Les développements généraux de la microélectronique et de la technologie des capteurs permettent d'espérer qu'une amélioration de la sécurité au travail peut être obtenue grâce à la disponibilité de détecteurs de présence et d'approche fiables, robustes, nécessitant peu d'entretien et peu coûteux. Cet article décrira la technologie des capteurs, les différentes procédures de détection, les conditions et restrictions applicables à l'utilisation des systèmes de capteurs, ainsi que certaines études et travaux de normalisation réalisés en Allemagne.

Critères du détecteur de présence

Le développement et les tests pratiques des détecteurs de présence est l'un des plus grands défis futurs pour les efforts techniques visant à améliorer la sécurité au travail et à la protection du personnel en général. Détecteurs de présence sont des capteurs qui signalent de manière fiable et sûre proximité ou approche d'une personne. De plus, cet avertissement doit se produire rapidement afin qu'une action d'évitement, un freinage ou l'arrêt d'une machine à l'arrêt puisse avoir lieu avant que le contact prévu ne se produise. Que les personnes soient grandes ou petites, quelle que soit leur posture ou leur tenue vestimentaire ne devrait pas avoir d'incidence sur la fiabilité du capteur. De plus, le capteur doit posséder une certitude de fonctionnement et être robuste et peu coûteux, de sorte qu'il puisse être utilisé dans les conditions les plus exigeantes, comme sur les chantiers de construction et pour des applications mobiles, avec un minimum d'entretien. Les capteurs doivent être comme un airbag en ce sens qu'ils ne nécessitent aucun entretien et sont toujours prêts. Étant donné la réticence de certains utilisateurs à entretenir ce qu'ils considèrent comme un équipement non essentiel, les capteurs peuvent être laissés sans entretien pendant des années. Une autre caractéristique des détecteurs de présence, qui est beaucoup plus susceptible d'être demandée, est qu'ils détectent également les obstacles autres que les êtres humains et alertent l'opérateur à temps pour prendre des mesures défensives, réduisant ainsi les coûts de réparation et les dommages matériels. C'est une raison d'installer des détecteurs de présence qu'il ne faut pas sous-estimer.

Applications du détecteur

D'innombrables accidents mortels et blessures graves qui ressemblent à des actes du destin inévitables et individuels peuvent être évités ou minimisés à condition que les détecteurs de présence soient mieux acceptés comme mesure de prévention dans le domaine de la sécurité au travail. Les journaux rapportent trop souvent ces accidents : ici une personne a été heurtée par une chargeuse qui reculait, là l'opérateur n'a pas vu quelqu'un qui s'est fait renverser par la roue avant d'une pelle mécanique. Les camions qui reculent dans les rues, les locaux de l'entreprise et les chantiers de construction sont à l'origine de nombreux accidents de personnes. Aujourd'hui, les entreprises complètement rationalisées ne fournissent plus de co-conducteurs ou d'autres personnes pour servir de guides au conducteur qui recule un camion. Ces exemples d'accidents mobiles peuvent être facilement étendus à d'autres équipements mobiles, tels que les chariots élévateurs. Cependant, l'utilisation de capteurs est nécessaire de toute urgence pour prévenir les accidents impliquant des équipements semi-mobiles et purement fixes. Un exemple est les zones arrière des grandes machines de chargement, qui ont été identifiées par le personnel de sécurité comme des zones potentiellement dangereuses qui pourraient être améliorées grâce à l'utilisation de capteurs peu coûteux. De nombreuses variantes de détecteurs de présence peuvent être adaptées de manière innovante à d'autres véhicules et à de gros équipements mobiles pour se protéger contre les types d'accidents abordés dans cet article, qui causent généralement des dommages importants et des blessures graves, voire mortelles.

La tendance à la généralisation des solutions innovantes laisse présager que les détecteurs de présence deviendront la technologie de sécurité standard dans d'autres applications ; cependant, ce n'est le cas nulle part. La percée, motivée par les accidents et les dommages matériels importants, est attendue dans la surveillance derrière les camionnettes de livraison et les poids lourds et pour les domaines les plus innovants des «nouvelles technologies» - les robots mobiles du futur.

La variation des domaines d'application des détecteurs de présence et la variabilité des tâches - par exemple, tolérer des objets (même en mouvement, sous certaines conditions) qui appartiennent à un champ de détection et qui ne doivent pas déclencher de signal - nécessitent des capteurs dans lesquels " La technologie d'évaluation «intelligente» prend en charge les mécanismes de fonctionnement du capteur. Cette technologie, qui fait l'objet de développements futurs, peut être élaborée à partir de méthodes relevant du domaine de l'intelligence artificielle (Schreiber et Kuhn 1995). A ce jour, une universalité limitée a fortement restreint les usages actuels des capteurs. Il y a des rideaux de lumière ; barres lumineuses; tapis de contact; capteurs infrarouges passifs; détecteurs de mouvement à ultrasons et radar utilisant l'effet Doppler; capteurs qui mesurent le temps écoulé des impulsions ultrasonores, radar et lumineuses; et scanners laser. Les caméras de télévision normales connectées à des moniteurs ne sont pas incluses dans cette liste car ce ne sont pas des détecteurs de présence. Cependant, les caméras qui s'activent automatiquement lors de la détection de la présence d'une personne sont incluses.

Techniques de détection

Aujourd'hui, les principaux enjeux des capteurs sont (1) l'optimisation de l'utilisation des effets physiques (infrarouge, lumière, ultrasons, radar, etc.) et (2) l'autocontrôle. Les scanners laser sont développés intensivement pour être utilisés comme instruments de navigation pour les robots mobiles. Pour cela, deux tâches, en partie différentes dans leur principe, doivent être résolues : la navigation du robot et la protection des personnes (et du matériel ou équipement) présentes afin qu'elles ne soient pas heurtées, écrasées ou empoignées (Freund, Dierks et Rossman 1993 ). Les futurs robots mobiles ne peuvent pas conserver la même philosophie de sécurité de « séparation spatiale du robot et de la personne » qui est strictement appliquée aux robots industriels stationnaires d'aujourd'hui. Cela implique d'accorder une grande importance au fonctionnement fiable du détecteur de présence à utiliser.

L'utilisation des "nouvelles technologies" est souvent liée à des problèmes d'acceptation, et l'on peut supposer que l'utilisation généralisée de robots mobiles capables de se déplacer et de saisir, parmi les personnes dans les usines, dans les zones de circulation publique, ou même dans les maisons ou les zones de loisirs , ne seront acceptés que s'ils sont équipés de détecteurs de présence très évolués, sophistiqués et fiables. Les accidents spectaculaires doivent être évités à tout prix afin de ne pas exacerber un éventuel problème d'acceptation. Le niveau actuel des dépenses pour le développement de ce type de capteurs de protection professionnelle est loin de prendre en compte cette considération. Pour économiser beaucoup de coûts, les détecteurs de présence doivent être développés et testés simultanément avec les robots mobiles et les systèmes de navigation, pas après.

En ce qui concerne les véhicules à moteur, les questions de sécurité ont pris une importance croissante. La sécurité innovante des passagers dans les automobiles comprend des ceintures de sécurité à trois points, des sièges pour enfants, des airbags et le système de freinage antiblocage vérifié par des tests de collision en série. Ces mesures de sécurité représentent une part relativement croissante des coûts de production. Les systèmes d'airbags latéraux et de capteurs radar pour mesurer la distance à la voiture qui précède sont des développements évolutifs dans la protection des passagers.

La sécurité extérieure des véhicules à moteur, c'est-à-dire la protection des tiers, fait l'objet d'une attention accrue. Récemment, des protections latérales ont été requises, principalement pour les camions, afin d'empêcher les motocyclistes, les cyclistes et les piétons de tomber sous les roues arrière. Une prochaine étape logique serait de surveiller la zone derrière les gros véhicules avec des détecteurs de présence et d'installer un équipement d'avertissement de zone arrière. Cela aurait pour effet secondaire positif de fournir le financement nécessaire pour développer, tester et mettre à disposition des capteurs performants, auto-surveillés, sans entretien et fonctionnant de manière fiable, peu coûteux à des fins de sécurité au travail. Le processus d'essai qui accompagnerait la mise en œuvre à grande échelle de capteurs ou de systèmes de capteurs faciliterait considérablement l'innovation dans d'autres domaines, tels que les pelles mécaniques, les chargeuses lourdes et autres gros engins mobiles qui reculent jusqu'à la moitié du temps pendant leur fonctionnement. Le processus d'évolution des robots stationnaires vers les robots mobiles est une voie de développement supplémentaire pour les détecteurs de présence. Par exemple, des améliorations pourraient être apportées aux capteurs actuellement utilisés sur les robots de manutention mobiles ou les « tracteurs d'usine sans conducteur », qui suivent des trajectoires fixes et ont donc des exigences de sécurité relativement faibles. L'utilisation de détecteurs de présence est la prochaine étape logique dans l'amélioration de la sécurité dans le domaine du transport de matériel et de personnes.

Procédures de détection

Divers principes physiques, disponibles en relation avec des méthodes électroniques de mesure et d'autocontrôle et, dans une certaine mesure, des procédures de calcul à haute performance, peuvent être utilisés pour évaluer et résoudre les tâches susmentionnées. Le fonctionnement apparemment sans effort et sûr des machines automatisées (robots) si courantes dans les films de science-fiction, sera peut-être accompli dans le monde réel grâce à l'utilisation de techniques d'imagerie et d'algorithmes de reconnaissance de formes à haute performance en combinaison avec des méthodes de mesure de distance analogues à celles utilisé par les scanners laser. La situation paradoxale que tout ce qui semble simple pour les gens est difficile pour les automates, doit être reconnue. Par exemple, une tâche difficile telle qu'un excellent jeu d'échecs (qui nécessite une activité du cerveau antérieur) peut être plus facilement simulée et exécutée par des machines automatisées qu'une tâche simple telle que marcher debout ou effectuer une coordination œil-main et d'autres mouvements (médiée par le mésencéphale et le cerveau postérieur). Quelques-uns de ces principes, méthodes et procédures applicables aux applications de capteurs sont décrits ci-dessous. En plus de ceux-ci, il existe un grand nombre de procédures spéciales pour des tâches très spéciales qui fonctionnent en partie avec une combinaison de divers types d'effets physiques.

Rideaux et barreaux de barrière lumineuse. Parmi les premiers détecteurs de présence figuraient des barrières lumineuses et des barreaux. Ils ont une géométrie de surveillance plate ; c'est-à-dire que celui qui a franchi la barrière ne sera plus détecté. La main d'un opérateur, ou la présence d'outils ou de pièces tenus dans la main d'un opérateur, par exemple, peuvent être détectés rapidement et de manière fiable avec ces dispositifs. Ils offrent une contribution importante à la sécurité au travail pour les machines (comme les presses et les poinçonneuses) qui nécessitent que le matériau soit introduit à la main. La fiabilité doit être statistiquement extrêmement élevée, car lorsque la main atteint seulement deux à trois fois par minute, environ un million d'opérations sont effectuées en quelques années seulement. L'autosurveillance mutuelle des composants émetteurs et récepteurs a été développée à un niveau technique si élevé qu'elle représente un standard pour toutes les autres procédures de détection de présence.

Tapis de contact (tapis de commutation). Il existe à la fois des types passifs et actifs (pompe) de tapis et de sols de contact électriques et pneumatiques, qui étaient initialement utilisés en grand nombre dans les fonctions de service (ouvre-portes), jusqu'à ce qu'ils soient remplacés par des détecteurs de mouvement. Le développement se poursuit avec l'utilisation de détecteurs de présence dans toutes sortes de zones dangereuses. Par exemple, le développement de la fabrication automatisée avec un changement dans la fonction du travailleur - de l'utilisation de la machine à la surveillance stricte de son fonctionnement - a produit une demande correspondante de détecteurs appropriés. La standardisation de cet usage est bien avancée (DIN 1995a), et des contraintes particulières (implantation, taille, zones « mortes » maximales autorisées) ont nécessité le développement d'une expertise d'installation dans ce domaine d'usage.

Des utilisations possibles intéressantes des tapis de contact se présentent en conjonction avec des systèmes de robots multiples contrôlés par ordinateur. Un opérateur commute un ou deux éléments pour que le détecteur de présence capte sa position exacte et informe l'ordinateur, qui gère les systèmes de contrôle du robot avec un système anticollision intégré. Dans un test avancé par l'institut fédéral de sécurité allemand (BAU), un sol à tapis de contact, composé de petits tapis d'interrupteurs électriques, a été construit sous la zone de travail du bras du robot à cette fin (Freund, Dierks et Rossman 1993). Ce détecteur de présence avait la forme d'un échiquier. Le champ de tapis respectivement activé indiquait à l'ordinateur la position de l'opérateur (figure 1) et lorsque l'opérateur s'approchait trop près du robot, il s'éloignait. Sans le détecteur de présence, le système de robot ne serait pas en mesure de déterminer la position de l'opérateur, et l'opérateur ne pourrait alors pas être protégé.

