grif-bool : évaluation des risques à l'aide d'un outil d'analyse

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

GRIF-BOOL : ÉVALUATION DES RISQUES A L’AIDE D’UN OUTIL D’ANALYSE BOOLEENNE MULTI-APPROCHES

GRIF-BOOL: RISK ASSESSMENT WITH AN ANALYSIS TOOL HANDLING MULTIPLE TYPES OF BOOLEAN MODELING

Pierre-Joseph CACHEUX, Nicolas CLAVÉ, Cyrille FOLLEAU, Céline VINUESA Antoine DUTERTRE SATODEV Total S.A. 25 rue Marcel Issartier CSTJF - Avenue Larribau 33700 MÉRIGNAC 64018 Pau Cedex France Tél. : +33 (0)5 35 54 67 14 Tél. : +33 (0)5 33 43 32 72 E-mail : [email protected] E-mail : [email protected] E-mail : [email protected] E-mail : [email protected] E-mail : [email protected]

Résumé L’objet de cette publication est de présenter un outil d’évaluation des risques permettant d’utiliser et combiner plusieurs approches booléennes au sein d’un même modèle. Au-delà de la possibilité d’utiliser conjointement les arbres de défaillances, les blocs diagrammes de fiabilité et les arbres d’événement, ce nouveau module de plate-forme logicielle GRIF (développée par Total S.A.) permet d’effectuer des calculs rigoureux sans introduction d’approximations grâce à son moteur de calcul ALBIZIA basé sur des calculs de type BDD (Binary Decision Diagram). Un cas d’application industrielle sera étudié afin de comparer les méthodes semi-quantitatives utilisées généralement en analyse de risque et les calculs exacts réalisables par GRIF-Bool avec prise en compte des dépendances entre barrières de sécurité successives, moyennes a posteriori, etc.

Summary The purpose of this communication is to present a modeling tool dedicated to risk assessment calculations that allows to combine multiple Boolean approaches within a unique model. In addition to the possibility of using in parallel fault trees, reliability block diagrams and event trees, this new module of GRIF (software developed by Total S.A.) is able to perform rigorous calculations without any approximations with ALBIZIA, a computation engine based on BDD (Binary Decision Diagrams). A business application case will be investigated in order to compare the semi-quantitative methods generally used in risk analyses, and the calculations that can be performed with GRIF-Bool which allows to take into account dependencies between successive safety barriers, assesses averages a posteriori, etc.

1. Introduction

L’outil GRIF (GRaphiques Interactifs pour la Fiabilité) est une plate-forme logicielle développée par Total S.A. depuis le milieu des années 1990. Elle comprend à ce jour dix modules dédiés aux calculs pour la Sûreté de Fonctionnement, chaque module proposant une approche ou technique de modélisation spécifique (arbre de défaillances, arbre d’événements, blocs diagrammes de fiabilité, réseaux de Petri, etc.). L’objectif de cette session interactive est double. Elle vise dans un premier temps à présenter le module Bool de GRIF qui permet d’utiliser et combiner plusieurs approches booléennes au sein d’un même modèle. La seconde partie consiste à mettre en évidence l’intérêt d’un tel outil en analyse de risque notamment lors de l’évaluation de la fréquence des risques majeurs. Afin d’être la plus concrète possible, la démonstration du module sera basée sur un exemple de taille et de complexité suffisantes pour que ce dernier puisse être assimilé à un cas industriel. Par ailleurs, cette session montrera les bénéfices de l’utilisation d’un outil d’analyse multi-approches aussi bien en termes de facilité de mise en œuvre, que de rapidité des calculs et de précision des résultats obtenus.

2. Contexte

L'évaluation des risques regroupe l'ensemble des méthodes relatives au calcul de la criticité (pertinence et gravité) des dangers. Elle consiste à la fois en une étude qualitative et en une quantification de ces dangers. Le processus « classique » d’analyse de risque se décompose en 5 étapes : 1. Identification des dangers (HAZard IDentification : HAZID) ; 2. Développement des scénarios et Analyse Préliminaire de Risque (APR) ; 3. Analyse détaillée des scénarios sélectionnés selon leur impact sur le personnel, l’environnement et les installations ; 4. Évaluation du risque et démonstration ALARP (As Low As Reasonably Practicable) ; 5. Plan d’action relatif à la mise en place des mesures de réduction de risque. Pour les scénarios identifiés comme étant les plus critiques en termes de Gravité lors de l’APR (sévérité « Catastrophique » ou « Désastreuse » pour l’impact sur le personnel, l’environnement ou les installations), il est nécessaire d’effectuer un calcul rigoureux de leur fréquence moyenne d’occurrence noté ici W.

