LOPA - Layer of protection analysis

LOPA – Maîtriser les barrières de sécurité grâce à l’analyse par couches de protection

1. Introduction à la méthode LOPA

La méthode LOPA (Layer of Protection Analysis), ou analyse des couches de protection, s’impose comme un outil de référence pour quantifier le risque résiduel d’un scénario dangereux et valider l’efficacité des barrières de sécurité mises en place.

Elle ne vise pas à identifier de nouveaux dangers, mais à évaluer de manière semi-quantitative si les mesures existantes ou prévues suffisent à ramener le risque à un niveau acceptable.

LOPA s’inscrit donc dans la continuité des démarches qualitatives comme HAZOP ou APR. Là où ces méthodes posent les bonnes questions, LOPA apporte un début de réponse chiffrée. Elle permet de passer du “plausible” au “probable”, puis du “probable” à l’acceptable”.

Utilisée dans les industries à haut risque (pétrochimie, pharmacie, nucléaire, gaz), LOPA s’appuie sur une modélisation simple mais rigoureuse :

  • un événement déclencheur (fréquence),
  • un événement redouté (gravité),
  • des barrières indépendantes (avec leur performance quantifiée),
  • un critère d’acceptabilité à atteindre.

LOPA est aussi l’une des rares méthodes à pouvoir justifier la nécessité ou non d’installer une fonction instrumentée de sécurité (SIS), c’est-à-dire un dispositif automatique conçu pour détecter un écart critique et déclencher une action de protection sans intervention humaine.

Lorsque ce type de système est mis en place, LOPA permet d’en déterminer le niveau d’intégrité requis (SIL – Safety Integrity Level), un indice normé qui quantifie la fiabilité minimale attendue du système pour atteindre le niveau de risque toléré.

Elle devient alors un véritable outil d’aide à la décision, utile aussi bien pour dimensionner une barrière technique que pour arbitrer des investissements en prévention.

2. Objectifs et principes fondamentaux de la méthode LOPA

La méthode LOPA a été conçue pour répondre à un besoin précis : quantifier le risque résiduel associé à un scénario d’accident identifié, en tenant compte de la performance réelle des barrières de sécurité mises en place.

Elle intervient généralement après une analyse HAZOP ou APR, pour approfondir les scénarios les plus critiques et déterminer s’ils nécessitent :

  • une barrière supplémentaire,
  • une fonction instrumentée de sécurité (SIS),
  • ou une révision des hypothèses de conception.

2.1 - Objectifs principaux de LOPA

  1. Hiérarchiser les scénarios critiques
    • LOPA permet de séparer les scénarios réellement inacceptables de ceux qui le sont seulement en apparence. Cela évite une surconception coûteuse.
  2. Vérifier l’adéquation des barrières en place
    • Elle quantifie l’efficacité des couches de protection indépendantes, en tenant compte de leur fiabilité mesurable.
  3. Justifier la mise en œuvre (ou non) de fonctions instrumentées
    • C’est l’un des seuls outils capables de démontrer qu’un niveau d’intégrité de sécurité (SIL) donné est requis — ou au contraire, que la situation est déjà maîtrisée.
  4. Structurer une logique de défense en profondeur
    • En positionnant clairement chaque barrière dans une séquence causale, LOPA matérialise les différents niveaux de protection entre l’événement initiateur et l’accident redouté.

2.2 - Principes fondamentaux

La méthode LOPA repose sur une structure analytique simple, mais rigoureuse, fondée sur trois concepts clés :

  • Événement initiateur
    → C’est l’origine du scénario (erreur humaine, défaillance matérielle, aléa externe), auquel on attribue une fréquence estimée (ex. : 1 fois tous les 100 ans).
  • Barrières indépendantes de protection (IPL – Independent Protection Layers)
    → Ce sont des mesures techniques ou organisationnelles qui interrompent la chaîne d’événements. Chaque barrière se voit attribuer un facteur de réduction de la probabilité (ex. : 10⁻¹, 10⁻²…).
  • Critère de risque tolérable (ou cible de SIL)
    → En fonction de la gravité potentielle du scénario, on définit un seuil de fréquence acceptable (par exemple : 10⁻⁵ par an pour un accident mortel collectif).