Figure 1. Une personne (à droite) et deux robots dans des enveloppes calculées

Réflecteurs (capteurs de mouvement et détecteurs de présence). Aussi méritoires que soient les capteurs évoqués jusqu'à présent, ce ne sont pas des détecteurs de présence au sens large. Leur adéquation, principalement pour des raisons de sécurité au travail, aux gros véhicules et aux gros équipements mobiles suppose deux caractéristiques importantes : (1) la capacité de surveiller une zone à partir d'une position, et (2) un fonctionnement sans erreur sans nécessiter de mesures supplémentaires sur la part de—par exemple, l'utilisation de dispositifs réflecteurs. La détection de la présence d'une personne pénétrant dans la zone surveillée et restant à l'arrêt jusqu'au départ de cette personne implique également la nécessité de détecter une personne immobile. Ceci distingue les détecteurs dits de mouvement des détecteurs de présence, du moins en relation avec des équipements mobiles ; les détecteurs de mouvement sont presque toujours déclenchés lorsque le véhicule est mis en mouvement.

Détecteurs de mouvement. Les deux principaux types de détecteurs de mouvement sont : (1) les "capteurs infrarouges passifs" (PIRS), qui réagissent au moindre changement du faisceau infrarouge dans la zone surveillée (le plus petit faisceau détectable est d'environ 10^-9 W avec une gamme de longueurs d'onde d'environ 7 à 20 μm); et (2) des capteurs à ultrasons et micro-ondes utilisant le principe Doppler, qui détermine les caractéristiques du mouvement d'un objet en fonction des changements de fréquence. Par exemple, l'effet Doppler augmente la fréquence du klaxon d'une locomotive pour un observateur lorsqu'il s'approche et réduit la fréquence lorsque la locomotive s'éloigne. L'effet Doppler rend possible la construction de capteurs d'approche relativement simples, car le récepteur n'a qu'à surveiller la fréquence du signal des bandes de fréquences voisines pour l'apparition de la fréquence Doppler.

Au milieu des années 1970, l'utilisation de détecteurs de mouvement est devenue courante dans les applications de fonction de service telles que les ouvre-portes, la sécurité contre le vol et la protection des objets. Pour une utilisation stationnaire, la détection d'une personne s'approchant d'un point dangereux était suffisante pour donner un avertissement en temps opportun ou pour éteindre une machine. Cela a servi de base à l'étude de l'adéquation des détecteurs de mouvement à leur utilisation en sécurité au travail, notamment au moyen du PIRS (Mester et al. 1980). Parce qu'une personne habillée a généralement une température plus élevée que la zone environnante (tête 34°C, mains 31°C), détecter une personne qui s'approche est un peu plus facile que de détecter des objets inanimés. Dans une mesure limitée, des pièces de machine peuvent se déplacer dans la zone surveillée sans déclencher le détecteur.

La méthode passive (sans émetteur) présente des avantages et des inconvénients. L'avantage est qu'un PIRS n'augmente pas les problèmes de bruit et de smog électrique. Pour la sécurité antivol et la protection des objets, il est particulièrement important que le détecteur ne soit pas facile à trouver. Un capteur qui n'est qu'un récepteur, cependant, peut difficilement surveiller sa propre efficacité, qui est essentielle pour la sécurité au travail. Une méthode pour pallier cet inconvénient consistait à tester de petits émetteurs infrarouges modulés (5 à 20 Hz) qui étaient installés dans la zone surveillée et qui ne déclenchaient pas le capteur, mais dont les faisceaux étaient enregistrés avec une amplification électronique fixe réglée sur la fréquence de modulation. Cette modification l'a transformé d'un capteur "passif" en un capteur "actif". De cette manière, il était également possible de vérifier la précision géométrique de la zone surveillée. Les miroirs peuvent avoir des angles morts et la direction d'un capteur passif peut être perturbée par l'activité brutale d'une plante. La figure 2 montre une disposition de test avec un PIRS avec une géométrie surveillée sous la forme d'un manteau pyramidal. En raison de leur grande portée, des capteurs infrarouges passifs sont installés, par exemple, dans les passages des zones de stockage des étagères.

Figure 2. Capteur infrarouge passif comme détecteur d'approche dans une zone dangereuse

Dans l'ensemble, les tests ont montré que les détecteurs de mouvement ne sont pas adaptés à la sécurité au travail. Le sol d'un musée de nuit n'est pas comparable aux zones dangereuses d'un lieu de travail.

Détecteurs à ultrasons, radars et impulsions lumineuses. Les capteurs qui utilisent le principe impulsion/écho, c'est-à-dire les mesures de temps écoulé des impulsions ultrasonores, radar ou lumineuses, ont un grand potentiel en tant que détecteurs de présence. Avec les scanners laser, les impulsions lumineuses peuvent balayer en succession rapide (généralement de manière rotative), par exemple horizontalement, et à l'aide d'un ordinateur, on peut obtenir un profil de distance des objets sur un plan qui réfléchissent la lumière. Si, par exemple, on ne souhaite pas seulement une seule ligne, mais l'intégralité de ce qui se trouve devant le robot mobile dans la zone jusqu'à une hauteur de 2 mètres, alors de grandes quantités de données doivent être traitées pour représenter la zone environnante. Un futur détecteur de présence « idéal » consistera en une combinaison des deux processus suivants :

1. Un processus de reconnaissance de formes sera utilisé, composé d'une caméra et d'un ordinateur. Ce dernier peut aussi être un « réseau neuronal ».
2. Un processus de balayage laser est en outre nécessaire pour mesurer les distances; cela prend un relèvement dans un espace tridimensionnel à partir d'un certain nombre de points individuels sélectionnés par le processus de reconnaissance de formes, établi pour obtenir la distance et le mouvement en fonction de la vitesse et de la direction.

La figure 3 montre, à partir du projet BAU précédemment cité (Freund, Dierks et Rossman 1993), l'utilisation d'un scanner laser sur un robot mobile qui assume également des tâches de navigation (via un faisceau de détection de direction) et une protection contre les collisions pour les objets dans l'immédiat. voisinage (via un faisceau de mesure au sol pour la détection de présence). Compte tenu de ces caractéristiques, le robot mobile a la capacité de conduite libre automatisée active (c'est-à-dire la capacité de contourner les obstacles). Techniquement, ceci est réalisé en utilisant l'angle de rotation de 45° du scanner vers l'arrière des deux côtés (à bâbord et à tribord du robot) en plus de l'angle de 180° vers l'avant. Ces faisceaux sont reliés à un miroir spécial qui agit comme une barrière immatérielle au sol devant le robot mobile (fournissant une ligne de vision au sol). Si une réflexion laser vient de là, le robot s'arrête. Alors que des scanners laser et lumineux certifiés pour la sécurité au travail sont sur le marché, ces détecteurs de présence ont un grand potentiel de développement.

Figure 3. Robot mobile avec scanner laser pour la navigation et la détection de présence

Les capteurs à ultrasons et radar, qui utilisent le temps écoulé entre le signal et la réponse pour déterminer la distance, sont moins exigeants d'un point de vue technique et peuvent donc être produits à moindre coût. La zone de capteur est en forme de massue et possède une ou plusieurs massues latérales plus petites, qui sont disposées de manière symétrique. La vitesse de propagation du signal (son : 330 m/s ; onde électromagnétique : 300,000 XNUMX km/s) détermine la vitesse requise de l'électronique utilisée.

Dispositifs d'avertissement de zone arrière. Lors de l'exposition de Hanovre de 1985, BAU a présenté les résultats d'un premier projet sur l'utilisation de capteurs à ultrasons pour sécuriser la zone derrière les gros véhicules (Langer et Kurfürst 1985). Un modèle grandeur nature d'une tête de détection composée de capteurs Polaroid™ a été installé sur la paroi arrière d'un camion de ravitaillement. La figure 4 montre schématiquement son fonctionnement. Le grand diamètre de ce capteur produit des zones de mesure en forme de massue relativement petites (environ 18°) et à longue portée, disposées les unes à côté des autres et réglées sur différentes plages de signal maximales. En pratique, il permet de définir n'importe quelle géométrie surveillée souhaitée, qui est balayée par les capteurs environ quatre fois par seconde pour la présence ou l'entrée de personnes. D'autres systèmes d'avertissement de zone arrière démontrés avaient plusieurs capteurs en réseau individuels parallèles.

Figure 4. Disposition de la tête de mesure et zone surveillée à l'arrière d'un camion

Cette démonstration vivante a été un grand succès à l'exposition. Il a montré que la sécurisation de la zone arrière des gros véhicules et équipements est étudiée dans de nombreux endroits, par exemple par des comités spécialisés des associations professionnelles industrielles (Berufsgenossenschaften), les assureurs accident municipaux (qui sont responsables des véhicules municipaux), les responsables de la surveillance de l'industrie de l'État et les producteurs de capteurs, qui pensaient plutôt en termes d'automobiles en tant que véhicules de service (au sens de se concentrer sur les systèmes de stationnement pour se protéger contre dommages à la carrosserie). Un comité ad hoc issu des groupes pour la promotion des avertisseurs de zone arrière s'est formé spontanément et s'est donné comme première tâche l'élaboration d'une liste d'exigences du point de vue de la sécurité au travail. Dix ans se sont écoulés au cours desquels beaucoup a été travaillé dans la surveillance de la zone arrière - peut-être la tâche la plus importante des détecteurs de présence ; mais la grande percée manque toujours.

De nombreux projets ont été menés avec des capteurs à ultrasons, par exemple sur des grues de triage de bois rond, des pelles hydrauliques, des véhicules municipaux spéciaux et d'autres véhicules utilitaires, ainsi que sur des chariots élévateurs et des chargeurs (Schreiber 1990). Les dispositifs d'avertissement de zone arrière sont particulièrement importants pour les grosses machines qui reculent la plupart du temps. Les détecteurs de présence à ultrasons sont utilisés, par exemple, pour la protection des véhicules spécialisés sans conducteur tels que les robots de manutention. Par rapport aux pare-chocs en caoutchouc, ces capteurs ont une plus grande zone de détection qui permet de freiner avant que le contact ne soit établi entre la machine et un objet. Les capteurs correspondants pour les automobiles sont des développements appropriés et impliquent des exigences considérablement moins strictes.

Entre-temps, le Comité des normes techniques du système de transport du DIN a élaboré la norme 75031, «Dispositifs de détection d'obstacles en marche arrière» (DIN 1995b). Les exigences et les tests ont été définis pour deux plages : 1.8 m pour les camions de ravitaillement et 3.0 m - une zone d'avertissement supplémentaire - pour les camions plus gros. La zone surveillée est définie par la reconnaissance de corps d'épreuve cylindriques. La portée de 3 m est également à la limite de ce qui est actuellement techniquement possible, car les capteurs à ultrasons doivent avoir des membranes métalliques fermées, compte tenu de leurs conditions de travail difficiles. Les exigences pour l'auto-surveillance du système de capteurs sont définies, car la géométrie surveillée requise ne peut être obtenue qu'avec un système de trois capteurs ou plus. La figure 5 montre un dispositif d'avertissement de zone arrière composé de trois capteurs à ultrasons (Microsonic GmbH 1996). Il en va de même pour le dispositif de notification dans la cabine du conducteur et le type de signal d'avertissement. Le contenu de la norme DIN 75031 est également présenté dans le rapport technique international ISO TR 12155, "Véhicules utilitaires - Dispositif de détection d'obstacles en marche arrière" (ISO 1994). Différents fabricants de capteurs ont développé des prototypes conformément à cette norme.

Figure 5. Camion de taille moyenne équipé d'un dispositif d'avertissement de zone arrière (photo Microsonic).

Conclusion

Depuis le début des années 1970, plusieurs institutions et fabricants de capteurs ont travaillé au développement et à la mise en place de « détecteurs de présence ». Dans l'application spéciale des "dispositifs d'avertissement de zone arrière", il existe la norme DIN 75031 et le rapport ISO TR 12155. À l'heure actuelle, Deutsche Post AG effectue un test majeur. Plusieurs fabricants de capteurs ont chacun équipé cinq camions de taille moyenne de tels dispositifs. Un résultat positif de ce test est tout à fait dans l'intérêt de la sécurité au travail. Comme cela a été souligné au début, les détecteurs de présence en nombre requis représentent un grand défi pour la technique de sécurité dans les nombreux domaines d'application mentionnés. Ils doivent donc être réalisables à moindre coût si l'on veut que les dommages aux équipements, aux machines et aux matériaux, et surtout les blessures aux personnes, souvent très graves, soient reléguées au passé.

Retour

Les dispositifs de commande et les dispositifs utilisés pour le sectionnement et la commutation doivent toujours être discutés en relation avec systèmes techniques, terme utilisé dans cet article pour désigner les machines, installations et équipements. Chaque système technique remplit une tâche pratique spécifique et assignée. Des dispositifs de commande et de commutation de sécurité appropriés sont nécessaires si cette tâche pratique doit être réalisable ou même possible dans des conditions sûres. De tels dispositifs sont utilisés pour initier le contrôle, interrompre ou retarder le courant et/ou les impulsions d'énergies électriques, hydrauliques, pneumatiques ou encore potentielles.

Isolation et réduction d'énergie

Les dispositifs d'isolement sont utilisés pour isoler l'énergie en déconnectant la ligne d'alimentation entre la source d'énergie et le système technique. Le dispositif de sectionnement doit normalement produire une déconnexion réelle déterminable sans équivoque de l'alimentation en énergie. La déconnexion de l'alimentation en énergie doit également toujours être associée à la réduction de l'énergie stockée dans toutes les parties du système technique. Si le système technique est alimenté par plusieurs sources d'énergie, toutes ces lignes d'alimentation doivent pouvoir être isolées de manière fiable. Les personnes formées pour manipuler le type d'énergie concerné et qui travaillent à la partie énergie du système technique, utilisent des dispositifs d'isolement pour se protéger des dangers de l'énergie. Pour des raisons de sécurité, ces personnes vérifieront toujours qu'aucune énergie potentiellement dangereuse ne reste dans le système technique, par exemple en vérifiant l'absence de potentiel électrique dans le cas de l'énergie électrique. La manipulation sans risque de certains dispositifs d'isolement n'est possible que pour des spécialistes formés ; dans ce cas, le dispositif d'isolement doit être rendu inaccessible aux personnes non autorisées. (Voir figure 1.)

Figure 1. Principes des dispositifs d'isolement électriques et pneumatiques

Le commutateur principal

Un dispositif interrupteur principal déconnecte le système technique de l'alimentation en énergie. Contrairement au dispositif de sectionnement, il peut être manœuvré sans danger même par des « non énergéticiens ». Le dispositif interrupteur général est utilisé pour déconnecter des systèmes techniques non utilisés à un moment donné si, par exemple, leur fonctionnement est entravé par des tiers non autorisés. Il est également utilisé pour effectuer une déconnexion à des fins telles que l'entretien, la réparation de dysfonctionnements, le nettoyage, la réinitialisation et le réaménagement, à condition que ces travaux puissent être effectués sans énergie dans le système. Bien entendu, lorsqu'un dispositif interrupteur général possède également les caractéristiques d'un dispositif de sectionnement, il peut également assumer et/ou partager sa fonction. (Voir figure 2.)

Figure 2. Exemple d'illustration d'interrupteurs principaux électriques et pneumatiques

Dispositif de déconnexion de sécurité

Un dispositif de déconnexion de sécurité ne déconnecte pas l'ensemble du système technique de la source d'énergie ; au lieu de cela, il supprime l'énergie des parties du système critiques pour un sous-système opérationnel particulier. Des interventions de courte durée peuvent être désignées pour des sous-systèmes opérationnels - par exemple, pour la configuration ou la réinitialisation/réinstallation du système, pour la réparation de dysfonctionnements, pour le nettoyage régulier, et pour les mouvements essentiels et désignés et les séquences de fonctions requises pendant le cours de configuration, de réinitialisation/réinstallation ou de tests. Dans ces cas, les équipements de production complexes et les usines ne peuvent pas simplement être arrêtés avec un interrupteur principal, car l'ensemble du système technique ne pourrait pas redémarrer là où il s'était arrêté après la réparation d'un dysfonctionnement. De plus, le dispositif interrupteur général est rarement situé, dans les systèmes techniques les plus étendus, à l'endroit où l'intervention doit être faite. Ainsi, le dispositif de déconnexion de sécurité est obligé de remplir un certain nombre d'exigences, telles que les suivantes :

• Il interrompt le flux d'énergie de manière fiable et de manière à ce que des mouvements ou processus dangereux ne soient pas déclenchés par des signaux de commande entrés par erreur ou générés par erreur.
• Il est installé précisément là où des interruptions doivent être effectuées dans les zones dangereuses des sous-systèmes opérationnels du système technique. Si nécessaire, l'installation peut se faire à plusieurs endroits (par exemple, à différents étages, dans différentes pièces ou à différents points d'accès sur des machines ou des équipements).
• Son dispositif de contrôle a une position "off" clairement marquée qui ne s'enregistre qu'une seule fois après que le flux d'énergie a été coupé de manière fiable.
• Une fois en position "arrêt", son dispositif de commande peut être sécurisé contre un redémarrage sans autorisation (a) si les zones dangereuses en question ne peuvent pas être surveillées de manière fiable depuis la zone de contrôle et (b) si les personnes situées dans la zone dangereuse ne peuvent pas elles-mêmes voir le dispositif de contrôle facilement et constamment, ou (c) si le verrouillage/l'étiquetage est requis par la réglementation ou les procédures de l'organisation.
• Il ne doit déconnecter qu'une seule unité fonctionnelle d'un système technique étendu, si les autres unités fonctionnelles sont en mesure de continuer à fonctionner par elles-mêmes sans danger pour l'intervenant.

Lorsque l'interrupteur principal utilisé dans un système technique donné est en mesure de remplir toutes les exigences d'un dispositif de sectionnement de sécurité, il peut également assumer cette fonction. Mais ce ne sera bien sûr un expédient fiable que dans des systèmes techniques très simples. (Voir figure 3.)

Figure 3. Illustration des principes élémentaires d'un dispositif de déconnexion de sécurité

Équipements de commande pour sous-systèmes opérationnels

Les appareillages de commande permettent de mettre en œuvre et de contrôler en toute sécurité les mouvements et les séquences fonctionnelles nécessaires à la mise en œuvre et à la commande des sous-systèmes opérationnels du système technique. Des appareillages de commande pour les sous-systèmes opérationnels peuvent être nécessaires pour la configuration (lorsque des essais de fonctionnement doivent être exécutés) ; pour la régulation (lorsque des dysfonctionnements dans le fonctionnement du système doivent être réparés ou lorsque des blocages doivent être éliminés) ; ou à des fins de formation (démonstration d'opérations). Dans de tels cas, le fonctionnement normal du système ne peut pas simplement être redémarré, car la personne intervenante serait mise en danger par des mouvements et des processus déclenchés par des signaux de commande entrés par erreur ou générés par erreur. Un appareillage de commande pour les sous-systèmes opérationnels doit être conforme aux exigences suivantes :

• Il doit permettre l'exécution en toute sécurité des mouvements et des processus requis pour les sous-systèmes opérationnels du système technique. Par exemple, certains mouvements seront exécutés à des vitesses réduites, progressivement ou à des niveaux de puissance inférieurs (selon ce qui est approprié), et les processus interrompus immédiatement, en règle générale, si le panneau de commande n'est plus surveillé.
• Ses panneaux de contrôle doivent être situés dans des zones où leur fonctionnement ne met pas en danger l'opérateur et d'où les processus contrôlés sont entièrement visibles.
• Si plusieurs panneaux de contrôle contrôlant divers processus sont présents à un même endroit, ceux-ci doivent être clairement marqués et disposés de manière distincte et compréhensible.
• L'appareillage de commande des sous-systèmes opérationnels ne devrait devenir efficace que lorsque le fonctionnement normal a été désengagé de manière fiable ; c'est-à-dire qu'il doit être garanti qu'aucune commande de contrôle ne peut être émise efficacement à partir d'un fonctionnement normal et prendre le pas sur l'appareillage de commande.
• L'utilisation non autorisée de l'appareillage de commande pour les sous-systèmes opérationnels devrait pouvoir être évitée, par exemple en exigeant l'utilisation d'une clé ou d'un code spécial pour libérer la fonction en question. (Voir figure 4.)

Figure 4. Dispositifs d'actionnement dans les dispositifs de commande pour les sous-systèmes opérationnels mobiles et fixes

L'interrupteur d'urgence

Les interrupteurs d'urgence sont nécessaires lorsque le fonctionnement normal des systèmes techniques peut entraîner des dangers que ni une conception appropriée du système ni la prise de mesures de sécurité appropriées ne sont en mesure d'empêcher. Dans les sous-systèmes opérationnels, l'interrupteur d'urgence fait souvent partie du dispositif de commande du sous-système opérationnel. Lorsqu'il est actionné en cas de danger, l'interrupteur d'urgence met en œuvre des processus qui ramènent le plus rapidement possible le système technique dans un état de fonctionnement sûr. Au regard des priorités de sécurité, la protection des personnes est au premier plan ; la prévention des dommages matériels est secondaire, à moins que ceux-ci ne soient susceptibles de mettre également en danger les personnes. L'interrupteur d'urgence doit répondre aux exigences suivantes :

• Elle doit aboutir le plus rapidement possible à un état de fonctionnement sûr du système technique.
• Son panneau de commande doit être facilement reconnaissable et placé et conçu de telle sorte qu'il puisse être actionné sans difficulté par les personnes en danger et qu'il puisse également être atteint par d'autres intervenants en cas d'urgence.
• Les processus d'urgence qu'il déclenche ne doivent pas entraîner de nouveaux risques ; par exemple, ils ne doivent pas desserrer les dispositifs de serrage ou déconnecter les fixations magnétiques ou bloquer les dispositifs de sécurité.
• Après le déclenchement d'un processus d'interrupteur d'urgence, le système technique ne doit pas pouvoir être redémarré automatiquement par la réinitialisation du panneau de commande de l'interrupteur d'urgence. Au lieu de cela, l'entrée consciente d'une nouvelle commande de contrôle de fonction doit être requise. (Voir figure 5.)

Figure 5. Illustration des principes des panneaux de commande dans les interrupteurs d'urgence

Dispositif de commande de commutateur de fonction

Les dispositifs de commande à commutation de fonction sont utilisés pour activer le système technique pour le fonctionnement normal et pour initier, mettre en œuvre et interrompre les mouvements et les processus désignés pour le fonctionnement normal. Le dispositif de commande de commutation de fonction est utilisé exclusivement dans le cadre du fonctionnement normal du système technique, c'est-à-dire lors de l'exécution non perturbée de toutes les fonctions attribuées. Il est utilisé en conséquence par les personnes qui gèrent le système technique. Les dispositifs de commande de commutation de fonction doivent répondre aux exigences suivantes :

• Leurs panneaux de contrôle doivent être accessibles et faciles à utiliser sans danger.
• Leurs panneaux de contrôle doivent être disposés de manière claire et rationnelle ; par exemple, les boutons de commande doivent fonctionner « rationnellement » en ce qui concerne les mouvements contrôlés de haut en bas, de droite et de gauche. (Les mouvements de contrôle « rationnels » et les effets correspondants peuvent être sujets à des variations locales et sont parfois définis par des stipulations.)
• Leurs panneaux de contrôle doivent être étiquetés de manière claire et intelligible, avec des symboles facilement compréhensibles.
• Les processus qui nécessitent toute l'attention de l'utilisateur pour leur exécution en toute sécurité ne doivent pas pouvoir être déclenchés soit par des signaux de commande générés par erreur, soit par un fonctionnement intempestif des organes de commande qui les régissent. Le traitement des signaux du panneau de commande doit être suffisamment fiable et le fonctionnement involontaire doit être empêché par une conception appropriée du dispositif de commande. (Voir figure 6).

Figure 6. Représentation schématique d'un panneau de contrôle des opérations

Commutateurs de surveillance

Les interrupteurs de surveillance empêchent le démarrage de l'installation technique tant que les conditions de sécurité surveillées ne sont pas remplies et interrompent le fonctionnement dès qu'une condition de sécurité n'est plus remplie. Ils sont utilisés, par exemple, pour surveiller les portes dans les compartiments de protection, pour vérifier la position correcte des protections ou pour s'assurer que les limites de vitesse ou de trajectoire ne sont pas dépassées. Les interrupteurs de surveillance doivent donc satisfaire aux exigences de sécurité et de fiabilité suivantes :

• L'appareillage de commutation utilisé à des fins de surveillance doit émettre le signal de protection de manière particulièrement fiable ; par exemple, un interrupteur de surveillance mécanique peut être conçu pour interrompre le flux de signal automatiquement et avec une fiabilité particulière.
• L'outil de commutation utilisé à des fins de surveillance doit être actionné de manière particulièrement fiable lorsque la condition de sécurité n'est pas remplie (par exemple, lorsque le poussoir d'un interrupteur de surveillance avec interruption automatique est forcé mécaniquement et automatiquement en position d'interruption).
• L'interrupteur de surveillance ne doit pas pouvoir être désactivé de manière incorrecte, du moins pas par inadvertance et sans effort ; cette condition peut être remplie, par exemple, par un interrupteur mécanique à commande automatique avec interruption automatique, lorsque l'interrupteur et l'élément de commande sont solidement fixés. (Voir figure 7).

Figure 7. Schéma d'un interrupteur avec un fonctionnement mécanique positif et une déconnexion positive

Circuits de contrôle de sécurité

Plusieurs des dispositifs de commutation de sécurité décrits ci-dessus n'exécutent pas directement la fonction de sécurité, mais plutôt en émettant un signal qui est ensuite transmis et traité par un circuit de commande de sécurité et atteint finalement les parties du système technique qui exercent la fonction de sécurité proprement dite. Le dispositif de déconnexion de sécurité, par exemple, provoque fréquemment la déconnexion de l'énergie à des points critiques de manière indirecte, alors qu'un interrupteur principal déconnecte généralement directement l'alimentation en courant du système technique.

