Les limites des greffes des facteurs systémiques sur les modèles conceptuels

CHAPITRE 1: Le concept de l’accident

4. Les limites des modèles conceptuels de l’accident

4.3 Les limites des greffes des facteurs systémiques sur les modèles conceptuels

Les systèmes à grande échelle représentent une collection d'artefacts technologiques mais ils reflètent aussi le travail de conception d’ingénierie, la structure de gestion, les procédures et relèvent de la culture de l'organisation. Généralement, ils sont aussi le reflet de la société dans laquelle ils ont été créés. (Miles, 1973) en décrivant les concepts de base de la théorie des systèmes, note que : « La présence au moins d’une science fondamentale, sous-jacente à chaque technologie, même si cette dernière est souvent bien développée, avant que la science n’ait émergé. Le recouvrement de tous les systèmes techniques ou civils est un système social qui fournit l'objet, objectifs et critères de décision. Prévenir efficacement les accidents, dans les systèmes complexes, exige l'utilisation de modèles d'accident qui inclue ce système social ainsi que la technologie et la science sous-jacente. Sans comprendre le but, les objectifs et les critères de décision qui permettant de construire et d'exploiter des systèmes, il n'est pas possible de bien comprendre et de mieux prévenir les accidents » 3.

La prise de conscience de l'importance des aspects sociaux et organisationnels de la sécurité date des années 60. Lederer (1986) alors directeur de la NASA chargé du programme de sécurité aérienne pour le programme Apollo, a écrit : « la sécurité des systèmes couvre le spectre total de la gestion des risques. Il dépasse le matériel et les procédures connexes de l'ingénierie du système. Il s'agit des : attitudes et motivation des créateurs et producteurs, rapport employé/gestion, la relation des associations industrielles entre elles et avec le gouvernement, le facteur humain dans la supervision et le contrôle qualité, la documentation sur les interfaces de sécurité publique et industrielle avec le design et les opérations, l'intérêt et les attitudes des cadres supérieurs, les effets du système juridique sur les enquêtes d’accidents et les échanges d'informations, la certification des travailleurs critiques, des considérations politiques,

Underlying every technology is at least one basic science, although the technology may be well developed long before the science emerges. Overlying every technical or civilsystem is a social system that provides purpose, goals, and decision criteria

ressources, sentiment public et beaucoup d'autres techniques qui représentent des influences vitales sur la réalisation d'un niveau acceptable de maîtrise des risques. Ces aspects non techniques de sécurité de l'installation ne peuvent pas être ignorés. 4»

Trop souvent, cependant, ces aspects non-techniques sont ignorés. Au moins trois types de facteurs doivent être considérés dans la causalité de l'accident. Le premier est la chaîne d'événements immédiats, le second est le type des informations qui recouvre les conditions qui ont contribué à l’occurrence de la chaîne des événements. Et enfin, le troisième concerne l’ensemble des facteurs de causalité qui ne sont qu'indirectement liés aux événements et aux conditions. Ces facteurs indirects sont essentiels pour bien comprendre pourquoi l'accident s'est produit et donc comment faire pour prévenir la survenance de nouveaux accidents.

Plusieurs tentatives ont été faites pour greffer des facteurs systémiques sur les modèles d'événements, mais toutes ont des limitations importantes. L'approche la plus courante consiste à ajouter des niveaux hiérarchiques au-dessus de la chaîne d'événements. Dans les années soixante-dix, Johnson propose une approche et une méthode de séquençage qui décrit l'accident comme des chaînes d'événements directs. Les facteurs de causalité des évènements sont déterminés à partir des facteurs contributifs, qui découlent eux-mêmes de facteurs systémiques (Figure 1-5).

System safety covers the total spectrum of risk management. It goes beyond the hardware and associated procedures of system safety engineering. It involves: attitudes and motivation of designers and production people, employee/management rapport, the relation of industrial associations among themselves and with government, human factors in supervision and quality control, documentation on the interfaces of industrial and public safety with design and operations, the interest and attitudes of top management, the effects ofthe legal system on accident investigations and exchange of information, the certificationof critical workers, political considerations, resources, public sentiment and many othernon- technical but vital influences on the attainment of an acceptable level of risk control. These non-technical aspects of system safety cannot be ignored.

