42
Méthodes pour l’évaluation et la prévention des risques accidentels (DRA-006) Eléments Importants Pour la Sécurité (EIPS) Direction des Risques Accidentels Septembre 2001

Securite Ineris

Embed Size (px)

Citation preview

Page 1: Securite Ineris

Méthodes pour l’évaluation et la préventiondes risques accidentels

(DRA-006)

Eléments Importants Pour laSécurité(EIPS)

Direction des Risques Accidentels

S e p t e m b r e 2 0 0 1

Page 2: Securite Ineris

INERIS-DRA-2001-25427eipsweb2.doc

Eléments Importants Pour la Sécurité(EIPS)

Version projet

Ce document comporte 36 pages, hors annexes et couverture

INERIS

DIRECTION DES RISQUES ACCIDENTELS

S e p t e m b r e 2 0 0 1

Page 3: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

1/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Page 4: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

2/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Répertoire des modifications

Révision Relecture Application Modifications

PROJET Septembre2001

Création du document

Page 5: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

3/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

PREAMBULE

Le présent document a été établi :

- au vu des données scientifiques et techniques disponibles ayant fait l’objetd’une publication reconnue ou d’un consensus entre experts,

- au vu du cadre légal, réglementaire ou normatif applicable.

Il s’agit de données et informations en vigueur à la date de l’édition du document, le 10septembre 2001.

Le présent document comprend des propositions ou recommandations. Il n’a en aucun caspour objectif de se substituer au pouvoir de décision du ou des gestionnaire(s) du risque oud’être partie prenante.

Page 6: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

4/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

TABLE DES MATIERES

1 OBJECTIF ET DOMAINE D’APPLICATION 6

1.1 Contexte général ................................................................................................................... 6

1.2 Domaine d’application ......................................................................................................... 6

2 DÉFINITIONS DES ÉLÉMENTS IPS 8

2.1 Définitions préliminaires...................................................................................................... 82.1.1 Notion d’éléments IPS............................................................................................................ 82.1.2 Notion de dérive ..................................................................................................................... 92.1.3 Notion de scénario d’accident majeur .................................................................................. 10

2.2 Définitions relatives aux éléments IPS.............................................................................. 13

3 PRINCIPES DIRECTEURS POUR LA SÉLECTION DESÉLEMENTS IPS 14

3.1 Importance de l’étude de dangers ..................................................................................... 14

3.2 Processus de détermination des éléments IPS.................................................................. 153.2.1 Importance de l’analyse des risques ..................................................................................... 163.2.2 Fonctions IPS........................................................................................................................ 163.2.3 Désignation des éléments IPS............................................................................................... 163.2.4 Rôle des éléments IPS : prévention, protection, intervention............................................... 16

3.3 Attendus des éléments IPS et actions à mener ................................................................. 173.3.1 Eléments de définition .......................................................................................................... 173.3.2 Attendus des éléments IPS ................................................................................................... 193.3.3 Gestion des IPS..................................................................................................................... 203.3.4 Liens entre IPS et SGS ......................................................................................................... 21

4 DÉMARCHE ADOPTÉE PAR L’INERIS POUR LADÉTERMINATION DES ÉLÉMENTS IPS 23

4.1 Détermination des éléments IPS dans l’étude de dangers............................................... 234.1.1 Rappels ................................................................................................................................. 234.1.2 Démarche adoptée par l’INERIS.......................................................................................... 244.1.3 Exemple d’application de la démarche................................................................................. 274.1.4 Attendus des IPS................................................................................................................... 30

4.2 Tierce expertise et éléments IPS........................................................................................ 30

5 CONCLUSION 32

6 GLOSSAIRE 33

7 BIBLIOGRAPHIE 34

Page 7: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

5/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

8 LISTE DES ANNEXES 35

Page 8: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

6/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

1 OBJECTIF ET DOMAINE D’APPLICATION

1.1 CONTEXTE GENERAL

Depuis l’année 2000, le Ministère de l’Aménagement du Territoire et de l’Environnementfinance un programme d’études et de recherches, intitulé « Recueil des méthodes utilisées àl’INERIS dans le domaine des risques accidentels » (DRA-006).

L’objet de ce programme est de réaliser un recueil global formalisant l’expertise del’INERIS dans le domaine des risques accidentels. Ce recueil sera constitué de différentsrapports consacrés aux thèmes suivants :

• les phénomènes physiques impliqués en situation accidentelle (incendie, explosion,BLEVE…)

• l’analyse et la maîtrise des risques,

• les aspects méthodologiques pour la réalisation de prestations réglementaires (étude dedangers, analyse critique..)

Chacun de ces documents reçoit un identifiant propre du type « Ω-X » afin de faciliter lesuivi des différentes versions éventuelles du document.

In fine, ces documents décrivant les méthodes pour l’évaluation et la prévention des risquesaccidentels, constitueront un recueil des méthodes de travail de l’INERIS dans le domainedes risques accidentels.

1.2 DOMAINE D’APPLICATION

Le présent rapport présente la démarche adoptée par l’INERIS pour l’identification desEléments Importants pour la Sécurité (IPS). Il s’inscrit dans une démarche de valorisationdu savoir-faire de l’INERIS auprès des pouvoirs publics, des industriels et du public.

L’Administration et plus particulièrement l’inspection des Installations Classées pour laProtection de l’Environnement (ICPE) a développé depuis plusieurs années la notiond’équipements et de paramètres Importants Pour la Sécurité (IPS).

La Directive européenne 96/82/CE du Conseil du 9 décembre 1996, concernant la maîtrisedes dangers liés aux accidents majeurs impliquant des substances dangereuses, est entrée enapplication dans les Etats membres de l’Union Européenne, le 3 février 1999.Cette Directive, dite Seveso II, exige que les exploitants d’établissements à risquesdémontrent :

• d’une part, qu’ils ont identifié les dangers associés à leurs installations,

• d’autre part, qu’ils maîtrisent ces dangers par la mise en œuvre de dispositifstechniques ou organisationnels adéquats, dans le cadre d’une politique deprévention des accidents majeurs ou d’un système de gestion de la sécurité.

Page 9: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

7/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Cette nécessité pour l’exploitant de démontrer la maîtrise des risques a abouti à la notiond’éléments Importants Pour la Sécurité (IPS), développée par l’Administration en France,et plus particulièrement, l’inspection des Installations Classées pour la Protection del’Environnement (ICPE).

En effet, la notion d’équipements et de paramètres IPS a émergé en France ces 10 dernièresannées, dans différents ouvrages ou textes réglementaires, traitant notamment desdémarches de réduction des risques majeurs. Dans cette continuité, l’arrêté du 10 mai 2000,transposant pour partie la Directive 96/82/CE, impose que l’étude de dangers, réalisée sousla responsabilité de l’exploitant, permette à ce dernier de définir les facteurs (équipementset opérations) importants pour la sécurité. Ce texte réglementaire reprend ainsi les conceptsdéjà évoqués, par exemple, dans le guide méthodologique : Etude de dangers d’uneinstallation industrielle, édité par le ministère de l’Environnement (1) ou dans les arrêtés du16 et du 23 juillet 1997 relatifs respectivement aux installations de réfrigération employantde l’ammoniac et aux stockages de chlore gazeux liquéfié sous pression. Une liste nonexhaustive de documents et textes réglementaires faisant référence aux éléments importantspour la sécurité est fournie en Annexe I.

Malgré les réflexions déjà engagées et les documents existants sur ce thème, la notiond’élément IPS reste cependant sujette à interprétation. Pour certains, tout dispositif technique ou organisationnel de sécurité est Important Pour laSécurité. Pour d’autres, seuls quelques-uns de ces dispositifs doivent être qualifiés d’IPS.

L’objet de ce document est de présenter la vision de l’INERIS quant à la notion et auprocessus d’identification d’éléments IPS.

Il s’appuie d’une part sur les résultats d’un groupe de travail, formé à l’initiative duSecrétariat Permanent de Prévention des Pollutions Industrielles (SPPPI) de la régionProvence – Alpes – Côte d’Azur. Ce groupe composé d’industriels, d’inspecteurs des ICPEet de l’INERIS a été constitué en vue de préciser de manière consensuelle le conceptd’éléments IPS. Il s’est réuni sept fois en un an, entre 1999 et 2000. Le résultat de cestravaux a été édité dans un rapport sous l’égide du SPPPI PACA, auquel le présentdocument fera référence (3).

D’autre part, ce document intègre l’expérience de l’INERIS acquise notamment lors de laréalisation d’études de dangers et de tierce-expertises d’études de dangers d’InstallationsClassées pour la Protection de l’Environnement.

