Support méthodologique pour la mise en place d un Système de Gestion de la Sécurité

Support méthodologique pour la mise en place d un Système de Gestion de la Sécurité Rapport intermédiaire DRA-08 Opération 1 Direction des Risques Accidentels Décembre 2001

Support méthodologique pour la mise en place d un Système de Gestion de la Sécurité Rapport intermédiaire DRA-08 13 DECEMBRE 2001 PERSONNES AYANT PARTICIPE A L'ETUDE A.S. VINCE, E. PLOT, D. HOURTOLOU Ce document comporte 39 pages (hors couverture et annexes). Page 1 / 39

PREAMBULE Le présent document a été établi : Au vu des données scientifiques et techniques disponibles ayant fait l'objet d'une publication reconnue ou d'un consensus entre experts, Au vu du cadre légal, réglementaire ou normatif applicable. Il s'agit de données et informations en vigueur à la date de l'édition du document, le 13 décembre 2002. Le présent document comprend des propositions ou des recommandations. Il n'a en aucun cas pour objectif de se substituer au pouvoir de décision du ou des gestionnaire(s) du risque ou d'être partie prenante. Page 2 / 39

TABLE DES MATIERES PREAMBULE...2 PRESENTATION DU SUPPORT METHODOLOGIQUE...5 DÉFINITIONS...7 ETAPE 1 : PRESENTATION DE LA DEMARCHE À L INDUSTRIEL...10 1.1 PERSONNES CONCERNÉÉS PAR LA PRÉSENTATION...10 1.2. OBJET DE LA PRÉSENTATION...10 1.2.1. Le constat de la Directive SEVESO II...10 1.2.2. Le champ d application du SGS...11 1.2.3. L intégration du SGS dans d autres systèmes de management du site...13 1.2.3.1. Le management selon la boucle de Deming...14 1.2.3.2. La pyramide documentaire...16 1.2.3.3. La spécificité du SGS dans un système de management intégré...19 ETAPE 2 : LANCEMENT DE LA DÉMARCHE...21 2.1. DIAGNOSTIC DE L ORGANISATION...21 2.2. CONSTITUTION DES GROUPES DE TRAVAIL...22 2.3. PLANIFICATION DE LA MISE EN ŒUVRE DE LA DÉMARCHE...23 ETAPE 3 : MISE EN OEUVRE DE LA DÉMARCHE...24 3.1. PRINCIPE DE LA MAÎTRISE DES RISQUES MAJEURS...24 3.2. PRÉSENTATION DE L EXEMPLE RETENU POUR ILLUSTRER LA DÉMARCHE...25 3.3. MAÎTRISE DES ACTIVITÉS IPS...25 3.3.1. Etape 1 : Faire la liste des activités IPS répondant aux fonctions IPS...25 3.3.2. Etape 2 : Préciser les moyens organisationnels permettant de réaliser les activités IPS...26 3.3.3. Etape 3 : Préciser les modalités de management des moyens organisationnels...28 3.3.4. Etape 4 : Faire la liste des attendus techniques requis pour la réalisation des activités IPS29 3.3.5. Etape 5 : Préciser les activités de management des attendus techniques...30 3.3.6. Etape 6 : Préciser les moyens organisationnels permettant de maîtriser les activités de management des attendus techniques...32 3.3.7. Etape 7 : Préciser les modalités de management des moyens organisationnels définis...32 3.4. MAÎTRISE DES EQUIPEMENTS IPS...32 3.4.1. Etape A : Faire la liste des équipements IPS répondant aux fonctions IPS...32 3.4.2. Etape B : Faire la liste des attendus techniques requis pour que les équipements IPS remplissent leurs fonctions IPS...33 3.4.3. Etape C : Préciser les activités de management des attendus techniques...33 3.4.4. Etape D : Préciser les moyens organisationnels permettant de maîtriser les activités de management des attendus techniques...34 3.4.5. Etape E : Préciser les modalités de management des moyens organisationnels définis...34 3.5. MAÎTRISE DES ACTIVITÉS D ANALYSE DES RISQUES...35 3.5.1. Etape a : Faire la liste des attendus techniques requis pour que les activités d analyse de risque identifiées se réalisent...35 3.5.2. Etape b : Préciser les moyens organisationnels permettant de réaliser les activités d analyse des risques...36 3.6. MAÎTRISE DES ACTIVITÉS DE GESTION DES MODIFICATIONS...38 ETAPE 4 : REDACTION DE LA PPAM ET DU MANUEL SGS...39 4.1. RÉDACTION DE LA PPAM...39 4.2. RÉDACTION DU MANUEL SGS...40 ETAPE 5 : AUDIT DU SGS MIS EN PLACE...41 RÉFÉRENCES BIBLIOGRAPHIQUES...42 Page 3 / 39

