Discours

À la 26e Conférence internationale sur la sécurité des systèmes
Traduction du discours prononcé par
Kathy Fox

membre du
Bureau de la sécurité des transports du Canada
À la 26e Conférence internationale sur la sécurité des systèmes
Approches évolutives de la gestion de la sécurité et des enquêtes sur les accidents, « Passage d'une gestion individuelle à une gestion organisationnelle de la sécurité »
Vancouver (Colombie-Britannique)
le 28 août 2008

Introduction

Mesdames et messieurs, bonjour. Je suis heureuse d'être ici parmi vous aujourd'hui. C'est la première fois que je participe à la conférence internationale sur la sécurité des systèmes. Depuis mon arrivée, j'ai beaucoup appris en écoutant les autres conférenciers et j'ai été heureuse de faire la connaissance de bon nombre d'entre vous au cours des derniers jours.

Dans le cadre du thème de cette conférence, « La prochaine génération de professionnels de la sécurité des systèmes », j'aimerais partager avec vous certaines de mes expériences ainsi que les enseignements que j'ai tirés au cours de ma carrière sur la gestion des risques pour la sécurité. Je souhaiterais également vous faire part de l'évolution de ma pensée en ce qui concerne la manière dont il faut s'y prendre pour réduire, sinon éliminer les risques pour la sécurité.

Aujourd'hui, je compte faire un bref panorama des écoles de pensée sur les causes des accidents, et, ce qui est plus important encore, sur la prévention, et expliquer de quelle manière ces écoles ont conduit à l'élaboration des systèmes de gestion de la sécurité dans l'industrie aéronautique canadienne. De manière plus précise, je vais vous exposer certaines leçons que j'ai tirées en ce qui a trait à l'identification des dangers, au signalement des incidents et aux façons de mesurer la sécurité. Et enfin, je vous entretiendrai sur la manière dont le Bureau de la sécurité des transports du Canada enquête sur les accidents dans les transports dans l'intérêt de l'avancement de la sécurité. Même si, dans mon exposé, je citerai principalement des exemples tirés du secteur des transports, je crois que bon nombre des principes, des processus et des leçons retenues sont transférables dans d'autres industries où la sécurité est primordiale, comme l'énergie nucléaire et la médecine.

Idées préconçues de la sécurité

Comme vous avez pu le constater, en consultant ma biographie, ma carrière tout entière a été consacrée à la pratique de la sécurité. En tant que contrôleur aérien, j'avais la responsabilitéé de veiller à ce que les avions n'entrent pas en collision entre eux ni ne s'écrasent, et de fournir aux pilotes des renseignements opérationnels sur la météo, les conditions de la piste et autres informations nécessaires à la sécurité du vol. En tant que pilote commercial, je devais transporter les gens en toute sécurité du point A au point B. À titre d'instructrice de vol, j'enseigne les rudiments du vol en toute sécurité à mes élèves pour qu'ils obtiennent leur brevet de pilote. En tant qu'examinatrice des pilotes, j'évalue les compétences des pilotes pour garantir qu'ils satisfont aux normes de licence de Transports Canada et qu'ils peuvent voler en toute sécurité. Enfin, dans mon rôle actuel de membre du Bureau de la sécurité des transports du Canada, il m'incombe, avec les autres membres du Bureau, d'analyser les lacunes en matière de sécurité relevées au cours des enquêtes sur les accidents et de formuler des recommandations aux organismes de réglementation, aux sociétés exploitantes et aux constructeurs sur les mesures à prendre pour réduire les risques liés à la sécurité des transports.

Cela peut vous sembler étrange, mais au début de ma carrière, je ne m'interrogeais pas souvent sur le véritable sens du mot « sécurité ». On m'avait appris, et j'y ai cru, que tant qu'on suivait les procédures d'exploitation standard, qu'on était attentif à nos agissements, qu'on ne commettait pas d'erreur idiote ou qu'on n'enfreignait aucune règle, et, aussi, tant que l'équipement ne tombait pas en panne, la « sécurité » était assurée.

Je pensais alors que les accidents n'arrivaient qu'à ceux qui ne se conformaient à la marche à suivre. Cette croyance m'a suivi lorsque j'ai accédé au poste de directrice responsable des enquêtes sur les pertes d'espacement de la circulation aérienne et autres incidents dans lesquels la sécurité pouvait avoir été compromise. On imputait souvent ces incidents au « non-respect des procédures » ou à un « déficit de conscience situationnelle » sans vraiment chercher à approfondir le « pourquoi » des choses.

Quand je suis devenue directrice de la sécurité chez NAV CANADA, fournisseur de services de navigation aérienne civile qui venait tout juste d'être privatisé, j'ai été chargée de la mise en place et de la gestion d'un programme de supervision de la sécurité d'entreprise. Cette tâche consistait à élaborer un certain nombre de politiques, de processus et de pratiques axées sur l'identification des dangers pour la sécurité des opérations, l'analyse des risques et le signalement aux décideurs chargés d'intervenir.

