3. Bhopal – 2 décembre 1984
Union Carbide le «must » de la sécurité
Une unité surdimensionnée – risquée
Absence d’un marché suffisant pour écouler
la production d’insecticide
Volonté d’arrêter – négociations politiques
Usine fonctionnant au ralenti et à l’économie
4. Bhopal – quelques éléments
Nombreux équipements
non fonctionnels
Équipe de maintenance
non compétente (intérimaires)
Difficulté d’interprétation pour
l’opérateur en Salle de
Contrôle
Intervention différée et
matériel inopérant
Le nuage se répand sur le
bidonville sans que l’alerte
ne soit donnée
6. Quelques enseignements
• Tout peut être envisagé
• Élimination prudente des événements
jugés « non vraisemblables »
• Garder une trace de ces événements non
retenus
7. Recueil initial d’informations
• Caractéristiques des produits
• Réactions dangereuses
• Retour d’expérience
• Analyse préliminaire des risques
8. Caractéristiques des produits
• Propriétés physiques générales
– Densité liq et gaz/ T ébullition / P vapeur
• Propriétés chimiques
– Acide base / oxydant réducteur / corrosif, …
• Propriétés dangereuses
– Infla (LII,LSI, Pt d’éclair, Pt auto infla)
– Toxicité ( VLE – VME/ DL 50/ IDLH)
9. Tableau croisé (réactions
dangereuses)
• Recenser :
– tous les produits présents
– les matériaux
– Ne pas oublier les éléments extérieurs
(chaleur, air sec ou humide, eau,…)
• Rapidement lourd => découpage
géographique
11. Analyse Préliminaire des Risques
• Identifier les dangers et leurs causes,
évaluer les conséquences
– Par check list
– Par méthode plus structurée
=> Mieux cerner l’objet de l’étude
13. HAZard & OPerability Studies
• Méthode
– préalable
– dédiée aux industries de procédés
– participative
• Mise en évidence des événements
redoutés
• Approche par la dérive des paramètres
TROP DE débit
14. Historique
En 1963, construction par ICI d’une installation
de production de phénol et d’acétone à partir
de cumène.
Réduction extrême des coûts => n’est-on pas
allé trop loin ?
Etude pour trouver les points faibles et optimiser
l’argent mis à disposition
En s’inspirant de méthodes d’organisation
- que fait on?, Pourquoi? Que pourrait on faire?
- Comment fait on ? Quand, où, qui
15. Mots guides
• TROP DE excès d’un paramètre (débit,
pression, température, viscosité,….)
• PAS DE absence du paramètre désiré
• INVERSION DE SENS
• MOINS DE insuffisance d’un paramètre
• EN PLUS présence intempestive (phase :
vapeur, solide,… impuretés, eau, air,…)
• AUTRES démarrage intempestif, arrêt,
fonctionnement trop rapide, trop lent,….
21. Qui fait ?
Nouvelle installation
• Chef de projet
• L’ingénieur process
• Le futur exploitant
• L’instrumentiste
• Un membre service de
maintenance
• Un chimiste R&D
• L’expert HAZOP
Installation existante
• Le responsable d’unité
• Le contremaître responsable
de l’installation
• L’ingénieur de production
• L’ingénieur sécurité
• L’instrumentiste
• Un membre du service de
maintenance
• L’ingénieur d’étude
• L’expert HAZOP
Nombre optimal 7- 8 personnes, dont le « financier »
22. Sur quels documents ?
• Travail le plus tôt possible mais sur des
documents « fiables » (PID)
• Éventuellement sur flowsheets …
• Recherche des dérives
– Indésirables
– Bénéfiques
23. Pour être efficace
• Expert HAZOP indépendant
• Les experts de l’installation
• Le décideur final des modifications
• 2 à 3 réunions (1/2j) par semaine
• 1h1/2 à 3h par composant important (four,
réacteur, colonne à distiller,…
• Travail complémentaire entre les réunions
25. Préparation de l’étude
• Renumérotation de tous les équipements
(dont 720 vannes)
• Mise à jour des PID
• Reformalisation des consignes
• Rédaction des descriptifs
– Installations
– Produits
– Réactions dangereuses
26. Organisation
• 9 personnes ont participés
– 4 exploitants
– 2 mécaniciens
– 1 instrumentiste
– Le responsable de l’Etude des Dangers
– L’expert HAZOP
+ quelques interventions (électricien, exploitant
de l’atelier ammoniac, …)
27. Mise en œuvre
Mots guides utilisés :
• TROP DE
• PAS DE
• MOINS DE
• Inversion de sens
Paramètres étudiés :
• NIVEAU
• PRESSION
• TEMPERATURE
• DEBIT
• IMPURETES
Sélection des équipements « significatifs »
28. Déroulement
• 20 réunion HAZOP (1/2 j) sur 10 semaines
+ travaux de recherche d’informations
complémentaires
• Au final : Préparation + HAZOP + Arbres
de défaillance + rédaction = 2 h.an
29. Résultats
• Environ 50 recommandations de
modifications
• Principales remarques :
– Modification d’Arrêts d’urgence
– Pb détection erreur de fournitures produits
– Possibilité de P > Pression de calcul
