F orum

SYST È M E S I N S T R U M E N T É S D E S É C U R I T É

« La prise en compte du f acteur humain

est primordiale dans les systèmes de sécurité »

Les standards CEI 61508 et 61511 fournissent des indications précises pour la mise lement en raison de commandes ou d’affi- Les standards évoquent

ExxonMobil
le facteur humain
en place des systèmes instrumentés de sécurité dans les industries de process. Ils cheurs mal positionnés inaccessibles, invisi- pour la conduite
proposent notamment des procédures pour le choix des équipements en fonction bles ou encore inaudibles, ce qui prête alors des opérations et
à confusion. pour la maintenance, mais
du degré de sécurité imposé par l’application. Mais tout ce qui concerne les éven- jamais ils ne prennent
tuelles défaillances liées à l’opérateur y est moins détaillé. Pour faire le point sur la en compte l’implication
prise en compte du facteur humain dans les systèmes de sécurité, Mesures a ren- Mesures. Revenons à votre étude… Quel des hommes dans la conception,
en est le postulat de départ ? l’ingénierie, l’implémentation
contré Pasquale Fanelli, qui a réalisé une étude sur le sujet. Cet expert en sécurité et la livraison des systèmes
fonctionnelle agréé auprès du TÜV Rheinland nous propose quelques pistes de Pasquale Fanelli. Nous sommes partis du de sécurité.
réflexion, mais aussi une méthode simplifiée pour estimer ce risque. constat selon lequel le facteur humain n’était
pas suffisamment pris en considération dans
les standards actuels tels que la norme CEI
61508. Selon ce texte, « les dangers et les risques
Mesures. Vous avez publié en 2009 une Mesures. Quelles peuvent être les causes ne peuvent être générés que par l’équipement sous
étude intitulée “Le facteur humain et la de ces erreurs humaines ? contrôle, par un dysfonctionnement du système de
sécurité fonctionnelle”. Pourriez-vous Pasquale Fanelli. Elles sont multiples. Dans contrôle de cet équipement, par une erreur humaine
d’abord définir ce que vous entendez par le secteur des industries de process, les inci- ou par un autre événement “raisonnablement envi-
“facteur humain” ? dents peuvent être causés par une formation sageable” ». On comprend bien à quel point
Pasquale Fanelli. On peut déjà commencer insuffisante, une inadéquation entre les le texte reste vague en ce qui concerne le
par en donner la définition officielle. Selon compétences requises et les compétences facteur humain. Etant donné que la tendance
le standard CEI 61508 (Sécurité fonction- réelles de l’opérateur, une surcharge de tra- en matière de normes est d’aller vers tou-
nelle des systèmes électriques, électroniques vail, des ressources insuffisantes, des procé- jours plus de précision, et sachant que les
et électroniques programmables liés à la sé- dures inadaptées, un mauvais étiquetage, des nouvelles versions des normes relatives à la
curité), une erreur humaine est définie problèmes de communication ou liés à l’en- sécurité prennent en compte des approches
comme étant « une action ou une inaction de la vironnement de travail au sens large ou en- statistiques, nous pensons qu’il est temps
part d’un opérateur humain qui peut conduire à un core à la présence d’un équipement difficile que le facteur humain soit davantage expli- ception d’une fonction instrumentée de gences de sécurité, qui décrivent toutes les vent être remplies au cours de la conception
résultat non souhaité ». à manipuler. Les incidents surviennent éga- cité dans les textes. sécurité doit prendre en compte le facteur actions pour arriver à un état sûr (ou pour du SIS, ceci afin de faciliter l’implémentation
humain. De même, elle demande que l’éva- le maintenir à un état sûr), doivent impéra- du facteur humain dans la conception. En
HR Safety Consulting