Ce rapport livre ainsi dans un premier temps des éléments de définitions pour les notions deparamètres et éléments IPS.

Ensuite, les caractéristiques à attendre des éléments IPS sont abordées, et le lien avec lesactions à mener dans le cadre d’un système de gestion de la sécurité est discuté.

Enfin, sur le plan méthodologique, le chapitre 4 présente la démarche et le formalismeadoptés par l’INERIS pour l’identification des éléments IPS dans les études de dangers. Cedernier chapitre comprend en outre une illustration de cette démarche à partir d’un casfictif.

Page 10: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

8/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

2 DEFINITIONS DES ELEMENTS IPS

Les éléments de définitions présentés dans les paragraphes suivants sont tirés des réflexionsmenées dans le cadre du groupe de travail, formé à l’initiative du SPPPI de la région PACA

Il convient de souligner que des définitions ont été portées à la connaissance du groupe detravail dès la deuxième réunion, par les représentants de l’UIC. En effet, l’UIC a rédigé endécembre 1999 un document technique DT 65 intitulé : « Eléments importants pour lasécurité (IPS) Définitions – Exemples » (2). Le groupe de travail a donc tenu compte desréflexions menées par l’UIC.

Par ailleurs, des éléments de définition figurent également dans le guide méthodologique :Etude des dangers d’une installation industrielle, édité en 1995 par le Ministère del’Environnement (1).

Dans le cadre du présent document, les définitions élaborées au sein du groupe de travailont été retenues préférentiellement, dans la mesure où ces dernières sont issues d’unconsensus entre différents acteurs de la gestion du risque, notamment les exploitants et lesinspecteurs des Installations Classées.

2.1 DEFINITIONS PRELIMINAIRES

2.1.1 NOTION D’ELEMENTS IPS

Différents textes réglementaires ou ouvrages relatifs à la réduction du risque introduisentles notions d’équipements et de paramètres IPS (1). Un paramètre peut être défini de manière simplifiée comme une grandeur physique ouchimique fonction de l’installation considérée et de son exploitation. Il peut ainsi s’agir de :• niveau, pression, température, conductivité, résistance…,• pH, concentration…

Dans le cadre de ce document et conformément aux réflexions du groupe de travail duSPPPI PACA, la notion d’éléments IPS est préférée à la notion d’équipements et deparamètres IPS pour les raisons suivantes :

• Un élément peut être un équipement, dispositif de sécurité ou groupe de dispositifsde sécurité ou bien une tâche, une opération réalisée par un individu, un opérateur.

• Par abus de langage, on parle parfois de « paramètres IPS ». Il est effectivementnécessaire d’identifier les paramètres (pression, température…) à surveiller etmaîtriser pour la sécurité de l’installation. Néanmoins, seront qualifiés d’IPS leséléments permettant de maintenir ces paramètres dans une plage donnée ou endessous de seuils particuliers. En d’autres termes, les éléments IPS visent à contrôlerles dérives dangereuses d’un ou plusieurs paramètres. Ce constat met en lumièrel'importance de définir au cours de l'analyse des risques les plages de fonctionnementnormales et les seuils de sécurité à ne pas dépasser pour un fonctionnement sûr del'installation.

Page 11: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

9/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

2.1.2 NOTION DE DERIVE

Lorsque la dérive d’un paramètre de fonctionnement survient, elle peut conduire à uneévolution telle que ce dernier franchisse plusieurs seuils, passant ainsi d’une zone defonctionnement normal à une zone de danger pour laquelle l’accident devient imminent.

A titre d’illustration, un exemple de différentes zones de dérive pouvant être envisagées estdécrit ci-dessous.

• La zone de régulation correspond à la plage de fonctionnement normal ou habitueld’un appareil pour un paramètre donné. Elle peut être délimitée notamment par des seuils d’alerte.

• En cas de franchissement d’un seuil d’alerte, le paramètre se trouve en zone d’alerte. Ace niveau, les opérateurs doivent être informés d’une dérive en dehors de la zone derégulation.

• Si la dérive se poursuit au-delà de la zone d’alerte, le paramètre peut franchir le seuild’alarme et se trouver ainsi en zone d’alarme. A ce stade, des actions correctivesdoivent être engagées en vue de ramener le système dans la zone de fonctionnementopérationnel. Ces actions pourront par exemple être menées sous la forme d’opérationsà effectuer ou de déclenchements de systèmes automatiques.

• Enfin, si la dérive ne peut être maîtrisée en zone d’alarme, le paramètre est susceptiblede franchir le seuil de danger. Dans cette zone de danger, l’accident devient imminent.La mise en sécurité de l’installation doit alors être commandée.

La notion de dérive et les différents seuils définis préalablement sont représentés demanière schématique dans la Figure 1 suivante.

Figure 1 : Illustration d’une dérive d’un paramètre et des seuils de sécurité associés

temps

paramètre Seuil de danger

Seuil d’alarme

zone de danger

zone de danger

Seuil d’alertezone de régulation

zone d’alarme

zone d’alerte zone defonctionnement

opérationnel

Page 12: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

10/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

2.1.3 NOTION DE SCENARIO D’ACCIDENT MAJEUR

2.1.3.1 SCENARIO D’ACCIDENT

Comme précisé dans les paragraphes précédents, les éléments IPS permettent a priori demaîtriser la dérive d’un paramètre susceptible de conduire à un accident. Les modalités d’occurrence de cet accident sont formalisées, entre autres, dans les étudesde dangers par la définition de scénarios d’accident.

Les scénarios d’accident sont constitués d’une succession d’événements qui s’enchaînent,en général de la façon suivante :

− un type de rupture accidentelle ou une défaillance ;− conduisant au rejet ou à la réaction d'un produit donné ;− qui peut être impliqué dans un phénomène tel que la dispersion atmosphérique,

l'explosion ou l'incendie.

En référence à la Figure 2 suivante, un accident est le résultat de la conjonctiond’événements indésirables, conduisant à un événement redouté central et aboutissant àdes événements majeurs en termes de conséquences.

Ce schéma se fonde sur l’approche « nœud papillon » proposée au groupe de travail duSPPPI par l’INERIS pour poser un vocabulaire commun afin de préciser la notion descénario d’accident majeur.

Figure 2 : Schéma explicatif général de la démarche « SCENARIO »

Ein 1

Ein 2

Ein 3

Ein 4

Ein 5

EC 6

Ein 7

EC 8

EI

EI

EI

EI

EI

EI

ERC

ERS

ERS

PhD

PhD

PhD

EM

EM

EM

EM

EM

EM

SCENARIO

Arbre de défaillances Arbre d ’événements

Barrières de défensePrévention Protection

PhDET

ET

OU

OU

OU

OU

OU

Page 13: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

11/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

La définition d’un scénario d’accident résulte d’un processus d’analyse de risques quiintègre généralement les travaux menés dans l’analyse de risques, notamment grâce à :• des outils systématiques d’analyse de risques tels que l’HAZOP, l’AMDEC ou l’APR,• l’étude des agressions externes d’origine naturelle (séisme, inondations, foudre) ou liées

à l’activité humaine (effets domino, voies de communication…)• des considérations tirées de l’analyse des accidents passés sur l’installation considérée

ou des installations similaires.

De manière très schématique, il s’agit alors de caractériser les étapes résumées ci-dessous.

1- Arbre des défaillances

La partie gauche du schéma, ou arbre des défaillances, s’attache à identifier les causes d’unaccident éventuel.

Ainsi, l’origine d’un scénario d’accident peut résulter de :

un ou la combinaison de plusieurs événements indésirables, notés Ein dans la Figure 2.Un événement est qualifié d’indésirable lorsqu’il se situe en dehors des conditionsusuelles d’exploitation.

un ou la combinaison d’événements courants, notés EC. A l’inverse d’un événementindésirable, un événement courant est récurrent dans des conditions usuellesd’exploitation. Il a donc été identifié et accepté, moyennant le cas échéant, la mise enplace de barrières de sécurité spécifiques.

la combinaison d’événements indésirables et d’événements courants.

En fonction de l’action d’éventuels dispositifs de prévention, l’une des combinaisonsprécédemment citées conduit à considérer ou non un ou plusieurs événements initiateursde l’accident, noté EI sur la Figure 2. Un événement initiateur représente une cause directede l’événement redouté central. En règle générale, l’analyse de risques permet d’identifier des catégories d’évènementsinitiateurs qui reviennent de manière récurrente pour une installation donnée. A l’inverse, compte tenu du nombre élevé d’événements indésirables susceptibles de seproduire, il est souvent difficile d’identifier, de manière complètement exhaustive, lescauses possibles d’évènements initiateurs.

