Dépendances¶
Lors du calcul d’un scénario à cause unique, on ne peut tenir compte que de causes et de couches de sécurité mutuellement indépendantes.
Dépendances et leur effet dans LOPA¶
Des couches de sécurité sont mutuellement dépendantes lorsque l’on peut penser à une faute commune capable de les mettre toutes deux hors service. Si deux couches de sécurité ont un composant physique commun, elles ne peuvent pas être considérées comme indépendantes lors de l’application de LOPA.
Une autre présentation des événements va clarifier cela. Les enchaînements à la figure suivante peuvent également être représentés via la présentation classique dans un diagramme logique via une porte ET. Cela signifie que l’événement B n’apparaît que si l’événement A survient, la couche de sécurité M1 défaille et la couche de sécurité M2 défaille.
Diagramme logique pour des couches de sécurité
La fréquence de l’événement B peut être déterminée en multipliant les probabilités (X * Y * Z) mais uniquement si ces trois sont indépendantes les unes des autres. Dans le cas où par exemple, M1 et M2 ne sont pas indépendantes l’une de l’autre (une faute commune), la probabilité qu’elles défaillent toutes les deux n’est plus X*Y mais bien plus grande (plus probable). Cette probabilité est certainement plus petite que X ou Y de façon telle que comme valeur conservative, la plus petite d’entre elles peut être retenue. Dans l’ensemble, nous comptons que la probabilité pour l’événement B est égale à XZ (ou à YZ si celle-ci est plus petite). C’est également ce que fait Planop : lors d’une dépendance, la plus mauvaise des deux couches de sécurité n’est pas prise en compte.
Supposons dans l’exemple ci-dessous, que l’alarme de débit haut soit générée par le système de contrôle contrôlant également le débit de réactif A. Les couches de sécurité « L’alarme de débit haut initie une action correctrice de l’opérateur » et « Contrôle de débit du réactif A » ne sont donc pas indépendantes. On peut attribuer une probabilité de défaillance au contrôle de débit et une valeur PFD à l’alarme de débit haut mais ces deux valeurs ne peuvent pas être multipliées entre elles pour déterminer la probabilité de l’événement « Débit trop élevé de réactif A vers le réacteur ».
Couches de sécurité dépendantes ne comptent pas dans LOPA
Des couches de sécurité peuvent également dépendre de causes. Considérons par exemple, un réacteur équipé d’un système d’injection d’un inhibiteur stoppant la réaction lors d’une montée en pression trop élevée. Supposons cependant que cette couche de sécurité ne fonctionne que lors d’une bonne agitation dans le réacteur, donc pendant le fonctionnement de l’agitateur du réacteur. La défaillance de l’agitateur pourrait ainsi être en soi aussi une cause de l’emballement de la réaction de par l’accumulation de réactifs ou de par la diminution du refroidissement. Le système d’arrêt d’urgence du réacteur sera donc activé en cas de défaillance de l’agitateur et de la montée en pression qui s’ensuit, mais ne conduira pas à l’effet désiré. La couche de sécurité ne peut donc pas être prise en compte lors du calcul du scénario « défaillance du réacteur de par l’arrêt de l’agitateur ».
Comment aborder les dépendances dans Planop¶
L’intention n’est pas de laisser de côté l’une des couches de sécurité dépendantes de l’arbre des causes (dans ce cas l’alarme de débit haut). L’intention est en fin de compte d’identifier et de documenter le plus de couches de sécurité possibles. Même si le contrôle et l’alarme sont dépendants et ne peuvent pas être combinés pour LOPA, l’alarme garde sa valeur en tant que couche de sécurité et il est important que cette couche de sécurité soit correctement exécutée et entretenue (au moyen d’instructions, de formations, d’inspections, etc.). Les deux couches de sécurité doivent être spécifiées mais la dépendance mutuelle doit être documentée dans Planop.
Le programme Planop tiendra alors compte de cette information lors des calculs.
