Méthodes d'analyse de la sécurité

des systèmes 2
méthode d’analyse des risques :LOPA
Enseignant : Abdelkarim SLIMANI
Introduction

La méthode LOPA a été développée à la fin des années 1990 par le CCPS
( center for chemical process).
L’analyse des couches de protection ou LOPA (Layer of Protection Analysis)
est une méthode structurée pour calculer l’objectif de réduction du risque
et les niveaux SIL cible.
L’analyse LOPA se déroule de manière similaire à une étude HAZOP.
Les dangers potentiels sont généralement identifiés au moyen de
l’approche HAZOP, et sont importés dans les fiches LOPA, afin de
maintenir un lien traçable entre les deux analyses allant de l’identification
des risques jusqu’à la prescription de réduction du risque et au niveau SIL
cible. L’analyse LOPA peut être réalisée sous forme d’extension de la
réunion HAZOP car il existe une progression naturelle de l’une à l’autre.
Origines de la méthode
La genèse de la méthode LOPA est faite par le CPPS , la méthode LOPA trouve ses origines dans deux
publications :
– à la fin des années 1980, le Chemical Manufacturers Association (maintenant American Chemistry
Council ) publie « Responsible Care Process Safety Code of Management Practices » qui introduit la
notion de couches de protection et qui recommande de les prendre en considération dans le cadre du
système de management ;
– en 1993, le Center of Chemical Process Safety (CCPs) introduisait dans le « Guidelines for Safe
Automation of Chemical Processes » la méthode LOPA. Dans cet ouvrage, la méthode décrite était à un
stade d’avancement préliminaire, mais était déjà proposée comme alternative pour déterminer le
niveau de SIL des SIF.
--en 1997, lors du congrès international à Atlanta ,CCPs, a publié un ouvrage présentant la méthode
LOPA ,
En parallèle, en Europe et aux États-Unis, les normes relatives au SIL (respectivement les normes IEC
61508/61511 et ISA S84.01) étaient en pleine évolution et dans leurs premières versions, aucune de ces
normes ne recommandait la méthode LOPA pour déterminer le niveau de SIL des SIF.
-en 2001 l’ouvrage « Layer Of Protection Analysis » (LOPA) [1].
De ce fait, la méthode LOPA est souvent considérée comme une méthode d’analyse de risques récente.
 Objectif de la méthode

La méthode LOPA est une méthode semi-quantitative développée dans l’optique :

– de juger de l’adéquation entre les barrières mises en oeuvre et le niveau de risque
visé ;

– de statuer sur le besoin de mise en oeuvre de nouvelles barrières ;

– de définir les « exigences » minimales sur la probabilité de défaillance des barrières
à mettre en place dans le cas où les barrières existantes ne permettraient pas de
justifier d’un risque acceptable ;

– d’évaluer la fréquence d’occurrence résiduelle d’un scénario

d’accident.
Application de la méthode
La méthode LOPA trouve plusieurs applications :
– compléter l’analyse menée dans l’HAZOP si le groupe de travail considère le scénario
trop complexe ou que les conséquences sont trop importantes ;
– déterminer les niveaux de SIL requis pour les fonctions instrumentées de sécurité (SIF) ;
– évaluer l’impact de la modification du procédé ou des barrières de sécurité ;
– analyser de manière plus détaillée certains scénarios d’accidents.
un scénario est jugé complexe en cas de doute :
– sur la compréhension du déroulement du scénario identifié ;
– sur l’indépendance des barrières valorisées.
Aujourd’hui, le retour d’expérience montre que la méthode LOPA est principalement
utilisée dans le cadre de l’application des normes SIL (IEC ou ISA). En revanche, les
propositions de mise en place de barrières supplémentaires dans le but de réduire un
risque ne doivent pas se limiter aux seules SIF.
Condition d’application de LOPA

La première étape de l l’application de la méthode LOPA consiste à définir le scénario

d’accident. Un scénario est composé a minima de deux éléments :

– un événement initiateur ;
– une conséquence.