Voir au-delà de l'erreur de l'exploitant

C'est le rôle que je devais jouer à ce poste qui a marqué un tournant dans ma façon de voir la sécurité. Pour la première fois, je me mettais à penser et à parler spécifiquement de gestion des risques par rapport à la sécurité. Je me suis rendu compte que la sécurité n'équivalait pas à l'absence de risque et que les organisations devaient équilibrer des priorités contradictoires et gérer des risques multiples, notamment les questions de sécurité ainsi que les aspects économiques, financiers, environnementaux et technologiques, pour n'en citer que quelques-uns.

Bon nombre d'organisations pour lesquelles la sécurité est primordiale clament haut et fort que la sécurité vient en tête de leurs priorités. Je dirais qu'en réalité leur priorité serait plutôt le service à la clientèle ou le rendement de l'investissement des actionnaires. Toutefois, il est essentiel que les produits et services soient « sûrs » si les sociétés comptent rester sur le marché, prévenir les accidents, éviter les litiges coûteux, conserver la confiance de la clientèle et s'assurer un avantage concurrentiel.

Toute grande entreprise pour laquelle la sécurité est primordiale, que ce soit une compagnie aérienne, un fournisseur de services de navigation aérienne, une compagnie ferroviaire, une centrale nucléaire ou un hôpital, doit équilibrer des priorités contradictoires et gérer des risques multiples.

Les pressions exercées par la production entrent souvent en conflit avec les objectifs de sécurité. Les études de cas et les enquêtes sur les accidents démontrent souvent de quelle manière les facteurs organisationnels, comme l'accent sur la productivité et la réduction des coûts, peuvent conduire à des compromis qui contribuent sans le vouloir aux circonstances qui causent un accident.

Le modèle de Reason

J'ai fait la connaissance du professeur James Reason à l'occasion d'une conférence sur la sécurité. Nous avons alors eu une petite discussion sur les concepts de la gestion des risques. J'ai trouvé ses travaux très édifiants du fait qu'ils montrent la manière dont une chaîne d'événements, y compris les facteurs organisationnels, peuvent converger de manière à créer un cadre favorable aux accidents. Compte tenu de son modèle des causes des accidents, la manière dont les accidents se produisent et les raisons pour lesquelles ils surviennent me sont apparues comme tout à fait logiques1.

Le modèle de Reason s'est avéré aussi très utile pour expliquer à mes collègues des services non opérationnels, comme les finances ou les ressources humaines, comment leurs politiques et leurs pratiques pouvaient involontairement créer les conditions propices à un accident. Dans ce contexte, la sécurité n'incombait plus seulement aux services de l'exploitation, de l'ingénierie ou de l'entretien.

Voici un exemple d'amélioration de la sécurité qui concerne un service non opérationnel : Lorsque NAV CANADA décidé de remplacer sa flotte de mini-fourgonnettes destinées à l'entretien des aides à la navigation sur les pistes des aéroports, le service de l'entretien a pu convaincre le service des finances d'acheter des mini-fourgonnettes jaune écolier plutôt que des véhicules blancs moins coûteux parce que les jaunes sont plus visibles sur les pistes enneigées.

Westrum et le système de gestion de la sécurité dans l'aviation

En 1998, NAV CANADA a commandé une étude au professeur Ron Westrum, professeur de sociologie de l'Université Eastern Michigan, visant à identifier les caractéristiques désirables des organisations qui gèrent efficacement la sécurité.

Les voici à l'écran. On y trouve beaucoup de similitudes avec ce que d'autres chercheurs ont identifié comme étant les caractéristiques des organisations à grande fiabilité.

Les caractéristiques que le professeur Westrum a recensées ont servi de base à l'élaboration du système de gestion de la sécurité de NAV CANADA.

Depuis 2001, Transports Canada met en application des exigences en matière de systèmes de gestion de la sécurité dans les secteurs ferroviaires et maritimes. Dans le secteur de l'aviation commerciale, la mise en application de ce type d'exigences se fait graduellement depuis 2005.

Voici, à l'écran, quelques exigences en matière de systèmes de gestion de la sécurité dans le secteur de l'aviation tirées du Règlement de l'aviation canadien.

Comme vous pouvez le constater, les exigences de Transports Canada correspondent de très près aux caractéristiques d'une organisation qui gère efficacement la sécurité définies par le professeur Westrum.

Voyons de plus près certains des éléments de ces systèmes de gestion de la sécurité. Je les aborderai aussi dans le contexte d'autres grands concepts de la sécurité des systèmes. Ce sont ces mêmes concepts qui guident le travail du Bureau de la sécurité des transports lorsqu'il est appelé à mener des enquêtes, à identifier les lacunes en matière de sécurité et à formuler des recommandations pour réduire les risques.

