58. Demandes de sécurité
Éditeurs de chapitre : Kenneth Gerecke et Charles T. Pope
Analyse des Systèmes
Manh Trung Ho
Sécurité des outils électriques portatifs et manuels
Département du travail des États-Unis—Administration de la sécurité et de la santé au travail ; édité par Kenneth Gerecke
Pièces mobiles de machines
Tomas Backström et Marianne Döos
Protection de la machine
Département du travail des États-Unis—Administration de la sécurité et de la santé au travail ; édité par Kenneth Gerecke
Détecteurs de présence
Paul Schreber
Dispositifs de contrôle, d'isolement et de commutation d'énergie
René Troxler
Applications liées à la sécurité
Dietmar Reinert et Karlheinz Meffert
Logiciels et ordinateurs : systèmes automatisés hybrides
Waldemar Karwowski et Jozef Zurada
Principes de conception de systèmes de commande sûrs
Georg Vondracek
Principes de sécurité pour les machines-outils à commande numérique
Toni Retsch, Guido Schmitter et Albert Marty
Principes de sécurité pour les robots industriels
Toni Retsch, Guido Schmitter et Albert Marty
Systèmes de commande électriques, électroniques et électroniques programmables liés à la sécurité
Ron Bell
Exigences techniques pour les systèmes liés à la sécurité basés sur des dispositifs électriques, électroniques et électroniques programmables
John Brazendale et Ron Bell
rollover
Bengt Springfeldt
Chutes d'altitude
Jean Arteau
Espaces confinés
Neil Mc Manus
Principes de prévention : manutention et circulation interne
Kari Häkkinen
Cliquez sur un lien ci-dessous pour afficher le tableau dans le contexte de l'article.
1. Dysfonctionnements possibles d'un circuit de commande à deux boutons
2. Protecteurs de machine
3. Appareils
4. Méthodes d'alimentation et d'éjection
5. Combinaisons de structures de circuits dans les commandes de machines
6. Niveaux d'intégrité de sécurité pour les systèmes de protection
7. Conception et développement de logiciels
8. Niveau d'intégrité de sécurité : composants de type B
9. Exigences d'intégrité : architectures de systèmes électroniques
10. Chutes d'altitude : Québec 1982-1987
11.Systèmes typiques de prévention et d'arrêt des chutes
12. Différences entre la prévention des chutes et l'arrêt des chutes
13. Modèle de formulaire pour l'évaluation des conditions dangereuses
14. Un exemple de permis d'entrée
Pointez sur une vignette pour voir la légende de la figure, cliquez pour voir la figure dans le contexte de l'article.
A Système peut être défini comme un ensemble de composants interdépendants combinés de manière à remplir une fonction donnée dans des conditions spécifiées. Une machine est un exemple concret et particulièrement net de système en ce sens, mais il existe d'autres systèmes, impliquant des hommes et des femmes dans une équipe ou dans un atelier ou une usine, qui sont beaucoup plus complexes et moins faciles à définir. Sécurité suggère l'absence de danger ou de risque d'accident ou de blessure. Afin d'éviter toute ambiguïté, le concept général de événement indésirable seront employés. La sécurité absolue, au sens de l'impossibilité qu'un incident plus ou moins malheureux se produise, n'est pas atteignable ; de manière réaliste, il faut viser une probabilité très faible plutôt qu'une probabilité nulle d'occurrences indésirables.
Un système donné peut être considéré comme sûr ou non sûr uniquement en ce qui concerne les performances qui en sont réellement attendues. Dans cette optique, le niveau de sécurité d'un système peut être défini comme suit : "Pour tout ensemble donné d'événements indésirables, le niveau de sécurité (ou d'insécurité) d'un système est déterminé par la probabilité que ces événements se produisent sur une période donnée. période de temps". Parmi les exemples d'événements indésirables qui seraient intéressants dans le cadre du présent rapport, citons : les décès multiples, la mort d'une ou plusieurs personnes, les blessures graves, les blessures légères, les dommages à l'environnement, les effets néfastes sur les êtres vivants, la destruction d'usines ou de bâtiments, et les ou des dommages matériels ou matériels limités.
Objectif de l'analyse du système de sécurité
L'objet d'une analyse de sécurité du système est de déterminer les facteurs qui influent sur la probabilité des événements indésirables, d'étudier la manière dont ces événements se produisent et, finalement, de développer des mesures préventives pour réduire leur probabilité.
La phase analytique du problème peut être divisée en deux aspects principaux :
Une fois les différents dysfonctionnements et leurs conséquences étudiés, les analystes de la sécurité du système peuvent porter leur attention sur les mesures préventives. La recherche dans ce domaine s'appuiera directement sur les découvertes antérieures. Cette investigation des moyens préventifs suit les deux principaux aspects de l'analyse de sûreté du système.
Méthodes d'analyse
L'analyse de sécurité du système peut être réalisée avant ou après l'événement (a priori ou a posteriori) ; dans les deux cas, la méthode utilisée peut être directe ou inverse. Une analyse a priori a lieu avant l'événement indésirable. L'analyste prend un certain nombre de ces occurrences et s'attache à découvrir les différentes étapes qui peuvent y conduire. En revanche, une analyse a posteriori est effectuée après que l'événement indésirable s'est produit. Son objectif est de fournir des orientations pour l'avenir et, en particulier, de tirer toutes les conclusions qui peuvent être utiles pour d'éventuelles analyses a priori ultérieures.
S'il peut sembler qu'une analyse a priori serait bien plus précieuse qu'une analyse a posteriori, puisqu'elle précède l'incident, les deux sont en fait complémentaires. La méthode utilisée dépend de la complexité du système impliqué et de ce que l'on sait déjà sur le sujet. Dans le cas de systèmes tangibles tels que des machines ou des installations industrielles, l'expérience antérieure peut généralement servir à préparer une analyse a priori assez détaillée. Cependant, même dans ce cas, l'analyse n'est pas forcément infaillible et ne manquera pas de bénéficier d'une analyse ultérieure a posteriori basée essentiellement sur l'étude des incidents survenus en cours d'exploitation. Quant aux systèmes plus complexes impliquant des personnes, tels que les équipes de travail, les ateliers ou les usines, l'analyse a posteriori est encore plus importante. Dans de tels cas, l'expérience passée n'est pas toujours suffisante pour permettre une analyse a priori détaillée et fiable.
Une analyse a posteriori peut évoluer vers une analyse a priori lorsque l'analyste va au-delà du seul processus qui a conduit à l'incident en question et commence à examiner les différents événements qui pourraient raisonnablement conduire à un tel incident ou à des incidents similaires.
Une autre manière dont une analyse a posteriori peut devenir une analyse a priori consiste à mettre l'accent non pas sur l'événement (dont la prévention est l'objectif principal de l'analyse actuelle) mais sur des incidents moins graves. Ces incidents, tels que les incidents techniques, les dégâts matériels et les accidents potentiels ou mineurs, relativement peu importants en eux-mêmes, peuvent être identifiés comme des signes annonciateurs d'événements plus graves. Dans de tels cas, bien que réalisée après la survenance d'incidents mineurs, l'analyse sera une analyse a priori sur des événements plus graves qui n'ont pas encore eu lieu.
Il existe deux méthodes possibles pour étudier le mécanisme ou la logique derrière la séquence de deux événements ou plus :
La figure 1 est un schéma d'un circuit de commande nécessitant deux boutons (B1 et B2) à appuyer simultanément pour activer la bobine de relais (R) et démarrer la machine. Cet exemple peut être utilisé pour illustrer, en termes pratiques, la et inverser méthodes utilisées dans l'analyse de la sécurité des systèmes.
Figure 1. Circuit de commande à deux boutons
Méthode directe
Dans le méthode directe, l'analyste commence par (1) répertorier les défauts, dysfonctionnements et inadaptations, (2) étudier leurs effets et (3) déterminer si ces effets constituent ou non une menace pour la sécurité. Dans le cas de la figure 1, les défauts suivants peuvent se produire :
L'analyste peut alors déduire les conséquences de ces défauts, et les constatations peuvent être présentées sous forme de tableau (tableau 1).
Tableau 1. Dysfonctionnements possibles d'un circuit de commande à deux boutons et leurs conséquences
Défauts |
Conséquences |
Rupture du fil entre 2 et 2' |
Impossible de démarrer la machine* |
Fermeture accidentelle de B1 (ou B2 ) |
Pas de conséquence immédiate |
Contacter chez C1 (ou C2 ) en conséquence de |
Pas de conséquence immédiate mais possibilité de |
Court-circuit entre 1 et 1' |
Activation de la bobine de relais R—démarrage accidentel de |
* Occurrence ayant une influence directe sur la fiabilité du système
** Occurrence responsable d'une baisse importante du niveau de sécurité du système
*** Événement dangereux à éviter
Voir texte et figure 1.
Dans le tableau 1, les conséquences dangereuses ou susceptibles de réduire gravement le niveau de sécurité du système peuvent être désignées par des signes conventionnels tels que ***.
Remarque : Dans le tableau 1, une rupture de câble entre 2 et 2´ (illustrée à la figure 1) entraîne un événement qui n'est pas considéré comme dangereux. Il n'a pas d'effet direct sur la sécurité du système ; cependant, la probabilité qu'un tel incident se produise a une incidence directe sur la fiabilité du système.
La méthode directe est particulièrement adaptée à la simulation. La figure 2 montre un simulateur analogique conçu pour étudier la sécurité des circuits de commande de presse. La simulation du circuit de commande permet de vérifier que, tant qu'il n'y a pas de défaut, le circuit est effectivement capable d'assurer la fonction requise sans enfreindre les critères de sécurité. De plus, le simulateur peut permettre à l'analyste d'introduire des défauts dans les différents composants du circuit, d'observer leurs conséquences et ainsi de distinguer les circuits bien conçus (avec peu ou pas de défauts dangereux) de ceux qui sont mal conçus. Ce type d'analyse de sécurité peut également être effectué à l'aide d'un ordinateur.
Figure 2. Simulateur pour l'étude des circuits de commande de presse
Méthode inverse
Dans le méthode inverse, l'analyste remonte de l'occurrence, incident ou accident indésirable, vers les différents événements antérieurs pour déterminer lesquels sont susceptibles d'entraîner les occurrences à éviter. Dans la figure 1, l'événement ultime à éviter serait le démarrage intempestif de la machine.
Les résultats de cette analyse peuvent être représentés dans un diagramme qui ressemble à un arbre (pour cette raison, la méthode inverse est connue sous le nom d'"analyse par arbre de défaillance"), comme illustré à la figure 3.
Figure 3. Chaîne d'événements possible
Le diagramme suit des opérations logiques, dont les plus importantes sont les opérations "OU" et "ET". L'opération "OU" signifie que [X1] se produira si [A] ou [B] (ou les deux) se produisent. L'opération "ET" signifie qu'avant [X2] peut se produire, [C] et [D] doivent avoir eu lieu (voir figure 4).
Figure 4. Représentation de deux opérations logiques
La méthode inverse est très souvent utilisée dans l'analyse a priori de systèmes tangibles, notamment dans les industries chimiques, aéronautiques, spatiales et nucléaires. Il s'est également avéré extrêmement utile comme méthode d'enquête sur les accidents industriels.
Bien que très différentes, les méthodes directe et inverse sont complémentaires. La méthode directe repose sur un ensemble de défauts ou de dysfonctionnements, et la valeur d'une telle analyse dépend donc largement de la pertinence des différents dysfonctionnements pris en compte au départ. Vue sous cet angle, la méthode inverse semble plus systématique. Connaissant les types d'accidents ou d'incidents susceptibles de se produire, l'analyste peut en théorie appliquer cette méthode pour remonter vers tous les dysfonctionnements ou combinaisons de dysfonctionnements susceptibles de les provoquer. Cependant, tous les comportements dangereux d'un système n'étant pas nécessairement connus à l'avance, ils peuvent être découverts par la méthode directe, appliquée par simulation par exemple. Une fois ceux-ci découverts, les dangers peuvent être analysés plus en détail par la méthode inverse.
Problèmes d'analyse de la sécurité du système
Les méthodes analytiques décrites ci-dessus ne sont pas seulement des processus mécaniques qui doivent seulement être appliqués automatiquement afin de parvenir à des conclusions utiles pour améliorer la sécurité du système. Au contraire, les analystes rencontrent un certain nombre de problèmes au cours de leur travail, et l'utilité de leurs analyses dépendra largement de la manière dont ils s'y prendront pour les résoudre. Certains des problèmes typiques qui peuvent survenir sont décrits ci-dessous.
Comprendre le système à étudier et ses conditions de fonctionnement
Les problèmes fondamentaux de toute analyse de sûreté d'un système sont la définition du système à étudier, ses limites et les conditions dans lesquelles il est censé fonctionner tout au long de son existence.
Si l'analyste prend en compte un sous-système trop limité, le résultat peut être l'adoption d'une série de mesures préventives aléatoires (situation dans laquelle tout est conçu pour prévenir certains types d'événements particuliers, tandis que des risques tout aussi graves sont ignorés ou sous-estimés ). Si, en revanche, le système considéré est trop complet ou général par rapport à un problème donné, il peut en résulter un trop grand flou de concept et de responsabilités, et l'analyse peut ne pas conduire à l'adoption de mesures préventives appropriées.
Un exemple typique qui illustre le problème de la définition du système à étudier est la sécurité des machines ou installations industrielles. Dans ce genre de situation, l'analyste peut être tenté de ne considérer que l'équipement lui-même, négligeant le fait qu'il doit être opéré ou contrôlé par une ou plusieurs personnes. Une telle simplification est parfois valable. Cependant, ce qui doit être analysé n'est pas seulement le sous-système de la machine, mais l'ensemble du système travailleur plus machine aux différentes étapes de la vie de l'équipement (y compris, par exemple, le transport et la manutention, l'assemblage, les essais et les réglages, le fonctionnement normal , entretien, démontage et, dans certains cas, destruction). A chaque étape la machine fait partie d'un système spécifique dont la finalité et les modes de fonctionnement et de dysfonctionnement sont totalement différents de ceux du système aux autres étapes. Il doit donc être conçu et fabriqué de manière à permettre l'exécution de la fonction requise dans de bonnes conditions de sécurité à chacun des étages.
Plus généralement, en matière d'études de sécurité dans les entreprises, il existe plusieurs niveaux de système : la machine, le poste de travail, l'équipe, le service, l'usine et l'entreprise dans son ensemble. Selon le niveau du système considéré, les types de dysfonctionnement possibles et les mesures préventives pertinentes sont assez différents. Une bonne politique de prévention doit tenir compte des dysfonctionnements qui peuvent survenir à différents niveaux.
Les conditions de fonctionnement du système peuvent être définies en fonction de la manière dont le système est censé fonctionner, et des conditions environnementales auxquelles il peut être soumis. Cette définition doit être suffisamment réaliste pour tenir compte des conditions réelles dans lesquelles le système est susceptible de fonctionner. Un système qui n'est très sûr que dans une plage de fonctionnement très restreinte peut ne pas l'être si l'utilisateur est incapable de rester dans la plage de fonctionnement théorique prescrite. Un système sûr doit donc être suffisamment robuste pour supporter des variations raisonnables de ses conditions de fonctionnement, et tolérer certaines erreurs simples mais prévisibles de la part des opérateurs.
Modélisation du système
Il est souvent nécessaire de développer un modèle pour analyser la sécurité d'un système. Cela peut soulever certains problèmes qui méritent d'être examinés.
Pour un système concis et relativement simple comme une machine conventionnelle, le modèle est presque directement déduit des descriptions des composants matériels et de leurs fonctions (moteurs, transmission, etc.) et de la manière dont ces composants sont interdépendants. Le nombre de modes de défaillance possibles des composants est également limité.
Les machines modernes comme les ordinateurs et les robots, qui contiennent des composants complexes comme des microprocesseurs et des circuits électroniques à très grande échelle d'intégration, posent un problème particulier. Ce problème n'est pas totalement résolu ni en termes de modélisation ni de prédiction des différents modes de défaillance possibles, du fait de la multiplicité des transistors élémentaires dans chaque puce et de l'utilisation de logiciels divers.
Lorsque le système à analyser est une organisation humaine, un problème intéressant rencontré en modélisation réside dans le choix et la définition de certains composants immatériels ou non entièrement matériels. Un poste de travail particulier peut être représenté, par exemple, par un système comprenant des travailleurs, des logiciels, des tâches, des machines, des matériaux et un environnement. (La composante « tâche » peut s'avérer difficile à définir, car ce n'est pas la tâche prescrite qui compte mais la tâche telle qu'elle est effectivement réalisée).
Lors de la modélisation des organisations humaines, l'analyste peut choisir de décomposer le système considéré en un sous-système d'information et un ou plusieurs sous-systèmes d'action. L'analyse des défaillances aux différentes étapes du sous-système informationnel (acquisition, transmission, traitement et utilisation de l'information) peut être très instructive.
Problèmes associés aux multiples niveaux d'analyse
Les problèmes associés aux multiples niveaux d'analyse se développent souvent car partant d'un événement indésirable, l'analyste peut remonter vers des incidents de plus en plus éloignés dans le temps. Selon le niveau d'analyse considéré, la nature des dysfonctionnements qui surviennent varie ; il en va de même pour les mesures préventives. Il est important de pouvoir décider à quel niveau l'analyse doit être arrêtée et à quel niveau une action préventive doit être entreprise. Un exemple est le cas simple d'un accident résultant d'une défaillance mécanique causée par l'utilisation répétée d'une machine dans des conditions anormales. Cela peut être dû à un manque de formation des opérateurs ou à une mauvaise organisation du travail. Selon le niveau d'analyse considéré, l'action préventive requise peut être le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères, l'utilisation de la machine uniquement dans des conditions normales, une modification de la formation du personnel ou une réorganisation des travail.
L'efficacité et la portée d'une mesure préventive dépendent du niveau auquel elle est introduite. Une action préventive à proximité immédiate de l'événement indésirable est plus susceptible d'avoir un impact direct et rapide, mais ses effets peuvent être limités ; d'autre part, en travaillant raisonnablement à rebours dans l'analyse des événements, il devrait être possible de retrouver des types de dysfonctionnements communs à de nombreux accidents. Toute action préventive entreprise à ce niveau aura une portée beaucoup plus large, mais son efficacité risque d'être moins directe.
Sachant qu'il existe plusieurs niveaux d'analyse, il peut également exister de nombreux schémas d'action préventive, chacun portant sa part du travail de prévention. C'est là un point extrêmement important, et il suffit de revenir à l'exemple de l'accident actuellement considéré pour s'en rendre compte. Proposer le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères fait peser sur la machine la charge de la prévention. Décider que la machine ne doit être utilisée que dans des conditions normales revient à en imposer la responsabilité à l'utilisateur. De même, la charge peut être mise sur la formation du personnel, l'organisation du travail ou à la fois sur la machine, l'utilisateur, la fonction formation et la fonction organisation.
A un niveau d'analyse donné, un accident apparaît souvent comme la conséquence de la conjonction de plusieurs dysfonctionnements ou inadaptations. Selon que l'on agit sur un dysfonctionnement ou sur un autre, ou sur plusieurs simultanément, le schéma d'action préventive adopté sera différent.
Les outils font tellement partie de nos vies qu'il est parfois difficile de se rappeler qu'ils peuvent présenter des dangers. Tous les outils sont fabriqués dans un souci de sécurité, mais il peut arriver qu'un accident se produise avant que les dangers liés à l'outil ne soient reconnus. Les travailleurs doivent apprendre à reconnaître les dangers associés aux différents types d'outils et les mesures de sécurité nécessaires pour prévenir ces dangers. Un équipement de protection individuelle approprié, tel que des lunettes de sécurité ou des gants, doit être porté pour se protéger des dangers potentiels pouvant être rencontrés lors de l'utilisation d'outils électriques portatifs et d'outils à main.
Outils
Les outils à main ne sont pas motorisés et comprennent tout, des haches aux clés. Les plus grands dangers posés par les outils à main résultent d'une mauvaise utilisation, de l'utilisation d'un outil inapproprié pour le travail et d'un entretien inapproprié. Certains des dangers associés à l'utilisation d'outils à main comprennent, mais sans s'y limiter, les suivants :
L'employeur est responsable de l'état sécuritaire des outils et de l'équipement fournis aux employés, mais les employés ont la responsabilité d'utiliser et d'entretenir correctement les outils. Les travailleurs doivent éloigner les lames de scie, les couteaux ou les autres outils des allées et des autres employés travaillant à proximité. Les couteaux et les ciseaux doivent être aiguisés, car les outils émoussés peuvent être plus dangereux que les outils tranchants. (Voir figure 1.)
Figure 1. Un tournevis
La sécurité exige que les sols soient maintenus aussi propres et secs que possible pour éviter les glissades accidentelles lors du travail avec ou autour d'outils à main dangereux. Bien que les étincelles produites par les outils à main en fer et en acier ne soient normalement pas assez chaudes pour être des sources d'inflammation, lorsque vous travaillez avec ou autour de matériaux inflammables, des outils résistants aux étincelles en laiton, en plastique, en aluminium ou en bois peuvent être utilisés pour empêcher la formation d'étincelles.
Outils électriques
Les outils électriques sont dangereux lorsqu'ils sont mal utilisés. Il existe plusieurs types d'outils électriques, généralement classés en fonction de la source d'alimentation (électrique, pneumatique, à combustible liquide, hydraulique, à vapeur et à poudre explosive). Les employés doivent être qualifiés ou formés à l'utilisation de tous les outils électriques utilisés dans leur travail. Ils doivent comprendre les dangers potentiels associés à l'utilisation d'outils électriques et observer les consignes de sécurité générales suivantes pour éviter que ces dangers ne se produisent :
Gardes de protection
Les pièces mobiles dangereuses des outils électriques doivent être protégées. Par exemple, les courroies, les engrenages, les arbres, les poulies, les pignons, les broches, les tambours, les volants d'inertie, les chaînes ou autres pièces d'équipement à mouvement alternatif, rotatif ou mobile doivent être protégés si ces pièces sont exposées au contact des travailleurs. Si nécessaire, des protections doivent être fournies pour protéger l'opérateur et les autres contre les dangers associés à :
Les protections de sécurité ne doivent jamais être retirées lorsqu'un outil est utilisé. Par exemple, les scies circulaires portatives doivent être équipées de protections. Une protection supérieure doit recouvrir toute la lame de la scie. Un protecteur inférieur escamotable doit recouvrir les dents de la scie, sauf lorsqu'il entre en contact avec le matériau à travailler. Le protecteur inférieur doit revenir automatiquement en position de recouvrement lorsque l'outil est retiré du travail. Remarquez les protège-lames sur l'illustration d'une scie électrique (figure 2).
Figure 2. Une scie circulaire avec protection
Interrupteurs et commandes de sécurité
Voici des exemples d'outils électriques portatifs qui doivent être équipés d'un interrupteur de commande « marche-arrêt » à contact momentané :
Ces outils peuvent également être équipés d'une commande de verrouillage, à condition que l'arrêt puisse être accompli par un seul mouvement du même doigt ou des doigts qui l'ont mis en marche.
Les outils électriques portatifs suivants peuvent être équipés uniquement d'un interrupteur de commande positif « marche-arrêt » :
Les autres outils électriques portatifs qui doivent être équipés d'un interrupteur à pression constante qui coupe l'alimentation lorsque la pression est relâchée comprennent :
Outils électriques
Les travailleurs utilisant des outils électriques doivent être conscients de plusieurs dangers. Le plus grave d'entre eux est la possibilité d'électrocution, suivie de brûlures et de légers chocs. Dans certaines conditions, même une petite quantité de courant peut entraîner une fibrillation du cœur pouvant entraîner la mort. Un choc peut également faire tomber un travailleur d'une échelle ou d'autres surfaces de travail surélevées.
Pour réduire le risque de blessure des travailleurs par choc électrique, les outils doivent être protégés par au moins l'un des moyens suivants :
Figure 3. Une perceuse électrique
Ces pratiques générales de sécurité doivent être suivies lors de l'utilisation d'outils électriques :
Meules abrasives motorisées
Les meules de meulage, de coupe, de polissage et de polissage à l'abrasif motorisé créent des problèmes de sécurité particuliers car les meules peuvent se désintégrer et projeter des fragments volants.
Avant de monter les meules abrasives, elles doivent être inspectées de près et sonorisées (ou sonorisées) en tapotant doucement avec un instrument léger non métallique pour s'assurer qu'elles sont exemptes de fissures ou de défauts. Si les roues sont fissurées ou semblent mortes, elles pourraient voler en éclats en cours de fonctionnement et ne doivent pas être utilisées. Une roue saine et en bon état donnera une tonalité métallique claire ou un "sonnerie".
Pour éviter que la roue ne se fissure, l'utilisateur doit s'assurer qu'elle s'adapte librement sur l'axe. L'écrou de fusée doit être suffisamment serré pour maintenir la roue en place sans déformer le flasque. Suivez les recommandations du fabricant. Des précautions doivent être prises pour s'assurer que la meule de broche ne dépassera pas les spécifications de la meule abrasive. En raison de la possibilité qu'une roue se désintègre (explose) lors du démarrage, le travailleur ne doit jamais se tenir directement devant la roue lorsqu'elle accélère à pleine vitesse de fonctionnement. Les outils de meulage portatifs doivent être équipés de protections de sécurité pour protéger les travailleurs non seulement de la surface de la meule en mouvement, mais également des éclats projetés en cas de bris. De plus, lors de l'utilisation d'une meuleuse électrique, ces précautions doivent être respectées :
Outils pneumatiques
Les outils pneumatiques sont alimentés par de l'air comprimé et comprennent des déchiqueteuses, des perceuses, des marteaux et des ponceuses. Bien qu'il existe plusieurs dangers potentiels liés à l'utilisation d'outils pneumatiques, le principal est le risque d'être heurté par l'un des accessoires de l'outil ou par une sorte de fixation que le travailleur utilise avec l'outil. Une protection oculaire est requise et une protection faciale est recommandée lorsque vous travaillez avec des outils pneumatiques. Le bruit est un autre danger. Travailler avec des outils bruyants tels que des marteaux-piqueurs nécessite une utilisation appropriée et efficace d'une protection auditive appropriée.
Lors de l'utilisation d'un outil pneumatique, le travailleur doit s'assurer qu'il est solidement fixé au tuyau pour éviter une déconnexion. Un fil court ou un dispositif de verrouillage positif fixant le tuyau d'air à l'outil servira de protection supplémentaire. Si un tuyau d'air a plus de ½ pouce (1.27 cm) de diamètre, une soupape de sécurité en excès de débit doit être installée à la source de l'alimentation en air pour couper automatiquement l'air en cas de rupture du tuyau. En général, les mêmes précautions doivent être prises avec un tuyau d'air que celles recommandées pour les cordons électriques, car le tuyau est sujet au même type de dommages ou de chocs accidentels, et il présente également un risque de trébuchement.
Les pistolets à air comprimé ne doivent jamais être pointés vers qui que ce soit. Les travailleurs ne doivent jamais « culbuter » la buse contre eux-mêmes ou contre quelqu'un d'autre. Un clip ou un dispositif de retenue de sécurité doit être installé pour empêcher les accessoires, tels qu'un ciseau sur un marteau à piquer, d'être accidentellement tirés du canon. Des écrans doivent être installés pour protéger les travailleurs à proximité contre les impacts de fragments volants autour des déchiqueteuses, des pistolets à riveter, des marteaux pneumatiques, des agrafeuses ou des perceuses pneumatiques.
Les pistolets pulvérisateurs sans air qui atomisent les peintures et les fluides à haute pression (1,000 XNUMX livres ou plus par pouce carré) doivent être équipés de dispositifs de sécurité visuels automatiques ou manuels qui empêcheront l'activation jusqu'à ce que le dispositif de sécurité soit relâché manuellement. Les marteaux-piqueurs lourds peuvent causer de la fatigue et des tensions qui peuvent être réduites par l'utilisation de poignées en caoutchouc lourdes qui offrent une prise en main sûre. Un travailleur qui utilise un marteau-piqueur doit porter des lunettes de sécurité et des chaussures de sécurité pour se protéger contre les blessures si le marteau glisse ou tombe. Un écran facial doit également être utilisé.
Outils à essence
Les outils à essence fonctionnent généralement à l'aide de petits moteurs à combustion interne à essence. Les dangers potentiels les plus graves associés à l'utilisation d'outils à carburant proviennent des vapeurs de carburant dangereuses qui peuvent brûler ou exploser et dégager des gaz d'échappement dangereux. Le travailleur doit veiller à manipuler, transporter et entreposer l'essence ou le carburant uniquement dans des contenants de liquides inflammables approuvés, conformément aux procédures appropriées pour les liquides inflammables. Avant de remplir le réservoir d'un outil à essence, l'utilisateur doit arrêter le moteur et le laisser refroidir pour éviter l'inflammation accidentelle de vapeurs dangereuses. Si un outil à essence est utilisé à l'intérieur d'une zone fermée, une ventilation efficace et/ou un équipement de protection est nécessaire pour éviter l'exposition au monoxyde de carbone. Des extincteurs doivent être disponibles dans la zone.
Outils à poudre explosive
Les outils explosifs à poudre fonctionnent comme un pistolet chargé et doivent être traités avec le même respect et les mêmes précautions. En fait, ils sont si dangereux qu'ils ne doivent être utilisés que par des employés spécialement formés ou qualifiés. Une protection appropriée des oreilles, des yeux et du visage est essentielle lors de l'utilisation d'un pistolet à poudre. Tous les outils actionnés par poudre doivent être conçus pour des charges de poudre variables afin que l'utilisateur puisse sélectionner un niveau de poudre nécessaire pour effectuer le travail sans force excessive.
L'extrémité de la bouche de l'outil doit être munie d'un bouclier protecteur ou d'une garde centré perpendiculairement sur le canon pour protéger l'utilisateur de tout éclat ou particule volante qui pourrait créer un danger lorsque l'outil est tiré. L'outil doit être conçu de manière à ne pas tirer s'il n'est pas équipé de ce type de dispositif de sécurité. Pour éviter que l'outil ne tire accidentellement, deux mouvements distincts sont nécessaires pour le tir : un pour amener l'outil en position et un autre pour appuyer sur la gâchette. Les outils ne doivent pas pouvoir fonctionner tant qu'ils ne sont pas pressés contre la surface de travail avec une force d'au moins 5 livres supérieure au poids total de l'outil.
Si un outil à poudre a des ratés, l'utilisateur doit attendre au moins 30 secondes avant d'essayer de le tirer à nouveau. Si elle ne se déclenche toujours pas, l'utilisateur doit attendre au moins 30 secondes supplémentaires afin que la cartouche défectueuse soit moins susceptible d'exploser, puis retirer soigneusement la charge. La cartouche défectueuse doit être mise dans l'eau ou autrement éliminée en toute sécurité conformément aux procédures de l'employeur.
Si un pistolet à poudre présente un défaut pendant son utilisation, il doit être étiqueté et mis hors service immédiatement jusqu'à ce qu'il soit correctement réparé. Les précautions à prendre pour une utilisation et une manipulation en toute sécurité des pistolets à poudre comprennent les suivantes :
Lors de l'utilisation d'outils à poudre pour appliquer des fixations, les précautions de sécurité suivantes doivent être prises en compte :
Outils hydrauliques
Le fluide utilisé dans les outils électriques hydrauliques doit être approuvé pour l'utilisation prévue et doit conserver ses caractéristiques de fonctionnement aux températures les plus extrêmes auxquelles il sera exposé. La pression de fonctionnement sécuritaire recommandée par le fabricant pour les tuyaux, vannes, tuyaux, filtres et autres raccords ne doit pas être dépassée. Lorsqu'il existe un risque de fuite sous haute pression dans une zone où des sources d'inflammation, telles que des flammes nues ou des surfaces chaudes, peuvent être présentes, l'utilisation de fluides résistants au feu comme fluide hydraulique doit être envisagée.
Jacks
Tous les crics - crics à levier et à cliquet, crics à vis et crics hydrauliques - doivent être munis d'un dispositif qui les empêche de monter trop haut. La limite de charge du fabricant doit être marquée de manière permanente à un endroit bien en vue sur le cric et ne doit pas être dépassée. Utilisez des cales en bois sous la base si nécessaire pour niveler et sécuriser le cric. Si la surface de levage est en métal, placez un bloc de bois dur de 1 pouce d'épaisseur (2.54 cm) ou l'équivalent entre le dessous de la surface et la tête du cric en métal pour réduire le risque de glissement. Un cric ne doit jamais être utilisé pour supporter une charge soulevée. Une fois la charge soulevée, elle doit être immédiatement soutenue par des cales.
Pour mettre en place un cric, assurez-vous des conditions suivantes :
Un bon entretien des vérins est essentiel pour la sécurité. Tous les crics doivent être inspectés avant chaque utilisation et lubrifiés régulièrement. Si un cric est soumis à une charge ou à un choc anormal, il doit être soigneusement examiné pour s'assurer qu'il n'a pas été endommagé. Les vérins hydrauliques exposés au gel doivent être remplis d'un liquide antigel adéquat.
Résumé
Les travailleurs qui utilisent des outils manuels et électriques et qui sont exposés aux risques de chute, de vol, d'objets et de matériaux abrasifs et d'éclaboussures, ou aux risques de poussières, fumées, brouillards, vapeurs ou gaz nocifs, doivent disposer de l'équipement personnel approprié nécessaire pour les protéger du danger. Tous les risques liés à l'utilisation d'outils électriques peuvent être évités par les travailleurs en suivant cinq règles de sécurité de base :
Les employés et les employeurs ont la responsabilité de travailler ensemble pour maintenir les pratiques de travail sécuritaires établies. Si un outil dangereux ou une situation dangereuse est rencontré, il doit être immédiatement porté à l'attention de la personne appropriée.
Cet article traite des situations et enchaînements d'événements conduisant à des accidents imputables au contact avec la partie mobile des machines. Les personnes qui utilisent et entretiennent des machines courent le risque d'être impliquées dans des accidents graves. Les statistiques américaines suggèrent que 18,000 800 amputations et plus de 1979 décès aux États-Unis chaque année sont attribuables à de telles causes. Selon le National Institute for Occupational Safety and Health (NIOSH) des États-Unis, la catégorie de blessures « pris dans, sous ou entre » dans leur classification se classait au premier rang parmi les types de blessures professionnelles les plus importants en 1990. Ces blessures impliquaient généralement des machines ( Etherton et Myers 10). Le « contact avec une pièce mobile de la machine » a été signalé comme le principal événement traumatisant dans un peu plus de 1979 % des accidents du travail depuis que cette catégorie a été introduite dans les statistiques suédoises sur les accidents du travail en XNUMX.
La plupart des machines ont des pièces mobiles qui peuvent causer des blessures. De telles pièces mobiles peuvent être trouvées au point de fonctionnement où le travail est effectué sur le matériau, tel que là où la coupe, la mise en forme, le perçage ou la déformation a lieu. On les trouve dans les appareils qui transmettent l'énergie aux parties de la machine effectuant le travail, telles que les volants d'inertie, les poulies, les bielles, les coupleurs, les cames, les broches, les chaînes, les manivelles et les engrenages. Ils peuvent se trouver dans d'autres parties mobiles de la machine telles que les roues des équipements mobiles, les moteurs à engrenages, les pompes, les compresseurs, etc. Les mouvements dangereux des machines peuvent également être trouvés parmi d'autres types de machines, en particulier dans les équipements auxiliaires qui manipulent et transportent des charges telles que des pièces, des matériaux, des déchets ou des outils.
