La résilience des systèmes sociotechniques

Les méthodes de la sûreté de fonctionnement et de la sécurité permettent d’identifier toutes les situations prévisibles, et de proposer une solution sûre, en termes d’équipement, de procédure, de formation. Mais toutes les situations que rencontrent les opérateurs tout au long des missions opérationnelles ne peuvent être exhaustivement prévues et prévisibles. Il reste des situations imprévues et le traitement de ces situations imprévues est la norme de l’activité de ces opérateurs, « l’imprévu est le lot quotidien des aviateurs, pas l’exception », « l’imprévu est la norme » (AEE, 2013). Ces situations imprévues sont en dehors du périmètre des méthodes de la sûreté de fonctionnement et de la sécurité. N’étant ni prévues, ni prévisibles, il n’y a aucune procédure rédigée pour expliquer aux opérateurs comment faire face à ces situations imprévues. Le traitement de ces situations imprévues nécessite généralement beaucoup de ressources cognitives et génère beaucoup de stress, mettant à mal les capacités des opérateurs pour répondre à ces situations imprévues de la meilleure façon.

La résilience, quant à elle, concerne la capacité d’un système sociotechnique à s’ajuster face à des événements perturbateurs, à s’adapter face à des situations sans précédent. En cela, elle est complémentaire des démarches de sécurité traitant des risques prévisibles et anticipés. En effet, la diversité des situations est extrêmement importante et il est impossible d’en faire une analyse exhaustive a priori lors de la conception, pour un système dont la vie opérationnelle peut durer plus de 50 ans (Ruault et al., 2014b).

De nombreux travaux ont été menés, ces dix dernières années, consacrés à la résilience des systèmes sociotechniques (Hollnagel et al., 2006 ; Jackson, 2009 ; Jackson & Ferris, 2013). Dans l’ouvrage « Resilience engineering » (Hollnagel et al., 2006), les auteurs proposent des définitions de la résilience. Pour Hollnagel (2006) « la résilience est la capacité d’un système ou d’une organisation à réagir et à récupérer après une perturbation, avec un minimum d’effet sur la stabilité dynamique du système ». Pariès (2006) précise que « la résilience est une propriété émergente des systèmes complexes ». Dekker (2006) écrit : « la sûreté et les risques ne peuvent pas être prédits ou modélisés sur la base des composants et de leurs interactions ». D’après Hollnagel et Woods (2006), « on peut mesurer seulement le potentiel de résilience, mais non la résilience elle-même ». Woods (2006) écrit « la résilience n’est pas seulement la capacité d’adaptation d’un système dans l’enveloppe pour laquelle il a été conçu, mais elle regarde aussi l’extérieur de cette enveloppe avec les événements perturbateurs qu’elle peut comporter ». Woljter (2008) définit la résilience comme « la capacité à reconnaître et s’adapter pour maîtriser une perturbation qui n’a pas pu être anticipée, qui interroge le modèle de compétence et requiert un changement dans les processus, la stratégie, la coordination…». Luzeaux (2011) caractérise la résilience par une « gestion à la frontière du domaine d’application du système ». La résilience est démontrée lorsqu’un système sociotechnique est capable de « gérer l’incertain, l’imprévisible, l’imprévu, l’accident, la transition entre le plus ou moins catastrophique en évitant la sanction de la catastrophe, le retour à un fonctionnement plus nominal ». Il s’agit non pas d’une caractéristique intrinsèque, mais d’un processus que nous préciserons plus loin. Ici, le terme de résilience concerne les systèmes sociotechniques comprenant traditionnellement trois niveaux (Belmonte et al., 2008) : le niveau du système technique, le niveau humain et le niveau organisationnel (un équipage, un collectif de travail, par exemple).

Woods (Woods, 2006 ; Woods & Cook, 2006) définit les caractéristiques suivantes de la résilience :

 la réserve (buffering capacity), c’est-à-dire la taille ou le type de perturbation que le système peut absorber et accommoder sans qu’il n’y ait une rupture dans les performances ou la structure du système ;

 la flexibilité, c’est-à-dire la capacité du système à se restructurer en réponse à des perturbations de l’environnement ;

 la marge, c’est-à-dire le niveau de fonctionnement courant du système, coordonné ou précaire, par rapport à son domaine de définition ;

 la tolérance, c’est-à-dire la façon dont le système fonctionne aux limites de son domaine de définition, dégradation régulière des performances ou rupture brutale quand les perturbations de l’environnement excèdent ses capacités d’adaptation, par exemple les ailes supercritiques⁷(Amalberti, 2009) ;

 les interactions multi-niveaux, c’est-à-dire la sensibilité du système de niveau donné face à des perturbations et des interactions avec des composants de niveaux inférieurs. Nous retenons les concepts de flexibilité, de marge et de tolérance, qui traitent du fonctionnement aux limites ou en dehors de son domaine de définition. C’est dans ce contexte que nous nous trouvons dans le cas situations imprévisibles, sans précédent.