Sidney Dekker

Les travaux qui m'ont le plus inspirée sont ceux du professeur Disney Dekker, professeur sur les facteurs humains et la sécurité aérienne et directeur de recherche à l'école d'aviation de l'Université Lund en Suède. Selon le professeur Dekker :

  • la sécurité n'est jamais le seul objectif visé : la raison d'être des organisations est de fournir des biens et des services et d'en tirer des profits;


  • les gens font de leur mieux pour concilier différents objectifs en même temps : par exemple, le service ou l'efficacité par rapport à la sécurité;


  • un système n'est pas automatiquement sécurittaire : en réalité, ce sont les gens qui doivent créer la sécurité par la pratique à tous les niveaux de l'organisation;


  • les pressions pour la production influent sur les compromis que font les gens : dans ces conditions, ce qui était perçu comme irrégulier ou dangereux, devient normal et acceptable2.

Il poursuit en soulignant que « l'erreur humaine n'est pas une cause de défaillance. L'erreur humaine est un effet ou un symptôme d'un problème beaucoup plus profond. L'erreur humaine n'est pas fortuite. Elle est liée systématiquement aux caractéristiques des outils, des tâches et de l'environnement d'exploitation des gens3. »

Cette remarque est importante parce que c'est l'organisation qui crée l'environnement d'exploitation, qui fournit les outils, la formation et les ressources nécessaires à la production des biens et des services. Par conséquent, à mon avis, l'engagement organisationnel envers la sécurité doit être omniprésent dans l'exploitation au quotidien pour qu'elle ait un sens et qu'elle soit efficace.

Dangers pour la sécurité

L'identification proactive des dangers pour la sécurité est un élément important d'un système de gestion de la sécurité.

Par exemple, NAV CANADA a adopté une politique selon laquelle il faut dresser un plan officiel d'évaluation des risques et de gestion de la sécurité pour toute modification importante apportée aux procédures, à la technologie ou à l'organisation. Lorsqu'il s'agit d'apporter des changements dans les niveaux des ressources, la Compagnie doit également effectuer des évaluations de suivi 90 jours et un an après leur mise en place pour s'assurer que les dangers potentiels ont été identifiés et atténués, et qu'aucun nouveau danger n'a été introduit.

L'identification des dangers pour la sécurité n'est pas sans présenter des défis :

À l'étape de la conception, il est pratiquement impossible de prévoir toutes les interactions possibles que peuvent avoir des sous-systèmes apparemment sans lien dans un système complexe, comme un aéronef. Charles Perrow, professeur en sociologie de l'université de Yale à qui l'on doit les concepts d'« interactions complexes4 » et d'« associations serrées5 », donnait un exemple de cela : au début des années 80, il est survenu un incident dans lequel de l'eau potable ayant gelé dans la cuisine d'un DC-8 a provoqué la fissuration du réservoir d'eau. La chaleur provenant des conduits menant à la queue a fait fondre cette glace et l'eau a dégoutté sur une vanne de régulation de l'échappement du système de pressurisation de la cabine, ce qui a rendu la régulation de la pression de la cabine difficile et s'est terminé par un atterrissage d'urgence. Comme le disait le professeur Perrow : « Ce n'est pas là le genre d'interaction qui viendrait normalement à l'idée d'un ingénieur lorsqu'il décide de placer un réservoir d'eau potable près du fuselage d'un avion de ligne.6 »

Dans un contexte d'exploitation, tout changement aux procédures est susceptible de compromettre la sécurité. Sidney Dekker s'est demandé « pourquoi les systèmes sécuritaires tombent en panne? ». L'un des facteurs qu'il a relevés a été ce qu'il a appelé la « dérive » vers la panne7. Il s'agit du glissement lent et progressif de l'exploitation des systèmes jusqu'à la limite de leur enveloppe de sécurité. En général, ce sont les pressions exercées par la pénurie et la concurrence qui alimentent cette dérive. Sans savoir où se situent réellement les limites, les gens ne peuvent pas percevoir la dérive, et dès lors, ils ne font rien pour l'arrêter8. Le professeur Dekker s'est servi de l'exemple du vol 261 d'Air Alaska dans lequel la défaillance d'un vérin à vis du circuit de compensation d'un MD-80 a provoqué la perte de maîtrise de l'aéronef et son écrasement au large de la côte californienne et ainsi causé la mort de tous ceux qui se trouvaient à bord. L'enquête a révélé qu'au fil du temps, le calendrier de graissage du vérin à vis en cause s'est allongé pour passer d'une fois toutes les 300 à 350 heures de vol à une fois tous les 8 mois, donc environ une fois toutes les 2 550 heures. Le vérin à vis récupéré sur les lieux de l'accident ne présentait aucune preuve qu'il avait été graissé adéquatement au dernier intervalle d'entretien, ce qui signifie qu'il avait pu se passer plus de 5 000 heures depuis le dernier graissage du vérin9. On est en droit de se demander ce qui se serait passé si une évaluation des risques avait été faite à l'époque pour évaluer les répercussions qu'allait avoir la modification de la fréquence de graissage.

