RAPPORT DTUDE 01/09/2008 N DRA-08-95403-01561B

Evaluation des performances des Barrires Techniques de Scurit (DCE DRA-73) Evaluation des Barrires Techniques de Scurit - 10

rf : DRA-08-95403-01561B - -10 Page 1 sur 59

Evaluation des performances des Barrires Techniquesde Scurit (DCE DRA-73)

Evaluation des Barrires Techniques de Scurit - 10

Direction des Risques Accidentels

Unit Evaluation Quantitative des Risques

Client : MINISTERE DE L'ECOLOGIE, DE L'ENERGIE, DU DEVELOPPEMENT DURABLE ET DEL'AMENAGEMENT DU TERRITOIRE (MEEDDAT)

Liste des personnes ayant particip ltude : Nguyen Thuy LE, Ahmed ADJADJ,Sylvain CHAUMETTE, Sbastien BOUCHET, Valrie DE DIANOUS.

rf : DRA-08-95403-01561B - -10 Page 3 sur 59

REPERTOIRE DES MODIFICATIONS

Rvision Relecture Application Modifications

Version 1 Fvrier 2005 Version 1 du document

Version 2 Septembre 2008 Version 2 du document

rf : DRA-08-95403-01561B - -10 Page 5 sur 59

TABLE DES MATIERES

1 GLOSSAIRE ET DFINITIONS ....................................................................... 7

2 OBJECTIFS ET DOMAINE D'APPLICATION ................................................. 92.1 Contexte gnral .......................................................................................... 92.2 Objectifs........................................................................................................ 92.3 Domaine dapplication ................................................................................ 102.4 Organisation du document.......................................................................... 12

3 TYPES DE BARRIRES TECHNIQUES DE SCURIT .............................. 133.1 Dispositifs de scurit................................................................................. 133.2 Systmes Instruments de Scurit (SIS) .................................................. 143.2.1 Sous-fonction de scurit "dtection".......................................................153.2.2 Sous-fonction de scurit "traitement de linformation" ............................163.2.3 Sous-fonction de scurit "action"............................................................163.2.4 Communications entre les lments dun SIS..........................................17

3.3 Systme action manuelle de scurit ...................................................... 17

4 VALUATION DES BARRIRES TECHNIQUES DE SCURIT DISPOSITIFS ACTIFS ET SYSTMES INSTRUMENTS DE SCURIT ... 19

4.1 Rappel succinct de lapproche barrire....................................................... 194.2 Identification des Barrires Techniques de scurit : critres minimaux .... 194.3 Critre efficacit.......................................................................................... 204.3.1 Principe de dimensionnement adapt : ....................................................214.3.2 Principe de rsistance aux contraintes spcifiques : ................................224.3.3 Positionnement : ......................................................................................23

4.4 Critre temps de rponse ........................................................................... 234.5 Niveau de confiance ................................................................................... 254.5.1 Facteur de rduction de risques...............................................................254.5.2 Justification de la mthode.......................................................................274.5.3 Analyse prliminaire qualitative pour les SIS et les dispositifs actifs........284.5.4 Principe d'allocation des NC.....................................................................304.5.5 Evaluation des NC des systmes partir de donnes unitaires cas des

dispositifs actifs et SIS .............................................................................344.6 Agrgation des performances du SIS ......................................................... 374.7 Agrgation des performances des diffrentes fonctions de scurit........... 384.8 Sources documentaires .............................................................................. 38

rf : DRA-08-95403-01561B - -10 Page 6 sur 59

5 VALUATION DES DISPOSITIFS ET BARRIRES PASSIVES .................. 395.1 Introduction ................................................................................................. 395.2 Evaluation des performances du dispositif passif (assurant seul une fonction

de scurit) ................................................................................................. 395.2.1 Principe dvaluation des dispositifs passifs.............................................395.2.2 Efficacit...................................................................................................405.2.3 Temps de rponse ...................................................................................405.2.4 Niveau de confiance.................................................................................40

5.3 Principe d'valuation des barrires de scurit "passives" ......................... 425.4 Exemple et reprsentation en arbres d'vnements................................... 445.4.1 Cas du dispositif passif.............................................................................445.4.2 Cas de la perte totale de la fonction de securit ......................................455.4.3 Cas de la perte partielle de la fonction de securit...................................45

5.5 Cas particulier du dispositif passif perdant son efficacit aprs un certaindlai ............................................................................................................ 46

6 VOLUTION DES PERFORMANCES DANS LE TEMPS (MAINTENANCE ETTESTS)........................................................................................................... 49

6.1 Maintenance ............................................................................................... 496.2 Testabilit ................................................................................................... 506.3 Gestion des modifications........................................................................... 51

7 SYNTHSE DE LVALUATION DES BTS .................................................. 537.1 Rappel des tapes de lvaluation .............................................................. 537.2 Rappel des objectifs et des limites de la mthode ...................................... 557.3 Application aux dispositifs de tout type ....................................................... 55

8 RFRENCES............................................................................................... 57

9 LISTE DES ANNEXES................................................................................... 59

rf : DRA-08-95403-01561B - -10 Page 7 sur 59

1 GLOSSAIRE ET DEFINITIONS

Barrire technique de scurit (BTS) : Ensemble d'lments techniquesncessaires et suffisants pour assurer une fonction de scurit. On les appelleaussi des Mesures de Matrise des Risques (MMR).Dispositif de scurit : Elment unitaire, autonome, ayant pour objectif de remplirune fonction de scurit, dans sa globalit. On distingue des dispositifs actifs etdes dispositifs passifs (cf 3.1).Efficacit ou capacit de ralisation : Capacit dune barrire remplir lamission/fonction de scurit qui lui est confie pendant une dure donne et dansson contexte d'utilisation. En gnral, cette efficacit s'exprime en pourcentaged'accomplissement de la fonction dfinie. Ce pourcentage peut varier pendant ladure de sollicitation de la barrire de scurit.Fonction de scurit : Fonction ayant pour but la rduction de la probabilitd'occurrence et potentiellement les effets et consquences d'un vnement nonsouhait dans un systme. Les fonctions de scurit peuvent tre assures pardes barrires techniques de scurit, des barrires humaines (activits humaines),ou plus gnralement par la combinaison des deux. Une mme fonction peut treassure par plusieurs barrires de scurit.Niveau de confiance (NC) : Le niveau de confiance est la classe de probabilitpour qu'une barrire, dans son environnement d'utilisation, n'assure pas la fonctionde scurit pour laquelle elle a t choisie. Cette classe de probabilit estdtermine pour une efficacit et un temps de rponse donns. Ce niveau deconfiance est issu des SIL (Safety Integrated Level) dfinis dans les normes NFEN 61508 et NF EN 61511.Performance des barrires : L'valuation de la performance des barriresconsiste en l'valuation de leur efficacit, de leur temps de rponse et de leurniveau de confiance. Il est tenu compte des critres maintenabilit et testabilitpermettant de garantir le niveau de performances dans le temps.Principe de concept prouv : Un quipement ou un composant est dit deconception prouve lorsqu'il est utilis depuis plusieurs annes sur des sitesindustriels et que le retour d'exprience sur son application est bon, ou qu'il a subides tests de qualification par l'utilisateur ou d'autres organismes. Ce principedoit tre utilis avec prcaution, car il n'inclut pas les facteurs autres que laconception (contexte et historique d'utilisation sur un site donn, maintenance,organisation, taux de sollicitation, etc.....).Probabilit de dfaillance lors dune sollicitation (PFD) : Elle correspond lindisponibilit du systme relatif la scurit un instant donn.Probabilit de dfaillance moyenne lors dune sollicitation (PFDavg) : Cest lavaleur moyenne de la PFD sur un intervalle de temps donn.

rf : DRA-08-95403-01561B - -10 Page 8 sur 59

Probabilit moyenne de dfaillance par heure (PFH) : Pour un systme nonrparable, elle correspond la moyenne du taux de dfaillance sur un intervalle detemps donn.Proportion de dfaillances en scurit (SFF Safe Failure Fraction) :Proportion du taux global des dfaillances alatoires de matriel dun dispositif quia comme consquence une dfaillance en scurit ou une dfaillance dangereusedtecte (cest dire dtecte par un test de diagnostic). On distingue ainsi deuxtypes de dfaillances :

Dfaillance en scurit : Dfaillance qui n'a pas la potentialit de mettre lesystme relatif la scurit dans un tat dangereux ou dans l'impossibilitd'excuter sa fonction.

Dfaillance dangereuse : Dfaillance qui a la potentialit de mettre lesystme relatif la scurit dans un tat dangereux ou dans l'impossibilitd'excuter sa fonction.

Redondance : Existence, dans un composant, de plus d'un moyen pour accomplirune fonction requise (CEI6271-1974)Systme instrument de scurit : combinaison de capteurs, d'unit detraitement et d'actionneurs (quipements de scurit) ayant pour objectif de remplirune fonction ou sous-fonction de scurit.Temps de rponse : Intervalle de temps entre la sollicitation et l'excution dansson intgralit de la mission/fonction de scurit. Ce temps de rponse est inclusdans la cintique de mise en uvre d'une fonction de scurit, cette derniredevant tre en adquation [significativement plus courte] avec la cintique duphnomne qu'elle doit matriser.

Liste des autres abrviations utilises dans ce rapport :

AMDE : Analyse des Modes de Dfaillances, de leurs Effets

API : Automate Programmable Industriel

APS : Automate Programmable de Scurit

APIdS : Automate Programmable Industriel ddi la Scurit

EIReDA : European Industry Reliability Data bank

EXERA : Association des Exploitants dEquipements de mesure, deRgulation et dAutomatisme

LOPA : Layer Of Protection Analysis

NPRD : Nonelectronic Parts Reliability Data

OREDA : Offshore Reliability Data

rf : DRA-08-95403-01561B - -10 Page 9 sur 59

2 OBJECTIFS ET DOMAINE D'APPLICATION

2.1 CONTEXTE GENERALDepuis lanne 2000, le Ministre de l'Ecologie, de l'Energie, du DveloppementDurable et de l'Amnagement du Territoire (MEEDDAT) finance un programmed'appui technique, intitul "Formalisation du savoir et des outils dans le domainedes risques majeurs" (DRA35 puis DRA76).Lobjet du premier volet de ce programme est de raliser un recueil globalformalisant lexpertise de lINERIS dans le domaine des risques accidentels. Cerecueil volutif sera constitu de diffrents rapports consacrs aux thmessuivants : les phnomnes physiques impliqus en situation accidentelle (incendie,

explosion, BLEVE), lanalyse et la matrise des risques, les aspects mthodologiques pour la ralisation de prestations rglementaires

(tude de dangers, analyse critique...).Chacun de ces documents reoit un identifiant propre du type -X afin defaciliter le suivi des diffrentes versions ventuelles du document.In fine, ces documents dcrivant les mthodes pour lvaluation et la prventiondes risques accidentels, constitueront un recueil des mthodes de travail delINERIS dans le domaine des risques accidentels.

