Académique Documents
Professionnel Documents
Culture Documents
Chapitre 03 - Methode D - Analyse de Risques LOPA (Enregistrement Automatique)
Chapitre 03 - Methode D - Analyse de Risques LOPA (Enregistrement Automatique)
Chapitre 03 - Methode D - Analyse de Risques LOPA (Enregistrement Automatique)
des systèmes 2
méthode d’analyse des risques :LOPA
Enseignant : Abdelkarim SLIMANI
Introduction
La méthode LOPA a été développée à la fin des années 1990 par le CCPS
( center for chemical process).
L’analyse des couches de protection ou LOPA (Layer of Protection Analysis)
est une méthode structurée pour calculer l’objectif de réduction du risque
et les niveaux SIL cible.
L’analyse LOPA se déroule de manière similaire à une étude HAZOP.
Les dangers potentiels sont généralement identifiés au moyen de
l’approche HAZOP, et sont importés dans les fiches LOPA, afin de
maintenir un lien traçable entre les deux analyses allant de l’identification
des risques jusqu’à la prescription de réduction du risque et au niveau SIL
cible. L’analyse LOPA peut être réalisée sous forme d’extension de la
réunion HAZOP car il existe une progression naturelle de l’une à l’autre.
Origines de la méthode
La genèse de la méthode LOPA est faite par le CPPS , la méthode LOPA trouve ses origines dans deux
publications :
– à la fin des années 1980, le Chemical Manufacturers Association (maintenant American Chemistry
Council ) publie « Responsible Care Process Safety Code of Management Practices » qui introduit la
notion de couches de protection et qui recommande de les prendre en considération dans le cadre du
système de management ;
– en 1993, le Center of Chemical Process Safety (CCPs) introduisait dans le « Guidelines for Safe
Automation of Chemical Processes » la méthode LOPA. Dans cet ouvrage, la méthode décrite était à un
stade d’avancement préliminaire, mais était déjà proposée comme alternative pour déterminer le
niveau de SIL des SIF.
--en 1997, lors du congrès international à Atlanta ,CCPs, a publié un ouvrage présentant la méthode
LOPA ,
En parallèle, en Europe et aux États-Unis, les normes relatives au SIL (respectivement les normes IEC
61508/61511 et ISA S84.01) étaient en pleine évolution et dans leurs premières versions, aucune de ces
normes ne recommandait la méthode LOPA pour déterminer le niveau de SIL des SIF.
-en 2001 l’ouvrage « Layer Of Protection Analysis » (LOPA) [1].
De ce fait, la méthode LOPA est souvent considérée comme une méthode d’analyse de risques récente.
Objectif de la méthode
– un événement initiateur ;
– une conséquence.
L’un des principes de base de la méthode est qu’un scénario doit être composé d’un
unique couple événement initiateur/ conséquence. Dans le cas où un même
événement initiateur peut mener à différentes conséquences, il est alors nécessaire
de définir autant de scénarios que de conséquences.
Un scénario peut, en plus des deux éléments définis précédemment, inclure :
– des conditions de réalisation qui correspondent à des conditions nécessaires pour
que l’événement initiateur puisse aboutir à la conséquence envisagée ;
– la défaillance des barrières de sécurité mises en place vis-à-vis du scénario
d’accident.
Fréquences d’occurrence d’un événement initiateur ;
Déroulement d’une revue LOPA
1/ Compétences nécessaires
La LOPA est une méthode d’analyse de risques menée en groupe de travail
pluridisciplinaire. Dans l’idéal, le groupe doit être composé de représentants des
disciplines suivantes :
– sécurité ;
– instrumentation ;
– procédé ;
– maintenance et inspection ;
– exploitation.
La revue LOPA doit nécessairement être menée en groupe de travail car l’expertise
de chaque discipline est nécessaire.