Étant donné que les circuits de commande de sécurité doivent transmettre des signaux de sécurité de manière fiable, les principes suivants doivent donc être pris en considération :

• La sécurité doit être garantie même lorsque l'énergie extérieure fait défaut ou est insuffisante, par exemple lors de déconnexions ou de fuites.
• Les signaux de protection fonctionnent de manière plus fiable en interrompant le flux de signaux ; par exemple, des interrupteurs de sécurité avec contact d'ouverture ou un contact de relais ouvert.
• La fonction de protection des amplificateurs, transformateurs et similaires peut être réalisée de manière plus fiable sans énergie extérieure ; de tels mécanismes comprennent, par exemple, des dispositifs de commutation électromagnétique ou des évents qui sont fermés au repos.
• Les raccordements effectués par erreur et les fuites dans le circuit de commande de sécurité ne doivent pas entraîner de faux démarrages ou des entraves à l'arrêt ; en particulier en cas de court-circuit entre les conduits d'entrée et de sortie, de fuite à la terre ou de mise à la terre.
• Les influences extérieures affectant le système dans une mesure ne dépassant pas les attentes de l'utilisateur ne doivent pas interférer avec la fonction de sécurité du circuit de contrôle de sécurité.

Les composants utilisés dans les circuits de commande de sécurité doivent exécuter la fonction de sécurité de manière particulièrement fiable. Les fonctions des composants ne répondant pas à cette exigence sont à mettre en oeuvre en ménageant une redondance la plus diversifiée possible et à surveiller.

Retour

Au cours des dernières années, les microprocesseurs ont joué un rôle de plus en plus important dans le domaine de la technologie de sécurité. Étant donné que des ordinateurs entiers (c'est-à-dire l'unité centrale de traitement, la mémoire et les composants périphériques) sont désormais disponibles dans un seul composant en tant qu '«ordinateurs à puce unique», la technologie des microprocesseurs est utilisée non seulement dans le contrôle de machines complexes, mais également dans des protections de conception relativement simple. (ex. barrières immatérielles, commandes bimanuelles et barres palpeuses). Le logiciel contrôlant ces systèmes comprend entre un millier et plusieurs dizaines de milliers de commandes simples et se compose généralement de plusieurs centaines de branches de programme. Les programmes fonctionnent en temps réel et sont principalement écrits dans le langage d'assemblage des programmeurs.

L'introduction de systèmes commandés par ordinateur dans le domaine de la technologie de sécurité s'est accompagnée dans tous les équipements techniques à grande échelle non seulement de projets de recherche et de développement coûteux, mais également de restrictions importantes destinées à améliorer la sécurité. (La technologie aérospatiale, la technologie militaire et la technologie de l'énergie atomique peuvent être citées ici comme exemples d'applications à grande échelle.) Le domaine collectif de la production industrielle de masse n'a jusqu'à présent été traité que de façon très limitée. Cela s'explique en partie par le fait que les cycles rapides d'innovation caractéristiques de la conception des machines industrielles rendent difficile la transmission, sauf d'une manière très restreinte, des connaissances pouvant découler de projets de recherche portant sur les essais finaux de machines à grande échelle. dispositifs de sécurité. Cela fait du développement de procédures d'évaluation rapides et peu coûteuses un desiderata (Reinert et Reuss 1991).

Cet article examine d'abord les machines et les installations dans lesquelles les systèmes informatiques exécutent actuellement des tâches de sécurité, en utilisant des exemples d'accidents survenus principalement dans le domaine des protections des machines pour décrire le rôle particulier que jouent les ordinateurs dans la technologie de sécurité. Ces accidents donnent des indications sur les précautions à prendre pour que les équipements de sécurité pilotés par ordinateur qui se généralisent actuellement n'entraînent pas une augmentation du nombre d'accidents. La dernière section de l'article esquisse une procédure qui permettra d'amener même de petits systèmes informatiques à un niveau approprié de sécurité technique à des frais justifiables et dans un délai acceptable. Les principes indiqués dans cette dernière partie sont actuellement introduits dans les procédures internationales de normalisation et auront des implications pour tous les domaines de la technologie de la sécurité dans lesquels les ordinateurs trouvent une application.

Exemples d'utilisation de logiciels et d'ordinateurs dans le domaine de la protection des machines

Les quatre exemples suivants montrent clairement que les logiciels et les ordinateurs entrent actuellement de plus en plus dans les applications liées à la sécurité dans le domaine commercial.

Les installations de signalisation d'urgence personnelle se composent, en règle générale, d'une station de réception centrale et d'un certain nombre d'appareils de signalisation d'urgence personnelle. Les appareils sont portés par des personnes travaillant seules sur site. Si l'une de ces personnes travaillant seule se trouve dans une situation d'urgence, elle peut utiliser l'appareil pour déclencher une alarme par signal radio dans la centrale de réception. Un tel déclencheur d'alarme dépendant de la volonté peut également être complété par un mécanisme de déclenchement indépendant de la volonté activé par des capteurs intégrés dans les dispositifs d'urgence personnels. Les appareils individuels et la station de réception centrale sont fréquemment contrôlés par des micro-ordinateurs. Il est concevable que la défaillance de certaines fonctions spécifiques de l'ordinateur intégré puisse conduire, dans une situation d'urgence, à l'échec du déclenchement de l'alarme. Des précautions doivent donc être prises pour percevoir et réparer cette perte de fonction dans le temps.

Les presses à imprimer utilisées aujourd'hui pour imprimer des magazines sont de grosses machines. Les bandes de papier sont normalement préparées par une machine séparée de manière à permettre une transition transparente vers un nouveau rouleau de papier. Les pages imprimées sont pliées par une plieuse et ensuite travaillées à travers une chaîne d'autres machines. Il en résulte des palettes chargées de magazines entièrement cousus. Bien que de telles installations soient automatisées, il y a deux points où des interventions manuelles doivent être faites : (1) dans le filetage des chemins de papier, et (2) dans le dégagement des obstructions causées par les déchirures de papier aux points dangereux sur les rouleaux rotatifs. Pour cette raison, une vitesse de fonctionnement réduite ou un mode pas à pas limité dans la trajectoire ou dans le temps doit être assuré par la technologie de commande pendant le réglage des presses. En raison de la complexité des procédures de pilotage, chaque poste d'impression doit être équipé de son propre automate programmable. Toute défaillance survenant dans la commande d'une imprimerie alors que les grilles de protection sont ouvertes doit être empêchée de conduire soit au démarrage intempestif d'une machine arrêtée, soit à un fonctionnement au-delà des vitesses réduites de manière appropriée.

Dans les grandes usines et les entrepôts, des robots guidés automatisés sans conducteur circulent sur des pistes spécialement balisées. Ces voies peuvent être piétinées à tout moment par des personnes, ou des matériaux et des équipements peuvent être laissés par inadvertance sur les voies, car elles ne sont pas séparées structurellement des autres voies de circulation. Pour cette raison, une sorte d'équipement de prévention des collisions doit être utilisé pour s'assurer que le véhicule sera arrêté avant qu'une collision dangereuse avec une personne ou un objet ne se produise. Dans des applications plus récentes, la prévention des collisions est effectuée au moyen de scanners à ultrasons ou à lumière laser utilisés en combinaison avec un pare-chocs de sécurité. Comme ces systèmes fonctionnent sous contrôle informatique, il est possible de configurer plusieurs zones de détection permanentes afin qu'un véhicule puisse modifier sa réaction en fonction de la zone de détection spécifique dans laquelle se trouve une personne. Les défaillances du dispositif de protection ne doivent pas entraîner de collision dangereuse avec une personne.

Les guillotines des dispositifs de contrôle de la coupe du papier sont utilisées pour presser puis couper des piles de papier épaisses. Ils sont déclenchés par un dispositif de commande à deux mains. L'utilisateur doit atteindre la zone dangereuse de la machine après chaque coupe. Une protection immatérielle, généralement une grille lumineuse, est utilisée en conjonction avec le dispositif de commande bimanuelle et un système de commande de machine sûr pour éviter les blessures lorsque le papier est alimenté pendant l'opération de coupe. Presque toutes les guillotines plus grandes et plus modernes utilisées aujourd'hui sont contrôlées par des systèmes de micro-ordinateurs multicanaux. La commande bimanuelle et la grille immatérielle doivent également être garanties pour fonctionner en toute sécurité.

Accidents avec des systèmes contrôlés par ordinateur

Dans presque tous les domaines d'application industrielle, des accidents avec des logiciels et des ordinateurs sont signalés (Neumann 1994). Dans la plupart des cas, les pannes informatiques n'entraînent pas de blessures aux personnes. De tels manquements ne sont en tout état de cause rendus publics que lorsqu'ils présentent un intérêt public général. Cela signifie que les cas de dysfonctionnement ou d'accident liés aux ordinateurs et aux logiciels entraînant des blessures corporelles représentent une proportion relativement élevée de tous les cas rendus publics. Malheureusement, les accidents qui ne provoquent pas beaucoup de sensations publiques ne font pas l'objet d'enquêtes quant à leurs causes avec la même intensité que les accidents plus importants, généralement dans les usines à grande échelle. Pour cette raison, les exemples qui suivent se réfèrent à quatre descriptions de dysfonctionnements ou d'accidents typiques des systèmes commandés par ordinateur en dehors du domaine de la sécurité des machines, qui sont utilisées pour suggérer ce qu'il faut prendre en compte lors des jugements concernant la technologie de sécurité.

Accidents causés par des pannes aléatoires du matériel

L'accident suivant a été causé par une concentration de pannes aléatoires dans le matériel combinées à un échec de programmation : Un réacteur surchauffé dans une usine chimique, après quoi des soupapes de décharge ont été ouvertes, permettant au contenu du réacteur d'être rejeté dans l'atmosphère. Cet incident s'est produit peu de temps après qu'un avertissement eut été donné indiquant que le niveau d'huile d'une boîte de vitesses était trop bas. Une enquête minutieuse sur l'accident a montré que peu de temps après que le catalyseur ait initié la réaction dans le réacteur - en conséquence de quoi le réacteur aurait nécessité plus de refroidissement - l'ordinateur, sur la base du rapport de faibles niveaux d'huile dans la boîte de vitesses, a gelé tout grandeurs sous son contrôle à une valeur fixe. Cela a maintenu le débit d'eau froide à un niveau trop bas et le réacteur a ainsi surchauffé. Une enquête plus approfondie a montré que l'indication de bas niveaux d'huile avait été signalée par un composant défectueux.

Le logiciel avait répondu conformément à la spécification avec le déclenchement d'une alarme et la fixation de toutes les variables opératoires. C'était une conséquence de l'étude HAZOP (analyse des dangers et de l'opérabilité) (Knowlton 1986) réalisée avant l'événement, qui exigeait que toutes les variables contrôlées ne soient pas modifiées en cas de défaillance. Le programmeur ne connaissant pas la procédure en détail, cette exigence a été interprétée comme signifiant que les actionneurs commandés (vannes de commande dans ce cas) ne devaient pas être modifiés ; aucune attention n'a été accordée à la possibilité d'une élévation de la température. Le programmeur n'a pas pris en considération qu'après avoir reçu un signal erroné le système pouvait se retrouver dans une situation dynamique d'un type nécessitant l'intervention active de l'ordinateur pour éviter un accident. La situation qui a conduit à l'accident était d'ailleurs si improbable qu'elle n'avait pas été analysée en détail dans l'étude HAZOP (Levenson 1986). Cet exemple permet de passer à une deuxième catégorie de causes d'accidents logiciels et informatiques. Ce sont les pannes systématiques qui sont dans le système depuis le début, mais qui ne se manifestent que dans certaines situations bien précises dont le développeur n'a pas tenu compte.

Accidents causés par des pannes de fonctionnement

Lors d'essais sur le terrain lors de l'inspection finale des robots, un technicien a emprunté la cassette d'un robot voisin et l'a remplacée par une autre sans en informer son collègue. De retour sur son lieu de travail, le collègue insère la mauvaise cassette. Comme il se tenait à côté du robot et s'attendait à une séquence particulière de mouvements de sa part - une séquence qui se déroulait différemment en raison du programme échangé - une collision s'est produite entre le robot et l'humain. Cet accident décrit l'exemple classique d'une panne de fonctionnement. Le rôle de ces défaillances dans les dysfonctionnements et les accidents augmente actuellement en raison de la complexité croissante de l'application des mécanismes de sécurité contrôlés par ordinateur.

Accidents causés par des défaillances systématiques du matériel ou des logiciels

Une torpille à ogive devait être tirée à des fins d'entraînement, depuis un navire de guerre en haute mer. En raison d'un défaut de l'appareil d'entraînement, la torpille est restée dans le tube lance-torpilles. Le capitaine a décidé de retourner au port d'attache afin de récupérer la torpille. Peu de temps après que le navire ait commencé à rentrer chez lui, la torpille a explosé. Une analyse de l'accident a révélé que les développeurs de la torpille avaient été obligés d'intégrer à la torpille un mécanisme destiné à empêcher qu'elle ne revienne sur la rampe de lancement après avoir été tirée et détruise ainsi le navire qui l'avait lancée. Le mécanisme choisi pour cela était le suivant : Après le tir de la torpille, on vérifiait, à l'aide de la centrale de navigation inertielle, si sa trajectoire s'était modifiée de 180°. Dès que la torpille a senti qu'elle avait tourné à 180 °, la torpille a explosé immédiatement, soi-disant à une distance de sécurité de la rampe de lancement. Ce mécanisme de détection a été actionné dans le cas de la torpille qui n'avait pas été correctement lancée, de sorte que la torpille a explosé après que le navire eut changé de cap de 180°. Il s'agit d'un exemple typique d'accident survenu en raison d'un défaut de spécification. L'exigence du cahier des charges selon laquelle la torpille ne devait pas détruire son propre navire en cas de changement de cap n'était pas formulée avec suffisamment de précision; la précaution a donc été programmée par erreur. L'erreur n'est apparue que dans une situation particulière, une situation que le programmeur n'avait pas considérée comme une possibilité.

Le 14 septembre 1993, un Airbus A 320 de la Lufthansa s'écrase lors de son atterrissage à Varsovie (figure 1). Une enquête minutieuse sur l'accident a montré que des modifications de la logique d'atterrissage de l'ordinateur de bord effectuées après un accident avec un Boeing 767 de Lauda Air en 1991 étaient en partie responsables de cet atterrissage forcé. Ce qui s'était passé lors de l'accident de 1991, c'est que la déviation de poussée, qui détourne une partie des gaz du moteur afin de freiner l'avion lors de l'atterrissage, s'était engagée alors qu'elle était encore en l'air, forçant ainsi la machine à piquer du nez incontrôlable. Pour cette raison, un verrouillage électronique de la déviation de poussée avait été intégré dans les machines Airbus. Ce mécanisme a permis à la déviation de poussée de n'entrer en vigueur qu'après que les capteurs des deux ensembles de trains d'atterrissage aient signalé la compression des amortisseurs sous la pression des roues touchant le sol. Sur la base d'informations erronées, les pilotes de l'avion à Varsovie ont anticipé un fort vent latéral.

Figure 1. Airbus de Lufthansa après un accident à Varsovie en 1993

Pour cette raison, ils ont amené la machine avec une légère inclinaison et l'Airbus s'est posé avec la roue droite uniquement, laissant la gauche portant moins que le poids total. Du fait du verrouillage électronique du braquage de poussée, l'ordinateur de bord a refusé au pilote pendant neuf secondes les manœuvres qui auraient permis à l'avion d'atterrir en toute sécurité malgré des circonstances défavorables. Cet accident démontre très clairement que des modifications de systèmes informatiques peuvent conduire à des situations nouvelles et dangereuses si l'on ne considère pas à l'avance l'étendue de leurs conséquences possibles.

L'exemple de dysfonctionnement suivant montre également les effets désastreux que la modification d'une seule commande peut avoir sur les systèmes informatiques. La teneur en alcool du sang est déterminée, par des tests chimiques, à l'aide de sérum sanguin clair dont les globules sanguins ont été préalablement centrifugés. La teneur en alcool du sérum est donc plus élevée (d'un facteur 1.2) que celle du sang total plus épais. Pour cette raison, les valeurs d'alcool dans le sérum doivent être divisées par un facteur de 1.2 afin d'établir les parties pour mille légalement et médicalement critiques. Lors du test inter-laboratoires organisé en 1984, les taux d'alcoolémie déterminés lors de tests identiques effectués dans différents instituts de recherche utilisant du sérum devaient être comparés les uns aux autres. Comme il ne s'agissait que de comparaison, l'ordre de diviser par 1.2 a d'ailleurs été effacé du programme d'un des établissements pour la durée de l'expérimentation. Après la fin de l'essai interlaboratoires, une commande de multiplication par 1.2 a été introduite par erreur dans le programme à cet endroit. En conséquence, environ 1,500 1984 valeurs incorrectes de parties pour mille ont été calculées entre août 1985 et mars 1.0. Cette erreur était critique pour la carrière professionnelle des camionneurs dont le taux d'alcoolémie se situait entre 1.3 et 1.3 pour mille, puisqu'une sanction légale entraînant la confiscation du permis de conduire pour une période prolongée est la conséquence d'une valeur de XNUMX pour mille.

Accidents causés par des influences de contraintes de fonctionnement ou de contraintes environnementales

Suite à une perturbation causée par la collecte de déchets dans la zone effective d'une poinçonneuse et grignoteuse CNC (commande numérique par ordinateur), l'utilisateur a déclenché "l'arrêt programmé". Alors qu'il tentait d'enlever les déchets avec ses mains, la tige de poussée de la machine s'est mise à bouger malgré l'arrêt programmé et a gravement blessé l'utilisateur. L'analyse de l'accident a révélé qu'il ne s'agissait pas d'une erreur de programme. Le démarrage inattendu n'a pas pu être reproduit. Des irrégularités similaires avaient été observées par le passé sur d'autres machines du même type. Il semble plausible d'en déduire que l'accident doit avoir été causé par des interférences électromagnétiques. Des accidents similaires avec des robots industriels sont signalés au Japon (Neumann 1987).

Un dysfonctionnement de la sonde spatiale Voyager 2 le 18 janvier 1986 rend encore plus claire l'influence des contraintes environnementales sur les systèmes contrôlés par ordinateur. Six jours avant l'approche la plus proche d'Uranus, de grands champs de lignes noires et blanches couvraient les images de Voyager 2. Une analyse précise a montré qu'un seul bit dans un mot de commande du sous-système de données de vol avait causé la panne, observée comme les images ont été compressées dans la sonde. Ce bit avait très probablement été déplacé dans la mémoire du programme par l'impact d'une particule cosmique. La transmission sans erreur des photographies compressées de la sonde n'a été effectuée que deux jours plus tard, en utilisant un programme de remplacement capable de contourner le point mémoire défaillant (Laeser, McLaughlin et Wolff 1987).

Résumé des accidents présentés

Les accidents analysés montrent que certains risques qui pourraient être négligés dans des conditions utilisant une technologie électromécanique simple, gagnent en importance avec l'utilisation d'ordinateurs. Les ordinateurs permettent le traitement de fonctions de sécurité complexes et spécifiques à la situation. Une spécification claire, sans erreur, complète et testable de toutes les fonctions de sécurité devient donc particulièrement importante. Les erreurs dans les spécifications sont difficiles à découvrir et sont souvent la cause d'accidents dans les systèmes complexes. Les commandes librement programmables sont généralement introduites dans le but de pouvoir réagir de manière flexible et rapide à l'évolution du marché. Cependant, les modifications, en particulier dans les systèmes complexes, ont des effets secondaires difficiles à prévoir. Toutes les modifications doivent donc être soumises à une procédure de gestion des modifications strictement formelle dans laquelle une séparation claire des fonctions de sécurité des systèmes partiels sans rapport avec la sécurité aidera à garder les conséquences des modifications pour la technologie de sécurité faciles à étudier.

Les ordinateurs fonctionnent avec de faibles niveaux d'électricité. Ils sont donc sensibles aux interférences provenant de sources de rayonnement externes. La modification d'un seul signal parmi des millions pouvant entraîner un dysfonctionnement, il convient de porter une attention particulière au thème de la compatibilité électromagnétique en lien avec les ordinateurs.

La maintenance des systèmes commandés par ordinateur devient actuellement de plus en plus complexe et donc de plus en plus floue. L'ergonomie logicielle des logiciels d'utilisation et de configuration devient donc plus intéressante du point de vue de la technique de sécurité.

Aucun système informatique n'est testable à 100 %. Un mécanisme de contrôle simple avec 32 ports d'entrée binaires et 1,000 4.3 chemins logiciels différents nécessite 10 × XNUMX¹² tests pour un contrôle complet. A raison de 100 tests par seconde exécutés et évalués, un test complet prendrait 1,362 XNUMX ans.

Procédures et mesures pour l'amélioration des dispositifs de sécurité contrôlés par ordinateur

Des procédures ont été développées au cours des 10 dernières années qui permettent de maîtriser des enjeux spécifiques de sécurité liés à l'informatique. Ces procédures s'adressent aux pannes informatiques décrites dans cette section. Les exemples décrits de logiciels et d'ordinateurs dans la protection des machines et les accidents analysés montrent que l'étendue des dommages et donc aussi le risque encouru dans diverses applications sont extrêmement variables. Il est donc clair que les précautions nécessaires à l'amélioration des ordinateurs et des logiciels utilisés dans les techniques de sécurité doivent être établies en fonction du risque.

La figure 2 montre une procédure qualitative par laquelle la réduction de risque nécessaire pouvant être obtenue à l'aide de systèmes de sécurité peut être déterminée indépendamment de l'ampleur et de la fréquence des dommages (Bell et Reinert 1992). Les types de défaillances des systèmes informatiques analysés dans la section « Accidents avec des systèmes contrôlés par ordinateur » (ci-dessus) peuvent être mis en relation avec ce que l'on appelle les niveaux d'intégrité de sécurité, c'est-à-dire les installations techniques de réduction des risques.

Figure 2. Procédure qualitative de détermination des risques

La figure 3 montre clairement que l'efficacité des mesures prises, dans un cas donné, pour réduire les erreurs dans les logiciels et les ordinateurs doit croître avec l'augmentation du risque (DIN 1994 ; IEC 1993).

Figure 3, Efficacité des précautions prises contre les erreurs indépendamment du risque

L'analyse des accidents esquissée ci-dessus montre que la défaillance des sauvegardes pilotées par ordinateur est causée non seulement par des défauts aléatoires de composants, mais également par des conditions de fonctionnement particulières dont le programmeur n'a pas tenu compte. Les conséquences non immédiatement évidentes des modifications du programme effectuées au cours de la maintenance du système constituent une autre source d'erreur. Il s'ensuit qu'il peut y avoir des défaillances dans les systèmes de sécurité commandés par des microprocesseurs qui, bien que réalisées lors de la mise au point du système, ne peuvent conduire à une situation dangereuse qu'en cours de fonctionnement. Des précautions contre de telles défaillances doivent donc être prises pendant que les systèmes liés à la sécurité sont en phase de développement. Ces mesures dites d'évitement des pannes doivent être prises non seulement pendant la phase de conception, mais également pendant le processus de développement, d'installation et de modification. Certaines défaillances peuvent être évitées si elles sont découvertes et corrigées au cours de ce processus (DIN 1990).

Comme le montre clairement le dernier incident décrit, la panne d'un seul transistor peut entraîner la défaillance technique d'équipements automatisés très complexes. Étant donné que chaque circuit unique est composé de plusieurs milliers de transistors et d'autres composants, de nombreuses mesures d'évitement des pannes doivent être prises pour reconnaître de telles pannes qui se produisent en fonctionnement et pour initier une réaction appropriée dans le système informatique. La figure 4 décrit les types de pannes dans les systèmes électroniques programmables ainsi que des exemples de précautions qui peuvent être prises pour éviter et contrôler les pannes dans les systèmes informatiques (DIN 1990 ; CEI 1992).

Figure 4. Exemples de précautions prises pour contrôler et éviter les erreurs dans les systèmes informatiques

Possibilités et perspectives des systèmes électroniques programmables dans les technologies de sécurité

Les machines et installations modernes deviennent de plus en plus complexes et doivent accomplir des tâches de plus en plus complètes dans des délais de plus en plus courts. Pour cette raison, les systèmes informatiques ont envahi presque tous les domaines de l'industrie depuis le milieu des années 1970. Cette augmentation de la complexité à elle seule a contribué de manière significative à l'augmentation des coûts impliqués dans l'amélioration de la technologie de sécurité dans de tels systèmes. Bien que les logiciels et les ordinateurs représentent un grand défi pour la sécurité sur le lieu de travail, ils permettent également la mise en œuvre de nouveaux systèmes sans erreur dans le domaine de la technologie de sécurité.

Un vers drôle mais instructif d'Ernst Jandl aidera à expliquer ce que l'on entend par le concept erreur facile. "Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum". ("Dilection: Beaucoup croient que la lumière et le repos ne peuvent pas être échangés, quel ellol".) Malgré l'échange des lettres r ainsi que l, cette phrase est facilement compréhensible par un humain adulte normal. Même quelqu'un avec une faible maîtrise de la langue anglaise peut le traduire en anglais. La tâche est cependant presque impossible pour un ordinateur de traduction seul.

Cet exemple montre qu'un être humain peut réagir d'une manière beaucoup plus favorable aux erreurs qu'un ordinateur de langage. Cela signifie que les humains, comme toutes les autres créatures vivantes, peuvent tolérer les échecs en les référant à l'expérience. Si l'on regarde les machines en usage aujourd'hui, on constate que la majorité des machines pénalisent les défaillances des utilisateurs non pas par un accident, mais par une baisse de production. Cette propriété conduit à la manipulation ou au contournement des garanties. La technologie informatique moderne met à la disposition de la sécurité au travail des systèmes capables de réagir intelligemment, c'est-à-dire de manière modifiée. De tels systèmes permettent ainsi un mode de comportement sans erreur dans les nouvelles machines. Ils avertissent d'abord les utilisateurs lors d'une mauvaise manipulation et n'arrêtent la machine que lorsque c'est le seul moyen d'éviter un accident. L'analyse des accidents montre qu'il existe dans ce domaine un potentiel considérable de réduction des accidents (Reinert et Reuss 1991).

Retour

Un système automatisé hybride (HAS) vise à intégrer les capacités de machines artificiellement intelligentes (basées sur la technologie informatique) avec les capacités des personnes qui interagissent avec ces machines dans le cadre de leurs activités de travail. Les principales préoccupations de l'utilisation du HAS concernent la manière dont les sous-systèmes humains et machines doivent être conçus afin de tirer le meilleur parti des connaissances et des compétences des deux parties du système hybride, et la manière dont les opérateurs humains et les composants de la machine doivent interagir les uns avec les autres. assurer la complémentarité de leurs fonctions. De nombreux systèmes automatisés hybrides ont évolué en tant que produits d'applications de méthodologies modernes basées sur l'information et le contrôle pour automatiser et intégrer différentes fonctions de systèmes technologiques souvent complexes. HAS a été identifié à l'origine avec l'introduction de systèmes informatisés utilisés dans la conception et l'exploitation de systèmes de contrôle en temps réel pour les réacteurs nucléaires, pour les usines de traitement chimique et pour la technologie de fabrication de pièces discrètes. Le HAS se retrouve désormais également dans de nombreuses industries de services, telles que le contrôle du trafic aérien et les procédures de navigation aérienne dans le domaine de l'aviation civile, ainsi que dans la conception et l'utilisation de systèmes intelligents de navigation pour véhicules et autoroutes dans le transport routier.

Avec les progrès continus de l'automatisation assistée par ordinateur, la nature des tâches humaines dans les systèmes technologiques modernes passe de celles qui nécessitent des compétences perceptivo-motrices à celles qui nécessitent des activités cognitives, nécessaires à la résolution de problèmes, à la prise de décision dans la surveillance du système et à la tâches de contrôle de surveillance. Par exemple, les opérateurs humains dans les systèmes de fabrication intégrés par ordinateur agissent principalement en tant que moniteurs de système, résolveurs de problèmes et décideurs. Les activités cognitives du superviseur humain dans tout environnement HAS sont (1) la planification de ce qui doit être fait pour une période de temps donnée, (2) la conception de procédures (ou étapes) pour atteindre l'ensemble d'objectifs planifiés, (3) le suivi des progrès des processus (technologiques), (4) "enseigner" le système via un ordinateur interactif, (5) intervenir si le système se comporte de manière anormale ou si les priorités de contrôle changent et (6) apprendre par le retour d'information du système sur l'impact de actions de supervision (Sheridan 1987).

Conception de système hybride

Les interactions homme-machine dans un HAS impliquent l'utilisation de boucles de communication dynamiques entre les opérateurs humains et les machines intelligentes - un processus qui comprend la détection et le traitement de l'information et l'initiation et l'exécution des tâches de contrôle et la prise de décision - dans une structure donnée d'attribution de fonctions entre humains et machines. Au minimum, les interactions entre les personnes et l'automatisation doivent refléter la grande complexité des systèmes automatisés hybrides, ainsi que les caractéristiques pertinentes des opérateurs humains et les exigences des tâches. Par conséquent, le système automatisé hybride peut être formellement défini comme un quintuple dans la formule suivante :

A = (T, U, C, E, I)

De T = exigences de la tâche (physiques et cognitives) ; U = caractéristiques de l'utilisateur (physiques et cognitives) ; C = les caractéristiques de l'automatisation (matériel et logiciel, y compris les interfaces informatiques) ; E = l'environnement du système ; I = un ensemble d'interactions entre les éléments ci-dessus.

L'ensemble des interactions I incarne toutes les interactions possibles entre T, U ainsi que C in E quelle que soit leur nature ou leur force d'association. Par exemple, l'une des interactions possibles pourrait impliquer la relation entre les données stockées dans la mémoire de l'ordinateur et les connaissances correspondantes, le cas échéant, de l'opérateur humain. Les interactions I peut être élémentaire (c'est-à-dire limité à une association biunivoque) ou complexe, comme cela impliquerait des interactions entre l'opérateur humain, le logiciel particulier utilisé pour accomplir la tâche souhaitée et l'interface physique disponible avec l'ordinateur.

Les concepteurs de nombreux systèmes automatisés hybrides se concentrent principalement sur l'intégration assistée par ordinateur de machines sophistiquées et d'autres équipements dans le cadre de la technologie informatique, accordant rarement beaucoup d'attention au besoin primordial d'une intégration humaine efficace au sein de ces systèmes. Par conséquent, à l'heure actuelle, de nombreux systèmes (technologiques) intégrés à l'ordinateur ne sont pas entièrement compatibles avec les capacités inhérentes des opérateurs humains telles qu'exprimées par les compétences et les connaissances nécessaires au contrôle et à la surveillance efficaces de ces systèmes. Une telle incompatibilité survient à tous les niveaux du fonctionnement humain, machine et homme-machine, et peut être définie dans le cadre de l'individu et de l'ensemble de l'organisation ou de l'installation. Par exemple, les problèmes d'intégration des personnes et de la technologie dans les entreprises de fabrication de pointe surviennent tôt dans la phase de conception du HAS. Ces problèmes peuvent être conceptualisés en utilisant le modèle d'intégration de système suivant de la complexité des interactions, I, entre les concepteurs du système, D, opérateurs humains, H, ou les utilisateurs potentiels du système et la technologie, T:

Je (H, T) = F [ je (H, D), je (D, T)]

De I représente les interactions pertinentes ayant lieu dans la structure d'une HAS donnée, tandis que F indique les relations fonctionnelles entre les concepteurs, les opérateurs humains et la technologie.

Le modèle d'intégration de système ci-dessus met en évidence le fait que les interactions entre les utilisateurs et la technologie sont déterminées par le résultat de l'intégration des deux interactions précédentes, à savoir (1) celles entre les concepteurs de HAS et les utilisateurs potentiels et (2) celles entre les concepteurs. et la technologie HAS (au niveau des machines et de leur intégration). Il convient de noter que même si de fortes interactions existent généralement entre les concepteurs et la technologie, seuls très peu d'exemples d'interrelations aussi fortes entre les concepteurs et les opérateurs humains peuvent être trouvés.

On peut affirmer que même dans les systèmes les plus automatisés, le rôle humain reste essentiel à la performance réussie du système au niveau opérationnel. Bainbridge (1983) a identifié un ensemble de problèmes liés au fonctionnement de la HAS qui sont dus à la nature de l'automatisation elle-même, comme suit :

1. Opérateurs « hors de la boucle de régulation ». Les opérateurs humains sont présents dans le système pour exercer un contrôle en cas de besoin, mais en étant "hors de la boucle de contrôle", ils ne parviennent pas à maintenir les compétences manuelles et les connaissances à long terme du système qui sont souvent nécessaires en cas d'urgence.
2. "Image mentale" obsolète. Les opérateurs humains peuvent ne pas être en mesure de réagir rapidement aux changements de comportement du système s'ils n'ont pas suivi de très près les événements de son fonctionnement. De plus, la connaissance ou l'image mentale des opérateurs du fonctionnement du système peut être inadéquate pour initier ou exercer les réponses requises.
3. Disparition des générations de compétences. Les nouveaux opérateurs peuvent ne pas être en mesure d'acquérir des connaissances suffisantes sur le système informatisé acquis par l'expérience et, par conséquent, seront incapables d'exercer un contrôle efficace en cas de besoin.
4. Autorité de l'automatique. Si le système informatisé a été mis en œuvre parce qu'il peut effectuer les tâches requises mieux que l'opérateur humain, la question se pose : « Sur quelle base l'opérateur devrait-il décider que des décisions correctes ou incorrectes sont prises par les systèmes automatisés ? »
5. Apparition de nouveaux types d'"erreurs humaines" dues à l'automatisation. Les systèmes automatisés conduisent à de nouveaux types d'erreurs et, par conséquent, d'accidents qui ne peuvent être analysés dans le cadre des techniques d'analyse traditionnelles.

Répartition des tâches

L'une des questions importantes pour la conception du HAS est de déterminer combien et quelles fonctions ou responsabilités doivent être attribuées aux opérateurs humains, et lesquelles et combien aux ordinateurs. En règle générale, il existe trois classes de base de problèmes d'attribution des tâches à prendre en compte : (1) l'attribution des tâches superviseur humain-ordinateur, (2) l'attribution des tâches homme-humain et (3) l'attribution des tâches ordinateur-ordinateur de supervision. Idéalement, les décisions d'allocation devraient être prises par le biais d'une procédure d'allocation structurée avant que la conception de base du système ne soit commencée. Malheureusement, un tel processus systématique est rarement possible, car les fonctions à attribuer peuvent nécessiter un examen plus approfondi ou doivent être effectuées de manière interactive entre les composants du système humain et machine, c'est-à-dire par l'application du paradigme de contrôle de supervision. L'attribution des tâches dans les systèmes automatisés hybrides devrait se concentrer sur l'étendue des responsabilités de supervision humaines et informatiques et devrait tenir compte de la nature des interactions entre l'opérateur humain et les systèmes informatisés d'aide à la décision. Les moyens de transfert d'informations entre les machines et les interfaces humaines d'entrée-sortie et la compatibilité des logiciels avec les capacités cognitives humaines de résolution de problèmes doivent également être pris en compte.

Dans les approches traditionnelles de la conception et de la gestion des systèmes automatisés hybrides, les travailleurs étaient considérés comme des systèmes d'entrée-sortie déterministes, et il y avait une tendance à ignorer la nature téléologique du comportement humain, c'est-à-dire le comportement axé sur les objectifs reposant sur l'acquisition de connaissances. les informations pertinentes et la sélection des objectifs (Goodstein et al. 1988). Pour réussir, la conception et la gestion de systèmes automatisés hybrides avancés doivent être basées sur une description des fonctions mentales humaines nécessaires à une tâche spécifique. L'approche « d'ingénierie cognitive » (décrite plus loin) propose que les systèmes homme-machine (hybrides) doivent être conçus, conçus, analysés et évalués en termes de processus mentaux humains (c'est-à-dire que le modèle mental de l'opérateur des systèmes adaptatifs est pris en Compte). Voici les exigences de l'approche centrée sur l'humain pour la conception et l'exploitation du HAS telles que formulées par Corbett (1988) :

1. Compatibilité. L'exploitation du système ne devrait pas exiger des compétences sans rapport avec les compétences existantes, mais devrait permettre aux compétences existantes d'évoluer. L'opérateur humain doit entrer et recevoir des informations qui sont compatibles avec la pratique conventionnelle afin que l'interface soit conforme aux connaissances et compétences antérieures de l'utilisateur.
2. Transparence. On ne peut pas contrôler un système sans le comprendre. Par conséquent, l'opérateur humain doit être capable de "voir" les processus internes du logiciel de contrôle du système si l'apprentissage doit être facilité. Un système transparent permet aux utilisateurs de construire facilement un modèle interne des fonctions de prise de décision et de contrôle que le système peut exécuter.
3. Choc minimal. Le système ne doit rien faire que les opérateurs trouvent inattendu à la lumière des informations dont ils disposent, détaillant l'état actuel du système.
4. Contrôle des perturbations. Les tâches incertaines (telles que définies par l'analyse de la structure des choix) doivent être sous le contrôle d'un opérateur humain avec une aide informatique à la prise de décision.
5. Faillibilité. Les compétences et connaissances implicites des opérateurs humains ne doivent pas être conçues en dehors du système. Les opérateurs ne doivent jamais être mis dans une position où ils regardent, impuissants, le logiciel diriger une opération incorrecte.
6. Réversibilité des erreurs. Le logiciel doit fournir suffisamment d'informations en amont pour informer l'opérateur humain des conséquences probables d'une opération ou d'une stratégie particulière.
7. Souplesse d'exploitation. Le système doit offrir aux opérateurs humains la liberté de faire des compromis entre les exigences et les limites des ressources en modifiant les stratégies d'exploitation sans perdre le support du logiciel de contrôle.

Ingénierie Cognitive des Facteurs Humains

L'ingénierie cognitive des facteurs humains se concentre sur la façon dont les opérateurs humains prennent des décisions sur le lieu de travail, résolvent des problèmes, formulent des plans et acquièrent de nouvelles compétences (Hollnagel et Woods 1983). Les rôles des opérateurs humains fonctionnant dans n'importe quel HAS peuvent être classés à l'aide du schéma de Rasmussen (1983) en trois grandes catégories :

1. Comportement basé sur les compétences est la performance sensori-motrice exécutée lors d'actes ou d'activités qui se déroulent sans contrôle conscient en tant que modèles de comportement fluides, automatisés et hautement intégrés. Les activités humaines qui entrent dans cette catégorie sont considérées comme une séquence d'actes qualifiés composés pour une situation donnée. Le comportement basé sur les compétences est donc l'expression de modèles de comportements plus ou moins stockés ou d'instructions préprogrammées dans un domaine spatio-temporel.
2. Comportement basé sur des règles est une catégorie de performances orientée vers un objectif structurée par un contrôle prédictif via une règle ou une procédure stockée, c'est-à-dire une performance ordonnée permettant de composer une séquence de sous-programmes dans une situation de travail familière. La règle est généralement sélectionnée à partir d'expériences antérieures et reflète les propriétés fonctionnelles qui contraignent le comportement de l'environnement. La performance basée sur des règles repose sur un savoir-faire explicite quant à l'utilisation des règles pertinentes. L'ensemble de données de décision est constitué de références pour la reconnaissance et l'identification d'états, d'événements ou de situations.
3. Comportement basé sur les connaissances est une catégorie de performance contrôlée par un objectif, dans laquelle l'objectif est explicitement formulé sur la base de la connaissance de l'environnement et des objectifs de la personne. La structure interne du système est représentée par un « modèle mental ». Ce type de comportement permet de développer et de tester différents plans dans des conditions de contrôle inconnues et, par conséquent, incertaines, et est nécessaire lorsque les compétences ou les règles sont soit indisponibles, soit inadéquates, de sorte que la résolution de problèmes et la planification doivent être appelées à la place.

