hydraulique

 Les défaillances des systèmes de contrôle et de régulation ont fait l’objet d’une étude
préalable qui a permis de déterminer leur probabilité de défaillance.

Elles sont considérées, au même titre que divers accidents répertoriés, comme des
évènements élémentaires qui ne sont plus décomposés en évènements plus simples.

38
 5. Exploitation de l’arbre

Coupes minimales

L’arbre ainsi construit contient 38 coupes minimales d’ordre 1 à 4 qui se répartissent en:

2 coupes minimales d’ordre 1

31 coupes minimales d’ordre 2
3 coupes minimales d’ordre 3
2 coupes minimales d’ordre 4

Les coupes minimale d’ordre 1 sont les suivantes:

- défaillance de conception ou de construction ou de maintenance (évènement 24)

- Déchirure par éclat (évènement 23)

39
40
Fréquences annuelles d’occurrence des évènements de base

41
42
43
Probabilités annuelles des évènements intermédiaires

44
45
3. L’analyse des modes de défaillances, de leurs effets et de leur
criticité. Méthode AMDEC
En anglais « Failure Mode and Effect Analysis »; c’est une méthode qui permet:

• d’estimer les risques sous leurs trois aspects; gravité, probabilité et détectabilité;
• de représenter les risques sous la forme d’une grille critique.

C’est une méthode inductive, utilisé en Sécurité des Systèmes, qui permet d’identifier
tous les modes de défaillance ayant un effet sur la sécurité du système. Elle est basée
sur un recensement exhaustif des modes de défaillance des composants d’un système
pouvant conduire directement ou par réaction en chaine à une situation de risque.

Par sa nature, elle est adaptée, dans l’industrie chimique, à l’étude de sous-ensembles
identifiés comme critiques pour la sécurité lors d’une Analyse Préliminaire des Risques

46
Qu’est ce qu’un mode de défaillance?

Le mode de défaillance est la forme observable du dysfonctionnement d’un produit,

d’un outil de fabrication ou d’un processus étudié. Un mode de défaillance doit
répondre aux caractéristiques suivantes :

 il est relatif à la fonction que l’on étudie

 il décrit la manière dont le processus, le produit ou le moyen de production ne

remplit pas ou plus sa fonction ;

 il s’exprime en termes techniques précis (les termes « mauvais », « bon » sont à

proscrire dans ce type d’étude car trop subjectifs et ne permettent pas de réaliser une
analyse fine.

47
3.1. Les objectifs de la méthode sont:

• de rechercher tous les modes de défaillance possibles de chacun des composants

du système étudié;
• d’aboutir à une classification relative de ces modes de défaillances en fonction des
risques qu’ils génèrent;
• de proposer des mesures de réduction des risques en agissant en particulier sur les
mods de défaillance qui peuvent conduire aux risques les plus importants.

3.2. Description et mise en œuvre de la méthode

3.2.1. travaux préliminaires

Il est nécessaire de disposer d’une définition claire du système étudié sous forme
d’une analyse fonctionnelle.

48
Cette analyse comporte:
• la description du système sous forme d’enchainements de sous-systèmes ou de
blocs fonctionnels (en général des phases du procédé);

• la définition des fonctions de chaque bloc fonctionnel avec leurs critères et les
niveaux requis;

• la définition des risques associés à chaque bloc.

 Cette étape permet de bien identifier le fonctionnement attendu du système et

d’éliminer éventuellement des blocs peu critiques

49
3.2.2. Analyse des modes de défaillances
Pour les blocs retenus on procède ensuite à l’analyse proprement dite:

• Chaque bloc fonctionnel est découpé en sous-systèmes/assemblages/ composants

jusqu’à un niveau permettant l’analyse des défaillances. Ce niveau est appelé par
convention "composant " ;
• Pour chaque composant on recherche les modes de défaillance et par mode de
défaillance, on identifie les causes possibles, les effets locaux du mode (sur le sous-
système) et les effets générés sur le système et l’environnement.

• Les risques sont ensuite analysés par rapport à une grille de criticité définie à
l’avance pour identifier ceux qui sont en écart par rapport aux objectifs fixés

• On procède enfin au repérage des risques, à l’établissement de recommandations et

à l’ouverture de fiches de points critiques pour traitement et suivi des actions de
réduction.
50
3.2.2. Mise en œuvre de la méthode
L’analyse définie ci-dessous se décompose en sept tâches qui doivent être exécutées dans
l’ordre suivant:
1. Définition du système/ sous systèmes/assemblages/composants/fonctions
2. Recherche et définition des modes de défaillance à prendre en compte

3. Recherche des causes des modes de défaillance

4. Effets locaux et sur les système des modes de défaillance

5. Niveau de gravité, probabilité et détection des modes de défaillance

6. Evaluation des risques (calcul de la criticité)

7. Repérage des risques 8. recommandations

51
3.2.3. Criticité

La criticité permet de noter l’importance du risque engendré par cause et de hiérarchiser les
défaillances pour en déterminer les actions prioritaires supérieures ou égales au seuil
retenu. Elle se calcule de la sorte :

NPR = Niveau de Priorité des Risques = Criticité = Gravité x Occurrence x Détection

 Occurrence = fréquence = probabilité d’occurrence

Cet indice représente la probabilité d’apparition de la cause entraînant le mode de
défaillance considéré. Le barème de cotation varie de 1 à 4.

