La présente invention concerne un procédé et un dispositif de prévention de risques. Elle s'applique, en particulier à préconiser des mesures préventives pour limiter les risques liés à la qualité, à l'hygiène, à la sécurité et à l'environnement. On connaît des systèmes de prévention de risques, tels que ceux décrits dans les documents US

2004/064341 qui fournissent des éléments de prévention théoriques. Ces systèmes ne permettent pas de déterminer la survenue possible d'un événement indésirable (qui peut être soit l'un des symptômes d'une situation à risque, soit une condition favorable à l'apparition de cette dernière) ni de prendre des actions correctives pour anticiper et réduire les risques de survenue possible d'un dommage pour l'homme ou son environnement.

Le système décrit dans le document US 2004/059741 gère des paramètres de fonctionnement de sous-composants de produits ou systèmes. Il ne permet pas de prendre des actions correctives pour prévenir ou réduire des risques.

A l'heure actuelle, la quantification du risque ne prend en compte ni les caractéristiques chimiques, physiques et énergétiques des dangers ni l'ensemble des événements extérieurs pouvant favoriser l'émergence d'un risque. Pourtant, la prolifération de légionelles est d'autant plus importante que les conditions (température...) sont favorables à son développement, ce qui se traduit par un ensemble d'événements indésirables (température trop élevée...).

La présente invention vise, au contraire, à diagnostiquer l'augmentation de risque de survenue d'un événement indésirable et à fournir des préconisations d'actions correctives à appliquer pour réduire ce risque.

A cet effet, la présente invention vise, selon un premier aspect, un dispositif de prévention de risques qui comporte :

- un ensemble de capteurs de grandeurs physiques qui fournissent, chacun, un signal représentatif d'une grandeur physique mesurée,

- un système informatique adapté à recevoir les signaux issus des capteurs et à effectuer un traitement de ces signaux, en fonction de paramètres et de profils de risques multi-critères conservés dans une base de données,

- un moyen de sortie d'information fournissant des recommandations en vue de la réduction des risques, en fonction du résultat du traitement effectué par le système informatique.

Grâce à ces dispositions, en cas d'évolution d'une grandeur physique correspondant, en cause ou en conséquence, à un risque, le système informatique met en oeuvre un profil de risque pour déterminer le risque réel et fournit des recommandations pour réduire ce risque.

Selon des caractéristiques particulières, le système informatique est adapté à déterminer, pour au moins une grandeur physique mesurée, un dépassement d'au moins un seuil.

Grâce à chacune de ces dispositions, le traitement des signaux est simplifié.

Selon des caractéristiques particulières, lesdites valeurs seuil varient en fonction de l'environnement du capteur qui fournit la mesure de la grandeur physique correspondante.

Grâce à ces dispositions, les variations d'environnement ne gênent pas la détection de survenue d'événements indésirables et le risque de fausses alertes est réduit.

Selon des caractéristiques particulières, le système informatique est adapté à fournir une cause possible de problème, en fonction des signaux reçus des capteurs.

Grâce à ces dispositions, l'utilisateur en charge de la sécurité du site peut travailler sur la cause possible du problème sans avoir à rechercher les liens entre un ou plusieurs capteurs et cette cause. Selon des caractéristiques particulières, le système informatique est adapté à fournir une localisation d'une cause possible de problème, en fonction des signaux reçus des capteurs.

Grâce à ces dispositions, l'utilisateur en charge de la sécurité du site peut aller directement sur le lieu où se trouve la cause possible du problème.

Selon des caractéristiques particulières, pour déterminer la localisation d'une cause possible d'alerte, le système informatique met en oeuvre au moins une localisation de capteur et au moins l'un des moyens suivants :

- un arbre de causes ou

- une signature de problème.

Grâce à ces dispositions, la localisation de la cause est précise. Selon des caractéristiques particulières, en cas d'alerte, le moyen de sortie d'information est adapté à fournir à au moins un utilisateur une procédure de correction à suivre pour réduire un risque.

Grâce à ces dispositions, l'utilisateur en charge de la sécurité du site peut immédiatement appliquer cette procédure pour réduire une dérive avérée vers une situation à risque.

Selon des caractéristiques particulières, le système informatique est adapté à fournir un pronostic d'évolution future au cas où aucune mesure corrective n'est prise.