Communication 5E /5 page 1/9


Pour ce faire, le ou les événements initiateurs du danger considéré doivent être rigoureusement identifiés (montée en pression en amont d’une capacité sous pression, apparition d’une fuite majeure de gaz…). Un nœud papillon (ou bow-tie en anglais) doit être ensuite élaboré pour chaque événement initiateur (événement central critique du bow-tie) en décrivant l’impact potentiel des différentes barrières de sécurité susceptibles d’annihiler ou de réduire le risque (détection d’une montée en pression et fermeture de vannes, système de détection feu et déclenchement du système de lutte incendie…). L’évaluation du risque résiduel de chaque branche de l’arbre papillon (appelée séquence accidentelle) s’effectue habituellement en multipliant la fréquence d’occurrence de l’événement initiateur par la disponibilité ou l’indisponibilité moyenne (PFDavg pour moyenne de la Probability of Failure on Demand) de chacune des barrières de sécurité (prévention ou mitigation) prévues. Le risque associé à chaque scénario, alors sous la forme d’un couple « Fréquence d’occurrence (par an ou par heure) - Gravité », est ensuite évalué vis-à-vis de critères d’acceptabilité se présentant typiquement sous la forme d’une Matrice des risques. Sur cette base, il est alors possible de juger si des mesures complémentaires, agissant soit sur l’occurrence, soit sur la sévérité du scénario accidentel, sont nécessaires (étape 5 du processus décrit ci-dessus).

Figure 1. Exemple de matrice des risques

La partie calculatoire de cette approche très simple et très largement utilisée en évaluation des risques comporte toutefois des limites qui peuvent s’avérer être problématiques dans certains cas : - les indisponibilités des barrières de sécurité étant des moyennes, le calcul de W se fait donc par une multiplication de

moyennes pouvant aboutir à une sous-évaluation de fréquence finale, - les dépendances matérielles ou systémiques éventuelles entre barrières (existence d’un ou plusieurs éléments communs

aux différents systèmes étudiés, synchronisation des tests…) sont difficiles à appréhender. Afin de traiter correctement ces deux points, un outil de modélisation permettant de réaliser des calculs globaux (c.à.d. des calculs combinés au sein d’un même modèle du risque initial et de l’indisponibilité des différentes barrières) et exacts (calcul de l’évolution de W en fonction du temps = W(t)) est nécessaire. Une fois W(t) calculée rigoureusement, il est alors possible de réaliser toutes sortes de statistiques à posteriori dont la « vraie » fréquence moyenne d’apparition du scenario : W.

3. Présentation de l’outil GRIF-Bool

3.1 GRIF

L’outil GRIF (GRaphiques Interactifs pour la Fiabilité) est une plate-forme logicielle développée par Total S.A. depuis le début des années 2000. Elle est composée de dix modules dédiés aux calculs pour la Sûreté de Fonctionnement. Ces modules sont répartis en trois packages : le package Simulation incluant les modules Petri (réseaux de Petri), BStok (blocs diagrammes stochastiques) et Petro

(blocs diagramme pour les systèmes Oil & Gas), le package Markovien composé du module Markov (graphes de Markov), le package Booléen qui comprend les modules Tree (arbres de défaillances), BFiab (blocs diagrammes de fiabilité), ETree

(arbres d’événements), SIL (modélisation de boucles instrumentées de sécurité), Reseda (réseaux de fiabilité) et enfin Bool.

3.2 Le module Bool

Le module GRIF-Bool a été développé en 2012. Il permet de faire cohabiter des modélisations par arbres de défaillances, diagrammes de fiabilité, chaines instrumentées de sécurité, arbres d’événements ou réseaux de fiabilité dans un même document. A noter que le fait de pouvoir connecter des modèles permet non seulement d’introduire des niveaux de détails différents, mais également de créer des liens entre les éléments communs aux différents systèmes modélisés. Ainsi, avec le module GRIF-Bool, il est tout à fait possible par exemple de créer un arbre d’événement en introduisant l’indisponibilité des différentes barrières de sécurité successives non pas par une simple loi constante dans laquelle est reportée l’indisponibilité moyenne, mais en construisant de vrais modèles.