LISTE DES ANNEXES...43 Page 4 / 39

PRESENTATION DU SUPPORT METHODOLOGIQUE La Directive Européenne 96/82/CE du 9 Décembre 1996, dite «Directive SEVESO II» a pour objet la prévention des accidents majeurs impliquant des substances dangereuses et la limitation de leurs conséquences pour l homme et l environnement. Elle s applique aux établissements où des substances dangereuses sont présentes en quantité importante. La transposition de cette Directive en droit français est réalisée à travers la modification ou la publication de différents textes réglementaires, dont les plus récents sont l arrêté Ministériel du 10 Mai 2000 et sa circulaire d application (Application de la Directive SEVESO II). Ces deux textes en particulier, entraînent de profonds changements dans la manière d aborder la sécurité dans les installations soumises à cette nouvelle réglementation. Parmi les nouvelles exigences de l arrêté du 10 Mai 2000, l Exploitant d un établissement soumis doit mettre en place une Politique de Prévention des Accidents Majeurs (PPAM) et un Système de Gestion de la Sécurité (SGS). L arrêté du 10 mai 2000 demande également que l exploitant justifie dans son étude des dangers «les paramètres techniques et les équipements installés ou à mettre en place pour la sécurité des installations permettant de réduire le niveau des risques pour les populations et pour l'environnement». Dans le cadre de l étude et recherche DRA-08 financée par le Ministère de l Aménagement du Territoire et de l Environnement, et intitulée «Mise en application sur le terrain de la Directive SEVESO II», l INERIS a développé le présent support méthodologique d accompagnement à la mise en place d un SGS. La vocation de ce document prévu pour être rendu public, est de répondre aux questions des industriels concernés par l arrêté du 10 mai 2000, qui s interrogent sur le fond et la forme à donner notamment aux exigences de l annexe III du précédent arrêté. La méthodologie développée dans ce document est le fruit de deux ans de retour d expérience par l INERIS dans l accompagnement de petites et moyennes entreprises (entre 10 et 150 personnes) dans la mise en place de SGS, mais elle s appuie également sur une expérience encore plus longue dans la mise en place d autres types de système de management, qu il s agisse de référentiels ISO 14001 ou OHSAS 18001. L intérêt particulier de cette méthode est qu elle permet de penser un SGS intégré à d autres systèmes de management existants sur le site, tout en garantissant que ce SGS est véritablement centré sur la prévention des accidents majeurs. En effet, ce document propose une approche systématique et exhaustive dans la mise en place du SGS, fondée sur les conclusions de l analyse des risques : l identification des scénarios d accidents majeurs et des fonctions Importantes Pour la Sécurité (IPS) mises en place pour en prévenir l occurrence ou en limiter les conséquences. Une fois les éléments IPS identifiés, il s agit de dérouler un ensemble de tableaux récapitulatifs des activités à coordonner permettant, étape par étape, de bâtir le SGS. Page 5 / 39

La méthode proposée pour la mise en place d un SGS s articule autour de quatre étapes clés, qui peuvent elles-mêmes être déclinées en sous-étapes. La première étape, essentielle, consiste à présenter à l Industriel la démarche que l on souhaite mettre en œuvre. L objectif est à la fois de convaincre la Direction de l intérêt du SGS afin d obtenir son implication, et de fixer les lignes directrices de mise en place afin d éclairer le personnel impliqué sur les objectifs à atteindre. Dans un deuxième temps, l INERIS réalise un état des lieux de l organisation du site par rapport aux exigences du SGS, tant sur l identification et l évaluation des risques d accidents majeurs, que sur le degré de formalisation du management de ces risques. Il s agit ensuite d accompagner l Industriel dans la mise en place effective de son SGS. Cette troisième étape fait nécessairement suite à l identification des risques d accidents majeurs du site et à l identification des barrières de défense (ou éléments IPS) en place pour maîtriser les risques. Le SGS se construit alors étape par étape, autour des activités de gestion et de maîtrise par l exploitant des éléments identifiés comme IPS. En dernier lieu, lorsque le SGS est formalisé et effectivement en place dans l établissement, l accompagnement se fait sur la rédaction à la fois de la PPAM et du manuel SGS. Le niveau de description du manuel doit être suffisant pour comprendre l organisation mise en place par l exploitant pour maîtriser ses risques d accidents majeurs, et surtout ne pas se résumer à une liste de procédures générales. Page 6 / 39