De son côté, Westurm (2006) différencie trois types de menace, et précise les réponses possibles, appropriées pour ces différents types :

 face à une menace régulière, prévisible, il est possible de formuler une réponse standard et d’élaborer un algorithme approprié ;

 dans le contexte d’une menace irrégulière, si le problème est compréhensible, la faible probabilité d’occurrence des événements et le nombre de cas possibles rendent impossible une préparation à toutes les menaces irrégulières. L’organisation doit être capable d’improviser et de se réorganiser pour répondre à ce type de menace. Par exemple, un gymnase est transformé en hôpital de campagne, les véhicules banalisés sont utilisés pour servir d’ambulance en situation de crise grave ;

 le troisième type de menace, dans le cas d’événements sans précédent, imprévisibles, requiert encore plus de capacité d’improvisation que dans le second cas. Cela requiert aussi la capacité de changer rapidement de cadre de référence mental et de sérendipité. Luzeaux (2011) propose une typologie des événements auxquels un système doit faire face que nous rapprochons des types de menace de Westurm (2006). Ces événements sont :

 « les événements habituels et prévisibles, par exemple les tremblements de terre dans des régions comme la Californie ou le Japon, des explosions dans une usine chimique ;  les événements rares ou occasionnels, qui ne peuvent pas tous être décrits ou prévus ;  les événements a priori imprévisibles, nécessitant bien plus d’improvisation que

précédemment et un changement radical d’approche mental ».

De ces types de menace et d’événements, nous retenons le besoin d’improviser, de se réorganiser, de changer de point de vue, pour faire face à des situations avec un faible niveau de probabilité d’occurrence, pour lesquelles les routines ne sont pas adaptées, ainsi qu’à des événements sans précédent.

Luzeaux (2011) caractérise la résilience comme « une gestion dynamique à la frontière du domaine d'application. Les défis liés à la résilience incluent la gestion de l’incertain, du non-planifié, des accidents, en évitant une catastrophe et permettant le retour à un fonctionnement opérationnel plus normal ». Luzeaux (2011) écrit « qu’améliorer la résilience d’un grand

7

Les ailes supercritiques sont des ailes sophistiquées issues d’évolutions technologiques. Leur performance dans le domaine de vol prévu est parfaite. Mais elles ne supportent pas d’être utilisées en dehors du domaine de vol prévu et perdent immédiatement toute leur contrôlabilité hors du domaine (Amalberti, 2009).

système complexe implique de pouvoir disposer le moment venu d’une flexibilité au niveau de l’organisation responsable de l’exploitation du système… Trop figer ou verrouiller permet d’éviter les erreurs de fonctionnement mais diminue d’autant la part de proactivité, d’anticipation, d’improvisation, qui peut justement conférer au système sa propriété de résilience ». Pour cela, le système doit avoir une plus grande capacité à évaluer où il est par rapport à la zone de danger, par le biais d’un processus dynamique de « navigation à vue ». Le système doit être conçu « pour l’incertain ». Il faut donc définir l’enveloppe d’exécution exigée, souhaitable, voire acceptable, et d’exiger que le système reconnaisse les situations où il est susceptible de sortir de cette enveloppe. « Vue ainsi, la résilience s’obtient via la capacité à surveiller les conditions aux limites de l’enveloppe d’exécution, au sens de déterminer leur valeurs ainsi que l’écart courant par rapport à la frontière, et à adapter la commande en cours du système aux évolutions éventuelles de cette enveloppe. Les capacités requises vont donc être la capacité du système d’absorber des changements sans remettre en cause son exécution et sa structure ; la flexibilité de l’architecture, et en particulier la capacité du système de modifier une partie de sa structure si nécessaire ; le contrôle des marges et des tolérances, donc une capacité à évaluer sa propre dynamique, en vue de l’exploiter au voisinage de la frontière ».

