|
|
|
|
Comment utiliser le site / How to use this site Comment y participer / How to contribute |
|
|
|
Méthodologie d’identification des éléments de défense des systèmes de transport
jeudi
12 mai 2005 ,
Alain Cointet,
Catherine Laval
let see quite the same presentation in english
La RATP assure le transport de voyageurs sur le métro depuis un peu plus de cent ans : malgré sa grande expérience en matière de sécurité elle reste confrontée aux problèmes de tout système complexe compte tenu des exigences et des contraintes actuelles. Elle a mis en place progressivement des barrières dans ses systèmes, écrit des procédures, instauré des inspections, des audits, un réseau sûreté de fonctionnement d’entreprise, pris en compte les facteurs humains (ergonomie, retour d’expérience formalisé) et affiné ses démarches de conception au niveau ingénierie (matériel, logiciel, système) pour s’adapter aux exigences de sécurité. Malgré ces mesures de prévention et de protection, des incidents graves apparaissent toujours, bien que de plus en plus rarement et avec des conséquences de plus en plus maîtrisées.
Toutefois, pour améliorer toujours cette sécurité et anticiper de nouvelles situations de risques, la RATP a décidé de compléter sa politique de maîtrise des risques système à travers le développement du concept de Défense en Profondeur.
Pour affiner l’identification et l’analyse préalable des risques encourus, la RATP souhaite ainsi formaliser et constituer un référentiel de défense de son système de transport, c’est à dire disposer d’une base de données “ éléments de défense ” et une représentation de ces différents éléments.
Ce référentiel, pour être constitué, nécessite deux préalables :
Une méthodologie pour ce qui concerne l’identification et la caractérisation des éléments de défense participant à la prévention et à la protection des risques au sein du système de transport existant,
Une spécification pour la structure de ce référentiel et la représentation des éléments de défense
L’objet de cette présentation porte sur la méthodologie d’identification des éléments de défense et sera illustré par un exemple.
RATP provides passenger transportation in Paris for more than a hundred years : Despite its huge experience in term of safety, it keeps facing problems related to complex system, due to actual requirements and constraints. It has progressively installed safety barriers within the system, written procedures, carried out inspections and audits, managed a system safety network composed of experts, taken into account human factors (ergonomic, formalised experience feedback) and optimise its design approaches in order to fit safety requirements related to equipment and software. Despite these preventive and corrective measures, serious breakdowns still appear but less often and their consequences are better controlled.
Still, in order to improve always the safety and to anticipate new hazardous situations, RATP has decided to complete its risk control policy by developing the “ defence in deep ” concept.
To ensure risk identification and preliminary analyse, RATP wish to formalise and elaborate a referential of defence for the transport system. This means creating database of defence element and defining a way to represent these different elements.
This referential, in order to be elaborated, needs two previous steps :
One methodology to identify and characterise the defence elements participating to risk prevention and protection within the existing transportation system,
One specification to describe the structure and illustration of the defence referential.
This presentation deals with the methodology of defence element identification and will be illustrated through an example
télécharger la présentation (3,0 Mo)
Le Contexte
Un système de transport comme tout système complexe doit prendre en compte un certain nombre d’aspects :
Le risque subi est de moins en moins accepté : On assiste au paradoxe suivant ; alors qu’un grand nombre de personnes ont une tendance naturelle à vivre de façon plus risquée, elles acceptent très difficilement un risque imposé par d’autres.
Tout n’est pas prévisible : Malgré les évolutions technologiques, des défaillances subsisteront, les hommes tiendront toujours une place prépondérante au sein des systèmes.
L’environnement évolue : Ces évolutions se situent au niveau du comportement et de la culture des hommes, mais aussi des éléments de leur environnement.
On doit maintenir en parallèle des technologies de plus en plus diversifiées : Les systèmes complexes sont de par nature évolutifs et les anciennes technologies doivent côtoyer les nouvelles.
L’organisation interne : L’entreprise constitue elle même un système complexe, qui doit s’adapter en permanence, de par ses processus de management, à des sollicitations internes ou externes et à des nouvelles contraintes économiques imposées par la concurrence et le contexte politique.