Même quand nous effectuons une évaluation des risques, nous sommes limités par notre propre imagination. En effet, on n'imagine pas totalement ce qui peut tourner mal, comment des événements indépendants peuvent interagir et quels sont les effets de la proximité et des défaillances en mode commun. Diane Vaughan, sociologue au Boston College, a étudié ce phénomène. Elle a relevé certains facteurs limitant l'étendue d'une évaluation de risques, notamment la capacité limitée à trouver de l'information et des solutions aux problèmes liée à l'influence qu'exercent les échéances, la participation limitée et le nombre de problèmes à étudier10.

Pour illustrer son propos, elle donne comme exemple l'évaluation des risques qui a été menée avant d'autoriser le lancement de la navette spatiale Challenger malgré le froid intense qui sévissait en 1986. Dans son étude exhaustive du lancement catastrophique de cette navette, Mme Vaughan décrit comment le groupe de travail sur les fusées d'appoint à poudre avait négocié le risque se rattachant aux joints de ces structures. Le groupe de travail a d'abord relevé un écart technique qui a été par la suite réinterprété comme étant dans les normes de rendement acceptable des joints, et qui finit par être désigné officiellement comme un risque acceptable. En d'autres termes, ils ont redéfini une preuve désignant un écart par rapport à la norme acceptable de manière à ce qu'elle finisse par devenir la norme11. Elle a désigné ce comportement de « normalisation de la déviance12 ».

Signalement des incidents

Le signalement des incidents constitue un élément essentiel d'un système de gestion de la sécurité.

Dans la mise en place d'un système de signalement des incidents, l'un des éléments clés consiste à définir quels types d'événements doivent être classés comme des incidents à signaler. Depuis toujours, il s'agit d'événements conduisant à une issue défavorable. Si la définition des incidents est trop étroite, l'organisation risque de se priver de renseignements sur d'autres types d'événements qui révèlent des risques ou des vulnérabilités du système, comme des signes de dérive vers une panne ou de normalisation d'une déviance.

C'est ainsi que dans le système de navigation aérienne canadien, on signale non seulement les pertes d'espacement effectives, c'est-à-dire les situations au cours desquelles l'espacement minimal entre deux aéronefs n'a pas été respecté, mais également les situations où cet espacement a été atteint, mais pas assuré. Grâce à cela, on dispose de données beaucoup plus riches dans l'analyse des vulnérabilités du système.

Dans son ouvrage intitulé « Forgive and Remember: Managing Medical Failure », Charles Bosk met en garde à propos du fait qu'on ne considère les quasi-accidents comme des signes avant-coureurs d'une catastrophe qu'après la catastrophe. Avant cela, ce ne sont que des signaux faibles ou encore qui passent inaperçus13. Il poursuit ainsi :

« La prise des décisions médicales est une entreprise dans laquelle entrent en jeu les probabilités. Un patient présente un ensemble de symptômes, le médecin pose un diagnostic, puis il décide de la manière d'intervenir. tous les diagnostics et les traitements qui plus tard s'avèrent erronés ne sont pas des erreurs; certains d'entre eux sont des actes que tout médecin censé aurait posés dans les mêmes circonstances.14 »

Si l'analyse des données sur les quasi-accidents n'est pas faite correctement, on perd des chances d'éviter que d'autres incidents ne se produisent15.

Mais attention : le simple fait de dénombrer les erreurs ne génère pas nécessairement des données significatives ou pertinentes sur la sécurité. En outre, mesurer le rendement en se fondant uniquement sur les tendances des erreurs peut être trompeur, car l'absence d'erreur ou d'incident n'implique pas l'absence de risques16.

Un autre aspect à considérer est le genre de processus et de structure dont aura besoin une organisation pour gérer le signalement des incidents? Le signalement sera-t-il facultatif ou obligatoire? Le système devra-t-il identifier la personne qui signale l'incident, ou sera-t-il confidentiel ou anonyme? À qui les signalements seront-ils adressés? Les personnes qui signalent l'incident seront-elles visées par des sanctions disciplinaires?

Selon Dekker et Laursen, un consensus se dégage voulant que la crainte d'un châtiment freine l'empressement à signaler un incident. À l'inverse, les systèmes non punitifs génèrent un plus grand nombre de signalements - et par extension, une plus grande connaissance - parce que les gens se sentent libres de parler des problèmes qu'ils ont rencontrés17. De plus, Dekker et Laursen ont trouvé intéressant que la principale raison qui pousse les exploitants à signaler des incidents n'est pas l'absence de châtiment, mais plutôt le sentiment que leur apport pouvait avoir un impact. Ils soulignent également l'importance de signaler l'incident à un groupe de sécurité bien au fait de l'exploitation, lequel aide la personne qui signale l'incident à arriver à comprendre le comportement et le contexte dans lequel l'incident s'est produit18.

