Cours complet Index PFE Informatique et Télécommunications Apport de la modélisation et de la simulation à l’analyse des risques

Apport de la modélisation et de la simulation à l’analyse des risques

Pin

Apport de la modélisation et de la simulation à l’analyse des risques

L’ère des facteurs techniques

Dans les années 30 (Guarnieri et al., 2008), on fournissait une interprétation empirique de l’accident tout en envisageant la fiabilité et la sécurité technique appelées aussi sûreté de fonctionnement. Après la Seconde Guerre mondiale, la fiabilité des éléments techniques commence à être valorisée à travers un mode de gestion de la sécurité proactive. En effet, le principe de concevoir des équipements fiables est recherché, plutôt que d’attendre les défaillances et ensuite les réparer. C’est dans les années 50 et 60 que les premières méthodes de sûreté de fonctionnement (AMDEC, APR, analyse quantitative des risques, etc.) apparaissent, notamment dans le domaine de l’aéronautique, du nucléaire et de l’électronique et contribuent à accroître la fiabilité 21 des systèmes (Fadier, et al., 1990; Villemeur et al., 1988). Au cours de cette première « ère », l’accident est ainsi vu comme un problème technique. Le management de la sécurité repose donc sur l’amélioration de la fiabilité des systèmes techniques. Bien que l’hypothèse d’équivalence entre la sécurité et la fiabilité ait accompagné toutes les perspectives historiques de l’accident sans pour autant démontrer sa consistance, les premières études scientifiques montrent cependant qu’à partir des années 60, en plus des défaillances techniques, les interprétations des accidents doivent s’expliquer aussi à travers des erreurs commises par l’homme. 

L’ère du facteur humain

A travers une pensée linéaire transposée de l’ère technique et pour interpréter l’accident comme la conséquence d’une erreur humaine, on attribue des causes équivalentes comme l’écart par rapport à une procédure, à une norme, ou à un cadre prescrit de référence. L’accident a lieu dès lors que la procédure prescrite n’est pas strictement respectée par les opérateurs, assimilés à des « composants humains » (Abramovici et al., 1990). On responsabilise les opérateurs tout en ignorant qu’ils ne détiennent pas des moyens, des compétences et de l’autorité. Les psychologues quant à eux définissent le concept d’erreur humaine comme une déviation par rapport à l’intention de l’individu. Elle résulte selon eux des défaillances dans les processus mentaux intrinsèques de l’individu. Ces défaillances cognitives peuvent être accentuées par certains facteurs de contexte qui influencent son état interne (stress, fatigue, température, pression temporelle). Les approches fiabilistes et psychologiques de l’erreur humaine considèrent dès lors le facteur humain comme une source de défaillance susceptible de mener à l’accident. Cependant force est de constater, malgré l’occurrence répétée de ces erreurs, que les accidents demeurent rares et que l’acteur, capable d’erreur humaine, est aussi capable de les récupérer et de rattraper celles du système. Ces modèles simples et séduisants, transposant les aspects techniques aux aspects humains, se révèlent finalement trop simplistes (Bieder, 2006). De nouvelles hypothèses seront introduites par les ergonomes : l’accident ne s’explique pas par la seule occurrence d’une erreur humaine ni celle d’une seule panne technique, mais d’un mauvais couplage entre 22 l’opérateur et son environnement direct de travail (poste de travail, pupitre de commande, etc.). Les ergonomes reconnaissent la robustesse des systèmes sociotechniques et la variabilité de la performance humaine qu’ils considèrent comme inévitables mais aussi essentiels pour le système (Fadier et Mazeau, 1996). On s’intéresse dès lors à l’amélioration du couplage de l’opérateur et de son environnement direct de travail. Cette approche se traduit sur le terrain par diverses pratiques comme par exemple le développement d’une meilleure visibilité du risque (affichage, signalétiques, etc.), d’une meilleure perception et appréhension du risque par l’opérateur (formation), la mise en place de protection collective et individuelle, la préconception ergonomique des postes de travail, la révision des procédures. Le milieu des années 80 et les catastrophes industrielles emblématiques qui les marquent (Three Miles Island, Bhopal, Tchernobyl, Challenger) laissent perplexes les spécialistes du facteur humain (Guarnieri et al., 2008). Les analyses à posteriori de ces accidents parviennent toutes à la conclusion selon laquelle leur apparition reste inexplicable sur la seule base des erreurs humaines individuelles déconnectées du contexte organisationnel dans lequel elles se sont produites (Cullen, 1993; Llory, 1996; Perrow, 1984; Reason, 1990, 2013; Vaughn, 1996). Un changement de paradigme se produit progressivement : celui du passage de l’erreur humaine aux facteurs organisationnels.

