La prise en compte de la sécurité lors de la conception des systèmes complexes

La prise en compte de la sécurité
lors de la conception
des systèmes complexes

Michel Mazeau,
Christol Consultants - Toulouse

Ecole d’été "Gestion Scientifique du risque "
6/10 septembre 1999
ALBI - FRANCE

Mardi 7 septembre
Le facteur humain dans les systèmes complexes

1 Introduction

L'intégration de la sécurité lors de la conception des systèmes complexes implique de prendre en compte les opérateurs, dès le départ du processus de conception, non comme "variable d'ajustement", mais comme un élément central dans ce processus de conception : les erreurs de conception dans ce domaine peuvent en effet être détectées uniquement après l'accident, et les modifications du système technique coûteront éventuellement très cher. En outre, s'il est le plus souvent possible de modifier des spécifications de sous-ensembles techniques, en augmentant les fonctionnalités disponibles, les algorithmes de traitement de l'information ou la présentation, il n'en va pas de même chez l'homme. On peut, par l'apprentissage et l'entraînement l'aider à acquérir et maintenir des compétences, mais cette capacité spectaculaire de modification des compétences ne doit pas en masquer les limites importantes que, précisément, montrent de nombreux accidents : on ne peut pas apprendre à maintenir sur de longues périodes une vigilance constante à son plus haut niveau, à conserver son attention focalisée sur une tâche monotone et insipide, ni à raisonner de manière infaillible sur des données numériques présentées de façon inadéquate.

L'amélioration de la sécurité se fait encore dans de nombreux projets par essais et erreurs : le comportement de matériaux aux caractéristiques techniques connues est calculable lorsqu'ils sont soumis à des contraintes connues ; pour les systèmes techniques complexes, on est souvent obligé de procéder à des évaluations probabilistes de fonctionnement ; en matière de Facteur Humain, ni le raisonnement probabiliste ni a fortiori déterministe ne paraissent donner de résultats capables de guider le concepteur dans ses choix techniques et organisationnels. Le concepteur semble contraint d'utiliser le seul retour d'expérience, après l'accident, en fonction des résultats observés, ce qui ne peut être acceptable pour des systèmes dans lesquels les enjeux de sécurité sont importants, c'est-à-dire à peu près tous.

La tentation, dans ce cas, est de "sortir" l'homme du processus, par une automatisation très poussée des installations, sans que les résultats soient toujours à la hauteur des espérances (les défaillances techniques existent, dans le matériel comme dans le logiciel, d'une part parce que ce sont des hommes qui conçoivent les systèmes techniques, d'autre part parce que les contraintes économiques et techniques obligent à des compromis).

Après élimination de la plupart des causes matérielles, par une meilleure maîtrise des procédés de fabrication et capitalisation des données sur les systèmes antérieurs, l'homme semble de fait être à l'origine de la majorité des accidents (Amalberti, p.33) : notre hypothèse est que cela traduit simplement une disparité importante des moyens mis en œuvre, lors de la conception, pour améliorer la partie technique des systèmes, par rapport aux situations de travail qui sont, de fait, conçues par la même occasion. Cette disparité est évidente : un projet industriel peut nécessiter des centaines d'années/ingénieur, contre, dans le meilleur des cas, quelques mois d'ergonome praticien professionnel. De ce fait, l'image négative du rôle de l'homme dans les systèmes complexes se renforce, ainsi que l'allocation de ressources importantes pour rechercher comment minimiser sa contribution. Le rôle positif de l'opérateur apparaît pourtant fondamental dans toutes les analyses de terrain : il est avant tout l'élément de régulation ultime du système, celui qui peut faire face aux défaillances techniques, aux contextes d'exploitation imprévus, qui peut anticiper une évolution vers des zones critiques du système et agir ; faillible comme tous les éléments d'un système, il est d'abord un agent de fiabilité (Mazeau, 1993).

Encore faut-il lui fournir les moyens (en information, en temps, en organisation) qui lui permettent d'exercer ses compétences et ne pas le mettre en situation d'échec, c'est-à-dire face à un état particulier du système dont la gestion est incompatible avec ses capacités (Celier et Nicolet, 1984, Mazeau 1993, Fadier et Mazeau, 1996).

