Méthodologie Arbre de défaillance appliquée au scénario

19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Méthodologie Arbre de défaillance appliquée au scénario rupture d’approvisionnement en fluide cryogénique d’un récipient de cryoconservation

Fault tree methodology applied to the scenario of break supply cryogenic liquid for cryopreservation storage

Wilfried LEGERON AIR LIQUIDE CRYOPAL Parc Gustave Eiffel – 8, avenue Gutenberg CS10172 Bussy Saint Georges – 77607 Marne la Vallée Cedex3 Résumé

Analyse Préliminaire des Risques, HAZOP, AMDEC, ARG, Arbre de défaillance, etc… c’est autant d’outils et de méthodologies pour identifier et quantifier le risque industriel. Mais lequel choisir lorsque vous êtes Chef de projet industriel en charge du développement d’un produit, d’une nouvelle fonctionnalité ou d’un système de sécurité complémentaire sur un équipement déjà en production ? Lequel apportera la justification que votre système maîtrise le risque au niveau d’occurrence que vous souhaitez obtenir pour un scénario d’incident spécifique ? Lequel démontrera et justifiera que vos choix technologiques auprès d’un comité en charge de valider le déploiement d’un nouveau produit sur le marché sont les bons ? L’objectif de cette communication n’est pas de donner le guide de l’outil à utiliser en fonction de la configuration dans laquelle vous vous trouvez, mais de démonter que l’association des outils dits déductifs et inductifs est fondamentale pour approcher les risques industriels de manière globale. L’exemple illustré dans cette communication démontre la complémentarité des démarches et a permis de repenser les risques et la gestion des boucles de sécurité du système développé. Summary

Different tools and methodologies are used to identify and quantify industrial risks, such as Preliminary Risk Analysis, HAZOP, AMDEC, GRA, Fault tree. Which methodology should be chosen by the Industrial Project Manager in charge of the development of new products or new functionalities or additional safety systems on equipment already in production? Which one proves that your system controls the risk at an occurrence level specific for an incident scenario? Which one demonstrates and justifies to the Steering Committee of the division that your technological choices are the best to launch a product on the market? The goal of this communication is not to give a guide to choose the tools of risk identifications but to demonstrate that the consolidation of deductive and inductive tools is essential to have a global approach of industrial risks. The example explained below demonstrates the complementary of approaches and allowed to redefine the risks and the safety loops operation of the developed system.

Introduction

Appliquer la bonne approche ou les bons outils de maîtrise des risques dans les différentes phases d’un processus de recherche & développement, conception, industrialisation et modification de conception reste un casse-tête et un chemin relativement complexe pour le chef de projet industriel en charge de développer un nouveau produit. Quelles méthodologies ou guides pourraient permettre d’identifier que le processus d’analyse des risques employé est le plus exhaustif pour ne pas passer à côté d’un risque majeur ? Que l’outil de quantification du risque qui a été utilisé est le plus approprié pour obtenir le niveau de fiabilité et de disponibilité exigé ? Comment renforcer la confiance des utilisateurs dans le produit qui a été développé compte tenu de l’environnement dans lequel il va évoluer ?

Le but de la démarche mise en œuvre par Cryopal au sein de son activité de Recherche & développement est d’exposer aux ingénieurs projets l’importance et la nécessité d’utiliser l’outil d’analyse des risques adéquat en fonction de l’étape de développement d’un produit dans laquelle il se trouve mais aussi de montrer que le choix d’une solution technologique pour traiter un scénario de défaillance doit être opéré en ayant une vision globale de toutes les causes du dit scénario.

Historique de la démarche

Dans le cadre de ces activités Cryopal conçoit, fabrique et commercialise des récipients cryogéniques destinés à la cryoconservation essentiellement pour des applications dans les domaines de la santé. Les activités de cryobiologie et de cryoconservation évoluent dans un contexte réglementaire important défini par un ensemble de directives européennes, décrets, arrêtés, normes, accréditation laboratoire, GMP et où la traçabilité des opérations de manipulation et de stockage doit être garantie à chaque étape du processus. Les salles de cryoconservation plus communément désignées « cryobanques » doivent garantir la continuité de stockage des échantillons avec un niveau de sécurité et de fiabilité très élevé.

