A combustion propre peut être défini comme un ensemble de composants interdépendants combinés de manière à remplir une fonction donnée dans des conditions spécifiées. Une machine est un exemple concret et particulièrement net de système en ce sens, mais il existe d'autres systèmes, impliquant des hommes et des femmes dans une équipe ou dans un atelier ou une usine, qui sont beaucoup plus complexes et moins faciles à définir. Sécurité suggère l'absence de danger ou de risque d'accident ou de blessure. Afin d'éviter toute ambiguïté, le concept général de événement indésirable seront employés. La sécurité absolue, au sens de l'impossibilité qu'un incident plus ou moins malheureux se produise, n'est pas atteignable ; de manière réaliste, il faut viser une probabilité très faible plutôt qu'une probabilité nulle d'occurrences indésirables.

Un système donné peut être considéré comme sûr ou non sûr uniquement en ce qui concerne les performances qui en sont réellement attendues. Dans cette optique, le niveau de sécurité d'un système peut être défini comme suit : "Pour tout ensemble donné d'événements indésirables, le niveau de sécurité (ou d'insécurité) d'un système est déterminé par la probabilité que ces événements se produisent sur une période donnée. période de temps". Parmi les exemples d'événements indésirables qui seraient intéressants dans le cadre du présent rapport, citons : les décès multiples, la mort d'une ou plusieurs personnes, les blessures graves, les blessures légères, les dommages à l'environnement, les effets néfastes sur les êtres vivants, la destruction d'usines ou de bâtiments, et les ou des dommages matériels ou matériels limités.

Objectif de l'analyse du système de sécurité

L'objet d'une analyse de sécurité du système est de déterminer les facteurs qui influent sur la probabilité des événements indésirables, d'étudier la manière dont ces événements se produisent et, finalement, de développer des mesures préventives pour réduire leur probabilité.

La phase analytique du problème peut être divisée en deux aspects principaux :

1. l'identification et la description de la types de dysfonctionnement ou d'inadaptation
2. identification de la séquences des dysfonctionnements qui se combinent les uns avec les autres (ou avec des occurrences plus « normales ») pour aboutir in fine à l'occurrence non désirée elle-même, et l'évaluation de leur probabilité.

Une fois les différents dysfonctionnements et leurs conséquences étudiés, les analystes de la sécurité du système peuvent porter leur attention sur les mesures préventives. La recherche dans ce domaine s'appuiera directement sur les découvertes antérieures. Cette investigation des moyens préventifs suit les deux principaux aspects de l'analyse de sûreté du système.

Méthodes d'analyse

L'analyse de sécurité du système peut être réalisée avant ou après l'événement (a priori ou a posteriori) ; dans les deux cas, la méthode utilisée peut être directe ou inverse. Une analyse a priori a lieu avant l'événement indésirable. L'analyste prend un certain nombre de ces occurrences et s'attache à découvrir les différentes étapes qui peuvent y conduire. En revanche, une analyse a posteriori est effectuée après que l'événement indésirable s'est produit. Son objectif est de fournir des orientations pour l'avenir et, en particulier, de tirer toutes les conclusions qui peuvent être utiles pour d'éventuelles analyses a priori ultérieures.

S'il peut sembler qu'une analyse a priori serait bien plus précieuse qu'une analyse a posteriori, puisqu'elle précède l'incident, les deux sont en fait complémentaires. La méthode utilisée dépend de la complexité du système impliqué et de ce que l'on sait déjà sur le sujet. Dans le cas de systèmes tangibles tels que des machines ou des installations industrielles, l'expérience antérieure peut généralement servir à préparer une analyse a priori assez détaillée. Cependant, même dans ce cas, l'analyse n'est pas forcément infaillible et ne manquera pas de bénéficier d'une analyse ultérieure a posteriori basée essentiellement sur l'étude des incidents survenus en cours d'exploitation. Quant aux systèmes plus complexes impliquant des personnes, tels que les équipes de travail, les ateliers ou les usines, l'analyse a posteriori est encore plus importante. Dans de tels cas, l'expérience passée n'est pas toujours suffisante pour permettre une analyse a priori détaillée et fiable.

Une analyse a posteriori peut évoluer vers une analyse a priori lorsque l'analyste va au-delà du seul processus qui a conduit à l'incident en question et commence à examiner les différents événements qui pourraient raisonnablement conduire à un tel incident ou à des incidents similaires.

