Evaluation de scénarios

Une étape importante dans l’étude de risques est d’évaluer si les risques sont suffisamment maîtrisés. Dans Planop, où tous les risques sont décrits via des scénarios, cela revient à évaluer si dans chaque scénario, des mesures suffisantes sont prévues pour prévenir l’évènement final. Planop offre la possibilité de documenter cette évaluation pour chaque scénario dans un champ de texte. On peut y décrire par qui et selon quels critères l’évaluation a été réalisée et quel en est le résultat.

Pour pouvoir rechercher rapidement quels scénarios ont déjà été évalués, il y a également un champ de sélection dans lequel on peut classer l’évaluation en Suffisant, Insuffisant ou Pas encore évalué.

Pour l’évaluation des scénarios pour la fonction de sécurité Contrôle des déviations de procédé, Planop offre en complément la possibilité d’utiliser la Layers of Protection Analysis (LOPA). Les scénarios pour cette fonction de sécurité démarrent typiquement par une déviation de procédé et se terminent par la libération indésirée.

Lors d’une évaluation avec LOPA, la probabilité de la libération indésirée (il s’agit de l’évènement final) est calculée pour les différents chemins dans le scénario à l’aide des probabilités données pour les évènements initiaux et de la fiabilité des mesures. Pour des scénarios simples qui sont constitués d’une chaîne non ramifiée d’évènements, il y a seulement un seul chemin.

Les probabilités calculées pour les évènements finaux permettent de comparer entre eux différents scénarios et les probabilités calculées par rapport à des valeurs cibles postulées. C’est surtout intéressant dans le cas de mesures actives (telles que des boucles de sécurité instrumentales, des décharges de pression mécaniques et des interventions humaines) qui sont reprises dans le scénario. A l’aide des probabilités calculées, on peut en effet tirer directement des conclusions au sujet de la fiabilité souhaitée de ces mesures actives (et pour des sécurités instrumentales: la classification dans les classes SIL conformément au standard IEC61511).

LOPA est moins adapté pour les autres fonctions de sécurité. Pour le contrôle de la dégradation, une évaluation devrait avoir lieu après chaque inspection, pour déterminer si l’équipement en question est encore adapté pour rester en service pendant une période déterminée (la plupart du temps jusqu’à la prochaine inspection). Pour les fonctions de sécurité liées à la limitation des dommages, les scénarios partent pour la plupart d’une libération indésirée et se terminent avec l’évènement que l’on veut empêcher ou limiter (par exemple la défaillance d’un équipement par exposition au feu pour la fonction de sécurité “contrôler les dommages dus aux incendies”). Pour de tels évènements comme des fuites, dont les causes peuvent être multiples, il est difficile d’avancer des chiffres de probabilité ayant un sens. Des mesures pour limiter le dommage sont donc prises aussi souvent dans la pratique sur base du potentiel de danger (la présence de quantités déterminées de substances dangereuses à une pression et température déterminées) plutôt que sur base de la probabilité du dommage.