L’ère du facteur organisationnel

Sans qu’elle ne soit complètement mise à l’écart, la notion d’erreur humaine se comprend à partir des années 80-90 comme la résultante de causes organisationnelles en amont, c’est-à-dire comme la conséquence d’un environnement organisationnel de travail contraignant l’individu à l’erreur. Les erreurs de l’opérateur sont toujours sources de risque mais c’est l’organisation qui est considérée ici comme l’élément fondamental de sa performance. Le contexte organisationnel, mis en avant par les approches ergonomiques, devient désormais une donnée d’entrée pour comprendre la performance humaine. L’heure est alors à l’identification des facteurs organisationnels de risque favorisant l’erreur de l’opérateur (Desmorat et al., 2013).  L’objectif de la démarche réside dans l’étude de l’organisation dans laquelle évolue l’opérateur et dans l’identification des facteurs organisationnels qui influencent ses actes. Comme le précisent (Bird and Loftus, 1976), le terme d’« Error Forcing Context », utilisé aux États-Unis, traduit particulièrement bien cette idée selon laquelle l’opérateur est contraint à l’erreur par les forces et les contraintes exercées sur lui par le contexte organisationnel de travail. L’opérateur peut être comparé à une marionnette dont les mouvements sont influencés par l’organisation qui en actionnerait les fils. Il convient désormais d’étudier sous cette perspective en amont les caractéristiques organisationnelles qui vont influencer, sur le terrain, la performance de l’opérateur, comme par exemple le rythme de travail, la formation, la communication, etc. Cette évolution dans la manière d’appréhender l’erreur humaine marque au final une double évolution par rapport aux approches prudentes du facteur humain. C’est tout d’abord une évolution dans le temps puisque ce sont les décisions qui ont été prises en amont, dans le passé, qui sont désormais analysées. C’est aussi une évolution géographique puisque, seules les erreurs commises par les opérateurs de première ligne étaient précédemment pointées du doigt. Ce sont désormais les mauvaises décisions d’autres acteurs (managers, supérieurs et ingénieurs) en matière de gestion, conception, maintenance, formation, etc. qui sont sous le feu des projecteurs. Reason est l’auteur qui a largement inspiré cette perspective et qui a contribué à son développement. Il introduit, avec son célèbre modèle gruyère, les notions d’erreurs actives qui ne peuvent se comprendre qu’en référence aux conditions latentes qui demeurent cachées dans le système (Reason, 2016; Reason, 1995). L’approche de management de la sécurité proposée par cette perspective repose sur l’identification des conditions latentes de défaillances cachées dans le système, sur l’élimination ou la diminution de leur influence, sur la fiabilisation des processus organisationnels, l’analyse de la qualité de la gestion de la sécurité et la mise en place de systèmes de management de la sécurité. 24 

L’ère des facteurs inter-organisationnels

De nouveaux fondements scientifiques, actuellement en cours de développement et de formalisation, viennent depuis peu compléter cette approche organisationnelle de la sécurité, qualifiée par certains de linéaire (Bieder, 2006) ou encore d’épidémiologique (Hollnagel, 2004). Ils partent des principes proposés par les perspectives précédentes mais reconnaissent en outre le fait que l’organisation puisse récupérer ses propres erreurs tout comme le fait qu’elle évolue dans un environnement complexe évoluant sans cesse. Ainsi des approches systémiques ou interorganisationnelle (Fahlbruch and Wilpert, 2001; Hollnagel, 2006; Wilpert and Fahlbruch, 1998), proposent de nouvelles façons d’appréhender la sécurité. Ces approches tentent de dépasser les frontières structurelles de l’organisation en la modélisant sous la forme d’un système complexe ouvert, imbriqué dans un environnement en constante évolution qui exerce des contraintes sur elle : contraintes politiques, économiques, sociales, concurrence, pression de l’autorité de tutelle, etc. Ces contraintes peuvent être prévues, lentes, durables mais peuvent également constituer un choc soudain ou une agression surprise pour l’organisation sans que celleci n’ait vraiment les moyens de les contrôler ou de les contourner. Les agressions que l’organisation subit peuvent également provenir de son propre environnement interne : pression des salariés, mouvements de grève, jeux stratégiques des acteurs, etc. Alors que dans la perspective organisationnelle précédente, l’accent était mis sur la maîtrise de l’environnement organisationnel de travail de l’opérateur, l’enjeu est davantage ici celui de construire, entretenir, maintenir la capacité de l’organisation à faire face ou à anticiper toutes les évolutions et agressions potentielles de son environnement (interne et externe) afin qu’elle soit capable de continuer à fonctionner. L’approche se focalise ainsi sur les conditions de dégradation de la sécurité de l’organisation et sur les mécanismes d’adaptation, de résilience de l’organisation face aux chocs provenant de son environnement.