Mis en place à la RATP depuis quelques années, le retour d’expérience, englobant le facteur humain, a été riche d’enseignements et a permis la détection d’un certain nombre d’anomalies et une meilleure prise de conscience des risques par les décideurs.
Plusieurs aspects ont été mis en évidence lors de ces retours d’expérience :
Certaines barrières (lignes de défense), mises en place progressivement pour éliminer ou limiter des risques suite à certains dysfonctionnements, peuvent perdre leur signification pour les agents et faire l’objet de moins de vigilance, rendant ces barrières moins efficaces. Des interactions complexes entre les parties techniques, réglementaires et les hommes peuvent conduire à des effets non souhaités.
Dans certains cas la suppression pure et simple de certaines barrières est envisagée pour des raisons économiques ou vis-à-vis du voyageur (en supposant que leur absence ne peut pas provoquer directement d’accident).
Des évolutions du système, plus fréquentes et plus rapides peuvent conduire aussi à affaiblir les barrières parce que des exigences associées ne sont plus respectées. Cette non prise en compte d’exigences est d’autant plus aisée que celles-ci ne sont pas forcément explicites, formalisées ou écrites, et que des paramètres, qui n’étaient pas pris en compte à l’origine, deviennent prépondérants..
L’aspect cohérence globale vis-à-vis de la sécurité est très important. En effet un système de transport est très hétérogène : d’une part, par rapport aux éléments le composant, et d’autre part, en regard de ses divers modes d’exploitation nominaux ou dégradés. Les modes dégradés sont parfois négligés alors qu’ils présentent souvent des risques plus importants (utilisation moins fréquente avec un niveau de sécurité plus faible). La tendance s’accentue d’autant plus que souvent l’effort principal du concepteur et du valideur porte sur les éléments techniques du système, plus que sur les hommes et les procédures : par exemple, la signalisation, les logiciels, les traitements ou les transmissions numériques dans des fonctions de sécurité. Seule une approche systémique assure une cohérence globale entre composants techniques, hommes, procédures et environnement et prend en compte les évolutions de ces éléments.
Pour tenir compte de ces facteurs très variés qui pourraient remettre en cause la sécurité, la POLITIQUE DE MAITRISE DES RISQUES de la RATP se fonde sur différents principes destinés à guider la conduite d’études de sécurité des systèmes ferroviaires :
Le principe du GAME se traduit, en terme de sécurité, par faire “ Globalement Au Moins Equivalent à l’existant ”, et correspond donc à une obligation de non-régression des acquis. Par là-même, il impose la détermination des objectifs de sécurité d’un nouveau système par référence à un système existant comparable.
Le principe de l’OPEREGA complète le précédent par l’“ Obligation de Progrès Economiquement Raisonnable eu Egard au Gain Attendu ”
Cette politique se décline, stratégiquement, en plusieurs objectifs dont l’un découle du CONCEPT DE DEFENSE EN PROFONDEUR.
La méthodologie
Face à la complexité d’un système de transport, une approche systémique est alors indispensable pour maîtriser les risques inhérents au système, en prenant en compte les aspects non seulement technologiques mais aussi humains, organisationnels, économiques et environnementaux.
Cette approche consiste à considérer :
l’ensemble du système dans son environnement, avec toutes ces interactions ainsi que leurs évolutions.
L’ensemble du cycle de vie à la fois du système global et de chacun de ses constituants.
La défense en profondeur, n’est pas toujours explicite, ni complètement identifiée. Pourtant elle doit être maintenue et maîtrisée en permanence pour que le niveau global de sécurité soit garanti.
La priorité de l’entreprise se traduit sur la MAITRISE DE L’EXISTANT, à laquelle contribue la formalisation d’un référentiel de la défense en profondeur au sein du système de transport existant.
