La prise en compte de la sécurité lors de la conception des systèmes complexes
Ecole d’été "Gestion Scientifique du risque "
6/10 septembre 1999
ALBI - FRANCE
Michel Mazeau
Source de l'article : Analyse du Risque industriel
Cours de Maîtrise de Risque Industriels
1 Introduction
L'intégration de la sécurité lors de la conception des systèmes complexes implique de prendre en compte les opérateurs, dès le départ du processus de conception, non comme "variable d'ajustement", mais comme un élément central dans ce processus de conception : les erreurs de conception dans ce domaine peuvent en effet être détectées uniquement après l'accident, et les modifications du système technique coûteront éventuellement très cher. En outre, s'il est le plus souvent possible de modifier des spécifications de sous-ensembles techniques, en augmentant les fonctionnalités disponibles, les algorithmes de traitement de l'information ou la présentation, il n'en va pas de même chez l'homme. On peut, par l'apprentissage et l'entraînement l'aider à acquérir et maintenir des compétences, mais cette capacité spectaculaire de modification des compétences ne doit pas en masquer les limites importantes que, précisément, montrent de nombreux accidents : on ne peut pas apprendre à maintenir sur de longues périodes une vigilance constante à son plus haut niveau, à conserver son attention focalisée sur une tâche monotone et insipide, ni à raisonner de manière infaillible sur des données numériques présentées de façon inadéquate.
L'amélioration de la sécurité se fait encore dans de nombreux projets par essais et erreurs : le comportement de matériaux aux caractéristiques techniques connues est calculable lorsqu'ils sont soumis à des contraintes connues ; pour les systèmes techniques complexes, on est souvent obligé de procéder à des évaluations probabilistes de fonctionnement ; en matière de Facteur Humain, ni le raisonnement probabiliste ni a fortiori déterministe ne paraissent donner de résultats capables de guider le concepteur dans ses choix techniques et organisationnels. Le concepteur semble contraint d'utiliser le seul retour d'expérience, après l'accident, en fonction des résultats observés, ce qui ne peut être acceptable pour des systèmes dans lesquels les enjeux de sécurité sont importants, c'est-à-dire à peu près tous.
La tentation, dans ce cas, est de "sortir" l'homme du processus, par une automatisation très poussée des installations, sans que les résultats soient toujours à la hauteur des espérances (les défaillances techniques existent, dans le matériel comme dans le logiciel, d'une part parce que ce sont des hommes qui conçoivent les systèmes techniques, d'autre part parce que les contraintes économiques et techniques obligent à des compromis).
Après élimination de la plupart des causes matérielles, par une meilleure maîtrise des procédés de fabrication et capitalisation des données sur les systèmes antérieurs, l'homme semble de fait être à l'origine de la majorité des accidents (Amalberti, p.33) : notre hypothèse est que cela traduit simplement une disparité importante des moyens mis en œuvre, lors de la conception, pour améliorer la partie technique des systèmes, par rapport aux situations de travail qui sont, de fait, conçues par la même occasion. Cette disparité est évidente : un projet industriel peut nécessiter des centaines d'années/ingénieur, contre, dans le meilleur des cas, quelques mois d'ergonome praticien professionnel. De ce fait, l'image négative du rôle de l'homme dans les systèmes complexes se renforce, ainsi que l'allocation de ressources importantes pour rechercher comment minimiser sa contribution. Le rôle positif de l'opérateur apparaît pourtant fondamental dans toutes les analyses de terrain : il est avant tout l'élément de régulation ultime du système, celui qui peut faire face aux défaillances techniques, aux contextes d'exploitation imprévus, qui peut anticiper une évolution vers des zones critiques du système et agir ; faillible comme tous les éléments d'un système, il est d'abord un agent de fiabilité (Mazeau, 1993).