Sécurité et conception

Le processus de conception des systèmes de productions et des produits est de plus en plus rapide, et implique de fournir au client, exploitant industriel ou consommateur, un système fiable, qu'il puisse s'approprier rapidement, facile à exploiter et à maintenir. Compte tenu de l'obsolescence rapide des techniques et des produits, il n'est plus possible de passer des mois ou des années à apprendre à démarrer un atelier et le piloter pour obtenir la productivité et la qualité visée ou faire disparaître les risques pour les opérateurs. La sécurité ne peut donc plus, comme par le passé, être le résultat de la capitalisation des expériences malheureuses, lorsqu'on "renforçait" le système aux points dangereux, à la suite d'accidents, par des protections (quelquefois faisant obstacle à la production), des effectifs plus nombreux ou de simples consignes de sécurité : il faut proposer un système à la fois sans danger et fiable, et ceci "du premier coup".

L'ingénierie simultanée vise à faire face à ces contraintes, en utilisant les nouvelles technologies de circulation et de partage des informations, en quasi-temps réel, pour des équipes et des métiers différents, quelquefois géographiquement dispersées. Elle pose aussi de nouvelles questions, du fait même du raccourcissement des délais de réflexion et de la diminution de l'inertie des systèmes (J. Rasmussen, 1988).

Pour la sécurité, les nouvelles techniques de modélisation et de simulation permettent de calculer et de vérifier de nombreuses hypothèses à coût réduit, par rapport au développement réel et de nombreux défauts de sécurité sont repérés et corrigés dès cette phase de conception. Les difficultés qui demeurent sont les "détails" mais qui peuvent s'avérer catastrophiques dans des états particuliers du système, rares, et qui ne peuvent pas être repérés lorsque la prise en compte du Facteur Humain est faite de façon empirique.

Les différentes logiques de la sécurité

Plusieurs approches de la sécurité coexistent aujourd'hui. Elles ne sont pas équivalentes, du point de vue de leur capacité à prévoir a priori les risques réels auxquels seront exposés les exploitants, le consommateur ou le public.

Sécurité fondée sur la réglementation et l'application de normes Cette approche fondée sur l'application stricte des lois et règlements peut être coûteuse et inefficace. Elle visait quelquefois à dégager la responsabilité de l'entreprise, ce qui n'est plus vrai depuis la loi de 1993, qui oblige l'entreprise non seulement à respecter la réglementation, mais à s'assurer qu'il n'existe pas de risques pour les opérateurs, ce qui est différent. Le respect à la lettre de la réglementation pose quelquefois des problèmes insolubles aux exploitants. Par exemple, l'interdiction d'accès à toute pièce en mouvement peut aussi empêcher l'opérateur d'obtenir les informations dont il a besoin pour assurer la qualité du produit. Tout obstacle constitue alors une source de risque supplémentaire (pour contourner la sécurité) ou de moindre qualité, rapidement inacceptable d'où l'adoption de pratiques plus dangereuses que les pratiques originelles.

L'application de normes et recommandations peut permettre de prendre en compte les aspects les plus élémentaires de l'ergonomie, telles que l'anthropométrie (dimensionnement des plans de travail, des circulations, des escaliers), mais ces normes sont insuffisantes pour les aspects tels que la gestion du flux d'informations dans chaque état particulier du système par l'opérateur. Elles peuvent aussi conduire à la négation de la variabilité inter-individuelle (entre les jeunes et moins jeunes, hommes et femmes, petits et grands, débutants et experts) et de la variabilité intra-individuelle (l'activité de travail est différente, pour un même opérateur, entre la nuit et le jour - C. Gadbois et Y. Queinnec, 1984).

Sécurité fondée sur la seule participation des opérateurs Cette approche de la sécurité, très en vogue dans certaines entreprises ("la sécurité, c'est l'affaire de tous"), ne vaut pas pour la conception de nouvelles installations, pour lesquelles des choix fondamentaux pour la sécurité sont pris (fonctions disponibles), très en amont dans le projet, avant la présence des opérateurs. En correction, ou lorsqu'on associe les opérateurs d'un site de référence pour une nouvelle conception, on court le risque de surestimer les dangers identifiés à la suite d'un incident ou accident, au détriment de risques beaucoup plus importants, mais restés encore sans conséquences, parce que l'état particulier critique ne s'est pas encore produit, ou parce que sa fréquentation quotidienne a permis aux opérateurs d'acquérir une virtuosité (sensori-motrice et/ou cognitive) telle qu'elle n'est plus évoquée comme susceptible de "ratée" et par conséquent d'accident, alors même que les opérateurs travaillent toujours dans la zone critique de leurs capacités, (ce qui peut même être source de fierté et de plaisir).

La participation des opérateurs peut surtout être source d'effets pervers, lorsque par exemple, les participants à la conception, sur la base de leur expérience, multiplient les alarmes qui leur permettront, pensent-ils, de mieux contrôler l'atelier dangereux qu'ils ont à exploiter, alors que cette multiplication des alarmes "atomise" leur vision de l'atelier et leur fait perdre de vue la tendance de fond, l'image globale du système, ce qui a conduit dans un process dangereux à un accident grave, les opérateurs n'ayant pas anticipé la dérive du système.

Sécurité fondée sur la connaissance de l'activité réelle des opérateurs Pour assurer, dès la mise en service d'un système, la sécurité des personnes concernées, il est nécessaire de pouvoir anticiper leurs comportements futurs des opérateurs en situation. Cette approche, de plus en plus pratiquée, ne peut reposer sur la seule analyse des caractéristiques techniques du projet. En l'état actuel des connaissances, il n'existe pas de modèle général des comportements humains, ne serait-ce que pour un domaine particulier, qui permettrait, au regard des caractéristiques des missions demandées aux opérateurs, de donner des indications même probabilistes sur leurs comportements futurs : la théorie des catastrophes rend bien compte de cette caractéristique du phénomène accidentel, qui, pour une variation de "détail" du contexte (passage de la température en dessous de zéro ou non) ou de l'état interne momentané de l'opérateur (inattention de quelques secondes) peut conduire à l'accident ou non (cf. schéma ci-après).

schéma n° 1 : variation de la fiabilité d'un système
Performances Humaines & Techniques, n°83, p.41.

Le schéma n° 1 illustre la variation du niveau de fiabilité d'un système (axe vertical) impliquant des opérateurs et des ensembles techniques en interaction. Il varie en fonction de l'état interne de l'opérateur (axe face au lecteur) et des variations des conditions externes (état momentané du système technique et du contexte), représenté par le troisième axe. Cette représentation, inspirée des travaux de Thom (Thom R., 1980), et de Zeeman (Zeeman E.C., 1978), sur la théorie des catastrophes, montre de façon qualitative, que pour certaines conditions externes (tâche) particulières du système, une petite dégradation de l'état interne de l'opérateur peut avoir des conséquences très lourdes. En ce sens, le travail du spécialiste en facteur humain sera de repérer et d'éliminer les possibilités d’occurrence des situations pour lesquelles même un opérateur compétent, vigilant et préparé par une représentation mentale actualisée ne devra le succès qu'à "la chance". Il aura pour mission d'aider les spécialistes techniques à anticiper les conséquences dramatiques - en terme de fiabilité du système - d'un choix qui peut leur apparaître comme un "détail".

Les spécialistes du Facteur Humain, en appliquant des connaissances générales sur le fonctionnement de l'homme à ces cas particuliers que constituent les systèmes à concevoir, postes de conduite ou machines, peuvent élaborer des modèles limités, mais rigoureusement validés dans leur domaine, pour prévoir les comportements futurs des opérateurs, à partir de l'analyse de systèmes existants, dits sites de référence.

Comment prendre en compte la sécurité dès la conception ?

Il ne s'agit pas de dire que la sécurité ne doit pas être une préoccupation en exploitation, mais la fiabilité d'un système anthropo-technique est déterminée en grande partie lors de la conception, et ne pourra généralement plus être améliorée radicalement après mise en exploitation sans de nouveaux investissements : les marges de manœuvres seront étroites, entre les difficultés techniques, économiques et réglementaires (certification). On pourra agir sur la formation des opérateurs : mais les limites humaines peuvent dans certains domaines être rapidement atteintes (par exemple si les variables à maîtriser en instantané sont nombreuses en interactions non linéaires, si les situations successives se ressemblent par leurs traits de surface en étant différentes en réalité, si l'on doit toujours réagir en urgence) ; dans de nombreux cas, la formation n'apportera pas de gain perceptible (vigilance, mémoire). On pourra agir aussi sur l'organisation du travail ; les marges de manœuvres sont parfois considérables, mais avec des coûts très variables d'un cas à l'autre. Les interfaces Homme-Machine, lorsqu'elles sont informatisées, donnent de nouvelles marges de manœuvre intéressantes ; dans ce cas, il faut compter avec la difficulté à changer des habitudes les procédures peuvent être changées, mais on risque là aussi de mettre en difficulté des opérateurs qui avaient fait un effort conscient ou non de mémorisation de procédures qui vont devenir obsolètes.

