La simulation dans les systèmes socio-techniques à risques : les mises en situation



La simulation
dans les systèmes
socio-techniques
à risques :
les mises en situation
 


7 h 30 du matin…

Le superviseur écoute son chef, le « chef d’exploitation », qui confirme le diagnostic.
« Bon, on a une petite fuite, hors critères quand même. »
Tout d’un coup, les verrines colorées des alarmes clignotent de nouveau et il entend les grommellements du chef :
« Purée ! Qu’est-ce qui s’est passé là ? On a perdu quelque chose ? »
– « Une MPS ASG. C’est une perte LHA » répond l’opérateur primaire. Et le superviseur confirme :
– « On a perdu LHA, sur un basculement. Tiens, tu as une alarme DOS ».

Il entend à peine la demande de son opérateur qui répète au milieu du tintement des alarmes :
« Qu’est-ce que je fais ? le circuit primaire se refroidit, je ne peux pas continuer le bilan de fuite… »
Pourtant, il pensait qu’avec l’aide de ses deux opérateurs et du chef d’exploitation, ils étaient arrivés à bien contrôler la situation. En fait, c’était juste une petite fuite primaire qu’ils maîtrisaient avec sérénité. Mais il avait tout de suite vu des alarmes supplémentaires apparaître depuis une minute à peine et il avait instantanément diagnostiqué un problème sur les alimentations électriques de puissance du réacteur. Leur perte avait provoqué un transitoire et apparemment certains matériels n’étaient pas réalimentés par les alimentations de secours. Avec le chef d’exploitation, il essaie de comprendre ce qui se passe.

Il regarde le panneau électrique et vérifie l’alimentation du tableau électrique perdu par le générateur de secours diesel, qui démarre automatiquement, normalement.

« Alors, est-ce qu’il s’est couplé celui-là ? » se demande-t-il à haute voix.
Pendant ce temps l’opérateur primaire observe les paramètres de la chaudière qui sont fortement perturbés.

« Il y a le niveau du pressuriseur qui se casse. Ça, c’est le refroidissement. »
Le chef d’exploitation rajoute :
« Bon, et apparemment il y a quelque chose de bizarre qui s’est passé, tu as un basculement qui ne s’est pas passé et… »
« Il a démarré, il a démarré, il a démarré… Non il n’a pas démarré. » Le superviseur parle du diesel, il vient de constater que l’aiguille du fréquencemètre du diesel est sur zéro, ce qui signifie que l’alternateur couplé au diesel ne tourne pas. Le chef d’exploitation regarde le fréquencemètre et les LED du synoptique qui signalent l’état des connexions électriques.
« En fait si, il a démarré mais il ne s’est pas couplé : ils ne marchent pas les fréquencemètres ici. Tu vois, il a bien démarré, mais il ne s’est pas couplé. » Après un acquiescement muet, le superviseur prend le classeur de procédure, le pose sur la table au centre de la salle de commande et le feuillette. L’opérateur réacteur relance :
« Le bilan de fuite, le démarrage des MPS, ça a fait un coup de froid… »
Le superviseur va le voir.
« Tu es toujours à faire ton bilan de fuite, en attente ? »
« Oui, mais le problème c’est qu’on a une contraction avec le démarrage des MPS, le niveau du pressuriseur
se casse la gueule… »

Le superviseur l’interrompt, et lui demande :
« Je vais te demander d’appliquer la fiche RPS PR01. »
Il n’est pas encore 7 h 33.

Ces trois minutes sont un court extrait du récit d’un incident sur un réacteur nucléaire d’EDF. Cet incident n’a eu aucune conséquence, car en fait il était simulé sur un des simulateurs de formation d’une des centrales nucléaires françaises. Il était « joué » par une vraie équipe d’opérateurs, avec leurs vraies procédures, dans une salle de commande reproduisant fidèlement et à la même échelle la « vraie » salle de commande où travaillent les opérateurs. Seule différence avec la vraie salle de commande : sur un des murs une grande vitre sans tain masque une autre petite salle de commande où opèrent deux formateurs. Deus ex machina, un formateur a déclenché les pannes qui constituent le scénario de la simulation (que ne connaissent pas les opérateurs). Avec son collègue, le formateur a également simulé l’extérieur de la salle de commande, aussi bien les agents de terrain qui sont envoyés par l’équipe pour manoeuvrer des organes dans les locaux réacteurs, que les managers de la centrale ou les opérateurs du réseau d’ERDF. Pour ce faire, ils correspondent par téléphone avec les opérateurs ou viennent rencontrer ceux-ci dans la salle de commande. Dans la salle quatre autres personnes, silencieuses, blocnotes et crayon à la main, suivent chacune un des quatre opérateurs sans perdre une miette de leurs conversations et de leurs faits et gestes. Ces observateurs, ingénieurs d’EDF R&D, sont des spécialistes en fiabilité humaine. Ce sont eux qui ont organisé la simulation avec l’aide des formateurs et la coopération de l’équipe.

Trois minutes. Un temps très court, mais l’analyse de la vidéo enregistrée par les caméras disposées dans la salle de commande, la synthèse des notes des opérateurs, le débriefing de plusieurs heures organisé après la simulation permettent de comprendre la complexité de l’activité des acteurs et comment ils ont géré ce court instant d’un transitoire complexe. En trois minutes, les opérateurs ont diagnostiqué la défaillance supplémentaire qui est survenue alors que l’équipe était en train de stabiliser le réacteur et de procéder à un bilan de fuite. Le chef d’exploitation, expérimenté, a aidé le superviseur à comprendre la défaillance du couplage d’un générateur diesel de secours. Le superviseur a décidé de son propre chef de demander à l’opérateur réacteur d’appliquer une procédure permettant de gérer au plus vite cette nouvelle défaillance. Les échanges à haute voix ou plus discrets entre superviseur et chef d’exploitation, très techniques et souvent elliptiques, incompréhensibles quand on ne connaît pas la signification des acronymes désignant les matériels (MPS, LHA…), témoignent des interactions complexes entre les acteurs, leurs interfaces et leurs procédures. Ces interactions ont abouti à une prise de décision du superviseur (appliquer la procédure PR01), ce que les observateurs jugeront ultérieurement comme une décision efficace dans cette situation. Le ton de ces échanges montre également l’implication entière des acteurs qui ne font plus la différence avec une situation réelle, même si celle-ci ne peut être parfaite comme le montre le défaut de simulation du fréquencemètre. La nervosité de l’opérateur primaire montre comment les opérateurs « s’y croient » et le réalisme de la situation leur fait oublier que le réacteur qu’ils pilotent n’est qu’un code informatique.

Dans ce domaine, impossible d’apprendre
par essais et erreurs étant donné les conséquences d’une défaillance…

La simulation est indispensable aux HRO

Un réacteur nucléaire est une installation industrielle à risque, qui doit être gérée de façon fiable étant donné les conséquences d’un accident. Le système industriel qui contrôle ce genre d’installation est souvent appelé « système socio technique à risque ». On qualifie également ce système d’ultra sûr et l’organisation qui le pilote est considérée comme hautement fiable. Le courant sociologique américain des HRO (high reliability organizations, avec Todd Laporte, Karl Weick, Karlene Roberts, Paula Concolini, Gene Rochlin) a étudié ce type de système industriel dans les années 1980 en partant du constat que ces systèmes avaient finalement peu d’accidents, contrairement à ce qu’avait pu prédire Charles Perrow, le tenant d’une autre approche sociologique, la « théorie de l’accident normal ». Les HRO ont montré qu’une des caractéristiques importantes du système ultra sûr était de savoir apprendre au niveau organisationnel tout en sachant gérer la contrainte de l’impossibilité de l’apprentissage par essais et erreurs étant donné les conséquences d’une défaillance : la chute d’un avion, le relâchement d’effluents radioactifs, un déraillement, etc. L’utilisation de la simulation est au coeur du fonctionnement des systèmes à risques. Comme l’a souligné Scott Sagan dans son analyse de l’approche HRO : « Because of the organizational and social costs of accidents with such hazardous technologies are so high, however, a second organizational learning strategy – improving procedures through simulations and imagination of trials and errors – is often used » (Scott D. Sagan, Limits of Safety, Princeton University Press, 1995, p. 26).

La simulation est utilisée sous différentes formes et à différentes étapes de la vie d’une installation. À la conception, les codes de simulation permettent de s’affranchir d’essais d’expérimentations coûteuses. L’utilisation de maquettes et de prototypes permet de valider les choix de conception en intégrant toutes les dimensions du système (technologique, humaine et organisationnelle). L’usage de la simulation est tout particulièrement important pour les dimensions humaines et organisationnelles. Pendant l’exploitation, la formation sur simulateur est d’autant plus incontournable que le système devient de plus en plus sûr et que les occasions d’apprentissage deviennent plus rares pour les opérateurs qui ne sont plus confrontés à des presque-accidents (near-misses). Les centres de formation d’EDF disposent de simulateurs pleine échelle de salle de commande ainsi que de simulateurs de composants particuliers, comme des vannes de haute technologie, afin de permettre aux techniciens d’apprendre par exemple les opérations de maintenance sur cesmatériels. Mais les simulations ne se résument pas à l’usage des simulateurs reproduisant une salle de commande ou une partie de l’installation. Aujourd’hui EDF développe des applications de réalité virtuelle afin de familiariser les opérateurs à des opérations difficiles en leur évitant d’affronter inutilement des environnements hostiles comme par exemple les ambiances radioactives. Des simulations 3D permettent d’anticiper les problèmes de colisage à l’intérieur de l’enceinte. Une forme de simulation particulière consiste à faire « semblant » d’utiliser l’installation réelle : il s’agit d’exercices à blanc où l’on demande à l’opérateur de faire comme s’il exécutait une procédure ou une manoeuvre tout en la commentant oralement ou par écrit. Ces exercices à blanc sont souvent utilisés comme formation ou pour valider des modifications de l’installation.

L’usage de la simulation est tout particulièrement important pour les dimensions humaines et organisationnelles liées au pilotage des réacteurs. Quatre domaines de simulation peuvent être distingués. Le plus important est la formation. Cette utilisation qui devient de plus en plus intensive a conduit EDF à réaliser des investissements très importants en dotant chacun de ses dix-neuf sites d’un simulateur pleine échelle. Auparavant, trois centres de formation (Caen, Paluel et Bugey) disposaient de simulateurs pour chacun des types de réacteurs d’EDF et centralisaient donc ces formations pour tout le parc nucléaire français. La seconde forme de simulation concerne le retour d’expérience « simulé » : il s’agit d’observer le comportement des équipes avec leurs procédures et leurs interfaces quand elles ont à gérer des événements qui se produisent rarement ou jamais dans la réalité, mais que l’organisation doit anticiper afin de gérer au mieux ceux-ci le jour où ils se produiront. Le but est donc de comprendre le fonctionnement « réel » au-delà de ce qui est prévu en bureau d’études et de vérifier en permanence que les hommes, les procédures, des interfaces et l’organisation permettent effectivement le contrôle des accidents. Deux autres usages sont également importants : la réalisation d’exercices impliquant des équipes locales et nationales de crise d’une part, la validation des nouvelles salles de commande ou de modifications de celles-ci d’autre part. Pour ces trois domaines, la méthodologie de simulation est identique. Les objectifs sont de placer les opérateurs dans une situation réaliste, rare mais plausible, sans qu’ils connaissent le scénario des pannes, en les observant de la façon la moins intrusive possible. Cette méthodologie a été développée à EDF principalement pour le recueil de données de fiabilité humaine et l’observation ergonomique de l’activité de conduite. Le terme générique désignant ces simulations est la « mise en situation ».