DEFINITIONS Les définitions des termes employés dans ce document font référence à l article 2 de l'arrêté du 10 mai 2000 relatif à la prévention des accidents majeurs impliquant des substances ou des préparations dangereuses, ainsi qu à d autres documents INERIS cités en références à la fin du présent support méthodologique. Article 2 de l'arrêté du 10 mai 2000 : Accident majeur : un événement tel qu une émission, un incendie ou une explosion d importance majeure résultant de développements incontrôlés survenus au cours de l exploitation, entraînant pour la santé humaine ou pour l environnement, à l intérieur ou à l extérieur de l établissement, un danger grave, immédiat ou différé, et faisant intervenir une ou plusieurs substances ou des préparations dangereuses. Etablissement : l ensemble des installations classées relevant d un même exploitant situées sur un même site au sens de l article 12 du décret n 77-1133 du 21 septembre 1977 modifié, y compris leurs équipements et activités connexes, dès lors que l une au moins des installations est soumise à l'arrêté susmentionné. Politique de Prévention des Accidents Majeurs (PPAM) : la politique mise en place par l exploitant sur la base des accidents envisagés dans l étude de dangers définie à l article 3-5 du décret n 77-1133 du 21 septembre 1977 modifié, en vue de prévenir les accidents majeurs et de limiter leurs conséquences pour l homme et l environnement. Système de gestion de la sécurité (SGS) : l exploitant met en place dans l établissement un système de gestion de la sécurité applicable à toutes les installations susceptibles de générer des accidents majeurs. Le système de gestion de la sécurité définit l organisation, les fonctions des personnels, les procédures et les ressources qui permettent de déterminer et de mettre en œuvre la PPAM. INERIS Définitions posées dans le cadre du DRA-08 Evénement redouté : l événement redouté résulte de la combinaison de dérives de paramètres de fonctionnement ou de défaillances d éléments (équipements ou actions humaines), appelés événement indésirables. Dans l enchaînement d événements conduisant à un scénario d accident majeur, l événement redouté constitue le moment à partir duquel la séquence d événements devient accidentelle. Scénario d accident majeur : Dans une démarche d analyse de risques, un scénario d accident majeur peut être défini comme l enchaînement d événements indésirables, aboutissant à un événement redouté, conduisant lui-même à des conséquences lourdes ou effets majeurs. Page 7 / 39

Barrière de défense : une barrière de défense est constituée d un équipement de sécurité ou d une opération réalisée par un opérateur qui s oppose à l enchaînement d événements susceptibles d aboutir à un accident majeur. Une barrière de prévention permet de prévenir ou limiter l occurrence de l événement redouté, une barrière de protection permet de diminuer les conséquences de l événement redouté par atténuation ou intervention. Barrière active : barrière de défense nécessitant une source d énergie extérieure pour mener à bien sa fonction et l initiation de ses composants : ex. une chaîne de détection. Barrière passive : barrière de défense qui n a pas besoin de source d énergie extérieure pour fonctionner correctement : ex. une cuvette de rétention, une soupape mécanique. Barrière physique : barrière de défense provenant d un processus physique et naturel, comme les conditions climatiques, la dissipation naturelle de la chaleur. Barrière de procédure : barrière de défense indiquant les interventions humaines à effectuer pour supprimer ou réduire les conséquences d un événement initiateur. Elément I.P.S. : Pour être qualifié d important pour la sécurité (IPS), un élément (opération ou équipement) doit être choisi parmi les barrières de défense destinées à prévenir l occurrence ou à limiter les conséquences d un événement redouté susceptible de conduire à un accident majeur potentiel. Les éléments IPS sont déterminés vis-à-vis d un scénario d accident majeur bien défini. Pour un scénario d accident majeur donné, il n y a pas nécessairement unicité de l élément IPS. Les éléments IPS ne sont pas forcément des barrières de défense ultimes. Fonction I.P.S. : Une fonction peut être qualifiée d IPS si elle contribue de façon significative dans l enchaînement d événements indésirables conduisant à un accident majeur : - à éviter l occurrence de l événement redouté (on parle de fonction de prévention), - à limiter les conséquences de l événement redouté (il s agit alors d une fonction de protection ou d intervention). Activité : Une activité se définit comme une fonction de l organisation, un ensemble de moyens mis en œuvre par un groupe de personnes pour atteindre un objectif. Éléments entrants Processus / Activité Éléments de sortie Exemple : Maîtrise des équipements ou opérations IPS Moyens (règles de jeu) Cible de l organisation Erreurs humaines = cible non atteinte Figure 1 : Définition d un processus / activité basée sur l ISO 9001 Page 8 / 39

