Fonctions et barrières de sécurité

Efficacité (pour une barrière de sécurité) ou capacité de réalisation

Capacité à remplir la mission/fonction de sécurité qui lui est confiée pendant une durée donnée et dans son contexte d’utilisation.

En général, cette efficacité s’exprime en pourcentage d’accomplissement de la fonction définie. Ce poucentage peut varier pendant la durée de sollicitation de la barrière de sécurité. Cette efficacité est évaluée par rapport aux principes de dimensionnement adapté et de résistance aux contraintes spécifiques.

Ex. : un rideau d’eau abattant une fuite toxique d’efficacité 80%, la concentration juste après le rideau d’eau ne doit plus que de 20% de la concentration avant rideau.

Element Important pour la Sécurité (IPS)

Ces éléments peuvent être des équipements (vannes, lignes de mesures...), dispositifs de sécurité ou groupe de dispositifs de sécurité, des tâches, des opérations réalisées par un individu, des procédures (formation, habilitation, fabrication, intervention...), ou des paramètres.

La sélection de ces éléments est faite par l’exploitant selon une méthodologie qu’il explicite, en lien avec l’analyse de risques, dans un objectif de maîtrise des risques majeurs dans toutes les phases d’exploitation des installations, y compris en situation dégradée. Ces éléments doivent être testables et une traçabilité doit être assurée, ainsi que l’interface avec le SGS.

Pour être qualifiés d’IPS, un élément doit être choisi parmi les barrières destinées à prévenir l’occurrence ou à limiter les effets d’un événement redouté central susceptible de conduire à un accident majeur.
Ils doivent être disponibles et fiables, caractéristiques qui peuvent être appréciées à travers les principes suivants : principes de concept éprouvé, de sécurité positive, de tolérance à la première défaillance, de résistance aux contraintes spécifiques, de testabilité et d’inspection-maintenance spécifique.
(cf rapport INERIS W-6 de mai 2003 et document technique 65 de l’UIC de décembre 1999).

Fonction de sécurité

Fonction ayant pour but la réduction de la probabilité d’occurrence et/ou des effets et conséquences d’un événement non souhaité dans un système.

Les principales actions assurées par les fonctions de sécurité en matière d’accidents majeurs dans les installations classées sont : empêcher, éviter, détecter, contrôler, limiter.

Les fonctions de sécurité identifiées peuvent être assurées à partir de barrières techniques de sécurité, de barrières organisationnelles (activités humaines), ou plus généralement par la combinaison des deux. Une même fonction peut être assurée par plusieurs barrières de sécurité.

Indépendance d’une barrière

Faculté d’une barrière, de par sa conception, son exploitation et son environnement, à ne pas dépendre du fonctionnement d’autres éléments et notamment d’une part d’autres barrières, et d’autre part, du système de conduite de l’installation, afin d’éviter les modes communs de défaillance ou de limiter leur fréquence d’occurrence.

Limitation

Mesures visant à limiter les effets d’un phénomène dangereux, sans en modifier la probabilité d’occurrence.

Ceci peut être réalisé par des mesures passives (ex. : mur coupe feu, confinement d’une unité), automatiques (ex. : fermeture de vannes asservie à une détection gaz, rideaux d’eau à déclenchement asservi à une détection) ou actives (plan d’urgence interne).

Mesure de sécurité

Ensemble d’éléments techniques et/ou organisationnels nécessaires et suffisants pour assurer une fonction de sécurité.

On distingue parfois :

  • Les mesures (ou barrières) de prévention : mesures visant à éviter ou limiter la probabilité d’un événement indésirable, en amont du phénomène dangereux.
  • Les mesures (ou barrières) de limitation : mesures visant à limiter l’intensité des effets d’un phénomène dangereux.
  • Les mesures (ou barrières) de protection : mesure visant à limiter les conséquences sur les cibles potentielles par diminution de la vulnérabilité.

Risque de confusion : fonction et barrière, ligne de défense et barrière.

NB : ne pas confondre barrière redondante et deux barrières (ex. : vanne manuelle + vanne automatique = 1 barrière redondante et non 2 barrières)

Mesure de sécurité « complémentaires » - « supplémentaires »

Dans les textes, on distingue les mesures de sécurité complémentaires, mises en place par l’exploitant à sa charge, des mesures supplémentaires éventuellement mises en place, faisant l’objet d’un financement tripartite tel que mentionné à l’article L.515-19 du code de l’environnement.

Niveau de confiance

Le niveau de confiance est l’architecture (redondance éventuelle) et la classe de probabilité, inspirés des normes NF EN 61-508 et CEI 61-511, pour qu’une barrière, dans son environnement d’utilisation, assure la fonction de sécurité pour laquelle elle a été choisie.