La Figure 2 fournit un aperçu de l’interface du module GRIF-Bool :

Figure 2. Aperçu de l’interface du module GRIF-Bool

3.3 Le moteur de calcul ALBIZIA

Tous les calculs (probabilités, fréquences, coupes minimales, facteurs d’importance…) du moteur ALBIZIA disponibles au sein des différents modules du package Booléen sont également disponibles dans GRIF-Bool. Ce module fournit ainsi des résultats exacts grâce aux calculs de type BDD (Binary Decision Diagram). La méthode de BDD possède la particularité de donner des résultats sans aucune approximation et ce quelle que soit la formule booléenne traitée pour les calculs de risque qu’il s’agisse de probabilité (PFDavg) ou bien de fréquence (W(t)). Cette méthode se différentie donc des méthodes approximatives que sont les calculs de probabilités par méthode de Poincaré ou par post-traitement sur un ensemble restreint de coupes minimales. D’autre part, il est à noter que si un modèle combinant différentes approches est réalisé, pour l’évaluation des résultats il ne s’agit pas d’utiliser le résultat intermédiaire issu d’un modèle pour le prendre en compte dans l’autre. ALBIZIA génère l’expression booléenne couvrant l’ensemble des sous-modèles afin de fournir les résultats exacts (W(t)) du modèle combiné.

4. Démonstration sur un cas industriel

4.1 Description du système

Dans l’industrie pétrolière et gazière, les installations de traitement d’hydrocarbures qu’elles soient à terre ou en mer possèdent généralement une unité de séparation dont la fonction est double : 1. Réceptionner le pétrole brut (mélange instable d’huile, d’eau et de gaz) dont il faut absorber les fluctuations en débit et en

pression qui peuvent être fréquentes et significatives. 2. Séparer les gaz et les liquides afin de pouvoir traiter chacun des flux séparément. L’élément principal des unités de séparation est le séparateur. Il s’agit d’une capacité sous pression dans laquelle transite la production. Les liquides sont extraits par gravité via un conduit situé sous le ballon tandis que le gaz est récupéré par un conduit situé sur la partie haute. Plusieurs séparateurs installés en série sont parfois nécessaires : au niveau du premier séparateur, c'est-à-dire celui qui réceptionne la production sous haute pression, sera récupéré le gaz Haute Pression (HP), un second séparateur permettra de récupérer ensuite le gaz Moyenne Pression (MP), etc. Dans notre cas, il est considéré qu’un seul séparateur est nécessaire en opération normale : le séparateur principal. Le scénario à étudier dans le cadre de notre démonstration est un scénario dangereux connu sur ce genre de système. Il peut conduire à une fuite d’hydrocarbures hautement inflammables. En effet, en cas de fermeture/blocage/bouchage de la sortie gaz en aval du séparateur, si la production en amont n’est pas stoppée rapidement, une augmentation de la pression à l’intérieur de celui-ci peut alors survenir et dépasser la pression limite que peut supporter l’unité (= surpression). Dans ce cas, les risques d’apparition de fuites, notamment au niveau des brides, sont alors très élevés et l’accident est quasi-inévitable (ignition de la fuite de gaz conduisant à un feu ou une explosion).



Afin de réduire la probabilité d’occurrence de cet événement redouté, un certain nombre de barrières de sécurité ont été conçues : - une première barrière appelée PSS (pour Process Shutdown System), - une deuxième barrière appelée ESD (pour Emergency ShutDown system), - un Système Instrumenté de Sécurité (SIS). Chacune d’elles a pour fonction de fermer la ou les vannes de sécurité installées sur la conduite en amont du séparateur en cas de forte montée en pression à l’intérieur ou en amont de celui-ci.

