CŒUR EMERAUDE

PIECE 3.3 - ETUDE DE DANGER - ANNEXE

METHODOLOGIE DE L’ANALYSE DETAILLEE DES RISQUES (ADR)

L'objectif de l’Analyse Détaillée des Risques (ADR) est de démontrer le degré de maîtrise des risques
pour chacun des évènements redoutés identifiés dans l'APR de l’étape précédente.

A ce titre, elle est appliquée suivant la méthodologie suivante :

 Apprécier la cinétique, la probabilité et la gravité des évènements redoutés, avec :

- Une évaluation plus précise de la probabilité en établissant des arbres des causes.

- Une estimation de la fiabilité des éléments de prévention permettant de réduire la probabilité de

l'évènement redouté.

- Une évaluation de l’intensité des différents dommages possibles (effets thermiques, surpressions,
effets toxiques…).

- Une évaluation de l’exposition humaine.

 Déterminer la criticité d’un évènement redouté et ainsi mettre en évidence (ou non) les événements
majeurs à partir des couples probabilité / gravité obtenus
 En cas d'évènements majeurs, proposer des mesures complémentaires permettant de supprimer le
risque d’accident majeur.

Cette méthodologie est issue de l'arrêté ministériel du 29 septembre 2005 et de la circulaire

DPPR/SEI2/CB-06-0388 du 28 décembre 2006.

L'arrêté ministériel du 29 septembre 2005 détermine les seuils réglementaires pour apprécier
l'intensité des effets physiques des phénomènes dangereux, la gravité des accidents et les classes de
probabilité de ces phénomènes et accidents. Cet arrêté fixe toutefois des valeurs de référence
uniquement pour les effets toxiques (dispersion accidentelle de gaz dans l'atmosphère), les flux
thermiques (incendies) et les surpressions (explosion).

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 1

CŒUR EMERAUDE
PIECE 3.3 - ETUDE DE DANGER - ANNEXE

Pour l’application au site étudié, les évènements redoutés potentiels étudiés dans l’ADR autres que
ceux visés ci-dessus pour lesquels il existe des valeurs de références feront alors l’objet d’une
approche qualitative du risque (en l’absence de seuils réglementaires).

Cinétique

L’étude de la cinétique permet de quantifier de façon plus ou moins précise le temps d’apparition
d’un événement. Deux types de cinétique peuvent être déterminés :

- La cinétique pré-accidentelle, qui est la durée nécessaire pour aboutir à l’événement redouté central,
c’est à dire le délai entre l’événement initiateur et la libération du potentiel de danger.

- La cinétique post-accidentelle, qui est déterminée par la dynamique du phénomène dangereux et

l’exposition des cibles.

Dans le cas des dangers associés à l’exploitation d’un casier de ressuyage des sédiments, on retiendra
la cinétique des évènements incendie et chutes (personnel et engins).

Evaluation de la gravité

Chaque accident critique est étudié et dans la mesure du possible quantifié. Les effets thermiques,
rayons de surpression, distances des seuils d’effets pour les émissions atmosphériques peuvent être
quantifiés par des modélisations et comparés aux seuils de référence définis dans l’arrêté du 29
septembre 2005. En parallèle, une évaluation de l’environnement humain de l’établissement est
réalisée. Ces éléments permettent de définir une gravité selon le tableau ci-dessous (gravité allant de
modéré à désastreux).

(*) Personne exposée : en tenant compte le cas échéant des mesures constructives visant à protéger les personnes contre
certains effets et la possibilité de mise à l’abri des personnes en cas d’occurrence d’un phénomène dangereux si la
cinétique de ce dernier et de la propagation de ses effets le permettent.

Tableau 1 : Eléments définissant la gravité

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 2

CŒUR EMERAUDE
PIECE 3.3 - ETUDE DE DANGER - ANNEXE

Pour les évènements étudiés autres que ceux pour lesquels l’arrêté du 29 septembre 2005 fixe des
seuils de références ou difficilement modélisables, le risque pourra être apprécié sur un mode
qualitatif ou semi-quantitatif et être comparé à cette grille d’évaluation de la gravité.

Le nombre de personne exposée est calculé à partir de la fiche technique N°1 de la circulaire
DPPR/SEI2/CB-06-0388 du 28/12/20061 : Fiche « Eléments pour la détermination de la gravité des
accidents ». Cette fiche définit les règles de comptages des personnes susceptibles d’être exposées à
des effets létaux ou irréversibles.

Pour exemple, on précisera ci-après la détermination du nombre de personnes potentiellement

exposées en fonction de différents types d’occupation des sols :

Tableau 2 : Règles de calculs du nombre de personnes exposées selon l’occupation des sols

Evaluation de la probabilité

Classes de probabilités

Le tableau ci-après met en relation les ordres de grandeur ainsi que les appréciations quantitatives
des probabilités qui vont être calculées. Ce tableau découle de l’arrêté du 29/09/2005.