Cette classe de probabilité est déterminée pour une efficacité et un temps de réponse donnés.
Ce niveau peut être déterminé suivant les normes NF EN 61-508 et CEI 61-511 pour les systèmes instrumentés de sécurité.

Cf rapport INERIS W-10 de mars 2005.

Performance des barrières

L’évaluation de la performance se fait au travers de leur efficacité, de leur temps de réponse et de leur niveau de confiance au regard de leur architecture (en référence à la norme EN NF 61 508, des pratiques de maintenance, des pratiques des tests...).

Prévention

Mesures visant à prévenir un risque en réduisant la probabilité d’occurrence d’un phénomène dangereux.

Principe d’inspection-maintenance spécifique

Une organisation doit être mise en place (dans le cadre du SGS) afin de s’assurer de la pérennité des principes définis ci-dessus.

Principe de résistance aux contraintes spécifiques

Les dispositifs assurant la fonction de sécurité doivent être conçus de manière à resister aux contraintes spécifiques internes (par exemple liées aux produits manipulés, à l’exploitation...) et externes (liées à l’environnement du système, par exemple météo...).

Principe de sécurité positive

Un équipement est dit « à sécurité positive » lorsqu’une perte du fluide moteur (dont électricité) ou des utilités conduit l’équipement à se mettre en situation sécuritaire stable ; la position de sécurité du système doit être maintenue dans le temps.

Principe de testabilité

Les dispositifs, et en particulier les chaînes de transmission, doivent être conçus pour permettre de s’assurer périodiquement par test de leur efficacité.

Principe de tolérance aux anomalies matérielles

Une fonction de sécurité est considérée comme « tolérante à une anomalie » lorsque le dysfonctionnement d’un des éléments qui la composent ne perturbe pas sa réalisation.

Principe de tolérance à la première défaillance

Une fonction de sécurité devra rester disponible en cas de défaillance unique d’un des éléments assurant cette fonction.

La redondance est un moyen d’atteindre cet objectif.

Principe de « concept éprouvé »

Un équipement est dit de conception éprouvée lorsqu’il est utilisé depuis plusieurs années sur des sites industriels et que le retour d’expérience sur son application est bon, ou qu’il a subi des tests de « qualification » par l’utilisateur ou d’autres organismes (rapport INERIS W-10 de mars 2005).

Ce principe doit être utilisé avec précaution, car il n’inclut pas les facteurs autres que la conception (contexte et historique d’utilisation sur un site donné, organisation...).

Protection

Mesures visant à limiter l’étendue ou/et la gravité des conséquences d’un accident sur les éléments vulnérables, sans modifier la probabilité d’occurrence du phénomène dangereux correspondant.

NB : des mesures de protection peuvent être mises en oeuvre « à titre préventif », avant l’accident, comme par exemple un confinement. La maîtrise de l’urbanisation, visant à limiter le nombre de personnes exposées aux effets d’un phénomène dangereux, et les plans d’urgence visant à mettre à l’abri les personnes sont des mesures de protection.

Redondance

Existence, dans une entité, de plus d’un moyen pour accommplir une fonction requise (CEI 6271-1974)

Références :

  • rapport W-6 de l’INERIS
    « Formalisation du savoir et des outils dans le domaine des risques majeurs : éléments importants pour la sécurité (EIPS) (2003) »
  • rapport W-10 de l’INERIS
    « Evaluation des dispositifs de prévention et de protection utilisés pour réduire les risques d’accidents majeurs : Evaluation des Barrières Techniques de Sécurité (2005) »

Temps de réponse

Intervalle de temps requis entre la sollicitation et l’exécution de la mission/fonction de sécurité. Ce temps de réponse est inclus dans la cinétique de mise en oeuvre d’une fonction de sécurité, cette dernière devant être en adéquation [significativement plus courte] avec la cinétique du phénomène qu’elle doit maîtriser.

Ex. : un rideau d’eau alimenté par un réseau, avec vanne pneumatique/motorisée asservie à une détection ammoniac, dont la fonction de sécurité est d’abattre 80% de la fuite d’ammoniac a un temps de réponse égal à la durée séparant l’envoi de la commande à la vanne du moment où le rideau fonctionne en régime permanent (en supposant qu’il est correctement dimensionné pour abattre 80% de la fuite réelle).
Sur cet exemple, la cinétique de mise en oeuvre correspond à l’ensemble de la durée entre l’apparition de la fuite, sa détection, le traitement du signal de détection ajouté au temps de réponse.