République Algérienne Démocratique et Populaire

Ministère de l’enseignement supérieur et de la recherche scientifique

Université Batna 2- Mostafa Ben Boulaid
Institut d'Hygiène et Sécurité
Département Sécurité Industrielle
Laboratoire de Recherche en Prévention Industrielle

Barrières de Sécurité

Support de cours destiné aux étudiants licences et Master I &II de la filière

Hygiène et Sécurité Industrielle

Préparé par :

Dr Ouazraoui Nouara

(Maitre de conférences A)

Mars 2023
 Préambule

Ce support de cours présente les différents types de barrières de sécurité et les méthodes

d’analyse et d’évaluation de leurs performances. S’adressant aux étudiants licence et master

I & II de la filière Hygiène et Sécurité Industrielle concernés par la gestion et la maitrise des

risques industriels. Il a pour objectif de proposer une démarche d’analyse et d’évaluation des

barrières de sécurité mise en œuvre dans les procédés Industriels.

Ce support de cours sera mis à jour régulièrement.

TABLE DES MATIERES

Introduction 01

Chapitre 1 : Définitions et concepts de base 02

1. Terminologies 02

1.1 Définition d’une Barrière de sécurité 02

1.2. Fonction de sécurité 04

1.3. Système de barrière 05

2. Rôle des barrières de sécurité dans la réduction du risque 06

3. Processus de Gestion des risques 09

3.1. Analyse du risque 09

3.1.1 Identification des risques 10

3.1.2 Estimation des risques 12
3.2 . Évaluation de l’acceptabilité des risques 12
12
3.2.1. Évaluation qualitative
13
3.2.2. Évaluation quantitative et hiérarchisation
3.3 Maîtrise du risque 14
15
3.3.1. Réduction du risque
17
3.3.2. Transfert de risque résiduel
Chapitre 2 : Typologie des Barrières de Sécurité 18

1. Classification Selon l’INERIS 18

1.1. Barrières techniques de sécurité (BTS) 19

1.1.1. Les dispositifs de sécurité 19

1.1.2. Barrières instrumentées de sécurité (BS) 22

1.2. Barrières organisationnelles de sécurité (BOS) 25

1.3. Système à action manuelle de sécurité (SAMS) 26

2. Classification selon la norme IEC 61511 27

i
3. Classification selon le mode de fonctionnement de la barrière 29

Chapitre 3 : Evaluation de la Performance des Barrières de Sécurité 34

1. Fonctions de la barrière de sécurité 34

2. Critères d'évaluation des barrières de sécurité 37

38
2.1. Identification des barrières de sécurité : Critères minimaux
2.2. Efficacité 39
2.3. Le temps de réponse : 41
2.4. Le niveau de confiance (NC)
42
Chapitre 4 : Méthodes d’évaluation des performances des Barrières 44
de Sécurité
1. Arbre des Évènements (AdE) 44

44
1. 1. Historique et domaine d’application
45
1.2. Principe de la méthode
46
1.3. Déroulement
1.3.1 Définition de l’événement initiateur 47
1.3.2 Identification des fonctions de sécurité 47
1.3.3 Construction de l’arbre des événements 49
1.3.4. Exploitation de l’arbre 52

1.4. Limites et avantage 54

2. Méthode d’Analyse des Couches de Protection (LOPA : Layers Of 54

Protection Analysis)
2.1. Principe de la méthode LOPA 55
2.2. Etapes d’élaboration de la méthode LOPA 55
2.2.1. Établissement des critères d’acceptabilité des scénarios d’accidents 55
2.2.2. Développement et sélection d’un scénario d'accident
56
2.2.3. Identification de l'événement initiateur du scénario et estimation de sa
56
fréquence
56
2.2.4. Identification des IPLs et estimation de leurs PFD
2.2.5. Calcul de la fréquence de la conséquence réduite : 61

2.2.6. Evaluation du risque par rapport aux critères d’acceptabilité 62

2.3. Formalisme de la méthode LOPA

62

ii
 2.4. Avantages, limites de la méthode LOPA
64

3. Nœud de Papillon 65
3.1. Principe 65
3.2. Déroulement 69
3.3 Limites et Avantages 70

4. Méthode Graphe de Risque 71

4.1. Réduction nécessaire du risque : 71
4.2. Niveau d’Intégrité de Sécurité : 72
4.3. Allocation du Niveau d’Intégrité de Sécurité par la méthode du graphe de 73
risque

5. Graphe de risque Etalonné 76

6. Analyse des barrières et des risques opérationnels (BORA : Barrier 79

and Operational Risk Analysis)
6.1. Élaboration d'un modèle de risque de base
80
6.1.1. Identification du système 82
6.1.2. Identification des événements initiateurs et de Diagramme Bloc 82
Barrière(DBB)
6.1.3. Modélisation de la performance des systèmes de barrières 84
6.1.4. Affectation des fréquences génériques pour chaque événement 86
initiateur
6.1.5. Élaboration de diagrammes d'influence des risques 88
6.1.6. Pondération des facteurs influençant le risque 92
6.1.7. Cotation des facteurs influençant le risque (RIF) 93
6.1.8. Ajustement des probabilités/fréquences moyennes de l'industrie 95
6.1.9. Nouveau calcul du risque afin de déterminer le risque spécifique
97
à la plateforme

6.2. Avantages et limites

98
Conclusion 100

Références bibliographiques 101

iii
Liste des Figures

05
Figure 1.1 : Hiérarchie des fonctions de la barrière

Figure 1.2 : Réduction du risque 06

Figure 1.3 : Le modèle énergétique 08

Figure 1.4 : Illustration des barrières influençant un processus d’accident 08

Figure 1.5 : processus de gestion des risques 10

Figure 1.6 : Principe ALARP 14

Figure 2.1 : Typologie des Barrières de Sécurité 19

Figure 2.2: Cuvette de rétention, Mur coupe-feu, Protecteur pour tours 20

Figure 2.3 : Soupape de sécurité 21

Figure 2.4 : Schéma générique d’une BIS 22

Figure 2.5 : Architecture depuis le capteur jusqu'à l'actionneur 23

Figure 2.6 : Schéma générique d’une SAMS 26

Figure 2.7 : Les couches de Protection 29

Figure 2.8 : Schéma illustratif des fonctions de sécurité 31

Figure 3.1 : Fonctions des barrières de sécurité à différents stades de 37

résilience

Figure 4.1 : Exemple d’un AdE et déroulement d’un scénario d’accident 46

Figure 4.2: Construction de l'arbre d’évènements relatifs à la défaillance du système
50
de refroidissement
Figure 4.3 : Exemple d’exploitation d’un arbre d’évènements
53
Figure 4.4 : Données HAZOP exploitées par LOPA
57

Figure 4.5 : Exemple d’une IPL non indépendante de l’événement initiateur 60

Figure 4.6 : AdE relatif à « défaillance du système de régulation » 64

iv
Figure 4.7: Représentation d’un scénario d’accident sous forme de nœud papillon 65

Figure 4.8 : Barrière de protection 68

Figure 4.9 : Nœud papillon d’une rupture de tuyauterie 70

Figure 4.10 : Modèle de réduction du risque 72

Figure 4.11 : Exemple de graphe de risque 75

Figure 4.12 : Fuite d’un gaz toxique 77

Figure 4.13 : Illustration du modèle de risque générique 81

Figure 4.14 : Illustration d'un schéma fonctionnel de barrière 83

Figure 4.15 : Schéma fonctionnel des barrières pour un scénario de libération 84

Figure 4.16 : Arbre de défaillance générique pour la modélisation de la défaillance
85
des systèmes de barrières
Figure 4.17 : Cadre d'identification des RIF 89

Figure 4.18 : Diagramme d'influence pour l'événement de base "L'opérateur ne 91

détecte pas une vanne en mauvaise position par auto-vérification/liste de contrôle".

Figure 4.19 : Informations génériques (vertes) et informations spécifiques à 98

l'installation (rouges) utilisées dans l'étude

Liste des Tableaux

Tableau 2.1: Exemple de dispositifs actifs et passifs 21

Tableau 3.1 : Correspondance entre Niveaux de Confiance-Réduction du Risque
43
pour des systèmes fonctionnant à la sollicitation
Tableau 4.1: Exemple de tableau définissant les fonctions de sécurité
49
Tableau 4.2 : Tableau d’analyse de LOPA
63

Tableau 4.3 : Exemples d’évènements figurant sur le modèle Nœud de Papillon 68

Tableau 4.4 : Les niveaux du SIL 73

Tableau 4.5 : Exemple de classification des paramètres du risque 76

Tableau. 4.6 : Exemple de définitions semi-quantitatives des paramètres du risque 77

v
Tableau 4.7 : Description des facteurs influençant le risque (FRR) 90

Tableau 4.8 : Exemple de processus de pondération 93

Tableau 4.9 : Définition des grades dans le projet TTS 94

Tableau 4.10. Exemple de grille de notation pour les procédures 94

Tableau 4.11 : Qi pour des combinaisons sélectionnées de Plow et Phigh 97

vi
 Introduction

Introduction
En conclusion, les barrières de sécurité sont des éléments indispensables dans les procédés

industriels pour prévenir les accidents, protéger les employés, l'environnement, et assurer la

continuité des opérations. Leur conception, leur installation et leur maintenance régulière

permettent de réduire les risques liés aux défaillances techniques ou humaines. En plus de leur

rôle crucial dans la sécurité, elles contribuent à la conformité aux normes réglementaires et à la

protection des intérêts financiers et de l'image des entreprises. Dans un secteur où les accidents

peuvent avoir des conséquences dramatiques, l'investissement dans des systèmes de sécurité

robustes est non seulement une obligation légale, mais aussi un impératif éthique et

économique.

1
Chapitre 1 Définitions et concepts de base

Chapitre 1
Définitions et concepts de base
1. Terminologies

Bien que le concept de barrière de sécurité soit né il y a plusieurs décennies et soit appliqué

dans la pratique depuis de nombreuses années, aucune définition unifiée de barrière de sécurité

n'a été établie. Certains termes, comme couche de protection, défense, mesures de sécurité ,

fonctions de sécurité, protections, etc., ont également été utilisés pour présenter une

signification similaire de barrière de sécurité dans différentes industries.

1.1 Définition d’une Barrière de sécurité

La définition classique d'une barrière de sécurité fait référence à la vision d'une barrière de

sécurité comme une barrière de protection physique 1. Il existe des distinctions entre

différentes définitions concernant la mesure dans laquelle les barrières devraient influencer le

flux d'énergie ou la séquence d'événements. D'une part, une barrière devrait « réduire la

probabilité d'un accident » ou « réduire les conséquences d'un accident » 2. D'autre part, une

barrière devrait « empêcher l'écoulement » 1 et devrait être capable d’empêcher qu’un

scénario ne se déroule jusqu’aux conséquences indésirables 3.

Dans les définitions classiques, une barrière de sécurité est considérée comme un obstacle ou

moyen physique, une obstruction à la protection d’une « cible » contre les « dangers » 4. Une

barrière de sécurité est liée à un danger, à une source d'énergie ou à une séquence

d'événements. Cela indique que les barrières de sécurité doivent être liées à un danger

2
Chapitre 1 Définitions et concepts de base

spécifique pour préciser leurs fonctions et leurs emplacements. En tant que structure

physique ou obstacle, une barrière de sécurité peut être utilisée pour prévenir ou retarder la

survenue d'accidents et/ou atténuer la gravité de leurs conséquences.

Nous pouvons, par exemple, dire qu'une fonction de barrière liée à l’incendie dans un

bâtiment est d'empêcher la propagation de l’incendie d'une pièce à l'autre.

Le concept de barrière de sécurité a été étendu pour avoir une portée plus large afin

d'inclure les barrières non physiques. Le concept de défense en profondeur adopte plusieurs

niveaux de barrières de protection, y compris la protection des cibles contre les accidents et la

protection des barrières elles-mêmes. D'autres mesures ont été incluses dans ce concept pour

protéger le public et l'environnement contre les dangers et les dommages, y compris les

mesures visant à préserver l'efficacité des barrières. Schupp et al. 5 ont défini les barrières de

sécurité comme la combinaison de mesures techniques, humaines et organisationnelles qui

préviennent ou protègent contre un effet indésirable. Johnson a défini les barrières de sécurité

comme les diverses mesures physiques et organisationnelles prises pour empêcher qu'une cible

soit affectée par un danger potentiel 6.

Le concept de « couche de protection », par lequel un dispositif, un système ou une

action humaine est fourni pour réduire la probabilité et/ou la gravité d’un événement de perte

spécifique, a une signification similaire à celle du concept de « barrière de sécurité » 3. Si la

couche de protection peut répondre aux exigences d'indépendance, de fonctionnalité,

d'intégrité, de fiabilité, de validation, de maintenance et d'audit, de sécurité d'accès et de

gestion des changements, elle devient une couche de protection indépendante (IPL :

Independent Protection Layer) 3.

En examinant le concept étendu de barrière de sécurité, une barrière de sécurité peut

être définie comme un outil physique ou non physique prévu pour prévenir, contrôler ou

atténuer les événements ou accidents indésirables. Les moyens de barrières de sécurité

3
Chapitre 1 Définitions et concepts de base

peuvent varier d'une installation technique ou d'une action humaine à un système

sociotechnique complexe. Les événements et accidents indésirables peuvent être des

défaillances techniques, des erreurs humaines, des événements externes ou une combinaison

de ces événements qui peuvent provoquer des dangers potentiels, entraînant des pertes de vies

humaines, des blessures corporelles, des dommages environnementaux et/ou des dommages

matériels. Les objectifs de la barrière de sécurité sont de réduire le risque d'un événement

indésirable, de limiter l'étendue et/ou la durée d'un événement indésirable par escalade et de

réduire les impacts d'un événement ou d'un accident indésirable 4.

Cette définition introduit la notion de fonction de sécurité qui est définie comme suit :

1.2. Fonction de sécurité :

Les fonctions de sécurité sont définies comme les principes ou actions à remplir en vue de

maintenir un niveau acceptable de sécurité. Une fonction planifiée pour prévenir, contrôler ou

atténuer des événements indésirables ou des accidents 4. Un avantage important de la

définition des fonctions des barrières est qu'elle lie étroitement les barrières aux scénarios

d'accident.

Les fonctions de barrière sont mises en œuvre par un ou plusieurs systèmes de barrière.

Dans l'exemple susmentionné, un système de barrière qui peut contribuer à la fonction de

barrière est un système d'arrosage. Ce système peut éteindre l’empêchant ainsi sa propagation.

Un autre système de barrière qui peut également être mis en œuvre pour empêcher l’incendie

de se propager est la fermeture automatique des portes de l’incendie. En d'autres termes, une

fonction de barrière peut être mise en œuvre par plus d'un système de barrière 7.

4
Chapitre 1 Définitions et concepts de base

1.3. Système de barrière :

Un système de barrière est un système qui a été conçu et mis en œuvre pour assurer une ou

plusieurs fonctions de barrière, il décrit comment la fonction de barrière est réalisée où

exécutée. Le système de barrière peut avoir plusieurs fonctions de barrière (par exemple SIS).

Un élément de barrière est un composant ou un sous-système d'un système barrière qui n'est

pas en soi suffisant pour effectuer une fonction de barrière. Un sous-système de barrière peut

contenir plusieurs éléments de barrières redondantes [4].

Le système d'arrosage, par exemple, se compose de têtes d'arrosage, de tuyaux de

distribution d'eau et de vannes. Tous ces éléments peuvent être considérés comme des

barrières. Une hiérarchie peut donc être établie comme le montre la figure 1.1.

Fonction de Barrière

Système de Barrière 1 Système de Barrière 2 Système de Barrière 3 …………..

Élément Élément Élément

de Barrière 1 de Barrière 2 …………..
de Barrière3

Facteur influençant Facteur influençant Facteur influençant …………..

la performance 1 la performance 2 la performance 3

Figure 1.1 : Hiérarchie des fonctions de la barrière 7.

5
Chapitre 1 Définitions et concepts de base

2. Rôle des barrières de sécurité dans la réduction du risque

Un exemple est présenté ci-dessous pour expliquer comment les barrières interviennent

dans la réduction du risque. Le schéma (Figure 1.2) montre qu’il existe deux procédures pour la

réduction du risque inhérent à l’ENS 8 :

Soit par la mise en place des barrières de sécurité qui limiteront la gravité des

conséquences de l’ENS, dont on n’a pu empêcher l’apparition. Il s’agit d’une réduction à

probabilité constante, appelée parfois mitigation ou, le plus souvent protection (flèche verticale

descendante), parmi ces mesures de prévention on peut citer : détecteurs avec alarme,

formation du personnel, etc.…

soit par la mise en place des mesures (barrières de sécurité) destinées à prévenir son

occurrence. Il s’agit cette fois d’une réduction du risque à gravité constante (flèche horizontale)

relevant d’une action de prévention.

Parmi ces barrières de protection on peut citer : soupape sécurité, rideau d’eau, etc.…

Réduction du risque 8

6
Chapitre 1 Définitions et concepts de base

Il faut noter à ce niveau qu’il est important de faire la distinction entre la barrière elle-

même, qui peut prévenir, contrôler ou atténuer directement la séquence d'événements ou le

scénario d'accident (comme illustré à la figure 1.2), et les facteurs d'influence du risque

qui influencent la performance de la barrière. Les exemples de facteurs influençant le

risque sont la compétence d'un vérificateur tiers et les tests des détecteurs de gaz. Il est

donc important de spécifier la fonction de la barrière afin de préciser à quel niveau les

différentes barrières influencent le scénario d'accident. Cela peut être illustré par l'exemple

suivant : l'enceinte de confinement (par exemple, une conduite) doit empêcher le rejet

d'hydrocarbures dans l'atmosphère, tandis qu'une inspection est effectuée pour révéler la

corrosion, de sorte que des mesures de réduction des risques peuvent être mises en œuvre

pour éviter que la corrosion n'entraîne une fuite 4.

Au moins deux modèles ou perspectives d'accident différents peuvent servir de base au

concept de barrières de sécurité : le modèle énergétique et le modèle de processus. Le principe

de base du modèle énergétique (Figure 1.3), est de séparer les dangers (sources d'énergie) des

victimes (cibles vulnérables) par des barrières de sécurité 10. Les modèles de processus

divisent les séquences d'accident en différentes phases et nous aident à comprendre comment

un système se détériore progressivement d'un état normal à un état où un accident se produit

9.Pour les modèles de processus (Figure 1.4), les facteurs qui empêchent les transitions entre

les phases de la séquence d'accident (ou processus) peuvent être considérés comme des

barrières de sécurité. Alors que le modèle énergétique se concentre principalement sur la

manière d'éviter les blessures ou les pertes dues à la libération d'énergie, les modèles de

processus sont davantage axés sur les séquences d'événements ou les processus de travail 4.

7
Chapitre 1 Définitions et concepts de base

Risque (source d’énergie) Barrière Victime (cible vulnérable)

Figure 1.3 : Le modèle énergétique (basé sur 10).

1
2
Corrosion

Perte de 6 7
8 9 Pertes en
confinement Incendie
vies
humaines
Défaillance
pendant 5
assemblage de
la bride 4
3

1. Surveillance de l'état pour révéler la corrosion

2. Inspection pour détecter la corrosion

3. Autocontrôle du travail pour révéler les défaillances

4. Contrôle du travail par un tiers pour révéler la défaillance

5. Test d'étanchéité pour révéler la défaillance

6. Arrêt du processus pour réduire la taille de la libération

7. Déconnexion des sources d'inflammation pour empêcher l'inflammation

8. Activation du déluge pour éteindre l'incendie

9. Voies de secours pour l'évacuation

Figure 1.4 : Illustration des barrières influençant un processus d’accident 4.