Ce référentiel, pour être constitué, nécessite deux préalables :
Une méthodologie pour ce qui concerne l’identification et la caractérisation des éléments de défense,
Une spécification pour la structure de ce référentiel et la représentation des éléments de défense
Un guide pour l’identification
S’appuyant très fortement sur l’analyse fonctionnelle et sur le concept de défense en profondeur (agresseur, flux agressif, élément sensible), un guide méthodologique “ Identification et analyse d’un système de défense ”, à l’attention des experts de la RATP ayant en charge la réalisation d’études de sécurité, a été élaboré avec l’appui méthodologique de la société APTE System, suivant plusieurs axes :
établir et/ou clarifier une terminologie commune, relative à l’application du concept de défense en Profondeur au sein de la RATP,
définir une typologie des éléments constituant un système de défense,
définir une méthodologie d’analyse des éléments de défense au sein du système de transport, afin, d’une part, de les identifier et d’autre part, de les valider ou de les améliorer en regard de leur niveau de réponse aux objectifs de sécurité.
Première étape : LA MODELISATION DE L’EXISTANT
S’illustrant par l’analyse d’un incident avéré, la première étape consiste à :
identifier les éléments de défense au sein de la solution existante,
enrichir le référentiel “ Défense en Profondeur ”.
Dans le cadre de ce premier objectif, sont précisés au sein de ce guide :
Les Définitions des concepts et des termes clés,
La Démarche d’identification des éléments de défense existants.
Une logique de modélisation des éléments de défense.
Résultats de la première étape
Les définitions et les mots clés
La terminologie utilisée
Une terminologie claire et applicable à tout système complexe ayant de forts objectifs de sécurité,
Les notions de flux agressif, d’élément agresseur et d’élément sensible
Figure 1 : La chaîne agresseur - flux - élément sensible - effet final
Les évènements redoutés, s’ils se produisent en présence d’éléments sensibles, peuvent avoir des conséquences multiples.
Ainsi sont définis :
Les catégories de dangers (ou effets finaux) et les niveaux de sécurité associés,
Atteinte à l’intégrité physique des personnes,
Atteinte à l’intégrité physique des biens,
Atteinte à l’environnement
Atteinte à la qualité des services attendus du système,
Atteinte au recouvrement des contributions financières,
.....
Figure 2 : Les effets finaux
Une typologie pour référentiel de défense
Une détermination de 3 lignes de défense modélisant le système de défense et définies fonctionnellement : prévention, protection et sauvegarde,
Ligne de PREVENTION : Mise en place pour éviter la survenue d’un évènement susceptible de créer un effet final. On peut l’assimiler au mode nominal du système de défense mis en place (que son environnement soit en condition nominale ou dégradée).
Ligne de PROTECTION : Mise en place pour anticiper et pallier la défaillance de la ligne de prévention, elle a le même objectif que celle-ci. On peut l’assimiler aux modes défaillants du système de défense mis en place.
Ligne de SAUVEGARDE : Mise en œuvre, lors de défaillance des lignes de prévention et de protection, elle a pour objectif principal de limiter l’ampleur de l’effet final (l’événement ne peut être évité, il s’agit d’en limiter ses conséquences). On peut l’assimiler au mode secours du système de défense mis en place.
Figure 3 : Les lignes de défense
L’appropriation du concept de défense en profondeur est actuellement exprimée sous l’aspect :
prévention pour tout ce qui concerne la défense liée à l’apparition de l’événement redouté,
protection pour tout ce qui concerne la défense liée aux conséquences, une fois que l’événement redouté s’est produit.
L’approche proposée, modifie légèrement les définitions en positionnant les lignes de défense, de prévention et de protection avant l’événement redouté et la ligne de sauvegarde après son apparition.
Notons que ces trois notions de ligne de défense nouvellement définies, sont largement utilisées dans d’autres domaines (nucléaire, militaire) : elles se retrouvent aussi au sein des plans de gestion des risques industriels ou naturels en protection civile des populations.
Un référentiel des principes et moyens d’action face à un flux agressif, offrant une typologie des éléments de défense constituant chaque ligne de défense,
Figure 4 : Les principes d’actions principaux (extrait)
Que ce soit en conception d’un système de défense ou en identification et analyse d’un système existant, les actions de défense possibles se situent à différents niveaux :
Action sur l’agresseur : annuler la capacité agressive de l’agresseur vis à vis de l’élément sensible en évitant que l’agresseur n’émette le flux agressif ou que l’agresseur soit en présence de l’élément sensible.