2- Événement Redouté Central (ERC)

Un événement initiateur de l’accident peut conduire à l’Événement Redouté Central, notéERC.

L’événement redouté central correspond aux conséquences ultimes d’une dérive oudéfaillance, qu’elle soit d’origine interne ou externe, affectant un équipementdangereux. Il se rapporte généralement à la perte de confinement d’une substancedangereuse ou la perte d’intégrité physique de l’équipement ou de la substancedangereuse considérée .

Page 14: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

12/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Il est ainsi possible de définir des évènements redoutés centraux par type d’équipements. Atitre d’illustration, les évènements redoutés centraux pour les équipements suivants peuventêtre :

• réservoir de stockage d’un produit toxique : fuite (ruine instantanée, rupture decanalisation,…)

• entrepôt de matières solides : départ d’incendie,• réacteur chimique : éclatement du réacteur ou fuite d’une substance dangereuse

(toxique, inflammable,…).

3- Arbre des événements

L’événement redouté central peut se décliner en Événements Redoutés Secondaires (ERS)en fonction des caractéristiques de l’équipement et de la substance. Par exemple, pour unefuite de produit toxique, il s’agit de déterminer si cette dernière va conduire à la formationd’un nuage ou d’une flaque. Dans le cas d’un départ d’incendie dans un entrepôt, il s’agitde déterminer si l’incendie peut se généraliser ou non à la totalité de l’entrepôt.

Un événement redouté secondaire peut à son tour conduire ou non, en fonction desbarrières de protection mises en place, à un ou plusieurs Phénomènes Dangereux (Ph. D).Un Phénomène Dangereux désigne un phénomène physique susceptible d’entraîner uneatteinte significative, immédiate ou différé, pour l’homme, l’environnement ou lesstructures.

L’estimation des conséquences est effectuée à partir de la définition des PhénomènesDangereux et l’événement majeur, noté EM sur la Figure 2, sera défini par l’exposition despersonnes, de l’environnement ou des structures aux effets du phénomène dangereux.

Nota : Si l’événement considéré est l’événement majeur EM, alors toutes les barrièresdeviennent des barrières de prévention (de cet événement majeur).

Afin d’illustrer cette démarche, prenons l’exemple d’un réservoir de stockage de gazinflammable liquéfié (GIL) à la température ambiante, sous sa pression de vapeur saturante.Il est alors possible de définir :

• L’événement redouté central ERC, tel qu’une fuite de GIL ;• Les événements indésirables EI, qui aboutissent à l’événement redouté central

peuvent être : une agression mécanique (collision par un véhicule, projectileindustriel par effet domino), la rupture d’un piquage instrument par fatigue oucorrosion… ;

• Les événements majeurs EM consécutifs à l’enchaînement d’événements redoutéssuccédant à l’événement redouté central sont constitués par exemple, d’une onde depression susceptible d’affecter des personnes en cas d’une inflammation retardée dunuage de GIL, ou un feu torche générant des effets thermiques en cas d’inflammationrapide, ou bien encore un BLEVE générant des effets thermiques, des effets depression et des effets missiles.

Page 15: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

13/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

4- Barrières de défense ou de sécuritéLe schéma permet d’introduire la notion de barrières de défense ou de sécurité. Une barrière de sécurité est constituée d’un équipement de sécurité ou d’une opérationréalisée par un opérateur qui s’oppose à l’enchaînement d’événements susceptiblesd’aboutir à l’accident.

Les barrières de prévention agissent en vue de prévenir ou limiter l’occurrence del’événement redouté, et les barrières de protection visent à diminuer les conséquences del’événement redouté central par atténuation ou intervention.

2.1.3.2 NOTION D’ACCIDENT MAJEUR

Dans le contexte de la réglementation des Installations Classées pour la Protection del’Environnement, il peut être rappelé que l’accident majeur est un enchaînementd’événements qui aboutit à des conséquences qui portent gravement atteinte aux intérêtsvisés à l'article 1er de la loi du 19 juillet 1976.

L’arrêté du 10 mai 2000 définit l’accident majeur. Cette définition, rappelée ci-dessous, estidentique à celle mentionnée dans la directive 96/82/CE.

Accident majeur : un événement tel qu'une émission, un incendie ou une explosiond'importance majeure résultant de développements incontrôlés survenus au cours del'exploitation d'un établissement couvert par la directive, entraînant pour la santé humaine,à l'intérieur ou à l'extérieur de l'établissement, et/ou pour l'environnement un dangergrave, immédiat ou différé, et faisant intervenir une ou plusieurs substances dangereuses.

2.1.3.3 SCENARIO D’ACCIDENT MAJEUR

En définitive, dans le présent document, le scénario d’accident majeur est défini commel’enchaînement d’événements indésirables, aboutissant à un événement redouté centralconduisant à un accident majeur. On pourra par exemple se référer à la notion d’effets irréversibles pour la santé.

2.2 DEFINITIONS RELATIVES AUX ELEMENTS IPS

Les différentes notions définies dans les précédents paragraphes permettent d’avancer unedéfinition des éléments IPS et de préciser la signification des termes qui s’y rattachent.

Pour être qualifié d’important pour la sécurité (IPS), un élément (opération ouéquipement) doit être choisi parmi les barrières de défense destinées à prévenirl’occurrence ou à limiter les conséquences d’un événement redouté central susceptible deconduire à un accident majeur.

Page 16: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

14/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

3 PRINCIPES DIRECTEURS POUR LA SELECTION DESELEMENTS IPS

L’objet de ce chapitre est de présenter les principes avancés par le groupe de travailconstitué d’exploitants, d’inspecteurs des Installations Classées pour la Protection del’Environnement et l’INERIS pour l’identification des éléments IPS.

Le chapitre 4 suivant, consacré à la présentation de la démarche adoptée par l’INERIS pourl’identification des éléments IPS, reprendra de fait et détaillera les éléments décrits dans lesparagraphes à venir.

3.1 IMPORTANCE DE L’ETUDE DE DANGERS

Les éléments qualifiés d’IPS sont déterminés par l’exploitant dans le cadre de l’analyse desrisques, menée généralement dans l’étude de dangers établie sous sa responsabilité.

Dans l’étude de dangers, sont ainsi identifiés de manière synthétique les éléments IPSassociés aux événements redoutés centraux susceptibles d’aboutir à des accidents majeurs.

Les principes des actions à mener pour s’assurer que les éléments IPS permettront aumieux de remplir les fonctions importantes pour la sécurité sont également donnés dansl’étude de dangers. Les actions à mener sont définies en termes de test, de maintenance, de formation, etc. Ces actions entrent, le cas échéant, dans le Système de Gestion de la Sécurité (SGS), ouplus précisément dans des procédures gérées par ce SGS.

Page 17: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

15/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

3.2 PROCESSUS DE DETERMINATION DES ELEMENTS IPS

En complément des considérations développées ci-avant, un processus de détermination desIPS, issu des réflexions du groupe de travail, est proposé dans la Figure 3.

Figure 3 : Processus de détermination des EIPS

Ainsi, l’analyse de risques, développée dans l’étude de dangers se trouve à la base de ladétermination des éléments IPS. Elle permet en effet d’identifier des scénarios d’accidentmajeurs auxquels ces éléments sont associés.

Les différentes étapes de ce processus ont été discutées par le groupe de travail du SPPPIPACA. Les résultats de cette approche consensuelle sont livrés dans les paragraphessuivants.

Scénarios AccidentMajeur

Etude des dangersAnalyse des Risques

Maîtrise des Risques :Eléments IPS

AttendusEfficacité &disponibilité

Actions à menerDesign, Formation,

Tests, Maintenance...

Page 18: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

16/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

3.2.1 IMPORTANCE DE L’ANALYSE DES RISQUES

Il y a eu un accord général sur le fait que c'est l'analyse des risques, partie de l'étude desdangers qui permet d'identifier les scénarios d’accident majeur auxquels sont associés deséléments IPS.

Afin de choisir les éléments IPS, il convient, au cours de l’analyse de risques, de tenircompte entre autres :

• des conditions particulières d'exploitation : phase normale ou transitoire (arrêt,démarrage),

• de l’environnement immédiat de l'installation considéré (possibilité d’effetsdominos…),

• de l’environnement général du site (cibles potentielles d’un accident majeur, agressionsexternes…).

3.2.2 FONCTIONS IPS

Au regard des scénarios d’accidents majeurs identifiés pour chaque équipement de process,les fonctions IPS ont pour objectif de prévenir et contrôler les dérives ou défaillancessusceptibles de conduire à un accident majeur. Elles se traduisent généralement en terme d’actions à conduire. A titre d’exemple, unefonction IPS peut consister à prévenir la montée en pression au sein d’un réservoir.