2.2 OBJECTIFSEn France, la politique de prvention des risques technologiques reposeprincipalement sur la rglementation des Installations Classes sappuyant sur lecode de lenvironnement, modifi par la loi du 30 juillet 2003 relative laprvention des risques technologiques et naturels et la rparation desdommages (JO du 31 juillet 2003).Cette nouvelle loi introduit au niveau rglementaire1 le principe dune tude dedangers base sur une analyse de risque qui doit caractriser non seulement lagravit potentielle, mais aussi la probabilit doccurrence des accidents.Lvaluation de ces paramtres ncessite une analyse des barrires de scurittechniques et humaines, appeles aussi mesures de matrise des risques. Ainsil'article 4 de l'arrt du 29 septembre 2005 prcise "pour tre prises en comptedans l'valuation de la probabilit, des mesures de matrise des risques doiventtre efficaces, avoir une cintique de mise en uvre en adquation avec celle desvnements matriser, tre testes, maintenues de faon garantir la prennitdu positionnement prcit".

1 Arrt ministriel du 29 septembre 2005 relatif lvaluation et la prise en compte de laprobabilit, de la cintique, de l'intensit des effets et de la gravit des consquences des accidentspotentiels dans les installations soumises autorisation.

rf : DRA-08-95403-01561B - -10 Page 10 sur 59

Par ailleurs, les exploitants doivent justifier les choix de conception desquipements de scurit mis en place sur leurs installations afin datteindre unniveau de risque aussi bas que possible, compte-tenu de ltat des connaissanceset des pratiques et de la vulnrabilit de lenvironnement de linstallation2.Ce document a donc pour objectif dexposer une mthode permettant : lexploitant de disposer d'une mthodologie pour valuer la performance des

barrires techniques de scurit (BTS) appeles aussi mesures de matrise desrisques (MMR) ,

linspection des installations classes et des organismes tiers-experts dedisposer indirectement d'outils permettant d'apprcier l'valuation desperformances des barrires techniques de scurit faite par lexploitant desinstallations et prsente dans les tudes des dangers.

Les barrires techniques de scurit (BTS) seront values travers lanalyse descritres efficacit, temps de rponse et niveau de confiance. Il sera aussi tenucompte des critres de maintenance et de testabilit permettant de garantir leurniveau de performance dans le temps.Le prsent document vise prsenter des principes gnraux dvaluation. Le siteinternet Badoris (http://www.ineris.fr/badoris) fournit des lments dvaluation pardispositifs de scurit.

Seules les barrires techniques de scurit seront abordes dans ce document.LINERIS a dvelopp une dmarche dvaluation analogue pour les barrireshumaines de scurit dans le rapport 20 Dmarche dvaluation des BarriresHumaines de Scurit [1].

2.3 DOMAINE DAPPLICATIONCe document prsente une dmarche permettant dvaluer la performance desbarrires techniques de scurit mises en place sur un site industriel pour matriserles risques.Il est important de prciser que la dmarche prsente dans ce documentpour valuer le niveau de confiance ne se substitue pas aux normes NF-EN61508[2] (scurit fonctionnelle des systmes lectriques / lectroniques /lectroniques programmables relatifs la scurit) et NF EN 61511[3](Scurit fonctionnelle Systmes instruments de scurit pour le secteurde lindustrie de process), qui sont des rfrences internationales dans ledomaine.

2 Circulaire du 29 septembre 2005 relative aux critres d'apprciation de la dmarche de matrisedes risques d'accidents susceptibles de survenir dans les tablissements dits SEVESO , visspar larrt du 10 mai 2000 modifi.

rf : DRA-08-95403-01561B - -10 Page 11 sur 59

L'objectif de la dmarche dcrite dans ce rapport est avant tout de fournirune mthode relativement simple pour valuer la performance des barrirestechniques de scurit, applicable en groupe de travail, notamment lors de laralisation d'analyse des risques3.Cest partir des performances de chacune des barrires de scurit (mises enuvre pour remplir une fonction de scurit) que la matrise des risques duneinstallation peut tre dmontre, notamment par la diminution du risque induite parles barrires de scurit.Cette dmarche prsente une mthode danalyse qualitative4 et semi-quantitative5permettant d'valuer la performance des barrires de scurit par rapport unrisque donn. Elle intgre notamment la dtermination semi-quantitative d'unfacteur de rduction de risque. Pour ce faire, elle saffranchit des approchesquantitatives plus lourdes mettre en uvre et ncessitant des donnes peudisponibles. On se reportera au paragraphe 7.2 pour les limites d'utilisation del'approche dcrite dans ce rapport.La dmarche propose dcoule de travaux mens dans le cadre de programmesd'appui technique financs par le Ministre de l'Ecologie, de l'Energie, duDveloppement Durable et de l'Amnagement du Territoire, savoir lesprogrammes DRA71, DCE-DRA73 et DRA76.Ce document intgre certains lments dvelopps dans le document Evaluationdu niveau de confiance dun quipement IPS dans une installation INERIS-DCE-LEEL-AAD/JM-03.Ce rapport a t rdig avec l'aide des documents suivants :

Rapport 10 ralis dans le cadre du DRA-39 Evaluation des BarriresTechniques de scurit N. AYRAULT fvrier 2005,

Rapport ralis dans le cadre du DRA-39 - Guide principal relatif lvaluationdes Barrires Techniques de Scurit pour linspection des installationsclasses S. BOUCHET juin 2005,

Mthodologie dvaluation dun dispositif de scurit dans une installationindustrielle A. ADJADJ et F. MASSE - INERIS-DCE-LEEL/75014-01- avril2006.

3 Les performances des installations de procds assurant une fonction de scurit (colonnedabattage par exemple) ne peuvent pas tre values en mettant en uvre la mthode OMEGA10. Il est alors ncessaire de raliser, en plus de lanalyse des risques associs ces installations,une analyse des dysfonctionnements amenant ces installations tre indisponibles et intgrercette analyse sous forme dune porte ET dans le nud papillon. Il est noter que pour que cesinstallations aient une meilleure disponibilit, des barrires de scurit peuvent tre mise en uvreet values selon les mthodes Omega 10 et 20.4 Les normes NF EN 61508 et NF EN 61511 comportent d'autres lments de nature qualitative,qui peuvent prendre la forme de prescriptions ou d'exigences en terme d'tat de l'art).5 Le terme qualitatif ou semi-quantitatif soppose aux mthodes quantitatives bases sur les calculsde fiabilit

rf : DRA-08-95403-01561B - -10 Page 12 sur 59

2.4 ORGANISATION DU DOCUMENTLe rapport est organis de la faon suivante :

Chapitre 1: glossaire et dfinitions Chapitre 2 : objectifs et domaine d'application Chapitre 3 : types de barrires techniques de scurit Chapitre 4 : valuation des barrires techniques de scurit dispositifs actifs

et systmes instruments de scurit

Chapitre 5 : valuation des dispositifs et barrires passives Chapitre 6 : volution des performances dans le temps (maintenance et tests) Chapitre 7 : synthse de lvaluation des BTS Chapitre 8 : rfrences Chapitre 9 : liste des annexes

rf : DRA-08-95403-01561B - -10 Page 13 sur 59

3 TYPES DE BARRIERES TECHNIQUES DE SECURITELes barrires de scurit (ou mesures de matrise des risques) sont de trois types :

les barrires techniques, les barrires humaines, les barrires qui font intervenir les barrires techniques et humaines. Ces

barrires sont appeles systmes action manuelle de scurit.Dans la catgorie des barrires techniques de scurit, il peut sagir de dispositifsde scurit ou de systmes instruments de scurit.Note : la bonne conception des installations ainsi le respect des standards ne sontpas considrs dans ce document comme des barrires de scurit, mme silsparticipent effectivement la matrise des risques. Ces lments doivent treintgrs dans la dmarche d'analyse des risques au niveau de la frquence desvnements initiateurs associs ou au niveau de la possibilit des scnariosd'accidents.

Figure 1 : typologie des Barrires Techniques de Scurit

3.1 DISPOSITIFS DE SECURITEUn dispositif de scurit est en gnral un lment unitaire, autonome, ayant pourobjectif de remplir une fonction de scurit, dans sa globalit.Un dispositif peut tre class en 2 catgories :

Les dispositifs passifs qui ne mettent en jeu aucun systme mcanique pourremplir leur fonction et qui ne ncessitent ni action humaine (hors interventionde type maintenance), ni action dune mesure technique, ni source dnergieexterne pour remplir leur fonction. On retrouve notamment dans cette catgorieles cuvettes de rtention, les disques de rupture, les arrte-flammes ainsi queles murs coupe-feu.

Barrires descurit

Barrires humaines Barrires techniques

Systmes Action Manuelle

de Scurit

Dispositifs descurit

SystmesInstruments de

Scurit

Passifs Actifs

rf : DRA-08-95403-01561B - -10 Page 14 sur 59

Les dispositifs actifs qui mettent en jeu des dispositifs mcaniques (ressort,levier) pour remplir leur fonction. On retrouve notamment dans cettecatgorie les soupapes de dcharge et les clapets limiteurs de dbit. Ilspeuvent ncessiter une source d'nergie externe pour fonctionner.

Remarque : une vanne de scurit n'est pas considre comme un dispositif descurit, car elle n'assure pas elle seule une fonction de scurit6 dans saglobalit. Il faut une action humaine et/ou une source d'nergie externe (cf. 3.2 -SIS) pour l'actionner.

Le tableau ci-dessous prsente des exemples de dispositifs classs selon leurtype.

Dispositif actif Dispositif passifSoupape de scurit Murs de confinement

Clapet anti-retour Toit flottant de bacsDouble clapet de rupture Murs coupe-feu sans ouverture

Clapet excs de dbit Talus de rservoirsEvents de respiration de bacs avec ressorts Events de respiration de bacs sans ressort

Arrte-flammeIgnifugeage

Disque de ruptureCuvette de rtention

Ecrans de protection mcanique outhermique

Rducteur de dbit sans ressortTableau 1 : : exemples de dispositifs actifs et passifs

3.2 SYSTEMES INSTRUMENTES DE SECURITE (SIS)Les systmes instruments de scurit sont des combinaisons de capteurs, d'unitde traitement et d'actionneurs (quipements de scurit) ayant pour objectif deremplir une fonction ou sous-fonction de scurit7. Un S.I.S. ncessite une nergieextrieure pour initier ses composants et mener bien sa fonction de scurit.La figure page suivante montre une reprsentation schmatique gnrique dunSIS.

6 Cf. glossaire 1

7 Une fonction de scurit peut se dcomposer en plusieurs sous-fonctions de scurit lies.

rf : DRA-08-95403-01561B - -10 Page 15 sur 59

Dtecteur 1

Dtecteur 2

Dtecteur n

Elmentterminal 1

Elmentterminal 2

Elmentterminal n

Unit logique 1

Unit logique 2

Unit logique n

Dtection ActionTraitement

Figure 2 : schma gnrique dun SIS

Dans ce schma, trois sous-fonctions composent un SIS : il sagit des sous-fonctions dtection , traitement de linformation et action .