L’un des principes de base de la méthode est qu’un scénario doit être composé d’un
unique couple événement initiateur/ conséquence. Dans le cas où un même
événement initiateur peut mener à différentes conséquences, il est alors nécessaire
de définir autant de scénarios que de conséquences.
Un scénario peut, en plus des deux éléments définis précédemment, inclure :
– des conditions de réalisation qui correspondent à des conditions nécessaires pour
que l’événement initiateur puisse aboutir à la conséquence envisagée ;
– la défaillance des barrières de sécurité mises en place vis-à-vis du scénario
d’accident.
Fréquences d’occurrence d’un événement initiateur ;
Déroulement d’une revue LOPA
1/ Compétences nécessaires
La LOPA est une méthode d’analyse de risques menée en groupe de travail
pluridisciplinaire. Dans l’idéal, le groupe doit être composé de représentants des
disciplines suivantes :
– sécurité ;
– instrumentation ;
– procédé ;
– maintenance et inspection ;
– exploitation.
La revue LOPA doit nécessairement être menée en groupe de travail car l’expertise
de chaque discipline est nécessaire.
Le groupe de travail est généralement piloté par un chairman (animateur de la
revue) qui connaît bien la méthodologie. Le chairman est en charge de conduire la
revue, c’est-à-dire d’organiser les « échanges » entre les différents membres. Ces
échanges sont formalisés sous la forme de tableau d’analyse ,
- Processus général de la méthode
Les principales étapes de la méthode LOPA sont décrites sur la figure suivante :
Comme pour toutes les méthodes d’analyse de risques, il est important :
– que toutes les phases d’exploitation de l’installation soient étudiées (démarrage,
arrêt programmé, fonctionnement nominal, etc.) ;
– que toutes les causes pouvant mener à un événement initiateur soient identifiées
et étudiées séparément car les barrières et IPL valorisables ne seront pas
nécessairement les mêmes.
 Quelques rappels sur la notion de barrière de sécurité
1 Différents types de barrières
La maîtrise des risques repose en partie sur la performance des barrières de sécurité
mises en oeuvre. Celles-ci sont mises en place dans le but :
– de réduire la probabilité ou fréquence d’occurrence d’un scénario d’accident (on parle
alors de barrières de prévention) ;
– de réduire l’intensité des effets associés à un scénario d’accident (on parle alors de
barrières de mitigation ou protection).
les barrières de sécurité doivent correspondre à l’une des trois catégories:
– les barrières humaines ;
– les barrières techniques ;
– les systèmes à action manuelle de sécurité (SAMS).
Les barrières techniques regroupent les systèmes instrumentés de sécurité (SIS) et les
dispositifs de sécurité actifs et passifs.
les barrières de sécurité doivent correspondre à l’une des trois catégories:
– les barrières humaines ;
– les barrières techniques ;
– les systèmes à action manuelle de sécurité (SAMS).
Les barrières techniques regroupent les systèmes instrumentés de sécurité (SIS) et les
dispositifs de sécurité actifs et passifs.
1.5 Principe des couches de protection
1.5.1 Description des différentes couches de protection
Dans une optique de réduction des risques, les industriels sont amenés à mettre en
place différentes barrières prévues, soit pour prévenir l’apparition d’un accident
(barrière de prévention), soit pour en limiter les conséquences (barrière de mitigation
et de protection).
À ce titre, la méthode LOPA introduit le concept de « couches de protection »
présenté en figure 3 , Ce concept repose sur le principe que les moyens mis en oeuvre
dans le but de réduire les risques sont nombreux et diversifiés. Ces différents moyens
sont prévus pour intervenir de manière graduelle dans le temps. En d’autres termes,
ces différentes couches vont être « sollicitées » tour à tour avec pour objectif de «
stopper » le déroulement du scénario d’accident ou d’en réduire les effets. Au regard
de la figure 3
, la méthode LOPA définit huit couches de protection :
1. correspond à la conception de procédés « sûrs » et la conception des équipements qui
contribuent à réduire de manière significative les risques ;
2. correspond à la conduite du procédé dont le but est de détecter l’apparition de dérives
(augmentation du niveau dans une capacité, par exemple) afin de mettre en place des