Action sur l’élément sensible : annuler la capacité de l’élément sensible d’être agressé par l’agresseur en rendant l’élément sensible moins sensible au flux ou en évitant la présence de l’élément sensible sur la trajectoire du flux agressif.
Action sur le flux : transformer le flux potentiellement agressif en un flux acceptable par l’élément sensible en annulant ou en réduisant la valeur du flux, en déviant la trajectoire, en stoppant le flux ou en transformant sa nature....
Dans le domaine ferroviaire par exemple, une manière d’agir :
sur l’agresseur est d’appliquer en conception, la sécurité intrinsèque pour éviter qu’il ne génère un flux agressif,
sur l’élément sensible, est d’installer des portes palières sur les quais pour éviter que l’élément sensible (le voyageur) soit sur la trajectoire du flux agressif (flux cinétique du train),
sur le flux, est d’imposer des limitations de vitesse du train pour réduire la valeur du flux agressif .
Les moyens (homme, équipement, système d’information) qui vont réaliser ces actions vont se classer ainsi :
Moyen interne au système considéré ou une combinaison d’éléments internes.
Moyen externe au système considéré ou une combinaison d’éléments externes.
Moyen mixte, combinaison de moyens internes et externes au système considéré.
Des propriétés d’activation et d’état sont également définies pour les éléments de défense.
L’élément de défense peut être statique ou dynamique :
STATIQUE , il est présent quelles que soient les conditions de son environnement (présence ou non de l’agresseur, de l’élément sensible ou du flux agressif).
DYNAMIQUE, il est activé en fonction d’une sollicitation liée à son environnement (détection de flux agressif potentiel par exemple).
Le terme “ MODE ” est pris ici dans le sens “ MODE DE FONCTIONNEMENT ” et non dans celui de “ MODE DE DEFAILLANCE (relatif à une approche AMDEC, et qui permet d’identifier les causes de défaillances)
Le terme “ DEFAILLANCE ” s’attache à la cessation de l’aptitude d’un objet à accomplir une fonction requise.
L’élément de défense peut être en mode nominal (disponibilité de toutes ses fonctions) ou mode défaillant (indisponibilité ou dégradation d’au moins une de ses fonctions).
Il peut y avoir plusieurs modes défaillants d’un élément de défense.
Les bases de la typologie étant définies, l’étape suivante peut être conduite.
La démarche d’identification
Elle s’attache à retrouver par catégorie de danger (effet final) :
quels sont les éléments sensibles (ES) ?
quels sont les flux auxquels les éléments (ES) sont sensibles ?
quelles sont les caractéristiques des flux ?
quelle est la valeur du flux résiduel acceptable par les éléments sensible ?
Quels sont les éléments agresseurs qui peuvent émettre ces flux ?
La réponse à ces questions va permettre d’établir la liste des fonctions principales et contraintes du système de défense et d’élaborer son cahier des charges.
Figure 5 : Système de défense (SDD)
Les éléments de défense vont être identifiés suivant plusieurs approches :
Approche “ analytique ” par flux agressif et par couple donné (agresseur, élément sensible) :Cette approche a pour objectif l’identification, fonction principale par fonction principale du SDD, du processus d’action, et la définition des éléments de défense réalisant ce processus (en les distinguant par ligne de défense).
Approche “ transversale ” entre les différents flux générés par le même agresseur, et potentiellement agressifs vis-à-vis d’un ou plusieurs éléments sensibles : Cette approche - inter-fonctions du SDD - a pour objectif l’identification des éléments de défense qui contribuent au traitement de plusieurs flux., issus d’un même agresseur.
Approche “ transversale ” vis-à-vis des différents flux traités par le même élément de défense, et issus d’agresseurs différents : Cette approche - également approche inter-fonctions du SDD - a pour objectif l’identification, par élément de défense identifié à travers les approches précédentes, les contributions éventuelles de cet élément au traitement d’autres flux, issus d’autres agresseurs (vis-à-vis des mêmes éléments sensibles, ou vis-à-vis d’autres éléments sensibles).
