CHAPITRE 1 – DES BARRAGES ET DES HOMMES
1.2. Etudes de dangers : le facteur humain en question
1.2.3. Facteur humain : des situations d’exploitation aux nœuds papillon
La présentation détaillée des EDD industrielles et les considérations spécifiques relatives à leur application aux barrages ne doit pas occulter le fait que ces études s’insèrent au cœur d’un dispositif plus large de sûreté (en témoigne, par exemple, la complémentarité EDD / RS)99. Bien qu’il ne nous appartienne pas de dresser ici l’inventaire exhaustif de ces démarches, il est utile pour soutenir les composantes socio-analytiques de nos travaux d’en présenter certaines.
Dans cette partie, nous nous intéressons à certains dispositifs de retour d’expérience qui constituent l’une des données d’entrée de l’EDD. C’est le cas de trois dispositifs de classification, de remontée et de traitement des évènements (incidents ou accidents) : les EISH, les ESSH et les ESSI. Après les avoir situés et à travers la présentation de quelques évènements survenus sur des barrages du parc EDF et des analyses qui ont suivi, il est possible de confirmer une prédominance des contributions humaines ou organisationnelles dans la sûreté hydraulique. Enfin, nous abordons à la lumière de ces éléments quelques problématiques liées à l’intégration des FOH dans l’EDD de barrage.
L’EDD au cœur d’un dispositif plus large de sûreté hydraulique
Que ce soit sur les plans administratif, juridique ou industriel, un vaste ensemble de démarches liées à la maîtrise de la sûreté des ouvrages hydrauliques existait avant la mise en place des EDD ou a été mis en place, de manière indépendante, ultérieurement. Il ne nous appartient pas de les détailler ici100 mais il convient de mentionner leur existence dans un effort de contextualisation de ces travaux et puisque certains de ces dispositifs sont des données d’entrées essentielles à la qualité de l’EDD. C’est notamment le cas des processus de retour d’expérience qui façonnent la culture des métiers (et donc, dans une certaine mesure, les modalités de réalisation des analyses) et produisent des bases de données exploitées dans l’EDD.
99
Par des approches complémentaires : structurelle (RS) et fonctionnelle (EDD). 100
Pour l’inventaire et le suivi des démarches de la DPIH, le lecteur pourra se référer aux rapports annuels de l’Inspecteur pour la sûreté hydraulique d’EDF, disponibles librement en ligne.
65 Depuis septembre 2006, la DARQSI101
(Direction de l'Action Régionale, de la Qualité et de la Sécurité Industrielle) a mis en place un dispositif de détection et de centralisation de l’information au sujet des évènements indésirables survenant sur des aménagements hydroélectriques. Ce dispositif introduit la notion d’Evénements Importants pour la Sûreté Hydraulique (EISH). Dans les cas de barrages en régime de concession, la déclaration d’EISH concerne l’ensemble du périmètre concédé (incluant les galeries d’amenée, conduites forcées, etc.).
Les EISH sont classés selon trois niveaux relatifs à la nature (gravité) des conséquences. On parle d’EISH jaune, orange ou rouge (gradation introduite dans l’arrêté du 21 mai 2010). Sont classés en
incidents (jaunes) les évènements conduisant à des dégâts de faible importance aux biens (incluant
les ouvrages hydrauliques) sans mise en danger de la sécurité des personnes. En incidents graves (
orange),
ceux ayant mis en difficulté des personnes sans entraîner de blessures graves ou généré des dégâts importants sur des biens ou ayant modifié de façon significative le lit ou les berges des cours d'eau ou des retenues. En accidents (rouge)
, les événements ayant causé des blessures aux personnes ou des dégâts majeurs aux biens. Sont notamment qualifiés d’EISH les cas de non-respect d’obligations réglementaires (comme la maîtrise des débits relâchés ou des cotes de retenue). Tous les EISH sont enregistrés par les DREAL. Au niveau national, le nombre d’EISH déclarés pour les barrages concédés est relativement stable, avec en moyenne 40 EISH par an entre 2006 et 2010 (Brandon, Rival, 2011). La DPIH d’EDF n’a déclaré aucun EISH rouge depuis 2008. En 2014, EDF a déclaré 1 EISH orange et 19 EISH jaunes.Figure 20 : historique des EISH de la DPIH (Batoufflet, 2014)
La DPIH disposait, avant la mise en place des EISH, de son propre système de détection des précurseurs ou écarts de sûreté. Aujourd’hui, celui-là distingue les Evènements Significatifs de Sûreté
Hydraulique (ESSH) et les Evènements Significatifs de Sûreté à l’Ingénierie (ESSI). Le nombre de précurseurs détectés (ESSH et ESSI) dépasse les 3200 évènements par an, cela atteste d’un effort de
transparence et fournit des données utiles aux REX (Batoufflet, 2014).
