Considérations historiques sur les facteurs organisationnels et humains

S’il n’y a pas de définition univoque du concept de « facteur humain », utilisés de manière vernaculaire132, ces mots se rapportent d’une part à la compréhension des capacités ou des limites prévisibles de l’Homme et d’autre part, à l’application de ces connaissances pour améliorer la sûreté des systèmes sociotechniques (ICAO, 1998). La définition d’Edwards, appliquée à l’industrie, met en avant la multidisciplinarité (sinon l’interdisciplinarité)133 du sujet qui se situe à la croisée des sciences humaines et des sciences de l’ingénieur : « Human Factor is concerned to optimize the relationship

between people and their activites, by the systematic application of human sciences, integrated within the framework of systems engineering » (Edwards, 1988). Si il existe aujourd’hui un vaste

corpus de connaissances à disposition des personnes en charge des problématiques de sûreté (quels que soient leurs activités ou leurs domaines), celui-ci s’est progressivement construit et affiné au fil du temps et au gré de la quasi inversion du postulat asservissant l’Homme à la machine, comme l’illustrent les deux extraits134 suivant :

« Our interest in the design of machines for human use runs the full gamut of machine complexity – from the design of single instruments to the design of complete systems of machines which must be operated with some degree of coordination. » (Chapanis, et al., 1949).

132 _{Terme linguistique relatif à un langage parlé exclusivement au sein d’un groupe ou d’une communauté.} 133

Où l’approche multidisciplinaire consiste à la juxtaposition d’éclairages disciplinaires différents sur un même objet et se distingue de l’interdisciplinarité qui cherche à faire se confronter ces éclairages.

134

Le premier est issu d’un ouvrage intitulé Human factors in engineering design publié en 1949, le second de l’U.S. National Academy of Engineering publiant un document titré « les ingénieurs de 2020 ».

93

« Engineers and engineering will seek to optimize the benefits derived from a unified appreciation of the physical, psychological, and emotional interactions between information technology and humans. » (U.S. National Academy of Engineering, 2004; cité par Proctor & Van Zandt, 2008).

Accidents, erreurs, des questions philosophiques aux problématiques d’ingénieurs

L’accident ou l’erreur sont des questions aussi vieilles que la Philosophie, longtemps réservées aux

humanités. Au IVème siècle avant J.-C., Aristote caractérise l'accident comme « un attribut qui n’est

pas essentiel à la chose à laquelle il appartient », ce qui appartient ou arrive à un être sans avoir de

lien ni avec l'essence ni avec la substance même de cet être. Autrement dit, sans cet accident, ou s’il était autre, l’être serait tout autant « lui-même ». Aristote dans sa Métaphysique (Livre sixième) en arrive à la conclusion qu’il n’y a pas de science de l’accident puis qu’il n’a qu’une existence nominale : « [N]ous devons remarquer avant tout qu'il n'y a aucune spéculation qui ait pour objet l'être accidentel; et la preuve, c'est qu'aucune science, ni pratique, ni créatrice, ni théorétique, ne tient compte de l'accident. Celui qui fait une maison ne fait pas les accidents divers dont cette construction est le sujet, car le nombre de ces accidents est infini. Rien n'empêche que la maison construite paraisse agréable aux uns, désagréable aux autres, utile à ceux-ci, et revête, pour ainsi dire, toute sorte d'êtres divers, dont aucun n'est le produit de l'art de bâtir. De même aussi le géomètre ne s'occupe ni des accidents de ce genre dont les figures sont le sujet, ni de la différence qu'il peut y avoir entre le triangle réalisé et le triangle qui a la somme de ses trois angles égale à deux angles droits. Et c'est avec raison qu'on en use ainsi : l'accident n'a, en quelque sorte, qu'une existence nominale. » (Aristote, Pierron & Zevort, 1840). Au sens courant on peut qualifier l'accident d’évènement imprévu, ce qui déjoue l'attendu, l'habitude. La quête de compréhension des accidents afin de les éviter dans les systèmes sociotechniques est bien plus récente. Elle a accompagné les révolutions industrielles de la fin du XVIIIème siècle (Desmorat, 2012). Avec le développement important de la technicité et des échelles des systèmes, l’accident individuel de l’artisan a également évolué dans sa nature et dans sa forme (ampleur des conséquences, échelle, etc.). En 1931, Heinrich propose sa théorie des dominos que l’on considère comme le premier modèle d’accidents. Il décompose la séquence accidentelle en cinq éléments (l’environnement social, la faute du travailleur, le geste dangereux associé à un risque mécanique ou physique, l’accident et les dommages matériels ou corporels). On remarque que l’individu et ses actions sont intégrés dans une chaîne causale (linéaire) déterministe. Ce postulat sera détaillé avant d’être réfuté par d’autres théories durant la seconde moitié du XXème siècle avec le développement des safety sciences.

L’erreur est, comme l’accident, un très ancien sujet d’étude pour les humanités comme l’atteste l’antique formule « errare humanum est, perseverare diabolicum »135, attribuée à Sénèque. Pour

Descartes toute erreur est par définition le fait du jugement (selon lui, il n’y a pas d’erreur des sens), elle n’est imputable qu’à la volonté qui juge. La dimension morale de l’erreur est une fois encore très marquée. Pour certains philosophes l’erreur est liée à la connaissance, on retrouve donc de nombreuses considération sur l’erreur dans les travaux sur le rationalisme intellectualiste (Descartes, Leibniz) et l’empirisme (Hume, Locke) notamment au travers de la discorde sur la question de la

preuve expérimentale. C’est à la fin du XIXème _{siècle que l’on voit apparaître des travaux qui}

s’intéressent directement aux mécanismes mentaux et comportementaux de l’erreur dans le champ de la psychologie. En 1881, James Sully publie un ouvrage intitulé Illusions (cité par Reason, 1990b)

94

dans la préface duquel il indique entreprendre « une analyse étendue du domaine de l’erreur ». Sully peut être considéré comme le premier psychologue à tenter une classification des erreurs humaines et à en chercher des principes explicatifs communs. En 1904 dans le livre Psychopathologie de la vie

quotidienne (cité par Reason, 1990b), Freud propose une classification de nombreuses erreurs quotidiennes (lors de la lecture, de l’écriture, de l’expression orale ou de maladresses) qu’il explique

par des pulsions inconscientes. En 1932, Bartlett utilise la notion de schéma pour expliquer des

erreurs liées à la référence à des éléments mémorisés (formes, textes), il définit un schéma comme

« une organisation active de réactions passées ou d’expériences passées, que l’on doit toujours

supposer à l’œuvre dans toute réponse organique bien adaptée [...] à chaque fois que le comportement se révèle ordonné et régulier [...]. » (p. 201). La théorie des schémas sera reprise et

étendue par Minsky (1975) et Rumelhart (1977) qui les considèrent comme des répertoires mentaux qui mettent en correspondance, pour un domaine d'activité donné, des problèmes et des solutions. Selon cette théorie, les erreurs surviennent lorsqu’un schéma inapproprié est utilisé (c’est par exemple le cas lors d’une mauvaise identification d’un problème ou en raison de biais cognitifs, comme les biais de similarité ou de fréquence136). Cette notion reste présente dans de nombreux travaux à l’origine de modélisations de la cognition humaine qui visent à expliquer et/ou prédire pour ultimement prévenir les erreurs ou leurs conséquences.

A travers la notion d’erreur (humaine), nous avons illustré l’un des glissements entre philosophie, psychologie, psychologie cognitive et application à la sécurité des systèmes sociotechniques. Autour d’autres notions (sûreté de fonctionnement, respect ou non des procédures, accidents, etc.) et convoquant d’autres disciplines, de nombreux autres glissements peuvent être constatés depuis les premières révolutions industrielles. Les évolutions sont souvent marquées pendant les périodes de guerres. Celles-ci contribuent à des avancées technologiques majeures (on pourrait citer les domaines de la médecine, des communications, du transport, etc.), ruptures techniques et pratiques dans les sciences, l’industriel et les sociétés. Comme d’autres (e.g. Guarnieri et al., 2008) nous retiendrons comme point de départ à un « historique » des FOH la Seconde Guerre mondiale durant et après laquelle l’intérêt des ingénieurs pour la prise en compte de l’humain augmente de manière significative avant de s’étendre à d’autres disciplines (ergonomie, psychologie, sociologie, etc.) et de se diversifier (approche organisationnelle ; voir Figure 22).

Figure 22 : Principales ères dans la gestion de sécurité industrielle (adapté de Groeneweg, 2002).

136

Le premier implique que nous sélectionnons les schémas à l’aide d’attributs d’une tâche par ressemblance à d’autres tâches mémorisées ; le second que nous sélectionnons plus facilement les schémas les plus fréquemment utilisés – en réalité, ce sont ceux qui « apparaissent » en premier dans notre esprit.

