SYNTHÈSE DE L’ANALYSE PRÉLIMINAIRE DES RISQUES … delivery... · Le but de cette analyse...

EDMS NO. REV. VALIDITY

1405511 0.3 Approval REFERENCE

GIF in EHN1

Date: 2014-07-28

CERN CH-1211 Geneva 23 Switzerland

SYNTHÈSE DE L’ANALYSE PRÉLIMINAIRE DES RISQUES : GIF++

Abstract Le Système de Sûreté d’Accès de l’expérience GIF++ est dédié à la protection des personnes vis-à-vis des dangers principalement radiologiques et notamment de la source de Cs137. Le but de cette analyse préliminaire des risques est donc d’analyser ces dangers, dans la perspective de l’accès du personnel dans la zone d’expérience, d’en évaluer la gravité et la probabilité d’occurrence et de déterminer le niveau d’intégrité de sécurité (Safety Integrity Level, SIL) requis pour le Système de Sûreté d’Accès.

Prepared by :

F. Pirotte (BE/ASR) J. Spanggaard (BE/BI)

Checked by :

GS/ASE: T. Ladzinski D. Vaxelaire

V. Martins De Sousa Dos Rios PH/DT: Martin Jeakel

Federico Ravotti EN/MEF: Adrian Fabich

Liste de Distribution:

This document is uncontrolled when printed. Check the EDMS to verify that this is the correct version before use .

Approved by :

EN/MEF: I. Efthymiopoulos

REFERENCE EDMS NO. REV. VALIDITY

GIF in EHN1 1405511 0.3 Approval

of 22

HISTORY OF CHANGES

REV. NO. DATE PAGES DESCRIPTIONS OF THE CHANGES

0.0 0.1 0.2

0.3

2012-03-21 2014-03-24 2014-05-05

2014-07-01

- 30

Toutes

7, 10, 12, 14, 15, 16, 19, 21, 24

Création du document par CE Sala Première révision du document Révision du document avec GS/ASE (Tomasz, Didier, Vitor) Révision du document avec PH/DT (Martin et Federico)



of 22

Table of Contents

1. INTRODUCTION ...................................................................................................... 4 1.1 OBJECTIFS........................................................................................................ 4 1.2 DÉMARCHE ....................................................................................................... 4 1.3 VUE D’ENSEMBLE .............................................................................................. 5 1.4 ABRÉVIATIONS ET DÉFINITIONS ......................................................................... 6 1.5 RÉFÉRENCES ..................................................................................................... 7

2. SYSTÈME ANALYSÉ .................................................................................................. 8 2.1 DÉFINITION ...................................................................................................... 8 2.2 CADRE LÉGAL ................................................................................................... 8 2.3 ENVIRONNEMENT PHYSIQUE ............................................................................... 9

2.3.1 PRÉSENTATION DE L’EXPÉRIENCE GIF++ .............................................................. 9 2.3.2 PRÉSENTATION DES EIS ..................................................................................... 10

2.4 PRESENTATION DES MODES D’EXPLOITATION ET D’ACCES ................................... 11 3. DANGERS PRIS EN COMPTE PAR LE SYSTEME ............................................................ 13

3.1 Dangers potentiels par activité ........................................................................... 13 3.2 Dangers et activités retenues pour l'analyse de risques ......................................... 16 3.3 Définition des dangers retenus ........................................................................... 16 3.4 Conditions d’exposition aux dangers ET événements dangereux ............................. 17

4. HYPOTHESES ......................................................................................................... 17 4.1 Hypothèses générales ....................................................................................... 17 4.2 HYPOTHESES DE REGLAGE DES PARAMETRES DE CALCUL ..................................... 18

4.2.1 CONSÉQUENCE DU DOMMAGE CRÉÉ PAR LE DANGER (GRAVITÉ) ............................ 18 4.2.2 POSSIBILITÉ D’ÉVITER LE DANGER ...................................................................... 19 4.2.3 FRÉQUENCE ET DURÉE D’EXPOSITION ................................................................. 19 4.2.4 PROBABILITÉ D’OCCURRENCE NON SOUHAITÉE .................................................... 19 4.2.5 NOMBRE DE SYSTÈMES SÉCURITAIRES INDÉPENDANTS ......................................... 20 5. NIVEAUX D’INTÉGRITÉ DE SÉCURITÉ ........................................................................ 21 6. CONCLUSIONS ....................................................................................................... 22



of 22

1. INTRODUCTION

1.1 OBJECTIFS L’inventaire complet des dangers liés à l’exploitation de l’expérience GIF++ est recensé dans le document [RD03]. C’est dans ce document que sont identifiés les dangers contre lesquels doit protéger le Système de Sûreté d’Accès de GIF++.

Le Système de Sûreté d’Accès de GIF++ est dédié à la protection des personnes vis-à-vis des dangers principalement radiologiques et notamment de la source de Cs137.

Le but de cette analyse préliminaire des risques est donc d’analyser ces dangers, dans la perspective de l’accès du personnel dans l’expérience GIF++, d’en évaluer la gravité et la probabilité d’occurrence et de déterminer le niveau d’intégrité de sécurité (Safety Integrity Level, SIL) requis pour le Système de Sûreté d’Accès prévu.

1.2 DÉMARCHE Afin de traiter de façon systématique toutes les activités nécessaires pour assurer le niveau d’intégrité de sécurité prescrit pour les systèmes relatifs à la sécurité, la norme IEC 61508 définit un cycle de vie de sécurité global (voir [RD01] Part 1, Fig. 2) comme cadre technique.

Ce cycle de vie indique les différents pas à suivre pour déterminer le niveau d’intégrité de sécurité nécessaire pour la réalisation d’un tel système :

1) définir le domaine d’application du système d’accès à analyser, 2) mener une analyse des dangers et des risques sur ce système, 3) déterminer le niveau d’intégrité de sécurité nécessaire pour protéger le système d’accès analysé de ces risques.

Concrètement pour l’analyse des dangers et des risques, les objectifs de l’étude sont les suivants (voir [RD01] Part 1, chapitre 7.4) :

• déterminer les dangers et les événements dangereux, dans tous les modes d’exploitation et dans toutes les situations raisonnablement prévisibles,

• déterminer les séquences d’événements menant aux événements dangereux, • évaluer la gravité et la probabilité d’occurrence de ces événements dangereux

afin d’en déterminer les risques associés.



of 22

1.3 VUE D’ENSEMBLE

Le présent chapitre d’introduction présente la démarche suivie, énonce les principales abréviations et définitions et liste les documents de références.

Le chapitre 2 présente le système analysé, dans son environnement physique et sur lequel est réalisée l’analyse des dangers et des risques.

Le chapitre 3 spécifie, dans tous les modes d’exploitation, les dangers et les événements dangereux liés à l’exposition des personnes aux risques liés à l’exploitation des installations, détermine les séquences d’événements menant aux événements dangereux et en évalue la gravité et la probabilité d’occurrence.

Le chapitre 4 introduit la méthodologie suivie pour déterminer les niveaux d’intégrité de sécurité, puis présente les niveaux d’intégrité de sécurité à atteindre par le Système de Sûreté d’Accès pour protéger le personnel des dangers décrits dans le chapitre 3.

Le chapitre 5 présente les niveaux d’intégrité du système.

Le chapitre 6 présente les barrières technologiques indépendantes et les barrières d’exploitation mises en œuvre pour couvrir les risques identifiés dans le présent document.

Le chapitre 7 résume les principales conclusions de l’analyse des dangers et des risques.



of 22

1.4 ABRÉVIATIONS ET DÉFINITIONS La table 1 suivante rappelle la définition des principaux termes de la norme internationale IEC 61508 Part 4 qui sont utilisés dans ce document :

Terme

Définition

Danger Condition susceptible de conduire à des dommages Dommage Blessure physique ou atteinte à la santé comme

conséquence à un dégât causé aux biens ou à l'environnement

EUC Equipement Sous Contrôle (Equipement Under Control) Événement dangereux Situation dangereuse qui conduit à un dommage

Niveau d’intégrité de sécurité (SIL)

Niveau discret (parmi quatre possibles) permettant de spécifier les prescriptions concernant l'intégrité de sécurité des fonctions de sécurité à allouer aux systèmes électriques, électroniques et électroniques programmables relatifs à la sécurité. Le niveau 4 d'intégrité de sécurité possède le plus haut degré d'intégrité; le niveau 1 possède le plus bas degré d’intégrité

Probabilité d’occurrence Estimation de la probabilité pour que l’événement dangereux se produise : évalué à partir de retours d’expérience et en considérant les fonctions assurées par le PACS et les procédures associées.

Risque Un risque (R) est une combinaison de la probabilité d’un dommage (f) et de sa gravité (C) : R= f * C

Sécurité Absence de risque inacceptable Sécurité fonctionnelle Sous-ensemble de la sécurité se rapportant à

l'équipement sous contrôle et au système de commande de cet équipement qui dépend du fonctionnement correct des systèmes électriques, électroniques et électroniques programmables des systèmes relatifs à la sécurité basés sur une autre technologie et des dispositifs externes de réduction de risque

Situation dangereuse Situation dans laquelle une personne est exposée à au moins un phénomène dangereux

Table 1 : Définitions IEC 61508



of 22

La table 2 suivante présente les définitions des concepts et termes utilisés pour la présente analyse de risque :

Terme

Définition

Zone Inter Verrouillée

Une ZIV est délimitée par ses EIS-a et protégée par des EIS-f et des EIS-m.

Chaîne de sécurité Concept utilisé pour modéliser les règles d’inter verrouillage mises en œuvre au niveau d’une ZIV. Une chaîne associe l’état des EIS-a d’une ZIV, l’état des EIS-f et EIS-m protégeant cette ZIV ainsi que des informations externes issues des ZIV périphériques ou de systèmes externes (on parlera d’EIS-e) dont l’état peut conditionner le mode d’exploitation de la ZIV considérée.

External Interlock Interlock externe. Système externe aux EIS associés à une ZIV mais dont l’état peut conditionner la chaîne associée à la ZIV (par exemple les systèmes de ventilation). Ces interlocks sont nommés EIS-e dans ce document et les documents associés.

Faisceau Injecté Passage unique du faisceau, coupé avec la source. Machine Dans le contexte de l’étude, Machine sera utilisé au même titre

qu’Expérience ou Zone. Radiation induite

ou rémanente La radioactivité induite ou rémanente est créée dans les matériaux et l’air exposés aux radiations promptes. Elle résulte principalement des radiations promptes suite à des pertes de faisceau, à des arrêts brutaux (beam stoppers, beam dump, cibles).

SPS PPS SPS Personal protection system : nom donné au système d’accès pour le SPS

Table 2 : définitions associées à l’APR

1.5 RÉFÉRENCES

Les documents applicables, les documents de référence et les normes internationales utilisés dans l’analyse des dangers et des risques sont indiqués dans le tableau suivant:



of 22

N° Titre Identification Date

[RD01] Norme Internationale sur la Sûreté de Fonctionnement : IEC 61508

IEC 61508 : Partie 1

Edition 1.0, 1998-12

[RD02] Norme Internationale sur la Sûreté de Fonctionnement : IEC 61508

IEC 61508 : Partie 5 (Annexes E et G)

Edition 2.0, 2010-04

[RD03] GIF++ facility requirements EDMS 1280118 2013-04-26

[RD04] Synthèse de l'analyse préliminaire de risques: GIF++

EDMS 1405511 2014-03-24

[RD05] Convention Tripartite Décret no 2011-1024

2014-08-24

[RD06] Système de Sûreté d’Accès aux Zones Expérimentales du PS et SPS

EDMS 476292 2004-11-14

[RD07] Politique de Sécurité SAPOCO/42 2006

Table 3 : Documents de référence

2. SYSTÈME ANALYSÉ

2.1 DÉFINITION Le système pris en compte est constitué :

• De la zone d’expérience GIF++ ; • De l’ossature physique de cette installation (Fig. 1) ainsi que les barrières

physiques mises en place pour le Système de Contrôle d’Accès ; • Des procédures d’accès associées.

Le système considéré est identifié dans la norme internationale IEC 61508 comme Equipement Sous Contrôle (Equipement Under Control : EUC).

2.2 CADRE LÉGAL Le CERN est une Organisation internationale qui se dote de sa propre législation en matière de sécurité et de sûreté. Le CERN a adopté une politique de sécurité

https://edms.cern.ch/document/1280118/

https://edms.cern.ch/document/1405511/0.3

http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20110828&numTexte=6&pageDebut=14594&pageFin=14598

http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20110828&numTexte=6&pageDebut=14594&pageFin=14598

https://edms.cern.ch/document/476292/1

https://edms.cern.ch/file/359387/LAST_RELEASED/Sapoco_E.pdf



of 22

(SAPOCO/42 [RD07]) et un ensemble de codes et instructions de sécurité qui lui sont applicables.

De plus, depuis 2010 un accord tripartite (CERN-CH-F) établit un cadre juridique afin de discuter des questions en matière de sécurité radiation et de radioprotection du CERN de manière transparente et en collaboration avec les autorités des États hôtes [RD05].