Toutes les pièces d'une machine qui bougent au cours de l'exécution du travail peuvent contribuer à des accidents causant des blessures et des dommages. Les mouvements rotatifs et linéaires des machines, ainsi que leurs sources d'énergie, peuvent être dangereux :
Mouvement de rotation. Même les arbres rotatifs lisses peuvent saisir un vêtement et, par exemple, entraîner le bras d'une personne dans une position dangereuse. Le danger dans un arbre en rotation augmente s'il présente des parties saillantes ou des surfaces inégales ou tranchantes, telles que des vis de réglage, des boulons, des fentes, des encoches ou des arêtes coupantes. Les pièces rotatives de la machine génèrent des « points de pincement » de trois manières différentes :
Mouvements linéaires. Les mouvements verticaux, horizontaux et alternatifs peuvent causer des blessures de plusieurs manières : une personne peut recevoir une poussée ou un coup d'une pièce de la machine et peut être coincée entre la pièce de la machine et un autre objet, ou peut être coupée par un bord tranchant, ou une pincement en étant coincé entre la pièce mobile et un autre objet (figure 1).
Figure 1. Exemples de mouvements mécaniques pouvant blesser une personne
Sources d'énergie. Fréquemment, des sources d'énergie externes sont utilisées pour faire fonctionner une machine qui peut impliquer des quantités considérables d'énergie. Ceux-ci comprennent les systèmes électriques, à vapeur, hydrauliques, pneumatiques et mécaniques, qui, s'ils sont libérés ou non contrôlés, peuvent entraîner des blessures graves ou des dommages. Une étude d'accidents survenus pendant un an (1987 à 1988) chez des agriculteurs de neuf villages du nord de l'Inde a montré que les machines à couper le fourrage, toutes par ailleurs de même conception, sont plus dangereuses lorsqu'elles sont alimentées par un moteur ou un tracteur. La fréquence relative des accidents impliquant plus qu'une blessure mineure (par machine) était de 5.1 pour mille pour les coupeurs manuels et de 8.6 pour mille pour les coupeurs motorisés (Mohan et Patel 1992).
Blessures associées aux mouvements de la machine
Étant donné que les forces associées aux mouvements de la machine sont souvent assez importantes, on peut supposer que les blessures qu'elles provoquent seront graves. Cette présomption est confirmée par plusieurs sources. Selon les statistiques britanniques (HSE 5), le « contact avec des machines en mouvement ou du matériel en cours d'usinage » ne représente que 10 % de tous les accidents du travail, mais jusqu'à 1989 % des accidents mortels et majeurs (fractures, amputations, etc.). Des études portant sur deux lieux de travail de fabrication de véhicules en Suède vont dans le même sens. Les accidents causés par des mouvements de machines ont donné lieu à deux fois plus de jours d'arrêt de travail, mesurés par des valeurs médianes, par rapport aux accidents non liés aux machines. Les accidents liés aux machines se distinguent également des autres accidents par la partie du corps lésée : les résultats indiquent que 80 % des blessures subies dans les accidents « machines » sont aux mains et aux doigts, alors que la proportion correspondante pour les « autres » accidents est 40 % (Backström et Döös 1995).
La situation des risques dans les installations automatisées s'est avérée à la fois différente (en termes de type d'accident, de séquence d'événements et de degré de gravité des blessures) et plus compliquée (à la fois en termes techniques et en ce qui concerne le besoin de compétences spécialisées) qu'au installations où des machines conventionnelles sont utilisées. Le terme automatique désigne ici un équipement qui, sans l'intervention directe d'un être humain, peut soit initier un mouvement de la machine, soit modifier sa direction ou sa fonction. Un tel équipement nécessite des dispositifs de détection (par exemple, des capteurs de position ou des micro-interrupteurs) et/ou une certaine forme de commandes séquentielles (par exemple, un programme informatique) pour diriger et surveiller leurs activités. Au cours des dernières décennies, une Programmable Logic Controller (PLC) est de plus en plus utilisé comme unité de contrôle dans les systèmes de production. Les petits ordinateurs sont désormais les moyens les plus couramment utilisés pour contrôler les équipements de production dans le monde industrialisé, tandis que d'autres moyens de contrôle, tels que les unités électromécaniques, deviennent de moins en moins courants. Dans l'industrie manufacturière suédoise, l'utilisation de machines à commande numérique (NC) a augmenté de 11 à 12 % par an au cours des années 1980 (Hörte et Lindberg 1989). Dans la production industrielle moderne, être blessé par des "pièces mobiles de machines" équivaut de plus en plus à être blessé par des "mouvements de machines commandés par ordinateur".
Les installations automatisées se retrouvent dans de plus en plus de secteurs de l'industrie, et elles ont un nombre croissant de fonctions. La gestion des magasins, la manutention, le traitement, l'assemblage et l'emballage sont tous automatisés. La production en série ressemble désormais à la production en processus. Si l'alimentation, l'usinage et l'éjection des pièces sont mécanisés, l'opérateur n'a plus besoin de se trouver dans la zone à risque au cours d'une production régulière et non perturbée. Des études de recherche sur la fabrication automatisée ont montré que les accidents se produisent principalement dans la gestion des perturbations affectant la production. Cependant, les personnes peuvent également gêner les mouvements de la machine lors de l'exécution d'autres tâches, telles que le nettoyage, le réglage, la réinitialisation, le contrôle et la réparation.
Lorsque la production est automatisée et que le processus n'est plus sous le contrôle direct de l'être humain, le risque de mouvements imprévus de la machine augmente. La plupart des opérateurs qui travaillent avec des groupes ou des lignes de machines interconnectées ont été confrontés à de tels mouvements de machine inattendus. De nombreux accidents d'automatisation surviennent à la suite de tels mouvements. Un accident d'automatisation est un accident dans lequel l'équipement automatique a contrôlé (ou aurait dû contrôler) l'énergie à l'origine de la blessure. Cela signifie que la force qui blesse la personne provient de la machine elle-même (par exemple, l'énergie d'un mouvement de machine). Dans une étude de 177 accidents d'automatisation en Suède, il a été constaté que les blessures étaient causées par le «démarrage inattendu» d'une partie d'une machine dans 84% des cas (Backström et Harms-Ringdahl 1984). Un exemple typique de blessure causée par un mouvement de machine contrôlé par ordinateur est illustré à la figure 2.
Figure 2. Exemple typique d'une blessure causée par un mouvement de machine contrôlé par ordinateur
L'une des études mentionnées ci-dessus (Backström et Döös 1995) a montré que les mouvements de machines contrôlés automatiquement étaient causalement liés à des périodes d'arrêt de travail plus longues que les blessures dues à d'autres types de mouvements de machines, la valeur médiane étant quatre fois plus élevée sur l'un des lieux de travail. . Le schéma des blessures des accidents d'automatisation était similaire à celui des autres accidents de machine (impliquant principalement les mains et les doigts), mais la tendance était que le premier type de blessures était plus grave (amputations, écrasements et fractures).
Le contrôle par ordinateur, comme le manuel, présente des faiblesses du point de vue de la fiabilité. Il n'y a aucune garantie qu'un programme informatique fonctionnera sans erreur. L'électronique, avec ses faibles niveaux de signal, peut être sensible aux interférences si elle n'est pas correctement protégée, et les conséquences des pannes qui en résultent ne sont pas toujours prévisibles. De plus, les changements de programmation ne sont souvent pas documentés. Une méthode utilisée pour pallier cette faiblesse consiste par exemple à exploiter des systèmes « doubles » dans lesquels il y a deux chaînes indépendantes de composants fonctionnels et une méthode de contrôle telle que les deux chaînes affichent la même valeur. Si les systèmes affichent des valeurs différentes, cela indique une défaillance de l'un d'entre eux. Mais il est possible que les deux chaînes de composants souffrent du même défaut et qu'elles soient toutes les deux mises hors service par la même perturbation, donnant ainsi une lecture faussement positive (comme les deux systèmes sont d'accord). Cependant, seuls quelques-uns des cas enquêtés ont permis d'attribuer un accident à une panne informatique (voir ci-dessous), alors qu'il est courant qu'un seul ordinateur contrôle toutes les fonctions d'une installation (même l'arrêt des une machine à la suite de l'activation d'un dispositif de sécurité). Comme alternative, on peut envisager de fournir un système éprouvé avec des composants électromécaniques pour les fonctions de sécurité.
Problèmes techniques
De manière générale, on peut dire qu'un même accident a de nombreuses causes, notamment techniques, individuelles, environnementales et organisationnelles. À des fins préventives, il vaut mieux considérer un accident non pas comme un événement isolé, mais comme un séquence d'événements ou d'un processus (Backström 1996). Dans le cas des accidents d'automatisation, il a été démontré que les problèmes techniques font souvent partie d'une telle séquence et surviennent soit à l'un des premiers stades du processus, soit à proximité de l'événement traumatisant de l'accident. Les études dans lesquelles les problèmes techniques impliqués dans les accidents d'automatisation ont été examinés suggèrent que ceux-ci sont à l'origine de 75 à 85 % des accidents. Dans le même temps, dans tout cas spécifique, il existe généralement d'autres causes, telles que celles de nature organisationnelle. Ce n'est que dans un cas sur dix qu'il a été constaté que la source directe d'énergie à l'origine d'une blessure pouvait être attribuée à une défaillance technique, par exemple un mouvement de la machine se produisant alors que la machine était en position d'arrêt. Des chiffres similaires ont été rapportés dans d'autres études. Habituellement, un problème technique entraînait des problèmes avec l'équipement, de sorte que l'opérateur devait changer de tâche (par exemple, repositionner une pièce qui était dans une position tordue). L'accident s'est ensuite produit lors de l'exécution de la tâche, provoqué par la défaillance technique. Un quart des accidents d'automatisation ont été précédés d'une perturbation du flux de matériaux, telle qu'une pièce se coinçant ou se mettant dans une position tordue ou autrement défectueuse (voir figure 3).
Figure 3. Types de problèmes techniques impliqués dans les accidents d'automatisation (nombre d'accidents = 127)
Dans une étude de 127 accidents impliquant l'automatisation, 28 de ces accidents, décrits dans la figure 4, ont fait l'objet d'une enquête plus approfondie pour déterminer les types de problèmes techniques impliqués comme facteurs de causalité (Backström et Döös, sous presse). Les problèmes spécifiés dans les enquêtes sur les accidents étaient le plus souvent causés par des composants bloqués, défectueux ou usés. Dans deux cas, un problème a été causé par une erreur de programme informatique et dans un cas par des interférences électromagnétiques. Dans plus de la moitié des cas (17 sur 28), les défauts étaient présents depuis un certain temps mais n'avaient pas été corrigés. Ce n'est que dans 5 des 28 cas où une défaillance ou une déviation technique a été mentionnée que le défaut ne sauraient s'est manifesté auparavant. Certains défauts avaient été réparés pour réapparaître plus tard. Certains défauts étaient présents dès l'installation, tandis que d'autres résultaient de l'usure et de l'impact de l'environnement.
La proportion d'accidents d'automatismes survenant au cours de la correction d'un dysfonctionnement de la production se situe entre un tiers et deux tiers des cas selon la plupart des études. En d'autres termes, il est généralement admis que la gestion des perturbations de la production est une tâche professionnelle dangereuse. La variation de l'ampleur de ces accidents a de nombreuses explications, dont celles liées au type de production et à la classification des tâches professionnelles. Dans certaines études de perturbations, seuls les problèmes et les arrêts de machine au cours de la production régulière ont été pris en compte ; dans d'autres, un éventail plus large de problèmes a été traité, par exemple ceux liés à l'installation du travail.
Une mesure très importante dans la prévention des accidents d'automatisation consiste à préparer des procédures pour éliminer les causes des perturbations de la production afin qu'elles ne se répètent pas. Dans une étude spécialisée sur les perturbations de la production au moment de l'accident (Döös et Backström 1994), il a été constaté que la tâche la plus courante à laquelle les perturbations donnaient lieu était le dégagement ou la correction de la position d'une pièce qui s'était bloquée ou avait été mal positionnée. mis. Ce type de problème a déclenché l'une des deux séquences d'événements assez similaires : (1) la pièce a été libérée et est venue dans sa position correcte, la machine a reçu un signal automatique de démarrage et la personne a été blessée par le mouvement de la machine initié, (2 ), la pièce n'a pas eu le temps de se libérer ou de se repositionner avant que la personne ne soit blessée par un mouvement de la machine qui s'est produit de manière inattendue, plus rapidement ou avec une force supérieure à celle prévue par l'opérateur. Une autre gestion des perturbations impliquait de déclencher une impulsion de capteur, de libérer une pièce de machine coincée, d'effectuer des types simples de recherche de pannes et d'organiser le redémarrage (voir figure 4).
Figure 4. Type de gestion des perturbations au moment de l'accident (nombre d'accidents = 76)
Sécurité des travailleurs
Les catégories de personnel qui ont tendance à être blessées dans les accidents d'automatisation dépendent de la manière dont le travail est organisé, c'est-à-dire du groupe professionnel qui exécute les tâches dangereuses. En pratique, il s'agit de savoir quelle personne sur le lieu de travail est chargée de traiter les problèmes et les perturbations de façon routinière. Dans l'industrie suédoise moderne, des interventions actives sont généralement exigées des personnes qui utilisent la machine. C'est pourquoi, dans l'étude sur le lieu de travail de la fabrication de véhicules en Suède mentionnée précédemment (Backström et Döös, acceptée pour publication), il a été constaté que 82 % des personnes qui ont subi des blessures causées par des machines automatisées étaient des ouvriers ou des opérateurs de production. Les opérateurs avaient également une fréquence relative d'accidents plus élevée (15 accidents d'automatisation pour 1,000 6 opérateurs par an) que les travailleurs de maintenance (1,000 pour XNUMX XNUMX). Les résultats d'études qui indiquent que les ouvriers de maintenance sont plus touchés s'expliquent au moins en partie par le fait que les opérateurs ne sont pas autorisés à pénétrer dans les zones d'usinage dans certaines entreprises. Dans les organisations avec un autre type de répartition des tâches, d'autres catégories de personnel - les poseurs, par exemple - peuvent être chargées de résoudre les problèmes de production qui se posent.
La mesure corrective la plus courante prise à cet égard afin d'élever le niveau de sécurité des personnes consiste à protéger la personne contre les mouvements dangereux de la machine en utilisant un type de dispositif de sécurité, tel qu'une protection de la machine. Le principe fondamental ici est celui de la sécurité « passive », c'est-à-dire la fourniture d'une protection qui ne nécessite aucune action de la part du travailleur. Il est cependant impossible de juger de l'efficacité des dispositifs de protection sans une très bonne connaissance des exigences réelles de travail sur la machine en question, une connaissance qui n'est normalement possédée que par les opérateurs de machines eux-mêmes.
De nombreux facteurs peuvent mettre hors service même ce qui est apparemment une bonne protection de la machine. Pour effectuer leur travail, les opérateurs peuvent avoir besoin de désengager ou de contourner un dispositif de sécurité. Dans une étude (Döös et Backström 1993), il a été constaté qu'un tel désengagement ou contournement avait eu lieu dans 12 des 75 accidents d'automatisation couverts. Il s'agit souvent d'un opérateur ambitieux, qui n'accepte plus ni les problèmes de production, ni le retard de production qu'implique la correction des dysfonctionnements conformément aux consignes. Une façon d'éviter ce problème est de rendre le dispositif de protection imperceptible, afin qu'il n'affecte pas le rythme de production, la qualité du produit ou l'exécution des tâches. Mais ce n'est pas toujours possible ; et en cas de perturbations répétées de la production, même des désagréments mineurs peuvent inciter les personnes à ne pas utiliser les dispositifs de sécurité. Encore une fois, des routines doivent être mises à disposition pour supprimer les causes des perturbations de la production afin que celles-ci ne se répètent pas. L'absence de moyen de confirmer que les dispositifs de sécurité fonctionnent réellement conformément aux spécifications est un autre facteur de risque important. Des connexions défectueuses, des signaux de démarrage qui restent dans le système et provoquent plus tard des démarrages inattendus, une accumulation de pression d'air et des capteurs qui se sont détachés peuvent tous entraîner une défaillance de l'équipement de protection.
Résumé
Comme on l'a vu, les solutions techniques aux problèmes peuvent engendrer de nouveaux problèmes. Bien que les blessures soient causées par des mouvements de machines, qui sont essentiellement de nature technique, cela ne signifie pas automatiquement que le potentiel de leur éradication réside dans des facteurs purement techniques. Les systèmes techniques continueront à mal fonctionner et les hommes ne parviendront pas à gérer les situations auxquelles ces dysfonctionnements donnent lieu. Les risques continueront d'exister et ne pourront être maîtrisés que par une grande variété de moyens. Législation et contrôle, mesures organisationnelles au niveau des entreprises (sous forme de formations, rondes de sécurité, analyse des risques et signalement des perturbations et des quasi-accidents), et accent mis sur des améliorations régulières et continues sont nécessaires en complément du développement purement technique.
Il semble qu'il y ait autant de dangers potentiels créés par les pièces mobiles d'une machine qu'il existe différents types de machines. Les garanties sont essentielles pour protéger les travailleurs contre les blessures inutiles et évitables liées aux machines. Par conséquent, toute pièce, fonction ou processus de la machine susceptible de causer des blessures doit être protégé. Lorsque le fonctionnement d'une machine ou un contact accidentel avec celle-ci peut blesser l'opérateur ou d'autres personnes se trouvant à proximité, le danger doit être maîtrisé ou éliminé.
Mouvements et actions mécaniques
Les risques mécaniques impliquent généralement des pièces mobiles dangereuses dans les trois domaines de base suivants :
Une grande variété de mouvements et d'actions mécaniques qui peuvent présenter des risques pour les travailleurs comprennent le mouvement des éléments rotatifs, des bras alternatifs, des courroies mobiles, des engrenages en prise, des dents coupantes et de toutes les pièces qui heurtent ou cisaillent. Ces différents types de mouvements et d'actions mécaniques sont à la base de presque toutes les machines, et les reconnaître est la première étape vers la protection des travailleurs contre les dangers qu'ils peuvent présenter.
motions
Il existe trois types de mouvement de base : rotatif, alternatif et transversal.
Mouvement de rotation peut-être dangereux; même les tiges lisses et à rotation lente peuvent saisir les vêtements et forcer un bras ou une main dans une position dangereuse. Les blessures dues au contact avec des pièces en rotation peuvent être graves (voir figure 1).
Figure 1. Poinçonneuse mécanique
Les colliers, les accouplements, les cames, les embrayages, les volants, les bouts d'arbre, les broches et les arbres horizontaux ou verticaux sont quelques exemples de mécanismes de rotation courants qui peuvent être dangereux. Il y a un danger supplémentaire lorsque des boulons, des entailles, des abrasions et des clavettes saillantes ou des vis de réglage sont exposés sur des pièces rotatives de machines, comme illustré à la figure 2.
Figure 2. Exemples de projections dangereuses sur des pièces en rotation
Point de pincement en cours d'exécutions sont créés par des pièces en rotation sur des machines. Il existe trois principaux types de points de pincement en cours d'exécution :
Figure 3. Points de pincement courants sur les pièces rotatives
Figure 4. Points de pincement entre les éléments rotatifs et les pièces avec des mouvements longitudinaux
Figure 5. Points de pincement entre les composants rotatifs de la machine
Mouvements alternatifs peut être dangereux parce que pendant le mouvement de va-et-vient ou de haut en bas, un travailleur peut être heurté ou coincé entre une pièce mobile et une pièce fixe. Un exemple est illustré à la figure 6.
Figure 6. Mouvement alternatif dangereux
Mouvement transversal (mouvement en ligne droite et continue) crée un danger parce qu'un travailleur peut être heurté ou pris dans un point de pincement ou de cisaillement par une pièce mobile. Un exemple de mouvement transversal est illustré à la figure 7.
Figure 7. Exemple de mouvement transversal
Actions
Il existe quatre types d'action de base : couper, poinçonner, cisailler et plier.
Action de coupe implique un mouvement rotatif, alternatif ou transversal. L'action de coupe crée des dangers au point d'opération où des blessures aux doigts, à la tête et aux bras peuvent se produire et où des copeaux ou des chutes de matériaux peuvent frapper les yeux ou le visage. Des exemples typiques de machines présentant des risques de coupure comprennent les scies à ruban, les scies circulaires, les aléseuses ou perceuses, les tours (tours) et les fraiseuses. (Voir figure 8.)
Figure 8. Exemples de risques de coupure
Coup de poing résultats lorsque la puissance est appliquée à une glissière (bélier) dans le but de découper, d'étirer ou d'emboutir du métal ou d'autres matériaux. Le danger de ce type d'action se produit au point d'opération où le stock est inséré, tenu et retiré à la main. Les machines typiques qui utilisent l'action de poinçonnage sont les presses mécaniques et les serruriers. (Voir figure 9.)
Figure 9. Opération de poinçonnage typique
Cisaillement consiste à appliquer de la puissance à une glissière ou à un couteau afin de tailler ou de cisailler du métal ou d'autres matériaux. Un danger survient au point d'opération où le stock est réellement inséré, retenu et retiré. Des exemples typiques de machines utilisées pour les opérations de cisaillement sont les cisailles à entraînement mécanique, hydraulique ou pneumatique. (Voir figure 10.)
Figure 10. Opération de cisaillement
Action de flexion se produit lorsque la puissance est appliquée à une lame afin de façonner, dessiner ou estamper du métal ou d'autres matériaux. Le danger survient au point d'opération où le stock est inséré, retenu et retiré. L'équipement qui utilise l'action de flexion comprend les presses électriques, les presses plieuses et les cintreuses de tubes. (Voir figure 11.)
Figure 11. Opération de pliage
Exigences relatives aux garanties
Les dispositifs de protection doivent répondre aux exigences générales minimales suivantes pour protéger les travailleurs contre les risques mécaniques :
Empêcher tout contact. La protection doit empêcher les mains, les bras ou toute partie du corps ou des vêtements d'un travailleur d'entrer en contact avec des pièces mobiles dangereuses en éliminant la possibilité que les opérateurs ou d'autres travailleurs placent des parties de leur corps à proximité de pièces mobiles dangereuses.
Assurer la sécurité. Les travailleurs ne doivent pas pouvoir facilement retirer ou altérer la protection. Les protections et les dispositifs de sécurité doivent être fabriqués dans un matériau durable qui résiste aux conditions d'utilisation normales et qui sont solidement fixés à la machine.
Protéger des chutes d'objets. La protection doit garantir qu'aucun objet ne peut tomber dans les pièces mobiles et endommager l'équipement ou devenir un projectile qui pourrait heurter et blesser quelqu'un.
Ne pas créer de nouveaux dangers. Une protection va à l'encontre de son objectif si elle crée un danger qui lui est propre, comme un point de cisaillement, un bord dentelé ou une surface non finie. Les bords des protections, par exemple, doivent être roulés ou boulonnés de manière à éliminer les arêtes vives.
Ne pas créer d'interférence. Les garanties qui empêchent les travailleurs d'accomplir leur travail pourraient bientôt être annulées ou ignorées. Si possible, les travailleurs devraient être en mesure de lubrifier les machines sans désengager ni retirer les protections. Par exemple, placer les réservoirs d'huile à l'extérieur de la protection, avec une ligne menant au point de lubrification, réduira la nécessité d'entrer dans la zone dangereuse.
Formation à la sauvegarde
Même le système de protection le plus élaboré ne peut offrir une protection efficace que si les travailleurs savent comment l'utiliser et pourquoi. Une formation spécifique et détaillée est un élément important de tout effort visant à mettre en œuvre une protection contre les risques liés aux machines. Une protection adéquate peut améliorer la productivité et accroître l'efficacité, car elle peut soulager les appréhensions des travailleurs au sujet des blessures. Une formation en matière de protection est nécessaire pour les nouveaux opérateurs et le personnel de maintenance ou de configuration, lorsque des mesures de protection nouvelles ou modifiées sont mises en service, ou lorsque des travailleurs sont affectés à une nouvelle machine ou opération ; il devrait impliquer des instructions ou une formation pratique dans les domaines suivants :
Méthodes de protection des machines
Il existe de nombreuses façons de protéger les machines. Le type d'opération, la taille ou la forme du stock, la méthode de manutention, l'aménagement physique de la zone de travail, le type de matériel et les exigences ou limitations de production aideront à déterminer la méthode de protection appropriée pour la machine individuelle. Le concepteur de la machine ou le professionnel de la sécurité doit choisir la protection disponible la plus efficace et la plus pratique.
Les garanties peuvent être classées en cinq catégories générales : (1) gardes, (2) dispositifs, (3) séparation, (4) opérations et (5) autres.
Sécurisation avec des gardes
Il existe quatre types généraux de protecteurs (barrières qui empêchent l'accès aux zones dangereuses), comme suit :
Gardes fixes. Un protecteur fixe est une partie permanente de la machine et ne dépend pas de pièces mobiles pour remplir sa fonction prévue. Il peut être construit en tôle, écran, toile métallique, barres, plastique ou tout autre matériau suffisamment solide pour résister à tout impact qu'il peut recevoir et pour supporter une utilisation prolongée. Les protecteurs fixes sont généralement préférables à tous les autres types en raison de leur simplicité relative et de leur permanence (voir tableau 1).
Tableau 1. Protections de la machine
Method |
Action de sauvegarde |
Avantages |
Limites |
Parfaitement fixé |
· Fournit une barrière |
· Convient à de nombreuses applications spécifiques |
· Peut gêner la visibilité |
Entrelacé |
· Coupe ou désengage l'alimentation et empêche le démarrage de la machine lorsque la protection est ouverte ; doit exiger que la machine soit arrêtée avant que le travailleur ne puisse accéder à la zone dangereuse |
· Fournit une protection maximale |
· Nécessite un réglage et un entretien minutieux |
Ajustable |
· Fournit une barrière qui peut être ajustée pour faciliter une variété d'opérations de production |
· Peut être construit pour convenir à de nombreuses applications spécifiques |
· L'opérateur peut entrer dans la zone dangereuse : la protection peut ne pas être complète à tout moment |
Auto-ajustement |
· Fournit une barrière qui se déplace en fonction de la taille du stock entrant dans la zone dangereuse |
· Des protecteurs prêts à l'emploi sont disponibles dans le commerce |
· N'offre pas toujours une protection maximale |
Dans la figure 12, une protection fixe sur une presse mécanique enferme complètement le point d'opération. Le stock est introduit par le côté du protecteur dans la zone de la matrice, le stock de rebut sortant du côté opposé.
Figure 12. Protection fixe sur la presse mécanique
La figure 13 représente une protection d'enceinte fixe qui protège la courroie et la poulie d'une unité de transmission de puissance. Un panneau d'inspection est prévu sur le dessus pour minimiser le besoin de retirer la protection.
Figure 13. Protecteur fixe renfermant les courroies et les poulies
Dans la figure 14, des protections d'enceinte fixes sont représentées sur une scie à ruban. Ces protections protègent les opérateurs des roues qui tournent et de la lame de scie en mouvement. Normalement, le seul moment où les protections seraient ouvertes ou retirées serait pour un changement de lame ou pour l'entretien. Il est très important qu'ils soient solidement fixés lorsque la scie est en cours d'utilisation.
Figure 14. Protections fixes sur la scie à ruban
Gardes verrouillés. Lorsque les protections verrouillées sont ouvertes ou retirées, le mécanisme de déclenchement et/ou l'alimentation s'arrêtent ou se désengagent automatiquement, et la machine ne peut pas démarrer ou démarrer tant que la protection de verrouillage n'est pas remise en place. Cependant, le remplacement du protecteur de verrouillage ne devrait pas automatiquement redémarrer la machine. Les protections verrouillées peuvent utiliser une alimentation électrique, mécanique, hydraulique ou pneumatique, ou toute combinaison de celles-ci. Les verrouillages ne doivent pas empêcher le « marche par à-coups » (c'est-à-dire les mouvements progressifs graduels) par télécommande, si nécessaire.
Un exemple de protection à verrouillage est illustré à la figure 15. Dans cette figure, le mécanisme de batteur d'une machine de prélèvement (utilisée dans l'industrie textile) est recouvert d'une protection à barrière verrouillée. Cette protection ne peut pas être relevée pendant que la machine est en marche, et la machine ne peut pas non plus être redémarrée avec la protection en position relevée.
Figure 15. Protecteur verrouillé sur la machine de prélèvement
Gardes réglables. Les protections réglables permettent une flexibilité pour s'adapter à différentes tailles de stock. La figure 16 montre une protection de boîtier réglable sur une scie à ruban.
Figure 16. Protecteur réglable sur la scie à ruban
Gardes auto-ajustables. Les ouvertures des protecteurs autoréglables sont déterminées par le mouvement du stock. Au fur et à mesure que l'opérateur déplace le stock dans la zone dangereuse, la protection est repoussée, fournissant une ouverture suffisamment grande pour n'admettre que le stock. Une fois la crosse retirée, le protecteur revient en position de repos. Ce protecteur protège l'opérateur en plaçant une barrière entre la zone dangereuse et l'opérateur. Les protections peuvent être construites en plastique, en métal ou en un autre matériau substantiel. Les protections auto-ajustables offrent différents degrés de protection.
La figure 17 montre une scie à bras radial avec une protection auto-ajustable. Au fur et à mesure que la lame est tirée sur la crosse, la protection monte, restant en contact avec la crosse.
Figure 17. Protection auto-ajustable sur scie radiale
Sécurisation avec des appareils
Les dispositifs de sécurité peuvent arrêter la machine si une main ou une partie du corps est placée par inadvertance dans la zone dangereuse, peuvent retenir ou retirer les mains de l'opérateur de la zone dangereuse pendant le fonctionnement, peuvent obliger l'opérateur à utiliser simultanément les deux mains sur les commandes de la machine ( gardant ainsi les mains et le corps hors de danger) ou peut fournir une barrière qui est synchronisée avec le cycle de fonctionnement de la machine afin d'empêcher l'entrée dans la zone dangereuse pendant la partie dangereuse du cycle. Il existe cinq types de dispositifs de sécurité de base, comme suit :
Dispositifs de détection de présence
Trois types de dispositifs de détection qui arrêtent la machine ou interrompent le cycle de travail ou l'opération si un travailleur se trouve dans la zone dangereuse sont décrits ci-dessous :
La dispositif de détection de présence photoélectrique (optique) utilise un système de sources lumineuses et de commandes qui peuvent interrompre le cycle de fonctionnement de la machine. Si le champ lumineux est cassé, la machine s'arrête et ne cyclera pas. Ce dispositif ne doit être utilisé que sur des machines qui peuvent être arrêtées avant que le travailleur n'atteigne la zone dangereuse. La figure 18 montre un dispositif de détection de présence photoélectrique utilisé avec une presse plieuse. L'appareil peut être basculé vers le haut ou vers le bas pour s'adapter aux différentes exigences de production.
Figure 18. Dispositif photoélectrique de détection de présence sur une presse plieuse
La dispositif de détection de présence à radiofréquence (capacité) utilise un faisceau radio qui fait partie du circuit de commande. Lorsque le champ capacitif est rompu, la machine s'arrête ou ne s'active pas. Ce dispositif ne doit être utilisé que sur des machines qui peuvent être arrêtées avant que le travailleur n'atteigne la zone dangereuse. Cela nécessite que la machine soit équipée d'un embrayage à friction ou d'un autre moyen fiable d'arrêt. La figure 19 montre un dispositif de détection de présence par radiofréquence monté sur une presse électrique à révolution partielle.
Figure 19. Dispositif de détection de présence par radiofréquence sur une scie électrique
La dispositif de détection électromécanique a une sonde ou une barre de contact qui descend à une distance prédéterminée lorsque l'opérateur lance le cycle de la machine. S'il y a un obstacle l'empêchant de descendre toute sa distance prédéterminée, le circuit de commande n'actionne pas le cycle de la machine. La figure 20 montre un dispositif de détection électromécanique sur un œillet. La sonde de détection en contact avec le doigt de l'opérateur est également représentée.
Figure 20. Dispositif de détection électromécanique sur une machine à lettres oculaires
Dispositifs de rappel
Les dispositifs de recul utilisent une série de câbles attachés aux mains, aux poignets et/ou aux bras de l'opérateur et sont principalement utilisés sur les machines à action de caresse. Lorsque le coulisseau/bélier est relevé, l'opérateur est autorisé à accéder au point d'opération. Lorsque le coulisseau/bélier commence à descendre, une tringlerie mécanique assure automatiquement le retrait des mains du point d'opération. La figure 21 montre un dispositif de retrait sur une petite presse.
Figure 21. Dispositif de rappel sur la presse électrique
Dispositifs de retenue
Des dispositifs de retenue, qui utilisent des câbles ou des sangles attachés entre un point fixe et les mains de l'opérateur, ont été utilisés dans certains pays. Ces dispositifs ne sont généralement pas considérés comme des protections acceptables car ils sont facilement contournés par l'opérateur, ce qui permet de placer les mains dans la zone dangereuse. (Voir tableau 2.)
Tableau 2. Périphériques
Method |
Action de sauvegarde |
Avantages |
Limites |
Photoélectrique |
· La machine ne démarre pas le cycle lorsque le champ lumineux est interrompu |
· Peut permettre un mouvement plus libre pour l'opérateur |
· Ne protège pas contre les pannes mécaniques |
Radiofréquence |
· Le cycle de la machine ne démarre pas lorsque le champ de capacité est interrompu |
· Peut permettre un mouvement plus libre pour l'opérateur |
· Ne protège pas contre les pannes mécaniques |
Électromécanique |
· La barre de contact ou la sonde parcourt une distance prédéterminée entre l'opérateur et la zone dangereuse |
· Peut permettre l'accès au point d'opération |
· La barre de contact ou la sonde doit être correctement ajustée pour chaque application ; ce réglage doit être maintenu correctement |
Recul |
· Lorsque la machine commence à tourner, les mains de l'opérateur sont retirées de la zone dangereuse |
· Élimine le besoin de barrières auxiliaires ou d'autres interférences dans la zone de danger |
· Limite les mouvements de l'opérateur |
Commandes de déclenchement de sécurité : |
· Arrête la machine en cas de déclenchement |
· Simplicité d'utilisation |
· Toutes les commandes doivent être activées manuellement |
Commande à deux mains |
· L'utilisation simultanée des deux mains est nécessaire, empêchant l'opérateur d'entrer dans la zone de danger |
· Les mains de l'opérateur sont à un endroit prédéterminé loin de la zone de danger |
· Nécessite une machine à cycle partiel avec frein |
Voyage à deux mains |
· L'utilisation simultanée de deux mains sur des commandes séparées empêche les mains d'être dans la zone de danger lorsque le cycle de la machine démarre |
· Les mains de l'opérateur sont éloignées de la zone de danger |
· L'opérateur peut essayer d'atteindre la zone dangereuse après avoir déclenché la machine |
Portail |
· Fournit une barrière entre la zone de danger et l'opérateur ou tout autre personnel |
· Peut empêcher d'atteindre ou de marcher dans la zone de danger |
· Peut nécessiter une inspection fréquente et un entretien régulier |
Dispositifs de contrôle de sécurité
Tous ces dispositifs de contrôle de sécurité sont activés manuellement et doivent être réinitialisés manuellement pour redémarrer la machine :
Figure 22. Barre de carrosserie sensible à la pression sur une usine de caoutchouc
Figure 23. Tige de déclenchement de sécurité sur une usine de caoutchouc
Figure 24. Câble de déclenchement de sécurité sur la calandre
Figure 25. Boutons de commande bimanuelle sur la presse à embrayage à rotation partielle
Figure 26. Boutons de commande bimanuelle sur la presse à embrayage à révolution complète
Figure 27. Presse électrique avec porte
Sauvegarde par emplacement ou distance
Pour protéger une machine par emplacement, la machine ou ses pièces mobiles dangereuses doivent être positionnées de manière à ce que les zones dangereuses ne soient pas accessibles ou ne présentent pas de danger pour un travailleur pendant le fonctionnement normal de la machine. Cela peut être accompli avec des murs d'enceinte ou des clôtures qui restreignent l'accès aux machines, ou en plaçant une machine de sorte qu'un élément de conception de l'usine, tel qu'un mur, protège le travailleur et les autres membres du personnel. Une autre possibilité est d'avoir des parties dangereuses situées suffisamment haut pour être hors de portée normale de tout travailleur. Une analyse approfondie des risques de chaque machine et situation particulière est essentielle avant d'essayer cette technique de protection. Les exemples cités ci-dessous sont quelques-unes des nombreuses applications du principe de sauvegarde par localisation/distance.
