Wellness">
CDC Outil Analyse Risques
CDC Outil Analyse Risques
CDC Outil Analyse Risques
N° DRA-07-46055-05540A
Verneuil-en-Halatte (OISE)
1. OBJECTIF ET APPLICATION......................................................................... 5
1.1 Objectif ......................................................................................................... 5
1.2 Application du cahier des charges................................................................ 5
1.1 OBJECTIF
Au cours de l'année 2005 et 2006 un groupe de travail s'est réuni dans le cadre des
programmes DRA 34 et DRA 35. L'objectif de ce groupe de travail était la rédaction
d'un cahier des charges pour un outil d'analyse de risques permettant de mettre en
œuvre la méthode d'analyse de risques développée dans le cadre du programme
DRA34. L'objectif initial était ensuite de faire développer cet outil et de le mettre à
disposition du public sur la plate-forme PRIMARISK.
Ce travail partait du constat qu'aucun outil ne répondait véritablement aux besoins
des ingénieurs de l’INERIS et plus généralement des acteurs de l’évaluation des
risques désirant mettre en œuvre les méthodes reposant sur l’utilisation du nœud
papillon et de l’approche barrière, en particulier dans le cadre d’un groupe de travail.
L’objectif était aussi de formaliser la méthode d’analyse de risques dans ses détails
de mise en œuvre, de définir précisément les concepts et données manipulées, leur
architecture, les traitements associés.
2.1 OBJECTIFS
Il s’agit de développer un outil simple d'aide à la réalisation de l'analyse des
risques en groupe de travail (voir annexe I) incluant l’approche barrières
développée à l’INERIS.
Cet outil devra être :
souple afin de traiter tous les types d'installations (simples, complexes...) et de
permettre une approche transverse des risques (risques aux postes de travail,
risques majeurs…) sans manipulations compliquées. Par exemple, il devra être
capable de traiter :
- des scénarios non majeurs,
- des scénarios majeurs à très faible probabilité qui ne demandent pas la mise
en place de barrières spécifiques (certaines agressions externes comme la
chute d'avion par exemple),
- des scénarios majeurs avec des évènements initiateurs simples et une
probabilité non négligeable qui ne demanderont pas forcément de passer par
une méthode d'analyse déductive,
- des scénarios majeurs avec des évènements initiateurs et/ou des
conséquences complexes pour lesquels une analyse des risques par arbres
ou nœuds papillons est nécessaire.
modulaire afin d'intégrer des modules supplémentaires au fur et à mesure de
l'évolution des connaissances et du retour d'expérience d'utilisation de l'outil,
évolutif pour pouvoir intégrer toutes les évolutions futures.
Nota : Concernant les AR réalisées dans le cadre des études de danger, le terme
gravité doit pouvoir être remplacé par celui d’intensité.
Détails de l’étape 1 :
Etape 1 : réaliser un outil vierge (sans lien vers des listes d’informations) qui inclura
les formulaires suivants :
Formulaire “tableaux d’analyse de risques” qui sera utilisé pour les analyses
préliminaires de risques. Il est prévu de développer un formulaire générique
qui comprendra les méthodes d’analyse de risques inductives de type APR,
AMDEC et HAZOP. Ce formulaire sera utilisé lors des séances d’analyse de
risques en groupe de travail. Toutes les informations figurant dans le formulaire
“tableaux d’AR” devront pouvoir être reproduites dans le formulaires “nœuds
papillons”.
Formulaire “nœuds papillons” qui comprendra les méthodes d’analyse de risques
de type arbres de défaillances et arbres d’événements et qui pourra être utilisé
pour réaliser les analyses détaillées des risques ou pour réaliser directement
des AR complexes. A l’inverse de ce qui est mentionné ci-dessus et en raison de
la complexité des nœuds papillons, toutes les données obtenues dans le nœud
papillon ne pourront pas être reproduites dans le formulaire “tableaux d’AR”.
D’autre part, le nœud papillon étant essentiellement utilisé lors des analyses
détaillées, il ne semble pas essentiel de retranscrire toutes ces données.
