AO REX : Projet Pariès

Résumé du projet

Intitulé du projet

Principes méthodologiques pour l’explicitation et la formalisation des modèles de sécurité

Mots-clés

Sécurité, Modèle, Barrières, Défenses

Responsables Scientifiques

Jean Pariès
Dédale SA
15 place de la Nation 75012 PARIS
jparies@dedale.net

Résumé de la recherche proposée

A partir de l’analyse de différentes formalisations des principes ou hypothèses de sécurité, la recherche visera à définir des règles de représentation et une méthodologie de construction des modèles de sécurité applicables aux systèmes socio-techniques complexes.

Descriptif Scientifique

Dans son acception la plus répandue, le retour d’expérience est présenté comme un processus « bottom up » : il part des faits –les incidents et les accidents- et cherche à en déduire un repérage des risques et une définition des actions correctrices adaptées. Quand on est dans un domaine (ex sécurité routière) où l’on a à faire à une fréquence élevée d’accident (des dizaines de milliers d’accidents par an), on pourrait en théorie se contenter d’une démarche purement statistique (épidémiologique) : on n’a pas besoin d’une compréhension fine des effets de l’alcool (ou de la météo, du type de route, etc.) pour constater ses effets, le rapprochement des fréquences d’accident constatées avec les taux d’alcoolémie suffira à indiquer un lien. Encore faut-il relever le paramètre « taux d’alcoolémie », ce qui suppose au moins une intuition des facteurs de risque potentiels. Mais si ce n’est pas un paramètre de la situation pertinent pour la sécurité, les statistiques le diront (pour autant qu’on s’en donne les moyens).

Quand on est dans un domaine comme l’aviation, où les accidents son rares (quelques dizaines par an), la base d’événements accidentels ne peut plus être rapprochée, avec une quelconque valeur statistique, des valeurs prises par les différents paramètres de la situation jugés potentiellement pertinents. On peut alors reporter les efforts sur les événements à plus faible gravité et plus haute fréquence, c'est-à-dire les incidents. Mais on a besoin pour comprendre leur lien à l’accident, leur caractère précurseur, d’un modèle de causalité commun entre incidents et accident. On peut aussi procéder à une analyse individuelle de chaque accident, ce qu’on fait là aussi en en recherchant les « causes » qui « expliquent » l’accident. Dans les deux cas, comme dans tout processus d’explication, et comme en sciences, on a besoin d’un modèle du phénomène qu’on analyse, et le résultat dépend entièrement du modèle que l’on mobilise.

Il faut d’abord expliquer l’événement dans le monde physique. Par exemple :

Il est 6H du matin, il fait nuit, il pleut, la chaussée étroite et à double sens, revêtue de macadam sombre et dépourvue de marquage, est mouillée et rendue plus glissante par une activité agricole salissante, le vent souffle en rafales de la droite, en plein travers. Une voiture récemment acceptée au contrôle technique, dont les pneus sont à la limite de l’usure réglementaire, suit, à la distance de 50 mètres, un camion chargé de cartons de couleur sombre qui roule 15km/h au dessus de la vitesse maximum réglementaire. Le conducteur de la voiture a mal dormi, il fume une cigarette pour se réveiller, sa vue est imparfaitement corrigée, il écoute la radio avec attention car il attend le résultat du match de foot dans lequel jouait son fils. Les balais d’essuie-glace sont un peu usés et laissent une ride de pluie en milieu de champ de vision. Un carton mal arrimé se détache du chargement du camion sur le côté droit, tombe et rebondit sur la chaussée, une rafale de vent le pousse vers le milieu de la voie, le conducteur voit l’objet tardivement, freine brutalement par réflexe et donne un coup de volant violent à gauche pour l’éviter, perd le contrôle de l’embardée et percute un véhicule venant en sens inverse, dont les feux de croisement sont totalement déréglés. Etc..

Quelles sont les causes de cet accident ? Dans le monde physique, une grande majorité des éléments mentionnés ci-dessus ont contribué à « construire » l’accident, y compris la couleur sombre du macadam et de l’objet qui chute, l’écoute de la radio ou la cigarette. Et dans le « monde de la sécurité », que retiendra l’analyste comme cause(s) de l’accident ? Sans doute pas la couleur de la route, ni celle du chargement, ni même la rafale de vent. La vitesse excessive ? Les mauvaises conditions de visibilité ? L’adhérence précaire ? L‘usure des pneus ? La distraction du conducteur ? Sa fatigue ? Son incompétence à piloter un évitement ? Le mauvais arrimage du chargement ? Sans doute, peut-être, peut-être pas… Pour certains éléments, la réponse sera claire et assurée, pour d’autres elle sera hésitante et variable d’un analyste à l’autre. Quelle est donc la logique de tri qui permet de passer de l’ensemble des facteurs contributifs à l’accident dans le monde réel (physique) au sous-ensemble pertinent pour la réflexion de sécurité ? L’analyste retiendra les éléments sur lesquels la gestion du risque est censée avoir prise, ou pourrait utilement agir. De fait, ce filtrage se fait donc en référence implicite au « modèle de sécurité » que l’analyste a en tête, c'est-à-dire par rapport à ce qui, selon lui, aurait dû exister, se passer dans un monde bien fait en matière de sécurité. Mais ce filtrage pose plusieurs problèmes :

Cette étape du raisonnement n’est jamais clairement identifiée : l’analyse « en sécurité » n’est pas suffisamment distinguée de l’analyse « en réalité ». On mélange causes physiques et défaillances du système de sécurité ;
Seulement une partie du « modèle de sécurité » est explicitement formalisée (sous forme de règles de principes de conception, etc..). Un grosse partie reste implicite et floue, ce qui a plusieurs conséquences négatives :

Chaque analyste en a sa propre version, largement influencée par son domaine de compétence et son expérience personnelle, d’où la variabilité des jugements
On distingue mal ce qui est une hypothèse du modèle de sécurité (par exemple l’hypothèse « le chargement d’un camion ne se répandra pas sur la chaussée »), mise en échec dans un événement donné, et ce qui est absent du modèle de sécurité (on a oublié de se poser la question de ce qui se passerait si… et de prévoir des mesures de prévention appropriées).
Ce qui n’est pas explicite n’est pas falsifiable par l’expérience : on n’est pas en mesure de se rendre compte que le modèle de sécurité contient des hypothèses qui sont presque toujours en échec

Finalement, on perd de vue le caractère hypothétique du modèle de sécurité, qui est le cadre de lecture qui fait sens à partir de l’événement. Et on oublie en conséquence que le résultat des analyses est autant un miroir des modèles mentaux des analystes en matière de sécurité que le reflet d’une causalité objective. On dit : « 80% des événements sont dus à une erreur de l’opérateur » au lieu de dire « dans 80% des analyses d’événements, nous avons jugé que l’erreur de l’opérateur était un élément de causalité ». On perd en conséquence la capacité de se rendre compte qu’on a eu, éventuellement, tort de voir les choses comme ça.

Ce caractère largement implicite, invisible, et dépendant de la subjectivité individuelle des analystes, du cadre d’interprétation des événements constitue aujourd’hui une faiblesse majeure du REX. C’est pourquoi il paraît justifié d’en rechercher des modalités de renforcement. Et si on réussit à faire cela, ce qu’on obtient est beaucoup plus que la correction d’une faiblesse dans l’approche actuelle du retour d’expérience. Plus les accidents deviennent exceptionnels, plus on travaille à partir d’événements situés « loin » de l’accident, et plus on a besoin d’un modèle analytique du fonctionnement en sécurité du système. La disponibilité d’un modèle explicite des principes de sécurité supposés protéger un système ouvre la voie à de nouvelles modalités de gestion du risque, beaucoup plus analytiques et anticipatrices, d’autant plus nécessaires que le niveau de sécurité s’élève.

Dans cette perspective, l’équipe de Dédale a mené depuis 1997 plusieurs projets en collaboration successive avec la DGAC, Airbus, Eurocontrol, et des organismes de maintenance aéronautique (KLM, Corsair, Adria Airways) dans le cadre du projet ADAMS II (5° PCRD).

On a cherché à rendre explicite le modèle de sécurité de la façon suivante: à partir d’une analyse fonctionnelle de la sécurité du système, on liste les macro-scénarios accidentels (toutes les façons de perdre les grandes fonctions de sécurité), et pour chacun d’eux on repère par discussion d’experts les principes ou mécanismes protecteurs supposés être en place (règles, normes, doctrines, comportements attendus, capacités supposées des opérateurs, etc.). On part des conditions dans le monde physique (ex : l’avion doit rester dans les limites de la piste) et on décompose chaque condition en couches successives de conditions nécessaires (ex l’avion doit être contrôlable, être utilisé dans son domaine de limitations, conformément aux procédures opérationnelles,etc.. Pour être contrôlable il doit être bien conçu, bien entretenu, etc..). On articule ainsi l’ensemble de ces principes sous forme d’une architecture logique supportée par un logiciel. En mémorisant alors, pour chaque incident rapporté, le comportement réel des protections supposées, on obtient peu à peu une cartographie de la «santé » des principes de sécurité telle que la révèle le retour d’expérience. On en déduit les meilleures stratégies de fiabilisation.

Après un effort de recherche appliqué mené en liaison étroite avec l’industrie et représentant plusieurs années-homme, on a pu démontrer le potentiel de la démarche, mais également en repérer les difficultés principales. En particulier la construction de l’architecture de sécurité reste un processus basé sur l’extraction d’expertise et le jugement d’experts, et il nécessite un savoir-faire difficilement exprimable et transmissible. L’une des raisons en est la pauvreté des référentiels conceptuels disponibles sur les notions de principe de sécurité, défenses, barrières et autres mécanismes qui font et fondent la sécurité d’un système.