Figure 1-5 Types de facteurs systémiques (Leveson, 2011)

Johnson (1980) a également tenté de mettre les facteurs de gestion dans les arbres de défaillances (une technique appelée la MORT (Management Oversight and Risk Tree), ou arborescence de gestion et de contrôle du risque), mais a fini par simplement fournir une liste de vérifications générales pour l'audit des pratiques de gestion de la sécurité. Alors qu'une telle liste peut être très utile, elle suppose que toutes les erreurs peuvent être prédéfinies et être recensées dans un formulaire de liste de contrôles (check-list). La liste de contrôles est composée d'un ensemble de questions qui doivent être posées au cours d'une enquête sur les accidents.

La greffe systémique la plus sophistiquée aux chaînes d'événements est le modèle conçu par Rasmussen et Svedung (2000) et concerne la hiérarchie du système sociotechnique impliqué dans la gestion des risques. Ce système comprend une structure de contrôle hiérarchique, plusieurs niveaux concernant les législateurs, les niveaux d'organisation et les modes de fonctionnement des systèmes de gestion, les opérateurs du système. À tous les niveaux, des flux d'informations sont caractérisés. La Figure 1-6 montre un exemple représentatif, bien que l’organigramme d’une organisation puisse varier d'une industrie à l'autre.

Le niveau L1 décrit les activités du gouvernement, qui légifère en termes de sécurité. Le niveau L2 décrit les activités des autorités de réglementation, les associations professionnelles et les syndicats (mais aussi les services de médecine et de santé, les ingénieurs conseils…) qui sont en charge de l'application de la loi dans leurs secteurs respectifs. Le niveau L3 décrit les activités d'une entreprise en particulier, et

mobilise des connaissances sur l'économie, le comportement organisationnel, les modes de décision, la sociologie des acteurs. Le niveau L4 décrit les activités de la gestion d'une entreprise en particulier la stratégie politique déployée pour contrôler la sécurité des établissements industriels, de gérer et de contrôler le travail de leur personnel. La connaissance des théories de gestion industrielle et de psychologie organisationnelle est utilisée pour comprendre ce niveau. Le niveau L5 décrit les activités des acteurs qui à titre individuel interagissent directement avec la technologie ou le processus contrôlés. Ce niveau nécessite des connaissances dans des disciplines telles que la psychologie, les interactions homme-machine et les facteurs humains. Le niveau L6 décrit l'application des disciplines d'ingénierie impliquées dans la conception de matériels et procédés potentiellement dangereux et les procédures de fonctionnement, de contrôle de ces derniers. Comprendre ce niveau nécessite la connaissance de la science et des diverses disciplines des sciences de l'ingénieur.

5. Synthèse du chapitre

Dans ce chapitre, nous sommes brièvement revenus sur la notion d’accident et ce tour d’horizon historique nous a permis de dresser un état des modèles classiquement utilisés dans l’industrie pour caractériser la dangerosité d’un système sociotechnique. Ces modèles apportent de nombreux bénéfices mais présentent des limites intrinsèques à leurs propres fondements théoriques. Comme alternative, nous proposons d’étudier les apports d’un modèle systémique d’accidents appelé STAMP (System Theoretic Accident Model and Processes) (Leveson, 2011). Ce modèle est basé sur la théorie des systèmes et offre une vue plus exhaustive des causes des accidents et les interactions indirectes ou non-linéaires entre des événements. Selon STAMP, la sécurité est reformulée comme un problème de manque (ou d’absence) de contrôle d’un système plutôt que simplement un problème de fiabilité (ou de disponibilité). La défaillance de composants (et le manque de fiabilité des composants du système) sont toujours envisagés, mais plus généralement les accidents sont réputés survenir lorsque les pannes de composants, les perturbations extérieures, ou quand les interactions indésirables et dangereuses entre les composants du système ne sont pas adéquatement traitées, c'est-à- dire contrôlées, conduisant à un comportement du système non sécuritaire. Le comportement dangereux du système est défini en termes de comportement avec des contraintes de sécurité requises qui n'ont pas été respectées. Le chapitre 2 présente le modèle STAMP.

Dans le document Apport de la modélisation et de la simulation à l'analyse des risques et la prévention des accidents d'un site de stockage de GPL (Page 46-52)