Vous êtes sur la page 1sur 5

Alarmer, informer,

guider
Une plus grande MARTIN HOLLENDER, JOAN EVANS, THOMAS-CHRISTIAN SKOVHOLT,
ROY TANNER – Interrogé en novembre dernier sur les principales difficul-

efficacité opérationnelle tés rencontrées lors de ses entraînements sur simulateur à la Cité des
étoiles (banlieue de Moscou), l’astronaute britannique Tim Peak avait
par la gestion de cycle répondu : « Le plus grand écueil, ce sont les défaillances multiples » [1].

de vie des systèmes Il en va de même des sites industriels pilotés par des systèmes de
contrôle-­commande distribué : la surabondance d’alarmes reste la bête
d’alarme noire des opérateurs de conduite. Pour maîtriser ces « avalanches » de
données, il faut avoir facilement accès aux principes et critères qui ont
présidé, en amont, à la conception des alarmes : un préalable indispen-
sable pour décider en connaissance de cause des méthodes de traitement
évoluées, telles que la suppression. Une bonne gestion des changements
et du cycle de vie permet de maintenir le système d’alarme en phase avec
la dynamique évolutive de l’usine, suivant une démarche d’amélioration
continue normalisée CEI 62682 et ANSI/ISA 18.2.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­6 0 ABB review 1|15


1 Approche « cycle de vie » de la sécurité fonctionnelle et de la gestion d’alarme

Sécurité fonctionnelle Gestion d’alarme

1996 ANSI/ISA 84.01 2009 ANSI/ISA 18.2

2003 CEI 61511 2014 CEI 62682

2 Cycle de vie d’une gestion d’alarme CEI 62682

a) Philosophie

b) Identification

c) Rationalisation
i) G
 estion des
changements
d) Conception détaillée
j) Audit

e) Mise en œuvre

f) Exploitation
h) S
 urveillance et
évaluation
g) Maintenance

S
i la nécessité d’une gestion Dix ans plus tard, le standard ISA 18.2 lui daire » potentiellement dangereux que
d’alarme efficace fait consen­ ajoutait une approche « cycle de vie », pourraient occasionner les modifica­
sus, des accidents comme à l’image de la normalisation ISA 84 tions [4] .
celui survenu en 2010 dans et CEI 61511, déjà
l’usine de DuPont à Belle (États-Unis) [2] bien établie, qui im-
nous rappellent que même des chantres pose de maîtriser L’explosion de la raffinerie
de la sécurité comme ce géant de la toutes les étapes de
chimie ont encore des lacunes en la définition, de réali­ Texaco de Milford Haven en
matière. Dans l’industrie, la généralisa­
tion du contrôle-commande distribué,
sation et de main­
tien de la fonction
1994, où les opérateurs ont
configurable par logiciel, a permis de sécurité dans l’in­ dû faire face à 275 alarmes
multiplier les alarmes, sans qu’il en coûte dustrie. En clair, il
beaucoup à l’utilisateur : un excès qui s’agit de mettre en au cours des 11 minutes
nuit à la performance. En témoigne l’ex­
plosion en 1994 de la raffinerie Texaco
place une gestion
continue du sys­
­p récédant l’accident, est
de Milford Haven (Grande-Bretagne) [3], tème d’alarme pour un exemple classique ­
où les deux opérateurs en poste ont dû garantir à vie la
faire face à 275 alarmes au cours des sécurité d’un site. d’« avalanche » d’alarmes.
11 minutes précédant l’accident. Un
exemple classique de système saturé En 2014, la première norme internatio­ Les principaux jalons du cycle de vie
d’alarmes aussi inutiles qu’inaccep­ nale CEI 62682, inspirée de l’ISA 18.2, CEI 62682 permettent de développer
tables, qui empêche l’opérateur de fait de cette gestion d’alarme au long et de maintenir un système d’alarme
convenablement appréhender la situa­ cours une priorité  ➔ 1. Elle oblige notam­ conforme à la norme et aux bonnes
tion, de la diagnostiquer et d’y remédier. ment à recueillir et à documenter systé­ ­pratiques industrielles   ➔ 2.
Ces événements sont à l’origine d’une matiquement toutes les informations
démarche de gestion d’alarme systéma­ nécessaires à la conception d’alarmes Méthodologie
tique, formalisée en 1999 par le guide (études de sécurité, spécifications d’équi­ Première étape du cycle de vie d’une
EEMUA 191 (Engineering Equipment and pement, etc.). Si, en cours d’exploi­ gestion d’alarme, un plan, appelé « philo­
Materials Users Association). tation, des informations viennent les sophie » dans la norme, qui définit :
compléter ou les réviser, il est indispen­ – les rôles et responsabilités ;
sable de mettre à disposition et d’assi­ – les exigences de système d’alarme ;
Photo p. 60
miler parfaitement la totalité des infor­ – les processus et procédures de travail
Des méthodes de traitement d’alarme évoluées
apportent une aide considérable à la conduite des mations ayant motivé ces préceptes pour satisfaire à ces exigences.
sites industriels modernes. d’origine afin d’éviter tout « effet secon­