Formulaire “évaluations des barrières de sécurité”. Ce formulaire doit pouvoir être
ouvert à partir des formulaires “tableaux d’AR” et “nœuds papillons” et doit
générer des résultats (indépendance, efficacité, temps de réponse et niveau de
confiance) qui seront automatiquement retransmis dans les formulaires “tableaux
d’AR” et “nœuds papillons”.
Autres formulaires (échelle de fréquence, échelle de gravité1…).
1
Il faudra laisser la possibilité à l’utilisateur de renseigner plusieurs échelles de fréquence et de
gravité si son étude le nécessite mais également la possibilité de les modifier.
Autres formulaires
Liaison intégrale
Liaison partielle
Remarque : l’expérience a montré qu’il n’est pas toujours évident d’évaluer les
barrières lors d’une AR en GT et qu’il peut être nécessaire, dans un deuxième temps,
de réunir à nouveau le GT pour une AR dédiée spécifiquement aux barrières de
sécurité. La conception de l’outil devra être adaptée à ces 2 cas de figure :
soit possibilité d’évaluer les barrières lors de la première AR en GT en ayant
accès au formulaire “évaluation des barrières de sécurité”,
soit possibilité d’intégrer les données relatives aux barrières dans un deuxième
temps.
Détails de l’étape 2 :
Etape 2 : intégrer dans l’outil de nouvelles données liées aux formulaires “tableaux
d’analyse de risque” et “nœuds papillons” qui consisteront en des listes guides
génériques ou des bases de données de :
mots clés selon la méthode d'AR inductive retenue,
évènements initiateurs types,
événements secondaires types,
événements Redoutés Centraux (ERC) types,
phénomènes Dangereux (PhD) types,
base de données d’accidentologie…
Ces listes devront pouvoir être complétées à mesure de l’utilisation de l’outil et
constituer ainsi un support de capitalisation des connaissances.
Ce présent cahier des charges est focalisé sur l’étape 1 qui doit d’abord être
validée par des exemples concrets de séances d’AR sur sites. Les exigences
liées à la deuxième étape sont cependant indiquées afin de pouvoir être prises
en compte au stade de la conception de l’outil.
Ainsi, il faut prévoir un clic sur la colonne “Libellée de la barrière de sécurité” par
exemple pour permettre à l’utilisateur :
d’ouvrir le formulaire “évaluation des barrières de sécurité”,
de renseigner les caractéristique de la barrière de sécurité selon sa typologie,
de remonter automatiquement les informations importantes (efficacité, temps de
réponse…) (Figure 12) dans le tableau d’AR du formulaire “tableaux d’AR”.
Il faut aussi prévoir que ces champs puissent être remplis ou modifiés manuellement
par l’utilisateur (dans ce cas prévoir un message d’alerte).
A noter que les colonnes “Indépendance entre barrières de sécurité” et “Niveau de
Confiance Global toutes barrières de sécurité” ne pourront être remplies que
manuellement.
Remarques :
Il est intéressant de distinguer les barrières de prévention de l’ERC de celles de
limitation. Nous avons choisi de créer une colonne “lien avec les évènements” qui
permet de prendre en compte cette distinction. Il est également possible de créer
2 séries de colonnes (puisqu’elles peuvent être masquées, ceci n’alourdit pas le
tableau) : une pour les barrières de prévention et une pour les barrières de
limitation.
Si nécessaire une colonne relative à l’événement redouté secondaire (ERS) et
une colonne relative à sa probabilité doivent également pouvoir être ajoutées à ce
tableau.
La gravité réduite a priori est due, par exemple à l’utilisation d’une mesure de
sécurité intrinsèque telle que l’utilisation d’un produit plus dilué (et donc moins
dangereux).
Numéro
Guide
Mot Clé 1
2
Mot Clé 2
3
Dans un 2ème temps, ils pourront être remplis automatiquement à partir de résultats de calculs mais devront pouvoir être modifiés ou remplis manuellement
champs qui seront remplis manuellement dans un premier temps
champs qui s'affichent uniquement sur demande de l'utilisateur et qui doivent être remplis manuellement
champs qui sont toujours affichés et qui doivent être remplis manuellement
Porte "ou" ou "et"
Evènt init.
4
Libellé
5
Fréquence
6
Libellé
ERC
7
Fréquence
Evènt sec.