Grâce à ces dispositions, l'utilisateur en charge de la sécurité du site peut estimer le délai dont il dispose pour effectuer les mesures correctives et l'éventuelle nécessite de perturber l'activité du site en question.

Selon des caractéristiques particulières, le système informatique est adapté à déterminer au moins un profil de risque multi-critères en fonction de rapports d'audit de la sécurité d'un site à surveiller. Grâce à ces dispositions, le profil de risque correspond à des observations faites sur le site. Selon des caractéristiques particulières, le système informatique est adapté à assister la constitution du rapport d'audit en fournissant, pour au moins un type de machine, au moins un risque potentiel. Selon des caractéristiques particulières, le système informatique est adapté à assister la constitution du rapport d'audit en fournissant, pour au moins un type de produit chimique ou biologique, au moins un risque potentiel.

Selon des caractéristiques particulières, le système informatique est adapté à assister la constitution du rapport d'audit en prenant en compte une évaluation de risques comportant une évaluation de gravité, une évaluation de probabilité de survenue du danger correspondant et une évaluation d'exposition à ce danger.

Selon des caractéristiques particulières, le système informatique est adapté à assister la constitution du rapport d'audit, en prenant en compte la localisation géographique d'au moins une entité à évaluer en fonction de la localisation géographique d'au moins une autre entité à évaluer, d'une machine, d'une canalisation et/ou d'opérations effectuées sur ladite entité à évaluer.

Selon des caractéristiques particulières, le système informatique est adapté à prendre en compte des seuils limites de tolérance et d'exposition.

Grâce à chacune de ces dispositions, le rapport d'audit est plus facile à établir, plus complet et plus facilement exploitable. La présente invention vise, selon un deuxième aspect, un procédé de prévention de risques qui comporte :

- une étape de capture de grandeurs physiques,

- une étape de traitement de signaux représentatif des grandeurs physiques capturées, en fonction de paramètres et de profils de risques multi-critères conservés dans une base de données et - une étape de sortie d'information fournissant des recommandations en vue de la réduction des risques, en fonction du résultat du traitement effectué par le système informatique. Les avantages, buts et caractéristiques particulières de ce procédé étant similaires à ceux du dispositif tel que succinctement exposé ci-dessus, ils ne sont pas rappelés ici.

D'autres avantages, buts et caractéristiques de la présente invention ressortiront de la description qui va suivre, faite, dans un but explicatif et nullement limitatif, en regard des dessins annexés dans lesquels :

- la figure 1 représente, schématiquement, les composants et systèmes d'un dispositif objet de la présente invention,

- la figure 2 représente, schématiquement, l'interconnexion des moteurs applicatifs mis en oeuvre par le dispositif illustré en figure 1 ,

- la figure 3 représente un logigramme d'étapes mises en oeuvre au cours d'un audit de risque assisté par le dispositif illustré en figures 1 et 2,

- la figure 4 représente un logigramme d'étapes mises en oeuvre au cours d'une surveillance continue de risques, par le dispositif illustré en figure 1 et - la figure 5 représente des échanges effectués dans le dispositif illustré en figure 1 pour le traitement d'anomalies détectées par des capteurs.

Dans la description qui va suivre, on utilise la terminologie ci-dessous :

- "danger" : (ou "phénomène dangereux") : cause capable de provoquer une lésion ou une maladie (source potentielle de dommage). Par exemple : produit chimique, seringue, fil électrique dénudé...; - "situation dangereuse" : situation dans laquelle une personne est exposée à un ou plusieurs phénomènes dangereux ou agents chimiques, pouvant entraîner un dommage immédiatement ou à long terme. Par exemple : manipulation de poches de sang potentiellement infectées par le virus du SIDA, opération sur une machine outil avec des éléments en mouvement et/ou tranchants, présence dans un local potentiellement infecté par des légionelles... ; - "dommage" : blessure physique ou atteinte à la santé. Par exemple : fracture, coupure, maladie professionnelle, intoxication, infection... ;

- "risque" : c'est une combinaison de la gravité du dommage possible pour les personnes et de la probabilité de survenue de ce dommage et

- "événement indésirable" : événement qui révèle un dysfonctionnement dont les conséquences peuvent être dommageables. Par exemple : augmentation de la température du local au delà du seuil toléré, diminution de la qualité d'air...

On observe, en figure 1, un réseau 105, interne au site surveillé, sur lequel sont connectés un terminal d'audit 110, un terminal de consultation et de gestion 115 et un terminal de suivi et d'alerte 120. Un automate de gestion de capteurs 125 est aussi connecté au réseau interne 105. Des capteurs filaires 130 à 134 sont reliés à l'automate 125 qui est aussi relié à des capteurs non filaires 140 à 144 grâce à un émetteur-récepteur hertzien 135.

Le réseau 105 est aussi relié à un modem 145 qui, par l'intermédiaire d'un réseau externe 150, permet aux terminaux 110, 115, 120 et à l'automate 125 de communiquer avec des serveurs distants 155 reliés à un modem 160.

Le réseau 105 interne au site surveillé, est de type connu, par exemple, de type intranet mettant en oeuvre les standards et protocoles Ethernet (marque déposée) et TCP/IP (protocole de communication sur Internet). Le terminal d'audit 110 permet à un consultant de fournir des données et paramètres concernant des risques sur le site et leurs gestions. Il met en oeuvre des formulaires et des documents pré-formatés pour la saisie de données de risques concernant les entités à évaluer, par exemple les postes de travail, se trouvant sur le site surveillé.

Le terminal de consultation et de gestion 115 permet au personnel du site surveillé de consulter certains résultats des traitements effectués par les serveurs distants 155, et de suivre des formations à la prévention des risques. Il permet aussi de signaler une anomalie de fonctionnement d'un système présent sur le site surveillé.

Le terminal de suivi et d'alerte 120 permet au responsable de la sécurité du site et à la direction du site de consulter les bases de données, sous la forme synthétique d'un tableau de bord ou détaillée sous forme de listing, de gérer les droits d'utilisateurs, de gérer les calendriers de formation et de sécurité et de gérer les alertes comme indiqué en figure 5.

L'automate de gestion de capteurs 125 recueille les données fournies par les capteurs 130 à 134 et 140 à 144 et les transmet aux serveurs distants 155. Dans le mode de réalisation particulier illustré en figure 1, les capteurs 130 et 140 sont des capteurs de température, les capteurs 131 et 141 sont des capteurs de pression, les capteurs 132 et 142 sont des capteurs d'hygrométrie, les capteurs 133 et 143 sont des capteurs chimiques de qualité de l'air et les capteurs 134 et 144 sont des capteurs bactériologiques de qualité de l'eau.

Les capteurs filaires 130 à 134 se trouvent en un premier lieu, par exemple un étage particulier d'un bâtiment du site surveillé et les capteurs non filaires 140 à 144 se trouvent en un autre lieu, par exemple un autre étage particulier du bâtiment.

L'émetteur-récepteur hertzien 135 et les moyens de communication hertzienne des capteurs non filaires 140 à 144 sont de type connu, par exemple pour implémenter un standard Wifi ou BlueTooth (marques déposées).

Le modem 145 est de type connu. Il met en oeuvre une liaison haut débit avec le modem 160, par exemple sur support de communication ADSL ou satellitaire.

Le réseau externe 150 est, par exemple, le réseau Internet ou un réseau comportant des lignes dédiées.

Les serveurs distants 155 centralisent les données des capteurs et des audits et sert les requêtes des terminaux 110, 115 et 120. Les serveurs 155 peuvent aussi paramétrer à distance l'automate de gestion des capteurs 125.

Les serveurs distants 155 sont de type connu. Ils conservent une ou plusieurs base(s) de données 170 de paramètres de fonctionnement, d'événements, de connexions, de formulaires, de documents, d'actions à entreprendre. Ils conservent aussi des programmes ou applications mettant en oeuvre les moteurs applicatifs illustrés en figure 2 et implémentant le logigramme illustré en figure 4. Ils permettent aussi la transmission de documents, formulaires ou autres supports multimédia de formation ou de téléconférence, aux terminaux 110, 115 et 120.

Les serveurs distants 155 effectuent aussi une mémorisation des événements et modifications de paramètres de fonctionnement survenant sur le site surveillé. Les serveurs 155 permettent aussi de consulter le tableau de bord de la sécurité du site surveillé. L'administration et l'infogérance des serveurs 155 peuvent être assurés localement ou à distance, par d'autres systèmes informatiques et d'autres liaisons sur réseaux (non représentés).