Alarmer, informer, guider ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­6 1


3 Exemple d'écran de l’assistant en ligne Alarm Helper d’ABB 4 Fréquence d’alarme par période de 10 minutes sur 6 mois

180

160

140

120

100

80

60

40

20

1 er oct. 2013 23 nov. 2013 15 jan. 2014 9 mars 2014

La CEI 62682, entre autres référentiels, – Fonctionnalité complète de base de


Les principes de est un guide utile à la définition du contenu données pour collecter et manipuler
et de la structure d’une philosophie rapidement toutes les informations
la gestion d’alarme d’alarme appropriée. associées de conception et de

doivent être trans­ ABB sait d’expérience que la difficulté


configuration d’alarme ;
– Formulaires de saisie recensant sur
posés dans les de l’exercice ne réside pas dans l’éla­ un seul écran tous les paramétrages
boration du document mais dans son d’une alarme pour accompagner
tâches concrètes application au cycle de vie du projet. et faciliter les réunions de rationali­

du projet. C’est pourquoi les spécialistes ABB du


domaine se concentrent sur la transposi­
sation ;
– Fonctions de copie contrôlée autori­
tion des principes de gestion d’alarme sant la réutilisation des configurations
dans les tâches concrètes du projet et existantes pour des cas similaires.
ses « livrables », tout en communiquant
l’impact des exigences du système Rationalisation
d’alarme à l’équipe projet étendue. À ce stade, la norme CEI 62682 [5]
impose d’identifier pour chaque alarme :
Cette étape est capitale pour garantir que – l’action opérateur recommandée ;
l’objet et l’intention première des alarmes – la conséquence de l’absence d’action
sont identifiés et documentés lors de ou d’une action incorrecte ;
revues de projet (études de dangers – la cause probable de l’alarme.
HAZOP, analyses
de risques LOPA et
revues sur sché­ Une fois les informations de
mas de tuyauterie
et d’instrumentation, conception d’alarme dispo­
par exemple).
nibles, reste à déterminer
Ces informations de comment et où stocker et
conception dispo­
nibles, il faut ensuite ­g érer les données correspon­
savoir comment et
où stocker et gérer
dantes.
les données corres­
pondantes. La CEI 62682 instaure pour La mise à disposition de ces informa­
cela le principe d’une base de ­données tions en exploitation améliore la cohé­
maître, définie comme une « liste autori­ rence des actions opérateur et permet
sée d’alarmes rationalisées et ­d’attributs aux novices de se construire une base
associés ». ABB le concrétise par un outil de connaissances et de gagner en
de rationalisation d’alarme ART (Alarm confiance. Quand des installations exis­
Rationalization Tool) aux nombreux avan­ tantes sont en cours de modernisation,
tages : le personnel de production est la source

­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­6 2 ABB review 1|16


5 Solution de gestion d’alarme AlarmInsight d’ABB

d’informations la plus fiable. Par contre, Amélioration continue d’instruments. Ces alarmes posent
pour les nouvelles usines, la définition En phase d’exploitation, la gestion du problème si elles se produisent en
complète des alarmes requises est plus cycle de vie est au centre de la normali­ même temps qu’une anomalie du
épineuse : leur configuration doit beau­ sation CEI 62682/ISA 18.2 mais aussi procédé et si des alarmes impor­
coup s’appuyer sur les informations des partie intégrante de la troisième édition de tantes sont noyées sous un flot
concepteurs et des fournisseurs. l’EEMUA 191. La gestion d’alarme exige d’alarmes inutiles ;
des efforts conti­ – Alarmes en cascade tout au long de
nus pour pérenni­ la chaîne de causalité qui suit un
Choisir les bons paramétrages ser les bonnes pra­ dysfonctionnement du procédé : une
tiques et garantir seule cause de défaillance peut
de seuil, d’hystérésis ou de la cohérence de la engendrer quantité d’alarmes consé­