Culture organisationnelle

Transports Canada met en place un système de gestion de la sécurité pour l'aviation parce qu'elle estime qu'une gestion proactive de la sécurité entièrement intégrée à l'exploitation quotidienne d'une entreprise est une façon plus efficace de réduire davantage un taux d'accident déjà faible.

Mais l'efficacité d'un système de gestion de la sécurité dépend de la culture organisationnelle dans laquelle il est enchâssé.

Diane Vaughan indique que « la culture du groupe de travail contribue à la prise de décision. en s'intégrant à la vision du monde que les membres du groupe apportent dans l'interprétation de l'information19 ». Chaque sous-unité d'une grande organisation peut adhérer à une culture différente.

Le Bureau d'enquête sur l'accident de Columbia chargé de faire la lumière sur la perte de la navette spatiale Columbia en 2002 a découvert qu'on avait laissé se développer des traits culturels et de pratiques organisationnelles néfastes, notamment :

  • l'habitude de se fonder sur les réussites antérieures plutôt que sur de saines pratiques d'ingénierie;


  • la présence de barrières organisationnelles qui empêchaient la communication efficace des données essentielles à la sécurité et qui étouffait les divergences d'opinions professionnelles;


  • l'évolution d'une chaîne de commandement et de processus de prise de décision informels qui fonctionnaient en dehors des règles de l'organisation20.

Charles Perrow met en garde contre le risque que des traits culturels indésirables s'installent au sein de l'équipe de gestion d'une organisation. Il souligne que « les gestionnaires en viennent à croire leur propre discours sur la priorité de la sécurité parce que les renseignements contraires sont supprimés pour des raisons de politiques organisationnelles21 ».

Sécurité et imputabilité

De quelle manière les organisations réagissent-elles aux défaillances? Comment établit-on l'équilibre entre la sécurité et l'imputabilité? Ces questions sont particulièrement pertinentes quand on voit la tendance évidente et accrue qui se dessine dans le sens de la criminalisation de l'erreur humaine.

La criminalisation de l'erreur humaine peut avoir un effet néfaste sur la sécurité. Dans son ouvrage intitulé Just Culture paru récemment, Sidney Dekker explore cet aspect. « Dès qu'on intente des poursuites pour une erreur professionnelle, la sécurité en souffre pratiquement toujours. Plutôt que de rechercher des améliorations à la sécurité, les gens de l'organisation ou de la profession investissent leurs efforts dans une position défensive. Ainsi, plutôt que d'accroître la quantité de données liées à la sécurité, les poursuites judiciaires la bloquent.22 »

Il poursuit en décrivant les traits souhaitables que devrait adopter ce qu'il appelle une « culture juste », comme vous pouvez le voir à l'écran.

Peu avant que je prenne ma retraite, en 2007, la direction de NAV CANADA et le Syndicat des contrôleurs aériens du Canada avaient entamé des discussions sur l'élaboration d'un cadre de « culture juste » qui permettrait de décider dans quelles circonstances une mauvaise conduite opérationnelle devrait justifier l'application de mesures disciplinaires. L'accent était porté sur la création d'un processus ouvert et transparent auquel participeraient la direction et les pairs et qui servirait à déterminer si un incident donné justifierait ou non l'application de mesures disciplinaires. À mon avis, l'aspect le plus important de cette initiative conjointe était la volonté du syndicat et de la direction de collaborer dans le but de résoudre les problèmes et d'améliorer la sécurité.

Le Bureau de la sécurité des transports du Canada (BST)

J'aimerais à présent vous parler un peu du Bureau de la sécurité des transports du Canada et de la manière dont plusieurs des concepts que j'ai énoncés précédemment ont façonné le mode de pensée de cet organisme.

Le BST est un organisme indépendant dont le mandat est de promouvoir la sécurité des transports en menant des enquêtes sur des accidents maritimes, ferroviaires, aéronautiques et de pipelines.

Lorsque le BST enquête sur un accident, il n'a pas pour mandat d'imputer une faute ou d'établir une quelconque responsabilitéé civile ou criminelle.

Au début de 1990, le BST adoptait le modèle de Reason sur les causes d'accidents comme cadre fondamental devant sous-tendre sa façon d'aborder les enquêtes sur les accidents. Non seulement exposait-il la notion de multicausalité, mais en plus, il démontrait clairement que même si les enquêteurs perçoivent l'erreur humaine comme la dernière étape dans la suite d'événements conduisant à un accident, en fait, elle se situe dans un contexte organisationnel plus large. Dans ces conditions, l'erreur humaine devient simplement le point de départ de l'enquête.