Tableau 3 : Tableau de cotation et d’appréciation des classes de probabilité - Arrêté du 29/09/05

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 3

CŒUR EMERAUDE
PIECE 3.3 - ETUDE DE DANGER - ANNEXE

L’objectif de ce tableau est de positionner chaque évènement dans une classe de probabilité. La
méthodologie appliquée dans le cadre de la présente étude est la semi quantitative. Elle est
explicitée dans les paragraphes suivants.

Réalisation des arbres de défaillance

Une méthode de représentation des scénarii d’évènements dangereux par un système

d’arborescence peut être utilisée. Ce type de représentation présente l’avantage d’une lecture
simple et immédiate qui permet de faire ressortir les différentes causes pouvant être à l’origine d’un
événement majeur et leurs interrelations. Cette représentation s’articule autour d’un événement
redouté central, avec :

- D’un côté de l’arbre de défaillances le regroupement des évènements initiateurs (arbre des causes). Les
liens entre ces évènements sont figurés par des portes « ET » ou« OU ». La porte « ET » signifie que
l’ensemble des conditions amont doivent être présentes, tandis que la porte « OU » signifie que l’un des
évènements amont suffit pour l’apparition de l’événement indésirable.

- De l’autre côté de l’arbre des défaillances sont précisés les éventuels évènements redoutés
secondaires et les phénomènes dangereux qu’ils peuvent entraîner ainsi que leurs conséquences
(arbre des conséquences).

Ce type de représentation permet également de démontrer la bonne maîtrise des risques, avec la
possibilité de superposer à ce logigramme les différentes barrières de sécurité préventive et de
protection mises en œuvre. Ces arbres de défaillances permettent ainsi la détermination des
probabilités d’occurrence via une méthode d’« approche par barrière ».

Détermination de la probabilité

L'approche par barrière consiste tout d'abord à vérifier, sur la base de certains critères, si la barrière
de sécurité peut être retenue pour le scénario étudié. Il est ensuite attribué un niveau de confiance
aux barrières de sécurité retenues.

La combinaison de la fréquence d'occurrence de l'événement initiateur et des niveaux de confiance

des barrières de sécurité participant à la maîtrise d'un même scénario, permet d'estimer une classe
de probabilité d'occurrence du scénario.

Cette démarche découle de travaux menés par l’INERIS dans le cadre de programmes de recherche
financés par le Ministère chargé de l'environnement, à savoir le DRA 39 « Évaluation des barrières de
sécurité de prévention et de protection utilisées pour réduire les risques d’accidents majeurs », le
DRA-34 « Analyse des risques et prévention des accidents majeurs », ainsi que de diverses études
réalisées par la Direction des Risques Accidentels.

La probabilité d’un évènement initiateur est issue de l’expérience et elle inclut des barrières de
sécurité et leur efficacité. On considère notamment :

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 4

CŒUR EMERAUDE
PIECE 3.3 - ETUDE DE DANGER - ANNEXE

- La résistance des matériels mis en jeu.

- Les procédures internes de sécurité mises en œuvre.

- Les procédures de sécurité qui permettent d’éviter l’évènement initiateur (source d’ignition par exemple).

Cependant, la probabilité des événements initiateurs reste très souvent aléatoire, en l’absence de
données bibliographiques suffisantes à l’heure actuelle. En conséquence, dans la présente étude, la
démarche suivante a été retenue :
1) Prise en compte de la probabilité de l’événement initiateur lorsque celle-ci existe et s’avère fiable.
2) Prise en compte des barrières organisationnelles et techniques (ainsi que des caractéristiques
intrinsèques) mises en place au regard des événements courants pour déterminer la probabilité de
l’événement initiateur, chaque événement courant ayant par défaut une probabilité initiale de
classe A (évènement courant).
3) Comparaison, lorsque cela s’avère possible, de la probabilité de l’événement initiateur avec la
probabilité du même événement initiateur déterminé pour une autre branche d’activité.

 Définitions

Afin de faciliter la compréhension de la démarche d’évaluation de la probabilité d’un évènement

dangereux, on précisera ci-après quelques définitions sur les termes employés :

- Barrière technique de sécurité (BTS) : barrière qui permet d'assurer une fonction de sécurité. Elle
est constituée d'un dispositif de sécurité ou d'un système instrumenté de sécurité qui s'oppose à
l'enchaînement d'événements susceptibles d'aboutir à un accident.