En variante non représentée, l'automate 125 est aussi relié à des actionneurs comme, par exemple, des sirènes, des gyrophares, des moyens de signalisation visuels ou sonores, des coupe-circuits, des verrous de portes d'évacuation ou des vannes de sécurité. On observe, en figure 2, que les moteurs applicatifs mis en oeuvre par le dispositif illustré en figure 1, comportent un moteur 200 de gestion des utilisateurs et des profils, connecté, d'une part, aux bases de données 170 conservées sur les serveurs distants 155 et, d'autre part, à un moteur de gestion de formulaires dynamiques 205, à un moteur de gestion documentaire 210, à un moteur de planning/calendrier 215 et à un moteur de tableau de bord 220 lui-même connecté à un moteur de génération de documents 225.

Tous les moteurs illustrés en figure 2 sont implémentés par les serveurs distants 155.

Par ailleurs, des protocoles de gestion des automates 230 sont mis en oeuvre pour interconnecter les capteurs et les bases de données et un moteur de gestion des mises à jour 235 permet un accès à distance aux bases de données 170. Le moteur de gestion des utilisateurs et des profils 200 gère, en particulier, les droits d'accès des différents intervenants et du personnel du site surveillé. Il met en oeuvre des moyens d'identification, par exemple, à mots de passe, capteurs biométriques ou cartes à puce.

La plate-forme informatique illustrée aux figures 1 et 2 vise à :

- une maîtrise des risques mesurables en continu par prise de mesures de certaines valeurs physiques (température, pression, hygrométrie), chimiques (eau) et bactériologiques (air) détaillée en figures 4 et 5 et

- une maîtrise des risques mesurables périodiquement à travers des audits.

La plate-forme informatique aide à la prise de décision en fournissant un tableau de bord et un choix des meilleures préconisations pour la prévention des risques.

La plate-forme gère aussi la sécurité au quotidien, à travers le tableau de bord de synthèse, la gestion du travail collaboratif (gestion des groupes, réunions, plannings...) le suivi administratif des accidents et des formations du personnel.

La plate-forme détecte aussi des événements considérés comme indésirables (ils sont soit l'un des symptômes d'une situation à risque, soit une condition favorable à l'apparition de cette dernière) et les prévient grâce à un moteur intelligent.

La gestion périodique des risques est basée sur une méthode qui aide le consultant pour effectuer l'analyse des risques sur chaque entité auditée.

L'analyse des risques est un exercice pour lequel le consultant qui l'effectue doit être guidé : - par une méthode rigoureuse et exhaustive et par des outils d'aide à la saisie rapides et très renseignés.

Ces outils permettent le parcours des bases de connaissances d'une manière multi-entrées pour sélectionner rapidement le nœud désiré dans l'arborescence et ensuite accéder à toutes les informations reliées à ce nœud et destinées à orienter rapidement la réflexion du consultant. Ce dernier est aussi aidé par la présence de fiches pratiques thématisées partagées avec ses homologues.

Les phases de l'analyse des risques qui demandent cette aide à la saisie sont : l'identification des dangers, la spécification du danger avec une détermination guidée des situations dangereuses, conséquences et préconisations, ces deux dernières pouvant être humaines, techniques, organisationnelles et juridiques et la quantification du risque.

Lorsque le consultant détecte un danger, il le consigne dans l'application pour ensuite déduire, à partir d'une liste non exhaustive de conséquences et préconisations liées à ce danger proposé par la plateforme, les conséquences possibles de ce danger et les préconisations d'actions à mener pour prévenir un accident. On observe que les conséquences et préconisations peuvent aussi être liées entre elles : il s'agit d'une arborescence infinie où tous les éléments de nature différente, en particulier dangers, conséquences et préconisations, sont interconnectés entre eux.

Pour cela le consultant est assisté par une base de données très riche qui contient un très grand nombre d'informations relatives aux multiples dangers stockés. De plus, chaque type de danger est spécifié de manière différente. Par exemple, un produit chimique a un numéro européen, alors qu'une machine a un identifiant de catégorie de machine.

La recherche du danger met en oeuvre des mots clés qui sont comparés à un index de tous les mots de la base de données pour faire ressortir les éléments qui pourraient correspondre au choix du consultant. Par exemple, le mot-clé "grue" renvoie vers les dangers de chute et d'endommagement de canalisations,... Comme le système est basé sur des données structurées et reliées, il est alors simple de déterminer les informations relatives au danger trouvé pour décrire quelles sont : les situations dangereuses qui peuvent amener à un accident, les conséquences probables que pourrait occasionner le danger et les préconisations possibles proposées par le consultant.