3.2.3 DESIGNATION DES ELEMENTS IPS

Pour chaque type de dérive ou défaillance pouvant conduire à un événement majeur, leséléments de sécurité sont choisis, dans le cadre de l’étude de dangers, sous la responsabilitéde l'exploitant.

Parmi l’ensemble des barrières ainsi identifiées, certaines sont qualifiées d'IPS lorsqu’ellescontribuent de manière prépondérante à assurer la fonction de sécurité qui s’oppose à unévénement majeur.

Il n’y a pas forcément unicité de l’élément IPS pour un scénario d’accident majeur donné.En d’autres termes, plusieurs éléments IPS peuvent contribuer à la maîtrise des risques pourun même scénario d’accident majeur. Ainsi, les choix des exploitants peuvent êtredifférents pour une même installation selon le contexte d’exploitation.

3.2.4 ROLE DES ELEMENTS IPS : PREVENTION, PROTECTION, INTERVENTION

Les éléments IPS qui sont déterminés dans le cadre d'une analyse des risques d'origineinterne, agissent principalement en prévention, contribuant à éviter l’occurrence del’événement redouté et parfois en protection en vue de limiter les conséquences del’événement redouté. La prévention peut prendre la forme de suivi de paramètres qui, en cas de dérive, pourraientaboutir à la perte du contrôle de l’installation et, in fine, à l’accident majeur.

Page 19: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

17/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

L’analyse des risques d’origine externe vise généralement à étudier les causes et lesconséquences des agressions externes sur les équipements (chocs, flux thermiques, ondesde pression…). Elle permet également de déterminer des éléments de prévention et deprotection IPS ; elle est notamment pertinente pour la détermination des élémentsd'intervention qui peuvent être qualifiés aussi d'IPS par l'exploitant. L’intervention consiste à limiter les conséquences de l’événement redouté par actionhumaine ou par la mise en œuvre de moyens d’intervention qui visent à soustraire les ciblesaux effets d’un accident.

3.3 ATTENDUS DES ELEMENTS IPS ET ACTIONS A MENER

Il est important de ne pas confondre la détermination des éléments IPS (EIPS) avec lesattendus de ces éléments IPS. Au regard de l'analyse des risques, l'exploitant définit les attendus des EIPS et les actionsà mener pour garantir leur bon fonctionnement en accord avec les attendus. Ladétermination des attendus des EIPS permet ensuite de définir des caractéristiques quedevront remplir les éléments IPS.

La détermination des attendus des EIPS passe au préalable par la définition d’objectifs desécurité à réaliser compte tenu du contexte propre à chaque établissement. Ces objectifssont généralement mis en lumière au moment de l’analyse de risques et de l’évaluation desconséquences des scénarios d’accident associés aux installations de l’établissement. Ilsprennent ainsi en compte à la fois la dangerosité des installations mais également lavulnérabilité de son environnement. En définitive, la détermination d’objectifs de sécurité permet d’identifier les attendus desEIPS et les actions à mener, en adéquation avec le niveau de sécurité global requis pourl’établissement.

3.3.1 ELEMENTS DE DEFINITION

Le présent paragraphe a pour objet de donner des éléments de définitions utiles quant à laprécision des attendus des éléments IPS.

En général, les critères d’appréciation des éléments de sécurité peuvent se mesurer entermes d’efficacité et de disponibilité, deux caractéristiques prépondérantes etindissociables.

Ces caractéristiques regroupent notamment les notions de : fiabilité, de rapidité deréponse…

Page 20: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

18/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

3.3.1.1 EFFICACITE

L’efficacité peut être définie comme la capacité d’un élément à réaliser correctement latâche ou la fonction pour laquelle il a été choisi, lorsque les conditions de fonctionnementsont nominales.

Il a été souligné que l’efficacité devrait être abordée avant la fiabilité.

Pour atteindre l’efficacité requise, des éléments IPS peuvent être combinés entre eux(redondance) ou non : il n’y a pas de démarche systématique.

3.3.1.2 FIABILITE ET DISPONIBILITE

La fiabilité correspond à l’aptitude d'une entité à accomplir une fonction requise, dans desconditions données, pendant un intervalle de temps donné.

La disponibilité, quant à elle, peut être définie comme l’aptitude d'une entité à être en étatd'accomplir une fonction requise dans des conditions données à un instant donné, oupendant un intervalle de temps donné, en supposant que les moyens nécessaires sontfournis.

Ces deux définitions sont extraites de la norme CEI 61069 relative à l’évaluation de lasûreté de fonctionnement d’un système. Quelques éléments de définitions complémentaires,également issus de cette norme sont donnés en annexe 2 du présent document.

La disponibilité et la fiabilité sur les équipements sont souvent difficiles à quantifier sur labase de données chiffrées.

Afin de préciser ces deux notions, les représentants de l’industrie indiquent que la notiond’efficacité et de fiabilité est appréciée à travers les éléments présentés dans le documentUIC DT 65, notamment :• Principe de concept éprouvé,• Principe de sécurité positive,• Principe de tolérance à la première défaillance,• Principe de résistance aux contraintes spécifiques,• Principe de testabilité,• Principe d’inspection – Maintenance spécifique.

3.3.1.3 BARRIERES PASSIVES ET ACTIVES

Par ailleurs, la notion de barrières passives ou actives est assez souvent utilisée, lorsqu’ils’agit de maîtrise des risques. Pour préciser ces termes, les définitions suivantes sontproposées :• Une barrière est active si elle nécessite une source d’énergie ou une sollicitation (action

automatique ou manuelle) pour remplir sa fonction.• Une barrière est passive si elle n’a pas besoin de source d’énergie ou de sollicitation

pour remplir sa fonction.

Page 21: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

19/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

En général, une barrière passive est un élément de sécurité dont la disponibilité est,intuitivement, proche de la valeur 1. Néanmoins, il convient de préciser qu’une barrièrepassive peut également être indisponible ou défaillante. Deux exemples permettentd’illustrer cette remarque :

• Une cuvette de rétention, barrière passive, ne remplira correctement sa fonctionque si elle a été correctement conçue et si son étanchéité est maintenue dans letemps.

• Un disque de rupture sur un réacteur, barrière passive, ne remplira correctementsa fonction que si l’exploitant s’assure qu’il n’y a pas de dépôts ou de bouchagequi risqueraient de modifier les conditions d’ouverture (augmentation de lapression d’ouverture).

3.3.2 ATTENDUS DES ELEMENTS IPS

3.3.2.1 ATTENDUS DES EQUIPEMENTS IPS

L’efficacité doit être examinée prioritairement à toute autre considération dans la mesureoù il convient de retenir les équipements dont la performance permet d’assurer au mieux lafonction importante pour la sécurité.

Pour les équipements ou dispositifs sélectionnés en tant qu’Importants Pour la Sécurité surla base de leur efficacité, le critère de disponibilité apparaît ensuite comme fondamental.

Partant de ce principe, la fonction de sécurité du système devant rester disponible en cas dedéfaillance unique d’un des éléments assurant la fonction, le principe de sécurité positiveou la redondance peuvent être des moyens de garantir la fonction de sécurité. Le principe de sécurité positive permet en effet de garantir la fonction de sécurité en cas demanque en alimentation ou utilités (électricité, air comprimé…) de l’équipement considéré.Cet état est représentatif d’un arrêt de production ou d’opérations, qui, le plus souvent,correspond à la mise en sécurité des installations.

Il semble souvent difficile de déterminer des critères génériques d’efficacité et dedisponibilité de manière systématique.Pour contourner cette difficulté, il peut être envisagé de se référer à la notion de conceptéprouvé qui renvoie au retour d’expérience acquis dans l’industrie pour des dispositifsemployés avec des produits donnés, dans un environnement donné. Si cette option est retenue, le principe de concept éprouvé devra néanmoins, dans chaquedétermination d’éléments IPS, être argumenté à partir du retour d’expérience, de donnéesde fiabilité ou de références à des standards.

Page 22: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

20/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Sur la base de l’annexe du document UIC DT 65 mentionné, d’autres critères permettant decaractériser les attendus des éléments IPS ont été évoqués dans le groupe de travail demanière non exhaustive. Sont livrés ci-après les commentaires recueillis :

• TestabilitéEn ce qui concerne la testabilité, il convient de privilégier le test de la chaînecomplète des équipements de sécurité (détecteur, transmetteur, automate,actionneur..) et de préférence in situ. Si des équipements ne sont pas testables, ilconvient alors de rassembler des informations provenant des constructeurs pourévaluer leur fiabilité.