2.3 ENVIRONNEMENT PHYSIQUE

2.3.1 Présentation de l’expérience GIF++ L’expérience GIF++ sera installée à la Zone Nord. La description ci-dessous est tirée du document EDMS [RD03]:

L’installation GIF++ contiendra quatre grandes parties énumérées dans le tableau 4. Le bunker fournit la zone d'irradiation accueillant la source de photons et recevant un faisceau de muons secondaires. Adjacent au bunker sera située une zone de préparation mécanique d’équipement des utilisateurs (zone de préparation), une zone dédie aux racks de gaz et deux salles de contrôle. Les dimensions surfaciques sont données à titre indicatif et donnent un aperçu en conclusion des exigences données plus loin dans le document : EDMS

Part Details surface

Bunker Zone d’irradiation 100 m2

Zone de préparation

Zone de préparation du détecteur directement accessible depuis la salle de contrôle et adjacente au bunker

80 m2

Zone de Gaz Accueille une grande partie de l’infrastructure périphérique et services (approvisionnement de gaz et systèmes)

40 m2

Salle de comptage

Deux salles de contrôle séparées pour services et utilisateurs avec accès le plus proche de la zone de préparation et du bunker

Chacune : 15 m2

Table 4: Les 4 zones de l’installation GIF++

Le bunker contient la source à l’endroit d’interception des deux champs d’irradiation opposés avec la ligne de faisceau nominal secondaire.

Le schéma général permettra à six équipes d’utiliser l’installation GIF++ en parallèle (avec les contraintes d’espace données dans le tableau ci-dessus).



of 22

L'installation sera conçue de telle sorte que celle-ci puisse être opérée en mode autonome.

Figure 1: Plan de la future installation GIF++

2.3.2 Présentation des EIS

Les barrières physiques mises en place pour garantir la sécurité des personnes dans les installations sont communément appelées EIS par dérivation du concept d’Élément Important pour la Sûreté issus de la nomenclature des INB.

Plusieurs catégories d’EIS sont établies la ZIV GIF++ :

• Les barrières physiques mises en place pour le Système de Contrôle d’Accès sont communément appelées EIS-Accès (EIS-a). Ils sont utilisés pour interdire l’accès à la ZIV en présence de danger et pour éviter l’apparition des dangers en présence de personnel dans la zone.

• Les EIS utilisés pour protéger la ZIV contre les dangers inhérents au fonctionnement des installations sont appelés EIS-Machine (EIS-m) et EIS-Faisceau (EIS-f). Ils sont utilisés pour garantir la sûreté des accès dans la zone (interdire le fonctionnement machine en présence de personnel).



of 22

Chaque ZIV est donc délimitée par ses EIS-a et protégée par des EIS-f et des EIS-m.

L’expérience GIF++ consiste en une seule ZIV. Les EIS prévus lors du design sont les

suivants :

• EIS-a :

o 1 porte d’accès principale (PPE) ;

o 1 porte de sortie de secours (PPX) ;

o 1 bloc de blindage mobile (PPG) ;

o 2 boites de patrouilles ;

o 1 distributeur de clés de sûreté

• EIS-f :

o 1 table mobile avec 2 dumps (XTDV, déplacement vertical, non Fail-Safe) qui permet d’arrêter tout types de faisceau en amont de la zone d’expérience.

o Chaine 11 du TT20 (système interlock de la zone primaire)

• EIS-m :

o 1 mécanisme de montée et descente de la source de CS137 motorisé (Fail-Safe) ;

2.4 PRESENTATION DES MODES D’EXPLOITATION ET D’ACCES

Les modes d’exploitation du système analysé dérivent des besoins d’exploitation du système de sûreté d’accès mis en évidence par l’actuelle console d’exploitation placée en salle de contrôle.

La présentation des modes de fonctionnement nécessite l’introduction du concept de « Chaîne de sécurité » associée à une ZIV :

La Chaîne de sécurité d’une ZIV (appelée aussi Chaîne d’inter-verrouillage) associe les EIS-a de la ZIV à ses EIS-f et EIS-m. Elle intègre également des conditions externes issues des chaînes de sécurité des ZIV avals ainsi que les informations issues de systèmes externes.



of 22

La figure suivante illustre le principe des différents modes d’accès des zones secondaires du SPS :

Figure 2 : Illustration des modes d’accès des zones secondaires du SPS

Il existe deux Modes d’Exploitation principaux pour chaque ZIV : Faisceau ou Accès.

Ces modes sont exclusifs : la ZIV peut donc être soit en mode Faisceau soit en mode Accès mais jamais dans ces 2 modes en même temps.

A partir du Mode d’Exploitation Accès appliqué à une ZIV, les conditions d’accès sont régies par 3 Modes d’accès Principaux : Free Access, Key Access ou Closed. [RD06]

Dans le mode Free Access, les utilisateurs de la zone peuvent entrer et sortir librement de cette zone. Les portes sont déverrouillées, toute personne peut les ouvrir et aucune clé d’accès n’est requise pour l’accès.

