Il y a un petit peu plus de deux ans, le 11 mars 2011 précisément, se produisait le séisme à l'origine de l'accident nucléaire à la centrale japonaise de Fukushima Daiichi. La gestion et la maîtrise des risques industriels, qu'ils soient nucléaires, pétrochimiques ou autre, sont un sujet qui, à coup sûr, enflamme les débats et fait se poser pas mal de questions… Entre les échéances réglementaires, le besoin de qualification du personnel dans les entreprises, et non plus seulement chez les fabricants et dans les bureaux d'études, la montée en puissance de référentiels différents, etc., les industriels sont demandeurs d'informations pertinentes et à jour pour être en conformité avec les exigences en termes de gestion et de maîtrise des risques, exigences dont le respect est contrôlé par la Direction régionale de l'environnement, de l'aménagement et du logement (Dréal).

Il est vrai qu'un accident majeur survenant dans un site industriel classé Seveso (di-rectiveeuropéenne 96/82/CE, dite directive Seveso) peut avoir des conséquences dramatiques pour l'entreprise et pour la population habitant aux alentours. C'est la raison pour laquelle, suite à des accidents industriels majeurs déjà survenus, le gouvernement français a décidé d'une politique de prévention des risques technologiques, dont est issue une réglementation. Elle a pour but la prévention des accidents majeurs impliquant des substances ou des préparations dangereuses présentes dans certaines catégories d'Installations classées pour la protection de l'environnement (ICPE) soumises à autorisation, ainsi que la maîtrise de l'urbanisation autour des sites industriels.

Afin de mettre en œuvre leur plan de modernisation, les industriels peuvent s'appuyer sur le guide méthodologique DT93. Faisant référence à la norme IEC 61511 et à la méthode d'évaluation des barrières techniques de sécurité O 10, il porte plus particulièrement sur la gestion et la maîtrise du « vieillissement » des MMRI.

La Directive dite Seveso du 24 juin 1982 a été initiée par les états européens suite à l'accident survenu six ans plus tôt dans la plaine lombarde, en Italie –Seveso est l'une des quatre communes touchées. L'arrêté ministériel (AM) du 10 mai 2000 est la transposition en droit français de la directive européenne, modifié ensuite par celui du 29 septembre 2005. Dans ce nouvel arrêté ministériel, plusieurs points ont été ajoutés l'introduction du couple “Probabilité d'occurrence”/“Gravité des conséquences sur les personnes” (gravité qui se range en “Désastreux”, “Catastrophique”, “Important”, “Sérieux” et “Modéré”), le positionnement sur la grille conduisant à l'élaboration du Plan de prévention des risques technologiques (PPRT) et la réduction à la source des effets et la demande de les maîtriser par des Mesures de maîtrise des risques (MMR).

Un accident majeur survenant dans un site industriel classé pouvant avoir des conséquences dramatiques pour l'entreprise et la population, une politique de prévention des risques technologiques a été mise en place par le gouvernement il y a plusieurs années. La réglementation qui en découle a pour but la prévention des accidents majeurs dans certaines catégories d'ICPE soumises à autorisation et la maîtrise de l'urbanisation autour des sites.

Modifications liées à l'arrêté du 4 octobre 2010

L'arrêté ministériel du 4 octobre 2010 introduit, quant à lui, la notion de plan de modernisation des installations industrielles (PMII). Les articles 7 et 8 de l'arrêté, qui sont applicables aux MMR faisant appel à une instrumentation de sécurité, imposent la réalisation d'un état initial des MMRI PMII, l'élaboration d'un plan et d'un programme de surveillance, ainsi que l'élaboration d'un dossier pour chaque MMRI PMII. Pour en finir (temporairement) avec l'aspect historique, nous pouvons encore ajouter la circulaire du 10 mai 2010 qui définit les règles techniques en trois points: la méthodologie de rédaction de l'Etude de danger (EDD) pour les sites Seveso seuil haut, les critères d'appréciation de la réduction du risque à la source, et la méthodologie applicable aux PPRT avec les exclusions spécifiques. Revenons à l'AM du 4 octobre 2010 et, en particulier, à l'article 7 sur les exigences de suivi renforcé des MMRI PMII.

