Introduction :

Ce chapitre présente une méthodologie pour la détermination des éléments Importants Pour la Sécurité dans le cadre d’études des dangers. Ainsi des méthodes pour évaluer la performance des barrières de sécurité.

2.1 Principes directeurs pour la sélection des éléments IPS :

La détermination des éléments IPS se fonde principalement sur l’analyse de risques qui permet de distinguer les scénarios d’accidents majeurs.Pour chacun de ces scénarios, il convient d’identifier des fonctions de sécurité à assurer en vue de prévenir l’occurrence d’un accident majeur ou d’en limiter les conséquences.L’exploitant retient ensuite certains éléments comme IPS parmi les barrières de sécurité susceptibles de remplir ces fonctions avec un niveau de performance acceptable.Cette identification des éléments IPS est réalisée préférentiellement lors de l’analyse des risques menée en groupe de travail.En fonction des résultats d’approches plus détaillées (évaluation quantitative des conséquences d’accidents, examen détaillé de certains scénarios…), la liste d’éléments IPS proposés en groupe de travail peut être complétée ou validée.Enfin, une présentation de la liste des éléments IPS retenus doit être réalisée dans l’étude des dangers en mettant notamment en lumière les tâches organisationnelles relatives à ces éléments.

Ces différentes étapes sont détaillées dans les paragraphes suivants.

2.1.1 Analyse des risques :

L’analyse du risque est définie dans le Guide ISO/CEI 51 :1999 comme « l’utilisation des informations disponibles pour identifier les phénomènes dangereux et estimer le risque ».L’analyse des risques vise tout d’abord à identifier les sources de dangers et les situations associées qui peuvent conduire à des dommages sur les personnes, l’environnement ou les biens.

L analyse des risques associées a l exploitation d’installation industrielle suit le démarche suivant .ce démarche se décompose généralement en plusieurs étapes.

Définition du système à étudier et des objectifs à atteindre :Cette étape préliminaire permet de définir clairement le cadre de l’analyse des risques.

Recueil des informations indispensables à l'analyse des risques :Cette seconde étape vise à collecter l’ensemble des informations pertinentes pour mener le travail d’analyse de façon efficace. Outre la description fonctionnelle de l’installation à étudier et de son environnement, il est indispensable d’avoir clairement identifié :

- Identification des potentiels de dangers sur la base des dangers liés aux produits et à leurs conditions de mise en œuvre,

- Identification et analyse des risques d’agressions externes, qu’elles soient d’origine naturelle (séisme, foudre, inondations…) ou liées à l’activité humaine (effets dominos, voies de communication, malveillance…),

- Analyse des accidents passés sur les installations étudiées ou des installations similaires.

Définition de la démarche à adopter :

Dans cette étape, il est notamment question de choisir un ou plusieurs outils pour mener l’analyse des risques et de retenir, si nécessaire, des échelles de cotation des risques et une grille de criticité.

Mise en œuvre de l’analyse de risques dans le cadre d’un groupe de travail :

Pour être aussi exhaustive que possible, l’analyse des risques doit être menée au sein d’un groupe de travail réunissant des spécialistes des installations étudiées.

L’analyse des risques constitue le cœur de l’étude des dangers et du processus de détermination des éléments IPS.

Importance de l'analyse des risques :

Lors de l’analyse des risques en groupe, quel que soit l’outil utilisé, il s’agit, dans un premier temps, d’identifier une dérive ou défaillance de départ, d’en identifier l’ensemble des causes et enfin, d’en caractériser l’ensemble des conséquences (à savoir les effets sur les cibles). Très clairement, ce travail vise à déterminer des scénarios d’accidents.Bien entendu, au cours de la réflexion, de nombreux scénarios peuvent être identifiés sans qu’ils concernent tous la problématique des accidents majeurs. Il y a alors lieu d’identifier les scénarios d’accidents majeurs qui devront être étudiés dans le cadre d’une étude des dangers et pour lesquels des éléments IPS devront être définis.

2.1.2 Identification des scénarios d accidents majeurs :

L’identification des scénarios d’accidents majeurs est réalisée au sein du groupe de travail sur la base d’une évaluation semi-quantitative des dommages potentiels au niveau des cibles. Pour cela, l échelle de cotation de la gravité est inespéré a partir de la grille de criticité.