Une autre manière dont une analyse a posteriori peut devenir une analyse a priori consiste à mettre l'accent non pas sur l'événement (dont la prévention est l'objectif principal de l'analyse actuelle) mais sur des incidents moins graves. Ces incidents, tels que les incidents techniques, les dégâts matériels et les accidents potentiels ou mineurs, relativement peu importants en eux-mêmes, peuvent être identifiés comme des signes annonciateurs d'événements plus graves. Dans de tels cas, bien que réalisée après la survenance d'incidents mineurs, l'analyse sera une analyse a priori sur des événements plus graves qui n'ont pas encore eu lieu.

Il existe deux méthodes possibles pour étudier le mécanisme ou la logique derrière la séquence de deux événements ou plus :

1. La ou inductif, la méthode part des causes pour prédire leurs effets.
2. La inverserou déductif, la méthode examine les effets et remonte jusqu'aux causes.

La figure 1 est un schéma d'un circuit de commande nécessitant deux boutons (B₁ et B₂) à appuyer simultanément pour activer la bobine de relais (R) et démarrer la machine. Cet exemple peut être utilisé pour illustrer, en termes pratiques, la ainsi que inverser méthodes utilisées dans l'analyse de la sécurité des systèmes.

Figure 1. Circuit de commande à deux boutons

Méthode directe

Dans le méthode directe, l'analyste commence par (1) répertorier les défauts, dysfonctionnements et inadaptations, (2) étudier leurs effets et (3) déterminer si ces effets constituent ou non une menace pour la sécurité. Dans le cas de la figure 1, les défauts suivants peuvent se produire :

• une rupture de fil entre 2 et 2´

• contact involontaire en C₁ (ou C₂) suite à un blocage mécanique

• fermeture accidentelle de B₁ (ou B₂)

• court-circuit entre 1 et 1´.

L'analyste peut alors déduire les conséquences de ces défauts, et les constatations peuvent être présentées sous forme de tableau (tableau 1).

Tableau 1. Dysfonctionnements possibles d'un circuit de commande à deux boutons et leurs conséquences

* Occurrence ayant une influence directe sur la fiabilité du système
** Occurrence responsable d'une baisse importante du niveau de sécurité du système
*** Événement dangereux à éviter

Voir texte et figure 1.

Dans le tableau 1, les conséquences dangereuses ou susceptibles de réduire gravement le niveau de sécurité du système peuvent être désignées par des signes conventionnels tels que ***.

Remarque: Dans le tableau 1, une rupture de câble entre 2 et 2´ (illustrée à la figure 1) entraîne un événement qui n'est pas considéré comme dangereux. Il n'a pas d'effet direct sur la sécurité du système ; cependant, la probabilité qu'un tel incident se produise a une incidence directe sur la fiabilité du système.

La méthode directe est particulièrement adaptée à la simulation. La figure 2 montre un simulateur analogique conçu pour étudier la sécurité des circuits de commande de presse. La simulation du circuit de commande permet de vérifier que, tant qu'il n'y a pas de défaut, le circuit est effectivement capable d'assurer la fonction requise sans enfreindre les critères de sécurité. De plus, le simulateur peut permettre à l'analyste d'introduire des défauts dans les différents composants du circuit, d'observer leurs conséquences et ainsi de distinguer les circuits bien conçus (avec peu ou pas de défauts dangereux) de ceux qui sont mal conçus. Ce type d'analyse de sécurité peut également être effectué à l'aide d'un ordinateur.

Figure 2. Simulateur pour l'étude des circuits de commande de presse

Méthode inverse

Dans le méthode inverse, l'analyste remonte de l'occurrence, incident ou accident indésirable, vers les différents événements antérieurs pour déterminer lesquels sont susceptibles d'entraîner les occurrences à éviter. Dans la figure 1, l'événement ultime à éviter serait le démarrage intempestif de la machine.

• Le démarrage de la machine peut être provoqué par une activation incontrôlée de la bobine de relais (R).

• L'activation de la bobine peut, quant à elle, résulter d'un court-circuit entre 1 et 1´ ou d'une fermeture intempestive et simultanée des interrupteurs C₁ et C₂.

• Fermeture intempestive de C₁ peut être la conséquence d'un blocage mécanique de C₁ ou de l'appui accidentel sur B₁. Un raisonnement similaire s'applique à C₂.

Les résultats de cette analyse peuvent être représentés dans un diagramme qui ressemble à un arbre (pour cette raison, la méthode inverse est connue sous le nom d'"analyse par arbre de défaillance"), comme illustré à la figure 3.