Processus d'alimentation. Le processus d'alimentation peut être protégé par emplacement si une distance de sécurité peut être maintenue pour protéger les mains du travailleur. Les dimensions de la matière sur laquelle on travaille peuvent fournir une sécurité adéquate. Par exemple, lors de l'utilisation d'une poinçonneuse à une extrémité, si le stock mesure plusieurs pieds de long et qu'une seule extrémité du stock est en cours de traitement, l'opérateur peut être en mesure de tenir l'extrémité opposée pendant l'exécution du travail. Cependant, selon la machine, une protection peut toujours être nécessaire pour d'autres personnes.
Commandes de positionnement. Le positionnement du poste de commande de l'opérateur offre une approche potentielle de la sécurisation par emplacement. Les commandes de l'opérateur peuvent être situées à une distance de sécurité de la machine s'il n'y a aucune raison pour que l'opérateur soit présent à la machine.
Méthodes de sauvegarde de l'alimentation et de l'éjection
De nombreuses méthodes d'alimentation et d'éjection ne nécessitent pas que les opérateurs placent leurs mains dans la zone de danger. Dans certains cas, aucune intervention de l'opérateur n'est nécessaire après la configuration de la machine, alors que dans d'autres situations, les opérateurs peuvent alimenter manuellement le stock à l'aide d'un mécanisme d'alimentation. En outre, des méthodes d'éjection peuvent être conçues qui ne nécessitent aucune intervention de l'opérateur après le démarrage de la machine. Certaines méthodes d'alimentation et d'éjection peuvent même créer des dangers eux-mêmes, comme un robot qui peut éliminer le besoin pour un opérateur d'être près de la machine mais peut créer un nouveau danger par le mouvement de son bras. (Voir tableau 3.)
Tableau 3. Méthodes d'alimentation et d'éjection
Method |
Action de sauvegarde |
Avantages |
Limites |
Flux automatique |
· Le stock est alimenté à partir de rouleaux, indexé par un mécanisme de machine, etc. |
· Élimine le besoin d'intervention de l'opérateur dans la zone de danger |
· D'autres protections sont également nécessaires pour la protection de l'opérateur, généralement des barrières de protection fixes |
Semi-automatique |
· Le stock est alimenté par des goulottes, des matrices mobiles, un cadran |
· Élimine le besoin d'intervention de l'opérateur dans la zone de danger |
· D'autres protections sont également nécessaires pour la protection de l'opérateur, généralement des barrières de protection fixes |
Automatique |
· Les pièces sont éjectées par voie aérienne ou mécanique |
· Élimine le besoin d'intervention de l'opérateur dans la zone de danger |
· Peut créer un risque de projection de copeaux ou de débris |
Semi-automatique |
· Les pièces à usiner sont éjectées par des |
· L'opérateur n'a pas besoin d'entrer dans la zone dangereuse pour enlever le travail fini |
· D'autres protections sont nécessaires pour l'opérateur |
Robots |
· Ils effectuent des travaux habituellement effectués par l'opérateur |
· L'opérateur n'a pas à entrer dans la zone de danger |
· Peut créer des dangers eux-mêmes |
L'utilisation de l'une des cinq méthodes d'alimentation et d'éjection suivantes pour protéger les machines n'élimine pas le besoin de protections et d'autres dispositifs, qui doivent être utilisés si nécessaire pour fournir une protection contre l'exposition aux dangers.
Flux automatique. Les avances automatiques réduisent l'exposition de l'opérateur pendant le processus de travail et ne nécessitent souvent aucun effort de la part de l'opérateur une fois la machine configurée et en marche. La presse mécanique de la figure 28 est dotée d'un mécanisme d'alimentation automatique avec une protection d'enceinte fixe transparente au niveau de la zone de danger.
Figure 28. Presse mécanique avec avance automatique
Alimentation semi-automatique. Avec une alimentation semi-automatique, comme dans le cas d'une presse mécanique, l'opérateur utilise un mécanisme pour placer la pièce en cours de traitement sous le vérin à chaque coup. L'opérateur n'a pas besoin d'atteindre la zone dangereuse et la zone dangereuse est complètement fermée. La figure 29 montre une goulotte d'alimentation dans laquelle chaque pièce est placée à la main. L'utilisation d'une alimentation par goulotte sur une presse inclinée aide non seulement à centrer la pièce lors de son glissement dans la matrice, mais peut également simplifier le problème de l'éjection.
Figure 29. Presse mécanique avec alimentation par goulotte
Éjection automatique. L'éjection automatique peut utiliser une pression d'air ou un appareil mécanique pour retirer la pièce terminée d'une presse, et peut être verrouillée avec les commandes de fonctionnement pour empêcher le fonctionnement jusqu'à ce que l'éjection de la pièce soit terminée. Le mécanisme de navette panoramique illustré à la figure 30 se déplace sous la pièce finie lorsque la glissière se déplace vers la position haute. La navette attrape alors la pièce retirée de la glissière par les goupilles défonçables et la dévie dans une goulotte. Lorsque le vérin descend vers le prochain flan, la navette panoramique s'éloigne de la zone de la matrice.
Figure 30. Système d'éjection de la navette
Éjection semi-automatique. La figure 31 montre un mécanisme d'éjection semi-automatique utilisé sur une presse mécanique. Lorsque le piston est retiré de la zone de la matrice, la jambe d'éjection, qui est couplée mécaniquement au piston, lance le travail terminé.
Figure 31. Mécanisme d'éjection semi-automatique
Robots. Les robots sont des dispositifs complexes qui chargent et déchargent des stocks, assemblent des pièces, transfèrent des objets ou effectuent des travaux autrement effectués par un opérateur, éliminant ainsi l'exposition de l'opérateur aux dangers. Ils sont mieux utilisés dans les processus de production élevée nécessitant des routines répétées, où ils peuvent se prémunir contre d'autres risques pour les employés. Les robots peuvent créer des dangers et des protections appropriées doivent être utilisées. La figure 32 montre un exemple de robot alimentant une presse.
Figure 32. Utilisation de barrières de protection pour protéger l'enveloppe du robot
Aides diverses à la sauvegarde
Bien que divers dispositifs de protection n'offrent pas une protection complète contre les dangers de la machine, ils peuvent fournir aux opérateurs une marge de sécurité supplémentaire. Un bon jugement est nécessaire dans leur application et leur utilisation.
Obstacles à la sensibilisation. Les barrières de sensibilisation ne fournissent pas de protection physique, mais servent uniquement à rappeler aux opérateurs qu'ils approchent de la zone dangereuse. En règle générale, les barrières de sensibilisation ne sont pas considérées comme adéquates lorsqu'il existe une exposition continue au danger. La figure 33 montre une corde utilisée comme barrière de sensibilisation à l'arrière d'une cisaille d'équerrage électrique. Les barrières n'empêchent pas physiquement les personnes d'entrer dans les zones dangereuses, mais ne font que sensibiliser au danger.
Figure 33. Vue arrière du carré de cisaillement de puissance
Shields. Des écrans peuvent être utilisés pour fournir une protection contre les particules volantes, les éclaboussures de fluides de travail des métaux ou de liquides de refroidissement. La figure 34 montre deux applications potentielles.
Figure 34. Applications des boucliers
Outils de maintien. Les outils de maintien placent et enlèvent le stock. Une utilisation typique serait d'atteindre la zone dangereuse d'une presse ou d'une presse plieuse. La figure 35 montre un assortiment d'outils à cet effet. Les outils de maintien ne doivent pas être utilisés plutôt ; d'autres dispositifs de protection des machines ; ils ne sont qu'un complément à la protection offerte par d'autres gardes.
Figure 35. Outils de maintien
Poussoirs ou blocs, tel qu'illustré à la figure 36, peut être utilisé lors de l'introduction de matière dans une machine, telle qu'une lame de scie. Lorsqu'il devient nécessaire que les mains soient à proximité de la lame, le poussoir ou le bloc peut fournir une marge de sécurité et éviter les blessures.
Figure 36. Utilisation du poussoir ou du bloc poussoir
Les développements généraux de la microélectronique et de la technologie des capteurs permettent d'espérer qu'une amélioration de la sécurité au travail peut être obtenue grâce à la disponibilité de détecteurs de présence et d'approche fiables, robustes, nécessitant peu d'entretien et peu coûteux. Cet article décrira la technologie des capteurs, les différentes procédures de détection, les conditions et restrictions applicables à l'utilisation des systèmes de capteurs, ainsi que certaines études et travaux de normalisation réalisés en Allemagne.
Critères du détecteur de présence
Le développement et les tests pratiques des détecteurs de présence est l'un des plus grands défis futurs pour les efforts techniques visant à améliorer la sécurité au travail et à la protection du personnel en général. Détecteurs de présence sont des capteurs qui signalent de manière fiable et sûre proximité ou approche d'une personne. De plus, cet avertissement doit se produire rapidement afin qu'une action d'évitement, un freinage ou l'arrêt d'une machine à l'arrêt puisse avoir lieu avant que le contact prévu ne se produise. Que les personnes soient grandes ou petites, quelle que soit leur posture ou leur tenue vestimentaire ne devrait pas avoir d'incidence sur la fiabilité du capteur. De plus, le capteur doit posséder une certitude de fonctionnement et être robuste et peu coûteux, de sorte qu'il puisse être utilisé dans les conditions les plus exigeantes, comme sur les chantiers de construction et pour des applications mobiles, avec un minimum d'entretien. Les capteurs doivent être comme un airbag en ce sens qu'ils ne nécessitent aucun entretien et sont toujours prêts. Étant donné la réticence de certains utilisateurs à entretenir ce qu'ils considèrent comme un équipement non essentiel, les capteurs peuvent être laissés sans entretien pendant des années. Une autre caractéristique des détecteurs de présence, qui est beaucoup plus susceptible d'être demandée, est qu'ils détectent également les obstacles autres que les êtres humains et alertent l'opérateur à temps pour prendre des mesures défensives, réduisant ainsi les coûts de réparation et les dommages matériels. C'est une raison d'installer des détecteurs de présence qu'il ne faut pas sous-estimer.
Applications du détecteur
D'innombrables accidents mortels et blessures graves qui ressemblent à des actes du destin inévitables et individuels peuvent être évités ou minimisés à condition que les détecteurs de présence soient mieux acceptés comme mesure de prévention dans le domaine de la sécurité au travail. Les journaux rapportent trop souvent ces accidents : ici une personne a été heurtée par une chargeuse qui reculait, là l'opérateur n'a pas vu quelqu'un qui s'est fait renverser par la roue avant d'une pelle mécanique. Les camions qui reculent dans les rues, les locaux de l'entreprise et les chantiers de construction sont à l'origine de nombreux accidents de personnes. Aujourd'hui, les entreprises complètement rationalisées ne fournissent plus de co-conducteurs ou d'autres personnes pour servir de guides au conducteur qui recule un camion. Ces exemples d'accidents mobiles peuvent être facilement étendus à d'autres équipements mobiles, tels que les chariots élévateurs. Cependant, l'utilisation de capteurs est nécessaire de toute urgence pour prévenir les accidents impliquant des équipements semi-mobiles et purement fixes. Un exemple est les zones arrière des grandes machines de chargement, qui ont été identifiées par le personnel de sécurité comme des zones potentiellement dangereuses qui pourraient être améliorées grâce à l'utilisation de capteurs peu coûteux. De nombreuses variantes de détecteurs de présence peuvent être adaptées de manière innovante à d'autres véhicules et à de gros équipements mobiles pour se protéger contre les types d'accidents abordés dans cet article, qui causent généralement des dommages importants et des blessures graves, voire mortelles.
La tendance à la généralisation des solutions innovantes laisse présager que les détecteurs de présence deviendront la technologie de sécurité standard dans d'autres applications ; cependant, ce n'est le cas nulle part. La percée, motivée par les accidents et les dommages matériels importants, est attendue dans la surveillance derrière les camionnettes de livraison et les poids lourds et pour les domaines les plus innovants des «nouvelles technologies» - les robots mobiles du futur.
La variation des domaines d'application des détecteurs de présence et la variabilité des tâches - par exemple, tolérer des objets (même en mouvement, sous certaines conditions) qui appartiennent à un champ de détection et qui ne doivent pas déclencher de signal - nécessitent des capteurs dans lesquels " La technologie d'évaluation «intelligente» prend en charge les mécanismes de fonctionnement du capteur. Cette technologie, qui fait l'objet de développements futurs, peut être élaborée à partir de méthodes relevant du domaine de l'intelligence artificielle (Schreiber et Kuhn 1995). A ce jour, une universalité limitée a fortement restreint les usages actuels des capteurs. Il y a des rideaux de lumière ; barres lumineuses; tapis de contact; capteurs infrarouges passifs; détecteurs de mouvement à ultrasons et radar utilisant l'effet Doppler; capteurs qui mesurent le temps écoulé des impulsions ultrasonores, radar et lumineuses; et scanners laser. Les caméras de télévision normales connectées à des moniteurs ne sont pas incluses dans cette liste car ce ne sont pas des détecteurs de présence. Cependant, les caméras qui s'activent automatiquement lors de la détection de la présence d'une personne sont incluses.
Techniques de détection
Aujourd'hui, les principaux enjeux des capteurs sont (1) l'optimisation de l'utilisation des effets physiques (infrarouge, lumière, ultrasons, radar, etc.) et (2) l'autocontrôle. Les scanners laser sont développés intensivement pour être utilisés comme instruments de navigation pour les robots mobiles. Pour cela, deux tâches, en partie différentes dans leur principe, doivent être résolues : la navigation du robot et la protection des personnes (et du matériel ou équipement) présentes afin qu'elles ne soient pas heurtées, écrasées ou empoignées (Freund, Dierks et Rossman 1993 ). Les futurs robots mobiles ne peuvent pas conserver la même philosophie de sécurité de « séparation spatiale du robot et de la personne » qui est strictement appliquée aux robots industriels stationnaires d'aujourd'hui. Cela implique d'accorder une grande importance au fonctionnement fiable du détecteur de présence à utiliser.
L'utilisation des "nouvelles technologies" est souvent liée à des problèmes d'acceptation, et l'on peut supposer que l'utilisation généralisée de robots mobiles capables de se déplacer et de saisir, parmi les personnes dans les usines, dans les zones de circulation publique, ou même dans les maisons ou les zones de loisirs , ne seront acceptés que s'ils sont équipés de détecteurs de présence très évolués, sophistiqués et fiables. Les accidents spectaculaires doivent être évités à tout prix afin de ne pas exacerber un éventuel problème d'acceptation. Le niveau actuel des dépenses pour le développement de ce type de capteurs de protection professionnelle est loin de prendre en compte cette considération. Pour économiser beaucoup de coûts, les détecteurs de présence doivent être développés et testés simultanément avec les robots mobiles et les systèmes de navigation, pas après.
En ce qui concerne les véhicules à moteur, les questions de sécurité ont pris une importance croissante. La sécurité innovante des passagers dans les automobiles comprend des ceintures de sécurité à trois points, des sièges pour enfants, des airbags et le système de freinage antiblocage vérifié par des tests de collision en série. Ces mesures de sécurité représentent une part relativement croissante des coûts de production. Les systèmes d'airbags latéraux et de capteurs radar pour mesurer la distance à la voiture qui précède sont des développements évolutifs dans la protection des passagers.
La sécurité extérieure des véhicules à moteur, c'est-à-dire la protection des tiers, fait l'objet d'une attention accrue. Récemment, des protections latérales ont été requises, principalement pour les camions, afin d'empêcher les motocyclistes, les cyclistes et les piétons de tomber sous les roues arrière. Une prochaine étape logique serait de surveiller la zone derrière les gros véhicules avec des détecteurs de présence et d'installer un équipement d'avertissement de zone arrière. Cela aurait pour effet secondaire positif de fournir le financement nécessaire pour développer, tester et mettre à disposition des capteurs performants, auto-surveillés, sans entretien et fonctionnant de manière fiable, peu coûteux à des fins de sécurité au travail. Le processus d'essai qui accompagnerait la mise en œuvre à grande échelle de capteurs ou de systèmes de capteurs faciliterait considérablement l'innovation dans d'autres domaines, tels que les pelles mécaniques, les chargeuses lourdes et autres gros engins mobiles qui reculent jusqu'à la moitié du temps pendant leur fonctionnement. Le processus d'évolution des robots stationnaires vers les robots mobiles est une voie de développement supplémentaire pour les détecteurs de présence. Par exemple, des améliorations pourraient être apportées aux capteurs actuellement utilisés sur les robots de manutention mobiles ou les « tracteurs d'usine sans conducteur », qui suivent des trajectoires fixes et ont donc des exigences de sécurité relativement faibles. L'utilisation de détecteurs de présence est la prochaine étape logique dans l'amélioration de la sécurité dans le domaine du transport de matériel et de personnes.
Procédures de détection
Divers principes physiques, disponibles en relation avec des méthodes électroniques de mesure et d'autocontrôle et, dans une certaine mesure, des procédures de calcul à haute performance, peuvent être utilisés pour évaluer et résoudre les tâches susmentionnées. Le fonctionnement apparemment sans effort et sûr des machines automatisées (robots) si courantes dans les films de science-fiction, sera peut-être accompli dans le monde réel grâce à l'utilisation de techniques d'imagerie et d'algorithmes de reconnaissance de formes à haute performance en combinaison avec des méthodes de mesure de distance analogues à celles utilisé par les scanners laser. La situation paradoxale que tout ce qui semble simple pour les gens est difficile pour les automates, doit être reconnue. Par exemple, une tâche difficile telle qu'un excellent jeu d'échecs (qui nécessite une activité du cerveau antérieur) peut être plus facilement simulée et exécutée par des machines automatisées qu'une tâche simple telle que marcher debout ou effectuer une coordination œil-main et d'autres mouvements (médiée par le mésencéphale et le cerveau postérieur). Quelques-uns de ces principes, méthodes et procédures applicables aux applications de capteurs sont décrits ci-dessous. En plus de ceux-ci, il existe un grand nombre de procédures spéciales pour des tâches très spéciales qui fonctionnent en partie avec une combinaison de divers types d'effets physiques.
Rideaux et barreaux de barrière lumineuse. Parmi les premiers détecteurs de présence figuraient des barrières lumineuses et des barreaux. Ils ont une géométrie de surveillance plate ; c'est-à-dire que celui qui a franchi la barrière ne sera plus détecté. La main d'un opérateur, ou la présence d'outils ou de pièces tenus dans la main d'un opérateur, par exemple, peuvent être détectés rapidement et de manière fiable avec ces dispositifs. Ils offrent une contribution importante à la sécurité au travail pour les machines (comme les presses et les poinçonneuses) qui nécessitent que le matériau soit introduit à la main. La fiabilité doit être statistiquement extrêmement élevée, car lorsque la main atteint seulement deux à trois fois par minute, environ un million d'opérations sont effectuées en quelques années seulement. L'autosurveillance mutuelle des composants émetteurs et récepteurs a été développée à un niveau technique si élevé qu'elle représente un standard pour toutes les autres procédures de détection de présence.
Tapis de contact (tapis de commutation). Il existe à la fois des types passifs et actifs (pompe) de tapis et de sols de contact électriques et pneumatiques, qui étaient initialement utilisés en grand nombre dans les fonctions de service (ouvre-portes), jusqu'à ce qu'ils soient remplacés par des détecteurs de mouvement. Le développement se poursuit avec l'utilisation de détecteurs de présence dans toutes sortes de zones dangereuses. Par exemple, le développement de la fabrication automatisée avec un changement dans la fonction du travailleur - de l'utilisation de la machine à la surveillance stricte de son fonctionnement - a produit une demande correspondante de détecteurs appropriés. La standardisation de cet usage est bien avancée (DIN 1995a), et des contraintes particulières (implantation, taille, zones « mortes » maximales autorisées) ont nécessité le développement d'une expertise d'installation dans ce domaine d'usage.
Des utilisations possibles intéressantes des tapis de contact se présentent en conjonction avec des systèmes de robots multiples contrôlés par ordinateur. Un opérateur commute un ou deux éléments pour que le détecteur de présence capte sa position exacte et informe l'ordinateur, qui gère les systèmes de contrôle du robot avec un système anticollision intégré. Dans un test avancé par l'institut fédéral de sécurité allemand (BAU), un sol à tapis de contact, composé de petits tapis d'interrupteurs électriques, a été construit sous la zone de travail du bras du robot à cette fin (Freund, Dierks et Rossman 1993). Ce détecteur de présence avait la forme d'un échiquier. Le champ de tapis respectivement activé indiquait à l'ordinateur la position de l'opérateur (figure 1) et lorsque l'opérateur s'approchait trop près du robot, il s'éloignait. Sans le détecteur de présence, le système de robot ne serait pas en mesure de déterminer la position de l'opérateur, et l'opérateur ne pourrait alors pas être protégé.
Figure 1. Une personne (à droite) et deux robots dans des enveloppes calculées
Réflecteurs (capteurs de mouvement et détecteurs de présence). Aussi méritoires que soient les capteurs évoqués jusqu'à présent, ce ne sont pas des détecteurs de présence au sens large. Leur adéquation, principalement pour des raisons de sécurité au travail, aux gros véhicules et aux gros équipements mobiles suppose deux caractéristiques importantes : (1) la capacité de surveiller une zone à partir d'une position, et (2) un fonctionnement sans erreur sans nécessiter de mesures supplémentaires sur la part de—par exemple, l'utilisation de dispositifs réflecteurs. La détection de la présence d'une personne pénétrant dans la zone surveillée et restant à l'arrêt jusqu'au départ de cette personne implique également la nécessité de détecter une personne immobile. Ceci distingue les détecteurs dits de mouvement des détecteurs de présence, du moins en relation avec des équipements mobiles ; les détecteurs de mouvement sont presque toujours déclenchés lorsque le véhicule est mis en mouvement.
Détecteurs de mouvement. Les deux principaux types de détecteurs de mouvement sont : (1) les "capteurs infrarouges passifs" (PIRS), qui réagissent au moindre changement du faisceau infrarouge dans la zone surveillée (le plus petit faisceau détectable est d'environ 10-9 W avec une gamme de longueurs d'onde d'environ 7 à 20 μm); et (2) des capteurs à ultrasons et micro-ondes utilisant le principe Doppler, qui détermine les caractéristiques du mouvement d'un objet en fonction des changements de fréquence. Par exemple, l'effet Doppler augmente la fréquence du klaxon d'une locomotive pour un observateur lorsqu'il s'approche et réduit la fréquence lorsque la locomotive s'éloigne. L'effet Doppler rend possible la construction de capteurs d'approche relativement simples, car le récepteur n'a qu'à surveiller la fréquence du signal des bandes de fréquences voisines pour l'apparition de la fréquence Doppler.
Au milieu des années 1970, l'utilisation de détecteurs de mouvement est devenue courante dans les applications de fonction de service telles que les ouvre-portes, la sécurité contre le vol et la protection des objets. Pour une utilisation stationnaire, la détection d'une personne s'approchant d'un point dangereux était suffisante pour donner un avertissement en temps opportun ou pour éteindre une machine. Cela a servi de base à l'étude de l'adéquation des détecteurs de mouvement à leur utilisation en sécurité au travail, notamment au moyen du PIRS (Mester et al. 1980). Parce qu'une personne habillée a généralement une température plus élevée que la zone environnante (tête 34°C, mains 31°C), détecter une personne qui s'approche est un peu plus facile que de détecter des objets inanimés. Dans une mesure limitée, des pièces de machine peuvent se déplacer dans la zone surveillée sans déclencher le détecteur.
La méthode passive (sans émetteur) présente des avantages et des inconvénients. L'avantage est qu'un PIRS n'augmente pas les problèmes de bruit et de smog électrique. Pour la sécurité antivol et la protection des objets, il est particulièrement important que le détecteur ne soit pas facile à trouver. Un capteur qui n'est qu'un récepteur, cependant, peut difficilement surveiller sa propre efficacité, qui est essentielle pour la sécurité au travail. Une méthode pour pallier cet inconvénient consistait à tester de petits émetteurs infrarouges modulés (5 à 20 Hz) qui étaient installés dans la zone surveillée et qui ne déclenchaient pas le capteur, mais dont les faisceaux étaient enregistrés avec une amplification électronique fixe réglée sur la fréquence de modulation. Cette modification l'a transformé d'un capteur "passif" en un capteur "actif". De cette manière, il était également possible de vérifier la précision géométrique de la zone surveillée. Les miroirs peuvent avoir des angles morts et la direction d'un capteur passif peut être perturbée par l'activité brutale d'une plante. La figure 2 montre une disposition de test avec un PIRS avec une géométrie surveillée sous la forme d'un manteau pyramidal. En raison de leur grande portée, des capteurs infrarouges passifs sont installés, par exemple, dans les passages des zones de stockage des étagères.
Figure 2. Capteur infrarouge passif comme détecteur d'approche dans une zone dangereuse
Dans l'ensemble, les tests ont montré que les détecteurs de mouvement ne sont pas adaptés à la sécurité au travail. Le sol d'un musée de nuit n'est pas comparable aux zones dangereuses d'un lieu de travail.
Détecteurs à ultrasons, radars et impulsions lumineuses. Les capteurs qui utilisent le principe impulsion/écho, c'est-à-dire les mesures de temps écoulé des impulsions ultrasonores, radar ou lumineuses, ont un grand potentiel en tant que détecteurs de présence. Avec les scanners laser, les impulsions lumineuses peuvent balayer en succession rapide (généralement de manière rotative), par exemple horizontalement, et à l'aide d'un ordinateur, on peut obtenir un profil de distance des objets sur un plan qui réfléchissent la lumière. Si, par exemple, on ne souhaite pas seulement une seule ligne, mais l'intégralité de ce qui se trouve devant le robot mobile dans la zone jusqu'à une hauteur de 2 mètres, alors de grandes quantités de données doivent être traitées pour représenter la zone environnante. Un futur détecteur de présence « idéal » consistera en une combinaison des deux processus suivants :
La figure 3 montre, à partir du projet BAU précédemment cité (Freund, Dierks et Rossman 1993), l'utilisation d'un scanner laser sur un robot mobile qui assume également des tâches de navigation (via un faisceau de détection de direction) et une protection contre les collisions pour les objets dans l'immédiat. voisinage (via un faisceau de mesure au sol pour la détection de présence). Compte tenu de ces caractéristiques, le robot mobile a la capacité de conduite libre automatisée active (c'est-à-dire la capacité de contourner les obstacles). Techniquement, ceci est réalisé en utilisant l'angle de rotation de 45° du scanner vers l'arrière des deux côtés (à bâbord et à tribord du robot) en plus de l'angle de 180° vers l'avant. Ces faisceaux sont reliés à un miroir spécial qui agit comme une barrière immatérielle au sol devant le robot mobile (fournissant une ligne de vision au sol). Si une réflexion laser vient de là, le robot s'arrête. Alors que des scanners laser et lumineux certifiés pour la sécurité au travail sont sur le marché, ces détecteurs de présence ont un grand potentiel de développement.
Figure 3. Robot mobile avec scanner laser pour la navigation et la détection de présence
Les capteurs à ultrasons et radar, qui utilisent le temps écoulé entre le signal et la réponse pour déterminer la distance, sont moins exigeants d'un point de vue technique et peuvent donc être produits à moindre coût. La zone de capteur est en forme de massue et possède une ou plusieurs massues latérales plus petites, qui sont disposées de manière symétrique. La vitesse de propagation du signal (son : 330 m/s ; onde électromagnétique : 300,000 XNUMX km/s) détermine la vitesse requise de l'électronique utilisée.
Dispositifs d'avertissement de zone arrière. Lors de l'exposition de Hanovre de 1985, BAU a présenté les résultats d'un premier projet sur l'utilisation de capteurs à ultrasons pour sécuriser la zone derrière les gros véhicules (Langer et Kurfürst 1985). Un modèle grandeur nature d'une tête de détection composée de capteurs Polaroid™ a été installé sur la paroi arrière d'un camion de ravitaillement. La figure 4 montre schématiquement son fonctionnement. Le grand diamètre de ce capteur produit des zones de mesure en forme de massue relativement petites (environ 18°) et à longue portée, disposées les unes à côté des autres et réglées sur différentes plages de signal maximales. En pratique, il permet de définir n'importe quelle géométrie surveillée souhaitée, qui est balayée par les capteurs environ quatre fois par seconde pour la présence ou l'entrée de personnes. D'autres systèmes d'avertissement de zone arrière démontrés avaient plusieurs capteurs en réseau individuels parallèles.
Figure 4. Disposition de la tête de mesure et zone surveillée à l'arrière d'un camion
Cette démonstration vivante a été un grand succès à l'exposition. Il a montré que la sécurisation de la zone arrière des gros véhicules et équipements est étudiée dans de nombreux endroits, par exemple par des comités spécialisés des associations professionnelles industrielles (Berufsgenossenschaften), les assureurs accident municipaux (qui sont responsables des véhicules municipaux), les responsables de la surveillance de l'industrie de l'État et les producteurs de capteurs, qui pensaient plutôt en termes d'automobiles en tant que véhicules de service (au sens de se concentrer sur les systèmes de stationnement pour se protéger contre dommages à la carrosserie). Un comité ad hoc issu des groupes pour la promotion des avertisseurs de zone arrière s'est formé spontanément et s'est donné comme première tâche l'élaboration d'une liste d'exigences du point de vue de la sécurité au travail. Dix ans se sont écoulés au cours desquels beaucoup a été travaillé dans la surveillance de la zone arrière - peut-être la tâche la plus importante des détecteurs de présence ; mais la grande percée manque toujours.
De nombreux projets ont été menés avec des capteurs à ultrasons, par exemple sur des grues de triage de bois rond, des pelles hydrauliques, des véhicules municipaux spéciaux et d'autres véhicules utilitaires, ainsi que sur des chariots élévateurs et des chargeurs (Schreiber 1990). Les dispositifs d'avertissement de zone arrière sont particulièrement importants pour les grosses machines qui reculent la plupart du temps. Les détecteurs de présence à ultrasons sont utilisés, par exemple, pour la protection des véhicules spécialisés sans conducteur tels que les robots de manutention. Par rapport aux pare-chocs en caoutchouc, ces capteurs ont une plus grande zone de détection qui permet de freiner avant que le contact ne soit établi entre la machine et un objet. Les capteurs correspondants pour les automobiles sont des développements appropriés et impliquent des exigences considérablement moins strictes.
Entre-temps, le Comité des normes techniques du système de transport du DIN a élaboré la norme 75031, «Dispositifs de détection d'obstacles en marche arrière» (DIN 1995b). Les exigences et les tests ont été définis pour deux plages : 1.8 m pour les camions de ravitaillement et 3.0 m - une zone d'avertissement supplémentaire - pour les camions plus gros. La zone surveillée est définie par la reconnaissance de corps d'épreuve cylindriques. La portée de 3 m est également à la limite de ce qui est actuellement techniquement possible, car les capteurs à ultrasons doivent avoir des membranes métalliques fermées, compte tenu de leurs conditions de travail difficiles. Les exigences pour l'auto-surveillance du système de capteurs sont définies, car la géométrie surveillée requise ne peut être obtenue qu'avec un système de trois capteurs ou plus. La figure 5 montre un dispositif d'avertissement de zone arrière composé de trois capteurs à ultrasons (Microsonic GmbH 1996). Il en va de même pour le dispositif de notification dans la cabine du conducteur et le type de signal d'avertissement. Le contenu de la norme DIN 75031 est également présenté dans le rapport technique international ISO TR 12155, "Véhicules utilitaires - Dispositif de détection d'obstacles en marche arrière" (ISO 1994). Différents fabricants de capteurs ont développé des prototypes conformément à cette norme.
Figure 5. Camion de taille moyenne équipé d'un dispositif d'avertissement de zone arrière (photo Microsonic).
Pour aller plus loin
Depuis le début des années 1970, plusieurs institutions et fabricants de capteurs ont travaillé au développement et à la mise en place de « détecteurs de présence ». Dans l'application spéciale des "dispositifs d'avertissement de zone arrière", il existe la norme DIN 75031 et le rapport ISO TR 12155. À l'heure actuelle, Deutsche Post AG effectue un test majeur. Plusieurs fabricants de capteurs ont chacun équipé cinq camions de taille moyenne de tels dispositifs. Un résultat positif de ce test est tout à fait dans l'intérêt de la sécurité au travail. Comme cela a été souligné au début, les détecteurs de présence en nombre requis représentent un grand défi pour la technique de sécurité dans les nombreux domaines d'application mentionnés. Ils doivent donc être réalisables à moindre coût si l'on veut que les dommages aux équipements, aux machines et aux matériaux, et surtout les blessures aux personnes, souvent très graves, soient reléguées au passé.
Les dispositifs de commande et les dispositifs utilisés pour le sectionnement et la commutation doivent toujours être discutés en relation avec systèmes techniques, terme utilisé dans cet article pour désigner les machines, installations et équipements. Chaque système technique remplit une tâche pratique spécifique et assignée. Des dispositifs de commande et de commutation de sécurité appropriés sont nécessaires si cette tâche pratique doit être réalisable ou même possible dans des conditions sûres. De tels dispositifs sont utilisés pour initier le contrôle, interrompre ou retarder le courant et/ou les impulsions d'énergies électriques, hydrauliques, pneumatiques ou encore potentielles.
Isolation et réduction d'énergie
Les dispositifs d'isolement sont utilisés pour isoler l'énergie en déconnectant la ligne d'alimentation entre la source d'énergie et le système technique. Le dispositif de sectionnement doit normalement produire une déconnexion réelle déterminable sans équivoque de l'alimentation en énergie. La déconnexion de l'alimentation en énergie doit également toujours être associée à la réduction de l'énergie stockée dans toutes les parties du système technique. Si le système technique est alimenté par plusieurs sources d'énergie, toutes ces lignes d'alimentation doivent pouvoir être isolées de manière fiable. Les personnes formées pour manipuler le type d'énergie concerné et qui travaillent à la partie énergie du système technique, utilisent des dispositifs d'isolement pour se protéger des dangers de l'énergie. Pour des raisons de sécurité, ces personnes vérifieront toujours qu'aucune énergie potentiellement dangereuse ne reste dans le système technique, par exemple en vérifiant l'absence de potentiel électrique dans le cas de l'énergie électrique. La manipulation sans risque de certains dispositifs d'isolement n'est possible que pour des spécialistes formés ; dans ce cas, le dispositif d'isolement doit être rendu inaccessible aux personnes non autorisées. (Voir figure 1.)
Figure 1. Principes des dispositifs d'isolement électriques et pneumatiques
Le commutateur principal
Un dispositif interrupteur principal déconnecte le système technique de l'alimentation en énergie. Contrairement au dispositif de sectionnement, il peut être manœuvré sans danger même par des « non énergéticiens ». Le dispositif interrupteur général est utilisé pour déconnecter des systèmes techniques non utilisés à un moment donné si, par exemple, leur fonctionnement est entravé par des tiers non autorisés. Il est également utilisé pour effectuer une déconnexion à des fins telles que l'entretien, la réparation de dysfonctionnements, le nettoyage, la réinitialisation et le réaménagement, à condition que ces travaux puissent être effectués sans énergie dans le système. Bien entendu, lorsqu'un dispositif interrupteur général possède également les caractéristiques d'un dispositif de sectionnement, il peut également assumer et/ou partager sa fonction. (Voir figure 2.)
Figure 2. Exemple d'illustration d'interrupteurs principaux électriques et pneumatiques
Dispositif de déconnexion de sécurité
Un dispositif de déconnexion de sécurité ne déconnecte pas l'ensemble du système technique de la source d'énergie ; au lieu de cela, il supprime l'énergie des parties du système critiques pour un sous-système opérationnel particulier. Des interventions de courte durée peuvent être désignées pour des sous-systèmes opérationnels - par exemple, pour la configuration ou la réinitialisation/réinstallation du système, pour la réparation de dysfonctionnements, pour le nettoyage régulier, et pour les mouvements essentiels et désignés et les séquences de fonctions requises pendant le cours de configuration, de réinitialisation/réinstallation ou de tests. Dans ces cas, les équipements de production complexes et les usines ne peuvent pas simplement être arrêtés avec un interrupteur principal, car l'ensemble du système technique ne pourrait pas redémarrer là où il s'était arrêté après la réparation d'un dysfonctionnement. De plus, le dispositif interrupteur général est rarement situé, dans les systèmes techniques les plus étendus, à l'endroit où l'intervention doit être faite. Ainsi, le dispositif de déconnexion de sécurité est obligé de remplir un certain nombre d'exigences, telles que les suivantes :
Lorsque l'interrupteur principal utilisé dans un système technique donné est en mesure de remplir toutes les exigences d'un dispositif de sectionnement de sécurité, il peut également assumer cette fonction. Mais ce ne sera bien sûr un expédient fiable que dans des systèmes techniques très simples. (Voir figure 3.)
Figure 3. Illustration des principes élémentaires d'un dispositif de déconnexion de sécurité
Équipements de commande pour sous-systèmes opérationnels
Les appareillages de commande permettent de mettre en œuvre et de contrôler en toute sécurité les mouvements et les séquences fonctionnelles nécessaires à la mise en œuvre et à la commande des sous-systèmes opérationnels du système technique. Des appareillages de commande pour les sous-systèmes opérationnels peuvent être nécessaires pour la configuration (lorsque des essais de fonctionnement doivent être exécutés) ; pour la régulation (lorsque des dysfonctionnements dans le fonctionnement du système doivent être réparés ou lorsque des blocages doivent être éliminés) ; ou à des fins de formation (démonstration d'opérations). Dans de tels cas, le fonctionnement normal du système ne peut pas simplement être redémarré, car la personne intervenante serait mise en danger par des mouvements et des processus déclenchés par des signaux de commande entrés par erreur ou générés par erreur. Un appareillage de commande pour les sous-systèmes opérationnels doit être conforme aux exigences suivantes :
Figure 4. Dispositifs d'actionnement dans les dispositifs de commande pour les sous-systèmes opérationnels mobiles et fixes
L'interrupteur d'urgence
Les interrupteurs d'urgence sont nécessaires lorsque le fonctionnement normal des systèmes techniques peut entraîner des dangers que ni une conception appropriée du système ni la prise de mesures de sécurité appropriées ne sont en mesure d'empêcher. Dans les sous-systèmes opérationnels, l'interrupteur d'urgence fait souvent partie du dispositif de commande du sous-système opérationnel. Lorsqu'il est actionné en cas de danger, l'interrupteur d'urgence met en œuvre des processus qui ramènent le plus rapidement possible le système technique dans un état de fonctionnement sûr. Au regard des priorités de sécurité, la protection des personnes est au premier plan ; la prévention des dommages matériels est secondaire, à moins que ceux-ci ne soient susceptibles de mettre également en danger les personnes. L'interrupteur d'urgence doit répondre aux exigences suivantes :
Figure 5. Illustration des principes des panneaux de commande dans les interrupteurs d'urgence
Dispositif de commande de commutateur de fonction
Les dispositifs de commande à commutation de fonction sont utilisés pour activer le système technique pour le fonctionnement normal et pour initier, mettre en œuvre et interrompre les mouvements et les processus désignés pour le fonctionnement normal. Le dispositif de commande de commutation de fonction est utilisé exclusivement dans le cadre du fonctionnement normal du système technique, c'est-à-dire lors de l'exécution non perturbée de toutes les fonctions attribuées. Il est utilisé en conséquence par les personnes qui gèrent le système technique. Les dispositifs de commande de commutation de fonction doivent répondre aux exigences suivantes :
Figure 6. Représentation schématique d'un panneau de contrôle des opérations
Commutateurs de surveillance
Les interrupteurs de surveillance empêchent le démarrage de l'installation technique tant que les conditions de sécurité surveillées ne sont pas remplies et interrompent le fonctionnement dès qu'une condition de sécurité n'est plus remplie. Ils sont utilisés, par exemple, pour surveiller les portes dans les compartiments de protection, pour vérifier la position correcte des protections ou pour s'assurer que les limites de vitesse ou de trajectoire ne sont pas dépassées. Les interrupteurs de surveillance doivent donc satisfaire aux exigences de sécurité et de fiabilité suivantes :
Figure 7. Schéma d'un interrupteur avec un fonctionnement mécanique positif et une déconnexion positive
Circuits de contrôle de sécurité
Plusieurs des dispositifs de commutation de sécurité décrits ci-dessus n'exécutent pas directement la fonction de sécurité, mais plutôt en émettant un signal qui est ensuite transmis et traité par un circuit de commande de sécurité et atteint finalement les parties du système technique qui exercent la fonction de sécurité proprement dite. Le dispositif de déconnexion de sécurité, par exemple, provoque fréquemment la déconnexion de l'énergie à des points critiques de manière indirecte, alors qu'un interrupteur principal déconnecte généralement directement l'alimentation en courant du système technique.
Étant donné que les circuits de commande de sécurité doivent transmettre des signaux de sécurité de manière fiable, les principes suivants doivent donc être pris en considération :
Les composants utilisés dans les circuits de commande de sécurité doivent exécuter la fonction de sécurité de manière particulièrement fiable. Les fonctions des composants ne répondant pas à cette exigence sont à mettre en oeuvre en ménageant une redondance la plus diversifiée possible et à surveiller.
Au cours des dernières années, les microprocesseurs ont joué un rôle de plus en plus important dans le domaine de la technologie de sécurité. Étant donné que des ordinateurs entiers (c'est-à-dire l'unité centrale de traitement, la mémoire et les composants périphériques) sont désormais disponibles dans un seul composant en tant qu '«ordinateurs à puce unique», la technologie des microprocesseurs est utilisée non seulement dans le contrôle de machines complexes, mais également dans des protections de conception relativement simple. (ex. barrières immatérielles, commandes bimanuelles et barres palpeuses). Le logiciel contrôlant ces systèmes comprend entre un millier et plusieurs dizaines de milliers de commandes simples et se compose généralement de plusieurs centaines de branches de programme. Les programmes fonctionnent en temps réel et sont principalement écrits dans le langage d'assemblage des programmeurs.
L'introduction de systèmes commandés par ordinateur dans le domaine de la technologie de sécurité s'est accompagnée dans tous les équipements techniques à grande échelle non seulement de projets de recherche et de développement coûteux, mais également de restrictions importantes destinées à améliorer la sécurité. (La technologie aérospatiale, la technologie militaire et la technologie de l'énergie atomique peuvent être citées ici comme exemples d'applications à grande échelle.) Le domaine collectif de la production industrielle de masse n'a jusqu'à présent été traité que de façon très limitée. Cela s'explique en partie par le fait que les cycles rapides d'innovation caractéristiques de la conception des machines industrielles rendent difficile la transmission, sauf d'une manière très restreinte, des connaissances pouvant découler de projets de recherche portant sur les essais finaux de machines à grande échelle. dispositifs de sécurité. Cela fait du développement de procédures d'évaluation rapides et peu coûteuses un desiderata (Reinert et Reuss 1991).
Cet article examine d'abord les machines et les installations dans lesquelles les systèmes informatiques exécutent actuellement des tâches de sécurité, en utilisant des exemples d'accidents survenus principalement dans le domaine des protections des machines pour décrire le rôle particulier que jouent les ordinateurs dans la technologie de sécurité. Ces accidents donnent des indications sur les précautions à prendre pour que les équipements de sécurité pilotés par ordinateur qui se généralisent actuellement n'entraînent pas une augmentation du nombre d'accidents. La dernière section de l'article esquisse une procédure qui permettra d'amener même de petits systèmes informatiques à un niveau approprié de sécurité technique à des frais justifiables et dans un délai acceptable. Les principes indiqués dans cette dernière partie sont actuellement introduits dans les procédures internationales de normalisation et auront des implications pour tous les domaines de la technologie de la sécurité dans lesquels les ordinateurs trouvent une application.
Exemples d'utilisation de logiciels et d'ordinateurs dans le domaine de la protection des machines
Les quatre exemples suivants montrent clairement que les logiciels et les ordinateurs entrent actuellement de plus en plus dans les applications liées à la sécurité dans le domaine commercial.
Les installations de signalisation d'urgence personnelle se composent, en règle générale, d'une station de réception centrale et d'un certain nombre d'appareils de signalisation d'urgence personnelle. Les appareils sont portés par des personnes travaillant seules sur site. Si l'une de ces personnes travaillant seule se trouve dans une situation d'urgence, elle peut utiliser l'appareil pour déclencher une alarme par signal radio dans la centrale de réception. Un tel déclencheur d'alarme dépendant de la volonté peut également être complété par un mécanisme de déclenchement indépendant de la volonté activé par des capteurs intégrés dans les dispositifs d'urgence personnels. Les appareils individuels et la station de réception centrale sont fréquemment contrôlés par des micro-ordinateurs. Il est concevable que la défaillance de certaines fonctions spécifiques de l'ordinateur intégré puisse conduire, dans une situation d'urgence, à l'échec du déclenchement de l'alarme. Des précautions doivent donc être prises pour percevoir et réparer cette perte de fonction dans le temps.
Les presses à imprimer utilisées aujourd'hui pour imprimer des magazines sont de grosses machines. Les bandes de papier sont normalement préparées par une machine séparée de manière à permettre une transition transparente vers un nouveau rouleau de papier. Les pages imprimées sont pliées par une plieuse et ensuite travaillées à travers une chaîne d'autres machines. Il en résulte des palettes chargées de magazines entièrement cousus. Bien que de telles installations soient automatisées, il y a deux points où des interventions manuelles doivent être faites : (1) dans le filetage des chemins de papier, et (2) dans le dégagement des obstructions causées par les déchirures de papier aux points dangereux sur les rouleaux rotatifs. Pour cette raison, une vitesse de fonctionnement réduite ou un mode pas à pas limité dans la trajectoire ou dans le temps doit être assuré par la technologie de commande pendant le réglage des presses. En raison de la complexité des procédures de pilotage, chaque poste d'impression doit être équipé de son propre automate programmable. Toute défaillance survenant dans la commande d'une imprimerie alors que les grilles de protection sont ouvertes doit être empêchée de conduire soit au démarrage intempestif d'une machine arrêtée, soit à un fonctionnement au-delà des vitesses réduites de manière appropriée.
Dans les grandes usines et les entrepôts, des robots guidés automatisés sans conducteur circulent sur des pistes spécialement balisées. Ces voies peuvent être piétinées à tout moment par des personnes, ou des matériaux et des équipements peuvent être laissés par inadvertance sur les voies, car elles ne sont pas séparées structurellement des autres voies de circulation. Pour cette raison, une sorte d'équipement de prévention des collisions doit être utilisé pour s'assurer que le véhicule sera arrêté avant qu'une collision dangereuse avec une personne ou un objet ne se produise. Dans des applications plus récentes, la prévention des collisions est effectuée au moyen de scanners à ultrasons ou à lumière laser utilisés en combinaison avec un pare-chocs de sécurité. Comme ces systèmes fonctionnent sous contrôle informatique, il est possible de configurer plusieurs zones de détection permanentes afin qu'un véhicule puisse modifier sa réaction en fonction de la zone de détection spécifique dans laquelle se trouve une personne. Les défaillances du dispositif de protection ne doivent pas entraîner de collision dangereuse avec une personne.
Les guillotines des dispositifs de contrôle de la coupe du papier sont utilisées pour presser puis couper des piles de papier épaisses. Ils sont déclenchés par un dispositif de commande à deux mains. L'utilisateur doit atteindre la zone dangereuse de la machine après chaque coupe. Une protection immatérielle, généralement une grille lumineuse, est utilisée en conjonction avec le dispositif de commande bimanuelle et un système de commande de machine sûr pour éviter les blessures lorsque le papier est alimenté pendant l'opération de coupe. Presque toutes les guillotines plus grandes et plus modernes utilisées aujourd'hui sont contrôlées par des systèmes de micro-ordinateurs multicanaux. La commande bimanuelle et la grille immatérielle doivent également être garanties pour fonctionner en toute sécurité.
Accidents avec des systèmes contrôlés par ordinateur
Dans presque tous les domaines d'application industrielle, des accidents avec des logiciels et des ordinateurs sont signalés (Neumann 1994). Dans la plupart des cas, les pannes informatiques n'entraînent pas de blessures aux personnes. De tels manquements ne sont en tout état de cause rendus publics que lorsqu'ils présentent un intérêt public général. Cela signifie que les cas de dysfonctionnement ou d'accident liés aux ordinateurs et aux logiciels entraînant des blessures corporelles représentent une proportion relativement élevée de tous les cas rendus publics. Malheureusement, les accidents qui ne provoquent pas beaucoup de sensations publiques ne font pas l'objet d'enquêtes quant à leurs causes avec la même intensité que les accidents plus importants, généralement dans les usines à grande échelle. Pour cette raison, les exemples qui suivent se réfèrent à quatre descriptions de dysfonctionnements ou d'accidents typiques des systèmes commandés par ordinateur en dehors du domaine de la sécurité des machines, qui sont utilisées pour suggérer ce qu'il faut prendre en compte lors des jugements concernant la technologie de sécurité.
Accidents causés par des pannes aléatoires du matériel
L'accident suivant a été causé par une concentration de pannes aléatoires dans le matériel combinées à un échec de programmation : Un réacteur surchauffé dans une usine chimique, après quoi des soupapes de décharge ont été ouvertes, permettant au contenu du réacteur d'être rejeté dans l'atmosphère. Cet incident s'est produit peu de temps après qu'un avertissement eut été donné indiquant que le niveau d'huile d'une boîte de vitesses était trop bas. Une enquête minutieuse sur l'accident a montré que peu de temps après que le catalyseur ait initié la réaction dans le réacteur - en conséquence de quoi le réacteur aurait nécessité plus de refroidissement - l'ordinateur, sur la base du rapport de faibles niveaux d'huile dans la boîte de vitesses, a gelé tout grandeurs sous son contrôle à une valeur fixe. Cela a maintenu le débit d'eau froide à un niveau trop bas et le réacteur a ainsi surchauffé. Une enquête plus approfondie a montré que l'indication de bas niveaux d'huile avait été signalée par un composant défectueux.
Le logiciel avait répondu conformément à la spécification avec le déclenchement d'une alarme et la fixation de toutes les variables opératoires. C'était une conséquence de l'étude HAZOP (analyse des dangers et de l'opérabilité) (Knowlton 1986) réalisée avant l'événement, qui exigeait que toutes les variables contrôlées ne soient pas modifiées en cas de défaillance. Le programmeur ne connaissant pas la procédure en détail, cette exigence a été interprétée comme signifiant que les actionneurs commandés (vannes de commande dans ce cas) ne devaient pas être modifiés ; aucune attention n'a été accordée à la possibilité d'une élévation de la température. Le programmeur n'a pas pris en considération qu'après avoir reçu un signal erroné le système pouvait se retrouver dans une situation dynamique d'un type nécessitant l'intervention active de l'ordinateur pour éviter un accident. La situation qui a conduit à l'accident était d'ailleurs si improbable qu'elle n'avait pas été analysée en détail dans l'étude HAZOP (Levenson 1986). Cet exemple permet de passer à une deuxième catégorie de causes d'accidents logiciels et informatiques. Ce sont les pannes systématiques qui sont dans le système depuis le début, mais qui ne se manifestent que dans certaines situations bien précises dont le développeur n'a pas tenu compte.
Accidents causés par des pannes de fonctionnement
Lors d'essais sur le terrain lors de l'inspection finale des robots, un technicien a emprunté la cassette d'un robot voisin et l'a remplacée par une autre sans en informer son collègue. De retour sur son lieu de travail, le collègue insère la mauvaise cassette. Comme il se tenait à côté du robot et s'attendait à une séquence particulière de mouvements de sa part - une séquence qui se déroulait différemment en raison du programme échangé - une collision s'est produite entre le robot et l'humain. Cet accident décrit l'exemple classique d'une panne de fonctionnement. Le rôle de ces défaillances dans les dysfonctionnements et les accidents augmente actuellement en raison de la complexité croissante de l'application des mécanismes de sécurité contrôlés par ordinateur.
Accidents causés par des défaillances systématiques du matériel ou des logiciels
Une torpille à ogive devait être tirée à des fins d'entraînement, depuis un navire de guerre en haute mer. En raison d'un défaut de l'appareil d'entraînement, la torpille est restée dans le tube lance-torpilles. Le capitaine a décidé de retourner au port d'attache afin de récupérer la torpille. Peu de temps après que le navire ait commencé à rentrer chez lui, la torpille a explosé. Une analyse de l'accident a révélé que les développeurs de la torpille avaient été obligés d'intégrer à la torpille un mécanisme destiné à empêcher qu'elle ne revienne sur la rampe de lancement après avoir été tirée et détruise ainsi le navire qui l'avait lancée. Le mécanisme choisi pour cela était le suivant : Après le tir de la torpille, on vérifiait, à l'aide de la centrale de navigation inertielle, si sa trajectoire s'était modifiée de 180°. Dès que la torpille a senti qu'elle avait tourné à 180 °, la torpille a explosé immédiatement, soi-disant à une distance de sécurité de la rampe de lancement. Ce mécanisme de détection a été actionné dans le cas de la torpille qui n'avait pas été correctement lancée, de sorte que la torpille a explosé après que le navire eut changé de cap de 180°. Il s'agit d'un exemple typique d'accident survenu en raison d'un défaut de spécification. L'exigence du cahier des charges selon laquelle la torpille ne devait pas détruire son propre navire en cas de changement de cap n'était pas formulée avec suffisamment de précision; la précaution a donc été programmée par erreur. L'erreur n'est apparue que dans une situation particulière, une situation que le programmeur n'avait pas considérée comme une possibilité.
Le 14 septembre 1993, un Airbus A 320 de la Lufthansa s'écrase lors de son atterrissage à Varsovie (figure 1). Une enquête minutieuse sur l'accident a montré que des modifications de la logique d'atterrissage de l'ordinateur de bord effectuées après un accident avec un Boeing 767 de Lauda Air en 1991 étaient en partie responsables de cet atterrissage forcé. Ce qui s'était passé lors de l'accident de 1991, c'est que la déviation de poussée, qui détourne une partie des gaz du moteur afin de freiner l'avion lors de l'atterrissage, s'était engagée alors qu'elle était encore en l'air, forçant ainsi la machine à piquer du nez incontrôlable. Pour cette raison, un verrouillage électronique de la déviation de poussée avait été intégré dans les machines Airbus. Ce mécanisme a permis à la déviation de poussée de n'entrer en vigueur qu'après que les capteurs des deux ensembles de trains d'atterrissage aient signalé la compression des amortisseurs sous la pression des roues touchant le sol. Sur la base d'informations erronées, les pilotes de l'avion à Varsovie ont anticipé un fort vent latéral.
Figure 1. Airbus de Lufthansa après un accident à Varsovie en 1993
Pour cette raison, ils ont amené la machine avec une légère inclinaison et l'Airbus s'est posé avec la roue droite uniquement, laissant la gauche portant moins que le poids total. Du fait du verrouillage électronique du braquage de poussée, l'ordinateur de bord a refusé au pilote pendant neuf secondes les manœuvres qui auraient permis à l'avion d'atterrir en toute sécurité malgré des circonstances défavorables. Cet accident démontre très clairement que des modifications de systèmes informatiques peuvent conduire à des situations nouvelles et dangereuses si l'on ne considère pas à l'avance l'étendue de leurs conséquences possibles.
L'exemple de dysfonctionnement suivant montre également les effets désastreux que la modification d'une seule commande peut avoir sur les systèmes informatiques. La teneur en alcool du sang est déterminée, par des tests chimiques, à l'aide de sérum sanguin clair dont les globules sanguins ont été préalablement centrifugés. La teneur en alcool du sérum est donc plus élevée (d'un facteur 1.2) que celle du sang total plus épais. Pour cette raison, les valeurs d'alcool dans le sérum doivent être divisées par un facteur de 1.2 afin d'établir les parties pour mille légalement et médicalement critiques. Lors du test inter-laboratoires organisé en 1984, les taux d'alcoolémie déterminés lors de tests identiques effectués dans différents instituts de recherche utilisant du sérum devaient être comparés les uns aux autres. Comme il ne s'agissait que de comparaison, l'ordre de diviser par 1.2 a d'ailleurs été effacé du programme d'un des établissements pour la durée de l'expérimentation. Après la fin de l'essai interlaboratoires, une commande de multiplication par 1.2 a été introduite par erreur dans le programme à cet endroit. En conséquence, environ 1,500 1984 valeurs incorrectes de parties pour mille ont été calculées entre août 1985 et mars 1.0. Cette erreur était critique pour la carrière professionnelle des camionneurs dont le taux d'alcoolémie se situait entre 1.3 et 1.3 pour mille, puisqu'une sanction légale entraînant la confiscation du permis de conduire pour une période prolongée est la conséquence d'une valeur de XNUMX pour mille.
Accidents causés par des influences de contraintes de fonctionnement ou de contraintes environnementales
Suite à une perturbation causée par la collecte de déchets dans la zone effective d'une poinçonneuse et grignoteuse CNC (commande numérique par ordinateur), l'utilisateur a déclenché "l'arrêt programmé". Alors qu'il tentait d'enlever les déchets avec ses mains, la tige de poussée de la machine s'est mise à bouger malgré l'arrêt programmé et a gravement blessé l'utilisateur. L'analyse de l'accident a révélé qu'il ne s'agissait pas d'une erreur de programme. Le démarrage inattendu n'a pas pu être reproduit. Des irrégularités similaires avaient été observées par le passé sur d'autres machines du même type. Il semble plausible d'en déduire que l'accident doit avoir été causé par des interférences électromagnétiques. Des accidents similaires avec des robots industriels sont signalés au Japon (Neumann 1987).
Un dysfonctionnement de la sonde spatiale Voyager 2 le 18 janvier 1986 rend encore plus claire l'influence des contraintes environnementales sur les systèmes contrôlés par ordinateur. Six jours avant l'approche la plus proche d'Uranus, de grands champs de lignes noires et blanches couvraient les images de Voyager 2. Une analyse précise a montré qu'un seul bit dans un mot de commande du sous-système de données de vol avait causé la panne, observée comme les images ont été compressées dans la sonde. Ce bit avait très probablement été déplacé dans la mémoire du programme par l'impact d'une particule cosmique. La transmission sans erreur des photographies compressées de la sonde n'a été effectuée que deux jours plus tard, en utilisant un programme de remplacement capable de contourner le point mémoire défaillant (Laeser, McLaughlin et Wolff 1987).
Résumé des accidents présentés
Les accidents analysés montrent que certains risques qui pourraient être négligés dans des conditions utilisant une technologie électromécanique simple, gagnent en importance avec l'utilisation d'ordinateurs. Les ordinateurs permettent le traitement de fonctions de sécurité complexes et spécifiques à la situation. Une spécification claire, sans erreur, complète et testable de toutes les fonctions de sécurité devient donc particulièrement importante. Les erreurs dans les spécifications sont difficiles à découvrir et sont souvent la cause d'accidents dans les systèmes complexes. Les commandes librement programmables sont généralement introduites dans le but de pouvoir réagir de manière flexible et rapide à l'évolution du marché. Cependant, les modifications, en particulier dans les systèmes complexes, ont des effets secondaires difficiles à prévoir. Toutes les modifications doivent donc être soumises à une procédure de gestion des modifications strictement formelle dans laquelle une séparation claire des fonctions de sécurité des systèmes partiels sans rapport avec la sécurité aidera à garder les conséquences des modifications pour la technologie de sécurité faciles à étudier.
Les ordinateurs fonctionnent avec de faibles niveaux d'électricité. Ils sont donc sensibles aux interférences provenant de sources de rayonnement externes. La modification d'un seul signal parmi des millions pouvant entraîner un dysfonctionnement, il convient de porter une attention particulière au thème de la compatibilité électromagnétique en lien avec les ordinateurs.
La maintenance des systèmes commandés par ordinateur devient actuellement de plus en plus complexe et donc de plus en plus floue. L'ergonomie logicielle des logiciels d'utilisation et de configuration devient donc plus intéressante du point de vue de la technique de sécurité.
Aucun système informatique n'est testable à 100 %. Un mécanisme de contrôle simple avec 32 ports d'entrée binaires et 1,000 4.3 chemins logiciels différents nécessite 10 × XNUMX12 tests pour un contrôle complet. A raison de 100 tests par seconde exécutés et évalués, un test complet prendrait 1,362 XNUMX ans.
Procédures et mesures pour l'amélioration des dispositifs de sécurité contrôlés par ordinateur
Des procédures ont été développées au cours des 10 dernières années qui permettent de maîtriser des enjeux spécifiques de sécurité liés à l'informatique. Ces procédures s'adressent aux pannes informatiques décrites dans cette section. Les exemples décrits de logiciels et d'ordinateurs dans la protection des machines et les accidents analysés montrent que l'étendue des dommages et donc aussi le risque encouru dans diverses applications sont extrêmement variables. Il est donc clair que les précautions nécessaires à l'amélioration des ordinateurs et des logiciels utilisés dans les techniques de sécurité doivent être établies en fonction du risque.
La figure 2 montre une procédure qualitative par laquelle la réduction de risque nécessaire pouvant être obtenue à l'aide de systèmes de sécurité peut être déterminée indépendamment de l'ampleur et de la fréquence des dommages (Bell et Reinert 1992). Les types de défaillances des systèmes informatiques analysés dans la section « Accidents avec des systèmes contrôlés par ordinateur » (ci-dessus) peuvent être mis en relation avec ce que l'on appelle les niveaux d'intégrité de sécurité, c'est-à-dire les installations techniques de réduction des risques.
Figure 2. Procédure qualitative de détermination des risques
La figure 3 montre clairement que l'efficacité des mesures prises, dans un cas donné, pour réduire les erreurs dans les logiciels et les ordinateurs doit croître avec l'augmentation du risque (DIN 1994 ; IEC 1993).
Figure 3, Efficacité des précautions prises contre les erreurs indépendamment du risque
L'analyse des accidents esquissée ci-dessus montre que la défaillance des sauvegardes pilotées par ordinateur est causée non seulement par des défauts aléatoires de composants, mais également par des conditions de fonctionnement particulières dont le programmeur n'a pas tenu compte. Les conséquences non immédiatement évidentes des modifications du programme effectuées au cours de la maintenance du système constituent une autre source d'erreur. Il s'ensuit qu'il peut y avoir des défaillances dans les systèmes de sécurité commandés par des microprocesseurs qui, bien que réalisées lors de la mise au point du système, ne peuvent conduire à une situation dangereuse qu'en cours de fonctionnement. Des précautions contre de telles défaillances doivent donc être prises pendant que les systèmes liés à la sécurité sont en phase de développement. Ces mesures dites d'évitement des pannes doivent être prises non seulement pendant la phase de conception, mais également pendant le processus de développement, d'installation et de modification. Certaines défaillances peuvent être évitées si elles sont découvertes et corrigées au cours de ce processus (DIN 1990).
Comme le montre clairement le dernier incident décrit, la panne d'un seul transistor peut entraîner la défaillance technique d'équipements automatisés très complexes. Étant donné que chaque circuit unique est composé de plusieurs milliers de transistors et d'autres composants, de nombreuses mesures d'évitement des pannes doivent être prises pour reconnaître de telles pannes qui se produisent en fonctionnement et pour initier une réaction appropriée dans le système informatique. La figure 4 décrit les types de pannes dans les systèmes électroniques programmables ainsi que des exemples de précautions qui peuvent être prises pour éviter et contrôler les pannes dans les systèmes informatiques (DIN 1990 ; CEI 1992).
Figure 4. Exemples de précautions prises pour contrôler et éviter les erreurs dans les systèmes informatiques
Possibilités et perspectives des systèmes électroniques programmables dans les technologies de sécurité
Les machines et installations modernes deviennent de plus en plus complexes et doivent accomplir des tâches de plus en plus complètes dans des délais de plus en plus courts. Pour cette raison, les systèmes informatiques ont envahi presque tous les domaines de l'industrie depuis le milieu des années 1970. Cette augmentation de la complexité à elle seule a contribué de manière significative à l'augmentation des coûts impliqués dans l'amélioration de la technologie de sécurité dans de tels systèmes. Bien que les logiciels et les ordinateurs représentent un grand défi pour la sécurité sur le lieu de travail, ils permettent également la mise en œuvre de nouveaux systèmes sans erreur dans le domaine de la technologie de sécurité.
Un vers drôle mais instructif d'Ernst Jandl aidera à expliquer ce que l'on entend par le concept erreur facile. "Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum". ("Dilection: Beaucoup croient que la lumière et le repos ne peuvent pas être échangés, quel ellol".) Malgré l'échange des lettres r et l, cette phrase est facilement compréhensible par un humain adulte normal. Même quelqu'un avec une faible maîtrise de la langue anglaise peut le traduire en anglais. La tâche est cependant presque impossible pour un ordinateur de traduction seul.
Cet exemple montre qu'un être humain peut réagir d'une manière beaucoup plus favorable aux erreurs qu'un ordinateur de langage. Cela signifie que les humains, comme toutes les autres créatures vivantes, peuvent tolérer les échecs en les référant à l'expérience. Si l'on regarde les machines en usage aujourd'hui, on constate que la majorité des machines pénalisent les défaillances des utilisateurs non pas par un accident, mais par une baisse de production. Cette propriété conduit à la manipulation ou au contournement des garanties. La technologie informatique moderne met à la disposition de la sécurité au travail des systèmes capables de réagir intelligemment, c'est-à-dire de manière modifiée. De tels systèmes permettent ainsi un mode de comportement sans erreur dans les nouvelles machines. Ils avertissent d'abord les utilisateurs lors d'une mauvaise manipulation et n'arrêtent la machine que lorsque c'est le seul moyen d'éviter un accident. L'analyse des accidents montre qu'il existe dans ce domaine un potentiel considérable de réduction des accidents (Reinert et Reuss 1991).
Un système automatisé hybride (HAS) vise à intégrer les capacités de machines artificiellement intelligentes (basées sur la technologie informatique) avec les capacités des personnes qui interagissent avec ces machines dans le cadre de leurs activités de travail. Les principales préoccupations de l'utilisation du HAS concernent la manière dont les sous-systèmes humains et machines doivent être conçus afin de tirer le meilleur parti des connaissances et des compétences des deux parties du système hybride, et la manière dont les opérateurs humains et les composants de la machine doivent interagir les uns avec les autres. assurer la complémentarité de leurs fonctions. De nombreux systèmes automatisés hybrides ont évolué en tant que produits d'applications de méthodologies modernes basées sur l'information et le contrôle pour automatiser et intégrer différentes fonctions de systèmes technologiques souvent complexes. HAS a été identifié à l'origine avec l'introduction de systèmes informatisés utilisés dans la conception et l'exploitation de systèmes de contrôle en temps réel pour les réacteurs nucléaires, pour les usines de traitement chimique et pour la technologie de fabrication de pièces discrètes. Le HAS se retrouve désormais également dans de nombreuses industries de services, telles que le contrôle du trafic aérien et les procédures de navigation aérienne dans le domaine de l'aviation civile, ainsi que dans la conception et l'utilisation de systèmes intelligents de navigation pour véhicules et autoroutes dans le transport routier.
Avec les progrès continus de l'automatisation assistée par ordinateur, la nature des tâches humaines dans les systèmes technologiques modernes passe de celles qui nécessitent des compétences perceptivo-motrices à celles qui nécessitent des activités cognitives, nécessaires à la résolution de problèmes, à la prise de décision dans la surveillance du système et à la tâches de contrôle de surveillance. Par exemple, les opérateurs humains dans les systèmes de fabrication intégrés par ordinateur agissent principalement en tant que moniteurs de système, résolveurs de problèmes et décideurs. Les activités cognitives du superviseur humain dans tout environnement HAS sont (1) la planification de ce qui doit être fait pour une période de temps donnée, (2) la conception de procédures (ou étapes) pour atteindre l'ensemble d'objectifs planifiés, (3) le suivi des progrès des processus (technologiques), (4) "enseigner" le système via un ordinateur interactif, (5) intervenir si le système se comporte de manière anormale ou si les priorités de contrôle changent et (6) apprendre par le retour d'information du système sur l'impact de actions de supervision (Sheridan 1987).
Conception de système hybride
Les interactions homme-machine dans un HAS impliquent l'utilisation de boucles de communication dynamiques entre les opérateurs humains et les machines intelligentes - un processus qui comprend la détection et le traitement de l'information et l'initiation et l'exécution des tâches de contrôle et la prise de décision - dans une structure donnée d'attribution de fonctions entre humains et machines. Au minimum, les interactions entre les personnes et l'automatisation doivent refléter la grande complexité des systèmes automatisés hybrides, ainsi que les caractéristiques pertinentes des opérateurs humains et les exigences des tâches. Par conséquent, le système automatisé hybride peut être formellement défini comme un quintuple dans la formule suivante :
A = (T, U, C, E, I)
où T = exigences de la tâche (physiques et cognitives) ; U = caractéristiques de l'utilisateur (physiques et cognitives) ; C = les caractéristiques de l'automatisation (matériel et logiciel, y compris les interfaces informatiques) ; E = l'environnement du système ; I = un ensemble d'interactions entre les éléments ci-dessus.
L'ensemble des interactions I incarne toutes les interactions possibles entre T, U et C in E quelle que soit leur nature ou leur force d'association. Par exemple, l'une des interactions possibles pourrait impliquer la relation entre les données stockées dans la mémoire de l'ordinateur et les connaissances correspondantes, le cas échéant, de l'opérateur humain. Les interactions I peut être élémentaire (c'est-à-dire limité à une association biunivoque) ou complexe, comme cela impliquerait des interactions entre l'opérateur humain, le logiciel particulier utilisé pour accomplir la tâche souhaitée et l'interface physique disponible avec l'ordinateur.
