Risque identifié au niveau conceptuel

Pour un risque identifié au niveau conceptuel (contexte C2) et donc lié à une solution de conception proposée au niveau conceptuel, le phénomène dangereux, la zone dangereuse, la situation dangereuse ainsi que l’éventuel événement dangereux lié à ce risque doivent être précisés [Sadeghi et al., 2012b].

1. Eliminer le phénomène dangereux par conception

Le premier objectif est d’éliminer le phénomène dangereux et donc de modifier ou de changer la solution proposée. Cet objectif de sécurité n’est pas de type « exigence fonctionnelle » mais de type « contrainte ». Elle peut être formulée comme suit « assurer la non présence du phénomène dangereux ». A ce stade, le concepteur doit s rester au même niveau hiérarchique de l’arbre fonctionnel en recherchant des solutions conceptuelles alternatives vérifiant les nouvelles contraintes.

122

Cette étape de recherche d’élimination du phénomène dangereux peut amener le concepteur à proposer des solutions de conception innovante en rupture avec les solutions similaires existantes. A ce stade, il est difficile pour le concepteur de juger de la sécurité d’une nouvelle solution. La mise en œuvre de la méthode IRAD impose de passer par le processus de risque. Ce passage a l’avantage de permettre au concepteur de se rendre compte des risques liés à la solution proposée et éventuellement de réviser cette solution.

2. Éliminer la situation dangereuse pour la personne

Le deuxième objectif est d’éliminer l’exposition à la situation dangereuse. Cet objectif est de type « contrainte de sécurité ». Il peut être formulé comme suit : « assurer la non-présence de l’opérateur dans la zone dangereuse dans toutes les phases de l’utilisation de la machine ». Cet objectif peut conduire le concepteur à formuler de nouvelles exigences fonctionnelles techniques qui vont dans le sens de l’élimination du besoin d’intervention de l’opérateur dans certaines tâches ou de séparer dans le temps (alterner) la présence de l’opérateur et la présence du phénomène dangereux. Ensuite, le concepteur avance dans le processus de conception en ajoutant ces exigences au niveau hiérarchique inférieur dans l’arbre fonctionnel.

3. Réduire la gravité du dommage lié au phénomène dangereux

Une fois que le concepteur épuise toutes les possibilités de solutions de conception sans phénomène dangereux, ou sans situation dangereuse, il adopte une solution comportant un (ou plusieurs) phénomène(s) dangereux. Il identifie les risques (dans le contexte C2) puis il cherche d’un côté, à réduire la gravité du dommage lié à ce phénomène dangereux et d’un autre coté, à éliminer (ou juste à réduire) la situation dangereuse. Pour cela, il ajoute dans le contexte C3 l’objectif de sécurité « réduire la gravité du dommage lié au phénomène dangereux ». La réduction de la gravité du phénomène dangereux demande donc ici de rajouter dans le processus de conception les exigences de sécurité suivante : « Prévenir le phénomène dangereux » et « Minimiser l’énergie liée à ce phénomène (force, vitesse, pression…) ».

La première exigence « Prévenir le phénomène dangereux » permet au concepteur d’ajouter des solutions de conception réduisant la gravité du dommage (par exemple, un système de ventilation pour répondre à l’exigence « prévenir d’une explosion »). La deuxième exigence « Minimiser l’énergie liée au phénomène dangereux » peut s’exprimer par une expression de minimisation de certains paramètres physiques du système. Comme cela est soulevé dans IRAD, la minimisation de l’énergie va, en général, dans le sens contraire à l’amélioration de la performance. Cette contradiction devrait apparaitre lors de la recherche de solution menée dans l’étape précédente de la conception. L’objectif de cette exigence est de diminuer l’énergie à un niveau acceptable techniquement sans remettre en cause la solution de conception adoptée.

4. Réduire la fréquence et/ou la durée de l’exposition à la situation dangereuse

Le quatrième objectif est de réduire la fréquence ou la durée d’exposition de l’opérateur. La notion de « situation dangereuse » comporte deux aspects ; un aspect temporel (fréquence et durée d’exposition) et un aspect spatial (zone dangereuse). La réduction de l’exposition à la situation dangereuse peut se faire en agissant sur ces deux aspects. Agir sur l’aspect temporel se fait à l’étape de la conception conceptuelle. Agir sur l’aspect spatial se traduit par la réduction de la zone dangereuse, ou plus précisément de l’accessibilité à la zone dangereuse, et relève de la réduction de l’ « événement dangereux ». Cette démarche est réalisable à l’étape de la conception architecturale. Effectivement, c’est à ce niveau de la conception que s’effectuent le dimensionnement et l’analyse du système (choix des

123

paramètres géométriques, des matériaux, des composants, de l’architecture (agencement de différents sous-systèmes), …).