95

De très bonnes synthèses historiques ou thématiques du domaine de gestion de la sécurité existent par ailleurs (e.g. Reason, 1990b présente un historique détaillé des travaux sur l’erreur ; Groeneweg, 2002 ; Hollnagel, 2004 ; Bieder, 2006 ; Guarnieri et al., 2008 proposent des mises en perspective historique). Il existe également d’autres approches originales à la croisée de ces visions, qui rendent compte des développements concomitants, enchevêtrés, qui résultent de percolations entre les disciplines scientifiques et les thèmes de recherche (installation, cognition, organisation ou régulation ; voir par exemple Le Coze, 2011, p. 41 - 82). Nous effectuons ici le choix d’une présentation succincte, linéaire et historique des principaux courants de pensée pour concentrer, par la suite, nos réflexions sur les modèles d’accidents. Certains modèles sont évoqués dans ces lignes, lorsque cela nous apparaît pertinent en rapport avec l’objectif de cette réflexion, nous proposons un approfondissement bibliographique et théorique (2.2). Enfin, les dates de publication des modèles dépassent parfois le découpage historique (arbitraire et rétroactif). En effet, les « ères » se chevauchent et se complètent, et (dans une certaine mesure) des modèles sont novateurs ou

rétrogrades.

L’ère technique

La prise en compte du facteur humain dans les systèmes opérationnels se développe réellement au cours de la Seconde Guerre mondiale, suite aux travaux de nombreux spécialistes pour l’amélioration de systèmes (militaires) opérés par l’Homme opérant sur terre, mer ou dans les airs137. Les études portent alors sur la performance de ces systèmes, des problématiques de présentation de l’information, les actions des opérateurs, l’optimisation des postes de travail ou encore, les compétences requises pour réaliser les différentes tâches. La recherche dans ces domaines est stimulée par la difficulté en temps de guerre de réaliser des modifications importantes sur les équipements. L'attention est donc centrée sur l'analyse des opérations, la sélection de l'opérateur, sa formation et l'environnement associé à la détection des signaux. Parallèlement, dans l’industrie, l’effort de guerre contraint à orienter les efforts sur l'efficacité, l'analyse des tâches, notamment par des études de temps et des mouvements.

Après la Guerre, les recherches ont pu être élargies à la conception de systèmes. En conséquence, des exigences facteurs humains ont été intégrées aux Etats-Unis dans les relations entre gouvernement et industrie de défense. Cela a conduit au recours à des spécialistes des facteurs

humains par l'industrie qui s’est progressivement généralisé aux systèmes et aux équipements civils.

Des secteurs variés se sont emparés de la question du facteur humain : le transport, l'architecture, la conception des produits de consommation, l’informatique, les systèmes énergétiques, médicaux, bureautiques, etc. Dans le même temps des programmes d'études supérieures ont été organisés dans les universités américaines et des milliers de postes créés dans l'industrie, les entreprises, les services, le gouvernement et l'éducation. Des sociétés savantes spécialisées (comme l’HFES138) ont vu

137

Une recherche bibliographique approfondie met en évidence quelques travaux antérieurs, comme ceux de Greenwood & Woods en 1919, consacrés aux accidents industriels et mettant en évidence un phénomène qualifié d’« accident proneness » (déterminants individuels rendant certaines personnes plus susceptibles que d’autres de causer / d’être victimes d’un accident à iso-exposition aux risques). Ces travaux précurseurs sont rares (voir aussi Froggatt & Smiley, 1964) et leurs enseignements ont été majoritairement réfutés lors de « l’expansion FOH » de la seconde moitié du XXème siècle.

138

L’HFES (Human Factors and Ergonomics Society) est une organisation à but non lucratif interdisciplinaire de professionnels qui sont impliqués dans le domaine des facteurs humains. La Société favorise la découverte et l'échange de connaissances sur les caractéristiques des êtres humains qui sont applicables à la conception des

96

le jour et commandité des conférences, des ateliers et des publications afin de promouvoir le partage de connaissances.

