56. Prévention des accidents
Éditeur de chapitre : Jorma Saari
Introduction
Jorma Saari
Concepts de l'analyse des accidents
Kirsten Jorgensen
Théorie des causes d'accident
Abdoul Raouf
Facteurs humains dans la modélisation des accidents
Anne-Marie Feyer et Ann M. Williamson
Modèles d'accident : homéostasie du risque
Gérald JS Wilde
Modélisation des accidents
Andrew R. Hale
Modèles de séquences d'accidents
Ragnar Andersson
Modèles d'écart d'accident
Urban Kjellen
MAIM : le modèle d'information sur les accidents du Merseyside
Harry S. Shannon et John Davies
Principes de prévention : L'approche de santé publique pour réduire les blessures en milieu de travail
Gordon S. Smith et Mark A. Veazie
Principes théoriques de la sécurité au travail
Réinald Skiba
Principes de prévention : informations sur la sécurité
Mark R. Lehto et James M. Miller
Coûts des accidents du travail
Diego Andreoni
Cliquez sur un lien ci-dessous pour afficher le tableau dans le contexte de l'article.
1. Taxonomies pour la classification des écarts
2. La matrice Haddon appliquée aux blessures des véhicules à moteur
3. Les dix stratégies de contre-mesure de Haddon pour la construction
4. Informations de sécurité mappées à la séquence accidentelle
5. Recommandations dans les systèmes d'alerte sélectionnés
Pointez sur une vignette pour voir la légende de la figure, cliquez pour voir la figure dans le contexte de l'article.
57. Audits, inspections et enquêtes
Éditeur de chapitre : Jorma Saari
Audits de sécurité et audits de gestion
Johan Van de Kerckhove
Analyse des risques : le modèle de causalité des accidents
Jop Groeneweg
Risques matériels
Carsten D. Groenberg
Analyse des risques : facteurs organisationnels
Urban Kjellen
Inspection du lieu de travail et application de la réglementation
Antoine Linehan
Analyse et rapport : enquête sur les accidents
Michel Monteau
Déclaration et compilation de statistiques sur les accidents
Kirsten Jorgensen
Cliquez sur un lien ci-dessous pour afficher le tableau dans le contexte de l'article.
1. Strates dans la politique de qualité et de sécurité
2. Éléments d'audit de sécurité PAS
3. Évaluation des méthodes de contrôle du comportement
4. Types de défaillances générales et définitions
5. Concepts du phénomène accidentel
6. Variables caractérisant un accident
Pointez sur une vignette pour voir la légende de la figure, cliquez pour voir la figure dans le contexte de l'article.
58. Demandes de sécurité
Éditeurs de chapitre : Kenneth Gerecke et Charles T. Pope
Analyse des Systèmes
Manh Trung Ho
Sécurité des outils électriques portatifs et manuels
Département du travail des États-Unis—Administration de la sécurité et de la santé au travail ; édité par Kenneth Gerecke
Pièces mobiles de machines
Tomas Backström et Marianne Döos
Protection de la machine
Département du travail des États-Unis—Administration de la sécurité et de la santé au travail ; édité par Kenneth Gerecke
Détecteurs de présence
Paul Schreber
Dispositifs de contrôle, d'isolement et de commutation d'énergie
René Troxler
Applications liées à la sécurité
Dietmar Reinert et Karlheinz Meffert
Logiciels et ordinateurs : systèmes automatisés hybrides
Waldemar Karwowski et Jozef Zurada
Principes de conception de systèmes de commande sûrs
Georg Vondracek
Principes de sécurité pour les machines-outils à commande numérique
Toni Retsch, Guido Schmitter et Albert Marty
Principes de sécurité pour les robots industriels
Toni Retsch, Guido Schmitter et Albert Marty
Systèmes de commande électriques, électroniques et électroniques programmables liés à la sécurité
Ron Bell
Exigences techniques pour les systèmes liés à la sécurité basés sur des dispositifs électriques, électroniques et électroniques programmables
John Brazendale et Ron Bell
rollover
Bengt Springfeldt
Chutes d'altitude
Jean Arteau
Espaces confinés
Neil Mc Manus
Principes de prévention : manutention et circulation interne
Kari Häkkinen
Cliquez sur un lien ci-dessous pour afficher le tableau dans le contexte de l'article.
1. Dysfonctionnements possibles d'un circuit de commande à deux boutons
2. Protecteurs de machine
3. Compatibles
4. Méthodes d'alimentation et d'éjection
5. Combinaisons de structures de circuits dans les commandes de machines
6. Niveaux d'intégrité de sécurité pour les systèmes de protection
7. Conception et développement de logiciels
8. Niveau d'intégrité de sécurité : composants de type B
9. Exigences d'intégrité : architectures de systèmes électroniques
10. Chutes d'altitude : Québec 1982-1987
11.Systèmes typiques de prévention et d'arrêt des chutes
12. Différences entre la prévention des chutes et l'arrêt des chutes
13. Modèle de formulaire pour l'évaluation des conditions dangereuses
14. Un exemple de permis d'entrée
Pointez sur une vignette pour voir la légende de la figure, cliquez pour voir la figure dans le contexte de l'article.
59. Politique de sécurité et leadership
Éditeur de chapitre : Jorma Saari
Politique de sécurité, leadership et culture
Dan Peterson
Culture et gestion de la sécurité
Marcel Simard
Climat et sécurité organisationnels
Nicole Dedobbeleer et François Béland
Processus participatif d'amélioration du lieu de travail
Jorma Saari
Méthodes de prise de décision en matière de sécurité
Terje Sten
Perception du risque
Bernhard Zimolong et Rudiger Trimpop
Acceptation des risques
Rudiger Trimpop et Bernhard Zimolong
Cliquez sur un lien ci-dessous pour afficher le tableau dans le contexte de l'article.
1. Mesures climatiques de sécurité
2. Différences entre Tuttava et autres programmes/techniques
3. Un exemple de bonnes pratiques de travail
4. Objectifs de performance dans une usine d'encres d'imprimerie
Pointez sur une vignette pour voir la légende de la figure, cliquez pour voir la figure dans le contexte de l'article.
60. Programmes de sécurité
Éditeur de chapitre : Jorma Saari
Recherche sur la sécurité au travail : un aperçu
Herbert I. Linn et Alfred A. Amendola
Services gouvernementaux
Antoine Linehan
Services de sécurité : consultants
Dan Peterson
Mise en place d'un programme de sécurité
Tom B.Lemon
Programmes de sécurité réussis
Tom B.Lemon
Programmes d'incitation à la sécurité
Gérald JS Wilde
Promotion de la sécurité
Thomas W.Planek
Étude de cas : Campagnes de santé et de sécurité au travail au niveau national en Inde
KC Gupta
Cliquez sur un lien ci-dessous pour afficher le tableau dans le contexte de l'article.
1. Modèles OBM vs. TQM de motivation des employés
2. Usines indiennes : emploi et accidents
Pointez sur une vignette pour voir la légende de la figure, cliquez pour voir la figure dans le contexte de l'article.
Cet article examine le rôle des facteurs humains dans le processus de causalité des accidents et passe en revue les diverses mesures préventives (et leur efficacité) par lesquelles l'erreur humaine peut être contrôlée, et leur application au modèle de causalité des accidents. L'erreur humaine est une cause contributive importante dans au moins 90% de tous les accidents industriels. Alors que des erreurs purement techniques et des circonstances physiques incontrôlables peuvent également contribuer à la causalité des accidents, l'erreur humaine est la principale source d'échec. La sophistication et la fiabilité accrues des machines signifient que la proportion des causes d'accidents attribuées à l'erreur humaine augmente à mesure que le nombre absolu d'accidents diminue. L'erreur humaine est également la cause de bon nombre de ces incidents qui, bien qu'ils n'entraînent pas de blessures ou de décès, entraînent néanmoins des dommages économiques considérables pour une entreprise. A ce titre, il représente une cible majeure de prévention, et il prendra de plus en plus d'importance. Pour des systèmes de gestion de la sécurité et des programmes d'identification des risques efficaces, il est important de pouvoir identifier efficacement la composante humaine grâce à l'utilisation d'une analyse générale des types de défaillance.
La nature de l'erreur humaine
L'erreur humaine peut être considérée comme l'incapacité d'atteindre un objectif de la manière prévue, que ce soit d'un point de vue local ou plus large, en raison d'un comportement involontaire ou intentionnel. Ces actions planifiées peuvent ne pas atteindre les résultats souhaités pour les quatre raisons suivantes :
1. Comportement involontaire :
2. Comportement intentionnel :
Les déviations peuvent être divisées en trois classes : les erreurs basées sur les compétences, les règles et les connaissances.
Dans certaines situations, le terme limite humaine serait plus approprié que l'erreur humaine. Il y a aussi des limites à la capacité de prévoir le comportement futur des systèmes complexes (Gleick 1987 ; Casti 1990).
Le modèle de Reason et Embrey, le système générique de modélisation des erreurs (GEMS) (Reason 1990), prend en compte les mécanismes de correction des erreurs aux niveaux des compétences, des règles et des connaissances. Une hypothèse de base de GEMS est que le comportement au jour le jour implique un comportement de routine. Le comportement de routine est vérifié régulièrement, mais entre ces boucles de rétroaction, le comportement est complètement automatique. Étant donné que le comportement est basé sur les compétences, les erreurs sont des glissades. Lorsque les commentaires montrent un écart par rapport à l'objectif souhaité, une correction basée sur des règles est appliquée. Le problème est diagnostiqué sur la base des symptômes disponibles et une règle de correction est automatiquement appliquée lorsque la situation est diagnostiquée. Lorsque la mauvaise règle est appliquée, il y a erreur.
Lorsque la situation est totalement inconnue, des règles basées sur la connaissance sont appliquées. Les symptômes sont examinés à la lumière des connaissances sur le système et ses composants. Cette analyse peut conduire à une solution possible dont la mise en œuvre constitue un cas de comportement basé sur la connaissance. (Il est également possible que le problème ne puisse pas être résolu d'une manière donnée et que d'autres règles basées sur la connaissance doivent être appliquées.) Toutes les erreurs à ce niveau sont des erreurs. Des violations sont commises lorsqu'une certaine règle est appliquée et que l'on sait qu'elle est inappropriée : la pensée du travailleur peut être que l'application d'une règle alternative prendra moins de temps ou est peut-être plus adaptée à la situation actuelle, probablement exceptionnelle. La classe de violations la plus malveillante implique le sabotage, un sujet qui n'entre pas dans le cadre de cet article. Lorsque les organisations tentent d'éliminer l'erreur humaine, elles doivent tenir compte du fait que les erreurs se situent au niveau des compétences, des règles ou des connaissances, car chaque niveau nécessite ses propres techniques (Groeneweg 1996).
Influencer le comportement humain : un aperçu
Un commentaire souvent fait à propos d'un accident particulier est : « Peut-être que la personne ne s'en est pas rendu compte à ce moment-là, mais si elle n'avait pas agi d'une certaine manière, l'accident ne se serait pas produit. Une grande partie de la prévention des accidents vise à influencer la partie cruciale du comportement humain à laquelle fait allusion cette remarque. Dans de nombreux systèmes de gestion de la sécurité, les solutions et les politiques proposées visent à influencer directement le comportement humain. Cependant, il est très rare que les organisations évaluent l'efficacité réelle de ces méthodes. Les psychologues ont beaucoup réfléchi à la meilleure façon d'influencer le comportement humain. À cet égard, les six façons suivantes d'exercer un contrôle sur l'erreur humaine seront présentées et une évaluation sera effectuée de l'efficacité relative de ces méthodes dans le contrôle du comportement humain à long terme (Wagenaar 1992). (Voir tableau 1.)
Tableau 1. Six moyens d'induire un comportement sûr et évaluation de leur rapport coût-efficacité
No. |
Façon d'influencer |
Prix |
Effet à long terme |
Évaluation |
1 |
N'incitez pas à un comportement sécuritaire, |
Haute |
Faible |
Mauvais |
2 |
Dites aux personnes concernées quoi faire. |
Faible |
Faible |
Moyenne |
3 |
Récompenser et punir. |
Moyenne |
Moyenne |
Moyenne |
4 |
Augmenter la motivation et la sensibilisation. |
Moyenne |
Faible |
Mauvais |
5 |
Sélectionner du personnel formé. |
Haute |
Moyenne |
Moyenne |
6 |
Changez l'environnement. |
Haute |
Haute |
Bon |
N'essayez pas d'induire un comportement sûr, mais rendez le système "infaillible"
La première option est de ne rien faire pour influencer le comportement des gens, mais de concevoir le lieu de travail de telle manière que quoi que fasse l'employé, cela n'entraînera aucun résultat indésirable. Force est de constater que grâce à l'influence de la robotique et de l'ergonomie, les concepteurs ont considérablement amélioré la convivialité des équipements de travail. Cependant, il est presque impossible d'anticiper tous les différents types de comportement que les gens peuvent manifester. En outre, les travailleurs considèrent souvent les conceptions dites infaillibles comme un défi pour « battre le système ». Enfin, comme les concepteurs sont eux-mêmes des êtres humains, même un équipement conçu avec le plus grand soin peut présenter des défauts (par exemple, Petroski 1992). L'avantage supplémentaire de cette approche par rapport aux niveaux de danger existants est marginal et, dans tous les cas, les coûts initiaux de conception et d'installation peuvent augmenter de façon exponentielle.
Dire aux personnes concernées quoi faire
Une autre option consiste à instruire tous les travailleurs sur chaque activité afin de placer leur comportement entièrement sous le contrôle de la direction. Cela nécessitera un inventaire des tâches et un système de contrôle des instructions étendus et peu pratiques. Comme tous les comportements sont désautomatisés, cela éliminera dans une large mesure les dérapages et les défaillances jusqu'à ce que les instructions fassent partie de la routine et que l'effet s'estompe.
Cela n'aide pas beaucoup de dire aux gens que ce qu'ils font est dangereux - la plupart des gens le savent très bien - parce qu'ils feront leurs propres choix concernant le risque, quelles que soient les tentatives pour les persuader du contraire. Leur motivation à le faire sera de faciliter leur travail, de gagner du temps, de défier l'autorité et peut-être d'améliorer leurs propres perspectives de carrière ou de réclamer une récompense financière. La formation des personnes est relativement bon marché et la plupart des organisations organisent des sessions de formation avant le début d'un travail. Mais au-delà d'un tel système d'instruction, l'efficacité de cette approche est jugée faible.
Récompenser et punir
Bien que les programmes de récompenses et de punitions soient des moyens puissants et très populaires pour contrôler le comportement humain, ils ne sont pas sans problèmes. La récompense ne fonctionne mieux que si le destinataire perçoit la récompense comme ayant de la valeur au moment de la réception. Punir un comportement qui échappe au contrôle d'un employé (un lapsus) ne sera pas efficace. Par exemple, il est plus rentable d'améliorer la sécurité routière en modifiant les conditions sous-jacentes au comportement routier que par des campagnes publiques ou des programmes de sanctions et de récompenses. Même une augmentation des chances d'être « attrapé » ne changera pas nécessairement le comportement d'une personne, car les occasions de violer une règle sont toujours là, tout comme le défi d'une violation réussie. Si les situations dans lesquelles les gens travaillent invitent à ce type de violation, les gens choisiront automatiquement le comportement indésirable, quelle que soit la manière dont ils sont punis ou récompensés. L'efficacité de cette approche est jugée de qualité moyenne, car elle est généralement d'efficacité à court terme.
Augmenter la motivation et la sensibilisation
Parfois, on croit que les gens causent des accidents parce qu'ils manquent de motivation ou qu'ils ne sont pas conscients du danger. Cette hypothèse est fausse, comme l'ont montré des études (par exemple, Wagenaar et Groeneweg 1987). De plus, même si les travailleurs sont capables de bien juger du danger, ils n'agissent pas nécessairement en conséquence (Kruysse 1993). Les accidents arrivent même aux personnes les plus motivées et les plus sensibilisées à la sécurité. Il existe des méthodes efficaces pour améliorer la motivation et la prise de conscience qui sont discutées ci-dessous sous « Changer l'environnement ». Cette option est délicate : contrairement à la difficulté de motiver davantage les gens, il est presque trop facile de démotiver les employés dans la mesure où même le sabotage est envisagé.
Les effets des programmes d'amélioration de la motivation ne sont positifs que lorsqu'ils sont associés à des techniques de modification du comportement telles que la participation des employés.
Sélectionner du personnel formé
La première réaction à un accident est souvent que les personnes impliquées doivent avoir été incompétentes. Avec le recul, les scénarios d'accidents apparaissent simples et facilement évitables à une personne suffisamment intelligente et correctement formée, mais cette apparence est trompeuse : en réalité, les employés impliqués ne pouvaient pas prévoir l'accident. Par conséquent, une meilleure formation et une meilleure sélection n'auront pas l'effet souhaitable. Un niveau de formation de base est cependant une condition préalable à la sécurité des opérations. La tendance dans certaines industries à remplacer le personnel expérimenté par des personnes inexpérimentées et insuffisamment formées doit être découragée, car des situations de plus en plus complexes nécessitent une réflexion fondée sur des règles et des connaissances qui nécessite un niveau d'expérience que ce personnel à moindre coût ne possède souvent pas.
Un effet secondaire négatif d'instruire très bien les gens et de ne sélectionner que les personnes les mieux classées est que le comportement peut devenir automatique et que des dérapages se produisent. La sélection est chère, alors que l'effet n'est pas plus que moyen.
Changer d'environnement
La plupart des comportements surviennent en réaction à des facteurs de l'environnement de travail : horaires de travail, plans et attentes et exigences de la direction. Un changement dans l'environnement entraîne un comportement différent. Avant de pouvoir modifier efficacement l'environnement de travail, plusieurs problèmes doivent être résolus. Tout d'abord, les facteurs environnementaux qui causent le comportement indésirable doivent être identifiés. Deuxièmement, ces facteurs doivent être contrôlés. Troisièmement, la direction doit autoriser la discussion sur son rôle dans la création d'un environnement de travail défavorable.
Il est plus pratique d'influencer le comportement en créant un environnement de travail approprié. Les problèmes qui doivent être résolus avant que cette solution puisse être mise en pratique sont (1) qu'il faut savoir quels facteurs environnementaux provoquent le comportement indésirable, (2) que ces facteurs doivent être contrôlés et (3) que les décisions de gestion antérieures doivent être considéré (Wagenaar 1992; Groeneweg 1996). Toutes ces conditions peuvent en effet être remplies, comme on le verra dans la suite de cet article. L'efficacité de la modification du comportement peut être élevée, même si un changement d'environnement peut être assez coûteux.
Le modèle de causalité des accidents
Afin de mieux comprendre les parties contrôlables du processus de causalité des accidents, il est nécessaire de comprendre les boucles de rétroaction possibles dans un système d'information sur la sécurité. La figure 1 présente la structure complète d'un système d'information sur la sécurité qui peut constituer la base du contrôle managérial de l'erreur humaine. Il s'agit d'une version adaptée du système présenté par Reason et al. (1989).
Figure 1. Un système d'information sur la sécurité
Investigation d'accident
Lorsque des accidents font l'objet d'une enquête, des rapports substantiels sont produits et les décideurs reçoivent des informations sur la composante d'erreur humaine de l'accident. Heureusement, cela devient de plus en plus obsolète dans de nombreuses entreprises. Il est plus efficace d'analyser les « perturbations opérationnelles » qui précèdent les accidents et incidents. Si un accident est décrit comme une perturbation opérationnelle suivie de ses conséquences, alors glisser de la route est une perturbation opérationnelle et être tué parce que le conducteur n'a pas porté sa ceinture de sécurité est un accident. Des barrières peuvent avoir été placées entre la perturbation opérationnelle et l'accident, mais elles ont échoué ou ont été franchies ou contournées.
Audit des actes dangereux
Un acte fautif commis par un salarié est appelé dans cet article un « acte anormal » et non un « acte dangereux » : la notion de « dangereux » semble limiter l'applicabilité du terme à la sécurité, alors qu'elle peut aussi s'appliquer, par exemple, aux problèmes environnementaux. Des actes non conformes aux normes sont parfois enregistrés, mais des informations détaillées sur les dérapages, les erreurs et les violations commis et sur les raisons pour lesquelles ils ont été commis ne sont presque jamais transmises aux niveaux supérieurs de gestion.
Enquêter sur l'état d'esprit de l'employé
Avant qu'un acte indigne ne soit commis, la personne impliquée était dans un certain état d'esprit. Si ces précurseurs psychologiques, comme être dans un état de hâte ou se sentir triste, pouvaient être contrôlés de manière adéquate, les gens ne se retrouveraient pas dans un état d'esprit dans lequel ils commettraient un acte non conforme aux normes. Étant donné que ces états d'esprit ne peuvent pas être contrôlés efficacement, ces précurseurs sont considérés comme des matériaux « boîte noire » (figure 1).
Types de pannes générales
La case GFT (General Failure Type) de la figure 1 représente les mécanismes générateurs d'un accident, c'est-à-dire les causes des actes et situations anormaux. Parce que ces actes inadmissibles ne peuvent pas être contrôlés directement, il est nécessaire de changer l'environnement de travail. L'environnement de travail est déterminé par 11 de ces mécanismes (tableau 2). (Aux Pays-Bas, l'abréviation GFT existe déjà dans un contexte complètement différent et concerne l'élimination écologiquement rationnelle des déchets, et pour éviter toute confusion, un autre terme est utilisé : facteurs de risque de base (BRF) (Roggeveen 1994).)
Tableau 2. Types de défaillance généraux et leurs définitions
Défaillances générales |
Définitions |
1. Conception (DE) |
Défaillances dues à une mauvaise conception de l'ensemble de l'usine ainsi qu'à des |
2. Matériel (HW) |
Défaillances dues au mauvais état ou à l'indisponibilité des équipements et outillages |
3. Procédures (RP) |
Les défaillances dues à la mauvaise qualité des modes opératoires avec |
4. Application des erreurs |
Les défaillances dues à la mauvaise qualité de l'environnement de travail, avec |
5. Entretien ménager (HK) |
Les pannes dues à un mauvais entretien |
6. Formation (TR) |
Échecs dus à une formation inadéquate ou à une expérience insuffisante |
7. Objectifs incompatibles (IG) |
Les défaillances dues à la mauvaise sécurité et au bien-être interne sont |
8. Communication (OC) |
Échecs dus à une mauvaise qualité ou à l'absence de lignes de communication |
9. Organisation (OU) |
Échecs dus à la manière dont le projet est géré |
10. Entretien |
Défaillances dues à la mauvaise qualité des procédures de maintenance |
11. Défenses (DF) |
Défaillances dues à la mauvaise qualité de la protection contre les |
La case GFT est précédée d'une case « décideur », car ces personnes déterminent en grande partie la bonne gestion d'une GFT. Il incombe à la direction de contrôler l'environnement de travail en gérant les 11 GFT, contrôlant ainsi indirectement l'apparition d'erreurs humaines.
Tous ces GFT peuvent contribuer aux accidents de manière subtile en permettant des combinaisons indésirables de situations et d'actions, en augmentant le risque que certaines personnes commettent des actes anormaux et en ne fournissant pas les moyens d'interrompre des séquences accidentelles déjà en cours.
Deux GFT nécessitent des explications supplémentaires : la gestion de la maintenance et les défenses.
Gestion de la maintenance (MM)
La gestion de la maintenance étant une combinaison de facteurs que l'on retrouve dans d'autres GFT, il ne s'agit pas à proprement parler d'une GFT distincte : ce type de gestion n'est pas fondamentalement différent des autres fonctions de gestion. Il peut être traité comme une question distincte parce que la maintenance joue un rôle important dans de nombreux scénarios d'accident et parce que la plupart des organisations ont une fonction de maintenance distincte.
Défenses (DF)
La catégorie des défenses n'est pas non plus une véritable GFT, car elle n'est pas liée au processus de causalité de l'accident lui-même. Ce GFT est lié à ce qui se passe après une perturbation opérationnelle. Il ne génère pas d'états d'esprit psychologiques ni d'actes inférieurs aux normes par lui-même. C'est une réaction qui fait suite à une défaillance due à l'action d'un ou plusieurs GFT. S'il est vrai qu'un système de gestion de la sécurité devrait se concentrer sur les parties contrôlables de la chaîne de causalité des accidents before ne le comptant pas après l'incident indésirable, néanmoins la notion de défenses peut être utilisée pour décrire l'efficacité perçue des barrières de sécurité après qu'une perturbation s'est produite et pour montrer comment elles n'ont pas réussi à prévenir l'accident réel.
Les managers ont besoin d'une structure qui leur permette de relier les problèmes identifiés aux actions préventives. Des mesures prises au niveau des barrières de sécurité ou des actes dérogatoires sont encore nécessaires, bien que ces mesures ne puissent jamais être complètement couronnées de succès. Faire confiance aux obstacles de « dernière ligne », c'est faire confiance à des facteurs qui échappent dans une large mesure au contrôle de la direction. La direction ne doit pas tenter de gérer de tels périphériques externes incontrôlables, mais doit plutôt essayer de rendre leurs organisations intrinsèquement plus sûres à tous les niveaux.
Mesurer le niveau de contrôle sur l'erreur humaine
S'assurer de la présence des GFT dans une organisation permettra aux enquêteurs d'accidents d'identifier les points faibles et les points forts de l'organisation. Compte tenu de ces connaissances, on peut analyser les accidents et éliminer ou atténuer leurs causes et identifier les faiblesses structurelles au sein d'une entreprise et les corriger avant qu'elles ne contribuent en fait à un accident.
Investigation d'accident
La tâche d'un analyste d'accident est d'identifier les facteurs contributifs et de les catégoriser. Le nombre de fois qu'un facteur contributif est identifié et catégorisé en termes de GFT indique dans quelle mesure ce GFT est présent. Cela se fait souvent au moyen d'une liste de contrôle ou d'un programme d'analyse informatique.
Il est possible et souhaitable de combiner des profils de types d'accidents différents mais similaires. Les conclusions fondées sur une accumulation d'enquêtes sur les accidents dans un laps de temps relativement court sont beaucoup plus fiables que celles tirées d'une étude dans laquelle le profil d'accident est fondé sur un seul événement. Un exemple d'un tel profil combiné est présenté à la figure 2, qui montre des données relatives à quatre occurrences d'un type d'accident.
Figure 2. Profil d'un type d'accident
Certains des GFT - conception, procédures et objectifs incompatibles - obtiennent constamment des scores élevés dans les quatre accidents particuliers. Cela signifie que dans chaque accident, des facteurs liés à ces GFT ont été identifiés. En ce qui concerne le profil de l'accident 1, la conception pose problème. L'entretien ménager, bien qu'un problème majeur dans l'accident 1, n'est qu'un problème mineur si plus que le premier accident est analysé. Il est suggéré qu'une dizaine de types d'accidents similaires soient investigués et regroupés dans un profil avant que des mesures correctives d'envergure et éventuellement coûteuses ne soient prises. De cette façon, l'identification des facteurs contributifs et la catégorisation ultérieure de ces facteurs peuvent être effectuées de manière très fiable (Van der Schrier, Groeneweg et van Amerongen 1994).
Identifier les GFT au sein d'une organisation de manière proactive
Il est possible de quantifier la présence de GFT de manière proactive, indépendamment de la survenance d'accidents ou d'incidents. Cela se fait en recherchant des indicateurs de la présence de ce GFT. L'indicateur utilisé à cette fin est la réponse à une simple question oui ou non. Si la réponse n'est pas souhaitée, cela indique que quelque chose ne fonctionne pas correctement. Un exemple de question indicatrice est : "Au cours des trois derniers mois, êtes-vous allé à une réunion qui s'est avérée annulée ?" Si l'employé répond à la question par l'affirmative, cela ne signifie pas nécessairement un danger, mais cela indique une déficience dans l'un des GFT, la communication. Cependant, si suffisamment de questions qui testent un GFT donné reçoivent une réponse d'une manière qui indique une tendance indésirable, cela signale à la direction qu'elle n'a pas un contrôle suffisant sur ce GFT.
Pour construire un profil de sécurité du système (SSP), il faut répondre à 20 questions pour chacun des 11 GFT. Chaque GFT se voit attribuer un score allant de 0 (faible niveau de contrôle) à 100 (niveau élevé de contrôle). Le score est calculé par rapport à la moyenne de l'industrie dans une certaine zone géographique. Un exemple de cette procédure de notation est présenté dans l'encadré.
Les indicateurs sont tirés pseudo-aléatoirement d'une base de données de quelques centaines de questions. Aucune des deux listes de contrôle suivantes n'a de questions en commun, et les questions sont rédigées de manière à couvrir chaque aspect de la GFT. Un matériel défaillant peut, par exemple, résulter soit d'un équipement absent, soit d'un équipement défectueux. Les deux aspects doivent être couverts dans la liste de contrôle. Les distributions de réponses de toutes les questions sont connues et les listes de contrôle sont équilibrées pour une difficulté égale.
Il est possible de comparer les scores obtenus avec différentes listes de contrôle, ainsi que ceux obtenus pour différentes organisations ou départements ou les mêmes unités sur une période de temps. Des tests de validation approfondis ont été effectués pour s'assurer que toutes les questions de la base de données sont valides et qu'elles sont toutes indicatives du GFT à mesurer. Des scores plus élevés indiquent un niveau de contrôle plus élevé - c'est-à-dire que plus de questions ont été répondues de la manière « souhaitée ». Un score de 70 indique que cette organisation est classée parmi les 30 meilleures (c'est-à-dire 100 moins 70) d'organisations comparables dans ce type d'industrie. Bien qu'un score de 100 ne signifie pas nécessairement que cette organisation a un contrôle total sur un GFT, cela signifie qu'en ce qui concerne ce GFT, l'organisation est la meilleure de l'industrie.
Un exemple de SSP est illustré à la figure 3. Les points faibles de l'organisation 1, illustrés par les barres du graphique, sont les procédures, les objectifs incompatibles et les conditions d'application des erreurs, car ils obtiennent un score inférieur à la moyenne de l'industrie, comme l'indique le noir. zone grise. Les notes sur l'entretien ménager, le matériel et les défenses sont très bonnes dans l'organisation 1. En surface, cette organisation bien équipée et bien rangée avec tous les dispositifs de sécurité en place semble être un lieu de travail sûr. L'organisation 2 obtient un score exactement à la moyenne de l'industrie. Il n'y a pas de lacunes majeures, et bien que les scores sur le matériel, l'entretien ménager et les défenses soient inférieurs, cette entreprise gère (en moyenne) la composante d'erreur humaine dans les accidents mieux que l'organisation 1. Selon le modèle de causalité des accidents, l'organisation 2 est plus sûre que Organisation 1, bien que cela ne ressorte pas nécessairement en comparant les organisations dans les audits "traditionnels".
Figure 3. Exemple de profil de sécurité du système
Si ces organisations devaient décider où allouer leurs ressources limitées, les quatre domaines avec des GFT inférieurs à la moyenne auraient la priorité. Cependant, on ne peut pas conclure que, puisque les autres scores GFT sont si favorables, des ressources peuvent être retirées en toute sécurité de leur entretien, puisque ce sont ces ressources qui les ont très probablement maintenues à un niveau aussi élevé en premier lieu.
Conclusions
Cet article a abordé le sujet de l'erreur humaine et de la prévention des accidents. L'aperçu de la littérature concernant le contrôle de la composante d'erreur humaine dans les accidents a fourni un ensemble de six façons par lesquelles on peut essayer d'influencer le comportement. Une seule, restructurer l'environnement ou modifier les comportements afin de réduire le nombre de situations dans lesquelles les personnes sont susceptibles de commettre une erreur, a un effet raisonnablement favorable dans une organisation industrielle bien développée où de nombreuses autres tentatives ont déjà été faites. Il faudra du courage de la part de la direction pour reconnaître que ces situations défavorables existent et mobiliser les ressources nécessaires pour opérer un changement dans l'entreprise. Les cinq autres options ne représentent pas des alternatives utiles, car elles auront peu ou pas d'effet et seront assez coûteuses.
« Maîtriser le contrôlable » est le principe clé qui sous-tend l'approche présentée dans cet article. Les GFT doivent être découverts, attaqués et éliminés. Les 11 GFT sont des mécanismes qui se sont avérés faire partie du processus de causalité des accidents. Dix d'entre eux visent à prévenir les perturbations de fonctionnement et un (les défenses) vise à empêcher que la perturbation de fonctionnement ne se transforme en accident. L'élimination de l'impact des GFT a une incidence directe sur la réduction des causes contributives d'accidents. Les questions des check-lists visent à mesurer « l'état de santé » d'un GFT donné, tant d'un point de vue général que sécuritaire. La sécurité est considérée comme faisant partie intégrante des opérations normales : faire le travail comme il se doit. Ce point de vue est conforme aux récentes approches de gestion « axées sur la qualité ». La disponibilité des politiques, procédures et outils de gestion n'est pas la préoccupation première de la gestion de la sécurité : la question est plutôt de savoir si ces méthodes sont effectivement utilisées, comprises et respectées.
L'approche décrite dans cet article se concentre sur les facteurs systémiques et la manière dont les décisions de gestion peuvent se traduire par des conditions dangereuses sur le lieu de travail, contrairement à la croyance conventionnelle selon laquelle l'attention devrait être dirigée vers les travailleurs individuels qui accomplissent des actes dangereux, leurs attitudes, motivations et perceptions du risque.
Une indication du niveau de contrôle de votre organisation sur la « communication » GFT
Dans cet encadré, une liste de 20 questions est présentée. Les questions de cette liste ont été répondues par les employés de plus de 250 organisations en Europe occidentale. Ces organisations opéraient dans différents domaines, allant des entreprises chimiques aux raffineries et aux entreprises de construction. Normalement, ces questions seraient faites sur mesure pour chaque branche. Cette liste sert d'exemple uniquement pour montrer comment l'outil fonctionne pour l'un des GFT. Seules ont été sélectionnées les questions qui se sont avérées si « générales » qu'elles sont applicables dans au moins 80 % des industries.
Dans la « vraie vie », les employés n'auraient pas seulement à répondre aux questions (de manière anonyme), ils devraient également motiver leurs réponses. Il ne suffit pas de répondre « Oui » sur, par exemple, l'indicateur « Avez-vous dû travailler au cours des 4 dernières semaines avec une procédure obsolète ? L'employé devra indiquer de quelle procédure il s'agit et dans quelles conditions elle doit être appliquée. Cette motivation sert deux objectifs : elle augmente la fiabilité des réponses et elle fournit à la direction des informations sur lesquelles elle peut agir.
La prudence est également de mise lors de l'interprétation du score centile : dans une mesure réelle, chaque organisation serait comparée à un échantillon représentatif d'organisations liées à la branche pour chacun des 11 GFT. La distribution des centiles date de mai 1995 et cette distribution change légèrement avec le temps.
Comment mesurer le "niveau de contrôle"
Répondez aux 20 indicateurs en tenant compte de votre propre situation et faites attention aux limites de temps dans les questions. Certaines des questions pourraient ne pas s'appliquer à votre situation; répondez-y par « na » Il vous sera peut-être impossible de répondre à certaines questions ; répondez-y avec un point d'interrogation "?".
Après avoir répondu à toutes les questions, comparez vos réponses avec les réponses de référence. Vous obtenez un point pour chaque question à réponse "correcte".
Additionnez le nombre de points ensemble. Calculez le pourcentage de questions correctement répondues en divisant le nombre de points par le nombre de questions auxquelles vous avez répondu par « Oui » ou « Non ». Le "na" et le "?" les réponses ne sont pas prises en compte. Le résultat est un pourcentage compris entre 0 et 100.
La mesure peut être rendue plus fiable en ayant plus de personnes répondant aux questions et en faisant la moyenne de leurs scores sur les niveaux ou les fonctions de l'organisation ou de départements comparables.
Vingt questions sur la « Communication » GFT
Réponses possibles aux questions : O = Oui ; N = Non ; na = non applicable ; ? = ne sais pas.
Réponses de référence :
1 = N ; 2 = N ; 3 = N ; 4 = Oui ; 5 = N ; 6 = N ; 7 = N ; 8 = N ; 9 = N ; 10 = N ; 11 = N ; 12 = N ; 13 = Oui ; 14 = N ; 15 = N ; 16 = Oui ; 17 = N; 18 = N ; 19 = Oui ; 20 = N.
Notation GFT « Communication »
Note en pourcentage = (a/b) x 100
De a = non. de questions répondues correctement
De b = non. des questions ont répondu « O » ou « N ».
Ton score % |
Centile |
% |
Égal ou meilleur |
0-10 |
0-1 |
100 |
99 |
11-20 |
2-6 |
98 |
94 |
21-30 |
7-14 |
93 |
86 |
31-40 |
15-22 |
85 |
78 |
41-50 |
23-50 |
79 |
50 |
51-60 |
51-69 |
49 |
31 |
61-70 |
70-85 |
30 |
15 |
71-80 |
86-97 |
14 |
3 |
81-90 |
98-99 |
2 |
1 |
91-100 |
99-100 |
Cet article traite des risques "machines", ceux qui sont spécifiques aux équipements et matériels utilisés dans les processus industriels associés aux appareils sous pression, aux équipements de traitement, aux machines puissantes et autres opérations intrinsèquement risquées. Cet article ne traite pas des risques pour les travailleurs, qui impliquent les actions et le comportement des individus, tels que les glissades sur les surfaces de travail, les chutes d'élévations et les risques liés à l'utilisation d'outils ordinaires. Cet article porte sur les risques liés aux machines, caractéristiques d'un environnement de travail industriel. Ces dangers menaçant toutes les personnes présentes et pouvant même constituer une menace pour le voisinage et l'environnement extérieur, les méthodes d'analyse et les moyens de prévention et de contrôle sont similaires aux méthodes utilisées pour faire face aux risques pour l'environnement liés aux activités industrielles.
Risques liés aux machines
Un matériel de bonne qualité est très fiable et la plupart des pannes sont causées par des effets secondaires comme le feu, la corrosion, une mauvaise utilisation, etc. Néanmoins, le matériel peut être mis en évidence dans certains accidents, car un composant matériel défaillant est souvent le maillon le plus visible ou le plus visible de la chaîne d'événements. Bien que le terme matériel est utilisé au sens large, des exemples illustratifs de défaillances matérielles et de leur « environnement » immédiat dans la cause des accidents ont été tirés de lieux de travail industriels. Les candidats typiques pour l'investigation des dangers de la "machine" incluent, mais sans s'y limiter, les éléments suivants :
Effets de l'énergie
Les risques matériels peuvent inclure une mauvaise utilisation, des erreurs de construction ou une surcharge fréquente, et par conséquent leur analyse et leur atténuation ou leur prévention peuvent suivre des directions assez différentes. Cependant, les formes d'énergie physiques et chimiques qui échappent au contrôle humain existent souvent au cœur des risques matériels. Par conséquent, une méthode très générale pour identifier les risques matériels consiste à rechercher les énergies qui sont normalement contrôlées avec l'équipement ou la machine, comme un récipient sous pression contenant de l'ammoniac ou du chlore. D'autres méthodes utilisent l'objectif ou la fonction prévue du matériel réel comme point de départ, puis recherchent les effets probables des dysfonctionnements et des pannes. Par exemple, un pont ne remplissant pas sa fonction première exposera les sujets se trouvant sur le pont au risque de tomber ; les autres effets de l'effondrement d'un pont seront les effets secondaires de la chute d'éléments, soit des parties structurelles du pont, soit des objets situés sur le pont. Plus loin dans la chaîne des conséquences, il peut y avoir des effets dérivés liés aux fonctions dans d'autres parties du système qui dépendaient du bon fonctionnement du pont, comme l'interruption de la circulation des véhicules d'intervention d'urgence à un autre incident.
Outre les concepts d'"énergie contrôlée" et de "fonction prévue", les substances dangereuses doivent être abordées en posant des questions telles que : "Comment l'agent X pourrait-il être libéré des navires, des réservoirs ou des systèmes de canalisations et comment l'agent Y pourrait-il être produit ?" (l'un ou l'autre ou les deux peuvent être dangereux). L'agent X peut être un gaz sous pression ou un solvant, et l'agent Y peut être une dioxine extrêmement toxique dont la formation est favorisée par les "bonnes" températures de certains processus chimiques, ou il peut être produit par une oxydation rapide, à la suite d'un incendie. . Cependant, les dangers possibles représentent bien plus que les risques liés aux substances dangereuses. Des conditions ou des influences peuvent exister qui permettent à la présence d'un élément matériel particulier d'avoir des conséquences néfastes pour l'homme.
Environnement de travail industriel
Les risques liés aux machines impliquent également des facteurs de charge ou de stress qui peuvent être dangereux à long terme, tels que :
Ces dangers peuvent être reconnus et des précautions prises parce que les conditions dangereuses sont déjà là. Ils ne dépendent pas d'un changement structurel dans le matériel pour se produire et produire un résultat nuisible, ou d'un événement spécial pour causer des dommages ou des blessures. Les dangers à long terme ont également des sources spécifiques dans l'environnement de travail, mais ils doivent être identifiés et évalués en observant les travailleurs et les emplois, au lieu de simplement analyser la construction et les fonctions du matériel.
Matériel dangereux ou risques liés aux machines sont généralement exceptionnels et plutôt rares dans un environnement de travail sain, mais ne peuvent être complètement évités. Plusieurs types d'énergie non contrôlée, tels que les agents de risque suivants, peut être la conséquence immédiate d'un dysfonctionnement matériel :
Agents de risque
Objets en mouvement. Les chutes et les vols d'objets, les écoulements de liquide et les jets de liquide ou de vapeur, tels que répertoriés, sont souvent les premières conséquences externes d'une défaillance matérielle ou d'équipement, et ils représentent une grande partie des accidents.
Substances chimiques. Les risques chimiques contribuent également aux accidents du travail et affectent l'environnement et le public. Les accidents de Seveso et de Bhopal ont entraîné des rejets de produits chimiques qui ont touché de nombreux membres du public, et de nombreux incendies et explosions industriels libèrent des produits chimiques et des fumées dans l'atmosphère. Les accidents de la circulation impliquant des camions de livraison d'essence ou de produits chimiques ou d'autres transports de marchandises dangereuses associent deux agents de risque - les objets en mouvement et les substances chimiques.
L'énergie électromagnétique. Les champs électriques et magnétiques, les rayons X et les rayons gamma sont tous des manifestations de l'électromagnétisme, mais sont souvent traités séparément car ils se produisent dans des circonstances assez différentes. Cependant, les dangers de l'électromagnétisme présentent certains traits généraux : les champs et les rayonnements pénètrent dans le corps humain au lieu de simplement entrer en contact avec la zone d'application, et ils ne peuvent pas être détectés directement, bien que de très grandes intensités provoquent un échauffement des parties du corps affectées. Les champs magnétiques sont créés par la circulation du courant électrique et des champs magnétiques intenses se trouvent à proximité de gros moteurs électriques, d'équipements de soudage à l'arc électrique, d'appareils d'électrolyse, de métallurgie, etc. Les champs électriques accompagnent la tension électrique, et même les tensions de secteur ordinaires de 200 à 300 volts provoquent l'accumulation de saleté pendant plusieurs années, signe visible de l'existence du champ, effet également connu en relation avec les lignes électriques à haute tension, les tubes image TV , écrans d'ordinateur et ainsi de suite.
Les champs électromagnétiques se trouvent généralement assez près de leurs sources, mais les champs électromagnétiques radiation est un voyageur au long cours, comme en témoignent les radars et les ondes radio. Le rayonnement électromagnétique est diffusé, réfléchi et amorti lorsqu'il traverse l'espace et rencontre des objets intermédiaires, des surfaces, différentes substances et atmosphères, etc. son intensité est donc réduite de plusieurs manières.
Le caractère général des sources de danger électromagnétique (EM) est :
Radiation nucléaire. Les risques associés aux rayonnements nucléaires préoccupent particulièrement les travailleurs des centrales nucléaires et des usines travaillant avec des matières nucléaires telles que la fabrication de combustible et le retraitement, le transport et le stockage de matières radioactives. Les sources de rayonnement nucléaire sont également utilisées en médecine et par certaines industries pour la mesure et le contrôle. L'une des utilisations les plus courantes concerne les alarmes incendie/détecteurs de fumée, qui utilisent un émetteur de particules alpha comme l'américium pour surveiller l'atmosphère.
Les risques nucléaires sont principalement centrés sur cinq facteurs :
Les dangers proviennent de la radioactif processus de fission nucléaire et de désintégration de matières radioactives. Ce type de rayonnement est émis par les processus du réacteur, le combustible du réacteur, les matériaux du modérateur du réacteur, les produits de fission gazeux qui peuvent être développés et certains matériaux de construction qui deviennent activés par l'exposition aux émissions radioactives résultant du fonctionnement du réacteur.
Autres agents de risque. Les autres classes d'agents de risque qui libèrent ou émettent de l'énergie comprennent :
Déclenchement des aléas matériels
Les deux soudain ainsi que graduel le passage d'un état contrôlé - ou « sûr » à un état présentant un danger accru peut se produire dans les circonstances suivantes, qui peuvent être contrôlées par des moyens organisationnels appropriés tels que l'expérience de l'utilisateur, l'éducation, les compétences, la surveillance et les tests d'équipement :
Étant donné que des opérations appropriées ne peuvent pas compenser de manière fiable une conception et une installation incorrectes, il est important de considérer l'ensemble du processus, de la sélection et de la conception à l'installation, l'utilisation, la maintenance et les tests, afin d'évaluer l'état et les conditions réels de l'élément matériel.
Cas de danger : le réservoir de gaz sous pression
Le gaz peut être contenu dans des récipients appropriés pour le stockage ou le transport, comme les bouteilles de gaz et d'oxygène utilisées par les soudeurs. Souvent, le gaz est manipulé à haute pression, ce qui permet une forte augmentation de la capacité de stockage, mais avec un risque d'accident plus élevé. Le phénomène accidentel clé dans le stockage de gaz sous pression est la création brutale d'un trou dans le réservoir, avec ces résultats :
Le développement d'un tel accident dépend de ces facteurs:
Le contenu du réservoir peut être libéré presque immédiatement ou sur une période de temps, et entraîner différents scénarios, de l'éclatement de gaz libre d'un réservoir rompu à des rejets modérés et plutôt lents à partir de petites perforations.
Le comportement de divers gaz en cas de fuite
Lors du développement de modèles de calcul des rejets, il est très important de déterminer les conditions suivantes affectant le comportement potentiel du système :
Les calculs exacts relatifs à un processus de libération où le gaz liquéfié s'échappe d'un trou sous forme de jet puis s'évapore (ou alternativement, devient d'abord un brouillard de gouttelettes) sont difficiles. La spécification de la dispersion ultérieure des nuages résultants est également un problème difficile. Il faut tenir compte des mouvements et de la dispersion des rejets de gaz, si le gaz forme des nuages visibles ou invisibles et si le gaz monte ou reste au niveau du sol.
Alors que l'hydrogène est un gaz léger par rapport à n'importe quelle atmosphère, le gaz ammoniac (NH3, avec un poids moléculaire de 17.0) s'élèvera dans une atmosphère ordinaire d'oxygène et d'azote, semblable à l'air, à la même température et à la même pression. Chlore (Cl2, avec un poids moléculaire de 70.9) et le butane (C4H10, mol. wt.58) sont des exemples de produits chimiques dont les phases gazeuses sont plus denses que l'air, même à température ambiante. Acétylène (C2H2, mol. poids 26.0) a une densité d'environ 0.90 g/l, se rapprochant de celle de l'air (1.0 g/l), ce qui signifie que dans un environnement de travail, le gaz de soudage qui fuit n'aura pas une tendance prononcée à flotter vers le haut ou à couler vers le bas ; il peut donc se mélanger facilement à l'atmosphère.
Mais l'ammoniac libéré d'un récipient sous pression sous forme liquide va d'abord se refroidir du fait de son évaporation, et peut ensuite s'échapper en plusieurs étapes :
Même un nuage de gaz léger peut ne pas s'élever immédiatement à partir d'un dégagement de gaz liquide ; il peut d'abord former un brouillard - un nuage de gouttelettes - et rester près du sol. Le mouvement du nuage de gaz et son mélange/dilution progressif avec l'atmosphère environnante dépendent des paramètres météorologiques et du milieu environnant : zone fermée, zone ouverte, habitations, circulation, présence du public, des travailleurs, etc.
Échec du réservoir
Les conséquences d'une panne de réservoir peuvent entraîner un incendie et une explosion, une asphyxie, un empoisonnement et un étouffement, comme le montre l'expérience avec les systèmes de production et de traitement de gaz (propane, méthane, azote, hydrogène, etc.), avec les réservoirs d'ammoniac ou de chlore et avec le soudage au gaz ( utilisant de l'acétylène et de l'oxygène). Ce qui déclenche réellement la formation d'un trou dans un réservoir a une forte influence sur le « comportement » du trou - qui à son tour influence la sortie de gaz - et est crucial pour l'efficacité des efforts de prévention. Un récipient sous pression est conçu et construit pour résister à certaines conditions d'utilisation et à l'impact environnemental, et pour manipuler un certain gaz, ou peut-être un choix de gaz. Les capacités réelles d'un réservoir dépendent de sa forme, de ses matériaux, de ses soudures, de sa protection, de son utilisation et de son climat ; par conséquent, l'évaluation de son adéquation en tant que conteneur pour gaz dangereux doit tenir compte des spécifications du concepteur, de l'historique du réservoir, des inspections et des tests. Les zones critiques comprennent les cordons de soudure utilisés sur la plupart des récipients sous pression ; les points où les accessoires tels que les entrées, les sorties, les supports et les instruments sont connectés au navire ; les fonds plats des réservoirs cylindriques comme les réservoirs de chemin de fer ; et d'autres aspects de formes géométriques encore moins optimales.
Les cordons de soudure sont examinés visuellement, par rayons X ou par test destructif d'échantillons, car ceux-ci peuvent révéler des défauts locaux, par exemple, sous la forme d'une résistance réduite qui pourrait mettre en danger la résistance globale du navire, ou même être un point de déclenchement pour réservoir aigu échec.
La résistance du réservoir est affectée par l'historique d'utilisation du réservoir - tout d'abord par les processus d'usure normaux et les attaques de rayures et de corrosion typiques de l'industrie particulière et de l'application. D'autres paramètres historiques d'intérêt particulier comprennent :
Le matériau de construction - tôle d'acier, tôle d'aluminium, béton pour les applications non pressurisées, etc. - peut subir une détérioration sous l'effet de ces influences qu'il n'est pas toujours possible de vérifier sans surcharger ou détruire l'équipement pendant les essais.
Cas d'accident : Flixborough
L'explosion d'un grand nuage de cyclohexane à Flixborough (Royaume-Uni) en 1974, qui a tué 28 personnes et causé d'importants dégâts aux plantes, est un cas très instructif. L'événement déclencheur est la rupture d'une canalisation temporaire servant de substitut dans un bloc réacteur. L'accident a été "causé" par la panne d'une pièce de quincaillerie, mais une enquête plus approfondie a révélé que la panne résultait d'une surcharge et que la construction temporaire était en fait inadéquate pour l'usage auquel elle était destinée. Après deux mois de service, la conduite a été exposée à des efforts de flexion dus à une légère montée en pression de 10 bars (106 Pa) teneur en cyclohexane à environ 150°C. Les deux soufflets entre la conduite et les réacteurs voisins se sont rompus et 30 à 50 tonnes de cyclohexane ont été libérées et bientôt enflammées, probablement par un four à une certaine distance de la fuite. (Voir figure 1.) Un compte rendu très lisible du cas se trouve dans Kletz (1988).
Figure 1. Connexion temporaire entre les réservoirs à Flixborough
Analyse des dangers
Les méthodes qui ont été développées pour trouver les risques qui peuvent être pertinents pour un équipement, un procédé chimique ou une certaine opération sont appelées « analyse des dangers ». Ces méthodes posent des questions telles que : « Qu'est-ce qui peut mal tourner ? » "Est-ce que ça pourrait être grave ?" et "Que peut-on faire à ce sujet?" Différentes méthodes d'exécution des analyses sont souvent combinées pour obtenir une couverture raisonnable, mais aucune de ces méthodes ne peut faire plus que guider ou assister une équipe d'analystes avisés dans leurs déterminations. Les principales difficultés de l'analyse des dangers sont les suivantes :
Pour produire des évaluations de risques utilisables dans ces circonstances, il est important de définir rigoureusement la portée et le niveau « d'ambition » appropriés à l'analyse en cours ; par exemple, il est clair que l'on n'a pas besoin du même type d'informations à des fins d'assurance qu'à des fins de conception, ou pour la planification de systèmes de protection et la construction de dispositifs d'urgence. D'une manière générale, l'image du risque doit être complétée en mélangeant des techniques empiriques (c'est-à-dire des statistiques) avec un raisonnement déductif et une imagination créatrice.
Différents outils d'évaluation des risques - même des programmes informatiques pour l'analyse des risques - peuvent être très utiles. L'étude des dangers et de l'opérabilité (HAZOP) et l'analyse des modes de défaillance et de leurs effets (FMEA) sont des méthodes couramment utilisées pour étudier les dangers, en particulier dans l'industrie chimique. Le point de départ de la méthode HAZOP est le traçage des scénarios de risques possibles sur la base d'un ensemble de mots guides ; pour chaque scénario, il faut identifier les causes et les conséquences probables. Dans une deuxième étape, on cherche à trouver des moyens pour réduire les probabilités ou atténuer les conséquences de ces scénarios jugés inacceptables. Une revue de la méthode HAZOP peut être trouvée dans Charsley (1995). La méthode AMDE pose une série de questions « et si » pour chaque composant de risque possible afin de déterminer de manière approfondie les modes de défaillance pouvant exister, puis d'identifier les effets qu'ils peuvent avoir sur les performances du système ; une telle analyse sera illustrée dans l'exemple de démonstration (pour un système à gaz) présenté plus loin dans cet article.
Arbres de défaillances et les arbres d'événements et les modes d'analyse logique propres aux structures de causalité des accidents et au raisonnement probabiliste ne sont en rien spécifiques à l'analyse des aléas matériels, car ce sont des outils généraux d'évaluation des risques système.
Traçage des dangers matériels dans une installation industrielle
Pour identifier les dangers possibles, des informations sur la construction et la fonction peuvent être recherchées auprès de :
En sélectionnant et en assimilant ces informations, les analystes se forment une image de l'objet à risque lui-même, de ses fonctions et de son utilisation réelle. Là où les choses ne sont pas encore construites - ou indisponibles pour inspection - des observations importantes ne peuvent pas être faites et l'évaluation doit être entièrement basée sur des descriptions, des intentions et des plans. Une telle évaluation peut sembler plutôt médiocre, mais en fait, la plupart des évaluations pratiques des risques sont faites de cette façon, soit afin d'obtenir une approbation faisant autorité pour les demandes d'entreprendre une nouvelle construction, soit pour comparer la sécurité relative des solutions de conception alternatives. Les processus de la vie réelle seront consultés pour les informations qui ne figurent pas sur les diagrammes formels ou qui ne sont pas décrites verbalement lors d'un entretien, et pour vérifier que les informations recueillies à partir de ces sources sont factuelles et représentent les conditions réelles. Il s'agit notamment des éléments suivants :
La plupart de ces informations supplémentaires, en particulier les chemins sournois, ne sont détectables que par des observateurs créatifs et compétents possédant une expérience considérable, et certaines informations seraient presque impossibles à retracer avec des cartes et des diagrammes. Chemins furtifs désignent des interactions involontaires et imprévues entre les systèmes, où le fonctionnement d'un système affecte l'état ou le fonctionnement d'un autre système par d'autres moyens que les fonctionnels. Cela se produit généralement lorsque des pièces fonctionnellement différentes sont situées les unes à côté des autres ou (par exemple) lorsqu'une substance qui fuit s'écoule sur l'équipement situé en dessous et provoque une panne. Un autre mode d'action d'un chemin sournois peut impliquer l'introduction de mauvaises substances ou pièces dans un système au moyen d'instruments ou d'outils pendant le fonctionnement ou la maintenance: les structures prévues et leurs fonctions prévues sont modifiées par les chemins sournois. Par pannes de mode commun l'une signifie que certaines conditions - comme une inondation, la foudre ou une panne de courant - peuvent perturber plusieurs systèmes à la fois, entraînant peut-être des pannes ou des accidents d'une ampleur inattendue. Généralement, on essaie d'éviter les effets de chemin sournois et les défaillances de mode commun grâce à des dispositions appropriées et en introduisant la distance, l'isolation et la diversité dans les opérations de travail.
Un cas d'analyse des risques : livraison de gaz d'un navire à un réservoir
La figure 2 montre un système de livraison de gaz d'un navire de transport à un réservoir de stockage. Une fuite peut apparaître n'importe où dans ce système : navire, ligne de transmission, réservoir ou ligne de sortie ; étant donné les deux réservoirs du réservoir, une fuite quelque part sur la ligne pourrait rester active pendant des heures.
Figure 2. Ligne de transmission pour la livraison de gaz liquide du navire au réservoir de stockage
Les composants les plus critiques du système sont les suivants :
Un réservoir de stockage avec un stock important de gaz liquide est mis en tête de cette liste, car il est difficile d'arrêter une fuite d'un réservoir à court terme. Le deuxième élément de la liste - la connexion au navire - est essentiel car des fuites dans le tuyau ou le tuyau et des connexions ou raccords desserrés avec des joints usés, et des variations entre différents navires, pourraient libérer du produit. Les pièces flexibles comme les tuyaux et les soufflets sont plus critiques que les pièces rigides et nécessitent un entretien et une inspection réguliers. Les dispositifs de sécurité comme la soupape de surpression sur le dessus du réservoir et les deux vannes d'arrêt d'urgence sont essentiels, car ils doivent être utilisés pour révéler des défaillances latentes ou en développement.
Jusqu'à présent, le classement des composants du système quant à leur importance par rapport à la fiabilité n'a été que de nature générale. Maintenant, à des fins d'analyse, l'attention sera attirée sur les fonctions particulières du système, la principale étant bien sûr le mouvement du gaz liquéfié du navire vers le réservoir de stockage jusqu'à ce que le réservoir du navire connecté soit vide. Le danger primordial est une fuite de gaz, les mécanismes contributifs possibles étant l'un ou plusieurs des suivants :
Application de la méthode AMDE
L'idée centrale de l'approche AMDE, ou analyse "et si", est d'enregistrer explicitement, pour chaque composant du système, ses modes de défaillance, et pour chaque défaillance de trouver les conséquences possibles sur le système et sur l'environnement. Pour les composants standard tels qu'un réservoir, un tuyau, une vanne, une pompe, un débitmètre, etc., les modes de défaillance suivent des schémas généraux. Dans le cas d'une vanne, par exemple, les modes de défaillance peuvent inclure les conditions suivantes :
Pour un pipeline, les modes de défaillance prendraient en compte des éléments tels que :
Les effets des fuites semblent évidents, mais parfois les effets les plus importants peuvent ne pas être les premiers effets : que se passe-t-il par exemple, si une vanne est bloquée en position semi-ouverte ? Une vanne tout ou rien dans la conduite de refoulement qui ne s'ouvre pas complètement à la demande retardera le processus de remplissage du réservoir, une conséquence non dangereuse. Mais si la condition "bloqué à moitié ouvert" survient en même temps qu'une demande de fermeture est faite, à un moment où le réservoir est presque plein, un remplissage excessif peut en résulter (à moins que la vanne d'arrêt d'urgence ne soit activée avec succès). Dans un système correctement conçu et exploité, la probabilité que ces deux vannes soient bloquées simultanément sera maintenu assez bas.
De toute évidence, une soupape de sécurité ne fonctionnant pas à la demande pourrait signifier un désastre ; en fait, on pourrait affirmer à juste titre que des défaillances latentes menacent en permanence tous les dispositifs de sécurité. Les soupapes de surpression, par exemple, peuvent être défectueuses en raison de la corrosion, de la saleté ou de la peinture (généralement en raison d'un mauvais entretien), et dans le cas du gaz liquide, de tels défauts, combinés à la baisse de température lors d'une fuite de gaz, pourraient produire de la glace et ainsi réduire ou peut-être arrêter le flux de matière à travers une soupape de sécurité. Si une soupape de surpression ne fonctionne pas à la demande, la pression peut s'accumuler dans un réservoir ou dans des systèmes de réservoirs connectés, provoquant éventuellement d'autres fuites ou la rupture du réservoir.
Pour simplifier, les instruments ne sont pas représentés sur la figure 2 ; il y aura bien sûr des instruments liés à la pression, au débit et à la température, qui sont des paramètres essentiels pour surveiller l'état du système, les signaux pertinents étant transmis aux pupitres opérateurs ou à une salle de contrôle à des fins de contrôle et de surveillance. En outre, il y aura des lignes d'alimentation autres que celles destinées au transport de matériaux - pour l'électricité, l'hydraulique, etc. - et des dispositifs de sécurité supplémentaires. Une analyse complète doit également passer par ces systèmes et rechercher les modes de défaillance et les effets de ces composants également. En particulier, le travail de détective sur les effets de mode commun et les chemins sournois nécessite de construire l'image intégrale des principaux composants du système, des commandes, des instruments, des fournitures, des opérateurs, des horaires de travail, de la maintenance, etc.
Des exemples d'effets de mode commun à prendre en compte dans le cadre des systèmes de gaz sont abordés par des questions telles que :
Même un système parfaitement conçu avec une redondance et des lignes électriques indépendantes peut souffrir d'un entretien inférieur, où, par exemple, une vanne et sa vanne de secours (la vanne d'arrêt d'urgence dans notre cas) ont été laissées dans un mauvais état après un test. Un effet de mode commun prédominant avec un système de traitement de l'ammoniac est la situation de fuite elle-même : une fuite modérée peut rendre toutes les opérations manuelles sur les composants de l'usine plutôt gênantes - et retardées - en raison du déploiement de la protection d'urgence requise.
Résumé
Les composants matériels sont très rarement les coupables du développement d'accidents ; il y a plutôt causes profondes se retrouvent dans d'autres maillons de la chaîne : faux concepts, mauvaises conceptions, erreurs de maintenance, erreurs d'opérateur, erreurs de gestion, etc. Plusieurs exemples de conditions et d'actes spécifiques pouvant conduire au développement d'un échec ont déjà été donnés ; un large éventail de ces agents tiendrait compte des éléments suivants :
Le contrôle des risques matériels dans un environnement de travail nécessite l'examen de toutes les causes possibles et le respect des conditions jugées critiques avec les systèmes réels. Les implications de ceci pour l'organisation des programmes de gestion des risques sont traitées dans d'autres articles, mais, comme la liste précédente l'indique clairement, la surveillance et le contrôle des conditions matérielles peuvent être nécessaires jusqu'au choix des concepts et des conceptions pour le systèmes et processus sélectionnés.
Grâce à l'industrialisation, les travailleurs se sont organisés en usines à mesure que l'utilisation de sources d'énergie telles que la machine à vapeur devenait possible. Par rapport à l'artisanat traditionnel, la production mécanisée, disposant de sources d'énergie plus élevées, présentait de nouveaux risques d'accidents. Au fur et à mesure que la quantité d'énergie augmentait, les travailleurs étaient soustraits au contrôle direct de ces énergies. Les décisions affectant la sécurité étaient souvent prises au niveau de la direction plutôt que par les personnes directement exposées à ces risques. A ce stade de l'industrialisation, la nécessité d'une gestion de la sécurité est devenue évidente.
À la fin des années 1920, Heinrich a formulé le premier cadre théorique complet pour la gestion de la sécurité, selon lequel la sécurité devrait être recherchée par des décisions de gestion fondées sur l'identification et l'analyse des causes d'accident. À ce stade du développement de la gestion de la sécurité, les accidents étaient attribués à des défaillances au niveau du système travailleur-machine, c'est-à-dire à des actes dangereux et à des conditions dangereuses.
Par la suite, diverses méthodologies ont été développées pour l'identification et l'évaluation des risques d'accident. Avec MORT (Management Oversight and Risk Tree), l'accent s'est déplacé vers les ordres supérieurs de contrôle des risques d'accident, c'est-à-dire vers le contrôle des conditions au niveau de la direction. L'initiative de développer le MORT a été prise à la fin des années 1960 par l'US Energy Research and Development Administration, qui souhaitait améliorer ses programmes de sécurité afin de réduire ses pertes dues aux accidents.
Le diagramme MORT et les principes sous-jacents
L'intention du MORT était de formuler un système de gestion de la sécurité idéal basé sur une synthèse des meilleurs éléments du programme de sécurité et des techniques de gestion de la sécurité alors disponibles. Comme les principes qui sous-tendent l'initiative MORT ont été appliqués à l'état actuel de l'art en matière de gestion de la sécurité, la littérature et l'expertise en matière de sécurité, en grande partie non structurées, ont pris la forme d'un arbre analytique. La première version de l'arbre a été publiée en 1971. La figure 1 montre les éléments de base de la version de l'arbre publiée par Johnson en 1980. L'arbre apparaît également sous une forme modifiée dans des publications ultérieures au sujet du concept MORT ( voir, par exemple, Knox et Eicher 1992).
Figure 1. Une version de l'arbre analytique MORT
Le diagramme MORT
MORT est utilisé comme un outil pratique dans les enquêtes sur les accidents et dans les évaluations des programmes de sécurité existants. L'événement du haut de l'arbre de la figure 1 (Johnson 1980) représente les pertes (expérimentées ou potentielles) dues à un accident. En dessous de cet événement principal se trouvent trois branches principales : omissions et omissions spécifiques (S), omissions et omissions de la direction (M) et risques assumés (R). Le branche R se compose de risques supposés, qui sont des événements et des conditions connus de la direction et qui ont été évalués et acceptés au niveau de direction approprié. D'autres événements et conditions qui sont révélés par les évaluations suivant les branches S et M sont notés "moins qu'adéquats" (LTA).
La branche en S se concentre sur les événements et les conditions de l'événement réel ou potentiel. (En général, le temps est indiqué de gauche à droite et la séquence des causes est indiquée de bas en haut.) Les stratégies de Haddon (1980) pour la prévention des accidents sont des éléments clés dans cette branche. Un événement est qualifié d'accident lorsqu'une cible (une personne ou un objet) est exposée à un transfert d'énergie incontrôlé et subit des dommages. Dans la branche S du MORT, les accidents sont évités grâce à des barrières. Il existe trois types de barrières de base : (1) les barrières qui entourent et confinent la source d'énergie (le danger), (2) les barrières qui protègent la cible et (3) les barrières qui séparent le danger et la cible physiquement ou dans le temps ou l'espace. . Ces différents types de barrières se retrouvent dans le développement des branches en dessous de l'événement accidentel. L'amélioration concerne les actions entreprises après l'accident pour limiter les pertes.
Au niveau suivant de la branche S, sont reconnus les facteurs liés aux différentes phases du cycle de vie d'un système industriel. Il s'agit de la phase projet (conception et planification), du démarrage (préparation opérationnelle) et de l'exploitation (supervision et maintenance).
La Branche M soutient un processus dans lequel les conclusions spécifiques d'une enquête sur un accident ou d'une évaluation d'un programme de sécurité sont rendues plus générales. Les événements et les conditions de la branche S ont donc souvent leurs homologues dans la branche M. Lorsqu'il est engagé avec le système au niveau de la branche M, la réflexion de l'analyste est étendue au système de gestion total. Ainsi, toute recommandation affectera également de nombreux autres scénarios d'accidents possibles. Les fonctions de gestion de la sécurité les plus importantes se trouvent dans la branche M : la définition de la politique, la mise en œuvre et le suivi. Ce sont les mêmes éléments de base que l'on retrouve dans les principes d'assurance qualité de la série ISO 9000 publiés par l'Organisation internationale de normalisation (ISO).
Lorsque les branches du diagramme MORT sont élaborées en détail, il y a des éléments provenant de domaines aussi différents que l'analyse des risques, l'analyse des facteurs humains, les systèmes d'information sur la sécurité et l'analyse organisationnelle. Au total, environ 1,500 XNUMX événements de base sont couverts par le diagramme MORT.
Application du diagramme MORT
Comme indiqué, le diagramme MORT a deux utilisations immédiates (Knox et Eicher 1992) : (1) analyser les facteurs de gestion et d'organisation relatifs à un accident survenu et (2) évaluer ou auditer un programme de sécurité en relation avec un accident significatif qui a le potentiel de se produire. Le diagramme MORT fonctionne comme un outil de sélection dans la planification des analyses et des évaluations. Il est également utilisé comme liste de contrôle pour la comparaison des conditions réelles avec le système idéalisé. Dans cette application, MORT facilite la vérification de l'exhaustivité de l'analyse et évite les préjugés personnels.
Au fond, MORT est composé d'un ensemble de questions. Les critères qui guident les jugements quant à savoir si des événements et des conditions spécifiques sont satisfaisants ou moins qu'adéquats sont dérivés de ces questions. Malgré la conception directive des questions, les jugements portés par l'analyste sont en partie subjectifs. Il est donc devenu important d'assurer une qualité et un degré d'intersubjectivité adéquats entre les analyses MORT faites par différents analystes. Par exemple, aux États-Unis, un programme de formation est disponible pour la certification des analystes MORT.
Expériences avec MORT
La littérature sur les évaluations de MORT est rare. Johnson signale des améliorations significatives dans l'exhaustivité des enquêtes sur les accidents après l'introduction du MORT (Johnson 1980). Des carences au niveau de la supervision et de la gestion ont été révélées plus systématiquement. L'expérience a également été acquise à partir des évaluations des applications MORT au sein de l'industrie finlandaise (Ruuhilehto 1993). Certaines limites ont été identifiées dans les études finlandaises. Le MORT ne prend pas en charge l'identification des risques immédiats dus aux pannes et aux perturbations. De plus, aucune capacité d'établir des priorités n'est intégrée au concept MORT. Par conséquent, les résultats des analyses MORT nécessitent une évaluation plus approfondie pour les traduire en actions correctives. Enfin, l'expérience montre que le MORT prend du temps et nécessite la participation d'experts.
Outre sa capacité à se concentrer sur les facteurs d'organisation et de gestion, MORT présente l'avantage supplémentaire de relier la sécurité aux activités normales de production et à la direction générale. L'application de MORT soutiendra ainsi la planification et le contrôle généraux et contribuera également à réduire la fréquence des perturbations de la production.
Méthodes et techniques de gestion de la sécurité associées
Avec l'introduction du concept MORT au début des années 1970, un programme de développement a démarré aux États-Unis. Le point focal de ce programme a été le Centre de développement de la sécurité du système à Idaho Falls. Différentes méthodes et techniques associées au MORT dans des domaines tels que l'analyse des facteurs humains, les systèmes d'information sur la sécurité et l'analyse de la sécurité ont résulté de ce programme. L'Operational Readiness Program (Nertney 1975) est un des premiers exemples d'une méthode issue du programme de développement MORT. Ce programme est introduit lors du développement de nouveaux systèmes industriels et des modifications de ceux existants. L'objectif est de s'assurer que, du point de vue de la gestion de la sécurité, le système nouveau ou modifié est prêt au moment du démarrage. Une condition de préparation opérationnelle présuppose que les barrières et contrôles nécessaires ont été installés dans le matériel, le personnel et les procédures du nouveau système. Un autre exemple d'élément de programme MORT est l'analyse des causes profondes basée sur MORT (Cornelison 1989). Il est utilisé pour identifier les problèmes fondamentaux de gestion de la sécurité d'une organisation. Cela se fait en reliant les résultats spécifiques des analyses MORT à 27 problèmes génériques différents de gestion de la sécurité.
Bien que MORT ne soit pas destiné à être utilisé directement dans la collecte d'informations lors d'enquêtes sur les accidents et d'audits de sécurité, en Scandinavie, les questions MORT ont servi de base au développement d'un outil de diagnostic utilisé à cette fin. C'est ce qu'on appelle la technique d'examen de la gestion de la sécurité et de l'organisation, ou SMORT (Kjellen et Tinmannsvik 1989). Une analyse SMORT avance par étapes, en partant de la situation spécifique et en terminant au niveau de la direction générale. Le point de départ (niveau 1) est une séquence accidentelle ou une situation à risque. Au niveau 2, l'organisation, la planification du système et les facteurs techniques liés au fonctionnement quotidien sont passés au crible. Les niveaux suivants comprennent la conception de nouveaux systèmes (niveau 3) et des fonctions de gestion supérieures (niveau 4). Les constatations à un niveau sont étendues aux niveaux supérieurs. Par exemple, les résultats liés à la séquence accidentelle et aux opérations quotidiennes sont utilisés dans l'analyse de l'organisation et des routines de travail de l'entreprise (niveau 3). Les résultats au niveau 3 n'affecteront pas la sécurité des opérations existantes mais pourront être appliqués à la planification de nouveaux systèmes et de modifications. SMORT diffère également de MORT dans la manière dont les résultats sont identifiés. Au niveau 1, ce sont des événements et des conditions observables qui s'écartent des normes généralement acceptées. Lorsque les facteurs d'organisation et de gestion sont intégrés à l'analyse aux niveaux 2 à 4, les résultats sont identifiés par des jugements de valeur portés par un groupe d'analyse et vérifiés par une procédure de contrôle qualité. L'objectif est d'assurer une compréhension mutuelle des problèmes d'organisation.
Résumé
MORT a joué un rôle déterminant dans les développements au sein de la gestion de la sécurité depuis les années 1970. Il est possible de suivre l'influence du MORT dans des domaines tels que la littérature de recherche sur la sécurité, la littérature sur la gestion de la sécurité et les outils d'audit, et la législation sur l'autoréglementation et le contrôle interne. Malgré cet impact, ses limites doivent être soigneusement prises en compte. Le MORT et les méthodes associées sont normatifs en ce sens qu'ils prescrivent comment les programmes de gestion de la sécurité doivent être organisés et exécutés. L'idéal est une organisation bien structurée avec des objectifs clairs et réalistes et des lignes de responsabilité et d'autorité bien définies. MORT convient donc mieux aux grandes organisations bureaucratiques.
Systèmes d'inspection
L'audit a été défini comme "le processus structuré de collecte d'informations indépendantes sur l'efficience, l'efficacité et la fiabilité du système de gestion de la sécurité dans son ensemble et l'élaboration de plans d'action corrective" (Successful Health & Safety Management 1991).
L'inspection du lieu de travail n'est donc pas seulement l'étape finale de la mise en place d'un programme de gestion de la sécurité, mais aussi un processus continu de son maintien. Elle ne peut être menée que lorsqu'un système de gestion de la sécurité correctement conçu a été mis en place. Un tel système envisage d'abord une déclaration de politique formelle de la direction énonçant ses principes pour créer un environnement de travail sain et sûr, puis établissant les mécanismes et les structures au sein de l'organisation par lesquels ces principes seront effectivement mis en œuvre. La direction doit en outre s'engager à fournir des ressources adéquates, tant humaines que financières, pour soutenir les mécanismes et les structures du système. Par la suite, il doit y avoir une planification détaillée de la sécurité et de la santé et la définition d'objectifs mesurables. Des systèmes doivent être conçus pour garantir que les performances en matière de sécurité et de santé dans la pratique puissent être mesurées par rapport aux normes établies et aux réalisations antérieures. Ce n'est que lorsque cette structure est en place et fonctionne qu'un système d'audit de gestion efficace peut être appliqué.
Des systèmes complets de gestion de la sécurité et de la santé peuvent être conçus, produits et mis en œuvre à partir des ressources des grandes entreprises. De plus, il existe un certain nombre de systèmes de contrôle de la gestion de la sécurité qui sont disponibles auprès de consultants, de compagnies d'assurance, d'organismes gouvernementaux, d'associations et d'entreprises spécialisées. C'est à l'entreprise de décider si elle doit produire son propre système ou faire appel à des services extérieurs. Les deux alternatives sont capables de produire d'excellents résultats si la direction s'engage véritablement à les appliquer avec diligence et à les faire fonctionner. Mais leur succès dépend fortement de la qualité du système d'audit.
Contrôles de gestion
La procédure d'inspection doit être aussi minutieuse et objective que l'inspection financière de l'entreprise. L'inspection doit d'abord déterminer si l'énoncé de politique de l'entreprise en matière de sécurité et de santé est correctement reflété dans les structures et mécanismes créés pour sa mise en œuvre; dans le cas contraire, l'inspection peut recommander une réévaluation de la politique fondamentale ou suggérer des ajustements ou des modifications aux structures et mécanismes existants. Un processus similaire doit être appliqué à la planification de la sécurité et de la santé, à la validité des normes d'établissement des objectifs et à la mesure de la performance. Les résultats de toute inspection doivent être pris en compte par la direction de l'entreprise, et tout correctif doit être approuvé et mis en œuvre par l'intermédiaire de cette autorité.
En pratique, il n'est pas souhaitable, et souvent peu pratique, d'entreprendre une inspection complète de toutes les fonctionnalités d'un système et de leur application dans tous les départements de l'entreprise en une seule fois. Plus généralement, la procédure d'inspection se concentre sur une caractéristique du système total de gestion de la sécurité dans l'ensemble de la centrale, ou alternativement sur l'application de toutes les caractéristiques dans un service ou même un sous-service. Mais l'objectif est de couvrir toutes les fonctionnalités de tous les départements sur une période convenue afin de valider les résultats.
Dans cette mesure, le contrôle de gestion doit être considéré comme un processus continu de vigilance. Le besoin d'objectivité est évidemment d'une importance considérable. Si les inspections sont menées en interne, il doit y avoir une procédure d'inspection standardisée ; les inspections doivent être effectuées par du personnel dûment formé à cet effet; et ceux qui sont sélectionnés comme inspecteurs ne doivent pas évaluer les services dans lesquels ils travaillent normalement, ni évaluer tout autre travail dans lequel ils ont une implication personnelle. Lorsque l'on se fie à des consultants, ce problème est minimisé.
De nombreuses grandes entreprises ont adopté ce type de système, soit conçu en interne, soit obtenu en tant que système propriétaire. Lorsque les systèmes ont été soigneusement suivis de la déclaration de politique à l'inspection, au retour d'information et aux actions correctives, une réduction substantielle des taux d'accidents, qui est la principale justification de la procédure, et une rentabilité accrue, qui est un résultat secondaire bienvenu, devraient en résulter.
Inspections par les Inspections
Le cadre juridique qui vise à protéger les personnes au travail doit être correctement administré et appliqué efficacement si l'on veut atteindre l'objectif de la législation réglementaire. La plupart des pays ont donc adopté le modèle général d'un service d'inspection chargé de veiller à l'application de la législation sur la sécurité et la santé. De nombreux pays considèrent les questions de sécurité et de santé comme faisant partie d'un ensemble complet de relations de travail couvrant les relations professionnelles, les accords sur les salaires et les congés et les avantages sociaux. Dans ce modèle, les inspections de sécurité et de santé sont un élément des fonctions de l'inspecteur du travail. Il existe également un modèle différent dans lequel l'inspection nationale s'occupe exclusivement de la législation en matière de sécurité et de santé, de sorte que les inspections du lieu de travail se concentrent uniquement sur cet aspect. D'autres variations sont évidentes dans la division des fonctions d'inspection entre une inspection nationale ou une inspection régionale/provinciale, ou bien, comme en Italie et au Royaume-Uni, par exemple, comme une combinaison fonctionnelle d'inspections nationales et régionales. Mais quel que soit le modèle adopté, la fonction essentielle de l'inspection est de vérifier le respect de la législation par un programme d'inspections et d'enquêtes planifiées sur le lieu de travail.
Il ne peut y avoir de système d'inspection efficace que si ceux qui entreprennent ce travail sont dotés de pouvoirs suffisants pour le mener à bien. Il existe de nombreux points communs entre les inspections en ce qui concerne les pouvoirs qui leur sont conférés par leurs législateurs. Il doit toujours y avoir un droit d'entrée dans les locaux, ce qui est clairement fondamental pour l'inspection. Par la suite, il existe le droit légal d'examiner les documents, registres et rapports pertinents, d'interroger les membres du personnel individuellement ou collectivement, d'avoir un accès illimité aux représentants syndicaux sur le lieu de travail, de prélever des échantillons de substances ou de matériaux utilisés sur le lieu de travail , de prendre des photographies et, le cas échéant, de recueillir les déclarations écrites des personnes travaillant sur les lieux.
Des pouvoirs supplémentaires sont souvent accordés pour permettre aux inspecteurs de rectifier les conditions qui pourraient être une source immédiate de danger ou de mauvaise santé pour la main-d'œuvre. Là encore, il existe une grande variété de pratiques. Lorsque les normes sont si mauvaises qu'il existe un risque imminent de danger pour la main-d'œuvre, un inspecteur peut être autorisé à signifier sur-le-champ un document légal interdisant l'utilisation de la machine ou de l'installation, ou interrompant le processus jusqu'à ce que le risque ait été effectivement éliminé. contrôlée. Pour un ordre de risque inférieur, les inspecteurs peuvent émettre un avis légal exigeant formellement que des mesures soient prises dans un délai donné pour améliorer les normes. Ce sont des moyens efficaces d'améliorer rapidement les conditions de travail et constituent souvent une forme d'application préférable aux procédures judiciaires formelles, qui peuvent être lourdes et lentes à obtenir une réparation.
Les poursuites judiciaires occupent une place importante dans la hiérarchie de l'exécution. Il existe un argument selon lequel les procédures judiciaires étant simplement punitives et n'entraînant pas nécessairement un changement d'attitude à l'égard de la sécurité et de la santé au travail, elles ne devraient donc être invoquées qu'en dernier recours lorsque toutes les autres tentatives visant à obtenir des améliorations ont échoué. Mais ce point de vue doit être mis en regard du fait que lorsque les exigences légales ont été ignorées ou ignorées, et lorsque la sécurité et la santé des personnes ont été considérablement menacées, la loi doit être appliquée et les tribunaux doivent trancher la question. Il y a un autre argument selon lequel les entreprises qui ne respectent pas la législation en matière de sécurité et de santé peuvent ainsi bénéficier d'un avantage économique par rapport à leurs concurrents, qui fournissent des ressources adéquates pour se conformer à leurs obligations légales. La poursuite de ceux qui négligent constamment leurs devoirs est donc un moyen de dissuasion pour les sans scrupules et un encouragement pour ceux qui essaient d'observer la loi.
Chaque service d'inspection doit déterminer le juste équilibre entre la fourniture de conseils et l'application de la loi dans le cadre du travail d'inspection. Une difficulté particulière apparaît à propos de l'inspection des petites entreprises. Les économies locales, voire nationales, reposent souvent sur des sites industriels employant chacun moins de 20 personnes ; dans le cas de l'agriculture, le chiffre de l'emploi par unité est très inférieur. La fonction de l'inspection dans ces cas est d'utiliser l'inspection du lieu de travail pour fournir des informations et des conseils non seulement sur les exigences légales, mais aussi sur les normes pratiques et les moyens efficaces de respecter ces normes. La technique doit être d'encourager et de stimuler, plutôt que d'appliquer immédiatement la loi par des mesures punitives. Mais même ici, l'équilibre est difficile. Les personnes au travail ont droit à des normes de sécurité et de santé quelle que soit la taille de l'entreprise, et il serait donc tout à fait erroné qu'un service d'inspection ignore ou minimise les risques et limite ou même renonce à l'application simplement pour favoriser l'existence de personnes économiquement fragiles petite entreprise.
Cohérence des inspections
Compte tenu de la nature complexe de leur travail - avec ses besoins combinés de compétences juridiques, prudentielles, techniques et scientifiques, les inspecteurs n'adoptent pas - en fait ne devraient pas - adopter une approche mécaniste de l'inspection. Cette contrainte, combinée à un équilibre difficile entre les fonctions de conseil et de contrôle, crée encore une autre préoccupation, celle de la cohérence des services d'inspection. Les industriels et les syndicats sont en droit d'attendre une application cohérente des normes, qu'elles soient techniques ou juridiques, par les inspecteurs à travers le pays. Dans la pratique, cela n'est pas toujours facile à réaliser, mais c'est quelque chose pour lequel les autorités chargées de l'application doivent toujours s'efforcer.
Il existe des moyens d'atteindre une cohérence acceptable. Premièrement, l'inspection doit être aussi ouverte que possible dans la publication de ses normes techniques et dans la présentation publique de ses politiques d'application. Deuxièmement, grâce à la formation, à l'application d'exercices d'évaluation par les pairs et à des instructions internes, il devrait être capable à la fois de reconnaître un problème et de fournir des systèmes pour y faire face. Enfin, il devrait veiller à ce qu'il existe des procédures permettant à l'industrie, aux travailleurs, au public et aux partenaires sociaux d'obtenir réparation s'ils ont un grief légitime concernant une incohérence ou d'autres formes de mauvaise administration associées à l'inspection.
Fréquence des inspections
À quelle fréquence les inspections doivent-elles procéder à des inspections du lieu de travail? Là encore, il existe des variations considérables dans la manière dont cette question peut être répondue. L'Organisation internationale du travail (OIT) estime que l'exigence minimale devrait être que chaque lieu de travail fasse l'objet d'une inspection des autorités chargées de l'application au moins une fois par an. Dans la pratique, peu de pays parviennent à produire un programme d'inspection du travail répondant à cet objectif. En effet, depuis la grande dépression économique de la fin des années 1980, certains gouvernements ont réduit les services d'inspection par des restrictions budgétaires qui se traduisent par une réduction du nombre d'inspecteurs ou par des restrictions sur le recrutement de nouveaux employés pour remplacer ceux qui partent à la retraite.
Il existe différentes approches pour déterminer la fréquence à laquelle les inspections doivent être effectuées. Une approche a été purement cyclique. Des ressources sont déployées pour assurer l'inspection de tous les locaux tous les 2 ans, ou plus probablement tous les 4 ans. Mais cette approche, bien qu'ayant peut-être l'apparence de l'équité, traite tous les locaux de la même manière, indépendamment de la taille ou du risque. Pourtant, les entreprises sont manifestement diverses en ce qui concerne les conditions de sécurité et de santé, et dans la mesure où elles diffèrent, ce système peut être considéré comme mécaniste et défectueux.
Une approche différente, adoptée par certains services d'inspection, a consisté à tenter d'établir un programme de travail basé sur les risques ; plus le danger pour la sécurité ou la santé est grand, plus l'inspection est fréquente. Par conséquent, les ressources sont appliquées par l'inspection aux endroits où le potentiel de préjudice pour la main-d'œuvre est le plus grand. Bien que cette approche ait des mérites, des problèmes considérables y sont encore associés. Premièrement, il est difficile d'évaluer précisément et objectivement les dangers et les risques. Deuxièmement, elle allonge très considérablement les intervalles entre les inspections des locaux où les dangers et les risques sont considérés comme faibles. Par conséquent, de longues périodes peuvent s'écouler pendant lesquelles une grande partie de la main-d'œuvre peut devoir renoncer au sentiment de sécurité et d'assurance que peut procurer l'inspection. De plus, le système a tendance à présumer que les dangers et les risques, une fois évalués, ne changent pas radicalement. C'est loin d'être le cas, et il existe un risque qu'une entreprise mal notée modifie ou développe sa production de manière à augmenter les dangers et les risques sans que l'inspection n'en soit consciente.
D'autres approches incluent des inspections basées sur des taux de blessures dans les installations qui sont plus élevés que les moyennes nationales pour l'industrie en question, ou immédiatement après une blessure mortelle ou une catastrophe majeure. Il n'y a pas de réponses courtes et faciles au problème de la détermination de la fréquence des inspections, mais ce qui semble se produire, c'est que les services d'inspection de nombreux pays manquent trop souvent de ressources, de sorte que la véritable protection de la main-d'œuvre offerte par le service s'érode progressivement.
Objectifs d'inspection
Les techniques d'inspection en milieu de travail varient selon la taille et la complexité de l'entreprise. Dans les petites entreprises, l'inspection sera complète et évaluera tous les dangers et la mesure dans laquelle les risques découlant des dangers ont été minimisés. L'inspection garantira donc que l'employeur est pleinement conscient des problèmes de sécurité et de santé et qu'il reçoit des conseils pratiques sur la manière de les résoudre. Mais même dans la plus petite entreprise, l'inspection ne devrait pas donner l'impression que la recherche des fautes et l'application des remèdes appropriés relèvent de la fonction de l'inspection et non de l'employeur. Les employeurs doivent être encouragés par l'inspection à contrôler et à gérer efficacement les problèmes de sécurité et de santé, et ils ne doivent pas abdiquer leurs responsabilités en attendant une inspection des autorités chargées de l'application avant de prendre les mesures nécessaires.
Dans les grandes entreprises, l'accent mis sur l'inspection est assez différent. Ces entreprises disposent des moyens techniques et financiers pour faire face aux problèmes de sécurité et de santé. Ils doivent concevoir à la fois des systèmes de gestion efficaces pour résoudre les problèmes, ainsi que des procédures de gestion pour vérifier que les systèmes fonctionnent. Dans ces circonstances, l'accent de l'inspection doit donc être mis sur la vérification et la validation des systèmes de contrôle de gestion présents sur le lieu de travail. L'inspection ne devrait donc pas consister en un examen exhaustif de tous les éléments de l'usine et de l'équipement pour déterminer leur sécurité, mais plutôt à l'aide d'exemples choisis pour tester l'efficacité ou non des systèmes de gestion pour assurer la sécurité et la santé au travail.
Participation des travailleurs aux inspections
Quels que soient les locaux, un élément critique de tout type d'inspection est le contact avec la main-d'œuvre. Dans de nombreux petits locaux, il se peut qu'il n'y ait pas de structure syndicale formelle ou même d'organisation de la main-d'œuvre. Cependant, pour assurer l'objectivité et l'acceptation du service d'inspection, le contact avec les travailleurs individuels devrait faire partie intégrante de l'inspection. Dans les grandes entreprises, le contact doit toujours être établi avec les syndicats ou d'autres représentants reconnus des travailleurs. La législation de certains pays (la Suède et le Royaume-Uni, par exemple) accorde une reconnaissance officielle et des pouvoirs aux délégués syndicaux à la sécurité, notamment le droit d'inspecter les lieux de travail, d'enquêter sur les accidents et les événements dangereux et, dans certains pays (bien que cela soit exceptionnel), de arrêter les machines de l'usine ou le processus de production s'il présente un danger imminent. Beaucoup d'informations utiles peuvent être tirées de ces contacts avec les travailleurs, qui devraient figurer dans chaque inspection, et certainement chaque fois que l'inspection procède à une inspection à la suite d'un accident ou d'une plainte.
Constatations d'inspection
L'élément final d'une inspection consiste à examiner les conclusions de l'inspection avec le membre le plus haut placé de la direction sur le site. La direction a la responsabilité première de se conformer aux exigences légales en matière de sécurité et de santé, et par conséquent, aucune inspection ne devrait être complète sans que la direction soit pleinement consciente de la mesure dans laquelle elle a rempli ces obligations et de ce qui doit être fait pour garantir et maintenir des normes appropriées. . Certes, si des avis juridiques sont publiés à la suite d'une inspection, ou si des poursuites judiciaires sont probables, la haute direction doit être informée de cet état de fait le plus tôt possible.
Inspections de l'entreprise
Les inspections d'entreprise sont un élément important du maintien de normes rigoureuses de sécurité et de santé au travail. Elles conviennent à toutes les entreprises et, dans les grandes entreprises, peuvent être un élément de la procédure de contrôle de gestion. Pour les petites entreprises, il est essentiel d'adopter une forme d'inspection régulière de l'entreprise. Il ne faut pas se fier aux services d'inspection fournis par les services d'inspection des autorités chargées de l'application. Celles-ci sont généralement beaucoup trop peu fréquentes et devraient largement servir de stimulant pour améliorer ou maintenir les normes, plutôt que d'être la principale source d'évaluation des normes. Les inspections d'entreprise peuvent être effectuées par des consultants ou par des sociétés spécialisées dans ce travail, mais la discussion actuelle se concentrera sur l'inspection par le personnel de l'entreprise.
À quelle fréquence les inspections de l'entreprise doivent-elles être effectuées ? Dans une certaine mesure, la réponse dépend des dangers associés au travail et de la complexité de l'usine. Mais même dans les locaux à faible risque, il devrait y avoir une certaine forme d'inspection sur une base régulière (mensuelle, trimestrielle, etc.). Si l'entreprise emploie un professionnel de la sécurité, il est clair que l'organisation et la conduite de l'inspection doivent être une partie importante de cette fonction. L'inspection doit généralement être un effort d'équipe impliquant le professionnel de la sécurité, le chef de service ou le contremaître, et soit un représentant syndical, soit un travailleur qualifié, tel qu'un membre du comité de sécurité. L'inspection doit être complète; c'est-à-dire qu'il convient d'examiner de près à la fois le logiciel de sécurité (par exemple, les systèmes, les procédures et les permis de travail) et le matériel (par exemple, la protection des machines, l'équipement de lutte contre l'incendie, la ventilation par aspiration et l'équipement de protection individuelle). Une attention particulière doit être accordée aux "quasi-accidents" - ces incidents qui n'entraînent pas de dommages ou de blessures corporelles mais qui ont un potentiel imminent de blessures accidentelles graves. On s'attend à ce qu'après un accident entraînant une absence du travail, l'équipe d'inspection se réunisse immédiatement pour enquêter sur les circonstances, en dehors du cycle normal d'inspection. Mais même lors de l'inspection de routine de l'atelier, l'équipe doit également tenir compte de l'étendue des blessures accidentelles mineures survenues dans le service depuis l'inspection précédente.
Il est important que les inspections des entreprises ne semblent pas systématiquement négatives. Là où des défauts existent, il est important qu'ils soient identifiés et rectifiés, mais il est tout aussi important de recommander le maintien de bonnes normes, de commenter positivement la propreté et le bon entretien, et de renforcer par des encouragements ceux qui utilisent l'équipement de protection individuelle prévu pour leur sécurité . Pour terminer l'inspection, un rapport écrit officiel doit être rédigé sur les lacunes importantes constatées. Une attention particulière doit être portée à toute lacune qui a été identifiée lors d'inspections précédentes mais qui n'a pas encore été corrigée. Lorsqu'il existe un comité de sécurité d'entreprise ou un comité de sécurité mixte direction-travailleurs, le rapport d'inspection doit figurer en tant que point permanent à l'ordre du jour du comité. Le rapport d'inspection doit être transmis et discuté avec la haute direction de l'entreprise, qui doit alors déterminer si une action est requise et, le cas échéant, autoriser et soutenir une telle action.
Même les plus petites entreprises, où il n'y a pas de professionnel de la sécurité et où les syndicats peuvent ne pas exister, devraient envisager des inspections d'entreprise. De nombreux services d'inspection ont produit des directives très simples illustrant les concepts de base de la sécurité et de la santé, leur application à une gamme d'industries et les moyens pratiques de les appliquer même dans les plus petites entreprises. De nombreuses associations de sécurité ciblent spécifiquement les petites entreprises avec des publications (souvent gratuites) qui fournissent les informations de base pour établir des conditions de travail sûres et saines. Armé de ce genre d'informations et en y consacrant très peu de temps, le propriétaire d'une petite entreprise peut établir des normes raisonnables, et peut ainsi peut-être éviter le genre d'accidents qui peuvent arriver à la main-d'œuvre même dans la plus petite entreprise.
C'est un paradoxe que la prévention des accidents du travail ne soit pas apparue très tôt comme une nécessité absolue, la santé et la sécurité étant fondamentales au travail lui-même. En fait, ce n'est qu'au début du XXe siècle que les accidents du travail ont cessé d'être considérés comme inévitables et que leur causalité est devenue un sujet à étudier et à utiliser comme base de prévention. Cependant, l'enquête sur les accidents est restée longtemps superficielle et empirique. Historiquement, les accidents ont d'abord été conçus comme des phénomènes simples, c'est-à-dire comme résultant d'une cause unique (ou principale) et d'un petit nombre de causes subsidiaires. Il est désormais reconnu que l'enquête sur les accidents, qui vise à identifier les causes du phénomène afin d'éviter qu'il ne se reproduise, dépend à la fois du concept qui sous-tend le processus d'enquête et de la complexité de la situation à laquelle il s'applique.
Causes d'accident
Il est en effet vrai que dans les situations les plus précaires, les accidents résultent souvent d'un enchaînement assez simple de quelques causes pouvant être rapidement rattachées à des problèmes techniques élémentaires qu'une analyse même sommaire peut révéler (matériel mal conçu, méthodes de travail non définies, etc.). D'autre part, plus les éléments matériels du travail (machines, installations, aménagement du lieu de travail, etc.) sont conformes aux exigences des procédures, normes et règlements de travail sécuritaires, plus la situation de travail devient sécuritaire. Il en résulte qu'un accident ne peut alors survenir que lorsqu'un ensemble de conditions exceptionnelles sont présentes simultanément, conditions de plus en plus nombreuses. Dans de tels cas, la blessure ou le dommage apparaît comme le résultat final d'un réseau de causes souvent complexe. Cette complexité témoigne en effet des progrès de la prévention et nécessite des méthodes d'investigation adaptées. Le tableau 1 liste les principaux concepts du phénomène accidentel, leurs caractéristiques et leurs implications pour la prévention.
Tableau 1. Principaux concepts du phénomène accidentel, leurs caractéristiques et leurs implications pour la prévention
Concept ou "phénomène accidentel" |
Les éléments significatifs (objectifs, procédures, limites, etc.) |
Principales conséquences pour la prévention |
Concept de base (accident comme |
L'objectif est d'identifier "la" cause unique ou principale |
Mesures de prévention simples concernant l'antécédent immédiat de la blessure (protection individuelle, consignes de prudence, protection des machines dangereuses) |
Concept axé sur les mesures réglementaires |
Concentrez-vous sur la recherche de qui est responsable ; l'« enquête » relève essentiellement les manquements et les fautes Peu préoccupé par les conditions génératrices des situations examinées |
La prévention se limite généralement à des rappels sur les exigences réglementaires existantes ou à des instructions formelles |
Concept linéaire (ou quasi-linéaire) (modèle « domino ») |
Identification d'une succession chronologique de "conditions dangereuses" et d'"actes dangereux" |
Conclusions portant généralement sur les actes dangereux |
Concept multifactoriel |
Une recherche exhaustive pour recueillir les faits (circonstances, causes, facteurs, etc.) |
Concept peu propice à la recherche de solutions au cas par cas (analyse clinique) et mieux adapté à l'identification d'aspects statistiques (tendances, tableaux, graphiques, etc.) |
Concept systématique |
Identification du réseau de facteurs de chaque accident |
Méthodes centrées sur l'analyse clinique |
De nos jours, un accident du travail est généralement considéré comme un indice (ou un symptôme) de dysfonctionnement dans un système constitué d'une seule unité de production, telle qu'une usine, un atelier, une équipe ou un poste de travail. C'est la nature d'un système que son analyse demande à l'enquêteur d'examiner non seulement les éléments qui le composent, mais aussi leurs relations entre eux et avec l'environnement de travail. Dans le cadre d'un système, l'enquête accidentelle cherche à remonter jusqu'à ses origines l'enchaînement des dysfonctionnements élémentaires ayant conduit à l'accident et, plus généralement, le réseau des antécédents de l'événement indésirable (accident, quasi-accident ou incident).
L'application de méthodes de ce type, telles que la méthode STEP (procédures de traçage d'événements séquentiels temporels) et la méthode "arbre des causes" (semblable aux analyses d'arbres de défaillances ou d'événements), permet de visualiser le processus accidentel sous la forme d'un graphique ajusté qui illustre la multicausalité du phénomène. Étant donné que ces deux méthodes sont si similaires, il serait inutile de les décrire toutes les deux ; en conséquence, cet article se concentre sur la méthode de l'arbre des causes et, le cas échéant, note ses principales différences par rapport à la méthode STEP.
Informations utiles à l'enquête
La phase initiale de l'enquête, la collecte d'informations, doit permettre de décrire le déroulement de l'accident en termes concrets, précis et objectifs. L'enquête s'attache donc à constater les faits tangibles, en se gardant bien de les interpréter ou d'exprimer une opinion à leur sujet. Ce sont les antécédents de l'accident, dont il existe deux types:
Par exemple, une protection insuffisante d'une machine (antécédent permanent) peut s'avérer un facteur d'accident si elle permet à l'opérateur de prendre position dans une zone dangereuse pour faire face à un incident particulier (antécédent inhabituel).
La collecte d'informations est effectuée sur le lieu même de l'accident dès que possible après sa survenance. Elle est réalisée de préférence par des personnes qui connaissent l'opération ou le procédé et qui tentent d'obtenir une description précise des travaux sans se limiter aux circonstances immédiates du dommage ou de la blessure. L'enquête s'effectue dans un premier temps principalement au moyen d'entretiens, si possible avec le travailleur ou l'opérateur, les victimes et témoins oculaires, les autres membres de l'équipe de travail et les supérieurs hiérarchiques. Le cas échéant, elle est complétée par une enquête technique et le recours à une expertise extérieure.
L'enquête cherche à identifier, par ordre de priorité, les antécédents inhabituels et à déterminer leurs liens logiques. On s'efforce en même temps de révéler les antécédents permanents qui ont permis à l'accident de se produire. L'enquête peut ainsi remonter à une étape plus lointaine que les antécédents immédiats de l'accident. Ces antécédents plus lointains peuvent concerner les individus, leurs tâches, les équipements qu'ils utilisent, l'environnement dans lequel ils évoluent et la culture de sécurité. En procédant de la manière qui vient d'être décrite, il est généralement possible de dresser une longue liste d'antécédents, mais il sera généralement difficile d'exploiter immédiatement les données. L'interprétation des données est rendue possible grâce à une représentation graphique de tous les antécédents impliqués dans la genèse de l'accident, c'est-à-dire un arbre des causes.
Construire un arbre des causes
L'arbre des causes présente tous les antécédents recueillis qui ont donné lieu à l'accident, ainsi que les liens logiques et chronologiques qui les relient ; c'est une représentation du réseau d'antécédents qui ont causé directement ou indirectement la blessure. L'arbre des causes est construit à partir du point final de l'événement - c'est-à-dire la blessure ou le dommage - et remonte vers la cause en posant systématiquement les questions suivantes pour chaque antécédent recueilli :
Cet ensemble de questions peut révéler trois types de liens logiques, résumés dans la figure 1, entre les antécédents.
Figure 1. Liens logiques utilisés dans la méthode "arbre des causes"
La cohérence logique de l'arbre est vérifiée en posant les questions suivantes pour chaque antécédent :
De plus, la construction de l'arbre des causes en elle-même incite les enquêteurs à poursuivre la collecte d'informations, et donc l'enquête, bien avant que l'accident ne se produise. Une fois rempli, l'arbre représente le réseau d'antécédents ayant donné lieu à la blessure, ce sont en fait les facteurs d'accident. A titre d'exemple, l'accident résumé ci-dessous a produit l'arbre des causes présenté à la figure 2.
Figure 2. Arbre des causes d'un accident subi par un apprenti mécanicien lors du remontage d'un moteur dans une voiture
Rapport sommaire d'accident : Un apprenti mécanicien, récemment recruté, a dû travailler seul en cas d'urgence. Une élingue usée était utilisée pour suspendre un moteur qui devait être remonté, et lors de cette opération l'élingue s'est cassée et le moteur est tombé et a blessé le bras du mécanicien.
Analyse par la méthode STEP
Selon la méthode STEP (figure 3), chaque événement est présenté graphiquement de façon à montrer l'ordre chronologique de son apparition, en gardant une ligne par « agent » concerné (un agent est la personne ou la chose qui détermine le cours des événements constituant le processus accidentel). Chaque événement est décrit avec précision en indiquant son début, sa durée, son lieu de début et de fin, etc. Lorsqu'il existe plusieurs hypothèses plausibles, l'investigateur peut les faire apparaître dans le réseau des événements en utilisant la relation logique « ou ».
Figure 3. Exemple de représentation possible par la méthode STEP
Analyse par la méthode de l'arbre des causes
L'utilisation de l'arbre des causes pour les besoins de l'analyse des accidents a deux objectifs :
Compte tenu de la structure logique de l'arbre, l'absence d'un seul antécédent aurait empêché la survenance de l'accident. Une mesure de prévention judicieuse suffirait donc, en principe, à satisfaire le premier objectif en empêchant la répétition du même accident. Le deuxième objectif exigerait que tous les facteurs découverts soient éliminés, mais en pratique les antécédents n'ont pas tous la même importance aux fins de la prévention. Il est donc nécessaire d'établir une liste d'antécédents nécessitant une action préventive raisonnable et réaliste. Si cette liste est longue, il faut faire un choix. Ce choix a plus de chance d'être opportun s'il est fait dans le cadre d'un débat entre les partenaires concernés par l'accident. De plus, le débat gagnera en clarté dans la mesure où il sera possible d'évaluer le rapport coût-efficacité de chaque mesure proposée.
Efficacité des mesures préventives
L'efficacité d'une mesure préventive peut être jugée à l'aide des critères suivants :
La stabilité de la mesure. Les effets d'une mesure de prévention ne doivent pas disparaître avec le temps : informer les opérateurs (en particulier, leur rappeler des consignes) n'est pas une mesure très stable car ses effets sont souvent transitoires. Il en est d'ailleurs de même de certains dispositifs de protection lorsqu'ils sont facilement démontables.
La possibilité d'intégrer la sécurité. Lorsqu'une mesure de sécurité est ajoutée, c'est-à-dire lorsqu'elle ne contribue pas directement à la production, on dit que la sécurité n'est pas intégrée. Chaque fois qu'il en est ainsi, on constate que la mesure tend à disparaître. D'une manière générale, toute mesure de prévention entraînant un surcoût pour l'opérateur doit être évitée, qu'il s'agisse d'un coût physiologique (augmentation de la charge physique ou nerveuse), d'un coût psychologique, d'un coût financier (en cas de salaire ou de rendement) ou encore une simple perte de temps.
Le non déplacement du risque. Certaines mesures préventives peuvent avoir des effets indirects préjudiciables à la sécurité. Il faut donc toujours prévoir les éventuelles répercussions d'une mesure préventive sur le système (métier, équipe ou atelier) dans lequel elle s'insère.
La possibilité d'application générale (notion de facteur d'accident potentiel). Ce critère traduit la crainte que la même action préventive puisse s'appliquer à d'autres emplois que celui affecté par l'accident faisant l'objet de l'enquête. Dans la mesure du possible, il faut s'efforcer d'aller au-delà du cas particulier qui a donné lieu à l'enquête, effort qui nécessite souvent une reformulation des problèmes découverts. L'information issue d'un accident peut ainsi conduire à une action préventive relative à des facteurs inconnus mais présents dans d'autres situations de travail où ils n'ont pas encore donné lieu à des accidents. C'est pourquoi ils sont appelés « facteurs d'accidents potentiels ». Cette notion ouvre la voie à la détection précoce des risques, évoquée plus loin.
L'effet sur les « causes » profondes. En règle générale, la prévention des facteurs d'accident proches du lieu de la blessure élimine certains effets des situations dangereuses, tandis que la prévention agissant bien en amont de la blessure tend à éliminer les situations dangereuses elles-mêmes. Une enquête approfondie sur les accidents se justifie dans la mesure où l'action de prévention concerne également les facteurs en amont.
Le délai de candidature. La nécessité d'agir le plus rapidement possible après la survenance d'un accident pour éviter qu'il ne se reproduise se traduit souvent par l'application d'une mesure préventive simple (une consigne par exemple), mais cela n'élimine pas la nécessité d'autres mesures plus durables. et une action plus efficace. Chaque accident doit donc donner lieu à une série de propositions dont la mise en œuvre fait l'objet d'un suivi.
Les critères ci-dessus sont destinés à mieux apprécier la qualité des actions de prévention proposées après chaque enquête accidentelle. Cependant, le choix final ne se fait pas uniquement sur cette base, car d'autres considérations, telles qu'économiques, culturelles ou sociales, doivent également être prises en compte. Enfin, les mesures décidées doivent évidemment respecter la réglementation en vigueur.
Facteurs d'accident
Les enseignements tirés de chaque analyse d'accident méritent d'être consignés systématiquement afin de faciliter le passage de la connaissance à l'action. Ainsi la figure 4 se compose de trois colonnes. Dans la colonne de gauche sont notés les facteurs d'accident nécessitant des mesures préventives. Les actions préventives possibles sont décrites dans la colonne du milieu pour chaque facteur décidé. Après la discussion mentionnée ci-dessus, l'action sélectionnée est enregistrée dans cette partie du document.
Figure 4. Leçons tirées des accidents et utilisation de ces leçons
La colonne de droite reprend les facteurs d'accident potentiels suggérés par les facteurs répertoriés dans la colonne de gauche : on considère que chaque facteur d'accident découvert n'est souvent qu'un cas particulier d'un facteur plus général dit facteur d'accident potentiel. Le passage du cas particulier au cas plus général se fait souvent spontanément. Cependant, chaque fois qu'un facteur d'accident est exprimé de telle manière qu'il n'est pas possible de le rencontrer ailleurs que dans la situation où il est apparu, une formulation plus générale doit être envisagée. Ce faisant, il convient d'éviter deux écueils opposés afin d'utiliser efficacement la notion de facteur d'accident potentiel dans la détection précoce des risques survenant ultérieurement. Une formulation trop circonscrite ne permet pas une détection systématique des facteurs, alors qu'une formulation trop large rend la notion inexploitable et n'a plus d'intérêt pratique. La détection des facteurs d'accidents potentiels suppose donc qu'ils soient bien formulés. Cette détection peut alors s'effectuer de deux manières, qui sont d'ailleurs complémentaires :
Utilité, efficacité et limites des enquêtes sur les accidents
Utilité. Par rapport aux enquêtes non systématiques, les méthodes d'enquête sur les accidents basées sur un concept systématique présentent de nombreux avantages, parmi lesquels :
Efficacité. Pour être efficace, une enquête sur un accident nécessite que quatre conditions soient remplies simultanément :
Limitations. Même lorsqu'elle est très bien menée, l'enquête sur les accidents souffre d'une double limitation :
La nécessité de déclarer et de compiler des données sur les accidents
L'objectif principal de la collecte et de l'analyse des données sur les accidents du travail est de fournir des connaissances à utiliser dans la prévention des accidents du travail, des décès et d'autres formes de préjudices tels que les expositions toxiques ayant des effets à long terme. Ces données sont également utiles pour évaluer les besoins d'indemnisation des victimes pour des blessures subies antérieurement. Les objectifs supplémentaires et plus spécifiques de la compilation des statistiques d'accidents sont les suivants :
Souvent, une vue d'ensemble du nombre d'accidents survenus sur une base annuelle est souhaitée. Une fréquence est souvent utilisée à cette fin, comparant le nombre d'accidents à une mesure relative au groupe à risque et exprimée, par exemple, en termes d'accidents pour 100,000 100,000 travailleurs ou pour XNUMX XNUMX heures de travail. Ces comptages annuels ont pour but de révéler les variations d'un taux d'accidents d'une année à l'autre. Cependant, s'ils peuvent indiquer les types d'accidents qui nécessitent l'action préventive la plus urgente, ils ne fournissent pas à eux seuls d'indications quant à la forme que cette action devrait prendre.
Le besoin d'information sur les accidents concerne les trois niveaux de fonction suivants qui en font usage :
Le rôle de l'organisation dans la compilation des informations sur les accidents
Dans de nombreux pays, les entreprises sont tenues par la loi de tenir des statistiques sur les accidents du travail entraînant des blessures, la mort ou une exposition toxique d'un travailleur. Le but est généralement d'attirer l'attention sur les risques qui ont effectivement conduit à ces types d'accidents, les activités de sécurité se concentrant principalement sur l'accident particulier et l'étude de l'événement lui-même. Cependant, il est plus courant que les informations sur les accidents soient collectées et enregistrées systématiquement, une fonction qui est généralement exercée à un niveau supérieur.
Les circonstances réelles de la plupart des accidents étant particulières, il est rare que des accidents tout à fait identiques se produisent, et la prévention fondée sur l'analyse de l'accident individuel tend très vite à devenir une question très spécifique. En compilant systématiquement des informations sur les accidents, il est possible d'obtenir une vision plus large des zones où des risques spécifiques existent et de découvrir les facteurs moins évidents qui ont joué un rôle dans la causalité de l'accident. Des processus de travail spécifiques, des équipes de travail spécifiques ou le travail avec des machines spécifiques peuvent donner lieu à des accidents hautement circonstanciels. Cependant, une étude approfondie des types d'accidents associés à une classe donnée de travail en uniforme peut révéler des facteurs tels que des processus de travail inopportuns, une utilisation incorrecte des matériaux, des conditions de travail difficiles ou le manque d'instruction adéquate des travailleurs. L'analyse de nombreux accidents récurrents révélera les facteurs fondamentaux à prendre en compte lors d'une action préventive.
Signalement des informations sur les accidents aux autorités de sécurité
La législation exigeant la déclaration des accidents du travail varie considérablement d'un pays à l'autre, les différences étant principalement liées aux catégories d'employeurs et d'autres personnes auxquelles s'appliquent les lois. Les pays qui accordent une grande importance à la sécurité sur le lieu de travail exigent généralement que les données sur les accidents soient communiquées à l'autorité responsable de la surveillance du respect de la législation sur la sécurité. (Dans certains cas, la législation exige la déclaration des accidents du travail entraînant une absence du travail, la durée de cette absence variant de 1 à 3 jours en plus du jour de l'accident.) Le point commun à la plupart des législations est le fait que la déclaration est liée avec une sorte de pénalité ou de compensation pour les conséquences des accidents.
Afin de fournir une base solide pour la prévention des accidents du travail, il est nécessaire de sécuriser les informations sur les accidents concernant tous les secteurs et tous les types de métiers. Une base de comparaison devrait être fournie au niveau national afin de permettre de hiérarchiser les actions de prévention et afin que la connaissance des risques associés aux tâches dans différents secteurs puisse être mise à profit dans le travail de prévention. Il est donc recommandé que l'obligation de compiler des informations sur les accidents du travail au niveau national s'applique à tous les accidents du travail d'une gravité déterminée, qu'ils concernent des salariés d'entreprises ou des indépendants, des personnes exerçant un emploi temporaire ou des salariés réguliers, ou des travailleurs des secteurs public ou privé.
Si les employeurs ont, de manière générale, le devoir de déclarer les accidents, c'est un devoir qu'ils accomplissent avec plus ou moins d'enthousiasme. Le degré de respect de l'obligation de déclarer les accidents dépend des incitations qui poussent l'employeur à le faire. Certains pays ont une règle, par exemple, selon laquelle les employeurs seront indemnisés pour l'indemnité d'arrêt de travail d'une victime d'accident, une disposition qui leur donne une bonne raison de déclarer les lésions professionnelles. D'autres pays pénalisent les employeurs qui ne signalent pas les accidents. Lorsque ces types d'incitations n'existent pas, la simple obligation légale qui s'impose à l'employeur n'est pas toujours respectée. Il est par ailleurs recommandé que les informations sur les accidents du travail destinées à des applications préventives soient transmises à l'autorité chargée des activités de prévention, et soient tenues à l'écart de l'autorité d'indemnisation.
Quelles informations doivent être compilées ?
Il existe trois catégories fondamentales d'informations pouvant être obtenues au moyen de l'enregistrement des accidents :
Il est nécessaire de compiler un certain complément de données de base pour bien documenter quand et où un accident se produit et pour analyser comment il se produit. Au niveau de l'entreprise, les données collectées sont plus détaillées que celles rassemblées au niveau national, mais les rapports générés au niveau local contiendront des informations précieuses à tous les niveaux. Le tableau 1 illustre les types particuliers d'informations qui pourraient être enregistrées pour décrire un accident individuel. Les éléments particulièrement pertinents pour la tâche de préparation des statistiques relatives à l'accident sont décrits plus en détail ci-dessous.
Tableau 1. Variables informationnelles caractérisant un accident
Actions |
Articles |
Étape 1 |
|
Activité de la victime : par exemple, faire fonctionner une machine, effectuer l'entretien, conduire, marcher, etc. |
Élément lié à l'activité de la victime : par exemple, presse électrique, outil, véhicule, sol, etc. |
Étape 2 |
|
Action déviante : par exemple, explosion, défaillance structurelle, trébuchement, perte de contrôle de, etc. |
Composant lié à l'action déviante : par exemple, récipient sous pression, mur, câble, véhicule, machine, outil, etc. |
Étape 3 |
|
Action entraînant une blessure : par exemple, frappé par, écrasé, piégé, en contact avec, mordu par, etc. |
Agent de blessure : par exemple, brique, sol, machine, etc. |
Numéro d'identification de l'accident. Tous les accidents du travail doivent se voir attribuer un numéro d'identification unique. Il est particulièrement avantageux d'utiliser un identifiant numérique à des fins d'archivage informatisé et de traitement ultérieur.
Numéro d'identification personnel et date. L'enregistrement de la victime est un élément essentiel de l'identification de l'accident. Le numéro peut être l'anniversaire du travailleur, son numéro d'emploi, son numéro de sécurité sociale ou tout autre identifiant unique. L'enregistrement à la fois d'un numéro d'identification personnel et de la date de l'accident empêchera l'enregistrement en double du même événement accidentel et permettra également de vérifier si l'accident a été signalé. Le lien entre les informations contenues dans le rapport d'accident avec le numéro d'identification personnel peut être protégé à des fins de sécurité.
Nationalité. La nationalité de la victime peut être un élément d'information particulièrement important dans les pays où la main-d'œuvre étrangère est importante. Un numéro de code à deux chiffres peut être sélectionné parmi ceux répertoriés dans la norme DS/ISO 3166.
Profession. Un numéro d'enregistrement professionnel peut être choisi dans la liste des codes professionnels internationaux à quatre chiffres fournie par la Classification internationale type des professions (CITP).
Enterprise. Le nom, l'adresse et le numéro d'identification de l'entreprise sont utilisés dans l'enregistrement des accidents au niveau national (bien que le nom et l'adresse ne puissent pas être utilisés pour l'enregistrement informatique). Le secteur de production de l'entreprise aura généralement été enregistré auprès de son assureur contre les accidents du travail ou enregistré dans le cadre de l'enregistrement de sa main-d'œuvre. Un identifiant numérique du secteur peut être attribué selon le système de classification internationale à cinq chiffres NACE.
Le processus de travail. Un élément essentiel de l'information relative aux accidents du travail est la description du processus de travail effectué au moment où l'accident s'est produit. L'identification du processus de travail est une condition préalable à une prévention bien ciblée. Il convient de noter que le processus de travail est la fonction de travail réelle que la victime exécutait au moment de l'accident et qu'il n'est pas nécessairement identique au processus de travail qui a causé la blessure, le décès ou l'exposition.
L'événement accidentel. Un événement accidentel comprend normalement une chaîne d'événements. Les enquêteurs ont souvent tendance à se concentrer sur la partie du cycle de l'événement au cours de laquelle la blessure s'est réellement produite. Du point de vue de la prévention, cependant, une description de la partie du cycle de l'événement au cours de laquelle quelque chose s'est mal passé et de ce que faisait la victime lorsque l'événement s'est produit est tout aussi importante.
Les conséquences de l'accident. Une fois la partie blessée du corps spécifiée et le type de blessure décrit (ceci est fait en partie en codant à partir d'une liste de contrôle et en partie à partir de la description dans le cycle de l'événement), les informations sont enregistrées décrivant la gravité de la blessure, si elle a entraîné absence du travail (et pendant combien de temps), ou si elle a été fatale ou s'est accompagnée d'une invalidité. Des informations détaillées en termes d'absence prolongée du travail, d'hospitalisation ou d'invalidité sont normalement disponibles auprès des caisses de compensation et du système de sécurité sociale.
Aux fins d'enregistrement, l'examen des événements accidentels est donc divisé selon les trois éléments d'information suivants :
Les exemples suivants illustrent l'application de ces catégories d'analyse :
Signalement des informations sur les accidents
Les informations à obtenir pour chaque accident peuvent être consignées dans un formulaire de rapport similaire à celui illustré à la figure 1.
Figure 1. Exemple de formulaire de rapport
Les informations du formulaire de rapport peuvent être enregistrées sur un ordinateur en utilisant des clés de classification. (Lorsque des systèmes de classification internationale peuvent être recommandés, ceux-ci sont mentionnés dans la description des variables d'information individuelles, donnée ci-dessus.) dans l'établissement d'un système d'enregistrement harmonisé font partie d'une proposition rédigée par l'Union européenne.
L'utilisation des statistiques d'accidents
Les statistiques d'accidents constituent un instrument précieux dans un large éventail de contextes : cartographie, surveillance et alerte, hiérarchisation des zones de prévention, mesures de prévention spécifiques, recherche et recherche d'informations. Un domaine peut chevaucher un autre, mais les principes d'application varient.
Cartographie
Cartographie des données sur les accidents du travail implique l'extraction de types d'informations prédéterminés à partir d'une accumulation de données enregistrées et l'analyse des interrelations entre elles. Les exemples suivants illustreront l'utilité des applications cartographiques.
Surveillance et alerte
Le Monitoring est un processus de surveillance continue accompagné de avertissement des risques majeurs, et notamment de l'évolution de ces risques. Les changements observés dans les rapports d'accident entrants peuvent soit être révélateurs de changements dans le mode de notification, soit, plus sérieusement, refléter de véritables changements dans les facteurs de risque. On peut dire que des risques majeurs existent là où il y a une fréquence élevée de blessures, où de nombreuses blessures graves se produisent et où il y a un grand groupe humain exposé.
Établissement des priorités
Établissement des priorités est la sélection des zones à risque ou des problèmes d'environnement de travail les plus importants pour une action préventive. Grâce aux résultats des enquêtes cartographiques et des activités de surveillance et d'alerte, un registre des accidents du travail peut être construit qui peut contribuer à cet établissement de priorités, dont les éléments pourraient inclure les éléments suivants :
Les données tirées d'un registre des accidents du travail peuvent être utilisées pour établir des priorités à plusieurs niveaux, peut-être au niveau national global ou au niveau plus particulier de l'entreprise. Quel que soit le niveau, les analyses et les évaluations peuvent être faites sur la base des mêmes principes.
Prévention
Les analyses et la documentation utilisées à des fins préventives sont généralement très spécifiques et concentrées sur des domaines limités mais traités de manière très approfondie. Un exemple d'une telle analyse est la campagne contre les accidents mortels menée par le Service national danois de l'inspection du travail. Des relevés cartographiques préliminaires ont permis d'identifier les métiers et les fonctions de travail dans lesquels des accidents mortels se sont produits. Les tracteurs agricoles ont été choisis comme domaine d'intérêt pour l'analyse. Le but de l'analyse était alors de déterminer ce qui rendait les tracteurs si dangereux. Des questions ont été posées pour savoir qui les conduisait, où ils étaient opérés, quand les accidents se sont produits et, en particulier, quels types de situations et d'événements ont conduit aux accidents. L'analyse a permis de décrire sept situations types qui ont le plus souvent conduit à des accidents. Sur la base de cette analyse, un programme préventif a été formulé.
Le nombre d'accidents du travail dans une seule entreprise est souvent trop faible pour fournir des statistiques exploitables pour une analyse préventive. Une analyse du schéma des accidents peut être utilisée pour prévenir la répétition de blessures spécifiques, mais peut difficilement réussir à prévenir la survenue d'accidents qui, d'une manière ou d'une autre, diffèrent des cas antérieurs. À moins que l'objet de l'enquête ne soit une entreprise assez grande, il est donc préférable d'effectuer de telles analyses sur un groupe d'entreprises de nature très similaire ou sur un groupe de processus de production du même type. Par exemple, une analyse de l'industrie du bois montre que les accidents survenus avec des machines de coupe concernent principalement des blessures aux doigts. Les accidents de transport consistent principalement en des blessures aux pieds et aux jambes, et les lésions cérébrales et l'eczéma sont les risques les plus courants dans le secteur du traitement de surface. Une analyse plus détaillée des processus de travail pertinents au sein de l'industrie peut révéler les situations qui provoquent généralement des accidents. Sur la base de ces informations, les experts de l'industrie concernée peuvent alors identifier le moment où de telles situations sont susceptibles de se produire et les possibilités de prévention.
Recherche et recherche d'informations
L'une des utilisations les plus courantes de systèmes d'information tels que les systèmes de classement et de bibliothèque est la récupération d'informations d'une nature spécifique et bien définie à des fins de recherche sur la sécurité. Par exemple, dans une étude dont le but était de formuler une réglementation concernant les travaux sur les toits, le doute a été soulevé quant à l'existence d'un risque particulier attaché à de tels travaux. La croyance dominante était que les gens étaient très rarement blessés en tombant d'un toit pendant qu'ils travaillaient. Cependant, en l'occurrence, un registre des accidents du travail a permis de retrouver tous les procès-verbaux faisant état de blessures par chute de toit et un nombre considérable de cas ont en effet été découverts, confirmant l'importance de continuer à formuler des réglementations dans ce domaine.
A combustion propre peut être défini comme un ensemble de composants interdépendants combinés de manière à remplir une fonction donnée dans des conditions spécifiées. Une machine est un exemple concret et particulièrement net de système en ce sens, mais il existe d'autres systèmes, impliquant des hommes et des femmes dans une équipe ou dans un atelier ou une usine, qui sont beaucoup plus complexes et moins faciles à définir. Sécurité suggère l'absence de danger ou de risque d'accident ou de blessure. Afin d'éviter toute ambiguïté, le concept général de événement indésirable seront employés. La sécurité absolue, au sens de l'impossibilité qu'un incident plus ou moins malheureux se produise, n'est pas atteignable ; de manière réaliste, il faut viser une probabilité très faible plutôt qu'une probabilité nulle d'occurrences indésirables.
Un système donné peut être considéré comme sûr ou non sûr uniquement en ce qui concerne les performances qui en sont réellement attendues. Dans cette optique, le niveau de sécurité d'un système peut être défini comme suit : "Pour tout ensemble donné d'événements indésirables, le niveau de sécurité (ou d'insécurité) d'un système est déterminé par la probabilité que ces événements se produisent sur une période donnée. période de temps". Parmi les exemples d'événements indésirables qui seraient intéressants dans le cadre du présent rapport, citons : les décès multiples, la mort d'une ou plusieurs personnes, les blessures graves, les blessures légères, les dommages à l'environnement, les effets néfastes sur les êtres vivants, la destruction d'usines ou de bâtiments, et les ou des dommages matériels ou matériels limités.
Objectif de l'analyse du système de sécurité
L'objet d'une analyse de sécurité du système est de déterminer les facteurs qui influent sur la probabilité des événements indésirables, d'étudier la manière dont ces événements se produisent et, finalement, de développer des mesures préventives pour réduire leur probabilité.
La phase analytique du problème peut être divisée en deux aspects principaux :
Une fois les différents dysfonctionnements et leurs conséquences étudiés, les analystes de la sécurité du système peuvent porter leur attention sur les mesures préventives. La recherche dans ce domaine s'appuiera directement sur les découvertes antérieures. Cette investigation des moyens préventifs suit les deux principaux aspects de l'analyse de sûreté du système.
Méthodes d'analyse
L'analyse de sécurité du système peut être réalisée avant ou après l'événement (a priori ou a posteriori) ; dans les deux cas, la méthode utilisée peut être directe ou inverse. Une analyse a priori a lieu avant l'événement indésirable. L'analyste prend un certain nombre de ces occurrences et s'attache à découvrir les différentes étapes qui peuvent y conduire. En revanche, une analyse a posteriori est effectuée après que l'événement indésirable s'est produit. Son objectif est de fournir des orientations pour l'avenir et, en particulier, de tirer toutes les conclusions qui peuvent être utiles pour d'éventuelles analyses a priori ultérieures.
S'il peut sembler qu'une analyse a priori serait bien plus précieuse qu'une analyse a posteriori, puisqu'elle précède l'incident, les deux sont en fait complémentaires. La méthode utilisée dépend de la complexité du système impliqué et de ce que l'on sait déjà sur le sujet. Dans le cas de systèmes tangibles tels que des machines ou des installations industrielles, l'expérience antérieure peut généralement servir à préparer une analyse a priori assez détaillée. Cependant, même dans ce cas, l'analyse n'est pas forcément infaillible et ne manquera pas de bénéficier d'une analyse ultérieure a posteriori basée essentiellement sur l'étude des incidents survenus en cours d'exploitation. Quant aux systèmes plus complexes impliquant des personnes, tels que les équipes de travail, les ateliers ou les usines, l'analyse a posteriori est encore plus importante. Dans de tels cas, l'expérience passée n'est pas toujours suffisante pour permettre une analyse a priori détaillée et fiable.
Une analyse a posteriori peut évoluer vers une analyse a priori lorsque l'analyste va au-delà du seul processus qui a conduit à l'incident en question et commence à examiner les différents événements qui pourraient raisonnablement conduire à un tel incident ou à des incidents similaires.
Une autre manière dont une analyse a posteriori peut devenir une analyse a priori consiste à mettre l'accent non pas sur l'événement (dont la prévention est l'objectif principal de l'analyse actuelle) mais sur des incidents moins graves. Ces incidents, tels que les incidents techniques, les dégâts matériels et les accidents potentiels ou mineurs, relativement peu importants en eux-mêmes, peuvent être identifiés comme des signes annonciateurs d'événements plus graves. Dans de tels cas, bien que réalisée après la survenance d'incidents mineurs, l'analyse sera une analyse a priori sur des événements plus graves qui n'ont pas encore eu lieu.
Il existe deux méthodes possibles pour étudier le mécanisme ou la logique derrière la séquence de deux événements ou plus :
La figure 1 est un schéma d'un circuit de commande nécessitant deux boutons (B1 et B2) à appuyer simultanément pour activer la bobine de relais (R) et démarrer la machine. Cet exemple peut être utilisé pour illustrer, en termes pratiques, la ainsi que inverser méthodes utilisées dans l'analyse de la sécurité des systèmes.
Figure 1. Circuit de commande à deux boutons
Méthode directe
Dans le méthode directe, l'analyste commence par (1) répertorier les défauts, dysfonctionnements et inadaptations, (2) étudier leurs effets et (3) déterminer si ces effets constituent ou non une menace pour la sécurité. Dans le cas de la figure 1, les défauts suivants peuvent se produire :
L'analyste peut alors déduire les conséquences de ces défauts, et les constatations peuvent être présentées sous forme de tableau (tableau 1).
Tableau 1. Dysfonctionnements possibles d'un circuit de commande à deux boutons et leurs conséquences
Défauts |
Conséquences |
Rupture du fil entre 2 et 2' |
Impossible de démarrer la machine* |
Fermeture accidentelle de B1 (ou B2 ) |
Pas de conséquence immédiate |
Contacter chez C1 (ou C2 ) en conséquence de |
Pas de conséquence immédiate mais possibilité de |
Court-circuit entre 1 et 1' |
Activation de la bobine de relais R—démarrage accidentel de |
* Occurrence ayant une influence directe sur la fiabilité du système
** Occurrence responsable d'une baisse importante du niveau de sécurité du système
*** Événement dangereux à éviter
Voir texte et figure 1.
Dans le tableau 1, les conséquences dangereuses ou susceptibles de réduire gravement le niveau de sécurité du système peuvent être désignées par des signes conventionnels tels que ***.
Remarque: Dans le tableau 1, une rupture de câble entre 2 et 2´ (illustrée à la figure 1) entraîne un événement qui n'est pas considéré comme dangereux. Il n'a pas d'effet direct sur la sécurité du système ; cependant, la probabilité qu'un tel incident se produise a une incidence directe sur la fiabilité du système.
La méthode directe est particulièrement adaptée à la simulation. La figure 2 montre un simulateur analogique conçu pour étudier la sécurité des circuits de commande de presse. La simulation du circuit de commande permet de vérifier que, tant qu'il n'y a pas de défaut, le circuit est effectivement capable d'assurer la fonction requise sans enfreindre les critères de sécurité. De plus, le simulateur peut permettre à l'analyste d'introduire des défauts dans les différents composants du circuit, d'observer leurs conséquences et ainsi de distinguer les circuits bien conçus (avec peu ou pas de défauts dangereux) de ceux qui sont mal conçus. Ce type d'analyse de sécurité peut également être effectué à l'aide d'un ordinateur.
Figure 2. Simulateur pour l'étude des circuits de commande de presse
Méthode inverse
Dans le méthode inverse, l'analyste remonte de l'occurrence, incident ou accident indésirable, vers les différents événements antérieurs pour déterminer lesquels sont susceptibles d'entraîner les occurrences à éviter. Dans la figure 1, l'événement ultime à éviter serait le démarrage intempestif de la machine.
Les résultats de cette analyse peuvent être représentés dans un diagramme qui ressemble à un arbre (pour cette raison, la méthode inverse est connue sous le nom d'"analyse par arbre de défaillance"), comme illustré à la figure 3.
Figure 3. Chaîne d'événements possible
Le diagramme suit des opérations logiques, dont les plus importantes sont les opérations "OU" et "ET". L'opération "OU" signifie que [X1] se produira si [A] ou [B] (ou les deux) se produisent. L'opération "ET" signifie qu'avant [X2] peut se produire, [C] et [D] doivent avoir eu lieu (voir figure 4).
Figure 4. Représentation de deux opérations logiques
La méthode inverse est très souvent utilisée dans l'analyse a priori de systèmes tangibles, notamment dans les industries chimiques, aéronautiques, spatiales et nucléaires. Il s'est également avéré extrêmement utile comme méthode d'enquête sur les accidents industriels.
Bien que très différentes, les méthodes directe et inverse sont complémentaires. La méthode directe repose sur un ensemble de défauts ou de dysfonctionnements, et la valeur d'une telle analyse dépend donc largement de la pertinence des différents dysfonctionnements pris en compte au départ. Vue sous cet angle, la méthode inverse semble plus systématique. Connaissant les types d'accidents ou d'incidents susceptibles de se produire, l'analyste peut en théorie appliquer cette méthode pour remonter vers tous les dysfonctionnements ou combinaisons de dysfonctionnements susceptibles de les provoquer. Cependant, tous les comportements dangereux d'un système n'étant pas nécessairement connus à l'avance, ils peuvent être découverts par la méthode directe, appliquée par simulation par exemple. Une fois ceux-ci découverts, les dangers peuvent être analysés plus en détail par la méthode inverse.
Problèmes d'analyse de la sécurité du système
Les méthodes analytiques décrites ci-dessus ne sont pas seulement des processus mécaniques qui doivent seulement être appliqués automatiquement afin de parvenir à des conclusions utiles pour améliorer la sécurité du système. Au contraire, les analystes rencontrent un certain nombre de problèmes au cours de leur travail, et l'utilité de leurs analyses dépendra largement de la manière dont ils s'y prendront pour les résoudre. Certains des problèmes typiques qui peuvent survenir sont décrits ci-dessous.
Comprendre le système à étudier et ses conditions de fonctionnement
Les problèmes fondamentaux de toute analyse de sûreté d'un système sont la définition du système à étudier, ses limites et les conditions dans lesquelles il est censé fonctionner tout au long de son existence.
Si l'analyste prend en compte un sous-système trop limité, le résultat peut être l'adoption d'une série de mesures préventives aléatoires (situation dans laquelle tout est conçu pour prévenir certains types d'événements particuliers, tandis que des risques tout aussi graves sont ignorés ou sous-estimés ). Si, en revanche, le système considéré est trop complet ou général par rapport à un problème donné, il peut en résulter un trop grand flou de concept et de responsabilités, et l'analyse peut ne pas conduire à l'adoption de mesures préventives appropriées.
Un exemple typique qui illustre le problème de la définition du système à étudier est la sécurité des machines ou installations industrielles. Dans ce genre de situation, l'analyste peut être tenté de ne considérer que l'équipement lui-même, négligeant le fait qu'il doit être opéré ou contrôlé par une ou plusieurs personnes. Une telle simplification est parfois valable. Cependant, ce qui doit être analysé n'est pas seulement le sous-système de la machine, mais l'ensemble du système travailleur plus machine aux différentes étapes de la vie de l'équipement (y compris, par exemple, le transport et la manutention, l'assemblage, les essais et les réglages, le fonctionnement normal , entretien, démontage et, dans certains cas, destruction). A chaque étape la machine fait partie d'un système spécifique dont la finalité et les modes de fonctionnement et de dysfonctionnement sont totalement différents de ceux du système aux autres étapes. Il doit donc être conçu et fabriqué de manière à permettre l'exécution de la fonction requise dans de bonnes conditions de sécurité à chacun des étages.
Plus généralement, en matière d'études de sécurité dans les entreprises, il existe plusieurs niveaux de système : la machine, le poste de travail, l'équipe, le service, l'usine et l'entreprise dans son ensemble. Selon le niveau du système considéré, les types de dysfonctionnement possibles et les mesures préventives pertinentes sont assez différents. Une bonne politique de prévention doit tenir compte des dysfonctionnements qui peuvent survenir à différents niveaux.
Les conditions de fonctionnement du système peuvent être définies en fonction de la manière dont le système est censé fonctionner, et des conditions environnementales auxquelles il peut être soumis. Cette définition doit être suffisamment réaliste pour tenir compte des conditions réelles dans lesquelles le système est susceptible de fonctionner. Un système qui n'est très sûr que dans une plage de fonctionnement très restreinte peut ne pas l'être si l'utilisateur est incapable de rester dans la plage de fonctionnement théorique prescrite. Un système sûr doit donc être suffisamment robuste pour supporter des variations raisonnables de ses conditions de fonctionnement, et tolérer certaines erreurs simples mais prévisibles de la part des opérateurs.
Modélisation du système
Il est souvent nécessaire de développer un modèle pour analyser la sécurité d'un système. Cela peut soulever certains problèmes qui méritent d'être examinés.
Pour un système concis et relativement simple comme une machine conventionnelle, le modèle est presque directement déduit des descriptions des composants matériels et de leurs fonctions (moteurs, transmission, etc.) et de la manière dont ces composants sont interdépendants. Le nombre de modes de défaillance possibles des composants est également limité.
Les machines modernes comme les ordinateurs et les robots, qui contiennent des composants complexes comme des microprocesseurs et des circuits électroniques à très grande échelle d'intégration, posent un problème particulier. Ce problème n'est pas totalement résolu ni en termes de modélisation ni de prédiction des différents modes de défaillance possibles, du fait de la multiplicité des transistors élémentaires dans chaque puce et de l'utilisation de logiciels divers.
Lorsque le système à analyser est une organisation humaine, un problème intéressant rencontré en modélisation réside dans le choix et la définition de certains composants immatériels ou non entièrement matériels. Un poste de travail particulier peut être représenté, par exemple, par un système comprenant des travailleurs, des logiciels, des tâches, des machines, des matériaux et un environnement. (La composante « tâche » peut s'avérer difficile à définir, car ce n'est pas la tâche prescrite qui compte mais la tâche telle qu'elle est effectivement réalisée).
Lors de la modélisation des organisations humaines, l'analyste peut choisir de décomposer le système considéré en un sous-système d'information et un ou plusieurs sous-systèmes d'action. L'analyse des défaillances aux différentes étapes du sous-système informationnel (acquisition, transmission, traitement et utilisation de l'information) peut être très instructive.
Problèmes associés aux multiples niveaux d'analyse
Les problèmes associés aux multiples niveaux d'analyse se développent souvent car partant d'un événement indésirable, l'analyste peut remonter vers des incidents de plus en plus éloignés dans le temps. Selon le niveau d'analyse considéré, la nature des dysfonctionnements qui surviennent varie ; il en va de même pour les mesures préventives. Il est important de pouvoir décider à quel niveau l'analyse doit être arrêtée et à quel niveau une action préventive doit être entreprise. Un exemple est le cas simple d'un accident résultant d'une défaillance mécanique causée par l'utilisation répétée d'une machine dans des conditions anormales. Cela peut être dû à un manque de formation des opérateurs ou à une mauvaise organisation du travail. Selon le niveau d'analyse considéré, l'action préventive requise peut être le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères, l'utilisation de la machine uniquement dans des conditions normales, une modification de la formation du personnel ou une réorganisation des travail.
L'efficacité et la portée d'une mesure préventive dépendent du niveau auquel elle est introduite. Une action préventive à proximité immédiate de l'événement indésirable est plus susceptible d'avoir un impact direct et rapide, mais ses effets peuvent être limités ; d'autre part, en travaillant raisonnablement à rebours dans l'analyse des événements, il devrait être possible de retrouver des types de dysfonctionnements communs à de nombreux accidents. Toute action préventive entreprise à ce niveau aura une portée beaucoup plus large, mais son efficacité risque d'être moins directe.
Sachant qu'il existe plusieurs niveaux d'analyse, il peut également exister de nombreux schémas d'action préventive, chacun portant sa part du travail de prévention. C'est là un point extrêmement important, et il suffit de revenir à l'exemple de l'accident actuellement considéré pour s'en rendre compte. Proposer le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères fait peser sur la machine la charge de la prévention. Décider que la machine ne doit être utilisée que dans des conditions normales revient à en imposer la responsabilité à l'utilisateur. De même, la charge peut être mise sur la formation du personnel, l'organisation du travail ou à la fois sur la machine, l'utilisateur, la fonction formation et la fonction organisation.
A un niveau d'analyse donné, un accident apparaît souvent comme la conséquence de la conjonction de plusieurs dysfonctionnements ou inadaptations. Selon que l'on agit sur un dysfonctionnement ou sur un autre, ou sur plusieurs simultanément, le schéma d'action préventive adopté sera différent.
Les outils font tellement partie de nos vies qu'il est parfois difficile de se rappeler qu'ils peuvent présenter des dangers. Tous les outils sont fabriqués dans un souci de sécurité, mais il peut arriver qu'un accident se produise avant que les dangers liés à l'outil ne soient reconnus. Les travailleurs doivent apprendre à reconnaître les dangers associés aux différents types d'outils et les mesures de sécurité nécessaires pour prévenir ces dangers. Un équipement de protection individuelle approprié, tel que des lunettes de sécurité ou des gants, doit être porté pour se protéger des dangers potentiels pouvant être rencontrés lors de l'utilisation d'outils électriques portatifs et d'outils à main.
Outils
Les outils à main ne sont pas motorisés et comprennent tout, des haches aux clés. Les plus grands dangers posés par les outils à main résultent d'une mauvaise utilisation, de l'utilisation d'un outil inapproprié pour le travail et d'un entretien inapproprié. Certains des dangers associés à l'utilisation d'outils à main comprennent, mais sans s'y limiter, les suivants :
L'employeur est responsable de l'état sécuritaire des outils et de l'équipement fournis aux employés, mais les employés ont la responsabilité d'utiliser et d'entretenir correctement les outils. Les travailleurs doivent éloigner les lames de scie, les couteaux ou les autres outils des allées et des autres employés travaillant à proximité. Les couteaux et les ciseaux doivent être aiguisés, car les outils émoussés peuvent être plus dangereux que les outils tranchants. (Voir figure 1.)
Figure 1. Un tournevis
La sécurité exige que les sols soient maintenus aussi propres et secs que possible pour éviter les glissades accidentelles lors du travail avec ou autour d'outils à main dangereux. Bien que les étincelles produites par les outils à main en fer et en acier ne soient normalement pas assez chaudes pour être des sources d'inflammation, lorsque vous travaillez avec ou autour de matériaux inflammables, des outils résistants aux étincelles en laiton, en plastique, en aluminium ou en bois peuvent être utilisés pour empêcher la formation d'étincelles.
Outils électriques
Les outils électriques sont dangereux lorsqu'ils sont mal utilisés. Il existe plusieurs types d'outils électriques, généralement classés en fonction de la source d'alimentation (électrique, pneumatique, à combustible liquide, hydraulique, à vapeur et à poudre explosive). Les employés doivent être qualifiés ou formés à l'utilisation de tous les outils électriques utilisés dans leur travail. Ils doivent comprendre les dangers potentiels associés à l'utilisation d'outils électriques et observer les consignes de sécurité générales suivantes pour éviter que ces dangers ne se produisent :
Gardes de protection
Les pièces mobiles dangereuses des outils électriques doivent être protégées. Par exemple, les courroies, les engrenages, les arbres, les poulies, les pignons, les broches, les tambours, les volants d'inertie, les chaînes ou autres pièces d'équipement à mouvement alternatif, rotatif ou mobile doivent être protégés si ces pièces sont exposées au contact des travailleurs. Si nécessaire, des protections doivent être fournies pour protéger l'opérateur et les autres contre les dangers associés à :
Les protections de sécurité ne doivent jamais être retirées lorsqu'un outil est utilisé. Par exemple, les scies circulaires portatives doivent être équipées de protections. Une protection supérieure doit recouvrir toute la lame de la scie. Un protecteur inférieur escamotable doit recouvrir les dents de la scie, sauf lorsqu'il entre en contact avec le matériau à travailler. Le protecteur inférieur doit revenir automatiquement en position de recouvrement lorsque l'outil est retiré du travail. Remarquez les protège-lames sur l'illustration d'une scie électrique (figure 2).
Figure 2. Une scie circulaire avec protection
Interrupteurs et commandes de sécurité
Voici des exemples d'outils électriques portatifs qui doivent être équipés d'un interrupteur de commande « marche-arrêt » à contact momentané :
Ces outils peuvent également être équipés d'une commande de verrouillage, à condition que l'arrêt puisse être accompli par un seul mouvement du même doigt ou des doigts qui l'ont mis en marche.
Les outils électriques portatifs suivants peuvent être équipés uniquement d'un interrupteur de commande positif « marche-arrêt » :
Les autres outils électriques portatifs qui doivent être équipés d'un interrupteur à pression constante qui coupe l'alimentation lorsque la pression est relâchée comprennent :
Outils électriques
Les travailleurs utilisant des outils électriques doivent être conscients de plusieurs dangers. Le plus grave d'entre eux est la possibilité d'électrocution, suivie de brûlures et de légers chocs. Dans certaines conditions, même une petite quantité de courant peut entraîner une fibrillation du cœur pouvant entraîner la mort. Un choc peut également faire tomber un travailleur d'une échelle ou d'autres surfaces de travail surélevées.
Pour réduire le risque de blessure des travailleurs par choc électrique, les outils doivent être protégés par au moins l'un des moyens suivants :
Figure 3. Une perceuse électrique
Ces pratiques générales de sécurité doivent être suivies lors de l'utilisation d'outils électriques :
Meules abrasives motorisées
Les meules de meulage, de coupe, de polissage et de polissage à l'abrasif motorisé créent des problèmes de sécurité particuliers car les meules peuvent se désintégrer et projeter des fragments volants.
Avant de monter les meules abrasives, elles doivent être inspectées de près et sonorisées (ou sonorisées) en tapotant doucement avec un instrument léger non métallique pour s'assurer qu'elles sont exemptes de fissures ou de défauts. Si les roues sont fissurées ou semblent mortes, elles pourraient voler en éclats en cours de fonctionnement et ne doivent pas être utilisées. Une roue saine et en bon état donnera une tonalité métallique claire ou un "sonnerie".
Pour éviter que la roue ne se fissure, l'utilisateur doit s'assurer qu'elle s'adapte librement sur l'axe. L'écrou de fusée doit être suffisamment serré pour maintenir la roue en place sans déformer le flasque. Suivez les recommandations du fabricant. Des précautions doivent être prises pour s'assurer que la meule de broche ne dépassera pas les spécifications de la meule abrasive. En raison de la possibilité qu'une roue se désintègre (explose) lors du démarrage, le travailleur ne doit jamais se tenir directement devant la roue lorsqu'elle accélère à pleine vitesse de fonctionnement. Les outils de meulage portatifs doivent être équipés de protections de sécurité pour protéger les travailleurs non seulement de la surface de la meule en mouvement, mais également des éclats projetés en cas de bris. De plus, lors de l'utilisation d'une meuleuse électrique, ces précautions doivent être respectées :
Outils pneumatiques
Les outils pneumatiques sont alimentés par de l'air comprimé et comprennent des déchiqueteuses, des perceuses, des marteaux et des ponceuses. Bien qu'il existe plusieurs dangers potentiels liés à l'utilisation d'outils pneumatiques, le principal est le risque d'être heurté par l'un des accessoires de l'outil ou par une sorte de fixation que le travailleur utilise avec l'outil. Une protection oculaire est requise et une protection faciale est recommandée lorsque vous travaillez avec des outils pneumatiques. Le bruit est un autre danger. Travailler avec des outils bruyants tels que des marteaux-piqueurs nécessite une utilisation appropriée et efficace d'une protection auditive appropriée.
Lors de l'utilisation d'un outil pneumatique, le travailleur doit s'assurer qu'il est solidement fixé au tuyau pour éviter une déconnexion. Un fil court ou un dispositif de verrouillage positif fixant le tuyau d'air à l'outil servira de protection supplémentaire. Si un tuyau d'air a plus de ½ pouce (1.27 cm) de diamètre, une soupape de sécurité en excès de débit doit être installée à la source de l'alimentation en air pour couper automatiquement l'air en cas de rupture du tuyau. En général, les mêmes précautions doivent être prises avec un tuyau d'air que celles recommandées pour les cordons électriques, car le tuyau est sujet au même type de dommages ou de chocs accidentels, et il présente également un risque de trébuchement.
Les pistolets à air comprimé ne doivent jamais être pointés vers qui que ce soit. Les travailleurs ne doivent jamais « culbuter » la buse contre eux-mêmes ou contre quelqu'un d'autre. Un clip ou un dispositif de retenue de sécurité doit être installé pour empêcher les accessoires, tels qu'un ciseau sur un marteau à piquer, d'être accidentellement tirés du canon. Des écrans doivent être installés pour protéger les travailleurs à proximité contre les impacts de fragments volants autour des déchiqueteuses, des pistolets à riveter, des marteaux pneumatiques, des agrafeuses ou des perceuses pneumatiques.
Les pistolets pulvérisateurs sans air qui atomisent les peintures et les fluides à haute pression (1,000 XNUMX livres ou plus par pouce carré) doivent être équipés de dispositifs de sécurité visuels automatiques ou manuels qui empêcheront l'activation jusqu'à ce que le dispositif de sécurité soit relâché manuellement. Les marteaux-piqueurs lourds peuvent causer de la fatigue et des tensions qui peuvent être réduites par l'utilisation de poignées en caoutchouc lourdes qui offrent une prise en main sûre. Un travailleur qui utilise un marteau-piqueur doit porter des lunettes de sécurité et des chaussures de sécurité pour se protéger contre les blessures si le marteau glisse ou tombe. Un écran facial doit également être utilisé.
Outils à essence
Les outils à essence fonctionnent généralement à l'aide de petits moteurs à combustion interne à essence. Les dangers potentiels les plus graves associés à l'utilisation d'outils à carburant proviennent des vapeurs de carburant dangereuses qui peuvent brûler ou exploser et dégager des gaz d'échappement dangereux. Le travailleur doit veiller à manipuler, transporter et entreposer l'essence ou le carburant uniquement dans des contenants de liquides inflammables approuvés, conformément aux procédures appropriées pour les liquides inflammables. Avant de remplir le réservoir d'un outil à essence, l'utilisateur doit arrêter le moteur et le laisser refroidir pour éviter l'inflammation accidentelle de vapeurs dangereuses. Si un outil à essence est utilisé à l'intérieur d'une zone fermée, une ventilation efficace et/ou un équipement de protection est nécessaire pour éviter l'exposition au monoxyde de carbone. Des extincteurs doivent être disponibles dans la zone.
Outils à poudre explosive
Les outils explosifs à poudre fonctionnent comme un pistolet chargé et doivent être traités avec le même respect et les mêmes précautions. En fait, ils sont si dangereux qu'ils ne doivent être utilisés que par des employés spécialement formés ou qualifiés. Une protection appropriée des oreilles, des yeux et du visage est essentielle lors de l'utilisation d'un pistolet à poudre. Tous les outils actionnés par poudre doivent être conçus pour des charges de poudre variables afin que l'utilisateur puisse sélectionner un niveau de poudre nécessaire pour effectuer le travail sans force excessive.
L'extrémité de la bouche de l'outil doit être munie d'un bouclier protecteur ou d'une garde centré perpendiculairement sur le canon pour protéger l'utilisateur de tout éclat ou particule volante qui pourrait créer un danger lorsque l'outil est tiré. L'outil doit être conçu de manière à ne pas tirer s'il n'est pas équipé de ce type de dispositif de sécurité. Pour éviter que l'outil ne tire accidentellement, deux mouvements distincts sont nécessaires pour le tir : un pour amener l'outil en position et un autre pour appuyer sur la gâchette. Les outils ne doivent pas pouvoir fonctionner tant qu'ils ne sont pas pressés contre la surface de travail avec une force d'au moins 5 livres supérieure au poids total de l'outil.
Si un outil à poudre a des ratés, l'utilisateur doit attendre au moins 30 secondes avant d'essayer de le tirer à nouveau. Si elle ne se déclenche toujours pas, l'utilisateur doit attendre au moins 30 secondes supplémentaires afin que la cartouche défectueuse soit moins susceptible d'exploser, puis retirer soigneusement la charge. La cartouche défectueuse doit être mise dans l'eau ou autrement éliminée en toute sécurité conformément aux procédures de l'employeur.
Si un pistolet à poudre présente un défaut pendant son utilisation, il doit être étiqueté et mis hors service immédiatement jusqu'à ce qu'il soit correctement réparé. Les précautions à prendre pour une utilisation et une manipulation en toute sécurité des pistolets à poudre comprennent les suivantes :
Lors de l'utilisation d'outils à poudre pour appliquer des fixations, les précautions de sécurité suivantes doivent être prises en compte :
Outils hydrauliques
Le fluide utilisé dans les outils électriques hydrauliques doit être approuvé pour l'utilisation prévue et doit conserver ses caractéristiques de fonctionnement aux températures les plus extrêmes auxquelles il sera exposé. La pression de fonctionnement sécuritaire recommandée par le fabricant pour les tuyaux, vannes, tuyaux, filtres et autres raccords ne doit pas être dépassée. Lorsqu'il existe un risque de fuite sous haute pression dans une zone où des sources d'inflammation, telles que des flammes nues ou des surfaces chaudes, peuvent être présentes, l'utilisation de fluides résistants au feu comme fluide hydraulique doit être envisagée.
Jacks
Tous les crics - crics à levier et à cliquet, crics à vis et crics hydrauliques - doivent être munis d'un dispositif qui les empêche de monter trop haut. La limite de charge du fabricant doit être marquée de manière permanente à un endroit bien en vue sur le cric et ne doit pas être dépassée. Utilisez des cales en bois sous la base si nécessaire pour niveler et sécuriser le cric. Si la surface de levage est en métal, placez un bloc de bois dur de 1 pouce d'épaisseur (2.54 cm) ou l'équivalent entre le dessous de la surface et la tête du cric en métal pour réduire le risque de glissement. Un cric ne doit jamais être utilisé pour supporter une charge soulevée. Une fois la charge soulevée, elle doit être immédiatement soutenue par des cales.
Pour mettre en place un cric, assurez-vous des conditions suivantes :
Un bon entretien des vérins est essentiel pour la sécurité. Tous les crics doivent être inspectés avant chaque utilisation et lubrifiés régulièrement. Si un cric est soumis à une charge ou à un choc anormal, il doit être soigneusement examiné pour s'assurer qu'il n'a pas été endommagé. Les vérins hydrauliques exposés au gel doivent être remplis d'un liquide antigel adéquat.
Résumé
Les travailleurs qui utilisent des outils manuels et électriques et qui sont exposés aux risques de chute, de vol, d'objets et de matériaux abrasifs et d'éclaboussures, ou aux risques de poussières, fumées, brouillards, vapeurs ou gaz nocifs, doivent disposer de l'équipement personnel approprié nécessaire pour les protéger du danger. Tous les risques liés à l'utilisation d'outils électriques peuvent être évités par les travailleurs en suivant cinq règles de sécurité de base :
Les employés et les employeurs ont la responsabilité de travailler ensemble pour maintenir les pratiques de travail sécuritaires établies. Si un outil dangereux ou une situation dangereuse est rencontré, il doit être immédiatement porté à l'attention de la personne appropriée.
Cet article traite des situations et enchaînements d'événements conduisant à des accidents imputables au contact avec la partie mobile des machines. Les personnes qui utilisent et entretiennent des machines courent le risque d'être impliquées dans des accidents graves. Les statistiques américaines suggèrent que 18,000 800 amputations et plus de 1979 décès aux États-Unis chaque année sont attribuables à de telles causes. Selon le National Institute for Occupational Safety and Health (NIOSH) des États-Unis, la catégorie de blessures « pris dans, sous ou entre » dans leur classification se classait au premier rang parmi les types de blessures professionnelles les plus importants en 1990. Ces blessures impliquaient généralement des machines ( Etherton et Myers 10). Le « contact avec une pièce mobile de la machine » a été signalé comme le principal événement traumatisant dans un peu plus de 1979 % des accidents du travail depuis que cette catégorie a été introduite dans les statistiques suédoises sur les accidents du travail en XNUMX.
La plupart des machines ont des pièces mobiles qui peuvent causer des blessures. De telles pièces mobiles peuvent être trouvées au point de fonctionnement où le travail est effectué sur le matériau, tel que là où la coupe, la mise en forme, le perçage ou la déformation a lieu. On les trouve dans les appareils qui transmettent l'énergie aux parties de la machine effectuant le travail, telles que les volants d'inertie, les poulies, les bielles, les coupleurs, les cames, les broches, les chaînes, les manivelles et les engrenages. Ils peuvent se trouver dans d'autres parties mobiles de la machine telles que les roues des équipements mobiles, les moteurs à engrenages, les pompes, les compresseurs, etc. Les mouvements dangereux des machines peuvent également être trouvés parmi d'autres types de machines, en particulier dans les équipements auxiliaires qui manipulent et transportent des charges telles que des pièces, des matériaux, des déchets ou des outils.
Toutes les pièces d'une machine qui bougent au cours de l'exécution du travail peuvent contribuer à des accidents causant des blessures et des dommages. Les mouvements rotatifs et linéaires des machines, ainsi que leurs sources d'énergie, peuvent être dangereux :
Mouvement de rotation. Même les arbres rotatifs lisses peuvent saisir un vêtement et, par exemple, entraîner le bras d'une personne dans une position dangereuse. Le danger dans un arbre en rotation augmente s'il présente des parties saillantes ou des surfaces inégales ou tranchantes, telles que des vis de réglage, des boulons, des fentes, des encoches ou des arêtes coupantes. Les pièces rotatives de la machine génèrent des « points de pincement » de trois manières différentes :
Mouvements linéaires. Les mouvements verticaux, horizontaux et alternatifs peuvent causer des blessures de plusieurs manières : une personne peut recevoir une poussée ou un coup d'une pièce de la machine et peut être coincée entre la pièce de la machine et un autre objet, ou peut être coupée par un bord tranchant, ou une pincement en étant coincé entre la pièce mobile et un autre objet (figure 1).
Figure 1. Exemples de mouvements mécaniques pouvant blesser une personne
Sources d'énergie. Fréquemment, des sources d'énergie externes sont utilisées pour faire fonctionner une machine qui peut impliquer des quantités considérables d'énergie. Ceux-ci comprennent les systèmes électriques, à vapeur, hydrauliques, pneumatiques et mécaniques, qui, s'ils sont libérés ou non contrôlés, peuvent entraîner des blessures graves ou des dommages. Une étude d'accidents survenus pendant un an (1987 à 1988) chez des agriculteurs de neuf villages du nord de l'Inde a montré que les machines à couper le fourrage, toutes par ailleurs de même conception, sont plus dangereuses lorsqu'elles sont alimentées par un moteur ou un tracteur. La fréquence relative des accidents impliquant plus qu'une blessure mineure (par machine) était de 5.1 pour mille pour les coupeurs manuels et de 8.6 pour mille pour les coupeurs motorisés (Mohan et Patel 1992).
Blessures associées aux mouvements de la machine
Étant donné que les forces associées aux mouvements de la machine sont souvent assez importantes, on peut supposer que les blessures qu'elles provoquent seront graves. Cette présomption est confirmée par plusieurs sources. Selon les statistiques britanniques (HSE 5), le « contact avec des machines en mouvement ou du matériel en cours d'usinage » ne représente que 10 % de tous les accidents du travail, mais jusqu'à 1989 % des accidents mortels et majeurs (fractures, amputations, etc.). Des études portant sur deux lieux de travail de fabrication de véhicules en Suède vont dans le même sens. Les accidents causés par des mouvements de machines ont donné lieu à deux fois plus de jours d'arrêt de travail, mesurés par des valeurs médianes, par rapport aux accidents non liés aux machines. Les accidents liés aux machines se distinguent également des autres accidents par la partie du corps lésée : les résultats indiquent que 80 % des blessures subies dans les accidents « machines » sont aux mains et aux doigts, alors que la proportion correspondante pour les « autres » accidents est 40 % (Backström et Döös 1995).
La situation des risques dans les installations automatisées s'est avérée à la fois différente (en termes de type d'accident, de séquence d'événements et de degré de gravité des blessures) et plus compliquée (à la fois en termes techniques et en ce qui concerne le besoin de compétences spécialisées) qu'au installations où des machines conventionnelles sont utilisées. Le terme automatisé désigne ici un équipement qui, sans l'intervention directe d'un être humain, peut soit initier un mouvement de la machine, soit modifier sa direction ou sa fonction. Un tel équipement nécessite des dispositifs de détection (par exemple, des capteurs de position ou des micro-interrupteurs) et/ou une certaine forme de commandes séquentielles (par exemple, un programme informatique) pour diriger et surveiller leurs activités. Au cours des dernières décennies, une Programmable Logic Controller (PLC) est de plus en plus utilisé comme unité de contrôle dans les systèmes de production. Les petits ordinateurs sont désormais les moyens les plus couramment utilisés pour contrôler les équipements de production dans le monde industrialisé, tandis que d'autres moyens de contrôle, tels que les unités électromécaniques, deviennent de moins en moins courants. Dans l'industrie manufacturière suédoise, l'utilisation de machines à commande numérique (NC) a augmenté de 11 à 12 % par an au cours des années 1980 (Hörte et Lindberg 1989). Dans la production industrielle moderne, être blessé par des "pièces mobiles de machines" équivaut de plus en plus à être blessé par des "mouvements de machines commandés par ordinateur".
Les installations automatisées se retrouvent dans de plus en plus de secteurs de l'industrie, et elles ont un nombre croissant de fonctions. La gestion des magasins, la manutention, le traitement, l'assemblage et l'emballage sont tous automatisés. La production en série ressemble désormais à la production en processus. Si l'alimentation, l'usinage et l'éjection des pièces sont mécanisés, l'opérateur n'a plus besoin de se trouver dans la zone à risque au cours d'une production régulière et non perturbée. Des études de recherche sur la fabrication automatisée ont montré que les accidents se produisent principalement dans la gestion des perturbations affectant la production. Cependant, les personnes peuvent également gêner les mouvements de la machine lors de l'exécution d'autres tâches, telles que le nettoyage, le réglage, la réinitialisation, le contrôle et la réparation.
Lorsque la production est automatisée et que le processus n'est plus sous le contrôle direct de l'être humain, le risque de mouvements imprévus de la machine augmente. La plupart des opérateurs qui travaillent avec des groupes ou des lignes de machines interconnectées ont été confrontés à de tels mouvements de machine inattendus. De nombreux accidents d'automatisation surviennent à la suite de tels mouvements. Un accident d'automatisation est un accident dans lequel l'équipement automatique a contrôlé (ou aurait dû contrôler) l'énergie à l'origine de la blessure. Cela signifie que la force qui blesse la personne provient de la machine elle-même (par exemple, l'énergie d'un mouvement de machine). Dans une étude de 177 accidents d'automatisation en Suède, il a été constaté que les blessures étaient causées par le «démarrage inattendu» d'une partie d'une machine dans 84% des cas (Backström et Harms-Ringdahl 1984). Un exemple typique de blessure causée par un mouvement de machine contrôlé par ordinateur est illustré à la figure 2.
Figure 2. Exemple typique d'une blessure causée par un mouvement de machine contrôlé par ordinateur
L'une des études mentionnées ci-dessus (Backström et Döös 1995) a montré que les mouvements de machines contrôlés automatiquement étaient causalement liés à des périodes d'arrêt de travail plus longues que les blessures dues à d'autres types de mouvements de machines, la valeur médiane étant quatre fois plus élevée sur l'un des lieux de travail. . Le schéma des blessures des accidents d'automatisation était similaire à celui des autres accidents de machine (impliquant principalement les mains et les doigts), mais la tendance était que le premier type de blessures était plus grave (amputations, écrasements et fractures).
Le contrôle par ordinateur, comme le manuel, présente des faiblesses du point de vue de la fiabilité. Il n'y a aucune garantie qu'un programme informatique fonctionnera sans erreur. L'électronique, avec ses faibles niveaux de signal, peut être sensible aux interférences si elle n'est pas correctement protégée, et les conséquences des pannes qui en résultent ne sont pas toujours prévisibles. De plus, les changements de programmation ne sont souvent pas documentés. Une méthode utilisée pour pallier cette faiblesse consiste par exemple à exploiter des systèmes « doubles » dans lesquels il y a deux chaînes indépendantes de composants fonctionnels et une méthode de contrôle telle que les deux chaînes affichent la même valeur. Si les systèmes affichent des valeurs différentes, cela indique une défaillance de l'un d'entre eux. Mais il est possible que les deux chaînes de composants souffrent du même défaut et qu'elles soient toutes les deux mises hors service par la même perturbation, donnant ainsi une lecture faussement positive (comme les deux systèmes sont d'accord). Cependant, seuls quelques-uns des cas enquêtés ont permis d'attribuer un accident à une panne informatique (voir ci-dessous), alors qu'il est courant qu'un seul ordinateur contrôle toutes les fonctions d'une installation (même l'arrêt des une machine à la suite de l'activation d'un dispositif de sécurité). Comme alternative, on peut envisager de fournir un système éprouvé avec des composants électromécaniques pour les fonctions de sécurité.
Problèmes techniques
De manière générale, on peut dire qu'un même accident a de nombreuses causes, notamment techniques, individuelles, environnementales et organisationnelles. À des fins préventives, il vaut mieux considérer un accident non pas comme un événement isolé, mais comme un séquence d'événements ou d'un processus (Backström 1996). Dans le cas des accidents d'automatisation, il a été démontré que les problèmes techniques font souvent partie d'une telle séquence et surviennent soit à l'un des premiers stades du processus, soit à proximité de l'événement traumatisant de l'accident. Les études dans lesquelles les problèmes techniques impliqués dans les accidents d'automatisation ont été examinés suggèrent que ceux-ci sont à l'origine de 75 à 85 % des accidents. Dans le même temps, dans tout cas spécifique, il existe généralement d'autres causes, telles que celles de nature organisationnelle. Ce n'est que dans un cas sur dix qu'il a été constaté que la source directe d'énergie à l'origine d'une blessure pouvait être attribuée à une défaillance technique, par exemple un mouvement de la machine se produisant alors que la machine était en position d'arrêt. Des chiffres similaires ont été rapportés dans d'autres études. Habituellement, un problème technique entraînait des problèmes avec l'équipement, de sorte que l'opérateur devait changer de tâche (par exemple, repositionner une pièce qui était dans une position tordue). L'accident s'est ensuite produit lors de l'exécution de la tâche, provoqué par la défaillance technique. Un quart des accidents d'automatisation ont été précédés d'une perturbation du flux de matériaux, telle qu'une pièce se coinçant ou se mettant dans une position tordue ou autrement défectueuse (voir figure 3).
Figure 3. Types de problèmes techniques impliqués dans les accidents d'automatisation (nombre d'accidents = 127)
Dans une étude de 127 accidents impliquant l'automatisation, 28 de ces accidents, décrits dans la figure 4, ont fait l'objet d'une enquête plus approfondie pour déterminer les types de problèmes techniques impliqués comme facteurs de causalité (Backström et Döös, sous presse). Les problèmes spécifiés dans les enquêtes sur les accidents étaient le plus souvent causés par des composants bloqués, défectueux ou usés. Dans deux cas, un problème a été causé par une erreur de programme informatique et dans un cas par des interférences électromagnétiques. Dans plus de la moitié des cas (17 sur 28), les défauts étaient présents depuis un certain temps mais n'avaient pas été corrigés. Ce n'est que dans 5 des 28 cas où une défaillance ou une déviation technique a été mentionnée que le défaut ne sauraient s'est manifesté auparavant. Certains défauts avaient été réparés pour réapparaître plus tard. Certains défauts étaient présents dès l'installation, tandis que d'autres résultaient de l'usure et de l'impact de l'environnement.
La proportion d'accidents d'automatismes survenant au cours de la correction d'un dysfonctionnement de la production se situe entre un tiers et deux tiers des cas selon la plupart des études. En d'autres termes, il est généralement admis que la gestion des perturbations de la production est une tâche professionnelle dangereuse. La variation de l'ampleur de ces accidents a de nombreuses explications, dont celles liées au type de production et à la classification des tâches professionnelles. Dans certaines études de perturbations, seuls les problèmes et les arrêts de machine au cours de la production régulière ont été pris en compte ; dans d'autres, un éventail plus large de problèmes a été traité, par exemple ceux liés à l'installation du travail.
Une mesure très importante dans la prévention des accidents d'automatisation consiste à préparer des procédures pour éliminer les causes des perturbations de la production afin qu'elles ne se répètent pas. Dans une étude spécialisée sur les perturbations de la production au moment de l'accident (Döös et Backström 1994), il a été constaté que la tâche la plus courante à laquelle les perturbations donnaient lieu était le dégagement ou la correction de la position d'une pièce qui s'était bloquée ou avait été mal positionnée. mis. Ce type de problème a déclenché l'une des deux séquences d'événements assez similaires : (1) la pièce a été libérée et est venue dans sa position correcte, la machine a reçu un signal automatique de démarrage et la personne a été blessée par le mouvement de la machine initié, (2 ), la pièce n'a pas eu le temps de se libérer ou de se repositionner avant que la personne ne soit blessée par un mouvement de la machine qui s'est produit de manière inattendue, plus rapidement ou avec une force supérieure à celle prévue par l'opérateur. Une autre gestion des perturbations impliquait de déclencher une impulsion de capteur, de libérer une pièce de machine coincée, d'effectuer des types simples de recherche de pannes et d'organiser le redémarrage (voir figure 4).
Figure 4. Type de gestion des perturbations au moment de l'accident (nombre d'accidents = 76)
Sécurité des travailleurs
Les catégories de personnel qui ont tendance à être blessées dans les accidents d'automatisation dépendent de la manière dont le travail est organisé, c'est-à-dire du groupe professionnel qui exécute les tâches dangereuses. En pratique, il s'agit de savoir quelle personne sur le lieu de travail est chargée de traiter les problèmes et les perturbations de façon routinière. Dans l'industrie suédoise moderne, des interventions actives sont généralement exigées des personnes qui utilisent la machine. C'est pourquoi, dans l'étude sur le lieu de travail de la fabrication de véhicules en Suède mentionnée précédemment (Backström et Döös, acceptée pour publication), il a été constaté que 82 % des personnes qui ont subi des blessures causées par des machines automatisées étaient des ouvriers ou des opérateurs de production. Les opérateurs avaient également une fréquence relative d'accidents plus élevée (15 accidents d'automatisation pour 1,000 6 opérateurs par an) que les travailleurs de maintenance (1,000 pour XNUMX XNUMX). Les résultats d'études qui indiquent que les ouvriers de maintenance sont plus touchés s'expliquent au moins en partie par le fait que les opérateurs ne sont pas autorisés à pénétrer dans les zones d'usinage dans certaines entreprises. Dans les organisations avec un autre type de répartition des tâches, d'autres catégories de personnel - les poseurs, par exemple - peuvent être chargées de résoudre les problèmes de production qui se posent.
La mesure corrective la plus courante prise à cet égard afin d'élever le niveau de sécurité des personnes consiste à protéger la personne contre les mouvements dangereux de la machine en utilisant un type de dispositif de sécurité, tel qu'une protection de la machine. Le principe fondamental ici est celui de la sécurité « passive », c'est-à-dire la fourniture d'une protection qui ne nécessite aucune action de la part du travailleur. Il est cependant impossible de juger de l'efficacité des dispositifs de protection sans une très bonne connaissance des exigences réelles de travail sur la machine en question, une connaissance qui n'est normalement possédée que par les opérateurs de machines eux-mêmes.
De nombreux facteurs peuvent mettre hors service même ce qui est apparemment une bonne protection de la machine. Pour effectuer leur travail, les opérateurs peuvent avoir besoin de désengager ou de contourner un dispositif de sécurité. Dans une étude (Döös et Backström 1993), il a été constaté qu'un tel désengagement ou contournement avait eu lieu dans 12 des 75 accidents d'automatisation couverts. Il s'agit souvent d'un opérateur ambitieux, qui n'accepte plus ni les problèmes de production, ni le retard de production qu'implique la correction des dysfonctionnements conformément aux consignes. Une façon d'éviter ce problème est de rendre le dispositif de protection imperceptible, afin qu'il n'affecte pas le rythme de production, la qualité du produit ou l'exécution des tâches. Mais ce n'est pas toujours possible ; et en cas de perturbations répétées de la production, même des désagréments mineurs peuvent inciter les personnes à ne pas utiliser les dispositifs de sécurité. Encore une fois, des routines doivent être mises à disposition pour supprimer les causes des perturbations de la production afin que celles-ci ne se répètent pas. L'absence de moyen de confirmer que les dispositifs de sécurité fonctionnent réellement conformément aux spécifications est un autre facteur de risque important. Des connexions défectueuses, des signaux de démarrage qui restent dans le système et provoquent plus tard des démarrages inattendus, une accumulation de pression d'air et des capteurs qui se sont détachés peuvent tous entraîner une défaillance de l'équipement de protection.
Résumé
Comme on l'a vu, les solutions techniques aux problèmes peuvent engendrer de nouveaux problèmes. Bien que les blessures soient causées par des mouvements de machines, qui sont essentiellement de nature technique, cela ne signifie pas automatiquement que le potentiel de leur éradication réside dans des facteurs purement techniques. Les systèmes techniques continueront à mal fonctionner et les hommes ne parviendront pas à gérer les situations auxquelles ces dysfonctionnements donnent lieu. Les risques continueront d'exister et ne pourront être maîtrisés que par une grande variété de moyens. Législation et contrôle, mesures organisationnelles au niveau des entreprises (sous forme de formations, rondes de sécurité, analyse des risques et signalement des perturbations et des quasi-accidents), et accent mis sur des améliorations régulières et continues sont nécessaires en complément du développement purement technique.
Il semble qu'il y ait autant de dangers potentiels créés par les pièces mobiles d'une machine qu'il existe différents types de machines. Les garanties sont essentielles pour protéger les travailleurs contre les blessures inutiles et évitables liées aux machines. Par conséquent, toute pièce, fonction ou processus de la machine susceptible de causer des blessures doit être protégé. Lorsque le fonctionnement d'une machine ou un contact accidentel avec celle-ci peut blesser l'opérateur ou d'autres personnes se trouvant à proximité, le danger doit être maîtrisé ou éliminé.
Mouvements et actions mécaniques
Les risques mécaniques impliquent généralement des pièces mobiles dangereuses dans les trois domaines de base suivants :
Une grande variété de mouvements et d'actions mécaniques qui peuvent présenter des risques pour les travailleurs comprennent le mouvement des éléments rotatifs, des bras alternatifs, des courroies mobiles, des engrenages en prise, des dents coupantes et de toutes les pièces qui heurtent ou cisaillent. Ces différents types de mouvements et d'actions mécaniques sont à la base de presque toutes les machines, et les reconnaître est la première étape vers la protection des travailleurs contre les dangers qu'ils peuvent présenter.
motions
Il existe trois types de mouvement de base : rotatif, alternatif et transversal.
Mouvement de rotation peut-être dangereux; même les tiges lisses et à rotation lente peuvent saisir les vêtements et forcer un bras ou une main dans une position dangereuse. Les blessures dues au contact avec des pièces en rotation peuvent être graves (voir figure 1).
Figure 1. Poinçonneuse mécanique
Les colliers, les accouplements, les cames, les embrayages, les volants, les bouts d'arbre, les broches et les arbres horizontaux ou verticaux sont quelques exemples de mécanismes de rotation courants qui peuvent être dangereux. Il y a un danger supplémentaire lorsque des boulons, des entailles, des abrasions et des clavettes saillantes ou des vis de réglage sont exposés sur des pièces rotatives de machines, comme illustré à la figure 2.
Figure 2. Exemples de projections dangereuses sur des pièces en rotation
Point de pincement en cours d'exécutions sont créés par des pièces en rotation sur des machines. Il existe trois principaux types de points de pincement en cours d'exécution :
Figure 3. Points de pincement courants sur les pièces rotatives
Figure 4. Points de pincement entre les éléments rotatifs et les pièces avec des mouvements longitudinaux
Figure 5. Points de pincement entre les composants rotatifs de la machine
Mouvements alternatifs peut être dangereux parce que pendant le mouvement de va-et-vient ou de haut en bas, un travailleur peut être heurté ou coincé entre une pièce mobile et une pièce fixe. Un exemple est illustré à la figure 6.
Figure 6. Mouvement alternatif dangereux
Mouvement transversal (mouvement en ligne droite et continue) crée un danger parce qu'un travailleur peut être heurté ou pris dans un point de pincement ou de cisaillement par une pièce mobile. Un exemple de mouvement transversal est illustré à la figure 7.
Figure 7. Exemple de mouvement transversal
Actions
Il existe quatre types d'action de base : couper, poinçonner, cisailler et plier.
Action de coupe implique un mouvement rotatif, alternatif ou transversal. L'action de coupe crée des dangers au point d'opération où des blessures aux doigts, à la tête et aux bras peuvent se produire et où des copeaux ou des chutes de matériaux peuvent frapper les yeux ou le visage. Des exemples typiques de machines présentant des risques de coupure comprennent les scies à ruban, les scies circulaires, les aléseuses ou perceuses, les tours (tours) et les fraiseuses. (Voir figure 8.)
Figure 8. Exemples de risques de coupure
Coup de poing résultats lorsque la puissance est appliquée à une glissière (bélier) dans le but de découper, d'étirer ou d'emboutir du métal ou d'autres matériaux. Le danger de ce type d'action se produit au point d'opération où le stock est inséré, tenu et retiré à la main. Les machines typiques qui utilisent l'action de poinçonnage sont les presses mécaniques et les serruriers. (Voir figure 9.)
Figure 9. Opération de poinçonnage typique
Cisaillement consiste à appliquer de la puissance à une glissière ou à un couteau afin de tailler ou de cisailler du métal ou d'autres matériaux. Un danger survient au point d'opération où le stock est réellement inséré, retenu et retiré. Des exemples typiques de machines utilisées pour les opérations de cisaillement sont les cisailles à entraînement mécanique, hydraulique ou pneumatique. (Voir figure 10.)
Figure 10. Opération de cisaillement
Action de flexion se produit lorsque la puissance est appliquée à une lame afin de façonner, dessiner ou estamper du métal ou d'autres matériaux. Le danger survient au point d'opération où le stock est inséré, retenu et retiré. L'équipement qui utilise l'action de flexion comprend les presses électriques, les presses plieuses et les cintreuses de tubes. (Voir figure 11.)
Figure 11. Opération de pliage
Exigences relatives aux garanties
Les dispositifs de protection doivent répondre aux exigences générales minimales suivantes pour protéger les travailleurs contre les risques mécaniques :
Empêcher tout contact. La protection doit empêcher les mains, les bras ou toute partie du corps ou des vêtements d'un travailleur d'entrer en contact avec des pièces mobiles dangereuses en éliminant la possibilité que les opérateurs ou d'autres travailleurs placent des parties de leur corps à proximité de pièces mobiles dangereuses.
Assurer la sécurité. Les travailleurs ne doivent pas pouvoir facilement retirer ou altérer la protection. Les protections et les dispositifs de sécurité doivent être fabriqués dans un matériau durable qui résiste aux conditions d'utilisation normales et qui sont solidement fixés à la machine.
Protéger des chutes d'objets. La protection doit garantir qu'aucun objet ne peut tomber dans les pièces mobiles et endommager l'équipement ou devenir un projectile qui pourrait heurter et blesser quelqu'un.
Ne pas créer de nouveaux dangers. Une protection va à l'encontre de son objectif si elle crée un danger qui lui est propre, comme un point de cisaillement, un bord dentelé ou une surface non finie. Les bords des protections, par exemple, doivent être roulés ou boulonnés de manière à éliminer les arêtes vives.
Ne pas créer d'interférence. Les garanties qui empêchent les travailleurs d'accomplir leur travail pourraient bientôt être annulées ou ignorées. Si possible, les travailleurs devraient être en mesure de lubrifier les machines sans désengager ni retirer les protections. Par exemple, placer les réservoirs d'huile à l'extérieur de la protection, avec une ligne menant au point de lubrification, réduira la nécessité d'entrer dans la zone dangereuse.
Formation à la sauvegarde
Même le système de protection le plus élaboré ne peut offrir une protection efficace que si les travailleurs savent comment l'utiliser et pourquoi. Une formation spécifique et détaillée est un élément important de tout effort visant à mettre en œuvre une protection contre les risques liés aux machines. Une protection adéquate peut améliorer la productivité et accroître l'efficacité, car elle peut soulager les appréhensions des travailleurs au sujet des blessures. Une formation en matière de protection est nécessaire pour les nouveaux opérateurs et le personnel de maintenance ou de configuration, lorsque des mesures de protection nouvelles ou modifiées sont mises en service, ou lorsque des travailleurs sont affectés à une nouvelle machine ou opération ; il devrait impliquer des instructions ou une formation pratique dans les domaines suivants :
Méthodes de protection des machines
Il existe de nombreuses façons de protéger les machines. Le type d'opération, la taille ou la forme du stock, la méthode de manutention, l'aménagement physique de la zone de travail, le type de matériel et les exigences ou limitations de production aideront à déterminer la méthode de protection appropriée pour la machine individuelle. Le concepteur de la machine ou le professionnel de la sécurité doit choisir la protection disponible la plus efficace et la plus pratique.
Les garanties peuvent être classées en cinq catégories générales : (1) gardes, (2) dispositifs, (3) séparation, (4) opérations et (5) autres.
Sécurisation avec des gardes
Il existe quatre types généraux de protecteurs (barrières qui empêchent l'accès aux zones dangereuses), comme suit :
Gardes fixes. Un protecteur fixe est une partie permanente de la machine et ne dépend pas de pièces mobiles pour remplir sa fonction prévue. Il peut être construit en tôle, écran, toile métallique, barres, plastique ou tout autre matériau suffisamment solide pour résister à tout impact qu'il peut recevoir et pour supporter une utilisation prolongée. Les protecteurs fixes sont généralement préférables à tous les autres types en raison de leur simplicité relative et de leur permanence (voir tableau 1).
Tableau 1. Protections de la machine
Method |
Action de sauvegarde |
Avantages |
Limites |
Fixé |
· Fournit une barrière |
· Convient à de nombreuses applications spécifiques |
· Peut gêner la visibilité |
Entrelacé |
· Coupe ou désengage l'alimentation et empêche le démarrage de la machine lorsque la protection est ouverte ; doit exiger que la machine soit arrêtée avant que le travailleur ne puisse accéder à la zone dangereuse |
· Fournit une protection maximale |
· Nécessite un réglage et un entretien minutieux |
Ajustable |
· Fournit une barrière qui peut être ajustée pour faciliter une variété d'opérations de production |
· Peut être construit pour convenir à de nombreuses applications spécifiques |
· L'opérateur peut entrer dans la zone dangereuse : la protection peut ne pas être complète à tout moment |
Auto-ajustement |
· Fournit une barrière qui se déplace en fonction de la taille du stock entrant dans la zone dangereuse |
· Des protecteurs prêts à l'emploi sont disponibles dans le commerce |
· N'offre pas toujours une protection maximale |
Dans la figure 12, une protection fixe sur une presse mécanique enferme complètement le point d'opération. Le stock est introduit par le côté du protecteur dans la zone de la matrice, le stock de rebut sortant du côté opposé.
Figure 12. Protection fixe sur la presse mécanique
La figure 13 représente une protection d'enceinte fixe qui protège la courroie et la poulie d'une unité de transmission de puissance. Un panneau d'inspection est prévu sur le dessus pour minimiser le besoin de retirer la protection.
Figure 13. Protecteur fixe renfermant les courroies et les poulies
Dans la figure 14, des protections d'enceinte fixes sont représentées sur une scie à ruban. Ces protections protègent les opérateurs des roues qui tournent et de la lame de scie en mouvement. Normalement, le seul moment où les protections seraient ouvertes ou retirées serait pour un changement de lame ou pour l'entretien. Il est très important qu'ils soient solidement fixés lorsque la scie est en cours d'utilisation.
Figure 14. Protections fixes sur la scie à ruban
Gardes verrouillés. Lorsque les protections verrouillées sont ouvertes ou retirées, le mécanisme de déclenchement et/ou l'alimentation s'arrêtent ou se désengagent automatiquement, et la machine ne peut pas démarrer ou démarrer tant que la protection de verrouillage n'est pas remise en place. Cependant, le remplacement du protecteur de verrouillage ne devrait pas automatiquement redémarrer la machine. Les protections verrouillées peuvent utiliser une alimentation électrique, mécanique, hydraulique ou pneumatique, ou toute combinaison de celles-ci. Les verrouillages ne doivent pas empêcher le « marche par à-coups » (c'est-à-dire les mouvements progressifs graduels) par télécommande, si nécessaire.
Un exemple de protection à verrouillage est illustré à la figure 15. Dans cette figure, le mécanisme de batteur d'une machine de prélèvement (utilisée dans l'industrie textile) est recouvert d'une protection à barrière verrouillée. Cette protection ne peut pas être relevée pendant que la machine est en marche, et la machine ne peut pas non plus être redémarrée avec la protection en position relevée.
Figure 15. Protecteur verrouillé sur la machine de prélèvement
Gardes réglables. Les protections réglables permettent une flexibilité pour s'adapter à différentes tailles de stock. La figure 16 montre une protection de boîtier réglable sur une scie à ruban.
Figure 16. Protecteur réglable sur la scie à ruban
Gardes auto-ajustables. Les ouvertures des protecteurs autoréglables sont déterminées par le mouvement du stock. Au fur et à mesure que l'opérateur déplace le stock dans la zone dangereuse, la protection est repoussée, fournissant une ouverture suffisamment grande pour n'admettre que le stock. Une fois la crosse retirée, le protecteur revient en position de repos. Ce protecteur protège l'opérateur en plaçant une barrière entre la zone dangereuse et l'opérateur. Les protections peuvent être construites en plastique, en métal ou en un autre matériau substantiel. Les protections auto-ajustables offrent différents degrés de protection.
La figure 17 montre une scie à bras radial avec une protection auto-ajustable. Au fur et à mesure que la lame est tirée sur la crosse, la protection monte, restant en contact avec la crosse.
Figure 17. Protection auto-ajustable sur scie radiale
Sécurisation avec des appareils
Les dispositifs de sécurité peuvent arrêter la machine si une main ou une partie du corps est placée par inadvertance dans la zone dangereuse, peuvent retenir ou retirer les mains de l'opérateur de la zone dangereuse pendant le fonctionnement, peuvent obliger l'opérateur à utiliser simultanément les deux mains sur les commandes de la machine ( gardant ainsi les mains et le corps hors de danger) ou peut fournir une barrière qui est synchronisée avec le cycle de fonctionnement de la machine afin d'empêcher l'entrée dans la zone dangereuse pendant la partie dangereuse du cycle. Il existe cinq types de dispositifs de sécurité de base, comme suit :
Dispositifs de détection de présence
Trois types de dispositifs de détection qui arrêtent la machine ou interrompent le cycle de travail ou l'opération si un travailleur se trouve dans la zone dangereuse sont décrits ci-dessous :
La dispositif de détection de présence photoélectrique (optique) utilise un système de sources lumineuses et de commandes qui peuvent interrompre le cycle de fonctionnement de la machine. Si le champ lumineux est cassé, la machine s'arrête et ne cyclera pas. Ce dispositif ne doit être utilisé que sur des machines qui peuvent être arrêtées avant que le travailleur n'atteigne la zone dangereuse. La figure 18 montre un dispositif de détection de présence photoélectrique utilisé avec une presse plieuse. L'appareil peut être basculé vers le haut ou vers le bas pour s'adapter aux différentes exigences de production.
Figure 18. Dispositif photoélectrique de détection de présence sur une presse plieuse
La dispositif de détection de présence à radiofréquence (capacité) utilise un faisceau radio qui fait partie du circuit de commande. Lorsque le champ capacitif est rompu, la machine s'arrête ou ne s'active pas. Ce dispositif ne doit être utilisé que sur des machines qui peuvent être arrêtées avant que le travailleur n'atteigne la zone dangereuse. Cela nécessite que la machine soit équipée d'un embrayage à friction ou d'un autre moyen fiable d'arrêt. La figure 19 montre un dispositif de détection de présence par radiofréquence monté sur une presse électrique à révolution partielle.
Figure 19. Dispositif de détection de présence par radiofréquence sur une scie électrique
La dispositif de détection électromécanique a une sonde ou une barre de contact qui descend à une distance prédéterminée lorsque l'opérateur lance le cycle de la machine. S'il y a un obstacle l'empêchant de descendre toute sa distance prédéterminée, le circuit de commande n'actionne pas le cycle de la machine. La figure 20 montre un dispositif de détection électromécanique sur un œillet. La sonde de détection en contact avec le doigt de l'opérateur est également représentée.
Figure 20. Dispositif de détection électromécanique sur une machine à lettres oculaires
Dispositifs de rappel
Les dispositifs de recul utilisent une série de câbles attachés aux mains, aux poignets et/ou aux bras de l'opérateur et sont principalement utilisés sur les machines à action de caresse. Lorsque le coulisseau/bélier est relevé, l'opérateur est autorisé à accéder au point d'opération. Lorsque le coulisseau/bélier commence à descendre, une tringlerie mécanique assure automatiquement le retrait des mains du point d'opération. La figure 21 montre un dispositif de retrait sur une petite presse.
Figure 21. Dispositif de rappel sur la presse électrique
Dispositifs de retenue
Des dispositifs de retenue, qui utilisent des câbles ou des sangles attachés entre un point fixe et les mains de l'opérateur, ont été utilisés dans certains pays. Ces dispositifs ne sont généralement pas considérés comme des protections acceptables car ils sont facilement contournés par l'opérateur, ce qui permet de placer les mains dans la zone dangereuse. (Voir tableau 2.)
Tableau 2. Périphériques
Method |
Action de sauvegarde |
Avantages |
Limites |
Photoélectrique |
· La machine ne démarre pas le cycle lorsque le champ lumineux est interrompu |
· Peut permettre un mouvement plus libre pour l'opérateur |
· Ne protège pas contre les pannes mécaniques |
Radiofréquence |
· Le cycle de la machine ne démarre pas lorsque le champ de capacité est interrompu |
· Peut permettre un mouvement plus libre pour l'opérateur |
· Ne protège pas contre les pannes mécaniques |
Électromécanique |
· La barre de contact ou la sonde parcourt une distance prédéterminée entre l'opérateur et la zone dangereuse |
· Peut permettre l'accès au point d'opération |
· La barre de contact ou la sonde doit être correctement ajustée pour chaque application ; ce réglage doit être maintenu correctement |
Recul |
· Lorsque la machine commence à tourner, les mains de l'opérateur sont retirées de la zone dangereuse |
· Élimine le besoin de barrières auxiliaires ou d'autres interférences dans la zone de danger |
· Limite les mouvements de l'opérateur |
Commandes de déclenchement de sécurité : |
· Arrête la machine en cas de déclenchement |
· Simplicité d'utilisation |
· Toutes les commandes doivent être activées manuellement |
Commande à deux mains |
· L'utilisation simultanée des deux mains est nécessaire, empêchant l'opérateur d'entrer dans la zone de danger |
· Les mains de l'opérateur sont à un endroit prédéterminé loin de la zone de danger |
· Nécessite une machine à cycle partiel avec frein |
Voyage à deux mains |
· L'utilisation simultanée de deux mains sur des commandes séparées empêche les mains d'être dans la zone de danger lorsque le cycle de la machine démarre |
· Les mains de l'opérateur sont éloignées de la zone de danger |
· L'opérateur peut essayer d'atteindre la zone dangereuse après avoir déclenché la machine |
Portail |
· Fournit une barrière entre la zone de danger et l'opérateur ou tout autre personnel |
· Peut empêcher d'atteindre ou de marcher dans la zone de danger |
· Peut nécessiter une inspection fréquente et un entretien régulier |
Dispositifs de contrôle de sécurité
Tous ces dispositifs de contrôle de sécurité sont activés manuellement et doivent être réinitialisés manuellement pour redémarrer la machine :
Figure 22. Barre de carrosserie sensible à la pression sur une usine de caoutchouc
Figure 23. Tige de déclenchement de sécurité sur une usine de caoutchouc
Figure 24. Câble de déclenchement de sécurité sur la calandre
Figure 25. Boutons de commande bimanuelle sur la presse à embrayage à rotation partielle
Figure 26. Boutons de commande bimanuelle sur la presse à embrayage à révolution complète
Figure 27. Presse électrique avec porte
Sauvegarde par emplacement ou distance
Pour protéger une machine par emplacement, la machine ou ses pièces mobiles dangereuses doivent être positionnées de manière à ce que les zones dangereuses ne soient pas accessibles ou ne présentent pas de danger pour un travailleur pendant le fonctionnement normal de la machine. Cela peut être accompli avec des murs d'enceinte ou des clôtures qui restreignent l'accès aux machines, ou en plaçant une machine de sorte qu'un élément de conception de l'usine, tel qu'un mur, protège le travailleur et les autres membres du personnel. Une autre possibilité est d'avoir des parties dangereuses situées suffisamment haut pour être hors de portée normale de tout travailleur. Une analyse approfondie des risques de chaque machine et situation particulière est essentielle avant d'essayer cette technique de protection. Les exemples cités ci-dessous sont quelques-unes des nombreuses applications du principe de sauvegarde par localisation/distance.
Processus d'alimentation. Le processus d'alimentation peut être protégé par emplacement si une distance de sécurité peut être maintenue pour protéger les mains du travailleur. Les dimensions de la matière sur laquelle on travaille peuvent fournir une sécurité adéquate. Par exemple, lors de l'utilisation d'une poinçonneuse à une extrémité, si le stock mesure plusieurs pieds de long et qu'une seule extrémité du stock est en cours de traitement, l'opérateur peut être en mesure de tenir l'extrémité opposée pendant l'exécution du travail. Cependant, selon la machine, une protection peut toujours être nécessaire pour d'autres personnes.
Commandes de positionnement. Le positionnement du poste de commande de l'opérateur offre une approche potentielle de la sécurisation par emplacement. Les commandes de l'opérateur peuvent être situées à une distance de sécurité de la machine s'il n'y a aucune raison pour que l'opérateur soit présent à la machine.
Méthodes de sauvegarde de l'alimentation et de l'éjection
De nombreuses méthodes d'alimentation et d'éjection ne nécessitent pas que les opérateurs placent leurs mains dans la zone de danger. Dans certains cas, aucune intervention de l'opérateur n'est nécessaire après la configuration de la machine, alors que dans d'autres situations, les opérateurs peuvent alimenter manuellement le stock à l'aide d'un mécanisme d'alimentation. En outre, des méthodes d'éjection peuvent être conçues qui ne nécessitent aucune intervention de l'opérateur après le démarrage de la machine. Certaines méthodes d'alimentation et d'éjection peuvent même créer des dangers eux-mêmes, comme un robot qui peut éliminer le besoin pour un opérateur d'être près de la machine mais peut créer un nouveau danger par le mouvement de son bras. (Voir tableau 3.)
Tableau 3. Méthodes d'alimentation et d'éjection
Method |
Action de sauvegarde |
Avantages |
Limites |
Flux automatique |
· Le stock est alimenté à partir de rouleaux, indexé par un mécanisme de machine, etc. |
· Élimine le besoin d'intervention de l'opérateur dans la zone de danger |
· D'autres protections sont également nécessaires pour la protection de l'opérateur, généralement des barrières de protection fixes |
Semi-automatique |
· Le stock est alimenté par des goulottes, des matrices mobiles, un cadran |
· Élimine le besoin d'intervention de l'opérateur dans la zone de danger |
· D'autres protections sont également nécessaires pour la protection de l'opérateur, généralement des barrières de protection fixes |
Automatique |
· Les pièces sont éjectées par voie aérienne ou mécanique |
· Élimine le besoin d'intervention de l'opérateur dans la zone de danger |
· Peut créer un risque de projection de copeaux ou de débris |
Semi-automatique |
· Les pièces à usiner sont éjectées par des |
· L'opérateur n'a pas besoin d'entrer dans la zone dangereuse pour enlever le travail fini |
· D'autres protections sont nécessaires pour l'opérateur |
Robots |
· Ils effectuent des travaux habituellement effectués par l'opérateur |
· L'opérateur n'a pas à entrer dans la zone de danger |
· Peut créer des dangers eux-mêmes |
L'utilisation de l'une des cinq méthodes d'alimentation et d'éjection suivantes pour protéger les machines n'élimine pas le besoin de protections et d'autres dispositifs, qui doivent être utilisés si nécessaire pour fournir une protection contre l'exposition aux dangers.
Flux automatique. Les avances automatiques réduisent l'exposition de l'opérateur pendant le processus de travail et ne nécessitent souvent aucun effort de la part de l'opérateur une fois la machine configurée et en marche. La presse mécanique de la figure 28 est dotée d'un mécanisme d'alimentation automatique avec une protection d'enceinte fixe transparente au niveau de la zone de danger.
Figure 28. Presse mécanique avec avance automatique
Alimentation semi-automatique. Avec une alimentation semi-automatique, comme dans le cas d'une presse mécanique, l'opérateur utilise un mécanisme pour placer la pièce en cours de traitement sous le vérin à chaque coup. L'opérateur n'a pas besoin d'atteindre la zone dangereuse et la zone dangereuse est complètement fermée. La figure 29 montre une goulotte d'alimentation dans laquelle chaque pièce est placée à la main. L'utilisation d'une alimentation par goulotte sur une presse inclinée aide non seulement à centrer la pièce lors de son glissement dans la matrice, mais peut également simplifier le problème de l'éjection.
Figure 29. Presse mécanique avec alimentation par goulotte
Éjection automatique. L'éjection automatique peut utiliser une pression d'air ou un appareil mécanique pour retirer la pièce terminée d'une presse, et peut être verrouillée avec les commandes de fonctionnement pour empêcher le fonctionnement jusqu'à ce que l'éjection de la pièce soit terminée. Le mécanisme de navette panoramique illustré à la figure 30 se déplace sous la pièce finie lorsque la glissière se déplace vers la position haute. La navette attrape alors la pièce retirée de la glissière par les goupilles défonçables et la dévie dans une goulotte. Lorsque le vérin descend vers le prochain flan, la navette panoramique s'éloigne de la zone de la matrice.
Figure 30. Système d'éjection de la navette
Éjection semi-automatique. La figure 31 montre un mécanisme d'éjection semi-automatique utilisé sur une presse mécanique. Lorsque le piston est retiré de la zone de la matrice, la jambe d'éjection, qui est couplée mécaniquement au piston, lance le travail terminé.
Figure 31. Mécanisme d'éjection semi-automatique
Robots. Les robots sont des dispositifs complexes qui chargent et déchargent des stocks, assemblent des pièces, transfèrent des objets ou effectuent des travaux autrement effectués par un opérateur, éliminant ainsi l'exposition de l'opérateur aux dangers. Ils sont mieux utilisés dans les processus de production élevée nécessitant des routines répétées, où ils peuvent se prémunir contre d'autres risques pour les employés. Les robots peuvent créer des dangers et des protections appropriées doivent être utilisées. La figure 32 montre un exemple de robot alimentant une presse.
Figure 32. Utilisation de barrières de protection pour protéger l'enveloppe du robot
Aides diverses à la sauvegarde
Bien que divers dispositifs de protection n'offrent pas une protection complète contre les dangers de la machine, ils peuvent fournir aux opérateurs une marge de sécurité supplémentaire. Un bon jugement est nécessaire dans leur application et leur utilisation.
Obstacles à la sensibilisation. Les barrières de sensibilisation ne fournissent pas de protection physique, mais servent uniquement à rappeler aux opérateurs qu'ils approchent de la zone dangereuse. En règle générale, les barrières de sensibilisation ne sont pas considérées comme adéquates lorsqu'il existe une exposition continue au danger. La figure 33 montre une corde utilisée comme barrière de sensibilisation à l'arrière d'une cisaille d'équerrage électrique. Les barrières n'empêchent pas physiquement les personnes d'entrer dans les zones dangereuses, mais ne font que sensibiliser au danger.
Figure 33. Vue arrière du carré de cisaillement de puissance
Shields. Des écrans peuvent être utilisés pour fournir une protection contre les particules volantes, les éclaboussures de fluides de travail des métaux ou de liquides de refroidissement. La figure 34 montre deux applications potentielles.
Figure 34. Applications des boucliers
Outils de maintien. Les outils de maintien placent et enlèvent le stock. Une utilisation typique serait d'atteindre la zone dangereuse d'une presse ou d'une presse plieuse. La figure 35 montre un assortiment d'outils à cet effet. Les outils de maintien ne doivent pas être utilisés plutôt ; d'autres dispositifs de protection des machines ; ils ne sont qu'un complément à la protection offerte par d'autres gardes.
Figure 35. Outils de maintien
Poussoirs ou blocs, tel qu'illustré à la figure 36, peut être utilisé lors de l'introduction de matière dans une machine, telle qu'une lame de scie. Lorsqu'il devient nécessaire que les mains soient à proximité de la lame, le poussoir ou le bloc peut fournir une marge de sécurité et éviter les blessures.
Figure 36. Utilisation du poussoir ou du bloc poussoir
Les développements généraux de la microélectronique et de la technologie des capteurs permettent d'espérer qu'une amélioration de la sécurité au travail peut être obtenue grâce à la disponibilité de détecteurs de présence et d'approche fiables, robustes, nécessitant peu d'entretien et peu coûteux. Cet article décrira la technologie des capteurs, les différentes procédures de détection, les conditions et restrictions applicables à l'utilisation des systèmes de capteurs, ainsi que certaines études et travaux de normalisation réalisés en Allemagne.
Critères du détecteur de présence
Le développement et les tests pratiques des détecteurs de présence est l'un des plus grands défis futurs pour les efforts techniques visant à améliorer la sécurité au travail et à la protection du personnel en général. Détecteurs de présence sont des capteurs qui signalent de manière fiable et sûre proximité ou approche d'une personne. De plus, cet avertissement doit se produire rapidement afin qu'une action d'évitement, un freinage ou l'arrêt d'une machine à l'arrêt puisse avoir lieu avant que le contact prévu ne se produise. Que les personnes soient grandes ou petites, quelle que soit leur posture ou leur tenue vestimentaire ne devrait pas avoir d'incidence sur la fiabilité du capteur. De plus, le capteur doit posséder une certitude de fonctionnement et être robuste et peu coûteux, de sorte qu'il puisse être utilisé dans les conditions les plus exigeantes, comme sur les chantiers de construction et pour des applications mobiles, avec un minimum d'entretien. Les capteurs doivent être comme un airbag en ce sens qu'ils ne nécessitent aucun entretien et sont toujours prêts. Étant donné la réticence de certains utilisateurs à entretenir ce qu'ils considèrent comme un équipement non essentiel, les capteurs peuvent être laissés sans entretien pendant des années. Une autre caractéristique des détecteurs de présence, qui est beaucoup plus susceptible d'être demandée, est qu'ils détectent également les obstacles autres que les êtres humains et alertent l'opérateur à temps pour prendre des mesures défensives, réduisant ainsi les coûts de réparation et les dommages matériels. C'est une raison d'installer des détecteurs de présence qu'il ne faut pas sous-estimer.
Applications du détecteur
D'innombrables accidents mortels et blessures graves qui ressemblent à des actes du destin inévitables et individuels peuvent être évités ou minimisés à condition que les détecteurs de présence soient mieux acceptés comme mesure de prévention dans le domaine de la sécurité au travail. Les journaux rapportent trop souvent ces accidents : ici une personne a été heurtée par une chargeuse qui reculait, là l'opérateur n'a pas vu quelqu'un qui s'est fait renverser par la roue avant d'une pelle mécanique. Les camions qui reculent dans les rues, les locaux de l'entreprise et les chantiers de construction sont à l'origine de nombreux accidents de personnes. Aujourd'hui, les entreprises complètement rationalisées ne fournissent plus de co-conducteurs ou d'autres personnes pour servir de guides au conducteur qui recule un camion. Ces exemples d'accidents mobiles peuvent être facilement étendus à d'autres équipements mobiles, tels que les chariots élévateurs. Cependant, l'utilisation de capteurs est nécessaire de toute urgence pour prévenir les accidents impliquant des équipements semi-mobiles et purement fixes. Un exemple est les zones arrière des grandes machines de chargement, qui ont été identifiées par le personnel de sécurité comme des zones potentiellement dangereuses qui pourraient être améliorées grâce à l'utilisation de capteurs peu coûteux. De nombreuses variantes de détecteurs de présence peuvent être adaptées de manière innovante à d'autres véhicules et à de gros équipements mobiles pour se protéger contre les types d'accidents abordés dans cet article, qui causent généralement des dommages importants et des blessures graves, voire mortelles.
La tendance à la généralisation des solutions innovantes laisse présager que les détecteurs de présence deviendront la technologie de sécurité standard dans d'autres applications ; cependant, ce n'est le cas nulle part. La percée, motivée par les accidents et les dommages matériels importants, est attendue dans la surveillance derrière les camionnettes de livraison et les poids lourds et pour les domaines les plus innovants des «nouvelles technologies» - les robots mobiles du futur.
La variation des domaines d'application des détecteurs de présence et la variabilité des tâches - par exemple, tolérer des objets (même en mouvement, sous certaines conditions) qui appartiennent à un champ de détection et qui ne doivent pas déclencher de signal - nécessitent des capteurs dans lesquels " La technologie d'évaluation «intelligente» prend en charge les mécanismes de fonctionnement du capteur. Cette technologie, qui fait l'objet de développements futurs, peut être élaborée à partir de méthodes relevant du domaine de l'intelligence artificielle (Schreiber et Kuhn 1995). A ce jour, une universalité limitée a fortement restreint les usages actuels des capteurs. Il y a des rideaux de lumière ; barres lumineuses; tapis de contact; capteurs infrarouges passifs; détecteurs de mouvement à ultrasons et radar utilisant l'effet Doppler; capteurs qui mesurent le temps écoulé des impulsions ultrasonores, radar et lumineuses; et scanners laser. Les caméras de télévision normales connectées à des moniteurs ne sont pas incluses dans cette liste car ce ne sont pas des détecteurs de présence. Cependant, les caméras qui s'activent automatiquement lors de la détection de la présence d'une personne sont incluses.
Techniques de détection
Aujourd'hui, les principaux enjeux des capteurs sont (1) l'optimisation de l'utilisation des effets physiques (infrarouge, lumière, ultrasons, radar, etc.) et (2) l'autocontrôle. Les scanners laser sont développés intensivement pour être utilisés comme instruments de navigation pour les robots mobiles. Pour cela, deux tâches, en partie différentes dans leur principe, doivent être résolues : la navigation du robot et la protection des personnes (et du matériel ou équipement) présentes afin qu'elles ne soient pas heurtées, écrasées ou empoignées (Freund, Dierks et Rossman 1993 ). Les futurs robots mobiles ne peuvent pas conserver la même philosophie de sécurité de « séparation spatiale du robot et de la personne » qui est strictement appliquée aux robots industriels stationnaires d'aujourd'hui. Cela implique d'accorder une grande importance au fonctionnement fiable du détecteur de présence à utiliser.
L'utilisation des "nouvelles technologies" est souvent liée à des problèmes d'acceptation, et l'on peut supposer que l'utilisation généralisée de robots mobiles capables de se déplacer et de saisir, parmi les personnes dans les usines, dans les zones de circulation publique, ou même dans les maisons ou les zones de loisirs , ne seront acceptés que s'ils sont équipés de détecteurs de présence très évolués, sophistiqués et fiables. Les accidents spectaculaires doivent être évités à tout prix afin de ne pas exacerber un éventuel problème d'acceptation. Le niveau actuel des dépenses pour le développement de ce type de capteurs de protection professionnelle est loin de prendre en compte cette considération. Pour économiser beaucoup de coûts, les détecteurs de présence doivent être développés et testés simultanément avec les robots mobiles et les systèmes de navigation, pas après.
En ce qui concerne les véhicules à moteur, les questions de sécurité ont pris une importance croissante. La sécurité innovante des passagers dans les automobiles comprend des ceintures de sécurité à trois points, des sièges pour enfants, des airbags et le système de freinage antiblocage vérifié par des tests de collision en série. Ces mesures de sécurité représentent une part relativement croissante des coûts de production. Les systèmes d'airbags latéraux et de capteurs radar pour mesurer la distance à la voiture qui précède sont des développements évolutifs dans la protection des passagers.
La sécurité extérieure des véhicules à moteur, c'est-à-dire la protection des tiers, fait l'objet d'une attention accrue. Récemment, des protections latérales ont été requises, principalement pour les camions, afin d'empêcher les motocyclistes, les cyclistes et les piétons de tomber sous les roues arrière. Une prochaine étape logique serait de surveiller la zone derrière les gros véhicules avec des détecteurs de présence et d'installer un équipement d'avertissement de zone arrière. Cela aurait pour effet secondaire positif de fournir le financement nécessaire pour développer, tester et mettre à disposition des capteurs performants, auto-surveillés, sans entretien et fonctionnant de manière fiable, peu coûteux à des fins de sécurité au travail. Le processus d'essai qui accompagnerait la mise en œuvre à grande échelle de capteurs ou de systèmes de capteurs faciliterait considérablement l'innovation dans d'autres domaines, tels que les pelles mécaniques, les chargeuses lourdes et autres gros engins mobiles qui reculent jusqu'à la moitié du temps pendant leur fonctionnement. Le processus d'évolution des robots stationnaires vers les robots mobiles est une voie de développement supplémentaire pour les détecteurs de présence. Par exemple, des améliorations pourraient être apportées aux capteurs actuellement utilisés sur les robots de manutention mobiles ou les « tracteurs d'usine sans conducteur », qui suivent des trajectoires fixes et ont donc des exigences de sécurité relativement faibles. L'utilisation de détecteurs de présence est la prochaine étape logique dans l'amélioration de la sécurité dans le domaine du transport de matériel et de personnes.
Procédures de détection
Divers principes physiques, disponibles en relation avec des méthodes électroniques de mesure et d'autocontrôle et, dans une certaine mesure, des procédures de calcul à haute performance, peuvent être utilisés pour évaluer et résoudre les tâches susmentionnées. Le fonctionnement apparemment sans effort et sûr des machines automatisées (robots) si courantes dans les films de science-fiction, sera peut-être accompli dans le monde réel grâce à l'utilisation de techniques d'imagerie et d'algorithmes de reconnaissance de formes à haute performance en combinaison avec des méthodes de mesure de distance analogues à celles utilisé par les scanners laser. La situation paradoxale que tout ce qui semble simple pour les gens est difficile pour les automates, doit être reconnue. Par exemple, une tâche difficile telle qu'un excellent jeu d'échecs (qui nécessite une activité du cerveau antérieur) peut être plus facilement simulée et exécutée par des machines automatisées qu'une tâche simple telle que marcher debout ou effectuer une coordination œil-main et d'autres mouvements (médiée par le mésencéphale et le cerveau postérieur). Quelques-uns de ces principes, méthodes et procédures applicables aux applications de capteurs sont décrits ci-dessous. En plus de ceux-ci, il existe un grand nombre de procédures spéciales pour des tâches très spéciales qui fonctionnent en partie avec une combinaison de divers types d'effets physiques.
Rideaux et barreaux de barrière lumineuse. Parmi les premiers détecteurs de présence figuraient des barrières lumineuses et des barreaux. Ils ont une géométrie de surveillance plate ; c'est-à-dire que celui qui a franchi la barrière ne sera plus détecté. La main d'un opérateur, ou la présence d'outils ou de pièces tenus dans la main d'un opérateur, par exemple, peuvent être détectés rapidement et de manière fiable avec ces dispositifs. Ils offrent une contribution importante à la sécurité au travail pour les machines (comme les presses et les poinçonneuses) qui nécessitent que le matériau soit introduit à la main. La fiabilité doit être statistiquement extrêmement élevée, car lorsque la main atteint seulement deux à trois fois par minute, environ un million d'opérations sont effectuées en quelques années seulement. L'autosurveillance mutuelle des composants émetteurs et récepteurs a été développée à un niveau technique si élevé qu'elle représente un standard pour toutes les autres procédures de détection de présence.
Tapis de contact (tapis de commutation). Il existe à la fois des types passifs et actifs (pompe) de tapis et de sols de contact électriques et pneumatiques, qui étaient initialement utilisés en grand nombre dans les fonctions de service (ouvre-portes), jusqu'à ce qu'ils soient remplacés par des détecteurs de mouvement. Le développement se poursuit avec l'utilisation de détecteurs de présence dans toutes sortes de zones dangereuses. Par exemple, le développement de la fabrication automatisée avec un changement dans la fonction du travailleur - de l'utilisation de la machine à la surveillance stricte de son fonctionnement - a produit une demande correspondante de détecteurs appropriés. La standardisation de cet usage est bien avancée (DIN 1995a), et des contraintes particulières (implantation, taille, zones « mortes » maximales autorisées) ont nécessité le développement d'une expertise d'installation dans ce domaine d'usage.
Des utilisations possibles intéressantes des tapis de contact se présentent en conjonction avec des systèmes de robots multiples contrôlés par ordinateur. Un opérateur commute un ou deux éléments pour que le détecteur de présence capte sa position exacte et informe l'ordinateur, qui gère les systèmes de contrôle du robot avec un système anticollision intégré. Dans un test avancé par l'institut fédéral de sécurité allemand (BAU), un sol à tapis de contact, composé de petits tapis d'interrupteurs électriques, a été construit sous la zone de travail du bras du robot à cette fin (Freund, Dierks et Rossman 1993). Ce détecteur de présence avait la forme d'un échiquier. Le champ de tapis respectivement activé indiquait à l'ordinateur la position de l'opérateur (figure 1) et lorsque l'opérateur s'approchait trop près du robot, il s'éloignait. Sans le détecteur de présence, le système de robot ne serait pas en mesure de déterminer la position de l'opérateur, et l'opérateur ne pourrait alors pas être protégé.
Figure 1. Une personne (à droite) et deux robots dans des enveloppes calculées
Réflecteurs (capteurs de mouvement et détecteurs de présence). Aussi méritoires que soient les capteurs évoqués jusqu'à présent, ce ne sont pas des détecteurs de présence au sens large. Leur adéquation, principalement pour des raisons de sécurité au travail, aux gros véhicules et aux gros équipements mobiles suppose deux caractéristiques importantes : (1) la capacité de surveiller une zone à partir d'une position, et (2) un fonctionnement sans erreur sans nécessiter de mesures supplémentaires sur la part de—par exemple, l'utilisation de dispositifs réflecteurs. La détection de la présence d'une personne pénétrant dans la zone surveillée et restant à l'arrêt jusqu'au départ de cette personne implique également la nécessité de détecter une personne immobile. Ceci distingue les détecteurs dits de mouvement des détecteurs de présence, du moins en relation avec des équipements mobiles ; les détecteurs de mouvement sont presque toujours déclenchés lorsque le véhicule est mis en mouvement.
Détecteurs de mouvement. Les deux principaux types de détecteurs de mouvement sont : (1) les "capteurs infrarouges passifs" (PIRS), qui réagissent au moindre changement du faisceau infrarouge dans la zone surveillée (le plus petit faisceau détectable est d'environ 10-9 W avec une gamme de longueurs d'onde d'environ 7 à 20 μm); et (2) des capteurs à ultrasons et micro-ondes utilisant le principe Doppler, qui détermine les caractéristiques du mouvement d'un objet en fonction des changements de fréquence. Par exemple, l'effet Doppler augmente la fréquence du klaxon d'une locomotive pour un observateur lorsqu'il s'approche et réduit la fréquence lorsque la locomotive s'éloigne. L'effet Doppler rend possible la construction de capteurs d'approche relativement simples, car le récepteur n'a qu'à surveiller la fréquence du signal des bandes de fréquences voisines pour l'apparition de la fréquence Doppler.
Au milieu des années 1970, l'utilisation de détecteurs de mouvement est devenue courante dans les applications de fonction de service telles que les ouvre-portes, la sécurité contre le vol et la protection des objets. Pour une utilisation stationnaire, la détection d'une personne s'approchant d'un point dangereux était suffisante pour donner un avertissement en temps opportun ou pour éteindre une machine. Cela a servi de base à l'étude de l'adéquation des détecteurs de mouvement à leur utilisation en sécurité au travail, notamment au moyen du PIRS (Mester et al. 1980). Parce qu'une personne habillée a généralement une température plus élevée que la zone environnante (tête 34°C, mains 31°C), détecter une personne qui s'approche est un peu plus facile que de détecter des objets inanimés. Dans une mesure limitée, des pièces de machine peuvent se déplacer dans la zone surveillée sans déclencher le détecteur.
La méthode passive (sans émetteur) présente des avantages et des inconvénients. L'avantage est qu'un PIRS n'augmente pas les problèmes de bruit et de smog électrique. Pour la sécurité antivol et la protection des objets, il est particulièrement important que le détecteur ne soit pas facile à trouver. Un capteur qui n'est qu'un récepteur, cependant, peut difficilement surveiller sa propre efficacité, qui est essentielle pour la sécurité au travail. Une méthode pour pallier cet inconvénient consistait à tester de petits émetteurs infrarouges modulés (5 à 20 Hz) qui étaient installés dans la zone surveillée et qui ne déclenchaient pas le capteur, mais dont les faisceaux étaient enregistrés avec une amplification électronique fixe réglée sur la fréquence de modulation. Cette modification l'a transformé d'un capteur "passif" en un capteur "actif". De cette manière, il était également possible de vérifier la précision géométrique de la zone surveillée. Les miroirs peuvent avoir des angles morts et la direction d'un capteur passif peut être perturbée par l'activité brutale d'une plante. La figure 2 montre une disposition de test avec un PIRS avec une géométrie surveillée sous la forme d'un manteau pyramidal. En raison de leur grande portée, des capteurs infrarouges passifs sont installés, par exemple, dans les passages des zones de stockage des étagères.
Figure 2. Capteur infrarouge passif comme détecteur d'approche dans une zone dangereuse
Dans l'ensemble, les tests ont montré que les détecteurs de mouvement ne sont pas adaptés à la sécurité au travail. Le sol d'un musée de nuit n'est pas comparable aux zones dangereuses d'un lieu de travail.
Détecteurs à ultrasons, radars et impulsions lumineuses. Les capteurs qui utilisent le principe impulsion/écho, c'est-à-dire les mesures de temps écoulé des impulsions ultrasonores, radar ou lumineuses, ont un grand potentiel en tant que détecteurs de présence. Avec les scanners laser, les impulsions lumineuses peuvent balayer en succession rapide (généralement de manière rotative), par exemple horizontalement, et à l'aide d'un ordinateur, on peut obtenir un profil de distance des objets sur un plan qui réfléchissent la lumière. Si, par exemple, on ne souhaite pas seulement une seule ligne, mais l'intégralité de ce qui se trouve devant le robot mobile dans la zone jusqu'à une hauteur de 2 mètres, alors de grandes quantités de données doivent être traitées pour représenter la zone environnante. Un futur détecteur de présence « idéal » consistera en une combinaison des deux processus suivants :
La figure 3 montre, à partir du projet BAU précédemment cité (Freund, Dierks et Rossman 1993), l'utilisation d'un scanner laser sur un robot mobile qui assume également des tâches de navigation (via un faisceau de détection de direction) et une protection contre les collisions pour les objets dans l'immédiat. voisinage (via un faisceau de mesure au sol pour la détection de présence). Compte tenu de ces caractéristiques, le robot mobile a la capacité de conduite libre automatisée active (c'est-à-dire la capacité de contourner les obstacles). Techniquement, ceci est réalisé en utilisant l'angle de rotation de 45° du scanner vers l'arrière des deux côtés (à bâbord et à tribord du robot) en plus de l'angle de 180° vers l'avant. Ces faisceaux sont reliés à un miroir spécial qui agit comme une barrière immatérielle au sol devant le robot mobile (fournissant une ligne de vision au sol). Si une réflexion laser vient de là, le robot s'arrête. Alors que des scanners laser et lumineux certifiés pour la sécurité au travail sont sur le marché, ces détecteurs de présence ont un grand potentiel de développement.
Figure 3. Robot mobile avec scanner laser pour la navigation et la détection de présence
Les capteurs à ultrasons et radar, qui utilisent le temps écoulé entre le signal et la réponse pour déterminer la distance, sont moins exigeants d'un point de vue technique et peuvent donc être produits à moindre coût. La zone de capteur est en forme de massue et possède une ou plusieurs massues latérales plus petites, qui sont disposées de manière symétrique. La vitesse de propagation du signal (son : 330 m/s ; onde électromagnétique : 300,000 XNUMX km/s) détermine la vitesse requise de l'électronique utilisée.
Dispositifs d'avertissement de zone arrière. Lors de l'exposition de Hanovre de 1985, BAU a présenté les résultats d'un premier projet sur l'utilisation de capteurs à ultrasons pour sécuriser la zone derrière les gros véhicules (Langer et Kurfürst 1985). Un modèle grandeur nature d'une tête de détection composée de capteurs Polaroid™ a été installé sur la paroi arrière d'un camion de ravitaillement. La figure 4 montre schématiquement son fonctionnement. Le grand diamètre de ce capteur produit des zones de mesure en forme de massue relativement petites (environ 18°) et à longue portée, disposées les unes à côté des autres et réglées sur différentes plages de signal maximales. En pratique, il permet de définir n'importe quelle géométrie surveillée souhaitée, qui est balayée par les capteurs environ quatre fois par seconde pour la présence ou l'entrée de personnes. D'autres systèmes d'avertissement de zone arrière démontrés avaient plusieurs capteurs en réseau individuels parallèles.
Figure 4. Disposition de la tête de mesure et zone surveillée à l'arrière d'un camion
Cette démonstration vivante a été un grand succès à l'exposition. Il a montré que la sécurisation de la zone arrière des gros véhicules et équipements est étudiée dans de nombreux endroits, par exemple par des comités spécialisés des associations professionnelles industrielles (Berufsgenossenschaften), les assureurs accident municipaux (qui sont responsables des véhicules municipaux), les responsables de la surveillance de l'industrie de l'État et les producteurs de capteurs, qui pensaient plutôt en termes d'automobiles en tant que véhicules de service (au sens de se concentrer sur les systèmes de stationnement pour se protéger contre dommages à la carrosserie). Un comité ad hoc issu des groupes pour la promotion des avertisseurs de zone arrière s'est formé spontanément et s'est donné comme première tâche l'élaboration d'une liste d'exigences du point de vue de la sécurité au travail. Dix ans se sont écoulés au cours desquels beaucoup a été travaillé dans la surveillance de la zone arrière - peut-être la tâche la plus importante des détecteurs de présence ; mais la grande percée manque toujours.
De nombreux projets ont été menés avec des capteurs à ultrasons, par exemple sur des grues de triage de bois rond, des pelles hydrauliques, des véhicules municipaux spéciaux et d'autres véhicules utilitaires, ainsi que sur des chariots élévateurs et des chargeurs (Schreiber 1990). Les dispositifs d'avertissement de zone arrière sont particulièrement importants pour les grosses machines qui reculent la plupart du temps. Les détecteurs de présence à ultrasons sont utilisés, par exemple, pour la protection des véhicules spécialisés sans conducteur tels que les robots de manutention. Par rapport aux pare-chocs en caoutchouc, ces capteurs ont une plus grande zone de détection qui permet de freiner avant que le contact ne soit établi entre la machine et un objet. Les capteurs correspondants pour les automobiles sont des développements appropriés et impliquent des exigences considérablement moins strictes.
Entre-temps, le Comité des normes techniques du système de transport du DIN a élaboré la norme 75031, «Dispositifs de détection d'obstacles en marche arrière» (DIN 1995b). Les exigences et les tests ont été définis pour deux plages : 1.8 m pour les camions de ravitaillement et 3.0 m - une zone d'avertissement supplémentaire - pour les camions plus gros. La zone surveillée est définie par la reconnaissance de corps d'épreuve cylindriques. La portée de 3 m est également à la limite de ce qui est actuellement techniquement possible, car les capteurs à ultrasons doivent avoir des membranes métalliques fermées, compte tenu de leurs conditions de travail difficiles. Les exigences pour l'auto-surveillance du système de capteurs sont définies, car la géométrie surveillée requise ne peut être obtenue qu'avec un système de trois capteurs ou plus. La figure 5 montre un dispositif d'avertissement de zone arrière composé de trois capteurs à ultrasons (Microsonic GmbH 1996). Il en va de même pour le dispositif de notification dans la cabine du conducteur et le type de signal d'avertissement. Le contenu de la norme DIN 75031 est également présenté dans le rapport technique international ISO TR 12155, "Véhicules utilitaires - Dispositif de détection d'obstacles en marche arrière" (ISO 1994). Différents fabricants de capteurs ont développé des prototypes conformément à cette norme.
Figure 5. Camion de taille moyenne équipé d'un dispositif d'avertissement de zone arrière (photo Microsonic).
Conclusion
Depuis le début des années 1970, plusieurs institutions et fabricants de capteurs ont travaillé au développement et à la mise en place de « détecteurs de présence ». Dans l'application spéciale des "dispositifs d'avertissement de zone arrière", il existe la norme DIN 75031 et le rapport ISO TR 12155. À l'heure actuelle, Deutsche Post AG effectue un test majeur. Plusieurs fabricants de capteurs ont chacun équipé cinq camions de taille moyenne de tels dispositifs. Un résultat positif de ce test est tout à fait dans l'intérêt de la sécurité au travail. Comme cela a été souligné au début, les détecteurs de présence en nombre requis représentent un grand défi pour la technique de sécurité dans les nombreux domaines d'application mentionnés. Ils doivent donc être réalisables à moindre coût si l'on veut que les dommages aux équipements, aux machines et aux matériaux, et surtout les blessures aux personnes, souvent très graves, soient reléguées au passé.
Les dispositifs de commande et les dispositifs utilisés pour le sectionnement et la commutation doivent toujours être discutés en relation avec systèmes techniques, terme utilisé dans cet article pour désigner les machines, installations et équipements. Chaque système technique remplit une tâche pratique spécifique et assignée. Des dispositifs de commande et de commutation de sécurité appropriés sont nécessaires si cette tâche pratique doit être réalisable ou même possible dans des conditions sûres. De tels dispositifs sont utilisés pour initier le contrôle, interrompre ou retarder le courant et/ou les impulsions d'énergies électriques, hydrauliques, pneumatiques ou encore potentielles.
Isolation et réduction d'énergie
Les dispositifs d'isolement sont utilisés pour isoler l'énergie en déconnectant la ligne d'alimentation entre la source d'énergie et le système technique. Le dispositif de sectionnement doit normalement produire une déconnexion réelle déterminable sans équivoque de l'alimentation en énergie. La déconnexion de l'alimentation en énergie doit également toujours être associée à la réduction de l'énergie stockée dans toutes les parties du système technique. Si le système technique est alimenté par plusieurs sources d'énergie, toutes ces lignes d'alimentation doivent pouvoir être isolées de manière fiable. Les personnes formées pour manipuler le type d'énergie concerné et qui travaillent à la partie énergie du système technique, utilisent des dispositifs d'isolement pour se protéger des dangers de l'énergie. Pour des raisons de sécurité, ces personnes vérifieront toujours qu'aucune énergie potentiellement dangereuse ne reste dans le système technique, par exemple en vérifiant l'absence de potentiel électrique dans le cas de l'énergie électrique. La manipulation sans risque de certains dispositifs d'isolement n'est possible que pour des spécialistes formés ; dans ce cas, le dispositif d'isolement doit être rendu inaccessible aux personnes non autorisées. (Voir figure 1.)
Figure 1. Principes des dispositifs d'isolement électriques et pneumatiques
Le commutateur principal
Un dispositif interrupteur principal déconnecte le système technique de l'alimentation en énergie. Contrairement au dispositif de sectionnement, il peut être manœuvré sans danger même par des « non énergéticiens ». Le dispositif interrupteur général est utilisé pour déconnecter des systèmes techniques non utilisés à un moment donné si, par exemple, leur fonctionnement est entravé par des tiers non autorisés. Il est également utilisé pour effectuer une déconnexion à des fins telles que l'entretien, la réparation de dysfonctionnements, le nettoyage, la réinitialisation et le réaménagement, à condition que ces travaux puissent être effectués sans énergie dans le système. Bien entendu, lorsqu'un dispositif interrupteur général possède également les caractéristiques d'un dispositif de sectionnement, il peut également assumer et/ou partager sa fonction. (Voir figure 2.)
Figure 2. Exemple d'illustration d'interrupteurs principaux électriques et pneumatiques
Dispositif de déconnexion de sécurité
Un dispositif de déconnexion de sécurité ne déconnecte pas l'ensemble du système technique de la source d'énergie ; au lieu de cela, il supprime l'énergie des parties du système critiques pour un sous-système opérationnel particulier. Des interventions de courte durée peuvent être désignées pour des sous-systèmes opérationnels - par exemple, pour la configuration ou la réinitialisation/réinstallation du système, pour la réparation de dysfonctionnements, pour le nettoyage régulier, et pour les mouvements essentiels et désignés et les séquences de fonctions requises pendant le cours de configuration, de réinitialisation/réinstallation ou de tests. Dans ces cas, les équipements de production complexes et les usines ne peuvent pas simplement être arrêtés avec un interrupteur principal, car l'ensemble du système technique ne pourrait pas redémarrer là où il s'était arrêté après la réparation d'un dysfonctionnement. De plus, le dispositif interrupteur général est rarement situé, dans les systèmes techniques les plus étendus, à l'endroit où l'intervention doit être faite. Ainsi, le dispositif de déconnexion de sécurité est obligé de remplir un certain nombre d'exigences, telles que les suivantes :
Lorsque l'interrupteur principal utilisé dans un système technique donné est en mesure de remplir toutes les exigences d'un dispositif de sectionnement de sécurité, il peut également assumer cette fonction. Mais ce ne sera bien sûr un expédient fiable que dans des systèmes techniques très simples. (Voir figure 3.)
Figure 3. Illustration des principes élémentaires d'un dispositif de déconnexion de sécurité
Équipements de commande pour sous-systèmes opérationnels
Les appareillages de commande permettent de mettre en œuvre et de contrôler en toute sécurité les mouvements et les séquences fonctionnelles nécessaires à la mise en œuvre et à la commande des sous-systèmes opérationnels du système technique. Des appareillages de commande pour les sous-systèmes opérationnels peuvent être nécessaires pour la configuration (lorsque des essais de fonctionnement doivent être exécutés) ; pour la régulation (lorsque des dysfonctionnements dans le fonctionnement du système doivent être réparés ou lorsque des blocages doivent être éliminés) ; ou à des fins de formation (démonstration d'opérations). Dans de tels cas, le fonctionnement normal du système ne peut pas simplement être redémarré, car la personne intervenante serait mise en danger par des mouvements et des processus déclenchés par des signaux de commande entrés par erreur ou générés par erreur. Un appareillage de commande pour les sous-systèmes opérationnels doit être conforme aux exigences suivantes :
Figure 4. Dispositifs d'actionnement dans les dispositifs de commande pour les sous-systèmes opérationnels mobiles et fixes
L'interrupteur d'urgence
Les interrupteurs d'urgence sont nécessaires lorsque le fonctionnement normal des systèmes techniques peut entraîner des dangers que ni une conception appropriée du système ni la prise de mesures de sécurité appropriées ne sont en mesure d'empêcher. Dans les sous-systèmes opérationnels, l'interrupteur d'urgence fait souvent partie du dispositif de commande du sous-système opérationnel. Lorsqu'il est actionné en cas de danger, l'interrupteur d'urgence met en œuvre des processus qui ramènent le plus rapidement possible le système technique dans un état de fonctionnement sûr. Au regard des priorités de sécurité, la protection des personnes est au premier plan ; la prévention des dommages matériels est secondaire, à moins que ceux-ci ne soient susceptibles de mettre également en danger les personnes. L'interrupteur d'urgence doit répondre aux exigences suivantes :
Figure 5. Illustration des principes des panneaux de commande dans les interrupteurs d'urgence
Dispositif de commande de commutateur de fonction
Les dispositifs de commande à commutation de fonction sont utilisés pour activer le système technique pour le fonctionnement normal et pour initier, mettre en œuvre et interrompre les mouvements et les processus désignés pour le fonctionnement normal. Le dispositif de commande de commutation de fonction est utilisé exclusivement dans le cadre du fonctionnement normal du système technique, c'est-à-dire lors de l'exécution non perturbée de toutes les fonctions attribuées. Il est utilisé en conséquence par les personnes qui gèrent le système technique. Les dispositifs de commande de commutation de fonction doivent répondre aux exigences suivantes :
Figure 6. Représentation schématique d'un panneau de contrôle des opérations
Commutateurs de surveillance
Les interrupteurs de surveillance empêchent le démarrage de l'installation technique tant que les conditions de sécurité surveillées ne sont pas remplies et interrompent le fonctionnement dès qu'une condition de sécurité n'est plus remplie. Ils sont utilisés, par exemple, pour surveiller les portes dans les compartiments de protection, pour vérifier la position correcte des protections ou pour s'assurer que les limites de vitesse ou de trajectoire ne sont pas dépassées. Les interrupteurs de surveillance doivent donc satisfaire aux exigences de sécurité et de fiabilité suivantes :
Figure 7. Schéma d'un interrupteur avec un fonctionnement mécanique positif et une déconnexion positive
Circuits de contrôle de sécurité
Plusieurs des dispositifs de commutation de sécurité décrits ci-dessus n'exécutent pas directement la fonction de sécurité, mais plutôt en émettant un signal qui est ensuite transmis et traité par un circuit de commande de sécurité et atteint finalement les parties du système technique qui exercent la fonction de sécurité proprement dite. Le dispositif de déconnexion de sécurité, par exemple, provoque fréquemment la déconnexion de l'énergie à des points critiques de manière indirecte, alors qu'un interrupteur principal déconnecte généralement directement l'alimentation en courant du système technique.
Étant donné que les circuits de commande de sécurité doivent transmettre des signaux de sécurité de manière fiable, les principes suivants doivent donc être pris en considération :
Les composants utilisés dans les circuits de commande de sécurité doivent exécuter la fonction de sécurité de manière particulièrement fiable. Les fonctions des composants ne répondant pas à cette exigence sont à mettre en oeuvre en ménageant une redondance la plus diversifiée possible et à surveiller.
Au cours des dernières années, les microprocesseurs ont joué un rôle de plus en plus important dans le domaine de la technologie de sécurité. Étant donné que des ordinateurs entiers (c'est-à-dire l'unité centrale de traitement, la mémoire et les composants périphériques) sont désormais disponibles dans un seul composant en tant qu '«ordinateurs à puce unique», la technologie des microprocesseurs est utilisée non seulement dans le contrôle de machines complexes, mais également dans des protections de conception relativement simple. (ex. barrières immatérielles, commandes bimanuelles et barres palpeuses). Le logiciel contrôlant ces systèmes comprend entre un millier et plusieurs dizaines de milliers de commandes simples et se compose généralement de plusieurs centaines de branches de programme. Les programmes fonctionnent en temps réel et sont principalement écrits dans le langage d'assemblage des programmeurs.
L'introduction de systèmes commandés par ordinateur dans le domaine de la technologie de sécurité s'est accompagnée dans tous les équipements techniques à grande échelle non seulement de projets de recherche et de développement coûteux, mais également de restrictions importantes destinées à améliorer la sécurité. (La technologie aérospatiale, la technologie militaire et la technologie de l'énergie atomique peuvent être citées ici comme exemples d'applications à grande échelle.) Le domaine collectif de la production industrielle de masse n'a jusqu'à présent été traité que de façon très limitée. Cela s'explique en partie par le fait que les cycles rapides d'innovation caractéristiques de la conception des machines industrielles rendent difficile la transmission, sauf d'une manière très restreinte, des connaissances pouvant découler de projets de recherche portant sur les essais finaux de machines à grande échelle. dispositifs de sécurité. Cela fait du développement de procédures d'évaluation rapides et peu coûteuses un desiderata (Reinert et Reuss 1991).
Cet article examine d'abord les machines et les installations dans lesquelles les systèmes informatiques exécutent actuellement des tâches de sécurité, en utilisant des exemples d'accidents survenus principalement dans le domaine des protections des machines pour décrire le rôle particulier que jouent les ordinateurs dans la technologie de sécurité. Ces accidents donnent des indications sur les précautions à prendre pour que les équipements de sécurité pilotés par ordinateur qui se généralisent actuellement n'entraînent pas une augmentation du nombre d'accidents. La dernière section de l'article esquisse une procédure qui permettra d'amener même de petits systèmes informatiques à un niveau approprié de sécurité technique à des frais justifiables et dans un délai acceptable. Les principes indiqués dans cette dernière partie sont actuellement introduits dans les procédures internationales de normalisation et auront des implications pour tous les domaines de la technologie de la sécurité dans lesquels les ordinateurs trouvent une application.
Exemples d'utilisation de logiciels et d'ordinateurs dans le domaine de la protection des machines
Les quatre exemples suivants montrent clairement que les logiciels et les ordinateurs entrent actuellement de plus en plus dans les applications liées à la sécurité dans le domaine commercial.
Les installations de signalisation d'urgence personnelle se composent, en règle générale, d'une station de réception centrale et d'un certain nombre d'appareils de signalisation d'urgence personnelle. Les appareils sont portés par des personnes travaillant seules sur site. Si l'une de ces personnes travaillant seule se trouve dans une situation d'urgence, elle peut utiliser l'appareil pour déclencher une alarme par signal radio dans la centrale de réception. Un tel déclencheur d'alarme dépendant de la volonté peut également être complété par un mécanisme de déclenchement indépendant de la volonté activé par des capteurs intégrés dans les dispositifs d'urgence personnels. Les appareils individuels et la station de réception centrale sont fréquemment contrôlés par des micro-ordinateurs. Il est concevable que la défaillance de certaines fonctions spécifiques de l'ordinateur intégré puisse conduire, dans une situation d'urgence, à l'échec du déclenchement de l'alarme. Des précautions doivent donc être prises pour percevoir et réparer cette perte de fonction dans le temps.
Les presses à imprimer utilisées aujourd'hui pour imprimer des magazines sont de grosses machines. Les bandes de papier sont normalement préparées par une machine séparée de manière à permettre une transition transparente vers un nouveau rouleau de papier. Les pages imprimées sont pliées par une plieuse et ensuite travaillées à travers une chaîne d'autres machines. Il en résulte des palettes chargées de magazines entièrement cousus. Bien que de telles installations soient automatisées, il y a deux points où des interventions manuelles doivent être faites : (1) dans le filetage des chemins de papier, et (2) dans le dégagement des obstructions causées par les déchirures de papier aux points dangereux sur les rouleaux rotatifs. Pour cette raison, une vitesse de fonctionnement réduite ou un mode pas à pas limité dans la trajectoire ou dans le temps doit être assuré par la technologie de commande pendant le réglage des presses. En raison de la complexité des procédures de pilotage, chaque poste d'impression doit être équipé de son propre automate programmable. Toute défaillance survenant dans la commande d'une imprimerie alors que les grilles de protection sont ouvertes doit être empêchée de conduire soit au démarrage intempestif d'une machine arrêtée, soit à un fonctionnement au-delà des vitesses réduites de manière appropriée.
Dans les grandes usines et les entrepôts, des robots guidés automatisés sans conducteur circulent sur des pistes spécialement balisées. Ces voies peuvent être piétinées à tout moment par des personnes, ou des matériaux et des équipements peuvent être laissés par inadvertance sur les voies, car elles ne sont pas séparées structurellement des autres voies de circulation. Pour cette raison, une sorte d'équipement de prévention des collisions doit être utilisé pour s'assurer que le véhicule sera arrêté avant qu'une collision dangereuse avec une personne ou un objet ne se produise. Dans des applications plus récentes, la prévention des collisions est effectuée au moyen de scanners à ultrasons ou à lumière laser utilisés en combinaison avec un pare-chocs de sécurité. Comme ces systèmes fonctionnent sous contrôle informatique, il est possible de configurer plusieurs zones de détection permanentes afin qu'un véhicule puisse modifier sa réaction en fonction de la zone de détection spécifique dans laquelle se trouve une personne. Les défaillances du dispositif de protection ne doivent pas entraîner de collision dangereuse avec une personne.
Les guillotines des dispositifs de contrôle de la coupe du papier sont utilisées pour presser puis couper des piles de papier épaisses. Ils sont déclenchés par un dispositif de commande à deux mains. L'utilisateur doit atteindre la zone dangereuse de la machine après chaque coupe. Une protection immatérielle, généralement une grille lumineuse, est utilisée en conjonction avec le dispositif de commande bimanuelle et un système de commande de machine sûr pour éviter les blessures lorsque le papier est alimenté pendant l'opération de coupe. Presque toutes les guillotines plus grandes et plus modernes utilisées aujourd'hui sont contrôlées par des systèmes de micro-ordinateurs multicanaux. La commande bimanuelle et la grille immatérielle doivent également être garanties pour fonctionner en toute sécurité.
Accidents avec des systèmes contrôlés par ordinateur
Dans presque tous les domaines d'application industrielle, des accidents avec des logiciels et des ordinateurs sont signalés (Neumann 1994). Dans la plupart des cas, les pannes informatiques n'entraînent pas de blessures aux personnes. De tels manquements ne sont en tout état de cause rendus publics que lorsqu'ils présentent un intérêt public général. Cela signifie que les cas de dysfonctionnement ou d'accident liés aux ordinateurs et aux logiciels entraînant des blessures corporelles représentent une proportion relativement élevée de tous les cas rendus publics. Malheureusement, les accidents qui ne provoquent pas beaucoup de sensations publiques ne font pas l'objet d'enquêtes quant à leurs causes avec la même intensité que les accidents plus importants, généralement dans les usines à grande échelle. Pour cette raison, les exemples qui suivent se réfèrent à quatre descriptions de dysfonctionnements ou d'accidents typiques des systèmes commandés par ordinateur en dehors du domaine de la sécurité des machines, qui sont utilisées pour suggérer ce qu'il faut prendre en compte lors des jugements concernant la technologie de sécurité.
Accidents causés par des pannes aléatoires du matériel
L'accident suivant a été causé par une concentration de pannes aléatoires dans le matériel combinées à un échec de programmation : Un réacteur surchauffé dans une usine chimique, après quoi des soupapes de décharge ont été ouvertes, permettant au contenu du réacteur d'être rejeté dans l'atmosphère. Cet incident s'est produit peu de temps après qu'un avertissement eut été donné indiquant que le niveau d'huile d'une boîte de vitesses était trop bas. Une enquête minutieuse sur l'accident a montré que peu de temps après que le catalyseur ait initié la réaction dans le réacteur - en conséquence de quoi le réacteur aurait nécessité plus de refroidissement - l'ordinateur, sur la base du rapport de faibles niveaux d'huile dans la boîte de vitesses, a gelé tout grandeurs sous son contrôle à une valeur fixe. Cela a maintenu le débit d'eau froide à un niveau trop bas et le réacteur a ainsi surchauffé. Une enquête plus approfondie a montré que l'indication de bas niveaux d'huile avait été signalée par un composant défectueux.
Le logiciel avait répondu conformément à la spécification avec le déclenchement d'une alarme et la fixation de toutes les variables opératoires. C'était une conséquence de l'étude HAZOP (analyse des dangers et de l'opérabilité) (Knowlton 1986) réalisée avant l'événement, qui exigeait que toutes les variables contrôlées ne soient pas modifiées en cas de défaillance. Le programmeur ne connaissant pas la procédure en détail, cette exigence a été interprétée comme signifiant que les actionneurs commandés (vannes de commande dans ce cas) ne devaient pas être modifiés ; aucune attention n'a été accordée à la possibilité d'une élévation de la température. Le programmeur n'a pas pris en considération qu'après avoir reçu un signal erroné le système pouvait se retrouver dans une situation dynamique d'un type nécessitant l'intervention active de l'ordinateur pour éviter un accident. La situation qui a conduit à l'accident était d'ailleurs si improbable qu'elle n'avait pas été analysée en détail dans l'étude HAZOP (Levenson 1986). Cet exemple permet de passer à une deuxième catégorie de causes d'accidents logiciels et informatiques. Ce sont les pannes systématiques qui sont dans le système depuis le début, mais qui ne se manifestent que dans certaines situations bien précises dont le développeur n'a pas tenu compte.
Accidents causés par des pannes de fonctionnement
Lors d'essais sur le terrain lors de l'inspection finale des robots, un technicien a emprunté la cassette d'un robot voisin et l'a remplacée par une autre sans en informer son collègue. De retour sur son lieu de travail, le collègue insère la mauvaise cassette. Comme il se tenait à côté du robot et s'attendait à une séquence particulière de mouvements de sa part - une séquence qui se déroulait différemment en raison du programme échangé - une collision s'est produite entre le robot et l'humain. Cet accident décrit l'exemple classique d'une panne de fonctionnement. Le rôle de ces défaillances dans les dysfonctionnements et les accidents augmente actuellement en raison de la complexité croissante de l'application des mécanismes de sécurité contrôlés par ordinateur.
Accidents causés par des défaillances systématiques du matériel ou des logiciels
Une torpille à ogive devait être tirée à des fins d'entraînement, depuis un navire de guerre en haute mer. En raison d'un défaut de l'appareil d'entraînement, la torpille est restée dans le tube lance-torpilles. Le capitaine a décidé de retourner au port d'attache afin de récupérer la torpille. Peu de temps après que le navire ait commencé à rentrer chez lui, la torpille a explosé. Une analyse de l'accident a révélé que les développeurs de la torpille avaient été obligés d'intégrer à la torpille un mécanisme destiné à empêcher qu'elle ne revienne sur la rampe de lancement après avoir été tirée et détruise ainsi le navire qui l'avait lancée. Le mécanisme choisi pour cela était le suivant : Après le tir de la torpille, on vérifiait, à l'aide de la centrale de navigation inertielle, si sa trajectoire s'était modifiée de 180°. Dès que la torpille a senti qu'elle avait tourné à 180 °, la torpille a explosé immédiatement, soi-disant à une distance de sécurité de la rampe de lancement. Ce mécanisme de détection a été actionné dans le cas de la torpille qui n'avait pas été correctement lancée, de sorte que la torpille a explosé après que le navire eut changé de cap de 180°. Il s'agit d'un exemple typique d'accident survenu en raison d'un défaut de spécification. L'exigence du cahier des charges selon laquelle la torpille ne devait pas détruire son propre navire en cas de changement de cap n'était pas formulée avec suffisamment de précision; la précaution a donc été programmée par erreur. L'erreur n'est apparue que dans une situation particulière, une situation que le programmeur n'avait pas considérée comme une possibilité.
Le 14 septembre 1993, un Airbus A 320 de la Lufthansa s'écrase lors de son atterrissage à Varsovie (figure 1). Une enquête minutieuse sur l'accident a montré que des modifications de la logique d'atterrissage de l'ordinateur de bord effectuées après un accident avec un Boeing 767 de Lauda Air en 1991 étaient en partie responsables de cet atterrissage forcé. Ce qui s'était passé lors de l'accident de 1991, c'est que la déviation de poussée, qui détourne une partie des gaz du moteur afin de freiner l'avion lors de l'atterrissage, s'était engagée alors qu'elle était encore en l'air, forçant ainsi la machine à piquer du nez incontrôlable. Pour cette raison, un verrouillage électronique de la déviation de poussée avait été intégré dans les machines Airbus. Ce mécanisme a permis à la déviation de poussée de n'entrer en vigueur qu'après que les capteurs des deux ensembles de trains d'atterrissage aient signalé la compression des amortisseurs sous la pression des roues touchant le sol. Sur la base d'informations erronées, les pilotes de l'avion à Varsovie ont anticipé un fort vent latéral.
Figure 1. Airbus de Lufthansa après un accident à Varsovie en 1993
Pour cette raison, ils ont amené la machine avec une légère inclinaison et l'Airbus s'est posé avec la roue droite uniquement, laissant la gauche portant moins que le poids total. Du fait du verrouillage électronique du braquage de poussée, l'ordinateur de bord a refusé au pilote pendant neuf secondes les manœuvres qui auraient permis à l'avion d'atterrir en toute sécurité malgré des circonstances défavorables. Cet accident démontre très clairement que des modifications de systèmes informatiques peuvent conduire à des situations nouvelles et dangereuses si l'on ne considère pas à l'avance l'étendue de leurs conséquences possibles.
L'exemple de dysfonctionnement suivant montre également les effets désastreux que la modification d'une seule commande peut avoir sur les systèmes informatiques. La teneur en alcool du sang est déterminée, par des tests chimiques, à l'aide de sérum sanguin clair dont les globules sanguins ont été préalablement centrifugés. La teneur en alcool du sérum est donc plus élevée (d'un facteur 1.2) que celle du sang total plus épais. Pour cette raison, les valeurs d'alcool dans le sérum doivent être divisées par un facteur de 1.2 afin d'établir les parties pour mille légalement et médicalement critiques. Lors du test inter-laboratoires organisé en 1984, les taux d'alcoolémie déterminés lors de tests identiques effectués dans différents instituts de recherche utilisant du sérum devaient être comparés les uns aux autres. Comme il ne s'agissait que de comparaison, l'ordre de diviser par 1.2 a d'ailleurs été effacé du programme d'un des établissements pour la durée de l'expérimentation. Après la fin de l'essai interlaboratoires, une commande de multiplication par 1.2 a été introduite par erreur dans le programme à cet endroit. En conséquence, environ 1,500 1984 valeurs incorrectes de parties pour mille ont été calculées entre août 1985 et mars 1.0. Cette erreur était critique pour la carrière professionnelle des camionneurs dont le taux d'alcoolémie se situait entre 1.3 et 1.3 pour mille, puisqu'une sanction légale entraînant la confiscation du permis de conduire pour une période prolongée est la conséquence d'une valeur de XNUMX pour mille.
Accidents causés par des influences de contraintes de fonctionnement ou de contraintes environnementales
Suite à une perturbation causée par la collecte de déchets dans la zone effective d'une poinçonneuse et grignoteuse CNC (commande numérique par ordinateur), l'utilisateur a déclenché "l'arrêt programmé". Alors qu'il tentait d'enlever les déchets avec ses mains, la tige de poussée de la machine s'est mise à bouger malgré l'arrêt programmé et a gravement blessé l'utilisateur. L'analyse de l'accident a révélé qu'il ne s'agissait pas d'une erreur de programme. Le démarrage inattendu n'a pas pu être reproduit. Des irrégularités similaires avaient été observées par le passé sur d'autres machines du même type. Il semble plausible d'en déduire que l'accident doit avoir été causé par des interférences électromagnétiques. Des accidents similaires avec des robots industriels sont signalés au Japon (Neumann 1987).
Un dysfonctionnement de la sonde spatiale Voyager 2 le 18 janvier 1986 rend encore plus claire l'influence des contraintes environnementales sur les systèmes contrôlés par ordinateur. Six jours avant l'approche la plus proche d'Uranus, de grands champs de lignes noires et blanches couvraient les images de Voyager 2. Une analyse précise a montré qu'un seul bit dans un mot de commande du sous-système de données de vol avait causé la panne, observée comme les images ont été compressées dans la sonde. Ce bit avait très probablement été déplacé dans la mémoire du programme par l'impact d'une particule cosmique. La transmission sans erreur des photographies compressées de la sonde n'a été effectuée que deux jours plus tard, en utilisant un programme de remplacement capable de contourner le point mémoire défaillant (Laeser, McLaughlin et Wolff 1987).
Résumé des accidents présentés
Les accidents analysés montrent que certains risques qui pourraient être négligés dans des conditions utilisant une technologie électromécanique simple, gagnent en importance avec l'utilisation d'ordinateurs. Les ordinateurs permettent le traitement de fonctions de sécurité complexes et spécifiques à la situation. Une spécification claire, sans erreur, complète et testable de toutes les fonctions de sécurité devient donc particulièrement importante. Les erreurs dans les spécifications sont difficiles à découvrir et sont souvent la cause d'accidents dans les systèmes complexes. Les commandes librement programmables sont généralement introduites dans le but de pouvoir réagir de manière flexible et rapide à l'évolution du marché. Cependant, les modifications, en particulier dans les systèmes complexes, ont des effets secondaires difficiles à prévoir. Toutes les modifications doivent donc être soumises à une procédure de gestion des modifications strictement formelle dans laquelle une séparation claire des fonctions de sécurité des systèmes partiels sans rapport avec la sécurité aidera à garder les conséquences des modifications pour la technologie de sécurité faciles à étudier.
Les ordinateurs fonctionnent avec de faibles niveaux d'électricité. Ils sont donc sensibles aux interférences provenant de sources de rayonnement externes. La modification d'un seul signal parmi des millions pouvant entraîner un dysfonctionnement, il convient de porter une attention particulière au thème de la compatibilité électromagnétique en lien avec les ordinateurs.
La maintenance des systèmes commandés par ordinateur devient actuellement de plus en plus complexe et donc de plus en plus floue. L'ergonomie logicielle des logiciels d'utilisation et de configuration devient donc plus intéressante du point de vue de la technique de sécurité.
Aucun système informatique n'est testable à 100 %. Un mécanisme de contrôle simple avec 32 ports d'entrée binaires et 1,000 4.3 chemins logiciels différents nécessite 10 × XNUMX12 tests pour un contrôle complet. A raison de 100 tests par seconde exécutés et évalués, un test complet prendrait 1,362 XNUMX ans.
Procédures et mesures pour l'amélioration des dispositifs de sécurité contrôlés par ordinateur
Des procédures ont été développées au cours des 10 dernières années qui permettent de maîtriser des enjeux spécifiques de sécurité liés à l'informatique. Ces procédures s'adressent aux pannes informatiques décrites dans cette section. Les exemples décrits de logiciels et d'ordinateurs dans la protection des machines et les accidents analysés montrent que l'étendue des dommages et donc aussi le risque encouru dans diverses applications sont extrêmement variables. Il est donc clair que les précautions nécessaires à l'amélioration des ordinateurs et des logiciels utilisés dans les techniques de sécurité doivent être établies en fonction du risque.
La figure 2 montre une procédure qualitative par laquelle la réduction de risque nécessaire pouvant être obtenue à l'aide de systèmes de sécurité peut être déterminée indépendamment de l'ampleur et de la fréquence des dommages (Bell et Reinert 1992). Les types de défaillances des systèmes informatiques analysés dans la section « Accidents avec des systèmes contrôlés par ordinateur » (ci-dessus) peuvent être mis en relation avec ce que l'on appelle les niveaux d'intégrité de sécurité, c'est-à-dire les installations techniques de réduction des risques.
Figure 2. Procédure qualitative de détermination des risques
La figure 3 montre clairement que l'efficacité des mesures prises, dans un cas donné, pour réduire les erreurs dans les logiciels et les ordinateurs doit croître avec l'augmentation du risque (DIN 1994 ; IEC 1993).
Figure 3, Efficacité des précautions prises contre les erreurs indépendamment du risque
L'analyse des accidents esquissée ci-dessus montre que la défaillance des sauvegardes pilotées par ordinateur est causée non seulement par des défauts aléatoires de composants, mais également par des conditions de fonctionnement particulières dont le programmeur n'a pas tenu compte. Les conséquences non immédiatement évidentes des modifications du programme effectuées au cours de la maintenance du système constituent une autre source d'erreur. Il s'ensuit qu'il peut y avoir des défaillances dans les systèmes de sécurité commandés par des microprocesseurs qui, bien que réalisées lors de la mise au point du système, ne peuvent conduire à une situation dangereuse qu'en cours de fonctionnement. Des précautions contre de telles défaillances doivent donc être prises pendant que les systèmes liés à la sécurité sont en phase de développement. Ces mesures dites d'évitement des pannes doivent être prises non seulement pendant la phase de conception, mais également pendant le processus de développement, d'installation et de modification. Certaines défaillances peuvent être évitées si elles sont découvertes et corrigées au cours de ce processus (DIN 1990).
Comme le montre clairement le dernier incident décrit, la panne d'un seul transistor peut entraîner la défaillance technique d'équipements automatisés très complexes. Étant donné que chaque circuit unique est composé de plusieurs milliers de transistors et d'autres composants, de nombreuses mesures d'évitement des pannes doivent être prises pour reconnaître de telles pannes qui se produisent en fonctionnement et pour initier une réaction appropriée dans le système informatique. La figure 4 décrit les types de pannes dans les systèmes électroniques programmables ainsi que des exemples de précautions qui peuvent être prises pour éviter et contrôler les pannes dans les systèmes informatiques (DIN 1990 ; CEI 1992).
Figure 4. Exemples de précautions prises pour contrôler et éviter les erreurs dans les systèmes informatiques
Possibilités et perspectives des systèmes électroniques programmables dans les technologies de sécurité
Les machines et installations modernes deviennent de plus en plus complexes et doivent accomplir des tâches de plus en plus complètes dans des délais de plus en plus courts. Pour cette raison, les systèmes informatiques ont envahi presque tous les domaines de l'industrie depuis le milieu des années 1970. Cette augmentation de la complexité à elle seule a contribué de manière significative à l'augmentation des coûts impliqués dans l'amélioration de la technologie de sécurité dans de tels systèmes. Bien que les logiciels et les ordinateurs représentent un grand défi pour la sécurité sur le lieu de travail, ils permettent également la mise en œuvre de nouveaux systèmes sans erreur dans le domaine de la technologie de sécurité.
Un vers drôle mais instructif d'Ernst Jandl aidera à expliquer ce que l'on entend par le concept erreur facile. "Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum". ("Dilection: Beaucoup croient que la lumière et le repos ne peuvent pas être échangés, quel ellol".) Malgré l'échange des lettres r ainsi que l, cette phrase est facilement compréhensible par un humain adulte normal. Même quelqu'un avec une faible maîtrise de la langue anglaise peut le traduire en anglais. La tâche est cependant presque impossible pour un ordinateur de traduction seul.
Cet exemple montre qu'un être humain peut réagir d'une manière beaucoup plus favorable aux erreurs qu'un ordinateur de langage. Cela signifie que les humains, comme toutes les autres créatures vivantes, peuvent tolérer les échecs en les référant à l'expérience. Si l'on regarde les machines en usage aujourd'hui, on constate que la majorité des machines pénalisent les défaillances des utilisateurs non pas par un accident, mais par une baisse de production. Cette propriété conduit à la manipulation ou au contournement des garanties. La technologie informatique moderne met à la disposition de la sécurité au travail des systèmes capables de réagir intelligemment, c'est-à-dire de manière modifiée. De tels systèmes permettent ainsi un mode de comportement sans erreur dans les nouvelles machines. Ils avertissent d'abord les utilisateurs lors d'une mauvaise manipulation et n'arrêtent la machine que lorsque c'est le seul moyen d'éviter un accident. L'analyse des accidents montre qu'il existe dans ce domaine un potentiel considérable de réduction des accidents (Reinert et Reuss 1991).
Un système automatisé hybride (HAS) vise à intégrer les capacités de machines artificiellement intelligentes (basées sur la technologie informatique) avec les capacités des personnes qui interagissent avec ces machines dans le cadre de leurs activités de travail. Les principales préoccupations de l'utilisation du HAS concernent la manière dont les sous-systèmes humains et machines doivent être conçus afin de tirer le meilleur parti des connaissances et des compétences des deux parties du système hybride, et la manière dont les opérateurs humains et les composants de la machine doivent interagir les uns avec les autres. assurer la complémentarité de leurs fonctions. De nombreux systèmes automatisés hybrides ont évolué en tant que produits d'applications de méthodologies modernes basées sur l'information et le contrôle pour automatiser et intégrer différentes fonctions de systèmes technologiques souvent complexes. HAS a été identifié à l'origine avec l'introduction de systèmes informatisés utilisés dans la conception et l'exploitation de systèmes de contrôle en temps réel pour les réacteurs nucléaires, pour les usines de traitement chimique et pour la technologie de fabrication de pièces discrètes. Le HAS se retrouve désormais également dans de nombreuses industries de services, telles que le contrôle du trafic aérien et les procédures de navigation aérienne dans le domaine de l'aviation civile, ainsi que dans la conception et l'utilisation de systèmes intelligents de navigation pour véhicules et autoroutes dans le transport routier.
Avec les progrès continus de l'automatisation assistée par ordinateur, la nature des tâches humaines dans les systèmes technologiques modernes passe de celles qui nécessitent des compétences perceptivo-motrices à celles qui nécessitent des activités cognitives, nécessaires à la résolution de problèmes, à la prise de décision dans la surveillance du système et à la tâches de contrôle de surveillance. Par exemple, les opérateurs humains dans les systèmes de fabrication intégrés par ordinateur agissent principalement en tant que moniteurs de système, résolveurs de problèmes et décideurs. Les activités cognitives du superviseur humain dans tout environnement HAS sont (1) la planification de ce qui doit être fait pour une période de temps donnée, (2) la conception de procédures (ou étapes) pour atteindre l'ensemble d'objectifs planifiés, (3) le suivi des progrès des processus (technologiques), (4) "enseigner" le système via un ordinateur interactif, (5) intervenir si le système se comporte de manière anormale ou si les priorités de contrôle changent et (6) apprendre par le retour d'information du système sur l'impact de actions de supervision (Sheridan 1987).
Conception de système hybride
Les interactions homme-machine dans un HAS impliquent l'utilisation de boucles de communication dynamiques entre les opérateurs humains et les machines intelligentes - un processus qui comprend la détection et le traitement de l'information et l'initiation et l'exécution des tâches de contrôle et la prise de décision - dans une structure donnée d'attribution de fonctions entre humains et machines. Au minimum, les interactions entre les personnes et l'automatisation doivent refléter la grande complexité des systèmes automatisés hybrides, ainsi que les caractéristiques pertinentes des opérateurs humains et les exigences des tâches. Par conséquent, le système automatisé hybride peut être formellement défini comme un quintuple dans la formule suivante :
A = (T, U, C, E, I)
De T = exigences de la tâche (physiques et cognitives) ; U = caractéristiques de l'utilisateur (physiques et cognitives) ; C = les caractéristiques de l'automatisation (matériel et logiciel, y compris les interfaces informatiques) ; E = l'environnement du système ; I = un ensemble d'interactions entre les éléments ci-dessus.
L'ensemble des interactions I incarne toutes les interactions possibles entre T, U ainsi que C in E quelle que soit leur nature ou leur force d'association. Par exemple, l'une des interactions possibles pourrait impliquer la relation entre les données stockées dans la mémoire de l'ordinateur et les connaissances correspondantes, le cas échéant, de l'opérateur humain. Les interactions I peut être élémentaire (c'est-à-dire limité à une association biunivoque) ou complexe, comme cela impliquerait des interactions entre l'opérateur humain, le logiciel particulier utilisé pour accomplir la tâche souhaitée et l'interface physique disponible avec l'ordinateur.
Les concepteurs de nombreux systèmes automatisés hybrides se concentrent principalement sur l'intégration assistée par ordinateur de machines sophistiquées et d'autres équipements dans le cadre de la technologie informatique, accordant rarement beaucoup d'attention au besoin primordial d'une intégration humaine efficace au sein de ces systèmes. Par conséquent, à l'heure actuelle, de nombreux systèmes (technologiques) intégrés à l'ordinateur ne sont pas entièrement compatibles avec les capacités inhérentes des opérateurs humains telles qu'exprimées par les compétences et les connaissances nécessaires au contrôle et à la surveillance efficaces de ces systèmes. Une telle incompatibilité survient à tous les niveaux du fonctionnement humain, machine et homme-machine, et peut être définie dans le cadre de l'individu et de l'ensemble de l'organisation ou de l'installation. Par exemple, les problèmes d'intégration des personnes et de la technologie dans les entreprises de fabrication de pointe surviennent tôt dans la phase de conception du HAS. Ces problèmes peuvent être conceptualisés en utilisant le modèle d'intégration de système suivant de la complexité des interactions, I, entre les concepteurs du système, D, opérateurs humains, H, ou les utilisateurs potentiels du système et la technologie, T:
Je (H, T) = F [ je (H, D), je (D, T)]
De I représente les interactions pertinentes ayant lieu dans la structure d'une HAS donnée, tandis que F indique les relations fonctionnelles entre les concepteurs, les opérateurs humains et la technologie.
Le modèle d'intégration de système ci-dessus met en évidence le fait que les interactions entre les utilisateurs et la technologie sont déterminées par le résultat de l'intégration des deux interactions précédentes, à savoir (1) celles entre les concepteurs de HAS et les utilisateurs potentiels et (2) celles entre les concepteurs. et la technologie HAS (au niveau des machines et de leur intégration). Il convient de noter que même si de fortes interactions existent généralement entre les concepteurs et la technologie, seuls très peu d'exemples d'interrelations aussi fortes entre les concepteurs et les opérateurs humains peuvent être trouvés.
On peut affirmer que même dans les systèmes les plus automatisés, le rôle humain reste essentiel à la performance réussie du système au niveau opérationnel. Bainbridge (1983) a identifié un ensemble de problèmes liés au fonctionnement de la HAS qui sont dus à la nature de l'automatisation elle-même, comme suit :
Répartition des tâches
L'une des questions importantes pour la conception du HAS est de déterminer combien et quelles fonctions ou responsabilités doivent être attribuées aux opérateurs humains, et lesquelles et combien aux ordinateurs. En règle générale, il existe trois classes de base de problèmes d'attribution des tâches à prendre en compte : (1) l'attribution des tâches superviseur humain-ordinateur, (2) l'attribution des tâches homme-humain et (3) l'attribution des tâches ordinateur-ordinateur de supervision. Idéalement, les décisions d'allocation devraient être prises par le biais d'une procédure d'allocation structurée avant que la conception de base du système ne soit commencée. Malheureusement, un tel processus systématique est rarement possible, car les fonctions à attribuer peuvent nécessiter un examen plus approfondi ou doivent être effectuées de manière interactive entre les composants du système humain et machine, c'est-à-dire par l'application du paradigme de contrôle de supervision. L'attribution des tâches dans les systèmes automatisés hybrides devrait se concentrer sur l'étendue des responsabilités de supervision humaines et informatiques et devrait tenir compte de la nature des interactions entre l'opérateur humain et les systèmes informatisés d'aide à la décision. Les moyens de transfert d'informations entre les machines et les interfaces humaines d'entrée-sortie et la compatibilité des logiciels avec les capacités cognitives humaines de résolution de problèmes doivent également être pris en compte.
Dans les approches traditionnelles de la conception et de la gestion des systèmes automatisés hybrides, les travailleurs étaient considérés comme des systèmes d'entrée-sortie déterministes, et il y avait une tendance à ignorer la nature téléologique du comportement humain, c'est-à-dire le comportement axé sur les objectifs reposant sur l'acquisition de connaissances. les informations pertinentes et la sélection des objectifs (Goodstein et al. 1988). Pour réussir, la conception et la gestion de systèmes automatisés hybrides avancés doivent être basées sur une description des fonctions mentales humaines nécessaires à une tâche spécifique. L'approche « d'ingénierie cognitive » (décrite plus loin) propose que les systèmes homme-machine (hybrides) doivent être conçus, conçus, analysés et évalués en termes de processus mentaux humains (c'est-à-dire que le modèle mental de l'opérateur des systèmes adaptatifs est pris en Compte). Voici les exigences de l'approche centrée sur l'humain pour la conception et l'exploitation du HAS telles que formulées par Corbett (1988) :
Ingénierie Cognitive des Facteurs Humains
L'ingénierie cognitive des facteurs humains se concentre sur la façon dont les opérateurs humains prennent des décisions sur le lieu de travail, résolvent des problèmes, formulent des plans et acquièrent de nouvelles compétences (Hollnagel et Woods 1983). Les rôles des opérateurs humains fonctionnant dans n'importe quel HAS peuvent être classés à l'aide du schéma de Rasmussen (1983) en trois grandes catégories :
Dans la conception et la gestion d'un HAS, il convient de considérer les caractéristiques cognitives des travailleurs afin d'assurer la compatibilité du fonctionnement du système avec le modèle interne du travailleur qui décrit ses fonctions. Par conséquent, le niveau de description du système doit être déplacé des aspects du fonctionnement humain basés sur les compétences vers les aspects basés sur les règles et les connaissances, et des méthodes appropriées d'analyse des tâches cognitives doivent être utilisées pour identifier le modèle d'opérateur d'un système. Un problème connexe dans le développement d'un HAS est la conception des moyens de transmission d'informations entre l'opérateur humain et les composants du système automatisé, tant au niveau physique que cognitif. Un tel transfert d'informations doit être compatible avec les modes d'information utilisés à différents niveaux de fonctionnement du système, c'est-à-dire visuels, verbaux, tactiles ou hybrides. Cette compatibilité informationnelle garantit que différentes formes de transfert d'informations nécessiteront une incompatibilité minimale entre le support et la nature de l'information. Par exemple, un affichage visuel est le meilleur pour la transmission d'informations spatiales, tandis que l'entrée auditive peut être utilisée pour transmettre des informations textuelles.
Très souvent, l'opérateur humain développe un modèle interne qui décrit le fonctionnement et la fonction du système en fonction de son expérience, de sa formation et de ses instructions en rapport avec le type d'interface homme-machine donné. À la lumière de cette réalité, les concepteurs d'un HAS devraient tenter d'intégrer aux machines (ou à d'autres systèmes artificiels) un modèle des caractéristiques physiques et cognitives de l'opérateur humain, c'est-à-dire l'image que le système se fait de l'opérateur (Hollnagel et Woods 1983). . Les concepteurs d'un HAS doivent également tenir compte du niveau d'abstraction dans la description du système ainsi que des différentes catégories pertinentes du comportement de l'opérateur humain. Ces niveaux d'abstraction pour modéliser le fonctionnement humain en milieu de travail sont les suivants (Rasmussen 1983) : (1) forme physique (structure anatomique), (2) fonctions physiques (fonctions physiologiques), (3) fonctions généralisées (mécanismes psychologiques et fonctions cognitives). et processus affectifs), (4) fonctions abstraites (traitement de l'information) et (5) but fonctionnel (structures de valeurs, mythes, religions, interactions humaines). Ces cinq niveaux doivent être considérés simultanément par les concepteurs afin d'assurer une performance efficace de la HAS.
Conception de logiciels système
Étant donné que le logiciel informatique est un composant principal de tout environnement HAS, le développement logiciel, y compris la conception, les tests, le fonctionnement et la modification, ainsi que les problèmes de fiabilité du logiciel doivent également être pris en compte dès les premières étapes du développement HAS. Par ce moyen, on devrait être en mesure de réduire le coût de la détection et de l'élimination des erreurs logicielles. Il est cependant difficile d'estimer la fiabilité des composantes humaines d'une HAS, en raison des limites de notre capacité à modéliser la performance des tâches humaines, la charge de travail associée et les erreurs potentielles. Une charge de travail mental excessive ou insuffisante peut conduire à une surcharge d'informations et à l'ennui, respectivement, et peut entraîner une dégradation des performances humaines, entraînant des erreurs et une augmentation de la probabilité d'accidents. Les concepteurs d'un HAS doivent utiliser des interfaces adaptatives, qui utilisent des techniques d'intelligence artificielle, pour résoudre ces problèmes. En plus de la compatibilité homme-machine, la question de l'adaptabilité homme-machine entre eux doit être considérée afin de réduire les niveaux de stress qui surviennent lorsque les capacités humaines peuvent être dépassées.
En raison du haut niveau de complexité de nombreux systèmes automatisés hybrides, l'identification de tout danger potentiel lié au matériel, aux logiciels, aux procédures opérationnelles et aux interactions homme-machine de ces systèmes devient essentielle au succès des efforts visant à réduire les blessures et les dommages matériels. . Les risques pour la sécurité et la santé associés aux systèmes automatisés hybrides complexes, tels que la technologie de fabrication intégrée par ordinateur (CIM), sont clairement l'un des aspects les plus critiques de la conception et du fonctionnement du système.
Problèmes de sécurité du système
Les environnements automatisés hybrides, avec leur potentiel important de comportement erratique du logiciel de contrôle dans des conditions de perturbation du système, créent une nouvelle génération de risques d'accident. À mesure que les systèmes automatisés hybrides deviennent plus polyvalents et complexes, les perturbations du système, y compris les problèmes de démarrage et d'arrêt et les déviations dans le contrôle du système, peuvent augmenter considérablement la possibilité d'un danger grave pour les opérateurs humains. Ironiquement, dans de nombreuses situations anormales, les opérateurs comptent généralement sur le bon fonctionnement des sous-systèmes de sécurité automatisés, une pratique qui peut augmenter le risque de blessures graves. Par exemple, une étude des accidents liés à des dysfonctionnements des systèmes de contrôle technique a montré qu'environ un tiers des séquences accidentelles comportaient une intervention humaine dans la boucle de contrôle du système perturbé.
Les mesures de sécurité traditionnelles ne pouvant être facilement adaptées aux besoins des environnements HAS, les stratégies de contrôle des blessures et de prévention des accidents doivent être reconsidérées au regard des caractéristiques inhérentes à ces systèmes. Par exemple, dans le domaine de la technologie de fabrication avancée, de nombreux processus sont caractérisés par l'existence de quantités substantielles de flux d'énergie qui ne peuvent pas être facilement anticipées par les opérateurs humains. De plus, les problèmes de sécurité apparaissent généralement aux interfaces entre les sous-systèmes ou lorsque les perturbations du système progressent d'un sous-système à l'autre. Selon l'Organisation internationale de normalisation (ISO 1991), les risques associés aux dangers dus à l'automatisation industrielle varient selon les types de machines industrielles incorporées dans le système de fabrication spécifique et selon la manière dont le système est installé, programmé, utilisé, entretenu et réparé. Par exemple, une comparaison des accidents liés aux robots en Suède avec d'autres types d'accidents a montré que les robots peuvent être les machines industrielles les plus dangereuses utilisées dans l'industrie manufacturière de pointe. Le taux d'accident estimé pour les robots industriels était d'un accident grave pour 45 années-robots, un taux supérieur à celui des presses industrielles, qui était d'un accident pour 50 années-machines. Il convient de noter ici que les presses industrielles aux États-Unis représentaient environ 23 % de tous les décès liés aux machines à travailler les métaux pour la période 1980-1985, les presses mécaniques se classant au premier rang en ce qui concerne le produit gravité-fréquence des blessures non mortelles.
Dans le domaine de la technologie de fabrication avancée, de nombreuses pièces mobiles sont dangereuses pour les travailleurs car elles changent de position de manière complexe en dehors du champ visuel des opérateurs humains. Les développements technologiques rapides dans la fabrication intégrée par ordinateur ont créé un besoin critique d'étudier les effets de la technologie de fabrication avancée sur les travailleurs. Afin d'identifier les dangers causés par les différentes composantes d'un tel environnement HAS, les accidents passés doivent être soigneusement analysés. Malheureusement, les accidents impliquant l'utilisation de robots sont difficiles à isoler des rapports d'accidents liés à des machines à commande humaine et, par conséquent, il peut y avoir un pourcentage élevé d'accidents non enregistrés. Les règles de santé et de sécurité au travail du Japon stipulent que "les robots industriels ne disposent pas actuellement de moyens de sécurité fiables et les travailleurs ne peuvent en être protégés que si leur utilisation est réglementée". Par exemple, les résultats de l'enquête menée par le ministère du Travail du Japon (Sugimoto 1987) sur les accidents liés aux robots industriels dans les 190 usines étudiées (avec 4,341 300 robots en activité) ont montré qu'il y avait 37 perturbations liées aux robots, dont 9 cas des actes dangereux ont entraîné des quasi-accidents, 2 étaient des accidents causant des blessures et XNUMX étaient des accidents mortels. Les résultats d'autres études indiquent que l'automatisation informatisée n'augmente pas nécessairement le niveau global de sécurité, car le matériel du système ne peut pas être rendu sûr par les fonctions de sécurité du logiciel informatique seul, et les contrôleurs du système ne sont pas toujours très fiables. De plus, dans un HAS complexe, on ne peut pas dépendre exclusivement des dispositifs de détection de sécurité pour détecter les conditions dangereuses et entreprendre des stratégies appropriées d'évitement des dangers.
Effets de l'automatisation sur la santé humaine
Comme indiqué ci-dessus, les activités des travailleurs dans de nombreux environnements HAS sont essentiellement celles du contrôle de la supervision, de la surveillance, de l'assistance et de la maintenance du système. Ces activités peuvent également être classées en quatre groupes de base comme suit : (1) tâches de programmation, c'est-à-dire codage des informations qui guident et dirigent le fonctionnement des machines, (2) surveillance des composants de production et de contrôle du HAS, (3) maintenance des composants du HAS pour prévenir ou atténuer les dysfonctionnements des machines, et (4) effectuer diverses tâches de soutien, etc. , travailler dans un environnement HAS peut être insatisfaisant et stressant pour les travailleurs. Les sources de stress comprenaient la surveillance constante requise dans de nombreuses applications HAS, la portée limitée des activités attribuées, le faible niveau d'interaction des travailleurs permis par la conception du système et les risques pour la sécurité associés à la nature imprévisible et incontrôlable de l'équipement. Même si certains travailleurs impliqués dans les activités de programmation et d'entretien ressentent des éléments de défi, ce qui peut avoir des effets positifs sur leur bien-être, ces effets sont souvent compensés par la nature complexe et exigeante de ces activités, ainsi que par la pression exercé par la direction pour mener à bien ces activités rapidement.
Bien que dans certains environnements HAS les opérateurs humains soient éloignés des sources d'énergie traditionnelles (flux de travail et mouvement de la machine) dans des conditions normales de fonctionnement, de nombreuses tâches dans les systèmes automatisés doivent encore être effectuées en contact direct avec d'autres sources d'énergie. Le nombre de composants différents du HAS étant en constante augmentation, un accent particulier doit être mis sur le confort et la sécurité des travailleurs et sur le développement de dispositifs efficaces de contrôle des blessures, d'autant plus que les travailleurs ne sont plus en mesure de suivre le la sophistication et la complexité de tels systèmes.
Afin de répondre aux besoins actuels en matière de contrôle des blessures et de sécurité des travailleurs dans les systèmes de fabrication intégrés par ordinateur, le comité ISO sur les systèmes d'automatisation industrielle a proposé une nouvelle norme de sécurité intitulée "Sécurité des systèmes de fabrication intégrés" (1991). Cette nouvelle norme internationale, qui a été développée en reconnaissance des risques particuliers qui existent dans les systèmes de fabrication intégrés incorporant des machines industrielles et des équipements associés, vise à minimiser les risques de blessures pour le personnel travaillant sur ou à proximité d'un système de fabrication intégré. Les principales sources de dangers potentiels pour les opérateurs humains dans le CIM identifiées par cette norme sont présentées dans la figure 1.
Figure 1. Principale source de dangers dans la fabrication intégrée par ordinateur (CIM) (après ISO 1991)
Erreurs humaines et système
En général, les dangers dans un HAS peuvent provenir du système lui-même, de son association avec d'autres équipements présents dans l'environnement physique ou des interactions du personnel humain avec le système. Un accident n'est que l'un des nombreux résultats des interactions homme-machine qui peuvent survenir dans des conditions dangereuses ; les quasi-accidents et les incidents avec dommages sont beaucoup plus fréquents (Zimolong et Duda 1992). L'apparition d'une erreur peut entraîner l'une des conséquences suivantes : (1) l'erreur reste inaperçue, (2) le système peut compenser l'erreur, (3) l'erreur entraîne une panne de la machine et/ou un arrêt du système ou (4 ) l'erreur entraîne un accident.
Étant donné que toutes les erreurs humaines qui entraînent un incident critique ne causeront pas un véritable accident, il convient de distinguer davantage les catégories de résultats comme suit : (1) un incident dangereux (c'est-à-dire tout événement non intentionnel, qu'il entraîne des blessures, des dommages ou perte), (2) un accident (c'est-à-dire un événement dangereux entraînant une blessure, un dommage ou une perte), (3) un incident dommageable (c'est-à-dire un événement dangereux qui n'entraîne qu'un certain type de dommage matériel), (4) un quasi-accident ou « quasi-accident » (c'est-à-dire, un événement dangereux dans lequel une blessure, un dommage ou une perte a été évité fortuitement par une faible marge) et (5) l'existence d'un potentiel d'accident (c'est-à-dire, des événements dangereux qui auraient pu entraîner des blessures, des dommages , ou perte, mais, en raison des circonstances, n'a pas entraîné même un quasi-accident).
On peut distinguer trois types fondamentaux d'erreur humaine dans une HAS :
Cette taxonomie, conçue par Reason (1990), est basée sur une modification de la classification compétence-règle-connaissance de la performance humaine de Rasmussen telle que décrite ci-dessus. Au niveau des compétences, la performance humaine est régie par des modèles stockés d'instructions préprogrammées représentées sous forme de structures analogiques dans un domaine spatio-temporel. Le niveau basé sur des règles s'applique à la résolution de problèmes familiers dans lesquels les solutions sont régies par des règles stockées (appelées "productions", car elles sont consultées ou produites au besoin). Ces règles exigent que certains diagnostics (ou jugements) soient posés, ou que certaines actions correctives soient prises, étant donné que certaines conditions sont apparues qui exigent une réponse appropriée. À ce niveau, les erreurs humaines sont généralement associées à une mauvaise classification des situations, conduisant soit à l'application de la mauvaise règle, soit au rappel incorrect des jugements ou des procédures qui en découlent. Les erreurs basées sur les connaissances se produisent dans des situations nouvelles pour lesquelles des actions doivent être planifiées « en ligne » (à un moment donné), en utilisant des processus analytiques conscients et des connaissances stockées. Les erreurs à ce niveau proviennent de ressources limitées et de connaissances incomplètes ou incorrectes.
Les systèmes génériques de modélisation des erreurs (GEMS) proposés par Reason (1990), qui tentent de localiser les origines des types d'erreurs humaines de base, peuvent être utilisés pour dériver la taxonomie globale du comportement humain dans un HAS. GEMS cherche à intégrer deux domaines distincts de recherche sur les erreurs : (1) les dérapages et les défaillances, dans lesquels les actions s'écartent de l'intention actuelle en raison d'échecs d'exécution et/ou de stockage et (2) les erreurs, dans lesquelles les actions peuvent se dérouler conformément au plan, mais le plan est insuffisant pour atteindre le résultat souhaité.
Évaluation et prévention des risques en CIM
Selon l'ISO (1991), l'évaluation des risques dans le CIM doit être effectuée de manière à minimiser tous les risques et à servir de base pour déterminer les objectifs et les mesures de sécurité lors de l'élaboration de programmes ou de plans à la fois pour créer un environnement de travail sûr et pour assurer également la sécurité et la santé du personnel. Par exemple, les risques professionnels dans les environnements HAS basés sur la fabrication peuvent être caractérisés comme suit : (1) l'opérateur humain peut avoir besoin d'entrer dans la zone dangereuse pendant les tâches de récupération après perturbation, d'entretien et de maintenance, (2) la zone dangereuse est difficile à déterminer, à percevoir et à contrôler, (3) le travail peut être monotone et (4) les accidents survenant au sein des systèmes de fabrication intégrés par ordinateur sont souvent graves. Chaque danger identifié doit être évalué pour son risque, et des mesures de sécurité appropriées doivent être déterminées et mises en œuvre pour minimiser ce risque. Les dangers doivent également être déterminés en ce qui concerne tous les aspects suivants d'un processus donné : l'unité elle-même ; l'interaction entre les unités individuelles ; les sections d'exploitation du système ; et le fonctionnement du système complet pour tous les modes et conditions de fonctionnement prévus, y compris les conditions dans lesquelles les moyens de protection normaux sont suspendus pour des opérations telles que la programmation, la vérification, le dépannage, la maintenance ou la réparation.
La phase de conception de la stratégie de sécurité ISO (1991) pour le CIM comprend :
La spécification de sécurité du système doit inclure :
Conformément à la norme ISO (1991), toutes les exigences nécessaires pour assurer un fonctionnement sûr du système CIM doivent être prises en compte dans la conception des procédures systématiques de planification de la sécurité. Cela inclut toutes les mesures de protection pour réduire efficacement les dangers et nécessite :
La procédure de planification de la sécurité devrait aborder, entre autres, les problèmes de sécurité suivants du CIM :
Contrôle des perturbations du système
Dans de nombreuses installations HAS utilisées dans le domaine de la fabrication intégrée par ordinateur, des opérateurs humains sont généralement nécessaires pour contrôler, programmer, entretenir, prérégler, entretenir ou dépanner les tâches. Les perturbations du système entraînent des situations qui obligent les travailleurs à pénétrer dans les zones dangereuses. À cet égard, on peut supposer que les perturbations restent la principale cause d'interférence humaine dans le CIM, car les systèmes seront le plus souvent programmés depuis l'extérieur des zones réglementées. L'un des problèmes les plus importants pour la sécurité du CIM est de prévenir les perturbations, car la plupart des risques surviennent lors de la phase de dépannage du système. L'évitement des perturbations est l'objectif commun en termes de sécurité et de rentabilité.
Une perturbation dans un système CIM est un état ou une fonction d'un système qui s'écarte de l'état prévu ou souhaité. Outre la productivité, les perturbations pendant le fonctionnement d'un CIM ont un effet direct sur la sécurité des personnes impliquées dans l'exploitation du système. Une étude finlandaise (Kuivanen 1990) a montré qu'environ la moitié des perturbations dans la fabrication automatisée diminuent la sécurité des travailleurs. Les principales causes de perturbations étaient les erreurs de conception du système (34 %), les défaillances des composants du système (31 %), les erreurs humaines (20 %) et les facteurs externes (15 %). La plupart des pannes de machine ont été causées par le système de contrôle et, dans le système de contrôle, la plupart des pannes se sont produites dans les capteurs. Un moyen efficace d'augmenter le niveau de sécurité des installations CIM est de réduire le nombre de perturbations. Si les actions humaines dans les systèmes perturbés préviennent la survenue d'accidents dans l'environnement HAS, elles y contribuent également. Par exemple, une étude des accidents liés à des dysfonctionnements des systèmes de contrôle technique a montré qu'environ un tiers des séquences accidentelles comportaient une intervention humaine dans la boucle de contrôle du système perturbé.
Les principales problématiques de recherche en prévention des perturbations CIM concernent (1) les causes majeures des perturbations, (2) les composants et fonctions non fiables, (3) l'impact des perturbations sur la sûreté, (4) l'impact des perturbations sur le fonctionnement du système, ( 5) dégâts matériels et (6) réparations. La sécurité du HAS doit être planifiée dès le stade de la conception du système, en tenant dûment compte de la technologie, des personnes et de l'organisation, et faire partie intégrante du processus de planification technique global du HAS.
Conception HAS : les enjeux futurs
Pour assurer le meilleur bénéfice des systèmes automatisés hybrides comme discuté ci-dessus, une vision beaucoup plus large du développement du système, basée sur l'intégration des personnes, de l'organisation et de la technologie, est nécessaire. Trois principaux types d'intégration de système doivent être appliqués ici :
Les exigences de conception minimales pour les systèmes automatisés hybrides doivent inclure les éléments suivants : (1) flexibilité, (2) adaptation dynamique, (3) amélioration de la réactivité et (4) nécessité de motiver les personnes et de mieux utiliser leurs compétences, leur jugement et leur expérience. . Ce qui précède nécessite également que les structures organisationnelles, les pratiques de travail et les technologies de la HAS soient développées pour permettre aux personnes à tous les niveaux du système d'adapter leurs stratégies de travail à la variété des situations de contrôle des systèmes. Ainsi, les organisations, les pratiques de travail et les technologies de la HAS devront être conçues et développées comme des systèmes ouverts (Kidd 1994).
Un système automatisé hybride ouvert (OHAS) est un système qui reçoit des entrées et envoie des sorties à son environnement. L'idée d'un système ouvert peut s'appliquer non seulement aux architectures des systèmes et aux structures organisationnelles, mais aussi aux pratiques de travail, aux interfaces homme-machine et à la relation entre les personnes et les technologies : on peut citer, par exemple, les systèmes d'ordonnancement, les systèmes de contrôle et systèmes d'aide à la décision. Un système ouvert est aussi un système adaptatif lorsqu'il laisse aux gens une grande liberté pour définir le mode de fonctionnement du système. Par exemple, dans le domaine de la fabrication de pointe, les exigences d'un système automatisé hybride ouvert peuvent être réalisées grâce au concept de fabrication humaine et intégrée par ordinateur (HCIM). De ce point de vue, la conception de la technologie doit aborder l'architecture globale du système HCIM, y compris les éléments suivants : (1) les considérations du réseau de groupes, (2) la structure de chaque groupe, (3) l'interaction entre les groupes, (4) la nature du logiciel de support et (5) les besoins techniques de communication et d'intégration entre les modules logiciels de support.
Le système automatisé hybride adaptatif, par opposition au système fermé, ne limite pas ce que les opérateurs humains peuvent faire. Le rôle du concepteur d'un HAS est de créer un système qui satisfera les préférences personnelles de l'utilisateur et permettra à ses utilisateurs de travailler de la manière qu'ils jugent la plus appropriée. Une condition préalable à l'autorisation de la contribution des utilisateurs est le développement d'une méthodologie de conception adaptative, c'est-à-dire un OHAS qui permet d'activer une technologie assistée par ordinateur pour sa mise en œuvre dans le processus de conception. La nécessité de développer une méthodologie pour la conception adaptative est l'une des exigences immédiates pour réaliser le concept OHAS dans la pratique. Un nouveau niveau de technologie de contrôle de supervision humaine adaptative doit également être développé. Une telle technologie devrait permettre à l'opérateur humain de "voir à travers" le système de contrôle autrement invisible du fonctionnement du HAS, par exemple, en appliquant un système vidéo interactif à grande vitesse à chaque point de contrôle et d'exploitation du système. Enfin, une méthodologie pour le développement d'un support informatisé intelligent et hautement adaptatif des rôles humains et du fonctionnement humain dans les systèmes automatisés hybrides est également très nécessaire.
" AVIS DE NON-RESPONSABILITÉ : L'OIT n'assume aucune responsabilité pour le contenu présenté sur ce portail Web qui est présenté dans une langue autre que l'anglais, qui est la langue utilisée pour la production initiale et l'examen par les pairs du contenu original. Certaines statistiques n'ont pas été mises à jour depuis la production de la 4ème édition de l'Encyclopédie (1998)."