Une synthèse réalisée sous forme de tableau, va rassembler l’ensemble des éléments de défense identifiés.
Figure 6 : Inventaire des éléments de défense
Cet inventaire des éléments de défense constitue le système de défense avec par fonction et par ligne de défense :
Les principes d’action mis en œuvre,
Les moyens d’actions,
Les propriétés d’activation.
L’illustration suivante est un mode de représentation provisoire de ces éléments de défense.
Figure 7 : Les éléments de défense
Nota : les numéros portés par chaque élément renvoient au principe d’action mis en œuvre par cet élément.
Seconde étape : L’ANALYSE DE L’EXISTANT
Cela consiste à :
vérifier que le système de défense couvre les besoins au regard des éléments agresseurs, des éléments sensibles et des flux agressifs résultant des choix de principes retenus.
valider l’existant et/ou de faire des recommandations d’améliorations.
Dans le cadre de ce second objectif, sont fournis dans ce guide des outils d’aide :
au diagnostic des insuffisances d’éléments de défense existants, et diagnostic des défaillances lors d’un incident,
à l’évaluation des risques, afin d’en déterminer le niveau d’acceptabilité,
à l’élaboration de recommandations.
Résultats de la seconde étape
La démarche d’analyse
L’analyse du système de défense existant va se décomposer en deux parties :
rechercher les insuffisances et / ou les non-respects au niveau des exigences attachées à chaque ligne de défense,
établir des propositions (recommandations, plan d’action, moyens de mesure,..) pour donner au système de défense le niveau d’efficacité attendu.
C’est au niveau des fonctions élémentaires couvertes par chaque élément de défense ou groupe d’éléments de défense (suivant les inter dépendance identifiées), que l’on va mesurer la conformité ou le non respect des exigences propres à la fonction élémentaire.
L’illustration suivante montre que dans le cas d’un incident avéré c’est le système de défense initialement prévu qui est mis en défaut.
Figure 8 :Insuffisance et non respect
Suivant une définition fonctionnelle, 9 fonctions élémentaires sont associées à chaque élément de défense. Nous trouvons par exemple :
Disposer de l’information sur l’existence de l’ensemble (agresseur, flux, élément sensible). Cette fonction élémentaire assure la compréhension du contexte,
Décider ou recueillir la décision de la mise en œuvre des moyens d’actions,
Disposer des moyens d’action nécessaires à la réalisation du principe d’action,
Gérer l’interaction des moyens d’actions (simultanéité ou antériorité),
Assurer l’exécution des moyens d’actions,
S’assurer et rendre compte du résultat obtenu par les moyens d’action,
Fournir au système des informations d’évaluation des effets finaux,
Détecter son indisponibilité et agir (mode défaillant ou autre ligne de défense),
Rendre compte au système de défense du résultat obtenu par ses moyens (mesure de l’efficacité de l’élément dans le temps)
Dans le cas d’un incident, il est nécessaire de traduire les fonctions élémentaires des éléments de défense dans le contexte propre à l’incident.
Figure 9 : Les fonctions élémentaires - alternance fonctions et principes
Pour chaque élément de défense ou groupe d’éléments va être évalué en terme de contribution à la fonction principale de la ligne de défense à laquelle il appartient, en mode nominal et en mode défaillant.
Chaque fonction élémentaire est donc examinée et les résultats sont consignés dans un tableau en se posant les questions suivantes :
Est ce que la fonction élémentaire existe et quel est son moyen d’activation ?,
Quelles sont les exigences associées à cette fonction ?,
Y a t’il une situation pouvant entraîner un risque (par rapport à la fonction élémentaire) ?,
Et dans le contexte de l’étude :
Y a t’il des insuffisances ? par exemple en terme d’inadéquation entre les caractéristiques des éléments sensibles, des flux, des agresseurs,
Y a t’il des non-respects, des défaillances ? par exemple en terme de non réalisation d’étapes de procédure, absence d’opérateur.