Le faisceau est interdit dans la zone. Les EIS-Machine sont fermés, empêchant le fonctionnement du faisceau dans la (les) zone(s) concernée(s)

EIS-Accès Unlocked

EIS-Machine Closed

Beam Not Allowed

Tableau 5 : Tableau sommaire pour le mode « FREE »



of 22

Dans le mode Closed, les utilisateurs sont interdits d’entrer dans la zone. Les portes sont verrouillées et toute intrusion entraînera la fermeture des EIS-Machine, empêchant ainsi le faisceau primaire d’entrer dans la (les) zone(s) concernée(s).

EIS-Accès Closed + Locked

EIS-Machine Open or Closed

Beam Allowed

Tableau 6 : Tableau sommaire pour le mode « CLOSED »

Dans le mode Key Access, les utilisateurs peuvent entrer dans la zone seulement après avoir pris une clé avec eux selon le principe « une personne, une clé ». Dans le cas de GIF++, le système d’accès est conçu de telle sorte qu’après la prise de clé, le passage du tourniquet se fait après contrôle du dosimètre personnel (DIS) garantissant l’unicité de passage + une demande d’IMPACT (permettant la gestion des accès et des activités).

Lorsqu’une patrouille est effectuée (Mode Patrouille), les « Boites de Patrouille (PB) » sont armées. Si les portes sont forcées, les Boites de Patrouille « tomberont » et deviendront désarmées, empêchant ainsi le passage en mode Closed.

EIS-Accès -

EIS-Machine Closed

Beam Not Allowed

Tableau 7 : Tableau sommaire pour le mode « KEY ACCESS »

3. DANGERS PRIS EN COMPTE PAR LE SYSTEME

L’objectif de ce chapitre est de décrire les dangers pris en compte par le système de sûreté d’accès (ACCESS SAFETY SYSTEM) et les conditions nécessaires pour que l’exposition au danger se produise.

3.1 Dangers potentiels par activité

Le tableau ci-dessous (version complète sur EDMS 1405511) identifie les activités/modes d’accès potentiels (standard, non-standard et anormaux) et associe à chacune d’entre elle les dangers sur lequel le système de sûreté d’accès peut avoir un impact.

N.B : la liste des dangers présentée ci-dessous ne préjuge pas de la liste finale des dangers qui sera gérée par le système de sûreté d’accès. Les dangers "HT" et "gaz

https://edms.cern.ch/document/1405511/1



of 22

inflammables" sont identifiés dans ce tableau mais ne sont pas pris en compte à ce jour dans la conception du système d'accès. Ces dangers seront traités séparément par l'équipe projet avec le soutien de HSE.

DISCLAIMER: Ce tableau ne tient pas compte du fait que certains types d'accès conduisent à la mise en état SAFE automatique des EIS