actions permettant de contrer cette dérive (régulation du débit d’alimentation de la
capacité, par exemple) ;
3. correspond aux alarmes et interventions humaines dont le but est d’alerter de l’atteinte
d’une valeur seuil, signe précurseur d’un défaut dans la conduite du procédé. Dans le cas où
la conduite est gérée depuis une salle de contrôle, des actions humaines peuvent
être tentées pour rétablir le procédé dans des conditions sûres ;
4. correspond aux systèmes instrumentés de sécurité (SIS) dont le but est de mettre le
procédé dans un état sûr en cas de dépassement de valeurs seuils (par exemple, niveau haut
ou très haut de sécurité) ;
5. correspond à des sécurités physiques dont le but est d’assurer la mise en sécurité du
procédé par une action mécanique (par exemple, ouverture de soupapes d’une capacité en
cas de pression interne supérieure à la pression de tarage des soupapes) ;
6. correspond aux protections post-décharge dont le but est de permettre de limiter des
conséquences dans le cas où la survenue de l’événement redouté ne pourrait être évitée (par
exemple, la cuvette de rétention qui a pour objectif de limiter la surface de la nappe formée
consécutivement à un épandage de liquide) ;
7. correspond aux plans d’urgence internes à un site dont le but est de déployer des moyens
d’intervention et de secours en cas d’accident (par exemple, l’intervention des camions de
lutte incendie propres à un site pour lutter contre un incendie) ;
8. correspond aux plans d’intervention dont le but est de réduire l’exposition des cibles à un
phénomène dangereux. Ces plans peuvent être déployés vis-à-vis de phénomènes dangereux
dont la cinétique peut permettre d’envisager une évacuation des cibles
Notion de couche de protection indépendante
La méthode LOPA introduit la notion de couche de protection indépendante
( Independant Protection Layer [IPL]). La définition donnée par le CCPs dans l’ouvrage
[1] au chapitre 6 est la suivante :
Une couche de protection indépendante (IPL) correspond à un équipement, un
système ou une action capable de prévenir la survenue des conséquences associées à
un scénario d’accident. Elle doit être indépendante de l’événement initiateur mais
aussi de toutes les autres couches de protection associées au scénario
.
La notion « d’efficacité » utilisée par la CCPs dans [1] doit être précisée afin d’éviter
les erreurs d’interprétation liées à la traduction. En effet, pour le CCPs, ce terme
englobe plusieurs critères de performances à savoir :
– l’efficacité ;
– le temps de réponse ;
– la probabilité de défaillance.
Si pour une barrière, l’un de ces trois critères ne peut pas être vérifié, le CCPs
recommande alors de ne pas la retenir en tant que IPL.
1.6 Critères de performance des barrières
1.6.1 Définitions des critères de performance
Quels que soient le nombre et la nature des barrières mises en place, il existera toujours un
scénario d’accident. En d’autres termes, malgré toutes les mesures de prévention et
protection qu’il est possible de mettre en oeuvre, le « risque zéro » n’existe pas. En effet, les
barrières n’ont pas pour finalité de supprimer les risques, mais uniquement d’en réduire la
criticité. Lorsque des barrières de sécurité sont mises en place vis-à-vis d’un scénario, ce
dernier ne peut survenir que dans le cas où l’ensemble des barrières ne remplissent pas leur
fonction de sécurité. Plusieurs causes peuvent expliquer qu’une barrière ne remplisse pas sa
fonction de sécurité :
– la barrière est défaillante ;
– la barrière remplit sa fonction de manière trop tardive ;
– la barrière n’est pas efficace.
Pour chacune de ces causes, il existe un critère d’évaluation qui permet de juger de la
performance d’une barrière :
– la probabilité de défaillance ;
– le temps de réponse ;
– l’efficacité.
Pour plus de détails sur ces trois critères de performance, le lecteur pourra se référer au
guide OMEGA 10 de l’INERIS [3]. Quelques rappels nécessaires à la bonne compréhension et
application de la méthode LOPA sont néanmoins présentés dans cet article.
1.6.1.1 Probabilité de défaillance
Deux notions doivent être différenciées :
• La probabilité de défaillance à la sollicitation PFD (t ) : probabilité
sur l’intervalle [0, t ] qu’un système ne remplisse la fonction
pour laquelle il est conçu à l’instant t où il est sollicité. Cette probabilité
s’exprime comme suit :