– Ambigüité d’info en salle de contrôle
– Cumul pour des capteurs de fonction sécurité
& exploitation
30. Défaillance => niveau bas =>
• arrêt pompes aval
• débordement
• liquide dans circuit gaz
• déclenchement compresseurs
Arrêt total de l’installation
Difficulté de diagnostic
31. En conclusion
• La méthode HAZOP dédiée industrie de
procédé
• Un puissant outil :
– D’aide à la conception sûre
– De mise en évidence des événements
redoutés => intro à d’autres méthodes
• Méthode participative
=> Appropriation des résultats
32. Analyse des Modes de Défaillance et
de leurs Effets (et Criticité) AMDE(C)
Approche par le mode de défaillance : Démarrage ou arrêt
intempestif, refus de …
Identifier les défaillances
Déterminer les conséquences
Evaluer la gravité
Proposer des actions correctives
33. Historique de l’AMDEC
• 1949 armée américaine : MIL-P-1629
« Procédures pour l’Analyse des Modes de Défaillance,
des leurs effets et de leurs Criticités »
• Années 60 aux USA usage dans le secteur
aéronautique
• Années 70 essor en Europe dans les industries
automobile, chimique, nucléaire
• Actuellement
– Industries à risque : nucléaire, spatial, …
– Qualité
34. Les choix préliminaires
• Types d’approche
• Qualitative
• Semi-quantitative
• Quantitative
• Structuration de l’analyse
• Fonctionnelle
• Matérielle
• Niveau de décomposition le plus bas
• Systèmes / sous systèmes
• Appareils
• Composants
35. Le mode de défaillance
A ne pas confondre avec les causes
36. Déroulement de l’analyse
• Définition de l’élément à étudier
• Définition de sa (ses) fonction (s)
• Recherche des modes de défaillance
• Recherche des causes
• Détermination des conséquences
• Evaluation de la criticité
• Recherche des moyens de détection
• Recherche des actions correctrices
38. Les limites
• Effets des pannes uniques
• Non utilisable en environnement
accidentel
Hypothèse de bon fonctionnement des autres
équipements
39. Exemple AMDEC en phase projet
Travail basé :
• sur les PID du projet
• l’interviews
• du chef de projet
• du correspondant sécurité
Etude d’un projet de bouée de déchargement en mer de GNL
Nombreux points mis à jour dont celui des vannes FC piégeant du GNL
(le réchauffement par échange thermique avec l’eau => explosion liquide
Coût de l’étude et des modifications négligeables
40. Implantation d’un nouvel Automate programmable
• Explosion d’une installation d’incinération de solvants et
d’eaux chargées en solvant
• Reconstruction de l’installation
• Implantation d’un AP remplaçant un automate
pneumatique
• Etude AMDEC des composants avec en parallèle le
grafcet de l’AP
44. Résultats
• Très (Trop!) nombreuses remarques
– Pilotage par AP « unique »
– Fonctionnement & sécurité
– Absence de redondance
Certaines fonctions de sécurité découplées
• Exemple de points soulevés
- Beaucoup d’indéterminations :
- De situations
- De positions des actionneurs (capteurs sur FC)
45. Intérêts de l’AMDEC
• Examen systématique, revue de conception,
gage d’exhaustivité (Base de connaissance)
• Mise en évidence des défaillances simples
• Mise en évidence des défaillances de cause
commune (ex : alimentation électrique)
• Etablissement liste des points critiques
• Un point de départ pour d’autres méthodes (type
arbre de défaillance)
46. A titre de conclusion générale
• HAZOP
– ~ 75% de ce qui est trouvé par
différentes méthodes.
– Idem pour ce qui est trouvé par Rex
– Ses limites :
• Défaillances de composants
• Erreurs humaines
• Agressions extérieures
Etudes de circuits de déchargement de SO2 & NH3
• AMDEC performante
˗ pour défaillances composants
˗ pour les systèmes alarme - contrôle
Besoin d’associer des méthodes complémentaires
47. La sécurité n’est jamais acquise
La Directive SEVESO impose un SGS :
Système de Gestion de la Sécurité
Mise en
œuvre
Engagement et Politique
Planification
Mesure
et évaluation
Revue et
amélioration
Diagnostic/Enjeux
48. Vraisemblance
4 9
3 16 29 13 17
2 4 19 20 24
1 6 8 10 11
18 21
12 7 27
1
2 14 25 26
28
15 23 5 3 22
1 2 3 4 Gravité
Evénement
redouté
Causes
potentielles
Conséquences
Préjudices
Niveau de
gravité et de
vraisemblance
Actions
correctives
Management des Risques
Adaptation & généralisation d’un savoir faire
49. Management des Risques
La Cartographie des Risques
Vraisemblance
4 9
3 16 29 13 17
2 4 19 20 24
1 6 8 10 11
18 21
12 7 27
1
2 14 25 26
28
15 23 5 3 22
1 2 3 4 Gravité
Démarche pour identifier et hiérarchiser
l’ensemble des risques afin de bâtir
une politique de maîtrise des risques
et de pouvoir la communiquer à toutes
les parties prenantes