5. Réduire la probabilité d’occurrence de l’événement dangereux

Si le concepteur a réussi à éliminer la situation dangereuse, le risque lié au phénomène dangereux est donc éliminé et la conception proposée ne présente plus de risque pour l’opérateur. Cependant, dans le cas où la situation dangereuse n’a pas été complètement éliminée et que le risque lié à ce phénomène est toujours présent dans le processus de risque, le concepteur doit chercher à réduire la zone dangereuse, ou plus précisément l’accessibilité à la zone dangereuse qui relève de la réduction de l’« événement dangereux ». Elle est réalisée à l’étape de la conception architecturale.

Pour réduire l’événement dangereux, des objectifs de sécurité doivent être proposées au niveau structurel donc dans le contexte C3. L’exigence visant la réduction de la probabilité d’occurrence des événements dangereux peut souvent être exprimée par une équation de minimisation ou de maximisation de certains paramètres géométriques et physiques (« maximiser la distance entre l’opérateur et le phénomène dangereux », « maximiser la rigidité de la pièce tout en minimisant son poids » ou « maximiser la fiabilité des composants »). Pour un élément en rotation, le concepteur peut chercher à répondre à l’exigence de sécurité « Maximiser les distances entre les parties du corps de l’opérateur et l’élément tournant ».

6. Réduire la probabilité d’occurrence de l’événement dangereux en éliminant le dommage par la mise en place d’un dispositif de protection

Si l’élimination de l’événement dangereux n’est pas réalisable, le concepteur va chercher à réduire la probabilité d’occurrence de l’événement dangereux par la mise en place d’un dispositif de protection au stade de la conception architecturale (par exemple des équipements de protection sensibles pour la détection des personnes dans la zone dangereuse).

7. Eliminer l’événement dangereux en évitant le dommage par la mise en place d’un dispositif de protection

L’élimination de l’événement dangereux supprime la probabilité d’avoir un accident causé par le phénomène dangereux en question. Ici, le concepteur doit chercher à éliminer l’accessibilité à la zone dangereuse par la mise en place d’un dispositif de protection.

Nous considérons qu’un dispositif de protection est un système en lui-même. La conception de ce système auxiliaire passe donc à nouveau par une phase de conception conceptuelle où le concept du dispositif est défini puis une phase de conception architecturale et enfin une phase de conception détaillée. Par conséquent, selon l’objectif de sécurité décidé, un processus de conception parallèle peut commencer. On peut noter ici que les normes de type B offrent au concepteur une grande aide pour alimenter le domaine fonctionnel des exigences de sécurité lors de la conception du dispositif de protection.

Si nous prenons l’exemple d’un élément en rotation, pour répondre à l’exigence « éliminer la possibilité de contact avec l’élément en rotation », le concepteur peut définir des exigences de manière à créer un obstacle entre le poste de travail de l’opérateur et l’élément en rotation. Il peut concevoir un protecteur fixe (en s’appuyant sur la norme NF EN 15811, 2010 intitulée « Protecteurs pour éléments mobiles de transmission de puissance »).

8. Réduire la probabilité d’occurrence de l’événement dangereux en éliminant le dommage par la mise en place de mesures de protection

Lorsque le dispositif de protection ne remplit pas les objectifs d’élimination de l’événement dangereux ou de réduction de la probabilité d’occurrence des événements

124

dangereux, il est possible d'utiliser des mesures de protection complémentaires afin d'obtenir une réduction de la probabilité d’occurrence. Cela peut se faire, par exemple, en proposant des mesures relatives à l'accès sécurisé à la machine (voir ISO 12100-2:2003). Dans ce cas, un processus parallèle de conception du moyen de protection doit être mis en œuvre.

9. Eviter ou limiter le dommage après la conception

Finalement, les risques résiduels, non éliminés pendant la conception du système, doivent être évités en phase d’utilisation. Le concepteur doit alors ajouter à la machine des informations sur l’utilisation pour éviter les risques. Ces informations doivent être présentées sur la machine (panneaux d’avertissement, étiquettes pour l’utilisation en toute sécurité, signaux sonores et visuels, etc.) et fournies avec la machine (manuel d’instruction, données techniques). Le fournisseur de la machine doit préciser, dans le manuel d’instruction, si une formation est nécessaire afin de garantir que les utilisateurs sachent correctement utiliser la machine. Le fournisseur doit aussi préciser si un équipement de protection individuelle doit être utilisé pour protéger les personnes des phénomènes dangereux associés au risque résiduel. La figure 5.3 résume le processus d’identification des objectifs de sécurité pour un risque donné C2.