Identification des dangers sur les instructions contrôles-commandes du système

Chaque système peut générer une commande et contrôler le comportement du processus. Dans le diagramme de la structure de contrôle, les flèches vers le bas désignent les actions de contrôle exercées par le système, les flèches vers le haut représentent le transfert d'information Nécessaire pour contrôler le comportement du processus.

.

1.4.1 La méthode simplifiée

STAMP classifie le danger des instructions contrôles/commandes selon les critères suivants :

1) Une action commandée requise n’est pas déclenchée par le système de contrôle

2) Une action commandée déclenchée génère un danger

3) Une action commandée requise pour la sécurité est déclenchée hors séquence, trop tôt ou trop tard

4) Une action commandée requise pour la sécurité est longuement déployée ou interrompue prématurément

Table 4-1: Les actions de contrôle dangereuses

Action de contrôle

1) N’est pas initiée 2) Est initiée 3) Est initiée hors séquence, trop

tôt ou trop tard 4) Longuement déployée ou interrompue prématurément Ouverture des vannes d'extrémité des bras liquide et gazeux

Les vannes d'extrémité des bras liquides et gazeux ne sont pas commandées ouvertes afin d'équilibrer la pression entre le camion et le réservoir, 
 Sont commandées ouvertes pendant l’arrachement du bras

Sont commandées ouvertes trop tard après la mise à la terre (L’ouverture des vannes du bras est asservie à la détection d’une mise à la terre effective,)

120

Pour évaluer les actions commandées par les systèmes de contrôle, il faut éviter de supposer que les barrières de sécurité implémentées au sein du système sont fiables et appropriées. L’analyse STPA tend à divulguer les comportements qui peuvent générer un danger dans un contexte défavorable. Les conditions défavorables sont les cas où les barrières de sécurité implémentées au sein du site ne fonctionnement pas correctement.

1.4.2 Méthode dite systématique

Selon cette méthode, l’approche adoptée pour évaluer les actions commandées par les systèmes de contrôle, suppose, par hypothèse, que chaque action de contrôle n’est pas dangereuse par nature. Par exemple, l’instruction ouverture de la vanne d'extrémité du bras de chargement, est une commande sans danger cependant elle peut s’avérer dangereuse dans un contexte bien déterminé. L’ouverture de la vanne d'extrémité du bras de chargement suite à un arrachement de bras est une action dangereuse. Il est nécessaire que le contrôleur soit guidé par un modèle de processus pour initier toute action commandée.

Le modèle de processus regroupe les informations sur lesquelles doit se baser le contrôleur pour prendre les décisions nécessaires à la sécurité du système.

Figure 4-4 Composition d’une action dangereuse

La première étape de la méthode dite systématique consiste pour une action de contrôle donnée de construire un tableau de contextes.

121

Table 4-2: Tableau de contextes concernant une action de type fournie par le système de contrôle Action de Contrôle (AC) Mouvement du camion Urgence Positionnement du bras Dangers ? AC fournie à tout moment dans ce contexte AC fournie trop tôt dans ce contexte AC fourni trop tard dans ce contexte Ouverture de la vanne Camion en mouvement Pas d’urgence

Rangé Oui Oui Oui

Camion en mouvement

Urgence Rangé Oui Oui Oui

Camion est stoppé

Urgence Rangé Oui Oui Oui

Camion est stoppé

Pas d’urgence

Arraché Oui Oui Oui

Camion est stoppé

Pas d’urgence

Branché Non Non Non

Chaque ligne du tableau 4-2 permet d’évaluer et de déterminer si l’action de contrôle est dangereuse dans un contexte donné. Les résultats de l’évaluation sont indiqués par un « oui » ou un « non ». Il est possible de faire un tableau pour montrer les dangers dans le cas où cette même action de contrôle n’est pas fournie par le système de contrôle.

Chaque colonne du tableau précise le contexte dans lequel la commande

« ouverture de la vanne » peut être lancée par le système automatisé. Le contexte est déterminé à partir des valeurs du modèle des processus. Selon le contexte, on peut ensuite déterminer si l’action de contrôle est dangereuse ou sans danger. Les trois colonnes de droite du tableau contiennent les résultats de l’évaluation. Le tableau montre que la commande « ouverture de la vanne » dans un contexte de situation d’urgence et un camion sur poste est dangereuse.

Il est également nécessaire de déterminer les contextes dans lesquels l’inaction du système automatisé peut s’avérer dangereux. La même démarche de base est adoptée : identifier les variables, du modèle des processus, correspondantes, et les valeurs potentielles, puis déterminer si l’inaction peut s’avérer dangereuse dans un contexte donné.

122

Table 4-3: Tableau de contextes l’inaction du système automatisé

Action de Contrôle (AC) Mouvement du camion Urgence Positionneme nt du bras Statut du transfert Danger si elle n’est pas fournie Ouverture de la vanne n’est pas initiée

Camion stoppé Pas d’urgence Branché Déchargement Non

Ouverture de la vanne n’est pas initiée

Camion stoppé Pas d’urgence Arraché Déchargement Non

Ouverture de la vanne n’est pas initiée

Camion stoppé Pas d’urgence Branché Dégazage Oui

Ouverture de la vanne n’est pas initiée

Camion stoppé Pas d’urgence Arraché Dégazage Non

Ouverture de la vanne n’est pas initiée

Camion stoppé Urgence Rangé Débranchemen t

Non

Ouverture de la vanne n’est pas initiée

Camion stoppé (Peu importe) Rangé Débranchemen t

Non

La prochaine étape consiste à énoncer les contraintes de sécurité à partir des résultats obtenus concernant les dangers au niveau des actions commandées par le système.