Porte "ou" ou "et"
9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
Libellé
Probabilité
Libellé
Ph dang
Fréquence F
Cinétique
Fréquence F'
Figure 2 – Tableau d’AR
Efficacité
Temps de réponse
Choix EIPS ?
sécurité ?
Fonctions de sécurité finales
Efficacité
Temps de réponse
Choix EIPS ?
Remarques
Représentation des EI
Pour les EI et les ES, le tableau n’ouvre la possibilité que d’une seule colonne dans
un souci de simplicité. La prise en compte des divers sous-évènements initiateurs et
sous-évènements secondaires sera représentée sous forme arborescente avec des
« + » pour les portes ET et des « - » pour les portes OU.
+ Ei1
- Ei 1.1
-Ei 1.1.1
-Ei 1.1.2
- Ei 1.2
+ Ei2
un tableau sur les recommandations par rapport aux barrières initiales et/ou les nouvelles barrières avec une case à cocher
pour identifier clairement les mesures à mettre en place obligatoirement pour atteindre l’objectif minimal fixé en terme de
maîtrise des risques (voir figure 4). Ce tableau sera issu de la Figure 3 pour le gain en fréquence et de la Figure 2 pour le gain
en gravité (colonnes 16 et 17).
Liste des barrières de sécurité à mettre en Niveau Echéance Responsable
place d’urgence
Lien Libellé Obligatoire ?
Niveau d’urgence compris entre 1 et 3 selon la valeur de la fréquence résiduelle et/ou du delta de gravité.
Figure 4 : Tableau de synthèse sur les recommandations
2
Il faut noter que plusieurs actions peuvent être associées à un même ensemble de scénario et qu'une même action peut modifier le niveau de risques de
plusieurs groupes de scénario et pas forcément de la même manière. Une action doit donc être reliée aux différents scénarios pour lesquels elle a été définie.
Outil de calcul
(fréquences et fréquences réduites
dans une étape ultérieure)
Tableau d’évaluation du
fréquence EI, probabilité ES niveau de risque
Données d’entrée pour
Gravité et gravité réduite
Formulaire formulaire « nœuds papillons »
a priori « Tableaux d’Analyse Liste EIPS
Cinétique de Risque »
Tableau de synthèse
sur les recommandations
Identification des barrières
(initiales et finales) Données sur chaque barrière pour
traitement dans formulaire
« évaluation des barrières de
sécurité »
puis Tableau de synthèse des
barrières de sécurité
D’autre part, il faut prévoir la possibilité en amont et en aval d’un ERC de réduire les
branches de l’arbre. Par exemple, un bouton + pourrait être positionné au-dessus de
chaque événement. Ainsi si l’utilisateur clique dessus, il pourra visualiser toutes les
détails des branches associées. En re-cliquant dessus, ces détails seront cachés
sans être perdus.
Il ne faut pas oublier qu'il faudra laisser la possibilité pour chaque information
rentrée, d'ouvrir une boite de dialogue permettant de mieux expliciter l'information si
nécessaire.
Etant donné qu’une barrière peut posséder des Niveaux de Confiance différents pour
les scénarios dans lesquels elle est impliquée, il faudra pouvoir indiquer des
fourchettes de NC sur les nœuds papillons.
Exemple :
Le niveau de confiance d’une barrière de sécurité est de 2 pour le scénario
n°1 et de 0 pour le scénario n°2.
Ei1 NC 0 -2
ou ERC
Ei2
Ei1.1
Ei1
Ei1.2 DOC1
ERC PHD
DOC2
Ei2.1
Ei2
Ei2.2
L'analyse de chacun des 8 scénarios est lourde à mettre en œuvre et le plus souvent
inutile car un traitement globalisé peut être appliqué. C'est notamment le cas si :
Aucune barrière n'est propre à une cible en particulier. Dans ce cas, les cibles
seront regroupées lors de l'analyse des scénarios.
Le développement de l'arbre des défaillances, et donc l'apparition des portes OU,
n'est utile qu'à l'estimation de la fréquence d'occurrence de l'ERC. Dans ce cas,
les évènements initiateurs seront tous regroupés.
