Home

vive les pepins tome 2

Contents

1. Il existe par ailleurs des limites de l espace d tat au del desquelles la probabilit de catastrophe est tr s voisine de l unit La notion de limite est floue mais au voisinage d une limite la probabilit de catastrophe varie plus ou moins rapidement d une valeur proche de z ro une valeur proche de l unit Il est toutefois commode de parler de limite en supposant que le franchissement d une limite se traduit par un saut de probabilit de z ro on assimile une probabilit tr s faible une probabilit nulle un on assimile une probabilit voisine de un une certitude Fournissons quelques exemples L incidence est limit e une valeur maximale au del de laquelle se produit le d crochage a rodynamique valeur qui d pend de la configuration avion et des conditions de vol nombre de Mach en particulier La vitesse conventionnelle pratiquement la vitesse lue sur l an mom tre est limit e des valeurs maximales d pendant de la configuration de l avion pour des raisons de r sistance de la structure et des valeurs minimales pour des raisons de Man uvrabilit entre autres L altitude de l avion est limit e inf rieurement par des conditions de relief et sup rieurement par des conditions d a rodynamique plafond de sustentation et de confort des passagers pressurisation Le r gime de rotation des r acteurs est limit une valeur maximale impos e par des raisons de tenue m canique des
2. gt CHARGE de TRAVAIL TROP FORTE Cs gt Au cours d une op ration de conduite l op rateur doit dans un temps r duit ex cuter trop d op rations pour accomplir la t che requise par exemple reconfiguration rapide apr s panne Il n observe pas une variation significative sur un param tre important en dehors de son champ d action imm diat gt Au cours d une op ration de maintenance corrective effectuer dans un temps limit pour des raisons de d lai de retour la disponibilit op rationnelle l op rateur se trompe en relevant une valeur de contr le v rifier avant de poursuivre sa t che gt LAPSUS Ls gt Lecture erron e d une tiquette par exemple CR00012 au lieu de CR00021 bien que l tiquette soit parfaitement clair e et correctement crite gt L op rateur croit entendre un message d alarme alors que ce n est qu un bruit sans signification gt L op rateur croit entendre le message OUI en r ponse une interrogation alors que son interlocuteur a r pondu QUI Il est parfois difficile de faire la diff rence entre ce type d erreur tr s courante dans la vie de tous les jours et l erreur de mod le a priori SA pour laquelle l op rateur ne lit ou n entend que ce qu il s attend lire ou entendre Le robinet CR0012 doit tre ici je vois l tiquette CR0021 et je me dis c est bien ce que je pensais voici le robinet CR0012 La situation est d licate d ici qu une alarme retentisse i
3. la r partition spatiale et la signification des alarmes les op rations de manipulation du tableau de bord clairage verrouillage et d verrouillage des commandes manipulation des caches de protection man uvre des crans cathodiques des syst mes de changement d chelles connaissance des claviers et r le des touches etc De tels simulateurs peuvent se r duire des maquettes fixes mais il est fructueux de les animer quelque peu En particulier les commandes d cran doivent s accompagner de pr sentations d information r alistes permettant une manipulation proche du r el Il faut avoir vu l effet de telle commande d appel d un diagramme pour m moriser facilement le mode op ratoire Il peut sembler luxueux de disposer de tels simulateurs et penser qu il est moins on reux d utiliser le simulateur complet d entra nement pour ce type de formation C est un bilan faire mais en g n ral les simulateurs d entra nement sont satur s et il n est pas en outre toujours facile de pouvoir montrer toutes les manipulations possibles sur un simulateur en fonctionnement car l on y est tributaire des op rations simul es en cours Par ailleurs il est indispensable que les op rateurs soient parfaitement au fait des divers modes op ratoires du tableau de bord pour profiter au mieux des le ons de l exp rience au simulateur complet Les cons quences de l apparition d une br che au primaire et les consignes appliquer seront ignor
4. tait d viter des coincements de c bles par frottement ce qui aurait rendu l appareil impilotable Or un constructeur proposait de placer un guide enduit de t flon en lieu et place de la poulie Il est vident que le r glement crit bien avant la guerre ne pouvait envisager l utilisation d un mat riau tel que le t flon Le constructeur eut de grosses difficult s pour faire admettre que sa solution r pondait l objectif cach de s curit La r ponse de l administration tait on ne peut certifier un planeur sans les poulies impos es par le r glement Or un guide en t flon assure beaucoup mieux le glissement du c ble sans parties mobiles sujettes elles aussi des d faillances Bien entendu la d monstration de s curit n cessita de nombreux essais de validation de la solution vieillissement et usure en particulier La seule m thode efficace pour viter les d fauts que nous venons de citer consiste tablir des r gles imposant des objectifs de s curit et non les moyens de les atteindre Ce r glement doit tre accompagn d une liste de moyens acceptables de d monstration de conformit Ces moyens de d monstration sont par exemple des m thodes d essai permettant de v rifier que l objectif est atteint La grosse difficult r side dans la quantification des objectifs On s en tire g n ralement en imposant des performances au moins gales celles des syst mes actuellement en service Parmi les
5. L atmosph re rafales cisaillements de vents est d sormais relativement bien connue Il n en a pas toujours t ainsi Par exemple lors de la mise au point de Concorde nous ne disposions que peu d informations sur les turbulences que l on pouvait rencontrer aux altitudes de croisi res de cet avion altitudes sup rieures celles des avions de transports subsoniques La r ponse de l avion aux perturbations atmosph riques est calculable par des m thodes relevant de l a rodynamique et de la m canique du vol si l on conna t les perturbations maximales couvrir Par ailleurs les avions modernes utilisent des syst mes lectroniques qui peuvent se r v ler sensibles aux perturbations lectromagn tiques perturbations d origine naturelle orages rayonnement cosmiques d origine humaine installations de production et de transport lectrique installations industrielles ou d origine interne interactions entre syst mes lectroniques eux m mes ordinateurs t l phones portables individuels des passagers Ces perturbations surtout les perturbations industrielles sont encore mal connues et des tudes sont faire pour les pr ciser mais il est hautement probable que quelques accidents ont eu ces perturbations pour origine Un dernier probl me se pose enfin aux concepteurs des avions modernes Les ordres entre le manche et les gouvernes entre les manettes de gaz et les moteurs circulent maintenant par l interm diaire de c blag
6. Le nombre d essais n cessaire pour la d monstration d une probabilit p de d faillance donn e n est plus le m me que celui donn ci dessus lorsque l on dispose de r sultats d essais en laboratoire ou de r sultats op rationnels ayant d j conclu une probabilit d montr e p Le passage de p une nouvelle estimation p repose sur des consid rations qui sortent du cadre n cessairement limit de cet expos mais les m thodes et conclusions sont bien connues des statisticiens Vive les P pins Tome II 314 En conclusion nous retiendrons que des m thodes de mesure statistiques portant sur un chantillon de mat riels d truits en fin d essai permettent d affirmer que la probabilit de d faillance d un mat riel de s rie mis en service op rationnel sera inf rieure une valeur p et ceci avec une probabilit P dite niveau de confiance de voir cette affirmation confirm e en utilisation Une seconde conclusion s impose Si au cours de l utilisation r elle d un syst me dont on a estim par essai de laboratoire la dur e de vie moyenne 1000 heures on observe une d faillance au bout de 10 heures seulement il ne faut pas en d duire que l on est face un cas d esp ce que l on a eu la malchance de tomber sur un mauvais mat riel etc En effet la probabilit d observer une d faillance au bout de 10 heures sur un mat riel de dur e de vie moyenne 1000 heures n est que de 0 01 Cela montre bien qu il ne fa
7. Pertes de client le par diminution de la qualit du service rendu par l entreprise par d tournement de la client le par la concurrence par volution des besoins de la client le Pertes financi res Perte de l image de marque Vive les P pins Tome II 307 Types d agression Agressions internes au syst me gt D faillances du personnel erreur humaine probl me de fiabilit des hommes incapacit physique ou mentale des op rateurs gt D faillances du mat riel pannes probl me de fiabilit du mat riel Rayonnement lectromagn tique des syst mes lectroniques gt Fuites de produits toxiques transport s produits transform s etc gt Incendie Mouvements sociaux Agressions externes au syst me Ph nom nes naturels gt Tremblements de terre gt Vents et Temp tes rafales de vent lat rales pour les v hicules terrestres rafales de vent turbulence cisaillements de vent pour l a ronautique tat de la mer pour la navigation maritime ou les installations off shore rafales de vent pour les b timents terrestres les navires ou les installations off shore gt Inondations routes ou pistes d atterrissage favorisant l aquaplanage gt Pluie neige verglas gr le slush cong res etc gt S cheresse r duisant les possibilit s d alimentation en eau des installations Temp ratures extr mes effets sur les hommes et les mat riaux gt Perturbations