- Dispositif de sécurité : c'est en général un élément unitaire, autonome, ayant pour objectif de
remplir une fonction de sécurité, dans sa globalité. On distingue :
• Le dispositif passif, qui ne met en jeu aucun système mécanique.
• Le dispositif actif, qui met en jeu un dispositif mécanique (ressort, levier…).

- Efficacité : l'efficacité d'une BTS est évaluée au regard de son aptitude à remplir la fonction de
sécurité pour laquelle elle a été choisie, dans son contexte d'utilisation et pendant une durée donnée
de fonctionnement. Cette aptitude s'exprime en pourcentage d'accomplissement de la fonction
définie, en considérant un fonctionnement normal (non dégradé). Ce pourcentage peut varier
pendant la durée de sollicitation de la barrière technique de sécurité.

- Système instrumenté de sécurité (SIS) : combinaison de capteurs, d'unité de traitement et

d'actionneurs (équipements de sécurité) ayant pour objectif de remplir une fonction ou sous fonction
de sécurité.

- Equipement de sécurité : élément d'un SIS qui remplit une sous-fonction de sécurité.

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 5

CŒUR EMERAUDE
PIECE 3.3 - ETUDE DE DANGER - ANNEXE

- Fonction de sécurité : fonction ayant pour but la prévention et la protection d'événements

redoutés. Les fonctions de sécurité identifiées peuvent être assurées à partir de barrières techniques
de sécurité, de barrières organisationnelles (activités humaines), ou plus généralement par la
combinaison des deux. Une même fonction de sécurité peut être réalisée par différentes barrières de
sécurité. Une fonction de sécurité peut se décomposer en sous-fonctions de sécurité liées.

- Niveau de confiance (NC) : c'est une adaptation par l'INERIS des exigences des normes NF-EN
61508 et CEI 61511, notamment quant aux architectures des systèmes pour tous les équipements de
sécurité, quelle que soit leur technologie.

- Principe de concept éprouvé : un équipement simple est de conception éprouvée soit, lorsqu'il a
subit des tests de « qualification » par l'utilisateur ou d'autres organismes, soit lorsqu'il est utilisé
depuis plusieurs années sur des sites industriels et que le retour d'expérience sur son application est
positif. Pour cela, on peut s'appuyer sur :
• Le retour d'expérience de l'utilisateur (exploitant, service maintenance, inspection…), voire du
fournisseur.
• L'accidentologie (retour d'expérience des accidents et incidents).
• Les standards indiqués par des syndicats professionnels.

- Redondance : existence, dans une entité, de plus d'un moyen pour accomplir une fonction requise.

- Temps de réponse : il correspond à l'intervalle de temps entre le moment où une barrière de

sécurité, dans un contexte d'utilisation, est sollicitée et le moment où la fonction de sécurité assurée
par cette

Détermination du niveau de confiance (NC)

Le niveau de confiance des barrières de sécurité est déterminé selon la méthode définie par l’INERIS.
Le niveau de confiance ne se substitue pas aux normes NF-EN 61508 et CEI 61511 relatives à la
sécurité fonctionnelle. La démarche proposée est une méthode d’évaluation qualitative « simple » en
vue d’évaluer la performance des barrières techniques et humaines de sécurité. Les niveaux de
confiance des barrières de sécurité sont basés sur :
• La fiche N°7 de la circulaire DPPR/SEI2/CB-06-0388 du 28/12/2006.
• Le guide OMEGA 10 de l’INERIS portant sur l’évaluation des barrières techniques de sécurité.
• Le guide OMEGA 20 de l’INERIS portant sur l’évaluation des barrières humaines de sécurité.

Cas des barrières techniques de sécurité :

Avant de déterminer ce niveau de confiance pour les barrières techniques de sécurité (BTS), il est
important de vérifier que cette BTS est de concept éprouvé, qu’elle est indépendante du procédé et
qu’elle est indépendante d’une autre BTS. Le niveau de confiance est ensuite déterminé par :

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 6

CŒUR EMERAUDE
PIECE 3.3 - ETUDE DE DANGER - ANNEXE

- Une proportion de défaillance en sécurité (ou Safe Failure Fraction – SFF) qui est généralement
inférieure à 60% mais qui selon les cas (bon retour d’expérience, essais, niveau SIL selon la norme NF-
EN 61511…) peut augmenter vers des niveaux de l’ordre de 99%.

- Une tolérance aux anomalies matérielles qui est l’équivalent d’une redondance.

On obtient alors un niveau de confiance défini selon les grilles données dans le rapport Oméga 10 de
l’Ineris pour les systèmes techniques dits « simples » (vannes, relais, interrupteurs…) ou «
complexes» (système capable de traiter une information).