L’individu est, à cette époque, perçu comme un composant variable des systèmes dont le comportement sur le long terme (imprévisible et non uniforme) est à l’origine des accidents. Dans sa théorie de l’accident (théorie des dominos), Heinrich (1939) considère l’individu comme le point faible d’un système139. L’accident est décrit comme « the natural culmination of a series of events or

circumstances » (op. cit.) dont les éléments (environnement social, faute professionnelle, acte ou

situation risqué, dommages) s’activent en cascade (à la manière de dominos). Une meilleure compréhension du fonctionnement individuel doit, selon ce postulat, permettre son optimisation (autrement dit, la suppression des erreurs). L’étude et la recherche de maîtrise des variabilités humaines est également faite à des fins de production : éviter les défauts, les mal fonctions et les accidents qui causent des pertes financières pouvant être considérables. En écho aux théories de l’organisation scientifique du travail, les premiers ingénieurs qui s’emparent de la question du facteur

humain contribuent à formaliser un cadre technique et organisationnel idéal où l’opérateur aurait

accès à tous les éléments nécessaires à son activité. Les mesures mises en œuvre comprennent la rédaction de nombreuses procédures, de détrompeurs ou la mise en place de fonctions contraintes. La responsabilité des accidents est naturellement attribuée à l’opérateur140 (Desmorat, 2012). Dans cette optique, un certain nombre de méthodes sont développées pour estimer, en fonction des tâches à effectuer, les probabilités de réussite ou d’échec. Elles vont accompagner le passage de l’ère

technique à celle de l’erreur humaine.

L’ère de l’erreur humaine

Durant les années 1960 et 1970, l’intérêt pour l’étude des erreurs humaines est notamment porté par le développement de l’industrie nucléaire et la modernisation des transports aériens. A cette période se développent les méthodes dites HRA (Human Reliability Analysis, directement inspirées des PRA, Probabilistic Reliability Assessment utilisées sur les composants techniques). En 1963, Swain pose les bases de ce qui deviendra la méthode THERP (considérée comme la première méthode HRA). Cette méthode fournit des tables de probabilités nominales d’erreurs déterminées par simulation ou observation (dans le secteur nucléaire). Il s’agit, pour l’utiliser, de construire un arbre (logique) décomposant l’activité étudiée en tâches élémentaires, de leur associer des probabilités

nominales d’échecs pour enfin calculer la probabilité d’erreur de l’activité (Swain & Guttman, 1983).

Parallèlement au développement des méthodes HRA, les psychologues produisent des théories et des modèles du fonctionnement cognitif humain. Après le développement de la cybernétique et l’application de ses principes et méthodes au champ de la communication (Watzlavick et al., 1975), la systèmes et appareils de toutes sortes. L’HFES a vu le jour en 1955, en Californie du Sud, avec un comité mixte réunissant l’Aeromedical Engineering Association de Los Angeles et de la Human Engineering Society de San Diego. Le comité représentait les domaines de la psychologie, de la physiologie, de l'ingénierie et de la médecine. L’édiction de ses principes et la première réunion annuelle de ses membres a eu lieu le 25 Septembre 1957. Cette date peut-être arbitrairement retenue comme celle de la formalisation du concept du facteur humain au sens contemporain du terme : un corps de connaissances issues de différentes sciences techniques et humaines visant à assurer l'adéquation entre l'Homme et sa tâche.

139

Pour Heinrich 88% des accidents sont causés par des « unsafe acts of people », 10% par des « unsafe actions » et 2% par les « acts of God » (op. cit.).

140

L’individu est réduit à sa propension à l’erreur (écart aux procédures, conduites dangereuses, etc.), ultimement, le recours aux sanctions apparaît comme une mesure de correction/prévention des défaillances.

97

question du traitement de l’information par un individu trouve une application dans la gestion de la sécurité. D’abord séquentiels, les modèles proposent des actions dirigées vers les différents stades de

traitement141 ou vers les composantes structurelles de l’information142. Progressivement, les

psychologues voient dans l’étude des erreurs une source intéressante de données sur le fonctionnement du cerveau (Reason, 1977).

En 1972, Newell et Simon proposent la première modélisation informatique de résolution humaine de problèmes avec le GPS (General Problem Solver ; Newell & Simon, 1972). L’ambition de ce programme d’intelligence artificielle, dont la conception débute dès le milieu des années 1950, est de pouvoir résoudre tout problème symbolique formalisé (comme des démonstrations de théorèmes, des problèmes géométriques ou encore des parties d’échecs) comme le ferait un humain143. L’utilisateur définit un objectif (ex : placer le roi adverse dans une position de mat), les différents éléments du problème (les différentes pièces) et les opérations qu’ils peuvent subir (les déplacements autorisés). Le GPS génère ensuite des heuristiques (règles de types « SI... ALORS... ») qui permettent de résoudre itérativement le problème. Bien qu’il soit éloigné, dans ses intentions, des problématiques de sécurité industrielle, ce programme impactera grandement les modélisations de la cognition humaine et de ses mécanismes d’erreur associés. Par exemple, le modèle GOMS (Card et al., 1983) qui s’intéresse aux objectifs (Goals), aux heuristiques (mental Operators), aux méthodes de résolution de problèmes (Methods) et à la sélection des règles mentales (Selection

rules) et qui renseigne sur les connaissances nécessaires à la bonne réalisation d’une tâche donnée.

