Le Système de Gestion de la Sécurité (SGS) dans la prévention des accidents majeurs Le Système de Gestion de la Sécurité dans la prévention des accidents majeurs (SGS) est un système de moyens pour respecter dans le temps, ce qui est défini dans l’étude de dangers (EDD). Il met en œuvre, coordonne et pérennise les moyens de la maîtrise des risques majeurs, sur lesquels l’exploitant s’engage dans l’EDD. Il s’agit d’une obligation réglementaire pour les établissements SEVESO seuil haut *. Son existence est actée dans l’autorisation d’exploiter (arrêté préfectoral). Le SGS organise la surveillance périodique de l’efficacité et de l’adéquation de ces moyens, pour garantir les niveaux de risques estimés dans l’EDD. L’exploitant ne respecte pas la réglementation, si un aspect de la maîtrise du risque majeur (potentiel de dangers, modélisation, fréquences, MMR) n’est pas pris en compte dans le SGS, ou y est mal traité (problème d’efficacité ou de mise en œuvre). L’enjeu réside ici dans la capacité des organisations à structurer un suivi des exigences issues de l’EDD. L’Ineris a développé une démarche unique, permettant d’allier exigences réglementaires, identification des données à suivre, et travail opérationnel sur le terrain. Ce dernier point est central pour que le SGS ne soit pas qu’un document de conformité réglementaire, mais bien un outil opérationnel de maitrise des risques. Le contenu du SGS Le contenu d’un SGS est précisé par l’annexe I de l’arrêté du 26 mai 2014 : « Le système de gestion de la sécurité est conforme aux dispositions mentionnées en annexe I au présent arrêté », à savoir : le SGS est proportionné aux risques, aux activités industrielles et à la complexité de l’organisation dans l’établissement ; le SGS repose sur l’évaluation des risques ; le SGS met en œuvre la politique de prévention des accidents majeurs ; le SGS préconise, par des dispositions spécifiques, les situations ou aspects suivants de l’activité : • organisation et formation ; • identification et évaluation des risques liés aux accidents majeurs ; • maîtrise des procédés, maîtrise d’exploitation ; • conception et gestion des modifications ; • gestion des situations d’urgence ; • surveillance des performances ; • audits et revues de direction. La réglementation appelle une lecture opérationnelle du SGS, schématisée ci-dessous. Ce schéma met au centre du SGS les tâches critiques qui permettent de suivre sur le terrain la maîtrise des procédés et d’exploitation (3e disposition). Ces aspects de la maîtrise des risques sont traités sur le terrain par l’identification et la définition de tâches critiques. Cette notion est le point d’articulation entre les exigences réglementaires issues de l’EDD et leur mise œuvre opérationnelle : une tâche critique est une tâche dont la bonne exécution a un impact sur un des aspects de la maîtrise des risques (maintien du potentiel de danger, modification de la modélisation, des fréquences, performance des MMR) ; lors d’une inspection, il est ainsi possible de questionner la bonne connaissance des tâches critiques par les acteurs de terrain et les services HSE, et les bonnes conditions de réalisation de ses tâches sur le terrain. Les tâches critiques articulent ainsi les réalités opérationnelles (conditions de réalisation) et les exigences réglementaires. Objectifs de l’audit ou de l’inspection d’un SGS La gestion des risques majeurs dans une installation classée pour la protection de l’environnement (ICPE) peut être résumée avec ce schéma : Schéma InerisDémarches d’audit ou de structuration d’un SGS Le SGS peut être abordé sous trois angle différents : Angle 1 : Inspecter la maîtrise des procédés et la maîtrise d’exploitation Les questions clés pour construire le questionnement peuvent se formuler comme suit : • Les exigences qui doivent être maîtrisées pour garantir dans le temps le niveau de risque acceptable validé dans l’EDD sont-elles identifiées ? 4 types d’exigences : les potentiels de danger les hypothèses de modélisation les hypothèses liées aux fréquences initiales les mesures de maîtrise des risques (MMR) • Les équipements et les tâches critiques susceptibles de prendre en charge la maîtrise de ces exigences sont-elles systématiquement identifiées et listées dans un document, ou un système d’information (base de données) ? • Existe-t-il des preuves de la mise en œuvre de ces tâches ? L’exploitant doit pouvoir reconstituer un tableau de correspondance entre ces exigences, ces tâches et ces preuves. À toute exigence formalisée dans l’EDD doit correspondre une ou plusieurs tâches critiques, et à toute tâche critique devrait correspondre une ou plusieurs preuves (lorsque cela est possible). On pourra procéder par sondage dans le cadre d’un audit ou d’une inspection. Ainsi, le SGS doit permettre de reconstituer les éléments de preuves du management de chaque tâche critique, en