Liquides

+ Gaz

Sortie liquides

Sortie gaz

PSV

ESDV SDV PSS

Vanne de

régulation

Séparateur principal

SDV SIS

SOV

SISSOV

ESD

SOV

SIS

SOV

PSS

Automate

PSS

Automate

SIS

Automate

ESD

LT

PT

S1PT

S2

PT

S3

PT

APT

B

1o

o2

2oo3

Figure 3. Cas industriel - Schéma des barrières PSS, ESD, et SIS

La Figure 3 présente l’architecture des trois barrières de sécurité qui protègent le séparateur contre les surpressions éventuelles. Les capteurs de pression n’étant pas réglés sur les mêmes niveaux de seuil, ni installés aux mêmes endroits, les différentes barrières sont sollicitées en séquence, au fur et à mesure de la montée en pression : - La barrière PSS est sollicitée la première : le capteur PT A envoie un signal de niveau « haut » à l’automate PSS qui

l’analyse et envoie à son tour un signal de fermeture vers la vanne de sécurité SDV PSS (SDV pour ShutDown Valve) en inhibant le signal électrique envoyé à la vanne solénoïde (SOV).

- Si la barrière PSS n’a pas fonctionné, les capteurs PT A et PT B envoient alors un signal de niveau « très haut » à l’automate ESD qui le traduit, via une logique 1 sur 2, et qui envoie à son tour un signal de fermeture vers la vanne de sécurité ESDV (pour Emergency ShutDown Valve).

- Si les barrières PSS et ESD n’ont pas réussi à stopper la montée en pression, le SIS est alors sollicité : les capteurs PT S1/S2/S3 envoient un signal de niveau « très très haut » à l’automate SIS qui l’analyse sur la base d’une logique 2 sur 3 et qui envoie à son tour un signal de fermeture à la fois vers les vannes de sécurité SDV SIS et SDV PSS via une vanne solénoïde (SOV) dédiée.

Note1 : Il est supposé que la PSV n’est pas dimensionnée pour absorber l’intégralité du flux. Elle n’est donc pas considérée

comme une barrière effective face à ce scénario. Note2 : La fermeture d’une seule vanne de sécurité suffit à fermer la ligne, stopper la montée en pression et annihiler le danger. Note3 : A noter que la vanne SDV PSS étant commune à la barrière ESD et au SIS et le capteur PT A étant commun aux

barrières PSS et ESD, les différentes barrières ne sont pas indépendantes. 4.2 Paramètres d’entrée

Pour ce qui concerne la fréquence d’apparition de l’événement initiateur « Montée en pression soudaine à l’intérieur du séparateur », les deux scénarios suivants sont à considérer : 1. Ouverture intempestive d’une vanne de régulation en amont du séparateur, 2. Fermeture intempestive d’une vanne en sortie du séparateur. La fréquence moyenne à utiliser pour notre exemple est de :

1.15 10-1 /an

(résultat basé sur des données OREDA) Le Table 1 fournit l’ensemble des paramètres de fiabilité à considérer pour les éléments des différentes barrières de sécurité à modéliser : transmetteurs de pression, vannes de sécurité et automates.



Paramètres

Signification PT (Note a)

Automate ESDV/SDV (Note c)

Sigle Nature ESD/PSS SIS

Défaillance détectée par test

de fermeture partielle

≈ Défaut de SOV

Défaillance détectée par test

de fermeture complète

≈ Défaut du corps de vanne

Taux Taux de défaillance en fonctionnement 1,92 x 10-7 SIL 2

= 5 x 10-3 SIL 3

= 5 x 10-4 2,32 x 10-6 2,83 x 10-6

* Taux Taux de défaillance durant le test 0 (Note d) N.A. N.A. = 0 (Prod. SD)

Taux Taux de réparation/ remplacement (Note b) 0.25 N.A. N.A. Prod. SD Prod. SD

Durée Intervalle entre 2 tests consécutifs (hr) 2 190 N.A. N.A. 2 190 8 760

Durée Date du premier test (hr) 2 190 N.A. N.A. 2 190 8 760

Probabilité Probabilité de défaillance due au test 10-3 N.A. N.A. 10-3 10-3

Durée Durée du test (hr) 0.5 N.A. N.A. 0.5 0 (Prod. SD)

X Booléen Disponibilité durant le test 0 (Note d) N.A. N.A. 0 1

Probabilité Taux de couverture du test 0,99 N.A. N.A. 1 1

Probabilité Probabilité d'oubli de reconfiguration 10-3 N.A. N.A. 10-3 (Note e) 0

N.A. : Non-applicable. Prod. SD : Arrêt de la production. Note a : Les capteurs défaillants ne sont pas réparés mais remplacés. Note b : Il est considéré que les pièces de rechange pour les capteurs sont disponibles. Note c : D’après [8] p.220, le pourcentage de défaillances dangereuses non détectées en fonctionnement pour les vannes

de sécurité (= refus de fermeture à la demande) peut être réparti de la manière suivante : - 45% des défaillances sont détectées par un test de fermeture partielle ; - 55% des défaillances sont détectées par un test de fermeture complète.

Note d : Le capteur est débranché. Note e : Oubli de réinhiber le bypass de la SOV.

Table 1. Cas industriel - Paramètres de fiabilités 4.3 Causes communes de défaillance

Une cause commune de défaillance est le résultat d’un (ou de plusieurs) événement(s), qui, à cause de dépendances, provoque une simultanéité d’états de défaillance des composants d’un système redondant, conduisant à l’indisponibilité du système complet. Il est donc essentiel que les causes communes de défaillance soient correctement modélisées pour chaque groupe de composants en redondance. Le facteur défini dans les diverses normes internationales est le plus souvent utilisé. Il est supposé être une proportion fixe () du taux de défaillances des composants concernés. Il a été considéré ici un facteur int (facteur de défaillance de cause commune associé au système 1oo2) égal à 10% pour les différents groupes de transmetteurs de pression ainsi que pour les vannes de sécurité. A noté que, d’après le tableau D.5 de l’annexe 6 de [4], le facteur à appliquer pour une configuration de type 2oo3 correspond à 1,5 int. 4.4 Résolution par méthode semi-quantitative

Cette approche, très largement utilisée en analyse de risque, consiste à estimer la probabilité d’occurrence d’un scénario accidentel comme le produit de la fréquence d’un événement initiateur et d’un facteur de réduction pour chaque barrière de sécurité s’y appliquant. Cette méthode est généralement retenue pour couvrir une grande majorité des scénarios des études de dangers ou assimilées. Les calculs de fiabilité rigoureux sont alors réservés aux scénarios les plus critiques ou faisant intervenir des barrières de sécurité à l’architecture complexe ou présentant de fortes dépendances. En l’espèce, le cas d’étude sélectionné aurait vraisemblablement conduit à préférer cette option. La méthode semi-quantitative est néanmoins appliquée à titre d’exemple, afin de souligner les limites et les difficultés de mise en œuvre sur ce type de cas. L’estimation d’un facteur de réduction s’appuie sur une équivalence SIL (Safety Integrity Level = Niveau d’intégrité de sécurité) pour la barrière de sécurité, ce niveau de SIL étant lui-même conditionné par la PFDavg de la barrière et son architecture en accord avec les principes clés des normes NF EN 61508 [4] et NF EN 61511 [5]. Le facteur de réduction 10-SIL est alors appliqué à la probabilité d’occurrence de l’EI (Événement initiateur) pour ladite barrière. Pour rappel, le facteur de réduction de chacune des barrières de sécurité (respectivement PSS, ESD et SIS) est évalué individuellement en considérant chacune comme une « couche » de protection indépendante, le facteur de réduction globale étant par la suite obtenu par produit.



Pour rappel :

SIL (Safety Integrity Level) PFDavg

1 10-2 ≤ … < 10-1 2 10-3 ≤ … < 10

-2 3 10-4 ≤ … < 10

-3

4 < 10-4

Table 2. Correspondance SIL / PFDavg Cette approche dissociée présente l’inconvénient de négliger les dépendances entre barrières, un élément commun tel que le capteur PT A étant comptabilisé deux fois : une première fois dans la barrière PSS et une deuxième ESD. L’erreur est minime lorsque le composant n’est pas le principal contributeur à la PFD de la barrière. C’est le cas pour les capteurs PT. Il n’en va pas de même pour les vannes de sécurité. Le traitement des dépendances entre barrières est donc assuré en affectant simplement chaque élément commun à une seule et unique barrière en maintenant une certaine logique avec la séquence de sollicitation des barrières. Le capteur PT A commun à la barrière PSS et ESD est ainsi affecté à la barrière PSS, sollicitée la première, tout comme la vanne de sécurité SDV PSS. La Table 3 résume les données du calcul du facteur de réduction :

Elément PFDavg (élément simple) Barrière PSS Barrière ESD Barrière SIS

PT A 2.1 10-4 X PT B 2.1 10-4 X

PT S1/S2/S3 (2oo3) 2.1 10-4 X PSS 5.0 10-3 X ESD 5.0 10-3 X SIS 5.0 10-4 X

SOV PSS 2.5 10-3 X SOV SIS (SDV PSS) 2.5 10-3

SDV PSS 1.2 10-2 X SOV SIS (SDV SIS) 2.5 10-3 X

SDV SIS 1.2 10-2 X SOV ESD 2.5 10-3 X

ESDV 1.2 10-2 X

Total PFDavg 2.0 10

-2 2.0 10

-2 1.5 10

-2

SIL équivalent 1 1 1

Facteur réduction 10 10 10

Table 3. Cas industriel - Méthode semi-quantitative

Cette approche simple conduit à un facteur 1000 de réduction globale de l’occurrence de l’événement initiateur. En considérant une fréquence initiale de montée en pression de 1.15 10-1 /an (fréquence donnée dans le paragraphe § 4.2), la fréquence d’occurrence annuelle d’une fuite est donc estimée à (risque résiduel) :

1.15 10-4 /an

En pratique, le niveau de SIL d’un SIS tel que celui considéré dans ce cas test est déjà disponible. Les calculs par GRIF permettent d’attribuer un SIL de 2 au SIS. La méthode simplifiée serait donc limitée à l’estimation des facteurs de réduction pour les boucles PSS et ESD. Le SIS s’appuyant sur la vanne SDV PSS, le traitement simplifié des dépendances aboutirait à ne considérer que la boucle ESD. Le facteur de réduction globale serait alors identique (1000) ainsi que l’estimation de la probabilité d’occurrence annuelle de la fuite. 4.5 Résolution par GRIF-Bool

La modélisation a été réalisée en combinant un arbre d’événement avec des arbres de défaillance (barrières PSS et SIS) et un bloc diagramme de fiabilité (barrière ESD). Les dépendances systémiques, c’est-à-dire lorsqu’un composant est commun à deux barrières ou plus, sont prises en compte via l’utilisation d’événements ou blocs « répétés ». En effet, le module Bool permet de lier un événement issu par exemple d’un arbre de défaillance à un bloc au sein d’un diagramme de fiabilité et vice-versa. Les différents paramètres d’entrée ont été introduits en utilisant deux types de loi présents dans le logiciel : - La loi « Test périodique à 11 paramètres » pour les vannes et les capteurs ; - La loi constante pour les automates.



La Figure 4 présente les modèles réalisés pour les différentes barrières de sécurité ainsi que les « connections » modélisant les dépendances systémiques :

Figure 4. Cas industriel - Modèles correspondant à chacune des barrières de sécurité Note : Les éclairs sur les événements ou blocs signalent la prise en compte de causes communes de défaillance. La Figure 5 présente l’arbre d’événement qui connecte les différents modèles et régit le calcul global :

Figure 5. Cas industriel - Arbre d’événement

Barriere

PSS

Barriere

ESD

Barriere

SIS

Événement répété => Équipement commun aux deux barrières

La défaillance du capteur A est connectée à un bloc du diagramme de f iabilité

Indique que l’indisponibilité de la barrière est évaluée par un modèle



Comme le montre la figure ci-dessus, les différents modèles réalisés sont connectés via un arbre d’événement. La probabilité d’apparition de l’événement initiateur « Montée en pression soudaine à l’intérieur du séparateur » est modélisée par une loi constante de paramètre 1.31 10-5 h-1 (fréquence donnée dans le paragraphe § 4.2 convertie en h-1). Note : Dans ce cas test, seuls les échecs successifs des différentes barrières sont étudiés. Les scenarios résiduels ne sont

donc pas affichés dans l’arbre d’événement. Une fois le modèle construit, les calculs ont été lancés sur une période de 1 an (soit 8760 heures). La fréquence d’occurrence annuelle d’une fuite (risque résiduel) donnée par le moteur ALBIZIA est de :

2.74 10-5 /an

Ce résultat étant plus faible que celui obtenu par la méthode semi-quantitative (plus de 4 fois inférieur), il est donc moins conservatif d’un point de vue sécurité.

5. Conclusion

L’étude du cas industriel a permis de mesurer l’impact de la prise en compte de la dépendance entre barrières et de l’utilisation de valeurs instantanées dans le calcul de la fréquence d’occurrence du risque. La comparaison des résultats obtenus montre que le calcul réalisé via GRIF-Bool est moins conservatif que les méthodes semi-quantitatives conventionnelles de l’analyse de risque (le rapport entre les deux résultats finaux est de 1 à plus de 4). Cela signifie que modéliser rigoureusement la probabilité de défaillance à la demande de chacune des barrières permet in fine de maitriser le dimensionnement des systèmes instrumentés de sécurité et donc de dépenser au juste besoin. A noter que limiter les coûts de fabrication, d’installation et d’opérations est essentiel dans le contexte mondial actuel, particulièrement compliqué pour l’industrie pétrolière et gazière. La Figure 6 montre les résultats obtenus par chacune des deux méthodes placés dans une matrice des risques, en supposant que la conséquence de l’événement redouté est Désastreux :

Figure 6. Cas industriel - Résultats des deux méthodes placés dans la matrice des risques

Il est important de préciser que la méthode semi-quantitative utilisée dans le cadre de cette communication donne toujours des résultats conservatifs du point de vue de la sécurité. A l’inverse, les méthodes qui consistent à multiplier la PFDavg des différentes barrières peuvent mener à une sous-évaluation du risque résiduel et donc à un sous-dimensionnement des SIS. Ces méthodes approchées malheureusement très largement utilisées peuvent donc s’avérer être parfois dangereuses... Enfin, il est à noter que la flexibilité et les perspectives offertes par un outil d’analyse booléenne multi-approches peuvent bien évidemment s’avérer très intéressantes en dehors du cadre des analyses de risque et dans bien d’autres secteurs que l’industrie pétrolière et gazière.

6. Abréviations

ADD Arbre De Défaillance ALARP As Low As Reasonably Practicable Avg Average APR Analyse Préliminaire de Risque

CCF Common Cause Failure BDD Binary Decision Diagram EI Événement Initiateur ESD Emergency ShutDown

Méthode semi-quantitative

Méthode exacte (GRIF-Bool)



ESDV Emergency ShutDown Valve GRIF GRaphiques Interactifs pour la Fiabilité HAZID HAZard IDentification HP Haute Pression hr heure(s) IEC International Electrotechnical Commission KooN K out of N (logique de voting) LT Level Transmitter MP Moyenne Pression OREDA Offshore and onshore REliability DAta

PFD Probability of Failure on Demand PSS Process ShutDown PSV Pressure Safety Valve PT Pressure transmitter SD Shut Down SDV Shut Down Valve SIL Safety Integrity Level SIS Système Instrumenté de Sécurité SOV SOlénoid Valve

7. Références

[1] Probabilistic risk assessment considering parameter and model uncertainties - Florent Brissaud (FMDS industrie, France) et Elsa Rosner (DNV GL, Paris, France), 25th European Safety and RELiability Conference (ESREL), Zürich, Switzerland, September 7-10,2015

[2] Probability and frequency calculations related to protection layers revisited - Fares Innala (Batna University), Pierre-Joseph Cacheux (Total S.A. E&P), Stéphane Collas (Total S.A. E&P), Yves Dutuit (Total Associate Professors), Cyrille Folleau (SATODEV), Jean-Pierre Signoret (Total Technology Specialist), Philippe Thomas (SATODEV), Journal of Loss Prevention in the Process Industries 31 (2014) 56-69

[3] Dictionnaire d’Analyse et de Gestion des Risques - Alain Desroches, Alain Leroy, Jean-François Quaranta, Frédérique Vallée,LAVOISIER, 2006

[4] IEC 61508 : Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité, Ed. 2.0

[5] IEC 61511 : Sécurité fonctionnelle – Systèmes instrumentes de sécurité pour le secteur des industries de transformation, Ed. 2.0

[6] OREDA participants, OREDA, Offshore Reliability Data Handbook, Volume 1 – topside data. 5th edition, 2009.

[7] OREDA participants, OREDA, Offshore Reliability Data Handbook, Volume 1 – topside equipment. 6th edition, 2015.

[8] EXIDA : Safety Equipment Reliability Handbook, Third edition, Volume 3: Final Elements

Mots clés

Évaluation des risques, Analyse de risque, Modélisation, Calculs booléens, Systèmes instrumentés de sécurité


grif-bool : évaluation des risques à l'aide d'un outil d'analyse

Documents