8. Vive les P pins Tome II 294 La mise sous scell s des preuves mat rielles en particulier paves pi ces cass es locaux incendi s produits chimiques plus ou moins d grad s etc On comprendra la frustration des ing nieurs responsables de la s curit qui pensent que l explication de la catastrophe ou du moins les circonstances pr cises ayant pr c d la catastrophe se trouvent dans les enregistrements qu ils ne peuvent consulter On comprendra leur anxi t l id e qu un autre accident est possible et qu ils ne peuvent le pr venir faute d l ments leur permettant de trouver un rem de On comprendra galement leur regret de voir des informations dispara tre du fait de la mise sous scell s des preuves mat rielles En effet l analyse d une fracture fra che sur une pi ce peut fournir des informations sur les causes de cette rupture fatigue d passement de la limite d effort statique ou d effort dynamique etc La corrosion de la fracture par oxydation l air masque peu peu ces informations avec le temps Il en va de m me des produits chimiques r sultant par exemple d une combustion Les r actions chimiques se poursuivent inexorablement et il est de plus en plus difficile de remonter aux informations initiales On objecte bien souvent que pour assurer la s curit en attendant la lev e des scell s il suffit d arr ter l exploitation du syst me en cause Mais les cons quences conomiques d une telle mesure peuv
9. la fin de son uvre c est de les rendre d terministes et non pas probabilistes Cette erreur est d ailleurs tr s b n fique puisque toutes ses nouvelles pour notre plus grand plaisir reposent sur les contradictions qui en r sultent et qui laissent les robots coinc s dans une situation les emp chant de prendre toute d cision Il est par ailleurs significatif que dans le dernier roman achevant Fondation il montre le vieux robot Daneel R Olivaw con u quelques mill naires plus t t ne pouvant se r soudre prendre la d cision de d truire une plan te avec tous ses habitants pour sauver le reste de l humanit dispers dans toute la galaxie Le robot choisit le suicide et laisse la d cision un humain car seul un humain peut prendre une telle responsabilit reposant sur des crit res qualitatifs et une d ontologie non programmable dans une machine L erreur humaine est aujourd hui suffisamment bien connue nous disposons maintenant d outils pour la combattre et pendant longtemps encore nous ne pourrons nous passer de l homme pour contr ler les machines Nous pouvons nous devons r duire la fr quence d apparition des erreurs humaines en limiter les effets nocifs et utiliser les qualit s irrempla ables de l homme pour am liorer la s curit de notre monde et ne plus consid rer les catastrophes technologiques comme une mal diction in vitable et imparable Nous devons nous garder d adopter une attitude laxiste vis vi
10. L analyse ne doit pas se contenter d identifier les seuls v nements ayant conduit des erreurs humaines v nements que nous appelons v nements d Op rabilit c est l op rateur qui est en cause Il faut rajouter les v nements dits de Sensibilit aux Perturbations et les v nements dits de Man uvrabilit que nous d finirons plus loin Sans la description de ces v nements en effet les erreurs commises peuvent ne pas tre Vive les P pins Tome II 185 compr hensibles une erreur commise par exemple mauvaise correction d une assiette lat rale anormale en turbulence n a pas de sens si l on n a pas pr cis la perturbation pr alable Revenons sur les notions d incidents et d accidents pour pr ciser le vocabulaire et quelques notions de base Pour g n raliser nous appellerons Machine le Syst me que le ou les op rateurs doivent contr ler Dans les cas que nous utiliserons principalement pour illustrer notre propos la Machine est videment l avion On peut repr senter l tat de fonctionnement de la machine tout instant par un point dit point d tat dans un espace n dimensions chaque dimension tant attribu e l un des param tres caract risant l tat de la machine dans son ensemble d un syst me d un sous syst me ou d un l ment Nous appellerons espace d tat l espace dans lequel se d place le point d tat Ainsi les composants du point d tat d un avion peuvent tre l incidence la vit
11. deux v nements bien d ind pendants se sont produits de fa on concomitante par exemple ouverture d un disjoncteur au moment de la mise en service d un syst me hydraulique totalement ind pendant L op rateur leur attribue une relation de cause effet ce qui le conduit inventer un mod le explicatif aberrant la strat gie labor e est une strat gie classique qui est efficace dans 99 des cas Dans le cas rare o elle est inefficace voire n faste l op rateur l applique sans v rifier le r sultat qui ne fait pas de doute pour lui ou l applique et ne comprend plus le d roulement des v nements aberrants pour lui Il s explique la situation en inventant des pannes et son mod le mental devient de plus en plus inadapt Ce type d erreur peut se produire lorsque l op rateur mal form s est b ti un mauvais mod le de comportement du syst me par exemple en g n ralisant abusivement une r gle empirique qui ne s applique que dans certains cas des automatismes ont fait voluer l tat l insu de l op rateur qui d s lors ignore cette suite d v nements et ne les prend pas en compte dans l volution de son image mentale du syst me l op rateur refuse de croire les informations qui lui sont pr sent es alarmes interpr t es comme une panne du syst me d alarme lui m me valeur anormale indiqu e par un instrument interpr t e comme une panne de capteur etc car contraires ce qu il attendait compte tenu de
12. mais il laisse le point d tat se rapprocher d une limite ou m me la d passer Les conditions favorisant l apparition de ces v nements sont la maladresse la surcharge de travail l absence de stimuli se traduisant par une baisse de vigilance l erreur de repr sentation mauvaise utilisation des donn es disponibles refus a priori des donn es utiles mauvaise estimation du risque etc Nous avons d j cit ces conditions d coulant du comportement des op rateurs et y reviendrons ult rieurement Pour ce type d v nement les performances du syst me et de ses moyens de contr le ne sont pas en cause On pourrait th oriquement pour chaque v nement concevoir un automatisme qui viterait la d rive du point d tat C est l op rateur et uniquement l op rateur qui est en cause compte tenu du syst me de pr sentation des donn es du syst me de commandes et des proc dures utilis es Vive les P pins Tome II 187 v nements de Sensibilit aux Perturbations Les perturbations qu il y a lieu de consid rer sont caract ristiques de la machine Elles ne sont pas les m mes pour un avion l ger un avion de transport une centrale nucl aire ou une motrice de TGV Citons quelques exemples en mati re d aviation de transport civil Par Perturbation Interne nous entendons essentiellement tout v nement se traduisant par la perte d une fonction assur e par l un des syst mes panne d un r acteur panne d un r gulateu
13. non conforme au pupitre op rationnel l op rateur est intellectuellement au fait de cette diff rence mais le r flexe acquis entra nement l emporte sur la connaissance D faut Syst me Fss disposition des instruments sur le panneau en contradiction avec la disposition spatiale des points de mesure sur le syst me r el ou sur le sch ma de conduite D faut Syst me Hes Ce type d erreur peut tre aggrav par une erreur du mod le d identification des sources d informations si la distinction entre une dizaine d instruments de m mes formes ne peut se faire que par lecture d un tiquetage sot rique par exemple tiquettes K22A K22B K22C pour des points de mesure rep r s sur le sch ma T421 T422 T423 cet tat de fait malheureux provenant du fait que les num rotations sur le pupitre et sur le sch ma de conception utilis pour la conduite ont t faites par des responsables n ayant pas les m mes pr occupations et surtout pas celle de la conduite D faut Syst me Hcs Vive les P pins Tome II 214 gt L op rateur rel ve une valeur erron e d un param tre parce qu il n a pas not la position d un commutateur de changement d chelle Il interpr te la position de l aiguille avec une mauvaise chelle erreur de mod le de transposition SPIs gt Un bouton poussoir permet chaque appui de modifier la valeur de l chelle de mesure et ou le type de param tre mesur Le r sultat de cette actio
14. Il faut noter qu il y a toujours une logique de conception des tableaux de bord mais que cette logique n est pas toujours la bonne surtout sur les syst mes anciens pour lesquels les probl mes d ergonomie taient totalement ignor s les afficheurs ont t dispos s sur un pupitre par un concepteur n ayant aucun souci d ergonomie il a suivi le cahier des charges dressant la liste des param tres afficher class s suivant un ordre alphab tique ou les a dispos s avec un souci d esth tique inappropri etc les afficheurs sont dispos s de fa on minimiser l encombrement ce qui conduit regrouper arbitrairement des afficheurs dont les fonctions sont tr s diff rentes un TCO Tableau de Contr le Optique repr sentant les voies ferr es et leur tat d occupation est orient suivant la r gle Paris gauche valable pour les plans papiers mais conduisant le disposer en sens inverse par rapport aux voies telles que vues du poste Les afficheurs sont dispos s de fa ons diff rentes sur les diff rents postes de travail qu un m me op rateur est susceptible d utiliser ce qui lui demande un effort d adaptation chaque utilisation favorable aux erreurs de localisation des sources d information Les afficheurs sont dispos s en ne tenant pas compte de la disposition des commandes dont ils d pendent logiquement le param tre servant de contr le l action d une commande est affich loin de cette commande
15. Notons toutefois une am lioration sans doute encore insuffisante mais r elle de la s curit du transport a rien due l utilisation raisonn e des automatismes sur les avions de la derni re g n ration dite des glass cockpit Une double d marche s impose Nous allons nous r p ter mais nous avons d j fait remarquer qu il faut lus d un coup de marteau pour enfoncer un clou P P P Nous devons tout d abord d tecter les d fauts de chaque syst me en cause et trouver des rem des pour les liminer ou du moins les r duire Nous diminuerons d autant les probabilit s d apparition de conditions n fastes conduisant l homme l erreur Il nous faut ainsi d finir clairement les objectifs des t ches confi es chacun et s assurer qu ils sont bien compris et connus r partir clairement les responsabilit s d ex cution des t ches entre les op rateurs et s assurer que cette r partition est bien comprise et connue de tous fournir aux op rateurs les moyens en hommes et en mat riels suffisants pour l ex cution des t ches qui leur sont confi es fournir des proc dures simples faciles choisir couvrant le maximum de cas pr visibles et s assurer qu elles sont bien comprises et connues de tous concevoir des machines sur des principes ne risquant pas de conduire des situations dangereuses linsu des op rateurs concevoir des postes de travail respectant les r gles de l ergonomie m canique c est dire tenant
