Valeurs chiffrées pour les causes et les couches de sécurité

Cause

Les causes peuvent être des événements ou des situations. Il revient à l’utilisateur de faire le choix correct.

Les événements sont caractérisés par une fréquence moyenne d’apparition, une valeur exprimée par l’unité nombre de fois par an. La défaillance d’une pompe est, par exemple, un événement et la fréquence pourrait être: 1 fois par an.

Des situations sont caractérisées par la fraction de temps pendant laquelle elles existent, ce qui est donc une valeur adimensionnelle. Un autre emploi des situations dans les arbres de causes est ce que l’on appelle les enabling conditions. Ce sont des conditions accessoires devant être présentes pour permettre le scénario. L’arrêt du refroidissement d’un réacteur peut par exemple donner lieu à une production de chaleur massive et à une surpression. Supposons que cela ne puisse se produire que lorsque le réacteur traverse une étape réactionnelle déterminée et que le réacteur ne se trouve dans cette phase que 10% du temps. Une enabling condition pour ce scénario serait alors que le réacteur doit se trouver dans cette étape réactionnelle en question. Si le refroidissement tombe en panne une fois tous les dix ans et que le réacteur n’est que 10% du temps dans la phase de réaction critique, la probabilité de production massive de chaleur est alors d’une fois tous les cent ans.

Enabling condition: Réacteur en phase critique

Enabling condition: Réacteur en phase critique

Couches de sécurité

Exactement comme les causes, les couches de sécurité peuvent également être caractérisées par différentes sortes de fiabilité.

La fiabilité des couches de sécurité qui ne sont sollicitées que de manière occasionnelle est exprimée par une valeur PFD. PFD signifie probability of failure on demand et est une grandeur adimensionnelle. Une PFD de 10-2 signifie que si la couche de sécurité doit fonctionner 100 fois, on peut s’attendre à ce que celle-ci ne défaille qu’une fois, en d’autres mots, que la probabilité de défaillance lorsque la couche de sécurité doit fonctionner est de 0,01. Les systèmes de sécurité sont des exemples de couches de sécurité qui ne sont sollicitées qu’occasionnellement (ce devrait en tout cas en être le but). On appelle cette sorte de couches de sécurité des couches de sécurité low demand. Comme illustré ci-dessous, la fréquence du premier événement et la PFD de la couche de sécurité déterminent la fréquence du second événement.

Couche de sécurité ‘Low demand’

Couche de sécurité ‘Low demand’

Les autres couches de sécurité fonctionnent de façon continue ou sont très souvent sollicitées. On parle de couches de sécurité continuous demand- et high demand. Les boucles de régulation sont des exemples de couches de sécurité high ou continuous demand. La fiabilité de ces couches de sécurité est ordinairement exprimée au moyen d’une fréquence de défaillance. Une fréquence de défaillance est le nombre de fois par unité de temps (normalement par année) que la mesure défaille.

Les couches de sécurité continuous demand font suite à des conditions, les couches de sécurité high demand à des événements survenant souvent. Il est très important de savoir que lors du calcul d’un scénario, il N’est PAS tenu compte de la probabilité de la situation ou de l’événement précédant une couche de sécurité high ou continuous demand ». On peut alors aussi les laisser de côté et faire en sorte que l’arbre des causes commence en bas avec une couche de sécurité continuous demand. Cela correspond finalement à un évènement initial égal à la défaillance de la couche de sécurité continuous demand. Les figures suivantes illustrent ce point.

Couche de sécurité ‘continuous demand’

Couche de sécurité ‘continuous demand’

Couche de sécurité ‘high demand’

Couche de sécurité ‘high demand’

Couche de sécurité Continuous demand comme évènement initial

Couche de sécurité Continuous demand comme évènement initial

Considérons à nouveau l’exemple mentionné ci-dessus du contrôle de débit sur l’ajout du réactif A. La probabilité de l’événement « débit trop élevé de réactif A vers le réacteur » est égale à la fréquence de défaillance de la couche de sécurité « contrôle de débit du réactif A ». On ne tient pas compte de la probabilité de la condition « alimentation continue de réactif A vers le réacteur ».

C’est pourquoi on peut dans Planop totalement laisser de côté la situation ou l’évènement fréquent. Ceci est souvent appliqué pour des mesures de contrôle, si la condition contrôlée est évidente, telle qu’illustrée à la figure suivante.

Couche de sécurité ‘continuous demand’ comme cause initiale

Couche de sécurité ‘continuous demand’ comme cause initiale

Pour les couches de sécurité high demand requérant une manipulation humaine, la fiabilité peut également être caractérisée par une PFD. Pensons par exemple, à un opérateur devant exécuter une manipulation déterminée. On peut caractériser la fiabilité de l’opérateur de deux manières différentes. Ou bien on exprime la fiabilité sur base du nombre de fois par an où il commet une faute, ou bien sur base du nombre de fois où il commet une faute par nombre de manipulations. Les figures suivantes illustrent ces deux possibilités.

Fiabilité opérateur exprimée en tant que PFD

Fiabilité opérateur exprimée en tant que PFD

Fiabilité opérateur exprimée en tant que probabilité de défaillance

Fiabilité opérateur exprimée en tant que probabilité de défaillance

A côté d’une fréquence de défaillance ou d’une PFD, une couche de sécurité peut également être caractérisée par une troisième valeur: une indisponibilité. L’indisponibilité est la fraction de temps pendant laquelle la couche de sécurité n’est pas en fonctionnement. L’indisponibilité est le produit de la fréquence de défaillance et du temps nécessaire pour détecter une défaillance et de rétablir la couche de sécurité. L’indisponibilité est utilisée si l’on désire que le résultat de la défaillance de la couche de sécurité soit une situation et non un événement (par exemple pour être combinée avec un évènement dans une porte ET).

Couche de sécurité ‘Continuous demand’ avec indisponibilité

Couche de sécurité ‘Continuous demand’ avec indisponibilité

Un exemple va illustrer ce point. Supposons qu’un récipient soit alimenté par un flux de gaz sous haute pression. Avant que ce flux n’alimente ce récipient, la pression est réduite au travers d’une vanne de détente. En cas de défaillance de cette vanne de détente, le récipient se trouve immédiatement sous la pression maximum d’alimentation. C’est donc un événement. La figure suivante représente la combinaison des couches de sécurité et des causes pour cet exemple. Dans ce cas, c’est la fréquence de défaillance de la vanne de détente qui doit être utilisée.

Couche de sécurité avec probabilité de défaillance donne l’évènement

Couche de sécurité avec probabilité de défaillance donne l’évènement

En revanche, dans le cas d’un flux liquide, il faut d’abord que le récipient soit entièrement plein avant que la pression maximum de 20 bar ne soit exercée sur celui-ci. Lorsque la vanne de détente défaille, cela donne lieu à la situation « Flux d’alimentation à 20 bar à l’entrée du récipient » (donc en aval de la vanne de détente). Cette situation doit être combinée via une porte ET avec l’événement « Récipient complètement rempli de liquide » pour donner lieu à l’événement « Pression d’alimentation de 20 bar sur le récipient ». On devra, dans ce cas attribuer une indisponibilité à la vanne de détente car ce qui s’ensuit est une situation.

Une couche de sécurité avec une indisponibilité donne une condition comme conséquence

Une couche de sécurité avec une indisponibilité donne une condition comme conséquence