Au milieu des années 90, le BST officialisait sa méthodologie d'enquête sur les accidents en créant la Méthodologie intégrée d'enquête de sécurité (MIES). Ce processus débute dès la notification d'un événement. C'est à ce moment qu'on recueille et évalue les données disponibles pour établir si une enquête en règle est justifiée. On décide d'aller de l'avant lorsque cela a de bonnes chances de réduire les risques futurs pour les personnes, les biens et l'environnement. Cette méthodologie s'articule autour du modèle de Reason, l'un des cadres de facteurs humains employés pour analyser l'information recueillie.

À la fin des années 90, les concepts de Westrum ont été intégrés à la méthodologie d'enquête avec la publication du Guide - Enquête sur les facteurs liés à l'organisation et à la gestion. Dernièrement, on enseigne aux enquêteurs différents concepts, notamment la « dérive pratique » de Snook23, la « normalisation de la déviance » de Vaughan24 ainsi que les travaux de Dekker sur la nécessité de comprendre un accident, en particulier, du point de vue de la personne concernée pour comprendre pourquoi les actes de cette personne étaient sensés sur le moment compte tenu du contexte opérationnel et organisationnel particulier25.

L'accident de Swissair (vol 111)

Pour illustrer ces concepts, je prendrai l'exemple de l'écrasement du vol 111 de Swissair le 2 septembre 1998. Comme certains d'entre vous ne sont peut-être pas très au courant des événements de ce jour-là, je vais prendre quelques minutes pour vous faire un résumé.

Le vol 111 de Swissair, un McDonnell-Douglas MD-11, a quitté New York à destination de Genève, en Suisse, avec à son bord 215 passagers et 14 membres d'équipage.

Environ 53 minutes plus tard, alors que l'avion volait au niveau 3-3-0, l'équipage a senti une odeur anormale dans le poste de pilotage. Leur attention a été attirée vers la zone derrière et au-dessus d'eux. Ils ont alors commencé à en rechercher la source - le système de climatisation. Une recherche de panne plus poussée les a menés à la conclusion qu'il y avait bel et bien de la fumée. Ils ont alors décidé de mettre le cap sur Halifax.

Pendant que l'équipage se préparait à l'atterrissage, il ignorait qu'un incendie était en train de se propager au-dessus du plafond du poste de pilotage. Peu de temps après, le FDR de l'avion enregistrait une succession rapide de pannes de système. L'équipage a alors déclaré une situation d'urgence et la nécessité de se poser immédiatement.

Environ une minute plus tard, les communications radio et le contact radar ont été perdus, et les enregistreurs de vol se sont arrêtés. Quelque cinq minutes et demie plus tard, l'avion s'écrasait dans l'océan, ce qui a causé la mort des 229 personnes qui se trouvaient à son bord.

L'équipage a fait ce qui lui semblait juste à ce moment-là. En tenant compte des connaissances qu'il avait, et en reconstituant la suite des événements, nous avons élaboré un certain nombre de scénarios qui ont tous conduit à la conclusion que l'équipage n'aurait pas pu faire atterrir l'avion.

Comme dans toutes ses enquêtes, le BST a pris tout le temps nécessaire pour mener une analyse approfondie des lacunes en matière de sécurité, ainsi que des causes et des facteurs contributifs d'un accident. Nous n'avons imputé aucune faute ni aucun blâme. En appliquant la méthodologie intégrée d'enquête de sécurité, nous avons cherché au-delà des causes immédiates pour trouver les défaillances sous-jacentes du système dans lequel l'aéronef et les gens évoluent. Cette démarche vise à formuler des recommandations afin d'éviter qu'une situation semblable se reproduise.

Le BST a formulé vingt-trois recommandations dans le cadre de l'enquête sur l'accident de Swissair (vol 111), lesquelles ont été regroupées en cinq grandes catégories, selon leur objet :

  • les enregistreurs de bord;
  • les procédures de réenclenchement des disjoncteurs;
  • le processus de certification de type supplémentaire;
  • l'inflammabilité des matériaux;
  • la lutte contre les incendies en vol.

Examinons la question de l'inflammabilité des matériaux dans le contexte de certaines idées que j'ai énoncées précédemment.

L'enquête du BST a démontré que la défaillance la plus importante ayant causé l'écrasement du vol de Swissair était la présence d'un matériau inflammable qui a permis le déclenchement de l'incendie et sa propagation. En effet, un incendie s'est déclaré au-dessus du poste de pilotage, où des arcs électriques dans le câblage ont amorcé dans les nattes d'isolation un incendie qui s'est ensuite propagé. Le matériel en question (le MPET) avait reçu la certification en vertu des normes d'inflammabilité en vigueur au moment de la construction de l'appareil.