Tout cela est bien beau sur le papier, mais quand il est face à l'obligation d'appliquer concrètement les exigences qui lui sont imposées, l'industriel est confronté à un certain nombre d'interrogations sur la démarche à utiliser pour la gestion et la maîtrise du vieillissement de ses installations. Afin d'éviter l'indisponibilité des fonctions de sécurité et/ou la dégradation du niveau de sécurité causées par le vieillissement des installations, la Direction générale de la prévention des risques (DGPR) a lancé une démarche en collaboration avec les fédérations professionnelles dans le but d'établir des guides permettant la mise en œuvre de plans d'actions. L'un d'entre eux, le guide méthodologique DT93, offre un support aux industriels souhaitant mettre en œuvre un plan de modernisation.

Ce guide professionnel fait référence à la norme internationale IEC 61511 et à la méthode d'évaluation des barrières techniques de sécurité O10 définie par l'Institut national de l'environnement industriel et des risques (Ineris). Il porte plus particulièrement sur la gestion et la maîtrise du vieillissement des MMRI dans le cadre de la mise en application de l'AM du 4 octobre 2010, consolidé le 6 août 2011 pour les installations classées soumises à autorisation d'exploiter. Quand on parle ici de “vieillissement”, ce n'est pas une notion liée à l'âge d'un équipement mais à la connaissance de son état réel à un mo-ment donné et des mécanismes induisant sa dégradation. Le terme englobe également les actions que l'on peut être amené à prendre pour réduire ou même annuler les effets de ces mécanismes de dégradation. Le guide a d'ailleurs été reconnu par le minis-tère en charge de l'écologie par décision de la DGPR le 2 août 2011.

Avant d'aller plus loin, rappelons juste la définition officielle d'une MMRI. « Pour un accident potentiel placé sur la grille d'appréciation de la maîtrise des risques de la circulaire du 10 mai 2010,une mesure de sécurité instrumentée est identifiée comme MMRI devant faire l'objet d'un suivi particulier, en application des dispositions de l'article 7 de l'arrêté du 4 octobre 2010. » Et, dans la grille d'acceptabilité MMR, toutes les MMRI pour un niveau de gravité “Désastreux” sont retenues dans le cadre du guide. Seules sont retenues les MMRI pour un niveau de gravité au moins “Important” lorsque l'application d'une probabilité de défaillance égale à 1 ferait passer l'accident potentiel correspondant dans une case MMR “Rang 2” ou “Non” de la grille d'acceptabilité. En résumé, le suivi concerne les MMRI qui font l'objet du plan de modernisation et non l'ensemble des mesures identifiées sur un site.

Le guide méthodologique DT93 décrit ainsi les principes pour un suivi renforcé adapté au vieillissement des MMRI, en d'autres termes la manière de garantir leur fiabilité dans le temps. Les exigences pour remplir les conditions de suivi s'articulent autour de quatre volets : les critères de conception, l'état initial et la fiche de vie, le plan et le programme de surveillance et le maintien des compétences. Dès la phase de conception, les facteurs de vieillissement à prendre en compte sont notamment la sélection des composants, le niveau de confiance –la probabilité de non-fonctionnement de la MMRI–, la mesure de l'efficacité via des tests de bon fonctionnement et l'analyse des comptes-rendus d'action, et les temps de réponses. Il s'agit, pour ce dernier point, d'analyser les dérives du temps de réponse sur sollicitation, dérives pouvant alors indiquer un vieillissement de la MMRI qui ne sera plus en adéquation avec la cinétique du phénomène dangereux à éliminer.

Dans les articles 7 et 8 de l'arrêté ministériel du 4 octobre 2010, les responsables de sites industriels classés doivent mettre en œuvre un suivi renforcé des MMRI. Ce suivi englobe aussi bien la conception et la phase d'exploitation des mesures, jusqu'au démantèlement.

Par les autres exigences au niveau de la conception, on trouve également la testabilité (essais périodiques pour détecter la dégradation des composants du système instrumenté de sécurité [SIS] ou autodiagnostic), la maintenabilité et les compétences, ce qui passe par la définition d'une stratégie associée à l'obsolescence et aux temps de réparation (inhibition d'une MMRI, maintenance préventive et/ou curative), ainsi que les exigences fonctionnelles (performances attendues, seuils, incertitude…), les conditions environnementales et de service, la notion d'indépendance sur un même scénario. La MMRI ne doit en effet pas être à l'origine ou même être affectée par les événements du scénario sur lequel elle est censée agir et ce, avant d'avoir rempli sa fonction. On constate d'ailleurs que l'application volontaire de la norme NF EN 61511 est une bonne pratique pour traiter la problématique liée au vieillissement car les exigences décrites précédemment et celles de la norme sont communes.

Définir un programme de surveillance

Le suivi des MMRI entrant dans le périmètre du plan de modernisation ne s'arrêtant pas à leur conception, les industriels doivent établir un état initial, au travers d'un dossier technique, et bâtir un programme de surveillance, ou plan d'inspection, intégrant les tests périodiques. Le cas échéant, ils doivent mener les réparations et/ou des actions correctives. Le dossier technique constitue ainsi, pour chaque MMRI, l'état zéro avec sa fiche de vie; il sera obligatoirement demandé lors des inspections effectuées par les agents des Dréal. Quant au programme de surveillance, il doit être formalisé et indiquer la méthodologie de gestion et de maîtrise du vieillissement des MMRI. Sa définition est généralement faite à partir des exigences de fiabilité (niveau de confiance [NC] ou Safety Integrity Level [SIL]), de retours d'expérience, des règles et standards de construction, des prescriptions réglementaires et des fournisseurs. Si l'on regarde d'un peu plus près un programme de surveillance, on découvrira qu'il est généralement constitué d'opérations de maintenance corrective (procédures de réparations, gestion des pièces de rechanges…), de maintenance préventive (gestion de l'obsolescence du matériel) et de surveillance (procédure de tests indiquant leur périodicité et la méthodologie). Chaque procédure doit décrire entre autres les modes opératoires et les niveaux d'acceptation admissibles. Les tests, quant à eux, doivent être réalisés dans des conditions les plus proches de celles du fonctionnement réel, sans générer de risques spécifiques.

Pour les tests partiels, il faut s'assurer du recouvrement des parties testées pour garantir une vérification de l'ensemble du système de sécurité. A noter que les arrêts d'installation non programmés peuvent être considérés comme un test… à condition que les résultats soient tracés. Dans ce cas seulement, il faut avoir la garantie que l'ensemble de la fonction de sécurité ait fonctionné, ce qui est difficile lors d'un arrêt intempestif. Par ailleurs, il est nécessaire de mener des analyses récurrentes sur chaque MMRI pour s'assurer des évolutions pouvant indiquer un début du cycle de vieillissement des composants de la MMRI. Les principaux indicateurs sont par exemple l'augmentation des fréquences de pannes, la dérive des temps de réponse, etc. Le processus dynamique qu'est le suivi renforcé englobe par ailleurs la phase d'exploitation. Pour contrôler que les fonctions devant être assurées par les MMRI sont bien maintenues, il est nécessaire de disposer d'une organisation définissant les responsabilités, les moyens et la planification, d'établir des procédures et des documents comprenant le descriptif du plan de maintenance, les mesures compensatoires en cas d'indisponibilité, les audits à effectuer, le suivi des MMRI. Les industriels se doivent également d'analyser les événements après sollicitation et d'établir un éventuel plan d'actions, ainsi que de gérer les modifications des MMRI ou de leur environnement, jusqu'à l'étape finale du démantèlement.

Pas de suivi renforcé sans gestion des compétences

Comme évoqué auparavant, la gestion des compétences n'est pas à sous-estimer, loin de là. Il est en effet de la responsabilité de l'exploitant d'une installation classée de s'assurer que tous les intervenants sur les MMRI, que ce soit des employés du site ou des sous-traitants, sont compétents et que les différents niveaux de compétences sont maintenus tout au long de la durée de vie des MMRI. Les besoins de formation, de qualification, d'habilitation et de recyclage doivent donc être clairement identifiés et suivis. L'exploitant peut, rappelons-le,habi-liter les intervenants sous couvert de formations qualifiantes (module référentiel en sécurité fonctionnelle Quali-SIL de l'Ineris, par exemple) en s'assurant que la qualification correspond aux interventions envisagées pour le personnel (conception, maintenance, exploitation…). A noter que la formation qualifiante délivrée par un organisme externe doit être complétée par d'autres formations propres au site (connaissance des matériels, des technologies mises en œuvre, du procédé…),ce qui correspond à la gestion des connaissances basées sur l'expérience et l'observation.

La norme NF EN 61511 connaît actuellement des évolutions qui touchent à la structure même de la norme, la rendant plus simple et autoportante. Les principaux axes d'évolutions s'articulent autour des définitions, de l'introduction d'une protection relative à la cybersécurité, de la tolérance aux anomalies, d'un BPCS plus développé, de l'introduction d'un niveau SIL 4…

Comme il n'est pas concevable de basculer du jour au lendemain vers un suivi renforcé des MMRI PMII, il est prévu des échéances réglementaires. Pour les unités exploitées déjà avant le 1 ^er janvier 2011, l'état initial doit avoir été fait avant le 31 décembre 2013 et le programme de surveillance (enregistrement et tests) être élaboré au plus tard le 31 décembre 2014. Pour les unités mises en service ou qui ont fait l'objet d'une modification majeure après le 1 ^er janvier 2011, l'état initial et le programme de surveillance sont à réaliser au plus tard douze mois après la mise en service. Si un industriel possède des MMRI qui n'ont jamais été contrôlées, il doit procéder à leur vérification avant le 30 juin 2014.

En plus de la disponibilité du guide méthodologique DT93, les industriels pourront prochainement s'appuyer aussi sur une note de doctrine qui est en cours d'élaboration pour les MMRI. Une note de doctrine est un document réglementaire qui précise le champ d'application ou des données relatives à un arrêté. Les MMRI, qui sont les mesures de maîtrise des risques visées par l'article 4 de l'arrêté du 29 septembre 2005, peuvent être classées en deux catégories: les MMRI de conduite (MMRIC) et celles de sécurité (MMRIS), toutes les deux associées à un facteur de réduction de risque.

Un projet de note de doctrine définissant des MMRIC et MMRIS

Une MMRIC est une MMRI intégrée au système de conduite, qui peut se matérialiser par une alarme sur le système de conduite, avec intervention de l'opérateur sur un organe terminal (vanne manuelle ou de régulation), par des automatismes, etc. En règle générale, le niveau de confiance d'une MMRIC est au maximum égal à 1, sachant qu'une seule MMRIC peut être reconnue sur un même scénario d'accident. Pour qu'un système de conduite soit considéré comme une MMRIC, il faut qu'il remplisse plusieurs conditions minimales. Il s'agit d'abord de s'assurer de l'indépendance de la MMRIC avec les événements initiateurs conduisant à sa sollicitation. Un événement initiateur à l'origine du scénario d'accident ne peut en effet pas lui-même entraîner une défaillance ou une dégradation de performance de la MMRIC.

