[dj_jean_jean]

L'accident du TPH de Pic de Bure est dut a un manquement du respect des règles de sécurité. La charge maximum admissible a été dépassé, la charge soumise au câble tracteur a donc été trop importante et a donc naturellement cédé.

Un accident de ce type c'est-il déjà produit sur un téléporté (donc TSF, TSD, TCF, TCD) ? Il est d'autant plus important que sur un téléporté ce câble prend la fonction de traction et de portance et est donc soumis à beaucoup plus d'effort que sur un téléphérique.

De plus les coefficients de sécurité sur le transport par câble, et en particulier sur le câble lui même, sont énorme. Ce qui fait que le transport par câble est le moyen de transport le plus sûr au monde. Après si tu préfère prendre ta voiture plutôt qu'un 3S libre à toi mais tu prend beaucoup plus de risque d'avoir un accident ...

Si sur un 3S le câble tracteur vient à céder en effet toutes les cabines vont se retrouver au point(s) le/les plus bas. Mais sur un téléporté c'est tout l'appareil qui va tomber par terre ...

Ce message a été modifié par dj_jean_jean - 07 décembre 2010 - 00:37 .

[Velro]

dj_jean_jean, le 6 12 2010, 23:36, dit :

L'accident du TPH de Pic de Bure est dut a un manquement du respect des règles de sécurité. La charge maximum admissible a été dépassé, la charge soumise au câble tracteur a donc été trop importante et a donc naturellement cédé.

Je respecte beaucoup tes connaissances fondées en RM mais sur le point précité je me vois hélas contraint de te contredire.

Lors de l'accident du téléphérique du Pic de Bure du 1er juillet 1999 qui a causé la mort de 20 personnes, la charge transportée était estimée à 3720 kg (soit 20 personnes et une citerne contenant 1000 litres d'eau), la charge utile autorisée était elle de 5000 kg. Il n'y avait donc aucune surcharge.
L'accident a été causé par le glissement du câble tracteur dans le chapeau de gendarme et ce en raison de diverses erreurs humaines, notamment une maintenance non conforme et, surtout, le recours à un enduit dont la date limite d'utilisation avait déjà été dépassée de plus de 5 ans au moment de son utilisation le jour ayant précédé l'accident. Cet enduit avait alors réduit notablement le coefficient de friction entre le câble et le chapeau de gendarme.

Selon le rapport d'expertise, le frein de chariot installé à l'origine aurrait permis d'éviter l'accident (car actioné automatiquement en cas de glissement du câble tracteur dans le chapeau de gendarme) mais malheureusement le frein de chariot avait été démonté sans autorisation.
Malgré différents contrôles, personne n'a demandé que le frein de chariot enlevé contrairement aux prescriptions soit réinstallé.

On notera qu'aucun câble ne s'est rompu lors de cet accident; le chariot a pris de la vitesse direction aval suite à la défaillance fonctionnelle du chapeau de gendarme vers l'endroit de pente maximale de la ligne et s'en est suivi un déraillement total après le passage du pylône No 2. Le véhicule complet a alors chuté au sol causant ainsi la mort des 20 personnes transportées.

Accessoirement il est précisé que cette installation n'avait jamais reçu l'autorisation de transporter du public.

Citation

Un accident de ce type c'est-il déjà produit sur un téléporté (donc TSF, TSD, TCF, TCD) ? Il est d'autant plus important que sur un téléporté ce câble prend la fonction de traction et de portance et est donc soumis à beaucoup plus d'effort que sur un téléphérique.

Il y a eu plusieurs ruptures de câbles porteurs-tracteurs (en allemand "Förderseile") par contre il me semble qu'aucune d'entre-elles n'ait eu lieu en service.

Citation

Si sur un 3S le câble tracteur vient à céder en effet toutes les cabines vont se retrouver au point(s) le/les plus bas. Mais sur un téléporté c'est tout l'appareil qui va tomber par terre ...

Cette conclusion est trop simpliste. Il faudrait modéliser par informatique pour déterminer les scénarios d'accidents car leur déroulement dépendra de nombreux facteurs dont notamment l'endroit où se produit la rupture, des caractéristiques de la ligne et de l'entraînement, des charges, du vent, etc.
Selon la pente il est fort possible que certains chariots déraillent avant d'entrer en collision avec le véhicule suivant.

Je répondrai plus en détail sur les questions soulevées par Blick car ce sujet est très intéressant et rarement abordé.

Ce message a été modifié par Velro - 07 décembre 2010 - 07:25 .

[jfd_]

Merci Velro

[dj_jean_jean]

Velro, le 7 12 2010, 06:16, dit :

Lors de l'accident du téléphérique du Pic de Bure du 1er juillet 1999 qui a causé la mort de 20 personnes, la charge transportée était estimée à 3720 kg (soit 20 personnes et une citerne contenant 1000 litres d'eau), la charge utile autorisée était elle de 5000 kg. Il n'y avait donc aucune surcharge.

La charge admissible maximum avait été dépassé (et je crois un bon nombre de fois) en amont de l'accident, avant que cette accident ne survienne. Il est donc parfaitement possible que le chapeau de gendarme ai été abimé par cette forte surcharge.

Je tiens à rappeler que sur cette accident et sur d'autres les constructeurs ont rarement été mit en cause, mais souvent les exploitant par manquement du respect des règles de sécurité. Le problème sur les sièges goutte d'eau là c'est bien le constructeur qui a été mit en cause et les modifications on été faite tout de suite. De même sur les cabines dont les vitres ne sont pas lié à la cabine mais juste emboité où là des modifications ont dut être prise.

Si c'est les Chapeau de gendarme Poma qui avaient été mit en cause les chapeaux de gendarme des autres téléphérique auraient aussi dut être modifié, ce qui n'a pas été le cas.

[Thomas]

Bonjour,

mon point de vue est que sur un 3S ou un 2S, le principe d'embrayage est le même que sur un téléporté débrayable traditionnel.
Même sécurités de gares, mêmes contrôles sur les câbles tracteurs, même inspections des pinces (en france = démontage de 20% par an ou de toutes tous les 5 ans), même coefficients de sécurité (3P sin alpha)
Partant de ce principe, la sécurité (liaison cabine-câble tracteur) est au moins égale.

Sur des TSD/TC, les accidents/incidents de sièges/cabines qui tombent au sol se sont produites, soit à cause d'une négligence humaine en ligne (Vidamanette, TSD Vanoise pour ne citer qu'eux), soit en sortie de gare (mauvais embrayage). Et vous remarquerez que les profils de 2S/3S possèdent systématiquement une portion montante en sortie de gare pour ne pas qu'une cabine non embrayée passe un point de non retour et parte en ligne non embrayée.

[monchu]

Thomas, le 7 12 2010, 12:01, dit :

Partant de ce principe, la sécurité (liaison cabine-câble tracteur) est au moins égale.

A ceci près qu'il faut ajouter au moins deux défaillances supplémentaires dans l'AMDEC des pinces d'un 2S/3S par rapport à un téléporté monocâble :
- la présence d'un chariot, qui introduit une cause de défaillance supplémentaire (déraillement possible)
- le modèle de pince "inversée" utilisé sur les 2S/3S qui n'est en général pas capable de franchir un pylône support sans l'aide du câble porteur, qui soulève légèrement la pince au-dessus des galets.

On retrouve très certainement ces deux paramètres dans l'arbre des causes du déraillement du 2S de Ngong Ping (déraillement chariot + décrochage pince butant contre l'obstacle des galets support). Je précise quand même que cet accident a eu lieu hors conditions normales d'exploitation, l'appareil étant fermé au public.

[Velro]

Concernant le Pic de Bure, l'aspect réglementaire n'est pas trivial, notamment en relation avec une possible réduction du nombre de personnes transportées et une modification de réglementation qui n'affectait toutefois pas les installations mise en service antérieurement à son entrée en vigueur. Je dois retrouver les détails sur ce point.

De façon générale, les transports exceptionnels dépassant la charge utile nominale sont effectivement autorisés dans certains cas particuliers, ils sont évidemment à réaliser dans ces conditions bien définies avec l'aval du constructeur et des autorités (ce cas se présente typiquement lors de chantiers, il existe p.ex. des téléphériques 25 tonnes qui peuvent transporter une charge de 40 tonnes dans des conditions bien définies).

Au Pic de Bure il a été estimé que 162 transports exceptionnels avec une charge moyenne de 7120 kg (par rapport aux 5000 kg de charge utile normale) avaient été effectués.
Selon les enquêteurs, ces surcharges répétées ont entraîné une usure prématurée des blochets du chapeau de gendarme; par contre selon les essais effectués en laboratoire au Centre technique des industries mécaniques (CETRIM) de Saint-Etienne sur un chapeau de gendarme similaire avec blochets usés, il est apparu que la force de rétention du câble tracteur était encore largement supérieure à celle requise pour une charge utile du téléphérique de 5 tonnes. En conséquence il a été clairement conclu que l'utilisation d'un enduit périmé a contribué de façon déterminante à l'accident.


Relativement à ce qui précède je me permets une remarque personnelle: le câble porteur n'étant pas supposé glisser dans le chapeau de gendarme, comment expliquer que des surcharges répétées aient entraîné une usure prématurée de certaines pièces du systeme de serrage du chapeau de gendarme? S'agissant d'une liaison statique, une rupture par surcharge ou par fatigue aurait été compréhensible, ce contrairement à une usure qui implique elle un phénomène de frottement (l'usure lors des déplacements périodiques du câble tracteur est elle minime car effectuée sans serrage).

Ce message a été modifié par Velro - 08 décembre 2010 - 07:42 .

[Velro]

dj_jean_jean, le 7 12 2010, 10:23, dit :

Velro, le 7 12 2010, 06:16, dit :

Lors de l'accident du téléphérique du Pic de Bure du 1er juillet 1999 qui a causé la mort de 20 personnes, la charge transportée était estimée à 3720 kg (soit 20 personnes et une citerne contenant 1000 litres d'eau), la charge utile autorisée était elle de 5000 kg. Il n'y avait donc aucune surcharge.

La charge admissible maximum avait été dépassé (et je crois un bon nombre de fois) en amont de l'accident, avant que cette accident ne survienne. Il est donc parfaitement possible que le chapeau de gendarme ai été abimé par cette forte surcharge.

Voir mon message ci-dessus.

Citation

Je tiens à rappeler que sur cette accident et sur d'autres les constructeurs ont rarement été mit en cause, mais souvent les exploitant par manquement du respect des règles de sécurité. Le problème sur les sièges goutte d'eau là c'est bien le constructeur qui a été mit en cause et les modifications on été faite tout de suite. De même sur les cabines dont les vitres ne sont pas lié à la cabine mais juste emboité où là des modifications ont dut être prise.

Il faudrait se pencher sur les rapports d'accidents. A mon avis cette affirmation reste à démontrer car souvent les responsabilités étaient finalement partagées (erreur de conception associée à une erreur humaine).

On notera que pour les téléphériques à va-et-vient des pays de l'Ouest et de l'Amérique du Nord, les seuls accidents mortels de ces trente dernières années concernent des installations en France (non compte tenu des accidents dus à une collision avec un aéronef) alors que par exemple le parc de ce type de remontée mécanique est nettement plus important en Suisse (où le dernier accident mortel de TPH à va-et-vient remonte à 1972, causé par une surcharge volontaire importante).

Citation

Si c'est les Chapeau de gendarme Poma qui avaient été mit en cause les chapeaux de gendarme des autres téléphérique auraient aussi dut être modifié, ce qui n'a pas été le cas.

Le principe du chapeau de gendarme n'a pas été mis en cause dans le cadre de cet accident même si dans les milieux professionnels les avis divergent sur sa sécurité. Les systèmes de liaison du câble tracteur au chariot ont chacun leurs avantages et désavantages. Au final même les experts ne sont pas convaincus que les systèmes avec câble traversant soient, considérés dans leur ensemble en tenant compte de possibles erreurs humaines, nécessairement plus sûrs que les systèmes en bout de câble.

Ce message a été modifié par Velro - 08 décembre 2010 - 07:57 .

[Velro]

monchu, le 8 12 2010, 00:07, dit :

Thomas, le 7 12 2010, 12:01, dit :

Partant de ce principe, la sécurité (liaison cabine-câble tracteur) est au moins égale.

A ceci près qu'il faut ajouter au moins deux défaillances supplémentaires dans l'AMDEC des pinces d'un 2S/3S par rapport à un téléporté monocâble :
- la présence d'un chariot, qui introduit une cause de défaillance supplémentaire (déraillement possible)
- le modèle de pince "inversée" utilisé sur les 2S/3S qui n'est en général pas capable de franchir un pylône support sans l'aide du câble porteur, qui soulève légèrement la pince au-dessus des galets.

On retrouve très certainement ces deux paramètres dans l'arbre des causes du déraillement du 2S de Ngong Ping (déraillement chariot + décrochage pince butant contre l'obstacle des galets support). Je précise quand même que cet accident a eu lieu hors conditions normales d'exploitation, l'appareil étant fermé au public.

As-tu des détails sur cet incident?

Je tenterai d'apporter quelques éléments de réponse à question initiale posée par Blick. Le sujet est passablement complexe et je ne suis même pas sûr qu'il soit posssible d'y apporter une réponse objective.

A un certain moment du développement des remontées mécaniques sont apparus de nouveaux types d'installations qui ont en quelque sorte pris de court la réglementation.

Pour ma part je ne suis de loin pas convaincu que les analyses de sécurité soient suffisamment objectives dans certains cas et tout particulièrement pour les remontées mécaniques à mouvement continu avec deux câbles porteurs-tracteurs parallèles (et à plus forte raison lorsque les deux boucles épissurées sont séparées et entraînées par des poulies distinctes).

Le frein de chariot est un concept qui date de l'origine même des téléphériques à va-et-vient et a systématiquement équipé ces installations (à l'exception de très petits téléphériques) jusque relativement récemment dans l'histoire de ce type de RM.
Pour les remontées mécaniques (débrayables ou fixes) avec un ou plusieurs câbles porteurs-tracteurs la question du frein de chariot ne s'est évidemment jamais posée vu l'absence de câble porteur.
Lorsque sont apparus de nouveaux concepts de remontées mécaniques combinant des caractéristiques inhérentes tant aux téléphériques à va-et-vient qu'aux installations à mouvement continu débrayables, la réglementation a dû être adaptée rapidement... peut-être même un peu trop rapidement?

Pour les anciens types de RM, l'évolution a été relativement lente et l'on dispose d'un nombre important d'installations qui fonctionnent dans l'ensemble de façon extrêmement fiable. Un tel recul manque évidemment pour les installations de type très innovateur (même si p.ex. les premiers Funitels ou DMC ne sont pas vraiment tout récents, le retour d'expérience reste limité de par le faible nombre d'installations et par conséquent un nombre d'heures d'exploitation cummulé infime comparé à tous les autres types de RM confondus).


Equiper les 3S de freins de chariot n'est pas formellement impossible techniquement mais compliquerait de façon considérable le système tout en représentant une nouvelle source de risque car engendrant des scénarios d'incidents supplémentaires. Je ne connais pas bien les 3S mais il me semble que les véhicules ne sont pas équipés de télétransmission (et ils sont évidemment sans cabinier). De façon simplifiée l'on peut considérer que la technologie d'un 3S est plus basée sur une télécabine XXL à laquelle ont été rajoutés deux câbles porteurs que sur un téléphérique à va-et-vient conventionnel.

La question de l'obligation d'équiper des 3S de freins de chariots a été escamotée pour diverses raisons, notamment de par les difficultés techniques. On a alors plutôt choisi la démarche selon laquelle on tente de démontrer que la sécurité est suffisante sans frein de chariot en partant du principe que l'on ne peut techniquement pas équiper les véhicules d'un frein de chariot de façon économiquement viable (c.à.d. ne pas entrer en matière sur ce point en admettant que soit le 3S est autorisé tel quel, soit il ne sera pas autorisé du tout).

Ce message a été modifié par Velro - 08 décembre 2010 - 08:45 .

[Velro]

Blick, le 8 12 2010, 14:02, dit :

pour les TPH à chapeau de gendarme et tracteur épissuré, il y a un déplacement régulier du câble par rapport aux chariots, donc démontage, ouverture régulière du chapeau de gendarme.
lors de l'ouverture et de la fermeture d'un chapeau de gendarme, il y a glissement et frottement du tracteur sur les pièces du chapeau de gendarme, en fait sur les blochets, fabriqués dans un métal plus mou que l'acier, pour une meilleure adhérence.
ce frottement use les blochets. (je ne suis pas certain qu'il y ait des blochets dans tous les chapeaux de gendarme)

Je ne connais pas à fond les détails des chapeaux de gendarmes car il s'agit d'un système qui équipe surtout les TPH de construction française, il ne me semble pas qu'il y ait des TPH avec chapeau de gendarme en Suisse mais je n'en suis pas 100% certain. Le câble tracteur est effectivement en quelque sorte coincé en zig-zag en formant une vague et lors du serrage il y a un faible mouvement sur les blochets mais la fréquence des déplacements périodiques ne devrait pas être suffisamment importante pour causer une usure notable (ou me trompes-je sur ce point?).
L'importance même de la charge en traction a-t-elle réellement eu une influence importante sur l'usure des blochets ou ceux-si ont-ils principalement été usés au cours des des cycles de montage/démontage?

A mon avis le désavantage principal du chapeau de gendarme réside dans le fait que les zones d'altérations irréversibles du câble dans la zone de serrage continuent à faire partie à demeure du câble.

Dans l'ensemble je ne suis pas certain que les attaches de chariots à câbles traversants soient forcément plus sûres que celles avec des terminaisons. Chaque système a des qualités et de faiblesses.

Cela dit, la question du frein de chariot doit être étudiée dans un contexte plus large que celui auquel se rapportent les prescriptions particulières applicables aux téléphériques à va-et-vient sans frein de chariot. Dans divers cas, les freins de chariot ont sauvé de vies humaines dans des scénarios pour lesquels le respect de ces prescriptions particulières n'aurait pas permis d'éviter l'accident.
Les freins de chariot ne se sont pas uniquement révélés utiles lors de défaillances de la boucle de traction (p.ex. rupture de câble tracteur) mais par exemple également lors de défaillances des systèmes de freinage et de défaut de répétiteurs de course en entrée en station. Dans le cas de Cavalese, le frein de chariot avait maintenu en position la cabine dont les câbles n'avaient pas été sectionnés lors de la collision avec l'avion de chasse.

Velro, le 8 12 2010, 07:37, dit :

Citation

Equiper les 3S de freins de chariot n'est pas formellement impossible techniquement mais compliquerait de façon considérable le système tout en représentant une nouvelle source de risque car engendrant des scénarios d'incidents supplémentaires. Je ne connais pas bien les 3S mais il me semble que les véhicules ne sont pas équipés de télétransmission (et ils sont évidemment sans cabinier). De façon simplifiée l'on peut considérer que la technologie d'un 3S est plus basée sur une télécabine XXL à laquelle ont été rajoutés deux câbles porteurs que sur un téléphérique à va-et-vient conventionnel.
La question de l'obligation d'équiper des 3S de freins de chariots a été escamotée pour diverses raisons, notamment de par les difficultés techniques. On a alors plutôt choisi la démarche selon laquelle on tente de démontrer que la sécurité est suffisante sans frein de chariot en partant du principe que l'on ne peut techniquement pas équiper les véhicules d'un frein de chariot de façon économiquement viable (c.à.d. ne pas entrer en matière sur ce point en admettant que soit le 3S est autorisé tel quel, soit il ne sera pas autorisé du tout).

c'est effectivement ce qui a été pensé et fait.
mais ce choix (non équipement de frein de chariot sur un 3S) ne devrait pas convaincre un "pro-frein de chariot" pour les TPH
quand je vois un véhicule pour 3S, comment ne pas penser à un véhicule de TPH classique (porteurs et tracteur) ?

Un 3S est clairement une configration à base classique avec porteurs séparés et pour ma part je reste d'avis que des systèmes genre 3S et similaires devraient être équipés de freins de chariot de conception spécialement adaptée (p.ex. avec déclenchement radiocommandé ou par FUA/FWA de tous les freins de chariot en cas de problème car il serait inutile d'attendre la détection de mou ou de mouvement en retour individuellement pour chaque véhicule). Il faudrait également avoir la possibilité de réarmer les freins de chariot par commande à distance.

Evidement qu'il s'agit presque d'une guerre de religions car certains argumenteront en considérant qu'à l'instar d'une RM à câble porteur-tracteur un câble tracteur de 3S ne peut pas se rompre, alors d'autres soutiendront que cette approche n'est pas valable de par la séparation des fonctions de traction et de portance/guidage.

Pour la petite histoire, la discussion sur les freins de chariots des grands TPH à va-et-vient me rappelle un peu par analogie le renoncement au double circuit de freinage des voitures. Techniquement il est sans doute possible de développer un système de freinage à simple circuit aussi sûr sur le papier (analyses de risque) qu'un système à double circuit conventionnel. Mais en pratique rien n'est infaillible et si le seul circuit de freinage tombe en panne...
Si l'on suit la logique des opposants aux freins de chariot comme Denis Creissels on aura peut-être un jour des grands avions de ligne monoréacteurs.

Ce message a été modifié par Velro - 08 décembre 2010 - 16:16 .

[Thomas]

Blick, le 8 12 2010, 20:11, dit :

pour être honnête, je dirais que si on calculait les avions avec les mêmes coefficients de sécurité que pour les RM, les avions seraient tellement lourds qu'ils ne décolleraient pas (ou alors on diviserait par 2 le nombre de passagers)

Héhé, c'est au moins la 4e ou la 5e fois que je l'entend cet exemple précis, mais tout à fait exact...
quand on nous parle de coefficients de sécurité de 3, 4, 4,5, ou ne serait-ce 2 "car il y a des phénomènes qu'on sait pas calculer", et que dans un avion on a des coefficients de 1.05, 1.1 ...
enfin, ce sont ces coefficients qui font la sécurité de nos appareils tout de même...

[Velro]

Blick, le 8 12 2010, 20:11, dit :

Velro, le 8 12 2010, 14:55, dit :

Pour la petite histoire, la discussion sur les freins de chariots des grands TPH à va-et-vient me rappelle un peu par analogie le renoncement au double circuit de freinage des voitures. Techniquement il est sans doute possible de développer un système de freinage à simple circuit aussi sûr sur le papier (analyses de risque) qu'un système à double circuit conventionnel. Mais en pratique rien n'est infaillible et si le seul circuit de freinage tombe en panne...
Si l'on suit la logique des opposants aux freins de chariot comme Denis Creissels on aura peut-être un jour des grands avions de ligne monoréacteurs.

je sais bien que ce forum n'est pas consacré aux avions, mais je pense aux commandes électriques des avions "modernes", non doublées d'un système manuel mécanique. si dans le logiciel embarqué, toutes les situations n'ont pas été prévues, l'ordinateur de bord peut très bien faire crasher l'avion et ses passagers.
si un avion se crashe parce que les sondes Pitot ne fonctionnent pas, et donc ne donnent pas la bonne vitesse de l'avion, il y a assez de GPS dans le cockpit pour avoir une bonne idée de la vitesse. mais personne ne dira qu'il s'agit d'un bug du logiciel de pilotage automatique. encore combien de bugs et combien d'avions crashés ?
pour être honnête, je dirais que si on calculait les avions avec les mêmes coefficients de sécurité que pour les RM, les avions seraient tellement lourds qu'ils ne décolleraient pas (ou alors on diviserait par 2 le nombre de passagers)

Je ne comprends pas très bien la comparaison. Les facteurs de sécurité ne sont pas directement comparables car pour chaque composant est déterminé un facteur de sécurité optimal. L'on ne peut définir un facteur de sécurité général pour un avion ou un téléphérique et une comparaison directe n'est donc pas non plus envisageable. Au plus il est possible d'estimer des probabilités de scénarios de défaillance et encore leur quantification n'est pas forcément toujours objective ni même forcément très précise (et cette précision n'est même pas nécessairement utile).

La sécurité absolue n'existe pas et elle n'est pas non plus un objectif (et celui-ci serait par définition de toute manière inatteignable). En pratique l'on se réfère un niveau de sécurité minimal devant être garanti.
P.ex .côté hardware électronique l'on dispose de diverses méthodes de calcul permettant de quantifier la probabilité de défaillance dangereuse et ces approches sont bien maîtrisées. Côté software la situation est plus délicate et l'évaluation est surtout basée sur des procédures très strictes car lors des tests de validation il est techniquement impossible de simuler tous les cas de figures avec des logiciels complexes. La redondance diversitaire joue également un rôle important. On retrouve certains de ces aspects dans le domaine des commandes de sécurité pour les remontées mécaniques. En pratique la programmation des automates programmables de sécurité constitue un facteur critique pour la sécurité car pour les remontées mécaniques modernes une erreur de programmation peut avoir des conséquences fatales.
Il existe toutefois une différence majeure entre l'avionique d'un Airbus et la commande d'un téléphérique: pour une remontée mécanique on doit garantir la sécurité (= défaillance dangereuse extrêmement improbable) mais la disponibilité de la commande n'est pas critique dans le sens où une panne non dangereuse de la commande arrête simplement l'installation sans présenter de danger (pannes admissibles à condition de ne pas présenter de danger excessif). Pour un Airbus moderne une défaillance complète des systèmes électroniques entraîne irrémédiablement un crash; ces commandes d'avionique doivent donc non seulement être hautement disponibles mais également ne pas pas présenter de défaillance dangereuse (ou plus précisément la disponibilité doit être extrêmement élevée et la probabilité de dysfonctionnement dangereux extrêmement faible).

Pour ce qui est de l'avionique je redoute plutôt les défaillances à cause commune (p.ex. décharge atmosphérique, impulsion électromagnétique, etc.) que les erreurs de programmation. Cela dit même pour les avions de ligne il subsiste des bizarreries. Par exemple l'ergonomie des interfaces homme-machine est en partie discutable car contraire à ce qui est considété comme pratique adéquate dans d'autres domaines (comme p.ex. pour les salles de contrôle de centrales nucléaires). Un autre détail qui m'a toujours frappé dans le cas de commandes fly-by-wire est, à ma connaissance, l'absence d'un troisième sidestick de secours: si les deux sidesticks sont défaillants le vol risque de mal se terminer (je suis simplement surpris que pour des éléments aussi critiques soit appliquée seule une
redondance simple, même si les systèmes de capteurs internes de chaque sidestick sont eux doublés voire même triplés).

Citation

pour revenir aux TPH :
Je pense qu'il y aurait avantage (pour la sécurité) à ce que l'opération de déplacement du tracteur pour un TPH à va-et-vient, face l'objet d'un "double regard" :
s'assurer que le remontage du chapeau de gendarme est fait correctement.

En pratique cela me semble difficile car il s'agit d'opérations de routine et à mon avis ce n'est pas une nécessité. La maintenance de routine est effectuée de façon sérieuse dans la vaste majorité des cas et souvent le personnel connaît le mieux sa propre installation. Le cas du Pic de Bure était particulier en raison de l'incompétence flagrante de la personne chargée de la maintenance du téléphérique (auparavant c'était une société d'exploitation de remontées mécaniques qui en était chargée avant qu'elle soit reprise en interne par une personne incompétente).

Citation

j'ai noté votre opinion sur la présence souhaitable de freins de chariot sur un 3S. vous êtes logique avec votre démarche intellectuelle habituelle.

Il existe tant des arguments pour que contre les freins de chariot et la question est complexe au point que même les spécialistes sont d'un avis partagé. Mon point de vue est au final plus pragmatique que basé sur des considérations d'analyse probabilistique de risque simplement car j'estime qu'il est actuellement impossible de fournir une justification quantitative formelle suffisamment objective pour conclure à un niveau de sécurité au moins égal en l'absence de frein de chariot et en conséquence jusqu'à preuve du contraire je défends le status quo de l'obligation des freins de chariot qui a fait ses preuves durant près d'un siècle.

La question de l'obligation des freins de chariot reviendra sur le tapis lors du prochain accident de grand téléphérique dépourvu de frein de chariot.

Ce message a été modifié par Velro - 08 décembre 2010 - 23:15 .

[monchu]

Velro, le 8 12 2010, 07:37, dit :

As-tu des détails sur cet incident?

Seul un résumé très succint et caviardé du rapport d'experts est disponible sur le site du conseil législatif de HK.

Ce message a été modifié par monchu - 08 décembre 2010 - 23:16 .

[Velro]

monchu, le 8 12 2010, 22:15, dit :

Velro, le 8 12 2010, 07:37, dit :

As-tu des détails sur cet incident?

Seul un résumé très succint et caviardé du rapport d'experts est disponible sur le site du conseil législatif de HK.

Merci pour le lien. Gabor Oplatka est un des meilleurs experts en téléphériques et ce au niveau mondial. Donc pas de souçi sur ce point.

J'aime bien le "decoration rate" sous ch. 8 à la place de "deceleration rate" (sûrement une erreur de traduction ou une faute d'inattention).

Il faudrait que je relise en détail mais visiblement il y a eu une décélération excessive lors d'essais manuels des freins en déclenchant volontairement la régulation de freinage sur un groupe de frein de service (dans ce cas, normalement, la servovalve de pression qui module la pression hydraulique pour le desserrage régulé est bypassée par l'électrovanne de décharge du circuit). Un détail ne me semble pas clair car la fonction de régulation n'est pas réalisable en sécurité SIL 3, seule la fonction de freinage non régulé est réalisable en SIL 3. En conséquence un dysfonctionnement de régulation ne devrait pas poser de problème de surfreinage critique à condition expresse que le frein de sécurité ne soit pas engagé simultanément (la prévention de l'action simultanée de deux systèmes de frein est garantie avec une probabilité très élevée mais qui n'atteint toutefois pas le niveau SIL 3 et en intervenant manuellement de façon non autorisée il est possible d'engendrer une action concordante de ces freins).

On notera l'absence de dispositif de détection de déraillement du chariot.


Edité:
Voir également ici (je viens juste de trouver, pas encore lu):
http://www.legco.gov.hk/yr06-07/english/pa...8cb1-2375-e.pdf
http://www.legco.gov.hk/yr09-10/english/pa...b1-1146-5-e.pdf

Ce message a été modifié par Velro - 08 décembre 2010 - 23:40 .

[bill]

Pour donner un argument supplémentaire à Velro, on ne peut effectivement comparer un soft pour RM et pour avionique du point de vue de l'architecture sous-jacente. En effet, alors qu'un automate de RM n'est soumis "qu'à" des réactions à des mesures ou des actions, en avionique, on navigue dans des environnements temps réel et des tâches multiples parallélisées.

Dans certains cas pas forcément prévisible, il peut y avoir interblocage entre tâches, en fonction des priorités d'exécution, des échéances et tout un tas d'autres phénomènes. Et oui, un système temps réel peut "s'autobloquer" si tous les cas n'ont pas été prévus !!!

Au final, je préfère un bon télésiège au niveau sécurité de programmation des automates !!!

[Velro]

Lorsqu'un problème est détecté pour une RM l'installation s'arrête. Les freins sont failsafe et avec commande à manque de courant pour ce qui est sécuritaire (la régulation de freinage, si présente, est active mais la fonction de régulation n'est pas sécuritaire, en cas de défaillance de régulation est appliquée la force de freinage maximale du système de freins concerné; la régulation de vitesse n'est elle pas non plus sécuritaire, par contre les surveillances de vitesses sont elles sécuritaires).

Les automates programmables de sécurité disponibles sur le marché sont généralement certifiés SIL 3 (le niveau SIL 4 n'étant requis que dans des cas exceptionnels et il n'existe pas de commandes programmables (par soft) SIL 4, ils s'agit à ma connaissance toujours de commandes à logique câblée). Pour des domaines tels que le nucléaire civil et militaire ainsi que l'avionique sont applicables des règles particulières (le LHC du CERN fait exception car d'une conception sécuritaire un peu bizarre au niveau de la commande).
Comme exemple, l'automate programmable de sécurité Pilz PSS 3000/3100 a une architecture interne tricanal diversitaire alors que les modules CPUs de Siemens S7-F ont une architecture hardware monocanal et dans ce cas la sécurité est assurée par une exécution décalée dans le temps des instructions compilées diversitairement. Cette approche est d'ailleurs critiquée par certains spécialistes qui mettent en doute la validité des calculs ayant permis la certification SIL 3 des S7-F. Cela dit je n'ai pas connaissance d'un seul cas de défaillance dangereuse d'un S7-F.

Pour ce qui est des programmes des automates programmables de sécurité il faut prendre en considération plusieurs niveaux. On peut commencer par le microcode des processeurs; cet aspect est critique et très délicat valider côté sécurité. Cela explique la raison pour laquelle souvent on trouve des processeurs relativement peu performants comparé aux CPU de PCs. L'étape suivante est le firmware du système de CPU de l'automate programmable (en quelque sorte son système d'exploitation), ce développement est critique du point de vue sécuritaire et très onéreux en raison des procédures de programmation et la validation. La programmation des automates programmables de sécurité est effectuée au moyen d'outils informatiques qui tournent sur PC. Ces programmes nécessitent également une procédure de développement très stricte. Le fait qu'ils tournent sous Windows n'est pas vraiment critique s'ils sont développés correctement car les bugs de Windows n'auront en principe pas d'influence (je dis en principe car certains virus pourraient causer de problèmes mais ils nécessiteraient des connaissances spécifiques de haut niveau).
Finalement en pratique le point le plus ciritique est le développement de l'application utilisateur. Ce programme est généralement développé en interne par les constructeurs de commandes de remontées mécaniques et, selon les normes et prescriptions, certifié par une entité externe ou non (p.ex. un des TUeV). Une erreur à ce niveau peut avoir des conséquence catastrophiques car pour les commandes modernes de RM les freins, les vitesses, positions, arrêts d'urgence, etc. sont gérés par les automates programmables de sécurité. Il y a d'ailleurs eu des incidents lors d'opérations de maintenance de logiciels en ligne (c.à.d. ici en service, pas via une connexion Internet même si cela est techniquement faisable) avec une console de programmation alors que l'installation est en service (ce qu'il vaut mieux éviter quand il s'agit d'automates programmables de sécurité, c'est déjà assez stressant avec des systèmes non sécuritaires et là je parle par expérience car ayant travaillé sur la programmation d'installations de conduite de process qu'il était impossible d'arrêter pour certaines interventions au niveau de la programmation).

Si l'on se penche sur le fonctionnement même des automates programmables, de sécurité ou non, on retrouve des aspects communs avec les systèmes d'avionique. Les automates programmables sont des systèmes temps réel en partie multitâches devant garantir des temps de réaction maximum quantifiables. Ce qui importe est la "prédictabilité" (normalement on utilise le vocabulaire anglais la terminologie française n'est de toute façon pas uniformisée) du comportement du soft en tout temps et quelles que soient les circonstances. En particulier la "récupération" d'erreurs est absolument primordiale afin d'éviter un traitement erroné des données. Pour les systèmes tolérants aux fautes une faute doit être détectée et traitée correctement avec une probabilités extrêmement élevée. Il est impossible de prévenir à 100% des glitches p.ex. causés par des interférences électromagnétiques par contre une telle anomalie doit être détectée et être traitée avec une très haute probabilité. Si la redondance fonctionnelle n'est pas requise on peut arrêter un système pour le réinitialiser, dans le cas contraire la réinitialisation est effectuée pendant que d'autres systèmes assurent la continuité par redondance. Dans l'exemple de l'avionique il arrive qu'un calculateur de bord se plante en cours de vol et nécessite une réinitialisation (automatique ou manuelle), cela ne pose pas de problème tant que la sécurité reste assurée par redondance fonctionnelle. Dans les systèmes de sécurité le point le plus important consiste à garantir la détection fiable d'une erreur potentiellement dangereuse ainsi que son traitement. Pour cette raison sont implémentées des architectures de vote. P.ex. pour une commande de shutdown d'urgence (ESD) en pétrochimie on peut installer une commande tri-canal (typiquement une TMR). En fonctionnement normal le système vote en 2 sur 3 (2oo3 pour "2 Out Of 3"), ce qui signifie que p.ex. sur 3 mesures de températures les deux présentant la meilleure concordance seront évaluées tout en ignorant une troisième mesure si celle-ci est divergente (mais en générant une alarme afin que le capteur défectueux soit remplacé dans un délai maximal formellement prescrit). En cas de panne d'un canal le système est automatiquement dégradé en 2oo2, il n'y a lors plus de vote possible. Pour les QMR on peut avoir du 3oo4 en fonctionnement normal et encore du 2oo3 en fonctionnement dégradé avec un canal défectueux et du 2oo2 avec 2 canaux défectueux. Pour chaque niveau de défaillance est défini une durée d'exploitation maximale autorisée jusqu'au remplacement du composant défectueux (pour les avions sont définies des MEL (Minimun Equipment Lists) qui, pour simplifier ici, définissent des combinaisons de défectuosités pour lesquelle un décollage reste encore autorisé, contrairement à une croyance répandue, il n'est pas nécessaire que tous les systèmes d'un avion soient fonctionnels avant le décollage)).