Les concepteurs de nombreux systèmes automatisés hybrides se concentrent principalement sur l'intégration assistée par ordinateur de machines sophistiquées et d'autres équipements dans le cadre de la technologie informatique, accordant rarement beaucoup d'attention au besoin primordial d'une intégration humaine efficace au sein de ces systèmes. Par conséquent, à l'heure actuelle, de nombreux systèmes (technologiques) intégrés à l'ordinateur ne sont pas entièrement compatibles avec les capacités inhérentes des opérateurs humains telles qu'exprimées par les compétences et les connaissances nécessaires au contrôle et à la surveillance efficaces de ces systèmes. Une telle incompatibilité survient à tous les niveaux du fonctionnement humain, machine et homme-machine, et peut être définie dans le cadre de l'individu et de l'ensemble de l'organisation ou de l'installation. Par exemple, les problèmes d'intégration des personnes et de la technologie dans les entreprises de fabrication de pointe surviennent tôt dans la phase de conception du HAS. Ces problèmes peuvent être conceptualisés en utilisant le modèle d'intégration de système suivant de la complexité des interactions, I, entre les concepteurs du système, D, opérateurs humains, H, ou les utilisateurs potentiels du système et la technologie, T:
Je (H, T) = F [ je (H, D), je (D, T)]
où I représente les interactions pertinentes ayant lieu dans la structure d'une HAS donnée, tandis que F indique les relations fonctionnelles entre les concepteurs, les opérateurs humains et la technologie.
Le modèle d'intégration de système ci-dessus met en évidence le fait que les interactions entre les utilisateurs et la technologie sont déterminées par le résultat de l'intégration des deux interactions précédentes, à savoir (1) celles entre les concepteurs de HAS et les utilisateurs potentiels et (2) celles entre les concepteurs. et la technologie HAS (au niveau des machines et de leur intégration). Il convient de noter que même si de fortes interactions existent généralement entre les concepteurs et la technologie, seuls très peu d'exemples d'interrelations aussi fortes entre les concepteurs et les opérateurs humains peuvent être trouvés.
On peut affirmer que même dans les systèmes les plus automatisés, le rôle humain reste essentiel à la performance réussie du système au niveau opérationnel. Bainbridge (1983) a identifié un ensemble de problèmes liés au fonctionnement de la HAS qui sont dus à la nature de l'automatisation elle-même, comme suit :
Répartition des tâches
L'une des questions importantes pour la conception du HAS est de déterminer combien et quelles fonctions ou responsabilités doivent être attribuées aux opérateurs humains, et lesquelles et combien aux ordinateurs. En règle générale, il existe trois classes de base de problèmes d'attribution des tâches à prendre en compte : (1) l'attribution des tâches superviseur humain-ordinateur, (2) l'attribution des tâches homme-humain et (3) l'attribution des tâches ordinateur-ordinateur de supervision. Idéalement, les décisions d'allocation devraient être prises par le biais d'une procédure d'allocation structurée avant que la conception de base du système ne soit commencée. Malheureusement, un tel processus systématique est rarement possible, car les fonctions à attribuer peuvent nécessiter un examen plus approfondi ou doivent être effectuées de manière interactive entre les composants du système humain et machine, c'est-à-dire par l'application du paradigme de contrôle de supervision. L'attribution des tâches dans les systèmes automatisés hybrides devrait se concentrer sur l'étendue des responsabilités de supervision humaines et informatiques et devrait tenir compte de la nature des interactions entre l'opérateur humain et les systèmes informatisés d'aide à la décision. Les moyens de transfert d'informations entre les machines et les interfaces humaines d'entrée-sortie et la compatibilité des logiciels avec les capacités cognitives humaines de résolution de problèmes doivent également être pris en compte.
Dans les approches traditionnelles de la conception et de la gestion des systèmes automatisés hybrides, les travailleurs étaient considérés comme des systèmes d'entrée-sortie déterministes, et il y avait une tendance à ignorer la nature téléologique du comportement humain, c'est-à-dire le comportement axé sur les objectifs reposant sur l'acquisition de connaissances. les informations pertinentes et la sélection des objectifs (Goodstein et al. 1988). Pour réussir, la conception et la gestion de systèmes automatisés hybrides avancés doivent être basées sur une description des fonctions mentales humaines nécessaires à une tâche spécifique. L'approche « d'ingénierie cognitive » (décrite plus loin) propose que les systèmes homme-machine (hybrides) doivent être conçus, conçus, analysés et évalués en termes de processus mentaux humains (c'est-à-dire que le modèle mental de l'opérateur des systèmes adaptatifs est pris en Compte). Voici les exigences de l'approche centrée sur l'humain pour la conception et l'exploitation du HAS telles que formulées par Corbett (1988) :
Ingénierie Cognitive des Facteurs Humains
L'ingénierie cognitive des facteurs humains se concentre sur la façon dont les opérateurs humains prennent des décisions sur le lieu de travail, résolvent des problèmes, formulent des plans et acquièrent de nouvelles compétences (Hollnagel et Woods 1983). Les rôles des opérateurs humains fonctionnant dans n'importe quel HAS peuvent être classés à l'aide du schéma de Rasmussen (1983) en trois grandes catégories :
Dans la conception et la gestion d'un HAS, il convient de considérer les caractéristiques cognitives des travailleurs afin d'assurer la compatibilité du fonctionnement du système avec le modèle interne du travailleur qui décrit ses fonctions. Par conséquent, le niveau de description du système doit être déplacé des aspects du fonctionnement humain basés sur les compétences vers les aspects basés sur les règles et les connaissances, et des méthodes appropriées d'analyse des tâches cognitives doivent être utilisées pour identifier le modèle d'opérateur d'un système. Un problème connexe dans le développement d'un HAS est la conception des moyens de transmission d'informations entre l'opérateur humain et les composants du système automatisé, tant au niveau physique que cognitif. Un tel transfert d'informations doit être compatible avec les modes d'information utilisés à différents niveaux de fonctionnement du système, c'est-à-dire visuels, verbaux, tactiles ou hybrides. Cette compatibilité informationnelle garantit que différentes formes de transfert d'informations nécessiteront une incompatibilité minimale entre le support et la nature de l'information. Par exemple, un affichage visuel est le meilleur pour la transmission d'informations spatiales, tandis que l'entrée auditive peut être utilisée pour transmettre des informations textuelles.
Très souvent, l'opérateur humain développe un modèle interne qui décrit le fonctionnement et la fonction du système en fonction de son expérience, de sa formation et de ses instructions en rapport avec le type d'interface homme-machine donné. À la lumière de cette réalité, les concepteurs d'un HAS devraient tenter d'intégrer aux machines (ou à d'autres systèmes artificiels) un modèle des caractéristiques physiques et cognitives de l'opérateur humain, c'est-à-dire l'image que le système se fait de l'opérateur (Hollnagel et Woods 1983). . Les concepteurs d'un HAS doivent également tenir compte du niveau d'abstraction dans la description du système ainsi que des différentes catégories pertinentes du comportement de l'opérateur humain. Ces niveaux d'abstraction pour modéliser le fonctionnement humain en milieu de travail sont les suivants (Rasmussen 1983) : (1) forme physique (structure anatomique), (2) fonctions physiques (fonctions physiologiques), (3) fonctions généralisées (mécanismes psychologiques et fonctions cognitives). et processus affectifs), (4) fonctions abstraites (traitement de l'information) et (5) but fonctionnel (structures de valeurs, mythes, religions, interactions humaines). Ces cinq niveaux doivent être considérés simultanément par les concepteurs afin d'assurer une performance efficace de la HAS.
Conception de logiciels système
Étant donné que le logiciel informatique est un composant principal de tout environnement HAS, le développement logiciel, y compris la conception, les tests, le fonctionnement et la modification, ainsi que les problèmes de fiabilité du logiciel doivent également être pris en compte dès les premières étapes du développement HAS. Par ce moyen, on devrait être en mesure de réduire le coût de la détection et de l'élimination des erreurs logicielles. Il est cependant difficile d'estimer la fiabilité des composantes humaines d'une HAS, en raison des limites de notre capacité à modéliser la performance des tâches humaines, la charge de travail associée et les erreurs potentielles. Une charge de travail mental excessive ou insuffisante peut conduire à une surcharge d'informations et à l'ennui, respectivement, et peut entraîner une dégradation des performances humaines, entraînant des erreurs et une augmentation de la probabilité d'accidents. Les concepteurs d'un HAS doivent utiliser des interfaces adaptatives, qui utilisent des techniques d'intelligence artificielle, pour résoudre ces problèmes. En plus de la compatibilité homme-machine, la question de l'adaptabilité homme-machine entre eux doit être considérée afin de réduire les niveaux de stress qui surviennent lorsque les capacités humaines peuvent être dépassées.
En raison du haut niveau de complexité de nombreux systèmes automatisés hybrides, l'identification de tout danger potentiel lié au matériel, aux logiciels, aux procédures opérationnelles et aux interactions homme-machine de ces systèmes devient essentielle au succès des efforts visant à réduire les blessures et les dommages matériels. . Les risques pour la sécurité et la santé associés aux systèmes automatisés hybrides complexes, tels que la technologie de fabrication intégrée par ordinateur (CIM), sont clairement l'un des aspects les plus critiques de la conception et du fonctionnement du système.
Problèmes de sécurité du système
Les environnements automatisés hybrides, avec leur potentiel important de comportement erratique du logiciel de contrôle dans des conditions de perturbation du système, créent une nouvelle génération de risques d'accident. À mesure que les systèmes automatisés hybrides deviennent plus polyvalents et complexes, les perturbations du système, y compris les problèmes de démarrage et d'arrêt et les déviations dans le contrôle du système, peuvent augmenter considérablement la possibilité d'un danger grave pour les opérateurs humains. Ironiquement, dans de nombreuses situations anormales, les opérateurs comptent généralement sur le bon fonctionnement des sous-systèmes de sécurité automatisés, une pratique qui peut augmenter le risque de blessures graves. Par exemple, une étude des accidents liés à des dysfonctionnements des systèmes de contrôle technique a montré qu'environ un tiers des séquences accidentelles comportaient une intervention humaine dans la boucle de contrôle du système perturbé.
Les mesures de sécurité traditionnelles ne pouvant être facilement adaptées aux besoins des environnements HAS, les stratégies de contrôle des blessures et de prévention des accidents doivent être reconsidérées au regard des caractéristiques inhérentes à ces systèmes. Par exemple, dans le domaine de la technologie de fabrication avancée, de nombreux processus sont caractérisés par l'existence de quantités substantielles de flux d'énergie qui ne peuvent pas être facilement anticipées par les opérateurs humains. De plus, les problèmes de sécurité apparaissent généralement aux interfaces entre les sous-systèmes ou lorsque les perturbations du système progressent d'un sous-système à l'autre. Selon l'Organisation internationale de normalisation (ISO 1991), les risques associés aux dangers dus à l'automatisation industrielle varient selon les types de machines industrielles incorporées dans le système de fabrication spécifique et selon la manière dont le système est installé, programmé, utilisé, entretenu et réparé. Par exemple, une comparaison des accidents liés aux robots en Suède avec d'autres types d'accidents a montré que les robots peuvent être les machines industrielles les plus dangereuses utilisées dans l'industrie manufacturière de pointe. Le taux d'accident estimé pour les robots industriels était d'un accident grave pour 45 années-robots, un taux supérieur à celui des presses industrielles, qui était d'un accident pour 50 années-machines. Il convient de noter ici que les presses industrielles aux États-Unis représentaient environ 23 % de tous les décès liés aux machines à travailler les métaux pour la période 1980-1985, les presses mécaniques se classant au premier rang en ce qui concerne le produit gravité-fréquence des blessures non mortelles.
Dans le domaine de la technologie de fabrication avancée, de nombreuses pièces mobiles sont dangereuses pour les travailleurs car elles changent de position de manière complexe en dehors du champ visuel des opérateurs humains. Les développements technologiques rapides dans la fabrication intégrée par ordinateur ont créé un besoin critique d'étudier les effets de la technologie de fabrication avancée sur les travailleurs. Afin d'identifier les dangers causés par les différentes composantes d'un tel environnement HAS, les accidents passés doivent être soigneusement analysés. Malheureusement, les accidents impliquant l'utilisation de robots sont difficiles à isoler des rapports d'accidents liés à des machines à commande humaine et, par conséquent, il peut y avoir un pourcentage élevé d'accidents non enregistrés. Les règles de santé et de sécurité au travail du Japon stipulent que "les robots industriels ne disposent pas actuellement de moyens de sécurité fiables et les travailleurs ne peuvent en être protégés que si leur utilisation est réglementée". Par exemple, les résultats de l'enquête menée par le ministère du Travail du Japon (Sugimoto 1987) sur les accidents liés aux robots industriels dans les 190 usines étudiées (avec 4,341 300 robots en activité) ont montré qu'il y avait 37 perturbations liées aux robots, dont 9 cas des actes dangereux ont entraîné des quasi-accidents, 2 étaient des accidents causant des blessures et XNUMX étaient des accidents mortels. Les résultats d'autres études indiquent que l'automatisation informatisée n'augmente pas nécessairement le niveau global de sécurité, car le matériel du système ne peut pas être rendu sûr par les fonctions de sécurité du logiciel informatique seul, et les contrôleurs du système ne sont pas toujours très fiables. De plus, dans un HAS complexe, on ne peut pas dépendre exclusivement des dispositifs de détection de sécurité pour détecter les conditions dangereuses et entreprendre des stratégies appropriées d'évitement des dangers.
Effets de l'automatisation sur la santé humaine
Comme indiqué ci-dessus, les activités des travailleurs dans de nombreux environnements HAS sont essentiellement celles du contrôle de la supervision, de la surveillance, de l'assistance et de la maintenance du système. Ces activités peuvent également être classées en quatre groupes de base comme suit : (1) tâches de programmation, c'est-à-dire codage des informations qui guident et dirigent le fonctionnement des machines, (2) surveillance des composants de production et de contrôle du HAS, (3) maintenance des composants du HAS pour prévenir ou atténuer les dysfonctionnements des machines, et (4) effectuer diverses tâches de soutien, etc. , travailler dans un environnement HAS peut être insatisfaisant et stressant pour les travailleurs. Les sources de stress comprenaient la surveillance constante requise dans de nombreuses applications HAS, la portée limitée des activités attribuées, le faible niveau d'interaction des travailleurs permis par la conception du système et les risques pour la sécurité associés à la nature imprévisible et incontrôlable de l'équipement. Même si certains travailleurs impliqués dans les activités de programmation et d'entretien ressentent des éléments de défi, ce qui peut avoir des effets positifs sur leur bien-être, ces effets sont souvent compensés par la nature complexe et exigeante de ces activités, ainsi que par la pression exercé par la direction pour mener à bien ces activités rapidement.
Bien que dans certains environnements HAS les opérateurs humains soient éloignés des sources d'énergie traditionnelles (flux de travail et mouvement de la machine) dans des conditions normales de fonctionnement, de nombreuses tâches dans les systèmes automatisés doivent encore être effectuées en contact direct avec d'autres sources d'énergie. Le nombre de composants différents du HAS étant en constante augmentation, un accent particulier doit être mis sur le confort et la sécurité des travailleurs et sur le développement de dispositifs efficaces de contrôle des blessures, d'autant plus que les travailleurs ne sont plus en mesure de suivre le la sophistication et la complexité de tels systèmes.
Afin de répondre aux besoins actuels en matière de contrôle des blessures et de sécurité des travailleurs dans les systèmes de fabrication intégrés par ordinateur, le comité ISO sur les systèmes d'automatisation industrielle a proposé une nouvelle norme de sécurité intitulée "Sécurité des systèmes de fabrication intégrés" (1991). Cette nouvelle norme internationale, qui a été développée en reconnaissance des risques particuliers qui existent dans les systèmes de fabrication intégrés incorporant des machines industrielles et des équipements associés, vise à minimiser les risques de blessures pour le personnel travaillant sur ou à proximité d'un système de fabrication intégré. Les principales sources de dangers potentiels pour les opérateurs humains dans le CIM identifiées par cette norme sont présentées dans la figure 1.
Figure 1. Principale source de dangers dans la fabrication intégrée par ordinateur (CIM) (après ISO 1991)
Erreurs humaines et système
En général, les dangers dans un HAS peuvent provenir du système lui-même, de son association avec d'autres équipements présents dans l'environnement physique ou des interactions du personnel humain avec le système. Un accident n'est que l'un des nombreux résultats des interactions homme-machine qui peuvent survenir dans des conditions dangereuses ; les quasi-accidents et les incidents avec dommages sont beaucoup plus fréquents (Zimolong et Duda 1992). L'apparition d'une erreur peut entraîner l'une des conséquences suivantes : (1) l'erreur reste inaperçue, (2) le système peut compenser l'erreur, (3) l'erreur entraîne une panne de la machine et/ou un arrêt du système ou (4 ) l'erreur entraîne un accident.
Étant donné que toutes les erreurs humaines qui entraînent un incident critique ne causeront pas un véritable accident, il convient de distinguer davantage les catégories de résultats comme suit : (1) un incident dangereux (c'est-à-dire tout événement non intentionnel, qu'il entraîne des blessures, des dommages ou perte), (2) un accident (c'est-à-dire un événement dangereux entraînant une blessure, un dommage ou une perte), (3) un incident dommageable (c'est-à-dire un événement dangereux qui n'entraîne qu'un certain type de dommage matériel), (4) un quasi-accident ou « quasi-accident » (c'est-à-dire, un événement dangereux dans lequel une blessure, un dommage ou une perte a été évité fortuitement par une faible marge) et (5) l'existence d'un potentiel d'accident (c'est-à-dire, des événements dangereux qui auraient pu entraîner des blessures, des dommages , ou perte, mais, en raison des circonstances, n'a pas entraîné même un quasi-accident).
On peut distinguer trois types fondamentaux d'erreur humaine dans une HAS :
Cette taxonomie, conçue par Reason (1990), est basée sur une modification de la classification compétence-règle-connaissance de la performance humaine de Rasmussen telle que décrite ci-dessus. Au niveau des compétences, la performance humaine est régie par des modèles stockés d'instructions préprogrammées représentées sous forme de structures analogiques dans un domaine spatio-temporel. Le niveau basé sur des règles s'applique à la résolution de problèmes familiers dans lesquels les solutions sont régies par des règles stockées (appelées "productions", car elles sont consultées ou produites au besoin). Ces règles exigent que certains diagnostics (ou jugements) soient posés, ou que certaines actions correctives soient prises, étant donné que certaines conditions sont apparues qui exigent une réponse appropriée. À ce niveau, les erreurs humaines sont généralement associées à une mauvaise classification des situations, conduisant soit à l'application de la mauvaise règle, soit au rappel incorrect des jugements ou des procédures qui en découlent. Les erreurs basées sur les connaissances se produisent dans des situations nouvelles pour lesquelles des actions doivent être planifiées « en ligne » (à un moment donné), en utilisant des processus analytiques conscients et des connaissances stockées. Les erreurs à ce niveau proviennent de ressources limitées et de connaissances incomplètes ou incorrectes.
Les systèmes génériques de modélisation des erreurs (GEMS) proposés par Reason (1990), qui tentent de localiser les origines des types d'erreurs humaines de base, peuvent être utilisés pour dériver la taxonomie globale du comportement humain dans un HAS. GEMS cherche à intégrer deux domaines distincts de recherche sur les erreurs : (1) les dérapages et les défaillances, dans lesquels les actions s'écartent de l'intention actuelle en raison d'échecs d'exécution et/ou de stockage et (2) les erreurs, dans lesquelles les actions peuvent se dérouler conformément au plan, mais le plan est insuffisant pour atteindre le résultat souhaité.
Évaluation et prévention des risques en CIM
Selon l'ISO (1991), l'évaluation des risques dans le CIM doit être effectuée de manière à minimiser tous les risques et à servir de base pour déterminer les objectifs et les mesures de sécurité lors de l'élaboration de programmes ou de plans à la fois pour créer un environnement de travail sûr et pour assurer également la sécurité et la santé du personnel. Par exemple, les risques professionnels dans les environnements HAS basés sur la fabrication peuvent être caractérisés comme suit : (1) l'opérateur humain peut avoir besoin d'entrer dans la zone dangereuse pendant les tâches de récupération après perturbation, d'entretien et de maintenance, (2) la zone dangereuse est difficile à déterminer, à percevoir et à contrôler, (3) le travail peut être monotone et (4) les accidents survenant au sein des systèmes de fabrication intégrés par ordinateur sont souvent graves. Chaque danger identifié doit être évalué pour son risque, et des mesures de sécurité appropriées doivent être déterminées et mises en œuvre pour minimiser ce risque. Les dangers doivent également être déterminés en ce qui concerne tous les aspects suivants d'un processus donné : l'unité elle-même ; l'interaction entre les unités individuelles ; les sections d'exploitation du système ; et le fonctionnement du système complet pour tous les modes et conditions de fonctionnement prévus, y compris les conditions dans lesquelles les moyens de protection normaux sont suspendus pour des opérations telles que la programmation, la vérification, le dépannage, la maintenance ou la réparation.
La phase de conception de la stratégie de sécurité ISO (1991) pour le CIM comprend :
La spécification de sécurité du système doit inclure :
Conformément à la norme ISO (1991), toutes les exigences nécessaires pour assurer un fonctionnement sûr du système CIM doivent être prises en compte dans la conception des procédures systématiques de planification de la sécurité. Cela inclut toutes les mesures de protection pour réduire efficacement les dangers et nécessite :
La procédure de planification de la sécurité devrait aborder, entre autres, les problèmes de sécurité suivants du CIM :
Contrôle des perturbations du système
Dans de nombreuses installations HAS utilisées dans le domaine de la fabrication intégrée par ordinateur, des opérateurs humains sont généralement nécessaires pour contrôler, programmer, entretenir, prérégler, entretenir ou dépanner les tâches. Les perturbations du système entraînent des situations qui obligent les travailleurs à pénétrer dans les zones dangereuses. À cet égard, on peut supposer que les perturbations restent la principale cause d'interférence humaine dans le CIM, car les systèmes seront le plus souvent programmés depuis l'extérieur des zones réglementées. L'un des problèmes les plus importants pour la sécurité du CIM est de prévenir les perturbations, car la plupart des risques surviennent lors de la phase de dépannage du système. L'évitement des perturbations est l'objectif commun en termes de sécurité et de rentabilité.
Une perturbation dans un système CIM est un état ou une fonction d'un système qui s'écarte de l'état prévu ou souhaité. Outre la productivité, les perturbations pendant le fonctionnement d'un CIM ont un effet direct sur la sécurité des personnes impliquées dans l'exploitation du système. Une étude finlandaise (Kuivanen 1990) a montré qu'environ la moitié des perturbations dans la fabrication automatisée diminuent la sécurité des travailleurs. Les principales causes de perturbations étaient les erreurs de conception du système (34 %), les défaillances des composants du système (31 %), les erreurs humaines (20 %) et les facteurs externes (15 %). La plupart des pannes de machine ont été causées par le système de contrôle et, dans le système de contrôle, la plupart des pannes se sont produites dans les capteurs. Un moyen efficace d'augmenter le niveau de sécurité des installations CIM est de réduire le nombre de perturbations. Si les actions humaines dans les systèmes perturbés préviennent la survenue d'accidents dans l'environnement HAS, elles y contribuent également. Par exemple, une étude des accidents liés à des dysfonctionnements des systèmes de contrôle technique a montré qu'environ un tiers des séquences accidentelles comportaient une intervention humaine dans la boucle de contrôle du système perturbé.
Les principales problématiques de recherche en prévention des perturbations CIM concernent (1) les causes majeures des perturbations, (2) les composants et fonctions non fiables, (3) l'impact des perturbations sur la sûreté, (4) l'impact des perturbations sur le fonctionnement du système, ( 5) dégâts matériels et (6) réparations. La sécurité du HAS doit être planifiée dès le stade de la conception du système, en tenant dûment compte de la technologie, des personnes et de l'organisation, et faire partie intégrante du processus de planification technique global du HAS.
Conception HAS : les enjeux futurs
Pour assurer le meilleur bénéfice des systèmes automatisés hybrides comme discuté ci-dessus, une vision beaucoup plus large du développement du système, basée sur l'intégration des personnes, de l'organisation et de la technologie, est nécessaire. Trois principaux types d'intégration de système doivent être appliqués ici :
Les exigences de conception minimales pour les systèmes automatisés hybrides doivent inclure les éléments suivants : (1) flexibilité, (2) adaptation dynamique, (3) amélioration de la réactivité et (4) nécessité de motiver les personnes et de mieux utiliser leurs compétences, leur jugement et leur expérience. . Ce qui précède nécessite également que les structures organisationnelles, les pratiques de travail et les technologies de la HAS soient développées pour permettre aux personnes à tous les niveaux du système d'adapter leurs stratégies de travail à la variété des situations de contrôle des systèmes. Ainsi, les organisations, les pratiques de travail et les technologies de la HAS devront être conçues et développées comme des systèmes ouverts (Kidd 1994).
Un système automatisé hybride ouvert (OHAS) est un système qui reçoit des entrées et envoie des sorties à son environnement. L'idée d'un système ouvert peut s'appliquer non seulement aux architectures des systèmes et aux structures organisationnelles, mais aussi aux pratiques de travail, aux interfaces homme-machine et à la relation entre les personnes et les technologies : on peut citer, par exemple, les systèmes d'ordonnancement, les systèmes de contrôle et systèmes d'aide à la décision. Un système ouvert est aussi un système adaptatif lorsqu'il laisse aux gens une grande liberté pour définir le mode de fonctionnement du système. Par exemple, dans le domaine de la fabrication de pointe, les exigences d'un système automatisé hybride ouvert peuvent être réalisées grâce au concept de fabrication humaine et intégrée par ordinateur (HCIM). De ce point de vue, la conception de la technologie doit aborder l'architecture globale du système HCIM, y compris les éléments suivants : (1) les considérations du réseau de groupes, (2) la structure de chaque groupe, (3) l'interaction entre les groupes, (4) la nature du logiciel de support et (5) les besoins techniques de communication et d'intégration entre les modules logiciels de support.
Le système automatisé hybride adaptatif, par opposition au système fermé, ne limite pas ce que les opérateurs humains peuvent faire. Le rôle du concepteur d'un HAS est de créer un système qui satisfera les préférences personnelles de l'utilisateur et permettra à ses utilisateurs de travailler de la manière qu'ils jugent la plus appropriée. Une condition préalable à l'autorisation de la contribution des utilisateurs est le développement d'une méthodologie de conception adaptative, c'est-à-dire un OHAS qui permet d'activer une technologie assistée par ordinateur pour sa mise en œuvre dans le processus de conception. La nécessité de développer une méthodologie pour la conception adaptative est l'une des exigences immédiates pour réaliser le concept OHAS dans la pratique. Un nouveau niveau de technologie de contrôle de supervision humaine adaptative doit également être développé. Une telle technologie devrait permettre à l'opérateur humain de "voir à travers" le système de contrôle autrement invisible du fonctionnement du HAS, par exemple, en appliquant un système vidéo interactif à grande vitesse à chaque point de contrôle et d'exploitation du système. Enfin, une méthodologie pour le développement d'un support informatisé intelligent et hautement adaptatif des rôles humains et du fonctionnement humain dans les systèmes automatisés hybrides est également très nécessaire.
Il est généralement admis que les systèmes de contrôle doivent être sûrs pendant leur utilisation. Dans cet esprit, la plupart des systèmes de contrôle modernes sont conçus comme illustré à la figure 1.
Figure 1. Conception générale des systèmes de contrôle
La façon la plus simple de sécuriser un système de contrôle est de construire un mur impénétrable autour de celui-ci afin d'empêcher l'accès ou l'interférence humaine dans la zone dangereuse. Un tel système serait très sûr, bien que peu pratique, car il serait impossible d'y accéder pour effectuer la plupart des travaux de test, de réparation et de réglage. Étant donné que l'accès aux zones dangereuses doit être autorisé sous certaines conditions, des mesures de protection autres que des murs, des clôtures et autres sont nécessaires pour faciliter la production, l'installation, l'entretien et la maintenance.
Certaines de ces mesures de protection peuvent être partiellement ou totalement intégrées dans les systèmes de contrôle, comme suit :
Ces types de mesures de protection sont activés par les opérateurs. Cependant, comme l'être humain représente souvent un point faible dans les applications, de nombreuses fonctions, telles que les suivantes, sont exécutées automatiquement :
Le fonctionnement normal des systèmes de contrôle est la condition préalable la plus importante pour la production. Si une fonction de production est interrompue en raison d'une défaillance du contrôle, c'est tout au plus gênant mais pas dangereux. Si une fonction relative à la sécurité n'est pas exécutée, cela peut entraîner une perte de production, des dommages matériels, des blessures ou même la mort. Par conséquent, les fonctions du système de commande relatives à la sécurité doivent être plus fiables et plus sûres que les fonctions normales du système de commande. Conformément à la directive européenne 89/392/CEE (lignes directrices pour les machines), les systèmes de commande doivent être conçus et construits de manière à être sûrs et fiables.
Les commandes sont constituées d'un certain nombre de composants reliés entre eux de manière à exécuter une ou plusieurs fonctions. Les commandes sont subdivisées en canaux. Un canal est la partie d'une commande qui exécute une fonction spécifique (par exemple, démarrage, arrêt, arrêt d'urgence). Physiquement, le canal est créé par une chaîne de composants (transistors, diodes, relais, portes, etc.) à travers laquelle, d'un composant à l'autre, des informations (principalement électriques) représentant cette fonction sont transférées de l'entrée à la sortie.
Lors de la conception des canaux de commande pour les fonctions relatives à la sécurité (fonctions impliquant des humains), les exigences suivantes doivent être remplies :
Fiabilité
Fiabilité est la capacité d'un canal ou d'un composant de commande à exécuter une fonction requise dans des conditions spécifiées pendant une période de temps donnée sans faillir. (La probabilité pour des composants ou des canaux de contrôle spécifiques peut être calculée à l'aide de méthodes appropriées.) La fiabilité doit toujours être spécifiée pour une valeur de temps spécifique. Généralement, la fiabilité peut être exprimée par la formule de la figure 2.
Figure 2. Formule de fiabilité
Fiabilité des systèmes complexes
Les systèmes sont construits à partir de composants. Si les fiabilités des composants sont connues, la fiabilité du système dans son ensemble peut être calculée. Dans de tels cas, les dispositions suivantes s'appliquent :
Systèmes série
La fiabilité totale Rtot d'un système série composé de N composants de même fiabilité RC est calculé comme dans la figure 3.
Figure 3. Graphique de fiabilité des composants connectés en série
La fiabilité totale est inférieure à la fiabilité du composant le moins fiable. À mesure que le nombre de composants connectés en série augmente, la fiabilité totale de la chaîne diminue considérablement.
Systèmes parallèles
La fiabilité totale Rtot d'un système parallèle composé de N composants de même fiabilité RC est calculé comme dans la figure 4.
Figure 4. Graphique de fiabilité des composants connectés en parallèle
La fiabilité totale peut être améliorée de manière significative grâce à la connexion en parallèle de deux composants ou plus.
La figure 5 illustre un exemple pratique. Notez que le circuit éteindra le moteur de manière plus fiable. Même si le relais A ou B n'ouvre pas son contact, le moteur sera toujours éteint.
Figure 5. Exemple pratique de la figure 4
Calculer la fiabilité totale d'un canal est simple si toutes les fiabilités nécessaires des composants sont connues et disponibles. Dans le cas de composants complexes (circuits intégrés, microprocesseurs, etc.) le calcul de la fiabilité totale est difficile voire impossible si les informations nécessaires ne sont pas publiées par le fabricant.
Sécurité
Lorsque les professionnels parlent de sécurité et demandent des machines sûres, ils parlent de la sécurité de l'ensemble de la machine ou de l'installation. Cette sécurité est cependant trop générale, et pas assez précisément définie pour le concepteur de commandes. La définition suivante de sécurité peut être pratique et utilisable par les concepteurs de circuits de commande : la sécurité est la capacité d'un système de commande à exécuter la fonction requise dans les limites prescrites, pendant une durée donnée, même lorsque des défauts anticipés se produisent. Par conséquent, il doit être clarifié lors de la conception à quel point le canal relatif à la sécurité doit être « sûr ». (Le concepteur peut développer un canal qui est sûr contre la première panne, contre une panne quelconque, contre deux pannes, etc.) De plus, un canal qui remplit une fonction qui est utilisée pour prévenir les accidents peut être essentiellement fiable, mais il n'a pas être inévitablement à l'abri des pannes. Ceci peut être mieux expliqué par les exemples suivants :
Exemple 1
L'exemple illustré à la figure 6 est un canal de commande relatif à la sécurité exécutant la fonction de sécurité requise. Le premier composant peut être un interrupteur qui surveille, par exemple, la position d'une porte d'accès à une zone dangereuse. Le dernier composant est un moteur qui entraîne les pièces mécaniques en mouvement dans la zone dangereuse.
Figure 6. Un canal de commande relatif à la sécurité exécutant la fonction de sécurité requise
La fonction de sécurité requise dans ce cas est double : Si la porte est fermée, le moteur peut fonctionner. Si la porte est ouverte, le moteur doit être arrêté. Connaître les fiabilités R1 à R6, il est possible de calculer la fiabilité Rtotal Les concepteurs doivent utiliser des composants fiables afin de maintenir une fiabilité suffisamment élevée de l'ensemble du système de contrôle (c'est-à-dire que la probabilité que cette fonction puisse encore être exécutée dans, disons, même 20 ans doit être prise en compte dans la conception). En conséquence, les concepteurs doivent remplir deux tâches : (1) le circuit doit remplir la fonction requise et (2) la fiabilité des composants et de l'ensemble du canal de commande doit être adéquate.
La question suivante doit maintenant être posée : Le canal susmentionné assurera-t-il les fonctions de sécurité requises même en cas de défaillance du système (par exemple, si un contact de relais est collé ou si un composant fonctionne mal) ? La réponse est non". La raison en est qu'un seul canal de commande constitué uniquement de composants connectés en série et fonctionnant avec des signaux statiques n'est pas à l'abri d'une défaillance. Le canal ne peut avoir qu'une certaine fiabilité, ce qui garantit la probabilité que la fonction soit réalisée. Dans de telles situations, la sécurité s'entend toujours comme lié à une panne.
Exemple 2
Si un canal de commande doit être à la fois fiable et sûr, la conception doit être modifiée comme dans la figure 7. L'exemple illustré est un canal de commande relatif à la sécurité composé de deux sous-canaux entièrement séparés.
Figure 7. Un canal de commande relatif à la sécurité avec deux sous-canaux entièrement séparés
Cette conception est sûre contre la première panne (et d'éventuelles autres pannes dans le même sous-canal), mais n'est pas sûre contre deux pannes qui peuvent se produire dans deux sous-canaux différents (simultanément ou à des moments différents) car il n'y a pas de circuit de détection de panne. Par conséquent, au départ, les deux sous-canaux fonctionnent avec une grande fiabilité (voir système parallèle), mais après la première panne, un seul sous-canal fonctionnera et la fiabilité diminue. Si une deuxième panne survient dans le sous-canal encore en fonctionnement, les deux seront alors défaillants et la fonction de sécurité ne sera plus assurée.
Exemple 3
L'exemple illustré sur la figure 8 est un canal de commande relatif à la sécurité composé de deux sous-canaux entièrement séparés qui se surveillent mutuellement.
Figure 8. Un canal de commande relatif à la sécurité avec deux sous-canaux entièrement séparés qui se surveillent mutuellement
Une telle conception est à l'abri des pannes car après toute panne, un seul sous-canal sera non fonctionnel, tandis que l'autre sous-canal restera disponible et assurera la fonction de sécurité. De plus, la conception a un circuit de détection de panne. Si, en raison d'une panne, les deux sous-canaux ne fonctionnent pas de la même manière, cette condition sera détectée par un circuit "ou exclusif", avec pour résultat que la machine sera automatiquement éteinte. C'est l'un des meilleurs moyens de concevoir des commandes de machine : concevoir des sous-canaux pertinents pour la sécurité. Ils sont sûrs contre une panne et offrent en même temps une fiabilité suffisante pour que les chances que deux pannes se produisent simultanément sont infimes.