Potentiellement, l'analyse peut porter d'une façon globale sur l'ensemble des
évènements initiateurs et l'ensemble des dommages aux cibles répertoriés, mais elle
peut aussi porter sur chacun des 8 scénarios individuellement. Ainsi, l'outil doit
permettre "en quelques clics" sur le nœud papillon de sélectionner le ou les
scénarios à analyser.
De plus, l'outil doit être capable de générer une alarme si l'utilisateur a oublié de
sélectionner et donc d'analyser un ou plusieurs scénarios.
B4
ERCB2 PHD' DOC2 Scénario avec fonctionnement de B2
B1 B2 B3
B2 B3
Figure 7 : Développement de l'arbre des évènements en intégrant les scénarios générés par
les barrières
Pour ne pas complexifier le tableau de synthèse d'analyse des risques, il faut limiter
les informations qui proviennent du nœud papillon qui est très ouvert en terme de
développement :
Pour la partie gauche du nœud papillon, il suffit de se limiter à un niveau donné
dans le tableau (niveau qui pourrait être paramétrable).
Pour la partie droite, le GT a décidé dans un premier temps de s’arrêter sur des
évènements donnés qui pourraient être :
- Evènements secondaires.
- Phénomènes dangereux.
- Dommages aux cibles.
- Facteur de réduction de risque.
Les premiers résultats des tests de l'outil sur papier et sur sites indiqueront si cette
solution est satisfaisante.
Outil de calcul
(fréquences et fréquences réduites
dans une étape ultérieure)
Description du module
Deux cas sont considérés :
Soit la barrière est existante. Dans ce cas, les critères d’évaluation sont passés
en revue. Il y a une colonne avec l’existant et une colonne pour les
recommandations et/ou les barrières nouvelles (futures).
Soit la barrière est nouvelle. Dans ce cas, la colonne “existant” n’est pas utile.
Des informations peuvent être indiquées pour les différents critères mais pas
obligatoirement.
Pour chacun des paramètres d’évaluation des performances qui suivent, il faudrait
prévoir de renseigner les informations sous la forme de deux colonnes :
La première correspond à l’existant ;
La deuxième correspondra au futur et pourra être complétée si des
recommandations sont faites (il sera ainsi possible de récupérer la synthèse des
recommandations par barrière) ou si une nouvelle barrière est proposée.
Informations récupérées :
Les informations utiles pour le tableau AR et les noeuds papillons sont extraites
(Figure 11). S'il s'agit d’une barrière simple composant un SIS, les résultats sont
d’abord extraits pour être utilisés dans le module “Evaluation des SIS” (voir plus loin).
Pour l'instant, la base du module d'évaluation des barrières organisationnelles repose sur un
découpage des barrières en trois types :
Barrières organisationnelles de prévention (épreuve, test d'étanchéité, Plan particulier de
prévention.),
Barrières fonctionnant à l'appel (suite à une alarme, une action de l'opérateur est
réalisée),
Barrières en situation d'intervention (lutte contre l'incendie...).
Produits de sortie
Le produit de sortie est la performance des barrières associées à un scénario ou à
un groupe de scénario sélectionné. Cette donnée est transmise aux formulaires
“tableaux d’AR” et “nœuds papillons”.
Les produits de sortie complémentaires sont les fiches synthèse des éléments (voir
Figure 14) avec les informations relatives aux barrières après mise en place des
recommandations.
Il faudrait aussi pouvoir sortir un tableau avec les informations relatives aux barrières
après mise en place des recommandations (voir Figure 15).
Le GT n’a pas défini s’il fallait une fiche par barrière ou par groupe de barrières
identiques (par exemple, si dans une raffinerie, il y a 1 300 soupapes, il semble long
et inintéressant de faire 1 300 fiches barrière) . Pour chaque barrière, il faudra
cependant indiquer ses Niveaux de Confiance relativement à chacun des scénarios
auxquels elle est associée.
Autres formulaires
Date :
Nom des participants :
Fonction des participants :
Nom du site
Exploitant
Dans le cas de la création d’un nouveau nœud papillon : Saisie directe des
informations relatives à l’installation.