L’apport de nouvelles technologies pour renforcer la fiabilité, la disponibilité et principalement la sécurité des équipements de cryoconservation est un objectif permanent pour Cryopal. C’est dans ce cadre qu’il a été demandé par différentes business lines à notre division R&D de concevoir et valider un dispositif de sécurité ultime appelé « anti-séchage ». Le dispositif qui serait intégré à l’ensemble des récipients de cryoconservation devait être capable de répondre au descriptif des besoins suivants :

- déceler une défaillance dans le ravitaillement en fluide cryogénique (azote liquide) d’un récipient de stockage contenant des échantillons biologiques,

- retarder la rupture d’alimentation en fluide cryogénique (azote liquide), - alerter l’utilisateur d’une situation potentiellement critique sur un récipient,

Communication 1D-6 Page 1 sur 7


- isoler le récipient et protéger les échantillons stockés jusqu’à l’intervention d’un technicien de maintenance habilité

Méthodologie pour la définition de la solution

A l’issue de cette définition des besoins exprimés par le marché, nous avons exécuté en R&D des recherches de solutions technologiques :1) répondant aux différentes utilités souhaitées ; 2) avec une configuration technique permettant d’une part une intégration mécanique dans le récipient et d’autre part une intégration électronique dans le système de régulation du remplissage en liquide cryogénique du récipient. Comme le montre la Figure 1 représentée ci-dessous, le système souhaité doit évoluer dans un environnement très limitant puisque nous rencontrons sur une échelle de 3 cm un milieu à la fois gaz et liquide cryogénique.

Figure 1. Configuration intérieure d’un récipient cryogénique

En complément des essais menés sur une solution technique identifiée, puis intégrée à l’ensemble des récipients cryogéniques, nous avons mené une Analyse Préliminaire des Risques spécifiquement au scénario de rupture d’approvisionnement en fluide cryogénique d’un récipient de cryoconservation. Celle-ci est représentée en Figure 2. En appliquant cette méthodologie, nous avons pu identifier les principales causes du scénario de défaillance et confirmer que notre nouvelle technologie répondait à ceux-ci. Il restait encore à identifier l’efficience de cette solution par un protocole de test sévère de façon à faire diminuer encore plus le risque et donc d’éloigner la criticité du chiffre 41



Figure 2. Analyse Préliminaire des Risques appliquée au scénario de rupture d’approvisionnement en fluide cryogénique d’un récipient de cryoconservation

Le système devant évoluer dans un environnement très contraint et ne devant générer aucun déclenchement intempestif d’alarme dans le cadre de l’exploitation du récipient de cryoconservation, nous avons donc ensuite cherché à valider la robustesse, la fiabilité, la répétabilité, la reproductibilité et l’efficacité de notre dispositif technique « anti-séchage ». L’ensemble des tests industriels menés ayant validé le bon déclenchement du dispositif dans tous les scénarios identifiés par l’Analyse Préliminaire des Risques, nous avons poursuivi notre démarche de conception en définissant pour cette nouvelle sécurité, les boucles de son fonctionnement dans l’automatisme en charge d’effectuer la régulation du remplissage automatique d’un récipient de cryoconservation.

Nos tests ayant démontré une autonomie en liquide cryogénique suffisamment longue lorsque le récipient était laissé fermé après l’activation du système de sécurité « anti-séchage », nous avons donc validé la programmation de la boucle de sécurité instrumentée suivante dans l’automate : si la fonction de sécurité « anti-séchage » est active alors : 1) fermer les deux vannes d’alimentation du récipient ; 2) déclencher une alarme utilisateur ; 3) rendre impossible la fonction de remplissage automatique en azote liquide cryogénique du récipient et 4) autoriser l’acquittement de l’alarme par un technicien niveau 2 pour effectuer un remplissage sous contrôle.

A l’issue de cette phase nous avons donc développé le prototype industriel répondant aux exigences des fonctionnalités demandées, mais également aux scénarios identifiés dans notre Analyse Préliminaires des Risques. Ce prototype ayant été présenté aux principaux clients, nous étions entré dans la phase finale de notre processus de conception et donc en industrialisation.

Méthodologie pour la réévaluation des risques

Partant du constat que notre nouveau dispositif de sécurité était amené à fonctionner que dans très peu de cas, nous souhaitions garantir la disponibilité de celui-ci lorsque le système en aurait réellement besoin. Nous voulions également apporter une garantie complémentaire sur le système en définissant un niveau de SIL1 pour l’ensemble de notre boucle de sécurité.