• Maintenance – disponibilitéSi des éléments IPS sont en maintenance ou non disponibles, l’exploitant doit avoirprévu le mode de fonctionnement dégradé. Il peut soit, préciser quels sont leséléments qui se substituent aux éléments IPS prévus initialement (autres équipementsou tâches particulières), ou bien il peut définir un mode de fonctionnement de replisûr.

Dans le cadre d’une installation nouvelle, il convient de prendre en compte dès laconception l’efficacité et la fiabilité des éléments IPS, ainsi que les actions à mener.

3.3.2.2 ATTENDUS DES OPERATIONS IPS

De la même manière que pour les équipements IPS, les attendus d’opérations IPS devraientêtre spécifiés, en utilisant les notions d’efficacité et de disponibilité.

Ce point n’a pas été traité en détail dans ce groupe de travail. Des réflexions sontactuellement en cours pour déterminer les attendus des opérations qualifiées d’IPS.

3.3.3 GESTION DES IPS

Les attendus relatifs aux éléments IPS sont généralement traduits en terme decaractéristiques de conception, d’exploitation, de maintenance, de contrôle… quiconstituent des actions à mener par l’exploitant. L'objectif final est d'assurer un niveaud’efficacité et de fiabilité des éléments IPS proportionné au risque d’accident majeur.

Certains éléments IPS font l'objet d'un suivi particulier en application de règlementsspécifiques. L'exploitant pourra, s’il le juge nécessaire au regard de l'analyse des risques,engager des actions plus drastiques que celles exigées par l'application de la réglementationau sens strict, selon des exigences (spécifications) qui lui sont propres.

Généralement, pour les équipements, les actions à mener peuvent se décliner en :

1. Définition d'exigences, sur les caractéristiques intrinsèques des éléments,2. Plan de maintenance,3. Plan de contrôle et de tests périodiques.

Page 23: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

21/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Le parallèle peut être fait sur les opérations importantes pour la sécurité :1. Définition d'exigences, sur les tâches à réaliser : aptitudes et compétences,2. Définition des rôles et des attributions,3. Modes opératoires,4. Plan de formation, exercices.

Les actions à mener sont résumées dans l’étude de dangers et le cas échéant définies dans lecadre du Système de Gestion de la Sécurité ou tout autre politique de prévention desaccidents majeurs.

3.3.4 LIENS ENTRE IPS ET SGS

Il existe une articulation entre, d’une part, l’identification et les actions sur les élémentsIPS, et d’autre part, le Système de Gestion de la Sécurité (SGS).

D’emblée, le groupe de travail du SPPPI a considéré que le SGS doit comporter, enparticulier, une identification formelle des éléments importants pour la sécurité et unedescription formelle de ce qui est mis en œuvre pour son application.

Le traitement des éléments IPS devrait être décliné dans le SGS au niveau du chapitreMaîtrise des procédés, maîtrise de l’exploitation de l’annexe III à l’arrêté du 10 mai.

La procédure de gestion des modifications du SGS doit prendre en compte la notion d’IPS.Plus précisément, une modification sur les installations ou sur l’organisation des opérationsmenées dans une installation peut conduire à la mise à jour de la liste des éléments IPS.

Enfin, le SGS doit permettre de vérifier que les éléments IPS choisis répondent auxattendus.

Aussi, une fois les éléments IPS déterminés, si un système de gestion de la sécurité existe etfonctionne correctement (selon des critères d’évaluation à définir), alors il pourrait êtretenu compte dans le choix de scénarios d’évaluation du risque résiduel des mesures deprévention organisationnelles et techniques spécifiques prises par un industriel.

Ce processus est représenté dans la Figure 4 suivante.

Page 24: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

22/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Description

fonctionnelle

Tâches organisationnelles

ORGANISATION

Identification

des risques

d’ accidents

majeurs

Détermination

des fonctions

IPS

Combinaison d’ Éléments IPS

Attendusefficacité & disponibilité

Scénario

d’ Évaluation

des risques

résiduels

Processus d’ Évaluation des Risques Résiduels

Équipement

Attendusefficacité &

disponibilité

Opération

Attendusefficacité &

disponibilité

Figure 4 : Processus d’évaluation des risques résiduels

En résumé, l’analyse de risques permet d’identifier des scénarios d’accident majeurauxquels sont associés certaines barrières de sécurité, pouvant être qualifiées d’IPS. Cesbarrières, pouvant être des équipements ou des opérations devront assurer les fonctions desécurité retenues avec une certaine efficacité et disponibilité. La garantie et la qualité de cesattendus font l’objet de tâches organisationnelles au sein de l’établissement et le caséchéant sont décrites dans un Système de Gestion de la Sécurité. En définitive, si l’ensemble de cette chaîne est évalué avec succès, il est raisonnable deprocéder à l’évaluation des conséquences de scénarios d’accident prenant en compte lebénéfice apporté notamment par les éléments Importants Pour la Sécurité (scénariosd’évaluation des risques résiduels).

Page 25: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

23/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

4 DEMARCHE ADOPTEE PAR L’INERIS POUR LADETERMINATION DES ELEMENTS IPS

Les précédents chapitres ont présenté les réflexions menées par le groupe de travail duSPPPI PACA auxquelles l’INERIS, qui a participé à ces travaux, souscrit naturellement.

L’objet du présent chapitre est de présenter la démarche adoptée par l’INERIS pour ladétermination d’éléments Importants Pour la Sécurité dans le cadre d’études de dangers oud’analyses critiques d’études de dangers. Cette démarche rentre de fait en adéquation avecles principes directeurs présentés ci-avant.

4.1 DETERMINATION DES ELEMENTS IPS DANS L’ETUDE DE DANGERS

4.1.1 RAPPELS

Dans le cas d’installations soumises à autorisation, l’exploitant doit apporter ladémonstration, dans l’étude de dangers qui est réalisée sous sa responsabilité, qu’il aidentifié les risques générés par ses activités et qu’il les maîtrise compte tenu notamment deson environnement.

Cette maîtrise des risques passe entre autres par l’identification de barrières de sécuritésusceptibles de prévenir l’occurrence d’un événement redouté ou de limiter lesconséquences d’un accident majeur. Parmi ces barrières, l’exploitant doit ainsi retenir un certain nombre d’éléments, que ce soitdes équipements ou des opérations, qu’il choisit de qualifier d’Importants Pour la Sécurité(IPS).

Dès lors, il est clair que la sélection d’éléments IPS ne revêt pas un caractère systématique.En d’autres termes, il n’est pas exclu que pour deux installations similaires, les listesd’éléments IPS soient différentes. En effet, le choix de retenir un élément comme ImportantPour la Sécurité pourra dépendre par exemple de l’environnement du site et de la stratégieprônée en matière de sécurité par l’exploitant.

Néanmoins, il convient de rappeler que les éléments IPS doivent être associés à desscénarios d’accident majeur, identifiés au cours de l’analyse de risques développée dansl’étude de dangers.

De plus, il est clair que les mesures prises pour garantir le bon fonctionnement (efficacité)des éléments identifiés IPS doivent pouvoir être vérifiées par l’administration, notammentlors des inspections. C’est pourquoi, l’identification des éléments IPS doit être formaliséedans l’étude de dangers. Enfin, il revient à l’exploitant de définir les attendus de seséléments IPS en terme d’efficacité et de disponibilité, dans la mesure où il connaît le mieuxses installations.

Page 26: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

24/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

4.1.2 DEMARCHE ADOPTEE PAR L’INERIS

La démarche adoptée par l’INERIS afin de déterminer les éléments IPS est présentée demanière schématique dans la Figure 5. Cette démarche apparaît comme cohérente avec lesprincipes énoncés par le groupe de travail du SPPPI de la région PACA.

Figure 5 : L’identification des fonctions et des éléments IPS dans les études de dangers

En résumé, la détermination des éléments IPS se fonde avant tout sur l’analyse de risquesqui permet, en outre, de distinguer les scénarios d’accident majeur. Pour chacun de ces scénarios, il convient ensuite d’identifier des fonctions de sécuritéà assurer en vue de prévenir l’occurrence d’un accident majeur ou d’en limiter sesconséquences. Parmi les barrières de sécurité susceptibles de remplir ses fonctions, l’exploitant peutretenir certains éléments qui seront qualifiés d’IPS, en fonction par exemple des contraintesliées à l’environnement du site et à sa stratégie de réduction du risque.

Ces différentes étapes sont détaillées dans les paragraphes suivants.

