La compréhension des graves accidents dans les grands systèmes complexes industriels (chimie, énergie …) ou de transport (aérien, ferroviaire …) ne peut se résumer à la recherche des causes par une méthode comme l'arbre des causes, qui est trop limitative et ponctuelle, ne prenant en compte que les circonstances immédiates de l'accident. L'approche systémique considère tout l'environnement de travail des opérateurs et cherche à comprendre pourquoi les défenses techniques, humaines et organisationnelles mises en place n'ont pas permis d'éviter l'accident ...

La compréhension des graves accidents dans les grands systèmes complexes industriels (chimie, énergie …) ou de transport (aérien, ferroviaire …) ne peut se résumer à la recherche des causes par une méthode comme l'arbre des causes, qui est trop limitative et ponctuelle, ne prenant en compte que les circonstances immédiates de l'accident.
L'approche systémique considère tout l'environnement de travail des opérateurs et cherche à comprendre pourquoi les défenses techniques, humaines et organisationnelles mises en place n'ont pas permis d'éviter l'accident : l'analyse des défaillances d'un système complexe selon le modèle du « fromage suisse » (ou des plaques trouées) de J. Reason permet d'illustrer cette gestion systémique des risques.
L'analyse systémique consiste à considérer le cadre professionnel, les circonstances de l'accident, les facteurs humains et les défenses comme un ensemble fonctionnel cohérent ou tous les accidents sont multifactoriels, et sont souvent révélateurs d'une multitude de petits dysfonctionnements chroniques, dont chacun pris isolément n'est pas grave. La survenue d'un accident dans un système complexe est le résultat d'un très grand nombre de combinaisons d'événements indésirables possibles : les dangers des systèmes complexes présentent un certain degré d'imprédictibilité, dépendant de multiples enchaînements et interdépendances, les rendant pour une grande part indéterministes : il s'agit de diminuer la probabilité d'occurrence et /ou la gravité de l'accident en renforçant toutes les barrières techniques (conception, maintenance …), managériales et organisationnelles (procédures, formation, coordination des équipes, conditions de travail …) en minimisant le nombre et la portée des erreurs latentes du système sans se cantonner aux erreurs humaines actives (inattention, inexpérience, stress, …) qui sont souvent seulement les déclencheurs de la catastrophe.

Le modèle du « fromage suisse » (ou des plaques trouées) de James Reason

« L'accident provient toujours d'une succession de défaillances du système… » (J.Reason)
Le modèle du « fromage suisse » (ou des plaques trouées) développé par J. Reason offre un cadre simple pour représenter la gestion systémique des risques.
Le modèle du «fromage suisse» (ou des plaques trouées) explique comment un enchaînement d'évènements indésirables et de défauts dans un système complexe, comme une usine chimique, une centrale électrique, une installation gazière, un avion, … puisse conduire à un accident si les mécanismes de défenses sont défaillants. Chaque défense (de nature technique, organisationnelle …) est représentée par une tranche de fromage ou plaque trouée, ou chaque trou de taille et d'emplacement variable correspond à un défaut latent. Si la trajectoire d'un événement déclencheur fautif, erreur dite active ou patente, représentée par un faisceau lumineux, se trouve en ligne avec les trous dans les différentes plaques défensives, le faisceau traverse toutes les plaques de défense et l'accident se produit : le système entier subit une défaillance lorsque tous les trous sont alignés, ouvrant ainsi «une opportunité de trajectoire» à l'accident.
Les plaques de défense sont des barrières de protection technologiques (liées à la conception des produits et équipements, aux opérations d'entretien périodique et de contrôles …), humaines (liées aux comportements des opérateurs), procédurières et organisationnelles (correspondant aux méthodes d'exploitation et consignes d'utilisation et de sécurité), managériales (concernant la formation, la supervision, les exigences de productivité …). Les plaques de protection réalisent une défense en profondeur, permettant de récupérer l'erreur patente initiale. Les plaques de protection peuvent aussi, sans pouvoir éviter l'accident, en atténuer seulement les effets (cas des équipements de protection individuels). Les défenses dans les plaques de protection peuvent être des barrières immatérielles (réglementation, consignes, bonnes pratiques de sécurité, recommandations, procédures et protocoles, programme de formation, organisation du travail, surveillance et contrôle, …) ou des barrières matérielles (détrompeur physique, alarme sonore ou visuelle, dispositifs d'arrêt d'urgence et d'inter-verrouillage, etc.).
Ce que le modèle montre aussi, c'est que les petits défauts latents, même de peu d'importance en soi, sont susceptibles de conduire à un accident en laissant se développer les conditions rendant possible l'activation de défaillances actives, au travers des petits « trous » qu'ils génèrent dans les diverses plaques de défense.
Or, les petits défauts sont beaucoup plus nombreux que les grosses défaillances qui se détectent plus facilement et sont rapidement corrigées.
Il faut faire une distinction entre les erreurs actives opérationnelles (actions dangereuses,) et les défauts latents : les erreurs actives agissent comme des révélateurs de systèmes globalement faillibles, révèlent les défaillances inhérentes au système qui ont contribuées à la survenue de l'accident. Par exemple, l'erreur évidente d'un opérateur aurait due ne pas conduire à l'accident si des défauts latents dans les plaques de défense ne l'avait permis (absence d'alerte, logiciel d'automatisation insuffisant ou inadapté, matériels défectueux, capteurs inopérants …). Cette erreur elle-même n'aurait pas eu lieu si les barrières de nature organisationnelle ou managériale avait été sans « trous » (manque de formation, de consignes claires de sécurité, excès de stress au travail, charges de travail excessives, manque de moyens …).