A l'heure actuelle, la quantification du risque ne prend en compte ni les caractéristiques chimiques, physiques et énergétiques des dangers ni l'ensemble des événements extérieurs pouvant favoriser l'émergence d'un risque. Pourtant les dommages sont d'autant plus graves que les événements indésirables sont détectés avec des valeurs proches des valeurs limites tolérées (par exemple, une prolifération de légionelles est plus probable si la température est trop élevée et donc favorable à leur multiplication). C'est pourquoi, la méthode de quantification mise en oeuvre dans le procédé et le dispositif objets de la présente invention prennent préférentiellement en compte tous les seuils limites de tolérance et d'exposition pour définir le risque possible et sa gravité. Ces seuils sont de dimensions différentes : ⁰ C, Pa, lux, mol/1... L'analyse des risques est guidée en mettant en oeuvre au moins l'une des méthodes suivantes :

- méthodes AMDEC (acronyme de "analyse des modes de défaillance, de leurs effets et de leur criticalité") et

- méthode HACCP (acronyme de "hazard analysis critical control point" pour point de contrôle critique d'analyse des risques). L'application met en oeuvre une identification de toutes les entités à évaluer (par exemple unité de travail, local pour patient...) du site surveillé et une identification de toutes les machines et composants chimiques ou biologiques mis en oeuvre sur ses entités à évaluer, ainsi que la circulation des fluides entre les entités à évaluer et les opérations effectuées sur l'entité à évaluer.

Lorsque le consultant se rend sur le site surveillé pour en analyser les risques, il effectue, avec le responsable de la sécurité du site surveillé, cette opération d'identification préliminaire. Il informe l'application en lui fournissant toutes les informations concernant ce poste : machines, composants chimiques et biologiques, fluides circulant et opérations effectuées.

Le consultant traite chacun des dangers induits par ces informations (voir plus loin) et y ajoute les risques observables par exemple liés à la configuration physique de l'entité à évaluer (poste en hauteur, gênes de circulation, température, aération...). Par exemple, l'observation de l'environnement de travail d'un poste de travail permet d'identifier des dangers tels que la chute de hauteur ou le stress.

Une fois la liste des dangers réalisée, le consultant identifie les situations dangereuses possibles pour chaque danger en les sélectionnant dans une liste soumise par le dispositif.

Puis, le consultant détermine les dommages possibles pour chaque danger identifié. Puis, le consultant estime le risque de chaque danger (voir plus loin) et fournit une indication quantifiée de ce risque.

Enfin, le consultant détermine les actions correctives destinées à diminuer le risque estimé pour chaque danger identifié.

Par exemple, la manipulation locale, dans l'entité à évaluer, sur le poste de travail ou sur un poste voisin, d'acide sulfurique peut être reliée aux dommages suivants :

- brûlure chimique,

- intoxication,

- gêne olfactive,

- atteinte des yeux, - ingestion.

A chaque dommage, on évalue le risque potentiel en estimant les facteurs suivants :

- gravité G du dommage,

- l'exposition E à ce dommage et

- la probabilité P de survenue de ce dommage. Chacun de ces facteurs peut être une fonction de plusieurs autres facteurs comme la probabilité d'exposition, la probabilité d'évitement... L'évaluation peut donc être représentée comme un espace multidimensionnel dans lequel chaque paramètre a une échelle bornée avec des valeurs entières (par exemple, de 1 à 5). L'utilisation pratique de cet espace multidimensionnel est de se ramener à plusieurs tableaux à deux entrées dans lesquels on met en relation deux des facteurs possibles dans l'évaluation. Mais cette complexité n'est pas vue par l'utilisateur qui n'a qu'à choisir une valeur pour chaque facteur : l'application se charge de déterminer la valeur du risque évalué.

Cette évaluation est aussi basée sur des valeurs limites d'exposition. La plate-forme propose cinq choix pour chaque valeur à estimer qui tiennent compte des caractéristiques intrinsèques du danger ou dommage. La gravité G est alors évaluée de manière plus objective. Par exemple, l'estimation d'un dommage pour le danger électrique propose quatre choix allant de la sensation du passage d'un courant électrique, à la brûlure légère, à la brûlure grave et à la mort. Pour choisir, le consultant tient compte de l'intensité du courant dans l'entité à évaluer ou le poste de travail considéré.

Ainsi, la méthode d'évaluation des risques est intégralement assistée par le dispositif et le procédé objets de la présente invention, dans leurs modes de réalisation décrits et représentés.

On observe, en figure 3, une succession d'étapes mises en oeuvre au cours d'un audit de risque assisté par le dispositif illustré en figures 1 et 2.

Au cours d'une étape préliminaire 300, le consultant assisté du responsable de la sécurité du site à surveiller fournit une identification de toutes les entités à évaluer du site surveillé, y compris sa localisation géographique (bâtiment, étage, position dans un plan de l'étage), et une identification de toutes les machines et composants chimiques ou biologiques mis en oeuvre dans ces entités à évaluer, ainsi que la circulation des fluides entre les entités à évaluer et les opérations effectuées dans cette entité à évaluer.

Cette identification préliminaire est effectuée par l'utilisation de formulaires et questions-réponses non détaillés ici. Au cours d'une étape 305, le consultant identifie une entité à évaluer où il se trouve. Le consultant peut identifier chaque entité à évaluer soit par une liste hiérarchique de toutes les entités qui modélise ainsi le site à surveiller, soit par un plan électronique où chaque entité est située géographiquement, soit par mots clés.

Au cours d'une étape 310, le consultant fournit une liste de sources de risques observables selon une nomenclature de risques prédéfinie, par exemple des risques liés à la configuration physique de l'entité à évaluer ou le poste de travail (poste en hauteur, gênes de circulation, température, aération...).

Lorsque cette liste est achevée, au cours d'une étape 315, les serveurs distants 155, ou une base de données préliminairement téléchargée depuis les serveurs distants 155, fournit au terminal 110 du consultant l'identification d'une source de risques associée à l'entité à évaluer: - une machine se trouvant sur l'entité à évaluer ou à proximité de cette entité à évaluer.

- un composant chimique et biologique mis en oeuvre sur l'entité à évaluer ou à proximité de cette entité à évaluer,

- un fluide circulant à proximité de cette entité à évaluer,

- une opération effectuée sur cette entité à évaluer ou - une source de risques identifiée par le consultant au cours de l'étape 310.

A chaque source de risques, le consultant associe, successivement au moins un facteur de risque, étape 320, une situation dangereuse, étape 325, un dommage possible, étape 330, un facteur de détermination de valeur de risque, étape 335, une mesure de prévention, étape 340 et un facteur de détermination de valeur de risque résiduel si la mesure de prévention était prise, étape 345. Lors de la détermination du facteur G de gravité, le consultant doit trouver les informations qui caractérisent le danger pour mieux évaluer la gravité. Ainsi, par exemple, il trouve ou mesure, pour la luminosité de lampes de bureau, la valeur d'éclairement, en lux, qui qualifie la luminosité de ces lampes. Il renseigne l'application avec cette valeur qui est comparée avec les valeurs seuils stockées dans les bases de données 170. L'application fournit alors la gravité qui est associée à la plage de valeurs concernée par la valeur saisie par le consultant. Tous les seuils de tolérance des bases de données 170 sont issus des différentes réglementations en vigueur sur chaque domaine.

Après chacune de ces étapes 310 à 345, le consultant peut réitérer l'étape en question, passer à l'étape suivante ou revenir à l'étape précédente, lorsqu'il a fini cette étape.

Par exemple, à une opération de levage et de transport d'une masse par une grue, identifiée au cours de l'étape 315, le consultant peut associer un facteur de risque lié à la charge suspendue à la grue, à la surface offrant une prise au vent, à des accessoires indépendants de la masse et mis en mouvement avec elle, étape 320, la présence d'une personne à proximité ou sous la masse en mouvement, étape 325, l'écrasement de la personne, étape 330, une gravité G élevée (valeur 5 sur 5), une exposition E au dommage faible (valeur 2 sur 5) et une probabilité P de survenue faible (valeur 1 sur 5), étape 335, une mesure d'installation d'un détecteur de présence et d'automatismes interdisant le levage d'une masse tant que la présence d'une personne à proximité ou sous la masse est détectée, étape 340 et une exposition E au dommage très faible (valeur 1 sur 5) en cas de prise de cette mesure, au cours d'une étape 345.

On observe, en figure 4, une succession d'étapes mises en oeuvre au cours d'une surveillance continue de risques, par le dispositif illustré en figure 1. Dans un contrôle en continu, on vise à prévenir des incidents qui proviennent d'une évolution de la situation et qui ont donc une chance croissante de se réaliser dans un proche avenir. Les actions doivent être alors quasiment immédiates, actions qui se traduisent par des interventions humaines ordonnées par le système suite à une alerte détectée à partir des signaux de capteurs. Le système déclenche alors un protocole de prévention qui doit être validé à certaines étapes pour mettre fin à l'alerte. La détermination des alertes est dotée d'intelligence et effectuée comme décrit plus loin.

Ainsi, le système est capable de corréler les différentes valeurs mesurées par les capteurs et de déterminer si la situation évolue vers un incident (ambiance favorable au développement de certaines bactéries, ou température, hygrométrie et pressions favorables à la survenance d'une fuite de canalisation, par exemple...).

La détection de problèmes est basée sur des mesures de grandeurs physiques effectuées par les capteurs, étape 400. Ainsi, pour la détection d'anomalies, ce sont les capteurs installés sur le site qui fournissent les différentes valeurs permettant la détection de l'anomalie. Les valeurs mesurées sont transmises aux serveurs distants 155 et conservées par le les serveurs distants 155. Les serveurs distants 155 effectuent des déterminations de dépassements de seuils qui sont fonctions d'évolutions de mesures attendues, étape 405. Par exemple, si la température extérieure est de 30° à 12 heures, un seuil de température est fixé à 35° pour tenir compte de d'évolution probable et de l'effet du rayonnement solaire direct, alors que si la température extérieure est de 30° à 19 heures, le seuil de température est fixé à 32°, pour tenir compte de l'effet décroissant du rayonnement solaire direct. Chaque dépassement de seuil ainsi que l'historique des mesures relevées sont conservés par les serveurs distants 155.

En cas de détection d'anomalie, le problème est automatiquement localisé géographiquement, ainsi que sa cause, en particulier en cas d'alerte sur plusieurs indicateurs, c'est-à-dire de dépassement de plusieurs seuils, étape 410. La localisation utilise la technique de signature de problème pour déterminer la source réelle du problème.

Pour cette localisation, la qualité du positionnement des capteurs est bien sûr, primordiale. La détection d'événements indésirables est basée sur des dépassements de seuils, sur des évolutions non attendues... Les valeurs remontées par les capteurs 130 à 134 et 140 à 144 sont testées à travers un modèle mathématique (combinaison logique, au sens mathématique, de règles et formules) pour extraire la présence d'une anomalie. La non-vérification de certaines règles par les valeurs des capteurs et cela par rapport à des valeurs estimées dynamiquement sur le système, entraîne une qualification de ces règles comme étant non vérifiées pour les paramètres de ces dernières. Chaque paramètre concerné par une donnée d'un capteur peut être présent dans plusieurs règles. Il faut alors déterminer pour chaque paramètre le nombre de règles vérifiées ou non. On peut ainsi croiser les résultats et détecter les capteurs qui envoient des informations étant symptomatiques d'un problème. Implicitement, le système peut visualiser graphiquement et géographiquement les capteurs mis en cause.

Une fois les paramètres, pouvant indépendamment être le résultat d'un ou plusieurs symptômes d'un problème, déterminés, on détermine le diagnostic qui peut être déduit de ces valeurs. En effet, un diagnostic est un profil de risques multi-critères stockés dans les bases de données 170. Il suffit alors que l'ensemble de symptômes détectés trouve une correspondance avec un diagnostic, tout en ayant un indice de corrélation assez élevé. Le résultat est qu'il est possible d'avoir plusieurs diagnostics unitaires croisés qui peuvent mettre en évidence un autre diagnostic.

Le diagnostic de l'état du site à surveiller utilise la technique du graphe causal pour y suivre la propagation des effets des symptômes dans le but de construire dynamiquement un diagnostic. En effet une structure causale est une description des influences que les variables peuvent avoir les unes sur les autres. Le comportement du système à surveiller peut alors être décrit par un graphe causal composé de relations unidirectionnelles entre deux variables : le système doit alors être décrit par des interprétations algébriques des lois physiques régissant le système. Les nœuds du graphe causal correspondent à l'état des variables et les arcs orientés portent les signes des influences correspondantes : le signe est '+' si les variables se

rapportant à l'arc évoluent dans le même sens, et le signe est '-' si elles évoluent en sens opposé. En ce qui concerne les variables du graphe, elles peuvent être qualifiées de 'trop haute' avec le signe '+', 'trop basse' avec le signe '-' ou 'normale' avec '0'. Il est à noter que les variables du graphe peuvent être soit de valeurs de mesures de capteurs, soit des valeurs calculées. La détermination du diagnostic passe par la comparaison des différentes valeurs avec les estimations attendues qui correspondent chacune à un état du système.

Le graphe causal est fourni par le professionnel de la problématique concernée avec une traduction en un fichier d'échange informatique (par exemple au format XML, acronyme de extended markup language pour langage à marquage étendu) décrivant la structure du graphe causal, et qui est interprété par l'application. Le professionnel décrit donc les dépendances entre variables, les seuils de chaque variable avec pour chaque seuil une interprétation de l'état du système. Cela revient à construire des profils de risque 'unitaires' reliés entre eux et qui permettent l'élaboration du diagnostic.

Pour la fourniture de diagnostics, le dispositif associe au moins un dysfonctionnement à chaque symptôme détecté par un capteur. Ainsi, dès qu'une anomalie est détectée, le dispositif émet un diagnostic, étape 415, des préconisations d'actions correctives, étape 420 et un pronostic de l'évolution de l'anomalie si aucune action corrective n'est effectuée, étape 425. Ces informations sont transmises aux serveurs distants 155 pour y être conservées.

Pour la préconisation d'actions correctives, on met en correspondance des diagnostics possibles avec des actions correctives. En effet, le professionnel de la problématique métier étudiée a détaillé le protocole et les actions à mettre en place pour solutionner chacun des problèmes unitaires.

Le pronostic consiste à modéliser l'évolution future du diagnostic présent : futur diagnostic possible et gravité. A travers le graphe causal, on extrapole, à partir de l'état courant du système, la situation future proche. On peut donc avoir à disposition plusieurs scénarii futurs proposés par l'application si on ne met pas en place d'action corrective.

Ainsi, la phase de traitement des informations prend en compte une complexité de l'interprétation des mesures. En effet le système ne se borne pas à déclencher une alerte suite à un dépassement de seuil. Il « comprend » par corrélation et apprentissage que la situation peut dériver. En cas d'incident, le système déclenche alors une action bien déterminée et relative à la dérive. Au cours d'une étape 430, le dispositif envoie une alerte aux différentes personnes désignées par le responsable de la sécurité, dont lui-même. Cette alerte est préférentiellement transmise par plusieurs moyens de communication, par téléphone mobile, pageur et aux terminaux 115 et 120 des personnes désignées.

Au cours d'une étape 435, l'une des personnes désignées prend en charge l'alerte, par l'intermédiaire de l'un des dispositifs de communication mis en oeuvre au cours de l'étape 430.

Au cours d'une étape 440, le diagnostic, les mesures à mettre en oeuvre, leur procédure de mise en oeuvre et le pronostic sont transmis aux personnes désignées et, en particulier, à la personne ayant effectué la prise en charge. Pour cette dernière, ces informations lui sont préférentiellement transmises sur les différents dispositifs de communication mis en oeuvre au cours de l'étape 430, en particulier les dispositifs

mobiles, pour que cette personne puisse se rendre sur le lieu localisé géographiquement afin d'y procéder à la mesure corrective recommandée et à des observations de la situation réelle.

Lorsque ces actions correctives ont été mises en place, la personne en charge de l'alerte transmet aux serveurs distants 155 un message de réalisation des actions correctives, étape 445 et le dispositif retourne à l'étape 400.

On observe, en figure 5, des échanges d'information effectués au cours de la succession d'étapes illustrée en figure 4 :

- transmission 500 de valeurs relevées par les capteurs,

- envoi 505 d'une alerte aux personnes désignées, - prise en charge de l'alerte 510,

- envoi 515 de la procédure de correction,

- message 520 de réalisation de la procédure de correction.

On donne, ci-dessous, des exemples de secteurs d'activité ou d'applications de la présente invention - risques professionnels communs à différentes professions,

- risques alimentaires,

- risques vinicoles,

- risques légionnelles,

- nettoyage.