AXE CINDYNIQUE LA DEFENSE EN PROFONDEUR : un concept à généraliser? Tuteur : Henry Londiche Avril 2003
SOMMAIRE INTRODUCTION... 2 PRESENTATION DU CONCEPT DE DEFENSE EN PROFONDEUR... 3 I. Les principes de la défense en profondeur... 3 II. Application dans la sûreté nucléaire... 5 INTERET DE LA DEFENSE EN PROFONDEUR POUR LES INSTALLATIONS DE TYPE SEVESO... 8 I. La réussite de la défense en profondeur dans le nucléaire... 8 II. Les avantages de la défense en profondeur :... 9 1) Un concept finalement intuitif... 9 2) Globale et systémique... 9 3) Une plus grande responsabilité des acteurs... 9 4) La recherche d une cohérence d ensemble... 9 5) Une organisation facilitée de la connaissance et de la prise de décision...10 6) Un suivi d exploitation rigoureux...10 III. Pourquoi ne pas appliquer aux sites SEVESO?...11 LES BARRIERES DE SECURITE...13 I. Généralités...13 II. Principales caractéristiques d'une barrière...14 III. Classification des barrières...14 IV. Les fonctions des barrières...16 V. Les exigences associées à chaque barrière...17 VI. Comment disposer les barrières pour optimiser la protection?...18 INSUFFISANCE DE LA DÉFENSE ACTUELLE DES SITES SEVESO...20 I. Contexte...20 II. La nuit de l accident (du 2 au 3 décembre 1984)...21 III. La défense en profondeur mise en place...22 LA VOIE A SUIVRE...25 I. La défense en profondeur, une question d actualité?...25 1) Vers une évolution de la réglementation...25 2) Un recours à ce concept de plus en plus ouvert...26 II. Quelle méthode peut-on suivre pour mettre en place une politique de maîtrise des risques basée sur la défense en profondeur?...27 CONCLUSION...29 BIBLIOGRAPHIE...30 LA DEFENSE EN PROFONDEUR 1
INTRODUCTION Dans l industrialisation galopante de notre société, la sécurité voit son importance grandir de jour en jour. Les chefs d entreprise, tout comme les politiques, ont perçu la nécessité d accroître les normes de sécurité et surtout de fournir de réels efforts en terme de recherche pour aboutir à des conceptions de procédés englobant ces questions de sécurité. Au niveau législatif même, des lois imposant des normes, des procédures ont été votées, et ce sont autant d avancées obligatoires dans la sécurité qu ont du réaliser les entreprises concernées. Cependant, dans l analyse des risques d un système industriel ou urbain, les notions de barrières de sécurité et de lignes de défense, le concept de défense en profondeur, ne sont pas couramment utilisés. Dans le cas de l'industrie nucléaire pourtant, ces éléments ont montré toute leur efficacité. Alors pourquoi les autres entreprises dites à risque, comme les installations classées SEVESO par exemple, n ont-elles pas mis en place de tels systèmes de prévention des risques? Le système de défense en profondeur, essentiellement par l intermédiaire de barrières, permet la mise en place de facteurs techniques, humains, organisationnels dans le but de prévenir les risques auxquels est soumise l entreprise. Il serait donc sans doute intéressant de voir s il est possible d adapter ce système à des organisations qui n ont pas encore de réelle politique de maîtrise des risques. Nous débuterons notre étude par une présentation la plus complète possible du concept de défense en profondeur, puis nous détaillerons comment l industrie nucléaire a adapté ce système. Ensuite, nous essaierons de voir dans quelle mesure la défense en profondeur peut être utilisée dans les installations de type SEVESO, avant de nous intéresser de plus prêt aux barrières de sécurité, en explicitant leurs caractéristiques et principales fonctions. Enfin nous nous attarderons sur un exemple concret de défense en profondeur qui a malheureusement échoué : l accident de Bhopal en Inde. On en tirera les conséquences pour ainsi essayer d élaborer une méthode rigoureuse à suivre. LA DEFENSE EN PROFONDEUR 2
PRESENTATION DU CONCEPT DE DEFENSE EN PROFONDEUR I. Les principes de la défense en profondeur Le concept de défense en profondeur appartient au domaine de la sécurité. Derrière ce concept se cachent des notions de ligne de défense, de barrière de sécurité. Ce concept se définit comme la succession de lignes de défenses ou de barrières à la fois techniques et organisationnelles, afin de diminuer les risques d accident ou de réduire les conséquences d un système si l accident se produit. On pourrait en quelque sorte faire remonter ce concept à l époque des châteaux forts, voire même avant. En ce temps déjà, la sécurité était une priorité. Même si le danger ne provenait pas d installation industrielle, mais bien d ennemis armés. La population se réfugiait dans le château du seigneur en cas d attaque. Ce château était en général construit dans l optique de résister à l assaut. Pour cela, de multiples moyens étaient à disposition. La première ligne était constituée d un terrain vierge, sans aucun obstacle, afin de permettre aux archers d éliminer une grande partie des forces ennemies à distance. Puis autour du château, on pouvait trouver des douves très profondes, qui gênaient fortement l attaque. Et enfin, le château en lui-même, constitué de remparts et d un passage, généralement à deux entrées : une porte massive et plus loin une grille. On voit ainsi que l idée d avoir plusieurs parades différentes pour se protéger n est pas d aujourd hui. Mais il est en tout cas toujours d actualité. En effet, ce concept a été transposé aux situations industrielles. La défense en profondeur est une composante essentielle de la sécurité dans le domaine nucléaire. C est d ailleurs sur ce principe que repose la sûreté nucléaire. Celle-ci couvre l'ensemble des dispositions techniques et organisationnelles prises à tous les stades de la conception, de la construction, du fonctionnement, de l'arrêt et du démantèlement des installations nucléaires ainsi qu'au cours des transports de matières radioactives à usage civil pour en assurer un fonctionnement normal, prévenir les accidents et en limiter les effets. La sûreté nucléaire n est peutêtre pas à l origine de ce concept, mais elle applique cette méthodologie de manière systématique. LA DEFENSE EN PROFONDEUR 3