Mesures. Aucune norme ne prend en
compte le facteur humain ?
Pasquale Fanelli. Si, car la norme euro-
péenne EN 61511 donne quelques pistes de
réflexion. Pour mémoire, celle-ci détaille
l’implémentation de la CEI 61508 pour les
secteurs du process : pétrole, gaz, raffinage,
chimie, production d’énergie non
nucléaire, etc. Elle a d’ailleurs pour nom
“Sécurité fonctionnelle : systèmes instru-
mentés de sécurité pour l’industrie du pro-
Un opérateur formé à toutes les situations saura mieux réagir en cas de danger réel. Il réduira donc le risque d’erreurs liées à l’humain. cess” . Elle précise dès le départ que la con-
luation des risques liés au process (risques
pour les opérateurs et risques pour l’envi-
ronnement) prenne en compte les incidents
liés au facteur humain. Certes, ce ne sont
encore que des définitions, mais heureuse-
ment la norme va plus loin. Elle indique
notamment que lorsqu’une action humaine
fait partie d’un système instrumenté de sé-
curité (SIS), la disponibilité et la fiabilité de
l’action de l’opérateur doivent être spécifiées
dans les exigences de sécurité et incluse dans
le calcul des performances du SIS. Les exi-
tivement être déterminées en prenant en
compte ce facteur. Et enfin, toujours selon
cette norme, les exigences pour l’opérabilité,
la maintenabilité et la testabilité d’un SIS doi-
“ Les standards actuels
évoquent le facteur
humain sans proposer
de réelles solutions ”
résumé, la norme impose de prendre en
considération le facteur humain mais ne
propose aucune méthode précise pour le
calculer. Ce calcul est délicat en raison du
grand nombre de causes possibles, de leur
complexité et du caractère imprévisible de
la nature humaine. A l’heure actuelle, dans
la plupart des analyses de risques, on consi-
dère que le personnel est en parfaite adéqua-
tion avec la tâche à effectuer, mais on oublie
souvent que de nombreux autres aspects
entrent en ligne de compte : le niveau de ➜

MESURES 823 - MARS 2010 - www.mesures.com MESURES 823 - MARS 2010 - www.mesures.com
20 21
Forum Forum
➜ formation de l’opérateur, son niveau de simplifiée, afin d’aider les industriels à se

US Chemical Safety Board

stress, le temps disponible pour l’identifica- mettre en conformité vis-à-vis des normes.
Une méthode de gestion du facteur humain tion du problème et la prise de décision, la Rappelons que l’évaluation quantitative et
Le facteur humain doit être une des préoccupations pour le dimensionnement d’un système présence d’un autre opérateur en salle de qualitative du facteur humain est désormais
de gestion de la sécurité. A cette fin, identifier des “bonnes pratiques” en la matière est une étape contrôle, la qualité et la pertinence des pro- obligatoire pour l’analyse du niveau de sé-
indispensable. cédures, l’ergonomie des IHM, la qualité et curité SIL (Safety Integrity Level). Notre mé-
En 2004, l’organisation britannique Health and Security Executive a publié “Human Factors la quantité des retours sur les variables pro- thode est basée sur l’estimation de la “pro-
Assessment Model Validation Study” (Etude sur la validation des modèles pour la gestion du facteur cess, la coordination et la communication babilité de défaillance sur sollicitation”. Il
humain). Cette étude instaure le principe de la méthode HFAM (Human Factor Assessment entre le personnel. s’agit d’associer une probabilité d’erreur à
Methodology). Pour l’appliquer, il faut que tous les projets et organisations liés à la sécurité chaque opération de sécurité qui implique
fonctionnelle soient systématiquement comparés avec ce qui est considéré comme la bonne Mesures. Existe-t-il déjà des méthodes une action d’un opérateur. Cela correspond
pratique dans le domaine en question. pour estimer le facteur humain ? surtout aux opérations que le technicien doit
Voici un exemple détaillé de l’application de la méthode HFAM : Pasquale Fanelli. Oui, il en existe plusieurs. effectuer dans le cas d’une déviation du pro-
Les différents risques liés au facteur humain ont été séparés en 21 éléments, à chacun Toutefois, en raison de l’expertise qu’elles cess. La probabilité de défaillance pourra
de ces éléments étant associé un certain nombre de points. demandent, de leur complexité, de la dispo- prendre la valeur 0,01 dans le cas d’un opé-
Eléments liés à la politique de l’entreprise : nibilité des informations, du temps dont rateur formé à toutes les procédures d’ur-
1- Identification (visuelle, sonore ou autre) .......................................................................................10 points dispose l’industriel et de ses capacités d’in- gence, ou la valeur 0,1 dans le cas d’un opé-
Eléments liés à l’organisation : vestissement, toutes ces méthodes restent le rateur formé uniquement au rattrapage de
2 - Responsabilités clairement définies ................................................................................................. 2 points
plus souvent cantonnées au secteur de l’éner- cette dérive en particulier. Dans le cas où une
3 - Identification des différents acteurs................................................................................................... 1 point
4 - Implication des utilisateurs ................................................................................................................10 points
gie nucléaire. Parmi ces méthodes, la plus action est impossible à réaliser (si le temps
5 - Compétence des utilisateurs ............................................................................................................... 2 points couramment utilisée est la méthode THERP imparti est beaucoup trop court, par exem-
Eléments liés à la planification et à l’implémentation : (Technique for Human Error Rate ple), alors cette probabilité prend la valeur 1. Toutes les méthodes de prise en compte du facteur humain ont un objectif commun : réduire l’erreur humaine en tant que menace
6 - Recherche des risques ............................................................................................................................ 2 points Prediction). Mais on peut aussi employer les Attention toutefois à ne pas trop abuser des ou en tant qu’événement iniateur d’un défaut (ce défaut pouvant mener à un accident majeur, comme la destruction des installations).
7 - Exposition aux risques ............................................................................................................................ 1 points méthodes OATS (Operator Action Trees), suppositions. Cette méthode fortement sim-
8 - Planification du facteur humain......................................................................................................... 2 points HCR (Human Cognitive Reliability), TESEO plifiée peut donner des résultats inadaptés si que par la réponse de l’opérateur est sures- à l’erreur humaine”. Il s’agit de mettre en
9 - Compréhension du contexte opératoire ....................................................................................... 2 points (Tecnica Empirica Stima Errori Operatori), elle est utilisée en se basant davantage sur des timée, cela peut entraîner la conception d’un œuvre des outils de prévention qui concer-
10 - Reconnaissance des modèles de travail existants ....................................................................... 1 point les matrices de confusion, le SILM (Success hypothèses que sur des faits. Je pense au SIS doté d’un degré de sécurité fonctionnelle nent la sélection des opérateurs (compéten-
11 - Hypothèses et contraintes ..................................................................................................................... 1 point Likelihood Index Methodology), SHARP choix de l’opérateur, notamment, mais aussi SIL insuffisant. Et à l’inverse, sous-estimer ces et capacités), la formation, bien sûr, ainsi