3.2.1 SOUS-FONCTION DE SECURITE "DETECTION"Cette sous-fonction de scurit peut tre assure par diffrents dtecteurs deparamtres (pression, temprature, dbit, concentration). Ils sont traits ici defaon gnrique.Un dtecteur de paramtre est gnralement constitu de 2 lments : le capteur qui est l'lment sensible responsable de la transformation d'une

information physique (pression, temprature, dbit, concentration) engrandeur lectrique adapte au traitement. Le capteur ne fait pas intervenir demicroprocesseurs.

et le transmetteur qui assure le conditionnement du signal mis par le capteurpour l'interface utilisateur. Le signal transmis peut tre un signal analogique 4-20 mA ou un signal de type binaire Tout ou Rien (1/0). Dans ce dernier cas, uncontact sec (relais) ralise le traitement de l'information. Le transmetteur est soitanalogique, soit numrique (systme avec microprocesseur ou logiqueprogrammable). Le transmetteur, suivant les cas (et ses possibilits), estconnect soit l'entre d'une unit de traitement, soit directement unactionneur.

La figure suivante prsente les diffrentes possibilits de liaisons du dtecteurdans un SIS.

Capteur deparamtrephysique

Transmetteur

Traitement Actionneur

Actionneur

Dtecteur

Figure 3 : architecture depuis le capteur jusqu' l'actionneur

rf : DRA-08-95403-01561B - -10 Page 16 sur 59

3.2.2 SOUS-FONCTION DE SECURITE "TRAITEMENT DE LINFORMATION"La sous-fonction "traitement de linformation" peut tre plus ou moins complexe.Elle est principalement ralise par des relais ou par des automatesprogrammables. Elle peut se rsumer simplement acqurir une grandeurmesure par un capteur et l'indiquer. Elle peut aussi consister activer lacommande d'un ou plusieurs actionneurs partir d'une fonction combinatoire desinformations dlivres par diffrents capteurs. Les units de traitement peuventtre classes en deux catgories selon leur technologie :

Les technologies cbles, base de composants logiques lmentaires(relais), lis entre eux lectriquement (ou de manire pneumatique ouhydraulique).

Les technologies programmes, base de centrales d'acquisition ou d'alarmes,d'automates programmables (API) dont certains peuvent tre ddis lascurit (APIdS), de calculateurs industriels ou de cartes lectroniques microprocesseurs et/ou logique programmable.

Le choix dune technologie pourra dpendre de la complexit des fonctions traiter ou des positions des lments raccorder. Pour des systmes peucomplexes, des relais pourront tre utiliss. Pour des fonctions plus complexesncessitant des traitements de linformation plus lourds, les automates serontprfrs.

3.2.3 SOUS-FONCTION DE SECURITE "ACTION"La sous-fonction "action" est ralise par des actionneurs et des lmentsterminaux.Les actionneurs transforment un signal (lectrique, pneumatique ou hydraulique)en phnomne physique qui permet de commander le dmarrage dune pompe, lafermeture ou louverture dune vanne Selon lnergie motrice, on parledactionneur lectrique, pneumatique ou hydraulique. Ils sont coupls auxlments terminaux.Les lments terminaux sont commands par des actionneurs. On retrouvenotamment sous cette terminologie : les vannes, les machines tournantes (pompe,compresseur ), les alarmes sonores et visuelles.

Il faut bien avoir lesprit que la finalit de la fonction de scurit rempliepartiellement ou totalement par le SIS rside dune part dans la dtection duphnomne dangereux et dautre part dans la mise en position finale de scuritde ces lments (ouvert/ferm, arrt/dmarrage). Le SIS pourra assurer la fonctiontotalement (dtection, traitement, action finale) ou partiellement (le SIS assure parexemple la fonction de dtection et de traitement jusqu' une alarme, l'action finalepeut ensuite tre ralise par une action humaine).

rf : DRA-08-95403-01561B - -10 Page 17 sur 59

3.2.4 COMMUNICATIONS ENTRE LES ELEMENTS DUN SISLunit de traitement est relie aux capteurs et aux actionneurs par des moyens detransmission. Il peut sagir de cbles lectriques, dondes lectromagntiques(transmission hertzienne), de fibres optiques (bus de terrain) ou de tuyauteries(transmissions pneumatique ou hydraulique).

3.3 SYSTEME A ACTION MANUELLE DE SECURITELes systmes action manuelle de scurit sont des barrires mixtes composantes techniques et humaines : loprateur est en interaction avec leslments techniques du systme de scurit quil surveille ou sur lesquels il agit.Par exemple, la mise en position de scurit dune vanne de scurit paractionnement manuel dun bouton darrt durgence suite une dtection de fuitede gaz au cours dune ronde de surveillance est assimile un systme actionmanuelle de scurit.La dmarche dvaluation prsente dans ce document sapplique exclusivement la composante technique du systme. Pour disposer dune valuation complte,le lecteur devra faire le lien avec la dmarche prsente dans le rapport 20 [1]relatif la dmarche dvaluation des Barrires humaines de Scurit.

rf : DRA-08-95403-01561B - -10 Page 19 sur 59

4 EVALUATION DES BARRIERES TECHNIQUES DE SECURITE DISPOSITIFS ACTIFS ET SYSTEMES INSTRUMENTES DESECURITE

4.1 RAPPEL SUCCINCT DE LAPPROCHE BARRIEREUne analyse des risques a pour but d'identifier l'ensemble des phnomnesdangereux pouvant se produire sur un site et pouvant conduire des accidents. Lafrquence d'occurrence des diffrents vnements initiateurs pouvant conduire auxphnomnes dangereux est estime et l'ensemble des barrires de scuritsusceptibles de rduire les probabilits d'occurrence des phnomnes dangereuxest list.Pour tre retenues dans lvaluation des probabilits doccurrence desphnomnes dangereux, les barrires de scurit doivent avoir les performancesen adquation avec les scnarios tudis (efficacit, temps de rponse).L'approche par barrire consiste tout d'abord vrifier, sur la base de certainscritres, si la barrire de scurit peut tre retenue pour le scnario tudi, puis attribuer un facteur de rduction de risque aux barrires de scurit retenues. Lacombinaison de la frquence d'occurrence de l'vnement initiateur et des facteursde rduction de risques des barrires de scurit agissant sur un mme scnario,permet d'estimer une classe de probabilit d'occurrence pour le phnomnedangereux. LINERIS qualifie le facteur de rduction de risques par le niveau deconfiance (NC) des barrires de scurit.La probabilit d'occurrence du phnomne dangereux est ainsi value enconsidrant le dysfonctionnement de la barrire. Mais le bon-fonctionnement decertaines barrires pourra conduire galement des phnomnes dangereuxcomplmentaires dont les intensits seront lies aux performances des barrires.

4.2 IDENTIFICATION DES BARRIERES TECHNIQUES DE SECURITE : CRITERESMINIMAUX

Avant dtudier en dtail les performances des Barrires Techniques de Scurit(BTS), il faut en premier lieu sassurer du respect des critres minimaux. Cescritres sont les suivants :

indpendance : la BTS doit tre indpendante de lvnement initiateurpouvant conduire sa sollicitation pour pouvoir tre retenue en tant quebarrire agissant sur le scnario induit par l'vnement initiateur. Sesperformances ne doivent pas tre dgrades par loccurrence de lvnementinitiateur.Ainsi, si une chane de scurit de pression haute est raccorde sur le mmecapteur que celui utilis pour la rgulation, on ne pourra pas considrer quecette chane de scurit agit comme une barrire de scurit (partie dtection)pour un vnement critique initi par une dfaillance de la rgulation depression.

rf : DRA-08-95403-01561B - -10 Page 20 sur 59

De mme, si un incendie est identifi comme cause potentielle de rupture decanalisation, on ne pourra pas retenir la fonction de scurit associe lafermeture dune vanne de scurit sur la canalisation si la vanne nest pas scurit feu.

utilisation pour la scurit : a minima, le descriptif technique de la BTS doitprciser quelle est conue pour une utilisation en scurit. Elle doit prsenterun certain nombre de caractristiques (par exemple : conception simple,robustesse).

Lorsque ces conditions sont remplies, la barrire peut-tre retenue comme barrirede scurit et l'tude de ses performances peut-tre ralise en analysant les 3critres :

o Efficacit,o Temps de rponse,o Niveau de confiance (NC).

4.3 CRITERE EFFICACITE.Lefficacit est laptitude de la barrire de scurit remplir la fonction descurit pour laquelle elle a t choisie, dans son contexte dutilisation etpendant une dure donne de fonctionnement. L'efficacit est valuenotamment pour un scnario daccident prcis.La mesure defficacit s'exprime en pourcentage d'accomplissement de lafonction de scurit dfinie, en considrant un fonctionnement normal de labarrire (non dgrad). Le pourcentage defficacit peut varier pendant la priodede sollicitation de la BTS.Dans beaucoup de situations, lefficacit est de 100%. Ainsi, une soupape descurit correctement dimensionne permettra de prvenir lclatement durservoir quelle protge. De mme, une vanne parfaitement tanche permettradisoler une fuite de substance en cas de perte de confinement sur unecanalisation.Mais une barrire de scurit peut ne pas tre efficace 100% ; elle sera alorsretenue comme barrire de scurit mais lintensit du phnomne dangereuxassoci au fonctionnement de la barrire est alors value en tenant compte delefficacit relle de la barrire.Ainsi, un rideau deau peut abattre un nuage de X%. Le rideau deau peut treretenu comme barrire mais le phnomne dangereux associ au fonctionnementdu rideau deau fait intervenir la part du nuage non abattu, soit (100-X)%.De mme, une vanne peut tre tanche Y%. La vanne est alors retenue commebarrire mais le phnomne dangereux associ au fonctionnement de la vanne faitintervenir le dbit de substance non arrt par la vanne, soit (100-Y)%.On notera que lefficacit 100% dune BTS ne signifie pas quil nexiste pasde phnomne dangereux associ au fonctionnement de la barrire. Ainsi : Un temps de fermeture dune vanne de 30 secondes conduira ainsi un rejet

dangereux. Le fonctionnement dune soupape de scurit conduira un phnomne

dangereux de rejet par la soupape.

rf : DRA-08-95403-01561B - -10 Page 21 sur 59

Pour attester de l'efficacit d'une BTS, il faut :

faire le bilan des informations connues affrant ce critre et aux principes quilui sont associs, ces informations provenant en partie du dossier technique dudispositif ;

tablir les scnarios de rfrence vis--vis desquels la barrire a tdimensionne ;

et, moins qu'il n'existe un solide retour d'exprience (document avec bonnetraabilit de l'utilisation sur le site, PV d'essais...), raliser des essais, suivantun protocole dfini, pour vrifier si la barrire est bien apte remplir, dans soncontexte d'utilisation, la fonction de scurit qui lui est attribue.