La même année, Rasmussen (1983) marque une avancée fondamentale dans la modélisation du traitement de l’information par l’Homme. A la suite de ses travaux sur l’accident de Three Mile Island (1979) il propose un modèle (modèle SRK144) des activités cognitives en trois niveaux. Un premier niveau (skill-based level), peu consommateur en ressources, produit de façon semi-automatique des réponses motrices aux stimuli de l’environnement. Il est utilisé dans les situations familières et connues. Un second niveau (rule-based level) s’active lorsque la situation n’est plus totalement familière mais possède toujours certains aspects connus. Le cerveau applique alors des règles mentales de type SI… ALORS… pour agir et faire évoluer la situation vers un état familier (retour au niveau précédent). Si ces règles se montrent inefficaces, un dernier niveau (knowledge-based level) s’active et mobilise des connaissances générales pour tenter d’inférer de nouvelles règles applicables à la situation (retour au niveau précédent). Très coûteux en ressources mentales, ce troisième niveau ne s’active que pour faire face à des situations totalement nouvelles dans lesquelles aucun automatisme ni aucune règle pré enregistrée ne s’avère efficace. Ce modèle sera largement repris ou adapté pour sa capacité à rendre compte des accidents145. Le modèle SRK a été repris et étendu par James Reason (1988) avec le modèle GEMS146, décrit dans la section suivante consacrée à ses travaux.

141 _{Modélisés avec la séquence : sensation, perception, accès aux informations mémorisées, décision et} action par Welford (1968).

142

Modélisées avec les éléments : source, canal, message, bruit et récepteur par Lehto & Miller (1986). 143 _{i.e. en appliquant des schémas mentaux et des règles (ou heuristiques) de sélection.}

144

Pour Skills, Rules, Knowledges. 145

En 1986, Rasmussen établi un lien entre de nombreux cas d’accidents et l’inadéquation de la situation (familiarité) et du niveau de guidage (S-, R-, ou K-), démontrant empiriquement l’intérêt de sa théorie.

98

La compréhension des erreurs qu’offrent ces différents modèles est marquée par un postulat faisant résider la source de l’erreur dans le traitement individuel de l’information (dans le cas des accidents industriels : l’opérateur). Une série d’accidents survenue au cours des années 1980 et les analyses qui les ont suivis ont progressivement contribués à démontrer qu’au-delà de caractéristiques individuelles l’erreur ou la performance humaine doit aussi être étudiée en considérant les conditions dans lesquelles l’activité est réalisée.

Safety culture decade et l’ère organisationnelle

L’expression « safety culture decade » est entrée dans la littérature anglophone comme désignant une série de grands accidents survenus au cours des années 1980 (crash aérien de Tenerife, 1977 ; accident nucléaire de Three Mile Island, 1979 ; accident chimique de Bhopal, 1984 ; accident nucléaire Tchernobyl et explosion de la navette spatiale Challenger, 1986 ; naufrage du Herald of Free Enterprise et incendie dans le métro de Londres à la King’s Cross Station, 1987 ; incendie sur la plateforme pétrolière Piper Alpha, 1988). Les enquêtes et les analyses suivant ces accidents amènent à dépasser l’explication des accidents uniquement basée sur l’individu. Les paradigmes des safety sciences évoluent et l’opérateur n’est plus considéré comme initiateur (unique) de l’accident mais comme héritant des conséquences de décisions prises en amont.

James Reason contribue à cette évolution en proposant la notion d’accident organisationnel qu’il définit comme accident aux « causes multiples impliquant plusieurs personnes agissant à des niveaux

différents dans une même organisation » (Reason, 1997). Cela implique, pour comprendre et/ou

prévenir l’accident, de considérer également des conditions environnementales, des conjonctions

défavorables d’éléments (appelées conditions latentes147) et la défaillance de barrières de protection