Le principe est simple :

Fréquence de l’événement initiateur ÷ Réduction cumulée par les barrières ≥ Risque cible ?

Si la réponse est non : on complète les couches de protection ou on redimensionne les dispositifs existants.

3. Étapes d’une étude LOPA

La démarche LOPA se déploie selon une séquence logique en six étapes. Chaque étape s’appuie sur les données issues d’analyses précédentes (le plus souvent HAZOP) et permet de transformer un raisonnement qualitatif en une validation quantitative de la maîtrise du risque.

Étape 1 : Définir le scénario étudié

On sélectionne un scénario dangereux identifié comme critique lors de l’analyse HAZOP ou APR. Il est important de formuler clairement :

  • l’événement initiateur (ex. : défaillance d’un capteur de température),
  • le cheminement d’évolution du scénario (ex. : montée en pression dans le réacteur),
  • l’événement redouté (ex. : rupture de l’équipement → explosion).

Exemple : un excès de réactif A dans une cuve de mélange peut générer une réaction incontrôlée menant à une surpression.

Étape 2 : Estimer la fréquence de l’événement initiateur

On attribue une fréquence annuelle d’occurrence à l’événement initiateur, à partir :

  • de données de retour d’expérience (ex. : bases OREDA, ARIA),
  • de taux de défaillance estimés (PFD, MTBF…),
  • ou d’hypothèses conservatrices.

Exemple : défaillance d’un débitmètre → 1/100 an = 10²/an

Étape 3 : Identifier les couches de protection indépendantes (IPL)

On recense les barrières de sécurité efficaces, indépendantes et vérifiables, capables d’interrompre le scénario avant l’événement redouté.
Chaque barrière est caractérisée par sa valeur de réduction de la probabilité (PFD – Probability of Failure on Demand).

Exemples de barrières valides :

  • Interlock automatique avec capteur dédié
  • Soupape de sécurité
  • Alarme avec intervention opérateur rapide
  • Cloisonnement d’un local ATEX

Une barrière n’est prise en compte que si elle est fonctionnelle, indépendante, et testée régulièrement.

Étape 4 : Calculer le risque résiduel

On applique le calcul suivant :

Risque résiduel = Fréquence de l’événement initiateur ÷ Produits des PFD des barrières

 Exemple :
Fréquence = 10⁻²/an
Barrière 1 : capteur avec interlock automatique → PFD = 10⁻¹
Barrière 2 : soupape de sécurité → PFD = 10⁻²

Risque résiduel = 10⁻² ÷ (10⁻¹ × 10⁻²) = 10⁻² ÷ 10⁻³ = 10/aninacceptable

Étape 5 : Comparer au critère de risque tolérable

On compare le résultat obtenu à un seuil d’acceptabilité prédéfini, en général issu de la politique de sécurité de l’entreprise ou des exigences réglementaires.

Exemples :

  • Risque tolérable pour un accident avec blessure grave : 10⁻³/an
  • Risque tolérable pour un scénario mortel collectif : 10⁻⁵/an

🟠 Si le risque résiduel > seuil → barrières insuffisantes
🟢 Si le risque résiduel ≤ seuil → situation maîtrisée

Étape 6 : Ajuster les mesures si nécessaire

Si le niveau de risque n’est pas acceptable :

  • on ajoute une barrière indépendante supplémentaire,
  • ou on augmente le niveau de performance d’une barrière existante (ex. : interlock simple remplacé par une fonction instrumentée avec SIL 2).

Dans notre exemple, pour atteindre 10⁵/an, il faudra ajouter une 3e barrière avec PFD = 10³, ou transformer le système en SIS certifié SIL 2.

Récapitulatif dans un tableau LOPA simplifié :

Zoom sur le PFD – Probability of Failure on Demand

Le PFD (probabilité de défaillance sur demande) mesure la fiabilité d’une barrière de sécurité.
Il exprime la probabilité qu’elle échoue au moment où elle est sollicitée, c’est-à-dire lors d’un événement initiateur.