La défense en profondeur a pour fonction de pallier aux défaillances techniques et humaines. Elle s articule autour de trois grandes lignes. La prévention : Avant même la mise en route du système, c est d abord dans sa conception que le plus gros du travail d élimination des risques a lieu. La conception d un procédé présentant des risques, doit être conçu avec une très grande résistance intrinsèque face aux dangers qu il implique. Cela impose une étude très poussée à la fois sur le comportement normal de l installation, mais également sur des conditions de fonctionnement «hors limites» afin de déterminer les tensions auxquelles sera soumise l installation. Ce travail permet ainsi d élaborer des protections adaptées aux conditions normales et extrêmes de travail. Ensuite, on s intéresse au fonctionnement de l installation en place. La principale préoccupation est d éviter la défaillance. Pour cela, le matériel, les barrières sont rigoureusement examinés et entretenus périodiquement. Les matériaux choisis pour une barrière technique, par exemple un mur de confinement, sont sans arrêt examinés afin de savoir si leur choix est adéquat et pertinent, mais également afin de garantir qu ils remplissent toujours leur fonction correctement, c est-à-dire s ils supportent bien les conditions de fonctionnement du système et que leur maintien dans le temps est parfait. Les actions à prendre sont donc un contrôle strict, exigeant de toutes les installations et cela régulièrement. Une surveillance permanente à laquelle s ajoute un respect strict des normes de constructions. En effet, une installation a été conçue dans la perspective d une utilisation particulière, et on ne doit donc en aucun cas pousser celle-ci au-delà des limites nominales. La surveillance : L objectif de cette ligne de conduite est d être le plus rapidement informé d un état inhabituel du processus. On se situe encore au-dessous de la zone de danger mais on se rapproche de manière anormale. Et donc, afin de prendre les bonnes décisions et de ramener le système à l état normal, les opérateurs doivent être avertis en temps réel. Pour cela, tout un ensemble de mesures doivent être prises. Tout d abord, du point de vue technique : des capteurs, des caméras, en un mot un système de surveillance efficace et toujours en état de fonctionnement est essentiel. Il faut alors mesurer et contrôler systématiquement un certain nombre de grandeurs et, par comparaison avec des marges prédéfinies d'intervention, prévoir le déclenchement éventuel des actions correctives, automatiques ou manuelles nécessaires. D un autre côté, il faut que les opérateurs soient toujours sur le qui-vive et prêts à agir. Cela implique donc une surveillance étroite et en continu, effectuée par des opérateurs incités à être attentifs. Ces opérateurs doivent avoir à portée de main tous les éléments techniques et procéduraux afin de prendre les bonnes décisions. Leur bonne formation se révèle ainsi être un élément essentiel dans la gestion correcte de l urgence. Enfin des moyens techniques doivent exister afin de leur permettre de reprendre le contrôle de la situation. Par exemple, l existence d un système de refroidissement pour réduire l exothermie d une réaction. LA DEFENSE EN PROFONDEUR 4
Les moyens d action : Dans le cas où les précédentes précautions prises précédemment ne suffisent pas, il faut pouvoir confiner les effets de l accident au maximum. Il s agit donc de mettre en place des dispositifs pour limiter les conséquences de la défaillance. Nous reviendrons un peu plus loin sur cette partie afin d étudier ce que la sûreté nucléaire a mis en place dans les centrales nucléaires. Cela implique également de travailler en collaboration avec les collectivités territoriales, afin de mettre en place des plans de réaction efficaces et à la hauteur des risques potentiels à la fois pour la population et pour l environnement. Ce dispositif de crise consigne en fait toutes les procédures à prendre dans le but de limiter les conséquences d un accident. Ces aspects sont traités à la fois dans le Plan d Urgence Interne et dans le Plan Particulier d Intervention. II. Application dans la sûreté nucléaire Le concept de défense en profondeur a été développé pour le nucléaire dès les années 1960 en Amérique ; il consiste notamment à multiplier les lignes de défense autour des matières radioactives, en prenant soin qu'elles soient indépendantes. Les trois principes énoncés plus haut commandent l'exploitation des installations nucléaires. Concrètement, les opérateurs en salle de commande, qui pilotent la centrale, doivent respecter les règles d'exploitation. Le respect de ces règles permet de prévenir les incidents en maintenant le réacteur en fonctionnement normal. C est la première ligne de défense. La conception des centrales REP 1 a introduit un système de trois barrières techniques afin de confiner les produits radioactifs. La 1 ère barrière : C est une gaine combustible. C est en fait un tube long de 4,5 m et de 9 millimètres de diamètre en zircaloy qui enserre le combustible (qui est sous forme de pastilles). Le zircaloy est un alliage de zirconium, d étain, de fer et de chrome, nickel, ayant des qualités chimiques et mécaniques adéquates dans l eau portée à 300 C. La 2 ème barrière : le circuit primaire : il comprend la cuve du réacteur (en acier de 22 cm), les générateurs de vapeur, les pompes primaires, le préssuriseur et les tuyauteries associées. L'eau du circuit primaire est refroidie par celle du circuit secondaire, sans être en contact avec elle. Tout ce matériel assure en partie l évacuation de l énergie calorifique, en refroidissant le combustible. La 3 ème barrière : la double enceinte du bâtiment réacteur : constituée d une enceinte intérieure d une épaisseur de 90 cm en béton précontraint, plus d une enceinte extérieure de 55 cm en béton armé. Entre ces deux enveloppes, il y a un espace en dépression de 1,80 m. 1 REP : Réacteur à eau sous pression LA DEFENSE EN PROFONDEUR 5
Source : EDF Par ailleurs, dans l optique d éviter au maximum les défaillances, de nombreux dispositifs sont doublés voire triplés. C est le cas des vannes et des pompes présentent dans le circuit primaire et secondaire. De plus, dans le cadre de la protection, qui consiste à réduire la gravité, ces dispositifs, en plus d être dupliqués, font l objet également d une ségrégation par séparation, soit par la distance, soit par des barrières physiques (mur). Le personnel n est pas en reste. Il doit suivre des formations tous les six mois. Les opérateurs de la salle de commande se confrontent tous les 6 mois à des situations de crises virtuelles dans des simulateurs. En cas d'incident, des systèmes automatiques réagissent très rapidement afin de ramener le réacteur en fonctionnement normal et les opérateurs disposent des informations leur permettant d'agir sur l'installation quand cela est nécessaire. Ces actions, automatiques et manuelles, relèvent de la surveillance de la centrale. Elle fait appel aux systèmes d instrumentation, aux alarmes, à des systèmes de contrôle pour les séismes par exemple, ou encore à des systèmes KRT pour mesurer la radioactivité de l air. Pour contrôler la réaction, plusieurs dispositifs sont utilisés : régulation automatique par introduction verticale des barres de contrôle en bore ou en cadmium dans la cuve du réacteur. Si toutes les barres sont plongées en entier, la réaction nucléaire est stoppée en 1,3 secondes (arrêt d urgence) action manuelle de l opérateur par injection d acide borique dans l eau du circuit primaire (10 minutes avant efficacité totale). L action de ces deux dispositifs repose sur la capacité d absorption des neutrons du bore ou du cadmium. Les neutrons percutant les atomes fissiles d uranium, produisant ainsi de la chaleur, la réaction en chaîne sera donc ralentie voire arrêtée, si les neutrons sont absorbés. LA DEFENSE EN PROFONDEUR 6
