• Maison
  • Actualités
  • Intervention de l'opérateur dans la sûreté fonctionnelle : trouver l'équilibre entre l'action humaine et l'intégrité du système

Intervention de l'opérateur dans la sûreté fonctionnelle : trouver l'équilibre entre l'action humaine et l'intégrité du système

Operator Intervention in Functional Safety: Balancing Human Agency and System Integrity

Dans les usines de procédés modernes, l’interaction entre les opérateurs humains et les systèmes de commande automatisés définit le cadre de la sécurité. Alors que les systèmes numériques tels que les automates programmables (API) et les systèmes de commande distribuée (SCD) gèrent les tâches routinières, les opérateurs humains apportent la souplesse nécessaire pour la prise de décisions complexes. Cependant, intégrer l’action humaine dans la sécurité fonctionnelle exige une compréhension rigoureuse du moment où un opérateur constitue un facteur de risque ou une barrière protectrice.

Définir le rôle des opérateurs dans la gestion des risques

Les professionnels de l’industrie utilisent souvent les termes « action » et « intervention » de manière interchangeable, bien qu’ils représentent des notions distinctes dans l’analyse de sécurité. Une action d’opérateur est généralement une étape proactive dans une procédure. En revanche, une intervention d’opérateur est une mesure réactive prise pour atténuer un danger en cours de développement.

Distinguer ces rôles est essentiel pour l’analyse des couches de protection (LOPA) et pour déterminer le niveau d’intégrité de sécurité (SIL) requis pour une fonction instrumentée de sécurité (FIS). Une mauvaise classification de ces rôles conduit à des calculs erronés du facteur de réduction de risque (FRR), ce qui peut laisser une installation insuffisamment protégée.

Quand l’erreur humaine agit comme un événement initiateur

Selon la norme CEI 61511, un événement initiateur (EI) est toute défaillance qui pousse un procédé vers un état dangereux. Lorsqu’un opérateur commet une erreur, comme ouvrir la mauvaise vanne manuelle ou ne pas suivre la séquence de démarrage, il devient la source de la demande.

Dans les évaluations quantitatives des risques, on attribue une fréquence d’événement initiateur (FEI) à ces erreurs. D’après les données industrielles du CCPS et d’Exida, la fréquence typique d’une erreur humaine significative est de 0,1 par an. Cela signifie que les ingénieurs sécurité s’attendent à une demande induite par l’humain sur le système de sécurité une fois par décennie. Comme cette action cause le danger, elle ne peut pas être considérée comme une couche de protection dans le même scénario.

Critères pour les couches de protection indépendantes manuelles

Les opérateurs peuvent être reconnus comme une couche de protection indépendante (CPI) s’ils interrompent avec succès une séquence dangereuse. Cependant, des critères stricts doivent être remplis pour obtenir cette reconnaissance. L’intervention doit être indépendante, c’est-à-dire que la personne qui réagit ne peut pas être celle qui a causé l’erreur.

De plus, l’opérateur doit disposer d’un temps de sécurité de procédé (TSP) suffisant. Si un réacteur atteint un état critique en 30 secondes, mais qu’un opérateur met cinq minutes pour atteindre une vanne manuelle, l’élément humain n’apporte aucune réduction de risque. Les normes suggèrent généralement que l’intervention de l’opérateur ne compte comme une CPI valide que si le TSP disponible est d’au moins 15 à 20 minutes, permettant la reconnaissance de l’alarme et le déplacement physique.

Intégrer les actions manuelles dans la boucle de la FIS

Dans certaines architectures d’automatisation industrielle, une fonction instrumentée de sécurité (FIS) comprend un élément d’initiation manuelle, comme un commutateur « Manuel-Auto » ou un bouton d’arrêt d’urgence (ESD). Selon la CEI 61511-2, si une action manuelle est nécessaire pour déclencher une FIS, l’opérateur fait alors partie intégrante de la boucle de sécurité.

Dans ce contexte, le bouton-poussoir, le câblage, le calculateur logique et la formation de l’opérateur doivent tous être validés ensemble. La fiabilité de la FIS dépend alors de l’analyse de la fiabilité humaine (AFH). Si l’opérateur ne presse pas le bouton, la FIS entière échoue. Par conséquent, les FIS manuelles se voient rarement attribuer un niveau supérieur à SIL 1 en raison de la variabilité inhérente à la performance humaine sous stress.

Calcul du SIL cible à partir des données opérateur

Dans les calculs LOPA, on détermine la probabilité cible de défaillance sur demande (PFD) pour une FIS en évaluant la FEI et les CPI existantes. Considérons un scénario où un trop-plein de cuve entraîne une fuite toxique. Si la FEI pour erreur opérateur est de 0,1/an et que la fréquence tolérable d’événement (FTE) est de 0,001/an, le système nécessite un facteur total de réduction de risque de 100.