Le but de la recherche sera d’enrichir la compréhension de la notion de « modèle de sécurité ». En comparant la façon dont a été construit le modèle de sécurité dans les travaux évoqués ci-dessus sur les trois domaines abordés (conception de l’avion, entretien de l’avion, contrôle de la circulation aérienne), on dégagera les invariants et on posera des hypothèses générales concernant la taxonomie, la hiérarchie et l’assemblage logique des principes de sécurité. Le chercheur procédera également à des entretiens avec des auteurs et concepteurs de réglementation de sécurité, des certificateurs, des spécialistes des études de sécurité. Il en déduira des règles d’architecture et une méthodologie de construction des modèles de sécurité.

Il testera et raffinera ces règles dans le cadre d’un travail d’application sur un nouveau terrain, a priori les opérations aériennes en compagnie, en partenariat avec Air France qui a donné son accord de principe en la personne de Laurent Barthélémy, Directeur de la Qualité. Le chercheur y animera en collaboration avec un consultant de Dédale un groupe d’experts de la sécurité des vols, pour leur faire construire le modèle de sécurité associé à un aspect du risque aérien suivant la méthode qu’il aura explicitée. Le choix du domaine de risque (exemple collisions au sol) sera fait en étroite collaboration avec la compagnie. On choisira un domaine ou le besoin de progrès est perçu comme fort, et l’apport du retour d’expérience actuel considéré comme perfectible.

Travaux antérieurs de l’équipe

René Amalberti a conduit ou dirigé de nombreux travaux dans le domaine du retour d’expérience, notamment dans le monde aéronautique et le monde médical.

Erik Hollnagel est un expert de notoriété mondiale sur les questions de fiabilité humaine et vient de publier un livre sur la modélisation et l’analyse des accidents.

Kyla Steele a effectué dans le cadre de son master une recherche sur l’organisation, les compétences et l’efficacité du système de retour d’expérience aéronautique suédois, et écrit des recommandations de réorganisation.

J. Paries a été directeur adjoint du bureau enquêtes accidents de l’aviation civile française, et a notamment dirigé méthodologiquement l’enquête sur l’accident du Mont Saint-Odile (1992) en tant que Rapporteur Général de la Commission d’Enquête. Il a participé à l’évolution des standards OACI (Organisation de l’Aviation Civile Internationale) et Européens en matière de méthodes d’analyses d’accidents et d’incidents. Il a mené depuis 1997 plusieurs recherches et projets sur l’amélioration du retour d’expérience en collaboration successive avec la DGAC, Airbus, Eurocontrol, et le projet ADAMS II (5° PCRD), et plus récemment dans le domaine hospitalier. Les travaux ne sont pas publiés.

Corinne Bieder est ingénieur fiabiliste et ergonome. Elle est co-concepteur de la méthode MERMOS pour l’évaluation de la sûreté de la conduite accidentelle des centrales nucléaires. La méthode MERMOS est une méthode d'évaluation de la fiabilité humaine de deuxième génération prenant en compte les aspects systémique et dynamique de la conduite accidentelle. Corinne Bieder a également mené depuis 1997 plusieurs projets sur l’amélioration du retour d’expérience en collaboration successive avec la DGAC, Airbus, Eurocontrol, et le projet ADAMS II (5° PCRD). Les travaux ne sont pas publiés.

Les principales publications de l’équipe, hors direction de thèse, sur le domaine sont les suivantes

Hollnagel, E. (1993). Human reliability analysis: Context and control. London: Academic Press. (Japanese translation, 1996. Tokyo: Kaibundo.)
Hollnagel, E. (1998). CREAM - Cognitive Reliability and Error Analysis Method. London: Elsevier.
Hollnagel, E. (2004). Barrier analysis & accident prevention.
Paries, J (1998) . ‘A multilayer model for operational incident reporting systems’. Communication to the 4th Australian Aviation Psychology Symposium. Manly, Australia.
Pariès, J. (1999) ‘Le retour d’expérience dans l’aéronautique : l’exemple d’une enquête-accident’ in Actes du Séminaire ‘Retours d’expérience, apprentissages et vigilance organisationnels. Approches croisées’ ; Actes de la 4° séance, 21 janvier 1999. CNRS PARIS.
Pariès, J. (1999) "Shift in aviation safety paradigm is key to future success in reducing air accidents ". Présentation au Symposium Régional OACI sur les Facteurs Humains et la Sécurité Aérienne, Santiago du Chili. ICAO Journal vol 54, N°5. Montréal.
Paries, J. A Merritt (1999) . ‘Development of a Methodology for Advanced Operational Incident Reporting and Analysis systems’. Final Report, DGAC Research 96/01 Lot 7.
Pariès, J. (2000) ‘Méthodologie pour les Systèmes de Rapport et d’Analyse d’Incidents Opérationnels’. Actes du 12° Colloque de la Sûreté de Fonctionnement. Montpellier, 28-30 mars 2000.
Pariès, J. Bieder, C. (2001) « Réflexion autour de la notion de signaux faibles en retour d’expérience: esquisse d’une méthode de traitement en aéronautique » Communication au Séminaire CNRS Risques de défaillances et leurs traitement par les organisations »
Paries, J. Bieder, C. (2003) A Complementary Approach to Support Risk Management and Decision-Making; Communication to the 6th Australian Aviation Psychology Symposium. Sydney, Australia.