Lvaluation de lefficacit repose en premier lieu sur les principes dedimensionnement adapt et de rsistance aux contraintes spcifiques.D'autres paramtres, comme le positionnement, peuvent galement, selon labarrire tudie, influencer lefficacit.

L'efficacit peut galement tre dgrade dans le temps. Pour diverses raisons(usure, corrosion, dfaillances), une barrire de scurit peut ne plus remplir safonction de faon optimale. Ce manque d'efficacit peut avoir des consquencesindsirables sur la scurit de l'installation.L'exploitant doit s'assurer, au travers notamment de son systme de gestion de lascurit, que sa barrire est toujours en tat de remplir sa fonction de scuritavec lefficacit telle quelle a t dfinie. Dans le cas o les performances sedgraderaient, lexploitant doit prciser les mesures appropries.

4.3.1 PRINCIPE DE DIMENSIONNEMENT ADAPTE :Lquipement est dit satisfaire au principe de dimensionnement adaptlorsquil est conu sur la base de normes et standards reconnus et lorsque ledimensionnement est ralis sur la base de conditions de fonctionnementadaptes au site. Son dimensionnement doit galement tenir compte desvnements redouts matriser et doit rpondre un cahier des chargesspcifique.

Le recueil dinformations partir des rponses aux questions suivantes (liste nonexhaustive) permet dvaluer le dimensionnement adapt de la barrire vis--visde la fonction de scurit assurer :

Existe-t-il des notes de calcul, des tudes spcifiques sur le dimensionnementde la BTS ?

Quelles sont les hypothses (notamment relatives au droulement delaccident) qui ont servi de base pour le dimensionnement de ce dispositif ?Cette question est essentielle pour tous les dispositifs, notamment pour lescolonnes d'abattage, les cuvettes de rtention

Des essais ont-ils t raliss (in situ, en laboratoire) ?

rf : DRA-08-95403-01561B - -10 Page 22 sur 59

Quel est le retour d'exprience sur l'utilisation de ce dispositif ? Est-ce que le dispositif mis en place est bien dimensionn par rapport aux

vnements susceptibles de se produire ? Par exemple, le dbit d'extraction etle diamtre de la chemine dun local confin sont-ils bien dimensionns pourvacuer l'ammoniac susceptible d'tre rejet dans le local suite la perted'intgrit d'une canalisation.Ou le quench sur un racteur en phase initialedemballement permet-il de stopper lemballement si celui-ci est d une pertedu systme dagitation ?

Existe-t-il des normes ou des standards professionnels concernant cettebarrire?

4.3.2 PRINCIPE DE RESISTANCE AUX CONTRAINTES SPECIFIQUES :Ce principe consiste vrifier que la BTS a t conue pour rsister auxcontraintes spcifiques lies : aux produits mis en jeu (corrosifs,) lenvironnement (conditions mtorologiques, risques sismiques,...), lexploitation (pression de travail leve, temprature leve), la tenue, le cas chant, des surpressions, aux effets thermiquesLa rsistance aux contraintes spcifiques doit tre valide par des notes de calcul,des essais ou par des attestations du constructeur.

La liste des questions suivantes (non exhaustives) permet de caractriser leprincipe de rsistance aux contraintes spcifiques :

Le dispositif est-il conu pour rsister aux contraintes lies son utilisation(produit, exploitation, environnement) en situation normale et en situationdgrade du fait de l'accident ?

Est-ce que la barrire est adapte pour la matrise des risques lis aux produitsmis en jeu ? Par exemple, le matriau dun organe d'isolement est-il compatibleavec lensemble des produits (de production, de tests, de nettoyage)susceptibles de circuler dans la canalisation ?

Est-ce que la barrire est apte travailler dans des conditions particulires (demtorologie, de temprature, de pression) notamment celles danslesquelles l'installation peut se trouver en fonctionnement normal ou dgrad ?

rf : DRA-08-95403-01561B - -10 Page 23 sur 59

4.3.3 POSITIONNEMENT :Dans certains cas, le positionnement de la barrire permet d'optimiser son aptitude remplir la fonction qui lui est dvolue. Il sagit par exemple :

des capteurs (de gaz, de flamme, de temprature, de pression), des systmes d'extraction (position du conduit d'extraction dans le btiment en

partie infrieure ou suprieure du local),

de murs coupe-feu, de vannes (optimiser leur positionnement vis vis des fuites) etc.

Pour l'valuation du critre Positionnement adquat , les documents suivantspourront tre ncessaires :

descriptif technique de la barrire, notes de calculs, tudes spcifiques, rsultats d'essais, "standards" de la profession, quand ils existent.On note que le positionnement et laccessibilit de la barrire interviennentgalement dans la ralisation des oprations de maintenance, de contrle, detests, dtalonnagequi ont une influence sur ses performances.

4.4 CRITERE TEMPS DE REPONSELe temps de rponse correspond lintervalle de temps entre le moment oune barrire de scurit, dans un contexte dutilisation, est sollicite et lemoment o la fonction de scurit assure par cette barrire de scurit estralise dans son intgralit.Selon cette dfinition, le temps de rponse intgre :

le temps ncessaire au fonctionnement d'une dtection de l'incident suite sasollicitation,

le temps ncessaire la transmission de l'information la ou les barrires descurit devant remplir la fonction de scurit,

le temps ncessaire la ralisation de l'action de scurit.Ainsi, le temps de rponse dfini prcdemment n'intgre pas le temps ncessairepour que le flux de danger (par exemple un nuage de gaz) atteigne ou sollicite uncapteur (temps entre la dfaillance du procd et la sollicitation de la barrire). Cetemps dpendra, notamment, pour des capteurs de gaz, de l'implantation desdiffrents systmes de dtection par rapport un point de fuite et donc de laconfiguration de l'installation tudie (paramtre pris en compte dans l'efficacit).Ce temps doit tre pris en compte et ajout au temps de rponse pourcomparaison avec la cintique du phnomne.

rf : DRA-08-95403-01561B - -10 Page 24 sur 59

Le temps de rponse de la barrire technique de scurit peut a priori tre obtenude deux faons :

soit en ralisant des mesures de temps de rponse, sur site, des barrires descurit (dispositifs de scurit, quipements de scurit et chane complte descurit),

soit en additionnant les temps de rponse des dispositifs constituant la barrirede scurit. Ces temps de rponse peuvent tre fournis par les constructeurs.Mais lINERIS met de fortes rserves pour cette 2me solution : la transpositiondes informations communiques par les constructeurs au contexte rel du sitedoit tre ainsi ralise avec prcautions en comparant les conditions dedtermination des temps de rponse avec les conditions relles dutilisation.Dautre part, il est noter que, comme le montrent les rsultats statistiquesd'une tude de l'EXERA8 (cf annexe A), il faut tre prudent avec lesperformances annonces des dispositifs de scurit par les fabricants. En effet,selon les essais que l'EXERA a mens sur 107 matriels en 5 ans, seulementun sur deux rpondait globalement l'ensemble des spcifications annonces.

Ainsi, hormis un solide retour d'exprience, les essais restent la seulesolution pour vrifier si les performances relles d'un quipement descurit dans son contexte d'utilisation, correspondent bien aux rsultatsattendus.Si la ralisation d'essais n'est pas possible en raison du type d'installation tudie(procd en continu), d'impossibilits techniques ou du fait de l'industriel, lestemps de rponse fournis par les constructeurs ou le groupe de travail, peuventtre pris en compte pour valuer le temps de rponse de la barrire. Il faudra, dansce cas, veiller bien prciser la rfrence des donnes dans ltude et adapterces donnes au contexte d'utilisation.

Rappelons que pour qu'une barrire soit retenue selon ce critre, le temps derponse de la barrire doit tre en adquation avec la cintique duphnomne qu'elle doit matriser, cest--dire quil doit tre significativementinfrieur la cintique. Le temps ncessaire pour que le flux de danger atteigneou sollicite le capteur (temps entre la dfaillance du procd et la sollicitation de labarrire) doit tre pris en compte et ajout au temps de rponse pour comparaisonavec la cintique du phnomne.Le temps de rponse de la barrire intervient ensuite dans l'valuation des effetsdu phnomne dangereux : ainsi, le temps de fermeture de vanne(ncessairement non nul) conduira un rejet dangereux.

8 EXERA: Association des Exploitants d'Equipements de Mesure, de Rgulation et d'Automatisme

rf : DRA-08-95403-01561B - -10 Page 25 sur 59

4.5 NIVEAU DE CONFIANCE

4.5.1 FACTEUR DE REDUCTION DE RISQUES Lien entre NC et rduction de risquesL'valuation des probabilits d'occurrence des phnomnes dangereux faitintervenir les facteurs de rduction de risques induits par les barrires de scurit.L'INERIS a retenu pour qualifier le facteur de rduction de risques le niveau deconfiance (NC) de la barrire.Le NC correspond une rduction de risques (RR) telle que : 10NC

rf : DRA-08-95403-01561B - -10 Page 26 sur 59

Lien avec les paramtres des normes NF EN 61508 et NF EN61511La norme NF EN 61511-1 prsente des tableaux faisant le lien entre les diversescaractristiques des systmes (SIL, PFDavg ou PFH).

Ils font apparatre deux types de systmes :

Ceux fonctionnant la sollicitation : une fonction de scurit a un modede fonctionnement de type la sollicitation (au sens de la norme)"lorsqu'une action spcifie (par exemple une fermeture de vanne) esteffectue en rponse aux conditions du processus ou d'autressollicitations."Le SIL est alors reli la PFDavg du systme et un facteur de rduction derisques.

Ceux fonctionnant en mode continu : une fonction de scurit a un modede fonctionnement en mode continu (au sens de la norme) "lorsqu'en cas dedfaillance de la fonction instrumente de scurit, un danger potentielapparat, sans autre dfaillance, sauf si une action est entreprise pour leprvenir."Le SIL est alors reli au PFH du systme.

On s'intresse dans le cadre de ce rapport aux systmes fonctionnant lasollicitation, pour lesquels on cherche valuer des facteurs de rduction derisques.