Identification desdangers & Analyse des

Risques

Liste des événementsredoutés

Hiérarchisation selonGravité / Fréquence

Identificationdes Scénarios

d’Accident MajeurIdentification des

Fonctions IPS

Choix des Elements IPS

Analyse d’accidentsRisques origine interneRisques origine externe

Approche nœud papillon

Hiérarchisation selon lagravité

PréventionProtection

EquipementsOpérations

Page 27: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

25/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

4.1.2.1 IDENTIFICATION DES DANGERS

L’objet de ce document n’est pas de détailler le processus global d’analyse de risquesdevant être développé dans une étude de dangers. Pour plus de précision, le lecteur pourrase reporter au document « Outils systématiques d’analyse de risques » édité par l’INERIS(référence). Néanmoins, pour plus de clarté, le parti a été pris de rappeler, dans les grandes lignes, lesprincipaux concepts de l’analyse de risques.

L’analyse de risques, développée dans l’étude de dangers, permet d’une part d’identifier lesdangers associés à l’installation étudiée et d’autre part de recenser les barrières de sécuritéexistantes ou pouvant être envisagées relativement à ces dangers. Elle s’appuie principalement sur :

• l’analyse des accidents passés sur l’installation objet de l’étude ou sur des installationssimilaires,

• l’étude des agressions externes susceptibles de porter atteinte à l’intégrité desinstallations considérées. Ces agressions externes peuvent être d’origine naturelle :séisme, foudre, inondations, intempéries…Elles peuvent également être liées à l’activitéhumaine : présence d’autres installations industrielles à risque dans l’environnement dusite, voies de communication à proximité (voies ferrées, couloir aérien…)

• l’analyse des défaillances d’origine interne. Pour ce faire, l’utilisation d’outilssystématiques d’analyses de risques, tels que l’HAZOP, l’AMDEC ou l’AnalysePréliminaire de Risque (APR) peut être préconisée.

De plus, l’analyse de risques doit envisager les différentes phases d’exploitation (normale,arrêt, démarrage) et mettre en lumière, le cas échéant, les plages de fonctionnementnormales de l’installation ainsi que les plages d’alerte et de danger.

En définitive, cette phase permet de lister, pour chaque équipement de process, lesévènements redoutés ainsi que les causes, les conséquences et les barrières de sécurité quileur sont associés.

L’approche « nœud papillon », présentée au chapitre 2 de ce document permet, le caséchéant, de synthétiser les informations issues de cette analyse et de positionner lesbarrières de sécurité identifiées par rapport à l’enchaînement d’évènements pouvantconduire à un accident.

4.1.2.2 HIERARCHISATION DES EVENEMENTS REDOUTES

En pratique, les évènements redoutés ainsi identifiés au cours de l’analyse de risquesreprésentent un volume d’informations conséquent et souvent non homogène. Il apparaîtdonc indispensable de hiérarchiser ces évènements en vue de porter les efforts en prioritésur les risques jugés les plus importants.

Cette hiérarchisation peut s’effectuer, au cours du processus d’identification des dangers,en attribuant une note à chaque événement en fonction de sa probabilité d’occurrence et desa gravité (ou sévérité). Cette cotation est effectuée par l’exploitant, dans la mesure où cedernier connaît le mieux ses installations.

Page 28: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

26/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

A titre d’illustration, un exemple de cotation en gravité est présenté ci-dessous

Tableau 1 : Exemple de cotation en gravité

4.1.2.3 SELECTION DES SCENARIOS D’ACCIDENT MAJEUR

La phase d’identification et de hiérarchisation des évènements redoutés permet de mettre enlumière les enchaînements d’évènements susceptibles de conduire à un accident majeur,soit à un accident entraînant des effets graves, immédiats ou différés pour la santé del’homme ou pour l’environnement au-delà des limites du site.

Les scénarios d’accident majeur concernent ainsi généralement les évènements dont lagravité (relativement à l’environnement) a été jugée la plus élevée dans l’analyse de risque.

Vis-à-vis de ces scénarios d’accident, l’analyse de risque a également permis d’identifierles barrières de sécurité susceptibles de prévenir l’occurrence de l’accident majeur ou d’enlimiter ses effets.

4.1.2.4 DEFINITION DES FONCTIONS IMPORTANTES POUR LA SECURITE

Une fonction Importante pour la Sécurité traduit une action à réaliser pour maîtriser aumieux le risque d’accident majeur.

Elle peut se décliner selon qu’elle vise à :

• Prévenir l’occurrence d’un événement redouté (prévention),• Limiter les conséquences d’un événement redouté (protection),• Eventuellement, contrôler une situation dégradée (intervention).

Ainsi, pour chacun des scénarios d’accident majeur identifié, il convient de définir lesfonctions IPS à assurer.

A titre d’exemple, dans le cas du dépotage d’un camion citerne de liquide inflammable, unefonction de sécurité à envisager pourrait être : « Prévenir la déconnexion en cours dedépotage ».

Page 29: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

27/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Ces fonctions sont liées aux procédés et opérations mis en œuvre, et dépendent donc del’installation et de son exploitation.Il convient de noter que plusieurs fonctions peuvent se rapporter à un même événementredouté, en particulier si cet événement est consécutif à la combinaison de plusieursévénements indésirables.Il n’y a donc pas unicité des fonctions de sécurité pour un événement redouté donné.

Au contraire, il est judicieux, dans la mesure du possible, d’identifier, pour un mêmescénario d’accident majeur, des fonctions IPS de prévention et de protection. En effet, l’analyse de risques ne permettant pas d’assurer l’exhaustivité des évènementsredoutés envisagés, il est important de disposer de moyens de protection susceptibles delimiter les conséquences d’un accident quelle qu’en soit la cause. Par ailleurs, il semble naturel, du point de vue de la maîtrise des risques, de s’attacher àprévenir un accident majeur.

4.1.2.5 SELECTION DES ELEMENTS IPS

Pour chacune des fonctions de sécurité identifiées, il s’agit alors de dresser la liste desbarrières de sécurité pouvant remplir a priori la fonction considérée. Ces barrières peuvent être des équipements ou des opérations à réaliser. Elles auront étélistées ou seront éventuellement proposées lors de la phase d’analyse de risques.

L’exploitant a alors la responsabilité de retenir, parmi ces barrières, les éléments qui serontqualifiés d’Importants Pour la Sécurité.

Comme précisé au paragraphe 4.1.1, il n’existe pas à ce niveau de démarche systématiquepour le choix des éléments IPS. En effet, ce choix dépend notamment des contraintes liées àl’environnement du site et à la stratégie prônée par l’exploitant en matière de sécurité.

En définitive, la définition des éléments IPS découle d’un processus issu de l’analysede risques. Elle est donc propre à chaque établissement et ne saurait être menée demanière forfaitaire.

4.1.3 EXEMPLE D’APPLICATION DE LA DEMARCHE

L’objet de ce paragraphe est d’illustrer grâce à un cas pratique la démarche adoptée parl’INERIS pour l’identification d’éléments IPS dans une étude de dangers. Il est entendu quele cas fictif considéré ici n’a d’autres valeurs que celle d’exemple.

Le cas de figure retenu ici concerne un site comportant notamment un réservoir d’essence.

Dans ce cas particulier, il est supposé que l’analyse de risques, menée notamment grâce àune Analyse Préliminaire des Risques au sein d’un groupe de travail, a permis entre autresd’identifier comme événement redouté l’épandage d’essence suite à un surremplissage duréservoir. En outre, cette démarche a mis en lumière les sécurités existantes, présentéesdans le Tableau 2 à suivre.

Page 30: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

28/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

N° Equipementsou opération

Situationde danger

Causes Conséquences

Sécurités existantes Gravité

… … … … … … …

20 Réservoird’essence

Fuited’essence

Surremplissage Feu de nappe

Explosiond’un nuagede vapeurs

Pollution

Prévention :Procédures pour les

opérations de transfert deproduits (dépotage,…)

Jauge permettant unelecture locale du niveau

Mesure du niveaud’exploitation avec alarmesonore et visuelle en salle

de contrôle

Alarme de niveau hautsonore et visuelle en salle

de contrôle

Alarme de niveau très hautavec fermeture asservie des

vannes de sectionnementautomatiques et des vannes

d’entrée des bacs

Protection :Cuvette de rétention

Couronnes d’arrosagemixte (eau, émulseur)

4

… … … … … … …

Tableau 2 : Extrait d’une Analyse Préliminaire des Risques relative à l’exemple fictifd’un réservoir d’essence

L’événement redouté ainsi identifié est côté par le groupe de travail en gravité maximale(4 sur une échelle de 1 à 4 dans l’exemple considéré) compte tenu des conséquencespossibles sur l’intégrité physique des personnes à l’extérieur de l’établissement. Encore unefois, il s’agit d’un exemple fictif ; la cotation en gravité est bien entendu fonctionnotamment de l’environnement du site étudié.