La démarche de synthèse
L’étape précédente d’analyse (recherche des insuffisances et des non respect ou défaillances) met en évidence les performances du système de défense, c’est à dire aussi les éléments de défense qui assurent pleinement leur contribution à la ligne de défense à laquelle ils appartiennent.
Le résultat est donc :
Une confirmation de ce qui est “ conforme ” et qui est respecté,
La mise en évidence d’insuffisances et de non respect ou défaillances.
En guise de synthèse, un inventaire des insuffisances et des défaillances est effectué par ligne de défense.
La démarche de propositions et de recommandations
Les recommandations peuvent porter entre autre sur :
Des études à mener dans le cadre de re conception ou validation d’équipement suivant les lignes de défense,
L’évolution ou modification de procédures,
L’efficacité du management,
Le maintien des compétences des acteurs,
la sensibilisation des acteurs aux risques liés au non respect des procédures,
....
Une représentation simplifiée
Afin d’avoir une vision globale du système de défense, une représentation est proposée pour illustrer :
les lignes de défense,
les états nominaux ou défaillants,
l’activation des lignes de défense
et les états de réussite et d’échec du système de défense.
Des informations complémentaires peuvent être portées sur ce schéma pour renseigner les exigences de sortie du système de défense
Figure 10 : Les lignes de défense (SDD)
Exemple d’application : Analyse d’un incident
Evènement déclencheur de l’étude :
Dérive d’un train lors d’une manœuvre en atelier :
Lors d’une manœuvre d’une partie d’un train composé d’une motrice et d’une remorque, sur la voie d’accès à l’atelier de la ligne (zone de pilotage), l’agent assurant la conduite du train ne peut pas l’arrêter au point d’arrêt prévu. Cette voie d’accès présente une déclivité dans le sens atelier vers la ligne d’exploitation.
Le train percute la barrière côté atelier, traverse la rue, percute une camionnette garée de l’autre côté de la rue dans le sens frontal. La camionnette enfonce la seconde barrière et est poussée sur la voie sur une distance d’environ 12 mètres jusqu’à l’arrêt du train.
Rappel sur le système de freinage pneumatique d’un train :
Le freinage pneumatique est assuré par une électrovalve commandée en courant et délivrant la pression de freinage de contact sabot / roue.
L’énergie pneumatique est fabriquée par des compresseurs embarqués. Des dispositifs de surveillance sont disposés dans le circuit pneumatique pour :
assurer la mise en marche et l’arrêt des compresseurs,
délivrer des informations en cabine sur la disponibilité des circuits de freinage,
assurer éventuellement le blocage complet du train lors d’une chute importante de pression pneumatique dans la conduite générale, par coupure d’une boucle de sécurité parcourant l’ensemble du train.
Lors des manœuvres en atelier, le train pouvant prendre des configurations différentes (nombre de voitures, composition motrices et remorques), il est nécessaire :
d’utiliser un équipement portatif assurant la continuité de cette boucle gardant ainsi l’efficacité des dispositifs de surveillance,
ou d’utiliser un commutateur prévu en cabine pour “ shunter ” cette boucle, inhibant de ce fait les dispositifs de surveillance.
L’enquête effectuée lors de l’incident montre entre autre que :
la configuration du convoi ne comportait qu’un seul compresseur,
Une fuite continue a fait chuter la pression dans les circuits pneumatiques,
Le commutateur en loge était sur la position “Directe” shuntant la boucle de sécurité.
Au travers de cet exemple, nous allons mettre en évidence les résultats des différentes étapes de la méthode.
Agresseur, flux et élément sensible
agresseur = convoi en mouvement,
flux = énergie cinétique du convoi,
éléments sensibles = grille d’accès, agents de manœuvre,
Evénement redouté = non-arrêt du convoi au point d’arrêt prévu
Signalons que les éléments sensibles “ agents de manœuvre ” n’ont pas été atteints dans cet incident, ce qui prouve que la fonction de défense “ protéger les agents de manœuvre ” du convoi en mouvement a été remplie.