Autres conditions, les alarmes associées à la MMRIC doivent être distinctes de celles de process, facilement identifiables et non modifiables par l'opérateur sur le poste de conduite. Les actions associées à ces alarmes doivent également être clairement définies, notamment dans des procédures. Il faut par ailleurs s'assurer de la formation et de la disponibilité de l'opérateur (cas de l'action humaine), au sens où son temps d'action est “compatible” avec le temps de réponse de la MMRIC, ainsi que de la gestion des modifications des paramètres (les seuils d'alarme, par exemple), au travers de procédures spécifiques ou du système de gestion de la sécurité de l'établissement, quand il existe. On peut enfin mentionner que l'exploitant a mis en place une maintenance préventive spécifique au titre de la fonction de sécurité remplie, et que le système de conduite est conçu, exploité et maintenu dans des conditions standards et selon de bonnes pratiques.

Une note de doctrine est en cours d'élaboration dans le but de préciser le champ d'application ou des données relatives à l'arrêté ministériel. Parmi les points déjà définis, la note de doctrine classe en deux catégories les MMRI : les MMRI de conduite et celles de sécurité.

En ce qui concerne les MMRI intégrées au système de sécurité (MMRIS), leur facteur de réduction de risque est au minimum égal à 10. Concrètement, cela peut être une sécurité de pression haute avec ouverture automatique d'une vanne,une alarme de sécurité avec intervention de l'opérateur sur un bouton-poussoir… Une chaîne instrumentée ne peut être considérée comme une MMRIS que si l'intégralité de ses éléments est uniquement dédiée à la sécurité. En particulier, une chaîne de conduite,même équipée d'un automate programmable de sécurité (APS), ne peut être considérée comme une MMRIS. Si le niveau de confiance affiché d'une MMRIS est supérieur à 1, il pourra être demandé à l'exploitant une justification particulière. Diverses méthodes peuvent être utilisées, notamment via l'application des normes NF EN 61508 et NF EN 61511 ou l'application d'autres méthodes de calcul ou d'estimation de la fiabilité comme le référentiel O10.

Au vu de la multitude d'architectures possibles et de la complexité à définir des règles communes, l'examen de l'indépendance de deux MMRI (l'une de l'autre) ne peut être réalisé qu'au cas par cas. De manière générale, les chaînes instrumentées, dont les éléments ne sont pas totalement distincts d'un point de vue physique, ne peuvent pas être considérées comme indépendantes. Cela étant, un examen particulier de deux chaînes ayant des éléments communs pourra conduire de manière exceptionnelle à les considérer comme deux chaînes totalement indépendantes, sous réserve de justifications techniques. On peut citer a minima la démonstration du respect de certains critères et de l'inconvénient ou de l'impossibilité de disposer directement de deux chaînes totalement indépendantes, ainsi que le recours à l'expertise d'une tierce partie.

Parmi les critères à respecter, plusieurs MMRI peuvent être gérées par un même APS, sous réserve qu'il existe un facteur minimum de 10 entre le produit des probabilités de défaillance des MMRI et la probabilité de défaillance de l'APS commun. Dans un nœud papillon, différentes mesures peuvent être retenues en tant que MMRI (une MMRIC et une ou plusieurs MMRIS) si elles sont indépendantes les unes des autres,pour un même scénario d'accident. A ce titre, on considère que des MMRIS intégrées dans un même système de sécurité peuvent être retenues pour autant que le niveau de confiance global soit évalué au regard de la probabilité d'occurrence d'éventuels modes communs de défaillance.Ce ne sont ici que quelques points du projet de note de doctrine et de nombreuses modifications sont encore possibles.

Cet article est tiré d'une journée technique organisée par l'association des Exploitants d'équipements de mesure, de régulation et d'automatismes (Exera) le 6 décembre 2012 à Lyon, sur le thème de la gestion des mesures de maîtrise des risques instrumentés (MMRI) dans l'industrie et l'évolution de la réglementation pour les systèmes instrumentés de sécurité (SIS).