Si ces dispositions ne suffisent pas à ramener le réacteur en fonctionnement normal, les opérateurs utilisent alors les procédures et matériels prévus dès la construction de la centrale pour limiter les conséquences d'un incident: ce sont les moyens d'actions. Si l'évolution de l'installation présente un risque de relâchement de produits radioactifs, la centrale peut déclencher la mise en place de l'organisation de crise: elle mobilise des moyens d'actions supplémentaires en personnel et en matériel au niveau local et national, relevant tant d'edf que des pouvoirs publics, pour éviter ou limiter les conséquences de ce relâchement. C est en fait la troisième ligne de défense, qui consiste à limiter l étendue de la défaillance. La sûreté nucléaire est un domaine très lourd pour le budget d une centrale. Tout d abord dans la conception, les dispositifs de sécurité représentent beaucoup d argent. Mais une fois l exploitation commencée, les frais ne s arrêtent pas là, étant donné que ces systèmes n ont pas le droit de défaillir. Donc, une grande partie des agents sur place a pour mission de vérifier la bonne marche de l ensemble. Cela se traduit par des contrôles journaliers, à une maintenance très fréquente. Les systèmes de secours, ou de remplacement sont également testés régulièrement. On peut ainsi évaluer que la moitié du budget de fonctionnement d une centrale nucléaire est employée pour les mises en conformation, les entretiens et les contrôles. LA DEFENSE EN PROFONDEUR 7
INTERET DE LA DEFENSE EN PROFONDEUR POUR LES INSTALLATIONS DE TYPE SEVESO I. La réussite de la défense en profondeur dans le nucléaire Le but principal de tout service ayant pour fonction de maîtriser les risques, est de chercher à les éliminer ou à les réduire à un niveau acceptable. Pour mener à bien cette mission, on recherche des principes technologiques qui pourront diminuer la gravité de la défaillance sans l aggraver. Le problème qui se pose, c est qu il est parfois impossible d éliminer totalement un danger potentiel. Soit parce que l origine du phénomène est inaccessible (inondations, séismes) soit parce que le danger en question est lié intimement à l activité. On peut rajouter aussi que malgré les précautions prises, les contrôles et la maintenance, le matériel peut toujours se révéler défectueux à un moment donné et que l homme est toujours source d erreur et de mauvaise manipulation. C est là que le concept de défense en profondeur se révèle puissant et efficace dans la maîtrise des risques. En effet, en installant tout un dispositif de protection à plusieurs niveaux, les défaillances et leurs conséquences sont fortement réduites. Ces différentes lignes de défense, qui font appel à tout un ensemble de barrières, constituent des remparts successifs pour empêcher toute défaillance ou confiner au maximum les problèmes créés. Dans le domaine du nucléaire, un tel dispositif se révélait indispensable au regard de la dangerosité potentielle d un accident. Comme on a pu le constater avec l accident de Tchernobyl, l ampleur des dégâts et des pertes humaines peuvent être considérables. En France, la sûreté nucléaire a fait preuve d une grande rigueur et finalement, l activité nucléaire est perçue comme rassurante par une grande part de la population. Cette attitude est nécessairement liée à l absence d accident nucléaire en France depuis plus de quarante années d exploitation. Certes, il y a chaque année une dizaine d incidents mais en général sans conséquence majeure et toujours limités au degré 3 d une échelle qui en compte huit, l échelle INES 2. L efficacité de la défense en profondeur, lorsqu elle est rigoureusement appliquée, est très élevée. Peu d activités industrielles peuvent se prévaloir d être les systèmes les plus sûrs. Seuls le nucléaire, l'aéronautique et le spatial parviennent à la barre «mythique» en termes de sûreté d'une catastrophe pour un million voire dix millions de mises en oeuvre. Leur réussite tient en quelques mots : rigueur et systématisation. Le concept de défense en profondeur fonctionne que lorsqu on l applique rigoureusement et à toutes les zones et à tous les éléments de l entreprise. 2 INES : International Nuclear Event Scale LA DEFENSE EN PROFONDEUR 8
II. Les avantages de la défense en profondeur : 1) Un concept finalement intuitif Tout d abord, on peut dire que son aspect est très intuitif. Comme on l a vu, il suffit d imaginer les défenses d un château fort, pour immédiatement comprendre le principe. Il n est pas nécessaire que les acteurs de l entreprise aient des grandes connaissances en matière de sûreté de fonctionnement. Ainsi, cela facilitera l adoption et l application par le personnel. Au sein de l entreprise, la défense en profondeur doit prendre la forme d un système réaliste, car «elle doit être simple, compréhensible, efficace et connue de tous», insiste Jacques Valancogne 3, responsable de l'entité Maîtrise des risques système à la RATP. 2) Globale et systémique La mise en œuvre de la défense en profondeur concerne toute l entreprise : tous les niveaux hiérarchiques et toutes les ressources : financières, humaines, techniques. Le système de protection conçu est valable pour toutes les phases de vie : de la conception d une installation à son démantèlement en passant par la phase la plus intéressante, l exploitation. 