Radiations prompts

par faisceau de muon

Radiations prompts

par faisceau

d'électron

Radiations prompts

par faisceau de

protons

Radiations gamma de la source de CS137

Contami-nation HT Gaz

inflammables

Activités standard

Accès en mode général Non Non Non Non Non Possible Possible

Accès en mode

restreint Non Non Non Non Non Possible Possible

Patrouille Non Non Non Non Non Possible Possible Ouverture

bloc de blindage en mode Beam

OFF

Non Non Non Non Non Possible Possible

Ouverture du toit en mode

beam OFF Non Non Non Non Non Possible Possible

Activités non-standard

Maintenance/test/contrôle de la source

Non Non Non Possible Possible Possible Possible

Réparation de la source Non Non Non Possible Possible Possible Possible

Maintenance système

d'accès/EIS-f Possible Possible Possible Non Non Possible Possible

Maintenance RAMSES Non Non Non Non Non Possible Possible

Activités anormales



of 22

Forçage du PPX Possible Possible Possible Possible Non Possible Possible

Forçage du PPE et/ou du

tourniquet

Non car le tourniquet

est libre uniquement dans le sens de la sortie

Non car le tourniquet est

libre uniquement dans le sens de la sortie





Non Possible Possible

Ouverture bloc de

blindage en mode Beam

ON

Possible Possible Possible Possible Non Possible Possible

Ouverture du toit en mode

beam ON Possible Possible Possible Possible Non Possible Possible

Accès avec source

bloquée en position haute

Non Non Non Possible Non Possible Possible

Accès avec shutters ouverts


Accès avec dumps en position unsafe

Possible Possible Possible Non Non Possible Possible

Remontée intempestive de la source pendant un

accès


Passage des EIS-f en position UNSAFE

durant un accès

Possible Possible Possible Non Non Possible Possible

Personne restant dans la zone après

patrouille




of 22

Personne donnant sa clé

à une autre personne et restant dans

la zone lors de la remise en

route de l'installation


Exploitation Faisceau +

source GIF++ Possible Possible Possible Possible Non Possible Possible

Source seule GIF++ + accès Non Non Non Non Non Possible Possible

Faisceau + source GIF++

avec accès CMS


Faisceau CMS avec source

ON sur GIF++ Possible Possible Possible Possible Non Possible Possible

3.2 Dangers et activités retenues pour l’analyse de risques

Les dangers qui devront être contrôlés par le système de sûreté d’accès sont les suivants :

• Les dangers liés aux faisceaux de particules ;

• Les dangers liés à la source de CS137.

Les dangers liés aux gaz inflammables et à la HT seront contrôlés par d’autres systèmes. Un système de contrôle analyse en continu les gaz inflammables et envoie un signal VETO en cas de problème. Des contrôles réguliers (visuels, aucun état anormal) seront aussi opérés par PH (safety).

3.3 Définition des dangers retenus Les dangers pris en compte dans le cadre de la présente APR sont les suivants :

• Radiations promptes liées au faisceau injecté : exposition directe d’au moins une personne à la radiation prompte liée à un faisceau injecté ou à des pertes de ce faisceau.

• Radiations promptes liées à la source de Cs137 : exposition directe d’au moins une personne à la radiation prompte liée à la source de Cs137.

• Contamination extérieure aux bâtiments : Exposition d’au moins une personne aux conséquences d’une rupture de confinement de la source de Cs137 entraînant la dissémination de matières activées à l’extérieur d’une zone



of 22

• Radiations induites ou rémanentes : Exposition directe d’au moins une personne à des sources de radioactivité induite ou rémanente (créée dans les matériaux et dans l’air exposés aux radiations promptes).

3.4 Conditions d’exposition aux dangers ET événements dangereux Pour l’ensemble des dangers listés au §3.3, 4 conditions d’expositions différentes ont été identifiées. L’exposition à chaque danger pouvant se produire dans tout ou partie de ces 5 conditions génériques :

• Intrusion dans la zone, en outrepassant les barrières physiques et les procédures d’accès, alors que le danger est présent (faisceau, radiations rémanentes, radiations liées à la source);

• Présence anormale d’au moins une personne à l’intérieur de la zone, suivie du rétablissement des conditions pour l’apparition du danger puis éventuellement apparition du danger;

• Démarrage intempestif : Alors que l’accès à la zone est autorisé et qu’une personne se trouve dans cette zone, rétablissement anormal des conditions pour l’apparition du danger puis éventuellement apparition du danger;

• Autorisation d’accès à tort dans une zone qui présente des risques (mauvaise manœuvre de l’opérateur en CCC ou accès à CMS alors que le blindage est absent);

• Impossibilité de faire passer les EIS-m (système de levage de la source et/ou shutters) en position Safe.

4. HYPOTHESES

4.1 Hypothèses générales La présente APR est basée sur les hypothèses suivantes :

• Les zones sont en général réputées « étanches » vis-à-vis des intrusions

de personnel (franchissement des enveloppes physiques impossible en dehors des portes et points d’accès prévus sur ces enveloppes).

• L’étude ne porte que sur les risques à l’intérieur de la zone GIF++ située dans le Hall 887, classée zone supervisée.

• L’ossature des bâtiments et ses issues forment une barrière physique conçue de façon à ne pas présenter d’accès mécanique depuis l’extérieur qui pourraient être forcés. La probabilité d’intrusion pour la présente étude est <1/100 ans.

• Les personnes exposées doivent être équipées d’un dosimètre personnel (DIS). Pour tout accès dans la zone, une demande EDH et une demande IMPACT doivent être effectuées au préalable. Ces personnes sont aussi considérées comme équipées de dosimètre opérationnel.

• Dans les cas d’exposition d’une zone à une source de danger présente dans une autre zone, on considère que c’est à la zone source de garantir la non exposition des zones voisines.

• Lors des phases d’arrêt technique annuel des consignations sont systématiquement mises en place sur les EIS protégeant les zones. Ces consignations sont prises en compte si les EIS correspondant sont de conception «failsafe» (état sûr sur perte d’énergie). Dans les cas où les



of 22

EIS ne sont pas «failsafe», des vetos seront à appliquer sur les EIS de la zone amont.

• Les Détecteurs Autonomes (DA) RAMSES sont réputés délivrer des signaux compatibles avec un traitement SIL2 (alarmes sur contacts secs sur dépassement de seuils).

