Les répercussions des limites des modèles conceptuels traditionnels dans les

CHAPITRE 1: Le concept de l’accident

4. Les limites des modèles conceptuels de l’accident

4.2 Les répercussions des limites des modèles conceptuels traditionnels dans les

Les approches analytiques, que l’on retrouve dans les prototypes classiques de représentation d’un accident, sont fondées sur des principes de linéarité. Cet aspect de linéarité ne semble pas être approprié pour comprendre ou anticiper la nature imprévisible des interactions présentes au sein d’un environnement industriel, surtout en présence de la combinaison des facteurs techniques, humains, organisationnels et inter- organisationnels.

En effet, cette démarche se concentre plutôt sur la nature des interactions simples sans pour autant se soucier des conséquences des interactions complexes qui peuvent entrainer ou éviter un accident. Elle est considérée comme séquentielle et ne tient pas compte de la représentation de la complexité de la réalité ainsi que des interactions qui peuvent entrainer l’accident. Les modèles séquentiels peuvent induire en erreur du fait qu’ils reposent sur l’amélioration de la fiabilité pour rendre un système sûr et empêcher l’accident ou sur l’amélioration de la sûreté en rendant plus fiable les barrières qui provoquent l’évènement indésirable.

La confusion sur ce point est illustrée par l'accent mis sur les événements d'échec dans la plupart des accidents et l'analyse des incidents. Certains chercheurs qui s’intéressent aux approches organisationnelles de la sécurité, font également cette erreur en laissant entendre que les organisations de haute fiabilité (HRO) seront en sécurité (Roberts, 2009).

En effet, il faut bien intégrer l’idée que la fiabilité et la sûreté sont deux concepts différents, et par la suite on peut rencontrer des systèmes fiables mais pas sûrs et des systèmes sûrs mais dangereux ou non fiables. Puisque cette hypothèse sur l'équivalence entre la sécurité, la sûreté et la fiabilité est si largement répandue, la distinction entre ces deux propriétés doit être soigneusement considérée. Leveson (2011) considère qu’il existe des systèmes fiables mais dangereux et des systèmes dangereux mais fiables.

4.2.1 Des composants fiables mais des interactions entre composants sont dangereuses Dans un système complexe, chaque composant d’un système considéré analytiquement peut fonctionner individuellement jusqu’à atteindre sa propre finalité. Néanmoins, les interactions entre les composants d’un système complexe peuvent provoquer un accident. En effet, la cause d’un tel accident réside dans les interactions dysfonctionnelles entre les composants fiables du système. Pour illustrer cela, Leveson prend l’exemple de l’accident de Mars Polar Land la navette spatiale de la Nasa lancée le 3 janvier 1999 pour l’étude de sol de Mars. La description de l’accident indique que la cause directe de l’accident remonte à la « présence des signaux parasites générés lors du déploiement des pieds de la sonde » (Knight, 2002).

Selon Leveson (2011), les défaillances des composants et les pannes sont généralement traités comme des phénomènes aléatoires. Il est donc impossible de prédire les éventuelles interactions entre les composants et de les anticiper. Cependant l’absence de défaillance des comportements dangereux ne peut constituer un événement aléatoire.

Dans les accidents liés à l'interaction des composants, il peut n’y avoir aucun échec et les erreurs de conception de système, donnant lieu à des comportements dangereux, ne sont pas des événements aléatoires. Ce bruit est normal et attendu et ne représente pas une défaillance dans le système de la sonde. Le logiciel embarqué a interprété ces signaux comme une indication que l'atterrissage avait eu lieu (les ingénieurs logiciels ont été informés de tels signaux) et a coupé les moteurs de descente prématurément, conduisant le vaisseau à s'écraser sur la surface de Mars. L’accident s'est donc produit parce que les concepteurs du système n'ont pas tenu compte de toutes les interactions possibles entre le déploiement de la jambe d'atterrissage et le logiciel de commande du moteur de descente.

Un échec de conception peut ainsi induire une déviance même lorsque les composants satisfont les exigences spécifiées (comme éteindre les moteurs de descente quand un signal est reçu), même si les exigences peuvent inclure un comportement qui

n'est pas souhaitable dans un contexte de système plus vaste, cette composante n'a pas manqué.

4.2.2 Dangereux mais fiables

La présence de composants fiables n’est pas nécessairement une condition suffisante pour procurer la sécurité d’un système. Même, si le système dans son ensemble de fonctionnement est fiable, on ne peut confirmer qu’il n’est pas dangereux.

Pour comprendre les caractéristiques de la fiabilité et de la sécurité, il faut faire une distinction entre les exigences et les contraintes. Les exigences sont dérivées de la représentation ou la raison d’existence même de l'organisation. La mission de l'usine chimique est de produire des produits chimiques. Les contraintes représentent les façons acceptables que le système ou l'organisation se donne pour atteindre les objectifs de la mission : ne pas exposer les passants à des polluants et ne pas polluer l'environnement sont des contraintes sur la façon dont la mission (production de substances chimiques) doit être conduite.

Alors que dans certains systèmes industriels, la sécurité fait partie de la mission ou de la raison d'être du système, comme le contrôle du trafic aérien ou les soins de santé, dans d’autres, la sécurité n'est pas la mission mais est au contraire une contrainte sur la mission elle-même. Non seulement les contraintes de sécurité entrent parfois en conflit avec les objectifs de la mission, mais les exigences de sécurité peuvent même entrer en conflit entre eux (Leveson, 2011). Une seule contrainte de sécurité sur un système de porte de train automatisé, par exemple, est que les portes ne peuvent s’ouvrir à moins que le train ne soit arrêté. Une autre contrainte de sécurité est que les portes doivent s’ouvrir n'importe où pour l'évacuation d'urgence des usagers.

La résolution de ces conflits est une des étapes importantes en sécurité et en ingénierie des systèmes. Il existe toujours plusieurs objectifs et contraintes pour n'importe quel système. Le défi consiste donc à identifier et analyser les conflits, à faire les compromis appropriés entre des exigences contradictoires et des contraintes puis de

trouver des moyens d'accroître la sécurité de l'installation sans compromettre la fiabilité du système.

4.3 Les limites des greffes des facteurs systémiques sur les modèles

Dans le document Apport de la modélisation et de la simulation à l'analyse des risques et la prévention des accidents d'un site de stockage de GPL (Page 43-46)