3) Une plus grande responsabilité des acteurs Comme on le verra plus tard, une grande partie de la défense en profondeur repose sur les hommes, les opérateurs. Certaines barrières font appel à des hommes, en tant que contrôleur, superviseur, ou encore en tant qu actionneur. D autres barrières sont des procédures, ou des règlements, qui guident et régentent l attitude des employés. Les hommes se trouvent donc au cœur de ce concept. L organisation de la gestion des risques en défense en profondeur facilite le positionnement de chacun, le degré d implication dans le système qui doit parer la réalisation d une catastrophe. En fonction de chaque risque qui a été identifié, chaque opérateur peut facilement se positionner dans la chaîne de défense, connaître la responsabilité qui lui incombe. Qu il soit en première ligne de défense ou en bout de chaîne, son rôle ne sera pas le même, et son importance non plus. Il doit lui être possible de pouvoir répondre à la question : et si j échoue, que se passe-til? Les lignes de défense permettent de visualiser la situation qui serait engendrée par sa propre défaillance. Ainsi ce concept permet à chacun de prendre conscience de son importance et donc de se montrer à la hauteur. 4) La recherche d une cohérence d ensemble La plupart des entreprises possèdent des systèmes de sécurité. Mais il s agit trop souvent de systèmes conçus pour un risque particulier, en général afin de parer au plus dangereux. Pour illustrer cela, c est comme si on construisait un mur sur quatre pour protéger un lieu ; un côté serait protégé, mais rien ne serait prévu en cas d intrusion par un autre côté. Les barrières existantes sont disjointes, et peuvent laisser entre elles des failles graves du point de vue de la sécurité. La défense 3 Jacques Valancogne est l auteur de nombreux livres sur la défense en profondeur, notamment «Et les risques m'étaient comptés» en collaboration avec Jean-Louis Nicolet, expert dans les accidents industriels et technologiques LA DEFENSE EN PROFONDEUR 9
en profondeur, étant conçue d une manière globale, permet d obtenir une cohérence dans les différents moyens utilisés pour assurer la sécurité. Bien que ces moyens soient hétérogènes dans leur nature et leur fonction, il n en reste pas moins que l ensemble se révèle cohérent. 5) Une organisation facilitée de la connaissance et de la prise de décision A chaque risque sont associées des barrières. Sur chaque défense interviennent des hommes avec leurs compétences chargés de maintenir la barrière à son niveau optimal, de manière à ce que les exigences de sécurité qui lui sont associées soient respectées. Il est alors possible de déterminer le niveau de criticité des postes et donc des compétences à maintenir absolument au sein de l entreprise. La connaissance sur la sécurité est ainsi gérée de manière rigoureuse, la sécurité étant parfaitement compartimentée. Par ailleurs, le directeur pôle cindyniques à l'ecole des mines de Paris, Jean-Luc Wybo, recommande aux entreprises de créer une structure en réseau dans leur organisation afin de développer la vigilance et de favoriser le partage des connaissances. Les aléas inhérents à l aspect comportemental seront ainsi mieux maîtrisés, car le système en réseau favorise la remontée de l'information, diminuant ainsi les zones d ombre et d incertitude lors de la prise de décision. Par ailleurs, dans le cas d une crise, l organisation sait toujours où elle en est. D une part, grâce à l ensemble des systèmes de surveillance à la fois des installations et des états des barrières, la direction ou les hommes en charge de l exploitation peuvent rapidement évaluer de façon précise l ampleur du phénomène et les dégâts déjà causés aux dispositifs de sécurité. D autre part, la défense en profondeur formalisant l organisation des systèmes de sécurité mise en place, elle permet de savoir à tout moment quels sont les moyens de protection et d action qui sont encore disponibles et leur degré d efficacité pour mettre fin à la catastrophe potentielle. Les décisions toujours difficiles à prendre dans ces moments peuvent être prises en étant parfaitement informées. 6) Un suivi d exploitation rigoureux L obtention d une véritable maîtrise de l exploitation passe nécessairement par des mesures, permettant de s assurer que tout fonctionne parfaitement et qu il n y a pas de dérive. Or la formalisation du système de défense en profondeur permet de déterminer des indicateurs pertinents. On les choisit parmi les signes précurseurs des risques que l on a identifiés. Dans le cas du nucléaire, une élévation de la pression ou de la température est principalement le signe d un emballement de la réaction nucléaire. Le fait d avoir mis en place des barrières ayant pour objectif de réguler la situation, a impliqué de mettre en place des capteurs pour savoir quand avoir recours à ces barrières. Les indicateurs sont donc à rechercher parmi les barrières mises en place. De plus, l efficacité du système de défense est liée à l efficacité des barrières, donc un bon indicateur est aussi donné par la mesure du nombre de sollicitations de la barrière et des réussites de celle-ci. Par ailleurs une bonne exploitation d une installation impose des analyses profondes des problèmes rencontrés afin de pouvoir y remédier au plus vite et le plus efficacement possible. La défense en profondeur, par son côté concret, apporte une aide à l analyse des incidents. En effet, comme tout incident est consécutif au franchissement d une ou plusieurs barrières, il faut alors vérifier si chacune des exigences associées aux barrières ont été ou non respectées. Des modes communs négligés lors de la conception peuvent ainsi être identifiés entre différents dispositifs ou dispositions liés à la sécurité. Ce retour d expérience, essentiel dans une maîtrise correcte des risques, et constituant à part entière de la défense en profondeur, permettra une remise en question LA DEFENSE EN PROFONDEUR 10
et une amélioration du système de sécurité, la "défense en profondeur" ne devant pas rester statique vu que l'intangibilité des barrières n'est jamais acquise. Enfin, par l intermédiaire de l historique des sollicitations des barrières, il sera possible de contrôler ou de faire contrôler l application des procédures, le fonctionnement réel des barrières techniques. Ainsi, les besoins sont parfaitement ciblés et les audits pertinents et rapides. III. Pourquoi ne pas appliquer aux sites SEVESO? Face aux résultats dans le nucléaire, il est légitime de se demander pourquoi des industries considérées comme dangereuses, à juste titre parfois, n ont pas cherché à appliquer ce principe. C est le cas des sites classés Seveso II et notamment à seuil haut. On peut très bien imaginer qu avec une application rigoureuse de la défense en profondeur, des accidents tels que Bhopal ou AZF auraient pu être évités. Cependant, il convient d ajouter que les industries présentant des risques, telles