• La probabilité de défaillance moyenne à la sollicitation PFDavg :

valeur moyenne de la probabilité de défaillance à la sollicitation PFD (t ) par rapport
à la période de temps séparant deux tests notée TI. Cette probabilité s’exprime
comme suit :
1.6.1.2 Temps de réponse
Le temps de réponse correspond à l’intervalle de temps entre le moment où une barrière
de sécurité est sollicitée et le moment où elle remplit dans son intégralité la fonction de
sécurité. Le temps de réponse doit donc intégrer le temps nécessaire :
– au fonctionnement du (ou des) dispositif(s) de détection (une fois sollicité) ;
– à la transmission et au traitement de l’information envoyée par les dispositifs de
détection ;
– à la réalisation de l’action de sécurité (par exemple, fermeture de dispositifs d’isolement,
arrêt d’une pompe, etc.).
Pour évaluer le temps d’une réponse d’une barrière, il existe deux manières de procéder :
– la mesure « réelle » sur site ;
– l’évaluation « théorique » à partir des données fournies par les constructeurs ou par
utilisation du retour d’expérience.
Pour une barrière existante, dès que possible, la mesure sur site est conseillée car elle
permet de mesurer le temps de réponse réel de la barrière.
Pour une nouvelle barrière prévue en phase de projet, il faut alors procéder par une
évaluation « théorique ». Lorsque la barrière est composée de plusieurs éléments, le temps
de réponse de la barrière est obtenu par sommation des temps de réponse associés à
chacun des éléments.
1.6.1.3 Efficacité
L’efficacité correspond à la capacité d’une barrière de sécurité à remplir la fonction de
sécurité pour laquelle elle a été mise en place. L’efficacité doit être évaluée vis-à-vis
d’un scénario d’accident précis, car une même barrière pourra avoir une efficacité
différente en fonction de l’intensité de l’événement initiateur qui « sollicite » cette
barrière. Généralement, l’efficacité est exprimée sous la forme d’un pourcentage qui
correspond au pourcentage d’accomplissement de la fonction de sécurité. Le plus
souvent, lorsqu’une barrière est bien dimensionnée, l’efficacité est égale à 100 %.
1.7 Principales étapes de la méthode
1.7.1 Principales étapes de la méthode
La méthode a pour vocation d’évaluer la fréquence annuelle résiduelle d’accident. Pour
ce faire, il est alors nécessaire de pouvoir quantifier les fréquences d’occurrence des
événements initiateurs et les probabilités de défaillances de chaque couche de
protection.
Les principales étapes de la méthode LOPA sont les suivantes :
1. sélection d’un scénario d’accident ;
2. identification de l’ensemble des événements initiateurs pouvant être à l’origine du
scénario d’accident ;
3. évaluation de la gravité des conséquences associées au scénario d’accident ;
4. identification de l’ensemble des mesures (ou couches de protection) qui permettent
de prévenir du déroulement du scénario d’accident ;
5. évaluation de la fréquence des événements initiateurs ;
6. évaluation des probabilités de défaillances à la sollicitation allouées aux différentes
mesures ;
7. évaluation de la fréquence d’occurrence du scénario d’accident en prenant en
compte le facteur de réduction lié aux mesures mises en place (fréquence résiduelle) ;
8. définition des besoins en
1.11 Évaluation de la fréquence
d’occurrence résiduelle du scénario
L’évaluation de la fréquence d’occurrence résiduelle du scénario d’accident nécessite
au préalable :
– d’avoir quantifié les fréquences d’occurrence des différents initiateurs pouvant
mener à la conséquence identifiée ;
– d’avoir quantifié les probabilités de défaillance des IPL identifiées vis-à-vis du
scénario d’accident.
Dans le cas particulier des scénarios d’accident ayant pour conséquence la mise à
l’atmosphère de produit inflammable, il est alors nécessaire de pouvoir évaluer la
probabilité d’inflammation.
Plus précisément, ce sont généralement deux probabilités qui doivent être définies :
– la probabilité d’inflammation immédiate (Pim) ;
– la probabilité d’inflammation retardée (Pret).
Nota : le lecteur pourra se référer à l’article [SE 4 020] pour plus d’informations sur
l’évaluation des probabilités d’inflammation.
Dans [1], l’évaluation des probabilités d’inflammation immédiate et retardée est peu