Dans la conception et la gestion d'un HAS, il convient de considérer les caractéristiques cognitives des travailleurs afin d'assurer la compatibilité du fonctionnement du système avec le modèle interne du travailleur qui décrit ses fonctions. Par conséquent, le niveau de description du système doit être déplacé des aspects du fonctionnement humain basés sur les compétences vers les aspects basés sur les règles et les connaissances, et des méthodes appropriées d'analyse des tâches cognitives doivent être utilisées pour identifier le modèle d'opérateur d'un système. Un problème connexe dans le développement d'un HAS est la conception des moyens de transmission d'informations entre l'opérateur humain et les composants du système automatisé, tant au niveau physique que cognitif. Un tel transfert d'informations doit être compatible avec les modes d'information utilisés à différents niveaux de fonctionnement du système, c'est-à-dire visuels, verbaux, tactiles ou hybrides. Cette compatibilité informationnelle garantit que différentes formes de transfert d'informations nécessiteront une incompatibilité minimale entre le support et la nature de l'information. Par exemple, un affichage visuel est le meilleur pour la transmission d'informations spatiales, tandis que l'entrée auditive peut être utilisée pour transmettre des informations textuelles.

Très souvent, l'opérateur humain développe un modèle interne qui décrit le fonctionnement et la fonction du système en fonction de son expérience, de sa formation et de ses instructions en rapport avec le type d'interface homme-machine donné. À la lumière de cette réalité, les concepteurs d'un HAS devraient tenter d'intégrer aux machines (ou à d'autres systèmes artificiels) un modèle des caractéristiques physiques et cognitives de l'opérateur humain, c'est-à-dire l'image que le système se fait de l'opérateur (Hollnagel et Woods 1983). . Les concepteurs d'un HAS doivent également tenir compte du niveau d'abstraction dans la description du système ainsi que des différentes catégories pertinentes du comportement de l'opérateur humain. Ces niveaux d'abstraction pour modéliser le fonctionnement humain en milieu de travail sont les suivants (Rasmussen 1983) : (1) forme physique (structure anatomique), (2) fonctions physiques (fonctions physiologiques), (3) fonctions généralisées (mécanismes psychologiques et fonctions cognitives). et processus affectifs), (4) fonctions abstraites (traitement de l'information) et (5) but fonctionnel (structures de valeurs, mythes, religions, interactions humaines). Ces cinq niveaux doivent être considérés simultanément par les concepteurs afin d'assurer une performance efficace de la HAS.

Conception de logiciels système

Étant donné que le logiciel informatique est un composant principal de tout environnement HAS, le développement logiciel, y compris la conception, les tests, le fonctionnement et la modification, ainsi que les problèmes de fiabilité du logiciel doivent également être pris en compte dès les premières étapes du développement HAS. Par ce moyen, on devrait être en mesure de réduire le coût de la détection et de l'élimination des erreurs logicielles. Il est cependant difficile d'estimer la fiabilité des composantes humaines d'une HAS, en raison des limites de notre capacité à modéliser la performance des tâches humaines, la charge de travail associée et les erreurs potentielles. Une charge de travail mental excessive ou insuffisante peut conduire à une surcharge d'informations et à l'ennui, respectivement, et peut entraîner une dégradation des performances humaines, entraînant des erreurs et une augmentation de la probabilité d'accidents. Les concepteurs d'un HAS doivent utiliser des interfaces adaptatives, qui utilisent des techniques d'intelligence artificielle, pour résoudre ces problèmes. En plus de la compatibilité homme-machine, la question de l'adaptabilité homme-machine entre eux doit être considérée afin de réduire les niveaux de stress qui surviennent lorsque les capacités humaines peuvent être dépassées.

En raison du haut niveau de complexité de nombreux systèmes automatisés hybrides, l'identification de tout danger potentiel lié au matériel, aux logiciels, aux procédures opérationnelles et aux interactions homme-machine de ces systèmes devient essentielle au succès des efforts visant à réduire les blessures et les dommages matériels. . Les risques pour la sécurité et la santé associés aux systèmes automatisés hybrides complexes, tels que la technologie de fabrication intégrée par ordinateur (CIM), sont clairement l'un des aspects les plus critiques de la conception et du fonctionnement du système.

Problèmes de sécurité du système

Les environnements automatisés hybrides, avec leur potentiel important de comportement erratique du logiciel de contrôle dans des conditions de perturbation du système, créent une nouvelle génération de risques d'accident. À mesure que les systèmes automatisés hybrides deviennent plus polyvalents et complexes, les perturbations du système, y compris les problèmes de démarrage et d'arrêt et les déviations dans le contrôle du système, peuvent augmenter considérablement la possibilité d'un danger grave pour les opérateurs humains. Ironiquement, dans de nombreuses situations anormales, les opérateurs comptent généralement sur le bon fonctionnement des sous-systèmes de sécurité automatisés, une pratique qui peut augmenter le risque de blessures graves. Par exemple, une étude des accidents liés à des dysfonctionnements des systèmes de contrôle technique a montré qu'environ un tiers des séquences accidentelles comportaient une intervention humaine dans la boucle de contrôle du système perturbé.

Les mesures de sécurité traditionnelles ne pouvant être facilement adaptées aux besoins des environnements HAS, les stratégies de contrôle des blessures et de prévention des accidents doivent être reconsidérées au regard des caractéristiques inhérentes à ces systèmes. Par exemple, dans le domaine de la technologie de fabrication avancée, de nombreux processus sont caractérisés par l'existence de quantités substantielles de flux d'énergie qui ne peuvent pas être facilement anticipées par les opérateurs humains. De plus, les problèmes de sécurité apparaissent généralement aux interfaces entre les sous-systèmes ou lorsque les perturbations du système progressent d'un sous-système à l'autre. Selon l'Organisation internationale de normalisation (ISO 1991), les risques associés aux dangers dus à l'automatisation industrielle varient selon les types de machines industrielles incorporées dans le système de fabrication spécifique et selon la manière dont le système est installé, programmé, utilisé, entretenu et réparé. Par exemple, une comparaison des accidents liés aux robots en Suède avec d'autres types d'accidents a montré que les robots peuvent être les machines industrielles les plus dangereuses utilisées dans l'industrie manufacturière de pointe. Le taux d'accident estimé pour les robots industriels était d'un accident grave pour 45 années-robots, un taux supérieur à celui des presses industrielles, qui était d'un accident pour 50 années-machines. Il convient de noter ici que les presses industrielles aux États-Unis représentaient environ 23 % de tous les décès liés aux machines à travailler les métaux pour la période 1980-1985, les presses mécaniques se classant au premier rang en ce qui concerne le produit gravité-fréquence des blessures non mortelles.

Dans le domaine de la technologie de fabrication avancée, de nombreuses pièces mobiles sont dangereuses pour les travailleurs car elles changent de position de manière complexe en dehors du champ visuel des opérateurs humains. Les développements technologiques rapides dans la fabrication intégrée par ordinateur ont créé un besoin critique d'étudier les effets de la technologie de fabrication avancée sur les travailleurs. Afin d'identifier les dangers causés par les différentes composantes d'un tel environnement HAS, les accidents passés doivent être soigneusement analysés. Malheureusement, les accidents impliquant l'utilisation de robots sont difficiles à isoler des rapports d'accidents liés à des machines à commande humaine et, par conséquent, il peut y avoir un pourcentage élevé d'accidents non enregistrés. Les règles de santé et de sécurité au travail du Japon stipulent que "les robots industriels ne disposent pas actuellement de moyens de sécurité fiables et les travailleurs ne peuvent en être protégés que si leur utilisation est réglementée". Par exemple, les résultats de l'enquête menée par le ministère du Travail du Japon (Sugimoto 1987) sur les accidents liés aux robots industriels dans les 190 usines étudiées (avec 4,341 300 robots en activité) ont montré qu'il y avait 37 perturbations liées aux robots, dont 9 cas des actes dangereux ont entraîné des quasi-accidents, 2 étaient des accidents causant des blessures et XNUMX étaient des accidents mortels. Les résultats d'autres études indiquent que l'automatisation informatisée n'augmente pas nécessairement le niveau global de sécurité, car le matériel du système ne peut pas être rendu sûr par les fonctions de sécurité du logiciel informatique seul, et les contrôleurs du système ne sont pas toujours très fiables. De plus, dans un HAS complexe, on ne peut pas dépendre exclusivement des dispositifs de détection de sécurité pour détecter les conditions dangereuses et entreprendre des stratégies appropriées d'évitement des dangers.

Effets de l'automatisation sur la santé humaine

Comme indiqué ci-dessus, les activités des travailleurs dans de nombreux environnements HAS sont essentiellement celles du contrôle de la supervision, de la surveillance, de l'assistance et de la maintenance du système. Ces activités peuvent également être classées en quatre groupes de base comme suit : (1) tâches de programmation, c'est-à-dire codage des informations qui guident et dirigent le fonctionnement des machines, (2) surveillance des composants de production et de contrôle du HAS, (3) maintenance des composants du HAS pour prévenir ou atténuer les dysfonctionnements des machines, et (4) effectuer diverses tâches de soutien, etc. , travailler dans un environnement HAS peut être insatisfaisant et stressant pour les travailleurs. Les sources de stress comprenaient la surveillance constante requise dans de nombreuses applications HAS, la portée limitée des activités attribuées, le faible niveau d'interaction des travailleurs permis par la conception du système et les risques pour la sécurité associés à la nature imprévisible et incontrôlable de l'équipement. Même si certains travailleurs impliqués dans les activités de programmation et d'entretien ressentent des éléments de défi, ce qui peut avoir des effets positifs sur leur bien-être, ces effets sont souvent compensés par la nature complexe et exigeante de ces activités, ainsi que par la pression exercé par la direction pour mener à bien ces activités rapidement.

Bien que dans certains environnements HAS les opérateurs humains soient éloignés des sources d'énergie traditionnelles (flux de travail et mouvement de la machine) dans des conditions normales de fonctionnement, de nombreuses tâches dans les systèmes automatisés doivent encore être effectuées en contact direct avec d'autres sources d'énergie. Le nombre de composants différents du HAS étant en constante augmentation, un accent particulier doit être mis sur le confort et la sécurité des travailleurs et sur le développement de dispositifs efficaces de contrôle des blessures, d'autant plus que les travailleurs ne sont plus en mesure de suivre le la sophistication et la complexité de tels systèmes.

Afin de répondre aux besoins actuels en matière de contrôle des blessures et de sécurité des travailleurs dans les systèmes de fabrication intégrés par ordinateur, le comité ISO sur les systèmes d'automatisation industrielle a proposé une nouvelle norme de sécurité intitulée "Sécurité des systèmes de fabrication intégrés" (1991). Cette nouvelle norme internationale, qui a été développée en reconnaissance des risques particuliers qui existent dans les systèmes de fabrication intégrés incorporant des machines industrielles et des équipements associés, vise à minimiser les risques de blessures pour le personnel travaillant sur ou à proximité d'un système de fabrication intégré. Les principales sources de dangers potentiels pour les opérateurs humains dans le CIM identifiées par cette norme sont présentées dans la figure 1.

Figure 1. Principale source de dangers dans la fabrication intégrée par ordinateur (CIM) (après ISO 1991)

Erreurs humaines et système

En général, les dangers dans un HAS peuvent provenir du système lui-même, de son association avec d'autres équipements présents dans l'environnement physique ou des interactions du personnel humain avec le système. Un accident n'est que l'un des nombreux résultats des interactions homme-machine qui peuvent survenir dans des conditions dangereuses ; les quasi-accidents et les incidents avec dommages sont beaucoup plus fréquents (Zimolong et Duda 1992). L'apparition d'une erreur peut entraîner l'une des conséquences suivantes : (1) l'erreur reste inaperçue, (2) le système peut compenser l'erreur, (3) l'erreur entraîne une panne de la machine et/ou un arrêt du système ou (4 ) l'erreur entraîne un accident.

Étant donné que toutes les erreurs humaines qui entraînent un incident critique ne causeront pas un véritable accident, il convient de distinguer davantage les catégories de résultats comme suit : (1) un incident dangereux (c'est-à-dire tout événement non intentionnel, qu'il entraîne des blessures, des dommages ou perte), (2) un accident (c'est-à-dire un événement dangereux entraînant une blessure, un dommage ou une perte), (3) un incident dommageable (c'est-à-dire un événement dangereux qui n'entraîne qu'un certain type de dommage matériel), (4) un quasi-accident ou « quasi-accident » (c'est-à-dire, un événement dangereux dans lequel une blessure, un dommage ou une perte a été évité fortuitement par une faible marge) et (5) l'existence d'un potentiel d'accident (c'est-à-dire, des événements dangereux qui auraient pu entraîner des blessures, des dommages , ou perte, mais, en raison des circonstances, n'a pas entraîné même un quasi-accident).