Tableau 4 : Niveaux de confiance pour des systèmes techniques simples de sécurité (Extrait et adapté de la
norme CEI-EN 61508 /Tab.1 de l’Omega 10)

Tableau 5 : Niveaux de confiance pour des systèmes techniques complexes de sécurité (Extrait et adapté de la
norme CEI-EN 61508 / Tab.2 de l’Omega 10)

Cas des dispositifs passifs de sécurité :

Pour déterminer le niveau de confiance d'un dispositif passif de sécurité (cuvette de rétention…) il
faut déterminer sa probabilité moyenne de défaillance (ou taux de défaillance à la sollicitation/PFD).
Une fois celle-ci estimée, le tableau suivant qui est inspiré de la norme NF EN 61508 permet de faire
le lien avec le niveau de confiance.

Tableau 6 : Evaluation d’un niveau de confiance en fonction de sa probabilité moyenne de défaillance

Le niveau de confiance pourra être maintenu ou décoté en fonction des procédures et des moyens
(maintenance, inspection…) mis en œuvre par l'industriel pour maintenir dans le temps le niveau de
confiance du dispositif.

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 7

CŒUR EMERAUDE
PIECE 3.3 - ETUDE DE DANGER - ANNEXE

Note : en l’absence d’études spécifiques ou d’un retour d’expérience suffisant permettant d’apprécier
la probabilité de défaillance d’un système, le niveau de confiance retenu par défaut sera NC1.

Cas des barrières humaines organisationnelles :

Pour les barrières organisationnelles et selon la fiche N°7 de la circulaire du 28/12/2006, le niveau de
confiance initial à retenir est déterminé selon les critères suivants :

• NC2, dans le cas d’une mesure de pré-dérive réalisée par une personne dédiée spécifiquement à cette
action (spécialiste).
• NC1, dans le cas d’une mesure de pré-dérive réalisée par l’opérateur chargé du process.
• NC1, dans le cas de mesures de rattrapage de dérive (intervention sur un incident).
Dans un second temps, conformément aux recommandations de l’INERIS, ce niveau de confiance
pourra être maintenu ou décoté, en fonction :

• De la simplicité de détection de l’évènement anormal.

• De la simplicité du diagnostic, quant aux choix de l’opération à mener pour empêcher le scénario
redouté de se produire.
• De la simplicité de l’action de sécurité à conduire pour éviter ou en réduire les effets.
• De la pression temporelle à laquelle sont soumis les intervenants, si le temps d’intervention doit être
bref ou si la cinétique des événements menant à l’accident est rapide.

Formations et consignes :
Les formations et consignes de sécurité sont des éléments qui participent à la fiabilité et au maintien
du niveau de confiance d’autres barrières de sécurité. De ce fait, aucun niveau de confiance ne leur
est appliqué de manière

Détermination de la probabilité :
Pour rappel, il existe 5 classes de probabilités définies dans l’arrêté du 29/09/2005. Elles sont
indiquées ci-dessous.

Classe E D C B A

La probabilité d’occurrence est déterminée à partir des arbres des causes et des conséquences. Pour
chaque branche de l’arbre, on part de la probabilité définit pour l’évènement initiateur (classe A
prise par défaut, en l’absence de données bibliographiques précises) que l’on décote en fonction des
niveaux de confiance des différentes barrières de sécurité mises en œuvre pour en réduire
l’occurrence :
• en présence d’une barrière NC1 : décote d’une classe (A donnera B ; B donnera C …).
• En présence d’une barrière NC2 : décote de deux classes (A donnera C).
• En présence d’une barrière NC1 et d’une barrière NC2 : décote de trois classes (A donnera D) etc…
Lors de passage de portes « ET » ou « OU », les règles de détermination de probabilités suivantes
sont appliquées :

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 8

CŒUR EMERAUDE
PIECE 3.3 - ETUDE DE DANGER - ANNEXE

 Portes « ET » : une multiplication des deux classes de probabilité est réalisée. Par exemple : classe A x
classe B = classe C.
 Portes « OU » : la probabilité de classe la plus élevée est retenue. Par exemple une probabilité de
classe A ou une probabilité de classe B découleront sur la prise en compte d’une probabilité de classe A.

Détermination de la criticité

Une évaluation de la gravité et de la probabilité sera réalisée pour chaque phénomène dangereux
étudié, selon les grilles définies dans l’arrêté du 29/09/2005. Ces deux paramètres forment un couple
« gravité – probabilité » qui est alors placé dans le tableau ci-après, en vue de hiérarchiser le risque
et définir la criticité du phénomène dangereux.

Tableau 7 : Grille de criticité des évènements (couple Gravite – Probabilité)

IDRA ENVIRONNEMENT - POLE INGENIERIE / DECEMBRE 2013 9