développée. Le CCPs conseille d’utiliser des arbres de décision « types » lors des revues
LOPA pour orienter les choix du groupe de travail.
En fonction des critères retenus pour estimer le niveau de gravité à associer à la
conséquence du scénario, d’autres paramètres pourront être inclus dans le calcul de la
fréquence résiduelle :
– la probabilité de présence du personnel dans la zone exposée à la conséquence (si
l’évaluation de la gravité est faite en fonction du nombre de personnes impactées) ;
– la probabilité de blessure ou de mort en fonction du seuil et de la durée d’exposition à
un effet (surpression, toxique ou thermique).
Le tableau 13 résume les différentes formules de calcul qui peuvent être utilisées pour
estimer la fréquence d’occurrence résiduelle d’un scénario. Pour illustrer les différentes
formules, nous considérerons que le scénario étudié génère une fuite à l’atmosphère
Exemple d’application
Afin d’illustrer l’application de la méthode LOPA, l’exemple simplifié présenté ci-
après est retenu. Cet exemple s’intéresse à un ballon de récupération de résidus
d’hydrocarbures. La figure 12 présente un schéma de principe du cas étudié.
L’alimentation du ballon est gérée par l’intermédiaire d’une boucle de régulation
composée par :
– une mesure du niveau par l’intermédiaire du transmetteur LT1 ;
– un traitement logique assuré par le BPCS ;
– une vanne de contrôle de débit FCV.
Pour ce ballon, deux scénarios d’accident ont été identifiés lors de l’HAZOP comme
devant faire l’objet d’une analyse plus détaillée :
– scénario 1 : émission d’hydrocarbure à la soupape suite à la défaillance de la
boucle de régulation du niveau avec atteinte au personnel suite à inflammation ;
– scénario 2 : épandage massif d’hydrocarbure avec atteinte de cibles à l’extérieur
du site suite à inflammation liée à la perte de confinement du ballon TK 100 causée
par une surpression hydraulique suite à une défaillance de la boucle de régulation.
Analyse du scénario 1
Vis-à-vis de ce scénario, aucune IPL n’est valorisable puisque l’événement initiateur à
l’origine de l’émission d’hydrocarbure à la soupape est la défaillance de la boucle de
régulation. Le scénario d’accident est représenté en figure 13. L’analyse de ce scénario
est résumée dans le tableau 14.
En se référant aux formules présentées dans le tableau 13, la fréquence d’occurrence
du scénario (ou de la conséquence) peut s’évaluer comme suit :
Pour ce scénario, les valeurs suivantes sont retenues :
(en accord avec la valeur proposée dans [1] pour la défaillance d’une boucle de régulation
gérée par un BPCS).
PInflammation = 0,1 (on suppose ici que l’hydrocarbure émis à la soupape reste
circonscrit dans une zone où la maîtrise des sources d’inflammation est assurée).
PPrésence = 0,2 (on suppose ici que pendant 20 % du temps, la présence de personnel est
possible sur la zone).
PBlessure = 1 (on suppose ici qu’un opérateur exposé au flux thermique sera
systématiquement blessé, hypothèse conservative).
En se référant aux critères d’acceptabilité de l’industriel, supposons que la fréquence
cible soit de 10–4/an. La fréquence d’occurrence étant supérieure à la fréquence cible, il
est alors possible de déterminer le facteur de réduction du risque (RRF) qui permettrait
de rendre ce risque acceptable. Ce facteur se calcule comme suit :
 Pour assurer ce RRF, il faut alors proposer la mise en place d’une barrière de
sécurité qui soit une IPL et que la probabilité de défaillance soit donc inférieure ou
égale à 1/RRF. On en déduit alors que la PFD de l’IPL à proposer ne doit pas
dépasser 5 × 10–2.
Pour répondre à cet objectif, la proposition faite est donc de mettre en place un
système instrumenté de sécurité de niveau SIL 1 composé par :
– un transmetteur de niveau LT2 indépendant de LT1 ;
– un automate programmable de sécurité (APS) ;
– une vanne de sécurité permettant d’isoler l’alimentation du ballon (FSV).
Cette IPL est représentée en figure 15.
Supposons que le calcul de la PFD à l’aide des formules proposées dans la norme
IEC 61511 aboutisse à une valeur de 2 × 10–2/sollicitation. La fréquence résiduelle
du scénario avec prise en compte de l’IPL serait donc égale à :