La grille de criticité :

1 Niveau de probabilité :

Le niveau de probabilité d’une grille est une échelle qui repose sur une approche qualitative, semi quantitative, quantitative de l’estimation de l’apparition des événements redoutés.

Le tableau suivant présente les niveaux de probabilité de la grille selon l’approche qualitative

Classequalitative :

Description

« événement Possible mais extrêmement peu probable » E

n’est impossible au vu des connaissances actuelles, mais non rencontré au niveau mondial sur un très grand nombre d années d installation.

« événement très improbable » D

s’est produit dans ce secteur d’activité mais a fait l objet de mesures correctives réduisant significativement sa probabilité.

« événement improbable » C 

un événement similaire déjà rencontré dans le secteur d’activité ou dans ce type d’organisation au niveau mondial, sans que les éventuelles corrections intervenues depuis apportent une garantie de réduction significative de sa probabilité.

« événement probable » B 

s’est produit et/ou peut se produire pendant la durée de vie de l installation.

«  événement courant » A 

s’est produit sur le site considéré et / ou peut se produire à plusieurs reprises pendant la vie de l installation, malgré d’éventuelles mesures correctives.

Tableau : niveau de probabilité

2 Niveau de gravité :

Pour chaque événement dangereux, un niveau de gravité sera défini pour l'impact sur les biens, un autre pour l'impact sur les personnes et un troisième pour l'impact sur l'environnement. L’échelle de gravité semi quantifiée se présentera comme suit

A ce stade, il s'agit d'identifier les situations accidentelles qui, si elles ne sont pas maîtrisées, peuvent conduire à des dommages majeurs sur les cibles. Dès lors, l'identification des scénarios d'accidents majeurs doit être réalisée en négligeant l'action de toutes les barrières de sécurité éventuellement présentes. La suite de l'analyse des risques consistera bel et bien à montrer que ces barrières sont effectivement correctement dimensionnées vis-à-vis des risques identifiés.2.1.3 Définition des fonctions importante pour la sécurité :

Une fonction Importante Pour la Sécurité traduit une action à réaliser pour maîtriser au mieux le risque d’accident majeur.Elle peut se décliner selon qu’elle vise à :

• Prévenir l’occurrence d’un événement redouté (prévention),• Limiter les conséquences d’un événement redouté (protection),

• Eventuellement, contrôler une situation dégradée (intervention).

Ainsi, pour chacun des scénarios d’accident majeur identifié, le groupe de travail doit définir les fonctions IPS à assurer.L’analyse des risques d’origine interne à une installation permet de mettre en valeur de nombreuses fonctions de sécurité agissant en prévention et quelques-unes agissant en protection.L’analyse des risques d’origine externe vise quant à elle à étudier les causes et les conséquences des agressions externes sur les équipements (chocs, flux thermiques, ondes de pression…). Elle met en valeur certaines fonctions de prévention mais plus particulièrement des fonctions de protection et d'intervention qui peuvent être qualifiées d'IPS par l'exploitant. L’intervention consiste à limiter les conséquences de l’événement redouté par action humaine ou par la mise en œuvre de moyens d’intervention qui visent à soustraire les cibles aux effets d’un accident. De ce fait, elle peut être assimilée à une action de protection.

En règle générale, il est souhaitable de définir des fonctions IPS agissant en prévention et en protection.

2.1.4 EXAMEN DES PERFORMANCES DES BARRIERES DE SECURITE :

Pour chacune des fonctions de sécurité identifiées, il s’agit alors de dresser la liste des barrières de sécurité pouvant remplir a priori la fonction considérée.Ces barrières peuvent être des équipements ou des opérations à réaliser. Elles ont normalement été listées ou proposées lors de la phase d’analyse des risques. Les performances des barrières de sécurité sont évaluées à partir de leur capacité de réalisation, de leur temps de réponse et de leur niveau de confiance.La démarche d examen des performances des barrières de sécurité était détaillée dans le chapitre précédent.

2.1.5 Choix des EIPS :

Sur la base de l’identification des fonctions IPS des barrières et de l’évaluation des performances de ces dernières, le groupe de travail procède à la sélection des élémentsIPS.Dans certains cas, le groupe de travail ne peut se prononcer faute de données suffisamment renseignées. C’est pourquoi une phase de validation des éléments IPS peut être nécessaire.

2.1.6 Validation des EIPS :

La validation de la liste des éléments IPS peut faire appel à des outils particuliers permettant d’apporter des réponses quantitatives à certaines questions soulevées par le groupe de travail.Il peut par exemple s’agir de :

Vérifier que la capacité de réalisation d’une tour de neutralisation de gaz toxique est suffisante pour limiter grandement les effets associés à une fuite particulière. Dans ce cas, il s’agira de réaliser un calcul de distances d’effets en prenant en compte le taux d’abattage de cette tour ;

Valider le temps de réponse de débitmètres devant détecter une chute de débit sur une longue canalisation. Il s’agira alors de mener une étude hydraulique en étudiant la décompression dans la canalisation ;

Justifier le niveau d’intégrité de sécurité d’une barrière de sécurité à partir d’outils issus de la Sûreté de Fonctionnement.

De telles études particulières doivent être réservées à des cas jugés particulièrement critiques et pour lesquels des éléments de réponse quantifiés sont nécessaires. Une telle démarche doit être décidée au cas par cas.En fonction des résultats de cette étape, la liste des éléments IPS peut être amendée, modifiée ou complétée. Dans tous les cas, elle doit être validée par l’exploitant.

2.1.7 Présentation des éléments IPS :

La dernière étape de ce processus consiste à présenter les éléments IPS dans le cadre de l’étude des dangers.Pour la clarté de cette présentation, il est recommandé de bien préciser à quels scénarios d’accidents majeurs les éléments IPS se rapportent. Il est de plus indispensable de bien mettre en lumière les actions que l’exploitant s’engage à mener pour assurer un niveau de performances optimal des éléments IPS.

Figure 4 : Identification des éléments IPS dans les études de dangers

2.2 Méthodes basées sur les barrières de sécurité :

Des méthodes développées pour évaluer et inspecter les mesures de sécurité mises en place sur les installations industrielles. En général, ces méthodes sont utilisées, soit pour évaluer le contenu du rapport de sécurité, qui formalise la démonstration de l’identification et de la maîtrise des risques, soit pour inspecter les sites.

2.2.1 ARAMIS (Accident Risk Assesment Methodology for IndustrieS) :

Dans le contexte de la maitrise des risques, ARAMIS a choisi de s’orienter vers une approche par barrières. Il s’agit d’identifier tous les scénarios d’accidents majeurs envisageables puis de recenser les dispositions de sécurité ou barrières s’opposant au développement de l’accident.

L’acceptabilité des risques réside ensuite dans le choix du nombre et de la performance des barrières à installer pour considérer les risques maîtrisés.L’organisation humaine assure le maintien dans le temps de la qualité des barrières. A cet égard, cette dernière doit aussi être évaluée à travers un indice M qui reflète le degré de confiance fait au système humain pour garantir la fiabilité et la disponibilité des barrières.

DEROULEMENT DE LA METHODE

La méthode ARAMIS est structurée en six étapes :

1. Identification des scénarios potentiels d'accident majeur (MIMAH)

L‘identification des scénarios d‘accident repose sur l‘utilisation d‘une série d‘arbre de défaillance et d‘arbres d‘événement génériques correspondant aux différents types d‘équipements utilisés régulièrement dans l‘industrie chimique.

L'identification des scénarios est précédée par une étape permettant de sélectionner les équipements, de l‘installation étudiée, qui doivent faire l'objet d'une analyse. Cette sélection est réalisée en tenant compte de la nature et de la quantité des substances ainsi que des conditions dans lesquelles elles sont mises en œuvre.

Pour chaque couple formé d‘un équipement et de la substance qu‘il contient, la méthode permet de définir la liste des événements critiques (EC), perte de confinement ou perte d‘intégrité physique, qu‘il est susceptible de générer. A chaque EC ARAMIS associe un arbre de défaillance générique qui sera ensuite modifié pour correspondre aux spécificités de l‘installation étudiée. De même, à partir d‘un événement critique et de la substance dangereuse impliquée, la méthode permet de construire un arbre d‘événement type, qui, combiné à l‘arbre de défaillance forme un nœud papillon représentatif de plusieurs scénarios d‘accident. Ces arbres génériques ne constituent naturellement qu‘un guide pour l‘analyste qui doit exercer son expertise pour conserver ou éliminer des événements, prolonger des branches lorsque c‘est pertinent.

2. Identification des barrières de sécurité et évaluation de leurs performances

Une fois les scénarios d‘accident potentiels identifiés, la méthode ARAMIS prévoit d‘identifier les barrières de sécurité permettant de réduire la probabilité de l‘accident ou d‘en réduire la gravité potentielle. Des listes de barrières sont proposées pour aider l‘utilisateur dans sa démarche.

En parallèle, un graphe de risque inspiré de la norme CEI 61508 permet de définirles exigences de sécurité associées à un scénario donné et de définir ainsi le niveau de confiance global que doivent avoir les barrières de sécurité pour que le scénario soit acceptable.

3. Evaluation de l'efficacité du management et de son influence sur lesperformances des barrières de sécurité

Deux questionnaires d‘audit permettent de prendre en compte les performances du management de l‘usine et la culture de sécurité sur le site. Les niveaux de confiance des barrières de sécurité sont affectés par le management et la culturede sécurité et sont donc recalculés à l'issue de cette évaluation.

4. Identification des Scénarios de Référence (MIRAS)

Une matrice de criticité est utilisée ensuite pour déterminer les scénarios de référence qui vont faire l‘objet d‘une modélisation des effets.

5. Estimation et cartographie de la sévérité des scénarios de référence

La sévérité des scénarios est alors évaluée. Plusieurs indices de sévérité ont été définis. Un premier indice permet de représenter les effets potentiels d'un scénario d'accident. Il repose sur une normalisation des effets dans une échelle unique. L'indice 100 correspondant au début des effets létaux et l'indice 0 à des effets nuls. L'évaluation des effets du scénario considéré conduit à calculer cinq distances d'effet correspondant à cinq seuils auxquels sont affectés les indices 100, 75, 50,25 et 0. Entre ces distances seuils, l'indice de sévérité décroît de façon linéaire.

Un indice de sévérité global a aussi été défini. Il permet de représenter le cumul des sévérités de l'ensemble des scénarios d'accident sur le site pondéré par les probabilités associées à chaque scénario. A l'issue de ce calcul, il est donc possible de tracer une carte de sévérité autour du site.

6. Cartographie de la vulnérabilité

La carte de sévérité, une fois tracée, peut être mise en regard de la carte de vulnérabilité établie dans la dernière étape de la méthode. La vulnérabilité est estimée en faisant l'inventaire des éléments vulnérables potentiels (ou enjeux) autour du site industriel. Chaque type d'enjeu (humain, matériel, environnemental) est décomposé en différentes catégories dont la vulnérabilité relative à différents types d'effets a été évaluée sur la base d'un jugement d'expert. La vulnérabilité globale d'une zone est donc obtenue en effectuant une somme des différents types d'enjeux pondérée par leur vulnérabilité relative au type d'effet considéré.

La méthode ARAMIS a donc pour objectif de produire, in fine des résultats utiles àla décision en matière de maîtrise de l'urbanisation puisqu'elle permet de représenter de façon synthétique le risque sous forme d'une carte de sévérité couplée à une carte de vulnérabilité. Elle vise aussi à apporter des informations utiles relatives à la maîtrise du risque à la source, en identifiant les scénarios potentiels et les barrières qui permettent de les maîtriser. Enfin, elle constitue une approche innovante de la quantification de l'influence du management sur la sécurité du site.

Les études de cas réalisées au cours du projet ARAMIS ainsi que les applications qui ont été faites de la méthode depuis la fin du projet on montré son intérêt mais aussi certaines limites ou difficultés d‘application. Une partie de ces limites est liéeà l‘absence de critères de décision permettant d‘exploiter la représentation de la sévérité et de la vulnérabilité. Cette difficulté a été en partie levée en France par l‘adoption des critères d‘appréciation de la maîtrise des risques et des critères de définition des zones de maîtrise de l‘urbanisation dans le cadre des PPRT, sur la base desquels l‘indice de sévérité peut être réinterprété. De même, l‘évaluation dela performance des barrières de sécurité faite dans ARAMIS correspondait à une première approche. Les connaissances en la matière ont bien évolué depuis la fin

Lopa :

La méthode LOPA [CCPS 2001] a été développée à la fin des années 1990 par le CCPS (Center for Chemical Process Safety). LOPA signifie Layer Of Protection Analysis (Analyse des niveaux de protection). C'est une méthode orientée au barrière au même titre qu'ARAMIS. Les premières étapes sont d'ailleurs assez comparables à celles de la méthode ARAMIS, en termes de principes généraux, même si de nombreuses différences subsistent au niveau des détails des deux méthodes. En revanche, LOPA ne prévoit pas de représentation cartographique de la sévérité et de la vulnérabilité.

La méthode LOPA peut être décomposée en six principales étapes :

1. Etablissement des critères de sélection des scénarios à évaluer.

Cette étape est un préalable à l'analyse de risques. Elle fournit le moyen de limiter la durée de l'étude en ne considérant que les scénarios significatifs en termes de conséquences. Le critère peut être un critère d'intensité (quantité de produit rejeté, flux mesuré à la source) ou un critère de conséquence qui intègre implicitement l'existence d'enjeux aux alentours.

2. Développement des scénarios d'accident

Les scénarios d'accident sont développés sur la base d'une analyse de risques utilisant des outils traditionnels tels que l’AMDEC ou l'HAZOP .Les scénarios sont représentés sous forme d'un nœud papillon.

3. Identification des fréquences d'événements initiateurs

Une analyse détaillée des scénarios est entreprise en considérant chaque combinaison d'événements initiateurs associés à une conséquence. La fréquence d'occurrence de chaque événement initiateur est estimée sur la base de données internes de retour d'expérience ou de données issues de la littérature.

4. Identification des dispositifs de sécurité et de leurs probabilités de défaillance à la demande

Pour chaque scénario on identifie alors les dispositifs de sécurité, en considérant les critères de qualification de ces dispositifs que sont leur indépendance par rapport au phénomène ou à l'événement auquel ils s'appliquent, la capacité de réalisation du dispositif, la possibilité d'inspecter le dispositif. Les dispositifs qui répondent à ces critères sont qualifiés d'IPL (Independent Protection Layer), concept à rapprocher de celui d'EIPS (Eléments Importants Pour la Sécurité).

A chaque dispositif de sécurité est associée une probabilité de défaillance à la sollicitation qui correspond à un facteur de réduction du risque. LOPA fait référence de façon explicite au niveau d‘intégrité de sécurité (SIL, Safety Integrity Level), inspiré de la norme CEI 61508. Les systèmes de sécurité considérés sont essentiellement techniques, mais il est en théorie possible de prendre aussi en compte les barrières humaines ou organisationnelles

[Gowland 2006].5. Estimation du risque

La probabilité du scénario d'accident est alors estimée en réduisant la probabilité de l'événement initiateur de plusieurs ordres de grandeur correspondante aux niveaux de SIL des dispositifs de sécurité retenus. Comme dans la méthode ARAMIS, des matrices de décision permettent de définir le niveau de réduction du risque minimum que doivent présenter les systèmes en fonction du niveau de conséquence possible du scénario et de la fréquence de l'événement initiateur. La méthode LOPA n'impose cependant pas d'utiliser ces matrices et l'utilisateur est libre de mettre en Œuvre des calculs de sûreté de fonctionnement plus traditionnels s'il le souhaite et en a la possibilité.

6. Evaluation du risque par rapport aux critères d'acceptabilité

La dernière étape de la méthode consiste à s'assurer que le risque est maîtrisé, c'est à dire qu'il est bien inférieur aux critères d'acceptabilité qui ont été fixés au préalable. LOPA n'impose pas de type de critère prédéfini et propose ainsi quatre catégories de critères :

une grille de criticité comportant une limite d'acceptabilité en termes de gravité et de fréquence ;

un critère purement quantitatif portant sur le niveau de conséquence du scénario ;

un critère spécifiant le nombre de dispositifs de sécurité indépendants nécessaires pour considérer qu'un scénario est suffisamment maîtrisé ;

un critère de risque cumulé maximum pour un site ou un procédé.

Il n‘est pas prévu dans LOPA de produire des informations utiles pour la maîtrise de l'urbanisation. Ainsi l'évaluation de la vulnérabilité et la cartographie de la sévérité ne sont pas abordées dans la méthode.

AVRIM 2

AVRIM2 est une méthode basée sur le concept de scénarios et de lignes de défense (concept similaire à TRAM). Cette méthode permet d'évaluer "la solidité" du Système de Gestion de la Sécurité d'une entreprise, en ce qui concerne la maîtrise des risques de perte de confinement de substances dangereuses. L'évaluation est effectuée à travers l'examen du rapport de sécurité (équivalent de l'étude des dangers) et une inspection du site.

Méthodologie :

Matrice des risques :

La matrice des risques permet l'évaluation de l'occurrence des scénarios par évaluation quantitatif des risques pour les scénarios avec des conséquences hors du site.Les données de défaillance pour cette évaluation quantitative proviennent de données historiques génériques et d'expertises. Ces données ont pour but de se concentrer sur la fiabilité des systèmes de LOD (Line Of Defence) et les possibles conséquences en cas de

défaillances, permettant ainsi à l'Inspecteur de mener à bien une vérification de la qualité des LOD.Dans cette perspective, une approche semi quantitative est recommandée ; le calcul des probabilités de défaillances et les conséquences qui en découleraient peuvent être classés dans des catégories, dont les critères sont proposés par l'exploitant. La matrice des risques résulte de la composition de ces catégories. Plus les conséquences des scénarios d'accident sont graves, plus la fiabilité des LOD devra être importante.

Tableau : Matrice des risques AVRIM2

X : risque élevé inacceptable. La Société doit le réduire par des mesures de prévention et / ou des moyens de protection.O : risque élevé. La Société doit adresser aux inspecteurs des analyses coûts bénéfices des réductions de risque supplémentaires à mettre en place. Les inspecteurs doivent vérifier ces analyses coûts bénéfices et les contrôles déjà en place.= : acceptable. Aucune action n'est requise.

Echelle de probabilité Echelle des conséquences

1 : très faiblejamais vu dans ce secteur industrielpresque impossible dans l'établissement<10-4 par an

2 : faibledéjà rencontrer dans ce secteur industrielpossible dans l'établissement<10-3 par an

3 : moyennedéjà rencontrer dans la sociétéoccasionnelle mais peut arriver quelque fois dansl'établissement<10-2 par an

1 : négligeableimpact mineur sur le personnel, pas d'arrêt deproduction

2 : mineursoins médicaux pour le personnel, dommagemineur, petite perte de production

3 : sérieusepersonnel sérieusement blessé (arrêt de travail),dommages limités, arrêt partiel de la production

4 : majeureblessure handicapante à vie, dommages

4 : importantearrive quelque fois par an dans toute la sociétépossibilité d'incidents isolés dans l'établissement<10-1 par an

5 : très importantearrive plusieurs fois par an dans toute la sociétéincidents répétés dans l'établissement>10-1 par an

importants, arrêt de la production

5 : très graveun ou plusieurs morts, dommages très étendus,long arrêt de la production

Tableau : Classe de fréquences AVRIM2

Scénarios et lignes de défense ou barrières (LOD) :La description des étapes par lesquelles les accidents peuvent se réaliser est basée sur l'identification de scénarios, avec unicité ou combinaison de défaillances du système technique, donc des équipements et procédures relatifs à la maîtrise du confinement des substances dangereuses. Ces scénarios sont retranscrits à l'aide d'arbres de défaillances et d'arbres d'événements, joints, constituant une figure en forme de "nœud papillon".

Liens entre SGS et système technique :

A chaque événement de base (obtenu à partir des arbres génériques) correspond un ensemble de lien qualifié de "check-list LOD".Une "check-list LOD" comprend :-un événement de base,- un ou plusieurs types de LOD associés au scénario issu de l'événement de base,- des cycles de vie par LOD,- des thèmes de management par cycle.Les cycles de vie sont :- la conception et les modifications,- la construction,- l'exploitation,- la maintenance, l'inspection et les tests.

Les thèmes de management :

Les thèmes de management réalisent l'interconnexion du système technique au système de management. Pour chaque cycle de vie existe un modèle de management, une boucle de suivi et de contrôle. Cette boucle possède un nombre de composants de contrôle et de suivi liés, comme par exemple un système de contrôle d'auto amélioration et d'auto régulation.Pour chacun des 15 composants de la boucle du système, il existe des thèmes communs.