Le tableau issu de la norme NF EN 61511-1 pour le mode de fonctionnement lasollicitation (dans lequel SIL a t remplac par NC et pour lequel la ligne associe NC 0 a t ajoute) est le suivant :

Niveau deconfiance (NC)

Probabilit moyenne de dfaillance la sollicitation (PFDavg)

Rduction du risque(RR)

4 10-5 < PFDavg < 10-4 10 000 < RR < 100 000

3 10-4 < PFDavg < 10-3 1 000 < RR < 10 000

2 10-3 < PFDavg < 10-2 100 < RR < 1 000

1 10-2 < PFDavg < 10-1 10 < RR < 100

0 10-1 < PFDavg < 1 1 < RR < 10

Tableau 2 : correspondance Niveau de confiance rduction du risque pour des systmes fonctionnant la sollicitation

rf : DRA-08-95403-01561B - -10 Page 27 sur 59

4.5.2 JUSTIFICATION DE LA METHODE Les normes NF EN 61508 et NF EN 61511 la base de la mthodeLe NC est issu9 des SIL (Safety Integrity Level) tels que dfinis dans les normesNF EN 61508 (pour les systmes lectriques, lectroniques et lectroniquesprogrammables relatifs la scurit) et NF EN 61511 (pour les systmesinstruments de scurit pour le secteur des industries de transformation).L'INERIS a tendu la notion de NC tout type de dispositif.On note que la norme NF EN 61511 relative aux systmes instruments descurit concerne les systmes instruments de scurit qui sont bass surl'utilisation d'une technologie lectrique / lectronique / lectronique programmable.Cependant, il est prcis dans la norme qu'elle concerne galement les capteurset les lments terminaux des SIS, quelle que soit leur technologie.Dans les normes NF EN 61508 et 61511, l'valuation des facteurs de rduction derisque repose sur deux aspects :

L'aspect qualitatif : l'architecture dfinit des SIL maximums ; L'aspect quantitatif : les calculs de fiabilit permettent de dterminer les

paramtres lis la fiabilit (Probabilit moyenne de dfaillance PFDavg et tauxde dfaillance instantan PFH) qui conditionnent galement le niveau de SIL.

C'est le SIL minimum issu des deux approches qui doit ensuite tre retenupour le SIL du systme.L'INERIS retient, dans sa dmarche explicite dans le prsent rapport, lesaspects qualitatifs10. Il est ainsi suppos que les caractristiques dessystmes (donnes relatives la fiabilit) permettent d'assurer la contraintequantitative11. Cette hypothse peut ne pas tre valable dans certaines conditions(frquence de tests faible, SFF trs leve pouvant conduire dans un 1er temps un SIL lev par la contrainte architecturale, taux de dfaillances dangereuseslev). Non-quivalence SIL NCLes normes couvrent toutes les phases du cycle de vie global des systmesinstruments de scurit (SIS). En consquence, il serait faux de considrer qu'unNC donn implique un SIL donn. L'allocation de SIL a un dispositif suppose lerespect de nombreuses exigences complmentaires.Au contraire, le SIL d'un dispositif peut conduire dterminer un NC, sous rservede la mise en uvre adquate du systme sur site et que les conditions de lacertification du dispositif soient les mmes que celles d'utilisation du dispositif sursite.

9 Le NC rpond des attentes d'valuation simples en vue de la ralisation d'tudes de dangers.La certification du niveau SIL selon la norme NF EN 61508 est une dmarche diffrente.10 Le terme qualitatif soppose aux mthodes quantitatives bases sur les calculs de fiabilit.11 Le NC dpend de la priodicit des tests et de la compltude de ces tests. Une stratgie de testspermettant de maintenir un NC constant dans le temps doit tre dfinie.

rf : DRA-08-95403-01561B - -10 Page 28 sur 59

4.5.3 ANALYSE PRELIMINAIRE QUALITATIVE POUR LES SIS ET LES DISPOSITIFSACTIFS

Au-del des aspects d'allocation de NC des systmes de scurit s'appuyant surl'architecture des systmes, il faut au pralable s'assurer qu'un certain nombre decritres qualitatifs est assur : concept prouv, scurit positive, bonnematrise des mises hors service des barriresIl faudra galement s'assurerque les systmes de scurit font l'objet de tests priodiques de fonctionnementet qu'ils sont correctement maintenus.En labsence de tests priodiques et doprations de maintenance, la barrire seraconsidre comme non performante (NC0). On se reportera au chapitre 6 pourlanalyse des critres maintenabilit et testabilit.La prise en compte des autres critres (concept prouv, scurit positive, gestiondes mises hors service) est traite ci-dessous.

4.5.3.1 CONCEPT EPROUVEUn dispositif utilis des fins de scurit devra satisfaire au principe deconcept prouv. Il faudra donc qu'il rponde pour cela aux exigences suivantes: soit lquipement a subit des tests de qualification pour un usage prcis

correspondant au contexte de mise en place sur site. Ces tests sont ralisspar lutilisateur ou par dautres organismes comptents.

soit il est utilis depuis plusieurs annes sur des sites industriels et le retourd'exprience est bon. La qualit du retour d'exprience sera value ens'appuyant sur : le retour d'exprience de l'utilisateur (exploitant, service maintenance,

inspection), voire du fournisseur. Un suivi des barrires doit tre ralispermettant de prouver les performances (efficacit, temps de rponse,niveau de confiance) sur une priode adquate.

l'accidentologie sur des installations similaires (retour d'exprience desaccidents, des incidents et des presqu'accidents),

les standards ou normes indiqus par les syndicats professionnels ou lesrglementations nationales et/ou internationales.

Dans la mesure du possible, un dispositif de type nouvelle technologie devra donctre prouv a minima sur les utilisations en procd ou en parallle de dispositifsde concept prouv. A dfaut, on pourra envisager des tests sur le dispositifplanifis avec des frquences plus importantes que celles dfinies pour desdispositifs de concept prouv. Un suivi rigoureux des performances devra treralis.Le concept prouv est un principe utiliser avec prcaution : il faudra s'assurerque la notion de concept prouv fait rfrence des contextes d'utilisationsimilaires ceux du site o le dispositif est mis en uvre (contexte et historiqued'utilisation, maintenance, organisation, taux de sollicitation, etc).

rf : DRA-08-95403-01561B - -10 Page 29 sur 59

4.5.3.2 PRINCIPE DE SECURITE POSITIVEDans ce rapport, un quipement est dfini scurit positive lorsqu'une perte dufluide moteur ou des utilits (rseau pneumatique ou hydraulique), conduitlquipement se mettre en situation scuritaire stable ; la position de scurit doittre maintenue dans le temps. Ce principe est galement connu sous le nom descurit manque.En fonction du contexte, la position de scurit pourra tre diffrente. Par exemple,pour une vanne, la position de scurit peut tre la position ouverte (cas devannes montes sur un rseau incendie ou un rseau d'inertage) ou ferme (casdes vannes situes sur des canalisations de transfert de substancesdangereuses).

Si une BTS n'est pas scurit positive alors que cette disposition estpertinente et applicable pour une utilisation en scurit, elle ne sera pasretenue.Le principe de scurit positive ne s'applique pas tous les dispositifs (parexemple, la soupape de scurit).Pour d'autres systmes, la perte d'nergie conduira inexorablement la perte dela fonction de scurit (par exemple, extracteur dans un local confin). Ons'interrogera alors sur la fiabilisation de l'alimentation lectrique et la ncessitdans les cas extrmes d'avoir recours des secours d'alimentation de type groupeDiesel, batteries.Pour certains dispositifs tels que les dtecteurs, les vannes disposes surdes procds ne tolrant pas d'arrt, des sous-systmes redondants, leprincipe pourra tre assoupli12 dans le sens o une coupure ou un court-circuitde la ligne d'alimentation et/ou de communication pourra ne pas dclencherautomatiquement la mise en scurit des installations mais devra, dans ce cas,entraner une alarme (dans les dlais compatibles avec la scurit) suivie d'uneaction humaine dans des dlais compatibles avec la scurit. En cas de pertede fluide moteur ou des utilits, le maintien en position de la vanne pourra treretenu. On cherchera l encore dans ses situations privilgier la qualit del'alimentation lectrique ou des utilits.Concernant ce principe, les questions suivantes pourront tre soumises auxpersonnes participant l'valuation de la performance de la barrire :

Quelle est la position de repli de l'organe d'isolement ? Correspond-elle uneposition de scurit des installations ?

La technologie des quipements est-elle compatible avec la position de repli(vannes simple-effet ou double-effet) ?

La position de repli ne gnre-t-elle pas de situations dangereuses ? 12 On notera que la norme NF EN 61511 exige effectivement que le mode de dfaillance dominantdun sous-systme autre quune unit logique lectronique programmable soit un tat descurit ou que les dfaillances dangereuses soient dtectes (et suivies de laction adquate)pour attribuer un NC 1 un tel sous-systme en absence de redondance.

rf : DRA-08-95403-01561B - -10 Page 30 sur 59

4.5.3.3 MISE HORS SERVICE DE LA BARRIERE - GESTION DES SHUNTSLa mise hors service de la barrire peut intervenir au moins de deux faons :

La barrire peut faire l'objet d'interventions intempestives conduisant une perte de ses performances. Des dispositions doivent tre prises parl'exploitant pour assurer l'intgrit de la barrire. Elle doit tre protge contretout risque d'intervention qui peut la mettre en tat hors service (par lamodification des configurations, par une simple erreur de manipulation).

La mise hors service peut se produire la suite d'une action volontaire deby-pass. Des by-pass des systmes de scurit sont en effet possibles sur lessites pour diffrentes raisons : la ralisation de certains essais : si le procd ne tolre pas de

fermeture de vanne, un by-pass de l'lectrovanne sera ralis pourviter la fermeture de la vanne ; le dmarrage de groupes Diesel pourrase faire en choisissant une position "manuelle" pour le dmarrage desgroupes

la marche dgrade en cas de dfaillance d'un dispositif : si undtecteur est dfaillant, il sera dconnect de la boucle de scurit letemps de raliser les interventions ncessaires sa rparation

Le by-pass des quipements de scurit devra se faire en respectant desprocdures de marche dgrade dfinies sur le site, en mettant en place desmoyens compensatoires et des mesures permettant de limiter et contrler letemps de mise en place du by-pass.

On recherchera de manire qualitative s'assurer que des mesures sont prisespour viter des interventions intempestives ou pour grer les priodes de by-pass.Les questions suivantes permettent de vrifier ces principes :- Peut-on accder facilement et manuvrer facilement la barrire ? Peut-on

modifier la configuration de la barrire ?- Les personnes intervenant sur la barrire sont-elles aptes le faire ?- Existe-il un systme de verrouillage de la barrire (cl, code d'accs, ) ?- Quelles procdures sont mises en uvre pour grer les shunts ?- Comment sassure-t-on de la remise en service de la barrire aprs un shunt ?

4.5.4 PRINCIPE D'ALLOCATION DES NC Dtermination des NC des SISL'valuation semi-quantitative propose par l'INERIS qui permet d'attribuer un NCaux SIS partir de leur architecture s'appuie sur les tableaux des normes NF EN61508-2 et NF EN 61511. Ces tableaux dfinissent des contraintes d'architecturepour les diffrents sous-systmes relatifs la scurit.

rf : DRA-08-95403-01561B - -10 Page 31 sur 59

Plusieurs paramtres interviennent : la proportion de dfaillances en scurit (SFF pour Safe Failure Fraction)

est le rapport de la somme du taux de dfaillances sres et du taux dedfaillances dangereuses dtectes sur la somme des taux de dfaillances dusystme. L'estimation de ce paramtre est difficile raliser; elle ncessite destudes spcifiques telles que lAMDE ainsi que des donnes de fiabilit. De cefait, par dfaut, et sauf cas particuliers (donnes prcises, prsence d'unwatchdog13 sur un systme programmable), l'INERIS considre alors dansses valuations que la proportion de dfaillance en scurit est infrieure 60 %14. Si des tudes spcifiques attestent des proportions de dfaillance enscurit plus leves que celles retenues par dfaut, alors elles peuvent treutilises pour la dtermination du SFF.