Pour compléter le modèle, il convient de prendre en compte son aspect dynamique : il faut imaginer que les « trous » se déplacent et se modifient en fonction du contexte variable de l'environnement de travail, par exemple selon les conditions météorologiques, le niveau de production ou de rendement recherché, le changement d'organisation ou d'attribution des tâches … De plus, certaines plaques peuvent se dégrader avec le temps, avec l'usure des machines, l'absence de mise à jour des documentations techniques …, entrainant l'apparition de nouveaux « trous » dans les plaques de protection ou en les élargissant.
Les expertises des accidents révèlent que les erreurs humaines en sont très souvent à l'origine (« erreur active ou patente ») : pourtant, ces erreurs humaines témoignent aussi que les causes des accidents sont très largement influencées par l'environnement de travail et le contexte technique et organisationnel qui n'ont pas érigés des « barrières » efficaces qui auraient pu éviter l'accident ou au moins en diminuer les conséquences, en ne recélant pas autant d'erreurs « latentes ».
On distingue les situations à couplage lâche et les situations à couplage serré : dans les situations à couplage lâche, il y a assez de barrières pour qu'un accident ne survienne qu'avec une très faible probabilité, car l'une ou l'autre fera tampon (redondance …) ou fournira des solutions dégradées correctrices ou atténuantes.
Le modèle du « fromage suisse » nous enseigne que, pour éviter que l'accident se produise, il suffit qu'un seul « trou de défaillance» situé sur l'une des plaques de protection ait été supprimé. Il faut remarquer qu'il peut s'agir d'un défaut mineur, « un petit trou » n'ayant jamais été détecté ou n'ayant jamais attiré l'attention, même lors d'un incident précédent (défaut d'analyse et de retour d'expérience) : chaque détail mérite la même vigilance, non par perfectionnisme mais par réalisme.
La loi humoristique de Murphy « Tout ce qui peut mal tourner va mal tourner » a un fondement de type statistique : au cours de plusieurs dizaines de milliers d'heures de fonctionnement et de centaines d'opérateurs différents d'un système complexe, s'il existe une façon d'enchainer des erreurs menant à l'accident, il existera statistiquement une probabilité non nulle que cela survienne : la sécurité alors s'améliore en minimisant le nombre de « trous » et/ou en réduisant leur taille dans chaque « plaque », et en augmentant le nombre de « plaques » (par exemple avec une plaque de plus dédiée aux facteurs managériaux), de manière à ce que la probabilité d' « alignement des trous » devienne infime.

Les typologies des défaillances d'un système complexe

Les défaillances proviennent de grandes catégories (conditions matérielles ou techniques, facteur humain, problèmes organisationnels, culture managériale), interdépendantes pour certaines d'entre elles :
- Absence d'analyse préalable de certaines possibilités d'événements non souhaités, ou mauvaise prise en compte des risques qu'ils induisent, soit pour leur fréquence soit pour leur gravité potentielle.
- Fonctionnement au delà des limites de charge, vitesse, pression, température … nominales.
- Equipement inadéquat, mauvaise ergonomie, manque d'avertissements, signalisations et dispositifs d'alerte, absence d'entretien régulier et d'équipements de protection individuels adéquats.
- Absence de procédures claires, mises à jour, aisément accessibles, et/ou de recommandations pour les situations délicates ou critiques, avec exercices réguliers.
- Changement d'attribution des tâches, de machines ou d'équipement, de procédés, sans formation ni information suffisante. - Isolement de l'opérateur sans soutien approprié pouvant pallier une difficulté technique à laquelle il doit faire face, ou lui offrir de possibilité de recours en cas d'aléas, de malaise.
- Mauvaise appréciation de la tenue des composants techniques.
- Complexité des interactions de multiples paramètres se combinant entre eux de manière exponentielle, générant un éventail innombrable de possibilités.
- Erreurs humaines de vigilance, de négligence ou d'appréciation des conséquences d'un écart constaté par rapport à la norme ou au fonctionnement normal, inexpérience, incompétence, du fait d'inadéquation au poste ou manque de formation ou de sensibilisation aux pratiques sécuritaires, pas d'habilitation pour un poste à risque.
- Banalisation des écarts et des déviances : acceptation comme normales de conditions dangereuses, utilisation fréquente de moyens détournés pour surmonter des lacunes opérationnelles (« bricolage »).
- Analyse comportementale négligée ; les comportements à risque des travailleurs sont pourtant souvent à la source d'accidents, même si le poste de travail possède des dispositifs de sécurité et malgré de bonnes conditions de travail.
- La dimension inter-organisationnelle ajoute encore une série de malentendus, désaccords, ambiguïtés,…préjudiciables à la sécurité du travail : par exemple, certains services minimisent, voire nient le risque de leurs activités en majorant celui des autres et réduisent leurs efforts de prévention en prétendant qu'il s'agit de la responsabilité d'autrui, ce qui hypothèquent gravement les chances de gérer la situation de danger. Les défauts de communication ou d'entraide, la présence de conflits au sein des équipes sont des causes fréquentes d'accident.
- Une hiérarchie insensible au manque de ressources, aux charges de travail excessives, aux horaires atypiques, éloignée du terrain, absence de supervision ou au contraire surveillance trop tatillonne au détriment de l'autonomie et de la responsabilité des opérateurs, options et attitudes divergentes dans l'encadrement.
- Certaines méthodes de management stressantes : exigences accrues à la fois de productivité et de qualité contradictoires, objectifs de réductions drastiques et souvent inatteignables des coûts et des délais …

Tous les éléments matériels ou techniques comportent une part d'incertitude et de combinatoire qui peuvent très difficilement être tous appréhendés par une analyse a priori, ce qui justifie l'examen a posteriori des événements ayant pu mettre en cause la sécurité du travail, à en rechercher les causes avec les enchaînements et les conjonctions de faits générateurs, à en retirer les enseignements pour mettre en place des actions correctives.

Mais ce sont surtout les éléments mettant en jeu le facteur humain ou ceux liés aux problèmes organisationnels qui ne peuvent pas, par nature, faire l'objet d'une analyse préalable vraiment fiable, car leur compréhension passe beaucoup par l'observation et l'expérience, tellement le comportement observé peut être différent de celui prévu : penser que les comportements de sécurité s'effectueront de manière appropriée n'est pas du tout certain.

Les « erreurs humaines » sont souvent révélées lors des expertises des accidents : ces erreurs humaines témoignent très souvent d'une mauvaise perception des risques qui est souvent affectée d'un certain nombre d'illusions perceptives et ces illusions sont susceptibles d'affecter inconsciemment le comportement vis-à-vis de la sécurité et de la motivation à la propre protection du travailleur, ce qui est impossible à prendre en compte dans une démarche a priori. Identifier les comportements à risque les plus fréquemment adoptés par les employés est alors l'apport des observations et des feedback du retour d'expérience. Les erreurs humaines sont de plusieurs natures : par omission d'une étape ou d'une tache, par choix d'un mauvais dispositif ou commande, par séquence erronée dans l'exécution des différentes tâches, par déclenchement tardif ou prématuré d'un processus, par échec de la bonne exécution d'un travail …

Sur le plan organisationnel, la présence d'acteurs multiples intervenant dans la gestion à chaque niveau d'organisation ou de pilotage, entraîne de nombreux conflits entre des acteurs de même niveau ou des acteurs agissant à des niveaux différents, très dommageables pour la gestion et le management du processus de danger, d'autant que les problématiques sont toujours transversales, et la dilution des responsabilités est une cause majeure de survenues d'accidents. Une démarche de dialogue permet de susciter des échanges entre entités organisationnelles indépendantes, entre tous les acteurs partageant les informations dans un cadre commun de référence.

Sur un plan managérial plus général, l'organisation peut ne pas porter attention, par une veille appropriée, à tous les signes précurseurs de dangers et de risques apparaissant dans la même profession, la même industrie ou le même secteur technique ou ignore les avertissements sur des pratiques considérées comme dangereuses dans d'autres établissements, ou pire, maintient des méthodes ou procédés qui ont conduit à des accidents dans sa propre structure : la veille interne, par l'écoute du personnel et des lanceurs d'alerte, et externe par la documentation, permet de détecter les signaux avant-coureur ou faibles, alimentant la prise de conscience.

Pour aller plus loin

- OFFICIEL PREVENTION : Formation > Formation continue à la sécurité : Les politiques de sécurité au travail et de prévention des risques professionnels
- OFFICIEL PREVENTION : Protections collectives - Organisation – Ergonomie > Document Unique : La gestion des risques professionnels

Février 2015