Cet événement conduit donc à considérer un scénario d’accident majeur et de fait il estnécessaire d’y associer des fonctions Importantes Pour la Sécurité à la fois en prévention etprotection.

Par exemple, les fonctions IPS associées à ce scénario pourraient être :• Prévenir l’épandage d’hydrocarbures suite à un surremplissage,• Limiter les conséquences d’un épandage d’hydrocarbures

Page 31: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

29/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Les barrières susceptibles d’assurer ces fonctions ont été mises en lumière ou proposéesnotamment lors de l’analyse préliminaire des risques.

Reste enfin à déterminer, parmi ces barrières, les équipements ou les opérations quipourraient être retenues en tant qu’IPS par l’exploitant.

A titre d’exemple, l’exploitant pourrait retenir, relativement à ce scénario d’accidentmajeur, les éléments IPS présentés dans les tableaux à suivre.

Fonction desécurité IPS

Prévenir l’épandage d’hydrocarbures suite à un surremplissage

Équipement outâche I.P.S.

Procédures pour les opérations de transfert de produit

Alarme de niveau très haut• Alarme sonore en salle d’exploitation• Sur franchissement, fermeture des vannes de sectionnement

automatiques et des vannes d’entrée des bacs

Exemplesd’actions àmener

Maintenance préventive de l’alarme de niveau très haut• Procédure d’entretien et de vérification régulière à formaliser.

Fonction desécurité IPS

Limiter les conséquences d’un épandage d’hydrocarbures

Équipement outâche I.P.S.

Cuvette de rétention

Réseau d’extinction (couronnes d’arrosage mixte)

Exemplesd’actions àmener

Procédure d’entretien de la cuvette et du réseau d’extinction

Il est rappelé que l’exemple traité ci-dessus n’a d’autre but que celui d’illustrer la démarcheprésentée dans les paragraphes précédents. Il est évident que ce cas fictif ne peut êtreconsidéré comme représentatif pour des installations similaires dans la mesure où :

− L’identification des éléments IPS découle d’un processus d’analyse de risquescomplet, propre à chaque installation,

− La détermination des éléments IPS est effectuée sous la responsabilité del’exploitant.

Page 32: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

30/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

4.1.4 ATTENDUS DES IPS

L’exploitant a la responsabilité de retenir les éléments qui seront qualifiés d’IPS, dans lamesure où il connaît le mieux ses installations.

Il définit ses exigences sur ces barrières en terme d’efficacité, de disponibilité ou de sûreté.

Il convient également de proportionner les exigences sur les éléments IPS au danger(conséquences potentielles des scénarios d’accident majeur). A ce titre, il peut êtrepertinent d’évaluer les qualités des barrières de sécurité en utilisant des normes etréférentiels d’évaluation tels que les normes IEC 61508 « Sécurité fonctionnelle dessystèmes de sécurités électriques / électroniques / électroniques programmables »et IEC61511 « Sécurité fonctionnelle : systèmes instrumentés de sécurité pour le secteur desindustries de transformation ».

Si des barrières de sécurité ne permettent pas d’atteindre le niveau d’efficacité ou dedisponibilité ou de sûreté requis pour assurer la fonction de sécurité, la redondance deséléments peut être envisagée. Toutefois, cette dernière ne doit pas être exigée de manièresystématique. En effet, du matériel sophistiqué peut avoir de meilleures performances que 2équipements placés en redondance.

Enfin, l’exploitant décrit les actions prévues dans le cadre du Système de Gestion de laSécurité ou de tout autre système d’organisation de la sécurité (pour les établissements nedevant pas réglementairement formaliser un SGS), pour assurer que les exigences enmatière d’éléments IPS soient assurées.

4.2 TIERCE EXPERTISE ET ELEMENTS IPS

Comme rappelé préalablement à de multiples occasions, il revient à l’exploitant de choisirles éléments qu’il qualifie d’Importants Pour la Sécurité. De ce fait, dans une démarche de tierce expertise telle que l’analyse critique d’une étude dedangers, il n’est souvent pas possible de se prononcer directement sur les éléments IPSretenus. Ce choix résulte en effet d’une réflexion propre à l’exploitant, prenant en comptedes contraintes liées à l’environnement, à la stratégie de maîtrise des risques spécifiques ausite.

Aussi, plutôt que d’émettre un avis sur les éléments IPS eux-mêmes, l’INERIS analyse ladémarche qui a conduit à leur identification.

Page 33: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

31/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

Cette analyse consiste alors essentiellement à :

1) Décrire et commenter la définition retenue dans l’étude de dangers quant auxfonctions et éléments IPS. A savoir par exemple : La notion d’élément IPS regroupe-t-elle à la fois deséquipements et des opérations ? Un élément IPS est-il considéré comme une barrièrevis-à-vis d’un accident majeur ?

2) Vérifier la cohérence entre l’analyse de risques menée dans l’étude de dangers et lasélection des éléments IPS et notamment : Les éléments retenus comme IPS sont-ils effectivement des barrières vis-à-vis desscénarios d’accident majeur identifiés dans l’étude de dangers ? Des éléments IPS ont-ils été identifiés pour chacun des scénarios d’accidentsmajeurs considérés ? Pour un même scénario d’accident majeur, des éléments portant sur la prévention etdes éléments portant sur la protection ont-ils été retenus ?

3) S’assurer que l’ensemble des scénarios d’accident majeur envisageables a bien étéidentifié suite à l’analyse de risques dans l’étude de dangers. Si tel n’est pas le cas,il y a lieu de déterminer si de nouvelles fonctions de sécurité doivent êtreenvisagées.

Dans tous les cas, il convient de souligner qu’il revient à l’exploitant et non au tiersexpert de déterminer les éléments qui seront qualifiés d’IPS

Page 34: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

32/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

5 CONCLUSION

L’objectif de l’identification des paramètres et des éléments importants pour la sécurité(IPS) est de déterminer les éléments de sécurité qui ont un rôle prépondérant (surl’ensemble des éléments de sécurité) pour la prévention des accidents majeurs potentielsidentifiés dans le cadre d’une analyse des risques.

Le présent rapport précise les notions de paramètres et d’éléments (IPS) en se basant sur lestravaux d’un groupe de travail mené dans le cadre du SPPPI PACA et sur l’expérience del’INERIS. Ainsi, il convient de retenir que les éléments IPS peuvent être des équipementsou des opérations choisies par l’exploitant parmi l’ensemble des éléments de sécuritéprésents sur le site, en vue de prévenir l’occurrence ou de limiter les conséquences d’unaccident majeur.

L’INERIS propose un processus de détermination des éléments IPS en liaison directe avecl’analyse des risques. Cette dernière permet en effet d’identifier les scénarios d’accidentmajeur à considérer dans le cadre par exemple d’une étude de dangers et de lister lesbarrières de sécurités existantes ou à envisager. Vis-à-vis de ces scénarios d’accidentmajeur, il convient alors d’identifier des fonctions de sécurité permettant de maîtriser lesrisques. Les éléments IPS seront alors retenus par l’exploitant parmi les barrièressusceptibles de remplir ces fonctions. Dans la mesure du possible, il est préférable, pourchacun des scénarios envisagés, de considérer des éléments portant sur la prévention et laprotection. Enfin, la détermination des éléments IPS découle d’un processus d’analysepropre à chaque établissement et ne peut être effectuée de manière générique.

Ce document présente également le lien entre les barrières de sécurité IPS et le système degestion de la sécurité, lien qui peut être vérifié par l’administration, notamment lors desinspections.

Ce travail demeure une contribution à une problématique complexe. Il est souhaitable queles enseignements tirés des applications de cette réflexion contribuent à préciser ladémarche.

Il convient d’être vigilant sur le fait que cette approche ne se limite pas à un exerciceréglementaire mais participe à une meilleure gestion des risques par les industriels et unmeilleur contrôle par l’inspection des installations classées.