On peut distinguer trois types fondamentaux d'erreur humaine dans une HAS :

1. dérapages et manquements basés sur les compétences
2. erreurs basées sur des règles
3. erreurs fondées sur la connaissance.

Cette taxonomie, conçue par Reason (1990), est basée sur une modification de la classification compétence-règle-connaissance de la performance humaine de Rasmussen telle que décrite ci-dessus. Au niveau des compétences, la performance humaine est régie par des modèles stockés d'instructions préprogrammées représentées sous forme de structures analogiques dans un domaine spatio-temporel. Le niveau basé sur des règles s'applique à la résolution de problèmes familiers dans lesquels les solutions sont régies par des règles stockées (appelées "productions", car elles sont consultées ou produites au besoin). Ces règles exigent que certains diagnostics (ou jugements) soient posés, ou que certaines actions correctives soient prises, étant donné que certaines conditions sont apparues qui exigent une réponse appropriée. À ce niveau, les erreurs humaines sont généralement associées à une mauvaise classification des situations, conduisant soit à l'application de la mauvaise règle, soit au rappel incorrect des jugements ou des procédures qui en découlent. Les erreurs basées sur les connaissances se produisent dans des situations nouvelles pour lesquelles des actions doivent être planifiées « en ligne » (à un moment donné), en utilisant des processus analytiques conscients et des connaissances stockées. Les erreurs à ce niveau proviennent de ressources limitées et de connaissances incomplètes ou incorrectes.

Les systèmes génériques de modélisation des erreurs (GEMS) proposés par Reason (1990), qui tentent de localiser les origines des types d'erreurs humaines de base, peuvent être utilisés pour dériver la taxonomie globale du comportement humain dans un HAS. GEMS cherche à intégrer deux domaines distincts de recherche sur les erreurs : (1) les dérapages et les défaillances, dans lesquels les actions s'écartent de l'intention actuelle en raison d'échecs d'exécution et/ou de stockage et (2) les erreurs, dans lesquelles les actions peuvent se dérouler conformément au plan, mais le plan est insuffisant pour atteindre le résultat souhaité.

Évaluation et prévention des risques en CIM

Selon l'ISO (1991), l'évaluation des risques dans le CIM doit être effectuée de manière à minimiser tous les risques et à servir de base pour déterminer les objectifs et les mesures de sécurité lors de l'élaboration de programmes ou de plans à la fois pour créer un environnement de travail sûr et pour assurer également la sécurité et la santé du personnel. Par exemple, les risques professionnels dans les environnements HAS basés sur la fabrication peuvent être caractérisés comme suit : (1) l'opérateur humain peut avoir besoin d'entrer dans la zone dangereuse pendant les tâches de récupération après perturbation, d'entretien et de maintenance, (2) la zone dangereuse est difficile à déterminer, à percevoir et à contrôler, (3) le travail peut être monotone et (4) les accidents survenant au sein des systèmes de fabrication intégrés par ordinateur sont souvent graves. Chaque danger identifié doit être évalué pour son risque, et des mesures de sécurité appropriées doivent être déterminées et mises en œuvre pour minimiser ce risque. Les dangers doivent également être déterminés en ce qui concerne tous les aspects suivants d'un processus donné : l'unité elle-même ; l'interaction entre les unités individuelles ; les sections d'exploitation du système ; et le fonctionnement du système complet pour tous les modes et conditions de fonctionnement prévus, y compris les conditions dans lesquelles les moyens de protection normaux sont suspendus pour des opérations telles que la programmation, la vérification, le dépannage, la maintenance ou la réparation.

La phase de conception de la stratégie de sécurité ISO (1991) pour le CIM comprend :

• spécification des limites des paramètres du système
• application d'une stratégie de sécurité
• identification des dangers
• évaluation des risques associés
• la suppression des dangers ou la diminution des risques autant que possible.

La spécification de sécurité du système doit inclure :

• une description des fonctions du système
• une configuration et/ou un modèle de système
• les résultats d'une enquête entreprise pour étudier l'interaction de différents processus de travail et activités manuelles
• une analyse des séquences de processus, y compris l'interaction manuelle
• une description des interfaces avec les lignes de convoyage ou de transport
• organigrammes de processus
• plans de fondation
• les plans des dispositifs d'alimentation et d'évacuation
• détermination de l'espace requis pour l'approvisionnement et l'élimination du matériel
• dossiers d'accidents disponibles.

Conformément à la norme ISO (1991), toutes les exigences nécessaires pour assurer un fonctionnement sûr du système CIM doivent être prises en compte dans la conception des procédures systématiques de planification de la sécurité. Cela inclut toutes les mesures de protection pour réduire efficacement les dangers et nécessite :

• intégration de l'interface homme-machine
• définition précoce de la position des acteurs du système (dans le temps et dans l'espace)
• réflexion précoce sur les moyens de réduire le travail isolé
• prise en compte des aspects environnementaux.

La procédure de planification de la sécurité devrait aborder, entre autres, les problèmes de sécurité suivants du CIM :

• Sélection des modes de fonctionnement du système. L'équipement de contrôle doit prévoir au moins les modes de fonctionnement suivants : (1) mode normal ou mode de production (c'est-à-dire avec toutes les protections normales connectées et en fonctionnement), (2) fonctionnement avec certaines des protections normales suspendues et (3) fonctionnement en quel système ou déclenchement manuel à distance de situations dangereuses est empêché (par exemple, dans le cas d'un fonctionnement local ou d'une isolation de l'alimentation ou d'un blocage mécanique de conditions dangereuses).
• Formation, installation, mise en service et tests fonctionnels. Lorsque du personnel doit se trouver dans la zone dangereuse, les mesures de sécurité suivantes doivent être prévues dans le système de commande : (1) actionnement maintenu, (2) dispositif d'activation, (3) vitesse réduite, (4) puissance réduite et (5 ) arrêt d'urgence mobile.
• Sécurité dans la programmation, la maintenance et la réparation du système. Pendant la programmation, seul le programmeur doit être autorisé dans l'espace protégé. Le système devrait avoir des procédures d'inspection et d'entretien en place pour assurer la poursuite du fonctionnement prévu du système. Le programme d'inspection et d'entretien doit tenir compte des recommandations du fournisseur du système et de celles des fournisseurs des différents éléments des systèmes. Il est à peine besoin de mentionner que le personnel qui effectue la maintenance ou les réparations sur le système doit être formé aux procédures nécessaires pour effectuer les tâches requises.
• Élimination des défauts. Lorsque l'élimination du défaut est nécessaire depuis l'intérieur de l'espace protégé, elle doit être effectuée après la déconnexion de sécurité (ou, si possible, après l'actionnement d'un mécanisme de consignation). Des mesures supplémentaires contre le déclenchement erroné de situations dangereuses doivent être prises. Lorsque des dangers peuvent survenir lors de l'élimination des défauts sur des sections de l'installation ou sur les machines d'installations ou de machines voisines, celles-ci doivent également être mises hors service et protégées contre tout démarrage inattendu. Au moyen d'instructions et de panneaux d'avertissement, il convient d'attirer l'attention sur l'élimination des défauts dans les composants du système qui ne peuvent pas être observés complètement.

Contrôle des perturbations du système

Dans de nombreuses installations HAS utilisées dans le domaine de la fabrication intégrée par ordinateur, des opérateurs humains sont généralement nécessaires pour contrôler, programmer, entretenir, prérégler, entretenir ou dépanner les tâches. Les perturbations du système entraînent des situations qui obligent les travailleurs à pénétrer dans les zones dangereuses. À cet égard, on peut supposer que les perturbations restent la principale cause d'interférence humaine dans le CIM, car les systèmes seront le plus souvent programmés depuis l'extérieur des zones réglementées. L'un des problèmes les plus importants pour la sécurité du CIM est de prévenir les perturbations, car la plupart des risques surviennent lors de la phase de dépannage du système. L'évitement des perturbations est l'objectif commun en termes de sécurité et de rentabilité.

Une perturbation dans un système CIM est un état ou une fonction d'un système qui s'écarte de l'état prévu ou souhaité. Outre la productivité, les perturbations pendant le fonctionnement d'un CIM ont un effet direct sur la sécurité des personnes impliquées dans l'exploitation du système. Une étude finlandaise (Kuivanen 1990) a montré qu'environ la moitié des perturbations dans la fabrication automatisée diminuent la sécurité des travailleurs. Les principales causes de perturbations étaient les erreurs de conception du système (34 %), les défaillances des composants du système (31 %), les erreurs humaines (20 %) et les facteurs externes (15 %). La plupart des pannes de machine ont été causées par le système de contrôle et, dans le système de contrôle, la plupart des pannes se sont produites dans les capteurs. Un moyen efficace d'augmenter le niveau de sécurité des installations CIM est de réduire le nombre de perturbations. Si les actions humaines dans les systèmes perturbés préviennent la survenue d'accidents dans l'environnement HAS, elles y contribuent également. Par exemple, une étude des accidents liés à des dysfonctionnements des systèmes de contrôle technique a montré qu'environ un tiers des séquences accidentelles comportaient une intervention humaine dans la boucle de contrôle du système perturbé.

Les principales problématiques de recherche en prévention des perturbations CIM concernent (1) les causes majeures des perturbations, (2) les composants et fonctions non fiables, (3) l'impact des perturbations sur la sûreté, (4) l'impact des perturbations sur le fonctionnement du système, ( 5) dégâts matériels et (6) réparations. La sécurité du HAS doit être planifiée dès le stade de la conception du système, en tenant dûment compte de la technologie, des personnes et de l'organisation, et faire partie intégrante du processus de planification technique global du HAS.

Conception HAS : les enjeux futurs

Pour assurer le meilleur bénéfice des systèmes automatisés hybrides comme discuté ci-dessus, une vision beaucoup plus large du développement du système, basée sur l'intégration des personnes, de l'organisation et de la technologie, est nécessaire. Trois principaux types d'intégration de système doivent être appliqués ici :

1. l'intégration des personnes, en assurant une communication efficace entre eux
2. intégration homme-ordinateur, en concevant des interfaces et des interactions adaptées entre les personnes et les ordinateurs
3. intégration technologique, en assurant un interfaçage et des interactions efficaces entre les machines.

Les exigences de conception minimales pour les systèmes automatisés hybrides doivent inclure les éléments suivants : (1) flexibilité, (2) adaptation dynamique, (3) amélioration de la réactivité et (4) nécessité de motiver les personnes et de mieux utiliser leurs compétences, leur jugement et leur expérience. . Ce qui précède nécessite également que les structures organisationnelles, les pratiques de travail et les technologies de la HAS soient développées pour permettre aux personnes à tous les niveaux du système d'adapter leurs stratégies de travail à la variété des situations de contrôle des systèmes. Ainsi, les organisations, les pratiques de travail et les technologies de la HAS devront être conçues et développées comme des systèmes ouverts (Kidd 1994).

Un système automatisé hybride ouvert (OHAS) est un système qui reçoit des entrées et envoie des sorties à son environnement. L'idée d'un système ouvert peut s'appliquer non seulement aux architectures des systèmes et aux structures organisationnelles, mais aussi aux pratiques de travail, aux interfaces homme-machine et à la relation entre les personnes et les technologies : on peut citer, par exemple, les systèmes d'ordonnancement, les systèmes de contrôle et systèmes d'aide à la décision. Un système ouvert est aussi un système adaptatif lorsqu'il laisse aux gens une grande liberté pour définir le mode de fonctionnement du système. Par exemple, dans le domaine de la fabrication de pointe, les exigences d'un système automatisé hybride ouvert peuvent être réalisées grâce au concept de fabrication humaine et intégrée par ordinateur (HCIM). De ce point de vue, la conception de la technologie doit aborder l'architecture globale du système HCIM, y compris les éléments suivants : (1) les considérations du réseau de groupes, (2) la structure de chaque groupe, (3) l'interaction entre les groupes, (4) la nature du logiciel de support et (5) les besoins techniques de communication et d'intégration entre les modules logiciels de support.

Le système automatisé hybride adaptatif, par opposition au système fermé, ne limite pas ce que les opérateurs humains peuvent faire. Le rôle du concepteur d'un HAS est de créer un système qui satisfera les préférences personnelles de l'utilisateur et permettra à ses utilisateurs de travailler de la manière qu'ils jugent la plus appropriée. Une condition préalable à l'autorisation de la contribution des utilisateurs est le développement d'une méthodologie de conception adaptative, c'est-à-dire un OHAS qui permet d'activer une technologie assistée par ordinateur pour sa mise en œuvre dans le processus de conception. La nécessité de développer une méthodologie pour la conception adaptative est l'une des exigences immédiates pour réaliser le concept OHAS dans la pratique. Un nouveau niveau de technologie de contrôle de supervision humaine adaptative doit également être développé. Une telle technologie devrait permettre à l'opérateur humain de "voir à travers" le système de contrôle autrement invisible du fonctionnement du HAS, par exemple, en appliquant un système vidéo interactif à grande vitesse à chaque point de contrôle et d'exploitation du système. Enfin, une méthodologie pour le développement d'un support informatisé intelligent et hautement adaptatif des rôles humains et du fonctionnement humain dans les systèmes automatisés hybrides est également très nécessaire.

Retour