Type de document

Expertisesrevues

Année de publication

2022

Langue

Français

Résumé

Cette étude a été initiée par une lettre datée du 25 octobre 2013 et signée par un membre de la partie syndicale du sous-comité sur les machines d’extraction de la Commission de la santé et de la sécurité du travail (CSST) [1], demandant au sous-comité de mandater l’Institut de recherche Robert-Sauvé en santé et en sécurité du travail (IRSST) pour évaluer les systèmes d'arrêt d'urgence des transporteurs de mine en usage à travers le monde (parachutes et autres systèmes), dans le but de moderniser les parachutes exigés sur les transporteurs de mine au Québec. Un premier volet, déposé le 5 juin 2014[2], a présenté une revue de la littérature générale sur les parachutes et les câbles d’extraction. Un deuxième volet, portant sur les solutions envisageables afin d’éviter la rupture du câble et l’écrasement de la cage consécutive à cette rupture, a été présenté au sous-comité en septembre 2014 et déposé en septembre 2015[3]. Ce troisième et dernier volet s’intéresse au cas de perte de contrôle du déplacement de la cage pouvant causer son écrasement, et plus précisément à la fiabilité des systèmes de commande et des systèmes instrumentés de sécurité. Sa structure s’appuie sur le concept de couches de protection.

Le deuxième chapitre présente les méthodes d’analyse de performance des moyens de prévention et de protection. En effet, ces méthodes d’analyse sont répandues dans le milieu de la sécurité des machines, mais n’ont été introduites que récemment pour le milieu minier aux États-Unis. La réflexion sur la sécurité du système doit être globale et initiée dès la conception. La défense en profondeur est une première méthode de protection : plusieurs couches imbriquées les unes dans les autres sont responsables de maintenir la sécurité du système, en cas de défaillance d’une couche, la couche suivante est censée contenir le problème. Les barrières de sécurité, aussi appelées mesures de maîtrise des risques, peuvent être techniques ou humaines ou les deux à la fois, et servent à remplir des fonctions de sécurité. La méthode LOPA (Layer of Protection Analysis) est une méthode d’analyse des risques qui s’appuie sur le concept de défense en profondeur (couches de protection) et intègre également la notion de barrières de sécurité. Cette méthode issue de l’industrie chimique peut néanmoins être étendue à tous les domaines industriels ayant une composante de sécurité. Il est possible de rajouter un critère d’indépendance des couches de protection afin d’éviter les défaillances de cause communes ou les défaillances de mode commun. Les concepts généraux présentés dans le chapitre 2 sont utilisés pour les chapitres suivants, qui détaillent les moyens de maîtrise des risques couche par couche.

La couche de protection 3 « alarmes et intervention humaine » est présentée au troisième chapitre. Parmi les alarmes et interventions humaines, on peut recenser les moyens de monitoring de la cage (emplacement, vitesse, direction, charge, accélération…). Les systèmes de commande du treuil interviennent aussi dans cette couche, qu’ils soient mécaniques ou électroniques. Enfin, l’arrêt d’urgence (système à intervention manuelle de sécurité - SAMS) est également inclus dans la couche 3. La chaîne de l’arrêt d’urgence, relativement simple du temps où il s’agissait d’un système électromécanique, comprend aujourd’hui un plus grand nombre d’éléments lorsqu’elle intègre un traitement logique.

Les systèmes instrumentés de sécurité (SIS), correspondants à la couche 4, sont discutés dans le chapitre 4. Les SIS ont pour fonction d’assurer une fonction de sécurité (par ex : fonction d’arrêt). La sécurité est assurée par les exigences de fonction de sécurité (ce que fait la fonction) et les exigences d’intégrité de sécurité (probabilité que la fonction soit réalisée correctement). Un SIS est généralement composé d’éléments de détection (capteurs), d’éléments de traitement et d’éléments d’action (actionneurs), et peut être réalisé indifféremment en technologie câblée ou programmable. Parfois, les SIS partagent des éléments avec le système de commande ou les boucles de régulation. Cela permet souvent de réduire les coûts, mais empêche de remplir le critère d’indépendance des couches. Les niveaux d’intégration du SIS et du système de commande sont variables et présentent des avantages et inconvénients en termes de sécurité (et de coûts). Les normes applicables aux SIS appartiennent à deux grandes familles : CEI 61508 et 62061 ou ISO13849-1. La norme ISO 13849-1 s’applique à tous les systèmes de commande de toutes les machines, alors que la CEI 62061 s’applique uniquement aux systèmes de commande de machines utilisant des systèmes électriques, électroniques ou électroniques programmables. Ces deux normes présentent des méthodes de conception et d’analyse des SIS. Elles permettent notamment d’évaluer la probabilité de défaillance des SIS (niveau SIL – Safety integrated Level dans la famille CEI, et PL dans la famille ISO). Une tentative d’unification des normes ISO 13849 et CEI 62061 était en cours depuis 2012, avec pour objectif de n’en donner qu’une seule numérotée temporairement ISO/CEI 17305. Les SIS des machines d’extraction sont implicitement présents dans la réglementation de plusieurs provinces ou états, par exemple lorsqu’il est mentionné que la machine doit être arrêtée automatiquement si certaines limites sont dépassées. Pour le Québec, l’article 233 du règlement sur la santé et la sécurité du travail dans les mines (RSSM), qui indique les différentes conditions d’arrêt immédiat de la machine d’extraction, décrit par la même occasion les fonctions de sécurité du SIS correspondant. En bout de chaîne du SIS se trouve le frein de treuil ou de câble. Le frein de treuil est plutôt bien connu. Le frein de câble quant à lui a été expérimenté dans des mines aux États-Unis, soit sur des treuils à friction, soit sur des treuils à tambour.

La sécurité logicielle, touchant aussi bien la couche 3 que la couche 4, est présentée au chapitre 5. Un logiciel sécuritaire devrait ne pas contenir de faute lors de la conception, être capable de tolérer les fautes lors de l’exécution, et les concepteurs devraient anticiper les fautes et les éliminer lors des étapes de vérification. Plusieurs exemples de défaillance logicielle sont donnés dans le chapitre, notamment sur le Therac-25 et sur un dispositif d’injection électronique de voiture, ainsi que deux accidents survenus au Québec lors de la modification de logiciels de commande. Le concept de couches de protection peut être étendu à la partie logicielle du SIS. Le cycle de vie du logiciel va de la phase de spécification jusqu’à la mise hors service du logiciel, et couvre notamment le cas de la validation et de la modification. Par ailleurs, l’utilisation de morceaux de code récupérés d’autres applications n’est pas recommandée (cas de l’accident du Therac-25).

Le dernier chapitre concerne la couche de sécurité physique : en cas de perte de contrôle du déplacement de la cage malgré les barrières de niveau 3 (alarmes et intervention humaine) et 4 (SIS), seul un dispositif de sécurité physique - passif ou actif - en couche 5 peut intervenir et éviter l’écrasement. Les parachutes traditionnels n’ont qu’un seul mode de déclenchement (tension trop faible dans le câble), alors que les parachutes modernes pourraient éventuellement être programmés pour plusieurs conditions de déclenchement. Les parachutes sont des dispositifs de sécurité actifs et quelques pistes d’amélioration sont suggérées. Des dispositifs de sécurité passifs sont envisageables aux deux extrémités du puits, comme par exemple l’amortisseur de fin de course au fond du puits. Enfin, le cycle de vie des dispositifs de sécurité est discuté, notamment le cas des tests et de l’entretien. Il en ressort notamment que si les essais et tests des différentes fonctions de sécurité sont exécutés à des intervalles de temps différents, et par des personnes différentes comme mentionné dans la partie 6 de l’annexe B de la norme CEI 61508, cela permet de conserver la probabilité de défaillance au plus bas niveau possible.

[1] Maintenant Commission des normes, de l'équité, de la santé et de la sécurité du travail (CNESST).

[2] Rapport d’expertise (QR-1156-fr) rendu public sous la référence Giraud et Galy, 2022a.

[3] Rapport d’expertise (QR-1157-fr) rendu public sous la référence Giraud et Galy, 2022b.

Abstract

This study was initiated by an October 25, 2013 letter written by a Union member of the sub-committee on hoisting machines of the Commission de la santé et de la sécurité du travail (CSST) [1]. The letter asked the sub-committee to mandate the Institut de recherche Robert-Sauvé en santé et en sécurité du travail (IRSST) to evaluate emergency arrest systems (safety catches and other systems) for mine conveyances in use worldwide, ultimately with a view to modernizing the safety catches required on mine conveyances in Québec. The first part of the study, submitted on June 5, 2014[2], presented a general review of the literature on safety catches and hoist ropes. The second part – on possible solutions for preventing rope severance and the resulting cage crashes – was first presented to the subcommittee in September 2014 and officially submitted in September 2015[3].

This third and last part of the study focuses on loss of control of cage movement, potentially causing it to crash, and more specifically, on the reliability of control systems and safety instrumented systems (SISs). The chapters of this Part 3 report present the different layers in the layers-of-protection concept.

The second chapter presents methods for analyzing the performance of prevention and protection mechanisms. These analytical methods are widely used in the machine safety community, but were only recently introduced into the mining sector in the United States. Analysis of safety systems must be comprehensive and initiated right from the design phase. Defence in Depth (DiD) provides a first method of protection: multiple overlapping layers are responsible for maintaining system safety: if a failure occurs at one level, the next level is designed to contain the problem. The safety barriers put in place, also known as risk control measures, may be technical, human, or both, and perform safety functions. Layer of Protection Analysis (LOPA) is a risk analysis method based on the DiD concept (layers of protection), but also incorporates the notion of safety barriers. This commonly used method in the chemical process industry can nonetheless be expanded to all industrial sectors that have a safety component. An Independent Protection Layer (IPL) criterion can be added to prevent common cause failures or common mode failures. The general concepts presented in Chapter 2 are applied in the following chapters, which detail the risk control mechanisms layer by layer.