Pour évaluer l’efficacité de notre système de sécurité et apporter la justification que celui-ci positionnerait l’évènement « rupture d’approvisionnement en fluide cryogénique d’un récipient de cryoconservation » avec une fréquence ≤ 10-7comme illustré en Figure 3, nous avons sollicité un expert AIR LIQUIDE en sûreté de fonctionnement pour évaluer la probabilité d’occurrence du scénario sans aucune barrière de sécurité existante et envisagée.

1 Safety Integrity Level ou Niveau d’Intégrité de Sécurité

Elément/Domaine concerné

Danger / contrainte potentiel

Causes Conséquences P G C Éléments de réduction du risque

P G C ActionsN° Commentaires

Opération / exploitation

perte de niveau dans le récipient

Perte de vide du réservoir Perte des échantillons stockés à l'intérieur du récipient

3 4 43

Alarme de NIV.BASAlarme de TEMP.HAUTRégulation automatique du remplissage

1 4 41

Control process : Armoire pliotage de salle / électronique cuve permet d'analyser les données et de constater que le système de remplissage est + sollicité qu'en mode normal

1

Alimentation du récipient avec de l'azote gazeux car plus de LIN dans la ligne

Perte des échantillons stockés à l'intérieur du récipient

2 4 42

Alarme de NIV.BASAlarme de TEMP.HAUTKit de dégazage sur le récipient (EV + set point -175°C) 1 4 41

Si le dégazage de ligne est optionnel, le KIT dégazage sur le récipient ne doit plus être une option)_Développement dispositif d'antiséchage (empêcher qu'un ordre de remplissage LIN soit maintenu avec un niveau LIN qui baisse)

2

3

Identique à l'ANTI-DEB qui est désormais un standard sur toutes les gammes

Niveau bas dans le réservoir car vanne d'alimentation de la cuve située sur la ligne est fermée

Perte des échantillons stockés à l'intérieur du récipient 2 4 42

Alarme de NIV.BASAlarme de TEMP.HAUT

1 4 41

_Développement dispositif d'antiséchage (empêcher qu'un ordre de remplissage LIN soit maintenu avec un niveau LIN qui baisse)

3

Niveau bas dans le réservoir car soupape de ligne bloquée en position ouverte



1 4 41


3

Niveau bas dans le réservoir car electrovanne d'alimentation du récipient cryogénique bloquée en position fermée



1 4 41


3

Information de l'électronique de niveau est figée et n'est plus mise à jour

Perte des échantillons stockés à l'intérieur du récipient

2 4 42


1 4 41


3



Figure 3. Evaluation du scénario de rupture d’approvisionnement en fluide cryogénique dans les barrières de sécurité existantes et envisagées

Pour définir cette quantification nous avons sur les conseils de l’expert élaboré un arbre des défaillances sur notre scénario ultime intitulé « rupture d’approvisionnement en fluide cryogénique d’un récipient de cryoconservation ». Après quantification des probabilités de chaque défaillance issues de diverses bases de données comme cela est représenté en Figure 4, nous sommes arrivés à un évènement initial de probabilité d’occurrence de 3,84x10-5.

Figure 4. Base de données des probabilités de défaillance

Si le résultat obtenu à l’issue de cette première évaluation quantifiée était extrêmement encourageant pour atteindre notre objectif d’une probabilité d’occurrence de ≤ 10-7, nous avons mis en avant que le système de sécurité qui avait été conçu pour répondre aux besoins des utilisateurs à savoir « l’anti-séchage » n’allait apporter que très peu de gain dans la réduction de la probabilité de l’évènement initial.

En effet et après l’utilisation de cette méthodologie de quantification du risque appelée arbre des défaillances, présentée en Figure 5 dans le cadre de notre exemple, nous avons identifié que le dispositif de sécurité agissait sur des scénarii de défaillance correspondant à des coupe d’ordre 3 et 4, représentés en Figure 6, et qu’il n’avait aucune influence de réduction du risque sur un scénario identifié de coupe d’ordre 2.

