Résumé Cette étude a été initiée par une lettre datée du 25 octobre 2013 et signée par un membre de la partie syndicale du sous-comité sur les machines d’extraction de la Commission de la santé et de la sécurité du travail (CSST)1, demandant au sous-comité de mandater l’Institut de recherche Robert-Sauvé en santé et en sécurité du travail (IRSST) pour évaluer les systèmes d'arrêt d'urgence des transporteurs de mine en usage à travers le monde (parachutes et autres systèmes), dans le but de moderniser les parachutes exigés sur les transporteurs de mine au Québec. Un premier volet, déposé le 5 juin 20142, a présenté une revue de la littérature générale sur les parachutes et les câbles d’extraction. Un deuxième volet, portant sur les solutions envisageables afin d’éviter la rupture du câble et l’écrasement de la cage consécutive à cette rupture, a été présenté au sous-comité en septembre 2014 et déposé en septembre 20153. Ce troisième et dernier volet s’intéresse au cas de perte de contrôle du déplacement de la cage pouvant causer son écrasement, et plus précisément à la fiabilité des systèmes de commande et des systèmes instrumentés de sécurité. Sa structure s’appuie sur le concept de couches de protection. Le deuxième chapitre présente les méthodes d’analyse de performance des moyens de prévention et de protection. En effet, ces méthodes d’analyse sont répandues dans le milieu de la sécurité des machines, mais n’ont été introduites que récemment pour le milieu minier aux États-Unis. La réflexion sur la sécurité du système doit être globale et initiée dès la conception. La défense en profondeur est une première méthode de protection : plusieurs couches imbriquées les unes dans les autres sont responsables de maintenir la sécurité du système, en cas de défaillance d’une couche, la couche suivante est censée contenir le problème. Les barrières de sécurité, aussi appelées mesures de maîtrise des risques, peuvent être techniques ou humaines ou les deux à la fois, et servent à remplir des fonctions de sécurité. La méthode LOPA (Layer of Protection Analysis) est une méthode d’analyse des risques qui s’appuie sur le concept de défense en profondeur (couches de protection) et intègre également la notion de barrières de sécurité. Cette méthode issue de l’industrie chimique peut néanmoins être étendue à tous les domaines industriels ayant une composante de sécurité. Il est possible de rajouter un critère d’indépendance des couches de protection afin d’éviter les défaillances de cause communes ou les défaillances de mode commun. Les concepts généraux présentés dans le chapitre 2 sont utilisés pour les chapitres suivants, qui détaillent les moyens de maîtrise des risques couche par couche. La couche de protection 3 « alarmes et intervention humaine » est présentée au troisième chapitre. Parmi les alarmes et interventions humaines, on peut recenser les moyens de monitoring de la cage (emplacement, vitesse, direction, charge, accélération…). Les systèmes de commande du treuil interviennent aussi dans cette couche, qu’ils soient mécaniques ou électroniques. Enfin, l’arrêt d’urgence (système à intervention manuelle de sécurité - SAMS) est également inclus dans la couche 3. La chaîne de l’arrêt d’urgence, relativement simple du temps où il s’agissait d’un système électromécanique, comprend aujourd’hui un plus grand nombre d’éléments lorsqu’elle intègre un traitement logique. Les systèmes instrumentés de sécurité (SIS), correspondants à la couche 4, sont discutés dans le chapitre 4. Les SIS ont pour fonction d’assurer une fonction de sécurité (par ex : fonction d’arrêt). La sécurité est assurée par les exigences de fonction de sécurité (ce que fait la fonction) et les exigences d’intégrité de sécurité (probabilité que la fonction soit réalisée correctement). Un SIS est généralement composé d’éléments de détection (capteurs), d’éléments de traitement et d’éléments d’action (actionneurs), et peut être réalisé indifféremment en technologie câblée ou programmable. Parfois, les SIS partagent des éléments