L'enquête a démontré que les exigences de l'époque en matière d'essais sur l'inflammabilité des matériaux n'étaient pas rigoureuses ni suffisamment exhaustives pour englober tout l'éventail de sources d'ignition potentielles. En outre, ces procédures ne reproduisaient pas le comportement des matériaux comme ils sont installés habituellement dans un aéronef dans des conditions d'exploitation réalistes. Ces facteurs constituent des exemples de la difficulté de prévoir toutes les interactions possibles entre différents sous-systèmes, comme l'indique Perrow, et de la portée limitée de l'évaluation des risques que décrit Diane Vaughan.

Les enquêteurs du BST ont étudié les facteurs qui ont influé sur la définition des normes d'inflammabilité en vigueur au moment de l'accident. Ainsi, la FAA concentrait ses efforts de prévention des incendies sur les matériaux présents à l'intérieur du poste de pilotage et sur les matériaux des zones désignées présentant des risques pour les incendies, comme les matériaux que les passagers peuvent voir et toucher. Par conséquent, on accordait une importance moindre aux risques d'incendies que présentaient les autres zones.

Avant l'accident de Swissair, il y avait eu des incendies au sol mettant en cause le type de matériau d'isolation employé dans l'aéronef de l'accident de Swissair. Ces incidents ont poussé McDonnell-Douglas, d'autres constructeurs ainsi que les autorités de l'aviation civile, la FAA y compris, à pousser la recherche pour mieux comprendre les risques que cela impliquait, mais la FAA n'a ordonné aucune action pour tenter de les réduire. McDonnell-Douglas a même arrêté l'utilisation du MPET comme isolant dans ses appareils de série et a émis un bulletin de service recommandant son retrait. Cependant, la FAA n'a émis aucune directive exigeant son retrait à ce moment-là.

Les mesures prises à propos de l'inflammabilité de l'isolant mettaient en cause un certain nombre de constructeurs ainsi que les autorités de l'aviation civile internationale. Nous voyons ici la manière dont les traits culturels des organisations en cause peuvent avoir été un facteur décisionnel. Étant au fait de ces signes avant-coureurs, certains ont décidé d'intervenir, tandis que d'autres, pour différentes raisons, ont été réticents à passer aux actes peut-être parce que les anciennes solutions s'étaient institutionnalisées en raison des réussites passées quand il aurait fallu les revoir dès qu'un problème a été soulevé.

Le BST a formulé huit recommandations sur l'inflammabilité des matériaux dans le cadre de son enquête sur l'accident de Swissair, dont des normes plus rigoureuses sur les essais d'inflammabilité, le retrait des matériaux qui ne satisfont pas les normes d'inflammabilité, et des exigences de certification plus représentatives des conditions d'exploitations réelles et des interactions entre sous-systèmes.

À l'issue de l'enquête, les autorités de réglementation ont ordonné le retrait du MPET de plusieurs aéronefs et ont institué un nouvel essai d'inflammabilité plus rigoureux.

Cependant, il faut prendre plus de mesures afin d'analyser d'autres matériaux d'isolation employés dans les aéronefs, d'évaluer les risques que posent les matériaux qui ne respectent pas les nouvelles exigences d'inflammabilité et de définir des normes plus représentatives de la réalité pour évaluer les caractéristiques des défaillances du câblage et établir comment les systèmes et les composantes d'un aéronef peuvent contribuer à aggraver un incendie. Malheureusement, même s'il s'est écoulé dix ans depuis l'accident de la Swissair, il reste encore du travail à accomplir sur dix-huit des vingt-trois recommandations qu'avait formulées le BST. Voilà pourquoi le Bureau a décidé de lancer un appel à l'action afin de rappeler aux organismes de réglementation, aux constructeurs et aux exploitants que ces questions et ces recommandations sont toujours pertinentes.

Conclusion

Pour conclure, et pour rester dans le thème de cette conférence, voici quelques réalités que le professionnel de la sécurité de l'avenir doit prendre en considération :

  • les conséquences néfastes découlent de l'interaction complexe de facteurs organisationnels, techniques et humains qui sont difficiles, voire impossibles à prévoir, même avec le plus élaboré des systèmes d'évaluation des risques;


  • ce sont les gens à tous les niveaux d'une organisation qui créent la sécurité (ou la négligent) et les organisations doivent " internaliser " leur approche de la gestion des risques pour la sécurité de manière à uniformiser et à intégrer les objectifs, les politiques, les processus, les pratiques, les communications et la culture (plus facile à dire qu'à faire, il faut en convenir!);


  • il faut voir les quasi-accidents comme une chance pour l'organisation de tirer des enseignements. Il faut comprendre que les gens ne signaleront un incident que s'ils peuvent le faire en toute impunité, en sachant que leur apport sera pris au sérieux et qu'ils sont habilités à proposer leurs solutions au problème;26