52
53
 Gravité

Poids donné aux effets

des modes de
défaillance. Cette
évaluation peut se
traduire par un simple
inconfort et aller jusqu’à
des problèmes de
sécurité de l’utilisateur.

Pour évaluer G, il
faut considérer la
situation la plus
grave .

* TI = Temps d’intervention ou temps actif de maintenance corrective (= Diagnostic + Réparation + Remise en condition 54
initiale)
 Indice de détection D

Capacité du système à détecter ou prévenir le mode de défaillance. C’est la probabilité que la

cause identifiée provoque l’effet le plus grave sans que la défaillance ne soit détectée au
préalable. Le barème de cotation pourrait varier de 1 à 4 comme suit:

55
56
Acceptation du risque
Critères d’acceptation retenus : doivent être bien connus et explicités préalablement à
toute phase d’analyse des risques

Critères d’acceptation du risque sont fondés souvent sur le principe ALARP

Principe ALARP: As Low As Reasonably Practicable

ALARP : signifie que le risque résiduel (risque subsistant après l’application des mesures
de sécurité) sera aussi bas que raisonnablement faisable

Principe ALARP un risque est si bas qu'essayer de le rendre plus bas serait
réellement plus coûteux Risque tolérable

57
Prises de mesures « raisonnables » et/ou « praticables » pour réduire le risque jusqu’à
l’obtention d’un risque tolérable

Limites des risques « acceptables » et « tolérables » établies en fonction des :

58
59
60
Réduction du risque

61
 Limites de l’AMDEC

On conçoit aisément que cette méthode systématique, et par principe exhaustive,

conduit à une procédure assez lourde et grande consommatrice de temps.
Elle ne permet pas non plus de mettre en évidence les interactions des différents
éléments intervenant dans le fonctionnement d’un système. Cette méthode ne peut
s’appliquer en général à l’examen de schémas souvent complexes.

Elle est essentiellement réservée à l’étude de sous-ensembles bien délimités.

62
Application: Installation de synthèse de matière explosible

Le système étudié est représenté par le schéma ci-après, présente l’installation de

nitration du produit « X » par un mélange nitrant en excès.

Cette opération est réalisée en continu dans quatre réacteurs en cascade.

Après séchage, le produit « X » est introduit dans les trois premiers appareils

La réaction est exothermique et nécessite un refroidissement permanent par

l’intermédiaire d’une double enveloppe extérieure et d’une couronne intérieure.

En outre, une agitation très importante du bain est indispensable.

Chaque appareil est équipé d’une vanne à ouverture rapide permettant la vidange en cas
d’incidents.
63
Les vapeurs acides sont collectées dans un système d’assainissement.

L’analyse concerne le poste de travail de l’ouvrier qui conduit cette opération et l’on ne
considère dans cet exemple que les risques propres à celle-ci.

Le système a été découpé, lors de l’analyse, en sept sous-systèmes qui sont:

1. Alimentation en mélange nitrant

2. Alimentation en produit X 3. Système d’agitation

4. Refroidissement 5. Système de liaison entre réacteurs

6. Vannes de vidange rapide 7. Aspiration de vapeurs acides

64
65
66
67
4. La méthode HAZOP
4.1. Introduction

 La méthode HAZOP (Hazard and Operability Study), ou analyse des déviations est un
outil formalisé, systémique et semi-empirique utilisé et développé depuis quarante ans
pour analyser les risques potentiels associés à l’exploitation d’une installation
industrielle.
 Inventée en 1965 en Grande-Bretagne par la société ICI (Imperial Chemical Industries),
elle était conçue comme une technique et s’adressait particulièrement à la phase
d’ingénierie de détail de nouvelles installations chimiques ou pétrochimiques.

 Son originalité résidait dans son approche a priori des dangers et des dysfonctionnements
d’une installation par l’étude systématique des déviations des paramètres gouvernant le
procédé à analyser.

68
4.2. Objectifs

 L’objectif premier de la méthode HAZOP est l’analyse de l’intégrité opérationnelle

d’un système par l’identification systématique et la détermination des causes et
conséquences des DEVIATIONS susceptibles de survenir au cours de l’exploitation de
routine des installations (y compris les phases de démarrage, arrêt, entretien, etc).

 On entend par déviation "...écart par rapport aux intentions du design et de la

conduite des opérations .... "

 La technique HAZOP est une technique d’IDENTIFICATION des problèmes

potentiels; elle ne vise pas leur résolution. Les conclusions de l’analyse HAZOP sont
transmises aux concepteurs et/ou aux exploitants des installations qui ont pour mission de
trouver les solutions aux problèmes soulevés.

69
 Veuillez consulter les documents des tech des Ing pour la suite du cours

70