temporisation ne suffit pas démarche. cutives. Or la première de la liste n’est


pas forcément la plus proche de la
pour éviter la surcharge. À l’heure actuelle, cause de défaillance : selon la
nombreux sont les dynamique du process et le paramé­
sites industriels à trage des seuils, des alarmes secon­
Outre la saisie des exigences et des don­ afficher en temps normal de faibles fré­ daires et de fausses alarmes peuvent
nées de conception d’alarme, l’outil ART quences moyennes d’alarme. Reste que très bien figurer en tête de liste.
d’ABB se singularise par sa capacité à les cas d’avalanches sont toujours aussi
exporter les réponses de l’opérateur aux problématiques. Choisir les bons paramétrages de seuil,
alarmes vers l’assistant en ligne Alarm d’hystérésis ou de temporisation ne suffit
Helper  ➔ 3, qui transmet le tout au poste Le graphe  ➔ 4 reproduit la fréquence pas pour éviter la surcharge. Des tech­
du système d’automatisation étendue d’alarme d'une usine pétrochimique sur niques avancées comme le masquage
800xA d’ABB. Alarm Helper et ART sont six mois : si la moyenne est inférieure à (dénommé « suppression par conception »
deux composantes de la solution de une alarme toutes les dix minutes, signe dans la CEI 62682) et le groupement
gestion d’alarme AlarmInsight d’ABB  ➔ 5, d’une situation maîtrisée, on constate d’alarmes entrent alors en jeu. Le système
développée et testée pour fonctionner également la survenue ponctuelle de 800xA d’ABB dispose à cette fin d’une
avec les systèmes 800xA d’aujourd’hui plus d’une centaine d’alarmes et l’afflux puissante panoplie d’outils de groupe­
et de demain. régulier d’une vingtaine d’alarmes, tou­ ment, de masquage dynamique et de sus­
jours sur dix minutes. pension d’alarmes (suppression tempo­
L’accès rapide à cette aide en ligne, raire, sur ordre de l’opérateur), aux niveaux
p rimordial pour les alarmes critiques
­ Facteur aggravant, ces surcharges ont automate, serveur et poste de travail.
(« intensément gérées » dans le jargon souvent lieu pendant les phases d’ex­
CEI [6]), est de plus en plus demandé par ploitation les plus délicates, au moment Compromis
les organismes de réglementation sur la même où les opérateurs ont le plus Toute la difficulté est d’arbitrer entre les
sécurité. Dans les usines où il est déjà besoin d’assistance (démarrage ou arrêt, risques potentiels que comporte la sup­
implanté, Alarm Helper apporte une aide par exemple). Deux scénarios se dégagent : pression d’une alarme au cours d’un
précieuse à la conduite, très appréciée – Alarmes dues à l’arrêt de parties du scénario donné et la nécessité de réagir
des opérateurs. process (alarmes « débit faible » après aux pics de fréquence d’alarme en situa­
arrêt du pompage, par exemple), à tion anormale. La meilleure façon d’atté­
différents modes de marche (nettoyage, nuer ces risques est d’associer une gamme
par exemple) ou lors de l’étalonnage complète d’outils éprouvés de gestion

Alarmer, informer, guider ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­6 3


ABB a fait chuter 6 Réduction de la fréquence d’alarme sur la plate-forme gazière de Rashpetco avec AlarmInsight

la fréquence 500

moyenne d’alarme

Fréquence moyenne d’alarme


400

d’un site gazier 300

de Rashpetco,
­ramenant le
200

nombre d’arrêts 100

de production de 0
Septembre Octobre Novembre Décembre Janvier Février Mars

25 à 6 par an.