La méthodologie des mises en situation

Depuis le début des années 1980, EDF réalise des essais de mise en situation sur les simulateurs pleine échelle de salle de commande de réacteur nucléaire. Ces essais ont trois caractéristiques principales :

– Les conditions sont les plus réalistes possibles. Les équipes sont constituées d’opérateurs professionnels en activité sur le type de réacteur qui est simulé. Ils n’ont pas d’entraînement spécial et ne connaissent pas d’avance le scénario de la simulation. Les procédures utilisées sont celles qui sont à leur disposition sur leur réacteur.
– Ces essais sont anonymes. Il n’y a aucune utilisation des essais pour évaluer spécifiquement une équipe ou pour l’entraîner.
– Enfin, les formateurs n’interviennent pas lors de la simulation, celle-ci n’est pas interrompue quelle que soit la direction prise par l’équipe pour conduire le réacteur (sauf évidemment en cas de panne du simulateur).

Ces essais ont permis à EDF de recueillir des données afin de construire ses premières méthodes d’évaluation probabiliste de la fiabilité humaine qui ont été utilisées pour les études probabilistes de sûreté de ses réacteurs. En parallèle, beaucoup d’études psychosociologiques ou de psychologie cognitive ont été réalisées afin de comprendre l’activité de conduite pour mettre au point, puis améliorer les procédures et l’organisation. Dans les années suivantes, ces observations se sont répétées afin de maintenir un retour d’expérience sur l’utilisation des procédures et pour continuer à recueillir des données de fiabilité humaine. De 1984 à aujourd’hui, on peut estimer à plusieurs centaines les observations qui ont été utilisées pour ces objectifs. Au fur età mesure, une méthodologie d’observation a été affinée afin d’optimiser les résultats des observations tout en consolidant la validité de ceux-ci par la réduction des biais d’observation.

Sur simulateur, le stress n’est pas
le même que dans la réalité…

Ces observations sont en général organisées par campagne sur un même objectif. De trois à plusieurs dizaines d’observations sont réalisées dans une campagne qui se déroule sur une période restreinte de temps. Une équipe est constituée d’opérateurs volontaires et réalise de un à trois tests, au plus cinq : on évite qu’elle en réalise plus car il y a un effet de « formation ». L’équipe est accueillie par les observateurs qui leur expliquent les objectifs de la campagne et les conditions de réalisation des observations. Ensuite, la simulation est réalisée : elle dure généralement de trois à quatre heures. Après une courte pause, un débriefing est organisé qui peut être collectif ou individuel. Les observateurs utilisent ces débriefings pour affiner leurs observations en temps réel, comprendre le comportement des opérateurs et leurs motivations par ce qu’ils en racontent. Autant que possible, aucun jugement n’est porté sur la conduite effectuée avant la fin de la campagne même si les opérateurs sont très demandeurs. En effet, ils apprécient énormément ces mises en situation qui leur permettent de se tester, ce qu’ils ne peuvent pas faire sur l’installation réelle ou lors d’une formation sur simulateur où les objectifs sont l’apprentissage de techniques ou de procédure, ce qui implique par exemple que le formateur interrompe la simulation pour remettre des opérateurs dans le « droit chemin ».

Pendant les simulations, les opérateurs communiquent par téléphone avec le formateur qui sait quelle personne il doit simuler d’après le numéro de poste appelé. Le formateur peut également venir en salle de commande par exemple pour prendre les consignes d’intervention locale en tant que rondier. Une fois revenu à son pupitre, le formateur simulera les actions locales via son interface. De la même façon, il peut simuler des opérations de maintenance ou des concertations avec les équipes de crise qui se tiennent en permanence en communication avec la salle de commande pendant les accidents lors d’un événement réel.

Limiter les biais de la simulation

Si la simulation a été mise en avant comme un des moyens d’anticiper les catastrophes, les adversaires de la théorie des HRO ont souligné ses limites qui sont principalement les défauts de représentativité, essentiellement à cause des biais de simulation. Ces biais sont particulièrement importants et délicats dès que l’objet de la simulation concerne le facteur humain. Les nombreuses simulations que nous avons observées à EDF R&D nous ont permis d’identifier les principaux biais et de mettre au point un protocole et une méthodologie pour y remédier autant que possible.

Les différences entre le simulateur et la réalité constituent bien évidemment la première source de biais.