Redondance
Il est évident qu'il existe diverses méthodes par lesquelles un concepteur peut améliorer la fiabilité et/ou la sécurité (contre les pannes). Les exemples précédents illustrent comment une fonction (par exemple, porte fermée, le moteur peut fonctionner ; porte ouverte, le moteur doit être arrêté) peut être réalisée par diverses solutions. Certaines méthodes sont très simples (un sous-canal) et d'autres plus compliquées (deux sous-canaux avec supervision mutuelle). (Voir figure 9.)
Figure 9. Fiabilité des systèmes redondants avec ou sans détection de panne
Il existe une certaine redondance dans les circuits et/ou composants complexes par rapport aux composants simples. Redondance peut être définie comme suit : (1) La redondance est la présence de plus de moyens (composants, voies, facteurs de sécurité plus élevés, tests supplémentaires, etc.) qu'il n'en faut réellement pour la simple réalisation de la fonction recherchée ; (2) la redondance n'« améliore » évidemment pas la fonction, qui est quand même réalisée. La redondance ne fait qu'améliorer la fiabilité et/ou la sécurité.
Certains professionnels de la sécurité pensent que la redondance n'est que le doublement ou le triplement, etc., du système. Il s'agit d'une interprétation très limitée, car la redondance peut être interprétée de manière beaucoup plus large et flexible. La redondance peut être non seulement incluse dans le matériel ; il peut également être inclus dans le logiciel. L'amélioration du facteur de sécurité (par exemple, une corde plus solide au lieu d'une corde plus faible) peut également être considérée comme une forme de redondance.
Entropie
Entropie, un terme que l'on trouve principalement en thermodynamique et en astronomie, peut être défini comme suit : Tout tend vers la décomposition. Par conséquent, il est absolument certain que tous les composants, sous-systèmes ou systèmes, indépendamment de la technologie utilisée, tomberont en panne à un moment donné. Cela signifie qu'il n'existe pas de systèmes, sous-systèmes ou composants fiables et/ou sûrs à 100 %. Tous sont simplement plus ou moins fiables et sûrs, selon la complexité de la structure. Les défaillances qui surviennent inévitablement plus tôt ou plus tard démontrent l'action de l'entropie.
Le seul moyen dont disposent les concepteurs pour contrer l'entropie est la redondance, qui est obtenue en (a) introduisant plus de fiabilité dans les composants et (b) en fournissant plus de sécurité dans toute l'architecture du circuit. Ce n'est qu'en augmentant suffisamment la probabilité que la fonction requise soit exécutée pendant la période de temps requise que les concepteurs peuvent, dans une certaine mesure, se défendre contre l'entropie.
Évaluation des risques
Plus le risque potentiel est grand, plus la fiabilité et/ou la sécurité (contre les pannes) requises sont élevées (et vice versa). Ceci est illustré par les deux cas suivants :
Cas 1
L'accès à l'outil de moulage fixé dans une presse à injecter est protégé par une porte. Si la porte est fermée, la machine peut fonctionner, et si la porte est ouverte, tous les mouvements dangereux doivent être arrêtés. En aucun cas (même en cas de défaillance du canal relatif à la sécurité) des mouvements, en particulier ceux qui actionnent l'outil, ne doivent se produire.
Cas 2
L'accès à une chaîne de montage contrôlée automatiquement qui assemble de petits composants en plastique sous pression pneumatique est gardé par une porte. Si cette porte est ouverte, la ligne devra être arrêtée.
Dans le cas 1, si le système de commande de surveillance de porte tombe en panne, une blessure grave peut survenir si l'outil est fermé de manière inattendue. Dans le cas 2, seules des blessures légères ou des dommages insignifiants peuvent survenir si le système de contrôle de surveillance de porte tombe en panne.
Il est évident que dans le premier cas, il faut introduire beaucoup plus de redondance pour atteindre la fiabilité et/ou la sécurité (contre les pannes) requises pour se protéger contre les risques extrêmement élevés. En fait, selon la norme européenne EN 201, le système de contrôle de surveillance de la porte de la machine de moulage par injection doit avoir trois canaux ; dont deux sont électriques et supervisés mutuellement et dont l'un est majoritairement équipé de circuits hydrauliques et d'essais. Ces trois fonctions de surveillance concernent la même porte.
A l'inverse, dans des applications comme celle décrite dans le cas 2, une seule voie activée par un interrupteur à action positive est adaptée au risque.
Catégories de contrôle
Étant donné que toutes les considérations ci-dessus sont généralement basées sur la théorie de l'information et sont par conséquent valables pour toutes les technologies, peu importe que le système de contrôle soit basé sur des composants électroniques, électromécaniques, mécaniques, hydrauliques ou pneumatiques (ou un mélange de ceux-ci) , ou sur une autre technologie. L'inventivité du concepteur d'une part et les questions économiques d'autre part sont les principaux facteurs affectant un nombre presque infini de solutions quant à la manière de réaliser des caniveaux importants pour la sécurité.
Pour éviter toute confusion, il est pratique de fixer certains critères de tri. Les structures de canaux les plus typiques utilisées dans les commandes de machines pour exécuter des fonctions liées à la sécurité sont classées selon :
Leurs combinaisons (toutes les combinaisons possibles ne sont pas présentées) sont illustrées dans le tableau 1.
Tableau 1. Certaines combinaisons possibles de structures de circuit dans les commandes de machine pour les fonctions liées à la sécurité
Critères (questions) |
Stratégie de base |
|||||
En augmentant la fiabilité (la survenance d'une panne est-elle décalée dans un futur peut-être lointain ?) |
Par une structure de circuit (architecture) appropriée, la défaillance sera au moins détectée (Cat. 2) ou l'effet de défaillance sur le canal sera éliminé (Cat. 3) ou la défaillance sera immédiatement révélée (Cat. 4) |
|||||
Catégories |
||||||
Cette solution est fondamentalement fausse |
B |
1 |
2 |
3 |
4 |
|
Les composants du circuit peuvent-ils supporter les influences attendues ? sont-ils construits selon l'état de l'art ? |
Non |
Oui |
Oui |
Oui |
Oui |
Oui |
Des composants et/ou des méthodes éprouvés ont-ils été utilisés ? |
Non |
Non |
Oui |
Oui |
Oui |
Oui |
Une panne peut-elle être détectée automatiquement ? |
Non |
Non |
Non |
Oui |
Oui |
Oui |
Une défaillance empêche-t-elle l'exécution de la fonction relative à la sécurité ? |
Oui |
Oui |
Oui |
Oui |
Non |
Non |
Quand la panne sera-t-elle détectée ? |
Jamais |
Jamais |
Jamais |
En avance (au plus tard à la fin d'un intervalle qui ne dépasse pas un cycle machine) |
Immédiatement (lorsque le signal perd de la dynamique |
|
Dans les produits de consommation |
A utiliser dans les machines |
La catégorie applicable à une machine spécifique et à son système de commande relatif à la sécurité est principalement spécifiée dans les nouvelles normes européennes (EN), à moins que l'autorité nationale, l'utilisateur et le fabricant ne conviennent mutuellement qu'une autre catégorie doit être appliquée. Le concepteur développe ensuite un système de contrôle qui répond aux exigences. Par exemple, les considérations régissant la conception d'un canal de contrôle peuvent inclure les éléments suivants :
Ce processus est réversible. En utilisant les mêmes questions, on peut décider à quelle catégorie appartient un canal de contrôle existant, précédemment développé.
Exemples de catégories
Catégorie B
Les composants du canal de commande principalement utilisés dans les biens de consommation doivent résister aux influences attendues et être conçus selon l'état de la technique. Un interrupteur bien conçu peut servir d'exemple.
Catégorie 1
L'utilisation de composants et de méthodes éprouvés est typique pour la catégorie 1. Un exemple de catégorie 1 est un interrupteur à action positive (c'est-à-dire qui nécessite l'ouverture forcée des contacts). Cet interrupteur est conçu avec des pièces robustes et est activé par des forces relativement élevées, atteignant ainsi une fiabilité extrêmement élevée uniquement lors de l'ouverture des contacts. Malgré des contacts collés ou même soudés, ces interrupteurs s'ouvrent. (Remarque : les composants tels que les transistors et les diodes ne sont pas considérés comme des composants éprouvés.) La figure 10 servira d'illustration d'une commande de catégorie 1.
Figure 10. Un interrupteur à action positive
Ce canal utilise le commutateur S à action positive. Le contacteur K est surveillé par le voyant L. L'opérateur est averti que les contacts normalement ouverts (NO) sont collés au moyen du voyant lumineux L. Le contacteur K a des contacts à guidage forcé. (Remarque : les relais ou contacteurs à guidage forcé des contacts ont, par rapport aux relais ou contacteurs habituels, une cage spéciale en matériau isolant de sorte que si les contacts normalement fermés (NC) sont fermés, tous les contacts NO doivent être ouverts, et vice-versa. Cela signifie qu'en utilisant des contacts NF, une vérification peut être effectuée pour déterminer que les contacts de travail ne collent pas ou ne sont pas soudés ensemble.)
Catégorie 2
La catégorie 2 prévoit la détection automatique des pannes. Une détection automatique de panne doit être générée avant chaque mouvement dangereux. Ce n'est que si le test est positif que le mouvement peut être effectué ; sinon la machine sera arrêtée. Des systèmes de détection automatique de panne sont utilisés pour les barrières lumineuses afin de prouver qu'elles fonctionnent toujours. Le principe est illustré sur la figure 1.
Figure 11. Circuit comprenant un détecteur de panne
Ce système de contrôle est testé régulièrement (ou occasionnellement) en injectant une impulsion à l'entrée. Dans un système fonctionnant correctement, cette impulsion sera ensuite transférée à la sortie et comparée à une impulsion provenant d'un générateur de test. Lorsque les deux impulsions sont présentes, le système fonctionne évidemment. Sinon, s'il n'y a pas d'impulsion de sortie, le système est en panne.
Catégorie 3
Les circuits ont été décrits précédemment dans l'exemple 3 dans la section Sécurité de cet article, figure 8.
L'exigence - c'est-à-dire la détection automatique des pannes et la capacité d'exécuter la fonction de sécurité même si une panne s'est produite n'importe où - peut être satisfaite par des structures de contrôle à deux canaux et par une supervision mutuelle des deux canaux.
Pour les commandes de la machine uniquement, les défaillances dangereuses doivent être étudiées. A noter qu'il existe deux types de panne :
Catégorie 4
La catégorie 4 prévoit généralement l'application d'un signal dynamique changeant en continu sur l'entrée. La présence d'un signal dynamique sur les moyens de sortie Running ("1"), et l'absence de signal dynamique signifie Arrêtez (« 0 »).
Pour de tels circuits, il est typique qu'après la défaillance d'un composant, le signal dynamique ne soit plus disponible sur la sortie. (Remarque : le potentiel statique sur la sortie n'a pas d'importance.) De tels circuits peuvent être appelés « à sécurité intégrée ». Toutes les pannes seront divulguées immédiatement, pas après le premier changement (comme dans les circuits de catégorie 3).
Autres commentaires sur les catégories de contrôle
Le tableau 1 a été développé pour les commandes de machine habituelles et montre uniquement les structures de circuit de base ; selon la directive machine, il doit être calculé en partant du principe qu'une seule panne se produira dans un cycle de machine. C'est pourquoi la fonction de sécurité n'a pas à être réalisée en cas de deux défaillances simultanées. On suppose qu'une panne sera détectée dans un cycle machine. La machine sera arrêtée puis réparée. Le système de contrôle redémarre alors, pleinement opérationnel, sans défaillance.
L'intention première du concepteur devrait être de ne pas autoriser les défaillances "permanentes", qui ne seraient pas détectées au cours d'un cycle car elles pourraient ensuite être combinées avec une ou plusieurs défaillances nouvelles (cumul des défaillances). De telles combinaisons (une panne permanente et une nouvelle panne) peuvent provoquer un dysfonctionnement même des circuits de catégorie 3.
Malgré ces tactiques, il est possible que deux pannes indépendantes se produisent en même temps dans le même cycle machine. Ce n'est que très improbable, surtout si des composants hautement fiables ont été utilisés. Pour les applications à très haut risque, trois sous-canaux ou plus doivent être utilisés. Cette philosophie est basée sur le fait que le temps moyen entre les pannes est beaucoup plus long que le cycle de la machine.
Cela ne signifie pas, cependant, que le tableau ne peut pas être développé davantage. Le Tableau 1 est fondamentalement et structurellement très similaire au Tableau 2 utilisé dans l'EN 954-1. Cependant, il n'essaie pas d'inclure trop de critères de tri. Les exigences sont définies selon les lois rigoureuses de la logique, de sorte que seules des réponses claires (OUI ou NON) peuvent être attendues. Cela permet une évaluation, un tri et une classification plus précis des circuits soumis (canaux liés à la sécurité) et, enfin et surtout, une amélioration significative de la reproductibilité de l'évaluation.
L'idéal serait que les risques puissent être classés en différents niveaux de risque, puis qu'un lien précis soit établi entre les niveaux de risque et les catégories, le tout indépendamment de la technologie utilisée. Cependant, ce n'est pas tout à fait possible. Peu de temps après la création des catégories, il est devenu clair que même avec la même technologie, diverses questions n'avaient pas suffisamment de réponses. Quel est le meilleur : un composant de catégorie 1 très fiable et bien conçu, ou un système répondant aux exigences de la catégorie 3 avec une faible fiabilité ?
Pour expliquer ce dilemme, il faut distinguer deux qualités : la fiabilité et la sécurité (contre les pannes). Ils ne sont pas comparables, car ces deux qualités ont des caractéristiques différentes :
Compte tenu de ce qui précède, il se peut que la meilleure solution (du point de vue du risque élevé) soit d'utiliser des composants hautement fiables et de les configurer de sorte que le circuit soit protégé contre au moins une panne (de préférence plus). Il est clair qu'une telle solution n'est pas la plus économique. En pratique, le processus d'optimisation est principalement la conséquence de toutes ces influences et considérations.
L'expérience de l'utilisation pratique des catégories montre qu'il est rarement possible de concevoir un système de contrôle qui ne peut utiliser qu'une seule catégorie dans l'ensemble. La combinaison de deux ou même trois parties, chacune d'une catégorie différente, est typique, comme illustré dans l'exemple suivant :
De nombreuses barrières immatérielles de sécurité sont conçues dans la catégorie 4, dans laquelle un canal fonctionne avec un signal dynamique. À la fin de ce système, il y a généralement deux sous-canaux supervisés mutuellement qui fonctionnent avec des signaux statiques. (Cela répond aux exigences de la catégorie 3.)
Selon EN 50100, ces barrières lumineuses sont classées comme Dispositifs de protection électrosensibles de type 4, bien qu'ils soient composés de deux parties. Malheureusement, il n'y a pas d'accord sur la dénomination des systèmes de contrôle constitués de deux parties ou plus, chaque partie appartenant à une autre catégorie.
Systèmes électroniques programmables (PES)
Les principes utilisés pour créer le tableau 1 peuvent, avec certaines restrictions bien sûr, être généralement appliqués également aux SPE.
Système PES uniquement
Lors de l'utilisation des PES pour le contrôle, les informations sont transférées du capteur à l'activateur via un grand nombre de composants. Au-delà, il passe même « par » un logiciel. (Voir figure 12).
Figure 12. Un circuit du système PES
Bien que les PES modernes soient très fiables, la fiabilité n'est pas aussi élevée que celle requise pour le traitement des fonctions de sécurité. Au-delà de cela, les systèmes PES habituels ne sont pas suffisamment sûrs, car ils n'assureront pas la fonction liée à la sécurité en cas de panne. Par conséquent, l'utilisation de PES pour le traitement de fonctions de sécurité sans aucune mesure supplémentaire n'est pas autorisée.
Applications à très faible risque : systèmes avec un PES et des mesures supplémentaires
Lors de l'utilisation d'un seul PES pour le contrôle, le système se compose des parties principales suivantes :
Partie d'entrée
La fiabilité d'un capteur et l'entrée d'un PES peuvent être améliorées en les doublant. Une telle configuration d'entrée à double système peut être en outre supervisée par un logiciel pour vérifier si les deux sous-systèmes fournissent les mêmes informations. Ainsi, les défaillances dans la partie d'entrée peuvent être détectées. C'est presque la même philosophie que celle requise pour la catégorie 3. Cependant, comme la supervision est effectuée par logiciel et une seule fois, cela peut être dénommé 3- (ou pas aussi fiable que 3).
Partie centrale
Bien que cette partie ne puisse pas être bien doublée, elle peut être testée. Lors de la mise sous tension (ou pendant le fonctionnement), une vérification de l'ensemble du jeu d'instructions peut être effectuée. Aux mêmes intervalles, la mémoire peut également être vérifiée par des modèles de bits appropriés. Si de telles vérifications sont effectuées sans échec, les deux parties, CPU et mémoire, fonctionnent évidemment correctement. La partie centrale présente certaines caractéristiques typiques de la catégorie 4 (signal dynamique) et d'autres typiques de la catégorie 2 (tests effectués régulièrement à des intervalles appropriés). Le problème est que ces tests, malgré leur ampleur, ne peuvent pas être vraiment complets, car le système à un seul PSE ne les permet pas par nature.
Partie sortie
Semblable à une entrée, la sortie (y compris les activateurs) peut également être doublée. Les deux sous-systèmes peuvent être supervisés par rapport au même résultat. Les pannes seront détectées et la fonction de sécurité sera exécutée. Cependant, on retrouve les mêmes points faibles que dans la partie input. Par conséquent, la catégorie 3 est choisie dans ce cas.
Dans la figure 13 la même fonction est apportée aux relais A et B. Les contacts de contrôle a et b, informe ensuite deux systèmes d'entrée si les deux relais effectuent le même travail (sauf si une panne s'est produite dans l'un des canaux). La supervision est refaite par logiciel.
Figure 13. Un circuit PES avec un système de détection de panne
L'ensemble du système peut être décrit comme catégorie 3-/4/2/3- s'il est correctement et largement réalisé. Néanmoins, les points faibles de tels systèmes tels que décrits ci-dessus ne peuvent pas être totalement éliminés. En fait, les SPE améliorés ne sont effectivement utilisés pour des fonctions liées à la sécurité que là où les risques sont plutôt faibles (Hölscher et Rader 1984).
Applications à faible et moyen risque avec un seul PES
Aujourd'hui, presque toutes les machines sont équipées d'une unité de commande PES. Pour résoudre le problème de fiabilité insuffisante et de sécurité généralement insuffisante contre les défaillances, les méthodes de conception suivantes sont couramment utilisées :
Figure 14. État de l'art pour la catégorie d'arrêt 0
Figure 15. État de l'art pour la catégorie d'arrêt 1
Figure 16. État de l'art pour la catégorie d'arrêt 2
Applications à haut risque : systèmes avec deux (ou plus) PES
Outre la complexité et les dépenses, aucun autre facteur n'empêcherait les concepteurs d'utiliser des systèmes PES entièrement doublés tels que Siemens Simatic S5-115F, 3B6 Typ CAR-MIL, etc. Ceux-ci incluent généralement deux PES identiques avec un logiciel homogène, et supposent l'utilisation de PES "bien éprouvés" et de compilateurs "bien éprouvés" (un PES ou un compilateur éprouvé peut être considéré comme celui qui, dans de nombreuses applications pratiques, sur 3 ans ou plus a montré que les défaillances systématiques ont été évidemment éliminées). Bien que ces systèmes PSE doublés n'aient pas les points faibles des systèmes PSE simples, cela ne signifie pas que les systèmes PSE doublés résolvent tous les problèmes. (Voir figure 17).
Figure 17. Système sophistiqué avec deux SPE
Échecs systématiques
Les défaillances systématiques peuvent résulter d'erreurs dans les spécifications, la conception et d'autres causes, et peuvent être présentes aussi bien dans le matériel que dans les logiciels. Les systèmes à double PES conviennent à une utilisation dans des applications liées à la sécurité. De telles configurations permettent la détection de pannes matérielles aléatoires. Grâce à la diversité du matériel, comme l'utilisation de deux types différents ou de produits de deux fabricants différents, des défaillances matérielles systématiques pourraient être révélées (il est très peu probable qu'une défaillance systématique matérielle identique se produise dans les deux SPE).
Logiciel
Le logiciel est un nouvel élément dans les considérations de sécurité. Le logiciel est soit correct, soit incorrect (en ce qui concerne les pannes). Une fois correct, le logiciel ne peut pas devenir instantanément incorrect (par rapport au matériel). Les objectifs sont d'éradiquer toutes les erreurs du logiciel ou au moins de les identifier.
Il existe différentes manières d'atteindre cet objectif. L'un est le vérification du programme (une deuxième personne tente de découvrir les erreurs lors d'un test ultérieur). Une autre possibilité est culturelle du logiciel, dans lequel deux programmes différents, écrits par deux programmeurs, traitent le même problème. Si les résultats sont identiques (dans certaines limites), on peut supposer que les deux sections de programme sont correctes. Si les résultats sont différents, il est présumé que des erreurs sont présentes. (NB, Le architecture du matériel doit naturellement aussi être pris en compte.)
Résumé
Lors de l'utilisation de PES, les mêmes considérations de base suivantes doivent généralement être prises en compte (comme décrit dans les sections précédentes).
Un nouveau facteur est que pour le système avec un PES, même le logiciel doit être évalué du point de vue de l'exactitude. Le logiciel, s'il est correct, est fiable à 100 %. A ce stade de développement technologique, les meilleures solutions techniques possibles et connues ne seront probablement pas utilisées, les facteurs limitants étant encore économiques. En outre, divers groupes d'experts continuent de développer les normes pour les applications de sécurité des PES (par exemple, EC, EWICS). Bien qu'il existe déjà différentes normes (VDE0801, IEC65A, etc.), cette question est si vaste et complexe qu'aucune d'entre elles ne peut être considérée comme définitive.
Chaque fois que des équipements de production simples et conventionnels, tels que des machines-outils, sont automatisés, il en résulte des systèmes techniques complexes ainsi que de nouveaux risques. Cette automatisation est réalisée grâce à l'utilisation de systèmes de commande numérique par ordinateur (CNC) sur des machines-outils, appelées Machines-outils CNC (par exemple, fraiseuses, centres d'usinage, perceuses et meuleuses). Afin de pouvoir identifier les dangers potentiels inhérents aux outils automatiques, il convient d'analyser les différents modes de fonctionnement de chaque système. Les analyses menées antérieurement indiquent qu'il convient de différencier deux types de fonctionnement : le fonctionnement normal et le fonctionnement spécial.
Il est souvent impossible de prescrire les exigences de sécurité pour les machines-outils à commande numérique sous la forme de mesures spécifiques. C'est peut-être parce qu'il existe trop peu de réglementations et de normes spécifiques aux équipements qui apportent des solutions concrètes. Les exigences de sécurité ne peuvent être déterminées que si les dangers éventuels sont systématiquement identifiés par une analyse des dangers, en particulier si ces systèmes techniques complexes sont équipés de systèmes de commande librement programmables (comme pour les machines-outils à commande numérique).
Dans le cas de machines-outils à commande numérique nouvellement développées, le fabricant est tenu d'effectuer une analyse des risques sur l'équipement afin d'identifier les dangers éventuellement présents et de montrer au moyen de solutions constructives que tous les dangers pour les personnes, dans tous les différents modes de fonctionnement, sont éliminés. Tous les dangers identifiés doivent faire l'objet d'une évaluation des risques dans laquelle chaque risque d'événement dépend de l'étendue des dommages et de la fréquence à laquelle ils peuvent se produire. Le danger à évaluer est également classé dans une catégorie de risque (minimisé, normal, accru). Lorsque le risque ne peut être accepté sur la base de l'évaluation des risques, des solutions (mesures de sécurité) doivent être trouvées. Le but de ces solutions est de réduire la fréquence d'occurrence et l'étendue des dommages d'un incident imprévu et potentiellement dangereux (un « événement »).
Les approches de solutions pour les risques normaux et accrus se trouvent dans la technologie de sécurité indirecte et directe ; pour des risques minimisés, on les trouve dans la technologie de sécurité de référence :
Exigences de sécurité internationales
La directive CE sur les machines (89/392/CEE) de 1989 définit les principales exigences de sécurité et de santé pour les machines. (Conformément à la directive Machines, une machine est considérée comme la somme totale de pièces ou d'appareils interconnectés, dont au moins un peut se déplacer et a donc une fonction.) En outre, des normes individuelles sont créées par des organismes de normalisation internationaux pour illustrer d'éventuelles solutions (par exemple, en s'occupant des aspects fondamentaux de la sécurité ou en examinant les équipements électriques équipant les machines industrielles). L'objectif de ces normes est de préciser les objectifs de protection. Ces exigences de sécurité internationales donnent aux fabricants la base juridique nécessaire pour spécifier ces exigences dans les analyses des dangers et les évaluations des risques susmentionnées.
Modes de fonctionnement
Lors de l'utilisation de machines-outils, une distinction est faite entre le fonctionnement normal et le fonctionnement spécial. Les statistiques et enquêtes indiquent que la majorité des incidents et accidents n'ont pas lieu en fonctionnement normal (c'est-à-dire lors de l'exécution automatique de la mission concernée). Avec ces types de machines et d'installations, l'accent est mis sur des modes de fonctionnement spéciaux tels que la mise en service, le réglage, la programmation, les essais, les vérifications, le dépannage ou la maintenance. Dans ces modes de fonctionnement, les personnes se trouvent généralement dans une zone dangereuse. Le concept de sécurité doit protéger le personnel des événements nuisibles dans ce type de situations.
Fonctionnement normal
Ce qui suit s'applique aux machines automatiques en fonctionnement normal : (1) la machine remplit la mission pour laquelle elle a été conçue et construite sans autre intervention de l'opérateur, et (2) appliquée à un simple tour, cela signifie qu'un la pièce est tournée dans la bonne forme et des copeaux sont produits. Si la pièce est changée manuellement, le changement de pièce est un mode de fonctionnement spécial.
Modes de fonctionnement spéciaux
Les modes de fonctionnement spéciaux sont des processus de travail qui permettent un fonctionnement normal. Sous cette rubrique, par exemple, on inclurait les changements de pièces ou d'outils, la correction d'un défaut dans un processus de production, la correction d'un défaut de machine, le réglage, la programmation, les essais, le nettoyage et l'entretien. En fonctionnement normal, les systèmes automatiques remplissent leurs missions de manière autonome. Du point de vue de la sécurité du travail, cependant, le fonctionnement normal automatique devient critique lorsque l'opérateur doit intervenir dans les processus de travail. Les personnes intervenant dans ces processus ne doivent en aucun cas être exposées à des dangers.
personnel
Lors de la protection des machines-outils, il faut tenir compte des personnes travaillant dans les différents modes de fonctionnement ainsi que des tiers. Les tiers comprennent également ceux qui sont indirectement concernés par la machine, tels que les superviseurs, les inspecteurs, les assistants pour le transport du matériel et les travaux de démontage, les visiteurs et autres.
Exigences et mesures de sécurité pour les accessoires de machines
Les interventions pour les travaux dans des modes de fonctionnement spéciaux signifient que des accessoires spéciaux doivent être utilisés pour garantir que le travail peut être effectué en toute sécurité. Le premier type Les accessoires comprennent les équipements et les éléments permettant d'intervenir dans le processus automatique sans que l'opérateur n'ait à accéder à une zone dangereuse. Ce type d'accessoire comprend (1) des crochets et des pinces à copeaux qui ont été conçus de manière à ce que les copeaux dans la zone d'usinage puissent être retirés ou retirés à travers les ouvertures prévues dans les protections de sécurité, et (2) des dispositifs de serrage de la pièce avec lesquels le matériau de production peut être inséré ou retiré manuellement d'un cycle automatique
Divers modes de fonctionnement particuliers, par exemple des travaux de correction ou des travaux de maintenance, obligent le personnel à intervenir sur un système. Dans ces cas également, il existe toute une gamme d'accessoires de machine conçus pour augmenter la sécurité du travail, par exemple des dispositifs pour manipuler les meules lourdes lors du changement de celles-ci sur les meuleuses, ainsi que des élingues de grue spéciales pour le démontage ou le montage de composants lourds lors de les machines sont révisées. Ces appareils sont les deuxième type d'accessoire de machine pour augmenter la sécurité pendant le travail dans des opérations spéciales. Les systèmes de contrôle de fonctionnement spéciaux peuvent également être considérés comme représentant un deuxième type d'accessoire de machine. Des activités particulières peuvent être réalisées en toute sécurité avec de tels accessoires, par exemple, un dispositif peut être mis en place dans les axes de la machine lorsque des mouvements d'avance sont nécessaires avec les protecteurs ouverts.
Ces systèmes de commande de fonctionnement spéciaux doivent répondre à des exigences de sécurité particulières. Par exemple, ils doivent s'assurer que seul le mouvement demandé est effectué de la manière demandée et uniquement pendant la durée demandée. Le système de commande de fonctionnement spécial doit donc être conçu de manière à éviter que toute action erronée ne se transforme en mouvements ou états dangereux.
Un équipement qui augmente le degré d'automatisation d'une installation peut être considéré comme un troisième type d'accessoire de machine pour augmenter la sécurité de travail. Des actions qui étaient auparavant effectuées manuellement sont effectuées automatiquement par la machine en fonctionnement normal, comme les équipements dont les chargeurs portiques, qui changent automatiquement les pièces sur les machines-outils. La sauvegarde du fonctionnement normal automatique pose peu de problèmes parce que l'intervention d'un opérateur au cours des événements est inutile et parce que d'éventuelles interventions peuvent être empêchées par des dispositifs de sécurité.
Exigences et mesures de sécurité pour l'automatisation des machines-outils
Malheureusement, l'automatisation n'a pas permis d'éliminer les accidents dans les usines de production. Les enquêtes montrent simplement un déplacement de la survenance des accidents du fonctionnement normal vers le fonctionnement spécial, principalement dû à l'automatisation du fonctionnement normal de sorte que les interventions en cours de production ne sont plus nécessaires et que le personnel n'est donc plus exposé au danger. D'autre part, les machines hautement automatiques sont des systèmes complexes qui sont difficiles à évaluer lorsque des défauts surviennent. Même les spécialistes chargés de remédier aux pannes ne sont pas toujours en mesure de le faire sans encourir d'accidents. La quantité de logiciels nécessaires pour faire fonctionner des machines de plus en plus complexes augmente en volume et en complexité, avec pour résultat qu'un nombre croissant d'ingénieurs électriciens et de mise en service sont victimes d'accidents. Il n'y a pas de logiciel parfait, et les changements de logiciel entraînent souvent des changements ailleurs qui n'étaient ni attendus ni souhaités. Afin d'éviter que la sécurité ne soit affectée, un comportement défectueux dangereux causé par une influence externe et des défaillances de composants ne doit pas être possible. Cette condition ne peut être remplie que si le circuit de sécurité est conçu le plus simplement possible et séparé du reste des commandes. Les éléments ou sous-ensembles utilisés dans le circuit de sécurité doivent également être à sécurité intégrée.
Il incombe au concepteur de développer des conceptions qui satisfont aux exigences de sécurité. Le concepteur ne peut éviter d'avoir à considérer avec le plus grand soin les procédures de travail nécessaires, y compris les modes de fonctionnement particuliers. Des analyses doivent être faites pour déterminer quelles procédures de travail sécuritaires sont nécessaires et le personnel d'exploitation doit se familiariser avec celles-ci. Dans la majorité des cas, un système de contrôle pour un fonctionnement spécial sera nécessaire. Le système de contrôle observe ou régule généralement un mouvement, alors qu'en même temps, aucun autre mouvement ne doit être initié (car aucun autre mouvement n'est nécessaire pour ce travail, et donc aucun n'est attendu par l'opérateur). Le système de commande ne doit pas nécessairement effectuer les mêmes missions dans les différents modes de fonctionnement particuliers.
Exigences et mesures de sécurité en modes de fonctionnement normal et spécial
Fonctionnement normal
La spécification d'objectifs de sécurité ne doit pas entraver le progrès technique car des solutions adaptées peuvent être sélectionnées. L'utilisation de machines-outils à commande numérique impose des exigences maximales en matière d'analyse des risques, d'évaluation des risques et de concepts de sécurité. Ce qui suit décrit plus en détail plusieurs objectifs de sécurité et solutions possibles.
Objectif de sécurité
Solutions possibles
Objectif de sécurité
Solution possible
Opération spéciale
Les interfaces entre le fonctionnement normal et le fonctionnement spécial (par exemple, dispositifs de verrouillage de porte, barrières lumineuses, tapis de sécurité) sont nécessaires pour permettre au système de contrôle de sécurité de reconnaître automatiquement la présence de personnel. Ce qui suit décrit certains modes de fonctionnement spéciaux (par exemple, réglage, programmation) sur les machines-outils à commande numérique qui nécessitent des mouvements qui doivent être évalués directement sur le site d'utilisation.
Objectifs de sécurité
Solution possible
Exigences sur les systèmes de contrôle de sécurité
L'une des caractéristiques d'un système de contrôle de sécurité doit être que la fonction de sécurité soit garantie de fonctionner chaque fois qu'un défaut survient afin de diriger les processus d'un état dangereux vers un état sûr.
Objectifs de sécurité
Solutions possibles
Pour aller plus loin
Il est évident que la tendance croissante des accidents dans les modes d'exploitation normaux et spéciaux ne peut être stoppée sans un concept de sécurité clair et sans équivoque. Ce fait doit être pris en compte lors de la préparation des règlements et directives de sécurité. De nouvelles lignes directrices sous la forme d'objectifs de sécurité sont nécessaires pour permettre des solutions avancées. Cet objectif permet aux concepteurs de choisir la solution optimale pour un cas spécifique tout en démontrant les caractéristiques de sécurité de leurs machines de manière assez simple en décrivant une solution à chaque objectif de sécurité. Cette solution peut alors être comparée à d'autres solutions existantes et acceptées, et si elle est meilleure ou au moins de valeur égale, une nouvelle solution peut alors être choisie. De cette manière, les progrès ne sont pas entravés par des réglementations étroitement formulées.
Principales caractéristiques de la directive CEE sur les machines
La directive du Conseil du 14 juin 1989 concernant le rapprochement des législations des États membres relatives aux machines (89/392/CEE) s'applique à chaque État.
Objectifs de sécurité pour la construction et l'utilisation de machines-outils à commande numérique
1. Tours
1.1 Mode de fonctionnement normal
1.1.1 La zone de travail doit être sécurisée de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.
1.1.2 Le magasin d'outils doit être protégé de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.
1.1.3 Le magasin de pièces doit être protégé de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.
1.1.4 L'enlèvement des copeaux ne doit pas entraîner de blessures corporelles dues aux copeaux ou aux pièces mobiles de la machine.
1.1.5 Les blessures corporelles résultant de l'accès aux systèmes d'entraînement doivent être évitées.
1.1.6 La possibilité d'accéder aux zones dangereuses des convoyeurs à copeaux en mouvement doit être évitée.
1.1.7 Aucune blessure personnelle aux opérateurs ou à des tiers ne doit résulter du vol de pièces ou de parties de celles-ci.
Par exemple, cela peut se produire
1.1.8 Aucune blessure ne doit résulter du vol des dispositifs de serrage de la pièce.
1.1.9 Aucune blessure personnelle ne doit résulter de copeaux volants.
1.1.10 Aucune blessure personnelle ne doit résulter d'outils volants ou de pièces de ceux-ci.
Par exemple, cela peut se produire
1.2 Modes de fonctionnement spéciaux
1.2.1 Changement de pièce.
1.2.1.1 Le serrage de la pièce à usiner doit être effectué de manière à ce qu'aucune partie du corps ne puisse se coincer entre les dispositifs de serrage de fermeture et la pièce à usiner ou entre la pointe du manchon d'avance et la pièce à usiner.
1.2.1.2 Le démarrage d'un entraînement (broches, axes, manchons, têtes tourelles ou convoyeurs à copeaux) à la suite d'une commande défectueuse ou d'une commande invalide doit être empêché.
1.2.1.3 La pièce doit pouvoir être manipulée manuellement ou avec des outils sans danger.
1.2.2 Changement d'outil dans le porte-outil ou la tête de tourelle d'outil.
1.2.2.1 Tout danger résultant d'un comportement défectueux du système ou dû à la saisie d'une commande invalide doit être évité.
1.2.3 Changement d'outil dans le magasin d'outils.
1.2.3.1 Les mouvements dans le magasin d'outils résultant d'une commande défectueuse ou invalide doivent être empêchés pendant le changement d'outil.
1.2.3.2 Il ne doit pas être possible d'accéder à d'autres pièces mobiles de la machine depuis la station de chargement des outils.
1.2.3.3 Il ne doit pas être possible d'atteindre les zones dangereuses lors de la poursuite du mouvement du magasin d'outils ou pendant la recherche. S'ils ont lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et ne peuvent être effectués que pendant la période de temps ordonnée et uniquement lorsqu'il peut être garanti qu'aucune partie du corps ne se trouve dans ces zones dangereuses. .
1.2.4 Vérification des mesures.
1.2.4.1 L'accès à la zone de travail ne doit être possible qu'après l'arrêt de tous les mouvements.
1.2.4.2 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
1.2.5 Configuration.
1.2.5.1 Si des mouvements sont exécutés pendant la mise en place avec les protections pour le mode de fonctionnement normal retirées, l'opérateur doit être protégé par un autre moyen.
1.2.5.2 Aucun mouvement ou changement de mouvement dangereux ne doit être initié à la suite d'une commande défectueuse ou d'une entrée de commande invalide.
1.2.6 Programmation.
1.2.6.1 Aucun mouvement ne doit être initié pendant la programmation qui met en danger une personne dans la zone de travail.
1.2.7 Défaut de fabrication.
1.2.7.1 Le démarrage d'un variateur résultant d'une commande défectueuse sur consigne d'entrée de commande invalide doit être interdit.
1.2.7.2 Aucun mouvement ou situation dangereux ne doit être déclenché par le déplacement ou le retrait de la pièce ou des déchets.
1.2.7.3 Lorsque des mouvements doivent avoir lieu avec les protecteurs pour le mode d'exploitation normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et seulement s'il peut être garanti qu'aucune partie du corps se trouvent dans ces zones dangereuses.
1.2.8 Dépannage.
1.2.8.1 L'accès aux zones dangereuses des mouvements automatiques doit être interdit.
1.2.8.2 Le démarrage d'un entraînement à la suite d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
1.2.8.3 Un mouvement de la machine lors de la manipulation de la pièce défectueuse doit être empêché.
1.2.8.4 Les blessures résultant de l'éclatement ou de la chute d'une pièce de la machine doivent être évitées.
1.2.8.5 Si, lors de la recherche de pannes, des mouvements doivent avoir lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être assuré que aucune partie du corps ne se trouve dans ces zones dangereuses.
1.2.9 Dysfonctionnement et réparation de la machine.
1.2.9.1 La machine doit être empêchée de démarrer.
1.2.9.2 La manipulation des différentes parties de la machine doit être possible soit manuellement soit avec des outils sans aucun danger.
1.2.9.3 Il ne doit pas être possible de toucher les parties sous tension de la machine.
1.2.9.4 Les blessures corporelles ne doivent pas résulter de l'émission de fluides ou de fluides gazeux.
2. Fraiseuses
2.1 Mode de fonctionnement normal
2.1.1 La zone de travail doit être sécurisée de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.
2.1.2 L'enlèvement des copeaux ne doit pas entraîner de blessures corporelles dues aux copeaux ou aux pièces mobiles de la machine.
2.1.3 Les blessures corporelles résultant de l'accès aux systèmes d'entraînement doivent être évitées.
Aucune blessure personnelle aux opérateurs ou à des tiers ne doit résulter de la projection de pièces ou de parties de celles-ci.
Par exemple, cela peut se produire
2.1.4 Aucune blessure ne doit résulter du vol des dispositifs de serrage de la pièce.
2.1.5 Aucune blessure personnelle ne doit résulter de copeaux volants.
2.1.6 Aucune blessure personnelle ne doit résulter d'outils volants ou de pièces de ceux-ci.
Par exemple, cela peut se produire
Modes de fonctionnement spéciaux
2.2.1 Changement de pièce.
2.2.1.1 Lorsque des dispositifs de serrage à moteur sont utilisés, il ne doit pas être possible que des parties du corps se coincent entre les parties de fermeture du dispositif de serrage et la pièce à usiner.
2.2.1.2 Le démarrage d'un entraînement (broche, axe) résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
2.2.1.3 La manipulation de la pièce doit être possible manuellement ou avec des outils sans aucun danger.
2.2.2 Changement d'outil.
2.2.2.1 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
2.2.2.2 Les doigts ne doivent pas pouvoir se coincer lors de la mise en place des outils.
2.2.3 Vérification des mesures.
2.2.3.1 L'accès à la zone de travail ne doit être possible qu'après l'arrêt de tous les mouvements.
2.2.3.2 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
2.2.4 Configuration.
2.2.4.1 Si des mouvements sont exécutés pendant la mise en place avec les protections pour le mode de fonctionnement normal retirées, l'opérateur doit être protégé par un autre moyen.
2.2.4.2 Aucun mouvement ou changement de mouvement dangereux ne doit être initié à la suite d'une commande défectueuse ou d'une entrée de commande invalide.
2.2.5 Programmation.
2.2.5.1 Aucun mouvement ne doit être amorcé pendant la programmation qui met en danger une personne dans la zone de travail.
2.2.6 Défaut de fabrication.
2.2.6.1 Le démarrage du variateur résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
2.2.6.2 Aucun mouvement ou situation dangereux ne doit être provoqué par le déplacement ou le retrait de la pièce ou des déchets.
2.2.6.3 Lorsque des mouvements doivent avoir lieu avec les protecteurs pour le mode d'exploitation normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et seulement s'il peut être garanti qu'aucune partie du corps se trouvent dans ces zones dangereuses.
2.2.7 Dépannage.
2.2.7.1 L'accès aux zones dangereuses des mouvements automatiques doit être interdit.
2.2.7.2 Le démarrage d'un entraînement à la suite d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
2.2.7.3 Tout mouvement de la machine lors de la manipulation de la pièce défectueuse doit être empêché.
2.2.7.4 Les blessures résultant de l'éclatement ou de la chute d'une pièce de la machine doivent être évitées.
2.2.7.5 Si, lors de la recherche de pannes, des mouvements doivent avoir lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être assuré que aucune partie du corps ne se trouve dans ces zones dangereuses.
2.2.8 Dysfonctionnement et réparation de la machine.
2.2.8.1 Le démarrage de la machine doit être empêché.
2.2.8.2 La manipulation des différentes parties de la machine doit être possible manuellement ou avec des outils sans aucun danger.
2.2.8.3 Il ne doit pas être possible de toucher les parties sous tension de la machine.
2.2.8.4 Les blessures corporelles ne doivent pas résulter de l'émission de fluides ou de fluides gazeux.
3. Centres d'usinage
3.1 Mode de fonctionnement normal
3.1.1 La zone de travail doit être sécurisée de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.
3.1.2 Le magasin d'outils doit être protégé de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques.
3.1.3 Le magasin de pièces doit être sécurisé de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques.
3.1.4 L'enlèvement des copeaux ne doit pas entraîner de blessures corporelles dues aux copeaux ou aux pièces mobiles de la machine.
3.1.5 Les blessures corporelles résultant de l'accès aux systèmes d'entraînement doivent être évitées.
3.1.6 La possibilité d'accéder aux zones dangereuses des convoyeurs à copeaux en mouvement (convoyeurs à vis, etc.) doit être évitée.
3.1.7 Aucune blessure personnelle aux opérateurs ou à des tiers ne doit résulter du vol de pièces ou de parties de celles-ci.
Par exemple, cela peut se produire
3.1.8 Aucune blessure ne doit résulter du vol des dispositifs de serrage de la pièce.
3.1.9 Aucune blessure personnelle ne doit résulter de copeaux volants.
3.1.10 Aucune blessure personnelle ne doit résulter d'outils volants ou de pièces de ceux-ci.
Par exemple, cela peut se produire
3.2 Modes de fonctionnement spéciaux
3.2.1 Changement de pièce.
3.2.1.1 Lorsque des dispositifs de serrage à moteur sont utilisés, il ne doit pas être possible que des parties du corps se coincent entre les parties de fermeture du dispositif de serrage et la pièce à usiner.
3.2.1.2 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
3.2.1.3 La pièce doit pouvoir être manipulée manuellement ou avec des outils sans aucun danger.
3.2.1.4 En cas de changement de pièces dans un poste de bridage, il ne doit pas être possible depuis cet emplacement d'atteindre ou d'entrer dans les séquences de mouvement automatique de la machine ou du magasin de pièces. Aucun mouvement ne doit être initié par la commande tant qu'une personne est présente dans la zone de bridage. L'insertion automatique de la pièce serrée dans la machine ou le magasin de pièces ne doit avoir lieu que lorsque la station de serrage est également protégée par un système de protection correspondant à celui du mode de fonctionnement normal.
3.2.2 Changement d'outil dans la broche.
3.2.2.1 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
3.2.2.2 Les doigts ne doivent pas pouvoir se coincer lors de la mise en place des outils.
3.2.3 Changement d'outil dans le magasin d'outils.
3.2.3.1 Les mouvements dans le magasin d'outils résultant de commandes défectueuses ou d'entrées de commande non valides doivent être empêchés pendant le changement d'outil.
3.2.3.2 Il ne doit pas être possible d'accéder à d'autres pièces mobiles de la machine depuis la station de chargement des outils.
3.2.3.3 Il ne doit pas être possible d'atteindre les zones dangereuses lors de la poursuite du mouvement du magasin d'outils ou pendant la recherche. S'ils ont lieu avec les protections pour le mode de fonctionnement normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être garanti qu'aucune partie du corps ne se trouve dans ces zones dangereuses. .
3.2.4 Vérification des mesures.
3.2.4.1 L'accès à la zone de travail ne doit être possible qu'après l'arrêt de tous les mouvements.
3.2.4.2 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
3.2.5 Configuration.
3.2.5.1 Si des mouvements sont exécutés pendant la mise en place avec les protections pour le mode de fonctionnement normal retirées, l'opérateur doit être protégé par un autre moyen.
3.2.5.2 Aucun mouvement ou changement de mouvement dangereux ne doit être initié à la suite d'une commande défectueuse ou d'une entrée de commande invalide.
3.2.6 Programmation.
3.2.6.1 Aucun mouvement ne doit être amorcé pendant la programmation qui met en danger une personne dans la zone de travail.
3.2.7 Défaut de fabrication.
3.2.7.1 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
3.2.7.2 Aucun mouvement ou situation dangereux ne doit être provoqué par le déplacement ou le retrait de la pièce ou des déchets.
3.2.7.3 Lorsque des mouvements doivent avoir lieu avec les protecteurs pour le mode d'exploitation normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et seulement s'il peut être garanti qu'aucune partie du corps se trouvent dans ces zones dangereuses.
3.2.8 Dépannage.
3.2.8.1 L'accès aux zones dangereuses des mouvements automatiques doit être interdit.
3.2.8.2 Le démarrage d'un entraînement à la suite d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
3.2.8.3 Tout mouvement de la machine lors de la manipulation de la pièce défectueuse doit être empêché.
3.2.8.4 Les blessures résultant de l'éclatement ou de la chute d'une pièce de la machine doivent être évitées.
3.2.8.5 Si, lors de la recherche de pannes, des mouvements doivent avoir lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être assuré que aucune partie du corps ne se trouve dans ces zones dangereuses.
3.2.9 Dysfonctionnement et réparation de la machine.
3.2.9.1 Le démarrage de la machine doit être empêché.
3.2.9.2 La manipulation des différentes parties de la machine doit être possible manuellement ou avec des outils sans aucun danger.
3.2.9.3 Il ne doit pas être possible de toucher les parties sous tension de la machine.
3.2.9.4 Les blessures corporelles ne doivent pas résulter de l'émission de fluides ou de fluides gazeux.
4. Rectifieuses
4.1 Mode de fonctionnement normal
4.1.1 La zone de travail doit être sécurisée de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.
4.1.2 Les blessures corporelles résultant de l'accès aux systèmes d'entraînement doivent être évitées.
4.1.3 Aucune blessure personnelle aux opérateurs ou à des tiers ne doit résulter du vol de pièces ou de parties de celles-ci.
Par exemple, cela peut se produire
4.1.4 Aucune blessure ne doit résulter du vol des dispositifs de serrage de la pièce.
4.1.5 Aucune blessure ou incendie ne doit résulter d'étincelles.
4.1.6 Aucune blessure personnelle ne doit résulter des pièces volantes des meules.
Par exemple, cela peut se produire
Modes de fonctionnement spéciaux
4.2.1 Changement de pièce.
4.2.1.1 Lorsque des dispositifs de serrage à moteur sont utilisés, il ne doit pas être possible que des parties du corps se coincent entre les parties de fermeture du dispositif de serrage et la pièce à usiner.
4.2.1.2 Le démarrage d'un entraînement d'avance résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
4.2.1.3 Les blessures causées par la meule en rotation doivent être évitées lors de la manipulation de la pièce.
4.2.1.4 Les blessures corporelles résultant d'une meule qui éclate ne doivent pas être possibles.
4.2.1.5 La manipulation de la pièce doit être possible manuellement ou avec des outils sans aucun danger.
4.2.2 Changement d'outil (changement de meule)
4.2.2.1 Le démarrage d'un entraînement d'avance résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
4.2.2.2 Les blessures causées par la meule en rotation ne doivent pas être possibles pendant les procédures de mesure.
4.2.2.3 Les blessures corporelles résultant d'une meule qui éclate ne doivent pas être possibles.
4.2.3 Vérification des mesures.
4.2.3.1 Le démarrage d'un entraînement d'avance résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
4.2.3.2 Les blessures causées par la meule en rotation ne doivent pas être possibles pendant les procédures de mesure.
4.2.3.3 Les blessures corporelles résultant d'une meule qui éclate ne doivent pas être possibles.
4.2.4. Installer.
4.2.4.1 Si des mouvements sont exécutés pendant la mise en place avec les protections pour le mode de fonctionnement normal retirées, l'opérateur doit être protégé par un autre moyen.
4.2.4.2 Aucun mouvement ou changement de mouvement dangereux ne doit être initié à la suite d'une commande défectueuse ou d'une entrée de commande invalide.
4.2.5 Programmation.
4.2.5.1 Aucun mouvement ne doit être amorcé pendant la programmation qui met en danger une personne dans la zone de travail.
4.2.6 Défaut de fabrication.
4.2.6.1 Le démarrage d'un entraînement d'avance résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
4.2.6.2 Aucun mouvement ou situation dangereux ne doit être provoqué par le déplacement ou le retrait de la pièce ou des déchets.
4.2.6.3 Lorsque des mouvements doivent avoir lieu avec les protecteurs pour le mode d'exploitation normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et seulement s'il peut être garanti qu'aucune partie du corps se trouvent dans ces zones dangereuses.
4.2.6.4 Les blessures causées par la meule en rotation doivent être évitées.
4.2.6.5 Les blessures corporelles résultant d'une meule qui éclate ne doivent pas être possibles.
4.2.7 Dépannage.
4.2.7.1 L'accès aux zones dangereuses des mouvements automatiques doit être interdit.
4.2.7.2 Le démarrage d'un entraînement à la suite d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.
4.2.7.3 Tout mouvement de la machine lors de la manipulation de la pièce défectueuse doit être empêché.
4.2.7.4 Les blessures résultant de l'éclatement ou de la chute d'une pièce de la machine doivent être évitées.
4.2.7.5 Les blessures causées par le contact de l'opérateur ou par l'éclatement de la meule en rotation doivent être évitées.
4.2.7.6 Si, lors de la recherche de pannes, des mouvements doivent avoir lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être assuré que aucune partie du corps ne se trouve dans ces zones dangereuses.
4.2.8 Dysfonctionnement et réparation de la machine.
4.2.8.1 Le démarrage de la machine doit être empêché.
4.2.8.2 La manipulation des différentes parties de la machine doit être possible manuellement ou avec des outils sans aucun danger.
4.2.8.3 Il ne doit pas être possible de toucher les parties sous tension de la machine.
4.2.8.4 Les blessures corporelles ne doivent pas résulter de l'émission de fluides ou de fluides gazeux.
Les robots industriels se retrouvent partout dans l'industrie partout où des exigences de productivité élevées doivent être satisfaites. L'utilisation de robots nécessite cependant la conception, l'application et la mise en œuvre des contrôles de sécurité appropriés afin d'éviter de créer des risques pour le personnel de production, les programmeurs, les spécialistes de la maintenance et les ingénieurs système.
Pourquoi les robots industriels sont-ils dangereux ?
Une définition des robots est « des machines automatiques en mouvement librement programmables et capables de fonctionner avec peu ou pas d'interface humaine ». Ces types de machines sont actuellement utilisés dans une grande variété d'applications dans l'industrie et la médecine, y compris la formation. Les robots industriels sont de plus en plus utilisés pour des fonctions clés, telles que les nouvelles stratégies de fabrication (CIM, JIT, lean production, etc.) dans des installations complexes. Leur nombre et leur étendue d'applications ainsi que la complexité des équipements et des installations entraînent des risques tels que :
Des enquêtes au Japon indiquent que plus de 50% des accidents de travail avec des robots peuvent être attribués à des défauts dans les circuits électroniques du système de contrôle. Dans les mêmes enquêtes, «l'erreur humaine» était responsable de moins de 20%. La conclusion logique de cette constatation est que les dangers causés par des défaillances du système ne peuvent être évités par des mesures comportementales prises par des êtres humains. Les concepteurs et les exploitants doivent donc prévoir et mettre en œuvre des mesures techniques de sécurité (voir figure 1).
Figure 1. Système de commande de fonctionnement spécial pour la mise en place d'un robot de soudage mobile
Accidents et modes opératoires
Des accidents mortels impliquant des robots industriels ont commencé à se produire au début des années 1980. Les statistiques et enquêtes indiquent que la majorité des incidents et accidents n'ont pas lieu en exploitation normale (réalisation automatique de la mission concernée). Lorsque vous travaillez avec des machines et des installations de robots industriels, l'accent est mis sur les modes de fonctionnement spéciaux tels que la mise en service, la configuration, la programmation, les essais, les vérifications, le dépannage ou la maintenance. Dans ces modes de fonctionnement, les personnes se trouvent généralement dans une zone dangereuse. Le concept de sécurité doit protéger le personnel des événements négatifs dans ce type de situations.
Exigences de sécurité internationales
La directive Machines de la CEE de 1989 (89/392/CEE (voir l'article « Principes de sécurité pour les machines-outils à commande numérique » dans ce chapitre et ailleurs dans ce Encyclopédie)) établit les principales exigences de sécurité et de santé pour les machines. Une machine est considérée comme la somme totale de pièces ou d'appareils interconnectés, dont au moins une pièce ou un appareil peut se déplacer et a donc une fonction. En ce qui concerne les robots industriels, il convient de noter que l'ensemble du système, et non un seul équipement sur la machine, doit répondre aux exigences de sécurité et être équipé des dispositifs de sécurité appropriés. L'analyse des dangers et l'évaluation des risques sont des méthodes appropriées pour déterminer si ces exigences ont été satisfaites (voir figure 2).
Figure 2. Schéma fonctionnel d'un système de sécurité du personnel
Exigences et mesures de sécurité en fonctionnement normal
L'utilisation de la technologie robotique impose des exigences maximales en matière d'analyse des dangers, d'évaluation des risques et de concepts de sécurité. Pour cette raison, les exemples et suggestions suivants ne peuvent servir qu'à titre indicatif :
1. Compte tenu de l'objectif de sécurité selon lequel l'accès manuel ou physique aux zones dangereuses impliquant des mouvements automatiques doit être empêché, les solutions suggérées incluent les suivantes :
2. Compte tenu de l'objectif de sécurité selon lequel personne ne peut être blessé à la suite de la libération d'énergie (pièces volantes ou faisceaux d'énergie), les solutions suggérées comprennent :
3. Les interfaces entre le fonctionnement normal et le fonctionnement spécial (par exemple, dispositifs de verrouillage de porte, barrières lumineuses, tapis de sécurité) sont nécessaires pour permettre au système de contrôle de sécurité de reconnaître automatiquement la présence de personnel.
Exigences et mesures de sécurité dans les modes de fonctionnement spéciaux
Certains modes de fonctionnement particuliers (par exemple, réglage, programmation) sur un robot industriel nécessitent des mouvements qui doivent être évalués directement sur le site d'exploitation. L'objectif de sécurité pertinent est qu'aucun mouvement ne puisse mettre en danger les personnes impliquées. Les mouvements doivent être
Une solution suggérée à cet objectif pourrait impliquer l'utilisation de systèmes de commande de fonctionnement spéciaux qui permettent uniquement des mouvements contrôlables et gérables à l'aide de commandes acquittables. La vitesse des mouvements est ainsi réduite en toute sécurité (réduction d'énergie par la connexion d'un transformateur d'isolement ou l'utilisation d'un équipement de surveillance de l'état de sécurité) et la condition de sécurité est acquittée avant que la commande ne soit autorisée à s'activer (voir figure 3).
Figure 3. Robot industriel à six axes dans une cage de sécurité avec des barrières matérielles
Exigences sur les systèmes de contrôle de sécurité
L'une des caractéristiques d'un système de contrôle de sécurité doit être que la fonction de sécurité requise est garantie de fonctionner chaque fois qu'un défaut survient. Les robots industriels doivent être dirigés presque instantanément d'un état dangereux à un état sûr. Les mesures de contrôle de la sécurité nécessaires pour atteindre cet objectif comprennent les objectifs de sécurité suivants :
Les solutions suggérées pour fournir des systèmes de contrôle de sécurité fiables seraient :
Objectifs de sécurité pour la construction et l'utilisation de robots industriels.
Lorsque des robots industriels sont construits et utilisés, les fabricants ainsi que les utilisateurs sont tenus d'installer des contrôles de sécurité à la pointe de la technologie. Outre l'aspect de la responsabilité juridique, il peut également y avoir une obligation morale de s'assurer que la technologie robotique est également une technologie sûre.
Mode de fonctionnement normal
Les conditions de sécurité suivantes doivent être fournies lorsque les machines robotisées fonctionnent en mode normal :
Modes de fonctionnement spéciaux
Les conditions de sécurité suivantes doivent être fournies lorsque les machines robotisées fonctionnent dans des modes spéciaux :
Les éléments suivants doivent être évités lors de la réparation d'une panne dans le processus de production :
Les conditions de sécurité suivantes doivent être assurées lors de la configuration :
Aucun mouvement dangereux ne doit être initié à la suite d'une commande erronée ou d'une entrée de commande incorrecte.
Lors de la programmation, les conditions de sécurité suivantes sont applicables :
Les opérations de test en toute sécurité nécessitent les précautions suivantes :
Empêcher l'accès manuel ou physique aux zones dangereuses en raison des mouvements automatiques.
Lors de l'inspection des machines robotisées, les procédures de sécurité incluent les éléments suivants :
Le dépannage nécessite souvent le démarrage de la machine robot alors qu'elle se trouve dans une condition potentiellement dangereuse, et des procédures de travail sûres spéciales telles que les suivantes doivent être mises en œuvre :
La résolution d'un défaut et les travaux de maintenance peuvent également nécessiter un démarrage alors que la machine est dans un état dangereux, et nécessitent donc les précautions suivantes :
Cet article traite de la conception et de la mise en œuvre de systèmes de commande liés à la sécurité qui traitent de tous les types de systèmes électriques, électroniques et électroniques programmables (y compris les systèmes informatisés). L'approche globale est conforme à la norme 1508 proposée par la Commission électrotechnique internationale (CEI) (Sécurité fonctionnelle : relative à la sécurité
Système) (CEI 1993).
Arrière-plan
Au cours des années 1980, les systèmes informatisés - généralement appelés systèmes électroniques programmables (PES) - ont été de plus en plus utilisés pour exécuter des fonctions de sécurité. Les principales forces motrices de cette tendance étaient (1) l'amélioration des fonctionnalités et des avantages économiques (en particulier compte tenu du cycle de vie total de l'appareil ou du système) et (2) l'avantage particulier de certaines conceptions, qui ne pouvaient être réalisées que lorsque la technologie informatique était utilisée. . Au cours de l'introduction précoce des systèmes informatisés, un certain nombre de constatations ont été faites :
Afin de résoudre ces problèmes, plusieurs organismes ont publié ou commencé à élaborer des lignes directrices pour permettre l'exploitation en toute sécurité de la technologie PES. Au Royaume-Uni, le Health and Safety Executive (HSE) a élaboré des directives pour les systèmes électroniques programmables utilisés pour les applications liées à la sécurité, et en Allemagne, un projet de norme (DIN 1990) a été publié. Au sein de la Communauté européenne, un élément important des travaux sur les normes européennes harmonisées concernant les systèmes de commande relatifs à la sécurité (y compris ceux utilisant des SPE) a été lancé en relation avec les exigences de la directive Machines. Aux États-Unis, l'Instrument Society of America (ISA) a produit une norme sur les PES à utiliser dans les industries de transformation, et le Center for Chemical Process Safety (CCPS), une direction de l'American Institute of Chemical Engineers, a produit des lignes directrices pour le secteur des procédés chimiques.
Une importante initiative de normalisation est actuellement en cours au sein de la CEI pour développer une norme internationale générique pour les systèmes électriques, électroniques et électroniques programmables (E/E/PES) relatifs à la sécurité qui pourrait être utilisée par les nombreux secteurs d'application, y compris les processus, secteurs médical, des transports et des machines. La norme internationale CEI proposée comprend sept parties sous le titre général CEI 1508. Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité. Les différentes parties sont les suivantes :
Une fois finalisée, cette Norme internationale à base générique constituera une publication CEI de sécurité fondamentale couvrant la sécurité fonctionnelle des systèmes électriques, électroniques et électroniques programmables relatifs à la sécurité et aura des implications pour toutes les normes CEI, couvrant tous les secteurs d'application en ce qui concerne la conception et l'utilisation futures des systèmes électriques/électroniques/électroniques programmables liés à la sécurité. L'un des principaux objectifs de la norme proposée est de faciliter l'élaboration de normes pour les différents secteurs (voir figure 1).
Figure 1. Normes génériques et sectorielles d'application
Avantages et problèmes du PSE
L'adoption des PES à des fins de sécurité présentait de nombreux avantages potentiels, mais il a été reconnu que ceux-ci ne seraient atteints que si des méthodologies de conception et d'évaluation appropriées étaient utilisées, car : (1) de nombreuses caractéristiques des PES ne permettent pas l'intégrité de la sécurité (c'est-à-dire c'est-à-dire que les performances de sécurité des systèmes exécutant les fonctions de sécurité requises) doivent être prédites avec le même degré de confiance que celui qui est traditionnellement disponible pour les systèmes matériels moins complexes ("câblés") ; (2) il a été reconnu que si les tests étaient nécessaires pour les systèmes complexes, ils n'étaient pas suffisants en eux-mêmes. Cela signifiait que même si le SPE mettait en œuvre des fonctions de sécurité relativement simples, le niveau de complexité de l'électronique programmable était nettement supérieur à celui des systèmes câblés qu'ils remplaçaient ; et (3) cette montée en complexité signifiait que les méthodologies de conception et d'évaluation devaient être beaucoup plus prises en compte qu'auparavant, et que le niveau de compétence personnelle requis pour atteindre des niveaux de performance adéquats des systèmes relatifs à la sécurité était par la suite plus élevé.
Les avantages des SPE informatisés sont les suivants :
L'utilisation de systèmes informatisés dans des applications liées à la sécurité crée un certain nombre de problèmes qui doivent être résolus de manière adéquate, tels que les suivants :
Systèmes de sécurité à l'étude
Les types de systèmes relatifs à la sécurité considérés sont les systèmes électriques, électroniques et électroniques programmables (E/E/PES). Le système comprend tous les éléments, en particulier les signaux provenant de capteurs ou d'autres dispositifs d'entrée sur l'équipement sous contrôle, et transmis via des autoroutes de données ou d'autres voies de communication aux actionneurs ou à d'autres dispositifs de sortie (voir figure 2).
Figure 2. Système électrique, électronique et électronique programmable (E/E/PES)
Le terme appareil électrique, électronique et électronique programmable a été utilisé pour englober une grande variété de dispositifs et couvre les trois classes principales suivantes :
Par définition, un système relatif à la sécurité a deux objectifs :
Ce concept est illustré à la figure 3.
Figure 3. Principales caractéristiques des systèmes liés à la sécurité
Pannes du système
Afin d'assurer un fonctionnement sûr des systèmes E/E/PES relatifs à la sécurité, il est nécessaire de reconnaître les diverses causes possibles de défaillance du système relatif à la sécurité et de s'assurer que des précautions adéquates sont prises contre chacune. Les défaillances sont classées en deux catégories, comme illustré à la figure 4.
Figure 4. Catégories de défaillance
Protection des systèmes liés à la sécurité
Les termes utilisés pour indiquer les mesures de précaution requises par un système relatif à la sécurité pour se protéger contre les pannes matérielles aléatoires et les pannes systématiques sont mesures d'intégrité de la sécurité du matériel et mesures systématiques d'intégrité de la sécurité respectivement. Les mesures de précaution qu'un système lié à la sécurité peut appliquer contre les pannes matérielles aléatoires et les pannes systématiques sont appelées intégrité de la sécurité. Ces concepts sont illustrés dans la figure 5.
Figure 5. Termes de performance de sécurité
Dans la norme internationale CEI 1508 proposée, il existe quatre niveaux d'intégrité de sécurité, appelés niveaux d'intégrité de sécurité 1, 2, 3 et 4. Le niveau d'intégrité de sécurité 1 est le niveau d'intégrité de sécurité le plus bas et le niveau d'intégrité de sécurité 4 est le plus élevé. Le niveau d'intégrité de la sécurité (qu'il soit 1, 2, 3 ou 4) pour le système relatif à la sécurité dépendra de l'importance du rôle joué par le système relatif à la sécurité pour atteindre le niveau de sécurité requis pour l'équipement sous contrôle. Plusieurs systèmes liés à la sécurité peuvent être nécessaires, dont certains peuvent être basés sur la technologie pneumatique ou hydraulique.
Conception de systèmes liés à la sécurité
Une analyse récente de 34 incidents impliquant des systèmes de contrôle (HSE) a révélé que 60 % de tous les cas de défaillance avaient été « intégrés » avant que le système de contrôle lié à la sécurité n'ait été mis en service (figure 7). La prise en compte de toutes les phases du cycle de vie de la sécurité est nécessaire si l'on veut produire des systèmes adéquats relatifs à la sécurité.
Figure 7. Cause principale (par phase) de la défaillance du système de contrôle
La sécurité fonctionnelle des systèmes relatifs à la sécurité dépend non seulement de la garantie que les exigences techniques sont correctement spécifiées, mais également de la garantie que les exigences techniques sont effectivement mises en œuvre et que l'intégrité de la conception initiale est maintenue tout au long de la vie de l'équipement. Cela ne peut être réalisé que si un système de gestion de la sécurité efficace est en place et que les personnes impliquées dans toute activité sont compétentes en ce qui concerne les tâches qu'elles doivent accomplir. En particulier lorsque des systèmes complexes liés à la sécurité sont impliqués, il est essentiel qu'un système de gestion de la sécurité adéquat soit en place. Cela conduit à une stratégie qui garantit ce qui suit :
Afin de répondre de manière systématique à toutes les exigences techniques pertinentes de la sécurité fonctionnelle, le concept de cycle de vie de la sécurité a été développé. Une version simplifiée du cycle de vie de la sécurité dans la norme internationale émergente CEI 1508 est illustrée à la figure 8. Les phases clés du cycle de vie de la sécurité sont :
Figure 8. Rôle du cycle de vie de sécurité dans la réalisation de la sécurité fonctionnelle
Niveau de sécurité
La stratégie de conception pour l'obtention de niveaux adéquats d'intégrité de sécurité pour les systèmes relatifs à la sécurité est illustrée dans la figure 9 et la figure 10. Un niveau d'intégrité de sécurité est basé sur le rôle que le système relatif à la sécurité joue dans la réalisation du niveau global de sécurité pour les équipements sous contrôle. Le niveau d'intégrité de sécurité spécifie les précautions qui doivent être prises en compte dans la conception contre les pannes matérielles aléatoires et systématiques.
Figure 9. Rôle des niveaux d'intégrité de sécurité dans le processus de conception
Figure 10. Rôle du cycle de vie de sécurité dans le processus de spécification et de conception
Le concept de sécurité et de niveau de sécurité s'applique à l'équipement sous contrôle. Le concept de sécurité fonctionnelle s'applique aux systèmes relatifs à la sécurité. La sécurité fonctionnelle des systèmes relatifs à la sécurité doit être atteinte si l'on veut atteindre un niveau de sécurité adéquat pour l'équipement à l'origine du danger. Le niveau de sécurité spécifié pour une situation spécifique est un facteur clé dans la spécification des exigences d'intégrité de sécurité pour les systèmes relatifs à la sécurité.
Le niveau de sécurité requis dépendra de nombreux facteurs, par exemple, la gravité des blessures, le nombre de personnes exposées au danger, la fréquence à laquelle les personnes sont exposées au danger et la durée de l'exposition. Les facteurs importants seront la perception et les opinions des personnes exposées à l'événement dangereux. Pour déterminer ce qui constitue un niveau de sécurité approprié pour une application spécifique, un certain nombre d'entrées sont prises en compte, notamment :
Résumé
Lors de la conception et de l'utilisation de systèmes liés à la sécurité, il ne faut pas oublier que c'est l'équipement sous contrôle qui crée le danger potentiel. Les systèmes relatifs à la sécurité sont conçus pour réduire la fréquence (ou la probabilité) de l'événement dangereux et/ou les conséquences de l'événement dangereux. Une fois que le niveau de sécurité a été défini pour l'équipement, le niveau d'intégrité de sécurité pour le système lié à la sécurité peut être déterminé, et c'est le niveau d'intégrité de sécurité qui permet au concepteur de spécifier les précautions qui doivent être intégrées dans la conception pour être déployé contre les pannes matérielles aléatoires et systématiques.
Les machines, les usines de traitement et les autres équipements peuvent, s'ils fonctionnent mal, présenter des risques d'événements dangereux tels que des incendies, des explosions, des surdoses de rayonnement et des pièces mobiles. L'une des causes de dysfonctionnement de ces usines, équipements et machines est la défaillance des dispositifs électromécaniques, électroniques et électroniques programmables (E/E/PE) utilisés dans la conception de leurs systèmes de contrôle ou de sécurité. Ces pannes peuvent provenir soit de défauts physiques de l'appareil (par exemple, d'une usure se produisant de manière aléatoire dans le temps (pannes matérielles aléatoires)) ; ou de défauts systématiques (par exemple, des erreurs commises dans la spécification et la conception d'un système qui provoquent sa défaillance en raison de (1) une combinaison particulière d'entrées, (2) certaines conditions environnementales (3) des entrées incorrectes ou incomplètes des capteurs, ( 4) saisie de données incomplète ou erronée par les opérateurs, et (5) défauts systématiques potentiels dus à une mauvaise conception de l'interface).
Défaillances des systèmes liés à la sécurité
Cet article couvre la sécurité fonctionnelle des systèmes de commande liés à la sécurité et examine les exigences techniques matérielles et logicielles nécessaires pour atteindre l'intégrité de sécurité requise. L'approche globale est conforme à la norme CEI 1508, parties 2 et 3 (CEI 1993) proposée par la Commission électrotechnique internationale. L'objectif général du projet de norme internationale CEI 1508, Sécurité fonctionnelle : systèmes liés à la sécurité, est de garantir que les installations et les équipements peuvent être automatisés en toute sécurité. Un objectif clé dans l'élaboration de la norme internationale proposée est d'empêcher ou de minimiser la fréquence de :
L'article "Systèmes électriques, électroniques et électroniques programmables relatifs à la sécurité" définit l'approche générale de gestion de la sécurité intégrée dans la partie 1 de la CEI 1508 pour assurer la sécurité des systèmes de commande et de protection qui sont importants pour la sécurité. Cet article décrit la conception technique globale nécessaire pour réduire le risque d'accident à un niveau acceptable, y compris le rôle de tout système de contrôle ou de protection basé sur la technologie E/E/PE.
Dans la figure 1, le risque lié à l'équipement, à l'usine de traitement ou à la machine (généralement appelé équipement sous contrôle (EUC) sans dispositifs de protection) est marqué à une extrémité de l'échelle de risque EUC, et le niveau de risque cible nécessaire pour atteindre le niveau de sécurité requis est à l'autre extrémité. Entre les deux, est illustrée la combinaison de systèmes liés à la sûreté et d'installations externes de réduction des risques nécessaires pour réaliser la réduction des risques requise. Ceux-ci peuvent être de différents types : mécaniques (par exemple, des soupapes de surpression), hydrauliques, pneumatiques, physiques, ainsi que des systèmes E/E/PE. La figure 2 met l'accent sur le rôle de chaque couche de sécurité dans la protection de l'EUC à mesure que l'accident progresse.
Figure 1. Réduction des risques : Concepts généraux
Figure 2. Modèle global : Couches de protection
À condition qu'une analyse des dangers et des risques ait été effectuée sur l'EUC comme requis dans la partie 1 de la CEI 1508, la conception conceptuelle globale de la sécurité a été établie et, par conséquent, les fonctions requises et le niveau d'intégrité de sécurité (SIL) cible pour tout E/E/ Un système de contrôle ou de protection PE a été défini. La cible du niveau d'intégrité de sécurité est définie par rapport à une mesure de défaillance cible (voir tableau 1).
Tableau 1. Niveaux d'intégrité de sécurité pour les systèmes de protection : mesures de défaillance ciblées
Niveau d'intégrité de sécurité Mode de fonctionnement à la demande (probabilité de ne pas exécuter sa fonction de conception à la demande)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Systèmes de protection
Ce document décrit les exigences techniques que le concepteur d'un système E/E/PE relatif à la sécurité doit prendre en compte pour satisfaire à l'objectif de niveau d'intégrité de sécurité requis. L'accent est mis sur un système de protection typique utilisant l'électronique programmable afin de permettre une discussion plus approfondie des problèmes clés avec peu de perte de généralité. Un système de protection typique est illustré à la figure 3, qui représente un système de sécurité à un seul canal avec une coupure secondaire activée via un dispositif de diagnostic. En fonctionnement normal, la condition dangereuse de l'EUC (par exemple, survitesse dans une machine, température élevée dans une usine chimique) sera détectée par le capteur et transmise à l'électronique programmable, qui commandera aux actionneurs (via les relais de sortie) de mettre le système dans un état sûr (par exemple, couper l'alimentation du moteur électrique de la machine, ouvrir une vanne pour relâcher la pression).
Figure 3. Système de protection typique
Mais que se passe-t-il en cas de défaillance des composants du système de protection ? C'est la fonction de l'arrêt secondaire, qui est activé par la fonction de diagnostic (autocontrôle) de cette conception. Cependant, le système n'est pas complètement à sécurité intégrée, car la conception n'a qu'une certaine probabilité d'être disponible lorsqu'on lui demande d'assurer sa fonction de sécurité (elle a une certaine probabilité de défaillance à la demande ou un certain niveau d'intégrité de sécurité). Par exemple, la conception ci-dessus pourrait être capable de détecter et de tolérer certains types de défaillance de la carte de sortie, mais elle ne serait pas capable de résister à une défaillance de la carte d'entrée. Par conséquent, son intégrité de sécurité sera bien inférieure à celle d'une conception avec une carte d'entrée à plus grande fiabilité, ou des diagnostics améliorés, ou une combinaison de ceux-ci.
Il existe d'autres causes possibles de pannes de carte, y compris des défauts physiques "traditionnels" dans le matériel, des défauts systématiques, y compris des erreurs dans la spécification des exigences, des défauts de mise en œuvre dans le logiciel et une protection inadéquate contre les conditions environnementales (par exemple, l'humidité). Les diagnostics de cette conception monocanal peuvent ne pas couvrir tous ces types de défauts, ce qui limitera le niveau d'intégrité de sécurité atteint dans la pratique. (La couverture est une mesure du pourcentage de défauts qu'une conception peut détecter et gérer en toute sécurité.)
Exigences techniques
Les parties 2 et 3 du projet de CEI 1508 fournissent un cadre pour identifier les diverses causes potentielles de défaillance du matériel et des logiciels et pour sélectionner les caractéristiques de conception qui surmontent ces causes potentielles de défaillance appropriées au niveau d'intégrité de sécurité requis du système relatif à la sécurité. Par exemple, l'approche technique globale du système de protection de la figure 3 est illustrée à la figure 4. La figure indique les deux stratégies de base pour surmonter les défauts et les défaillances : (1) évitement des fautes, où l'on veille à éviter la création de défauts ; et (2) tolérance aux pannes, où la conception est créée spécifiquement pour tolérer des défauts spécifiés. Le système monocanal mentionné ci-dessus est un exemple de conception (limitée) tolérante aux pannes où les diagnostics sont utilisés pour détecter certains défauts et mettre le système dans un état sûr avant qu'une défaillance dangereuse ne se produise.
Figure 4. Spécification de conception : solution de conception
Évitement des pannes
L'évitement des pannes tente d'empêcher l'introduction de pannes dans un système. L'approche principale consiste à utiliser une méthode systématique de gestion du projet afin que la sécurité soit traitée comme une qualité définissable et gérable d'un système, lors de la conception, puis ultérieurement lors de l'exploitation et de la maintenance. La démarche, qui s'apparente à l'assurance qualité, repose sur le concept de retour d'expérience et implique : (1) et la planification de votre patrimoine (définir les objectifs de sécurité, identifier les voies et moyens pour atteindre les objectifs) ; (2) mesure réalisation par rapport au plan pendant la mise en œuvre et (3) l'application Réactions pour corriger tout écart. Les revues de conception sont un bon exemple de technique d'évitement des erreurs. Dans la CEI 1508, cette approche "qualité" de la prévention des pannes est facilitée par les exigences d'utilisation d'un cycle de vie de sécurité et d'utilisation de procédures de gestion de la sécurité pour le matériel et les logiciels. Pour ces derniers, ceux-ci se manifestent souvent par des procédures d'assurance qualité du logiciel telles que celles décrites dans l'ISO 9000-3 (1990).
De plus, les parties 2 et 3 de la CEI 1508 (concernant respectivement le matériel et les logiciels) classent certaines techniques ou mesures considérées comme utiles pour éviter les défauts au cours des différentes phases du cycle de vie de sécurité. Le tableau 2 donne un exemple de la partie 3 pour la phase de conception et de développement du logiciel. Le concepteur utiliserait le tableau pour aider à la sélection des techniques d'évitement des défauts, en fonction du niveau d'intégrité de sécurité requis. Avec chaque technique ou mesure dans les tableaux, il y a une recommandation pour chaque niveau d'intégrité de sécurité, de 1 à 4. La gamme de recommandations couvre Hautement recommandé (HR), Recommandé (R), Neutre—ni pour ou contre (—) et Non recommandé (NR).
Tableau 2. Conception et développement de logiciels
Technique/mesure |
SIL 1 |
SIL 2 |
SIL 3 |
SIL 4 |
1. Méthodes formelles incluant, par exemple, CCS, CSP, HOL, LOTOS |
- |
R |
R |
HR |
2. Méthodes semi-formelles |
HR |
HR |
HR |
HR |
3. Structuré. Méthodologie comprenant, par exemple, JSD, MASCOT, SADT, SSADM et YOURDON |
HR |
HR |
HR |
HR |
4. Approche modulaire |
HR |
HR |
HR |
HR |
5. Normes de conception et de codage |
R |
HR |
HR |
HR |
HR = fortement recommandé ; R = recommandé ; NR = déconseillé ;— = neutre : la technique/mesure n'est ni pour ni contre le SIL.
Remarque : une technique/mesure numérotée doit être sélectionnée en fonction du niveau d'intégrité de sécurité.
Tolérance aux pannes
La CEI 1508 exige des niveaux croissants de tolérance aux pannes à mesure que la cible d'intégrité de sécurité augmente. La norme reconnaît cependant que la tolérance aux pannes est plus importante lorsque les systèmes (et les composants qui composent ces systèmes) sont complexes (désignés comme Type B dans la CEI 1508). Pour les systèmes moins complexes et « bien éprouvés », le degré de tolérance aux pannes peut être assoupli.
Tolérance aux pannes matérielles aléatoires
Le tableau 3 montre les exigences de tolérance aux pannes contre les pannes matérielles aléatoires dans les composants matériels complexes (par exemple, les microprocesseurs) lorsqu'ils sont utilisés dans un système de protection tel que celui illustré à la figure 3. Le concepteur peut avoir besoin d'envisager une combinaison appropriée de diagnostics, de tolérance aux pannes et vérifications manuelles pour surmonter cette classe de défaut, en fonction du niveau d'intégrité de sécurité requis.
Tableau 3. Niveau d'intégrité de sécurité - Exigences de défaut pour les composants de type B1
1 Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.
2 Pour les composants sans couverture de diagnostic moyen en ligne, le système doit être capable d'exécuter la fonction de sécurité en présence d'un seul défaut. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.
3 Pour les composants avec une couverture de diagnostic en ligne élevée, le système doit être capable d'exécuter la fonction de sécurité en présence d'un seul défaut. Pour les composants sans couverture de diagnostic en ligne élevée, le système doit pouvoir exécuter la fonction de sécurité en présence de deux défauts. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.
4 Les composants doivent pouvoir assurer la fonction de sécurité en présence de deux défauts. Les défauts doivent être détectés avec une couverture de diagnostic élevée en ligne. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique. L'analyse matérielle quantitative doit être basée sur les hypothèses les plus défavorables.
1Composants dont les modes de défaillance ne sont pas bien définis ou testables, ou pour lesquels les données de défaillance issues de l'expérience sur le terrain sont médiocres (par exemple, les composants électroniques programmables).
La CEI 1508 aide le concepteur en fournissant des tableaux de spécifications de conception (voir tableau 4) avec des paramètres de conception indexés par rapport au niveau d'intégrité de sécurité pour un certain nombre d'architectures de système de protection couramment utilisées.
Tableau 4. Exigences pour le niveau d'intégrité de sécurité 2 - Architectures de systèmes électroniques programmables pour les systèmes de protection
Configuration du système PE |
Couverture de diagnostic par canal |
Intervalle de test hors ligne (TI) |
Temps moyen avant déclenchement intempestif |
PE unique, E/S unique, Ext. WD |
Haute |
6 mois |
1.6 ans |
Double PE, E/S simple |
Haute |
6 mois |
10 ans |
Double PE, double E/S, 2oo2 |
Haute |
3 mois |
1,281 ans |
Double PE, double E/S, 1oo2 |
Aucune |
2 mois |
1.4 ans |
Double PE, double E/S, 1oo2 |
Faible |
5 mois |
1.0 ans |
Double PE, double E/S, 1oo2 |
Moyenne |
18 mois |
0.8 ans |
Double PE, double E/S, 1oo2 |
Haute |
36 mois |
0.8 ans |
Double PE, double E/S, 1oo2D |
Aucune |
2 mois |
1.9 ans |
Double PE, double E/S, 1oo2D |
Faible |
4 mois |
4.7 ans |
Double PE, double E/S, 1oo2D |
Moyenne |
18 mois |
18 ans |
Double PE, double E/S, 1oo2D |
Haute |
48 + mois |
168 ans |
Triple PE, Triple E/S, IPC, 2oo3 |
Aucune |
1 mois |
20 ans |
Triple PE, Triple E/S, IPC, 2oo3 |
Faible |
3 mois |
25 ans |
Triple PE, Triple E/S, IPC, 2oo3 |
Moyenne |
12 mois |
30 ans |
Triple PE, Triple E/S, IPC, 2oo3 |
Haute |
48 + mois |
168 ans |
La première colonne du tableau représente les architectures avec différents degrés de tolérance aux pannes. En général, les architectures placées près du bas du tableau ont un degré de tolérance aux pannes plus élevé que celles situées près du haut. Un système 1oo2 (un sur deux) est capable de résister à n'importe quel défaut, tout comme 2oo3.
La deuxième colonne décrit le pourcentage de couverture de tout diagnostic interne. Plus le niveau de diagnostic est élevé, plus les défauts seront piégés. Dans un système de protection, cela est important car, à condition que le composant défaillant (par exemple, une carte d'entrée) soit réparé dans un délai raisonnable (souvent 8 heures), il y a peu de perte de sécurité fonctionnelle. (Remarque : ce ne serait pas le cas pour un système de contrôle continu, car tout défaut est susceptible de provoquer une condition dangereuse immédiate et le potentiel d'un incident.)
La troisième colonne montre l'intervalle entre les tests périodiques. Ce sont des tests spéciaux qui doivent être effectués pour exercer à fond le système de protection afin de s'assurer qu'il n'y a pas de défauts cachés. Celles-ci sont généralement effectuées par le fournisseur d'équipement pendant les périodes d'arrêt de l'usine.
La quatrième colonne indique le taux de déclenchement intempestif. Un déclenchement intempestif est un déclenchement qui provoque l'arrêt de l'usine ou de l'équipement lorsqu'il n'y a pas d'écart de procédé. Le prix de la sécurité est souvent un taux de déclenchement intempestif plus élevé. Un système de protection redondant simple - 1oo2 - a, avec tous les autres facteurs de conception inchangés, un niveau d'intégrité de sécurité plus élevé mais également un taux de déclenchement intempestif plus élevé qu'un système à canal unique (1oo1).
Si l'une des architectures du tableau n'est pas utilisée ou si le concepteur souhaite effectuer une analyse plus fondamentale, la CEI 1508 autorise cette alternative. Des techniques d'ingénierie de la fiabilité telles que la modélisation de Markov peuvent ensuite être utilisées pour calculer l'élément matériel du niveau d'intégrité de sécurité (Johnson 1989 ; Goble 1992).
Tolérance aux défaillances systématiques et de cause commune
Cette classe de défaillance est très importante dans les systèmes de sécurité et constitue le facteur limitant pour la réalisation de l'intégrité de la sécurité. Dans un système redondant, un composant ou un sous-système, voire l'ensemble du système, est dupliqué pour obtenir une haute fiabilité à partir de pièces à faible fiabilité. L'amélioration de la fiabilité se produit parce que, statistiquement, le risque que deux systèmes échouent simultanément par des défauts aléatoires sera le produit des fiabilités des systèmes individuels, et donc beaucoup plus faible. D'autre part, les défauts systématiques et de cause commune entraînent la défaillance simultanée de systèmes redondants lorsque, par exemple, une erreur de spécification dans le logiciel entraîne la défaillance simultanée des parties dupliquées. Un autre exemple serait la panne d'une alimentation électrique commune à un système redondant.
La CEI 1508 fournit des tableaux de techniques d'ingénierie classées par rapport au niveau d'intégrité de sécurité considérées comme efficaces pour assurer une protection contre les défaillances systématiques et de cause commune.
Des exemples de techniques offrant des défenses contre les défaillances systématiques sont la diversité et la redondance analytique. La base de la diversité est que si un concepteur implémente un deuxième canal dans un système redondant en utilisant une technologie ou un langage logiciel différent, alors les défauts dans les canaux redondants peuvent être considérés comme indépendants (c'est-à-dire une faible probabilité de défaillance fortuite). Cependant, en particulier dans le domaine des systèmes logiciels, il semble que cette technique ne soit pas efficace, car la plupart des erreurs se trouvent dans la spécification. La redondance analytique tente d'exploiter des informations redondantes dans l'usine ou la machine pour identifier les défauts. Pour les autres causes de défaillance systématique, par exemple les contraintes externes, la norme fournit des tableaux donnant des conseils sur les bonnes pratiques d'ingénierie (par exemple, séparation des câbles de signal et d'alimentation) indexés par rapport au niveau d'intégrité de sécurité.
Conclusions
Les systèmes informatisés offrent de nombreux avantages, non seulement économiques, mais également susceptibles d'améliorer la sécurité. Cependant, l'attention portée aux détails requise pour réaliser ce potentiel est nettement plus grande que dans le cas de l'utilisation de composants de système conventionnels. Cet article a décrit les principales exigences techniques qu'un concepteur doit prendre en compte pour exploiter avec succès cette technologie.
Les tracteurs et autres engins mobiles utilisés dans les travaux agricoles, forestiers, de construction et miniers, ainsi que la manutention des matériaux, peuvent entraîner de graves dangers lorsque les véhicules se renversent sur le côté, basculent vers l'avant ou se renversent en arrière. Les risques sont accrus dans le cas de tracteurs à roues avec des centres de gravité élevés. Les autres véhicules qui présentent un risque de renversement sont les tracteurs à chenilles, les chargeuses, les grues, les cueilleurs de fruits, les bouteurs, les tombereaux, les grattoirs et les niveleuses. Ces accidents surviennent généralement trop rapidement pour que les conducteurs et les passagers puissent s'éloigner de l'équipement, et ils peuvent se coincer sous le véhicule. Par exemple, les tracteurs avec des centres de gravité élevés ont une probabilité considérable de renversement (et les tracteurs étroits ont encore moins de stabilité que les larges). Un interrupteur de coupure du moteur au mercure pour couper l'alimentation lors de la détection d'un mouvement latéral a été introduit sur les tracteurs, mais s'est avéré trop lent pour faire face aux forces dynamiques générées lors du mouvement de renversement (Springfeldt 1993). Par conséquent, le dispositif de sécurité a été abandonné.
Le fait qu'un tel équipement soit souvent utilisé sur un terrain en pente ou inégal ou sur un sol meuble, et parfois à proximité immédiate de fossés, de tranchées ou d'excavations, est une cause importante de renversement. Si un équipement auxiliaire est attaché en hauteur sur un tracteur, la probabilité de se cabrer en arrière en montant une pente (ou de basculer en avant en descendant) augmente. De plus, un tracteur peut se renverser en raison de la perte de contrôle due à la pression exercée par l'équipement tracté (par exemple, lorsque le chariot descend dans une pente et que l'équipement attelé n'est pas freiné et dépasse le tracteur). Des risques particuliers surviennent lorsque des tracteurs sont utilisés comme véhicules de remorquage, en particulier si le crochet de remorquage du tracteur est placé à un niveau plus élevé que l'essieu des roues.
Histoire
Le problème des renversements a été signalé au niveau national dans certains pays où de nombreux renversements mortels se sont produits. En Suède et en Nouvelle-Zélande, le développement et les essais de structures de protection contre le retournement (ROPS) sur les tracteurs (figure 1) étaient déjà en cours dans les années 1950, mais ces travaux n'ont été suivis d'une réglementation que de la part des autorités suédoises ; ces réglementations sont entrées en vigueur à partir de 1959 (Springfeldt 1993).
Figure 1. Types habituels de ROPS sur les tracteurs
Les réglementations proposées prescrivant les ROPS pour les tracteurs se sont heurtées à une résistance dans le secteur agricole de plusieurs pays. Une forte opposition s'est élevée contre les projets obligeant les employeurs à installer un ROPS sur les tracteurs existants, et même contre la proposition selon laquelle seuls les nouveaux tracteurs seraient équipés par les fabricants d'un ROPS. Finalement, de nombreux pays ont imposé avec succès le ROPS pour les nouveaux tracteurs, et plus tard, certains pays ont pu exiger que le ROPS soit également installé sur les anciens tracteurs. Les normes internationales concernant les tracteurs et les engins de terrassement, y compris les normes d'essai pour les ROPS, ont contribué à des conceptions plus fiables. Les tracteurs ont été conçus et fabriqués avec des centres de gravité plus bas et des crochets de remorquage placés plus bas. Les quatre roues motrices ont réduit le risque de renversement. Mais la proportion de tracteurs équipés de ROPS dans les pays possédant de nombreux tracteurs anciens et sans obligation de rééquipement de ROPS est encore assez faible.
Enquêtes
Les accidents de renversement, en particulier ceux impliquant des tracteurs, ont été étudiés par des chercheurs dans de nombreux pays. Cependant, il n'existe pas de statistiques internationales centralisées sur le nombre d'accidents causés par les types d'engins mobiles examinés dans cet article. Les statistiques disponibles au niveau national montrent néanmoins que le nombre est élevé, surtout dans l'agriculture. Selon un rapport écossais sur les accidents de renversement de tracteurs dans la période 1968-1976, 85% des tracteurs impliqués avaient un équipement attaché au moment de l'accident, et parmi ceux-ci, la moitié avait un équipement traîné et l'autre moitié avait un équipement monté. Les deux tiers des accidents de renversement de tracteur dans le rapport écossais se sont produits sur des pentes (Springfeldt 1993). Il a été prouvé par la suite que le nombre d'accidents serait réduit après l'introduction d'une formation à la conduite en pente ainsi que l'application d'un instrument de mesure de l'inclinaison des pentes combiné à un indicateur de limites de pente sécuritaires.
Dans d'autres enquêtes, des chercheurs néo-zélandais ont observé que la moitié de leurs renversements mortels se produisaient sur un terrain plat ou sur de légères pentes, et seulement un dixième se produisaient sur des pentes raides. Sur terrain plat, les conducteurs de tracteurs peuvent être moins attentifs aux risques de renversement et ils peuvent mal évaluer le risque posé par les fossés et les terrains accidentés. Parmi les décès par renversement de tracteurs en Nouvelle-Zélande entre 1949 et 1980, 80 % sont survenus avec des tracteurs à roues et 20 % avec des tracteurs à chenilles (Springfeldt 1993). Des études en Suède et en Nouvelle-Zélande ont montré qu'environ 80 % des décès par renversement de tracteur se produisaient lorsque les tracteurs se renversaient sur le côté. La moitié des tracteurs impliqués dans les accidents mortels en Nouvelle-Zélande avaient roulé à 180°.
Des études sur la corrélation entre les décès par renversement en Allemagne de l'Ouest et l'année modèle des tracteurs agricoles (Springfeldt 1993) ont montré qu'un des 1 10,000 vieux tracteurs non protégés fabriqués avant 1957 était impliqué dans un décès par renversement. Parmi les tracteurs avec ROPS prescrits, fabriqués en 1970 et plus tard, 1 tracteur sur 25,000 1980 a été impliqué dans un accident mortel par renversement. Parmi les renversements mortels de tracteurs en Allemagne de l'Ouest au cours de la période 1985-1993, les deux tiers des victimes ont été éjectées de leur zone protégée, puis écrasées ou heurtées par le tracteur (Springfeldt 1). Parmi les renversements non mortels, un quart des conducteurs ont été éjectés du siège du conducteur mais n'ont pas été renversés. Il est évident que le risque de décès augmente si le conducteur est éjecté hors de la zone protégée (similaire aux accidents automobiles). La plupart des tracteurs impliqués avaient une proue à deux piliers (figure XNUMX C) qui n'empêche pas le conducteur d'être éjecté. Dans quelques cas, la ROPS avait subi une rupture ou une forte déformation.
Les fréquences relatives des blessures pour 100,000 1993 tracteurs à différentes périodes dans certains pays et la réduction du taux de mortalité ont été calculées par Springfeldt (100,000). L'efficacité du ROPS dans la diminution des blessures dans les accidents de renversement de tracteur a été prouvée en Suède, où le nombre de décès pour 17 0.3 tracteurs a été réduit d'environ 1960 à 1990 sur une période de trois décennies (2-98) (figure 1). À la fin de la période, on estimait qu'environ 24 % des tracteurs étaient équipés d'un ROPS, principalement sous la forme d'une cabine indéformable (figure 4 A). En Norvège, les décès ont été réduits d'environ 100,000 à XNUMX pour XNUMX XNUMX tracteurs au cours d'une période similaire. Cependant, de moins bons résultats ont été obtenus en Finlande et en Nouvelle-Zélande.
Figure 2. Blessures par renversement pour 100,000 1957 tracteurs en Suède entre 1990 et XNUMX
Prévention des blessures par renversements
Le risque de renversement est le plus élevé dans le cas des tracteurs ; cependant, dans les travaux agricoles et forestiers, on ne peut pas faire grand-chose pour empêcher les tracteurs de se renverser. En installant des ROPS sur les tracteurs et les types d'engins de terrassement présentant des risques potentiels de renversement, le risque de blessures corporelles peut être réduit, à condition que les conducteurs restent assis sur leur siège pendant les événements de renversement (Springfeldt 1993). La fréquence des décès par renversement dépend en grande partie de la proportion de machines protégées utilisées et des types de ROPS utilisés. Une proue (figure 1 C) protège beaucoup moins qu'une cabine ou un châssis (Springfeldt 1993). La structure la plus efficace est une cabine indéformable, qui permet au conducteur de rester à l'intérieur, protégé, lors d'un retournement. (Une autre raison de choisir une cabine est qu'elle offre une protection contre les intempéries.) Le moyen le plus efficace de maintenir le conducteur dans la protection du ROPS lors d'un retournement est une ceinture de sécurité, à condition que le conducteur utilise la ceinture lors de l'utilisation de l'équipement. Dans certains pays, des plaques d'information sur le siège du conducteur conseillent de saisir le volant en cas de capotage. Une mesure de sécurité supplémentaire consiste à concevoir la cabine de conduite ou l'environnement intérieur et le ROPS de manière à éviter toute exposition à des dangers tels que des arêtes vives ou des protubérances.
Dans tous les pays, les renversements d'engins mobiles, principalement des tracteurs, causent des blessures graves. Il existe toutefois des différences considérables entre les pays en ce qui concerne les spécifications techniques relatives à la conception des machines, ainsi que les procédures administratives pour les examens, les essais, les inspections et la commercialisation. La diversité internationale qui caractérise les efforts de sécurité dans ce domaine peut s'expliquer par des considérations telles que :
Les règles de sécurité
La nature des règles régissant les exigences relatives aux ROPS et le degré de mise en œuvre des règles dans un pays ont une forte influence sur les accidents de renversement, en particulier les accidents mortels. Dans cette optique, le développement de machines plus sûres a été encouragé par des directives, des codes et des normes émis par des organisations internationales et nationales. De plus, de nombreux pays ont adopté des prescriptions rigoureuses pour le ROPS, ce qui a entraîné une forte réduction des blessures par renversement.
Communauté Économique Européenne
À partir de 1974, la Communauté économique européenne (CEE) a publié des directives concernant l'homologation des tracteurs agricoles et forestiers à roues et, en 1977, d'autres directives spéciales concernant les ROPS, y compris leur fixation sur les tracteurs (Springfeldt 1993; CEE 1974, 1977, 1979, 1982, 1987). Les directives prescrivent une procédure d'homologation et de certification par le fabricant des tracteurs, et la ROPS doit être examinée par un examen d'homologation CEE. Les directives ont été acceptées par tous les pays membres.
Certaines directives CEE concernant les ROPS sur les tracteurs ont été abrogées le 31 décembre 1995 et remplacées par la directive générale sur les machines qui s'applique aux types de machines présentant des risques en raison de leur mobilité (CEE 1991). Les tracteurs à roues, ainsi que certains engins de terrassement d'une capacité supérieure à 15 kW (à savoir les chenilles et les chargeuses sur pneus, les chargeuses-pelleteuses, les tracteurs à chenilles, les décapeuses, les niveleuses et les tombereaux articulés) doivent être équipés d'un ROPS. En cas de capotage, la ROPS doit offrir au conducteur et aux opérateurs un volume limiteur de débattement adéquat (c'est-à-dire un espace permettant le mouvement du corps des occupants avant de toucher les éléments intérieurs lors d'un accident). Il est de la responsabilité des fabricants ou de leurs représentants autorisés d'effectuer les tests appropriés.
Organisation pour la coopération et le développement économique
En 1973 et 1987, l'Organisation de coopération et de développement économiques (OCDE) a approuvé des codes normalisés pour l'essai des tracteurs (Springfeldt 1993; OCDE 1987). Ils donnent les résultats des essais des tracteurs et décrivent l'équipement d'essai et les conditions d'essai. Les codes exigent de tester de nombreuses pièces et fonctions de machines, par exemple la résistance du ROPS. Les codes de tracteurs de l'OCDE décrivent une méthode statique et une méthode dynamique d'essai ROPS sur certains types de tracteurs. Une ROPS peut être conçue uniquement pour protéger le conducteur en cas de renversement du tracteur. Il doit être retesté pour chaque modèle de tracteur sur lequel le ROPS doit être monté. Les codes exigent également qu'il soit possible de monter une protection contre les intempéries pour le conducteur sur la structure, de nature plus ou moins temporaire. Les codes des tracteurs ont été acceptés par tous les organismes membres de l'OCDE depuis 1988, mais dans la pratique, les États-Unis et le Japon acceptent également les ROPS qui ne sont pas conformes aux exigences du code si des ceintures de sécurité sont fournies (Springfeldt 1993).
Organisation internationale du Travail
En 1965, l'Organisation Internationale du Travail (OIT) dans son manuel, Sécurité et santé dans le travail agricole, exigeait qu'une cabine ou un châssis d'une résistance suffisante soit convenablement fixé aux tracteurs afin de fournir une protection satisfaisante au conducteur et aux passagers à l'intérieur de la cabine en cas de renversement du tracteur (Springfeldt 1993; OIT 1965). Selon les codes de pratique de l'OIT, les tracteurs agricoles et forestiers doivent être équipés d'un ROPS pour protéger l'opérateur et tout passager en cas de renversement, de chute d'objets ou de charges déplacées (OIT 1976).
L'installation d'un cadre ROPS ne doit pas nuire à
Normes internationales et nationales
En 1981, l'Organisation internationale de normalisation (ISO) a publié une norme pour les tracteurs et les machines agricoles et forestières (ISO 1981). La norme décrit une méthode d'essai statique pour ROPS et définit les conditions d'acceptation. La norme a été approuvée par les organismes membres dans 22 pays ; cependant, le Canada et les États-Unis ont exprimé leur désapprobation du document pour des raisons techniques. Une pratique standard et recommandée publiée en 1974 par la Society of Automotive Engineers (SAE) en Amérique du Nord contient des exigences de performance pour le ROPS sur les tracteurs agricoles à roues et les tracteurs industriels utilisés dans la construction, les décapeuses sur pneus, les chargeuses frontales, les bulldozers, les chargeuses sur chenilles , et niveleuses (SAE 1974 et 1975). Le contenu de la norme a été adopté comme réglementation aux États-Unis et dans les provinces canadiennes de l'Alberta et de la Colombie-Britannique.
Règles et conformité
Les codes et les normes internationales de l'OCDE concernent la conception et la construction des ROPS ainsi que le contrôle de leur résistance, mais n'ont pas le pouvoir d'exiger que ce type de protection soit mis en pratique (OCDE 1987; ISO 1981). La Communauté économique européenne a également proposé que les tracteurs et les engins de terrassement soient équipés de protections (CEE 1974-1987). L'objectif des directives CEE est d'uniformiser les entités nationales en ce qui concerne la sécurité des nouvelles machines au stade de la fabrication. Les pays membres sont tenus de suivre les directives et d'édicter les prescriptions correspondantes. A partir de 1996, les pays membres de la CEE ont l'intention d'édicter des réglementations exigeant que les nouveaux tracteurs et engins de terrassement soient équipés de ROPS.
En 1959, la Suède est devenue le premier pays à exiger le ROPS pour les nouveaux tracteurs (Springfeldt 1993). Des exigences correspondantes sont entrées en vigueur au Danemark et en Finlande dix ans plus tard. Plus tard, dans les années 1970 et 1980, les exigences obligatoires pour le ROPS sur les nouveaux tracteurs sont entrées en vigueur en Grande-Bretagne, en Allemagne de l'Ouest, en Nouvelle-Zélande, aux États-Unis, en Espagne, en Norvège, en Suisse et dans d'autres pays. Dans tous ces pays, à l'exception des États-Unis, les règles ont été étendues aux vieux tracteurs quelques années plus tard, mais ces règles n'étaient pas toujours obligatoires. En Suède, tous les tracteurs doivent être équipés d'une cabine de protection, une règle qui ne s'applique en Grande-Bretagne qu'à tous les tracteurs utilisés par les travailleurs agricoles (Springfeldt 1993). Au Danemark, en Norvège et en Finlande, tous les tracteurs doivent être pourvus d'au moins un châssis, tandis qu'aux États-Unis et dans les États australiens, les arceaux sont acceptés. Aux États-Unis, les tracteurs doivent être équipés de ceintures de sécurité.
Aux États-Unis, les engins de manutention qui ont été fabriqués avant 1972 et qui sont utilisés dans des travaux de construction doivent être équipés d'un ROPS qui satisfait aux normes de performance minimales (US Bureau of National Affairs 1975). Les machines couvertes par l'exigence comprennent certaines décapeuses, chargeuses frontales, bouteurs, tracteurs à chenilles, chargeuses et niveleuses. La mise à niveau a été effectuée de ROPS sur des machines fabriquées environ trois ans plus tôt.
Sexemaire
Dans les pays ayant des exigences obligatoires en matière de ROPS pour les nouveaux tracteurs et la mise à niveau de ROPS sur les anciens tracteurs, il y a eu une diminution des blessures par renversement, en particulier des accidents mortels. Il est évident qu'une cabine indéformable est le type de ROPS le plus efficace. Un arc donne une mauvaise protection en cas de renversement. De nombreux pays ont prescrit des ROPS efficaces au moins sur les nouveaux tracteurs et depuis 1996 sur les engins de terrassement. En dépit de ce fait, certaines autorités semblent accepter des types de ROPS qui ne sont pas conformes aux exigences telles qu'elles ont été promulguées par l'OCDE et l'ISO. On s'attend à ce qu'une harmonisation plus générale des règles régissant le ROPS s'accomplisse progressivement dans le monde entier, y compris dans les pays en développement.
" AVIS DE NON-RESPONSABILITÉ : L'OIT n'assume aucune responsabilité pour le contenu présenté sur ce portail Web qui est présenté dans une langue autre que l'anglais, qui est la langue utilisée pour la production initiale et l'examen par les pairs du contenu original. Certaines statistiques n'ont pas été mises à jour depuis la production de la 4ème édition de l'Encyclopédie (1998)."