Académique Documents
Professionnel Documents
Culture Documents
L’analyse préliminaire des risques a permis d’identifier les risques et les causes
principales à l’origine de ces risques. Elle a permis de proposer des mesures préventives
ou compensatoires.
Il s’agit donc d’analyser le système càd l’ensemble de l’unité où sera mis en œuvre le
procédé et de tenir compte de l’interaction des différents éléments de cette unité entre
eux, ainsi que de l’intervention des opérateurs
1
On définit un système comme un ensemble d’éléments matériels, logiciels et humains en
interaction, organisé pour remplir une mission déterminée.
Cette analyse ne peut se faire utilement, dans l’élaboration d’un projet, que lorsque
l’étude est suffisamment avancée. Le tableau suivant donne les éléments nécessaires à
cette réflexion (mis à jour dans le cas d’une installation existante)
2
Description du procédé Eléments de base pour l’analyse des systèmes
Schéma de circulation des fluides (Piping and Instrumentation Diagrams PID)
Données sur les produits, les réactions: Fiches produits, fiches réactions
2.1 Introduction
La méthode d’analyse par arbre de défaillance peut également être utilisée pour
analyser, à posteriori, des incidents ou accidents. On parle alors habituelleent d’analyse
par arbre des causes Dans ce cas seuls sont intégrés les évènements qui se sont
réellement produits et ceux dont on n’a pas l’assurance qu’ils ne se soient produits.
4
Si la probabilité de cet évènement indésirable ou ses conséquences sont inacceptables
par rapports aux objectifs que l’on s’est fixés, il sera alors nécessaire de rechercher les
corrections ou modifications indispesables à apporter au procédé, au schéma, à
l’appareillage etc.
L’analyse par arbre de défaillances est la méthode la plus utilisée dans les industries de
procédé pour étudier les mesures compensatoires visant à prévenir un évènement
indésirable susceptible d’engendrer un accident et d’en limiter les conséquences en cas de
survenue.
5
2.2 Principe
Les évènements sont reliés par des portes logiques "ET" et "OU" suivant que
l’évènement aval nécessite ou non, pour se réaliser, la réalisation de plusieurs évènements
amont.
Soit procéder à une analyse quantitative et pour cela, il est alors nécessaire de:
C’est ainsi que par exemple dans le cas d’une colonne destinée à absorber des
composés toxiques dans un flux gazeux contenant des éléments combustibles, on étudiera
séparément: - le risque de rejet dans l’atmosphère de produits toxiques,
Qui ne sont plus décomposés en évènements plus simples, soit parce que cela
n’apparait plus comme nécessaire, soit parce que cela est impossible.
Dont la fréquence ou la probabilité d’apparition peut être évaluée.
l’une des difficultés dans l’établissement de l’arbre de défaillance est de savoir définir les
"évènements élémentaires" et donc de savoir raisonnablement s’arrêter dans la recherche
en amont des évènements précurseurs.
Bien qu’il n’y ait pas de règle intangible en ce domaine, on peut cependant d’expérience
recommander de remonter jusqu’aux évènements dont on peut raisonnablement estimer
la probabilité.
10
2.5 Construction de l’arbre
Cela signifie qu’il faut procéder étape par étape dans la recherche des causes
immédiates et ne pas aller directement à une cause qui "saute aux yeux". Faute de
respecter ce principe, on risque d’oublier certains évènements et d’aboutir à un arbre
incomplet et erroné.
Une bonne façon de ne pas se tromper est de poser la double question: la cause est elle
nécessaire? La cause est elle suffisante?
11
Symbolisme
12
13
14
15
16
17
Réduction de l’arbre
18
2.6 Exploitation de l’arbre
Par contre un, cheminement qui progresserait en franchissant des portes ET indiquerait un
meilleur contrôle du système
19
L’exploitation qualitative des arbres de défaillances permet de déterminer s’il est facile ou
pas d’atteindre l’évènement final. Elle permet également de mesurer le progrès réalisé par
une modification de schéma quant au cheminement des évènements vers l’évènement
final.
Coupes minimales
Une coupe est un ensemble d’évènements suffisant pour entrainer l’évènement
indésirable; on parle aussi de " chemin ".
L’ordre d’une coupe minimale est le nombre d’évènements figurant dans cette coupe.
20
Exemple
.
Les coupes minimales sont: C et A B
Cette approche qualitative ne prend pas en compte les valeurs réelles des probabilités (ou
fréquences) des évènements considérés. Elle suppose que ces probabilités sont toutes du
même ordre de grandeur.
Ces maillons faibles correspondent aux coupes minimales de plus petit ordre.
Les portes ET ont pour effet d’augmenter l’ordre des coupes minimales et donc de
réduire la probabilité de l’évènement final indésirable.