Le groupe de travail est généralement piloté par un chairman (animateur de la
revue) qui connaît bien la méthodologie. Le chairman est en charge de conduire la
revue, c’est-à-dire d’organiser les « échanges » entre les différents membres. Ces
échanges sont formalisés sous la forme de tableau d’analyse ,
- Processus général de la méthode
Les principales étapes de la méthode LOPA sont décrites sur la figure suivante :
Comme pour toutes les méthodes d’analyse de risques, il est important :
– que toutes les phases d’exploitation de l’installation soient étudiées (démarrage,
arrêt programmé, fonctionnement nominal, etc.) ;
– que toutes les causes pouvant mener à un événement initiateur soient identifiées
et étudiées séparément car les barrières et IPL valorisables ne seront pas
nécessairement les mêmes.
Quelques rappels sur la notion de barrière de sécurité
1 Différents types de barrières
La maîtrise des risques repose en partie sur la performance des barrières de sécurité
mises en oeuvre. Celles-ci sont mises en place dans le but :
– de réduire la probabilité ou fréquence d’occurrence d’un scénario d’accident (on parle
alors de barrières de prévention) ;
– de réduire l’intensité des effets associés à un scénario d’accident (on parle alors de
barrières de mitigation ou protection).
les barrières de sécurité doivent correspondre à l’une des trois catégories:
– les barrières humaines ;
– les barrières techniques ;
– les systèmes à action manuelle de sécurité (SAMS).
Les barrières techniques regroupent les systèmes instrumentés de sécurité (SIS) et les
dispositifs de sécurité actifs et passifs.
les barrières de sécurité doivent correspondre à l’une des trois catégories:
– les barrières humaines ;
– les barrières techniques ;
– les systèmes à action manuelle de sécurité (SAMS).
Les barrières techniques regroupent les systèmes instrumentés de sécurité (SIS) et les
dispositifs de sécurité actifs et passifs.
1.5 Principe des couches de protection
1.5.1 Description des différentes couches de protection
Dans une optique de réduction des risques, les industriels sont amenés à mettre en
place différentes barrières prévues, soit pour prévenir l’apparition d’un accident
(barrière de prévention), soit pour en limiter les conséquences (barrière de mitigation
et de protection).
À ce titre, la méthode LOPA introduit le concept de « couches de protection »
présenté en figure 3 , Ce concept repose sur le principe que les moyens mis en oeuvre
dans le but de réduire les risques sont nombreux et diversifiés. Ces différents moyens
sont prévus pour intervenir de manière graduelle dans le temps. En d’autres termes,
ces différentes couches vont être « sollicitées » tour à tour avec pour objectif de «
stopper » le déroulement du scénario d’accident ou d’en réduire les effets. Au regard
de la figure 3
, la méthode LOPA définit huit couches de protection :
1. correspond à la conception de procédés « sûrs » et la conception des équipements qui
contribuent à réduire de manière significative les risques ;
2. correspond à la conduite du procédé dont le but est de détecter l’apparition de dérives
(augmentation du niveau dans une capacité, par exemple) afin de mettre en place des
actions permettant de contrer cette dérive (régulation du débit d’alimentation de la
capacité, par exemple) ;
3. correspond aux alarmes et interventions humaines dont le but est d’alerter de l’atteinte
d’une valeur seuil, signe précurseur d’un défaut dans la conduite du procédé. Dans le cas où
la conduite est gérée depuis une salle de contrôle, des actions humaines peuvent
être tentées pour rétablir le procédé dans des conditions sûres ;
4. correspond aux systèmes instrumentés de sécurité (SIS) dont le but est de mettre le
procédé dans un état sûr en cas de dépassement de valeurs seuils (par exemple, niveau haut
ou très haut de sécurité) ;
5. correspond à des sécurités physiques dont le but est d’assurer la mise en sécurité du
procédé par une action mécanique (par exemple, ouverture de soupapes d’une capacité en
cas de pression interne supérieure à la pression de tarage des soupapes) ;
6. correspond aux protections post-décharge dont le but est de permettre de limiter des
conséquences dans le cas où la survenue de l’événement redouté ne pourrait être évitée (par
exemple, la cuvette de rétention qui a pour objectif de limiter la surface de la nappe formée
consécutivement à un épandage de liquide) ;
7. correspond aux plans d’urgence internes à un site dont le but est de déployer des moyens
d’intervention et de secours en cas d’accident (par exemple, l’intervention des camions de
lutte incendie propres à un site pour lutter contre un incendie) ;
8. correspond aux plans d’intervention dont le but est de réduire l’exposition des cibles à un
phénomène dangereux. Ces plans peuvent être déployés vis-à-vis de phénomènes dangereux
dont la cinétique peut permettre d’envisager une évacuation des cibles
Notion de couche de protection indépendante
La méthode LOPA introduit la notion de couche de protection indépendante
( Independant Protection Layer [IPL]). La définition donnée par le CCPs dans l’ouvrage
[1] au chapitre 6 est la suivante :
Une couche de protection indépendante (IPL) correspond à un équipement, un
système ou une action capable de prévenir la survenue des conséquences associées à
un scénario d’accident. Elle doit être indépendante de l’événement initiateur mais
aussi de toutes les autres couches de protection associées au scénario
.