réunissant / articulant des éléments suivants : la liste des tâches critiques, des rôles et responsabilités des retours d’expérience mettant en cause des procédures mal adaptées et/ou des tâches critiques difficiles à mettre en œuvre) des analyses de situation / poste de travail impliquant des tâches critiques la liste des enregistrements liés à la tâche critique : AT / fin de travaux... la liste des outils / équipements / interfaces / poste(s) de travail, utilisés dans les tâches critiques : démonstration de leur disponibilité au quotidien l’évaluation des barrières humaines questionnant les conditions de leur mise en œuvre (cf Omega 20 : détection, diagnostic, action) Angle 2 : l’organisation et la formation Pour ces questions, les exigences de l’annexe 1 de l’arrêté du 26 mai 2014 portent sur : Les fonctions : « Les fonctions des personnels associés à la prévention et au traitement des accidents majeurs, à tous les niveaux de l’organisation, sont décrites ». Les formations : décrire les mesures pour « sensibiliser [le personnel associé à la prévention et au traitement des accidents majeurs] à la démarche de progrès continu. » « Les besoins en matière de formation des personnels associés à la prévention des accidents majeurs sont identifiés. L’organisation de la formation ainsi que la définition et l’adéquation du contenu de cette formation sont explicitées. » la gestion des activités sous-traitées : « Le personnel des entreprises extérieures travaillant sur le site mais susceptible d’être impliqué dans la prévention et le traitement d’un accident majeur est identifié. Les modalités d’interface avec ce personnel sont explicitées. » Il s’agit ici de fonction support à la bonne réalisation des tâches critiques. La politique de formation doit proposer aux opérateurs et au management intermédiaire des supports explicitant les risques majeurs, les scénarios, les exigences à suivre et leurs rôles dans ce suivi. Ce sont ces éléments qui leur permettront de mettre en œuvre les tâches critiques de manière efficace, y compris dans le cas des activités sous-traitées. Angle 3 : le pilotage du SGS Tout ce travail de déclinaison des exigences de l’EDD en tâches critiques, rôles et responsabilités, formation, demande à être piloté. Le pilotage du SGS est constitué de plusieurs processus et sous-processus : la surveillance des performances (incluant l’analyse du retour d’expérience et le calcul éventuel du risque actualisé) ; l’identification et l’évaluation des risques liés aux accidents majeurs ; la conception et la gestion des modifications ; les audits et les revues de direction. Le point 6 de l’Annexe I de l’arrêté du 26 mai 2014, « Surveillance des performances », contient l’exigence suivante : « Des procédures sont mises en œuvre en vue d’une évaluation permanente du respect des objectifs fixés par l’exploitant dans le cadre de sa politique de prévention des accidents majeurs et de son système de gestion de la sécurité. Des mécanismes d’investigation et de correction en cas de non-respect sont mis en place. Les procédures englobent le système de notification des accidents majeurs ou des accidents évités de justesse, notamment lorsqu’il y a eu des défaillances des mesures de prévention, les enquêtes faites à ce sujet et le suivi, en s’inspirant des expériences du passé. Les procédures peuvent également inclure des indicateurs de performance, tels que les indicateurs de performance en matière de sécurité et d’autres indicateurs utiles. » De manière opérationnelle, le respect de cette exigence réglementaire consiste à s’interroger sur : la surveillance du risque estimé initialement dans l’EDD : le risque actualisé** ; le retour d’expérience incidentel / accidentel ; les audits et revues de directions : ils doivent contenir des éléments sur l’identification et suivi des tâches critiques, la gestion des formations, la surveillance des performances, la gestion des modifications, l’identification et l’évaluation des risques. Ces revues doivent avoir lieu régulièrement pour donner lieu à des actions (approfondissements ou corrections) ; la gestion des modifications : impact sur les exigences listées dans l’EDD (ou l’arrêté préfectoral), impacts sur les tâches critiques, impact sur le management et le pilotage du SGS. * Directive Seveso 3 du 4/07/2012 : art. 8 : la politique de prévention des accidents majeurs est mise en œuvre par un système de gestion de la sécurité (SGS). Annexe III : définition des points contenus dans le SGS Arrêté du 26 mai 2014 relatif à la prévention des accidents majeurs : art. 8 : obligation pout l’exploitant de mettre en place un système de gestion de la sécurité pour les sites Seveso seuil haut. Annexe I : définition du contenu du SGS ** Risque actualisé = le risque effectif, dans les conditions d’exploitation réelles, mis à jour à partir du risque initial calculé dans l’EDD.