que les entreprises de chimie, ont une démarche obligatoire de sécurité. Des mesures de protection et de confinement existent déjà. Des postes de responsables de la sécurité ont été créés. Il faut noter également que certains éléments qui constituent la défense en profondeur dans le nucléaire sont repris par l industrie chimique. Dans les années 90, il y a eu un développement du recours aux doubles enceintes de confinement. Ces enceintes ont par exemple été imposées par la DRIRE Midi Pyrénées à des installations de stockage de nitrates. Elle a aussi imposé le confinement des opérations de dépotage de chlore liquide dans des bâtiments spécialement conçus pour éviter tout rejet vers l extérieur. Mais en étudiant ces sites, on s aperçoit que les barrières de sécurité sont disparates, qu il n y a pas une cohérence dans l ensemble. Il n y a pas de véritable organisation des différentes lignes de défenses. C est ainsi pour plusieurs raisons. Tout d abord, parce que du point de vue de la réglementation, rien n incite les entreprises à adopter la défense en profondeur. Il n y a pas d obligation légale. Voyons d ailleurs quelles sont les obligations des entreprises qui sont soumises à la réglementation Seveso dans le domaine de la maîtrise des risques. Par la lecture de la directive européenne du 9 décembre 1996 «Seveso II», il y a plusieurs articles qui concernent de manière plus ou moins directe, le concept de défense en profondeur. Tout d abord, on peut noter que les évolutions entre la première version et la deuxième version sont assez importantes sur le domaine des risques et leur gestion et surtout les contrôles des inspecteurs de la DRIRE sont plus étendus. Les entreprises sont maintenant incitées à mettre en place de façon réelle une politique de prévention des accidents majeurs. Celle-ci doit être arrêtée par écrit, et comprendre les objectifs et les principes d action généraux fixés par l exploitant pour la maîtrise des risques d accidents majeurs. Les installations concernées doivent en outre mettre en œuvre un système de gestion de la sécurité proportionnée aux risques d accidents majeurs susceptibles d être générés par leur activité. LA DEFENSE EN PROFONDEUR 11
De plus, l étude des dangers est plus élaborée : elle doit justifier les mesures de prévention et de protection prises. La directive et sa transcription en droit français fournissent des axes sur lesquels devront porter la politique de prévention et le système de management des risques. Ces différents éléments portent par exemple sur l organisation et le personnel, la planification des situations d urgence et aussi la surveillance des performances. Il apparaît tout de suite que le concept de défense en profondeur n est pas explicitement préconisé aux exploitants dans la directive Seveso II. Aucun article n y fait référence. Pourtant, dans le cadre de la prévention et de l étude des dangers, il s agit d une part, d identifier les risques, (leurs causes et les défaillances qui en découlent), et d autre part, de définir des barrières de sécurité proportionnées aux risques. Donc indirectement, par certains articles, la directive Seveso II aborde la notion de barrière. Mais il n en reste pas moins qu aucune législation impose d appliquer la défense en profondeur. L adoption de la défense en profondeur constitue un acte purement volontaire. Or les entreprises autres que le nucléaire ne sont pas véritablement intéressées par la défense en profondeur. D abord parce que ce concept concerne tous les risques même les peu probables : c est en effet une méthode systémique. C est un peu incompatible avec la tendance actuelle des entreprises. Certes elles pratiquent une évaluation des risques mais qui conduit à isoler les risques dont la gravité ou la fréquence sont trop élevées. Ensuite, l entreprise cherche à ramener ces risques dans le domaine de l acceptabilité. C'est-à-dire qu en fonction des risques encourus, les conséquences seront suffisamment minimes pour d une part ne pas créer de pertes humaines et de l autre, ne pas mettre en cause l existence de l entreprise. Ainsi si le risque est acceptable, la démarche de la gestion des risques s arrête là. Mais cela ne signifie pas pour autant que l accident ne peut plus se produire et que ces conséquences sont complètement maîtrisées. En général, le système de protection n étant pas pensé comme un tout, conçu dans sa totalité, il y a souvent des failles entre les différentes précautions et dispositifs. La sécurité dans ce type d installations n est pas aussi élevée que dans le nucléaire. Pourtant, certaines entreprises estiment avoir atteint un niveau suffisant malgré le fait qu elles ont écarté la réalisation de certains évènements étant peu probables. Néanmoins, ces évènements, en se réalisant, peuvent déclencher une réaction en chaîne, créer un effet domino. L autre problème est lié à des aspects de priorité, à des coûts. En effet, la défense en profondeur n est pas forcément la priorité des entreprises privées, plutôt à la recherche du profit. Elles se contentent de réaliser le maximum sur la question des risques en cherchant à dépenser le moins. La défense en profondeur n est donc pas très présente ailleurs que dans le nucléaire, car un tel niveau de protection implique des frais très importants que peuvent se permettre les centrales nucléaires, fonctionnant en partie sur des fonds publics. Par ailleurs, il faudrait souligner le fait que certains systèmes industriels sont freinés dans leur évolution vers une «super-sécurité» par plusieurs facteurs. Le premier facteur est que «moins le risque est grand du point de vue de la population, plus la tolérance tendra à laisser ces systèmes à un niveau moins sophistiqué que les systèmes les plus protégés». Les autres freins à une augmentation du niveau de sécurité peuvent être une connaissance insuffisante des phénomènes physiques aux limites, une formation insuffisante des opérateurs ou une culture de sûreté insuffisamment approfondie et partagée. Ayant ainsi tentés d expliquer les raisons d un très faible engagement dans une démarche de défense en profondeur de la part des entreprises potentiellement dangereuses, nous allons essayer de voir dans quelle mesure ce concept peut tout de même être introduit dans les entreprises classées Seveso. Pour cela, nous allons dans un premier temps nous attacher à étudier les différentes barrières existantes. LA DEFENSE EN PROFONDEUR 12
LES BARRIERES DE SECURITE I. Généralités Pourquoi faire appel à des barrières de sécurité? Quel est leur intérêt? Pour répondre à ces questions, il suffit d étudier un accident. Un accident important n a pas une seule origine. Prenons le cas de la destruction d une usine par un incendie. L origine première de celui-ci est nécessairement la présence d une étincelle, d un combustible et d un comburant. Mais l étendue des dégâts n est pas liée seulement à ces trois causes. L usine a brûlé parce que les systèmes d extinction n ont pas fonctionné, ou n étaient pas correctement dimensionnés pour éteindre l incendie. L absence de murs coupe-feu n a pas permis l isolation du feu dans une zone de l entreprise. Les pompiers sont intervenus trop tard, parce que les détecteurs de fumées n étaient pas activés. Ces faits font partie des raisons qui expliquent pourquoi un incendie peut causer autant de dégâts. Cela prouve qu un accident est toujours la combinaison de plusieurs facteurs, de plusieurs conditions. D ailleurs pour un même accident, avec les mêmes effets, il n y a pas une seule succession d évènements. Par conséquent, se contenter d éliminer une cause, en se disant que l accident ne pourra plus se reproduire à l avenir est une erreur. La récurrence de l accident peut avoir lieu par la réalisation d autres évènements. On en vient à la conclusion que l élimination des causes ne suffit pas à réduire au maximum l occurrence d un évènement non souhaité. C est là que le système des barrières se montre intéressant et que l on comprend pourquoi le concept de défense en profondeur l intègre totalement. Les barrières se montrent en effet plus efficaces dans la mesure où elles permettent de se protéger contre un effet non désiré particulier et ce, quelque soit les origines de celui-ci. Les barrières réalisent en fait une fonction sans qu il soit nécessaire de prendre en compte la cause ou les causes qui ont mené à cette situation. Pour illustrer cela, prenons un exemple simple : les systèmes d extinction des incendies, les sprinklers. Ceux-ci ont pour fonction d éteindre un incendie en projetant de l eau. Donc, quelque soit la raison qui soit à l origine de l incendie, qu elle ait été identifiée et prise en compte par une étude des risques au préalable ou pas, cela ne gênera aucunement le bon fonctionnement de cette barrière anti-feu. (Certes faut-il encore qu elle soit conçue de telle sorte à pouvoir supporter tous les types d incendie.) Analyser un accident ne consiste pas seulement à chercher les origines de l accident. Se focaliser sur les causes n aura pour conséquence de mettre en lumière qu une partie du problème. Les autres conditions qui ont «favorisé» l étendue et la gravité de l accident seront oubliées. Une véritable analyse doit à la fois déterminer les causes précises mais également étudier le système en entier et analyser les états de chacune des parties qui le constituent. Ainsi, les barrières de prévention et de protection, quelque soit leur nature, doivent être analysées pour savoir si elles n ont pas aggraver la situation par leur échec. D ailleurs, les raisons qui ont amené à l échec de la réalisation de la fonction d une barrière doivent être recherchées afin de pouvoir y remédier. De plus, l analyse doit amener à identifier les lacunes du système de prévention et de protection, c està-dire les barrières absentes par exemple. Les résultats de l analyse amèneront à introduire de nouvelles barrières ou à améliorer celles déjà en place. Pour prévenir le type d accident en question à l avenir, une méthodologie concernant la mise en place et l entretien des barrières doit exister. Et celle-ci passe par une classification explicite et exhaustive. LA DEFENSE EN PROFONDEUR 13
II. Principales caractéristiques d'une barrière Les barrières peuvent être regroupées en deux grands ensembles : Les barrières statiques (ou passives), c'est-à-dire de véritables protections matérielles et physiques présentes en permanence comme par exemple un mur antisismique, un heurtoir absorbeur d'énergie situé en bout de ligne ferroviaire. Les barrières dynamiques (ou actives), souvent activées par des capteurs, comme par exemple un automatisme qui après avoir détecté une augmentation de pression anormale ouvre une vanne d échappement. En principe, les barrières statiques ne tombent pas en panne, mais peuvent se dégrader au cours du temps ou l'être intentionnellement (ex : digue de retenue d'eau, parois d'étanchéité d'un navire...). Les barrières dynamiques ne sont généralement activées qu'une fois l'élément redouté identifié. Trois états différents existent pour les barrières dynamiques : Un état, dit de réussite, qui traduit le fait qu'après avoir été sollicitée la barrière ait été capable de contenir les éléments de danger potentiels, les empêchant ainsi d'atteindre la cible. Un état, dit d'échec, qui traduit le fait que la barrière ait été incapable pour différentes raisons, de résister aux assauts des facteurs de danger potentiel qui, de ce fait, ont pu atteindre la cible sensible. Un état, dit de panne, qui traduit le fait que la barrière n'agit plus et ne peut répondre aux différentes sollicitations dont elle est l objet. Les deux types de barrières (statiques et dynamiques) peuvent, selon les principes de conception mis en œuvre, soit stopper ou limiter les éléments de danger potentiels (heurtoir, écrans de protection contre les radiations..), soit les transformer (cas des freins qui transforment de l'énergie cinétique en chaleur), soit les dévier. III. Classification des barrières Plusieurs classifications plus précises existent mais celle qui est le plus généralement utilisée est la classification par rapport à la nature des barrières. Elle est donc indépendante de la localisation, de l objectif ou de la fonction de la barrière. Quatre catégories peuvent être ainsi définies. Les Barrières Matérielles ou Physiques: Ce type de barrière empêche physiquement par sa nature un évènement de se réaliser. Une barrière matérielle peut aussi constituer un rempart qui va limiter les effets d un évènement non souhaité. On classe dans cette catégorie les murs (coupe-feu ou pas), les barrières, les portes et les LA DEFENSE EN PROFONDEUR 14