La notion « d’efficacité » utilisée par la CCPs dans [1] doit être précisée afin d’éviter
les erreurs d’interprétation liées à la traduction. En effet, pour le CCPs, ce terme
englobe plusieurs critères de performances à savoir :
– l’efficacité ;
– le temps de réponse ;
– la probabilité de défaillance.
Si pour une barrière, l’un de ces trois critères ne peut pas être vérifié, le CCPs
recommande alors de ne pas la retenir en tant que IPL.
1.6 Critères de performance des barrières
1.6.1 Définitions des critères de performance
Quels que soient le nombre et la nature des barrières mises en place, il existera toujours un
scénario d’accident. En d’autres termes, malgré toutes les mesures de prévention et
protection qu’il est possible de mettre en oeuvre, le « risque zéro » n’existe pas. En effet, les
barrières n’ont pas pour finalité de supprimer les risques, mais uniquement d’en réduire la
criticité. Lorsque des barrières de sécurité sont mises en place vis-à-vis d’un scénario, ce
dernier ne peut survenir que dans le cas où l’ensemble des barrières ne remplissent pas leur
fonction de sécurité. Plusieurs causes peuvent expliquer qu’une barrière ne remplisse pas sa
fonction de sécurité :
– la barrière est défaillante ;
– la barrière remplit sa fonction de manière trop tardive ;
– la barrière n’est pas efficace.
Pour chacune de ces causes, il existe un critère d’évaluation qui permet de juger de la
performance d’une barrière :
– la probabilité de défaillance ;
– le temps de réponse ;
– l’efficacité.
Pour plus de détails sur ces trois critères de performance, le lecteur pourra se référer au
guide OMEGA 10 de l’INERIS [3]. Quelques rappels nécessaires à la bonne compréhension et
application de la méthode LOPA sont néanmoins présentés dans cet article.
1.6.1.1 Probabilité de défaillance
Deux notions doivent être différenciées :
• La probabilité de défaillance à la sollicitation PFD (t ) : probabilité
sur l’intervalle [0, t ] qu’un système ne remplisse la fonction
pour laquelle il est conçu à l’instant t où il est sollicité. Cette probabilité
s’exprime comme suit :
La fréquence d’occurrence résiduelle du scénario étant supérieure à la fréquence cible (RRF >
1), il est possible d’en conclure que la SIF proposée en action du scénario 1 ne permet pas de
justifier pour le scénario 2 d’un risque acceptable. Une possibilité est alors de proposer
de modifier la conception de la SIF (redondance de capteurs et/ou d’actionneurs) afin
d’obtenir un niveau de SIL plus élevé. Le schéma de principe pour cette nouvelle SIF est
présentée en figure 16. La proposition faite est donc de mettre en place une fonction
instrumentée de sécurité (SIF) de niveau SIL 2 composée par :
– deux transmetteurs de niveau LT2 et LT3 indépendants de LT1 (en redondance 1oo2) ;
– un automate programmable de sécurité (APS) ;
– deux vannes de sécurité permettant d’isoler l’alimentation du ballon FSV1 et FSV2 (en
redondance 1oo2). Supposons que le calcul de la PFD à l’aide des formules proposées
dans la norme IEC 61511 aboutisse à une valeur de
4 × 10–3/sollicitation. La fréquence résiduelle du scénario 2 avec
prise en compte de cette SIF serait égale à :