avec le système de commande ou les boucles de régulation. Cela permet souvent de réduire les coûts, mais empêche de remplir le critère d’indépendance des couches. Les niveaux d’intégration du SIS et du système de commande sont variables et présentent des avantages et inconvénients en termes de sécurité (et de coûts). Les normes applicables aux SIS appartiennent à deux grandes familles : CEI 61508 et 62061 ou ISO13849-1. La norme ISO 13849-1 s’applique à tous les systèmes de commande de toutes les machines, alors que la CEI 62061 s’applique uniquement aux systèmes de commande de machines utilisant des systèmes électriques, électroniques ou électroniques programmables. Ces deux normes présentent des méthodes de conception et d’analyse des SIS. Elles permettent notamment d’évaluer la probabilité de défaillance des SIS (niveau SIL – Safety integrated Level dans la famille CEI, et PL dans la famille ISO). Une tentative d’unification des normes ISO 13849 et CEI 62061 était en cours depuis 2012, avec pour objectif de n’en donner qu’une seule numérotée temporairement ISO/CEI 17305. Les SIS des machines d’extraction sont implicitement présents dans la réglementation de plusieurs provinces ou états, par exemple lorsqu’il est mentionné que la machine doit être arrêtée automatiquement si certaines limites sont dépassées. Pour le Québec, l’article 233 du règlement sur la santé et la sécurité du travail dans les mines (RSSM), qui indique les différentes conditions d’arrêt immédiat de la machine d’extraction, décrit par la même occasion les fonctions de sécurité du SIS correspondant. En bout de chaîne du SIS se trouve le frein de treuil ou de câble. Le frein de treuil est plutôt bien connu. Le frein de câble quant à lui a été expérimenté dans des mines aux États-Unis, soit sur des treuils à friction, soit sur des treuils à tambour. La sécurité logicielle, touchant aussi bien la couche 3 que la couche 4, est présentée au chapitre 5. Un logiciel sécuritaire devrait ne pas contenir de faute lors de la conception, être capable de tolérer les fautes lors de l’exécution, et les concepteurs devraient anticiper les fautes et les éliminer lors des étapes de vérification. Plusieurs exemples de défaillance logicielle sont donnés dans le chapitre, notamment sur le Therac-25 et sur un dispositif d’injection électronique de voiture, ainsi que deux accidents survenus au Québec lors de la modification de logiciels de commande. Le concept de couches de protection peut être étendu à la partie logicielle du SIS. Le cycle de vie du logiciel va de la phase de spécification jusqu’à la mise hors service du logiciel, et couvre notamment le cas de la validation et de la modification. Par ailleurs, l’utilisation de morceaux de code récupérés d’autres applications n’est pas recommandée (cas de l’accident du Therac-25). Le dernier chapitre concerne la couche de sécurité physique : en cas de perte de contrôle du déplacement de la cage malgré les barrières de niveau 3 (alarmes et intervention humaine) et 4 (SIS), seul un dispositif de sécurité physique - passif ou actif - en couche 5 peut intervenir et éviter l’écrasement. Les parachutes traditionnels n’ont qu’un seul mode de déclenchement (tension trop faible dans le câble), alors que les parachutes modernes pourraient éventuellement être programmés pour plusieurs conditions de déclenchement. Les parachutes sont des dispositifs de sécurité actifs et quelques pistes d’amélioration sont suggérées. Des dispositifs de sécurité passifs sont envisageables aux deux extrémités du puits, comme par exemple l’amortisseur de fin de course au fond du puits. Enfin, le cycle de vie des dispositifs de sécurité est discuté, notamment le cas des tests et de l’entretien. Il en ressort notamment que si les essais et tests des différentes fonctions de sécurité sont exécutés à des intervalles de temps différents, et par des personnes différentes comme mentionné dans la partie 6 de l’annexe B de la norme CEI 61508, cela permet de conserver la probabilité de défaillance au plus bas niveau possible.