cuvettes par exemple. Ces barrières vont agir comme un obstacle, qui ne mettra pas forcément fin à l évènement, mais qui en tout cas, aura une résistance calculée pour le ralentir ou le retenir le plus longtemps possible. Une barrière de ce type peut résister à des pressions et à des forces, jusqu à un certain point qui devra être connu. C est en effet sur ce genre de données, que sont calculés les temps d évacuation maximaux. Les barrières matérielles sont des barrières statiques ou passives. Toutes les barrières de ce type ne sont pas forcément de la même nature qu un mur. On peut aussi faire référence aux détrompeurs 4 qui empêchent les erreurs humaines dues aux opérations répétitives. Les Barrières Fonctionnelles: Ces barrières sont des barrières actives ou dynamiques, dans le sens où elles doivent être enclenchées pour remplir leur fonction. Elles nécessitent donc des pré-conditions qui doivent être remplies pour que la réalisation d un évènement non souhaité soit empêchée. Les pré-conditions ne sont pas forcément interprétées par les opérateurs, le système peut très bien être conçu pour interroger et vérifier par lui-même si les conditions sont réunies. Un exemple simple de barrière fonctionnelle est celui du verrou d une porte. Pour être enclenché, quelqu un doit soit donner un tour de clé, soit taper un mot de passe si c est une serrure électronique. Une fois cette condition réalisée, l ouverture de la porte sera possible ou pas (dépend si on ferme la porte ou si on l ouvre) et l accès à la zone sera autorisé ou interdit. Un exemple plus complexe est le système de régulation automatique d un réacteur nucléaire. Les barres de contrôle en bore ne seront abaissées dans le réacteur automatique que si les capteurs de pression, de température, et autres, indiquent au système que la réaction s emballe. Les Barrières Symboliques: Par définition, on appelle barrière symbolique, toute barrière qui requiert un acte de réflexion. Cette barrière nécessite d être interprétée par un agent pour remplir sa fonction. En général, ce type de barrière implique une réaction chez les individus ou en tout cas, apporte une information importante sur le milieu, ou la situation. Cette catégorie regroupe les signes, les symboles, les panneaux d avertissement ou encore les signaux lumineux. Ils agissent sur les individus par l intermédiaire de la vue et de l ouie principalement. L exemple des réflecteurs qui délimitent les bords des routes montre bien la nature des barrières symboliques, qui sont statiques, passives. Ces réflecteurs informent en continu le conducteur qui peut évaluer ainsi sa distance par rapport au bord et donc éviter de prendre la berge. Cependant, ils ne constituent pas un moyen d empêcher physiquement une sortie de route. Les Barrières Organisationnelles: On peut aussi les qualifier par immatérielles ou abstraites lorsque l on ne s intéresse pas seulement au monde industriel. Ces barrières se caractérisent par leur absence physique dans le milieu concerné par la réalisation possible d un évènement non souhaité. En fait, elles prennent la forme de 4 Les détrompeurs sont très utilisés dans l'industrie, notamment sur les chaînes de montage, pour éviter, par exemple, que l'opérateur n'oublie de monter l'une des pièces d'un ensemble ou qu'il ne la monte à l'envers. Le détrompeur peut se présenter sous la forme d'un ou de plusieurs capteurs permettant de détecter la présence d'une pièce. Ce peut être aussi un dispositif très simple obligeant par exemple l'opérateur à présenter une pièce selon une orientation bien déterminée. LA DEFENSE EN PROFONDEUR 15
règles, de procédures auxquelles sont soumis les opérateurs, et des connaissances que les opérateurs doivent avoir à travers les cursus de formation qu ils ont suivi. Les restrictions et les procédures d urgence font partie également de ces barrières. Ce type de barrière doit faire l objet d un contrôle régulier, car les barrières organisationnelles sont par nature difficiles à évaluer rapidement. Elles sont d ailleurs rarement efficaces sur le long terme, puisqu elles reposent à la fois sur le niveau de connaissances des hommes qui fluctue plus ou moins, et sur la capacité des individus à respecter des règles. Ces quatre catégories ne sont pas toujours faciles à distinguer, étant donné qu elles sont souvent en étroite relation. Les 4 types de barrières sont capables d assurer la prévention à l encontre d un évènement non souhaité, avec un degré d efficacité différent. Mais dans le cas de la protection, seules les barrières physiques et fonctionnelles sont en mesure d être efficaces. IV. Les fonctions des barrières Les barrières sont conçues pour répondre au mieux au concept de défense en profondeur. Voici donc leurs principales fonctions. Détecter l'agression possible Pour être efficace au moment opportun, une barrière dynamique doit être capable de détecter toute agression possible. Cette détection doit porter sur un ou plusieurs des éléments suivants : l'agresseur, les éléments de danger potentiels et la cible potentielle. Par exemple, dans le cas de BHÖPAL, détecter le démarrage d une réaction exothermique dans une cuve. Agir avec la rapidité nécessaire, c'est à dire placer le système dans un état sûr Après avoir détecté le danger potentiel, la barrière doit ramener, avec la rapidité nécessaire, le système dans un état sûr. Pour ce faire, celle-ci doit agir indépendamment ou conjointement sur l'élément agresseur, le ou les éléments de danger potentiels et la cible potentielle. C est par exemple le cas des systèmes d extinction d incendie. Signaler à l'opérateur son bon fonctionnement et son éventuelle défaillance Il est en effet important que toute barrière de sécurité mise en place puisse, sans délais, signaler aux exploitants qu'elle n'est plus à même d'assurer les fonctions de protection, de défense en profondeur qui lui sont imparties, suite à la défaillance d'un de ses composants. Informé, le collectif de travail peut prendre les mesures de sécurité qui s'imposent comme par exemple arrêter le trafic et procéder aux réparations nécessaires. Une question se pose pour les barrières mixtes, c'est à dire avec présence humaine. Fautil systématiquement prévoir une barrière supplémentaire en aval pour pallier une éventuelle défaillance humaine? Tout dépend du niveau de fiabilité que l'on veut atteindre et du nombre de barrières déjà en place en aval. LA DEFENSE EN PROFONDEUR 16
Comptabiliser les sollicitations auxquelles elle a été confrontée Pour mesurer son efficacité opérationnelle, toute barrière doit être instrumentée de façon à pouvoir comptabiliser le nombre de fois où elle a été sollicitée, et le nombre de fois où elle s'est avérée efficace. Certes, il s'agit là d'une fonction difficile à mettre en place et en œuvre, mais oh combien importante! A partir des statistiques sur les sollicitations, on peut élaborer un planning précis des contrôles et des opérations de maintenance. Ce qui permettra ainsi d éviter au maximum toute défaillance des dispositifs. V. Les exigences associées à chaque barrière Les exigences de conception (initiales ou suite à une modification) Il s'agit des règles et normes de conception concernant le système que doivent respecter les équipementiers, les génies civilistes, les monteurs, comme par exemple : privilégier les systèmes de sécurité intrinsèques, réaliser des enceintes de confinement capables de résister à un séisme de force 6 ou prévoir pour la commande de la gouverne arrière d'un avion gros porteur trois systèmes indépendants ne présentant pas de modes communs à caractère technologique ou spatial. Un bon exemple est celui du DC10 qui s'est écrasé à Ermenonville suite à l'effondrement d'une partie du plancher sous lequel passaient les trois systèmes de commande des gouvernes de l'appareil, qui au demeurant présentaient des caractéristiques technologiques différentes (électriques, mécaniques, hydrauliques). Les exigences d'exploitation Elles se repartissent en deux grands ensembles. Tout d abord, les exigences de conduite qui sont en fait des règles découlant des principes retenus et mis en œuvre durant la phase de projet et que l'exploitant se doit de respecter sous peine de gros déboires. On peut prendre comme exemple une ligne de métro, objet de deux incidents lignes consécutifs et que l on ne réalimentera pas en énergie. Ensuite, les exigences de maintenance sont des règles qui ont pour objet, compte tenu des équipements installés et des architectures retenues, de fixer ce qui doit être fait pour que les équipements assurent leurs fonctions avec les niveaux de sécurité et de disponibilité fixés en conception. Ce peut être par exemple dans le cas du métro : - procéder à un essai de qualification fonctionnel après tout changement d'aiguille afin de garantir qu'elle sera opérationnelle pour toutes les configurations rencontrées - remettre, après intervention, les installations dans leur état initial, c'est à dire dans leur "état de référence" - vérifier le serrage des roues du métro sur pneumatiques tous les 5.000 kilomètres - contrôler, avant sa remise en service, tout itinéraire sur lequel n'a pas circulé de train depuis plus de 24 heures Pour chaque barrière mise en place, il est donc indispensable d'identifier, de répertorier, d'archiver toutes les exigences qui doivent être satisfaites et bien entendu de les faire connaître à l'ensemble des agents chargés de la conduite et de la maintenance des installations. Les causes de mise en échec d'une barrière LA DEFENSE EN PROFONDEUR 17
Il est généralement important de faire la distinction entre un élément agresseur situé dans l'environnement du système considéré ou à l'intérieur de ce dernier. C'est pourquoi nous distinguerons les causes internes au système considéré et les causes externes. Les causes internes. Pour les barrières en place, il s'agit de suivre au jour le jour leur comportement. Qu'une ou plusieurs barrières viennent à être franchies et aussitôt un retour d'expérience avec prise en compte du facteur humain doit être entrepris pour déterminer les causes à l'origine de ce ou de ces franchissements. Les leçons du retour d'expérience montrent que la mise en échec d une barrière est généralement due à deux grands types de causes : celles relatives à la barrière et celles relatives aux éléments de danger potentiels. Dans la première catégorie, qui concerne la barrière elle-même, nous rangerons le non-respect des exigences de conception, d'exploitation et de maintenance comme: la modification «sauvage» d'un circuit, d'un programme d'automate un essai de qualification non fait pour permettre une reprise rapide de la production la non-conformité des matériaux Dans la seconde catégorie, nous rangerons toutes les causes d'écarts qui ont fait que les caractéristiques du flux agresseur pris en compte en phase de conception, n'ont pas été respectées. Ce peut être le non-respect de la vitesse imposée par le profil de la ligne, le remplacement d'un solvant ou d'un acide par un autre. Les causes externes Lorsque l'élément agresseur se situe dans l'environnement immédiat du système considéré et qu'il arrive à mettre en défaut une barrière mise en place pour faire face à un ou des risques spécifiques à ce système, nous dirons que nous sommes en présence d une cause externe au système. C'est le cas, par exemple, des dispositifs mis en place sur les lignes de métro pour détecter la présence ou non d'un train sur un canton donné. VI. Comment disposer les barrières pour optimiser la protection? Il ne s agit pas d employer un type de barrière pour un système donné. Tout comme il ne faut pas cumuler les barrières sans véritablement réfléchir à la conception globale des lignes de défense. Chaque barrière a ses avantages et ses limites, comme on a pu le voir précédemment. Le concept de défense en profondeur préconise la mise en place de plusieurs lignes de défense, comportant, chacune, plusieurs barrières. Il s agit donc d une combinaison de moyens conçue dans sa globalité. Cette combinaison doit éviter les failles, et pour des raisons d économie, la redondance involontaire des sécurités pour le même problème. Passons à un exemple, ce qui présentera de façon claire, comment les barrières sont organisées entre elles. Dans le cas de robots appartenant à une ligne de production, par exemple des robots de soudure, la présence d une cage les entourant constitue une barrière physique ou encore matérielle. Elle empêche d accéder au robot en service et donc d être accidentellement blessé par celui-ci. Mais LA DEFENSE EN PROFONDEUR 18
dans le cas de l entretien, l opérateur chargé de la maintenance souhaitera entrer dans l enceinte. L ouverture de la porte va alors entraîner l arrêt de l engin. Soit il se figera, soit il se placera en position de sécurité (le bras de soudure vers le bas par exemple). La détection de l ouverture de la porte et l action qui s en suit constituent une barrière fonctionnelle. Enfin, comme la zone de soudure est dangereuse, à la fois à cause des éclats incandescents et des lumières vives des éclairs, la présence de panneaux indiquant de ne pas s approcher et de ne pas regarder sans lunettes de protection adéquates, ou tout simplement interdisant l entrée dans la cage à tout le personnel non autorisé, représente une barrière symbolique. Et l existence d une règle au sein de l entreprise, obligeant les salariés à se tenir éloignés de tous les robots, est une barrière organisationnelle. On voit ainsi que pour un danger spécifique - blessure par un robot soudeur tout un ensemble de barrières peut être employé pour empêcher sa réalisation. LA DEFENSE EN PROFONDEUR 19