d’alarme comme AlarmInsight d’ABB et La démarche s’est avérée fructueuse à mentaires, ABB fait beaucoup progres­
une démarche robuste de gestion des plus d’un titre : ser la gestion d’alarme.
changements avec le niveau approprié – Identification des alarmes consécu­
de révision et de validation. tives à un arrêt particulier ;
– Analyse d’événement critique soulignant
À titre prospectif, les premières revues les déclenchements d’événement Martin Hollender
de rationalisation peuvent identifier les avec possibilités de réponse et d’inter­ ABB Corporate Research
alarmes candidates à la suppression de vention anticipées de l’opérateur, et Ladenbourg (Allemagne)
base (groupement d’alarmes à masquer diminution des arrêts d’équipement et martin.hollender@de.abb.com
en cas d’équipements hors service, par dysfonctionnements d’usine.
exemple). Par la suite, les études sur les Joan Evans
avalanches d’alarmes en exploitation Les principaux apports de cette panoplie ABB Process Automation, Oil, Gas & Chemicals
tâcheront d’aller plus loin et de tirer parti de d’outils d’amélioration continue sur le Billingham (Royaume-Uni)
toute la palette fonctionnelle AlarmInsight : cycle de vie sont : joan.evans@gb.abb.com
– Commentaires opérateur sur les – la diminution des arrêts de production ;
réponses aux alarmes, consignés et – la réduction du risque législatif et Thomas-Christian Skovholt
affichés dans Alarm Helper ; réglementaire (opérations plus sûres ABB Process Automation, Oil, Gas & Chemicals
– Analyse détaillée des alarmes avec les et écocompatibles) ; Oslo (Norvège)
outils Expert Tool et Alarm Analysis ; – l’amélioration de l’efficacité opération­ thomas-christian.skovholt@no.abb.com
– Attributs d’alarme en cours, puisés nelle.
dans la base de données ART. Roy Tanner
La courbe  ➔ 6 montre comment ABB a ABB Process Automation, Control Technologies
L’ensemble facilite l’identification des fait chuter la fréquence moyenne d’alarme Wickliffe (Ohio, États-Unis)
scénarios potentiels de suppression sur une plate-forme de production de gaz roy.tanner@us.abb.com
d’alarme fondés sur l’analyse des don­ de la compagnie Rashid Petroleum Company
nées réelles du site. En supprimant le (Rashpetco). Les arrêts sont ainsi passés Bibliographie
besoin d’analyse manuelle ad hoc, on de 25 à 6 par an, avec d’importantes [1] Shukman, D., Tim Peake: British astronaut’s
réduit énormément le risque d’erreur économies globales à la clé. training nears end, BBC News, disponible en
ligne sur : http://www.bbc.com/news/
humaine dans la déduction des liens de
science-environment-34788169, 11 novembre
cause à effet. De même, les conclusions De l’excès à la modération 2015.
peuvent s’appuyer sur des séries de La sécurité est un sujet de préoccupa­ [2] Smith, S., « Did DuPont Prioritize Cost Over
données beaucoup plus longues, s’éta­ tion grandissant pour les régulateurs, les Safety at Belle, West Virginia, Facilities?
Chemical Safety Board Investigation Indicates It
lant au besoin sur plusieurs années. organismes publics et la société en géné­
Did », EHS Today, 13 juillet 2011.
Après avoir identifié, revu et validé un ral. Tous plaident pour une gestion d’alarme [3] « The explosion and fires at the Texaco refinery,
scénario spécifique, la solution peut ser­ sur le cycle de vie et une amélioration Milford Haven, 24 July 1994 », Health and
vir à explorer d’autres instances d’alarme continue des processus et procédures Safety Executive, Norwich (Royaume-Uni),
1997.
relevant de la même logique. L’intégra­ afin de sécuriser les activités industrielles.
[4] Norme CEI 62682, Gestion de systèmes
tion 800xA-AlarmInsight est gage d’opti­ La CEI 62682 est aujourd’hui le référen­ d’alarme dans les industries de transformation,
misation, d’adéquation et de surveillance tiel international des meilleures pratiques octobre 2014.
continues des alarmes. dans ce domaine. Avec son offre com­ [5] Norme CEI 62682, paragraphe 6.2.1, tableau 3,
p. 116, Contenu exigé et recommandé de la
plète d’outils procurant des économies
philosophie d’alarme.
chiffrées et des bilans documentés qui [6] Norme CEI 62682, paragraphe 6.2.9, p. 118,
font autorité auprès des instances régle­ Alarmes intensément gérées.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­6 4 ABB review 1|16