8
Chapitre 1 Définitions et concepts de base

3. Processus de Gestion des risques

Le risque est une mesure du danger [11], ou une entité à deux dimensions probabilité

d’occurrence d'une part et gravité des conséquences d'autre part [12]. La gestion des risques est

aujourd’hui pour les entreprises une préoccupation forte et un élément indispensable à leur

performance. La gestion des risques est issue de la nécessité de prévenir les accidents

technologiques majeurs et de concevoir un ensemble de méthodes et de moyens destinés à

éviter la survenue de l’inacceptable [13]. La gestion des risques se définit comme "l’ensemble

des techniques qui permettent l’analyse, la gestion et la maîtrise des risques" [14], elle a un

caractère Continue et itératif puisqu’elle s’inscrit dans la stratégie d’entreprise [15].

La figure ci-après (Figure 1.5) schématise le processus de gestion des risques comme

l’enchaînement des phases d’analyse, d’évaluation, d’acceptation et de Réduction des risques.

Le caractère itératif du processus de gestion des risques incluant les étapes suivantes [16],

[17] :

3.1. Analyse du risque

L’analyse des risques occupe une place centrale dans le processus de gestion des risques.

Dans le guide ISO/IEC guide 73, l’analyse de risque est définie comme l’utilisation

systématique d'informations pour identifier les facteurs de risque et pour estimer le risque [18].

Les principales étapes de l’analyse des risques sont :

9
Chapitre 1 Définitions et concepts de base

Analyse du risque [ISO/IEC guide 73, 2002]:

Identification des risques ;

Estimation des risques.

Évaluation de l’acceptabilité des risques ;

Suivi les Oui

Acceptation du risque
risques
Non

Maîtrise du risque [CEI 300-3-9, 1995] :

Réduction du risque :
Prévention ;
Protection.
Transfère des risques.

Oui Non
Acceptation du risque

Figure 1.5 : processus de gestion des risques [18], [19].

3.1.1 Identification des risques

L’identification des risques est, dans bien des cas, un problème d’expérience et de bon

sens [20], elle constitue la première phase de l’analyse des risques et sert à définir le système

ou l’installation à étudier en recueillant toutes les informations et données nécessaires. Dans ce

volet, une description à trois niveaux, structurel, fonctionnel et temporel est indispensable [21].

L’identification des risques s’inscrit dans une démarche continue [22] et vise à établir une liste

aussi exhaustive que possible de tous les risques pour l’entité considérée [23]. Cette étape

10
Chapitre 1 Définitions et concepts de base

permettant aussi de recenser et de centraliser les principaux risques, menaçant l’atteinte des

objectifs [24]. La complexité de certains systèmes étudiés requiert l’utilisation des outils

d’analyse aidant à l’identification des dangers [25]. Ces méthodes se distinguent par le fait que

l’identification à lieu a priori « avant l’accident » ou bien a posteriori « après l’accident » :

 Méthode a priori : L’identification des risques a priori consiste à analyser l’entité

considérée par rapport aux conséquences de la survenance d’événements non souhaités

initiateurs, afin d’évaluer le risque associé à l’événement non souhaité final. Son

développement est dû à l’évolution des technologies vers des systèmes industriels

complexes pour lesquels l’identification des risques nouveaux ou très rares fut nécessaire

[26]. Son objectif est d’identifier les risques avant qu’ils ne deviennent effectifs à l’aide

d’outils de simulation citons par exemple : APR, What if, HAZOP.

 Méthode a posteriori : les méthodes d’identification a posteriori sont utilisées lors de

l’analyse d’accidents. Ces méthodes furent les premières employées par la sûreté de

fonctionnement [27]. Elles doivent permettre d’établir les causes de l’accident et rendre

ainsi possible des actions de prévention [26]. La détermination des causes de l’accident

permet de prévenir les accidents futurs en prévenant la reproduction des causes parmi ces

méthodes citons par exemple AdC (Arbre des Causes).

L’application de ces méthodes d’analyse des risques fait systématiquement appel aux

raisonnements par induction et par déduction [28]. Dans la démarche déductive, on raisonne du

plus générale au plus particulier (le sens où le processus d’analyse "remonte" des conséquences

vers les causes) ; à l’inverse, l’analyse inductive ou descendante est une démarche cause-effet

[29]. Cette approche va du particulier au général, de l’observation à la modélisation, des causes

vers les conséquences selon un enchaînement d’événements [30], la principale méthode

déductive est la méthode de l’arbre de défaillance [27]. Ces outils d’analyse permettent aussi

d’identifier les différentes barrières de sécurité existantes dans le système étudié.

11
Chapitre 1 Définitions et concepts de base

3.1.2 Estimation des risques

Une fois le risque est identifié, l’estimation de risque est processus utilisé pour affecter

des valeurs à la probabilité et aux conséquences d'un risque.

L’affectation des valeurs à la probabilité d’occurrence d’une déviation est faite par des

méthodes semi-quantitative et/ou quantitative d’analyse des risques. L'estimation du risque

peut considérer le coût, les avantages, les préoccupations des parties prenantes, et d'autres

variables requises selon le cas pour l'évaluation du risque » [18].

3.2. Évaluation de l’acceptabilité des risques

L’évaluation des risques est la phase fondamentale de la gestion des risques. C’est un

processus de comparaison du risque estimé à des critères donnés pour déterminer l’importance

d’un risque, jugement établi sur la base de l’analyse des risques qui permet de décider si le

risque tolérable a été atteint [18].

L’évaluation de risque peut être qualitative et/ou quantitative en termes de probabilité de

son occurrence et de la gravité de ses conséquences sur les personnes, les biens et

l’environnement. Notons d’ores et déjà que la pratique montre leur complémentarité, en

particulier lors de l’analyse de situations pour lesquelles la collecte des mesures est difficile

[31].

3.2.1 Évaluation qualitative

Une étude menée en 1998 sur une des centaines entreprises des secteurs du pétrole et du

gaz montre que l’usage mixte d’une évaluation quantitative et qualitative des risques est

présent dans plus de 95% des analyses de risques [32]. L’analyse qualitative a pour objectif

d’identifier les risques présentant un niveau de gravité important et devant faire l’objet d’une

analyse détaillée, à l’aide de méthodes quantitatives [33]. L’analyse qualitative débute dès la

phase d’identification des risques et constitue un préalable à la quantification des risques.

12
Chapitre 1 Définitions et concepts de base

Certains auteurs, soucieux de différencier identification des risques et évaluation qualitative,

parlent de pré-analyse en référence à la phase d’identification et d’analyse détaillée en

référence à l’analyse qualitative [34].

3.2.2 Évaluation quantitative et hiérarchisation

Nous savons que le risque est une mesure du danger [11]. La quantification du risque

repose sur différents paramètres dont les principaux sont : la mesure d’occurrence «la

fréquence à laquelle un événement se produit» ou probabilité d’un événement non souhaité et

la mesure de ses conséquences ou gravité [35].

La phase d’hiérarchisation des risques est faite à partir de ses deux paramètres (fréquence

d’occurrence et gravité des conséquences). Le niveau du risque quantifié sera positionné en

fonction des critères d’acceptabilité retenus et le risque estimé qu’on juge de l’acceptabilité ou

la non acceptabilité du risque [36], dans une matrice d’évaluation (grille de criticité), adoptée

par les entreprises concernées et basées sur le principe ALARP (Figure 1.6).

13
Chapitre 1 Définitions et concepts de base

Figure 1.6 : Principe ALARP [37]

Si le risque est jugé acceptable le processus de gestion sera terminé et le risque jugé sera

surveillé. Dans le cas contraire, le processus continue en passant à l’étape de réduction.

3.3 Maîtrise du risque

Le traitement des risques est la dernière phase de la gestion des risques à proprement

parler, cette phase est vraisemblablement la plus lourde de responsabilité pour les gestionnaires

de risques [38]. L’objectif de la maîtrise des risques est double. Il s’agit d’une part de prévenir

et de réduire les risques inacceptables par la mise en place de mesures de prévention ou de

protection afin d’atteindre le niveau de sécurité souhaité. D’autre part, il s’agit de traiter les

risques résiduels en élaborant des solutions de couverture pour l’entité considérée [39].

14
Chapitre 1 Définitions et concepts de base

La maîtrise des risques inacceptables nécessite l’engagement de moyens financiers,

humains et techniques. Dans la plupart des situations, l’estimation de ces moyens repose sur

l’analyse coût-bénéfice [40]. Elle peut également être complétée par la prise en compte de

paramètres spécifiques à l’entreprise tels des exigences de conformité, de qualité, etc [31].

3.3.1 Réduction du risque

La réduction des risques et de leurs conséquences peut être opérée selon les aspects :

technique, organisationnel et juridique (l’aspect financier étant considéré lors du traitement du

risque résiduel). Pour chacun de ces aspects, il convient d’identifier l’ensemble des moyens

(prévention, protection, formation, consignes, etc.) permettant de ramener les risques à un

niveau acceptable et donc supportable [31].

a) Aspect technique

L’aspect technique est basé sur les concepts de prévention et de protection mis en oeuvre

dans le cadre de plans d’actions [14]. Cette étape consiste à mettre en œuvre les différentes

mesures et barrières de prévention et de protection afin de réduire l’intensité du phénomène

(réduction potentielle de danger, atténuation des conséquences) et/ou à diminuer la probabilité

d’occurrence par la mise en place de barrières visant à prévenir les accidents [41] (La réduction

des risques est l’ensemble des actions entreprises en vue de diminuer la gravité des

conséquences (protection), les probabilités d’occurrence (prévention) ou les deux en même

temps [23]. Outre les améliorations techniques et de fiabilité d’équipements, la prévention

passe aussi par une meilleure prise en compte des facteurs de risque liés à l’organisation et aux

personnes. Le choix des actions préventives à engager est effectué en comparant les coûts de

leur mise en œuvre avec les coûts des conséquences de risque, en tenant compte de leur

probabilité d'apparition. Un suivi régulier de l'évolution des risques est recommandé dans la

15
Chapitre 1 Définitions et concepts de base

démarche de gestion des risques afin de contrôler et d’assurer la pertinence des actions

préventives engagées et éventuellement de corriger les dispositions prévues [42].

b) Aspect organisationnel

L’aspect organisationnel de la maîtrise des risques consiste à élaborer différents

programmes pour la sécurité et la sûreté de l’entreprise, en fonction de paramètres

réglementaires, des risques identifiés et des aspects matériels et humains. Il est composé de

mesures de prévention et de protection "coordonnées" et prévues, qu’il convient de différencier

selon :

- Le mode de fonctionnement considéré : fonctionnement normal (procédure et consignes de

travail et d’utilisation des moyens de prévention et de protection [43] et fonctionnement

dégradé (plan d’urgence, gestion de crise, etc.) ;

- Le système cible impacté : les personnes, les biens ou l’environnement ;

- Le caractère obligatoire (Code du travail, Directive SEVESO, etc.) ou volontaire (Système

de Management Environnemental ou SME) des mesures prises.

Hors situation dégradée, l’aspect organisationnel revêt un caractère préventif. Selon [44], il

comprend la mise en place de deux programmes distincts :

- UN programme sécurité pour la prise en compte de l'environnement, de l’hygiène, de la

sécurité et des conditions de travail au regard des risques propres à l’activité de l’entreprise ;

- UN programme sûreté pour la prise en compte des sources de dangers externes

(environnement géographique et périmètre extérieur) et internes à l’entreprise (contrôle

d’accès, périmètre intérieur, protection du patrimoine).

c) Aspect juridique

La réduction des conséquences juridiques liées à l’engagement de la responsabilité de

l’entreprise ou de ses dirigeants peut se faire en assurant le respect des textes réglementaires en

16
Chapitre 1 Définitions et concepts de base

vigueur afin de pouvoir apporter à tout moment la preuve du caractère irréprochable du produit

ou service [31].

Cette réduction des risques peut être envisagée par deux manières soit par la prévention

(la prévention est généralement rattachée aux mesures de réduction de la probabilité

d'occurrence d'un phénomène dangereux), ou la protection (rattachée aux mesures visant à

limiter l’étendue et/ou la gravité des conséquences d’un accident sur les cibles vulnérables)

[31].

3.3.2 Transfert de risque résiduel

La maitrise des risques contient les actions de transfert de risque vers un autre acteur. Par

exemple, fixer contractuellement des clauses de transfert de risques ou d’abandon de recours

sur un cocontractant de l’entreprise (sous-traitant ou fournisseur) [45]. En faisant appel à un

assureur qui, par effet de masse, est capable de supporter des risques forts [46].

17
Chapitre 2 Typologie des Barrières de Sécurité

Chapitre 2
Typologie des Barrières
de Sécurité
L'existence d’une grande variété de barrières de sécurité exige la nécessité de les

classifier. Les barrières de sécurité peuvent être classifiées en fonction de plusieurs dimensions,

par exemple en tant que barrières techniques, ou humains/organisationnelles. Une manière

recommandée de classifier les barrières selon l’INERIS [47] est montrée sur la (figure 2.1).

1. Classification selon l’INERIS :

Les barrières de sécurité sont de trois Types [48]:

 Les barrières techniques,

 Les barrières humaines,

 Les barrières qui font intervenir les barrières techniques et humaines. Ces barrières sont

appelées systèmes à action manuelle de sécurité.

18
 Chapitre 2 Typologie des Barrières de Sécurité

Barrières de sécurité

Barrières humaines Barrières techniques

Systèmes à action manuelle

de sécurité

Barrières
instrumentés
Dispositifs de sécurité de sécurité
Actions humaines non
relayées par des éléments
techniques de sécurité

Actifs Passifs

Figure 2.1 : Typologie des Barrières de Sécurité [47]

1.1 Barrières techniques de sécurité (BTS)

Les barrières techniques de sécurité sont représentées par l’ensemble d'éléments

techniques nécessaires et suffisants pour assurer une fonction de sécurité. Ces barrières

constituées d'un dispositif de sécurité ou d'un système instrumenté de sécurité qui s'oppose à

l'enchaînement d'évènements susceptibles d'aboutir à un accident [47]. Parmi ces barrières, il

est possible de distinguer :

1.1.1 Les dispositifs de sécurité

Ce sont des éléments unitaires ayant pour objectif de remplir une fonction de sécurité,

sans apport d'énergie extérieur au système dont il fait partie. Ces dispositifs peuvent être

classés en deux catégories :

19
Chapitre 2 Typologie des Barrières de Sécurité

 dispositif passif : dispositifs qui ne mettent en jeu aucun système mécanique pour

remplir leur fonction et qui ne nécessitent ni action humaine (hors intervention de type

maintenance), ni action d’une mesure technique, ni source d’énergie externe pour

remplir leur fonction.

Parmi ces dispositifs on peut citer : cuvette de rétention, Mur coupe-feu, etc (figure 2.2).

Figure 2.2: Cuvette de rétention, Mur coupe-feu, Protecteur pour tours

20
Chapitre 2 Typologie des Barrières de Sécurité

 dispositif actif : dispositif qui mettent en jeu des dispositifs mécaniques (ressort,

levier…) pour remplir leur fonction. Ils peuvent nécessiter une source d'énergie externe

pour fonctionner. Par exemple soupape de décharge, clapet excès de débit, etc (figure

2.3).

Figure 2.3 : Soupape de sécurité.

Le tableau (2.1) ci-dessous présente des exemples de dispositifs classés selon leur type.

Tableau 2.1: Exemple de dispositifs actifs et passifs 47.

21
Chapitre 2 Typologie des Barrières de Sécurité

1.1.2 Barrières instrumentées de sécurité (BS) :

Les barrières instrumentées de sécurité sont constituées par une chaîne de traitement

comprenant une prise d'information (capteur, détecteur…), un système de traitement (automate,

calculateur, relais…) et une action (actionneur avec ou sans intervention d’un opérateur) et des

moyens de communication (analogiques, numériques, Tout Ou Rien) pour réaliser une fonction

de sécurité. Les composants d’une B.I.S nécessitent une alimentation en énergie et en utilités

pour fonctionner.

La figure (2.4) suivante montre une représentation schématique générique d’une Barrière

Instrumentée de Sécurité(BIS).

Figure 2.4 : Schéma générique d’une BIS 47.

Trois sous-fonctions principales composent une BIS : il s’agit des sous fonctions «détection »,

« traitement de l’information » et « action ». Celles-ci sont décrites dans les paragraphes qui

suivent. La transmission des informations entre ces sous-fonctions est décrite au paragraphe

a- Sous-fonction de sécurité « Détection » : Cette sous-fonction de sécurité peut être

assurée par différents détecteurs de paramètres physiques sur le procédé (pression,

température, niveau, débit, concentration, vibrations, survitesse…) et des détecteurs de

phénomènes « externes » au procédé (détection feu et gaz par exemple). Ils sont présentés

22
Chapitre 2 Typologie des Barrières de Sécurité

ici de façon générique. Un détecteur de paramètre est généralement constitué de deux (02)

éléments :

 le capteur qui est l'élément sensible assurant la transformation d'une information

physique (pression, température, débit, concentration…) en grandeur électrique adaptée

au traitement,

 et le transmetteur qui assure le conditionnement du signal émis par le capteur pour

l'interface utilisateur. Le signal transmis peut être un signal analogique 4-20 mA, un

signal numérique ou un signal de type binaire Tout ou Rien (1/0). Le transmetteur,

suivant les cas (et ses possibilités), est connecté soit à l'entrée d'un système de traitement,

soit directement à un actionneur.

La figure (2.5) suivante présente les différentes possibilités de liaisons du détecteur.

Figure 2.5 : Architecture depuis le capteur jusqu'à l'actionneur.

b- Sous-fonction de sécurité « Traitement de l’information » : La sous-fonction

"traitement de l’information" peut être plus ou moins complexe. Elle est principalement

réalisée par des relais ou par des automates programmables. Elle peut se résumer

simplement à acquérir une grandeur mesurée par un capteur et à l'indiquer. Elle peut aussi

consister à activer la commande d'un ou plusieurs actionneurs à partir d'une fonction

combinatoire des informations délivrées par différents capteurs. Les systèmes de

traitement peuvent être classés en deux catégories :

23
Chapitre 2 Typologie des Barrières de Sécurité

 Les systèmes électromécaniques, de deux types :

 Les systèmes à base de logique à relais : Il s’agit de technologies à base de

modules/relais électromécaniques. Dans ce cas, pour les capteurs analogiques, le signal doit

être converti en signal logique via des modules de relais à seuil.

Les relais peuvent être classés en deux familles :

 les relais dits "standard",

 les relais dits "de sécurité".

Un relais standard est un interrupteur électromécanique qui permet de fermer ou ouvrir des

contacts, laissant passer ou isolant un courant dans un circuit électrique. Pour une utilisation en

sécurité, il faut que la position de repos du contact corresponde à l'action de sécurité.

Un relais de sécurité a une conception basée sur la combinaison de contacts en redondance et à

guidage forcé (contacts liés) pour la commutation de sécurité. Il est également équipé d’un

circuit de surveillance et détection de défaillances (contact collé, …).

 Les systèmes à base de logique statique de sécurité : Ces systèmes sont utilisés pour

des applications spécifiques impliquant un très haut niveau de confiance des fonctions de

sécurité. Ils sont réalisés avec des composants non programmables : aucun microprocesseur ou

aucune puce programmée n’est utilisé pour les fonctions de sécurité. La logique de sécurité est

basée sur des éléments matériels électriques et électroniques (de type résistance, transistors…).

Ils peuvent être également appelés Solid State Logic Solver.

 Les systèmes de traitement programmables ou paramétrables : En technologie

numérique, ce sont généralement des calculateurs (Systèmes Numérique de Contrôle

Commande (SNCC) ou Basic Process Control System (BPCS), des Automates

Programmables Industriels standard (API) ou Programmable Logic Controller (PLC) ou

des Automates Programmables de Sécurité (APS). Suivant la taille, la complexité de

24
Chapitre 2 Typologie des Barrières de Sécurité

l’unité et la modularité de l’unité, la fonction d’automatismes est remplie par un ou

plusieurs modules (API, SNCC, PLC, APS) ou toute association de ces modules.

Le choix du système de traitement pourra dépendre de la complexité des fonctions à traiter ou

des positions des éléments à raccorder. Pour des systèmes peu complexes, des relais pourront

être utilisés. Pour des fonctions plus complexes nécessitant des traitements de l’information

plus lourds, les automates seront préférés.

c- Sous-fonction de sécurité « Action » : La sous-fonction "action" est réalisée par des

actionneurs et des éléments terminaux. Les actionneurs transforment un signal (électrique,

pneumatique ou hydraulique) en phénomène physique qui permet de commander le

démarrage d’une pompe, la fermeture ou l’ouverture d’une vanne… Selon l’énergie

motrice, on parle d’actionneur électrique, pneumatique ou hydraulique. Ils sont couplés

aux éléments terminaux. Les éléments terminaux sont commandés par des actionneurs.

On retrouve notamment sous cette terminologie : les vannes, les machines tournantes

(pompe, compresseur …), les alarmes sonores et visuelles.

Il faut noter que la finalité de la fonction de sécurité remplie par la BIS réside d’une part

dans la détection d’une dérive ou du phénomène dangereux et d’autre part dans la mise en

position finale de sécurité de ses éléments (ouvert/fermé, arrêt/démarrage). La BIS doit assurer

la fonction totalement (détection, traitement, action finale). Si les sous-fonctions « détection »

et « traitement » avec déclenchement d’une alarme sont assurées par des éléments techniques et

que l’action finale est ensuite réalisée par une intervention humaine, on parlera dans ce cas de

Barrière à Action Manuelle de Sécurité 47 BAMS.

1.2 . Barrières organisationnelles de sécurité (BOS)

Les barrières organisationnelles de sécurité correspondent à des activités humaines,

activités qui ne sont pas liées à une barrière technique de sécurité. Toutes barrières peuvent

25
Chapitre 2 Typologie des Barrières de Sécurité

également avoir une composante humaine, c'est à dire être constituées en tout ou en partie

d'opérations réalisées par l'homme visant à s'opposer à l'enchaînement d'évènements

susceptibles d'aboutir à un accident : on les nomme barrières humaines de sécurité (BHS).

Les BHS sont fondées sur une intervention humaine, composée d’une ou plusieurs tâches

conçues pour assurer la maîtrise des paramètres de sécurité. La mise en œuvre des BHS relève

principalement de la surveillance ou de l’action sur les éléments de sécurité ou agresseurs de

l’installation. Dans cette perspective, la méthode Oméga 20 décompose les BHS en trois tâches

: détection, traitement de l’information et action.

1.3 Système à action manuelle de sécurité (SAMS)

Il existe des barrières de sécurité qui combinent les barrières techniques et

organisationnelles de sécurité. Ces barrières sont appelées systèmes à actions manuelles de

sécurité (SAMS) 47.

Dans ces systèmes l’opérateur est en interaction avec les éléments techniques du système

de sécurité qu’il surveille ou sur lesquels il agit. Par exemple, la mise en position de sécurité

d’une vanne de sécurité par actionnement manuel d’un bouton d’arrêt d’urgence suite à une

détection de fuite de gaz au cours d’une ronde de surveillance est assimilée à un système à

action manuelle de sécurité (Figure 2.6).

Figure 2.6 : Schéma générique d’une SAMS

26
Chapitre 2 Typologie des Barrières de Sécurité

2. Classification selon la norme IEC 61511-3

Les barrières de sécurité ont différents rôles selon qu’elles interviennent en prévention,

en réduisant la probabilité d’occurrence d’un événement redouté, ou en protection en limitant la

gravité de l’événement redouté dont on n’a pas pu empêcher l’occurrence [3], [37], [49]. La

figure (10) présente les différentes barrières de sécurité qui peuvent être utilisées dans un

processus industriel [50].

La bonne maitrise des risques industriels est assurée donc par différentes barrières de

sécurité qui interviennent soit en prévention, en minimisant la probabilité d’apparition de

l’événement dangereux, soit en protection en limitant les conséquences de l’accident dont on

n’a pas pu empêcher l’occurrence [53], [54].

Les barrières interviennent dans le processus de réduction des risques. À chaque fonction de

sécurité, assurée par un ensemble de barrières, est associé un objectif de sécurité à atteindre.

Celui-ci est fixé par l’exploitant en vue de réduire les risques et de les maîtriser sur ses

installations.

Plusieurs types de barrières de sécurité peuvent être utilisés dans un processus industriel

[37], à savoir (Figure 2.7) :

 La conception des équipements et des procédés en respectant les codes et les

normes de conception (limiter les quantités de produits dangereux stockés, prévoir

des postes de travail ergonomiques, …) constitue la première barrière de sécurité.

 La deuxième barrière de sécurité est le système de conduite (ou contrôle-

commande) qui comprend les opérations de contrôle élémentaires et d’alarmes.

Cette barrière de sécurité intervient en cas d’anomalie sur le procédé. Des

équipements appelés BPCS (Basic Process Control System) sont utilisés dans cette

couche.

27
Chapitre 2 Typologie des Barrières de Sécurité

 En cas d’échec des matériels de surveillance de procédés, des dispositifs

complémentaires de prévention tels que les systèmes d’alarmes interviennent pour

alerter les opérateurs et induire des interventions manuelles, ils constituent la

troisième barrière de sécurité.

 Les Systèmes Instrumentés de Sécurité (SIS) représentent la quatrième barrière de

sécurité qui entre en action lorsque le processus se trouve dans des conditions

anormales.

La barrière de sécurité suivante intervient après l’incident, il s’agit de limiter les

conséquences par des dispositifs techniques tels que les soupapes, les disques de rupture, les

systèmes d’extinction d’incendie, etc.

L’éloignement et l’évacuation des zones dangereuses constituent la dernière couche de

protection. Cette protection physique peut être assurée grâce à des moyens d’évacuation ou de

rétention, des zones de dégagement, des zones de stockage clairement identifiées et

différentiées, etc.

Toutes ces barrières de sécurité ont donc pour objectif d’atteindre un niveau de sécurité

ou de maîtrise des risques acceptable. Le franchissement de la couche de protection signifie sa

défaillance (représentée par une probabilité de défaillance à la demande (PFD) qui se traduit,

par une décote de la fréquence de l’événement initiateur d’un facteur de réduction égal à

l’inverse de la probabilité de défaillance de la couche de protection [51], [3].

28
Chapitre 2 Typologie des Barrières de Sécurité

Figure 2.7: Les couches de Protection.

3. Classification selon le mode de fonctionnement de la barrière

Lorsque les fonctions de barrière sont liées à un modèle de processus ou à des

phases d'une séquence d'accidents, il est courant de classer les fonctions de barrière en tant

que prévention, contrôle et atténuation 52, 37, 55. Hollnagel 56 décrit seulement

deux fonctions principales pour les barrières de sécurité : la prévention et la protection.

Les barrières destinées à fonctionner avant qu'un événement déclencheur spécifique ne se

produise servent de moyen de prévention. Elles sont censées garantir que l'accident ne

se produira pas, ou au moins ralentir les développements susceptibles d'entraîner un

accident. Les barrières destinées à fonctionner après qu'un événement déclencheur

spécifique a eu lieu servent de moyens de protection et sont censées protéger

l'environnement et les personnes qui s'y trouvent, ainsi que le système lui-même, des

conséquences de l'accident.

Selon le projet ARAMIS 57 Pour maitriser les scénarios d’accidents, les barrières de

sécurité se comportent de plusieurs façons comme (figure 2.8) :

29
Chapitre 2 Typologie des Barrières de Sécurité

 Eviter : Il s’agit de rendre un événement impossible. Cette fonction désigne généralement

des modifications profondes des installations ou le type de produit utilisé, et est à

rapprocher du concept des procédés intrinsèquement plus sûrs. Par exemple, l'utilisation

d'un produit ininflammable est un moyen d'éviter les incendies.

 Prévenir : Il s’agit cette fois de limiter la probabilité d’occurrence d’un événement, en

supprimant une partie de ses causes potentielles ou en réduisant leur intensité, sans

toutefois pouvoir le rendre impossible. Par exemple, pour prévenir la corrosion, on peut

utiliser une meilleure qualité d'acier. Il n'est probablement pas suffisant d'éviter

l'événement, mais il peut en réduire la probabilité.

 Détecter : Il s’agit de détecter un événement. Cette fonction seule ne suffit généralement

pas à assurer la maîtrise de l’accident et doit être associée à d’autres fonctions comme

contrôler ou limiter notamment.

 Contrôler : Il s’agit de maîtriser le déroulement d’une dérive afin de ramener le système

dans un état opérationnel en sécurité. La fonction de contrôle vise à limiter l'écart entre

une situation normale et une situation inacceptable. Par exemple, un système de

décompression et un système de supervision informatisé assurent une fonction de

contrôle. Une fois qu'un événement s'est produit, il est nécessaire de protéger

l'environnement de ses conséquences.

 Limiter : La fonction « limiter » ou « réduire » consiste à agir sur les conséquences d’un

événement afin d’en réduire la gravité. Le système n’est en revanche pas ramené dans un

état totalement sûr. Equivalente au terme anglais « to mitigate », cette fonction s’applique

le plus souvent au terme source de l’accident (par exemple, limiter un temps de fuite ou un

débit).

30
Chapitre 2 Typologie des Barrières de Sécurité

Figure 2.8 : Schéma illustratif des fonctions de sécurité 57

D’autres classifications sont données dans la littérature :

 Fonctions critiques de sécurité primaires : ce sont des fonctions liées aux

systèmes techniques pour le matériel roulant, le réseau ferroviaire et le contrôle

du trafic dans l'industrie ferroviaire 58, 59 ;

 Fonctions critiques de sécurité secondaires : ce sont des activités réalisées

pour maintenir les fonctions critiques de sécurité primaires.

 Fonctions critiques de sécurité tertiaires : ce sont les systèmes de gestion de la

sécurité, les systèmes de gestion de la maintenance, etc.

Les barrières primaires peuvent être associées aux dangers primaires, et les

barrières secondaires aux dangers fonctionnels. Les dangers primaires sont des

dangers qui sont directement nocifs pour l'homme, l'environnement ou l'économie,

tandis que les dangers fonctionnels sont des dangers pour les fonctions du processus

31
Chapitre 2 Typologie des Barrières de Sécurité

(ou de l'usine). Un risque fonctionnel peut indirectement devenir dangereux pour

l'homme; par exemple, la corrosion est un risque fonctionnel courant. La corrosion

peut entraîner une défaillance du système de confinement, libérant ainsi un danger

primaire 4.

 Barrières permanentes : ce sont des barrières qui fonctionnent en permanence

indépendamment de l'état du processus.

 Barrières activées : les barrières activées nécessitent une séquence de

détection- diagnostic-action.

 Fonctions de sécurité globales : ce sont des fonctions qui assurent

généralement la protection d'une ou de plusieurs cellules d'incendie. Les

exemples comprennent l'arrêt d'urgence (EDS), l'isolation des sources

d'inflammation et la purge d'urgence.

 Fonctions de sécurité locales : ce sont des fonctions limitées à la protection

d'une unité spécifique de l'équipement de traitement. Un exemple typique est

la protection contre un niveau élevé de liquide dans un séparateur par le biais

du système d'arrêt du processus (PSD) (OLF, 2001).

Dans le domaine de l'analyse de la fiabilité humaine, on utilise le terme de

récupération des erreurs humaines 62 :

 la récupération interne : signifie que l'opérateur, ayant commis une erreur ou

n'ayant pas exécuté une action, s'en rend compte immédiatement ou plus tard et

corrige la situation ;

 la récupération externe : signifie que l'opérateur, ayant commis une erreur ou n'a

pas n'a pas fait ce qu'il fallait, est incité par un signal un signal provenant de

l'environnement (par exemple, une alarme, un message d'erreur, un autre

événement inhabituel du système) ;

32
Chapitre 2 Typologie des Barrières de Sécurité

 la récupération humaine indépendante : signifie qu'un autre opérateur surveille le

premier opérateur, détecte l'erreur et la corrige ou la porte à l'attention du premier

opérateur, qui la corrige.

 Le rétablissement du système : signifie que le système lui-même récupère de

l'erreur humaine. Cela implique un certain degré de tolérance aux erreurs, ou de

détection des erreurs et d’automatique.

33
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

Chapitre 3
Critères de la Performance
des Barrières de Sécurité
L'évaluation des barrières de sécurité est essentielle pour identifier les risques et les

conséquences d'un scénario d'accident sous la protection des barrières de sécurité. En effet,

une analyse des risques a pour but d'identifier l'ensemble des phénomènes dangereux

pouvant se produire sur un site et pouvant conduire à des accidents. La fréquence

d'occurrence des différents événements initiateurs pouvant conduire aux phénomènes

dangereux est estimée et l'ensemble des barrières de sécurité susceptibles de réduire les

probabilités d'occurrence annuelle des phénomènes dangereux est listé. Il est possible de

démontrer la maîtrise des risques d’une installation seulement à travers la performance de

ses barrières de sécurité. Ainsi, l’évaluation des barrières de sécurité doit être étroitement

liée aux indicateurs de performance, qui peuvent refléter les fonctions des barrières de

sécurité. Il est donc inévitable d'étudier les fonctions des barrières de sécurité et les critères

d'évaluation correspondants avant d'examiner les méthodes d'évaluation des performances et

les méthodes de modélisation des barrières de sécurité.

1. Fonctions de la barrière de sécurité

Les fonctions des barrières de sécurité sont étroitement liées à la classification

des barrières de sécurité. La réalisation des fonctions de la barrière peut être

considérée comme le cœur d'un système de barrière de sécurité 4. Selon le modèle

énergie-barrière-cible, il est courant de voir que les fonctions des barrières de

sécurité sont décrites comme la prévention ou l'atténuation d'événements

indésirables ou d'accidents et la protection des personnes, des installations et de

34
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

l'environnement contre les dommages correspondants 56, 4. Par conséquent, les

fonctions des barrières de sécurité ont toujours été désignées par des termes tels que

"éviter", "prévenir", "contrôler", "atténuer", "protéger", "limiter", "réduire", etc. 59,

60.

Quant aux barrières de sécurité spécifiques à un scénario, elles peuvent être

utilisées avant l'événement cible avec une fonction de prévention et après

l'événement cible avec une fonction d'atténuation sur un objectif. En revanche, la

conception de la sécurité inhérente empêche l'événement cible ou en atténue

indirectement les conséquences. Cependant, il est inapproprié d'identifier la

fonction des barrières de sécurité uniquement du point de vue de la protection

statique contre les accidents. Outre les perspectives de prévention et de protection,

au moins deux facteurs peuvent être pris en compte pour identifier les fonctions

des barrières de sécurité 58 :

 Premièrement, la barrière de sécurité peut viser un événement indésirable

spécifique et améliorer les capacités globales du système industriel dans son

ensemble, telles que la capacité de résistance, la capacité d'adaptation et la

capacité d'intervention de récupération) etc. Il est donc nécessaire d'identifier les

fonctions des barrières de sécurité du point de vue de l'ensemble du système

industriel.

 Deuxièmement, il est possible que les fonctions d'une barrière de sécurité

(barrière spécifique à un scénario ou conception intrinsèquement sûre) varient à

différents stades d'un scénario d'accident et avec l'évolution du temps. Par

conséquent, les changements dans les fonctions des barrières de sécurité au cours

de l'ensemble du cycle d'évolution de l'événement ne peuvent être ignorés.

35
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

Par conséquent, le concept de résilience a été adopté dans plusieurs études pour

identifier les fonctions des barrières de sécurité.

Le concept de résilience consiste à élargir le concept de sécurité traditionnel

pour adopter une approche proactive de la gestion des barrières de sécurité 58 . En

effet, le concept de résilience peut apporter un contenu plus large à la théorie des

barrières de sécurité et assurer des fonctions de barrières de sécurité plus complètes

58 . Elle est considérée comme la capacité d'un système à s'adapter et à absorber tout

impact négatif interne et externe et à maintenir un état normal ou à rétablir un état

normal après des perturbations. En règle générale, la résilience peut être classée en

résilience dure et résilience molle, ce qui peut correspondre d'une certaine manière aux

barrières de sécurité techniques et aux barrières de sécurité non techniques. Les

barrières de sécurité peuvent être impliquées dans l'ensemble du processus de

résilience, depuis la prédiction avant l'événement indésirable jusqu'au rétablissement

et à l'apprentissage après l'événement indésirable.

Les barrières de sécurité peuvent être utilisées à tous les stades d'un processus

résilient et remplir différentes fonctions. Comme le montre la figure (3.1), les barrières

de sécurité peuvent être utilisées pour jouer différents rôles, tels que l'identification, la

détection, la prédiction et la prévention au stade de l'anticipation, généralement avant

que l'événement indésirable ne se produise. Au stade de la surveillance, les fonctions

de surveillance technique, d'alerte et de surveillance organisationnelle peuvent être

utilisées. L'étape suivante concerne le processus de réponse, dans lequel les fonctions

de résistance, d'atténuation, d'absorption, d'adaptation et de protection sont

principalement appliquées. Dans la phase de récupération, les fonctions de la barrière

de sécurité peuvent être divisées en diagnostic, réparation, remplacement,

reconstruction et récupération. Enfin, les barrières de sécurité jouent des fonctions de

36
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

collecte, d'apprentissage et d'amélioration dans la phase d'apprentissage, généralement

après l'événement indésirable 58 .

Fonctions de Barrière de Sécurité à différents stades de la Résilience

Anticipation Surveillance Réponse Récupération Apprentissage

 Identifier  Surveillance  Résister  Diagnostiquer  Collecter

 Détecter technique  Atténuer  Détecter  Apprendre
 Prédire  Avertissement  Absorber  Prédire  Améliorer
 Prévenir  Suivi  Adapter  Prévenir
organisationn  Protéger
el

Figure 3.1 : Fonctions des barrières de sécurité à différents stades de résilience 58.

2. Critères d'évaluation des barrières de sécurité

Pour être retenues dans l’évaluation des probabilités d’occurrence annuelle des

phénomènes dangereux, les barrières de sécurité doivent être indépendantes des événements

initiateurs pouvant conduire aux phénomènes dangereux et avoir les performances en

adéquation avec les scénarios étudiés (efficacité, temps de réponse). L'approche par barrière

consiste tout d'abord à vérifier, sur la base de certains critères, que les barrières de sécurité

peuvent être retenues pour le scénario étudié, puis à leur attribuer un facteur de réduction de

risque. La combinaison de la fréquence d'occurrence de l'événement initiateur et des facteurs

de réduction de risques des barrières de sécurité agissant sur un même scénario, permet

d'estimer une classe de probabilité d'occurrence pour le phénomène dangereux. L’INERIS

qualifie le facteur de réduction de risques par le niveau de confiance (NC) des barrières de

sécurité 47.

La probabilité d'occurrence du phénomène dangereux est ainsi évaluée en considérant le

dysfonctionnement de la barrière. Mais le bon fonctionnement de certaines barrières pourra

37
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

conduire également à des phénomènes dangereux complémentaires (scénarios résiduels) dont

les intensités seront liées aux performances des barrières.

2.1. Identification des barrières de sécurité : Critères minimaux

Des critères minimaux sont à respecter pour retenir une barrière technique de sécurité. Ces

critères sont les suivants :

 Indépendance : la BTS doit être indépendante des événements initiateurs pouvant

conduire à sa sollicitation pour pouvoir être retenue en tant que barrière agissant sur le scénario

induit par ces événements initiateurs. Ses performances ne doivent pas être dégradées par

l’occurrence des évènements initiateurs. Ainsi, si une chaîne de sécurité de pression haute est

raccordée sur le même capteur que celui utilisé pour la régulation, on ne pourra pas considérer

que cette chaîne de sécurité agit comme une barrière de sécurité (partie détection) pour un

évènement critique initié par une défaillance de la régulation de pression. De même, si un

incendie est identifié comme cause potentielle de rupture de canalisation, on ne pourra pas

retenir la fonction de sécurité associée à la fermeture d’une vanne de sécurité sur la canalisation

si la vanne n’est pas à sécurité feu et qu’elle est située dans les effets de l’incendie.

 Utilisation pour la sécurité : a minima, le descriptif technique de la BTS doit préciser

qu’elle est identifiée pour la sécurité. Elle doit donc être conçue et traitée en tant que tel

(Cahier des Charges spécifique, suivi dans le SGS, …).

Lorsque ces conditions sont remplies, la barrière peut être retenue comme barrière de

sécurité et l'étude de ses performances peut être réalisée en analysant les trois critères :

 Efficacité,
 Temps de réponse,
 Niveau de confiance (NC).

38
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

2.2. Efficacité

L’efficacité se définit par l’aptitude de la barrière de sécurité à remplir la fonction de

sécurité qu’elle est prévue assurer. Elle est évaluée dans le contexte d’utilisation de la barrière

de sécurité et pendant une durée donnée de fonctionnement à travers un scénario d’accident

précis. La mesure d’efficacité s'exprime en pourcentage d'accomplissement de la fonction de

sécurité définie, en considérant un fonctionnement normal de la barrière (non dégradé). Le

pourcentage d’efficacité peut varier pendant la période de sollicitation de la barrière de

sécurité. Généralement, l’efficacité est de 100%. Ainsi, une soupape de sécurité correctement

dimensionnée permettra de prévenir l’éclatement du réservoir qu’elle protège.

L'efficacité peut également être dégradée dans le temps. Pour diverses raisons (usure,

corrosion, défaillances…), une barrière de sécurité peut ne plus remplir sa fonction de façon

optimale. Ce manque d'efficacité peut avoir des conséquences indésirables sur la sécurité de

l'installation. L'exploitant doit s'assurer, au travers notamment de son système de gestion de la

sécurité, que sa barrière est toujours en état de remplir sa fonction de sécurité avec l’efficacité

telle qu’elle a été définie 47.

L’évaluation de l’efficacité repose en premier lieu sur les principes de dimensionnement

adapté et de résistance aux contraintes spécifiques. D'autres paramètres, comme le

positionnement, peuvent également, selon la barrière étudiée, influencer l’efficacité.

 Principe de dimensionnement adapté :

Les éléments constituant la barrière satisfont au principe de dimensionnement adapté

lorsqu’ils sont conçus sur la base des normes et standards reconnus. Leur dimensionnement

doit également tenir compte des événements redoutés à maîtriser et des conditions de

fonctionnement du procédé.

39
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

 Principe de résistance aux contraintes spécifiques

Ce principe consiste à vérifier que la barrière de sécurité a été conçue pour résister aux

contraintes spécifiques liées :

• aux produits mis en jeu (corrosifs, …),

• à l’environnement (conditions météorologiques, risques sismiques...),

• à l’exploitation (pression de travail élevée, température élevée, …),

• à la tenue, le cas échéant, à des surpressions, aux effets thermiques…

La résistance aux contraintes spécifiques doit être validée par des notes de calcul, des essais ou

par des attestations du constructeur.

 Positionnement

Dans certains cas, le positionnement de la barrière permet d'optimiser son aptitude à

remplir la fonction qui lui est dévolue. Il s’agit par exemple :

• des capteurs (de gaz, de flamme, de température, de pression…),

• des systèmes d'extraction (position du conduit d'extraction dans le bâtiment en partie

inférieure ou supérieure du local),

• de murs coupe-feu,

• de vannes (optimiser leur positionnement vis à vis des fuites),

• etc…

Pour l'évaluation du critère « Positionnement adéquat », les documents suivants pourront être

nécessaires :

• descriptif technique de la barrière,

• notes de calculs, études spécifiques,

• résultats d'essais,

• standards de la profession, quand ils existent.

40
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

Le positionnement et l’accessibilité de la barrière peuvent également avoir leur importance

dans la réalisation des opérations de maintenance, de contrôle, de tests, d’étalonnage, car ces

opérations ont une influence sur le maintien dans le temps de la performance de la barrière de

sécurité.

[Link] temps de réponse :

Le temps de réponse correspond à l’intervalle de temps situé entre le moment où une

barrière de sécurité est sollicitée et le moment où la fonction de sécurité attendue est réalisée en

intégralité. Selon cette définition, le temps de réponse intègre :

 le temps nécessaire au fonctionnement d'une détection de l'incident suite à sa

sollicitation,

 le temps nécessaire à la transmission et au traitement de l'information jusqu’aux éléments

devant remplir l’action de sécurité,

 le temps nécessaire à la réalisation de l'action de sécurité.

Dans le cas par exemple d’une barrière de sécurité, constituée par un détecteur de niveau, un

système de traitement et des actionneurs, le temps de réponse est l’intervalle de temps entre le

moment où le détecteur détecte un dépassement de seuil et le moment où la fonction de sécurité

assurée par cette barrière est réalisée dans son intégralité. Ces actions de sécurité dépendent du

temps de déclenchement d’alarme du détecteur de niveau et des temps de mise en œuvre des

actions de sécurité (fermeture d’une vanne, etc…).

Il est possible que le temps de réponse soit fourni par le constructeur mais on peut

également le mesurer sur site. Pour être retenue, le temps de réponse d’une barrière de sécurité

doit être significativement inférieur à la cinétique du phénomène qu’on veut maitriser.

Le temps de réponse de la barrière intervient ensuite dans l'évaluation des effets du

phénomène dangereux.

41
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

[Link] niveau de confiance (NC) :

Le niveau de confiance est l’extrapolation des SIL (Safety Integrity Level) définis

dans les normes CEI 61508 et CEI 61511 pour les SIS. La démarche de ces normes a

été étendue à tous les types de barrières de sécurité, y compris les barrières humaines

de sécurité. Car les notions de probabilité de défaillance sur demande et de probabilité

par heure peuvent être appliquées à tous les types de barrières de sécurité. C’est

pourquoi l’INERIS a introduit la notion de Niveau de confiance (NC) qui est

applicable à l’ensemble des barrières de sécurité.

Le niveau de confiance peut être défini comme étant une classe de performance d’une

barrière de sécurité, liée à sa probabilité de défaillance sur sollicitation, ou sa probabilité de ne

pas remplir la fonction de sécurité qui lui est dévolue 57, 37. Pour évaluer le niveau de

confiance d'une barrière de sécurité diffère en fonction de la nature de la barrière étudiée.

L'évaluation des probabilités d'occurrence des phénomènes dangereux fait intervenir les

facteurs de réduction de risques induits par les barrières de sécurité. L'INERIS a retenu pour

qualifier le facteur de réduction de risques le niveau de confiance (NC) de la barrière. Le NC

correspond à une réduction de risques (RR) telle que : 10NC< RR< 10NC+1. De manière

conservatrice, on retient souvent que le NC est associé à une réduction de risques de 10NC .

Le lien entre NC, PFD et RRF est précisé dans le tableau (3.1) suivant :

42
Chapitre 3 Evaluation de la Performance des Barrières de Sécurité

Tableau 3.1 : Correspondance entre Niveaux de Confiance-Réduction du Risque pour des

systèmes fonctionnant à la sollicitation

Probabilité moyenne Fréquence moyenne

Niveau de Confiance Réduction du risque
de défaillance à la de défaillance
(NC) (RR)
sollicitation (PFDavg) par heure (PFHavg)

4 10-5≤PFDavg ≤10-4 10-9  N < 10-8 10 000 < RR 100 000

3 10-4≤PFDavg ≤10-3 10-8  N < 10-7 1 000 < RR 10 000

2 10-3≤PFDavg ≤10-2 10-7  N < 10-6 100 < RR 1 000

1 10-2≤PFDavg ≤10-1
10-6  N < 10-5 10 < RR  100
-1
0 10 ≤PFDavg ≤ 1
10-5  N < 10-4 1 < RR  10

43
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Chapitre 4
Méthodes d’évaluation
des performances des Barrières
de Sécurité
Pour l’évaluation des performances des barrières de sécurité, l’Arbre des Evénements

(AdE), l’analyse des couches de protection (LOPA : Layer Of Protection Analysis) et le nœud

de papillon sont largement utilisés en raison de leur facilité de mise en œuvre. Outre ces

méthodes, le graphe de risque est utilisé pour déterminer le niveau d’intégrité de

sécurité (SIL) et l’analyse des barrières et des risques opérationnels (BORA : Barrier and

Operational Risk Analysis) est également utilisée pour analyser les barrières

proactives et réactives dans la phase opérationnelle.

1. Arbre des Évènements (AdE)

1.1. Historique et domaine d’application

L’analyse par arbre d’évènements a été développée au début des années 1970 pour

l’évaluation du risque lié aux centrales nucléaires à eau légère. Particulièrement utilisée dans le

domaine du nucléaire, son utilisation s’est étendue à d’autres secteurs d’activité. De par sa

complexité proche de celle de l’analyse par arbre des défaillances, cette méthode s’applique

préférentiellement sur des sous-systèmes bien déterminés. Elle apporte une aide précieuse pour

traiter des systèmes comportant de nombreux dispositifs de sécurité et de leurs interactions. À

l’instar de l’analyse par arbre des défaillances dont elle s’inspire, elle permet d’estimer les

probabilités d’occurrence de séquences accidentelles. Cette méthode est particulièrement

44
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

utilisée dans le domaine de l’analyse après accidents en vue d’expliquer les conséquences

observées résultant d’une défaillance du système.

La quantification des risques associés aux installations industrielles nécessite

l’identification et l’évaluation d’un très grand nombre de scénarios (ou séquences)

envisageables conduisant à des accidents. La complexité des systèmes (élémentaires)

intervenant dans une installation industrielle, leurs nombreuses interactions et les redondances

fonctionnelles existantes rendent difficiles ces tâches d’élaboration et d’évaluation des

séquences d’événements.

L’AdE est l’outil le plus adéquat pour la caractérisation et la détermination de tels

accidents potentiels.

1.2. Principe de la méthode

L’analyse par Arbre de Défaillances(AdD), vise à déterminer, dans une démarche

déductive, les causes d’un événement indésirable ou redouté retenu a priori. À l’inverse,

l’analyse par arbre d’évènements suppose la défaillance d’un composant ou d’une partie du

système et s’attache à déterminer les évènements qui en découlent. À partir d’un événement

initiateur ou d’une défaillance d’origine, l’analyse par arbre d’évènements permet donc

d’estimer la dérive du système en envisageant de manière systématique le fonctionnement ou la

défaillance des dispositifs de détection, d’alarme, de prévention, de protection ou

d’intervention... Ces dispositifs peuvent concerner aussi bien des moyens automatiques

qu’humains (intervention des opérateurs) ou organisationnels (application de procédures) 61.

Chaque opération ou chaque système figurant dans l’AdE conduit à deux chemins

(Succès – Échecs). S’il y a n opérations il y’aura 2n chemins ou séquences, chacun(e)

conduisant à une conséquence qui sera indiquée en bout de l’arbre 27.

45
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Une séquence d’événements consiste en un premier événement (appelé événement initiateur) et

une succession (ou combinaison) de défaillances et de fonctionnements des systèmes de

sécurité. Lorsque cette succession d’événements conduit à (Figure 4.1) :

 des conséquences jugées inacceptables : « séquence inacceptable » ;

 des conséquences jugées acceptables : « séquence acceptable ».


Fréquence de Phénomène
 l’événement dangereux
initiateur

Barrière de Barrière de
sécurité 1 sécurité 2 Phénomène résiduel (tolérable) lié au
 Succès
succès de la couche de protection 1
1- PFD1
Evénement
 initiateur Phénomène résiduel (tolérable) lié au
Echec 1- PFD2
succès de la couche de protection 2

PFD1 Phénomène dangereux (inacceptable)

PFD2
lié à la défaillance de toutes les
couches de protection (1 et 2).

Figure 4.1 : Exemple d’un AdE et déroulement d’un scénario d’accident

1.3. Déroulement

La démarche généralement retenue pour réaliser une analyse par arbre d’événement est la

suivante 61.:

- définir l’événement initiateur à considérer

- identifier les fonctions de sécurité prévues pour y faire face

- construire l’arbre

- décrire et exploiter les séquences d’évènements identifiées

46
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

1.3.1 Définition de l’événement initiateur

Il s’agit d’une étape importante pour l’analyse par arbre d’évènements. Etant donné qu’il

s’agit d’une approche qui peut vite se révéler lourde à mener. Il est généralement bon de

sélectionner un événement initiateur qui peut effectivement conduire à une situation critique.

Ceci suppose donc de connaître, au moins de manière partielle, les principaux risques associés

à l’installation considérée. Pour une analyse après accidents, ces risques sont de fait connus.

Par définition un événement initiateur (EI) est le premier événement d’une séquence

d’événements. Deux approches sont utilisées pour identifier les événements initiateurs :

 La première résulte d’une description du système, de l’expérience d’exploitation, des

études des accidents déjà survenus…

Ces événements initiateurs sont groupés selon les fonctions de sécurité compromises ou

selon les fonctionnements des systèmes élémentaires sollicités.

 La deuxième résulte d’une analyse préliminaire (APR) ou de la construction d’un AdD.

En ce sens, cette méthode apparaît complémentaire de ces méthodes. L’exemple traité en fil

conducteur (inspiré de l’ouvrage « Guidelines for Hasard Evaluation Procédures », considère

un réacteur dans laquelle s’opère une réaction exothermique. Le maintien en température du

système est assuré par un système de réfrigération (AICHE). Pour ce cas simple, il est aisé

d’identifier le risque d’emballement de réaction. Cet emballement pourrait notamment résulter

de la défaillance du système de refroidissement. Produisant de la chaleur, cet événement sera

considéré comme événement initiateur pour la construction d’un arbre d’évènements.

1.3.2 Identification des fonctions de sécurité

Les fonctions de sécurité doivent être assurées par des barrières en réponse à l’événement

initiateur. Elles sont en général pour objectif d’empêcher, dans la mesure du possible, que

47
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

l’événement initiateur soit à l’origine d’un accident majeur. Elles se déclinent le plus souvent

en :

 Fonctions de détection de l’événement initiateur,

 Fonctions d’alarme signifiant l’occurrence de l’événement initiateur,

 Fonctions de limitation visant en empêcher que l’événement initiateur ne perdure dans

le temps,

 Fonction d’atténuation s’attachant à réduire les effets de l’événement initiateur.

Cette liste n’est bien sûr pas exhaustive. De plus, ces fonctions peuvent être réalisées par des

dispositifs automatiques ou bien des actions effectuées par des opérateurs conformément à des

procédures. Dans l’exemple du réacteur chimique, en réponse à la défaillance du système de

refroidissement, les fonctions de sécurité suivantes ont été prévues:

 Détecter la montée en température dans le réacteur,

 Alarmer un opérateur de la montée en température,

 Rétablir le fonctionnement du système de refroidissement,

 Stopper la réaction.

Bien entendu, ces fonctions n’interviennent généralement pas simultanément. Il est

particulièrement important de déterminer dans quel ordre elles vont intervenir suite à

l’événement initiateur et donc d’identifier les seuils commandant leur mise en œuvre. Ces

informations permettent ainsi de donner des indications quant au temps nécessaire pour la mise

en place de ces mesures de sécurité. En conclusion de cette seconde étape, il est judicieux de

dresser un tableau chronologique des fonctions de sécurité (Tableau 4.1) faisant figurer entre

autres les systèmes ou équipements prévus pour assurer ces fonctions.

48
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Tableau 4.1: Exemple de tableau définissant les fonctions de sécurité 61.

Mesure de la Rétablissement du
température système de
Fonctions dans la Alarme réfrigération par Arrêt de la
réaction un opérateur réaction

Dispositifs Sonde de Signaux Opérateur selon Introduction

assure la sonores et une procédure automatique
fonction Température lumineux au d'un inhibiteur
dans le réacteur poste de de la réaction
travail

Paramètre ou
information
déclenchant la Permanent T ≥ T1 Alarme T ≥ T2
fonction

Délai Continu 1 mn Si possible, estimé Estimé à 10 mn

à 5 mn (De T1 à T2)

1.3.3 Construction de l’arbre des événements

La construction de l’arbre consiste alors à partir de l’événement initiateur à envisager soit

le bon fonctionnement soit la défaillance de la première fonction de sécurité. L’événement

initiateur est représenté schématiquement par un trait horizontal. Le moment où doit survenir la

première fonction de sécurité est représentée par un nœud. La branche supérieure correspond

généralement au succès de la fonction de sécurité, la branche inférieure à la défaillance de cette

fonction.

49
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Alarme signifiant Rétablissement du

Mesure de Inhibition Séquences
Evénement la montée de la système de
température automatique
Initiateur température à un refroidissement
dans le réacteur de la réaction
opérateur T  T1 par un opérateur

Figure 4.2: Construction de l'arbre d’évènements relatifs à la défaillance du système

de refroidissement.

La suite de la méthode consiste alors à examiner le développement de chaque branche de

manière itérative en considérant systématiquement le fonctionnement ou la défaillance de la

fonction de sécurité suivante (Figure 4.2). Cette démarche temporelle permet d’identifier des

séquences d’évènements susceptibles de conduire ou non à un accident potentiel. Elle n’est

cependant généralement pas suffisante en vue de construire un arbre. Il est ainsi indispensable

durant la construction de l’arbre de prendre en prendre en considération l’ordre des événements

génériques.

L’ordre des événements génériques, dans un AdE, est très important. Il permet de simplifier

l’arbre et de réduire le nombre de séquences. Trois facteurs aident à en déterminer l’ordre 27 :

50
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

 Temps : Dans un AdE, les systèmes élémentaires sont placés dans l’ordre dans lequel ils

sont censés intervenir pour la maîtrise de l’événement initiateur.

 Interactions fonctionnelles : les systèmes élémentaires qui dépendent du

fonctionnement d’autres systèmes doivent être considérés après ces systèmes.

 Si l’échec d’une fonction entraîne nécessairement l’échec d’autres fonctions, le

succès de ses dernières n’est évidemment pas à considérer. Ainsi, dans notre

exemple, si la sonde de température est défaillante, il n’y a pas lieu d’étudier le

fonctionnement de l’alarme ou le déclenchement automatique de l’inhibition de la

réaction.

 Interactions entre systèmes élémentaires :

 Si la défaillance d’un sous-système entraîne la défaillance commune de plusieurs

systèmes élémentaires, ce sous- système doit être considéré avant ces systèmes. Ces

défaillances se rapportent souvent à des pertes d’utilités (électricité, air

comprimé…) ou des agressions externes majeures.

 Si le succès d’une fonction agit sur le paramètre déclenchant d’autres fonctions

ultérieures, le succès ou la défaillance de cette fonction ne doivent pas être envisagés

dans le développement de cette branche. Ainsi, si l’opérateur parvient à rétablir le

système de refroidissement avant que la température dans le réacteur ne dépasse T2,

il n’y a pas lieu de considérer l’inhibition automatique de la réaction.

 Si la défaillance d’un sous-système entraîne la défaillance commune de plusieurs

systèmes assurant des fonctions de sécurité, ce sous-système doit être considéré avant

ces systèmes. Ce cas de figure envisage ainsi les modes communs de défaillances. Elles

se rapportent souvent à des pertes d’utilités (électricité, air comprimé...) ou des

agressions externes majeures. Dans notre exemple, si l’alimentation électrique est

commune à tous les systèmes considérés, il convient de considérer juste après

51
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

l’événement initiateur une fonction du type « Maintien de l’alimentation électrique ».

Nous considérerons ici que tous ces systèmes ont une alimentation distincte. De la

même façon, la défaillance de la sonde de température dans le réacteur est supposée

entraîner la défaillance commune du système d’alarme et d’inhibition de réaction. Elle a

donc été considérée en premier lieu.

Le respect de ces règles et l’élimination des branches physiquement impossibles conduisent à

l’élaboration d’un arbre d’évènements réduit, semblable à celui présenté.

1.3.4. Exploitation de l’arbre

La réalisation d’un arbre d’évènements permet en définitive de déterminer la probabilité

d’occurrence des différentes conséquences à partir des séquences identifiées. Cette dernière ne

peut être effectuée qu’à partir d’un arbre d’évènements préalablement réduit. La réduction de

l’arbre concourt entre autres à éliminer les chemins non physiquement possibles ainsi qu’à

identifier les modes communs de défaillances. Cette opération est nécessaire pour assurer

l’indépendance des évènements intermédiaires présentés.

52
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Evénement Mesure de la Alarme à Rétablissement Inhibition Séquence

Initiateur température l’opérateur du système de automatique de conduisant
Défaillance du dans le réacteur signifiant la refroidissement la réaction à
système de montée de par l’opérateur T≥ T2
refroidissement température
T≥ T1
Retour au
P4 fonctionnement normal
P1. P2. P3. .P4.
Délai = 5mn
Délai = 11 mn
P3
P5
Mise en sécurité de
Délai = 1 mn l'installation (arrêt des
Délai = 10 mn
opérations)
1-P4 P1. P2. P3. (1-P4.) P5.
Succès
P2 Délai = 11 mn
1-P5
Emballement de réaction
Délai = 0 P1. P2. P3. (1-P4). (1-P5)
Défaillance
Délai  à 11mn

Mise en sécurité de
P5 l'installation (arrêt des
P1 opérations)
1-P3 P1. P2. (1-P3.) P5.
Délai = 11 mn

1-P5 Emballement de réaction

P1. P2.. (1-P3). (1-P5)
Délai  à 11mn
1-P2
Emballement de réaction
P1. . (1-P2)
Délai  à 11mn

Figure 4.3 : Exemple d’exploitation d’un arbre d’évènements

La probabilité d’occurrence d’une conséquence suite à une séquence particulière peut

alors être estimée, pour des évènements indépendants, comme le produit de la probabilité

d’occurrence de l’événement initiateur et de la probabilité de défaillance ou de fonctionnement

selon le cheminement des évènements intermédiaires. La figure (4.3) ci-dessus permet

d’expliciter cette détermination des probabilités pour un arbre d’évènements réduit. Rappelons

qu’un arbre des évènements ne doit pas être considéré comme un outil visant à déterminer la

53
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

probabilité d’un événement avec exactitude mais comme un outil pour caractériser

l’enchaînement des actions et des évènements pouvant conduire ou non à un accident.

1.4. Limites et avantages

L’analyse par arbre d’évènements est une méthode qui permet d’examiner, à partir d’un

événement initiateur, l’enchaînement des évènements pouvant conduire ou non à un accident

potentiel. Elle trouve ainsi une utilité toute particulière pour l’étude de l’architecture des

moyens de sécurité (prévention, protection, intervention) existants ou pouvant être envisagés

sur un site. A ce titre, elle peut être utilisée pour l’analyse d’accidents a posteriori. Cette

méthode peut s’avérer rapidement lourde à mettre en œuvre. En conséquence, il faut définir

avec discernement l’événement initiateur qui fera l’objet de cette analyse.

2. Méthode LOPA (Layers Of Protection Analysis)

L’analyse des couches de protection LOPA décrite dans la partie 3 de la norme IEC 61511

[37] et développée par CCPS (Center for Chimical Process Safety) à la fin des années 1990 [3]

est une méthode semi-quantitative d’analyse et d'évaluation des risques.

LOPA est un cas particulier de la méthode Arbre des Evénements (AdE) [55], établie dans

le but de déterminer la fréquence d’une conséquence indésirable pouvant être prévenue par une

ou plusieurs couches de protection.

Le but principal de LOPA est de déterminer s'il y a suffisamment de couches de protection

pour la maîtrise d’un scénario d'accident bien défini, c'est-à-dire de vérifier si le risque est

réduit à un niveau au moins tolérable.

54
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

2.1. Principe de la méthode LOPA

Une autre façon de comprendre LOPA est de la considérer comme un cas particulier de la

méthode de l’Arbre des Evénements [55] qui est une méthode quantitative d'évaluation de

risque. Un arbre d'événements analyse toutes les conséquences possibles d'un événement

initiateur, alors que LOPA n'étudie qu'un seul scénario à la fois (couple cause- conséquence),

ce qui représente un seul chemin sur l'arbre d'événements. Ce dernier peut servir de support

pour LOPA puisqu'il facilite la représentation de l'ordre des IPL.

LOPA utilise un événement initiateur de la même façon que l’AdE, mais elle exige qu’il

soit exprimé en termes de fréquence. Les couches de protection dans LOPA correspondent aux

branches d’un AdE (Figure 4.1). Dans LOPA, chaque branche est souvent un ensemble

d’événements complémentaires dans lequel la couche de protection accomplie sa fonction de

sécurité avec succès ou se trouve défaillante [3]. LOPA estime la fréquence de la conséquence

indésirable, de la même façon que fait l’AdE, en multipliant la fréquence de l'événement

initiateur par le produit des PFD des IPL (Independent Protection Layers).

2.2. Etapes d’élaboration de la méthode LOPA

Comme toutes les méthodes d’analyse de risques, LOPA possède ses propres règles

d’élaboration et peut être décomposée en sept principales étapes [3] :

2.2.1. Établissement des critères d’acceptabilité des scénarios d’accidents :

Cette étape est préalable à l’analyse des risques, elle fournit un moyen de limiter la durée

de l’étude en ne considérant que les scénarios significatifs en termes de conséquences.

L’établissement des critères d’acceptabilité est fait en fonction du contexte de chaque

établissement/entreprise concerné et aussi des objectifs poursuivis. Quelques que soient les

critères d’acceptabilité retenus, il est indispensable qu’ils soient connus et explicites

préalablement avant toute phase d’analyse des risques industriels [55]. L’estimation des

55
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

conséquences des risques permet l’identification des scénarios d’accidents les plus importants.

Pour les scénarios jugés inacceptables, une évaluation plus fine de gravité demeure

indispensable.

2.2.2. Développement et sélection d’un scénario d'accident :

Les scénarios d’accident sont développés par des méthodes préliminaires d’analyse telles

que l’AMDEC et l’HAZOP (Figure 4.4). Le scénario développé par LOPA décrit un seul

couple (cause-conséquence). IL est constitué d’un événement initiateur, de la défaillance des

IPL et d’une conséquence indésirable. Ce scénario est représenté sous forme d’un AdE.

Selon la nature de la conséquence, est effectuée l’analyse ; dans le cas de l’industrie

pétrochimique par exemple, on doit préciser pour le scénario la probabilité d’ignition du

produit inflammable et la probabilité qu’une personne soit présente sur le lieu et être touchée

par l’événement [3].

2.2.3. Identification de l'événement initiateur du scénario et estimation de sa fréquence :

L'événement initiateur doit mener à la conséquence résultant de la défaillance de toutes les

couches de protection. Cet événement peut être un événement externe, une défaillance d’un

équipement ou une défaillance humaine. Quant à la fréquence de l’événement initiateur, elle

peut être estimée, à partir des données de l’industrie, des données du concepteur, d’un

jugement d’experts, etc. Cependant, ces données de défaillance devraient être sélectionnées en

prenant soin qu’elles soient représentatives de l’industrie ou de l’opération analysée [3].

2.2.4. Identification des IPLs et estimation de leurs PFD :

Comme mentionné auparavant, LOPA s’intéresse uniquement aux couches de

protection qualifiées d’IPLs (Independent Protection Layers). Ces IPLs sont sélectionnées

parmi les barrières de sécurité identifiées par une analyse qualitative telle que HAZOP (Figure

4.4).

56
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Information HAZOP Information LOPA

Méthode qualitative Méthode semi-Quantitative

Déviation Conséquence

Cause Gravité de la
conséquence

Fréquence de cause
Cause initiale

Conséquence Fréquence de cause

Matrice de Risque

Conception de procédé IPL&PFD

Gravité de la conséquence

Barrières existantes BPCS IPL&PFD

Alarmes, procédures IPL&PFD

Recommandation de
nouvelles barrières SIF IPL & PFD

Atténuation supplémentaire IPL & PFD

Fréquence réduite du scenario

Barrières existantes

Implantation des IPLs Fréquence

Modification de conception réduite inférieure
à la cible

BPCS : Basic Process Control System

IPL : Independent Protection Layer Passer au deuxième scenario
PFD : Probability of Failure on Demand (cause –conséquence)
SIL : Safety Integrity Level

Calculer la fréquence globale

des scenarios de même
procédé

Figure 4.4 : Données HAZOP exploitées par LOPA

57
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Rappelons qu’une IPL est un dispositif, un système ou une action qui est capable de

prévenir un scénario d’accident et/ou réduire ses effets, indépendamment de l’événement

initiateur ou des composants des autres couches de protection conçues et prévues pour le même

scénario. Elle doit être efficace pour remplir la fonction de sécurité pour laquelle elle a été

conçue. L’efficacité d’une IPL est évaluée en termes de sa probabilité de défaillance à la

demande (PFD) qui est la probabilité que l’IPL n’effectue pas correctement sa fonction de

sécurité quand elle est sollicitée 3, 58.Cette défaillance peut être causée par :

 Un composant de la couche de protection qui se trouve dans un état de défaillance ou

d’insécurité quand l'événement initiateur se produit ;

 Un composant qui devient défaillant durant l’accomplissement de sa fonction ;

 Une défaillance de l’intervention humaine.

 L’identification des IPL, parmi les barrières de sécurités existantes dans un procédé est

une étape primordiale dans le processus d’analyse par LOPA. Une barrière de sécurité

qualifiée d’IPL doit être :

 Efficace : Une IPL est efficace si elle est :

 capable de détecter l’événement initiateur qui l’incite à agir,

 capable de détecter à temps cet événement initiateur ou dérive pour prendre l’action

corrective qui devrait prévenir la conséquence indésirable associée à un scénario

déterminé ;

 capable de remplir la fonction de sécurité à laquelle elle est dévolue pendant le temps

disponible.

 Indépendante: La méthode LOPA utilise le critère d’indépendance pour s’assurer que les

effets de l’événement initiateur ou des autres IPL n’interagissent pas avec une IPL

58
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

spécifique ce qui dégrade sa capacité d’effectuer sa fonction de sécurité. L’indépendance

exige que l’IPL soit indépendante de :

 L’occurrence d’un événement initiateur ;

 La défaillance des composants d’une autre IPL conçue et prévue pour maîtriser

le même scénario.

Il est particulièrement important de déterminer les modes communs de défaillance

lorsqu’on sélectionne une barrière de sécurité comme étant une IPL. Le mode commun de

défaillance peut impliquer l’événement initiateur, une ou plusieurs barrières ou une

interaction de plusieurs barrières. Toutes les barrières affectées par les modes communs de

défaillance doivent être considérées comme une seule barrière.

La figure (4.5) illustre un cas où une barrière de sécurité peut être retenue, ou non,

comme une IPL pour un scénario.

Deux approches sont développées pour évaluer l’indépendance des IPL 3:

Approche A : C’est une approche conservative puisqu’elle autorise seulement une

seule IPL dans un BPCS (Basic Process Control System) et exige que cette IPL soit

indépendante de l’événement initiateur. Cette approche élimine plusieurs défaillances de causes

communes en affectant la PFD aux IPLs existantes. L’approche A est simple à appliquer du fait

que peu de jugement est laissé à l'analyste et que ses règles sont sans ambiguïté.

Approche B : Cette approche autorise soit plus d’une IPL dans la même boucle BPCS ou

bien une seule IPL avec l’existence d’un événement initiateur lié à cette boucle (avec

l'indépendance exigée pour certains composants). Cette approche est basée sur l’hypothèse que

si une boucle de BPCS est défaillante, il est probable que le composant défaillant soit le

59
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

système de détection ou bien l’élément final de contrôle, et que la défaillance de l’IPL est due à

un défaut dans l’unité de traitement. L’approche B attribue un nombre limité de composants

IPL

Événement Réaction
initiateur 1 Détection température Ajout d’étanchéité exothermique
élevée de Rayon X à Rayon X
emballée arrêtée
Débit élevé
de catalyseur

IPL dépend de
IPL l’événement initiateur

Événement initiateur 2 Détection température Ajout d’étanchéité

Réaction
élevée de Rayon X à Rayon X
Perte d’alimentation exothermique
emballée
Étanchéité activée par poursuivie à
des pompes électriques cause de
(défaillantes)
l’incapacité des
pompes
électriques de
fonctionner

Figure 4.5 : Exemple d’une IPL non indépendante de l’événement initiateur 3.

pour une boucle BPCS pour qu’elle puisse servir comme IPL dans un scénario. Cette

approche est moins pratique, elle exige :

- Des informations sur la conception et la performance du BPCS,

- Une compréhension complète des modes communs de défaillance dans une IPL,

- Une analyse expérimentale permettant d’une part, d’identifier une IPL, et d’autre part

de s’assurer qu’il s’agit effectivement d’une IPL selon les critères correspondants.

 Testable : Généralement, une barrière de sécurité est testable lorsqu’une opération

manuelle ou automatique permet de vérifier ses fonctionnalités dans des conditions normales

d’utilisation. Une IPL doit être donc conçue pour permettre périodiquement de s’assurer par

test de son efficacité et de démontrer qu’elle répond aux exigences de réduction du risque.

60
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Pratiquement les tests doivent être effectués afin de contrôler et de vérifier les performances

des IPL (temps de réponse et niveau de confiance).

Une fois les IPL identifiées, une valeur de probabilité de défaillance à la demande

(PFD) est ensuite affectée à chaque IPL. Déterminer ou spécifier la valeur appropriée de la

PFD est un point important de LOPA. Les données disponibles pour évaluer la PFD d’une IPL

peuvent être issues des bases de données, du retour d’expérience du secteur industriel concerné

ou des données du constructeur.

Cependant, et comme il a été mentionné précédemment, le contexte réel d’utilisation de

l’IPL n’est pas toujours facile à prendre en compte, ce qui rend non évident l’utilisation de ces

données. Par conséquent, il faut être prudent quant on estime la valeur appropriée de la PFD de

l’IPL.

2.2.5. Calcul de la fréquence de la conséquence réduite :

Cette étape constitue la synthèse des étapes précédentes. La procédure générale de calcul de la

fréquence de la conséquence réduite est de combiner la fréquence de l'événement initiateur et

les PFD des IPLs en utilisant l'équation suivante :

J
f i C  f i I   PFDmoy ij (4.1)
j 1

Où f i C est la fréquence de la conséquence C pour l'événement initiateur i ;

f i I est la fréquence de l'événement initiateur i et PFDmoyij est la probabilité de défaillance à la

demande de la jéme IPL qui protège contre la conséquence C de l'événement initiateur i.

Selon les conséquences aux limites, l’équation (4.1) sera modifiée en multipliant la

fréquence de scénario d’accident par la probabilité de survenue appropriée à chaque

conséquence.

61
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Dans le cas par exemple, du rejet d’un produit toxique inflammable dans l’atmosphère,

les effets d’inflammabilité tels que l’incendie sont aussi possibles. Ce dernier nécessite une

source d’ignition pour sa réalisation. L’équation (4.1) devient :

J (4.2)
fi feu
 f i .( PFDij ).P
I ignition

j 1

2.2.6. Evaluation du risque par rapport aux critères d’acceptabilité :

La dernière étape de toute analyse de risques (qualitative ou quantitative) est la prise de

décision sur l’acceptation et la réduction du risque résiduel. Ce qui revient à s’assurer que le

risque est bien maitrisé par rapport aux critères d’acceptabilité préalablement définis. Durant

cette étape, on propose des alternatives et on choisit l’alternative la plus adéquate pour

contrôler le risque. On prend des mesures de sécurité ou on réalise toute autre action qui aura

pour but de ramener le risque à un niveau acceptable [52].

2.3. Formalisme de la méthode LOPA

Un tableau de synthèse type est donné en annexe F de la norme IEC 61511-3 [37] est et

recommandé pour établir un compte rendu de l’analyse des risques par la méthode LOPA. Le

tableau 4.2 illustre une adaptation de ce formulaire type. Il s’agit d’un incendie résultant de

l’inflammation d’une vapeur inflammable suite à un dégagement lors de la rupture d’une

colonne de distillation.

La colonne 1 indique l’événement redouté et la colonne 2 permet de coter sa gravité. La

colonne 3 décrit l’Evénement Initiateur (EI) et la colonne 4 cote sa fréquence. Les colonnes de

5 à 9 permettent de décrire les différentes couches de protection et d’indiquer leurs probabilités

de défaillance à la demande (PFD). La colonne 10 indique le résultat de la combinaison de la

fréquence de l’EI et les PFD des IPLs. La colonne 11 permet d’introduire une atténuation

62
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

supplémentaire à l’aide d’un Système Instrumenté de Sécurité en indiquant son Niveau

d’Intégrité de Sécurité (SIL). La colonne 12 indique le risque final réduit.

Tableau 4.2 : Tableau d’analyse de LOPA

Exemple : Dans le cas toujours de l’exemple montré par la figure (4.6), et dans le cadre de

LOPA, l’AdE relatif à l’évènement initiateur « défaillance du système de régulation » est le

suivant :

63
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Manomètre +
Soupape de
O.H + Conséquences
sécurité
Interrupteur

sq1 : Situation Maitrisée

Défaillance sq2 : Elimination de la

surpression
du système
de régulation

sq3 : Rupture du réservoir

Figure 4.6 : AdE relatif à « défaillance du système de régulation »

2.4. Avantages, limites de la méthode LOPA

La méthode LOPA présente plusieurs avantages [3], [62], [64] :

 C’est un outil performant et efficace d’évaluation des risques et de prise de décision

quant aux mesures de protection et de réduction.

 C’est est un outil simple et flexible permettant de déterminer la réduction apportée par

chaque mesure de réduction (IPL) en lui attribuant des probabilités de défaillance.

 Elle permet de déterminer le SIL associé au SIS.

 C’est un outil d’estimation des conséquences limites.

 C’est est un outil d’aide à la décision quant à l’acceptabilité du risque.

 En la comparant à d’autres méthodes d’analyse des risques telles que l’arbre de

défaillance, la méthode LOPA exige moins du temps et moins de coûts pour sa

réalisation. Cette caractéristique lui confère la possibilité d’être appliquée à un grand

nombre de scénarios qui sont quantitativement difficiles à évaluer.

64
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

3. Nœud de Papillon

3.1 Principe

Le nœud de papillon est une représentation des scénarios d’accidents, qui combine pour un

système arbre de défaillances et arbre d’événements, est très répandue. En effet elle donne un

aperçu global des scénarios menant aux accidents majeurs, en mettant en évidence les

différentes causes possibles avec les liens logiques existant entre elles et en mettant en valeur

les barrières de sécurité permettant de réduire leur probabilité d’occurrence. De plus, la

représentation permet de visualiser les chemins critiques, c’est à dire d’identifier les branches

causales les plus contributives à l’occurrence du scénario d’accident en vue d’améliorer la

maîtrise des risques. Le nœud papillon, s’il est correctement construit, s’avère être un support

privilégié d’agrégation des données de fréquences et de probabilités le long d’un scénario

d’accident 48.

Un nœud papillon se présente généralement de la manière suivante (Figure 4.7) :

Figure 4.7: Représentation d’un scénario d’accident sous forme de nœud papillon

65
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Légende :

EI : Événement Initiateur

Les événements initiateurs peuvent être des agressions externes ou des défaillances du système

étudié. Par exemple, le vieillissement des matériaux, le choc d’embâcles, la défaillance

humaine lors d’une manœuvre, la non ouverture de clapets ou encore le séisme, la foudre,

l’avalanche …etc.

Ei : Événement Intermédiaire

Les évènements intermédiaires sont des familles d’évènements initiateurs. Plusieurs exemples

peuvent être donnés : - les « agresseurs externes », regroupant le séisme, les embâcles, etc. ; - la

« défaillance des évacuateurs de crues », regroupant l’impossibilité d’accéder au barrage et aux

organes de manœuvre, la fermeture intempestive des clapets, etc.

ERC : Événement Redouté Central : sont des situations dangereuses. Par exemple, on trouvera

la rupture du barrage, mais également la rupture de vanne, la rupture d’un bouchon de galerie.

Il s’agit généralement donc d’une perte de confinement.

ES : Événement Secondaire

Il peut s’agir d’une inflammation d’un nuage de gaz, qui peut être soit immédiate (et donnera

lieu à un feu torche par exemple), soit retardée (et donnera lieu à un UVCE par exemple).

PhD : Phénomène Dangereux

Dans le cadre des études de danger, les PhD correspondent à des phénomènes tels que des

explosions, incendies, dispersions toxiques, mettant en œuvre des substances et mélanges

dangereux et pouvant porter atteinte à des intérêts à protéger.

Du point de vue pratique, les nœuds papillon mobilisent des méthodes spécifiques des

arbres de défaillances et d’événements, et sont réalisés en groupe de travail. Ils permettent de

visualiser :

 les scénarios susceptibles de conduire à des accidents majeurs ;

 les mesures de maîtrise des risques ;

66
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

 en conséquence directe des deux points précédents, les chemins critiques ne présentant

pas suffisamment de mesures de maîtrise du risque.

On peut distinguer deux types de barrières de sécurité (Tableau 4.3) :

 Les barrières de prévention sont placées en amont de l’ERC. Elles ont pour objectif de

prévenir l’occurrence de l’ERC et leur bon fonctionnement peut mener à deux situations :

 Soit la séquence accidentelle s’arrête (considérée comme suffisamment maîtrisée) ;

 Soit un nouveau scénario d’accident est créé (par exemple : ouverture de soupape et

création d’un nuage de gaz inflammable). D’autres PhD d’intensité a priori plus

faible peuvent ainsi être générés.

Si la barrière ne fonctionne pas, la suite du scénario d’accident est développée. Ce type de

barrière permet de réduire la probabilité d’occurrence de l’ERC, et par extension du PhD.

 Les barrières de protection sont placées en aval de l’ERC. Elles ont pour but de protéger le

milieu environnant. En effet, l’ERC ayant déjà eu lieu le scénario d’accident ne peut pas être

stoppé et aboutira à un PhD. Aussi, si la barrière de protection fonctionne, le scénario initial

existe toujours mais est de gravité a priori moindre et de probabilité proche, la probabilité de

fonctionnement sur sollicitation d’une barrière performante étant supposée proche de 1.

Si elle ne fonctionne pas, le scénario initial se réalise et est de gravité équivalente, mais de

probabilité plus faible. Ceci est illustré dans le schéma ci-dessous (Figure 4.8) :

67
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Figure 4.8 : Barrière de protection

Tableau 4.3 : Exemples d’évènements figurant sur le modèle Nœud de Papillon

68
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

3.2 Déroulement

Comme mentionné auparavant, le nœud de de papillon s’inspirant directement des arbres

de défaillances et d’événements, doit être élaboré avec les mêmes précautions.

S’agissant d’un outil relativement lourd à mettre en œuvre, son utilisation est généralement

réservée à des événements jugés particulièrement critiques pour lesquels un niveau élevé de

démonstration de la maitrise des risques est indispensable [63].

En règles générale, un nœud de papillon est construit à la suite d’une première analyse des

risques menée à l’aide de méthodes plus simples comme APR ou HAZOP.

La partie gauche du nœud représente l’identification des dangers, des causes possibles

d’accident et des divers enchaînements ou combinaisons (Figure 4.7) pouvant engendrer

l’accident non désiré. Entre ces causes possibles et l’accident, des barrières dites de prévention

doivent être installées. La partie droite du nœud représente les conséquences possibles de

l’accident. Par exemple, lors de la rupture d’une canalisation ou d’une brèche dans un

réservoir, il peut en résulter la formation d’une flaque ou d’un nuage. Entre cet accident et les

récepteurs, des barrières de protection doivent être installées pour réduire les effets sur ces

récepteurs (ex. : un système de gicleurs).

Donc, le nœud papillon reflète les scénarios d’accident qui peuvent survenir et les mesures

prises pour les prévenir ou en réduire la probabilité ainsi que celles prises pour en réduire les

conséquences. On parle de barrières de prévention et de barrières de protection. Les barrières

de protection abaissent le niveau de gravité des conséquences et celles de prévention abaissent

la probabilité. À l’aide d’une matrice (du type utilisé dans une analyse préliminaire des risques)

où on établit notre zone d’acceptabilité, l’effet des barrières est visible et peut rendre tolérable

une situation qui était au départ inacceptable

Pour illustration, voici un exemple de nœud papillon construit à partir d’une analyse des

risques d’une tuyauterie transportant un produit toxique (Figure 4.9):

69
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Figure 4.9 : Nœud papillon d’une rupture de tuyauterie

3.3 Limites et Avantages

Le nœud de papillon offre une visualisation concrète des scénarios d’accidents qui

pourraient survenir en partant des causes initiales de l’accident jusqu’aux conséquences

au niveau des éléments vulnérables identifiés.

De ce fait, cet outil met clairement en valeur l’action des barrières de sécurité s’opposant

à ces scénarios d’accidents et permet d’apporter une démonstration renforcée de la

maitrise des risques.

En revanche, il s’agit d’un outil dont la mise en œuvre peut être particulièrement coûteuse

en temps. Son utilisation doit donc être décidée pour des cas justifiant effectivement un tel

niveau de détail.

70
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

4. Méthode Graphe de Risque

Pour réduire la probabilité d’apparition du risque, les Systèmes Instrumentés de

Sécurité (SIS) sont utilisés pour réaliser des Fonctions Instrumentées de Sécurité (SIF) dont le

rôle est la surveillance des paramètres de fonctionnement et la mise en œuvre d’actions de mise

en repli lorsque le système se place dans des conditions d’exploitation dangereuses. Pour

concevoir ces SIS, deux normes sont utilisées : l’IEC 61508 et IEC 61511. Ces deux normes

sont basées sur le principe de l’évaluation de la réduction du risque nécessaire pour atteindre

un niveau de risque sociétalement admissible ou tolérable [37], [52].

4.1 Réduction nécessaire du risque :

La réduction nécessaire du risque est la réduction du risque qui doit être réalisée pour

atteindre le risque tolérable dans une situation spécifique Le concept de réduction nécessaire du

risque est d'une importance fondamentale dans la réalisation des spécifications de prescriptions

de sécurité pour les systèmes E/E/PE relatifs à la sécurité (en particulier, les prescriptions

d'intégrité de sécurité qui font partie de la spécification des prescriptions de sécurité (Figure

4.10 ). La détermination du risque tolérable pour un événement dangereux a pour but d'établir

ce qui est jugé raisonnable eu égard à la fréquence (ou probabilité) de l'événement dangereux et

à ses conséquences spécifiques. Les systèmes relatifs à la sécurité sont conçus pour réduire la

fréquence (ou probabilité) de l'événement dangereux et/ou les conséquences de l'événement

dangereux [37].

71
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Figure 4.10 : Modèle de réduction du risque [37]

4.2 Niveau d’Intégrité de Sécurité :

Pour définir le niveau de réduction que doit apporter ou atteindre un SIS, les normes

IEC 61508 51 et 61511 37 ont défini le concept du niveau d’intégrité de sécurité SIL

(Safety Integrity Level) pour lequel il existe quatre niveaux possibles allant du SIL1 au SIL4,

chacun d’eux dépend de la gravité et la fréquence du risque. Plus le SIL a une valeur élevée,

plus la réduction du risque est importante. Par exemple, un SIS de SIL4 apporte une réduction

de risque entre 10 000 à 100 000 alors qu’un système de SIL1 comporte un facteur de réduction

de risque compris entre 10 à 100 seulement.

Le SIL exigé pour une fonction instrumentée de sécurité (SIF) est déterminé en prenant

en considération la réduction du risque requise de cette fonction. Selon le mode de

fonctionnement d’un SIS, les normes IEC 61508 et IEC 61511ont fixé des exigences

quantitatives que doit remplir un SIS afin de maintenir le processus dans un état non dangereux

65:

72
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

 SIS a un mode de fonctionnement à la sollicitation: Dans ce cas, la mesure de performance

appropriée de la fonction de sécurité est sa PFD ou son inverse le facteur de réduction du

risque (RRF).

 SIS a un mode de fonctionnement continu : on s’intéresse dans ce cas au taux de défaillance,

c'est-à-dire la probabilité de défaillance du SIS rapportée à une unité de temps (PFH).

Le tableau 4.4 montre les niveaux du SIL et les exigences probabilistes correspondantes

exprimées en termes de PFD moyenne (ou RRF) et PFH (ou RRF).

Tableau 4.4 : Les niveaux du SIL 37

Sollicitations du SIS
Rares Fréquente Facteur de réduction du risque
(FRR= 1/PFD)
SIL PFD PFH

4 10-5≤PFD<10-4 10-9≤PFH<10-8 100000≤FRR<10000

3 10-4≤PFD<10-3 10-8≤PFH<10-7 10000≤ FRR <1000

2 10-3≤PFD<10-2 10-7≤PFH<10-6 1000≤FRR <100

1 10-2≤PFD<10-1 10-6≤PFH<10-5 100≤ FRR <10

4.3 Allocation du Niveau d’Intégrité de Sécurité par la méthode du

graphe de risque

Le graphe de risque est une méthode dédiée aux systèmes instrumentés de sécurité (SIS), qui

permet de définir le niveau d’intégrité de sécurité (SIL) requis en fonction de paramètres

prédéfinis.

Le graphe de risque, comme méthode qualitative, peut être décrit comme un arbre de

décision dans lequel quatre paramètres de risque, considérés comme suffisamment génériques

pour traiter un large éventail d'applications, doivent être combinés pour arriver au SIL requis.

73
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Le graphe de risque est fondé sur l’équation caractéristique suivante :

R= C . f (4.3)

R : le risque sans considérer les systèmes instrumentés de sécurité (SIS).

C : la conséquence de l’événement dangereux,

f : la fréquence de l’événement dangereux (accident) en l’absence de SIS. Elle est

généralement composée de trois facteurs :

- F : la fréquence et la durée d’exposition au danger,

- P : la possibilité d’éviter l’événement dangereux,

- W : la probabilité (fréquence) d’occurrence de l’événement dangereux (sans SIS).

Une description de ces paramètres est présentée dans le tableau (4.5).

Le processus du graphe de risque s'explique de la manière suivante : en combinant les

paramètres de risque décrits ci-dessus, on peut développer une courbe de risque comparable à

celle qui est présentée à la figure1.

L’utilisation des paramètres C, F et P aboutit à l’une des six sorties X1, X2, ..., X6.

Chacune de ces sorties est liée à l'une des trois niveaux des échelles W (W1, W2 et W3).

Chaque point d’intersection donne une indication sur le niveau de sécurité nécessaire qui doit

être pris en charge par les systèmes E/E/PE (Electrique/Electronique/Electronique

Programmable) relatifs à la sécurité du système :

 Les numéros 1, 2, 3 et 4 représentent les quatre SIL,

 La lettre a : indique l’échelon faible sans exigences particulières de sécurité, ce qui

correspond à une probabilité de défaillance inférieure à celle indiquée pour le SIL1,

74
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

 La lettre b : le point de retour à des situations où, pour des conséquences spécifiques, un

seul système de sécurité n'est pas suffisant pour assurer la réduction de risque nécessaire

(Figure 4.11).

WW
33 W
W22 W
W11

X1 aa -- --
CA X2
PA
11 aa --
FA PB X3
CB
22 11 aa
PA
Point de départ FB PB X4
de l’estimation CC FA 33 22 11
de réduction FB PA
PB X5 44 33 22
FA
CD FB PA
PB X6 bb 44 33
FB

C = Paramètre Conséquence
F = Paramètre Temps d’exposition
P = Possibilité d’éviter l’événement dangereux
W = Taux de demande sans protection
- = Pas d’exigences de sécurité
a = Pas d’exigences de sécurité spéciales
b = Une seule fonction de sécurité insuffisante

Figure 4.11 : Exemple de graphe de risque 52

75
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Tableau 4.5 : Exemple de classification des paramètres du risque 52

Paramètre Classification

Gravité des conséquences CA Blessure mineure

CB Blessure sérieuse ou victime

CC Plusieurs victimes

CD Grand nombre de victimes

Temps d’exposition FA Rare

(occupation) FB Fréquent

Probabilité d’éviter le phénomène PA Possible

dangereux
PB invraisemblable

Probabilité d’apparition d’un accident W1 Très faible probabilité

W2 Faible probabilité

W3 Forte probabilité

5. Graphe de risque Etalonné

Les paramètres (C, F, P, W) et leurs pondérations doivent être précisément définis pour

chaque situation dangereuse (et pour chaque cible: personnes, biens, environnement). Une

phase de calibrage ou d’étalonnage du graphe de risque est nécessaire. Elle permet d’adapter

ces paramètres en prenant en compte les spécificités de l’entreprise, la réglementation et les

normes du secteur d’application.

En ce sens, la norme IEC 61511-Partie 3 propose une méthode semi-qualitative qui est

le graphe de risque étalonné. Le tableau (4.6) montre une description semi-quantitative des

paramètres du graphe de risque.

76
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Tableau. 4.6 : Exemple de définitions semi-quantitatives des paramètres du risque 37

Description
Paramètre Description semi-quantitative
qualitative

Mineure [10-2,10-1]

Conséquence Marginale [10-2,10-1]

(C) Critique [10-1,1]

Catastrophique >1

Rare < 10% de temps

Occupation (F)
Fréquente ≥10% de temps

90% probabilité d’évitement du

Possible
danger
Possibilité
d’évitement ≤90% probabilité d’évitement du
Impossible
(P) danger

Très faible <1dans 30 ans≈<0.03/an

Taux de
Faible 1 dans [3, 30] ans ≈ [0.03, 0.3] par an
demande (W)
Elevé 1 dans [0.3, 3] ans ≈ [0.3, 3] par an

Exemple d’application : Fuite d’un gaz toxique (Figure 4.12).

Figure 4.12 : Fuite d’un gaz toxique

77
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

- Phénomène dangereux : une importante fuite de gaz toxique provenant d’une conduite de gaz.

 Conséquence : La réalisation de ce phénomène pourrait occasionner plusieurs morts

→(CC).

 Fréquence d’exposition : on suppose que la zone exposée au danger est souvent

occupée par le personnel de l’installation →(FB).

 Possibilité d’évitement : on considère que les effets du nuage toxique s’observent après

quelques minutes. On suppose donc que les gens ont la possibilité de détecter ce nuage et

00sont bien préparés pour se mettre dans un endroit confiné →(PA).

 Fréquence d’occurrence de l’événement initiateur : la fuite de gaz peut être due à

deux causes principales :

1. erreur humaine (l’opérateur laisse la vanne ouverte après une opération de

maintenance),

2. endommagement de la conduite par un projectile (suite à une explosion par

exemple).

La fréquence de l’erreur humaine est estimée à 0.1/an, celle de la deuxième cause est estimée à

0.01/an → W = 0.1 + 0.01 = 0.11 →(W2).

Pour réduire le risque de dispersion du nuage toxique à un niveau acceptable, il faut

installer un SIS exécutant une fonction de sécurité (arrêter l’alimentation en gaz) qui répond au

moins aux prescriptions d’un SIL 2.

78
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

6. Analyse des barrières et des risques opérationnels

(BORA : Barrier and Operational Risk Analysis)
L’approche BORA a été développée en Norvège pour analyser les barrières

proactives et réactives dans la phase opérationnelle des installations pétrolières et gazières.

BORA peut être utilisée pour des analyses qualitatives et quantitatives des barrières et peut

prendre en compte des facteurs opérationnels, humains et organisationnels appelés facteurs

d'influence des risques (RIFs : ) qui pourraient avoir un impact sur les défaillances des barrières

de sécurité et l’occurrence des scenarios accidents.

L'objectif de la méthode BORA 66 est d'effectuer une modélisation détaillée et

quantitative de la performance des barrières, y compris les barrières visant à empêcher

l'apparition d'événements initiateurs ainsi que les barrières visant à réduire les conséquences.

L'approche BORA pour l'incorporation des facteurs humains, opérationnels et

organisationnels dans l'analyse quantitative des risques comprend les étapes suivantes :

1. Développement d'un modèle de risque de base.

2. Attribution des fréquences/probabilités moyennes de l'industrie pour les événements

déclencheurs et les événements de base.

3. Identification des facteurs d'influence du risque et élaboration de diagrammes d'influence

du risque.

4. Évaluation du statut des RIF.

5. Calcul des fréquences/probabilités moyennes de l'industrie pour les événements

déclencheurs et les événements de base.

6. Calcul du risque spécifique à l'installation, intégrant l'effet des systèmes techniques, des

conditions techniques, des facteurs humains, des conditions opérationnelles et des

facteurs organisationnels.

79
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

6.1. Élaboration d'un modèle de risque de base

Les éléments de base du modèle BORA sont les diagrammes de blocs de barrières, les

arbres d'événements, les arbres de défaillances et les diagrammes d'influence. Les diagrammes

de blocs de barrières sont utilisés pour illustrer les scénarios d'événements et l'effet des

systèmes de barrières sur les séquences d'événements ; ils se composent d'événements

initiateurs, de barrières visant à influencer la séquence d'événements dans une direction

souhaitée et de résultats possibles de la séquence d'événements. Les arbres d'événements sont

utilisés dans l'analyse quantitative des scénarios. La performance des barrières de sécurité est

analysée à l'aide d'arbres de défaillance. Les diagrammes d'influence sont utilisés pour

analyser la manière dont les RIF affectent les événements initiateurs dans les arbres

d'événements et les événements de base dans les arbres de défaillance.

L'ensemble des éléments d'un modèle de risque générique sont illustrés par la figure (4.13) 64.

 Le point de départ du modèle est un ensemble d'opérations de travail et de types

d'équipements dans les systèmes d'hydrocarbures. Dans la plupart des cas, les EQR

actuelles modélisent la quantité d'équipement en détail, mais ne tiennent pas compte des

caractéristiques spécifiques de la plate-forme de l'équipement. Les opérations de travail

sont en outre prises en compte dans une mesure très limitée. Un exemple d'opération de

travail est le "travail sur un équipement dépressurisé contenant des hydrocarbures".

 Différents types d'erreurs ou de défaillances au cours des opérations de travail

peuvent entraîner une fuite. C'est ce qu'on appelle les "événements déclencheurs".

80
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Figure 4.13 : Illustration du modèle de risque générique 67

un exemple est le remplacement d'un joint de bride où le joint peut être mal inséré ou

les boulons mal serrés. De même, l'équipement lui- même peut tomber en panne pour

des raisons techniques, telles que la corrosion, la fatigue, l'érosion ou d'autres

mécanismes de dégradation.

 Pour chaque opération de travail, il existe une certaine probabilité que différents

types d'événements déclencheurs se produisent. Cette probabilité est influencée par un

ensemble de "facteurs d'influence du risque" (RIF). Par exemple, la probabilité de

commettre une erreur lors du remplacement d'un joint de bride peut dépendre de la

compétence du mécanicien qui effectue le travail et de la pression temporelle lors de

l'exécution du travail. Si la compétence est élevée, la probabilité sera faible, tandis que

si la situation de travail est stressante, la probabilité peut augmenter. L'importance du

RIF (dans quelle mesure le RIF influence la probabilité) est décrite par un poids (w). En

outre, la condition du RIF pour l'installation spécifique considérée est décrite par un

score (s).

81
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

 Dans la plupart des cas, une ou plusieurs barrières sont mises en place pour

empêcher un événement déclencheur de provoquer une fuite. Ces barrières sont

modélisées à l'aide de diagrammes de blocs de barrières (DBB). La probabilité de

défaillance d'une barrière est généralement modélisée à l'aide de l'analyse de l'arbre des

défaillances (FTA). Pour chacun des événements de base de l'arbre de défaillance, les

RIF sont également identifiés.

6.1.1. Identification du système

La première étape de l'élaboration du modèle a consisté à définir le système, les

unités d'équipement susceptibles de provoquer un accident. Afin de disposer d'un modèle

de risque gérable, un nombre limité d’équipements est défini, couvrant les tâches à

effectuer pour accomplir les opérations qui peuvent directement causer un accident ou

introduire des erreurs/faiblesses/défaillances dans le système qui peuvent causer un

accident à un moment ultérieur. Les tâches sont définies de manière à présenter autant de

caractéristiques communes que possible, de sorte que les RIF influençant la probabilité de

commettre des erreurs seront identiques ou très similaires pour toutes les opérations

spécifiques regroupées 66.

En outre, des unités d'équipement génériques ou des ensembles d'équipements sont

également définis. Il peut s'agir, par exemple, d'un "ensemble de compresseurs". Pour

chacun de ces ensembles d'équipements génériques, le nombre de brides, de vannes, de

raccords d'instruments, etc.

6.1.2. Identification des événements initiateurs et de Diagramme Bloc Barrière(DBB)

Les erreurs ou défaillances susceptibles de se transformer en accident sont appelées

"événements initiateurs ou événements déclencheurs" (EI). Les EI sont basés sur l'examen

de rapports d'enquête concernant des accidents réelles qui se sont produits. Les causes des

accidents ont été identifiées et structurées. En outre, les EI ont été regroupés en fonction

82
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

de la manière dont ils sont atténués, c'est-à-dire des barrières mises en place pour

empêcher un EI de se transformer en accident.

La séquence d'événements qui suit l'événement déclencheur est visualisée dans un

diagramme de blocs de barrières, comme illustré à la figure 4.14. Un diagramme de blocs

de barrières se compose d'un événement déclencheur, de flèches indiquant la séquence

d'événements, de fonctions de barrières réalisées par des systèmes de barrières et de

résultats possibles. Une flèche qui va tout droit indique qu'un système de barrière

fonctionne (c'est-à-dire qu'il remplit sa fonction), tandis qu'une flèche qui va vers le bas

indique que la fonction de barrière n'est pas remplie.

Événement Fonction de
déclencheur barrière réalisée "État sûr"
(écart par rapport par un système
à la situation barrière Fonctionnement
normale)

Événement
Échec
indésirable

Figure 4.14 : Illustration d'un schéma fonctionnel de barrière.

L'un des principaux objectifs d'un schéma fonctionnel de barrière est

d'illustrer les fonctions de barrière disponibles destinées à empêcher un écart

(c'est-à-dire un événement déclencheur) de se transformer en accident, et la

manière dont ces fonctions sont réalisées par les systèmes de barrière.

83
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Dans le cas par exemple, d’un scénario de rejet " Rejet dû à une (des)

vanne(s) en mauvaise position après la maintenance", plusieurs des barrières sont de

nature non physique, ce qui oblige à inclure des facteurs humains et opérationnels

dans le modèle de risque comme illustré par la figure 4.15.

Événement déclencheur Fonctions de la barrière L'événement

final
Détection de Détection d'un rejet
vanne(s) en avant la production
mauvaise position normale

Soupape(s) Autocontrôle / "État de

en mauvaise listes de contrôle sécurité"
position après (plan d'isolement) Défaillance
l'entretien révélée
Contrôle des
travaux par un
tiers

Test d'étanchéité

Libération
d'hydrocarbures

Figure 4.15 : Schéma fonctionnel des barrières pour un scénario de libération.

6.1.3. Modélisation de la performance des systèmes de barrières

Les performances des systèmes de barrières sont modélisées à l'aide d'arbres

de défaillance. Afin de généraliser les arbres de défaillance, la structure principale

suivante est appliquée dans la mesure du possible.

Les événements les plus importants dans les arbres de défaillance sont généralement

exprimés sous la forme d'une "défaillance ou d'une dégradation du système de

barrière". Plus précisément, il peut s'agir de la non- détection de la dégradation d'un

système, de la non-détection d'une erreur introduite dans le système, etc 66.

84
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Les causes des événements les plus importants sont généralement regroupées en trois

groupes d'événements (figure 4.16) :

 Fonctionnalité inadéquate ou insuffisante du système de barrière : Il peut s'agir

simplement du fait que le système de barrière n'est pas spécifié ou n'est pas utilisé,

que la spécification du système n'est pas adéquate (par exemple, trop peu de

points d'inspection) ou que le système n'est pas entièrement fonctionnel (par

exemple, les méthodes d'inspection ne détecteront pas toutes les fissures

potentiellement critiques).

 Défaillances techniques du système : Ce point ne concerne que les systèmes de

barrières techniques et couvre essentiellement le "manque de fiabilité" technique du

système.

 Erreurs humaines : Il s'agit des erreurs humaines liées à la préparation et à l'exécution

du travail, par exemple les erreurs dans la documentation utilisée comme base pour

l'exécution du travail, le fait de ne pas exécuter le travail conformément à une procédure

décrite, etc.

Figure 4.16 : Arbre de défaillance générique pour la modélisation de la défaillance des

systèmes de barrières

85
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

6.1.4. Affectation des fréquences génériques pour chaque événement initiateur

Les fréquences génériques pour chaque événement initiateur, peuvent être

établies à partir des données historiques sur la conséquence indésirable (REX) et

l’analyse statistique basée sur les distributions de la fréquence à laquelle les

événements initiateurs ont eu lieu. Ces fréquences sont réajustées (corrigées) en

tenant en compte des RIF (Risk Influencing Factors) pour une installation

spécifique, c'est-à-dire selon des conditions spécifiques de fonctionnement.

La modélisation des risques s'appuie sur deux séries de données moyennes du secteur :

- Fréquence des événements déclencheurs

- Probabilités d'événements de base pour les arbres de défaillance

Deux méthodes sont proposées pour calculer les fréquences génériques

des événements initiateurs :

A. Utiliser le nombre d'équipements et la distribution des événements

initiateurs:

La première solution utilise des fréquences établies à partir des données

génériques de conséquences indésirables et le nombre d'équipements combiné

avec la distribution de probabilité pour les événements initiateurs. C'est

probablement la meilleure approche lors de l'utilisation de la méthodologie BORA

dans un QRA global. Ce ne sera cependant pas donner la fréquence de

l'événement initiateur directement, mais la fréquence des conséquences dues à des

événements initiateurs spécifiques. Cependant, cela peut aussi être utilisé pour

prendre en compte l'effet des barrières pour l'installation spécifique à l'étude.

Cette solution basée sur un examen de toutes les conséquences indésirables,

une distribution de ces conséquences a été appliquée. Exprimées en termes de la

probabilité où la cause d'une conséquence est un événement initiateur spécifique,

86
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

étant donné qu'une conséquence s'est produite. Cela montre par exemple que

l'événement initiateur (par exemple isolement) représente un total de 14% de

toutes les fuites ou en d'autres termes qu'il y a une probabilité de 0,14 qu'une fuite

soit causée par cet événement initiateur.

À partir du nombre d'équipements, la fréquence des fuites causées par un certain

événement initiateur peut être trouvée en multipliant la fréquence de la fuite totale

pour un segment par les pourcentages des évènements initiateurs [65].

(4.4)

B. Utilisation des données sur les activités et les probabilités d'erreur humaine

La deuxième solution utilise le niveau d'activité en tant que point de départ

(par exemple, pas de temps à ouvrir les équipements pour la maintenance/

réparation/inspection). Ceci est combiné avec la probabilité de l’erreur humaine

pour établir les fréquences des événements initiateurs directement. Cette approche

est susceptible d'être mieux adaptée pour les études des problèmes spécifiques ou

limités qui ne couvrent pas toute l’installation.

Les défaillances techniques peuvent être directement liées au nombre

d'équipements, suivis par des ajustements sur la base de RIF marquant pour

l'installation spécifique. Pour les défaillances opérationnelles, le calcul peut, en

principe, être effectué comme suit :

(4.5)

Où :

FEI = Fréquence de l’évènement initiateur

NWO = Nombre des opérations de travail/an

87
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

P(EI/WO) = la probabilité conditionnelle de l’évènement initiateur lorsque

WO est réalisé.

Cette approche a pour but de permettre l'utilisation de la méthodologie

même si la disponibilité des données sur le nombre d'opérations est limitée.

Les événements de base dans les arbres de défaillance sont de nature variable

et les probabilités devront donc également être déterminées à partir de diverses

sources. Les données sur les défaillances techniques seront basées sur des

informations spécifiques à la plate-forme, sur des études de fiabilité des systèmes

techniques ou sur d'autres sources.

6.1.5. Élaboration de diagrammes d'influence des risques

L'objectif des diagrammes d'influence des risques est d'identifier et d'illustrer

les RIF qui influencent les probabilités ou les fréquences d'occurrence des

événements de base dans les arbres de défaillance. L'identification des RIF s'est

appuyée sur le cadre générique présenté à la figure 4.17. Une brève description de

chaque FIR est présentée dans le tableau 4.7.

Le but de l'analyse des RIF est d'attribuer des probabilités de défaillance spécifiques au

système pour chaque événement déclencheur et chaque système de barrière, en fonction de

l'état des différents facteurs d'influence du risque (RIF) sur l'installation sélectionnée. Étant

donné que le type et le format des événements initiateurs et des événements de base à évaluer

varient, ils seront influencés par différents types de RIF.

En raison de la complexité et de la variation des types d'événements considérés, il est

préférable d'adopter une approche combinée pour élaborer les RIF 66:

1) une approche descendante dans laquelle une liste générique de RIF est utilisée comme

base,

88
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

2) et une approche ascendante dans laquelle les événements à évaluer sont choisis comme

point de départ.

Cette dernière implique que des RIF spécifiques soient identifiés pour chaque événement

déclencheur ou élémentaire sur la base de la liste générique des RIF, et la liste générique peut

être complétée par de nouveaux RIF si nécessaire.

Le cadre générique d’identification des RIF choisi est illustré à la figure 4.17, se

compose des groupes de RIF suivants :

- Caractéristiques personnelles (internes, psychologiques, physiologiques)

- Caractéristiques de la tâche

- Caractéristiques du système technique

- Contrôle administratif (procédures et descriptions de travail disponibles)

- Facteurs organisationnels / philosophie opérationnelle.

Facteurs organisationnels/
Philosophie opérationnelle

Caractéristiques du Caractéristiques de la Caractéristiques

système technique tâche personnelles

Contrôle administratif

Figure 4.17 : Cadre d'identification des RIF 68.

Le tableau (4.7) présente les RIF spécifiques au sein des principaux groupes de FRR.

89
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Tableau 4.7 : Description des facteurs influençant le risque (FRR) 67.

Groupe RIF RIF Description

Compétence Couvrir les aspects liés à la compétence, à l'expérience, à la connaissance

du système et à la formation du personnel.

Charge de Couvrir les aspects liés à la charge de travail générale des personnes (la
travail/contrainte somme de toutes les tâches et activités)

Le personnel Environnement de Couvrir les aspects liés à l'environnement physique de travail, tels que le
travail bruit, la lumière, les vibrations, l'utilisation d'équipements de protection
individuelle, les substances chimiques, etc.

Fatigue Couvrir les aspects liés à la fatigue de la personne, par exemple en raison du
travail de nuit et du recours fréquent aux heures supplémentaires.

Méthodologie Couvrir les aspects liés à la méthodologie utilisée pour mener à bien une
tâche spécifique.

Supervision des tâches Couvrir les aspects liés à la supervision de tâches spécifiques par un
superviseur (par exemple, par le directeur des opérations) ou superviseur
mécanique

Complexité des tâches Couvrir les aspects liés à la complexité d'une tâche spécifique

Tâche Pression temporelle Couvrir les aspects liés à la pression temporelle dans la planification,
l'exécution et l'achèvement d'une tâche spécifique.

Outils Couvrir les aspects liés à la disponibilité et à l'opérabilité des outils

nécessaires à la réalisation d'une tâche.

Pièces détachées Couvrir les aspects liés à la disponibilité des pièces de rechange
nécessaires à l'exécution de la tâche.

Conception Couvrir les aspects liés à la conception des équipements et des systèmes tels
des que le type de bride (ANSI ou compact), le type de valve, etc.
Système
équipements
Technique

Propriétés des Couvrir les aspects liés aux propriétés du matériau sélectionné en ce qui
matériaux concerne la corrosion et l'érosion.

fatigue, propriétés des matériaux des joints, etc.

90
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Exemples de FIR

Les FRR pour chaque événement déclencheur dans les arbres d'événements et chaque

événement de base dans les arbres de défaillance identifiés. Le nombre de FRR pour chaque

événement doit être limité aux six plus importants, de préférence moins. La contribution du

personnel opérationnel est importante au cours de ce processus afin d'identifier les FRR les

plus importants.

Les diagrammes d'influence sont utilisés pour illustrer et analyser l'effet des facteurs

d'influence du risque sur les événements déclencheurs et les événements de base. Un exemple

de diagramme d'influence pour l'événement de base « L'opérateur ne détecte pas

l'opérateur ne détecte pas une vanne dans la mauvaise position par l'auto-vérification/la liste

de contrôle » est illustré à la figure (4.18) 68.

Compétence du Permis de
La maintenabilité/ Procédures
Pression technicien de travail
secteur d'autocontrôle
temporelle
accessibilité

Figure 4.18 : Diagramme d'influence pour l'événement de base "L'opérateur ne

détecte pas une vanne en mauvaise position par auto-vérification/liste de contrôle".

91
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

6.1.6. Pondération des facteurs influençant le risque

La pondération des RIF est une évaluation de l'effet (ou de l'importance) des RIF sur la

fréquence ou la probabilité d'occurrence des événements de base. Les pondérations des RIF

correspondent à la différence relative entre la fréquence ou la probabilité d'occurrence d'un

événement si le statut du RIF passe de A (meilleure norme) à F (pire pratique).

La pondération des RIF a été effectuée par le jugement d’experts dans le cadre d'ateliers.

Les évaluations des pondérations ont été basées sur une évaluation individuelle des

participants aux ateliers avant une discussion générale et un accord commun sur

l'importance.

Une échelle de cinq points (de l’importance la plus élevée à l’importance la plus faible) a

été appliquée. D'un point de vue quantitatif, les RIF ont reçu des poids relatifs sur l'échelle

10 - 8 - 6 - 4 - 2. Enfin, les pondérations (points) ont été normalisées, comme la somme

des points des RIF influençant un événement de base devrait être égale à 1 (voir formule

2).

Un exemple de processus de pondération (évaluation qualitative) et les points normalisés

est présenté dans le tableau (4.8).

92
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Tableau 4.8 : Exemple de processus de pondération 66.

B1 Libération causée par l’aveuglement/isolation incorrecte

B2 3ème Contrôle des travaux par une partie

E2 3ème Contrôle par une partie des travaux spécifiés mais non exécutés

RIF Description Importance (poids) Poids normalisé

Haut Faible

Pression X 0.09
temporelle

Pratique X 0.45
professionnelle

Supervision X 0.27

Communication X 0.18

6.1.7. Cotation des facteurs influençant le risque (RIF)

La première étape consiste à évaluer le statut des cadres supérieurs réglementaires. Deux

options principales sont proposées en ce qui concerne la notation des FIR :

1- Utilisation des résultats de projets existants tels que Technical Condition Safety (TTS)

65.le niveau de risque sur le plateau continental et les enquêtes du MTO sur les incidents.

Le projet TTS est une méthode d'examen pour cartographier et surveiller le niveau de

sécurité technique en fonction de l'état des éléments de sécurité et des barrières de sécurité,

et chaque système se voit attribuer une note (évaluation) en fonction de normes de

performance prédéfinies. Le tableau 4.9 présente la définition des notes.

93
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Tableau 4.9 : Définition des grades dans le projet TTS 67.

Cote Description du niveau de sécurité

A La condition est nettement meilleure que le niveau de

référence

B Les conditions sont conformes au niveau de référence

C Conditions satisfaisantes, mais pas entièrement conformes au niveau de

référence

D Les conditions sont acceptables et conformes au niveau de sécurité

réglementaires, mais s'écarte sensiblement du niveau de référence

E Condition présentant des déficiences significatives par rapport à « D »

F Conditions inacceptables

2- Jugement d'expert sur l'état des RIF sur une plate-forme spécifique. Un système de

notation pour chaque FRR sera élaboré pour servir de base à cette évaluation. Un exemple de

grille de notation est présenté dans le tableau 4.10.

Tableau 4.10. Exemple de grille de notation pour les procédures RIF 67.

Score Caractéristiques de la note pour les procédures du FIR

A Procédures presque parfaites, avec listes de contrôle, mise en évidence des

informations importantes, illustrations, etc.

B Procédures supérieures à la moyenne du secteur

C Procédures dans la moyenne du secteur

D Procédures mal rédigées et sans mise en évidence

E Procédures incomplètes, obsolètes, inexactes, beaucoup de références

94
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

croisées, etc.

F Pas de procédures, même si la tâche l'exige

Ces deux approches peuvent être combinées dans les évaluations pratiques.

6.1.8. Ajustement des probabilités/fréquences moyennes de l'industrie

Les probabilités/fréquences moyennes du secteur utilisées dans l'analyse quantitative sont

ajustées afin sur la base de la notation des FIR. Trois aspects principaux sont abordés 66.:

a) les formules de calcul des fréquences/probabilités spécifiques à l'installation,

b) l'attribution de valeurs appropriées de Qis, et

c) la pondération des FIR. La procédure est illustrée à l'aide de chiffres tirés du cas

d'exemple.

Les principes d'ajustement suivants sont proposés. Soit Prev(A) la probabilité (ou

fréquence) «spécifique à l'installation» d’occurrence de l'événement A. La probabilité Prev

(A) est déterminée par la procédure suivante ;

Prev = Pave ∑ (4.6)

où Pave est la probabilité moyenne du secteur, wi est le poids / l'importance du RIF n° i pour

l'événement, Qi est une mesure de l'état du RIF n° i, et n est le nombre de RIF.

Avec : ∑ (4.7)

Le défi consiste maintenant à déterminer les valeurs appropriées pour Qi et wi.

Pour déterminer les Qi, nous devons associer un nombre à chacune des notes A à F.

Cela peut se faire de plusieurs façons, et le schéma proposé est le suivant [68]:

- Déterminer, par jugement d'expert, Plow comme limite inférieure pour Prev.

95
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

- Déterminer par jugement d'expert Phigh comme limite supérieure pour Prev.

- Ensuite, pour i =1,2,...n ;

{ (4.8)

où s représente le score ou le statut du numéro RIF i.

Pour attribuer des valeurs à Qi pour s = B, nous supposons une relation linéaire entre Qi

(A) et Qi (C), et utilisons sA = 1, sB = 2, sC = 3, sD = 4, sE = 5, et sF = 6. Dans ce

cas,

Pour attribuer des valeurs à Qi pour s = D et E, nous supposons une relation linéaire

entre Qi (C) et Qi (F). Dans ce cas,

Qi (E) est calculé comme Qi (D) en utilisant sE au lieu de sD dans la formule (5).

Le tableau (4.11) présente quelques valeurs de Qi en fonction du rapport entre Plow (A) et

Pave (A), et Phigh (A) et Pave (A).

 Cas 1 : Plow (A)/Pave (A) = 0,5 et Phigh (A)/Pave (A) = 2 (4.11)

 Cas 2 : Plow (A)/Pave (A) = 0,33 et Phigh (A)/Pave (A) = 3 (4.12)

 Cas 3 : Plow (A)/Pave (A) = 0,2 et Phigh (A)/Pave (A) = 5 (4.13)

 Cas 4 : Plow (A)/Pave (A) = 0,1 et Phigh (A)/Pave (A) = 10 (4.14)

96
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Tableau 4.11 : Qi pour des combinaisons sélectionnées de Plow et Phigh 66.

Cas 1 Cas 2 Cas 3 Cas 4

A 0.5 0.33 0.2 0.1

B 0.75 0.67 0.6 0.55

C 1 1 1 1

D 1.33 1.67 2.33 4

E 1.67 2.33 3.67 7

F 2 3 5 10

6.1.9. Nouveau calcul du risque afin de déterminer le risque spécifique à la plateforme

L'étape finale consiste à calculer le risque en utilisant le modèle générique, les données

génériques et les données spécifiques à la plate-forme. La figure (4.19) illustre les types

d'informations qui sont respectivement génériques et spécifiques à une plate-forme 67 :

 La structure du modèle en tant que telle est générique, en ce sens qu'il

existe des opérations de travail et des ensembles d'équipements

génériques, des événements déclencheurs, des diagramme blocs barrières

(DBB), des arbres de défaillance et des RIF qui influencent les différents

facteurs.

 Les données génériques qui entrent dans la quantification du modèle sont

indiquées en vert dans la figure. Elles comprennent les fréquences des

événements déclencheurs, les probabilités de l'arbre de défaillance

(probabilités des événements de base) et les pondérations du RIF.

 Les données spécifiques aux plates-formes sont indiquées en rouge. Elles

97
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

comprennent le nombre d'opérations de travail par an, le nombre

d'équipements et les scores RIF spécifiques à la plate-forme.

Figure 4.19 : Informations génériques (vertes) et informations spécifiques à l'installation

(rouges) utilisées dans l'étude 66.

L'utilisation des fréquences/probabilités révisées pour les événements initiaux et les

événements de base en tant que données d'entrée du modèle de risque de base permet d'obtenir

un nombre de risques tenant compte de facteurs spécifiques à l'installation tels que les

systèmes techniques, les conditions techniques, les facteurs humains, les conditions

opérationnelles et les facteursorganisationnels.

6.2 Avantages et limites

L'approche BORA a montré son applicabilité et la faisabilité dans l’industrie pétrole et

de gaz à l'aide des résultats donnés par sa mise en œuvre en termes d'analyse de la performance

opérationnelle des barrières de sécurité.

98
Chapitre 4 Méthodes d’évaluation des performances des Barrières de Sécurité

Par rapport à un modèle QRA traditionnel, le modèle BORA est plus détaillé et

comprend beaucoup plus de facteurs influençant le risque, ce qui permet d'obtenir des

informations plus détaillées sur les facteurs contribuant au risque total, c'est-à-dire une image

plus détaillée du risque. Même si les chiffres du risque sont incertains, le modèle BORA peut

être utilisé pour estimer l'importance des barrières de sécurité et l'effet des changements en

cours d'exploitation.

Cependant, la mise en œuvre de BORA présente quelques difficultés et limitations :

_ Malgré l'ajustement des données génériques offertes par cette technique, le manque et la

subjectivité des données restent toujours un problème important auquel sont confrontés les

analystes de risque.

_ Dans la pratique, il y’ a très peu d'informations disponibles pour établir le poids des RIF. Le

recours aux avis d’experts devient une nécessité malgré leurs subjectivités ; par conséquent, il

est nécessaire de prendre en considération la qualité des informations et données collectées.

99
 Conclusion

Conclusion
En conclusion, les barrières de sécurité sont des éléments indispensables dans les procédés

industriels pour prévenir les accidents, protéger les employés, l'environnement, et assurer la

continuité des opérations. Leur conception, leur installation et leur maintenance régulière

permettent de réduire les risques liés aux défaillances techniques ou humaines. En plus de leur

rôle crucial dans la sécurité, elles contribuent à la conformité aux normes réglementaires et à la

protection des intérêts financiers et de l'image des entreprises. Dans un secteur où les accidents

peuvent avoir des conséquences dramatiques, l'investissement dans des systèmes de sécurité

robustes est non seulement une obligation légale, mais aussi un impératif éthique et

économique.

100
Références bibliographiques

1 Holland, P., 1997. Offshore blowouts: causes and control. Elsevier.

2 ISO:17776, 2000. Industries du pétrole et du gaz naturel - Installations de

production offshore - Lignes directrices sur les outils et les techniques
d'identification des dangers et d'évaluation des risques. In : Organisation
internationale de normalisation. Genève, Suisse.

3 CCPS, Layer Of Protection Analysis, simplified process assessment, Center for Chemical
Process Safety of the American Institute for Chemical Engineers, New York, 2001.

4 S. Sklet, Safety barriers – definition, classification and performance, Journal of Loss
Prevention in the Process Industries, vol. 19, 2006, pp. 494-506.

5 B. Schupp, H. Pasman, S. Lemkovitz & L. Goossens, Design support for the systimatic
integration of risk reduction into early chemical process design. Safety Science, vol 44, 2006,
pp 37-54.

6 Johnson, C.W., 2003. Failure in Safety Critical Systems : A Handbook of Incident and
Accident Reporting. University of Glasgow Press, Glasgow, Écosse.

7 Rausand, M., 2014. Fiabilité des systèmes critiques de sécurité. Théorieet applications ;
John Wiley & Sons, Inc : Hoboken, NJ, USA.

8 Innal. Contribution à la modélisation des systèmes instrumentés de sécurité et à l’évaluation

de leurs performances Analyse critique de la norme CEI 61508, Thèse de doctorat soutenue à
l'Université de Bordeaux, 03 juillet 2008, 181 pages.

9 Kjell'en, U., 2000. Prevention of accidents through experience feedback. CRC Press.

10 (Haddon, 1980) Haddon, W., 1973. Les dommages énergétiques et les dix stratégies de
contre-mesure. Hum. Factors 15 (4), 355-366.

11 G.Y. Kervern, P. Rubise, L'archipel du danger. Édition Economica, 1991, 444 pages.

101
12 A. Leroy, J.P. Signoret, Le risque Technologique. Presses Universitaires de France,
octobre 1992, 127 pages.

13 M. Abramovici, La prise en compte des facteurs organisationnels dans les méthodes
d’analyse des risques, note de recherche n°96-07, Groupe de Recherche sur le Risque,
l’Information et la Décision, Ecole Normale Supérieure, 1996.

14 G. Louyot, Prise en compte des risques dans les projets de développement de produits
"Proposition d’une méthode d’analyse par les scénarios", thèse de doctorat, Ecole Nationale
Supérieure d’Arts et Métiers, 19 décembre 1997, 133 pages.

15 H. Courtot, La gestion des risques dans les projets, Édition Economica, 1998, 294 pages.

16 Aspects liés à la sécurité – principes directeurs pour les inclure dans les normes. ISO/CEI,
Organisation Internationale de normalisation, 1999.

17 Occupational Health and Safety Management Systems – Specification, [(OHSAS18001

BSI, Afnor, 1999.

18 Management du risque : Vocabulaire, principes directeurs pour les inclure dans les
normes. ISO/CEI, guide 73, Organisation Internationale de normalisation, 2002.

19 Gestion de la sûreté de fonctionnement, Partie 3: Guide d'application — Section 9:

Analyse du risque des systèmes technologiques, CEI, 300-3-9, 1995.

20 P. Rubise, Y. Gautier, Les risques technologiques, Cité des Sciences et de l’Industrie.
Pocket, 1995, 127 pages.

21 Hervé Courtot, Jean-Louis Ermine. Maîtrise des risques et sûreté de fonctionnement des
systèmes de production. Hermès science publications, Lavoisier, 2002.

22 Groupe de travail, Les dispositifs de gestion des risques et de contrôle interne, cadre de
référence, Autorité des Marchés Financiers (AMF), juin 2010, 36 pages.

23 ENISA, Risk Management: Implementation principles and Inventories for Risk
Management/Risk Assessment methods and tools, Technical Department of European Network
and Information Security Agency (ENISA), Section Risk Management, June 2006, 177 pages.

102
24 M. Poumadere, Enjeux de la communication publique des risques pour la santé et
l’environnement, revue européenne de Psychologie appliquée, vol. 45, n°1, 1995, pp. 7-15.

25 O. Salvi, E. Bernuchon, Eléments Importants Pour la Sécurité (EIPS), Rapport réalisé dans
le cadre de formalisation du savoir et des outils dans le domaine des risques majeurs, INERIS,
Direction des Risques Accidentels (DRA-35), rapport Ω-6, mai 2003, 51 pages

26 M. Abramovici, La prise en compte des facteurs organisationnels dans les méthodes
d’analyse des risques, note de recherche n°96-07, Groupe de Recherche sur le Risque,
l’Information et la Décision, Ecole Normale Supérieure, 1996.

27 A. Villemeur, Sûreté de fonctionnement des systèmes industriels, Collection de la

Direction des Études et Recherches d'EDF, Édition Eyrolles, 1988, 784 pages.

28 M. Monteau, M. Favaro, Bilan des méthodes d’analyse à priori des risques. INRS. 1990.

29 L. Crauet, Intégration de la sûreté de fonctionnement en conception application aux

systèmes des traitements des fluides, thèse de doctorat, spécialité génie industriel, ENSAM,
Laboratoire de conception de produits nouveaux, Paris, 1995.

30 A. Benard, A. Fontan, La gestion des risques dans l'entreprise, Édition Eyrolles, 1994, 153
pages.

31 Marc Fumey, Méthode d'Evaluation des Risques Agrégés : application au choix des
investissements de renouvellement d'installations, Thèse de doctorat soutenue à l’institut
national polytechnique de Toulouse, spécialité : systèmes industriels, 5 janvier 2001, 195
pages.

32 A. Baker, D. Ponniah, S. Smith, "Techniques for the analysis of risks in major projects",
Journal of Operational Research Society, pp. 567-572, vol. 46, n°6, 1998.

33 F. Frisch, Les études qualitatives, Editions d’Organisation, 1999, 180 pages.

34 A. Benard, A. Fontan, La gestion des risques dans l'entreprise, Édition Eyrolles, 1994, 153
pages.

35 J. Brenot, PH. Hubert, M.H. El Jammal, Critères d’acceptation du risque, Institut de
Protection et de Sûreté Nucléaire, note SEGR/LSEES-94/N°24, 1994.

103
36 J. Brenot, PH. Hubert, Maîtrise des Risques : au sujet de deux modes d’approche
déterministe et probabiliste, Institut de Protection et de Sûreté Nucléaire, note SEGR/LSEES-
94/N°5, 1994.

37 Norme CEI 61511. Sécurité fonctionnelle - Systèmes instrumentés de sécurité pour le
domaine de la production pour processus – Parties 1 à 3, janvier 2003-juillet 2003.
Commission Electrotechnique Internationale, Genève, Suisse, 2003.

38 Y. Verot, Maîtrise du risque : le retour d’expérience, Ecole d’Eté – Gestion Scientifique
du Risque, Albi, France, 6 - 10 septembre 1999.

39 JL. Vollot, JF. Bardet, "Maîtriser les risques", 10eme colloque national de fiabilité &
maintenabilité, Saint-Malo, France, 1-3 octobre 1996.

40 R. Layard, S. Glaister, Cost-benefit analysis, Cambridge university press, 1994, 497pages.

41 C. Kirchsteiger, on the use of probabilistic and deterministic methods in risk analysis,
journal of loss prevention in the process industrials, vol.12, 1999, pp. 399-419.

42 O. Salvi, E. Bernuchon, Eléments Importants Pour la Sécurité (EIPS), Rapport réalisé dans
le cadre de formalisation du savoir et des outils dans le domaine des risques majeurs, INERIS,
Direction des Risques Accidentels (DRA-35), rapport Ω-6, mai 2003, 51 pages.

43 A. Benard, A. Fontan, La gestion des risques dans l'entreprise, Édition Eyrolles, 1994, 153
pages.

44 B. Geiben, J.J. Nasset, Sécurité – Sûreté : La gestion intégrée des risques dans les
organisations, Editions d’Organisation, 1998, 150 pages.

45 L. David, L. Barnaud, Quels risques assurer ?, Les presses de l’Ecole des Mines de Paris,
1997, 130 pages.

46 M. H. Mazouni, Pour une Meilleure Approche du Management des Risques : De la

Modélisation Ontologique du Processus Accidentel au Système Interactif d’Aide à la Décision,
Thèse de doctorat soutenue à l’Institut National Polytechnique de Lorraine, 13 Novembre
2008, 218 pages.

104
47 ADJADJ, A., DRANGUET, J.M., MASSE, F. Ω 10 - Évaluation des performances des
Barrières Techniques de Sécurité. DRA-17-164432-10199A. INERIS : 2017.

48 S. Bouchet, Barrières de sécurité pour les scénarios de la maîtrise de l’urbanisation :

définitions et méthode, INERIS, Direction des Risques Accidentels (DRA-07), 2002.

49 CCPS, Guidelines for chemical process quantitative risk analysis, Center for Chemical
Process Safety of the American Institute for Chemical Engineers, New York 2000, 762 pages.

50 W.M. Goble, «The use and development of quantitative reliability and safety analysis in
new product design», University Press Facilities, Eindhoven, 1998.

51 M.D. Arthur, «Layer of protection analysis for determining safety integrity level», ISA
Transactions, vol. 37, N° 3, pp. 155-165, 1998.

52 Functional safety of electrical/electronic/programmable electronic safety related systems,

IEC 61508 Standard, Parts 1-6, First edition, 1998.

53 ISO:13702, 1999. Industries du pétrole et du gaz naturel - Contrôle et

atténuation des incendies et des explosions sur les installations de production
offshore - Exigences et lignes directrices. In : Organisation internationale de
normalisation. Genève, Suisse.

54 E.M. Marszal, E.W. Scharpf, «Safety Integrity Level selection-Systematic

Methods Including Layer of Protection Analysis», Instrumentation Syst. and
Automation Society (ISA), 2002.

55 ISO 13702, 2015. Industries du pétrole et du gaz naturel - Contrôle et

atténuation des incendies et des explosions sur les installations de production
offshore - Exigences et lignes directrices. Organisation internationale de
normalisation, Genève, Suisse.

56 Erik Hollnagel, Barriers and accident prevention. Aldershot, eBook Published8
December 2016, London.

105
57 INERIS, ARAMIS : Développement d’une méthode intégrée d’analyse des
risques pour la prévention des accidents majeurs, Rapport d’Etude N° INERIS
DRA-04-35132, MEDD, France, 2004.

58 Shuaiqi Yuan, Ming Yang, Genserik Reniers, Chao Chen and Jiansong Wu,
Safety barriers in the chemical process industries: A state-of-the-art review on
their classification, assessment, and management, Safety Science · January
2022.

59 Andersen, H., Casal, J., Dandrieux, A., Debray, B., De Dianous, V., Duijm,
N., Gowland, R., 2004. Guide de l'utilisateur ARAMIS. Contrat CE numéro
EVG1-CT-2001-00036.

60 Valerie de Dianous et Cecile Fi ´ evez, ARAMIS project: A more explicit

demonstration of risk control through the use of bow–tie diagrams and the
evaluation of safety barrier performance, Journal of Hazardous Materials 130
(2006.

61 INERIS, Méthode d’analyse des risques générés par une installation industrielle, Rapport
d’Etude N° INERIS-DRA-2006-P46055-CL47569, OMEGA 7, MEDD, France, 2006.

62 D. Kirkwood and B. Tibbs, «Developments in SIL determination», Comput.

& Cont. Eng. J., vol. 16, pp. 21-27, 2005.

63 Frank PRATS, Probabilité dans les études de sécurité et études de dangers
OMEGA 24, Rapport Final 23/04/2018 N° DRA-18-171229-00933A.

64 F. Kenneth, «Scenario identification and evaluation for layers of protection

analysis», J. Loss Prev. Proc. Ind. 23, 705-718, 2010.

65 M.W. Goble and H. Cheddie, «Safety Instrumented Systems

Verification:Practical Probabilistic Calculations», ISA-The Instrumentation,
Systems and Automation Society, 2005.

66 Vinnem, JE, Aven T, Hauge S, Seljelid, J & Veire G, 2004. In- tegrated Barrier Analysis
in Operational Risk Assessment in Offshore Petroleum Operations. In Spitzer, Schmocker &

106
Dang (eds) Probabilistic Safety Assessment and Manage- ment, PSAM7 - ESREL'04,
Springer.

67 Stein Haugen, Safetec; Jorunn Seljelid, Safetec; Snorre Sklet, Sintef; Jan Erik Vinnem,
Preventor/UiS; Terje Aven, UiS, Operational risk analysis Total analysis of physical and non-
physical barriers H3.1 Generalisation Report, Rev 1, 31.01.2007.

68 S Sklet, T Aven, S Hauge, JE Vinnem, Incorporating human and organizational factors
in risk analysis for offshore installations, Proceedings ESREL, 1839-1847

107