Page 35: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

33/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

6 GLOSSAIRE

AMDEC : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité

APR : Analyse Préliminaire des Risques

ARIA : Analyse, Recherche et Information sur les Accidents

BARPI : Bureau d’Analyse des Risques et Pollutions Industrielles

BLEVE : Boiling Liquid Expanding Vapour Explosion

EI : Evènement Initiateur

EM : Evènement Majeur

ER : Evènement Redouté

ERC : Evènement Redouté Central

ERS : Evènement Redouté Secondaire

EIn : Evènement Initiateur

GIL : Gaz Inflammable Liquéfié

GNL : Gaz Naturel Liquéfié

GPL : Gaz de Pétrole Liquéfié

HAZOP : HAZard OPerability

IPS : Important pour la Sécurité

MATE : Ministère de l’Aménagement du Territoire et de l’Environnement

NIST : National Institute of Standards and Technology

PACA:Provence Alpes Côte d’Azur

RIA : Robinet d’Incendie Armé

SGS : Système de Gestion de la Sécurité

SPPPI : Secrétariat Permanent de Prévention des Pollutions Industrielles

TNO : The Netherlands Organization of Applied Scientific Research

UIC: Union des Industries Chimiques

Page 36: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

34/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

7 BIBLIOGRAPHIE

1- Guide méthodologique : Etude des dangers d’une installation industrielle, duMinistère de l’Environnement (DPPR)

2- Eléments « Importants pour la Sécurité » (IPS) – Définitions – Exemples, DocumentTechnique DT 65 (1999) Union des Industries Chimiques (UIC)

3- Les Risques – Synthèse des travaux du groupe de travail IPS, SPPPI, Décembre2000

4- Sûreté fonctionnelle des systèmes dédiés à la sécurité, E. FAE, J-L DURKA,INERIS, 2000

5- Conception et évaluation de la sécurité fonctionnelle des systèmes instrumentés deprocess industriels, E. FAE, J-L DURKA, INERIS, 2000

6- Norme IEC 61508 : Sécurité fonctionnelle des systèmes de sécurités électriques /électroniques / électroniques programmables relatifs à la sécurité

7- Norme IEC 61511 : Sécurité fonctionnelle : systèmes instrumentés de sécurité pourle secteur des industries de transformation

8- Norme CEI 61069 : Evaluation de la sûreté de fonctionnement d'un système

Page 37: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

35/36

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

8 LISTE DES ANNEXES

Repère Désignation précise Nb pages

Annexe 1 Liste des textes traitant de la notion d’IPS 1

Annexe 2 Quelques éléments issus de la norme CEI 61069 Evaluation de la sûreté de fonctionnement d'un système

2

Page 38: Securite Ineris

ELEMENTS IPS – VERSION PROJET INERIS-DRA-2001-25427

Annexe 1 :

Liste des textes traitant de la notion d’IPS

Page 39: Securite Ineris

ELEMENTS IPS INERIS-DRA-2001-25427eipsweb2.doc

Le présent document forme un ensemble indissociable. Il ne peut être utilisé que de manière intégrale.

ANNEXE 1 : LISTE DES TEXTES TRAITANT DE LA NOTION D’IPS

La notion d’équipements et de paramètres IPS est apparue ces 10 dernières années, dansdifférents ouvrages et documents, traitant notamment des démarches de réduction desrisques majeurs.

La liste des textes qui évoquent la notion d’équipements et paramètres IPS est présentée ci-dessous.

[1] 1992 : Document du Ministère de l’Environnement (octobre 1992) :Liste des questions à se poser pour l’évaluation des études d’impact et des études dedangers

[2] 1995 : Guide méthodologique : Etude des dangers d’une installation industrielle, duMinistère de l’Environnement (DPPR)

[3] 1996 : La Directive 96/82/CE du Conseil du 9 décembre 1996 concernant la maîtrisedes dangers liés aux accidents majeurs impliquant des substances dangereuses,notamment son Annexe II

[4] 1996 : Retour d’expériences chimie fine – Recommandations, Elaboré par le Groupe detravail Chimie Fine, Edité par le Ministère de l’Environnement (DPPR-SEI).

[5] 1996 : Le guide d’étude des risques technologiques de l’AFF : Installationsfrigorifiques fonctionnant à l’ammoniac, notamment la Partie 2 Chapitre 8 :Equipements et paramètres importants pour la sécurité

[6] 1997 : L’arrêté du 23 juillet 1997 relatif aux stockages de chlore gazeux liquéfié souspression lorsque la quantité totale susceptible d'être présente dans l'installation estsupérieure ou égale à 18 tonnes (JO du 25 novembre 1997), notamment le Titre VOrganisation de la sécurité, Chapitre 1er Dispositions en matière de sécurité

[7] 1997 : L’arrêté du 16 juillet 1997 relatif aux installations de réfrigération employantl'ammoniac comme fluide frigorigène, notamment le Titre VIII Risques industriels lorsd'un dysfonctionnement de l'installation, article Equipements et paramètres defonctionnement importants pour la sécurité.

[8] 2000 : Arrêté du 10 mai 2000 et circulaire du 10 mai relatif à la prévention desaccidents majeurs impliquant des substances ou des préparations dangereuses présentesdans certaines catégories d’installations classées pour la protection de l’environnementsoumis à autorisation. (Arrêté transposant pour partie la directive 96/82/CEsusmentionnée)

Page 40: Securite Ineris

ELEMENTS IPS INERIS-DRA-2001-25427eipsweb2.doc

Annexe 2 :

Quelques éléments issus de la norme CEI 61069 Evaluation de la sûreté de fonctionnement d'un

système

Page 41: Securite Ineris

ANNEXE 2 : QUELQUES ELEMENTS ISSUS DE LA NORME CEI61069 EVALUATION DE LA SURETE DE FONCTIONNEMENT D'UNSYSTEME

Evaluation d'un système : jugement basé sur des éléments concrets, de la bonne aptitude dusystème à remplir une mission spécifique ou une classe de mission.

Mission d'un système : ensemble de l'activité assignée au système pour atteindre un butdéfini, dans un temps et sous des conditions définis.

Sûreté de fonctionnement : mesure dans laquelle on peut se fier au système pour qu'ilexécute exclusivement et correctement une tâche dans des conditions données, à un instantdonné ou pendant un intervalle de temps donné, en supposant que la fourniture des moyensnécessaires est assurée. La sûreté de fonctionnement comprend :

• l'intégrité : assurance fournie par un système que les tâches seront accompliescorrectement à moins que le système ne prévienne que l'un quelconque de ses étatspourrait conduire à une situation contraire,

• la sûreté : assurance fournie par un système de sa capacité à refuser toute entréeincorrecte ou tout accès non autorisé,

• la fiabilité : aptitude d'une entité à accomplir une fonction requise, dans des conditionsdonnées, pendant un intervalle de temps donné,

• la maintenabilité : dans des conditions données d'utilisation, aptitude d'une entité à êtremaintenue ou rétablie dans un état dans lequel elle peut accomplir une fonction requise,lorsque la maintenance est accomplie dans des conditions données, avec des procédureset des moyens prescrits,

• la disponibilité : aptitude d'une entité à être en état d'accomplir une fonction requisedans des conditions données à un instant donné, ou pendant un intervalle de tempsdonné, en supposant que les moyens nécessaires sont fournis,

• la crédibilité : mesure dans laquelle un système est capable de reconnaître et signalerson état et de résister à des entrées incorrectes ou des accès non autorisés.

Pour qu'un système soit sûr en ce qui concerne son fonctionnement, il est nécessaire qu'ilsoit prêt à accomplir ses fonctions. C'est une question de disponibilité du système quidépend de la fréquence de défaillance du système (fiabilité) et du temps nécessaire àmaintenir ou restaurer le système (maintenabilité). Dans la pratique, la disponibilité dépenddes procédures suivies et des moyens disponibles pour maintenir le système.

Page 42: Securite Ineris

ELEMENTS IPS INERIS-DRA-2001-25427eipsweb2.doc

Toutefois, quand le système est prêt à accomplir ses fonctions, cela ne signifie pas qu'ilsaccomplissent ces fonctions correctement. C'est une question de crédibilité qui dépend de lacapacité du système à émettre une alarme s'il passe dans un état où il n'est plus capabled'accomplir correctement tout ou partie de ses fonctions (intégrité) et de la capacité dusystème à rejeter toute entrée incorrecte ou accès non autorisés (sûreté).

La figure suivante indique les relations entre la sûreté de fonctionnement et sescomposantes.

Fiabilité Maintenabilité

Disponibilité

Intégrité Sûreté

Crédibilité

Sûreté de fonctionnement

Relation et hiérarchie en matière de sûreté de fonctionnement

Par conséquent, la sûreté de fonctionnement ne peut pas être évaluée directement, il estnécessaire d'évaluer individuellement chacune des propriétés composantes.

La sûreté de fonctionnement ne peut être décrite par un seul nombre. Certaines de cescomposantes peuvent être exprimées sous forme de probabilités, d'autres composantes sontdéterministes avec certains aspects qui peuvent être quantifiés, d'autres aspects ne peuventqu'être décrits de manière qualitative.