Afin de permettre une amélioration continue de la sûreté hydraulique, des objectifs sont fixés au niveau local pour l’analyse des précurseurs et le suivi des actions correctrices. Les écarts aux prescriptions réglementaires doivent être analysés dans les quinze jours qui en suivent la détection ; les événements les plus marquants (sans écart aux prescriptions), dans les trois mois. L’analyse de ces évènements est le plus souvent réalisée sous l’angle technique avec l’établissement d’un arbre
101
Organisme dépendant de la Direction Générale des Entreprises au Ministère de l’Economie, des Finances et de l’Emploi.
66
des causes. Des réflexions sont en cours à la DPIH, pour permettre une meilleure prise en compte des
dimensions FOH et par conséquent, une amélioration du REX.
Les évènements (EISH, ESSH) sont collectés dans les phases préliminaires de l’EDD. Ils sont présentés dans le septième chapitre (dédié) des EDD. D’une certaine manière, ces processus de REX (collecte, analyse des évènements et communication des analyses dans l’entreprise) et les enseignements qu’ils permettent contribuent à façonner la culture des acteurs chargés des analyses de risques, notamment dans le cas des EDD. La partie suivante présente brièvement certains de ces évènements « significatifs » et les enseignements qu’ils portent.
Des « grandes leçons de l’expérience » aux « évènements significatifs »
Dans la partie 1.1.3, nous avons commenté des évènements majeurs, catastrophiques, survenus sur des ouvrages hydrauliques. Leurs enseignements ont été nombreux, Coyne les qualifiait de grandes
leçons de l’expérience. Heureusement ces évènements sont rares, voire extrêmement rares
(Malpasset est, par exemple, le seul cas de rupture connue d’un barrage voûte).
La réalité opérationnelle de la maîtrise d’ouvrage est, quant à elle, faite d’évènements dont les conséquences (gravité) sont beaucoup moins importantes mais la fréquence plus élevée. Ces
évènements significatifs font généralement l’objet de mesures de détection et de traitement (voir
1.3.2 pour une revue de ces mesures à la DPIH d’EDF). L’analyse qualitative et/ou quantitative de ces évènements apporte une contribution significative à la structuration du « REX de la profession ». Nous retrouvons dans les analyses de ces évènements des traits communs aux grandes leçons : la variété des explications techniques et une forme d’invariance des contributions humaines et organisationnelles (tant dans l’initiation que dans la maîtrise de situations dégradées).
A titre d’exemple, nous présentons quelques-unes de ces situations où, souvent, l’intervention humaine contribue à maîtriser l’évènement et éviter que ses conséquences s’aggravent.
Ouverture intempestive d’une vanne de crue dans un contexte de requalification
Le 30 juillet 2013, des tests de requalification sont effectués sur le barrage de Kembs. Ils portent sur un automate chargé de la manœuvre des vannes au-delà d’un certain débit entrant. Lors de tests, des protocoles normaux d’analyse de risques sont conduits, ils dirigent ici l’attention sur des impacts potentiels à l’amont de l’ouvrage. En effet, en cas de non maîtrise de la cote amont, un risque majeur serait d’impacter le port international de Bale (Suisse). Dans une première phase du test, le comportement de l’automate se montre insatisfaisant mais, des conditions de débit sur la retenue (relativement exceptionnelles pour la période de l’année et favorables au test) conduisent à la poursuite de la requalification. Dans les heures qui suivent, sur une commande de l’automate, une vanne s’ouvre intempestivement au barrage ce qui provoque une augmentation de 470 mètres cube par seconde du débit dans le lit du Rhin. Cette augmentation a généré une hausse du niveau de 1,45 mètre à l’aval immédiat du barrage de manière rapide (en moins d’une demi-heure). L’incident survient en été et, malgré les interdictions d’accès signalées tant du côté français que du côté allemand102, trois jeunes adultes sont installés sur un îlot du fleuve, situé 1 kilomètre à l’aval du barrage. Ces personnes sont mises en difficulté par la montée rapide de l’eau et l’augmentation du
102
Ce qui renvoie à nos réserves sur une approche normative du risque hydraulique étant donné la perception sociale de ce risque (1.1.3).