Le Système de Gestion de la Sécurité (SGS) dans la prévention des accidents majeurs Le Système de Gestion de la Sécurité dans la prévention des accidents majeurs (SGS) est un système de moyens pour respecter dans le temps, ce qui est défini dans l’étude de dangers (EDD). Il met en œuvre, coordonne et pérennise les moyens de la maîtrise des risques majeurs, sur lesquels l’exploitant s’engage dans l’EDD. Il s’agit d’une obligation réglementaire pour les établissements SEVESO seuil haut *. Son existence est actée dans l’autorisation d’exploiter (arrêté préfectoral). Le SGS organise la surveillance périodique de l’efficacité et de l’adéquation de ces moyens, pour garantir les niveaux de risques estimés dans l’EDD. L’exploitant ne respecte pas la réglementation, si un aspect de la maîtrise du risque majeur (potentiel de dangers, modélisation, fréquences, MMR) n’est pas pris en compte dans le SGS, ou y est mal traité (problème d’efficacité ou de mise en œuvre). L’enjeu réside ici dans la capacité des organisations à structurer un suivi des exigences issues de l’EDD. L’Ineris a développé une démarche unique, permettant d’allier exigences réglementaires, identification des données à suivre, et travail opérationnel sur le terrain. Ce dernier point est central pour que le SGS ne soit pas qu’un document de conformité réglementaire, mais bien un outil opérationnel de maitrise des risques. Le contenu du SGS Le contenu d’un SGS est précisé par l’annexe I de l’arrêté du 26 mai 2014 : « Le système de gestion de la sécurité est conforme aux dispositions mentionnées en annexe I au présent arrêté », à savoir : le SGS est proportionné aux risques, aux activités industrielles et à la complexité de l’organisation dans l’établissement ; le SGS repose sur l’évaluation des risques ; le SGS met en œuvre la politique de prévention des accidents majeurs ; le SGS préconise, par des dispositions spécifiques, les situations ou aspects suivants de l’activité : • organisation et formation ; • identification et évaluation des risques liés aux accidents majeurs ; • maîtrise des procédés, maîtrise d’exploitation ; • conception et gestion des modifications ; • gestion des situations d’urgence ; • surveillance des performances ; • audits et revues de direction. La réglementation appelle une lecture opérationnelle du SGS, schématisée ci-dessous. Ce schéma met au centre du SGS les tâches critiques qui permettent de suivre sur le terrain la maîtrise des procédés et d’exploitation (3e disposition). Ces aspects de la maîtrise des risques sont traités sur le terrain par l’identification et la définition de tâches critiques. Cette notion est le point d’articulation entre les exigences réglementaires issues de l’EDD et leur mise œuvre opérationnelle : une tâche critique est une tâche dont la bonne exécution a un impact sur un des aspects de la maîtrise des risques (maintien du potentiel de danger, modification de la modélisation, des fréquences, performance des MMR) ; lors d’une inspection, il est ainsi possible de questionner la bonne connaissance des tâches critiques par les acteurs de terrain et les services HSE, et les bonnes conditions de réalisation de ses tâches sur le terrain. Les tâches critiques articulent ainsi les réalités opérationnelles (conditions de réalisation) et les exigences réglementaires. Objectifs de l’audit ou de l’inspection d’un SGS La gestion des risques majeurs dans une installation classée pour la protection de l’environnement (ICPE) peut être résumée avec ce schéma : Schéma InerisDémarches d’audit ou de structuration d’un SGS Le SGS peut être abordé sous trois angle différents : Angle 1 : Inspecter la maîtrise des procédés et la maîtrise d’exploitation Les questions clés pour construire le questionnement peuvent se formuler comme suit : • Les exigences qui doivent être maîtrisées pour garantir dans le temps le niveau de risque acceptable validé dans l’EDD sont-elles identifiées ? 4 types d’exigences : les potentiels de danger les hypothèses de modélisation les hypothèses liées aux fréquences initiales les mesures de maîtrise des risques (MMR) • Les équipements et les tâches critiques susceptibles de prendre en charge la maîtrise de ces exigences sont-elles systématiquement identifiées et listées dans un document, ou un système d’information (base de données) ? • Existe-t-il des preuves de la mise en œuvre de ces tâches ? L’exploitant doit pouvoir reconstituer un tableau de correspondance entre ces exigences, ces tâches et ces preuves. À toute exigence formalisée dans l’EDD doit correspondre une ou plusieurs tâches critiques, et à toute tâche critique devrait correspondre une ou plusieurs preuves (lorsque cela est possible). On pourra procéder par sondage dans le cadre d’un audit ou d’une inspection. Ainsi, le SGS doit permettre de reconstituer les éléments de preuves du management de chaque tâche critique, en