Table des matières

CHAPITRE 1: Le concept de l’accident.
1. Définition générale du concept d’accident
1.1 Classification des causes de l’accident
1.1.1 Approche linéaire d’analyse des causes de l’accident
1.1.2 Approche multifactorielle d’analyse des causes de l’accident
1.1.3 Approche systémique de l’analyse des causes de l’accident
2. Bref retour historique
2.1.1 L’ère des facteurs techniques
2.1.2 L’ère du facteur humain
2.1.3 L’ère du facteur organisationnel
2.1.4 L’ère des facteurs inter-organisationnels
3. Les modèles conceptuels de l’accident
3.1 Le modèle conceptuel du Domino
3.1.1 Les modèles conceptuels construits sur les base du modèle Domino
3.1.2 Chaîne d’événements multilinéaires
3.2 Les modèles conceptuels sociotechniques
3.2.1 Le modèle conceptuel de Reason
3.2.2 Intégration d’une chaîne évènementielle dans le modèle de Reason
4. Les limites des modèles conceptuels de l’accident
4.1 Limite des modèles traditionnels
4.1.1 Subjectivité dans la sélection des évènements
4.1.2 Subjectivité dans la sélection des conditions
4.1.3 Recherche des facteurs de cause de l’accident
4.2 Les répercussions des limites des modèles conceptuels traditionnels dans les systèmes industriels complexes
4.2.1 Des composants fiables mais des interactions entre composants sont dangereuses
4.2.2 Dangereux mais fiables
4.3 Les limites des greffes des facteurs systémiques sur les modèles conceptuels
5. Synthèse du chapitre
CHAPITRE 2: Presentation de STAMP
1. Petite histoire de la systémique
2. La démarche induite de la systémique pour l’analyse de l’accident
2.1.1 L’émergence de la structure hiérarchique
2.1.2 Principe de rétroaction
3. Le modèle STAMP
3.1 Les hypothèses de base du modèle STAMP.
3.1.1 Le manque de contrôle provoque l’accident
3.1.2 Les modèles conceptuels traditionnels d’analyse des accident représentent des limites
3.1.3 L’approche probabiliste d’analyse des risques et de prévention des accidents représente des limites
3.1.4 L’environnement de travail influence le comportement de l’opérateur
3.1.5 La présence des systèmes automatisés fiables de contrôle du processus n’est pas suffisant pour maîtriser la sécurité
3.1.6 La migration du système vers un état accidentel peut être anticipée par un travail de conception approprié au système
4. Le concept STAMP
4.1 Conception des lois de contrôle (contraintes de sécurité)
4.2 Modélisation de la structure hiérarchique
4.3 Les modèles de contrôle des processus
5. Classification factorielle des accidents selon STAMP
5.1 Le fonctionnement du système de contrôle
5.1.1 Des données d’entrées dangereuses
5.1.2 Algorithme de contrôle non fiable
5.1.3 Les actionneurs et les processus contrôlés
5.1.4 Coordination et communication entre contrôleurs et décideurs
5.1.5 Contexte et environnement
6. Les outils de STAMP
6.1 STPA
6.1.1 Phase Statique
6.1.2 Phase dynamique
6.1.3 Finalité de STPA
6.2 Le modèle CAST (Causal Analysis Based on System Theory)
6.3 Le logiciel XSTAMPP
6.4 STPA tools
6.5 SafetyHAT
6.6 ASTPA
7. Conclusion
CHAPITRE 3: Presentation du systeme d’etude
1. Situation règlementaire
1.1 Organisation en matière de prévention des risques majeurs
1.1.1 Politique de prévention des accidents majeurs
1.1.2 Système de gestion de la sécurité (SGS)
1.1.3 Plan d’opération interne
1.1.4 Plan Particulier d’Intervention (PPI)
2. Présentation de l’installation technique
2.1 Réservoir sous-talus de propane
2.1.1 Dimension
2.1.2 Pressions
2.1.3 Equipements d’exploitation et de sécurité
2.2 Pomperie
2.3 Canalisation
2.4 Postes de transfert
2.4.1 Le poste chargement / déchargement
2.4.2 Les deux postes de chargement
2.4.3 Les équipements de transfert
3. Description des opérations de transfert
3.1 Procédure de transfert du site
3.2 Identification et déroulement de l’activité de transfert
3.2.1 Cas opération de chargement.
3.2.2 Cas opération de déchargement