Encore faut-il lui fournir les moyens (en information, en temps, en organisation) qui lui permettent d'exercer ses compétences et ne pas le mettre en situation d'échec, c'est-à-dire face à un état particulier du système dont la gestion est incompatible avec ses capacités (Celier et Nicolet, 1984, Mazeau 1993, Fadier et Mazeau, 1996).
Sécurité et conception
Le processus de conception des systèmes de productions et des produits est de plus en plus rapide, et implique de fournir au client, exploitant industriel ou consommateur, un système fiable, qu'il puisse s'approprier rapidement, facile à exploiter et à maintenir. Compte tenu de l'obsolescence rapide des techniques et des produits, il n'est plus possible de passer des mois ou des années à apprendre à démarrer un atelier et le piloter pour obtenir la productivité et la qualité visée ou faire disparaître les risques pour les opérateurs. La sécurité ne peut donc plus, comme par le passé, être le résultat de la capitalisation des expériences malheureuses, lorsqu'on "renforçait" le système aux points dangereux, à la suite d'accidents, par des protections (quelquefois faisant obstacle à la production), des effectifs plus nombreux ou de simples consignes de sécurité : il faut proposer un système à la fois sans danger et fiable, et ceci "du premier coup".
L'ingénierie simultanée vise à faire face à ces contraintes, en utilisant les nouvelles technologies de circulation et de partage des informations, en quasi-temps réel, pour des équipes et des métiers différents, quelquefois géographiquement dispersées. Elle pose aussi de nouvelles questions, du fait même du raccourcissement des délais de réflexion et de la diminution de l'inertie des systèmes (J. Rasmussen, 1988).
Pour la sécurité, les nouvelles techniques de modélisation et de simulation permettent de calculer et de vérifier de nombreuses hypothèses à coût réduit, par rapport au développement réel et de nombreux défauts de sécurité sont repérés et corrigés dès cette phase de conception. Les difficultés qui demeurent sont les "détails" mais qui peuvent s'avérer catastrophiques dans des états particuliers du système, rares, et qui ne peuvent pas être repérés lorsque la prise en compte du Facteur Humain est faite de façon empirique.
Les différentes logiques de la sécurité
Plusieurs approches de la sécurité coexistent aujourd'hui. Elles ne sont pas équivalentes, du point de vue de leur capacité à prévoir a priori les risques réels auxquels seront exposés les exploitants, le consommateur ou le public.
L'application de normes et recommandations peut permettre de prendre en compte les aspects les plus élémentaires de l'ergonomie, telles que l'anthropométrie (dimensionnement des plans de travail, des circulations, des escaliers), mais ces normes sont insuffisantes pour les aspects tels que la gestion du flux d'informations dans chaque état particulier du système par l'opérateur. Elles peuvent aussi conduire à la négation de la variabilité inter-individuelle (entre les jeunes et moins jeunes, hommes et femmes, petits et grands, débutants et experts) et de la variabilité intra-individuelle (l'activité de travail est différente, pour un même opérateur, entre la nuit et le jour - C. Gadbois et Y. Queinnec, 1984).
La participation des opérateurs peut surtout être source d'effets pervers, lorsque par exemple, les participants à la conception, sur la base de leur expérience, multiplient les alarmes qui leur permettront, pensent-ils, de mieux contrôler l'atelier dangereux qu'ils ont à exploiter, alors que cette multiplication des alarmes "atomise" leur vision de l'atelier et leur fait perdre de vue la tendance de fond, l'image globale du système, ce qui a conduit dans un process dangereux à un accident grave, les opérateurs n'ayant pas anticipé la dérive du système.
Le schéma n° 1 illustre la variation du niveau de fiabilité d'un système (axe vertical) impliquant des opérateurs et des ensembles techniques en interaction. Il varie en fonction de l'état interne de l'opérateur (axe face au lecteur) et des variations des conditions externes (état momentané du système technique et du contexte), représenté par le troisième axe. Cette représentation, inspirée des travaux de Thom (Thom R., 1980), et de Zeeman (Zeeman E.C., 1978), sur la théorie des catastrophes, montre de façon qualitative, que pour certaines conditions externes (tâche) particulières du système, une petite dégradation de l'état interne de l'opérateur peut avoir des conséquences très lourdes. En ce sens, le travail du spécialiste en facteur humain sera de repérer et d'éliminer les possibilités d’occurrence des situations pour lesquelles même un opérateur compétent, vigilant et préparé par une représentation mentale actualisée ne devra le succès qu'à "la chance". Il aura pour mission d'aider les spécialistes techniques à anticiper les conséquences dramatiques - en terme de fiabilité du système - d'un choix qui peut leur apparaître comme un "détail".
Les spécialistes du Facteur Humain, en appliquant des connaissances générales sur le fonctionnement de l'homme à ces cas particuliers que constituent les systèmes à concevoir, postes de conduite ou machines, peuvent élaborer des modèles limités, mais rigoureusement validés dans leur domaine, pour prévoir les comportements futurs des opérateurs, à partir de l'analyse de systèmes existants, dits sites de référence.
Comment prendre en compte la sécurité dès la conception ?
Il ne s'agit pas de dire que la sécurité ne doit pas être une préoccupation en exploitation, mais la fiabilité d'un système anthropo-technique est déterminée en grande partie lors de la conception, et ne pourra généralement plus être améliorée radicalement après mise en exploitation sans de nouveaux investissements : les marges de manœuvres seront étroites, entre les difficultés techniques, économiques et réglementaires (certification). On pourra agir sur la formation des opérateurs : mais les limites humaines peuvent dans certains domaines être rapidement atteintes (par exemple si les variables à maîtriser en instantané sont nombreuses en interactions non linéaires, si les situations successives se ressemblent par leurs traits de surface en étant différentes en réalité, si l'on doit toujours réagir en urgence) ; dans de nombreux cas, la formation n'apportera pas de gain perceptible (vigilance, mémoire). On pourra agir aussi sur l'organisation du travail ; les marges de manœuvres sont parfois considérables, mais avec des coûts très variables d'un cas à l'autre. Les interfaces Homme-Machine, lorsqu'elles sont informatisées, donnent de nouvelles marges de manœuvre intéressantes ; dans ce cas, il faut compter avec la difficulté à changer des habitudes les procédures peuvent être changées, mais on risque là aussi de mettre en difficulté des opérateurs qui avaient fait un effort conscient ou non de mémorisation de procédures qui vont devenir obsolètes.
En exploitation, éviter les dérives dans l'exécution des procédures et la répartition des tâches, lutter contre les habitudes, veiller à conserver le niveau de compétence pour faire face aux situations accidentelles jamais vues dans la réalité constituent des tâches suffisamment redoutables pour que l'on s'efforce, dès la conception, de prendre en compte la sécurité .
Les paragraphes ci-dessous exposent les grandes lignes de la méthode que nous avons utilisé dans de nombreux cas depuis une vingtaine d'années.
En Sécurité, il s'agira en particulier de vérifier que les opérateurs disposeront de toutes les informations nécessaires pour discriminer des états particuliers du système semblables par leurs traits de surface mais différents par leur dangerosité, et que pour chacun d'eux, les possibilités d'anticipation de leur évolution sont suffisantes pour mettre l'opérateur à l'abri des "états d'urgence". On vérifiera en outre que les transitions d'un état à l'autre du système sont à la fois visibles et faciles pour l'opérateur.
de situations |
1 |
2 |
3 |
_
|
critiques pour l'opérateur |
1 |
|||||
schéma n° 2 : croisement
analyse fonctionnelle/analyse opérationnelle.
Conclusion
Bibliographie
Cet article provient de PREVINFO
L'url pour cet article est :
https://www.previnfo.net/sections.php?op=viewarticle&artid=18