67
débit mais elles parviennent à regagner les rives par leurs propres moyens. Ils alertent les secours qui lancent des recherches sur les deux rives. (Batoufflet, 2013).
L’analyse de cet événement (déclaré EISH orange) renvoie à différents éléments : la présence de plusieurs contraintes de sûreté (et l’importance, singulière, d’un risque amont qui focalise l’attention des acteurs), l’attitude interrogative (un précurseur mal évalué), le non-respect de procédures (non- respect du DMP prévoyant une présence au barrage). L’initiateur est une défaillance technique (la mauvaise réaction du système de conduite lors du basculement d’automates de conduite). On notera toutefois que la conception, la programmation et la mise en place d’automates relèvent également de dimensions pratiques. Comme souvent (nous allons le confirmer), cet initiateur technique se combine avec un ensemble de défaillances humaines et organisationnelles, nécessaires mais non suffisantes à expliquer l’évènement.
Dépassement de cote de sécurité (PHE103) et rupture de vanne en début de crue
En 1995, des travaux visant à renforcer la sûreté d’un barrage sont conduits sur son évacuateur de crue (notamment sa vanne à flotteur qui en assure l’autonomie). En raison des prévisions d’orage, des dispositions particulières sont prises (à partir de 18h création d’un creux préventif, à 21h15 mobilisation d’une surveillance permanente depuis l’usine). Suite à des pluies violentes, le niveau de la retenue monte lentement (entre 21h00 et 23h15) mais l’exhaussement s’accélère après 23h15. L’exploitant est prévenu par les systèmes d’instrumentation mais l’information sur le niveau de la retenue manque de clarté (superposition avec le niveau de la retenue d’un autre barrage) et de précision : le journal de bord n'affiche pas de cotes correspondant aux différents niveaux d'alarme. L'exploitant est surpris par cette brusque montée et alors que la cote normale (RN) de la retenue est dépassée de 40 centimètres, il est induit en erreur par son IHM : l'enregistrement indique une baisse de niveau alors que celui-ci augmente (en raison d’un mauvais codage de la plage d'utilisation du codeur de l'enregistreur de niveau, une condition latente).
Dans cette situation confuse, l'exploitant n'a pas la possibilité d'avoir une estimation de l'ordre de grandeur des débits entrants. Vers 23h40, celui-ci pense pouvoir diminuer la montée de la retenue par une intervention sur le programme de production. Or, ses diverses tentatives sur le terminal de l'automate sont sans succès. Le logiciel avait été modifié la semaine précédente pour qu’on ne puisse pas arrêter un groupe en marche si celui-ci doit repartir en marche programmée dans les 25 minutes qui suivent. C’était ici le cas et l’agent de surveillance ignorait cette modification récente. Vers 23h50, il se rend en voiture au barrage mais lorsqu'il arrive, la vanne centrale vient de se rompre alors que le niveau maximal (PHE) de la retenue avait été dépassé d’environ 60 centimètres. Aucun tiers n’est impacté et les dommages sont limités par la faible capacité de la retenue et la rupture nocturne (absence de la fréquentation aval).
L’analyse de l’évènement a également montré des origines techniques et pratiques à l’accident. Sur le plan technique, les capteurs et l’IHM ont généré la confusion (information erronée et affichage des informations en temps réel manquant de clarté). Sur le plan pratique (organisationnel) des problèmes liés à la traçabilité des actions et l’absence de consigne provisoire pour tenir compte des conditions particulières d'exploitation (indisponibilité partielle de deux vannes en période de travaux).