On a :

Avec : T : Taux de dfaillances totalDU : Taux de dfaillances dangereuses non dtectes

La tolrance aux anomalies matrielles qui sassimile la prsence ou non deredondance. Une fonction de scurit (ralise par une BTS) sera considrecomme "tolrante une anomalie" lorsque le dysfonctionnement d'un deslments la composant ne perturbera pas sa ralisation. La redondancedlments la composant est un moyen de rpondre cette exigence. Si onraisonne au niveau du composant, on recherchera les redondances internes.Au niveau du systme instrument, on pourra rechercher les redondancesexternes (par exemple 2 dtecteurs de gaz couvrant une mme zone, deuxsoupapes permettant d'assurer chacune la prvention de l'clatement d'unrservoir). La tolrance aux anomalies matrielles sera estime partir del'tude de l'architecture du systme et relie un scnario bien identifi.

13 Watchdog (Chien de garde) ou autocontrle : les automates de scurit surveillent enpermanence le cycle de traitement des informations et lexcution des tches, et interviennent si letemps dun cycle nest pas conforme celui dtermin par lutilisateur. Ceci permet dassurer lastabilit du systme, en vitant des cycles processeur trop longs correspondant un tat deblocage.

14 Le taux infrieur 60% est la classe de SFF la plus conservatrice retenue dans la norme NFEN 61508-2 (cf page 32).

rf : DRA-08-95403-01561B - -10 Page 32 sur 59

Le type de sous-systmes : simple ou complexe.De manire simplifie, l'INERIS retient pour les systmes simples lessystmes sans microprocesseurs ou logiciels et pour les systmescomplexes ceux avec microprocesseurs ou logiciels. Les systmes ditssimples ou complexes sont rattachs respectivement aux systmes de type Aou B (tels que dfinis dans la norme NF EN 61508-2) et aux systmes de typeunits logiques de llectronique programmable ou aux autres sous-systmes(tels que dfinis dans la norme NF EN 61511-1).On pourra pour plus de dtails se reporter lannexe C qui tablit le lien entreles dnominations de systmes simples et complexes et les termes employsdans les normes NF EN 61508 et NF EN 61511.

En fonction des trois paramtres dfinis prcdemment, les tableaux de la normeNF EN 61508-2 prsentent donc les SIL maximums en fonction des SFF et destolrances aux anomalies matrielles. Les tableaux issus de la norme (danslesquels SIL a t remplac par NC) sont les suivants :

Tolrances aux anomalies matriellesProportion dedfaillancesen scurit

(SFF)

0 1 2

< 60% NC 1 NC 2 NC 3

60%

rf : DRA-08-95403-01561B - -10 Page 33 sur 59

Pour les systmes simples (exemple de capteurs, lments terminaux etunits logiques autres qulectroniques programmables), le tableau destolrances aux anomalies matrielles est premire vue plus simple que celui destypes A de la norme 61508, dans la mesure o il ne fait plus mention des SFF.Mais les conditions associes au tableau permettent de traiter les cassupplmentaires.

NC Tolrance minimale aux anomalies du matriel(voir conditions)

1 0

2 1

3 2

4 Les exigences spciales sappliquent voir la CEI 61508

Tableau 5 : tolrance minimale aux anomalies du matriel(soit nombre danomalies matrielles tolres sans remise en cause de la fonction de

scurit) pour les capteurs, les lments terminaux et les units logiques non PE (simples)

Le tableau sapplique sous conditions. Les conditions dfinies dans le Tableau 5sont les suivantes :

Pour que la tolrance aux anomalies de matriel soit celle indique dans letableau, il faut que le mode de dfaillance dominant soit un tat descurit ou que les dfaillances dangereuses soient dtectes (et suivies delaction adquate), faisant ainsi rfrence au critre de scurit positive(cf 4.5.3.2). Sinon, la tolrance aux anomalies de matriel doit treaugmente de 1.

Au contraire, la tolrance aux anomalies de matriel peut tre rduite de 1 siles quatre conditions suivantes sont runies :

o Sil peut tre prouv par une utilisation antrieure que le dispositif estapte tre utilis dans les systmes instruments de scurit ;

o Si le dispositif ne permet que le rglage des paramtres relatifs auprocessus (gamme de mesure)

o Si le rglage des paramtres relatif au processus du dispositif estprotg (par mot de passe, cavalier) ;

o Si la fonction a une prescription de SIL infrieure 4.Il est prcis dautre part que si une valuation est faite selon les normes61508, la tolrance aux anomalies matrielles peut tre celle dfinie dans lestableaux de la norme 61508-2.Par exemple, si on considre un lment terminal unique tel quune vanne : le NC de la vanne pourra tre pris gal NC1 si la vanne est scurit

positive. Le NC pourra tre pris gal 2, mme en labsence de redondance, si la

vanne bnficie dun retour dexprience adquat et que le rglage desparamtres ne peut pas tre modifi accidentellement.

rf : DRA-08-95403-01561B - -10 Page 34 sur 59

4.5.5 EVALUATION DES NC DES SYSTEMES A PARTIR DE DONNEES UNITAIRES CAS DES DISPOSITIFS ACTIFS ET SIS

Dans la pratique, le NC de chacun des lments unitaires constituant la barrire descurit est valu sparment au cas par cas selon le scnario tudi en utilisantles tableaux prsents au chapitre 4.5.4.Puis on ralise les agrgations des NC des diffrents sous-systmes selon lesrgles suivantes proposes par l'INERIS.

4.5.5.1 EVALUATION DES NC UNITAIRESRgle n1 : SIL d'un sous-systme -> NCSi une BTS ou un lment de BTS a t certifi suivant la norme NF-EN 61508, etpossde donc un SIL, alors le NC retenu quivaut au SIL, la condition expresseque lexploitant suive rigoureusement le cahier des charges fourni(installation, raccordement, configuration, maintenance). Le niveau deconfiance d'un quipement certifi SIL3 peut ainsi tre de "3". C'est notamment lecas des automates de scurit qui sont certifis suivant cette norme, pour unearchitecture donne en entre et en sortie compatible avec le SIL3.

Rgle n2 : NC unitaire maxi 3Les technologies et connaissances actuelles ne permettent pas d'atteindre un NCde 4 pour un composant de scurit quel que soit le systme, en absence deredondance. En effet pour une tolrance la dfaillance de 0, le NC ne dpassepas 3, mme pour un systme de type A (simple).

Rgle n3 : dispositifs actifsPour des systmes composs de dispositifs de scurit actifs, la dtermination duniveau de confiance se fait directement partir du Tableau 5 paragraphe 4.5.4.

4.5.5.2 EVALUATION DES SIS OU SYSTEMES COMPLETSPour des SIS composs de diffrents sous-systmes, les rgles suivantes serontappliques.Note : Les rgles ne sont pas dfinies pour la prise en compte de diffrentesfonctions instrumentes agissant sur un mme scnario d'accident ou pour desfonctions instrumentes de scurit agissant en parallle des dispositifstechniques (actifs et/ou passifs) ou humains.

rf : DRA-08-95403-01561B - -10 Page 35 sur 59

Rgle n4 : lments en parallle d'un SIS : principe d'agrgation et NC3 maxiLorsque les composants ou sous-systmes sont en parallle, on ne ralise pasd'addition des NC des diffrents composants ou sous-systmes mais on utilise lestableaux dfinis au paragraphe 4.5.4. Un sous-systme en parallle un autreconduira une tolrance la dfaillance supplmentaire et permettra daugmenterle NC du systme.Mais mme en prsence de redondance, l'attribution d'un NC de 4 un SIS uniquen'est pas raliste actuellement car il supposerait des contraintes importantes.Comme le prcise la norme NF EN 61511-1. "Les applications, qui ncessitentl'utilisation d'une fonction instrumente de scurit unique du niveau 4 d'intgritde scurit, sont rares dans l'industrie des processus. Ces applications doiventtre vites, lorsque cela est raisonnablement possible, en raison de la difficultd'atteindre et de maintenir de tels niveaux levs de performance tout au long ducycle de vie de scurit. Dans les cas o de tels systmes sont spcifis, toutesles personnes qui sont impliques dans le cycle de vie de scurit devront avoirdes niveaux de comptence levs". On retient donc un NC maxi de 3.L'valuation du NC de la fonction sera complte d'une analyse sur les modescommuns de dfaillance.

Rgle n5 : lments en sriePour des sous-systmes en srie (cas des parties dtection, traitement et actiond'un systme instrument de scurit), le NC du systme est le minimal des NCdes diffrents sous-systmes.Si un nombre important de dispositifs avec le mme NC se trouvait en srie (ce quiest peu probable), le NC du systme devrait tre rduit de 1.

4.5.5.3 EXEMPLE D'EVALUATIONUn exemple d'illustration de l'application des rgles n4 et n5 est fourni ci-dessous. Il est directement issu de la norme NF EN 61508-2 : les SIL ontsimplement t remplacs par les NC.On suppose une architecture dans laquelle une fonction de scurit particulire estralise soit par une combinaison des sous-systmes 1, 2 et 3, soit par unecombinaison des sous-systmes 4, 5 et 3, comme illustr sur la figure 4. Leslments sont du type A (simple) ou du type B (complexe). Dans ce cas, lacombinaison des sous-systmes 1 et 2 et la combinaison des sous-systmes 4 et5 ont la mme fonctionnalit en termes de sous-fonctions de scurit et contribuentindpendamment fournir des donnes au sous-systme 3.

rf : DRA-08-95403-01561B - -10 Page 36 sur 59

Dans cet exemple, la combinaison de sous-systmes parallles est base sur lefait que chaque sous-systme ralise la fonction de scurit prescrite qui leconcerne indpendamment15 de l'autre sous-systme (parallle). La fonction descurit sera ralise :

en cas d'anomalie du sous-systme 1 ou du sous-systme 2 (car lacombinaison des sous-systmes 4 et 5 est capable d'assurer la fonction descurit indpendamment de 1 et 2) ;

ou en cas d'anomalie du sous-systme 4 ou du sous-systme 5 (car lacombinaison des sous-systmes 1 et 2 est capable d'assurer la fonction descurit indpendamment de 4 et 5).