La fréquence d’occurrence résiduelle du scénario étant inférieure à la fréquence

cible, il est alors possible d’en conclure que le SIS proposé permet bien de justifier
d’un risque acceptable. En supposant que la mise en place de ce SIS soit validée par
l’industriel, il pourra être valorisé dans le cadre de l’analyse des autres scénarios
d’accident.
Analyse du scénario 2
Vis-à-vis de ce scénario, comme pour le scénario 1, l’événement initiateur est la
défaillance de la boucle de régulation ; par conséquent le BPCS ne peut pas être
valorisé en tant qu’ILP. En revanche, la SIF préconisée vis-à-vis du scénario d’accident
1 est valorisable comme IPL. De plus, après vérification du dimensionnement
de la soupape, il apparaît que celle-ci est capable d’évacuer le débit d’alimentation
liquide. De ce fait, elle est aussi retenue comme IPL. Le scénario d’accident est
représenté en figure 14. L’analyse de ce scénario est résumée dans le tableau 15.Pour
ce scénario, les valeurs suivantes sont retenues :
(en accord avec la valeur proposée dans [1] pour la défaillance d’une boucle de
régulation gérée par un BPCS).
PInflammation = 0,9 (on suppose ici un épandage massif d’hydrocarbure
non circonscrit dans une zone où la maîtrise des sources
d’inflammation est assurée).
PFD (IPL 1) = 2 × 10–2
PFD (IPL 2) = 1 × 10–2
PPrésence = 0,2 (on suppose ici que pendant 20 % du temps, la présence de
personnel est possible sur la zone).
PBlessure = 1 (on suppose ici qu’un opérateur exposé au flux thermique sera
systématiquement blessé, hypothèse conservative).
 En se référant aux critères d’acceptabilité de l’industriel, supposons que la fréquence cible
soit de 10–6/an. La fréquence d’occurrence étant supérieure à la fréquence cible, il est
alors possible de déterminer le facteur de réduction du risque (RRF) qui permettrait
de rendre ce risque acceptable. Ce facteur se calcule comme suit :

La fréquence d’occurrence résiduelle du scénario étant supérieure à la fréquence cible (RRF >
1), il est possible d’en conclure que la SIF proposée en action du scénario 1 ne permet pas de
justifier pour le scénario 2 d’un risque acceptable. Une possibilité est alors de proposer
de modifier la conception de la SIF (redondance de capteurs et/ou d’actionneurs) afin
d’obtenir un niveau de SIL plus élevé. Le schéma de principe pour cette nouvelle SIF est
présentée en figure 16. La proposition faite est donc de mettre en place une fonction
instrumentée de sécurité (SIF) de niveau SIL 2 composée par :
– deux transmetteurs de niveau LT2 et LT3 indépendants de LT1 (en redondance 1oo2) ;
– un automate programmable de sécurité (APS) ;
– deux vannes de sécurité permettant d’isoler l’alimentation du ballon FSV1 et FSV2 (en
redondance 1oo2). Supposons que le calcul de la PFD à l’aide des formules proposées
dans la norme IEC 61511 aboutisse à une valeur de
4 × 10–3/sollicitation. La fréquence résiduelle du scénario 2 avec
prise en compte de cette SIF serait égale à :

La fréquence d’occurrence résiduelle du scénario étant inférieure à la fréquence

cible, il est alors possible d’en conclure que la SIF proposée permet bien de
justifier d’un risque acceptable. En remplaçant la SIF préconisée vis-à-vis du
scénario 1 par la SIF définie précédemment, la fréquence d’occurrence du
scénario 1 serait alors de 8 × 10–6/an.
Merci pour votre attention