réunissant / articulant des éléments suivants : la liste des tâches critiques, des rôles et responsabilités des retours d’expérience mettant en cause des procédures mal adaptées et/ou des tâches critiques difficiles à mettre en œuvre) des analyses de situation / poste de travail impliquant des tâches critiques la liste des enregistrements liés à la tâche critique : AT / fin de travaux... la liste des outils / équipements / interfaces / poste(s) de travail, utilisés dans les tâches critiques : démonstration de leur disponibilité au quotidien l’évaluation des barrières humaines questionnant les conditions de leur mise en œuvre (cf Omega 20 : détection, diagnostic, action) Angle 2 : l’organisation et la formation Pour ces questions, les exigences de l’annexe 1 de l’arrêté du 26 mai 2014 portent sur : Les fonctions : « Les fonctions des personnels associés à la prévention et au traitement des accidents majeurs, à tous les niveaux de l’organisation, sont décrites ». Les formations : décrire les mesures pour « sensibiliser [le personnel associé à la prévention et au traitement des accidents majeurs] à la démarche de progrès continu. » « Les besoins en matière de formation des personnels associés à la prévention des accidents majeurs sont identifiés. L’organisation de la formation ainsi que la définition et l’adéquation du contenu de cette formation sont explicitées. » la gestion des activités sous-traitées : « Le personnel des entreprises extérieures travaillant sur le site mais susceptible d’être impliqué dans la prévention et le traitement d’un accident majeur est identifié. Les modalités d’interface avec ce personnel sont explicitées. » Il s’agit ici de fonction support à la bonne réalisation des tâches critiques. La politique de formation doit proposer aux opérateurs et au management intermédiaire des supports explicitant les risques majeurs, les scénarios, les exigences à suivre et leurs rôles dans ce suivi. Ce sont ces éléments qui leur permettront de mettre en œuvre les tâches critiques de manière efficace, y compris dans le cas des activités sous-traitées. Angle 3 : le pilotage du SGS Tout ce travail de déclinaison des exigences de l’EDD en tâches critiques, rôles et responsabilités, formation, demande à être piloté. Le pilotage du SGS est constitué de plusieurs processus et sous-processus : la surveillance des performances (incluant l’analyse du retour d’expérience et le calcul éventuel du risque actualisé) ; l’identification et l’évaluation des risques liés aux accidents majeurs ; la conception et la gestion des modifications ; les audits et les revues de direction. Le point 6 de l’Annexe I de l’arrêté du 26 mai 2014, « Surveillance des performances », contient l’exigence suivante : « Des procédures sont mises en œuvre en vue d’une évaluation permanente du respect des objectifs fixés par l’exploitant dans le cadre de sa politique de prévention des accidents majeurs et de son système de gestion de la sécurité. Des mécanismes d’investigation et de correction en cas de non-respect sont mis en place. Les procédures englobent le système de notification des accidents majeurs ou des accidents évités de justesse, notamment lorsqu’il y a eu des défaillances des mesures de prévention, les enquêtes faites à ce sujet et le suivi, en s’inspirant des expériences du passé. Les procédures peuvent également inclure des indicateurs de performance, tels que les indicateurs de performance en matière de sécurité et d’autres indicateurs utiles. » De manière opérationnelle, le respect de cette exigence réglementaire consiste à s’interroger sur : la surveillance du risque estimé initialement dans l’EDD : le risque actualisé** ; le retour d’expérience incidentel / accidentel ; les audits et revues de directions : ils doivent contenir des éléments sur l’identification et suivi des tâches critiques, la gestion des formations, la surveillance des performances, la gestion des modifications, l’identification et l’évaluation des risques. Ces revues doivent avoir lieu régulièrement pour donner lieu à des actions (approfondissements ou corrections) ; la gestion des modifications : impact sur les exigences listées dans l’EDD (ou l’arrêté préfectoral), impacts sur les tâches critiques, impact sur le management et le pilotage du SGS. * Directive Seveso 3 du 4/07/2012 : art. 8 : la politique de prévention des accidents majeurs est mise en œuvre par un système de gestion de la sécurité (SGS). Annexe III : définition des points contenus dans le SGS Arrêté du 26 mai 2014 relatif à la prévention des accidents majeurs : art. 8 : obligation pout l’exploitant de mettre en place un système de gestion de la sécurité pour les sites Seveso seuil haut. Annexe I : définition du contenu du SGS ** Risque actualisé = le risque effectif, dans les conditions d’exploitation réelles, mis à jour à partir du risque initial calculé dans l’EDD.