Si une alarme de niveau élevé fournit une CPI avec une PFD de 0,1, la protection restante doit être assurée par une FIS automatisée. Le calcul ($10^{-3} / (0,1 \times 0,1) = 0,1$) indique qu’une FIS de SIL 1 est requise pour combler la lacune de sécurité. Cette approche mathématique garantit que les limites humaines sont prises en compte objectivement dans la conception de l’usine.

Améliorer la fiabilité humaine par une meilleure conception des interfaces

Pour maximiser l’efficacité de l’intervention de l’opérateur, l’ergonomie de la salle de contrôle doit être une priorité. Une conception performante de l’IMH (Interface Homme-Machine) réduit la charge cognitive et prévient la « fatigue d’alarme ». Lorsqu’un SCD présente trop d’alarmes de faible priorité, les opérateurs peuvent manquer le signal critique nécessaire pour éviter une catastrophe.

Point de vue de l’auteur : selon mon expérience, les systèmes de sécurité les plus robustes ne cherchent pas à remplacer l’opérateur, mais plutôt à le soutenir. Alors que l’automatisation excelle en rapidité et en constance, elle manque de la « conscience situationnelle » d’un opérateur expérimenté. Ainsi, l’objectif de la sécurité fonctionnelle doit être d’automatiser les réponses rapides tout en fournissant aux opérateurs des données claires et exploitables pour les tendances à évolution plus lente.

Retour au blog
Afficher tout
Articles de blog
Afficher tout
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Pourquoi les capteurs RTD doivent être installés en aval des plaques à orifice

L'installation d'une sonde RTD en amont d'une plaque à orifice fausse les mesures de pression différentielle en raison du détachement de vortex autour du puits thermométrique. Cet article explique la physique de la rue de vortex de von Kármán, les exigences de placement en aval selon ISO 5167 et ASME MFC-3M, la règle d'espacement minimum de 5D, la conformité à la fréquence de sillage du puits thermométrique, ainsi qu'une procédure d'installation en 7 étapes pour les ensembles combinés plaque à orifice et RTD.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Débitmètre à vortex : principes de fonctionnement, critères de sélection et mise en service sur site

Un débitmètre à vortex fonctionne selon le principe de détachement des tourbillons de von Karman, offrant une excellente précision à long terme dans les services de vapeur, de gaz et de liquides à faible viscosité sans pièces mobiles. Ce guide couvre la physique du nombre de Strouhal, les contraintes du nombre de Reynolds, le dimensionnement du débitmètre, les exigences de ligne droite pour l'ABB VortexMaster FSV430, ainsi que les étapes de mise en service sur site pour l'intégration du régulateur de turbine Woodward.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Câblage des thermocouples, normes et dépannage : un guide pratique sur le terrain

Une mesure précise avec thermocouple nécessite une sélection correcte du type, un câble d’extension assorti et une compensation fiable de la jonction froide. Ce guide couvre les codes de type IEC 60584 et les plages d’application, la sélection des câbles d’extension et de compensation, les borniers CJC WTOP de Phoenix Contact, la configuration CJC YTA110 de Yokogawa, ainsi qu’un diagnostic systématique des pannes pour circuit ouvert, court-circuit et dérive de calibration.
Liste des produits recommandés
Carte d'extension isolée Emerson KL3105X1-LS1 12P6551X032 Charm
Carte d'extension isolée Emerson KL3105X1-LS1 12P6551X032 Charm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Module d'entrée analogique Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA
Module d'entrée analogique Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 Module CHARM de contact sec DI 24 VCC
Emerson DeltaV KL3003X1-BA1 Module CHARM de contact sec DI 24 VCC

Emerson
Module de charme d'entrée numérique isolée Emerson DeltaV KL3005X1-LS1
Module de charme d'entrée numérique isolée Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal d'adresse I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal d'adresse I.S. CHARM

Emerson
Bloc de bornes Emerson DeltaV I.S. CHARM Réf. : KL4510X1-DA1
Bloc de bornes Emerson DeltaV I.S. CHARM Réf. : KL4510X1-DA1

Emerson
Module d'alimentation Emerson DeltaV KL1501X1-BA1 CSLS
Module d'alimentation Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | Entrée LS 24 VCC Contact Sec CHARM
KL3003X1-LS1 | Emerson DeltaV | Entrée LS 24 VCC Contact Sec CHARM

Emerson
Module CHARM d'entrée RTD/Résistance Emerson KL3031X1-BA1
Module CHARM d'entrée RTD/Résistance Emerson KL3031X1-BA1

Emerson
Module PLC Micro Série 90 GE Fanuc IC693UAA003
Module PLC Micro Série 90 GE Fanuc IC693UAA003

GE
Module de sortie logique positive GE Fanuc RX3i IC694MDL730 12/24VCC
Module de sortie logique positive GE Fanuc RX3i IC694MDL730 12/24VCC

GE