22
2.6.1 Analyse quantitative
Il s’agit de la quantification probabiliste de l’arbre de façon à déterminer la fréquence ou
la probabilité d’apparition de l’évènement final
Cela suppose que chacun des évènements élémentaires puisse être connu en fréquence ou
en probabilité, ce qui peut faire l’objet d’estimations, par exemple par la méthode de
DELPHI.
24
L’application des règles de combinaison des probabilités (calcul approché) permet, par
report sur l’arbre de défaillances, de trouver la probabilité de l’évènement final
indésirable.
Ces règles sont:
La probabilité de l’évènement indésirable doit être d’autant plus faible que les
conséquences de cet évènement seraient plus importantes.
25
Exploitation quantitative
Le traitement simplifié ne peut pas apporter toutes les informations qu’il peut être
souhaitable d’avoir sur la sécurité d’un système. C’est pourquoi on s’oriente, toutes les
fois où cela est nécessaire et possible, vers un traitement quantitatif plus précis.
26
Cependant, il convient de préciser que ces données peuvent varier en fonction de
différents facteurs: environnement, politique de maintenance...
Cette probabilité d’occurrence est obtenue à partir des probabilités des coupes minimales
en appliquant le théorème de Pointcare.
Depuis quelques années, des logiciels de traitement des arbres de défaillances sont
apparus. De tels logiciels permettent:
Remarques
Une quantification d’arbre de défaillances n’est pas un moyen d’obtenir une valeur
exacte de la probabilité d’occurrence de l’évènement indésirable.
28
2.7 Intérêt de la méthode
Soit par l’ajout de portes ET entre l’év indésirable et les évts élémentaires
29
Application: stockage de gaz liquéfié toxique
1. Définition du système
Le gaz toxique produit dans l’unité de fabrication est humide et sans pression. Avant de le
liquéfier, on procède à une épuration et à un séchage, puis il est comprimé et liquéfié sous
pression dans un échangeur refroidi à l’eau. Le gaz liquéfié passe par gravité de l’unité de
condensation au stockage.
Le réservoir de stockage est métallique en construction soudée et en acier non allié, dont
la pression maximale de service correspond à la tension de vapeur du gaz liquéfié à 50°C.
Le réservoir est posé sur un système de pesée continue qui asservit l’introduction du
produit dans le stockage par une vanne automatique.
30
Il est muni de:
d’une soupape dont l’échappement est capté vers une absorption par une solution
neutralisante. Une membrane mince entre la soupape et l’installation d’absorption évite
le retour d’humidité. En outre une capacité tampon en aval de la soupape permet de
détecter un échappement de liquide;
d’un dispositif de sécurité de niveau haut qui asservit l’introduction du produit dans le
stockage par l’intermédiaire de la même vanne automatique;
31
32
2. Définition de l’évènement final indésirable
Dans cette étude l’évènement final indésirable est la fuite de produit à partir du
stockage, à l’exception de l’échappement provoqué par l’ouverture éventuelle de la
soupape, qui ferait l’objet d’une autre étude centrée sur l’installation d’absorption.
3. Examen du système
33
L’installation doit donc être protégée contre les entrées d’humidité et soigneusement
séchée avant mise en service. Ce séchage est effectué par balayage à l’air sec et contrôle
du point de rosée de l’air extrait. La procédure prévoit une succession de mise en
pression et de détentes d’air sec. L’humidité du produit est contrôlée après séchage.
Un seul ouvrier contrôle l’unité de condensation et fait des rondes périodiques vers le
stockage. Il peut être momentanément indisponible par suite d’une intervention inopinée
ou d’un démarrage.
34
Travail demandé
35
4. Construction de l’arbre
L’examen du système et de ses défaillances possibles ont permis de connaitre l’arbre
de défaillances de l’évènement final
A titre d’exemple nous donnons ci-après la démarche employée pour obtenir
l’enchainement des évènements conduisant à une déchirure de l’enveloppe du
stockage
Cet évènement peut résulter de deux causes individuelles (OU):
• Surpression au-delà de la limite de rupture;
• Impact de corps extérieurs sur l’enveloppe
La surpression peut être elle-même engendrée par 3 causes individuelles (OU)
• Surcharge de gaz liquéfié dans le stockage; • Une température trop élevée
• Réaction due à l’accumulation de gaz contaminant dans la phase gazeuse du
stockage. 36
La Surcharge de gaz liquéfié dans le stockage peut être engendrée par 3 causes
simultanées (ET):
• défaillance au niveau du dispositif d’alarme de pression haute: cette défaillance
peut résulter de 2 causes individuelles (OU);
- défaillance de l’alarme de pression haute elle même
- défaillance de l’opérateur en cas de fonctionnement de l’alarme
• défaillance au niveau du système de pesée continue, du dispositif de sécurité de
niveau haut, de la vanne automatique: cette défaillance peut résulter de 2 causes
individuelles (OU):
- Blocage de la vanne automatique en position ouverte
- défaillance simultanée du système de pesée continue et du dispositif de sécurité
haut niveau
• blocage de la soupape en position fermée, lui-même considéré comme un évènement
élémentaire. 37
• La réaction de gaz contaminant peut résulter de 3 causes simultanée (ET);
Les défaillances des systèmes de contrôle et de régulation ont fait l’objet d’une étude
préalable qui a permis de déterminer leur probabilité de défaillance.