12 - Caractéristiques de l’opérateur............................................................................................................ 1 point (Systematic Human Action Reliability au temps de réponse propre à chaque opé- cette réduction de risque peut conduire au que la “chasse aux habitudes dangereuses”.
13 - Ressources humaines et rôles .............................................................................................................. 1 point
Procedure), et bien d’autres encore. rateur, à sa connaissance des procédures choix d’un niveau SIL trop élevé conduisant Certaines entreprises associent à chaque
14 - Tâches opératoires .................................................................................................................................... 1 point
15 - Tâches de maintenance .......................................................................................................................... 1 point
d’urgence, à ses compétences spécifiques, à à l’intégration de systèmes d’alarmes com- tâche de sécurité ce qu’elles appellent des
16 - Besoins en formation ............................................................................................................................... 1 point Mesures. Il semble que de nombreux tra- la présence d’autres personnes en salle de plexes là où ce n’est pas nécessaire. “performance shaping factors”. Ce sont des
Eléments liés à la mesure de la performance : vaux ont déjà été réalisés sur le sujet… contrôle, etc. Au final, si la réduction du ris- informations sur le comportement des opé-
17 - Exigences humaines ............................................................................................................................... 2 points Aucune de ces méthodes n’est applicable à Mesures.Votre méthode, comme les autres rateurs, qui peuvent être classées selon plu-
d’autres secteurs mis à part le nucléaire ? déjà existantes, correspond aux phases de sieurs catégories : caractéristiques de l’opé-
“ Des méthodes
18 - Remise en cause régulière du facteur humain............................................................................ 1 points
19 - Validation de l’opérabilité ..................................................................................................................10 points Pasquale Fanelli. Pas vraiment. En revanche conception des systèmes instrumentés de rateur (compétences, connaissances),
Eléments liés à l’audit et à la revue de performances : on peut citer les travaux de l’Health and sécurité. Que faire au quotidien pour li- environnement, organisation et type de tâ-
20 - Apprentissage de l’expérience.........................................................................................................10 points Safety Executive, l’organisme britannique existent pour prendre miter le risque d’erreurs humaines ? ches. C’est un bon moyen de réduire les
21 - Feedback opérationnel (partage d’expérience) ......................................................................... 2 points
La somme des points attribuée aux différents éléments donne un score de base de 64 points.
chargé de la recherche sur la sécurité. Une
de leurs études, publiée en 2004 et intitulée
en compte l’erreur Pasquale Fanelli. Il faut mettre en place ce
que nous appelons des stratégies de “récu-
risques, car souvent les erreurs humaines
surviennent lorsque le niveau de compéten-
Le nombre de point correspondant à chacun de ces 21 éléments est pondéré par un coefficient “Validation du système de gestion du humaine ” pération d’erreurs” ou encore de “résistance ces requis pour l’acquittement d’une ➜
déterminé par l’auditeur : 1 si l’élément est “non satisfait”, 2 si l’élément est “incertain”, facteur humain”, propose une méthodolo-
et 3 si l’élément est “satisfait”. On obtient alors en les additionnant le total de points HFA. gie intéressante baptisée HFAM (“Human
Le score final s’obtient en calculant le pourcentage de réponse par rapport au score de base
Factor Assessment Methodology”, ou mé-
par la formule suivante :
Score HFA (en %) = (total de points HFA x 100)/192
thode de gestion du facteur humain). Il s’agit
Où 192 correspond au score maximal atteignable (pour une application qui a obtenu le coefficient 3 principalement de mettre en place des “bon-
pour tous les éléments). nes pratiques” pour la gestion du facteur
Reste enfin à comparer le résultat obtenu avec la grille suivante :
humain dans l’entreprise. Chaque projet et
Score HFA > 90 % : meilleure pratique pour la prise en compte du facteur humain chaque organisation doivent faire l’objet
Score HFA > 75 % : bonne pratique, en passe de devenir une meilleure pratique d’un “benchmarking” adéquat.
Score HFA > 65 % : bonne pratique Concrètement, cela signifie qu’il faut com-
Score HFA > 45 % : en passe de devenir une bonne pratique parer ces projets ou organisations entre eux
Score HFA < 45 % : n’est pas une bonne pratique et avec les bonnes pratiques (voir l’encadré
Pour qu’une procédure devienne une bonne pratique ou une meilleure pratique, il est donc « Une méthode de gestion du facteur humain »).
indispensable qu’un projet SIS prenne en compte les aspects suivants : le suivi des formations
des opérateurs, le tracé de tous les incidents liés aux facteurs humains depuis le début du projet, Mesures. Dans votre étude, vous proposez
l’apprentissage des incidents, la visite préalable des sites de production (éventuellement pendant vous aussi une méthode pour la prise en
la construction du site, ou alors par le biais d’une visite virtuelle), l’expérience de travail, l’utilisation compte du facteur humain…
de checklists informatisées, l’analyse des tâches opératoires et de la maintenance. Pasquale Fanelli. En effet, nous proposons
une méthode qui est volontairement très