Point de départMajorité des

récipients vendus(sans dégazage)

Avecdégazage

AvecAnti-séchage

Probabilité de départ ?--- .10-x

F ≤ 10-7

Nouveausystème

Evénement Probabilité (def/an) Commentaire'Absence de pression source primaire' 5,38E-02 6 cas observés sur 130 stockages'Défaillance automate''Défaillance automate Cryomemo' 5,00E-03'Durée de vie' Supprimé'Entrée racks chauds' 0 Négligeable'EV antideb montée à l'envers' 1,00E-02 Erreur opérateur'Fuite RI' 6,45161E-05 1 observation par an, population 31000'Mauvaise connexion flexible sur récipient' 1,00E-02 Erreur humaine'Niveau liquide source primaire insuffisant' 1,54E-02 1 intervention d'urgence par an, 130 stockages vrac (France)'Ouverture bouchon permanent' 0 Jamais observé - hors responsabilité AL'Perçage RE' 4,83871E-05 0,5 par an, population 31000'Puits de jauge antideb bouché' 1,00E-03 2 observation sur un parc de 2000 (1000 equipement comportant chacun 2 tubes)'Puits de jauge bouché' 1,00E-03 2 observation sur un parc de 2000 (1000 equipement comportant chacun 2 tubes)'Sonde de niveau défaillante' 5,00E-03 4 cas par an, population 1000 (parc inox)'Sonde mal positionnée' 1,00E-03 Les défaillances critiques sont couvertes par un test double check'Sonde PT100 défaillante' 1,00E-06 A confirmer'Soupape bloquée ouverte' p765?'Usure col epoxy' 1,98E-04 0,1% de la vente annuelle, soit 5150 equipements, donc'Usure joint de clapet''Vanne kit de distribution LSV fermée' 1,00E-02 Erreur humaine

Même événement1 observation sur un parc de 400 équipements



Figure 5. Arbre de défaillance appliquée au scénario de rupture d’approvisionnement en fluide cryogénique d’un récipient de cryoconservation



Figure 6. Quantification des scénarios issue de l’Arbre de défaillance

Lors de la réalisation de notre Analyse Préliminaire des Risques, nous avions identifié la cause « rupture de vide » pour l’évènement redouté « perte de niveau dans un récipient cryogénique ». Si la cause « perte de vide » peut être surveillée par une analyse à postériori des données process du récipient telles qu’une évolution du nombre de remplissage du récipient ou une consommation supérieure aux données constructeurs, il s’avère que cette disposition n’est possible que si le récipient cryogénique est connecté à une intelligence permettant de réaliser du control process. Cette configuration technique existe bien mais n’est présente que dans très peu de salles de cryoconservation et par conséquent une très grande majorité des récipients ne se sont pas protégés contre ce risque.

Si cette méthodologie déductive d’arbre de défaillance a graduer les scénarios de défaillance par ordre de gravité et de priorité pour réduire le risque du scénario de rupture d’approvisionnement, elle a également permis de mettre en évidence que les boucles de sécurité instrumentées que nous avions programmées dans l’automate n’étaient pas adaptées et pouvaient même aggraver le risque en fonction du scénario d’incident qui se produirait.

Pour mémoire nous avions déterminé la boucle de sécurité instrumentée suivante dans l’automate : 1) fermer les deux vannes d’alimentation du récipient ; 2) déclencher une alarme utilisateur ; 3) rendre impossible la fonction de remplissage automatique en azote liquide cryogénique du récipient et 4) autoriser l’acquittement de l’alarme par un technicien niveau 2 pour effectuer un remplissage sous contrôle. Cette boucle de repli est-elle toujours efficace si le récipient de cryoconservation a perdu ou perd progressivement son vide ? Pour se retrouver dans un scénario de séchage d’un récipient cryogénique il faut être confronté à une perte thermique dans le récipient, exemple la perte de vide, ou l’absence d’arrivée d’azote liquide cryogénique. Lorsqu’un récipient cryogénique a perdu le vide, l’action la plus importante pour garantir la continuité et la sécurité de stockage des échantillons et de remplir sans interruption en azote liquide le récipient de façon à y avoir une température toujours froide. En conclusion notre approche de gestion du risque initial et les moyens de réduction que nous avions imaginés répondaient partiellement à l’ensemble des scénarios et parfois même pouvaient aggraver une situation déjà à risque

Conclusion

Grâce à cette étude de risque complémentaire « arbre de défaillance » réalisée après exécution de plusieurs essais de validation industrielle (répétabilité et reproductibilité) et juste avant la phase d’industrialisation de notre produit, nous avons pu arrêter notre processus de conception, modifier celle-ci et repenser la sécurité de notre récipient de manière plus globale.