Par définition, l INERIS pose que l erreur humaine se caractérise par une cible non atteinte dans la réalisation d une activité. Les moyens formels mis à disposition du groupe (ou règles de jeu) pour atteindre son objectif sont : des modalités de coordination : définition des rôles et responsabilités, procédures et modes opératoires, etc. des compétences : formation, qualifications, niveaux de compétence, etc. des outils : machines, interfaces, méthodes, etc. Activité de réalisation : Les activités de réalisation représentent l ensemble des activités de l organisation dont l objectif est d assurer directement la maîtrise des risques d accidents majeurs. Si l élément IPS qui s oppose au scénario d accident majeur est directement une opération ou une activité, l activité de réalisation est confondue avec l opération ou l activité en question. On parlera alors d activité IPS. Ce type d activité peut concerner l exploitation des installations, les opérations de maintenance, les phases de réalisation des modifications, la maîtrise des situations d urgence, etc. Si l élément IPS qui s oppose au scénario d accident majeur est un équipement, l activité de réalisation sera constituée de l ensemble des opérations liées au cycle de vie de l équipement depuis sa conception (spécifications, standards), son achat, son installation, sa maintenance et son démontage. Par la suite, ces activités sont appelées activité de management des attendus techniques. Activité de management des attendus techniques : voir activité de réalisation. Activité support : les activités support représentent l ensemble des activités de l organisation dont l objectif est de fournir les moyens nécessaires au bon déroulement des activités de réalisation. Dans le cadre du SGS, sont en particulier des activités supports, l identification et l évaluation des risques, la définition des rôles et responsabilités, la formation, la gestion des modifications quand elle concerne la conception de nouvelles installations ou procédés, etc. Activité de direction : les activités de direction représentent l ensemble des activités dont l objectif est de contrôler et de mesurer le fonctionnement de l organisation, puis de redéfinir les moyens de toutes les activités (support et de réalisation) en fonction des résultats à atteindre. Sont considérées comme activités de direction, la gestion du retour d expérience, le contrôle du système, les audits et les revues de direction. Ecart : dans le contexte d une tierce expertise d un SGS, l INERIS a pris le parti de définir la notion d écart comme l observation d une lacune dans le système par rapport aux exigences de l arrêté du 10 mai 2000 et de sa circulaire d application. Point sensible : dans le contexte d une tierce expertise d un SGS, l INERIS a pris le parti de définir la notion de point sensible comme l observation d une lacune par rapport à l application ou à l appropriation du système sur le terrain, mais qui ne constitue pas un manque du système lui-même. Page 9 / 39

ETAPE 1 : PRESENTATION DE LA DEMARCHE A L INDUSTRIEL 1.1 PERSONNES CONCERNEES PAR LA PRESENTATION Présenter de manière détaillée à l Exploitant les objectifs et la démarche que l on souhaite mettre en œuvre avec lui, se révèle avec l expérience, une étape déterminante et un facteur clé de succès dans le fonctionnement ultérieur du SGS. L objectif de cette présentation est double. Il s agit tout d abord de convaincre la Direction du site de l intérêt du SGS afin d obtenir sa parfaite adhésion au projet, puis son implication dans la mise en œuvre. En effet, le premier facteur de succès en matière d appropriation du système par les opérateurs est d obtenir l adhésion de toute sa hiérarchie. La seconde raison de cette présentation préalable au démarrage de la prestation, c est d éclairer le personnel impliqué ou chargé de piloter la mise en place du SGS, sur les objectifs à atteindre en matière de prévention des risques majeurs. A partir de ces objectifs, pourront être déclinés les lignes directrices à tenir et les moyens à déployer pour réaliser un SGS le plus opérationnel et efficace possible. La démarche proposée dans ce document nécessite donc l attention simultanée de la direction de l établissement et de l ensemble des personnes à la fois concernées par la mise en place du système (rédaction des documents) puis chargées de le faire vivre dans le futur. 1.2. OBJET DE LA PRESENTATION 1.2.1. Le constat de la Directive SEVESO II En son article premier, la Directive SEVESO II a pour objet «la prévention des accidents majeurs impliquant des substances dangereuses et la limitation de leurs conséquences pour l'homme et l'environnement, afin d'assurer de façon cohérente et efficace dans toute la Communauté des niveaux de protection élevés». En particulier, la Directive met l accent sur la prévention des accidents majeurs par le biais d exigences liées à des dispositions organisationnelles de l établissement, agencées dans un système de management dédié : le SGS. Ce renforcement des exigences organisationnelles est lié à un constat de la base de données européenne MARS, qui recense un nombre important des accidents majeurs survenus dans les pays membres. L erreur humaine au sens large, représente 64 % des causes profondes à l origine des accidents majeurs, que cette erreur soit directement imputable à un opérateur (11 %) ou liée à un dysfonctionnement de l organisation (53 %). La figure 2 ci-après détaille cette répartition des causes d accidents. Page 10 / 39