Les points importants pour l'audit du système sont groupés sous 9 thèmes, qui rappellent chacun des 15 composants de la boucle. La sélection d'un nombre limité de thèmes (9) rend possible un audit restreint de la boucle de contrôle et de suivi.

Tram :

La méthode TRAM a été développée par l'administration anglaise (Health and SafetyExecutive). C'est un outil d'audit des risques et d'inspection .cette méthode est basée sur le modèle d'arbres d'événements.

C'est une technique qui permet l'évaluation approximative à la fois des risques et des mesures de réduction associées aux risques pour des processus donnés. Ces mesures de réduction du risque (ou barrières) sont appelées 'lignes de défense' (LOD : Line Of Defence). Ces LOD font l'objet d'un audit.

TRAM est définie comme une méthodologie conforme et cohérente avec les principes de la norme CEI 61508.

Méthodologie :

Ligne de défense (Line Of Defence) ou barrière :

Dans TRAM une LOD (Line Of Defence) est définie numériquement de la façon suivante:

LOD = −log10 (PFD)

avec PFD : probabilité de défaillance sur demande. Si le taux de sollicitation de la barrière est continu, alors PFD est remplacée par la probabilité de défaillance par heure (PFU).

Les lignes de défense se répartissent en 4 groupes : active : barrière nécessitant une source d'énergie extérieure pour remplir à bien sa

fonction et l'initiation de ses composants, comme une chaîne de détection, passive : barrière qui n'a pas besoin de source d'énergie extérieure pour fonctionner

correctement, par exemple une cuvette de rétention, une soupape de sécurité mécanique,

physique : barrière provenant d'un processus physique ou naturel, comme les conditions climatiques, la dissipation naturelle de la chaleur,

procédure : barrière indiquant de façon très précise, les interventions humaines à effectuer pour supprimer ou réduire les conséquences d'un évènement initiateur.

Catégorie de conséquences :

TRAM définit la catégorie de conséquences (Ci) des accidents issus de défaillances sur une échelle allant de 1 à 7. En pratique, considérant la sécurité des personnes et les conséquences environnementales, l'échelle utilisée est comprise entre 3 et 7. Mais cette échelle n'est pas fermée et Ci peut prendre des valeurs supérieures à 7.Ci est déterminée par :

Ci= -log 10 (αN/m)

Ci : catégorie de conséquences de la séquence de défaillances i αN: critère d'acceptabilité choisi pour un accident provoquant de N à 10N mortsm : nombre de séquence de défaillances provoquant de N à 10N morts

Tableau 1 : Catégories de conséquences dans le modèle TRAMClasse de fréquence :

Dans TRAM, la classe de fréquence (Fi) de la séquence de défaillances i est définie par :

Fi = log10 ( fi )fi : fréquence de l'évènement initiateur de la séquence de défaillances i.

Evaluation du risque :

Le risque Ri, dû à la séquence de défaillances i, relie la conséquence et la fréquence d'occurrence de la façon suivante :

Ri = fiCiPi

fi : fréquence de l'évènement initiateur de la séquence de défaillances iPi : probabilité pour que cette séquence de défaillances i évolue vers un accident de catégorie de conséquence Ci

Si les barrières sont indépendantes les unes des autres, alors :

Pi,j : probabilité de défaillance sur demande de la barrière j dans la séquence de défaillancesi.

Pour être acceptable, chacune des séquences de défaillances i doit vérifier :

Fi + LODexigées ≥ Ci

Fi : classe de fréquence de la séquence de défaillances i

Avec : LODexigées = Σj LODi avec LODi = −log10 (Pi, j )

LODexigées donne l'acceptabilité du risque de laquelle découle l'acceptabilité du système de défense :Ci : catégorie de conséquence de la séquence de défaillances i

Principe de la méthode :

Le principe de cette méthode comporte les éléments suivants :

Les classes des fréquences des événements initiateurs qui proviennent des données génériques et/ou d usines (comme les taux de fuite…) ;

Les types de scénarios qui rassemblent un certain nombre d’évènements initiateurs amenant à des conséquences semblables ;

Les barrières (LOD),qui représentent les dispositifs de l’usine conçus pour empêcher l évolution d un événement initiateur vers un accident important ,ou pour atténuer les conséquences d un accident important s il se développe.les LOD sont quantifiées en utilisant les infirmations collectées lors des audits ;

Les catégories des conséquences