Systèmes de contrôle industriels : gérer les alarmes

Chargées d’alerter les opérateurs lorsqu’un problème nécessite une action immédiate, les alarmes sont une composante essentielle de la sécurité des sites industriels.

Or, plusieurs accidents industriels récents ont été rendus possibles par la décision d’ignorer, voire de désactiver, des alarmes jugées intempestives. L’enquête sur la catastrophe de Deepwater Horizon, en 2010, révéla ainsi que plusieurs alarmes avaient été mises en sourdine pour éviter de réveiller les travailleurs pendant la nuit, parmi d’autres dispositifs de sécurité sciemment contournés.

Comprendre comment un dispositif de sécurité essentiel peut être ainsi rendu inefficace, voire inopérant, révèle les défis de la numérisation, particulièrement lorsque l’attention humaine est en jeu.

Il y a un demi-siècle, installer une nouvelle alarme dans une usine était un projet en soi. Dans des salles de contrôle où l’espace était compté, ajouter une alarme demandait de procéder à une installation physique souvent coûteuse. Seules les alertes majeures justifiaient un tel investissement.

Tout a changé avec la numérisation des systèmes de contrôle industriels, qui a fait de la création d’une nouvelle alarme l’affaire de quelques clics. Cette facilité a entraîné un usage beaucoup plus large des alarmes, y compris pour des cas sans urgence, avec un seul événement déclenchant parfois des dizaines d’alarmes difficiles à isoler et à hiérarchiser.

Le phénomène évoque le paradoxe de Jevons, mis en évidence lors de la Révolution industrielle : lorsque l’innovation rend une ressource moins coûteuse et plus facile à utiliser, il devient tentant d’en abuser — jusqu’à annuler le gain d’efficacité initial.

Résultat : alors que l’on estime qu’un opérateur ne peut gérer efficacement qu’un maximum de 300 alarmes par jour, des systèmes d’alarmes non optimisés peuvent en émettre des dizaines de milliers.

Cette surabondance a conduit à une inflation des marqueurs d’urgence : dans certaines installations, plus de 50% des alarmes sont catégorisées « critiques », alors que la norme de référence ISA 18.2 recommande que ce chiffre n’excède pas 5 %.

Ce déluge impose de remettre les choses à plat. L’ “Alarm Management Handbook“, ouvrage de référence du domaine qui revendique une mise en œuvre réussie dans des centaines de projets industriels à travers le monde, recommande ainsi un processus en sept étapes.

Etape fondamentale : rédiger une philosophie des alarmes qui définit notamment le rôle d’une alarme, les niveaux de priorité et les repères visuels qui les distinguent. Si cela peut semble élémentaire, cette philosophie unifiée fait défaut, ce qui conduit à des systèmes fragmentés, improvisés et incohérents d’un site à l’autre.

Ce travail constitue la base d’une amélioration progressive des performances des systèmes d’alarme pour passer de la surcharge d’information à des signaux moins nombreux, plus pertinents et prédictifs.

Quels ordres de grandeur viser ? Prenons l’exemple de PDO, un grand acteur pétrolier et gazier du Golfe. Confronté à plus de 4 000 alarmes par heure, le groupe repense sa stratégie d’alarme via une série d’ateliers qui reconsidère quelles alarmes nécessitent une action immédiate et lesquelles peuvent être simplement consignées pour analyse ultérieure. Bilan : un nombre d’alarmes tombé en moyenne à trois par heure, avec des pics occasionnels à vingt – soit 200 fois moins d’alarmes à gérer par opérateur.

Pourquoi nombre d’entreprises peinent-elles à franchir le pas, en dépit d’avantages évidents en matière de sécurité ? Certaines raisons ont trait à la complexité perçue du sujet, d’environnements industriels multi-fournisseurs en silos, ainsi qu’au manque de compétences en interne.

Mais la raison est aussi économique : par rapport à d’autres chantiers offrant une rentabilité immédiate, la valeur d’une bonne gestion des alarmes est moins quantifiable et ne devient souvent prioritaire qu’après un incident.

C’est là une myopie dommageable. L’histoire nous rappelle que la valeur des investissements de sécurité dépasse leur retour financier immédiat : un accident industriel peut représenter des dommages irréparables et des coûts considérables. Il induit d’autres effets de long terme rarement pris en compte, comme la perte de réputation et d’attractivité comme employeur.

Ajoutons à cela que les incidents majeurs ne sont pas les seuls qui comptent. Un incident mineur qui entraîne un arrêt de production, même sans dommage matériel ou corporel, a un coût significatif. D’où l’importance d’approches plus globales du risque, intégrant des facteurs tels que les impacts à long terme sur la durabilité, la réputation ou la valeur de la marque.

Enfin, le cas des alarmes est porteur d’enseignement pour toutes les entreprises engagées dans des programmes de transformation numérique.

Nombre de nouveaux outils entraînent une nouvelle série de signaux non hiérarchisés envoyés aux opérateurs humains : courriels, notifications, alarmes… Il est facile d’abuser de ces outils et de croire naïvement qu’ils suffiront à améliorer le niveau d’information, de productivité ou de sécurité.

Or, si le travail n’est pas mené en amont pour s’assurer que ces signaux sont fiables, hiérarchisés et clairs quant aux actions à mener, le résultat est une compétition constante pour l’attention d’humains déjà surchargés d’information – avec des conséquences parfois dramatiques lorsque la sécurité est en jeu.