Layer of Protection 3 – “alarms and human intervention” – is presented in Chapter 3. Alarms and human intervention include means of monitoring the cage (position, speed, direction, load, acceleration, etc.). Hoist control systems, both mechanical and electronic, also fall in this layer, as does the emergency arrest system (manual intervention safety system). The emergency arrest sequence, relatively simple in the days when it involved an electromechanical system, today includes more elements when it integrates a logic process.

Safety-instrumented systems (SISs), which correspond to layer 4, are discussed in Chapter 4. SISs perform a safety function (e.g. stop function). Safety is assured by the safety function requirements (performed by the function) and the safety integrity requirements (probability that the function performs correctly). An SIS usually comprises detection elements (sensors), logic-solving elements, and action elements (actuators), and can function equally with hardwired or programmable technology. SISs sometimes share elements with the control system or control loops. This often helps reduce costs, but does not meet the IPL criterion. Levels of integration of the SIS and control system vary, offering both advantages and disadvantages in terms of safety (and costs). The standards applicable to SISs fall into two main families: IEC 61508 and 62061, or ISO13849-1. Standard ISO 13849-1 applies to all control systems on all machines, whereas Standard IEC 62061 applies only to control systems on machines using electrical, electronic or programmable electronic systems. These two standards provide methods for designing and analyzing SISs. They make it possible to evaluate the probability of failure of SISs (Safety integrated Level, or SIL, in the IEC family; and Performance Level, or PL, in the ISO family). An attempt was made in 2012 to merge standards ISO 13849 and IEC 62061 into a single standard, temporarily numbered ISO/IEC 17305. The SISs of hoisting machines are implicitly covered in the regulations of several Canadian provinces or American states, for example, when they mention that the machine must be stopped automatically if certain limits are exceeded. In Québec, section 233 of the Regulation respecting occupational health and safety in mines (ROHSM), which spells out the different conditions for the immediate arrest of the hoisting machine, also describes the safety functions of the corresponding SIS. At the end of the SIS sequence is the hoist brake or rope brake. Hoist brakes are fairly well known, while rope brakes have been tried out in mines in the United States, either on friction hoists or on drum hoists.

Software safety, which is involved at both layers 3 and 4, is described in Chapter 5. Safe software should contain no faults at the design phase and be able to withstand faults during performance; the designers should anticipate any faults and eliminate them during the verification phases. The chapter provides several examples of software failures, notably involving the Therac-25 disaster and an electronic car injection device, as well as two accidents that occurred in Québec during modification of control software programs. The “layer of protection” concept can be extended to the software part of the SIS. The software life cycle runs from the specification phase to the decommissioning of the software, and covers validation testing and modification. Moreover, reusing parts of software codes retrieved from other applications is not recommended (the case involving the Therac-25 accident).

The last chapter looks at the physical safety layer: where there is loss of control over cage movement despite level 3 (alarms and human intervention) and level 4 (SIS) barriers, only one physical safety device – passive or active – at level 5 can intervene and prevent a crash. Traditional safety catches have a single trigger mode (too little tension on the rope), whereas modern safety catches could possibly be programmed for several triggering conditions. Safety catches are active safety devices and a few possible strategies for improvement are suggested. Passive safety devices are conceivable at both ends of the shaft, such as an end-of-travel damper at the bottom of the shaft. Lastly, this chapter discusses the life cycle of safety devices, particularly testing and maintenance practices. What emerges is that if the tests and trials of the different safety functions are performed at different time intervals and by different people as mentioned in Part 6 of Annex B of Standard IEC 61508, this would help maintain the lowest probability of failure.

[1] Now the Commission des normes, de l'équité, de la santé et de la sécurité du travail (CNESST).

[2] Expert Report (QR-1156-fr) published under the reference Giraud and Galy, 2022a.

[3] Expert Report (QR-1157-fr) published under the reference Giraud and Galy, 2022b.

ISBN

9782897972059

Mots-clés

Mine, Mining industry, Machine de mine, Mining machine, Convoyeur, Conveyor, Technique de prévention, Safety and health engineering, Norme, Standard, Système d'alarme, Alarm system, Commande assistée par ordinateur, Computer-assisted control, Technique de sécurité, Safety engineering, Analyse de sécurité, Safety analysis

Numéro de projet IRSST

n/a

Numéro de publication IRSST

QR-1158-fr

Télécharger

Partager

COinS