3.3 Méthode de calcul du poids à charger
4. Les dispositifs de sécurité
4.1 Arrêts d’urgence (Boutons poussoirs)
4.2 Les Détecteurs gaz
4.2.1 Principe de contrôle du système de détection de gaz.
4.2.2 Traitement du signal
4.2.3 Les électrovannes
4.2.4 Les actionneurs
4.2.5 Les vannes
4.2.6 Les caplets internes
4.3 Les détecteurs de flammes
4.3.1 Principe de contrôle du système de détection de flamme
4.3.2 Traitement du signal
4.3.3 Arrosage
4.3.4 Les conséquences suite à la détection de flamme
4.4 Alarmes techniques du réservoir sous-talus
5. Conclusion
CHAPITRE 4: Demarche de modelisation STPA
1. Explication brève de la démarche STPA
1.1 Identification des accidents
1.1.1 Délimitation du cadre du système d’étude
1.2 Identification des dangers
1.3 La structure de contrôle organisationnel (hiérarchique)
1.4 Identification des dangers sur les instructions contrôles-commandes du système (étape 1)
1.4.1 La méthode simplifiée
1.4.2 Méthode dite systématique
1.5 Énoncer les exigences et les contraintes de sécurité
1.5.1 L’action commandée fournie par le contrôleur ou le système de contrôle est dangereuse
1.5.2 L’action commandée fournie est appropriée et requise, cependant elle n’est pas appliquée ou exécutée correctement
1.6 Développer des recommandations à partir des causes identifiées
1.7 Evaluer les composants de la structure hiérarchique
2. L’étude de cas
2.1.1 Le phénomène UVCE
2.1.2 Le phénomène BLEVE
2.2 Les accidents considérés dans cette étude de cas
2.3 Les dangers du système d’étude
2.4 La structure organisationnelle de contrôle de la sécurité
2.4.1 Structure générale de contrôle de la sécurité de l’installation
2.4.2 Exemple de la structure de contrôle de la sécurité de l’installation technique
2.5 Les variables du processus contrôlé
2.5.1 Associer une action commandée à chaque variable
2.6 Les actions dangereuses déclenchées par commande (étape 1)
2.6.1 Cas où l’action commandée est générée par le système de contrôle
2.6.2 Cas où le système ne génère pas la fermeture de la vanne (par commande)
2.7 Assigner les contraintes de sécurité aux actions dangereuses avec STPA
2.8 Etude des causes des actions dangereuses (étape 2)
2.8.1 Analyse des causes de l’AD (Action Dangereuse)
2.8.2 Les causes relatives aux actions déclenchées (par commande) et non exécutées
3. Conclusion et discussions des résultats
CHAPITRE 5: Modele de simulation
1.1 Étapes de modélisation et de simulation
1.1.1 La formulation du problème
1.1.2 Objectifs et organisation
1.1.3 Modélisation
1.1.4 Exécution de la simulation
2. L’outil de modélisation et de simulation AnyLogic
2.1 L’approche par la dynamique des systèmes
2.2 L’approche par les systèmes multi-agents
2.3 L’approche par événement discret
2.3.1 Initialisation de la réplique
2.3.2 Gestion des entités
2.3.3 Gestion des évènements
2.3.4 Les files d’attente
3. Modélisation multi-paradigmes de la sécurité d’un site industriel
3.1 Agent Chauffeur
3.2 Agent « GrosPorteurs »
3.3 La classe Main
3.3.1 Les objets utilisés pour la modélisation en système à événement discret SED dans l’interface main
3.3.2 Alertes sur les réservoirs
3.3.3 Les différents modes de contrôle des opérations
3.4 L’agent Pompiste
3.4.1 Les composants de l’actionchart
3.5 Poste de déchargement
3.5.1 Procédure de transfert
3.5.2 Compilation du modèle au poste de déchargement
4. Conclusion du chapitre
Conclusions et perspectives
Annexe

projet fin d'etudeTélécharger le document complet

Télécharger aussi :

La résolution de problèmes d’ordonnancement flexible

Simulation et réalisation de l’antenne patch dans la bande 2.4 GHZ 

Simulation des réseaux de neurones sous MATLAB 

Stratégie d’élaboration et de diffusion d’une action de communication

Apprentissage actif en-ligne d’un classifieur évolutif

Les caractéristiques fondamentales du réseau LTE 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *