La technique de prédiction du taux d’erreur humaine (THERP) est une technique utilisée dans le domaine de l’évaluation de la fiabilité humaine (HRA), dans le but d’évaluer la probabilité qu’une erreur humaine se produise au cours de l’exécution d’une tâche spécifique. Ces analyses permettent de prendre des mesures pour réduire la probabilité d’erreurs au sein d’un système et donc d’améliorer le niveau général de sécurité. Trois raisons principales justifient la réalisation d’une ERS : l’identification des erreurs, la quantification des erreurs et la réduction des erreurs. Comme il existe un certain nombre de techniques utilisées à ces fins, elles peuvent être classées en deux catégories : les techniques de première génération et les techniques de deuxième génération. Les techniques de première génération fonctionnent sur la base de la simple dichotomie « correspond/ne correspond pas » en faisant correspondre une situation d’erreur dans son contexte avec l’identification et la quantification de l’erreur correspondante. Les techniques de deuxième génération sont davantage fondées sur la théorie dans leur évaluation et leur quantification des erreurs. Les techniques d’ERS ont été utilisées pour diverses applications dans une série de disciplines et d’industries, notamment les soins de santé, l’ingénierie, le nucléaire, les transports et les entreprises.
THERP modélise les probabilités d’erreur humaine (HEP) à l’aide d’une approche par arbre de défaillance, de manière similaire à une évaluation des risques d’ingénierie, mais tient également compte des facteurs d’évolution des performances (PSF) qui peuvent influencer ces probabilités. Les probabilités pour l’arbre des événements de l’analyse de la fiabilité humaine (HRAET), qui est le principal outil d’évaluation, sont nominalement calculées à partir de la base de données développée par les auteurs Swain et Guttman ; des données locales, provenant par exemple de simulateurs ou de rapports d’accidents, peuvent toutefois être utilisées à la place. L’arbre qui en résulte représente un compte rendu étape par étape des phases impliquées dans une tâche, dans un ordre logique. Cette technique est connue sous le nom de méthodologie totale [1] car elle gère simultanément un certain nombre d’activités différentes, notamment l’analyse des tâches, l’identification des erreurs, la représentation sous forme de HRAET et la quantification des HEP.
Contexte
La technique de prédiction du taux d’erreurs humaines (THERP) est une méthodologie de première génération, ce qui signifie que ses procédures suivent la manière dont l’analyse de fiabilité conventionnelle modélise une machine[2]. La technique a été développée dans les laboratoires Sandia pour la Commission de réglementation nucléaire américaine[3]. Son auteur principal est Swain, qui a développé la méthodologie THERP progressivement sur une longue période[1]. THERP s’appuie sur une grande base de données de fiabilité humaine qui contient des HEP, et se fonde à la fois sur les données de l’usine et sur des jugements d’experts. Cette technique a été la première approche de l’ERS à être largement utilisée et l’est encore aujourd’hui dans toute une série d’applications, même au-delà de sa durée de vie.
La méthodologie THERP
La méthodologie de la technique THERP se décompose en 5 étapes principales :
- Définir les défaillances du système qui présentent un intérêt Ces défaillances comprennent les fonctions du système où l’erreur humaine a une plus grande probabilité d’influencer la probabilité d’une défaillance, et celles qui présentent un intérêt pour l’évaluateur du risque ; les opérations pour lesquelles il n’y a pas d’intérêt comprennent celles qui ne sont pas critiques sur le plan opérationnel ou celles pour lesquelles il existe déjà des contre-mesures en matière de sécurité.
- Dresser la liste et analyser les opérations humaines connexes, et identifier les erreurs humaines susceptibles de se produire ainsi que les modes de récupération des erreurs humaines Cette étape du processus nécessite une analyse complète des tâches et des erreurs humaines. L’analyse des tâches énumère et ordonne les éléments discrets et les informations nécessaires aux opérateurs de la tâche. Pour chaque étape de la tâche, les erreurs possibles sont envisagées par l’analyste et définies avec précision. Les erreurs possibles sont ensuite examinées par l’analyste, pour chaque étape de la tâche. Ces erreurs peuvent être réparties dans les catégories suivantes :
- Erreurs d’omission – omission d’une étape de la tâche ou de l’ensemble de la tâche elle-même
- Erreurs de commission – il s’agit de plusieurs types d’erreurs différents :
- Erreurs de sélection – erreur dans l’utilisation des commandes ou dans l’émission d’ordres
- Erreurs de séquence – l’action requise est exécutée dans le mauvais ordre
- Erreurs de timing – la tâche est exécutée avant ou après le moment voulu
- Erreurs de quantité – quantité insuffisante ou excessive.
Les tâches et les résultats associés sont introduits dans un HRAET afin de fournir une représentation graphique de la procédure d’une tâche. La compatibilité des arbres avec la méthodologie conventionnelle des arbres d’événements, c’est-à-dire l’inclusion de points de décision binaires à la fin de chaque nœud, permet de les évaluer mathématiquement.
Un arbre d’événements présente visuellement tous les événements qui se produisent au sein d’un système. Il commence par un événement déclencheur, puis les branches se développent comme diverses conséquences de l’événement déclencheur. Celles-ci sont représentées par un certain nombre de chemins différents, chacun étant associé à une probabilité d’occurrence. Comme indiqué précédemment, l’arbre fonctionne selon une logique binaire, de sorte que chaque événement réussit ou échoue. En ajoutant les probabilités des événements individuels le long de chaque chemin, c’est-à-dire des branches, on obtient la probabilité des différents résultats. Voici un exemple d’arbre d’événements représentant un incendie du système :
Par conséquent, à condition que toutes les sous-tâches d’une tâche soient entièrement représentées dans un HRAET et que la probabilité de défaillance de chaque sous-tâche soit connue, il est possible de calculer la fiabilité finale de la tâche.
- Estimer les probabilités d’erreur pertinentes Les HEP de chaque sous-tâche sont introduites dans l’arbre ; il est nécessaire que toutes les branches d’échec aient une probabilité, sinon le système ne parviendra pas à fournir une réponse finale. Les HRAET ont pour fonction de décomposer les tâches principales de l’opérateur en étapes plus fines, qui sont représentées sous la forme de succès et d’échecs. Cet arbre indique l’ordre dans lequel les événements se produisent et prend également en compte les défaillances probables qui peuvent survenir à chacune des branches représentées. Le degré de décomposition de chaque tâche de haut niveau en tâches de niveau inférieur dépend de la disponibilité des HEP pour les branches individuelles successives. Les HEP peuvent être dérivées d’une série de sources telles que : la base de données THERP ; les données de simulation ; les données d’accidents historiques ; le jugement d’experts. Les PSF doivent être incorporés dans ces calculs de HEP ; la principale source de conseils à cet égard est le manuel THERP. Toutefois, l’analyste doit faire preuve de discernement pour déterminer dans quelle mesure chacun des facteurs s’applique à la tâche.
- Estimer les effets de l’erreur humaine sur les événements de défaillance du système Une fois l’ERS achevée, la contribution humaine à la défaillance peut être évaluée en comparaison avec les résultats de l’analyse de fiabilité globale. Cela peut se faire en insérant les HEP dans l’arbre des événements de défaillance du système complet, ce qui permet de prendre en compte les facteurs humains dans le contexte du système complet.
- Recommander des modifications du système et recalculer les probabilités de défaillance du système Une fois que la contribution du facteur humain est connue, l’analyse de sensibilité peut être utilisée pour identifier comment certains risques peuvent être améliorés dans la réduction des HEP. Les voies de récupération des erreurs peuvent être incorporées dans l’arbre des événements, ce qui aidera l’évaluateur à examiner les approches possibles pour réduire les erreurs identifiées.
Exemple de travail
Contexte
L’exemple suivant illustre la manière dont la méthodologie THERP peut être utilisée dans la pratique pour le calcul des probabilités d’erreurs humaines (HEP). Il est utilisé pour déterminer la HEP pour la mise en place d’une ventilation à base d’air à l’aide d’un équipement de ventilation par purge d’urgence sur les réservoirs 48 et 49 de traitement des précipitations en cuve (ITP) après une défaillance du système de purge à l’azote à la suite d’un événement sismique.
Hypothèses
Pour que le calcul final du HEP soit valide, les hypothèses suivantes doivent être satisfaites :
Il existe un événement sismique déclencheur qui conduit à l’établissement d’une ventilation à base d’air sur les réservoirs de traitement ITP 48 et 49.
Il est supposé que l’alimentation électrique sur site et hors site est indisponible dans le contexte et que, par conséquent, les actions de contrôle effectuées par l’opérateur le sont localement, sur le toit du réservoir.
Le temps dont dispose le personnel d’exploitation pour mettre en place une ventilation à base d’air en utilisant la ventilation de purge d’urgence, après la survenue de l’événement sismique, est de 3 jours.
Il est nécessaire d’élaborer une procédure de surveillance de l’état de l’équipement ITP pour permettre l’adoption d’une méthode cohérente d’évaluation de l’état de l’équipement et des composants ITP et des paramètres de processus sélectionnés pendant la durée d’un accident.
Les temps de réponse supposés existent pour le diagnostic initial de l’événement et pour la mise en place d’un équipement de ventilation de purge d’urgence sur le toit du réservoir. Le premier est de 10 heures et le second de 4 heures.
Le processus de précipitation en cuve est associé à des exigences de sécurité opérationnelle (OSR) qui identifient les conditions précises dans lesquelles l’équipement de ventilation de purge d’urgence doit être raccordé à la colonne montante.
La procédure d’exploitation standard du « système de réservoir 48 » comporte certaines conditions et actions qui doivent être incluses pour être exécutées correctement (voir le fichier pour plus de détails).
L’indicateur de débit est un élément essentiel de l’équipement de ventilation de purge d’urgence ; il est nécessaire en cas de branchement incorrect de l’équipement de ventilation de purge d’urgence, car il permet une action de rétablissement.
Le personnel disponible pour effectuer les tâches nécessaires possède toutes les compétences requises.
Tout au long de l’installation de l’équipement de ventilation par purge d’urgence, effectuée par le personnel d’entretien, un opérateur de citerne a été chargé de l’entretien de l’équipement de ventilation par purge d’urgence.
Méthode
Une analyse initiale des tâches a été effectuée sur la procédure hors norme et la procédure opérationnelle standard. Cela a permis à l’opérateur d’aligner et d’initier l’équipement de ventilation de purge d’urgence étant donné la perte du système de ventilation. Ensuite, chaque tâche individuelle a été analysée, ce qui a permis d’attribuer des probabilités d’erreur et des facteurs d’erreur aux événements représentant les réponses de l’opérateur.
Un certain nombre de HEP ont été ajustées pour tenir compte de divers facteurs d’amélioration des performances (PSF) identifiés
Après évaluation des caractéristiques de la tâche et du comportement de l’équipage, les probabilités de récupération ont été déchiffrées. Ces probabilités sont influencées par des facteurs tels que la familiarité avec la tâche, les alarmes et les vérifications indépendantes.
Une fois que les probabilités d’erreur ont été déterminées pour les différentes tâches, des arbres d’événements ont été construits à partir desquels des formules de calcul ont été dérivées. La probabilité de défaillance a été obtenue en multipliant chacune des probabilités de défaillance le long de la trajectoire considérée.
Arbre d’événements ERS pour l’alignement et le démarrage de l’équipement de ventilation par purge d’urgence sur le réservoir de précipitation 48 ou 49 après un événement sismique.
La somme de chacune des probabilités de défaillance a donné la probabilité totale de défaillance (FT).
Résultats
Tâche A : Diagnostic, HEP 6.0E-4 EF=30
Tâche B : inspection visuelle effectuée rapidement, facteur de récupération HEP=0,001 EF=3
Tâche C : lancement d’une procédure d’exploitation standard HEP= 0,003 EF=3
Tâche D : Mainteneur : branchement de l’équipement de ventilation de la purge d’urgence HEP=.003 EF=3
Tâche E : Mainteneur 2, branchement de la purge d’urgence, facteur de récupération CHEP=0,5 EF=2
Tâche G : Opérateur de citerne instruisant/vérifiant le branchement, facteur de récupération CHEP=0,5 Limite inférieure = 0,015 Limite supérieure = 0,15
Tâche H : lecture de l’indicateur de débit, facteur de récupération CHEP= 0,15 Limite inférieure = 0,04 Limite supérieure = 0,5
Tâche I : Diagnostic HEP= 1.0E-5 EF=30
Tâche J : Analyse LFL à l’aide d’un analyseur LFL portable, facteur de récupération CHEP= 0,5 Limite inférieure = 0,015 Limite supérieure = 0,15
Les différents chiffres et calculs permettent de déterminer que la HEP pour l’établissement d’une ventilation à base d’air à l’aide de l’équipement de ventilation de purge d’urgence sur les réservoirs 48 et 49 de traitement des précipitations en cuve après une défaillance du système de purge à l’azote suite à un événement sismique est de 4,2 E-6. Cette valeur numérique est considérée comme une valeur médiane sur l’échelle log-normale. Toutefois, ce résultat n’est valable que si toutes les hypothèses énoncées précédemment sont mises en œuvre.
Avantages de THERP
Il est possible d’utiliser THERP à tous les stades de la conception. En outre, THERP n’est pas limité à l’évaluation de conceptions déjà en place et, grâce au niveau de détail de l’analyse, il peut être spécifiquement adapté aux exigences d’une évaluation particulière[4].
THERP est compatible avec les évaluations probabilistes des risques (EPR) ; la méthodologie de la technique signifie qu’elle peut être facilement intégrée aux méthodologies de fiabilité par arbre de défaillance.
Le processus THERP est transparent, structuré et fournit un examen logique des facteurs humains pris en compte dans une évaluation des risques, ce qui permet d’examiner les résultats de manière directe et de remettre en question les hypothèses[4].
La technique peut être utilisée dans un large éventail de domaines différents de la fiabilité humaine et présente un degré élevé de validité apparente[4].
Il s’agit d’une méthodologie unique en ce sens qu’elle met en évidence la récupération des erreurs et qu’elle modélise quantitativement une relation de dépendance entre les différentes actions ou erreurs.Inconvénients de la méthode THERPL’analyse THERP est très gourmande en ressources et peut nécessiter beaucoup d’efforts pour produire des valeurs HEP fiables. Cet aspect peut être contrôlé en assurant une évaluation précise du niveau de travail requis pour l’analyse de chaque étape[4].
La technique ne se prête pas à l’amélioration des systèmes. Comparé à d’autres outils d’évaluation de la fiabilité humaine tels que HEART, THERP est un outil relativement peu sophistiqué car l’éventail des PSF pris en compte est généralement faible et les causes psychologiques sous-jacentes des erreurs ne sont pas identifiées.
En ce qui concerne la cohérence de la technique, de grandes divergences ont été constatées dans la pratique en ce qui concerne l’évaluation par différents analystes du risque associé aux mêmes tâches.
Ces divergences peuvent résulter de la cartographie des processus des tâches en question ou de l’estimation des HEP associées à chacune des tâches par l’utilisation de tables THERP par rapport, par exemple, à un jugement d’expert ou à l’application de PSF[5][6].
La méthodologie ne fournit pas d’indications à l’évaluateur sur la manière de modéliser l’impact des FPS et l’influence de la situation sur les erreurs évaluées.
Les HRAET de THERP supposent implicitement que la HEP de chaque sous-tâche est indépendante de toutes les autres, c’est-à-dire que la HRAET ne se met pas à jour dans le cas où un opérateur emprunte un itinéraire sous-optimal sur le chemin de la tâche. Ceci est renforcé par le fait que la HEP est simplement réduite par la chance de récupération d’une erreur, plutôt que par l’introduction d’itinéraires alternatifs (c’est-à-dire sous-optimaux) dans l’arbre des événements, ce qui pourrait permettre une mise à jour bayésienne des HEP ultérieures.
THERP est un outil d’ERS de « première génération » et, comme d’autres outils de ce type, il a été critiqué pour ne pas prendre suffisamment en compte le contexte[2].
David, passionné d’entrepreneuriat et de business, toujours à la recherche de nouvelles opportunités et projets innovants.