Figure 3. Chaîne d'événements possible

Le diagramme suit des opérations logiques, dont les plus importantes sont les opérations "OU" et "ET". L'opération "OU" signifie que [X₁] se produira si [A] ou [B] (ou les deux) se produisent. L'opération "ET" signifie qu'avant [X₂] peut se produire, [C] et [D] doivent avoir eu lieu (voir figure 4).

Figure 4. Représentation de deux opérations logiques

La méthode inverse est très souvent utilisée dans l'analyse a priori de systèmes tangibles, notamment dans les industries chimiques, aéronautiques, spatiales et nucléaires. Il s'est également avéré extrêmement utile comme méthode d'enquête sur les accidents industriels.

Bien que très différentes, les méthodes directe et inverse sont complémentaires. La méthode directe repose sur un ensemble de défauts ou de dysfonctionnements, et la valeur d'une telle analyse dépend donc largement de la pertinence des différents dysfonctionnements pris en compte au départ. Vue sous cet angle, la méthode inverse semble plus systématique. Connaissant les types d'accidents ou d'incidents susceptibles de se produire, l'analyste peut en théorie appliquer cette méthode pour remonter vers tous les dysfonctionnements ou combinaisons de dysfonctionnements susceptibles de les provoquer. Cependant, tous les comportements dangereux d'un système n'étant pas nécessairement connus à l'avance, ils peuvent être découverts par la méthode directe, appliquée par simulation par exemple. Une fois ceux-ci découverts, les dangers peuvent être analysés plus en détail par la méthode inverse.

Problèmes d'analyse de la sécurité du système

Les méthodes analytiques décrites ci-dessus ne sont pas seulement des processus mécaniques qui doivent seulement être appliqués automatiquement afin de parvenir à des conclusions utiles pour améliorer la sécurité du système. Au contraire, les analystes rencontrent un certain nombre de problèmes au cours de leur travail, et l'utilité de leurs analyses dépendra largement de la manière dont ils s'y prendront pour les résoudre. Certains des problèmes typiques qui peuvent survenir sont décrits ci-dessous.

Comprendre le système à étudier et ses conditions de fonctionnement

Les problèmes fondamentaux de toute analyse de sûreté d'un système sont la définition du système à étudier, ses limites et les conditions dans lesquelles il est censé fonctionner tout au long de son existence.

Si l'analyste prend en compte un sous-système trop limité, le résultat peut être l'adoption d'une série de mesures préventives aléatoires (situation dans laquelle tout est conçu pour prévenir certains types d'événements particuliers, tandis que des risques tout aussi graves sont ignorés ou sous-estimés ). Si, en revanche, le système considéré est trop complet ou général par rapport à un problème donné, il peut en résulter un trop grand flou de concept et de responsabilités, et l'analyse peut ne pas conduire à l'adoption de mesures préventives appropriées.

Un exemple typique qui illustre le problème de la définition du système à étudier est la sécurité des machines ou installations industrielles. Dans ce genre de situation, l'analyste peut être tenté de ne considérer que l'équipement lui-même, négligeant le fait qu'il doit être opéré ou contrôlé par une ou plusieurs personnes. Une telle simplification est parfois valable. Cependant, ce qui doit être analysé n'est pas seulement le sous-système de la machine, mais l'ensemble du système travailleur plus machine aux différentes étapes de la vie de l'équipement (y compris, par exemple, le transport et la manutention, l'assemblage, les essais et les réglages, le fonctionnement normal , entretien, démontage et, dans certains cas, destruction). A chaque étape la machine fait partie d'un système spécifique dont la finalité et les modes de fonctionnement et de dysfonctionnement sont totalement différents de ceux du système aux autres étapes. Il doit donc être conçu et fabriqué de manière à permettre l'exécution de la fonction requise dans de bonnes conditions de sécurité à chacun des étages.

Plus généralement, en matière d'études de sécurité dans les entreprises, il existe plusieurs niveaux de système : la machine, le poste de travail, l'équipe, le service, l'usine et l'entreprise dans son ensemble. Selon le niveau du système considéré, les types de dysfonctionnement possibles et les mesures préventives pertinentes sont assez différents. Une bonne politique de prévention doit tenir compte des dysfonctionnements qui peuvent survenir à différents niveaux.