La fonction de défense “ défaillante ” concerne la grille d’accès.
Lignes de défense, éléments de défense
L’analyse de l’existant nous donne les éléments suivants :
Pour la ligne de défense de prévention :
Quels sont les éléments qui contribuent à la réalisation de la fonction de la ligne de prévention ?
Plusieurs éléments correspondant au choix de principe “ action sur le flux, annuler la valeur du flux ”.
Limitation de vitesse : Instruction de département (chapitre 6) vitesse maximale de 6 km/h pour les trains incomplets (quel que soit le site)
Distance associée à une longueur de convoi, à la limitation de vitesse et à des conditions (capacité de freinage, pente de la voie, réaction du conducteur dans sa loge, point d’arrêt)
Déclenchement d’arrêt au plus tard au point d’arrêt, sur ordre du coordinateur, sur décision du conducteur
Capacité de freinage du convoi vérifiée par le conducteur : suivant instruction de département (chapitre 5.2) Test des pressions de freinage et Informations sur les pressions et alarmes disponibles en cabine
Pour la ligne de défense de protection :
Quels sont les éléments qui contribuent à la réalisation de la fonction de la ligne de protection ?
Plusieurs éléments pallient à la défaillance de la ligne de prévention et correspondent au choix de principe “ action sur le flux, annuler la valeur du flux ”.
L’information sur la vitesse du convoi est donnée en cabine et destinée au conducteur,
Des alarmes sur les seuils de pression sont prévues en cabine (6,8 bar ; 5,8 bar ; 4,5 bar).
Pour la ligne de défense de sauvegarde :
Quels sont les éléments qui contribuent à la réalisation de la fonction de la ligne de sauvegarde ?
Plusieurs éléments pallient la défaillance des lignes précédentes et correspondent au choix de principe “ action sur le flux, réduire la valeur du flux ”.
Il y a deux éléments pouvant être assimilés à des éléments de sauvegarde
Le frein à main mécanique sur chaque voiture,
La cale à manche disponible dans la loge de conduite
Nota : Ces deux éléments sont destinés à immobiliser le train à l’arrêt pour éviter une éventuelle dérive. Ils ont été utilisé par le conducteur pour essayer de freiner le convoi voire de l’arrêter.
Insuffisances et non respect des exigences
Les éléments identifiés il s’agit maintenant de déterminer si les exigences sont suffisantes
L’analyse du système de défense permet de mettre en évidence les insuffisances suivantes :
Ligne de prévention
Aucune insuffisance en mode nominal
Ligne de protection
Le mode de fourniture d’information sur la vitesse ne garantit pas, en cas de dépassement, une alerte du conducteur pour une réaction rapide
- recommandation : Etude à mener pour intégrer une alerte (sonore, visuelle, ...) dans tous les trains en manœuvre quel que soit le site.
- recommandation : Valider la pertinence économique de ce principe par rapport à l’ampleur de l’effet final qui est principalement une atteinte à l’intégrité matérielledu système.
Unemauvaiseinterprétationdes informations disponibles en cabine est possible - recommandation:Maintenir les compétences des conducteurs de manœuvres.
- recommandation : Valider la nature et le mode de fourniture des informations pour une manœuvre.
Il y a ambiguïté dans les instructions quant à l’obligation de tester les capacités de freinage du convoi pour chaque séquence de la manœuvre. - recommandation : Clarifier la procédure
Il n’y a pas d’obligation de rétablir la boucle de sécurité pour un convoi incomplet (ce qui se traduit par la perte d’une fonction lorsque le commutateur sur Directe).
Ligne de sauvegarde
Le frein à main mécanique est un frein de stationnement et de plus disposé localement sur chaque voiture.
La cale à manche est un élément de blocage du train pour une vitesse très basse voire nulle. - recommandation : Mener une étude d’un nouveau dispositif de sauvegarde.
- recommandation : Sécuriser les lignes de défense précédentes.