Je précise que dans le cadre de discussions dans un forum il est impossible de présenter un précis technique formel, il est donc normal que les explications sont forcément simplifiées et pas toujours complètes Les analyses de sécurité sont une science à part entière dans le domaine de l'ingénierie et ce domaine est très complexe.

Ce message a été modifié par Velro - 09 décembre 2010 - 09:58 .

[Velro]

Le principe des MEL est compréhensible. Ces listes sont définies sur des bases formelles d'analyses de risque et doivent être approuvées par les autorités. Je précise que je ne suis pas du tout spécialiste en aéronautique, simplement je me suis déjà intéressé à certains détails techniques côté sécurité. Dans l'ensemble c'est évidemment très bien fait même si comme venant d'autres domaines techniques on constate parfois quelques bizarreries. Par exemple certains détails de l'ergonomie du cockpit (au sens large du terme en incluant l'ensemble de l'interfaçage homme-machine) sont assez surprenants mais je suppose que c'est en partie lié à un développement historique.

Pour l'équipage complet c'est assez logique. Imagine une situation d'urgence; en pareil cas la compagnie pourrait être attaquée en justice pour l'absence d'un membre d'équipage de cabine car pour chaque vol est sûrement formellement prescrit un équipage minimal.


Par rapport à mon message précédent j'avais oublié de préciser un détail important relatif aux niveaux de sécurité: le fait d'intégrer un automate programmable SIL 3 dans une commande ne constitue en soi aucune garantie de sécurité. Le niveau de sécurité prescrit (p.ex. SIL 3) doit être atteint pour la partie de commande critique dans son ensemble. Une seule erreur de programmation ou même une simple erreur dans le concept ou l'exécution du câblage peut entraîner une dégradation crtitique du niveau de sécurité.
On soulignera également que le concept des SIL (Safety Integrity Levels) est basé sur des plages de probabilités de défaut dangereux et non sur une classification de concepts de commande comme c'était le cas avec les anciennes catégories de commande principalement orientées sur des critères d'architecture de commande que de considérations probabilistiques (raison pour laquelle ce système n'a jamais vraiment été accepté dans les domaines critiques auxquels le système allemand des AK était plus formel et mieux adapté, d'ailleurs nombre de personnes confondent les anciennes AK selon DIN V 19250 avec les anciennes catégories de commande selon EN 954).
De par cette approche probabilistique, le niveau SIL obtenu par calculs est simplement un nombre et il serait théoriquement possible de définir par exemple SIL 2.9, SIL 3.4 ou encore SI L 3.9. Une commande SIL 3.01 remplit les conditions pour être classée SIL 3, idem pour une commande SIL 3.99 mais entre-deux il y a une différence non négligeable car une commande SIL 3.01 est proche d'une à SIL 2.99 qui ne remplirait pas les conditions de niveau SIL 3 exigées par exemple pour les RM. En "bidouillant" un peu les documents (c.à.d. p.ex. sans réellement tricher, simplement en émettant des hypothèses légèrement différentes en choisissant un taux de défaillance dangereux un poil plus favorable pour un composant) et on passe p.ex. de SIL 2.99 à SIL 3.01. Enfin je simplifie un peu mais c'est pour donner un exemple. Cette notion de continuité des niveaux SIL n'est pas toujours bien comprise et finalement assez peu discutée.
Personnellement je serais favorable que les exigences SIL soient chiffrées de façon individuelle pour les différents éléments critiques (p.ex. exiger au minimum SIL 3.8 pour certaines fonctionnalités très critiques et SIL 3.1 pour d'autres moins critiques, ces chiffres étant ici uniquement des exemples arbitraires).

Il est possible que la terminologie française que j'utilise ne soit pas courante car je me base généralement sur la terminologie en langues anglaise et allemande. Un des grands problèmes du langage technique français est sa rigueur moindre tant dans les définitions que l'usage et ce en particulier comparé à l'allemand (bien que le français soit une langue ISO, les versions en langue française de certaines normes internationales comprennent des passages quasiment incompréhensibles si l'on ne se réfère pas à d'autres versions).

Ce message a été modifié par Velro - 09 décembre 2010 - 21:11 .