Elles sont considérées, au même titre que divers accidents répertoriés, comme des
évènements élémentaires qui ne sont plus décomposés en évènements plus simples.
38
5. Exploitation de l’arbre
Coupes minimales
L’arbre ainsi construit contient 38 coupes minimales d’ordre 1 à 4 qui se répartissent en:
39
40
Fréquences annuelles d’occurrence des évènements de base
41
42
43
Probabilités annuelles des évènements intermédiaires
44
45
3. L’analyse des modes de défaillances, de leurs effets et de leur
criticité. Méthode AMDEC
En anglais « Failure Mode and Effect Analysis »; c’est une méthode qui permet:
• d’estimer les risques sous leurs trois aspects; gravité, probabilité et détectabilité;
• de représenter les risques sous la forme d’une grille critique.
C’est une méthode inductive, utilisé en Sécurité des Systèmes, qui permet d’identifier
tous les modes de défaillance ayant un effet sur la sécurité du système. Elle est basée
sur un recensement exhaustif des modes de défaillance des composants d’un système
pouvant conduire directement ou par réaction en chaine à une situation de risque.
Par sa nature, elle est adaptée, dans l’industrie chimique, à l’étude de sous-ensembles
identifiés comme critiques pour la sécurité lors d’une Analyse Préliminaire des Risques
46
Qu’est ce qu’un mode de défaillance?
47
3.1. Les objectifs de la méthode sont:
Il est nécessaire de disposer d’une définition claire du système étudié sous forme
d’une analyse fonctionnelle.
48
Cette analyse comporte:
• la description du système sous forme d’enchainements de sous-systèmes ou de
blocs fonctionnels (en général des phases du procédé);
• la définition des fonctions de chaque bloc fonctionnel avec leurs critères et les
niveaux requis;
49
3.2.2. Analyse des modes de défaillances
Pour les blocs retenus on procède ensuite à l’analyse proprement dite:
• Les risques sont ensuite analysés par rapport à une grille de criticité définie à
l’avance pour identifier ceux qui sont en écart par rapport aux objectifs fixés
La criticité permet de noter l’importance du risque engendré par cause et de hiérarchiser les
défaillances pour en déterminer les actions prioritaires supérieures ou égales au seuil
retenu. Elle se calcule de la sorte :
52
53
Gravité
Pour évaluer G, il
faut considérer la
situation la plus
grave .
* TI = Temps d’intervention ou temps actif de maintenance corrective (= Diagnostic + Réparation + Remise en condition 54
initiale)
Indice de détection D
55
56
Acceptation du risque
Critères d’acceptation retenus : doivent être bien connus et explicités préalablement à
toute phase d’analyse des risques
ALARP : signifie que le risque résiduel (risque subsistant après l’application des mesures
de sécurité) sera aussi bas que raisonnablement faisable
Principe ALARP un risque est si bas qu'essayer de le rendre plus bas serait
réellement plus coûteux Risque tolérable
57
Prises de mesures « raisonnables » et/ou « praticables » pour réduire le risque jusqu’à
l’obtention d’un risque tolérable
58
59
60
Réduction du risque
61
Limites de l’AMDEC
62
Application: Installation de synthèse de matière explosible
Chaque appareil est équipé d’une vanne à ouverture rapide permettant la vidange en cas
d’incidents.
63
Les vapeurs acides sont collectées dans un système d’assainissement.
L’analyse concerne le poste de travail de l’ouvrier qui conduit cette opération et l’on ne
considère dans cet exemple que les risques propres à celle-ci.
64
65
66
67
4. La méthode HAZOP
4.1. Introduction
La méthode HAZOP (Hazard and Operability Study), ou analyse des déviations est un
outil formalisé, systémique et semi-empirique utilisé et développé depuis quarante ans
pour analyser les risques potentiels associés à l’exploitation d’une installation
industrielle.
Inventée en 1965 en Grande-Bretagne par la société ICI (Imperial Chemical Industries),
elle était conçue comme une technique et s’adressait particulièrement à la phase
d’ingénierie de détail de nouvelles installations chimiques ou pétrochimiques.
Son originalité résidait dans son approche a priori des dangers et des dysfonctionnements
d’une installation par l’étude systématique des déviations des paramètres gouvernant le
procédé à analyser.
68
4.2. Objectifs
69
Veuillez consulter les documents des tech des Ing pour la suite du cours
70