Environnement 2% Organisation 53% Fiabilité des équipements 29% Autres 5% Erreur opératoire 11% Figure 2 : Répartition des accidents par causes identifiées dans MARS (mai 1998) Les 53 % des causes d accidents imputables à un dysfonctionnement de l organisation peuvent être classées en cinq grandes familles : Absence ou inadéquation des procédures ou modes opératoires dans 13 % des cas, Mauvaise conception du poste de travail dans12 % des cas, Absence d analyse ou mauvaise connaissance du procédé utilisé dans 10 % des cas, Erreur liée à une mauvaise gestion de la sous-traitance dans 10 % des cas, Défaillance d un équipement suite à une opération de maintenance dans 9 % des cas. 1.2.2. Le champ d application du SGS S agissant de définir le champ d application du SGS, il est important de rappeler l article 7 de l arrêté ministériel du 10 mai 2000 qui exige que «l exploitant [mette] en place dans l établissement un système de gestion de la sécurité applicable à toutes les installations susceptibles de générer des accidents majeurs.». Le terme accident majeur est défini à l article 2 de l arrêté du 10 mai 2000. L accident majeur est ainsi «un événement tel qu une émission, un incendie ou une explosion d importance majeure résultant du développement incontrôlé survenu au cours de l exploitation, entraînant pour la santé humaine ou pour l environnement, à l intérieur ou à l extérieur de l établissement, un danger grave, immédiat ou différé, et faisant intervenir une ou plusieurs substances ou des préparations dangereuses». Page 11 / 39

D après ces deux définitions, le SGS d un établissement doit donc couvrir l ensemble des activités à risques majeurs du site, et non pas seulement s appliquer aux activités pour lesquelles le site est classé. Le risque majeur sera interprété dans le reste du document comme tout risque de relâchement accidentel d une substance dangereuse (au sens du décret n 53-578 du 20 mai 1953 modifié), à partir du moment où les conséquences du relâchement sont susceptibles d entraîner des blessures irréversibles sur une personne à l intérieur du site. Exemple : Un établissement est classé AS (Autorisation + Servitude) pour son parc de stockage d ammoniac dont la capacité maximale dépasse 200 tonnes. Le site possède également un réservoir aérien de GPL dont la capacité est d environ 20 tonnes et qui permet l alimentation de la chaudière. Pour son installation de GPL, le site est uniquement soumis à Déclaration. Par son stockage d ammoniac, l établissement est visé par l article 1.2.3. de l Arrêté Ministériel du 10 Mai 2000, qui impose notamment la mise en place d un SGS. Le SGS devra couvrir à la fois les activités à risques majeurs liées au stockage et au transfert d ammoniac, mais également celles inhérentes au stockage et transfert de GPL sur le site. Pour mémoire, l annexe III de l Arrêté Ministériel du 10 mai 2000 précise que «le système de gestion de la sécurité s inscrit dans le système de gestion général de l établissement. Il définit l organisation, les fonctions des personnels, les procédures et les ressources qui permettent de déterminer et de mettre en œuvre la Politique de Prévention des Accidents Majeurs [PPAM]». En particulier, doivent être abordés et formalisés dans le système de gestion de la sécurité, les thèmes suivants de l organisation : Organisation et formation : Il s'agit ici de définir les rôles et responsabilités du personnel associés à la gestion des risques d'accidents majeurs à tous les niveaux de l'organisation, d'identifier des besoins en matière de formation de ce personnel et d organiser les plans de formation du personnel du site et, le cas échéant, des sous-traitants. Identification et évaluation des risques d accidents majeurs : Il s'agit de définir et de mettre en œuvre des procédures pour l'identification systématique des risques d'accidents majeurs pouvant se produire dans toutes les phases de l exploitation (normale, transitoire et dégradée) et toutes les phases de vie de l installation (conception, construction, exploitation, entretien). Ces procédures doivent également permettre l évaluation de la probabilité et de la gravité des risques, ainsi que l identification d éléments (équipements ou opérations) Importants Pour la Sécurité (IPS) en prévention comme en protection / intervention. Maîtrise des procédés et maîtrise d'exploitation : Il s'agit d'adopter et de mettre en œuvre des procédures et des instructions pour un fonctionnement des installations dans des conditions de sécurité, y compris s agissant de la maintenance des installations, des procédés mis en œuvre et des arrêts temporaires. Ces procédures doivent notamment mettre en lumière la gestion particulière qui est réservée aux éléments identifiés comme IPS. Page 12 / 39

