Actions et interventions de l'opérateur dans les systèmes de sécurité fonctionnelle

L'élément humain façonne toujours la sécurité des procédés

Les systèmes d'automatisation continuent d'évoluer dans les raffineries, centrales électriques, unités chimiques et installations offshore. Pourtant, les opérateurs expérimentés restent l'une des variables les plus influentes en matière de sécurité des installations. Leurs décisions peuvent arrêter l'escalade avant que l'automatisation ne réagisse, ou déclencher involontairement des conditions de processus dangereuses.

L'ingénierie moderne de la sécurité fonctionnelle ne considère plus l'interaction humaine comme une considération secondaire. Les normes internationales définissent désormais les actions opérateur comme des contributeurs mesurables dans la vérification SIL, les calculs LOPA et la gestion du cycle de vie de la sécurité.

Figure 1. Les relations temporelles de sécurité déterminent si la réponse opérateur peut efficacement prévenir l'escalade.

Pourquoi les actions opérateur comptent dans les évaluations SIL

Les études de sécurité fonctionnelle distinguent les actions opérateur qui créent des conditions dangereuses des interventions qui empêchent l'escalade. Cette distinction influence directement les calculs de réduction des risques et les objectifs SIL requis.

En termes pratiques, un opérateur en salle de contrôle peut initier une déviation par un mauvais séquencement de vannes, l'activation d'un contournement ou une réponse retardée. Inversement, ce même opérateur peut aussi servir de barrière protectrice en répondant aux alarmes ou en initiant manuellement des procédures d'arrêt.

Ces scénarios semblent similaires sur le plan opérationnel, mais ils sont traités très différemment dans les méthodologies IEC 61511 et CCPS LOPA.

Action opérateur versus intervention opérateur

Une action opérateur est généralement intentionnelle et procédurale. Elle peut impliquer le démarrage d'un équipement, la confirmation de permissions ou l'activation d'une commande d'arrêt d'urgence. Une intervention survient habituellement après le développement d'une condition anormale.

Par exemple, appuyer sur un bouton-poussoir ESD câblé en dur fait partie intégrante de la fonction de sécurité elle-même. Réagir à une alarme de haute température avant que des conditions incontrôlables ne se développent peut être considéré comme une couche de protection indépendante.

Le défi technique consiste à déterminer s'il existe suffisamment de temps, d'indépendance et de fiabilité pour la réponse humaine.

Quand l'erreur humaine devient l'événement initiateur

La norme IEC 61511 définit un événement initiateur comme la déviation qui fait évoluer un processus vers une condition dangereuse. L'erreur humaine correspond fréquemment à cette définition.

Une vanne de dérivation mal ouverte, une dérogation de maintenance incorrecte ou un échec à rétablir les verrouillages après test peuvent tous générer des demandes de processus sur les systèmes de protection.

Dans les études LOPA, ces actions reçoivent une fréquence d'événement initiateur (IEF). La fréquence attribuée reflète la fréquence réaliste à laquelle une erreur humaine spécifique peut se produire pendant l'exploitation de l'usine.

La fiabilité humaine n'est jamais constante

La performance de l'opérateur change sous stress, fatigue, mauvaise gestion des alarmes ou conditions de charge de travail élevée. En raison de cette variabilité, les études de sécurité appliquent des hypothèses conservatrices à la fiabilité humaine.

Des procédures simples et bien pratiquées peuvent présenter de faibles fréquences d'initiation. Les interventions complexes en conditions de fonctionnement anormales reçoivent des valeurs significativement plus élevées.

Figure 2. Les actions humaines influencent à la fois les événements initiateurs et les réponses protectrices dans les études de sécurité.

Les usines utilisant des systèmes de contrôle distribués anciens font souvent face à des risques supplémentaires liés au facteur humain en raison de la saturation d'alarmes et de dispositions HMI incohérentes. De nombreuses installations modernisant leurs plateformes héritées intègrent désormais des systèmes de contrôle DCS modernes pour améliorer la priorisation des alarmes et la visibilité pour l'opérateur.

Les opérateurs peuvent-ils être considérés comme des couches de protection indépendantes ?

L'intervention manuelle ne peut être qualifiée d'IPL que sous des conditions strictes. La réponse doit rester indépendante de la cause initiatrice, se produire dans le temps de sécurité disponible, et suivre des procédures opératoires validées.

Des normes telles que ISA TR84 et les directives CCPS limitent généralement le crédit des IPL manuels car la performance humaine est intrinsèquement variable. Dans de nombreuses installations, le facteur de réduction de risque maximal accepté pour la réponse de l'opérateur reste de 10.

Le temps de sécurité du processus définit la faisabilité

Le temps de sécurité disponible détermine si l'intervention de l'opérateur est réaliste. Si les opérateurs disposent de plusieurs minutes pour réagir à une déviation du processus, une réponse manuelle peut rester acceptable.

Si le procédé atteint des conditions dangereuses en quelques secondes, l'automatisation devient obligatoire. Aucun programme de formation réaliste ne peut garantir de manière constante une intervention manuelle réussie dans des fenêtres de réponse extrêmement courtes.