L’analyse du système de défense permet de mettre en évidence les non respects suivants :
Ligne de prévention
Aucun ordre d’arrêt du convoi : Absence du coordinateur de manœuvre (appelé au téléphone). Report de responsabilité des manœuvres sur le conducteur et l’agent de manœuvre, et donc surcharge inhabituelle de travail pour le conducteur. - recommandation : Imposer le respect des procédures.
- recommandation : Sensibiliser les acteurs de la manœuvre sur les risques liés au non-respect de la procédure.
Pas de test des pressions et pas de surveillance des informations permanentes et alarmes : Surcharge de travail
due à l’absence de coordinateur et donc non-surveillance des informations données en cabine. - recommandation : Imposer le respect des procédures.
- recommandation : Sensibiliser les acteurs de la manœuvre sur les risques liés au non-respect de la procédure
Indisponibilité du freinage : Baisse de pression pneumatique dans les circuits de freins non détectée par les dispositifs de contrôle puisque le commutateur a été placé sur la position“ Directe ” inhibant ainsi les dispositifs de surveillance.
Ligne de protection
Surcharge de travail due à l’absence de coordinateur et donc non-surveillance des informations données en cabine. - recommandation : Imposer le respect des procédures.
- recommandation : Sensibiliser les acteurs de la manœuvre sur les risques liés au non-respect de la procédure.
Ligne de sauvegarde
Pas d’ordre de mise en place des éléments sauvegarde, par le coordinateur, pas d’utilisation frein à main
Absence du coordinateur de manœuvre.
Mise en place de la cale à manche par conducteur sans succès et tardive : regarde vers l’arrière du convoi, et perte de temps à vérifier isolement des électrovalves de freinage. - recommandation : Lancer une étude pour la réalisation de dispositif de sauvegarde (taquet dérailleur par exemple en application du principe d’action “ dévier le flux agressif ”).
Conclusion
Au travers de cet exemple d’incident, la méthodologie montre qu’il est possible d’identifier les éléments qui participent aux différentes lignes de défense, de mesurer les insuffisances et les non respect et de proposer des recommandations pour adapter le système de défense.
Cette méthodologie actuellement appliquée à un incident sera complétée ultérieurement et validée par l’analyse d’autres cas tels que :
analyse à partir de l’expression d’une fonction au sein du système (fonction guidage des trains par exemple),
analyse à partir de l’expression d’un flux potentiellement agressif (flux électrique par exemple),
analyse à partir de couples “ agresseur/flux, élément sensible ” (train/énergie cinétique, voyageur par exemple).
Toutes ces analyses construites suivant la même approche fonctionnelle et basée sur la même typologie vont permettre de constituer un référentiel de défense.
La maîtrise des risques système passe par la connaissance du système de défense existant qui permet d’assurer les évolutions inévitables du système de transport et responsabilise les acteurs du système de transport
Remerciements
Nous remercions la société APTE System pour l’aide méthodologique apportée à cette étude.
Références
[1] INERIS, Analyse des risques et prévention des accidents majeurs (DRA-07), juin 2001.
[2] Guy Planchette - Jacques Valancogne - Jean Louis Nicolet - Ouvrage “ Et si les risques m’étaient comptés ” aux éditions Octarès 2002.
[3] INERIS, Eléments importants pour la sécurité (DRA-35),mai 2003
[4] Jacques Valancogne - Jean-Louis Nicolet
Communication au lamdamu 13 “ Defence-in-depth : a new systematic and global approach in socio-technical system design to guarantee better the timelessness safety in operation ”
| |
|
|
Définitions & vocabulaire
Formation : Analyse des risques du process par l’AMDEC
Bilan Technique & Scientifique du 14° Congrès de Maîtrise des Risques et de Sûreté de Fonctionnement - Lambda Mu 14
L’analyse de risque dans les démarches QSE (Qualité, Sécurité, Environnement)
1er congrès à thématique cindynique depuis la fusion IMdR / IEC.
Méthodologie d’aide à la décision des actions de maintenance pour les ouvrages d’art d’un système de transport
Sûreté de Fonctionnement : Pourquoi utiliser des logiciels ?
Référentiel outillé de défense en profondeur
Mise en oeuvre de la méthode de l’arbre des défaillances
Historique de la SdF
|