From Clapham Junction to Macondo, Deepwater Horizon: Risk and safety management in high-tech-high-hazard sectors
Swuste, P., van Gulijk, C., Groeneweg, J., Zwaard, W., Lemkowitz, S., & Guldenmund, F. (2020). From Clapham Junction to Macondo, Deepwater Horizon: Risk and safety management in high-tech-high-hazard sectors: A review of English and Dutch literature: 1988–2010. Safety science, 121, 249-282.
Notre avis
Une mine d’or en matière d’histoire de la sécurité industrielle.
Parfois redondant dans l’exposé, mais vraiment bien documenté.
Notre synthèse
Cette revue de littérature — limitée aux livres, documents et articles originaux en anglais et néerlandais parus entre 1988 & 2010 — redonne une perspective historique aux différentes contributions à la prévention des risques majeurs.
L’article part d’un inventaire des grandes catastrophes survenues sur cette période 1988-2010 dans la pétrochimie, le rail, l’aviation et le nucléaire (Japon et Pays occidentaux uniquement).
L’analyse au fil des années des taux d’occurence d’accidents majeurs dans les différentes industries arrive au constat d’un calcul bien difficile (problème de dénominateur et de fenêtre temporelle considérée) ; mais au total, on a plutôt l’impression d’une très faible réduction, voire d’un maintien sur un plateau de l’occurrence des catastrophes.
Puis l’article fait un zoom sur un exemple qui résume à lui seul les causes habituelles recensées dans les accidents majeurs. Il s’agit de l’accident dramatique ferroviaire anglais de Clapham Junction où un train à grande vitesse heurta le 12 décembre 1988 un train vide près de Londres (30 morts, 600 blessés). La cause en était un système de sécurité défaillant. Le rapport d’enquête fut nourri, avant même sa publication, par deux autres accidents dramatiques de la même compagnie. Le premier à Purley Station à Londres, 4 mars 1989 : 6 morts, 94 blessés, avec un conducteur accusé d’homicide volontaire ; Et le second à Bellgrove près de Glasgow le 6 mars 1989 : avec 2 morts suite à un franchissement de signal pas vu par le mécanicien du train. Le rapport de Clapham Junction pointe des problèmes organisationnels évidents et récurrents dans la sécurité ferroviaire de British Rail. On y lit que le département responsable de la sécurité à British Rail avant l’accident s’était reconfiguré 4 fois en 1982, 84, 86 et 88 avec une fuite des séniors et des mises à la retraite à un moment où British Rail voulaient passer à marche forcée vers un modèle plus automatisé.
La communication dans la chaine managériale avec la base était totalement déficitaire. Le rapport recommandait une meilleure culture de sécurité, une cohérence dans les équipements, mais ne fit aucun lien explicite avec la littérature émergente à cette époque en matière de facteurs humains.
Cet exemple conduit les auteurs à ré-analyser l’histoire de la prévention des accidents majeurs dans les 40 dernières années.
Quelles ont été les grandes étapes de la prévention des accidents majeurs ?
Dans les années 1960, première initiative britannique et américaine dans la chimie appelée Loss preventive initiative (prévention des pertes majeures) : approche multidisciplinaire, centrée « sciences dures » (maths, physique, probabilités, techno), appuyée sur des modèles d’accidents en domino, intégrant aussi la composante management. On aboutit à la notion de niveau « acceptable » (au sens « atteignable technologiquement ») de prévention des catastrophes avec quelques maximes de management associées (« une compagnie qui oublie son passé le répète », « le succès dans la prévention est le succès du futur », « une compagnie n’est pas en contrôle des risques si un accident survient alors que son risque était mesurable et est resté ignoré », etc.).
En 1974, l’explosion d’une usine chimique à Flixborough en Angleterre (28 morts), causée par une décision de modification de production sans contrôle managérial approprié, fit évoluer radicalement les idées sur la prévention. On y intégra la conception du système sûr. Ce fut l’origine des premiers systèmes de management de la sécurité (SMS), visant à une prise en compte plus systémique des risques.
Au tout début des années 1980, on ajoute l’idée d’une série de protections/barrières successives pour prévenir les catastrophes (Layers of Protection Analysis, LOPA). Le LOPA est d’abord utilisé dans les installations militaires puis dans le nucléaire.
Les années 1980-90 ne furent pas très productives de nouvelles idées de sécurité. On était plutôt dans une décennie de réorganisation industrielle, de début des sous-traitances, d’intensification de la production.