Les opérateurs savent qu’ils sont sur un simulateur – Quand les opérateurs participent à une simulation, ils savent qu’ils ne contrôlent qu’un simulacre de réacteur sans danger. Sachant que leurs erreurs sont sans conséquence, ils peuvent avoir tendanceà agir plus rapidement, en prenant plus de risques, avec moins d’hésitation et de retenue que dans la réalité. Sachant que de plus il n’y a pas de conséquences économiques réelles à l’arrêt de la production, ils peuvent avoir tendance à privilégier les aspects sûreté plus que dans la réalité où il existe nécessairement une compétition entre les objectifs productifs et de sûreté. L’implication toujours constatée des opérateurs dans les essais contrebalance cet effet : ils tiennent à se comporter le plus possible comme ils le feraient dans la réalité car ils veulent se tester eux-mêmes autant que les organisateurs de la simulation. Ils cherchent à reproduire le processus de décision qu’ils auraient suivi sur leur propre tranche afin de se rassurer plus ou moins consciemment.

L’absence de danger avec un réacteur fictif est souvent mise en avant comme un facteur dévalorisant les simulations car les opérateurs seraient beaucoup moins stressés que dans la réalité et il est souvent admis que le stress est une cause importante de défaillance. Nous avons observé que cet effet d’« autotest » conjugué au stress de l’observation compense cet effet même s’il n’a sans doute pas la même intensité.

Il faut garantir l’absence d’évaluation individuelle par des clauses
déontologiques incluses dans le protocole d’observation

La simulation est différente physiquement, temporellement et socialement de la réalité – Il y a toujours des différences entre la vraie salle de commande et la salle de commande simulée même si elles sont mineures. Cependant, une différence mineure peut avoir de grandes conséquences : par exemple le rangement des procédures à un autre endroit que dans la réalité peut désorienter un opérateur absorbé dans sa conduite qui ne trouve pas le document qu’il cherche. Il est nécessaire qu’avant la première simulation, le formateur informe exhaustivement les opérateurs de toutes ces différences mineures. Cependant, passant de plus en plus de temps en formation sur le simulateur, les opérateurs apprennent très vite à maîtriser ces différences qui peuvent être dues également aux limites de la simulation. Dans l’extrait de simulation décrit au début de l’article, le chef d’exploitation sait tenir compte du non-réalisme du comportement des fréquencemètres des diesels de secours pour empêcher le superviseur d’effectuer un diagnostic erroné. Le comportement du simulateur peut être très différent du comportement du réacteur si les codes de calcul de simulation ne sont pas réalistes. Ce biais est rédhibitoire, car il conduit les opérateurs à ne pas croireà la simulation ou les induit en erreur. La seule solution consiste à affiner le réalisme de ces codes, ce qui peut être très coûteux car les situations à simuler sont des situations rares, souvent aux limites de fonctionnement thermo-hydrauliques du coeur ou concernant des pannes peu fréquentes de systèmes de contrôlecommande et de matériels.

La simulation de « l’extérieur de la salle de commande» par les formateurs est généralement satisfaisante mais un biais subtil peut s’installer : les opérateurs peuvent s’habituer aux réactions du formateur et déceler d’après son comportement ses intentions quant aux pannes du scénario. Par exemple, si un matériel est à réparer en local et qu’ils effectuent la demande au formateur, ils peuvent déduire de l’attitude du formateur si la réparation sera réussie ou non. Une solution consisterait à ce que le formateur lui-même ne sache pas l’issue de la réparation mais un bon jeu d’acteur des formateurs est généralement suffisant.

Il est très difficile de simuler l’environnement organisationnel dans lequel sont plongés les opérateurs. Lors d’un événement réel, les opérateurs peuvent être très sollicités par leur hiérarchie qui s’inquiète bien évidemment de ce qui se passe. Le formateur pourra essayer d’introduire des événements perturbateurs comme des appels téléphoniques de managers inquiets de l’évolution de la conduite de la situation, ou des intervenants sur le terrain, par exemple les équipes d’astreintes appelées pour réparer des matériels.

Au début d’une simulation des opérateurs s’attendent à ce que des incidents se produisent étant donné qu’ils ont été convoqués pour la simulation dans cet objectif. Pour combattre cette anticipation de la suite des événements, il est nécessaire de plonger les opérateurs dans un contexte réaliste ressemblant à leur activité quotidienne sur leur lieu de travail. Il est donc nécessaire de ne pas débuter immédiatement le scénario par les pannes générant la situation accidentelle que l’on veut tester. Il faut demander aux opérateurs d’effectuer des tâches courantes comme la gestion de défaillances mineures ou la réalisation d’opérations de routine qui vont focaliser leur attention en dehors de cette anticipation.

Les contraintes méthodologiques – La nature même des observations de simulation de mise en situation comporte trois contraintes méthodologiques fortes :

– le volume et la volatilité des observations ;
– la compétence des observateurs ;
– l’implication des acteurs.

Les données recueillies portent d’une part sur l’évolution des paramètres physiques, la sollicitation des automatismes, les alarmes apparues, les commandes passées par les opérateurs et d’autre part sur le comportement individuel et collectif des acteurs. Ces données factuelles, si elles sont facilement enregistrables, représentent vite un volume important plus facile à stocker qu’à utiliser. De même, tous les simulateurs sont équipés de caméras et de micros fixes et pour les essais, on équipe les opérateurs de micros individuels. Si une simulation dure quatre heures, revenir sur les données audio et vidéo signifie prendre en compte autant de fois quatre heures qu’il y a de sources d’enregistrement et demande donc un investissement considérable pour l’analyse des essais. D’autant plus qu’il faut y ajouter l’analyse des débriefings individuels et collectifs. Il est donc essentiel de focaliser les observations sur les objectifs de la campagne et de limiter les données recueillies d’une part, et d’autre part d’essayer d’analyser le maximum possible en temps réel ou légèrement différé. En effet il est beaucoup plus facile de noter des observations synthétiques directement en suivant le déroulement de l’essai plutôt que de les reconstituer ultérieurement d’après les données brutes enregistrées. Il est donc important d’établir une grille d’observation et d’analyse qui permettra de se concentrer sur les faits importants sachant que l’on ne peut tout analyser et tout mémoriser.

Le résultat le moins apparent et peut-être le plus bénéfique est
la diff usion d’une culture du facteur humain pour la sûreté

Il est indispensable que les observateurs disposent d’une expertise suffisante sur le fonctionnement des réacteurs nucléaires et de leur conduite ainsi qu’une expertise dans l’observation de l’activité humaine. Cette expertise peut être collective en étant répartie parmi l’équipe des observateurs.

Le dernier point concerne le problème de la mise en cause des observés. L’observation de l’activité humaine est toujours délicate, elle l’est d’autant plus quand il s’agit de la gestion d’accidents qui peuvent avoir des conséquences considérables. Afin d’obtenir l’engagement et la coopération des acteurs, il faut leur garantir l’absence d’évaluation individuelle même si cette précaution ne peut empêcher que l’observé modifie son comportement sachant qu’on l’observe, sans parler des craintes de sanctions. Ces problèmes doivent être résolus par des garanties déontologiques incluses dans le protocole des observations comme la confidentialité et l’anonymat des résultats.

Les particularités du recueil de données de fiabilité humaine – Un des buts de la fiabilité humaine est d’essayer d’évaluer la fiabilité du comportement humain dans les situations complexes et surtout très rares que représentent les accidents des systèmes à risques. L’observation sur simulateur est donc essentielle, mais le système de conduite de ces installations étant très sûr, il serait très coûteux d’opérer de façon statistique en multipliant les essais. Il est certain que l’on observe nombre d’erreurs individuelles dans la gestion des procédures, l’exécution des actions, les communications… mais les systèmes de conduite comme celui en charge du pilotage d’une centrale nucléaire comportent suffisamment de redondances et de moyens de récupération, en particulier par l’organisation de l’équipe, pour atteindre une probabilité d’échec très basse. Il est vain d’essayer de supprimer totalement les erreurs individuelles, même si les efforts de l’organisation en ce sens doivent être constants par l’amélioration sans relâche des interfaces et des procédures et l’intensification de la formation. Comme le montre l’analyse des accidents célèbres comme celui de la centrale de Three Mile Island en 1979, ces défaillances graves sont des échecs collectifs d’un point de vue humain. On est souvent tenté d’assimiler ces échecs collectifs à une somme ou une coïncidence d’erreurs individuelles mais notre expérience nous permet d’affirmer qu’il faut réellement prendre le fonctionnement collectif comme niveau d’analyse pertinent pour comprendre comment la conduite d’un réacteur peut échouer.

Il est donc vain d’espérer pouvoir observer des défaillances significatives du système de conduite impliquant l’échec des contrôles et des barrières organisationnelles mises en place tant que l’on simule évidemment des scénarios rares, exigeants pour les opérateurs, mais plausibles. Les expérimentateurs en concluent qu’ils n’ont qu’une alternative : soit multiplier les essais, soit provoquer par la complication des scénarios des comportements erronés. La première solution est trop coûteuse et ne permet que rarement de comprendre réellement la cause des échecs. La seconde bute sur deux problèmes : la multiplication des pannes peut d’une part rendre la situation observée complètement improbable, même du point de vue des études probabilistes qui examinent les cumuls de défaillances qui peuvent conduire à la fusion du coeur, soit la rendre complètement irréaliste du point de vue des opérateurs, qui « n’y croient plus ». Nous partons quant à nous d’une hypothèse, confortée par nos analyses d’événements : le comportement collectif qui échoue n’est pas un comportement exceptionnel ou « pathologique » ; c’est un comportement collectif rationnel, justifié par la situation vécue, mais qui devient inadapté sans être remis en cause. La prolongation excessive de ce comportement cohérent mais insuffisant dans une situation particulière conduit à la catastrophe. Le recueil de données consiste donc à comprendre ces comportements collectifs que l’on voit réussir ou qui sont interrompusà temps, ainsi que les particularités de la situation qui justifie leur émergence et l’absence potentielle de reconfiguration. Même si évidemment nous recueillons des temps d’actions, des fréquences d’erreurs etc., notre recueil est aujourd’hui plus qualitatif que quantitatif. Il appartient ensuite aux méthodes d’évaluation probabiliste (comme MERMOS, notre méthode EDF) et aux analystes qui les appliquent de transposer ces comportements observés en scénarios d’échec.

Des résultats qui en valent la peine – La nécessité de maintenir ce type d’observations peut être difficile à démontrer auprès des managers, au regard du coût et de la complexité de leur organisation. Et il n’est pas facile de justifier un tel engagement et surtout son maintien quand l’organisation semble suffisamment sûre au vu de l’absence d’accidents réels, ce qui est un problème récurrent dans le domaine de la sûreté, où il paraît coûteux de s’engager dans des démarches exigeantes pour que des événements très improbables ne se produisent pas. EDF a toujours beaucoup investi dans cette méthodologie des mises en situation, ce qui lui a permis de développer un savoir-faire reconnu dans les domaines de l’évaluation de la fiabilité humaine et de l’ergonomie de la conduite avec notamment la conception innovante d’interfaces informatisées pour la conduite des réacteurs nucléaires comme celle du futur réacteur EPR. Mais le résultat le moins apparent et peutêtre le plus bénéfique est la diffusion d’une culture du facteur humain pour la sûreté aussi bien du côté de l’exploitant via les opérateurs qui participent aux essais que des observateurs qui viennent de la R&D et de l’ingénierie. Les ingénieurs de conception des interfaces et des procédures prennent conscience des contraintes opératoires et de la différence entre prescriptions et réalité du travail d’opérateur. Pour les chercheurs, le champ de la compréhension de la sûreté de la conduite et de son évaluation reste ouvert et demeure un objet de recherche incontournable, multidisciplinaire, pointu et loin d’être complètement élucidé.

 


    Demandez votre n°10 offert du magazine RSE !
Profitez de notre offre Spéciale Rentrée: recevez gratuitement et sans engagement le n°10 du magazine RSE, spécialisé sur les questions liées à la Santé, la Sécurité au Travail et à l'Environnement