  • les enquêtes sur les accidents sont au mieux des reconstitutions de ce qui s'est passé et de la raison pour laquelle ça s'est passé, lesquelles reconstitutions sont souvent fondées sur des données incomplètes. Les enquêteurs doivent se concentrer sur la raison pour laquelle il paraissait raisonnable pour les personnes en cause d'agir comme elles l'ont fait à ce moment-là. Les enquêteurs doivent également éviter de porter des jugements, et essayer de ne pas tomber dans le piège du parti-pris à la faveur du recul, des travers que Dekker appelle le « micro-matching » (l'évaluation de fragments de comportement par rapport à des normes qui semblent s'appliquer après coup) ou le « cherry picking » (l'identification de schémas de fragments de comportement basée sur des connaissances acquises après l'événement) dans un contexte qu'ils savent à présent être vrai;27


  • la véritable imputabilité va au-delà de la punition (comme repérer et recycler, châtier ou congédier les brebis galeuses); elle est tournée vers l'avenir et exige des organisations et des corps de métiers qu'ils assument l'entière responsabilitéé de régler les problèmes identifiés28, 29.

Je vous encourage à lire abondamment sur le sujet en gardant un esprit critique, à discuter de ces questions avec vos collègues ainsi qu'avec d'autres experts en gestion des risques et à remettre constamment en question les hypothèses que les gens font et le langage qu'ils utilisent lorsqu'il s'agit d'établir ce qui favorise une gestion efficace de la sécurité ou ce qui résulte en un accident.

Je vous remercie de votre attention et je serai heureuse de répondre à vos questions.

Bibliographie

  1. Bosk, C.L. (2003) Forgive and Remember: Managing Medical Failure 2nd édition The University of Chicago Press


  2. Columbia Accident Investigation Report Vol. 1, août 2003


  3. Dekker , S. (2005) Ten Questions About Human Error Lawrence Erlbaum Associates


  4. Dekker, S. (2006) The Field Guide to Understanding Human Error Ashgate Publishing Ltd.


  5. Dekker, S. & Laursen, T. (2007) From Punitive Action to Confidential Reporting Patient Safety and Quality Healthcare septembre/octobre 2007


  6. Dekker, S. (2007) Just Culture Ashgate Publishing Ltd.


  7. Perrow C. (1999) Normal Accidents Princeton University Press


  8. Reason, J. (1995) A Systems Approach to Organizational Error Ergonomics, 39, 1708-1721


  9. Rochlin,G., La Porte, T., Roberts, K. The Self-Designing High-Reliability Organization: Aircraft Carrier Flight Operations at Sea Naval War College Review Autumn 1987


  10. Sharpe, V.A. (2004) Accountability Patient Safety and Policy Reform Georgetown University Press


  11. Snook S. (2000) Friendly Fire Princeton University Press


  12. Vaughan D. (1996) The Challenger Launch Decision The University of Chicago Press

1.   Reason, J., A Systems Approach to Organizational Error, Ergonomics, vol. 39, pp. 1708-1721.

2.   Dekker, S (2006) The Field Guide to Understanding Human Error, Ashgate Publishing Ltd., p. 3.

3.Dekker (2006) p. 15.

4.   Perrow, C. (1999), Normal Accidents, Princeton University Press p. 78

5.   Perrow, C. (1999), p. 89-90)

6.   Perrow, C. (1999), pp. 135-136.

7.   Dekker, S. (2005) Ten Questions About Human Error, Lawrence Erlbaum Associates, p. 18.

8.   Dekker, S. (2005) p. 18

9.   Dekker, S (2005), pp. 18-24

10.   Vaughan, D (1996) The Challenger Launch Decision, University of Chicago Press, p. 37.

11.   Vaughan, D (1996), p. 65

12.   Vaughan, D (1996)

13.   Bosk, C.L. (2003), Forgive and Remember: Managing Medical Failure 2nd Edition, The University of Chicago Press (p. xxiv)

14.   Bosk., C.L. (2003) pp. 23-24.

15.   Dekker, S. and Laursen, T.(2007) From Punitive Action to Confidential Reporting, Patient Safety and Quality Healthcare, septembre/octobre 2007.

16.   Reason, J. (1995)

17.   Dekker, S. and Laursen, T.(2007), p. 50

18.   Dekker, S. and Laursen, T.(2007), p. 54

19.   Vaughan, D (1996), p. 64-65.

20.   Columbia Accident Investigation Report, Vol. 1, August 2003, p. 177

21.   Perrow, C. (1999), pp. 370.

22.   Dekker, S. (2007) Just Culture Ashgate Publishing Ltd., p. 21

23.   Snook, S (2000), Friendly Fire, Princeton University Press

24.   Vaughan, D (1996)

25.   Dekker, S (2005) (2006)

26.   Dekker, S. and Laursen, T.(2007)

27.   Dekker, S. (2006), p. 29

28.   Dekker, S. (2007)

29.   Sharpe, V.A., (2004) Accountability Patient Safety and Policy Reform, Georgetown University Press