MESURES 823 - MARS 2010 - www.mesures.com MESURES 823 - MARS 2010 - www.mesures.com
22 23
 Forum
bre de principes tout au long des phases
Invensys

d’un projet de conception d’un SIS. Il faut

d’abord identifier toutes les tâches opératoi-
res qui peuvent potentiellement conduire à
une dérive du procédé ou à un événement
initiateur de dérive. On y ajoutera les procé-
dures d’urgence que doit effectuer l’opéra-
teur en réponse à cet événement à risque. Il
faut ensuite identifier, parmi ces tâches opé-
ratoires et ces procédures d’urgence, celles
qui sont les plus sujettes à erreur humaine
(on pourra les rendre facilement identifia-
bles en mettant en place les “performance
shaping factors” évoqués plus haut). En
fonction de la fréquence d’occurrence de
chaque tâche, il faudra quantifier la fré-
quence de défaillance à la fois des tâches et
des procédures d’urgence (c’est ici que
pourra servir la méthode HFAM, ou notre
méthode simplifiée d’estimation du risque
humain). Enfin, dans la mesure du possible,
il faudra mettre en place des sessions de for-
mation pour toutes les tâches opératoires et
les procédures d’urgence.
Les outils de formation utilisant la réalité virtuelle se révèlent particulièrement efficaces pour la prévention du risque humain. Principalement car
ils permettent d’envisager des scénarios qui seraient difficiles à mettre en scène sur les installations réelles.
Mesures. La formation est donc plus que
➜ tâche n’est pas suffisamment mis en évi- faire à notre niveau, c’est être force de con- jamais importante…
dence. Mais si les méthodes existantes seils et de propositions pour les industriels. Pasquale Fanelli. Elle est primordiale, évi-
s’adressent aux phases de conception, c’est demment. Et dans ce domaine on ne peut
bien parce que le facteur humain doit être Mesures. Avez-vous quelques exemples de que se réjouir de l’arrivée de nouveaux outils
pris en compte dès la conception. Bien sûr, ces conseils que vous donnez aux indus- de formation à base de réalité virtuelle. Une
toutes les méthodes, même les plus précises triels ? fois identifiés, tous les scénarios d’incidents
et les plus élaborées, restent sujettes à con- Pasquale Fanelli. Outre l’utilisation d’une provoqués par une erreur humaine peuvent
troverse et peuvent parfois aboutir à des ré- méthode d’estimation du risque, nous re- être recréés virtuellement, par une modélisa-
sultats incohérents. Ce que nous pouvons commandons de respecter un certain nom- tion des tâches opératoires et des procédures
d’urgence. Non seulement la réalité virtuelle
rend possible des formations sans interrup-
tion de production et sans danger pour les
Obtenir la sécurité fonctionnelle installations, mais surtout elle permet d’en-
Les fonctions de sécurité sont de plus en plus remplies par des systèmes électriques, visager un grand nombre de scénarios d’in-
électroniques et programmables. Ces systèmes sont habituellement complexes, cidents. Pour chacun de ces scénarios, les
ce qui a pour conséquence de rendre pratiquement impossible la détermination industriels pourront estimer les conséquen-
de chaque mode de défaillance ou le test de tous les comportements possibles. Il est ces de telle ou telle action et ensuite étudier
difficile de prédire la performance de sécurité. Les essais restent essentiels. la variabilité de telle ou telle procédure (le
Le défi est de concevoir le système afin que les pannes dangereuses soient évitées temps nécessaire pour que l’incident soit clos
et qu’il puisse les contrôler lorsqu’elles surviennent. Les pannes dangereuses peuvent et que la production retrouve son état initial).
être la conséquence de divers éléments :
Enfin, la réalité virtuelle est radicalement op-
• spécifications du système incorrectes, pour le matériel ou pour le logiciel ;
• omissions dans la spécification des exigences de sécurité ;
posée aux formations théoriques tradition-
• panne matérielle aléatoire des mécanismes ; nelles de par le fait que l’opérateur “apprend
• panne matérielle systématique des mécanismes ; par ses erreurs” (on notera à ce propos que
• erreurs sur le logiciel ; l’apprentissage de l’expérience est l’un des
• pannes de mode commun ; points clés de la méthode HFAM). Qu’il
• erreur humaine ; s’agisse d’une expérience acquise par le biais
• influence de l’environnement (par exemple électromagnétique, température, d’une formation sur site ou d’une formation
phénomène mécanique) ; en réalité virtuelle, le fait qu’un opérateur ait
• perturbations de la tension d’alimentation du système (par exemple perte d’alimen- déjà rencontré une situation potentiellement
tation, sous-tension, reconnexion de l’alimentation). dangereuse est un atout fort. Cela améliore la
La norme IEC 61508 contient les exigences nécessaires et suffisantes pour minimiser
qualité et l’efficacité de la réponse de l’opé-
ces pannes.
rateur, et réduit ainsi son anxiété.
(Source : ISA France) Propos recueillis par Frédéric Parisot

MESURES 823 - MARS 2010 - www.mesures.com

24