Gestion des modifications : Il s'agit d'adopter et de mettre en œuvre des procédures pour la planification des modifications à apporter aux installations existantes ou pour la conception d'une nouvelle installation. Il s agit également de définir des outils qui permettent d identifier et de gérer les risques particuliers liés aux co-activités pendant les phases de réalisation de la modification. Gestion des situations d'urgence : Il s'agit d'adopter et de mettre en œuvre des procédures visant à identifier les urgences prévisibles grâce à une analyse systématique et à élaborer, expérimenter aux moyens d exercices et réexaminer les plans d'urgence pour pouvoir faire face à de telles situations d'urgence. Gestion du retour d expérience : Il s'agit de définir et de mettre en place des mécanismes permettant la remontée d informations, l analyse et la mise en œuvre d actions correctives dans le traitement des incidents, presqu accidents et accidents. Ces événements doivent d abord être définis. Les procédures doivent englober le système de notification des accidents majeurs ou des accidents évités de justesse (notamment lorsqu'il y a eu défaillance des moyens de protection). Contrôles du système, audits et revues de direction Il s'agit tout d abord de mettre en œuvre des moyens permettant le contrôle permanent du respect des procédures lorsque ces procédures encadrent des opérations IPS. Il s'agit ensuite de mettre en œuvre une procédure en vue d une vérification périodique par sondage du bon fonctionnement du système. Enfin, le retour d expérience, les contrôles et les audits réalisés doivent donner lieu à une évaluation périodique et systématique par la Direction du respect des objectifs de la PPAM et de l'efficacité du système de gestion de la sécurité en place. 1.2.3. L intégration du SGS dans d autres systèmes de management du site Dans de nombreux pays ont été élaborés des référentiels et normes portant sur le management de la santé-sécurité et/ou de l environnement et/ou de la qualité [6]. Ces différents référentiels peuvent être classés en plusieurs catégories : - les «référentiels guides» qui proposent des exigences sans les imposer. C est le cas du référentiel BS 8800 développé par le BSI (British Standards Institution) et un collectif d industriels et de bureaux d études britanniques. - les «référentiels normes» qui imposent un cadre d exigences auxquelles l entreprise doit satisfaire dans son ensemble si elle veut pouvoir prétendre à une reconnaissance ou une certification. - les «référentiels mixtes» qui imposent de suivre des exigences accompagnées de recommandations en termes de moyens à mettre en place ou de précisions et d exemples. Page 13 / 39

Historiquement, les premiers systèmes de management mis en place étaient ceux de la qualité. On a cherché à éliminer d abord les pannes et défaillances les plus fréquentes, les dysfonctionnements de l organisation à des fins de production. Progressivement, sont ensuite apparus des systèmes de management environnementaux (ISO 14001 par exemple) dont l objet est de maîtriser tous les rejets de l entreprise vers son environnement, mais également de prévenir des événements comme des pollutions accidentelles, dont la fréquence est moins grande que des pannes de production, mais dont la gravité est plus importante. On s est également intéressé à la santé / sécurité de l homme à son poste de travail. Sont alors apparus d autres systèmes de management visant à prévenir ou à diminuer le nombre d accidents du travail dans une entreprise. On a ensuite cherché à intégrer les différents types de référentiels existants dans un système de management intégré HSE voire QHSE (Qualité / Hygiène / Sécurité / Environnement). Même si le SGS demeure une contrainte réglementaire, son apparition au sein des systèmes de management actuels d un établissement semble fort logique : on s intéresse maintenant à prévenir les accidents majeurs, les événements dont la probabilité d occurrence est la plus faible mais dont les conséquences seraient catastrophiques pour l entreprise et son environnement (cf. figure 3 ci-après). SGS SM HSE SM Qualité Accidents Majeurs Pollutions, Accidents du travail... Pannes, défaillances... Gravité Fréquence Figure 3 : Pyramide de Bird 1.2.3.1. Le management selon la boucle de Deming Qu ils traitent d environnement, de santé / sécurité ou même de qualité, la plupart des systèmes de management actuels présentent la même structure de base d un système fondé sur la boucle de Deming ou boucle «d amélioration continue». Ce système de management s organise en cinq volets : Politique Planification Mise en œuvre Contrôle Revue, soit «Plan / Do / Check / Act» en anglais. Cette uniformisation dans la structure des systèmes de management QHSE démontre un consensus de toutes les entreprises des pays concernés sur la validité de cette logique organisationnelle. Le tableau 1 ci-après fait la liste de quelques référentiels parmi les principaux dans le domaine de la qualité / santé - sécurité / environnement. Page 14 / 39