Il est nécessaire d’élaborer des modes de régulation permettant au système de continuer de fonctionner dans ces différentes situations et en fonctions des différentes perturbations (Luzeaux, 2011). La résilience comprend aussi la détection de l’atteinte des limites des capacités d’adaptation. Elle concerne donc ce qui ne peut pas être anticipé (Luzeaux, 2011). Pour qu’un système soit résilient, il faut (Luzeaux, 2011) :

 « fournir un point de vue indépendant pouvant remettre en cause des modes d’organisation courants ; cela permet de s’affranchir de certaines contraintes opérationnelles et de luttes de pouvoir ;

 avoir des informations sur l’état d’opération courant et les évolutions de cet état, notamment les différences par rapport au fonctionnement nominal prévu ;

 avoir une connaissance des marges de manœuvre et des points faibles de l’organisation et des éventuels décalages entre les manières d’opérer prescrites et ce qui est en fait réalisé : l’objectif n’est pas nécessairement de supprimer ces décalages mais d’exploiter la marge de manœuvre qu’ils sont susceptibles d’engendrer ».

L’objectif est de qualifier et quantifier la dérive du système vers l’état d’échec avant qu’une panne majeure ne survienne.

Galara (Galara, 2011) soulève les mêmes préoccupations dans le domaine de la conduite d’installations nucléaires. De mauvais choix en conception peuvent conduire les opérateurs à « percevoir et interpréter de façon erronée la situation de l’installation, être en surcharge cognitive face à une situation non vécue et faire de mauvais compromis entre sûreté et performances ». Galara montre que l’acceptabilité de l’erreur humaine « consisterait à surveiller que le système technique évolue dans des conditions explicites de fonctionnement normal, à surveiller les excursions de fonctionnement du système technique qui se rapprochent des exigences explicites de conception et réglementaires à satisfaire, à alerter les opérateurs de ces excursions et à proposer des stratégies de conduite pour revenir au fonctionnement nominal » pour éviter les accidents. Ces différentes situations amènent à dépasser la démarche traditionnelle de sûreté de fonctionnement menée a priori, sur des probabilités de risques, des conséquences et des dispositifs de sécurité (dont les barrières) pour empêcher les accidents afin de mettre en œuvre une démarche dynamique tenant compte des situations réellement rencontrées.

Dans la même perspective, l’analyse de l’accident du AF 447, Rio-Paris, montre que les pilotes n’ont pas compris la situation de décrochage dans laquelle ils étaient dans la mesure où les informations présentées sur l’IHM étaient incohérentes, ne leur permettant pas d’élaborer une représentation mentale, un modèle conceptuel, de l’avion en situation (Conversy et al., 2014). Ainsi, le rapport du BEA (Bureau d’Enquêtes et d’Analyses), mentionne « en absence d’indication de vitesse fiable, la compréhension de la physique globale du vol à haute altitude par une approche synthétique des bilans énergétiques, équilibres de forces, plafonds de sustentation et propulsion, aurait pu considérablement aider les pilotes à anticiper la dégradation rapide de la situation et prendre à temps la mesure corrective adéquate : la mise en descente […] » (Conversy et al., 2014).

Dans la mesure où toutes les situations ne peuvent pas être envisagées, que les opérateurs humains peuvent être face à des situations sans précédent, imprévisibles, que les dispositifs de sécurité sont inopérants face à ces situations, les opérateurs doivent pouvoir naviguer à vue et disposer des moyens pour faire face à l’adversité.

En résumé, la résilience concerne la capacité d’un système sociotechnique à s’ajuster face à des événements perturbateurs, à s’y adapter et à apprendre les règles d’adaptation adéquates, quand les perturbations sont en dehors du périmètre spécifié des mécanismes d’adaptation du système, c’est-à-dire des menaces irrégulières et des menaces sans précédent. En outre, la résilience comprend aussi la détection de l’atteinte des limites des capacités d’adaptation, en fonction de la configuration du système sociotechnique. La résilience concerne donc ce qui ne peut pas être anticipé (Luzeaux, 2011).

Les travaux consacrés à la résilience montrent les enjeux et les conditions de la résilience, mais n’apportent pas d’éléments pour concevoir un système afin qu’il soit résilient face à des situations imprévisibles, sans précédent. Ce sont des éléments de conception que nous proposons dans le cadre de ce mémoire. Nous allons regarder quels sont les principaux points de la résilience pour faire évoluer les concepts de l’ingénierie système afin de prendre en compte la résilience des systèmes sociotechniques.