Les conditions de fonctionnement du système peuvent être définies en fonction de la manière dont le système est censé fonctionner, et des conditions environnementales auxquelles il peut être soumis. Cette définition doit être suffisamment réaliste pour tenir compte des conditions réelles dans lesquelles le système est susceptible de fonctionner. Un système qui n'est très sûr que dans une plage de fonctionnement très restreinte peut ne pas l'être si l'utilisateur est incapable de rester dans la plage de fonctionnement théorique prescrite. Un système sûr doit donc être suffisamment robuste pour supporter des variations raisonnables de ses conditions de fonctionnement, et tolérer certaines erreurs simples mais prévisibles de la part des opérateurs.

Modélisation du système

Il est souvent nécessaire de développer un modèle pour analyser la sécurité d'un système. Cela peut soulever certains problèmes qui méritent d'être examinés.

Pour un système concis et relativement simple comme une machine conventionnelle, le modèle est presque directement déduit des descriptions des composants matériels et de leurs fonctions (moteurs, transmission, etc.) et de la manière dont ces composants sont interdépendants. Le nombre de modes de défaillance possibles des composants est également limité.

Les machines modernes comme les ordinateurs et les robots, qui contiennent des composants complexes comme des microprocesseurs et des circuits électroniques à très grande échelle d'intégration, posent un problème particulier. Ce problème n'est pas totalement résolu ni en termes de modélisation ni de prédiction des différents modes de défaillance possibles, du fait de la multiplicité des transistors élémentaires dans chaque puce et de l'utilisation de logiciels divers.

Lorsque le système à analyser est une organisation humaine, un problème intéressant rencontré en modélisation réside dans le choix et la définition de certains composants immatériels ou non entièrement matériels. Un poste de travail particulier peut être représenté, par exemple, par un système comprenant des travailleurs, des logiciels, des tâches, des machines, des matériaux et un environnement. (La composante « tâche » peut s'avérer difficile à définir, car ce n'est pas la tâche prescrite qui compte mais la tâche telle qu'elle est effectivement réalisée).

Lors de la modélisation des organisations humaines, l'analyste peut choisir de décomposer le système considéré en un sous-système d'information et un ou plusieurs sous-systèmes d'action. L'analyse des défaillances aux différentes étapes du sous-système informationnel (acquisition, transmission, traitement et utilisation de l'information) peut être très instructive.

Problèmes associés aux multiples niveaux d'analyse

Les problèmes associés aux multiples niveaux d'analyse se développent souvent car partant d'un événement indésirable, l'analyste peut remonter vers des incidents de plus en plus éloignés dans le temps. Selon le niveau d'analyse considéré, la nature des dysfonctionnements qui surviennent varie ; il en va de même pour les mesures préventives. Il est important de pouvoir décider à quel niveau l'analyse doit être arrêtée et à quel niveau une action préventive doit être entreprise. Un exemple est le cas simple d'un accident résultant d'une défaillance mécanique causée par l'utilisation répétée d'une machine dans des conditions anormales. Cela peut être dû à un manque de formation des opérateurs ou à une mauvaise organisation du travail. Selon le niveau d'analyse considéré, l'action préventive requise peut être le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères, l'utilisation de la machine uniquement dans des conditions normales, une modification de la formation du personnel ou une réorganisation des travail.

L'efficacité et la portée d'une mesure préventive dépendent du niveau auquel elle est introduite. Une action préventive à proximité immédiate de l'événement indésirable est plus susceptible d'avoir un impact direct et rapide, mais ses effets peuvent être limités ; d'autre part, en travaillant raisonnablement à rebours dans l'analyse des événements, il devrait être possible de retrouver des types de dysfonctionnements communs à de nombreux accidents. Toute action préventive entreprise à ce niveau aura une portée beaucoup plus large, mais son efficacité risque d'être moins directe.

Sachant qu'il existe plusieurs niveaux d'analyse, il peut également exister de nombreux schémas d'action préventive, chacun portant sa part du travail de prévention. C'est là un point extrêmement important, et il suffit de revenir à l'exemple de l'accident actuellement considéré pour s'en rendre compte. Proposer le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères fait peser sur la machine la charge de la prévention. Décider que la machine ne doit être utilisée que dans des conditions normales revient à en imposer la responsabilité à l'utilisateur. De même, la charge peut être mise sur la formation du personnel, l'organisation du travail ou à la fois sur la machine, l'utilisateur, la fonction formation et la fonction organisation.

A un niveau d'analyse donné, un accident apparaît souvent comme la conséquence de la conjonction de plusieurs dysfonctionnements ou inadaptations. Selon que l'on agit sur un dysfonctionnement ou sur un autre, ou sur plusieurs simultanément, le schéma d'action préventive adopté sera différent.

Retour