BS 8800 Dénomination Champ du référentiel Commentaires Occupational health and safety management systems OHSAS 18001 Occupational health and safety management systems ECO-AUDIT ISO 14001 ISO 9001 version 2000 SIES Système International d Evaluation de la Sécurité de DNV Guide pour un système de management de la santé et la sécurité au travail Projet de norme pour un système de management de la santé et la sécurité au travail Règlement européen pour un système de management environnemental Norme internationale pour un système de management environnemental Norme internationale pour un système de management de la qualité Outil de référence en matière d évaluation et d amélioration du management de la santé-sécurité Tableau 1 : Principaux référentiels de management existants Ne prévoit pas de formalisme particulier. Ne mentionne pas la nécessité de procédure écrite. Réalisé par un collectif d industriels et de bureaux d études britanniques Le BSI n a pas participé à sa rédaction, seulement à son édition. L adhésion des établissements à ce règlement s inscrit dans une démarche volontaire. S applique aux activités d un établissement, à ses produits mis sur le marché et à ses services éventuels L approche en PDCA est orientée par processus de l entreprise. Plus orientée vers la satisfaction client que l ISO 9001 1993 SIES est le résultat de bonnes pratiques collectées depuis 1978 auprès de 6000 utilisateurs dans le monde. S agissant de définir le SGS, l annexe III de l arrêté du 10 mai 2000 stipule que le SGS «définit l organisation, les fonctions des personnels, les procédures et les ressources qui permettent de déterminer et de mettre en œuvre la PPAM.» Les situations ou aspects suivants de l activité, doivent être abordés au travers de dispositions spécifiques : Organisation, formation Identification et évaluation des risques d accidents majeurs Maîtrise des procédés, maîtrise d exploitation Gestion des modifications Gestion des situations d urgence Gestion du retour d expérience Contrôle du SGS, audits et revues de direction. Les sept activités «réglementaires» énoncées ci-dessus, et sur lesquelles doit être bâti le SGS, permettent de penser ce dernier selon une structure en boucle d amélioration soit : Politique Planification Mise en œuvre Contrôle Revue (Cf. figure 4 ci-après). Page 15 / 39

P.P.A.M. Revues de direction Plan d actions Conformité réglementaire Identification et évaluation des risques d accidents majeurs Contrôle, audits Gestion du retour d expérience Organisation et formation Maîtrise de l exploitation Gestion des modifications Gestion des situations d urgence Figure 4 : Structure du SGS organisée selon la boucle de Deming 1.2.3.2. La pyramide documentaire S agissant de l organisation et de la gestion de la documentation nécessaire pour faire vivre un Système de Gestion de la Sécurité, l INERIS propose un système calqué sur le management de la qualité, avec quatre niveaux de documents expliqués dans le schéma de la figure 5 ci-après. La pyramide documentaire proposée ici est également adoptée par la plupart des systèmes de management environnemental et hygiène / sécurité décrits dans le tableau 1. Le premier document exigible réglementairement est une Politique de Prévention des Accidents Majeurs qui soit un engagement signé de la Direction de l Etablissement. La Direction s engage sur des objectifs généraux, qui sont des principes directeurs sur le long terme, mais déclinables en moyens concrets immédiatement dans le système de management. Le second niveau documentaire reprend les objectifs énoncés dans la politique pour les transposer en moyens précis au travers de procédures générales. L ensemble des procédures générales doit permettre de répondre exhaustivement aux questions suivantes : «sur quoi porte et qu est-ce que fait le SGS?» et «qui fait quoi dans le système?». Page 16 / 39