Cette distinction explique pourquoi les systèmes de turbines à grande vitesse, les applications de gestion des brûleurs et la protection des compresseurs dépendent de plus en plus de plateformes de sécurité dédiées plutôt que d'une intervention procédurale seule.

Actions d'arrêt manuel à l'intérieur de la limite du SIF

De nombreux ingénieurs classifient à tort les actions d'arrêt manuel comme des événements initiateurs. En réalité, l'activation délibérée d'un arrêt d'urgence fait souvent partie intégrante du SIF lui-même.

La norme IEC 61511 précise clairement que lorsque l'action manuelle initie une fonction de sécurité, chaque élément de support appartient à la limite du SIF. Cela inclut les boutons-poussoirs, le câblage, les solveurs logiques, les procédures opérateur et les exigences de formation.

Considérez une augmentation de la pression du réacteur détectée avant d'atteindre le seuil de déclenchement automatique. Un opérateur peut reconnaître une fuite anormale et activer manuellement l'arrêt avant que l'escalade ne se produise.

Dans cette situation, l'opérateur ne crée pas le danger. L'action réduit activement le risque et appartient donc à la conception de la fonction de sécurité.

Figure 3. La capacité d'arrêt manuel fonctionne fréquemment comme partie intégrante de la fonction instrumentée de sécurité globale.

Les installations utilisant des contrôleurs de sécurité intégrés tels que les systèmes de sécurité Triconex mettent souvent en œuvre des voies d'arrêt câblées dédiées pour réduire la dépendance aux couches standard de contrôle des procédés.

Relier les actions humaines aux calculs LOPA

L'analyse LOPA convertit les scénarios opérationnels en relations numériques de risque. Les fréquences d'erreur humaine, la performance des IPL et les fréquences cibles d'événements déterminent collectivement l'intégrité requise du SIF.

Dans les projets pratiques, les erreurs de l'opérateur définissent souvent la fréquence à laquelle une demande de protection se produit. Les systèmes de sécurité fournissent alors la réduction de risque nécessaire pour atteindre des fréquences d'événements tolérables acceptables.

Figure 4. Les actions humaines influencent les taux de demande initiateurs et les niveaux d'intégrité requis des SIF.

Réalité de l'ingénierie à l'intérieur des installations opérationnelles

Les études de sécurité réelles échouent rarement à cause des mathématiques seules. Elles échouent lorsque les hypothèses sur la performance des opérateurs deviennent irréalistes.

Les ingénieurs surestiment parfois la qualité de la réponse aux alarmes sans prendre en compte la charge de travail, les événements simultanés ou les retards de communication en conditions perturbées. Un IPL théoriquement valide peut s'effondrer opérationnellement si l'environnement de la salle de contrôle devient surchargé.

Cette problématique est devenue plus visible à mesure que les usines augmentent leurs cadences de production avec des modèles de personnel plus réduits.

La sécurité fonctionnelle devient de plus en plus centrée sur l'humain

La prochaine phase du développement de la sécurité fonctionnelle se concentrera fortement sur l'interaction homme-machine plutôt que sur le matériel seul. La rationalisation des alarmes, la conception ergonomique des IHM et le soutien à la décision des opérateurs influencent désormais la performance de sécurité autant que les capteurs et les solveurs logiques.

Les architectures SIS modernes intègrent déjà des diagnostics prédictifs, le contrôle de mise en veille des alarmes et des systèmes d'aide à l'opérateur. Cependant, les opérateurs expérimentés fournissent toujours un jugement que l'automatisation ne peut pas entièrement reproduire en conditions incertaines.

La tendance de l'industrie est claire : l'automatisation gère la rapidité et la constance, tandis que les opérateurs apportent un raisonnement adaptatif lors d'événements anormaux.

Opinion de l'auteur

De nombreuses études SIL sous-estiment encore la complexité du comportement humain en conditions de fonctionnement anormales. Attribuer des hypothèses optimistes sur la réponse des opérateurs peut réduire le coût initial du projet, mais introduit un risque opérationnel caché.

Les installations visant une fiabilité accrue devraient réserver l'intervention manuelle aux scénarios à réponse longue et aux opérations à faible demande. Les processus à haute conséquence nécessitent une action protectrice automatique soutenue par des procédures opératoires rigoureuses, sans dépendre d'elles.

Les stratégies de sécurité les plus efficaces combinent automatisation, philosophie d'exploitation claire, gestion réaliste des alarmes et développement continu des compétences des opérateurs.

Oliver Grant | Analyste principal en sécurité fonctionnelle

Oliver Grant a plus de 14 ans d'expérience en ingénierie de la sécurité des procédés, en vérification SIL et en intégration de systèmes d'arrêt. Son parcours inclut des projets de cycle de vie de sécurité impliquant les plateformes Honeywell, Yokogawa, Emerson DeltaV, HIMA et Rockwell Automation dans les secteurs du raffinage, du GNL et de la production d'énergie.