Figure 4 : Exemple dvaluation du niveau de confiance dun SIScompos de plusieurs lments

La dtermination du NC du systme est dtaille dans les tapes suivantes :

a) en combinant les sous-systmes 1 et 2 : la tolrance aux anomalies matrielleset la proportion de dfaillance en scurit ralises par la combinaison des sous-systmes 1 (de NC 3) et 2 (de NC 2) satisfait aux prescriptions du NC 2 (dterminpar le sous-systme 2) ;

15 Il est suppos dans cet exemple labsence de mode commun de dfaillance

rf : DRA-08-95403-01561B - -10 Page 37 sur 59

b) en combinant les sous-systmes 4 et 5 : la tolrance aux anomalies matrielleset la proportion de dfaillances en scurit ralises par la combinaison des sous-systmes 4 (de NC 2) et 5 (de NC 1) satisfait aux prescriptions du NC 1 (dterminpar le sous-systme 5) ;c) en outre, en associant la combinaison des sous-systmes 1 et 2 avec lacombinaison des sous-systmes 4 et 5 : le niveau de confiance du systme,correspondant la combinaison des sous-systmes 1, 2, 4 et 5 est dtermine enretenant la combinaison de sous-systmes qui a le NC le plus lev et enanalysant l'effet de l'autre combinaison de sous-systmes sur la tolrance auxanomalies matrielles.

Ainsi, dans notre exemple, la combinaison des sous-systmes 1 et 2 a un NC de 2tandis que la combinaison de 4 et 5 a un NC de 1. Cependant, en cas d'anomaliede la combinaison de 1 et 2, la fonction de scurit pourrait tre assure par lacombinaison de 4 et 5. Pour tenir compte de cet effet, la tolrance aux anomaliesdu sous-systme (1, 2) est augmente de 1. Or d'aprs le Tableau 4, enaugmentant de 1 la tolrance aux anomalies du systme, on augmente galementde 1 le NC du systme. De ce fait, le NC du systme correspondant lacombinaison de 1, 2, 4 et 5 est 3.d) La dmarche pour identifier le NC du systme constitu par la combinaison dessous-systmes 1, 2, 4, 5 et 3 est identique celle dveloppe dans le a) et b).Remarque : la reprsentation sous forme d'architecture des SIS permet de bienreprer les redondances. Une attention particulire doit tre porte autraitement des modes communs de dfaillance.

4.6 AGREGATION DES PERFORMANCES DU SISLes performances des dtecteurs, des units de traitements et des actionneurssont usuellement analyses sparment (mettant chacun en uvre une sous-fonction de scurit). Les rsultats sont ensuite agrgs pour obtenir laperformance du SIS. L'agrgation des diffrents critres est rsume dans letableau ci-aprs.

EfficacitElle est gale l'efficacit la plus faible des 3 soussystmesEFsis = Min (EFdtecteur , EFtraitement , EFactionneur)

Temps de rponseIl est pris gal la somme des 3 temps de rponse dechacun des sous systmeTRsis = TRdtecteur + TRtraitement + TRactionneur

Niveau de confianceIl est gal au niveau de confiance le plus faible des 3 soussystmesNCsis = Min (NCdtecteur , NCtraitement , NCactionneur)

Tableau 6 : principe d'agrgation des performances des sous-fonctions d'un SIS

rf : DRA-08-95403-01561B - -10 Page 38 sur 59

4.7 AGREGATION DES PERFORMANCES DES DIFFERENTES FONCTIONS DESECURITE

Lorsque plusieurs barrires de scurit interviennent sur un scnario daccident, ilfaut valuer la rduction de risques globale induite par lensemble des barrires descurit.Lanalyse des modes communs de dfaillance doit tre ralise. Elle pourraconduire ne pas additionner les NC des diffrentes barrires.Les questions suivantes (liste non exhaustive) permettent dvaluer le modecommun de dfaillance :- Existe-t-il des vnements initiateurs pouvant conduire la dfaillance de

plusieurs barrires de scurit (chute davion, sismemais aussi incendie,explosion) ?

- les diffrentes chanes de scurit comportent-elles des lments communs(action par une mme personne, relais commun, automate commun,lectrovanne commune, vanne commune) ?

- Les barrires de scurit sont-elles montes sur des piquages communs,utilisent-elles les mmes technologies ?

4.8 SOURCES DOCUMENTAIRESLes sources d'informations consultables pour valuer la performance d'unebarrire technique de scurit sont :- les standards et / ou rfrentiels des syndicats professionnels (Eurochlor,

CFBP, UIC, UFIP),- la base de donnes BADORIS (http://www.ineris.fr/badoris),

les documents techniques des fournisseurs et des fabricants, des rapports de l'INERIS :

o Synthse des rsultats de la campagne d'valuation des dtecteursde gaz ammoniac - INERIS AWa-SBo-2004-46059 -nh3 aot 2004

o valuation des dtecteurs de gaz chlore fixes - INERIS-DRA/PREV-76114-DRA61-op b Cl2-NLp-Sbo octobre 2006

o Rapport sur les colonnes d'abattage N. AYRAULT mai 2004o Rapport sur les rideaux d'eau S. BOUCHET juin 2000o Rapport sur les explosimtres long chemin optique V. DEBUY

fvrier 2003

rf : DRA-08-95403-01561B - -10 Page 39 sur 59

5 EVALUATION DES DISPOSITIFS ET BARRIERES PASSIVES

5.1 INTRODUCTIONUn dispositif passif est dfini (cf 3.1) comme un dispositif ne mettant en jeuaucun systme mcanique pour remplir sa fonction et ne ncessitant ni actionhumaine (hors intervention de type maintenance), ni action dune mesuretechnique, ni source dnergie externe pour remplir sa fonction.On retrouve potentiellement dans cette catgorie les cuvettes de rtention, lesdisques de rupture, les arrte-flammes, les confinements, les murs coupe-feu...

Lorsqu'un de ces quipements (cuvette de rtention, disques de rupture)assure seul une fonction de scurit (indpendamment de toute mesuretechnique ou humaine), il constitue un dispositif de scurit passif. C'est unebarrire (ou mesure de matrise des risques) passive.

Mais s'il est associ des mesures techniques et/ou humaines et que leurdfaillance conduit la perte de la fonction de scurit, la barrire ne constitueplus une barrire passive.

Lobjectif de ce paragraphe est de prciser le principe d'valuation desperformances des dispositifs passifs et des barrires mettant en uvre lamesure potentiellement passive et des mesures techniques et/ou humaines.

5.2 EVALUATION DES PERFORMANCES DU DISPOSITIF PASSIF (ASSURANT SEULUNE FONCTION DE SECURITE)

5.2.1 PRINCIPE DEVALUATION DES DISPOSITIFS PASSIFSLvaluation des dispositifs passifs repose globalement sur les mmes principesque les autres dispositifs.En rsum, les diffrentes tapes de lvaluation sont les suivantes :1- Vrification que le dispositif est conu pour une utilisation en scurit et que

son fonctionnement nest pas affect par la phase accidentelle(indpendance);

2- Evaluation de lefficacit dans un contexte dutilisation et pour une dure defonctionnement donne ;

3- Evaluation du temps de rponse (critre gnralement non pertinent pour undispositif passif) ;

4- Evaluation du Niveau de Confiance (NC) du dispositif.Mais contrairement aux autres dispositifs techniques (dispositifs actifs et systmesinstruments de scurit), lvaluation du NC ne sappuie pas sur des normes desret de fonctionnement.Les valuations des diffrents paramtres sont prcises paragraphes suivants.

rf : DRA-08-95403-01561B - -10 Page 40 sur 59

5.2.2 EFFICACITEComme pour les autres dispositifs, l'efficacit d'un dispositif passif doit trevalue dans son contexte dutilisation et pendant une dure donne defonctionnement. Par exemple la proprit coupe-feu d'un mur sera maintenuepour une dure limite.Lvaluation de lefficacit repose en premier lieu sur les principes dedimensionnement adapt et de rsistance aux contraintes spcifiques.D'autres paramtres, comme le positionnement (cf chapitre 4.3 pour la dfinitiondes diffrents termes), peuvent galement, selon la barrire tudie, influencerlefficacit. L'efficacit est value notamment pour un scnario daccident prcis(rupture brutale de bac, incendie de cellules darosols). Lefficacit doit trenotamment analyse pour des causes bien spcifiques (sisme, chute davion).

Note : lorsque le dispositif est associ des mesures techniques et/ou humainespour assurer la fonction de scurit, l'efficacit de la fonction peut tre compromisepar la dfaillance des mesures associes (cf 5.3).

L'efficacit peut galement tre dgrade dans le temps, si bien que la barrire descurit peut ne plus remplir sa fonction de faon optimale. A dfaut de tests quisont gnralement non ralisables sur les barrires passives, des contrlesdoivent tre mis en uvre permettant de vrifier des paramtres (tels que l'tatgnral) qui traduisent finalement le bon fonctionnement de la barrire (cf 5.2.4).

5.2.3 TEMPS DE REPONSECe critre nest pas pertinent pour les dispositifs passifs.

5.2.4 NIVEAU DE CONFIANCE

5.2.4.1 FACTEUR DE REDUCTION DE RISQUESComme pour les autres barrires (dispositifs actifs, systmes instruments descurit, barrires humaines et SAMS), le NC est associ un facteur de rductionde risques.De manire conservatrice, on retient que le NC est associ une rductionde risques de 10NC, qui correspond la dfaillance de la barrire (cf 4.5.1).Une barrire passive donne lieu dans ltude de dangers deux situationsdangereuses :- le cas avec fonctionnement de la barrire (intensit rduite, probabilit non

rduite du facteur de rduction de risque de la barrire) ;- le cas avec dfaillance de la barrire (intensit maximale, probabilit rduite du

facteur de rduction de risque de la barrire).La non prise en compte de ce dernier cas quivaudrait considrer que labarrire passive a un NC infini, vision qui nest pas retenue par lINERIS (cf5.2.4.2).

rf : DRA-08-95403-01561B - -10 Page 41 sur 59

5.2.4.2 EVALUATION DU NC D'UN DISPOSITIF PASSIFBien que la barrire passive soit gnralement considre comme "extrmementfiable", il nexiste pas, ce jour et notre connaissance, de donnes disponiblesqui permettent de quantifier leur probabilit de dfaillance (pas de REX formalissur le fonctionnement des barrires passives, bases de donnes gnriques neprcisant pas suffisamment les contextes d'utilisation).

Seul, notre connaissance, l'ouvrage Layer Of Protection Analysis prsentant lamthode LOPA fournit des exemples de probabilit de dfaillance sur sollicitation(PFD) de dispositifs de scurit passifs que l'on trouve dans la littrature et dansl'industrie et propose de retenir une PFD. Mais les NC dtermins dans le LOPAsont des valeurs moyennes dont l'origine des donnes n'est pas clairementexprime, ce qui les rend difficilement exploitables car difficilement justifiables, encomparaison de la situation tudie. Le tableau suivant prsente ces informations.

Dispositif passif PFD (littrature etindustrie)

PFD retenu dansl'ouvrage LOPA

Cuvette de rtention 10-2 10-3 10-2

Systme de drainage souterrain 10-2 10-3 10-2

Event ouvert 10-2 10-3 10-2

Ignifugeage 10-2 10-3 10-2

Mur rsistant la surpression /Bunker

10-2 10-3 10-3

Arrte Flamme 10-1 10-3 10-2

Disque de rupture 10-1 10-5 10-2

Tableau 7 : PFD de dispositifs extraits de l'ouvrage prsentant la mthode LOPA

Pour prendre en considration le fait que ce type de barrire est relativementfiable mais pour ne pas faire reposer toute la scurit sur une seulebarrire16, nous proposons de retenir par dfaut un NC2 sur les dispositifspassifs. De plus, ceci permet dintgrer les hypothtiques dfaillances dans lecycle de vie du dispositif (conception, fabrication, installation sur site, dfaillanceintrinsque, maintenance).

16 Cette vision est en accord avec la philosophie de la norme NF EN 61508 relative aux systmesinstruments de scurit dans laquelle la notion d'architecture (et de redondance ventuelle desystmes) et celle de contrainte quantitative sont complmentaires.

rf : DRA-08-95403-01561B - -10 Page 42 sur 59

Cependant, des mesures complmentaires peuvent tre mises en place quipermettent de mieux dtecter dventuelles dfaillances ou de rduire lespossibilits de dfaillance de la barrire au moment o elle sera sollicite. Dans lecas de l'existence de ces mesures, nous proposons d'augmenter au cas parcas le NC 3. Par exemple : Des contrles spcifiques internes (par l'industriel, sur la base d'une procdure

de contrle) et/ou externes (par des assureurs, par un organisme expert)peuvent tre mis en place diffrents stades de la mise en uvre de labarrire ;

Accrditations des entreprises ralisant les installations ; Suivi de standards de conception, de fabrication, dinstallation ou de

construction ;

Gestion des modifications selon des procdures.

Au contraire, le NC de la barrire peut tre rduit. Il est en effet ncessaired'analyser pour chaque barrire les dfaillances possibles ; une probabilitd'occurrence leve sur une cause de dfaillance pourra conduire rduire leNC moins de 2.

5.3 PRINCIPE D'EVALUATION DES BARRIERES DE SECURITE "PASSIVES"Deux situations se prsentent :

Lorsque le dispositif passif constitue lui seul une barrire de scurit(exemple du mur coupe-feu sans ouvertures dans le mur ou du disque derupture chappant directement latmosphre), lvaluation repose simplementsur les principes dfinis plus haut.

Lorsque la mesure potentiellement passive est associe des mesurestechniques et/ou humaines pour assurer une fonction de scurit (parexemple fonction de limitation de la propagation d'un incendie assure par unmur coupe-feu et des portes coupe-feu, fonction de rduction des effets au solassure par un confinement et un extracteur), lvaluation de la barrire doitprendre en compte lvaluation des mesures associes (en utilisant parexemple les mthodes dveloppes dans ce rapport et dans l'Omga 20 [1]).

Les deux situations suivantes sont possibles : Lorsque la dfaillance des mesures associes conduit la perte totale

de la fonction de scurit, l'valuation des performances est faite enintgrant dans la performance de la barrire les performances des lmentsassocis. On ne considre alors que deux situations : fonctionnement oudfaillance de la fonction de scurit. Les paramtres (efficacit, NC) sontalors valus pour la fonction de scurit.

rf : DRA-08-95403-01561B - -10 Page 43 sur 59

Lorsque la dfaillance des mesures associes conduit une pertepartielle17 de la fonction de scurit, l'valuation des performances peutgalement tre faite comme prcdemment en ne considrant alors que lesdeux situations : fonctionnement ou dfaillance de la fonction de scurit.Mais il peut aussi tre retenu de raliser l'valuation de la barrire endissociant les diffrents lments constitutifs et en les valuantsparment.Cette approche est certes plus complexe dans sa prsentation car elle faitapparatre plus dvnements associs respectivement au fonctionnementou la dfaillance de chacun des composants de la barrire de scurit.Les paramtres (efficacit, Niveau de Confiance) sont alors valus pourchaque fonction associe chaque composant de la barrire.Cependant cette approche prsente deux avantages notables qui peuventjustifier son utilisation :9 Elle permet de faire apparatre des vnements dintensits et de

probabilits gradues. La probabilit doccurrence de chaque vnementest value respectivement partir de la probabilit de dfaillance dudispositif passif et partir des probabilits de dfaillance des mesuresassocies.

9 Elle permet de faire apparatre clairement les vnements associs ladfaillance du dispositif passif, ce qui permet de vrifier les conditionsdapplicabilit (aspect mesure passive) du "filtre probabilit" dfini dansla circulaire du 3 octobre 200518.

Note : toute fonction de scurit intgre une part humaine, ne serait-ce que dansles oprations de conception, montage, maintenance, etc. Lorsque l'actionhumaine est intgre dans le cycle de vie de la barrire (montage de disque derupture, vidange de cuvette de rtention), elle ne remet pas en cause lecaractre passif de la barrire. On considre alors que la barrire est passive ;l'action humaine est intgre dans les performances de la barrire. En revanche,lorsque l'action humaine est une action complmentaire pour le fonctionnement dela barrire (fermeture manuelle de porte dans un mur coupe-feu), elle remet encause le caractre passif de la barrire.

17 La perte partielle de la fonction de scurit signifie qu'une fonction de scurit reste assure parla partie "passive" de la barrire. Par exemple une enceinte de confinement assure une rductiondes effets de dispersion au sol mme en cas de dfaillance du systme d'extraction.18 Circulaire du 3 octobre 2005 relative la mise en uvre des plans de prvention des risquestechnologiques

rf : DRA-08-95403-01561B - -10 Page 44 sur 59

5.4 EXEMPLE ET REPRESENTATION EN ARBRES D'EVENEMENTSOn envisage les trois situations suivantes :- Le dispositif assure seul la fonction de scurit (pas de mesures techniques

et/ou humaines associes) ;- La dfaillance d'une mesure technique et/ou humaine conduit la perte totale

de la fonction de scurit lie la barrire passive ;- La dfaillance d'une mesure technique et/ou humaine conduit une perte

partielle de la fonction de scurit lie au dispositif passif.

5.4.1 CAS DU DISPOSITIF PASSIF On considre l'exemple d'un disque de rupture, suppos mont directement sur

le racteur qu'il protge de la surpression. L'arbre d'vnements est le suivant :

Figure 5 : Exemple darbre d'vnements - disque de rupture

Un autre exemple est la cuvette de rtention (hors rtention avec vidangegravitaire). Une action manuelle de vidange rgulire est ncessaire pourassurer l'efficacit de la barrire, mais cette action humaine est intgre dansles oprations de maintenance et ne remet pas en cause le caractre passif dela cuvette.

Figure 6 : Exemple darbre d'vnements cuvette de rtention

rf : DRA-08-95403-01561B - -10 Page 45 sur 59

5.4.2 CAS DE LA PERTE TOTALE DE LA FONCTION DE SECURITESi la dfaillance des mesures techniques et/ou humaines associes la mesurepotentiellement passive conduit la perte totale de la fonction de scurit lie labarrire passive, larbre d'vnements conduit deux vnements :fonctionnement ou dfaillance de la fonction de scurit. Les performances(efficacit, NC) sont values en tenant compte des performances de chaquecomposant de la barrire.Ainsi, pour des murs coupe-feu quip de portes, l'arbre d'vnements (sur lapriode infrieure au degr coupe-feu du mur) est le suivant :

Figure 7 : Exemple darbre d'vnements murs coupe-feu avec portes coupe-feu

Note : les figures font apparatre le paramtre NC. Celui-ci peut se traduire enpratique par une probabilit doccurrence dvnement.

5.4.3 CAS DE LA PERTE PARTIELLE DE LA FONCTION DE SECURITESi la dfaillance des mesures techniques et/ou humaines associes la mesurepassive conduit la perte partielle de la fonction de scurit, il est possible dereprsenter l'arbre d'vnements de deux faons. Une reprsentation de type simplifie est toujours envisageable mais elle est

rductrice car elle ne fait pas apparatre les phnomnes de probabilits etd'intensits gradues. Ainsi, pour un confinement quip d'un extracteur, l'arbred'vnements simplifi est le suivant :

Figure 8 : Exemple darbre d'vnements simplifi pour un confinement

Note : l'intensit maximale correspond l'absence de confinement.

rf : DRA-08-95403-01561B - -10 Page 46 sur 59

Mais la reprsentation dtaille suivante peut galement tre adopte.

Figure 9 : Exemple darbre d'vnements dtaill pour un confinement

5.5 CAS PARTICULIER DU DISPOSITIF PASSIF PERDANT SON EFFICACITE APRESUN CERTAIN DELAI

Lefficacit d'une barrire passive peut tre dgrade au-del dun tempsdonn : le facteur de rduction de risques est alors li au NC de la barrirepassive mais aussi au NC de la fonction permettant de ne pas atteindre le dlai aubout duquel la barrire passive perd ses performances. Diffrents phnomnesdangereux peuvent tre associs, mais il est noter que les cintiques sontalors diffrentes.Par exemple : si des murs coupe-feu (supposs non percs de portes) autourdune cellule de stockage sont dimensionns pour limiter la propagation d unincendie pendant une dure tcoupe-feu et que la capacit en combustibles peutconduire un feu de dure suprieure tcoupe-feu, cest la barrire dextinction delincendie (mesure technique et/ou humaine) qui conditionne la bonne ralisationde la fonction de scurit que doit assurer le mur coupe-feu. Les phnomnesidentifis ont des cintiques diffrentes. La barrire dextinction intervient dansun premier temps pour limiter la dure de lincendie. Au-del de la dure de tenuedu mur, elle intervient aussi pour limiter la propagation de lincendie ; mais ce nestplus le mur qui assure cette fonction.

La figure page suivante illustre ces diffrentes configurations. De maniresimplifie, il est retenu sur la figure que le mur est "simple" (pas douvertures dansles murs) :

rf : DRA-08-95403-01561B - -10 Page 47 sur 59

Figure 10 : Exemple darbre d'vnements pour un mur coupe-feu sans ouverture

rf : DRA-08-95403-01561B - -10 Page 49 sur 59

6 EVOLUTION DES PERFORMANCES DANS LE TEMPS(MAINTENANCE ET TESTS)

La performance des BTS se dgrade dans le temps lorsque aucune maintenancenest mise en place. Le maintien des performances dans le temps doit tre assurpar la mise en uvre dune maintenance et dune inspection adaptes, et enralisant des tests priodiques19 de fonctionnement.En cas de modifications (sur les barrires ou sur le procd), il faut sassurer parune bonne gestion des modifications que les performances des barrires nesont pas dgrades.

6.1 MAINTENANCELes barrires techniques de scurit doivent faire l'objet d'une maintenanceprventive destine garantir le maintien des performances dans le temps. Cesoprations pourront prendre la forme d'oprations d'entretien ( si elles consistentjuste graisser ou revisser certains boulons) ou d'oprations plus lourdes demaintenance pouvant conduire une indisponibilit de la barrire (s'il fautdmonter entirement la barrire pour tout nettoyer voire pour changer certainespices).La priodicit de la maintenance sera fonction :

des donnes des constructeurs, du retour d'exprience de l'Industriel, donc de l'utilisation de la BTS dans

ses condit