Classification factorielle des accidents selon STAMP

STAMP suppose que les infractions aux contraintes de sécurité provoquent les accidents au sein d’un système. Les infractions résultent des défaillances et des dérèglements techniques, des perturbations provoquées par l’environnement, ou des dysfonctionnements provoqués par l’interaction des composants du système. Sur l’ensemble de la structure hiérarchique, les comportements à risque résultent de l’absence de contraintes, ou des modes inappropriés d’imposition d’une contrainte conduisant ainsi à son infraction.

L’approche STAMP suppose que chaque composant de la boucle de contrôle est susceptible d’appliquer incorrectement les contraintes de sécurité. Il faut alors évaluer la contribution de chaque élément de la boucle de contrôle à la migration du système vers l’état accidentel. (Leveson, 2011) propose deux facteurs de classification des accidents (Figure2-4) : (1) l’action commandée par le système de contrôle est inappropriée, (2) l’action commandée est exécutée incorrectement par l’actionneur. Ces facteurs peuvent être transposés sur chaque niveau de la structure hiérarchique. En effet pour chaque niveau de la structure, il est nécessaire d’évaluer le contexte de prise de décision, les mécanismes qui influencent la mise en forme d’une action dangereuse.

Figure 2-4 Classification des causes de l’accident selon STAMP

1. L’action commandée par le système de contrôle est inappropriée

1.1 Danger non identifié

1.2 Contrôle et contrainte inappropriée au danger identifié

1.2.1 Les contraintes ne sont pas prescrites dans les procédures de contrôle :

 Défaut de procédure

 Evolution du processus contrôlé sans modification de la procédure (évolution asynchrone)

 Adaptation, modification changement incompatible 1.2.2 Les modèles de processus sont inconsistants, incompatibles et

incorrectes

 Défaut de conception et développement des modèles de processus

 Les modèles de processus ne sont pas actualisés et mis à jour

 Absence et insuffisance des boucles rétroactions

 Délais de réponse et manques de précision 1.2.3 Manque de coordination entre contrôleurs et décideurs

2. L’action commandée est exécutée incorrectement

2.1 Défaut de communication et coordination

2.2 L’actionneur exécute incorrectement l’action commandée 2.3 Délais de réponse

70

Les facteurs de causalité des accidents peuvent être divisés en trois catégories générales : (1) le fonctionnement du système de contrôle, (2) le comportement des actionneurs et des processus contrôlés, et (3) la communication et la coordination entre les contrôleurs et les décideurs. Lorsque les opérateurs humains sont impliqués dans la structure de contrôle, le contexte et les mécanismes qui influencent le comportement jouent un rôle important dans l’analyse des causes de l’accident. (Figure 2-5)

Figure 2-5 Les causes des problèmes de manque de contrôle

5.1 Le fonctionnement du système de contrôle

Le système de contrôle s’appuie sur trois éléments : les données d’entrées, l’algorithme ou les procédures de contrôle et les modèles de processus. Un défaut dans l’un de ces trois éléments (les données d’entrées, l’algorithme ou les procédures de contrôle et les modèles de processus) entraine un processus d’application inadéquat des contraintes de sécurité.

71 5.1.1 Des données d’entrées dangereuses

Chaque contrôleur de la structure de contrôle hiérarchique est contrôlé par les contrôleurs du niveau supérieur. Ces contrôleurs peuvent manquer d’information sur le processus à emprunter pour préserver la sécurité du système.

5.1.2 Algorithme de contrôle non fiable

Dans ce contexte, l’algorithme de contrôle désigne les procédures développées par les ingénieurs pour les systèmes de contrôle automatisés et les opérateurs humains. L’algorithme de contrôle risque de ne pas assurer sa fonction de contrôle qui est celle de l’imposition des contraintes de sécurité. Ceci est dû généralement à une mauvaise conception et développement de l’algorithme. Leveson (Leveson, 2001, 2011, 2013a, 2013b) précise que le processus contrôlé peut encourir un changement, par la suite l’algorithme peut devenir dangereux s’il n’est pas adapté au changement. Les procédures prescrites pour les opérateurs humains sont affectées si les formations à la sécurité ne sont pas actualisées, ou les modifications dans les procédures ne sont pas suivies. Les délais et les retardements doivent être pensés pendant la phase conception et développement des algorithmes de contrôle. Ces délais se manifestent dans les boucles de contrôle au niveau des fonctions de mesures et d’envoie des paramètres du processus contrôlé et dans l’imposition d’une action commandée. Ces délais peuvent ne pas être distinctement décelés. Lorsque les délais ne sont pas suffisamment pris en compte dans l'algorithme de contrôle, les accidents peuvent se produire.

5.1.3 Les actionneurs et les processus contrôlés

Le système de contrôle impose une contrainte de sécurité sur le comportement du processus contrôlé. La sécurité du processus contrôlé dépend des données d’entrée, du système de contrôle, des actionneurs et des flux de transferts des actions commandées. Le système de contrôle doit être en mesure de gérer les perturbations externes. Dans une structure de contrôle hiérarchique, les actionneurs et les processus contrôlés exécutent les actions commandées sur un processus de niveau inférieur. Dans ce cas, les défauts dans l'exécution de la commande sont les mêmes que celles décrites précédemment pour un contrôleur. Encore une fois, ces types de défauts ne s'appliquent

72

pas simplement au système technique mais aussi au niveau du système de conception et le développement.

5.1.4 Coordination et communication entre contrôleurs et décideurs

Lorsqu’il existe plusieurs contrôleurs (opérateur humain, système de contrôle automatisé ou semi-automatisé), les commandes délivrées par ces systèmes peuvent être insuffisamment coordonnées. Ces commandes peuvent être aussi contradictoires et en conflit. Pour cela, il faut aussi concevoir et définir les barrières dans les zones où peuvent se présenter des chevauchements.

5.1.5 Contexte et environnement

Le processus de prise de décision chez un opérateur humain se base sur des flux d’informations et sur le modèle de processus. Cependant le modèle de processus ainsi que le flux d’information peuvent être mal fondés et inexactes. Nancy Leveson explique que le contexte et l’environnement de travail influencent le comportement et la conduite d’un opérateur humain. Pour ces facteurs elle emploie le terme «behavior shaping mechanisms» (Leveson, 2011), ce sont les facteurs qui permettent de comprendre le comportement humain.