Dans ce deuxième niveau, on retrouve également le manuel SGS qui est un document descriptif du système mis en place en une dizaine de pages. Ce document qui doit être joint à l étude des dangers réglementaire, est abordé avec plus de détails lors de l étape 4 de la démarche de mise en place. Le troisième niveau permet de transposer les documents système du niveau 2 en documents opérationnels. Le vocabulaire utilisé peut être très varié : procédures opérationnelles, modes opératoires, consignes, etc. La finalité est toutefois toujours la même, c'est-à-dire décrire à partir du «qui fait quoi» dans le système, comment l opération doit être effectuée au niveau du poste de travail. Une fois le mode opératoire écrit, lorsque l activité concerne un ensemble de tâches Importantes Pour la Sécurité, ce mode opératoire doit être couvert par un moyen de contrôle qui permet de s assurer en permanence que l action est réalisée selon les règles. Le contrôle peut être réalisé par différents moyens : enregistrement, check-list, cahier de consignes, etc. Ce quatrième niveau documentaire doit permettre de répondre au point 7.1. (Contrôles) de l annexe III de l arrêté du 10 mai 2000. Description du système document généraux minimum 7 points réglementaires du SGS PPAM Manuel sécurité Procédures générales Documents opérationnels documents applicables directement sur le terrain, enregistrements témoignant d un contrôle Procédures opérationnelles, mode opératoires, instructions, consignes sécurité... Enregistrements, rapports d accidents, épreuves de matériel, check-lists Figure 5 : Principe de la pyramide documentaire en quatre niveaux Afin d être plus explicite quant à la différence attendue entre une procédure générale et un mode opératoire, il faut comprendre que la procédure décrit une activité complexe de l organisation, qui fait intervenir plusieurs fonctions ou personnels de l établissement. Lorsque la procédure générale est écrite, le mode opératoire permet de décrire de manière plus détaillée pour chaque fonction désignée dans l activité, l enchaînement des tâches à réaliser. L exemple qui suit montre de façon très simplifiée ce que pourrait être une procédure d identification et d évaluation des risques. M.O. signifie Mode Opératoire. Page 17 / 39

QUI QUOI COMMENT Resp. HSE Constituer un groupe de travail M.O. 1 : Composition type du groupe de travail Resp. HSE + Resp. Expl. Déterminer le sujet de l analyse Resp. HSE Animer le groupe de travail M.O. 1 : Outil d analyse des risques utilisé Groupe constitué Groupe constitué Coter les situations identifiées Déterminer les éléments IPS M.O. 1 : Définir des classes Gravité / Fréquence. Définir l Accident Majeur Resp. HSE Intégrer les résultats dans les docs. opératoires M.O. 2 : Marche à suivre pour intégrer les résultats de l Analyse des risques dans procédures d exploitation Figure 6 : Exemple d une procédure générale simplifiée Lors de l écriture de la procédure système ci-dessus, il est apparu intéressant de rédiger deux modes opératoires qui en découlent. Le premier décrit la manière détaillée dont le responsable HSE doit réaliser une analyse des risques et animer un groupe de travail. Le second mode opératoire détaille la façon précise dont le responsable HSE doit assurer l intégration des résultats de l analyse des risques dans le SGS, qu il s agisse des procédures d exploitation ou de maintenance, des besoins en formation des opérateurs ou bien encore de la mise à jour du POI ou de fiches réflexes dans les ateliers. Seul le dernier mode opératoire est décrit dans l exemple ci-après, de façon très simplifiée comme dans l exemple précédent. Page 18 / 39

ACTION VERIFICATION APPROBATION Lister les accidents majeurs Lister les IPS choisis par accident Définir les attendus sur les IPS IPS Validation par le Groupe de travail Validation par le Groupe de travail Equipement Opération Approbation par le Resp. Maintenance Approbation par le Resp. Exploitation Communiquer les attendus au Resp. Maintenance Communiquer les attendus au Resp. Exploitation Contrôler l intégration des attendus dans les procédures opérationnelles Figure 7 : Exemple d un mode opératoire simplifié 1.2.3.3. La spécificité du SGS dans un système de management intégré Les deux paragraphes précédents démontrent qu il est possible de penser un SGS intégré à d autres systèmes de management HSE ou QHSE sur le site. En effet, la structure de management en boucle d amélioration ainsi que la structure documentaire sur quatre niveaux conviennent autant à un SGS conforme aux exigences de l arrêté du 10 mai 2000 qu à tout autre système de management déjà présenté dans le tableau 1 page 15. Pour chaque système de management, le chapitre clé qui définit la spécificité du système est toujours l identification des dangers et l évaluation des risques : pour les travailleurs, pour l environnement, pour la protection des populations extérieures au site. La nouveauté introduite par l arrêté du 10 mai 2000 est d orienter les objectifs de management d un établissement SEVESO II vers la prévention des accidents majeurs, c'est-à-dire de modifier le point d entrée du système de management en le liant à l analyse des risques telle qu elle devrait figurer dans l étude des dangers. Même si la structure de management est commune entre un système HSE actuel et un SGS SEVESO II, il est clair qu un système HSE ne répond pas aux exigences de l arrêté du 10 mai 2000, dans le sens où il n est pas orienté selon les objectifs fixés par l analyse des risques d accidents majeurs, outil qui n était utilisé jusqu alors que dans le cadre de l étude réglementaire des dangers. Page 19 / 39