16. abondamment exploit dans les premiers films tourn s en cin rama Au cours de la mise au point du mouvement cabine d un simulateur de vol une erreur de programmation avait conduit ce que la cabine r ponde l envers aux sollicitations du manche en gauchissement alors que l horizon artificiel r pondait correctement L op rateur qui n avait pas de vue sur le monde ext rieur se r f rait aux Vive les P pins Tome II 330 mouvements de l horizon artificiel correctement corr l s ses commandes mais ressentait sans en avoir conscience des mouvements de rotation en sens inverse Cette situation l a tr s rapidement conduit au malaise c tait un pilote de chasse confirm et il a fallu un certain temps avant de d couvrir l origine de ces troubles Le malaise li la non corr lation entre les informations en provenance de l il et de l oreille interne est en partie d au fait que l oreille interne pilote l il pour le maintenir fixe par rapport au monde ext rieur Ce dernier ph nom ne a une cons quence importante lorsque l avion est soumis des turbulences l il maintenu si la turbulence n est pas trop intense en position angulaire fixe par rapport au monde ext rieur est en mesure de capter ais ment les informations en provenance de ce monde ext rieur horizon r el position de la piste d atterrissage mais prouve beaucoup de difficult s recueillir les informations des instruments de bord Cette remarque
17. anmoins insuffisant car ils connaissent mal la vie de tous les jours des pilotes de ligne avec leurs servitudes et leurs contraintes En un mot le probl me est extr mement complexe et chaque incident un peu grave on recueille les dol ances de toutes parts Ah si l on nous avait cout s s crient les uns Nous avons recueilli tous les avis favorables et tous les avis contraires comment faire un choix s crient les autres Bien souvent les utilisateurs regrettent de ne pas avoir t consult s et les concepteurs regrettent de ne pas avoir pu consulter plus d utilisateurs ou d en avoir consult trop Chacun ignore que les syndicats d un c t et les directions des compagnies a riennes de l autre ont des politiques prudentes limitant la consultation des utilisateurs Il faut se trouver des arguments juridiques pour se d fendre en cas de p pins graves Cette constatation s v re va nous servir d introduction au chapitre 14 s curit et probl mes juridiques Pour le moment examinons les r gles de conception sur le plan de l ergonomie des interfaces Vive les P pins Tome II 251 REGLES DE CONCEPTION D UN POSTE Nous allons retrouver bien entendu des r gles d j cit es mais regroup es de fa on diff rente pour servir plus facilement de guide alors qu elles n ont t voqu es jusqu ici que comme cons quences du comportement de l op rateur Que l on nous pardonne de nous r p ter mais nous savons qu
18. anmoins utopique et dangereuse ce qui est pour le moins f cheux pour une mesure qui se veut augmenter la s curit de l humanit et de l ensemble de la faune et de la flore mondiales La s curit dans le domaine de la production d nergie nucl aire est un sujet d licat aborder car il fait surgir des peurs incontr l es reposant sur les vieux th mes de l apprenti sorcier ou de Frankenstein Aussi allons nous abandonner ce sujet controvers pour montrer par l absurde dans des domaines familiers que la recherche du risque nul est utopique inutile et m me n faste Chacun admet qu un s jour prolong sous l eau se traduit par la mort Il est dangereux de rester trop longtemps immerg Le risque de p rir noy c est dire la probabilit de se trouver dans ces conditions dangereuses d immersion est relativement faible dans la vie de tous les jours du moins pour les citadins Mais ce risque n en est pas nul pour autant Une collision sur le Pont Neuf peut projeter ma voiture dans la Seine et je peux rester coinc par la ceinture de s curit qui refuse de se d verrouiller Le tunnel de la station Saint Michel peut se fissurer et la Seine peut envahir le r seau du m tro Je peux glisser en entrant dans ma baignoire m assommer et me noyer dans trente centim tres d eau Chacun va objecter que le risque de se trouver dans l une de ces situations f cheuses est compl tement n gligeable et c est vrai Il n en reste pas moins que si
19. compte des caract ristiques physiologiques et anatomiques des op rateurs concevoir des postes de travail respectant les r gles de l ergonomie cognitive c est dire tenant compte des caract ristiques socio psychologiques des op rateurs former correctement les op rateurs en leur permettant d acqu rir et les connaissances g n rales de base et les connaissances particuli res n cessaires la compr hension du fonctionnement des syst mes contr ler v rifier l acquisition de connaissances r elles et non formelles des op rateurs fournir aux op rateurs des documents faciles manipuler et exempts d erreurs mat rielles fournir aux op rateurs des documents faciles consulter afin d y trouver simplement et rapidement les informations n cessaires aussi compl tes et exactes que possible enfin modifier les r glements s ils se r v lent inappropri s l usage Vive les P pins Tome II 303 Cette d marche fondamentale se r v le n anmoins insuffisante Nous r duisons ainsi la probabilit de voir un op rateur commettre une erreur mais cette probabilit reste encore trop lev e si une seule erreur possible et pr visible a une catastrophe pour cons quence C est ce niveau que se situe la deuxi me d marche C est le m me raisonnement qui a conduit faire en sorte qu une d faillance unique d un syst me ne conduise pas une catastrophe car nous ne pouvons d montrer que la panne unique a u
20. de la position du centre de gravit de la pi ce des inerties est automatiquement stock dans un fichier g n ral provisoire ou d finitif apr s accord des autorit s Une possibilit d erreur pourrait tre pour prendre un exemple simpliste l entr e d une mauvaise masse volumique du mat riau Aussi est il n cessaire de l introduire non sous forme d une valeur num rique on peut se tromper d un ordre de grandeur en ne positionnant pas correctement la virgule ou se tromper de Vive les P pins Tome II 247 chiffre au clavier mais en d signant le mat riau sur une liste alphab tique pr tablie Bien entendu le choix du mat riau doit tre confirm par pr sentation du nom en clair du seul mat riau choisi et par accord de l op rateur On retrouve la r gle classique il ne faut jamais avoir introduire une nouvelle fois une grandeur dont la valeur est d j stock e Il en va de m me pour les coordonn es de l origine et les cosinus directeurs des axes du tri dre de r f rence dans lequel est calcul e la pi ce ainsi que pour les cotes principales figurant sur le plan d ensemble Ces derni res grandeurs doivent figurer dans le fichier g n ral sous un nom de code caract risant la pi ce et tre appel es par ce seul nom de code en le d signant l cran sur la liste des noms de code Enfin quelques programmes de CAO comportent des modules permettant d automatiser certaines op rations telles que recopie d un m me
21. l application pratique des m thodes d analyse reposant sur l utilisation des grilles GAFE RADOS GARE GAME et GASP Vive les P pins Tome H 199 CHAPITRE 10 Le r glement c est le r glement Adjudant Flick LES D FAUTS DE R GLEMENTATION Dans le domaine du transport a rien l tat en vertu de conventions internationales Conventions de Varsovie et de Chicago ayant entre autres actions cr l Organisation de l Aviation Civile Internationale impose aux constructeurs un R glement dit de Navigabilit que doivent respecter les a ronefs destin s au transport de passagers L tat v rifie par des essais entre autres moyens que les nouveaux avions satisfont ces r gles et sanctionne un r sultat correct par la d livrance d un Certificat de Navigabilit D autres r gles sont impos es pour v rifier la conformit des avions de s rie la d finition des premiers avions utilis s pour les essais de certification Enfin un r glement est destin v rifier que les compagnies a riennes utilisatrices ont mis en place les moyens et les proc dures n cessaires l assurance d une s curit raisonnable Ce type de r glement se retrouve dans tous les domaines des industries de production ou des transports La directive S v so en est un exemple dans le domaine des industries de production fabricant des mat riaux interm diaires dangereux Dans d autres domaines l administration peut imposer des r gles qui n ont pas un
22. r t g n ral et la s curit des hommes Nous avons vu que le probl me est difficile et ne conna t pas de solution parfaite Or le monde volue vers de plus en plus de complexit les possibilit s ouvertes aux hommes ne cessent de cro tre Rassurons nous cependant malgr de trop nombreuses bavures la s curit technique est galement en progr s Mais tout accident est un drame humain tout accident est profond ment ind sirable Il importe de continuer uvrer tenacement pour r duire le risque autrement dit la probabilit de catastrophe La complexit inh rente au probl me les interactions profondes entre les aspects techniques psychologiques passionnels politiques sociaux conomiques et n cessairement juridiques font partie des donn es auxquelles il faut faire face Nous avons vu par quelques exemples que des actions diverses m mes tr s bien intentionn es peuvent avoir des effets pervers Lorsque malheureusement un drame s est produit in vitablement les passions s attisent et la s r nit devient plus difficile C est pourquoi il para t essentiel que se d veloppe froid une compr hension mutuelle constructive mais sans complaisance r ciproque entre tous les acteurs concern s notamment entre le monde juridique et le monde technique Dans l int r t g n ral peuvent en r sulter peut tre plus ou moins long terme des volutions tant des approches techniques que du droit et de ses interpr
23. rateurs ne savent pas comment ex cuter leur t che ou encore les proc dures qu on leur impose sont mal adapt es aux caract ristiques de l op rateur humain et aux moyens dont ils disposent en homme et mat riel Cette situation a des origines multiples proc dures mat riellement d fectueuses erreurs de frappe photocopie imparfaite etc proc dures imparfaites parce que mal r dig es complexes non expliqu es r dig es en termes juridiques et non en termes techniques ou op rationnels proc dures trop g n rales laissant l op rateur devant un choix difficile faire proc dures imposant des charges de travail ponctuelles trop lev es ou imposant des t ches fastidieuses longs temps d attente entre op rations attente d un v nement qui ne se produit que tr s rarement surveillance sans v nements notoires n fastes la vigilance attention il ne s agit pas de charger les op rateurs par des op rations artificielles ou inutiles etc A titre d exemple de proc dure mal con ue citons le cas o une v rification est demand e et o rien n est pr vu si la v rification est n gative V rifiez au bout de dix minutes de chauffage que le four est 150 et rien n est prescrit si la temp rature relev e est 140 Quelquefois les proc dures sont r dig es par des juristes dans le but non avou de faire porter toute la responsabilit sur les op rateurs en cas d erreur Cela se traduit par des c
24. rempla ant par des automatismes tout en lui laissant le travail noble de conduite pour lequel les algorithmes de d cision sont beaucoup plus d licats laborer En g n ral il n est pas facile de pr voir toutes les situations possibles donc de pr voir toutes les r ponses n cessaires Par suite il importe de supprimer l op rateur toutes les t ches subalternes de pilotage pour lui laisser l esprit libre pour l analyse de la situation l appr ciation de son volution et le choix des strat gies qui en r sultent Nous avons pr sent en d tail le probl me de l automatisation au chapitre 6 apr s avoir examin les caract ristiques positives de l op rateur humain Il a t quelquefois propos un pilotage des processus dit aux alarmes Autrement dit dans un tel mode de commande on ne pr sente aucune valeur des param tres d tat du syst me On ne fait que signaler l approche d une limite par la mise en service d une alarme On voit tout de suite combien ce mode de conduite est en contradiction avec la recommandation propos e dans ce paragraphe On oblige l op rateur une veille permanente sans la moindre possibilit de pr vision Il ne sait ni quand ni quelle alarme va se signaler La situation est videmment insupportable Enfin parmi ces recommandations il ne faut pas oublier la pr sentation des modes des syst mes automatiques et la pr sentation des modes qui doivent s encha ner normalement Ainsi au cours d
25. ristique R p tons ce que nous avons d j crit L exp rience montre en effet que malgr tous les efforts de formation et les mises en garde les m caniciens br lent trop souvent les carr s et qu chaque incident la hi rarchie constate avec tristesse et tonnement que ces erreurs sont commises par des op rateurs s rieux comp tents conscients de leurs responsabilit s et bien entra n s Nous avons mis le terme br lent entre guillemets pour bien montrer que cette erreur n est pas le r sultat d une action d lib r e de la part des m caniciens qui en r alit ratent l information carr ferm et l ignorent involontairement Nous avons dit trop souvent Cela ne signifie pas que les m caniciens font tous les jours ce type d erreur Ces erreurs sont heureusement rares mais encore trop fr quentes pour entrer dans le domaine du risque r siduel admissible Or le fait de passer un carr ferm rel ve de l erreur quasi unique En effet un signal d avertissement pr c de le carr ferm Mais si ce signal pr curseur n est pas per u pour diverses raisons perturbation ext rieure chute de vigilance due la fatigue surcharge de travail momentan e habitude de voir le signal toujours ouvert etc tout porte croire que le carr ferm ne sera pas non plus per u car non pr vu Bien s r ce signal pr curseur est utile et il diminue la probabilit d erreur mais il est insuffisant pour ramener la probabi
26. s des commandes de s curit ou g nant l vacuation en cas de catastrophe Certains r glements fixent des limites aux doses d exposition de la population et des travailleurs des produits ou des radiations dangereuses Ces r gles sont n cessaires Mais il faut prendre garde ne pas c der la tentation d augmenter les exigences sans de bonnes justifications sous le pr texte d am liorer la s curit et sous la pression de l opinion publique Ainsi apr s la catastrophe de Tchernobyl certains pays ont exig une radioactivit nulle pour tous les produits alimentaires Or chacun sait qu il y a partout une radioactivit naturelle non nulle la dose apport e par Tchernobyl en moyenne en France correspond la dose re ue en quinze jours dans le Massif Central et en un mois et demi Paris Dans les conclusions du RAPPORT SUR LES CONS QUENCES DES INSTALLATIONS DE STOCKAGE DE D CHETS NUCL AIRES SUR LA SANT PUBLIQUE ET L ENVIRONNEMENT on peut lire Ceci va nous obliger diminuer l exposition des travailleurs du nucl aire en am liorant les proc d s industriels et faire tendre rapidement vers z ro les rejets de radio l ments dans l environnement une exigence que pointe un r cent accord international certes non encore ratifi mais qui trace la seule voie d avenir envisageable C est nous qui avons soulign les mots qui nous semblent sujets critique Cette d marche louable dans ces intentions est n
27. sur les particularit s des chelles de mesure z ro chelle sens de variation etc d o une erreur sur le mod le de transposition de l information sur les moyens d identification des sources d information etc gt L entra nement a t effectu sur un syst me diff rent du syst me r el simulateur par exemple avec une disposition non conforme des instruments sur le pupitre Vive les P pins Tome H 224 gt DOCUMENTATION Des gt La documentation sur les sources d information est difficilement compr hensible ou trop dispers e et conduit des erreurs de saisie de donn es Par exemple il n est pas clairement pr cis que les tendues de mesure des instruments donnant les valeurs de plusieurs param tres analogues ne sont pas identiques z ros et chelles diff rentes gt Les sch mas fournis sont des sch mas de conception et non des sch mas d utilisation les organes ne sont pas dispos s sur le sch ma comme sur le terrain gt Les sch mas fournis sont des reproductions en noir et blanc de sch mas en couleurs et l identification des sources d information fait appel la couleur gt Une modification des sources d information n est pas signal e Dms ou signal e avec erreurs Des aux op rateurs panne de capteur changement de type d instrument avec par exemple changement d chelle d placement des instruments sur le tableau de bord avec par exemple interversion de deux instruments mesurant des param
28. temps r el et d avoir une valuation globale et rapide de son volution pass e L imprimante p riph rique classique doit tre loign e de la salle de contr le car elle ne peut servir que de mouchard et doit tre remplac e par des crans fournissant l volution dans le temps des param tres d tat contr ler et des limites correspondantes sous forme analogique et non sous forme digitale L op rateur doit disposer galement de claviers de commandes lui permettant de faire varier simplement et rapidement la pr sentation chelles param tres regroup s fonctions de param tres rappel de donn es pass es pr sentation dans l espace de phases etc Contrairement ce qui s est pass dans les industries de production l imprimante n a pas fait son apparition bord des avions mais quelquefois la pr sentation digitale des informations a envahi les crans ce qui n est pas mieux Nous avons d j vu que l op rateur utilise trois types de mod les pour saisir l information les mod les de localisation et de v rification des sources d information et les mod les d interpr tation de l information Il est imp ratif de simplifier ces mod les par une localisation logique des instruments et une homog n isation des pr sentations chelles z ros sens de variation etc On se reportera aux chapitres 4 5 et 6 pour plus de d tails sur ces r gles l mentaires de conception des tableaux d instruments de contr le
29. 1 13 679 820 On vient de voir que la probabilit de p rir de mort naturelle dans l heure qui suit est de l ordre de 10 pour un individu dans la force de l ge Ainsi la probabilit de gagner au Loto avec une grille est du m me ordre de grandeur que la probabilit de mourir dans l heure qui suit CALCUL DE LA PROBABILIT D AVOIR UN GAGNANT POUR N GRILLES JOU ES La probabilit qu une grille soit gagnante est la valeur p que nous venons de calculer La probabilit pour qu une grille soit perdante est donc 1 p La probabilit pour que deux grilles soient perdantes est la probabilit de deux v nements ind pendants la premi re grille est perdante la deuxi me grille est perdante Cette probabilit est donc le produit des deux probabilit s 1 p soit 1 p La probabilit pour que n grilles soient toutes perdantes est le produit des n probabilit s 1 p soit 1 p La probabilit pour qu une grille au moins soit gagnante est donc la probabilit de l v nement contraire l v nement aucune grille n est gagnante Cette e est donc 1 lt 2p On remarquera que si p et n sont petits a G p 1 np et que par suite P np Mais cette formule qui rejoint le bon sens la probabilit pour que je gagne avec deux grilles est deux fois la probabilit de gagner avec une seule grille n est valable avec une bonne approximation que si le produit np est petit Elle donne un r sultat faux si np est grand et videm
30. 3 fois le temps moyen Tm j ai 9 chances sur 10 d observer une d faillance Une autre fa on d exprimer ce r sultat consiste dire que si je n ai pas observ de d faillance pendant un temps T je peux affirmer avec une chance sur dix de me tromper niveau de confiance de 0 9 que le syst me a un temps moyen avant d faillance Tm sup rieur ou gal T 2 3 En effet si Tm est bien gal cette valeur T 2 3 j avais 9 chances sur 10 d observer une d faillance Enfin un niveau de confiance de 0 99 n cessite d effectuer des essais pendant un temps T Log 0 01 p 46 p 4 6 Tm 7 La probabilit de r f rence 10 heure 3 La probabilit de p rir de mort naturelle est de nos jours de l ordre de 10 par an la naissance passe par un minimum de 2 10 an vers l ge de 10 ans retrouve la valeur initiale vers 35 ans pour atteindre 10 2 an 60 ans et 10 l an 80 Lorsqu il s agit d exprimer le risque de p rir de mort naturelle l ann e est une bonne unit de temps car bien que nous estimant en bonne sant un instant donn la possibilit de tomber malade dans l ann e qui suit n est pas irr aliste Vive les P pins Tome II 316 Par contre l ann e est une unit bien trop grande lorsque nous cherchons estimer la probabilit d un accident de transport ou d un accident du travail parce que nous ne passons que quelques heures cons cutives dans un moyen de transport ou un poste de travail p Il est dans c
31. CONCEPTION de BASE Hb voir les exemples donn s pour la colonne s saisie des informations gt CONCEPTION des INTERFACES Hma gt Les commandes ne sont pas adapt es l op rateur touches trop petites insuffisamment espac es leviers de taille forme d battement rendant la manipulation mal commode ou fatigante etc gt Les commandes dont la manipulation peut conduire des changements d tats irr versibles ou dangereux ne sont pas prot g es par des caches en interdisant la manipulation intempestive boutons d arr t d urgence signal d vacuation imm diate des locaux etc gt CONCEPTION des INTERFACES Hca gt Les commandes sont dispos es suivant une logique sans rapport avec la disposition des organes command s gt Les commandes ont un sens d action inhabituel robinet s ouvrant dans le sens visser potentiom tre diminuant le volume d amplification dans le sens visser etc gt Les commandes ont un sens d action sans relation avec l effet sur l organe command un levier tir vers le haut d place la charge vers le bas pouss droite d place la charge vers la gauche ou vers l avant etc gt Un mauvais fonctionnement du syst me de commande rend une commande inefficace ou erron e par exemple un bouton poussoir est appuy il s allume pour signaler uniquement qu il a t pouss mais l ordre n a pas t transmis au syst me effet pervers analogue celui d crit en Hcs L op rateur est
32. F4 non programm e alors qu un op rateur ext rieur raisonnant par analogie avec des programmes du commerce essaiera cette commande pouvant conduire un plantage catastrophique puisque non pr vu Vive les P pins Tome II 265 D MARCHE ASCENDANTE Dans cette d marche on essaiera de regrouper des sous ensembles de quelques n uds cons cutifs ou d une branche enti re ou enfin de branches issues d un m me n ud de d cision A cette phase on v rifiera des l ments qui n taient pas forc ment visibles l tude de chaque n ud ou que les encha nements font appara tre savoir le respect des r gles g n rales la coh rence des divers l ments entre les travaux l mentaires effectu s au niveau de chaque n ud les besoins de d rogation ou de r vision des r gles g n rales toujours avec justification et enregistrement les erreurs non vues pr c demment ou dont l examen sur un plan plus global est utile avec les m mes r gles d valuation que dans la d marche descendante la commodit et l efficacit des op rations Dans ce travail il sera avantageux s aider de d monstrateurs dynamiques mini simulateurs permettant de jouer d une mani re assez repr sentative des l ments ou phases significatives de missions On notera que ces mini simulateurs ou les micro simulateurs envisag s plus haut sont des ensembles relativement peu co teux assez rapidement d velopp s et d une gran
33. FORMATION Nous distinguerons quatre types de simulateurs de formation Les simulateurs destin s faire comprendre la physique des ph nom nes rencontr s Il s agit de faire effectuer aux op rateurs des travaux pratiques peu co teux disponibles en salle et sans danger pour le mat riel et le personnel Ce sont des simulateurs en ce sens qu ils sont interactifs L op rateur manipule lui m me pour observer le r sultat de ses actions Il n intervient pas au moyen des commandes classiques mais il fait varier des param tres d environnement programme des entr es etc pour voir comment volue le syst me dans ces conditions Par exemple il dispose d un mod le de fonctionnement du pressuriseur d un r acteur nucl aire et peut faire varier le volume et la temp rature du fluide primaire la temp rature du pressuriseur Agissant sur les chaufferettes dont il peut r gler l allure ou la douche dont il peut r gler le d bit et la temp rature il peut examiner comment volue la pression Les commandes on le voit sont artificielles mais l op rateur peut ainsi acqu rir le mod le physique correct de fonctionnement du pressuriseur et comprendre les lois qui le r gissent De tels simulateurs n cessitent des logiciels relativement simples reposant sur des mod les de connaissance et quelquefois sur des mod les de repr sentation Vive les P pins Tome II 284 Les commandes la disposition des op rateurs sont le clavier et l
34. Un exemple typique de ces erreurs de conception des commandes est celui des engins de chantier o les commandes la disposition de l op rateur se pr sentent sous forme de leviers parall les identiques d placement avant arri re L identification d un levier ne se fait que par sa position dans la rang e et le mode d action sur la charge manipuler n a rien voir avec le d placement de la commande Transmission des informations Le syst me de transmission de l information est d grad pour des raisons analogues celles d velopp es pour la captation des informations ou l action sur les commandes Les op rateurs ne respectent pas les r gles d identification des metteurs et des Destinataires lors des transmissions par radio Les op rateurs ne collationnent pas les messages D Les num ros ou les fr quences d appel des postes de s curit s ont des valeurs difficiles m moriser et ou afficher DOCUMENTATION D fauts mat riels Les op rateurs disposent de documents non mis jour Les m thodes de mise jour des documents sont inexistantes peu claires ou trop lourdes La documentation sur les sources d information ou sur les commandes est inexistante incompl te mal reproduite difficilement maniable sur le terrain plans de grandes dimensions ou manuels multiples inutilisables en ext rieur ou encore contient des erreurs mat rielles fautes de frappe sur des codes d identificati
35. ainsi tromp par un faux retour d information sur l effet de la commande Le m me effet pervers peut tre obtenu par une commande m canique ou lectrique d branch e le levier ou l interrupteur a t mis en bonne position mais l ordre n a pas t transmis gt FORMATION de BASE Fba gt La formation de base n a pas suffisamment insist au niveau des principes sur l influence l effet sens et efficacit effets parasites des commandes sur le processus contr ler A titre d exemple la pr sentation de la loi d Ohm sous la forme P R I fait croire qu il faut augmenter la r sistance d une chaufferette aliment e par le secteur voltage constant pour augmenter la puissance de chauffage alors que la pr sentation sous la forme P V2 R d montre sans ambigu t qu il faut effectuer l op ration inverse gt FORMATION SPECIFIQUE Fsa gt La formation sp cifique n a pas suffisamment insist sur la disposition spatiale des commandes d o une erreur de localisation des commandes sur les particularit s des sens d action des commandes sur les moyens d identification des commandes formes couleurs tiquetage etc sur les retours d information d tat des organes command s etc gt L entra nement a t effectu sur un syst me diff rent du syst me r el simulateur par exemple avec une disposition des types de commandes non conformes aux commandes r elles sur le pupitre gt DOCUMENTATION Dma gt L
36. alarmes programm es peuvent se classer en quatre cat gories les alarmes qui indiquent l approche d une limite pour un param tre de pilotage ou un param tre de situation celles qui indiquent l approche d une limite pour un param tre de fonctionnement d un syst me celles qui indiquent un fonctionnement anormal ou la panne d un syst me celles qui indiquent que le syst me n est pas dans une configuration correcte correspondant la phase en cours de la mission Les alarmes des deux premiers types sont destin es r duire les probabilit s d v nement d Op rabilit dans la mesure o elles compl tent les informations de l op rateur sur la proximit d une limite Nous disons bien dans la mesure o elles compl tent l information Comme nous l avons pr cis plus haut il est aberrant de ne fournir que l information d alarme sans affichage permanent de la valeur du param tre correspondant Il est vident que dans la mesure o l on est capable de d tecter l approche de la limite il est beaucoup plus judicieux d en laisser la surveillance et le contr le un dispositif automatique ce qui ne dispense pas de maintenir le syst me d alarme en cas de panne des automatismes et reprise du pilotage en manuel Les alarmes du troisi me type signalant des pannes de syst mes sont n cessaires dans la mesure o elles conduisent une prise de d cision ou une action de la part de l op rateur Les alarmes du quatri me ty
37. avec un quipage qui en ignore le contenu mais dont le r le est d en faire la critique apr s ex cution L exp rience montre qu en g n ral deux essais au moins sont n cessaires le premier ayant fait appara tre des v nements impr vus et mis en vidence des erreurs de minutage Ainsi chaque sc nario repr sentatif d une famille est b ti en se r f rant un accident r el en ne modifiant que les circonstances impos es par exemple par le type d avion ou les caract ristiques de la compagnie laquelle appartiennent les quipages proc dures compagnie lignes a riennes et terrains desservis etc Citons les cas retenus pour l op ration ARCHIMEDE l erreur la plus caract ristique est cit e mais notons que le sc nario ne fonctionne que si d autres v nements interviennent gt en cours de descente la proc dure d approche tant d j engag e d routement pour raisons m t o aid par guidage radar Au moment o le Contr le de Trafic A rien donne l autorisation de descendre sur la balise d entr e du terrain de d routement et cesse la surveillance radar l quipage tromp par les quelques changements de route pr c dents se fait une mauvaise estimation de la position de l avion et entame sans pr cautions la descente dans une r gion accident e erreur de repr sentation sur la position de l avion en plan et en altitude provoqu e par la succession des v nements pr c dant la descente Voir au c
38. b tir ces proc dures dans les principaux domaines de la technique nucl aire chimie p trole transports terrestres maritimes a riens etc La s curit a tout y gagner et la justice n a rien y perdre Ce chapitre constitue une mise jour d un article paru dans la revue Pr ventique n 46 Juillet Ao t 1992 La premi re partie a t pr sent e au colloque Juriste Ing nieur de Mars 1993 organis par l cole Nationale de la Magistrature et l Institut Europ en de Cindynique Vive les P pins Tome II 295 CHAPITRE 15 Le m t ore qui avait d truit le r servoir d oxyg ne du vaisseau spatial Star Queen tait un g ant d au moins un centim tre de diam tre et pesant au moins dix grammes En se r f rant aux tables le temps moyen entre deux collisions avec un tel monstre tait de l ordre de dix puissance neuf jours soit trois millions d ann es La certitude virtuelle qu un tel v nement ne se reproduirait pas au cours de l histoire de l humanit ne donnait qu une faible consolation l quipage Extrait de la nouvelle de science fiction Breaking Strain expedition to Earth de Arthur Clarke membre de la Royal Astronomical Society LA NOTION DE RISQUE ADMISSIBLE Y a t il un risque admissible Cette question a t elle m me un sens De quel genre de risque s agit il On ne consid rera ici que les risques touchant la vie ou la sant des hommes et on cartera les risques de nature conomique fin
39. circuit d une m me pi ce suivant un sch ma pr tabli recherche partir d un sch ma de principe de disposition optimale des pi ces r pondant des crit res d encombrement d conomie etc Ces op rations automatiques non seulement font gagner du temps de conception mais vite galement des erreurs en supprimant les op rations manuelles de passage du sch ma th orique facile interpr ter par le cerveau humain la disposition pratique quelquefois moins vidente Ceci ne constitue qu un exemple des r gles de conception l mentaires et bien connues suivre pour limiter les erreurs Celles ci peuvent se r duire quatre r gles de base disposer d un fichier unique de donn es ce fichier doit tre organis en sous fichiers pour faciliter la recherche des donn es ne jamais introduire manuellement une grandeur qui existe d j dans le fichier pr senter les r sultats sous forme de sch mas graphiques plans cot s vues 3D etc plus faciles lire synth tiquement qu un tableau de chiffres automatiser toutes les op rations r p titives fastidieuses et mal adapt es au cerveau humain Ces r gles sont faciles noncer Elles ne sont pas aussi faciles mettre en pratique et demandent une tude soign e de l organisation du projet Les m thodes de v rification peuvent galement tre compl t es par la fabrication de maquettes d installation qui jouent un r le analogue celui des pr se
40. consigne pour un automatisme gt entr e d une donn e dans un historique gt entr e d une donn e dans un cahier de signalement gt entr e dans une fiche de signalement d avarie gt compte rendu d v nement fiche RETOUR D EXPERIENCE etc La transmission d information n cessite pour l op rateur de disposer de mod les stock s de fa on plus ou moins parfaite dans sa m moire savoir des mod les voir chapitres 3 et 4 de localisation des moyens de transmission d identification des moyens de transmission pour pouvoir v rifier si n cessaire que le moyen de transmission est bien celui souhait de mode d action des moyens de transmission d identification des organismes destinataires Il peut tre utile de pr ciser si le destinataire de l information transmise est le syst me lui m me transmission d information Homme Machine ou un homme transmission Homme gt Homme Les erreurs sont analogues dans les deux cas mais les d fauts syst me l origine peuvent tre tr s diff rents Si n cessaire le sigle t pour transmission sera compl t du sigle hm transmission d information Homme Machine ou du sigle hh transmission Homme gt Homme Vive les P pins Tome II 209 Action sigle a L op rateur actionne une commande en g n ral l aide de la main d un doigt quelque fois avec le pied Pour les op rations de maintenance les commandes peuvent tre les divers outils les comman
41. contr le automatique de la limite Pour ces alarmes il faut choisir judicieusement le seuil de d clenchement proximit de la limite Une alarme qui se d clenche trop loin de la limite risque de fonctionner trop souvent et perdre par l son caract re de gravit Par contre d clench e trop tard elle perd de son efficacit car elle ne laisse plus l op rateur le temps de r agir Si un compromis entre ces deux exigences ne peut tre trouv c est que la marge entre le point d tat nominal et la limite est trop troite Il faut revoir les consignes d utilisation et modifier les valeurs nominales Pour les alarmes du type configuration les pr senter si possible sous forme d une suppression d une information essentielle condition toutefois que cette information puisse tre rapidement r tablie par action volontaire de l op rateur Cette m thode est sans doute pr f rable la pr sentation d une information suppl mentaire qui risque de ne pas tre per ue parce que non attendue par l op rateur N oublions pas en effet que ce type d alarme est destin combattre les erreurs de repr sentations diaboliques et que l op rateur n est pas en situation mentale d accueil d une information mettant en doute son mod le C est ainsi que plut t que de signaler le train d atterrissage non sorti en phase d approche par une alarme lumineuse ou sonore se superposant une quantit d j trop grande d informations il est peu
42. croisi re haute altitude et tous les syst mes fonctionnent normalement Le pilote estime alors que le risque est tr s faible Le temps est ex crable neige givrage et turbulences fortes l avion est en phase d approche basse altitude un moteur en panne sur un terrain de montagne et le trafic a rien est intense Le pilote estime avec juste raison que le risque est lev et qu il faut viter toute man uvre intempestive Lorsque l op rateur utilise une mauvaise repr sentation mentale il prend g n ralement de mauvaises d cisions Les cons quences de ces d cisions sont d une autre nature que les cons quences d erreurs dues une charge de travail trop lev e une absence de stimuli ou une maladresse En cas d erreur de repr sentation il y a en g n ral un d lai avant la catastrophe Par exemple suite une charge de travail trop lev e le pilote ne voit pas que l altitude est trop basse compte tenu du relief L impact avec le sol ne va pas tarder Dans une autre situation le pilote s imagine que l avion est au Nord du terrain alors qu il est en r alit au Sud Cette situation n est que potentiellement dangereuse et ne conduit la catastrophe que si le pilote d cide de descendre sur le Sud montagneux Vive les P pins Tome II 237 L op rateur d une centrale nucl aire s imagine que les syst mes de s curit sont disponibles alors qu une panne non per ue les a mis hors service Tant que le fonctionnement du c
43. d Op rabilit de Man uvrabilit de Sensibilit aux Perturbations ayant conduit l v nement final En pratique cette recherche se fait en remontant dans le temps la suite des v nements en se posant chaque tape la question quels sont les v nements pr alables qui ont conduit le syst me et le ou les op rateurs tre dans cette situation La chronologie n est r tablie qu une fois identifi s tous les v nements et doit tre rev rifi e en descendant le temps Caract riser chaque v nement de Man uvrabilit et de Sensibilit aux Perturbations en utilisant les grilles GAS et GAME Caract riser chaque v nement d Op rabilit en utilisant la grille GAFE Bien noter que plusieurs v nements avec erreurs de l op rateur peuvent tre en cause et ne pas s en tenir la derni re erreur L erreur en elle m me n a qu un int r t anecdotique mis dans les m mes conditions un autre op rateur commettra une autre erreur mais il y a de grandes chances pour qu il commette une erreur analogue Ce qui importe de noter c est le Type d Op ration au cours de laquelle l erreur a t commise et le Facteur d Erreur c est dire les conditions dans lesquelles l erreur a t commise Lorsqu une Conscience Erron e de la Situation est mise en vidence essayer de l identifier de fa on aussi compl te que possible en fonction de la qualit du narratif et en tenant compte de toutes les autres informations dis
44. d op rateur bord du v hicule mais il y a un homme dans la boucle au centre de contr le du syst me C est lui qui prendra les d cisions en cas d v nement impr vu la s curit tant facilit e du fait qu il est toujours possible d interrompre le trafic et d arr ter le v hicule en attendant l arriv e des secours ou des d panneurs Il est vident que cette solution est difficilement applicable au transport a rien o seul l homme bord peut intervenir Pour tous les syst mes qui peuvent tre bloqu s quasi instantan ment par une man uvre du type arr t d urgence il est possible d envisager une automatisation compl te La s curit repose alors sur l hypoth se qu en cas de d faillance des automatismes pannes ou situation impr vue rendant inefficace un automatisme un dernier automatisme de conception simple d clenche l arr t d urgence De tels syst mes sont rares et nous sommes dans la situation pour l instant in vitable o nous devons utiliser l homme dans les boucles de contr le des grands syst mes car il est indispensable pour assurer la s curit dans les cas impr vus Mais nous devons viter de le mettre dans des situations pour lesquelles il est mal adapt et sujet l erreur Il nous faut donc am liorer nos connaissances en mati re d erreur humaine et identifier soigneusement les circonstances qui favorisent les dysfonctionnements des op rateurs Seule une analyse du comportement des op rateurs en ser
45. dans l annexe 3 Nous y renvoyons le lecteur Les tudes d erreurs de repr sentation La notion d erreur de repr sentation est encore trop r cente pour que de nombreux essais aient d j t entrepris sur le sujet Il est vident que l observation directe et objective de l ensemble op rateur syst me ne peut en aucun cas fournir la moindre indication puisque tout se passe dans la t te de l op rateur N anmoins des op rateurs bien au courant du probl me des erreurs de mod les peuvent apr s essais dresser la liste des probl mes rencontr s et des erreurs potentielles erreurs possibles sur les mod les de localisation des sources d information et des commandes sur les mod les de mode d action des commandes et d interpr tation de l information Un tel r sultat tait d j obtenu sur avion avec les tudes cabine mais la notion d erreur de mod le tant ignor e un certain flou existait sur les raisons qui faisaient que l op rateur mettait des critiques On peut maintenant esp rer une certaine organisation de recherche des erreurs possibles Les notions de mod les de conduite de pilotage de commande de fonctionnement de configuration peuvent galement aider organiser la critique Enfin l observation des op rateurs en cours de travail peut aider d tecter les conditions potentielles d entr e dans les erreurs de repr sentation et surtout les raisons de sortie d erreur Le vrai probl me est la recherche des c
46. de d terminer au pr alable par observation de l ensemble du poste de travail les points critiques potentiels organisation qui risquent de provoquer des erreurs de repr sentation Avant chaque s ance on dressera la liste des points critiques qui ont des chances d tre confirm s compte tenu du programme de t ches pr vu Maladresses L encore il est recommand de d terminer au pr alable par observation de l ensemble du poste de travail les points critiques potentiels dus une mauvaise conception ergonomique du poste clairage taille des commandes lisibilit des informations etc Une liste des points critiques examiner liste non exhaustive mais qui pourra tre compl t e l usage mise jour et publi e est fournie en fin de chapitre Rappelons et cette remarque est fondamentale qu il n est pas question de noter les erreurs finales elles m mes erreurs qui peuvent prendre des formes tr s diff rentes et dont les cons quences sont graves ou anodines mais qui n ont pas d int r t en elles m mes Il ne s agit pas en effet de combattre ces erreurs l mais les origines de ces erreurs Si la charge de travail est trop lev e l op rateur peut se tromper en relevant une information erron e en agissant sur la mauvaise commande en transmettant une mauvaise information ou en oubliant de la transmettre en prenant une mauvaise d cision etc Peut importe cette erreur Ce qu il est fondamental de compre
47. de mauvais choix sont multiples Quels sont les moyens dont disposent alors les concepteurs pour limiter ou corriger leurs erreurs Nous voyons se d gager au premier abord deux types principaux d erreurs possibles au niveau de la conception les erreurs mat rielles du type introduction recopie ou transmission d une grandeur erron e travail sur un plan p rim erreur de calcul etc les erreurs dues l utilisation d un mod le de calcul non valable Les concepteurs disposent de mod les traduits en code de calcul permettant de pr voir les performances masses r sistance structurale statique et dynamique caract ristiques a rodynamiques performances globales etc L introduction des donn es de base se fait par des m thodes de CAO conception assist e par ordinateur qui limitent les erreurs par leur pr sentation synth tique sous forme de dessins de sch mas beaucoup plus parlant que des tableaux num riques Par exemple le maillage d une pi ce pour le calcul de r sistance des efforts donn s se fait de fa on quasi automatique une fois la pi ce dessin e l op rateur n intervient que pour des modifications judicieuses en quelques endroits o son exp rience lui a montr la n cessit d un maillage diff rent ou plus serr La pr sentation sur cran du maillage sous forme d une vue tridimensionnelle tournante lui permet de d tecter les anomalies d un seul coup d il Le r sultat des calculs de la masse
48. de vitesse de rotation On constate que le signal suit sensiblement les variations rapides de Q mais qu une fois Q constant le signal s amortit si bien que l arr t de la rotation se traduit par un signal correspondant une rotation invers e suivi d un retour lent au z ro C est le ph nom ne bien connu du valseur qui une fois l arr t voit la salle tourner l envers Vive les P pins Tome II 337 Vive les P pins Tome II 338
49. de voir leur franchise se retourner un jour contre eux l occasion d une catastrophe Or l am lioration de la s curit passe imp rativement par le retour d exp rience c est dire par la connaissance des erreurs et d faillances rencontr es en service n ayant pas entra n de catastrophe Les accidents sont trop rares heureusement pour que l on se contente de leurs analyses pour en tirer des le ons Par contre les incidents sont multiples et porteurs de toute l information n cessaire la compr hension et la pr vision des cha nes d v nements conduisant la catastrophe Encore faut il pouvoir les conna tre Seul un climat de confiance d culpabilisant permettra de recueillir ces informations fondamentales Messieurs les juristes s il vous pla t aidez nous dans cette d marche Il nous faut mettre en vidence un autre obstacle d origine juridique au Retour d Exp rience A l occasion d un accident la justice a pour r le de d terminer les responsabilit s et a donc pour souci majeur que nous ne lui contestons pas de pr server les preuves Cela se traduit par une protection physique de la situation r sultant de la succession des v nements ayant conduit la catastrophe Cette protection n cessaire pour viter une falsification possible des preuves se traduit par deux types d actions La mise sous scell s des divers enregistrements bandes magn tiques disquettes disques durs photographies films etc
50. deux minutes Cette remarque peut sembler acad mique que l on se souvienne toutefois qu un clair de nuit peut aveugler un pilote pendant un temps non n gligeable d o la n cessit en orage d aveugler les fen tres de la cabine de pilotage et d clairer au maximum le tableau de bord pour limiter le temps d blouissement Nous venons de voir que la difficult de pilotage rencontr e au moment du passage au vol aux instruments venait essentiellement de la perte d informations provenant de la vision p riph rique L exp rience suivante que nous avons maintes fois effectu e le d montre ais ment Au cours d approche ILS ou GCA en conditions r elles de vol aux instruments nuages de nuit ou vol sous capote les ailes ne sont maintenues horizontales surtout par temps turbulent que par surveillance serr e de l horizon artificiel en pratique il est conseill d effectuer une lecture de l horizon apr s tout autre instrument altim tre cap vitesse indicateur d ILS etc Si par contre on effectue une approche avec les m mes conditions de turbulence sans capote mais si ge en position basse en s astreignant ne pas regarder l ext rieur et regarder uniquement les instruments les ailes restent semble t il miraculeusement horizontales dans ce cas en effet la vision p riph rique capte sans que le pilote en ait conscience les changements d assiette lat rale qui sont aussit t corrig s en agissant sur le gauchissement pa
51. dont ils ont la charge Simulation Les commandes et les instruments sont dispos s de fa ons diff rentes sur le poste de travail et sur le simulateur d entra nement ce qui demande l op rateur un effort d adaptation favorable aux erreurs de localisation des commandes ou aux erreurs de localisation des sources d information Les commandes ont une forme et un mode d action diff rents sur le poste de travail et le simulateur d entra nement ce qui demande l op rateur un effort d adaptation favorable aux erreurs d identification des commandes et de mode d action des commandes Les instruments sont diff rents sur le poste de travail et le simulateur d entra nement ce qui demande l op rateur un effort d adaptation favorable aux erreurs de transposition de l information Le mod le de fonctionnement du simulateur est trop simplifi par rapport au mod le de fonctionnement r el du syst me ce qui favorise l utilisation de mod les de fonctionnement inadapt s aux situations r elles Contr le des connaissances Le contr le de connaissance se r duit une v rification des connaissances livresques des op rateurs du type r solution math matique de probl mes th oriques Le contr le de connaissance est effectu par des m thodes du type QCM Question Choix Multiples Cette m thode est tr s appr ci e des services de formation en ce sens qu elle simplifie norm ment la correction des preuves jusq
52. el d autre part identit d informations On constate rapidement que le meilleur simulateur est le syst me lui m me N anmoins la simulation m me avec quelques imperfections s impose pour r duire les co ts M me un calculateur tr s complexe co te moins cher qu un avion de ligne une centrale nucl aire un navire p trolier une motrice de TGV pour r duire les risques d exp rimentations Un crash l atterrissage un arr t d urgence un chouage un freinage de d tresse sont plus confortables au simulateur pour augmenter la fr quence possible des exp rimentations Le calculateur peut en moins d une seconde ramener l avion simul en position de d but d approche pr t pour un nouvel essai alors que la m me man uvre r elle demande une dizaine de minutes pour tre ex cut e Ramener le TGV Trans Manche l entr e du tunnel n est pas simple autrement qu au simulateur pour permettre l exp rimentation dans des conditions extr mes identifiables et reproductibles Les turbulences extr mes sont rares et si l on veut entra ner les quipages d avion de ligne dans ces conditions on n est jamais ma tre des tats de l atmosph re r elle Pour des raisons de co t et quelques fois pour des raisons de principe il n est pas toujours possible de satisfaire les trois crit res d identit de t che d identit de commande d identit d information Il peut sembler que le premier crit re d identit de t che s
