Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Version du 04/09/13 1 Guide relatif aux Mesures de Maîtrise des Risques instrum

Version du 04/09/13 1 Guide relatif aux Mesures de Maîtrise des Risques instrumentées (MMRI) 1 - Préambule L’objet de ce guide est de définir des règles générales pour la prise en compte, dans les études de dangers, des mesures de maîtrise des risques instrumentées (MMRI) telles que définies au paragraphe 2 ci-dessous. Lorsque l’instruction d’une étude de dangers a conduit l’inspection des installations classées à accepter des dispositions différentes de celles du présent guide avant sa publication, celles-ci ne sont pas à remettre en cause mais pourront faire l’objet d’une nouvelle analyse dans les cas suivants : - dans le cadre de la mise à jour d’une étude de dangers suite à un ré-examen périodique (révision quinquennale) ou particulier (demande anticipée ou modification des installations) ; - si une modification significative d’une ou plusieurs MMRI est réalisée ; - si un retour d’expérience défavorable (par exemple, la défaillance récurrente et/ou majeure d’un élément d’une MMRI similaire) a été constaté. Lorsqu’une instruction d’une étude de dangers est menée après la publication du présent guide, seules des conditions particulières peuvent justifier d’accepter, exceptionnellement, des dispositions différentes de celles prévues ci-dessous, après un examen très attentif de celles-ci, et moyennant une tierce-expertise. 2 - Définition et typologie des MMRI 2.1 Rappel sur les MMR Les MMR sont définies dans le cadre des études de dangers dans un objectif de prévention et de réduction des accidents majeurs. Elles doivent répondre aux exigences fixées à l’article 4 de l’arrêté du 29 septembre 2005. En particulier, une barrière de sécurité doit, pour être retenue comme MMR pour un scénario d'accident, être indépendante des événements initiateurs conduisant à sa sollicitation, c’est-à-dire : - un événement initiateur à l’origine du scénario d’accident ne doit pas lui-même entraîner une défaillance ou une dégradation de la performance de la MMR ; - le scénario d'accident ne doit pas avoir pour origine une défaillance d'un élément de la MMR. Des croquis en annexe 1 illustrent ces principes pour le cas de chaînes instrumentées. 2.2 Définition d’une MMRI Une MMRI est une MMR constituée par une chaîne de traitement comprenant une prise d'information (capteur, détecteur…), un système de traitement (automate, calculateur, relais…) et une action (actionneur avec ou sans intervention d’un opérateur). La MMR ne peut être considérée comme MMRI que si l'intervention humaine, lorsqu'elle existe, est limitée à une action déclenchée suite à une alarme elle-même déclenchée sans intervention humaine (le §2.4 définit des conditions de prise en compte de l’action humaine). Version du 04/09/13 2 Cette définition de MMRI est retenue pour l’application de l’arrêté du 4 octobre 2010, section 1, art.7. Elle vient préciser le guide DT 93 pour la gestion et la maîtrise du vieillissement des MMRI. En termes de doctrine, la notion de MMRI est distincte de la notion de MMR technique utilisée dans l’application des filtres (PPRT et MMR) pour l’exclusion de certains accidents ou phénomènes dangereux. En particulier, les MMRI avec action humaine ne sont pas des « MMR techniques » au sens de la circulaire du 10 mai 2010. A l’inverse, une MMRI peut être considérée comme une MMR technique si elle ne comporte pas d’intervention humaine et être utilisée dans l’application des filtres PPRT et MMR. Les deux croquis suivants illustrent, de manière générale, les cas où une chaîne instrumentée peut être reconnue comme MMRI : A titre d’exemples, plusieurs cas de chaînes instrumentées avec intervention humaine pouvant être reconnues ou non comme MMRI sont placés en annexe 2 au présent guide. 2.3 Distinction MMRI de Sécurité (MMRIS) et MMRI de Conduite (MMRIC) Les MMRI sont classées en deux catégories appelées MMRI de conduite (MMRIC) et MMRI de sécurité (MMRIS) et définies ci-après. Les MMRIC et MMRIS peuvent être distinguées comme sur le croquis suivant : Alarme et action opérateur Acquisition du signal (capteur, détecteur) Traitement du signal (automate, relais) Action automatique (ex : vanne automatique) Traitement du signal (automate, relais) Acquisition du signal (capteur, détecteur) Version du 04/09/13 3 Illustration de la distinction fonctionnelle et matérielle entre une MMRIC et une MMRIS Les deux paragraphes suivants (§ 2.3.1 et 2.3.2) permettent de distinguer plus précisément les MMRIS des MMRIC et de définir les conditions minimales à respecter pour les reconnaître en tant que telles. L’annexe 3 donne des exemples de MMRIS et MMRIC. 2.3.1 MMRI de Sécurité (MMRIS) Une MMRIS repose sur un système instrumenté de sécurité, c'est-à-dire un système combinant capteur(s), unité de traitement et actionneur(s) ayant pour objectif de remplir exclusivement des fonctions de sécurité. Elle se matérialise par exemple par : - une sécurité de pression haute avec ouverture automatique d’une vanne ; - une alarme de sécurité avec intervention de l’opérateur sur un bouton-poussoir… De manière générale, une chaîne instrumentée est considérée comme MMRIS lorsque ses éléments sont uniquement dédiés à la sécurité. Toutefois, les éléments d’une chaîne de sécurité peuvent aussi être utilisés pour la conduite de l’installation, sous réserve : - qu'ils ne soient pas susceptibles de conduire à un événement initiateur à l’origine du scénario d’accident, - que l'action de sécurité qu’ils assurent soit prioritaire sur toutes leurs autres actions, - qu’ils ne soient pas déjà pris en compte dans une MMRIC pour ce scénario. Dans le cas où un exploitant propose une MMRI basée sur un automate dédié également à des fonctions de conduite, l’exploitant doit a minima justifier du respect des dispositions suivantes : - l'automate est un APS (Automate Programmable de Sécurité) et ne gère que des opérations de conduite simples comme des actions binaires (ex : commandes de fermeture et d'ouverture de vannes par un opérateur lors d’une opération de dépotage, commande de marche/arrêt…) ; - la défaillance (matériel ou logiciel) des fonctions de conduite n'a pas d’impact sur les fonctions de sécurité ; Alarmes Alarmes Version du 04/09/13 4 - toute modification des consignes relatives à une fonction de conduite est gérée avec la même exigence qu’une modification des consignes relatives aux fonctions de sécurité. De plus, pour les nouvelles MMRIS, la chaîne de sécurité est conforme aux normes NF EN 61508 et NF EN 61511 . L'inspection se prononcera sur l’acceptabilité de la chaîne en tant que MMRIS en se basant en tant que de besoin sur une tierce expertise qui examinera le respect des critères ci- dessus. Sous réserve d’un choix adapté pour les différents éléments de la chaîne (garanties sur la fiabilité, notamment via le retour d’expérience disponible ou un document justificatif), un niveau de confiance de 1 (NC1) d’une MMRIS peut être atteint lorsque le système de sécurité est conçu, exploité et maintenu dans des conditions standards et selon de bonnes pratiques (standards ou référentiels, recommandations fournisseurs, architecture éprouvée, concept éprouvé, procédures de sécurité…). Les règles de maintenance de l’exploitant font l’objet de procédures écrites telles que définies dans le guide DT 93 pour la gestion et la maîtrise du vieillissement des MMRI. Si le NC affiché d’une MMRIS est supérieur à 1, il pourra être demandé à l’exploitant une justification particulière. Diverses méthodes peuvent être utilisées, notamment via : - l’application des normes NF EN 61508 et NF EN 61511, ou ; - l’application d’autres méthodes de calcul ou d’estimation de la fiabilité comme le référentiel Ineris Ω10. La justification attendue devra comporter des éléments sur les critères de redondance retenus pour atteindre ce NC. 2.3.2 MMRI de Conduite (MMRIC) Une MMRIC est une MMRI intégrée au système de conduite de l’installation. Elle se matérialise par exemple par : - une alarme sur le système de conduite avec intervention de l’opérateur sur un organe terminal tel qu’une vanne manuelle, un arrêt d’urgence (AU) ; - une chaîne de détection ou de sécurité implantée dans le système de conduite. Pour que les chaînes implantées dans un système de conduite soient considérées comme des MMRIC, il faut que les conditions minimales suivantes soient vérifiées : - les éléments de la chaîne ne sont pas susceptibles de conduire à un événement initiateur à l’origine du scénario d’accident ; - l'action de sécurité assurée par les éléments de la chaîne est prioritaire sur toutes leurs autres actions ; - les modifications des paramètres (les seuils d’alarme, par exemple) sont gérées au travers de procédures ou du système de gestion de la sécurité de l’établissement, quand il existe (cf. § 7.5 du guide DT 93) ; - l’exploitant a mis en place une maintenance préventive au titre de la fonction de sécurité remplie (cf. guide DT 93, notamment son § 6.3.2) ; - le système de conduite est conçu, exploité et maintenu dans des conditions standards et selon de bonnes pratiques (standards ou référentiels, architecture éprouvée, concept éprouvé, procédures d’exploitation et de maintenance, détection des principales défaillances telles que défaut capteur ou perte d’alimentation actionneur…). Le niveau de confiance d’une MMRIC est au maximum égal à 1 (valeur retenue dans la norme NF EN 61511 « Sécurité fonctionnelle : Systèmes instrumentés de sécurité pour les industries de transformation »). Version du 04/09/13 5 Sur un même scénario d’accident, deux MMRIC maximum peuvent être reconnues, sous réserve qu'elles soient indépendantes entre uploads/Finance/ guide-mmri.pdf