• Les conditions de temperature et d’humidité sont suffisamment stables pour ne pas installer de système de ventilation. La situation sera réévaluée après le démarrage de GIF++. L’ajout d’une unité de ventilation sera possible si nécessaire.

4.2 HYPOTHESES DE REGLAGE DES PARAMETRES DE CALCUL Les valeurs des paramètres présentés au §3 ont été définies sur la base des informations transmises par le Service Radioprotection, les responsables machines et les responsables de la sécurité. Le détail des hypothèses considérées figure dans l’onglet « hypothèses » du fichier Excel joint en annexe [RD04].

Les 5 paramètres considérés sont nommés conformément à l’annexe E de la norme IEC 61508 [RD01] :

• (Ci) Conséquence • (Fi) Fréquence et durée d’exposition • (Pi) Possibilité d’évitement • (Wi) Probabilité d’occurrence non souhaitée • (N) Nombre de SRS (système relatif à la sécurité) indépendants

Les principales hypothèses considérées pour fixer les valeurs de ces paramètres sont résumées dans les § suivants.

4.2.1 Conséquence du dommage créé par le danger (gravité)

Les valeurs possibles pour ce paramètre sont les suivantes :

• Pour l’annexe E de l’IEC 61508 : C1 à C4 • Pour l’annexe G de l’IEC 61508 : Mineur, Grave, Excessivement grave

Les correspondances retenues entre les 2 approches sont les suivantes :

• Préjudice mineur : Exposition n’entraînant pas de dépassement de la limite annuelle ou lésion légère sans conséquence (C1).

• Préjudice grave : Exposition entraînant un dépassement de la limite annuelle ou lésion grave (C2), mort d’une ou plusieurs personnes (C3).

• Préjudice excessivement grave : Mort de plusieurs personnes hors CERN (C4).



of 22

4.2.2 Possibilité d’éviter le danger Ce paramètre est lié à la possibilité pour les personnes exposées d’éviter le danger. Il est utilisé dans l’évaluation selon l’annexe D de la norme IEC 61508.

Les valeurs possibles pour ce paramètre sont les suivantes :

• Possible => P1 • Impossible => P2

Pour l’ensemble des dangers et des conditions d’exposition évalués dans le cadre de cette APR, le paramètre P2 considère que l’évitement une fois exposé est impossible.

Principales hypothèses considérées pour ce paramètre :

Le paramètre P1 ne sera retenu que dans le cas avec risque de contamination de la source lors d’une intrusion ou lors d’une présence anormale. En cas de remontée intempestive de la source pendant l’accès, ce paramètre n’est pas applicable (N/A) car la source est scellée dans un support. Dans tous les autres cas, ce paramètre sera P2 car une fois exposée au faisceau ou à la source, le danger ne peut être évité.

4.2.3 Fréquence et durée d’exposition Ce paramètre permet de caractériser la période durant laquelle l’exposition au danger est possible. Il est utilisé dans l’évaluation selon l’annexe G de la norme IEC 61508. L’établissement de ce paramètre se base sur l’hypothèse de répartition annuelle suivante pour les périodes d’irradiation et d’accès de l’installation :

• Période =30% /an (accès) => F1 • Période =70% /an (faisceau/source run) => F2


• Cas d’intrusions : dangereux durant la période avec faisceau/source run pour les radiations promptes (=> F2), dangereux en cas de contamination due à la rupture de confinement de la source (=> F2)

• Cas de présence anormale : une présence anormale ne pouvant avoir lieu qu’après une période d’accès =>F1

• Cas d’autorisations à tort : en période d’accès majoritairement (=>F1) • Cas de démarrage intempestif et/ou remontée intempestive de la source

pendant l’accès =>F1

4.2.4 Probabilité d’occurrence non souhaitée Les probabilités d’occurrences non souhaitées (associée à l’événement redouté en l’absence de SIS) ont été évaluées selon les niveaux proposés dans les annexes de la norme IEC 61508 (gravité croissante avec 4 niveaux dans l’annexe E et 3 dans l’annexe G) :

• f >= 1 fois/an Haute – W3 • 1 fois /100 ans < f < 1 fois/an Moyenne – W2 • 1 fois /100 ans < f Faible – W1



of 22


• Cas d’intrusions : - Tentative non volontaire : 1 essai d’intrusion non

volontaire / 5 ans (cas du LHC) => W2 - Intrusion volontaire : <1/100 ans du fait de l’existence

de l’enveloppe avec issues fermées => W1 Le système d’accès est conçu de telle sorte que le forçage des portes depuis l’extérieur est impossible (sauf avec une clé spéciale) =>W1