C’est à la fin des années 1990 qu’un nouveau pas décisif fut réalisé avec l’arrivée concomitante :
- d’une vision systémique schématisée à l’aide du fromage suisse de Reason (1997),
- de la métaphore du nœud papillon (bow tie, Visser 1998) pour analyser causes et conséquences des risques,
- de la théorie de l’incubation des catastrophes – Disaster Incubation Theory – (Turner 1997), un prolongement de la théorie du même auteur sur les catastrophes liés aux facteurs humains, organisationnels, politiques et culturels (« Man-made disasters »),
- et la théorie des accidents normaux de Perrow (Normal Accident theory) pointant la complexification administrative y compris pour la sécurité, qui devenait en soi une source de nouveau risque.
Ce terreau fertile en idées neuves allait nourrir le groupe de travail de Berkerley (Rocklin, Laporte, Roberts) fondateur de la théorie des organisations à haute fiabilité (HRO, High Reliability Organization) avec toute une littérature d’accompagnement sur la complexité, la dérive systémique (Vaughan), et la sociologie des grands accidents particulièrement après les accidents de BP au Texas et dans le golfe du Mexique – Maccondo (analysé par exemple par Hopkins). Une grande partie de ces écrits accompagnait une transformation industrielle profonde de mise à distance des opérateurs de première ligne, surtout avec l’automatisation, un allongement de la chaîne managériale et une perte de sens dans la compréhension du risque par les managers. La fiabilité des organisations humaines était au centre de toutes ces nouveautés, avec plusieurs points de fragilité récurrents : compétences, « juniorisation », formations inadaptées. Les termes de « complexité » et de « systèmes socio-techniques » arrivaient au centre des débats et des défis de la sécurité du nouveau millénaire.
Jens Rasmussen, à la fin des années 1990, apporta un dernier virage majeur à cette nouvelle pensée sur le risque, en décrivant le risque comme un système vivant, dynamique, qu’on ne peut capturer pour une longue période par une analyse aussi fouillée qu’elle soit. Il faut sans arrêt reconsidérer l’analyse réalisée, la regarder au gré des changements de contextes, des migrations d’ambitions de la direction, de la concurrence, des opérateurs, et des différents niveaux d’abstraction qu’elle sollicite sur le système (niveaux de pilotage du système entre niveaux corporate et terrain).
En 2004, Hollnagel viendra compléter ces visions, en introduisant l’idée d’ingénierie de la résilience, en introduisant l’idée que les mécanismes des échecs sont en fait les mêmes que les mécanismes que ceux du succès, simplement différenciés par une variation du contexte. Une production particulière qui va excéder des capacités ponctuelles, ce qui est en fait le lot de la variété naturelle et considérable des situations de travail qui cachent quelques échecs et produisent un nombre innombrable de succès, dont une large partie sont liés à la capacité de récupération des opérateurs. Hollnagel en est donc venu naturellement en 2014 à l’idée de « Safety1-Safety 2 » mettant l’accent sur l’étude des succès (plus faciles et plus nombreux que les échecs, et pourtant de même causes) pour améliorer la sécurité.
Malgré toutes ces idées novatrices, on ne peut que constater la prévalence dans la pratique des calculs plus scientifiques de la probabilité de risque d’erreur humaine développés au départ dans le nucléaire (années 1950), et peaufinée au gré des systèmes techniques depuis. Ces méthodes ont l’avantage d’être quantitatives (HRA, Human Risk Analysis ; SRA, System Risk Analysis, et plus globalement QRA, Quantitative Risk Analysis), faisant sens et preuve pour les tutelles et pour la communauté scientifique des sciences dures, plus proches de l’industrie (et du pouvoir) que la communauté des facteurs humains et organisationnels.
Conclusion
Les auteurs ne pouvaient que conclure que la science de la sécurité n’a pas encore trouvée de théorie unificatrice, ce qui trahit son jeune âge en tant que discipline scientifique. Dans la période concernée, beaucoup de théories, modèles et métaphores ont certes émergés. Ces théories, modèles et métaphores mettent l’accent sur les aspects organisationnels des accidents majeurs dans les secteurs de haute technologie à hauts potentiels de danger. Ces évolutions doivent être prises en compte dans le contexte d’une influence dynamique de facteurs externes, de même qu’une diminution de l’influence gouvernementale coïncidant avec une forte internationalisation et évolution du marché et de la technologie. En témoigne aussi que les cultures organisationnelles ou de sécurité, et les SMS ont pris leur envol pendant cette période, à la fois en termes de recherche académique et d’activités de conseil pour les entreprises. On a créé un marché de la recherche et du conseil… Mais il reste à voir si ces concepts auront une quelconque influence durable sur les niveaux de sécurité dans les entreprises (qui se transforment rapidement), compte tenu de leur relation incertaine avec la prévention des accidents majeurs du passé.
D’ailleurs, l’absence de réduction franche du taux des catastrophes tend plutôt à montrer qu’on ne possède pas encore de proposition miracle. Et pire, les résultats récents de recherche montrent toujours que de nombreuses entreprises souffrent d’une gestion bâclée et n’ont qu’un aperçu limité des scénarios de catastrophes possibles.