Incorporating Safety-II in future gas systems
Riemersma, B., Correljé, A. F., & Künneke, R. W. (2024). Incorporating Safety-II in future gas systems. Safety Science, 173, 106462.
Our opinion
Une analyse de chercheurs hollandais sur le constat de l’inadéquation progressive des modèles traditionnels de sécurité utilisés pour l’industrie gazière, et le besoin d’introduire une nouvelle approche plus résiliente, basée sur l’idée de « Safety 2 ».
Intéressante approche à lire à un moment où cette question du vieillissement des modèles actuels de sécurité et de leurs limites, confrontés à la complexité croissante des environnements s’applique à toutes les industries, et se trouve posée par un récent « Cahier » de la Foncsi comme ligne de réflexion prospective.
Notre synthèse
Les changements rapides qui affectent les systèmes énergétiques posent de nouveaux défis à la sécurité industrielle.
On peut penser aux nouveaux actes de guerre en Europe, à la cyberattaque dès 2014 sur les infrastructures ukrainiennes de l’énergie ou au black-out massif du Texas en 2021. Rappelons que ces cas furent la conséquence plus ou moins directe de fragilités introduites par une digitalisation rapide et massive et une interconnectivité galopante de ces industries (cas de l’Ukraine) et par la complexité et la fragmentation de la régulation régionale (cas du Texas).
On voit aussi l’arrivée de nouveaux types de gaz peu compatibles avec toutes les infrastructures existantes. On pense ici par exemple au biogaz souvent porté par de nouveaux acteurs infiniment plus petits et plus locaux, à petite échelle, proche du lieu de production (un fermier par exemple qui décide de produire du biogaz avec ses vaches), et avec un fort éclatement géographique. Ces modèles locaux et dispersés soulèvent un immense défi pour le contrôle qualité, le transport et le stockage.
Les modèles traditionnels de sécurité sont donc challengés par ces nouvelles conditions.
La sécurité dans l’industrie du gaz
L’industrie du gaz mobilise des dispositifs complexes tels que fours, chaudières, turbines, pipelines. Au-delà de ces matériaux génériques, chaque type de gaz traité est finalement assez spécifique du contexte local et historique d’extraction qui lui est propre, et qui mélange à un niveau différent plusieurs composés (méthane, azote, dioxyde de carbone, etc.). Toute substitution de gaz dans un tel réseau ‒ que l’on voit chaque jour plus fréquente sous la pression actuelle des marchés ‒ demande une attention particulière pour s’assurer que les installations sont compatibles.
Le gaz utilisé peut provenir de différentes sources. Récemment, la production locale de biogaz vient compléter les approvisionnements classiques. Le biogaz peut être produit à partir de toutes sortes de composts et déchets. Pour rejoindre les circuits de distribution classique, ce biogaz brut nécessite d’être « amélioré », notamment en réduisant sa quantité d’eau et en le débarrassant de produits toxiques (monoxyde de carbone, dérivés sulfurés). Cette phase d’épuration, particulièrement pour le monoxyde de carbone, est une source récurrente d’accident. D’autres problèmes peuvent aussi apparaître, comme des odeurs dans les gaz liées à la décomposition de déchets spécifiques (pelures de fruits par exemple) qui peuvent masquer les odeurs caractéristiques du gaz qui servent d’alerte à sa toxicité.
Le cadre de réflexion général à l’article : « Safety 1 » et « Safety 2 »
Hollnagel a introduit l’opposition deux types de gestion de la sécurité : « Safety 1 » versus « Safety 2 »
« Safety 1 » considère qu’un système est sûr en l’absence d’accidents et d’incidents inacceptables. L’organisation, l’usage et les procédures sont conçues de façon prudente pour identifier par avance tous les risques et les minimiser. « Safety 1 » fait l’hypothèse que les erreurs et les perturbations de toutes sortes sont la source des risques résiduels. L’occurrence de ces erreurs et perturbations est systématiquement recherchée, signalée et analysée pour identifier leur cause, et donne lieu à la mise en place de défenses pour qu’elles ne se reproduisent plus. Le système de sécurité s’améliore au fil du temps et du retour d’expérience. « Safety 1 » est adapté, surtout pour des systèmes dont le domaine d’usage est connu, relativement simple, prédictible et stable dans le temps, et où le passé prédit raisonnablement le futur (continuité).
« Safety 2 » considère plutôt qu’un système est sûr s’il sait s’adapter et produire un résultat attendu dans un grand spectre de contextes. Ce type d’approche concerne surtout les systèmes complexes et non linéaires, où le passé prédit mal le futur. « Safety 2 » pose comme un axiome qu’il est impossible de lister systématiquement tous les risques et de s’en protéger. Beaucoup de sources de risque restent latentes, attendant une opportunité d’émergence dans des contextes inattendus. La connaissance profonde du système et de sa complexité reste limitée. Dans ces conditions, « Safety 2 » parie sur une approche positive qui se concentre sur ce qui marche bien et qui permet l’adaptation raisonnablement sûre dans des conditions adverses ou de surprises. La gestion de la sécurité dans « Safety 2 » privilégie donc un retour d’expérience sur ces conditions adverses ou de surprise possibles dans divers contextes, pour préparer des réponses adaptées de gestion de ces situations (plutôt que chercher à identifier leurs causes et à les supprimer comme dans « Safety 1 »). La gestion de la sécurité dans cette logique demande moins de centralisation et d’unicité, et plus de décentrement, de particularisation et de leçons spécifiques aux terrains locaux et contextes particuliers.
Il faut reconnaître qu’à l’exception de quelques applications dans la sécurité routière et en médecine, cette approche « Safety 2 » n’a jamais été vraiment testée à grande échelle industrielle, avec ce qu’elle implique de changement de paradigme, de rôles, de gouvernance et de responsabilités en rapport des règles de sécurité à mettre en place. Les conditions complexes de l’exploitation gazière en font une industrie candidate à utiliser ce modèle « Safety 2 ».
Le désalignement vu comme appel au passage de « Safety 1 » à « Safety 2 »
Les auteurs appliquent le principe fondamental de qualité de l’alignement entre technologie et institution pour évaluer la gestion de la sécurité. Ce concept présuppose que technologies et institutions doivent rester en permanence compatibles et alignées. La sécurité émerge de cet alignement, en produisant un ensemble de règles, de normes pratiques et dynamiques qui guident les interactions humaines dans le système. Sur le plan théorique, le cadre d’alignement s’appuie sur une approche systémique portée par la microéconomie, l’économie institutionnelle et la théorie des systèmes sociotechniques. Le développement pratique de ce cadre suppose de comprendre et modéliser la façon dont un système technique est déployé dans des contextes et environnements différents. Il renvoie à 3 niveaux : les structures (macro), la gouvernance (méso), et les transactions locales (micro). Chaque niveau questionne la compatibilité entre technologies et institutions.
Or les auteurs constatent que, suite aux évolutions récentes des technologies produisant et gérant le gaz néerlandais et des institutions gérant cette production et cette distribution, un certain désalignement est apparu.
Le réseau de production et de distribution : au-delà de l’architecture globale, trois niveaux décisionnels opérationnels
L’architecture technologique globale
L’architecture technologique globale du réseau de gaz est le premier composant à décrire. Elle comporte les parties de stockage, les réseaux de distribution sous haute pression, pression moyenne et basse pression, et les systèmes de combustion. Cette partie est peu réactive et change très lentement dans le temps.
Niveau des macro-institutions
Les macro-institutions renvoient à la couche décisionnelle haute du système qui délimite le dimensionnement général du réseau de gaz, les conditions d’approvisionnement, le domaine d’usage du système et sa performance attendue (quantité, qualité) pour répondre à la demande sociétale et aux besoins du pays. Cette partie inclut des éléments généraux sur ce qui est permis et ce qui ne l’est pas (par exemple, la règle de séparation entre acteur de production et acteur de distribution). Les règles à ce niveau institutionnel et étatique, voire international, évoluent lentement. Elles incluent implicitement l’idée qu’États et institutions doivent penser un système sûr pour la population.
Niveau de la gouvernance industrielle
La gouvernance industrielle décline les orientations macro-institutionnelles dans une architecture technologique et dans des règles d’application répondant au besoin d’État. Il peut coexister plusieurs conceptions dans cette traduction technologique, souvent en héritage de réalités industrielles anciennes auxquelles viennent s’ajouter des technologies plus modernes. Les Pays-Bas réservent par exemple une place privilégiée aux productions locales de biogaz, alors que le Danemark a plutôt fait le choix de grosses infrastructures collectives. Le niveau méso repose sur des tutelles spécifiques (autorités du gaz), des bureaux publics et agences diverses. Ces agences et bureaux centraux peuvent déléguer certains de leurs privilèges et actions à des bureaux locaux qui assurent une traduction réglementaire contextuelle via une logique de négociation et de réglage du service attendu et de ses modalités technologiques entre parties concernées (industrielles, territoriales, communautés) en incluant un cadre juridique pour résoudre les désaccords.
Niveau des transactions
Enfin, les transactions permettent de définir les modalités du fonctionnement ultime au jour le jour du système local dans le temps et dans l’espace, y compris la temporalité et la nature de la surveillance de la qualité et de la sécurité du service délivré. L’idée de microsystème recouvre tout cet espace local d’arbitrages, de planification et de suivi des réglages quotidiens. Il repose sur la responsabilité de producteurs et de distributeurs industriels spécialisés, souvent contractualisés chacun pour des périodes définies et sur des bases de quantité et de prix du gaz délivré. La loi du marché du gaz entretient une possibilité de choix et de réglage des prix avec les producteurs et les distributeurs. Bien sûr, ces négociations locales décentralisées sont plus pertinentes pour de grosses structures clientes, alors que de petites structures clientes peuvent davantage bénéficier d’une négociation centralisée.
L’alignement sur ces trois niveaux
Cet alignement relève lui-même de trois dimensions dont le réglage varie selon l’option « Safety 1 » versus l’option « Safety 2 ».
Le caractère centralisé (« Safety 1 ») versus décentralisé (« Safety 2 »)
Dans le cas centralisé, une seule institution coordonne tous les points d’entrée et surveille la délivrance au bon niveau de qualité et de quantité. Le système est aisé à décrire, avec des nœuds et des connexions identiques en nature dans le réseau facilitant les décisions par un nombre réduit d’acteurs. Dans le cas décentralisé, il existe plusieurs points d’entrées locaux et le système n’est pas linéaire. Les connexions et nœuds changent de nature selon les points considérés du réseau. Le nombre d’acteurs concernés par les décisions est forcément plus grand.
L’ajustabilité de la coordination fermée (« Safety 1 ») versus ouverte (« Safety 2 »)
Cette dimension porte sur le degré de spécification des méthodes de production, de distribution et de qualité. On peut avoir dans le cas fermé une conduite par procédés totalement spécifiée dans ses moyens, versus dans le cas ouvert, une conduite seulement dirigée par objectifs (de qualité, de quantité) sans spécification de la méthode précise de surveillance et de mise en œuvre. Le premier cas est forcément plus standardisé et prescriptif de la part du régulateur ; le second est plus adaptatif, incluant des possibilités d’actions conjointes entre industrie et régulateur pour décider d’un commun accord quelle solution est possible et acceptable dans un cas local.
Le contenu de la coordination monocentrique (« Safety 1 ») versus polycentrique (« Safety 2 »)
Cette dimension réfère à une vision en silo du contrôle et du centre de décisions qui travaille élément par élément (monocentrique) versus une vision du contrôle pluri centrique des interactions entre éléments du système.
À noter que la dimension précédente de coordination fermée porte sur la nature et le nombre d’éléments similaires inclus dans le système (son architecture fonctionnelle), ce qui n’est pas contradictoire avec l’idée d’une coordination monocentrique qui travaillerait séparément sur chacun de ces éléments.
La gestion du gaz aux Pays-Bas, des caractéristiques de complexité qui rendent favorable une gestion de type « Safety 2 »
La gestion du gaz néerlandais change rapidement. Le champ d’extraction de Groningen décline rapidement, avec un besoin d’importation augmentant juste au moment critique de la guerre en Ukraine.
La découverte en 1959 du champ gazier de Groningen avait guidé très largement la technologie et la carte du réseau de distribution du gaz aux Pays-Bas et même à l’export. Ce gaz présentait la particularité d’avoir une basse valeur calorifique (Groningen Low-calorific Gas - G-Gas) comparé à la moyenne des autres gaz mondiaux (High-calorific Gas - H-Gas), et avait imposé par ce fait une technologie particulière de transport distinguant un réseau dédié pour le G-Gas en parallèle d’un réseau dédié au H-Gas, chacun ayant ses propres cibles et secteurs de distribution. Plus récemment, l’importation de gaz liquide (LNG) s’est imposée avec la baisse de production du G-Gas et la guerre en Ukraine. On a dû procéder à des additions d’azote au LNG pour pouvoir utiliser les réseaux en place en toute sécurité, avec des usines dédiées à ces conversions. Enfin, l’émergence de production du biogaz reste encore modeste en quantité mais est en croissance constante et demande maintenant son inclusion dans ces réseaux.
Le réseau néerlandais de gaz reste pour toutes ces raisons un réseau complexe, hétérogène et plus fragile en qualité et sécurité.
Au fil du temps, la gestion de ce réseau complexe a été partiellement décentralisée, avec des nœuds de distribution où le gaz renouvelable peut être injecté à différents points. La production locale de gaz au bon niveau de la demande peut exiger de rendre compatibles plusieurs types de gaz ayant chacun des exigences de sécurité propres, et de prévoir aussi d’évacuer ailleurs les excès de production locale. L’architecture technologique répondant à ces exigences décentralisées fait de plus en plus appel au contrôle numérique.
Quels besoins pour un glissement vers une gestion de type « Safety 2 » ?
Un besoin de décentralisation
Jusqu’à un temps récent (2004), le gaz néerlandais était géré de façon intégrée par une entité centrale unique (Gasunie), achetant et revendant le gaz à une douzaine de compagnies de distribution de gaz régionales. Depuis 2004, le rôle de Gasunie a progressivement changé. Il est devenu un acteur industriel exclusivement national (il était en partie aussi allemand), changeant de nom pour Gasunie Transport Services (GTS) et limitant son rôle au H-Gas. GTS reste toutefois responsable de la sécurité du réseau et notamment de la qualité du gaz avant qu’il ne soit injecté dans les réseaux de distribution de moyenne et basse pression. En ce sens, le contrôle de la qualité du gaz reste centralisé.
En parallèle, les compagnies de distribution régionales ont été modifiées et placées sous le contrôle des autorités régionales des villes et régions (Distribution System Operators - DSOs). Les achats et ventes de gaz ont été transférés aux traders de ces entités régionales. Le biogaz a été pris en compte et connecté au réseau par ces DSOs.
Un constat de désalignement progressif
Comme vu précédemment, la structure de contrôle qualité du gaz (G-Gas et H-Gas) reste centralisée à charge de GTS. Mais cette vision subit un effet de désalignement progressif avec la complexité croissante des natures de réseaux imbriqués, digitalisés et avec une architecture de production-distribution non linéaire (H-Gaz, G-Gaz et maintenant LNG sans parler du biogaz).
La structure de contrôle qualité du biogaz s’est déjà décentralisée, tout comme les lieux de production et de distribution. La responsabilité de la qualité repose sur chaque producteur. Des certificateurs et des inspecteurs surveillent ce travail à la production, sur la base de paramètres assez bien décrits, mais il reste des « trous » dans la responsabilité de la qualité de coordination régionale de ce biogaz placé sous la responsabilité des DSOs, typiquement polycentrique et avec des différences locales.