Le premier résultat obtenu à l’issue de cette méthodologie a été de quantifier statistiquement la probabilité d’occurrence du scénario d’incident analysé, mais également d’identifier des scénariii de défaillance critique pour lesquels il n’avait pas été concédé de mesures de réduction du risque en phase initial de développement. Le second résultat a été de redéfinir la conception du dispositif de sécurité imaginé pour le scénario d’indicent analysé mais également d’engager des recherches technologiques pour définir des solutions de sécurité sur les nouveaux scénarii.

Les résultats obtenus ont permis également de :

- Valider l’efficacité des boucles instrumentées de sécurité, électriques, électroniques et les éléments programmables - Définir le niveau de SIL approprié en fonction de la classe de probabilité souhaitée, - Croiser et valider les causes de défaillance entre les démarches de maîtrise des risques dites inductives et

déductives.



Cet exercice a également montré l’importance dans un processus de conception et de maîtrise du risque d’utiliser l’outil adéquat de quantification et de ne pas engager le développement d’une solution technique sans avoir au préalable pris en compte toutes les causes du scénario d’incident de défaillance analysé. Cette approche a conduit particulièrement à :

- Renforcer le processus de développement et la mise en œuvre systématique d’une analyse préliminaire des risques afin d’identifier tous les scénarios de défaillance,

- Développer l’utilisation de méthodologie de gestion des risques dite « déductive » pour confirmer en phase de conception ou modification de conception l’adéquation entre solution de sécurité imaginée et scénario de défaillance étudié,

- Sensibiliser les acteurs du développement à la démarche de faillibilité des boucles instrumentées de sécurité et niveau de disponibilité souhaité,

- Renforcer le rôle de la maîtrise des risques au niveau management de l’entreprise et dans les Steering committee des projets de développement.

La mise en place de ce type de méthodologie n’atteste pas l’absence d’erreur en termes d’identification des risques mais elle permet tout de même d’en réduire le nombre. La principale réussite de la méthodologie adoptée a été d’identifier avant le lancement de la phase industrialisation que notre solution de sécurité envisagée ne traitait que partiellement le scénario d’incident étudié et pour lequel une solution définie « anti-séchage » avait été demandée à la R&D.

Cette approche a également permis de remettre en cause nos barrières de sécurité existantes et nous poser des questions essentielles telles que : Avons-nous développé des barrières adaptées et celles actuelles sont-elles efficaces ? Traitons-nous efficacement les scénarios les plus critiques ? Les nouveaux éléments de sécurité ne génèrent-ils pas plus de risques lors de l’exploitation du récipient cryogénique ?

Cette double approche inductive et déductive aura également permis l’identification de nouvelle solution technologique pour maîtriser encore plus le risque et rassurer les utilisateurs sur la disponibilité et fiabilité du produit.

Remerciements

Je remercie tout particulièrement Emmanuel LARDEUX, Director Industrial Risk Management d’AIR LIQUIDE Global E&C Solutions pour sa disponibilité, son accompagnement, son expertise et ses précieux conseils pour le renforcement de notre démarche d’identification, de quantification et de maîtrise des risques industriels dans les phases de Recherche & développement de notre entité.

Références

AFNOR, Mars 2005, Sécurité fonctionnelle : Systèmes instrumentés de sécurité pour le secteur des industries de transformation, Partie 1 : Cadre, définitions, exigences pour le système, le matériel et le logiciel, NF EN 61511-1 AFNOR, Mars 2005, Sécurité fonctionnelle : Systèmes instrumentés de sécurité pour le secteur des industries de transformation, Partie 2 : Lignes directrices pour l'application de la CEI 61511-1, NF EN 61511-2 AFNOR, Mars 2005, Sécurité fonctionnelle : Systèmes instrumentés de sécurité pour le secteur des industries de transformation, Partie 3 : Conseils pour la détermination des niveaux d'intégrité de sécurité, NF EN 61511-3 Union Technique de l’Electricité et de la Communication, Mars 2002, Recueil NF EN 61508 : Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques programmables relatifs à la sécurité


Documents

Méthodologie Arbre de défaillance appliquée au scénario