103 Plus Hautes Eaux.
68
D’autres évènements du parc hydroélectrique Français
A l’occasion d’une intervention de maintenance sur un programme d’automate d’interface (qui établit le lien entre le poste asservi et les automatismes câblés de l’usine), les automatismes de second rang de l’usine sont mis hors conduite. Quelques minutes suffisent à l’agent chargé de la maintenance pour intégrer la modification de programme. Le technicien d’exploitation relance les automates lorsqu’un ordre intempestif de débit nul est envoyé à tous les groupes de production alors que le débit entrant dans l’aménagement est important (environ 350 mètres cubes par seconde). Un agent d’exploitation intervient sur les groupes pour reprendre la charge sur la centrale et un autre se rend rapidement au barrage pour prendre la main sur l’automate Barrage (APB) et ouvrir les vannes. Malgré ces actions d’exploitation, le niveau amont usine monte brusquement, une intumescence se propage dans le canal, les capteurs de niveau haut de la retenue (1er et 2ème stades) sont atteints. Un débit intempestif de 90 mètres cubes par seconde est relâché. Un ESSH est déclaré. Sur un autre ouvrage, suite à une intervention de diagnostic sur des câbles de télécommunication (liaison usine-barrage) un faux contact provoque simultanément le déclenchement (arrêt) de l’usine et la perte de l’automatisme de barrage normal. Une situation transitoire (travaux, maintenance) sur la disponibilité des vannes induit un fonctionnement inadéquat (retardé) de l’automatisme de sauvegarde, de telle sorte que lorsque l’exploitant arrive le barrage déverse, toutes vannes fermées. Le niveau de Retenue Normale (RN) est dépassé mais la cote de sécurité (PHE) n’est pas atteinte grâce au faible débit transitant lors de l’évènement.
Ces évènements de différentes intensités (EISH, ESSH) montrent, au même titre que les grandes
leçons de l’expérience, la diversité des précurseurs et initiateurs techniques mais dans le même
temps, l’omniprésence des FOH. Qu’ils soient initiateurs ou éléments de maîtrise, les hommes et leurs organisations jouent un rôle prépondérant dans les considérations de sûreté hydraulique. Nous allons voir comment et dans quelle mesure ces rôles sont considérés dans les EDD de barrages.
A questions pratiques, réponses techniques ?
L’EDD est cadrée par arrêté et décrets réglementaires mais aussi par le référentiel méthodologique de l’entreprise qui les réalise. Dans sa forme actuelle, elle porte certaines injonctions à la prise en compte des FOH, par des acteurs et dans un secteur industriel historiquement de culture technique (voir 1.2.2).
Dans le cadre de l’EDD, les FOH doivent être mobilisés au quatrième chapitre, consacré à la présentation du SGS qui inclut des dispositions organisationnelles. Ensuite, le huitième chapitre qui présente l’analyse de risques mobilise, le cas échéant, les FOH à travers des évènements initiateurs (on parlera d’EI-FH) ou des Barrières Humaines de Sécurité (BHS104). Par exemple, dans ces termes, une ouverture intempestive de vanne liée à une action humaine est un EI-FH et l’intervention d’un opérateur d’astreinte, une BHS. Notre démarche s’intéresse à l’évaluation de l’occurrence des EI-FH or, en raison du périmètre sur lequel porte l’EDD, notre démarche n’a pas à considérer les situations de travaux, de maintenance ou de requalification. Ces situations sont dites transitoires (ou non-
nominales) et donc exclues de l’EDD puisqu’elles ne constituent pas des situations pérennes à
l’échelle de la vie d’un ouvrage105. Les bases de données d’ESSH indiquent que les évènements qui
104
Et par opposition aux barrières techniques de sécurité ou BTS.
69
ont des causes explicatives FOH surviennent majoritairement dans de telles situations non- nominales. De ce fait, le REX significatif exploitable pour nos travaux de conception, dédiés à l’EDD, se trouve diminué. Enfin, il convient de noter l’introduction d’un biais « favorable » pour les FOH dans les EDD qui excluent les situations où le FOH (peut) pose(r) problème.
Indépendamment des questions de périmètre, l’approche EI-FH porte des limites liées à l’approche par arbre des causes dans les nœuds papillon. Comme le remarque Denis Besnard, « il existe une
tendance à universaliser l’usage d’une méthode. Un exemple est l’utilisation de l’arbre des causes (un outil des défaillances techniques) pour analyser des accidents dans lesquels des humains sont impliqués. Une fois que l’on aura étiqueté une branche de l’arbre « erreur humaine », sera-t-on réellement en mesure d’éviter sa récurrence ? Qu’aura-t-on compris des conditions dans lesquelles la soi-disant erreur [se produit] ? » (Besnard, 2010). Le choix de la méthode nœuds papillon illustre que
« l’investigation accidentelle est sous l’influence de la compétence et la culture de ses acteurs » (op.
cit.). La culture technique (d’ingénierie) du CIH, organisme agréé garant de la méthodologie EDD,
mais également celle des législateurs et des inspecteurs de l’Etat, impacte les outils et méthodes utilisés. Dans ce sens, on notera également que si les combinaisons logiques106 effectuées dans les nœuds papillon sont peu discutables sur le plan calculatoire pour des éléments matériels (inertes), elles le sont plus quand elles combinent des dimensions techniques et pratiques (FOH). Le comportement humain, les mécanismes de la décision ou l’évaluation de la performance peuvent être négatifs ou vertueux voire, les deux à la fois et il est délicat d’affirmer qu’ils répondent à des lois probabilistes, a fortiori en l’absence de donnée de simulation.