Plus le PFD est faible, plus la barrière est considérée comme efficace :

En LOPA, on additionne les effets des barrières en série pour vérifier si le risque résiduel atteint un niveau acceptable.

7. LOPA, gruyère et oignon : deux métaphores pour mieux comprendre

La LOPA repose sur une logique de défense en profondeur, que deux modèles visuels célèbres permettent d’illustrer :

🧀 Le modèle du gruyère (Swiss Cheese Model – James Reason)

Chaque barrière de sécurité est une tranche de fromage percée de trous :

  • Les tranches représentent les couches de protection indépendantes (alarme, soupape, SIS…).
  • Les trous symbolisent leurs failles potentielles (erreur humaine, panne, mauvaise maintenance…).

Un accident survient si les trous s’alignent, laissant passer l’événement initiateur jusqu’à la conséquence redoutée.

👉 Ce modèle met l’accent sur la complémentarité des barrières et la nécessité de limiter les alignements de défaillances.

🧅 Le modèle de l’oignon (Onion Ring Model)

Ici, la protection est vue comme une série de couches concentriques qui entourent une cible :

  • Chaque couche est un niveau de protection successif, du plus périphérique (prévention) au plus central (sauvegarde ultime).
  • Le cœur de l’oignon, c’est la cible à protéger : les personnes, l’environnement, les installations.

Ce modèle insiste sur la stratification logique des barrières, du général au spécifique, et sur la notion de temps de réaction : plus on est proche du cœur, plus il est tard pour agir.

 LOPA reprend ces deux logiques :

  • Elle quantifie l’efficacité de chaque tranche de gruyère (via les PFD),
  • Et elle structure les barrières comme des couches successives autour du danger, à la manière d’un oignon.

8. Conclusion

La méthode LOPA (Layer of Protection Analysis) occupe une place à part dans l’univers de la maîtrise des risques :
elle ne cherche pas à tout cartographier, mais à répondre avec rigueur à une seule question cruciale :

Avons-nous mis en place assez de barrières efficaces pour que ce scénario critique soit réellement sous contrôle ?

À la croisée du qualitatif et du quantitatif, elle permet de transformer l’intuition en démonstration, l’analyse en justification, et la complexité en arbitrage.
Elle ne remplace pas le HAZOP ou l’APR — elle les prolonge. Elle ne remplace pas le bon sens terrain — elle le structure.

En pratique, la LOPA prend le relais d’une HAZOP.
Là où l’analyse HAZOP met en évidence des scénarios de déviation potentiellement dangereux, la LOPA permet de quantifier le risque associé et de déterminer si les barrières existantes sont suffisantes, ou s’il faut en ajouter.
C’est une étape charnière pour passer de l’identification à la maîtrise, et pour transformer des scénarios critiques en situations acceptables.

LOPA est aussi un formidable outil de dialogue entre équipes techniques, sécurité, direction et maintenance, en donnant à chacun des repères partagés pour comprendre les décisions de sécurité.
Mais c’est à condition de l’utiliser avec rigueur, méthode et transparence.

Dans un contexte industriel où les ressources sont comptées, les exigences réglementaires croissantes, et la culture du risque en pleine mutation, LOPA permet de viser juste, sans surconcevoir, ni sous-protéger.

Pour aller plus loin !

La méthode LOPA s’impose aujourd’hui comme un outil central de l’analyse des risques industriels, notamment dans les études de dangers des installations classées (ICPE).
Pour approfondir ses fondements, son cadre réglementaire et ses modalités de mise en œuvre, voici deux ressources essentielles publiées par l’INERIS :

Rapport Oméga 7-2 : Méthodes d’analyse des risques générés par une installation industrielle  risque

📄 Télécharger le guide OMEGA 7 (PDF) 

Rapport Oméga 10 : Justification des barrières techniques de sécurité

📄 Télécharger le rapport OMEGA 10 (PDF) 

 

Notre article sur la sécurité des procédés

 

Related Posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *