A risk science perspective on the discussion concerning Safety I, Safety II and Safety III
Aven, T. (2022). A risk science perspective on the discussion concerning Safety I, Safety II and Safety III. Reliability Engineering & System Safety, 217, 108077.
Our opinion
Un article pédagogique sur les distinctions entre différentes approches de la sécurité industrielle, limité aux différences entre Safety 1, Safety 2 et Safety 3, et avec une absence de référence aux HROs. Bonne lecture de base.
Notre synthèse
La sécurité est traditionnellement définie comme l’absence d’accidents et d’incidents. La définition a progressivement incorporé un jugement sur la gravité des conséquences, traduit par l’idée de risques inacceptables. Cette approche est traduite par l’acronyme « Safety 1 » qui présume que ce qui va mal est causé par des défaillances identifiables et réductibles (qu’elles soient d’origine technologique, procédurale, facteurs humains ou des trois niveaux imbriqués l’un dans l’autre). Les méthodes de remontée vers la (ou les) cause(s) et leurs effets permettent d’évaluer la gravité des scénarios : arbre des causes, Probability Risk Assessment (PRA), Quantitative Risk Assessment (QRA). Cette approche est toujours dominante dans l’industrie.
Comparativement, l’approche « Safety 2 », introduite par Erik Hollnagel, définit la sécurité comme la capacité à réussir le travail dans des conditions variables de contexte et d’environnement. On passe ainsi de l’idée d’éviter des problèmes à celle d’assurer le plus possible de faire face avec succès à une variété de situations et contextes de travail. La variabilité journalière du travail et de la performance est même considérée comme le socle de l’adaptation aux situations les plus diverses non encore rencontrées. Cette variabilité naturelle est donc plutôt à favoriser pour rendre plus robuste l’adaptation. L’approche se base sur une proactivité constante, anticipant les évènements et contextes. Les méthodes, forcément différentes de Safety 1, sont centrées sur la gestion (et préservation) d’une certaine enveloppe de variabilité de la performance qui sert en retour d’immunité et de source de savoir adaptatif.
La résilience est comprise comme l’articulation entre les deux types de sécurité : Safety 1 en conditions normales et attendues, et Safety 2 en conditions inattendues de surprises.
Une troisième perspective dite « Safety 3 » a été introduite par Nancy Leveson. Leveson propose une critique simultanée des généralisations excessives de Safety 1 et de Safety 2. Elle prône une approche alternative plus systémique et finalisée qui vise à éviter ce que l’on juge le plus inacceptable, tout en permettant une adaptabilité pour la variété des problèmes mineurs. C’est typique d’une approche inverse, où l’on part de ce que l’on ne veut pas voir se réaliser a priori (plutôt que d’une approche de retour d’expérience visant à supprimer la répétition des défaillances). La sécurité devient un jugement, défini comme l’évitement de ce qui est jugé inacceptable par les acteurs responsables du système (industriels, autorités…). La défense contre l’événement redouté n’est plus comprise comme une action à mener sur l’identification et la suppression de sa cause (comme dans Safety 1), mais comme un défaut des moyens de défense qui ont été déployés contre cette survenue redoutée. Le but est ainsi d’éliminer ces accidents majeurs redoutés tout en permettant sur le reste du spectre du travail une grande flexibilité et adaptabilité humaines aux situations les plus diverses.
Safety 2 et Safety 3 ont une approche plus systémique que Safety 1, et qui prend mieux en compte la complexité croissante des risques industriels.
Les différences entre Safety 1, Safety 2 et Safety 3 relèvent selon les auteurs de 8 thèmes clés résumés dans le tableau ci-dessous.
Safety 1 | Safety 2 | Safety 3 | |
Concept de sécurité | Absence d’accidents et d’incidents. | Capacité à réussir dans une grande variété de contextes. | Absence d’accidents inacceptables. |
Concept de risque | Tous évènements et leurs conséquences évalués par des probabilités. | Possibilité d’évènements inattendus et de surprises. | Possibilité d’évènements jugés inacceptables a priori. |
Variabilité | A réduire autant que possible. | Inévitable, et même précieuse pour aider l’adaptabilité. Doit être surveillée et gérée. | Concevoir un système sûr et performant où la variabilité reste admise y compris en dehors du domaine contraint de fonctionnement pensé comme sûr (système tolérant aux fautes, conception sûre). |
Causalité | Les accidents sont causés par des erreurs humaines et des défauts du système. | Les accidents résultent d’une surprenante combinaison de variabilités de contextes, pour laquelle les défaillances de gouvernance sont plus en résonance du problème que des causes directes. | Les accidents résultent d’une mauvaise gestion des défenses prévues pour les éviter. C’est le but de l’enquête d’accident que de comprendre quelles défenses ont cédé et pourquoi. Il n’y a pas de cause unique. Les défenses relèvent de tout le système sociotechnique et pas seulement de l’interaction homme-machine de proximité. |
Modèle de sécurité et caractérisation du système | Le modèle repose sur un système supposé connu dans son domaine de fonctionnement, il est simple, linéaire, décomposable en éléments de base. | Il n’existe pas de modèle exact de l’imprévisible et de la complexité de tout ordre qui caractérise le monde, y compris sociotechnique. | Les modèles simplifiés sont utiles pour comprendre les phénomènes complexes. Ils représentent des alternatives aux modèles linéaires de décomposition de Safety 1. L’exemple type est le modèle STAMP reposant sur une théorie systémique. |
Évaluation du risque | Méthodes traditionnelles FTA (fault tree analysis), ETA (event tree analysis), PRAs, QRAs… Basées sur des probabilités pour juger de la fréquence et l'acceptabilité (gravité). | Rejet des méthodes traditionnelles, mais pas de méthodes alternatives proposées. | Méthodes traditionnelles pour analyser les défauts du système. |
Principes de la gestion des risques | Réactif sur tous les événements du passé. | Proactif. | Réactif avec un focus sur les évènements redoutés et leurs défenses, privilégie les audits des défenses. |
Principes de la gestion de la sécurité | Leçons des erreurs du passé pour corriger le système. | Leçons sur la fréquence observée plus que sur la gravité des évènements. Accent sur les leçons positives, sur ce qui a bien marché en conditions variables. | Leçons des erreurs du passé pour corriger le système au sens large. |
Questions sur les différents principes de gestion des risques et de la sécurité
Si l’on veut soutenir une perspective scientifique sur la sécurité, les concepts de sécurité restent problématiques dans les trois cas.
Une science de la sécurité ne peut pas être suspendue en l’air toute seule, elle doit forcément être liée à des évènements et leurs conséquences.
Il s’agit clairement d’une limite de Safety 2.
Dire qu’on regarde la capacité de succès implique de définir ce qu’est le succès et aussi laisser une place explicite au cas où cela se passe mal, et clarifier ce que sont ces évènements indésirables et leurs conséquences en regard de ce qui est retenu comme évènements positifs.
Leveson dans sa critique de Safety 2 prend l’exemple du passager d’avion : Est-il plus important d’apprécier le confort et la qualité du vol que d’éviter à l’avion de se crasher ? À mettre un poids trop grand sur ce qui va bien, on peut vite être amené à soutenir de mauvaises pratiques, voire à flécher l’argent de la sécurité vers ce qui va bien mais qui n’est pas essentiel, sans pour autant garantir que le soutien à des solutions apparemment gagnantes localement soit vraiment robuste à tous les contextes et ne soit pas la source d’une catastrophe dans un autre contexte.
Une science de la sécurité ne peut pas juste être définie par l’absence de survenue (estimée par la fréquence mesurée), elle doit aussi laisser une place aux conséquences dramatiques des cas totalement marginaux où la fréquence n’est plus mesurable (queue de distribution du risque).
Les trois modèles sont peu ou prou concernés par cette limite.
Safety 2 ne regarde pas les conséquences, et est donc directement concerné par cette critique.
Mais Safety 1 et 3 sont aussi en difficulté dans tous les cas où on va accepter le risque associé à une probabilité de survenue totalement marginale mais avec des conséquences considérables et totalement inacceptables.
C’est encore plus vrai dans le cas de Safety 1 que de Safety 3, où on finit par affirmer qu’on garantit la sécurité en queue de distribution de risque sur le constat d’une « absence décrétée » de risque liée à une fréquence jugée marginale alors qu’on ne sait plus ni prouver et mesurer réellement cette fréquence résiduelle, ni vraiment évaluer les conséquences potentiellement considérables d’un évènement majeur totalement marginal, ce qui constitue un point clairement faible d’une science de la sécurité qui perdrait toute la logique en queue de distribution.
Une science de la sécurité ne peut pas être définie sans prendre en compte l’incertitude.
L’incertitude caractérise les systèmes complexes. Elle reflète une connaissance imparfaite du monde, et une possibilité croissante d’inconnu dans les réactions observées.
Les trois modèles sont peu ou prou concernés par cette limite, mais particulièrement les modèles de Safety 1 et Safety 3.
La référence au passé est insuffisante pour anticiper les cas/scénarios encore inconnus, jamais vus, pas imaginés. Ces cas ne sont pas pris en compte ni dans Safety 1 (puisque jamais imaginés ni testés) ni dans Safety 3 (qui repose sur un modèle a priori des catastrophes redoutées et met l’accent sur la défense de leur survenue).
En conclusion, aucun de ces trois modèles n’est complètement satisfaisant. Safety 4 reste à inventer