Dans son étude détaillée des règlements liés à la prévention des risques en France, Emmanuel Martinais note que « si les rédacteurs [des textes réglementaires] sont à ce point efficaces, c’est aussi
parce qu’ils recourent au recyclage, c’est-à-dire la réappropriation de techniques et de méthodes existantes, déjà employées dans le domaine concerné ou dans des domaines voisins dont ils ont l’expérience » (Martinais, 2010a, p. 202). Il ajoute au sujet de l’approche probabiliste que, « dans les études de dangers, [elle] illustre parfaitement cette forme particulière d’innovation qui consiste à faire du neuf avec du vieux. Pour mettre en forme cette méthode spécifique, les ingénieurs de l’INERIS vont en effet mobiliser les résultats de différentes recherches menées sur le sujet ces dernières années, puis les assembler de façon à obtenir un outil d’analyse conforme aux attentes des rédacteurs du ministère. Façonnée en trois semaines, la méthode se présente alors comme le produit d’un travail de mise en cohérence et d’agencement de composants techniques et méthodologiques qui n’avaient pas encore trouvé d’usage réglementaire en matière d’évaluation des risques. » (Martinais, 2010a, p.
202). Une importante partie des difficultés méthodologiques rencontrées dans les EDD de barrage résulterait donc d’une application (trop) directe des acquis des ICPE (usines pétrochimiques, gazières, etc.) aux ouvrages hydrauliques. En effet, la complexité et le couplage (probabilité d’interactions insoupçonnées) d’un barrage n’est pas comparable à celle de la majorité des ICPE et l’affirmation n’est pas nouvelle : « [dams] are primitive, compared to nuclear and chemical plants, and there are
few unanticipated interactions [or] virtually none […] the system is very linear » (Perrow, 1984).
Pour finir, le cadrage réglementaire (ou son absence) joue aussi un rôle dans ces difficultés. A l’exception de la présentation du contenu attendu des chapitres sur le SGS, aucune mention relative aux FOH n’est faite dans les textes réglementaires cadrant l’EDD (décret de 2007, arrêté de 2008).
70
Pourtant, l’analyse des remarques des DREAL au sujet des EDD montre une préoccupation marquée pour le traitement des EI-FH. En 2012, 80% des EDD traitées par les services de contrôle faisaient l’objet d’au moins une remarque sur ces derniers (Larouzée, 2012a). Nous verrons dans la section suivante les effets produits par ces éléments sur la prise en compte des FOH dans les EDD de barrages d’EDF.
Synthèse de la deuxième section
Dans cette section nous avons vu comment s’est façonné le cadre juridique et administratif des risques industriels et comment s’est opéré, en France, un lent glissement d’une administration de
mission vers une administration de gestion. Dans ce contexte, la fonction d’inspecteur des
installations classées est passée du rôle de censeur à celui de coproducteur de normes (Granier, 2012). La mise en place au début des années 2000 des EDD puis, en 2007, leur introduction pour les ouvrages hydrauliques répond de ces tendances de fond autant que d’une volonté d’harmonisation européenne et nationale des référentiels.
Les EDD de barrages d’EDF, du fait d’une école française des risques (1.2.1) et de spécificités des ouvrages hydrauliques (1.2.2) ne sont pas des études probabilistes. Ce nouveau dispositif a toutefois été à l’origine d’évolutions conséquentes dans la prise en compte des risques liés aux barrages : elles ont fait évoluer une approche métiers ou en silo des risques vers une approche pluridisciplinaire et par voie de conséquence, renforcé la nécessité d’intégrer les dimensions FOH.
Si les EDD constituent une réelle opportunité d’amélioration de la sûreté hydraulique, elles présentent aussi un certain nombre de limites et de biais à l’étude complexe de l’homme dans les