Installation :
Equipement :
Opération :
Nom :
installation 1
Installation :
Equipement : équipement 1
Opération :
fonctionnement
Cet écran doit contenir un certain nombre de boutons relatifs aux types
d’évènements, aux portes et aux barrières.
rupture guillotine du
bras de chargement n°1
Vue 2 :
Prendre la porte OU et la positionner.
Prendre les évènements “autre”, les positionner, les relier à la porte et, par un clic
droit, accéder à la feuille contenant leurs propriétés (voir pour l’ERC).
rupture guillotine du
Causes "directes" OU
bras de chargement n°1
effets domino
BLEVE bouteille
explosion zones
encombrées
OU effets domino
surpression
Effets thermiques
agression mécanique
pendant des travaux
f5
f0
BLEVE bouteille
explosion zones
encombrées
OU effets domino
surpression
Effets thermiques
Vue 12 : Agréger les fréquences - selon les 3 types de barrières – pour obtenir la
fréquences des dommages aux cibles
Installations
Nom
Site
Equipements
Nom
Installation
Opérations
Libellé
Equipement
ERCs
Libellé
Opération
Fréquences
Fréquence initiale
Fréquence avec barrières existantes
Fréquence avec barrières complémentaires
Barrières
Libellé
Evénement (EI, ERC) auquel elle s'applique
Position (prévention de l'événement ou limitation de ses effets)
Génération d'un nouveau scénario
Fonction de sécurité
Indépendance par rapport au sous EI
Efficacité
Temps de réponse
Niveau de confiance maxi
Maintien des performances
Niveau de confiance retenu
Scénario
Coupe minimale
(Eis, ERCs, PHd)
DOC
Libellé
Numéro
Gravités
Gravité initiale
Gravité avec barrières existantes
Gravité avec barrières complémentaires
Fréquences
Fréquence initiale
Fréquence avec barrières existantes
Fréquence avec barrières complémentaires
Participant
Nom
Fonction
Tableaux
Nœuds papillons
Moteur de calcul (fréquences,
perf barrières), agrégation
barrières, scénarios
Données
Formulaire barrières
Interface de définition du
contenu du rapport
Rapports (produits
de sortie) Interface de gestion
des données
génériques (listes,
Word
mots clés,..)
10. Pour un effet sur les cibles potentielles retenu : détermination si cet effet est
significatif (c'est-à-dire si son niveau de gravité est supérieur ou égal à 2 en
utilisant l'exemple d'échelle de gravité du tableau I.1).
11. Pour chaque effet significatif sur les cibles potentielles : étude de la
réduction de sa gravité a priori.
12. Pour tous les scénarios conduisant au même effet significatif sur les cibles
potentielles : évaluation de la fréquence d’occurrence des effets sur les cibles
potentielles sans prise en compte des barrières à l’aide des fréquences des
causes initiales et des probabilités des causes secondaires (un exemple d'échelle
de niveau de fréquence des causes initiales est fournit dans la figure I.1).
E D C B A
semi-quantitative :
CLASSE DE
FREQUENCE 10
-6
10
-5 -4
10 10
-3
10
-2 -1
10 1 10
(de -2 à 6) 6 5 4 3 2 1 0 -1 -2
quantitative : -5 -4 -3 -2
10 10 10 10
G3 Effets critiques (létaux ou irréversibles) sur Atteinte d’un bien, Atteintes critiques à des zones
au moins une personne à l’extérieur du site équipement dangereux ou vulnérables (ZNIEFF, points de
ou Effets critiques au niveau des zones du de sécurité à l’extérieur du captage…) avec répercussions
site comportant les niveaux d’occupation les site à l’échelle locale
plus importants Atteinte d’un équipement
Exemple : dangereux ou d’un
Faible nombre de victimes à l’extérieur du équipement de sécurité
site (une dizaine au plus) ou plusieurs critique sur le site
victimes (10-20) sur le site (atelier) conduisant à une
aggravation générale des
conséquences de niveau
G3
G2 Effets critiques (létaux ou irréversibles) Atteinte d’un équipement Atteintes sérieuses à
limités à une zone avec un niveau dangereux ou d’un l’environnement nécessitant
d’occupation faible équipement de sécurité des travaux lourds de
Exemple : critique sur le site sans dépollution
Effet critique pour au moins deux personnes aggravation générale des
se trouvant à proximité immédiate du siège conséquences
de l'accident ou effet critique pour une
personne se trouvant de façon permanente
(poste de travail sans rapport avec
l'accident) ou habituelle (équipe de
maintenance fréquemment sur place) à
proximité non immédiate du siège de
l'accident
G1 Pas d’effets significatifs sur le personnel du Pas d’effets significatifs Pas d’atteintes significatives à
site ou sur les équipements du l’environnement ou
Aucun effet critique au niveau des zones site ou
occupées du site. Des effets peuvent être Atteintes à des Atteintes limitées au site et
observés de façon très localisée. équipements dangereux nécessitant des travaux de
Exemple : du site sans synergie dépollution minimes
Effet critique pour une personne se trouvant d’accidents ou à des
à proximité immédiate du siège de l'accident équipements de sécurité
ou effet critique pour une personne se non critiques
trouvant de façon fortuite à proximité du
siège de l'accident (rondier,...).
Aucun effet ou accident corporel sans arrêt
de travail
Tableau I.1 : Exemple d’échelle de la cotation a priori de la gravité d’accidents
SCENARIOS
Ein 1 EM
ET EI Ph D
Ein 2 EM
ERS
Ein 3
OU EI Ph D
Ein 4 OU ERC
Ein 5 EM
ET EI Ph D
EC 6 EM
ERS
Ein 7 EM
OU EI Ph D
EIn 8 EM
13. Pour tous les scénarios conduisant au même effet significatif sur les cibles
potentielles : identification des barrières de sécurité existantes pour prévenir
son apparition.
15. Pour tous les scénarios conduisant au même effet significatif sur les cibles
potentielles : ré-évaluation de la fréquence d’occurrence en prenant en compte
les barrières existantes (agrégation des fréquences d’occurrence de chaque
cause et du niveau de confiance des barrières) et comparaison avec le niveau
de fréquence résiduelle choisi par l’exploitant en fonction de sa politique de
maîtrise des risques (ou avec celui imposé par la réglementation).
16. Pour tous les scénarios conduisant au même effet significatif sur les cibles
potentielles : évaluation de la cinétique (classement en cinétique lente ou
rapide).
17. Si le niveau de fréquence résiduelle choisi par l’exploitant n’est pas atteint :
des mesures complémentaires doivent être mises en place pour l’atteindre
(élaboration d’un plan d’action), la fréquence d’occurrence est ré-évaluée en
prenant en compte ces mesures (retour point 13) et est comparé avec le
niveau de fréquence résiduelle choisi par l’exploitant en fonction de sa politique
de maîtrise des risques ou avec celui imposé par la réglementation).
18. Une fois tous les scénarios conduisant au même effet significatif sur les cibles
potentielles maîtrisés : étude des axes d’amélioration possibles permettant de
réduire la probabilité d’occurrence d’un tel scénario : proposition de
recommandations.
22. Lorsque pour un ERC ou une situation de danger donnée, toutes les causes
ont été passées en revue, on traite un autre ERC ou une autre situation de
danger : retour au point 5.
23. Lorsque tous les ERC ont été traités, on traite un autre système : retour au
point 4.
24. Lorsque tous les systèmes ont été traités, on traite une autre installation :
retour au point 1.
25. Lorsque toutes les installations ont été traitées : c'est la fin de l'AR en GT.
Produits de sortie :
- Tableaux de synthèse de l'AR (format Word).
- Nœuds papillons (centrés sur 1 ERC pour 1 système) avec positionnement des
barrières (avec ou sans NC, avec code couleur selon leur degré de prise en
compte et/ou leurs recommandations). Il faudrait également pouvoir dessiner
les nœuds papillons en les centrant sur le phénomène dangereux.
- Liste des mesures à mettre en œuvre pour atteindre le niveau de maîtrise des
risques souhaité, avec date et nom du responsable.
- Liste des recommandations par rapport aux barrières existantes (pas de
hiérarchisation).
- Liste des scénarios hiérarchisés selon la gravité, le niveau de fréquence
résiduel et la cinétique.
- Liste des Eléments importants pour la sécurité.