Le concept STAMP - Presentation de STAMP - Apport de la modélisation et de la simulation à l'an

CHAPITRE 2: Presentation de STAMP

4. Le concept STAMP

Nancy Leveson, publie en 2002 (Leveson, 2002, 2004) un modèle d’accident STAMP (Leveson, 2012) basé sur la théorie des systèmes, considérée comme un moyen utile d’analyse des accidents. Cette théorie appréhende un système comme une structure hiérarchique dans laquelle chaque niveau impose des contraintes de sécurité sur l’activité du niveau inférieur. Les modèles d’accident fondés sur la théorie des systèmes considèrent que les accidents résultent des interactions incontrôlées entre les différents niveaux de la structure d’un système. Dans ce contexte, les accidents résultent alors d’un problème de contrôle au sein du système. Ce cadre permet alors d’évaluer les actions commandées par une structure de contrôle et d’identifier les mécanismes défaillants sur les modes d’imposition et d’application des contraintes de sécurité. Pour cela, dans cette partie, nous allons introduire les trois concepts de bases à l’origine de ce modèle : les contraintes de sécurité, la structure hiérarchique et les modèles de contrôle des processus.

4.1 Conception des lois de contrôle (contraintes de sécurité)

La notion de contrainte est au cœur du modèle STAMP (Hardy, 2011b). Dans ce contexte, les contraintes sont les conditions et les règles obligatoires à satisfaire afin de préserver la sécurité (tout au long de la durée de vie d’un système). Selon Leveson, il existe des contraintes passives et des contraintes actives. Les contraintes passives, dont la sécurité est maintenue par leur simple présence (ex : barrière physique : porter un casque de protection, dispositif de confinement…). Les contraintes actives (Underwood et Waterson, 2014) nécessitent une action commandée par un système de contrôle, pour générer la sécurité (ex : détecteurs, dispositifs d’arrêt d’urgence, réseau de lutte contre incendie).

65 4.2 Modélisation de la structure hiérarchique

Le système chargé d’imposer les contraintes de sécurité doit être modélisé sous forme d’une structure hiérarchique. La figure 2-2 montre un exemple de structure de contrôle (Hardy, 2011a, 2016, Hardy and Guarnieri, 2011a, 2011b, 2011c, 2013). Dans cet exemple, il existe deux structures de contrôle. La structure A, impose les contraintes de la phase développement et conception, la structure B impose les contraintes de la phase exploitation. Leveson (Leveson, 2016) souligne que les installations industrielles (Processus physique) contemporaines disposent des systèmes de contrôle automatiques ou semi-automatiques avec superviseur humain. Comme le montre le cadre F, l’opérateur peut avoir une action commandée directe sur le processus contrôlé (flèches pointillées) ou à travers une interface à distance. L’actionneur exécute les actions commandées par le système de contrôle. Leveson explique que les actionneurs peuvent être des opérateurs humains ou des machines. Les capteurs fournissent l’information sur l’état du processus contrôlé. Les automates et contrôleurs commandent le processus d’imposition des contraintes de sécurité sur les activités et opérations. Chaque composant de cette structure est chargé d’assumer ces responsabilités dans le processus de gestion de la sécurité. Cette structure peut encourir des modifications au fil du temps, cependant il faut veiller à ce que les contraintes de sécurité en place ne soient pas négativement affectées. Leveson confirme que les accidents surviennent souvent après un changement dans une structure de contrôle. Dans une entreprise, les systèmes de management de la sécurité fournissent les procédures liées à la gestion du changement. Ces procédures, souvent mal suivies et non strictement appliquées, traitent uniquement les changements planifiés et prévus. Les imprévus liés à l’environnement et au comportement humain doivent aussi être adressés dans ces procédures pour empêcher les accidents. STAMP fournit une démarche pour traiter cette problématique. (Leveson, 2011) considère aussi que la culture de sécurité est un aspect important qui doit être imposé au sein d’une structure comme partie intégrante de contrôle de la sécurité.

Figure 2-2 Structure hiérarchique (Hardy, 2010; Leveson, 2011)

4.3 Les modèles de contrôle des processus

Les opérateurs humains et les systèmes de contrôle automatisés requièrent un modèle de processus. Les modèles de processus correspondent à l’algorithme

implémenté au sein d’un système de contrôle automatisé. Pour les opérateurs humains, c’est l’équivalent des procédures et du modèle mental. Ces modèles déterminent donc les étapes pour procéder au contrôle du système. En théorie du contrôle, les systèmes ouverts sont considérés comme éléments interdépendants qui sont maintenus dans un état d'équilibre dynamique par boucles de rétroaction et de contrôle. Quatre conditions sont requises pour le contrôle des processus industriels à travers l’imposition de contraintes de sécurité :

- Condition sur l’objectif : Le contrôleur doit avoir un objectif ou des objectifs (par exemple, imposer l’application des contraintes de sécurité dans le système).

- Condition d’action : Le contrôleur doit être en mesure d'affecter l'état du système. En ingénierie, les actions de contrôle sont mises en œuvre par les actionneurs.

- Condition sur le modèle : Le contrôleur doit être (ou contenir) le modèle du système

- Condition d’observabilité : Le contrôleur doit être en mesure de vérifier l'état du système. Dans le domaine de l'ingénierie les informations sur l’état du processus contrôlé sont fournies par des capteurs.

Le modèle de processus doit contenir les informations liées à l’imposition des contraintes, aux variables mesurées de l’état du système et les modes de changement d’état du processus contrôlé. Le modèle de processus est un moyen à disposition du système de contrôle pour générer les actions commandées. Le modèle de processus doit être implémenté dans tous les systèmes de contrôle qui composent la structure hiérarchique.

68 Modèle de Processus Superviseur Humain (Contrôleur) Modèle d'automati sation Modèle de Processus Contrôleur Automatisé Modèle des Interfaces Actuateurs Capteurs Processus Contrôlé Perturbations Entrées Processus Sorties Processus Variables Contrôlées Variables Mesurées Affichages Contrôles

(b) contrôle humain avec l'assistance automatisée (a) Automatisation émettant directement des commandes sous

la supervision d’un contrôleur humain

Modèle de Processus Superviseur Humain (Contrôleur) Modèle d'automati sation Actuateurs Capteurs Processus Contrôlé Perturbations Entrées Processus Sorties Processus Variables Contrôlées Variables Mesurées Modèle de Processus Affichage Automatisé et Aide à la Décision Modèle des Interfaces

Figure 2-3 Boucle de contrôle

La figure 2-3 schématise un archétype de boucle de contrôle modélisant un système de contrôle automatique supervisé par un opérateur humain. Les flèches en pointillées désignent le fait qu’un opérateur humain peut avoir une perception directe sur l’état du système (autre que celle transmise par les systèmes d’information). Il peut ainsi manipuler et commander l’état du processus contrôlé manuellement et pas uniquement à travers d’un système de contrôle commande. La deuxième figure montre une boucle de contrôle où l’opérateur humain gère le processus contrôlé en se basant sur un outil d’aide à la décision. Les outils d’aide à la décision doivent donc inclure un modèle de processus puisque ce sont des systèmes qui contrôlent indirectement le processus.

Dans le document Apport de la modélisation et de la simulation à l'analyse des risques et la prévention des accidents d'un site de stockage de GPL (Page 69-74)