En exploitation, éviter les dérives dans l'exécution des procédures et la répartition des tâches, lutter contre les habitudes, veiller à conserver le niveau de compétence pour faire face aux situations accidentelles jamais vues dans la réalité constituent des tâches suffisamment redoutables pour que l'on s'efforce, dès la conception, de prendre en compte la sécurité .

Les paragraphes ci-dessous exposent les grandes lignes de la méthode que nous avons utilisé dans de nombreux cas depuis une vingtaine d'années.

Analyser le fonctionnement de sites de référence En pratique, il existe toujours des sites de référence, c'est-à-dire des sites sur lesquels des analyses du travail permettent de mettre à jour le fonctionnement d'opérateurs particuliers confrontés à des états particuliers du système. Ces sites de référence ne sont pas des exemples à imiter, mais des points de repère, utiles parce que les missions accomplies par les opérateurs sont proches de celles qu'ils auront à accomplir dans le futur système à concevoir, ainsi que la population et les technologies utilisées. Ces démarches d'analyse de sites de référence sont souvent accompagnées - et non remplacées - par des études sur simulateur, maquette, en laboratoire, sous certaines conditions (Leplat, 1978). Disposer d'un modèle général de fonctionnement de l'homme au travail Par définition, il n'y a pas identité entre le site de référence et le site futur : les connaissances générales sur le fonctionnement de l'homme issues des sciences telles que la psychologie cognitive, la physiologie, la sociologie permettront d'extrapoler la façon de contrôler l'activité observée sur le site de référence au site futur ; extrapoler, c'est-à-dire repérer les états particuliers dans lesquels les capacités des opérateurs seront sollicitées de façon critique (difficulté à constituer une représentation mentale actualisée, à faire face au stress ou à un effort physique dans un contexte particulier). Concevoir un " modèle " de l'opérateur Les spécialistes du Facteur Humain peuvent alors proposer aux spécialistes de la technologie, de l'organisation, des ressources humaines, un modèle de fonctionnement de l'opérateur en situation, qui précise, pour chaque état particulier recensé du système existant, les exigences critiques pour chaque niveau de fonctionnement de l'homme. Travailler en co-conception avec les concepteurs techniques Le travail avec les équipes de conception permet de cerner les écarts techniques entre site de référence et site futur, c'est-à-dire de valider que les états particuliers du système observé sur le site de référence seront présents dans le futur système, et pour chacun d'eux les écarts sur les moyens disponibles, les contraintes à respecter, les éléments de contexte, et d'anticiper les conséquences des choix organisationnels et techniques sur les exigences pour les opérateurs : le spécialiste du Facteur Humain ne peut limiter son rôle à une analyse, qui serait une fin en soi ; il s'agit d'aider les concepteurs - et non de se substituer à eux - pour trouver les solutions de compromis les plus sûres et les plus fiables (Christol, Mazeau, 1992, Abela, Mazeau, 1995).

En Sécurité, il s'agira en particulier de vérifier que les opérateurs disposeront de toutes les informations nécessaires pour discriminer des états particuliers du système semblables par leurs traits de surface mais différents par leur dangerosité, et que pour chacun d'eux, les possibilités d'anticipation de leur évolution sont suffisantes pour mettre l'opérateur à l'abri des "états d'urgence". On vérifiera en outre que les transitions d'un état à l'autre du système sont à la fois visibles et faciles pour l'opérateur.

L'analyse fonctionnelle, croisée avec l'analyse du travail, fournit ainsi un moyen très opérationnel de coopération avec les concepteurs, en mettant au regard des scénarios issus de l'analyse du site de référence les fonctionnalités prévues, leurs enchaînements automatiques et les exigences qui en découlent pour les hommes, de façon à évaluer leur capacité à "faire face" sans risque, et à jouer leur rôle d'agent de fiabilité.

Le schéma n° 2 illustre la méthode proposée : en colonne, on trouve dans la partie gauche du tableau les fonctions nécessaires au fonctionnement du système (fonctions 1 à n) ; les lignes correspondent aux différentes classes de situations que peut rencontrer l'opérateur ou l'équipe d'opérateurs : démarrage de l'installation, diverses phases de marches normales, marches dégradées chacune de ces classes de situations, est issue d'observations sur un ou des sites de référence par les spécialistes en Facteur Humain, ou encore inférée à partir d'entretiens avec les opérateurs, les responsables du site de référence et les responsable techniques du futur projet. On dispose ainsi d'un tableau à double entrée qui permet de modéliser les enchaînements dans l'activation des fonctions utiles pour faire face à une situation donnée. On repère - grâce aux connaissances générales sur l'homme évoquées ci-dessus - dans chaque classe de situation, les exigences critiques pour l'opérateur (exigences physiques, mentales, psychiques) et on peut alors coopérer avec les spécialistes techniques pour rechercher des solutions permettant de d'éliminer ces exigences critiques, en modifiant les outils, leurs interfaces, les procédures ou l'organisation du travail.

Fonctions Classes de situations	Fonction 1	Fonction 2	Fonction 3	_	Exigences critiques pour l'opérateur
état particulier 1
état particulier 2
état particulier 3
état particulier 4
état particulier 5
_

schéma n° 2 : croisement
analyse fonctionnelle/analyse opérationnelle.

Conclusion

Dans de nombreuses entreprises, une opinion répandue consiste à dire que puisque tout a été fait en sécurité à propos du matériel, et que des accidents continuent à se produire, alors c'est sur les comportements humains qu'il faut agir. En fait, l'analyse montre que tout n'a pas été fait sur le plan matériel, en particulier quant à l'analyse précise des états particuliers du système soumettant l'opérateur ou l'équipe à des exigences critiques compte tenu de ses capacités (de vigilance, d'attention, d'anticipation, de diagnostic, de résistance à la fatigue ou au stress) : cette croyance repose sur une hypothèse fausse (tout a été fait en matière de matériel) et des croyances erronées (on peut facilement modifier les comportements).

Bibliographie

Amalberti R. (1996), La conduite des Systèmes à Risque. Paris, PUF.
Abela E., Mazeau M., Lozach I. (1995), De l'analyse de l'activité à l'élaboration des solutions, Performances Humaines et Techniques, n° hors série, pp.52, septembre 1995.
Bachelier E., Mazeau M. (1996), La théorie des catastrophes, une aide à la modélisation des accidents, Performances Humaines et Techniques, 83, 39-43, juillet-août 1996.
Celier J., Nicolet J.L. (1984), La fiabilité humaine dans l'entreprise. Paris, Masson.
Christol J., Mazeau M., (1992), Le métier d'ergonome, Performances Humaines et Techniques, 60, 18-25, septembre-octobre 1992.
Fadier E., Mazeau M. (1996), L'activité humaine de maintenance dans les systèmes automatisés : problématique générale. Journal européen des systèmes automatisés, 30, 10/1996.
Leplat J. (1978), L'équivalence des situations de laboratoire et de terrain, Le Travail Humain, 41, 2.
Leplat J. (1993), L'analyse du travail en psychologie ergonomique. Toulouse, Octarès éditions, (tome 1 et 2).
Leplat J., de Terssac G. (1990), Les Facteurs humains de la fiabilité dans les systèmes complexes, Toulouse, Octarès éditions.
Mazeau M. (1993), L'homme agent de fiabilité faillible. Performances Humaines et Techniques, 66, 24-29, septembre-octobre 1993.
Gadbois C., Queinnec Y. (1992), Travail de nuit, rythmes circadiens et régulation des activités. In J.Leplat (s/d), L'analyse du travail en psychologie ergonomique, Toulouse, Octarès éditions (1992), tome 1, pp. 219.
Performances Humaines et Techniques, 77, 78 (1995) et 83 (1996) dossiers consacrés à "Sécurité et ergonomie".
Rasmussen J. (1988), Information technology and work. In M.Helander (ed.), Hand book of Human-Computer Interaction, Amsterdam, Noth-Holland.
Thom R. (1980), Modèles mathématiques de la morphogénèse, Paris, Christian Bourgois
Zeeman E.C. (1978), Catastrophe Theory Reading, Mass. Addison-Wesley

Mardi 7 septembre
Le facteur humain dans les systèmes complexes