Une gouvernance plus difficile
L’hétérogénéité croissante des gaz impose un contrôle qualité plus important, mais ce contrôle demande aussi plus de variété dans sa technologie et ses principes pour s’adapter à la variété et aux différences de volumes des gaz, produits nationalement, importés ou produits (et consommés) localement. Les questions d’interconnexions entre ces réseaux deviennent prépondérantes, tant techniquement qu’économiquement pour gérer la bonne mesure (de volume et de distance de distribution) dans l’utilisation de chaque gaz.
Deux régulateurs travaillant en appui de l’entité nationale GTS sont importants dans cette logique : l’Authority for Consumers and Markets (ACM) et le State Mining Supervision (SodM).
L’ACM régule les prix entre marchés, politique d’État et consommateurs. L’ACM spécifie aussi les niveaux de responsabilité et les droits confiés à chaque entité industrielle du gaz néerlandais dans le contrôle des risques, même si ces dernières dans leur variété peuvent influencer les décisions de l’ACM en retour par leurs inputs et commentaires.
Le SoDM est le bureau national d’investigation des accidents et incidents, chargé des enquêtes et spécifiant les conséquences pour l’évolution du réseau et de la sécurité du gaz, avec une distinction faite entre les accidents sans préjudice humain (catégorie 1) et ceux avec (catégorie 2).
En fait, tout le système de gaz reste profondément centralisé mais avec un effet de désalignement croissant.
La réalité de distribution de gaz différents impose de plus en plus la construction d’unités techniques distribuées sur le territoire pour assurer la compatibilité dans les réseaux de distribution entre gaz (en agissant sur les taux de mélanges méthane-azote notamment). Le réseau reste pourtant sous contrôle de GTS, avec la difficulté de coordonner de plus en plus d’acteurs différents (en taille, en nature et en technique). L’injection de biogaz dans les mêmes réseaux est encore plus distribuée en volume, lieux et qualité des producteurs (souvent très petits). Pour autant, même si la qualité locale du biogaz est passée sous le contrôle et la responsabilité des DSOs, la coordination globale ainsi que les normes et les lois restent très dépendantes de l’autorité centrale.
Au niveau micro, le mélange croissant entre institutions formelles et informelles
On vient de le voir, la coordination et le contrôle qualité du gaz reste centralisée. Il reste, basée sur le passé et les usages, une partie significative des réglages de qualité et décisions de distribution locales qui émergent par habitude et confiance mutuelle lors d’échanges informels entre opérateurs et DSOs pour répondre aux demandes locales. Il n’est pas sûr que ce mode informel résiste aussi bien à l’augmentation des injections de biogaz, à la multiplication des sites déportés, ni à la complexification qu’ajoute l’arrivée massive du numérique dans la gestion régionale et qui permet une dynamique et une variation adaptative à la demande jusque-là inconnue.
Les auteurs concluent sur ce paysage de désalignement progressif de l’architecture et la gouvernance du gaz néerlandais y compris sur la qualité, toujours centralisée et relevant d’un modèle typiquement « Safety 1 », alors que la réalité de la décentralisation est déjà installée dans tout le système. Ils plaident pour une évolution radicale qui soit plus en lien avec les principes de « Safety 2 » pour gérer cette complexité déjà présente et toujours croissante. Un réalignement de la gouvernance et des responsabilités serait à la base de cette réforme souhaitée. Ce réalignement devrait permettre au niveau macro un élargissement du cercle des acteurs impliqués dans la régulation, au niveau méso une augmentation de délégation et responsabilité confiées aux DSOs, et au niveau micro une évolution significative de l’articulation et des transactions entre petits acteurs du biogaz et grands acteurs institutionnels du gaz, avec plus de flexibilité et d’autonomie dans les choix technologiques et les paramètres qualité pour le biogaz aujourd’hui trop contraints par les logiques anciennes des grands réseaux.