Evaluation via LOPA

Dans cette partie, on va évaluer un scénario à l’aide de LOPA.

Comme exemple, on prend le scénario “Surremplissage lors du déchargement d’un camion ou d’un bateau” dans la section “Réservoir de stockage T301”.

Une première exigence pour LOPA est un bon arbre de causes logique qui décrit clairement le déroulement du scénario. L’arbre que l’on a adapté plus tôt satisfait à cette exigence.

Afin d’appliquer LOPA, on indique Utiliser LOPA dans l’onglet LOPA de la fiche de scénario et on introduit une fréquence indicative. Pour l’exemple, on introduit 10-2.

Si l’on retourne maintenant vers l’onglet Arbre de cause, Planop montrera si l’arbre des causes satisfait aux règles. Dans ce cas-ci, planop mentionnera:

Une couche de protection sans cause devrait avoir un FF ou une disponibilité.
(Passage de la commande uniquement lorsqu'il y a un espace libre suffisant)

Cela signifie que planop ne peut pas déterminer de fréquence initiale pour le scénario.

On ouvre la fiche de couche de sécurité de la couche de sécurité située le plus bas “Passage de la commande uniquement lorsqu’il y a un espace libre suffisant”.

Cliquez sur Modifier. Dans le bas, on voit les champs qui sont importants pour le calcul LOPA.

On remplit:

Reltype: Fréquence de défaillance
FF: 1 (fois par an)

Lorsque l’on retourne maintenant voir l’arbre des causes, on voit qu’il n’y a plus de faute.

On n’a cependant pas encore tenu compe des autres couches de sécurité.

Cliquez sur “Contrôle de l’espace libre avant le démarrage du déchargement”. Dans la fiche de couche de sécurité, on indique:

Reltype: PFD
PFD: 0.1 (défaillances par sollicitation)

De manière analogue, on donne aux autres couches les PFD suivantes:

Niveau Haut-haut ferme les vannes de fond: 0.01

Alarme de niveau haut: 0.1

Lors de cet exercice, on peut de préférence analyser aussi les aspects Efficacité, Fiabilité et Risques pour chaque couche de sécurité.

Par exemple, pour le “Niveau Haut-Haut ferme les vannes de fond”, on documente les risques:

Coup de bélier  à la fermeture trop rapide de la vanne

Activation: arrêt du déchargement nécessaire --> besoin d'alarme au niveau
de l'installation de déchargement

L'activation inappropriée n'engendre pas de risques supplémentaires

Si l’on va maintenant regarder dans l’onglet LOPA*, on voit que planop a déterminé un seul chemin LOPA et a calculé un fréquence de 10-4.

Lorsque l’on clique dans l’aperçu sur l’évènement initial, on voit les détails du calcul.

On n’a cependant pas encore vérifié si toutes les couches de sécurité sont bien indépendantes, c’est-à-dire qu’il n’y a pas de mode commun de défaillance, qui peuvent rendre d’un seul coup plusieurs couches de sécurité indisponibles.

On voit que l‘“Alarme niveau haut” utilise la même mesure de niveau que le “Contrôle de l’espace libre avant le démarrage du déchargement”. Cela signifie qu’une faute dans la mesure de niveau met hors service les deux couches de sécurité. On ne peut donc pas tenir compte de ces deux couches de sécurité.

On peut indiquer ceci dans planop en introduisant une Dépendance.

Dans l’onglet Arbre de cause, on voit dans le bas la liste (pour le moment encore vide) des dépendances pour l’arbre de causes.

Cliquez sur Ajouter.

Sélectionnez:

Couche de protection: Alarme niveau haut

Elément: Contrôle de l'espace libre avant le démarrage du déchargement

Cliquez sur Sauvegarder. La dépendance est maintenant reprise dans la liste et dans l’arbre des causes, on retrouve derrière les couches de sécurité choisies une mention “(1)” qui indique que la couche fait partie d’une dépendance.

Dans l’onglet LOPA, on voit maintenant que le calcul a été adapté: la fréquence calculée s’élève maintenant plus qu’à 10-3. Dans l’aperçu des détails, on voit que la PFD de l‘“Alarm niveau haut” est marquée en gris afin de signaler qu’on ne tient plus compte de celle-ci dans le calcul.

Vu que l’on a pu déterminer via LOPA que la réduction du risque est suffisante, on peut le documenter dans l’onglet Evaluation:

Evaluation: Il résulte du calcul via LOPA que la réduction de risque est suffisante.

Résultat: Suffisant

Dans le module Listes (bouton en bas à gauche), on peut voir un listing de tous les scénarios par fonction de sécurité. Dans cette liste, les scénarios qui n’ont pas encore été évalués comme Suffisant, sont indiqués en gras.

Via le filtre Evaluation situé en haut, on peut limiter la liste aux scénarios mentionnés comme “Insuffisant”, “Suffisant”, ou “Pas évalué”.

Pour la fonction de sécurité Contrôler des déviations, il y a de la même manière une liste avec les scénarios LOPA calculés.

On peut examiner les informations de cette leçon en activant sur le site démo de planop la version “Poursuite de l’analyse du T301”.