• Cas de présences anormales : Pas d’oubli patrouille en 15 années pour la

zone Nord. L’expérience du LEP (1989-2000) a démontré qu’aucune personne n’a été laissée dans une zone faisceau après une patrouille. La probabilité d’occurrence d’oublier quelqu’un lors d’une patrouille serait donc < 1/11 ans => W2

• Cas d’autorisations à tort : une erreur opérateur ou source vue en position safe. Une personne entrainée (opérateur) a une probabilité de 1/100 de commettre une erreur. On considère environ 200 accès par an dans la zon :1/100*200 =>W2 Le constructeur de la source affirme que depuis la production de ce type d’irradiateur (2004), aucune panne n’a été enregistrée (maintenance par des professionnels effectuée 1/an). Ainsi, la probabilité que pendant un accès, la source soit vue en position Safe alors qu’elle est remontée, serait de 1/10 ans =>W2

• Cas de démarrages intempestifs : Condition d’exposition considérée dans les cas où les sources de dangers sont interlockées :

- Rétablissement anormal des conditions pour l’injection du faisceau. Passage des EIS-f en position UNSAFE durant un accès. Dans ce cas, vu que l’EIS-f de GIF++ n’est pas fail-Safe, c’est la zone primaire qui prend le relais et empêche l’injection du faisceau dans la zone Nord par l’intermédiaire de la chaine 11 -> W2 (1/10 ans)

- Remontée intempestive de la source durant un accès : idem que dans le cas de la source vue en position Safe : le constructeur de la source affirme que depuis la production de ce type d’irradiateur (2004), aucune panne n’a été enregistrée (maintenance par des professionnels effectuée 1/an). Ainsi, la probabilité que la source soit en position haute pendant un accès serait de 1/10 ans =>W2

4.2.5 Nombre de systèmes sécuritaires indépendants Ce paramètre correspond au nombre de systèmes sécuritaires indépendants (ex : PLC, boucle cablée…) permettant d’implémenter les barrières technologiques destiné à éviter les événements dangereux (y compris le système SPS PPS). Il est utilisé dans l’évaluation selon l’annexe de la norme IEC 61508.

Ses valeurs peuvent être 1, 2, …

Dans le contexte de l’installation concernée par la présente APR, le paramètre N prend la valeur 1.



of 22

La valeur 1 correspond à la présence du système d’accès SPS PPS (seule barrière technologique) comme seul système sécuritaire.

5. NIVEAUX D’INTÉGRITÉ DE SÉCURITÉ

L’objectif de l’APR est de définir les niveaux d’intégrité de sécurité (Safety Integrity Level – SIL) objectifs à considérer pour mettre en œuvre les barrières de protection nécessaires dans chaque cas de (danger, condition d’exposition).

Les niveaux de SIL introduits dans la norme IEC 61508 sont au nombre de 4 correspondant chacun à un niveau de réduction du risque :

SIL Niveau de réduction du risque

SIL 1 1/10

SIL 2 1/100

SIL 3 1/1000

SIL 4 1/10000

Selon le niveau à atteindre, la norme IEC 61508 détermine des orientations pour l’implémentation des composants du système sécuritaire assurant les barrières technologiques correspondantes.

Le SIL plus élevé a systématiquement été retenu comme SIL préconisé pour la voie principale. L’annexe E [RD02] a été appliquée pour déterminer les niveaux de réduction de risque requis.



of 22

6. CONCLUSIONS

EVENEMENT REDOUTE DANGER REDUCTION DE RISQUE

REQUIS

Intrusion

Exposition à un faisceau SIL2

Exposition aux radiations de la source

SIL2

Exposition à la contamination

N/A

Présence anormale



SIL2


N/A

Rétablissement anormal des conditions pour

l’injection d’un faisceau et/ou pour la montée de la

source



SIL1


N/A

Le système de sûreté d’accès SPS PPS doit être un système de SIL 2.

Le SIL 2 est nécessaire pour les fonctions de sécurité qui ont pour objectif :

• Empêcher et détecter l’intrusion dans la zone

• Empêcher et détecter la présence anormale d’une personne à l’intérieur de la zone

• Empêcher l’autorisation d’accès dans la zone lorsque la source n’est pas en position Safe

SYNTHÈSE DE L’ANALYSE PRÉLIMINAIRE DES RISQUES … delivery... · Le but de cette analyse...

Documents

Transcript of SYNTHÈSE DE L’ANALYSE PRÉLIMINAIRE DES RISQUES … delivery... · Le but de cette analyse...