53. en permettant des quipages de prendre conscience de la r alit du ph nom ne exp rience ARCHIMEDE voir Chapitre 8 Ces quelques rappels sur les probl mes d erreur d op rateurs tant faits revenons au probl me particulier des simulateurs de formation Rappelons que former c est fournir les bons mod les d action et les bonnes images mentales permettant une analyse correcte des situations Convaincre quelqu un ne consiste pas lui imposer brutalement ses propres conclusions Cela consiste l amener de lui m me aux m mes conclusions en l aidant formuler un raisonnement analogue De m me former quelqu un ne consiste pas lui imposer brutalement les th ories les mod les et les images Cela consiste l amener de lui m me se forger les bons mod les partir de sa propre exp rience Le formateur n est l que pour guider c est dire indiquer le bon chemin et redresser les erreurs La simulation est l un des moyens d acquisition des bons mod les par l exp rience personnelle condition de disposer d un formateur qui surveille en permanence les op rations de formation et contr le la naissance des images mentales et des mod les dans le cerveau de l op rateur pour viter au mieux les d viations Les op rations de formation n cessitent outre les moyens audiovisuels classiques des moyens de simulation qui l encore doivent tre adapt s au but recherch LES DIFF RENTS TYPES DE SIMULATEURS DE
54. ensembles tournants La pression dans un circuit hydraulique ne peut d passer une valeur critique sans risques de rupture de canalisations ou de joints et doit rester au dessus d une autre valeur critique sans quoi les v rins aliment s sont inefficaces Il faut toutefois garder l esprit cette notion de variation de probabilit de catastrophe au voisinage d une limite Cette notion de limite est commode mais il ne faut pas en d duire qu l int rieur des limites l accident est impossible donc la s curit absolue et qu en dehors l accident est in vitable C est l approche de ces limites qui est signal e par les alarmes tout en conservant une certaine marge pour permettre l op rateur de r agir temps Pour les avions civils on d finit un domaine autoris l int rieur duquel la probabilit d accident est jug e suffisamment faible pour que l accident y soit consid r comme hautement improbable et un domaine dit Vive les P pins Tome II 186 p riph rique l int rieur duquel la probabilit d accident est encore suffisamment faible mais d o l op rateur doit faire sortir le point d tat pour le ramener dans le domaine autoris La probabilit d accident est ainsi maintenue une valeur raisonnable compte tenu du faible temps pendant lequel le point d tat demeure dans le domaine p riph rique Cette repr sentation permet de tenir compte en partie de l volution de la probabilit d accident a
55. est cependant in vitable Risques et activit humaine Nous reprenons ici quelques notions qui ont t d velopp es dans le chapitre 2 afin de mieux cerner le probl me du risque admissible sans se r f rer ce lointain chapitre Toute activit humaine implique un risque C est vrai des activit s les plus triviales telles que la promenade en famille et cet exemple montre que les parents acceptent alors un risque pour leurs enfants Ne parlons pas du bricolage ou jardinage du dimanche souvent dangereux Ph nom ne bien connu des h pitaux Ces risques l sont g n ralement accept s par habitude ils sont taille humaine C est le cas du coup de marteau sur le doigt o l on ne peut invoquer que sa propre maladresse mais que dire de la scie lectrique ou de la tondeuse gazon mal prot g e ou dont on a t la s curit Mais l activit humaine g n re des risques plus complexes et souvent collectivement plus importants d s lors que des nergies importantes sont mises en jeu Citons les moyens de transport automobile chemins de fer bateaux avions les b timents feu ascenseurs conduites de gaz les grandes installations industrielles chimie nergie nucl aire et m me les gradins d un stade de football ou les boites de nuit Bien entendu les acteurs s appliquent tr s g n ralement prendre des pr cautions et s efforcent de minimiser les risques courus C est surtout vrai dans les grands projets i
56. et du yen en septembre Tout au plus pourra t il consulter des tables de probabilit s tir es de mod les m t orologiques et conomiques et moulin es par des ordinateurs tout aussi puissants qu imb ciles Quant aux andro des nous n en voyons pas l utilit Pourquoi imiter l homme totalement imparfait sur le plan m canique ne disposant que de deux bras mobilit tr s limit e de deux jambes le for ant un quilibre pr caire de deux yeux ne regardant que dans une seule direction Nous n avons trouv qu un seul roman justifiant le robot andro de Les femmes de Stepford d Ira Levin Les hommes de la petite ville am ricaine de Stepford remplacent leurs pouses par des copies robotis es un peu am lior es sur le plan physique excellentes cuisini res dociles toujours disponibles et peu bavardes Ces robots sont une am lioration du complexe mixer machine laver poup e gonflable Je doute que la meilleure moiti de l humanit appr cie cette robotisation intempestive Il est enfin amusant de noter que le c l bre auteur de science fiction Isaac Asimov ait cru bon cr er les lois de la robotique pour limiter les risques de domination des robots sur l humanit risques concr tis s par ce qu il Vive les P pins Tome II 304 nomme le complexe de Frankenstein la peur de voir la cr ature se retourner contre son cr ateur Il n a commis qu une seule erreur en cr ant ses trois lois et en rajoutant une quatri me
57. et lance une mauvaise proc dure de correction L op rateur agit sur un interrupteur et au m me moment retentit une alarme L op rateur b tit une explication que nous qualifierons d exotique pour expliquer cette co ncidence qui n est que le fruit du hasard Chaque jour l op rateur doit ex cuter la m me t che et en v rifier le bon accomplissement Chaque jour la v rification se r v le positive Or un jour l une des man uvres choue et le r sultat est n gatif Mais l op rateur ayant toujours observ jusqu ici un r sultat positif ne note pas que le r sultat est exceptionnellement n gatif et il poursuit la proc dure comme s il tait positif Chaque jour sur cet a roport le pilote doit virer droite apr s d collage Exceptionnellement le contr le d a roport demande un virage gauche et en pr vient le pilote au moment o il quitte le parking Bien que le pilote ait accus r ception du message il oublie la consigne apr s d collage et vire droite comme d habitude G Au cours de l approche finale de la piste d atterrissage la vitesse est 50 n uds sup rieure la vitesse recommand e dans le manuel de vol Mais le pilote ne corrige pas cet cart ne remarquant pas que le risque est lev de d passer l extr mit de piste apr s l atterrissage Il utilise un mauvais mod le de risque Il n est pas vident de reconna tre ce type d erreur et de faire la distinction avec le cas de type A pour lequel le pil
58. insiste sur l encha nement des erreurs de repr sentation doubl es de vol LOFT Line Oriented Flight Training entra nement sur des cas de vol r els au simulateur vols introduisant des conditions favorisant les erreurs de repr sentations les sc narios des vols de l op ration ARCHIMEDE sont des exemples de sc narios introduire dans ces vols d entra nement Au cours de la deuxi me s rie d essais ARCHIMEDE deux membres d quipage qui avaient d j subi une premi re exp rience lors de l op ration pr c dente seuls ces deux op rateurs ont t dans ce cas de redoublement ont d tect plus t t que les autres la cha ne des erreurs en train de se commettre et ont reconnu que l exp rience acquise avait fortement contribu ce succ s Il est difficile d en tirer un r sultat statistiquement valable il est toutefois encourageant Une seconde m thode repose sur la remarque suivante L op rateur ne se remet pas en cause chaque instant Le v cu de ses actions ne lui permet pas de douter de leur bien fond et de leur r ussite J ai enclench le mode Contr le de Vitesse donc le mode suivi par le Pilote Automatique ne peut tre que celui ci Il ne passe pas son temps rev rifier ce qu il a d j fait et pense t il bien fait Pour le chef de quart de la centrale nucl aire de Three Mile Island la vanne de d charge tait ferm e et bien ferm e puisqu il avait observ cette fermeture sur le panneau d instrume
59. interface Hms ou Hma ou une erreur d organisation Oms ou Oma Il se peut par ailleurs que l on ne puisse identifier s rement le Facteur d Erreur et le type de D faut Ainsi l action intempestive sur une commande peut tre soit un Lapsus La r sultant d une mauvaise conception de l interface touches de clavier trop petites et trop rapproch es par exemple Hma soit une erreur de repr sentation SPIa mauvaise connaissance du mod le de positionnement des commandes due un d faut de Formation sp cifique Fsa L analyse devra proposer ces diff rentes possibilit s Certains facteurs d amplification de risque d erreur identifi s par la grille GARE peuvent avoir pour origine des D fauts Syst me Il convient d identifier ces D fauts au m me titre que les d fauts l origine des v nements d Op rabilit Ainsi l nconfort d au port de casques ou de gants mal adapt s rel ve de D fauts du type Hm Interface Homme Machine sur le plan m canique La pr sence de visiteurs intempestifs ou de personnalit s la constitution d quipages risque rel vent de D fauts d Organisation Bien entendu les facteurs cit s dans la grille GARE n ont pas tous un D faut Syst me pour origine Ainsi les soucis financiers ou les d boires sentimentaux des op rateurs ne rel vent pas d un D faut Syst me ce qui ne les emp che pas d influer sur leur comportement Il n en reste pas moins que des dispositions sp ciales d organisat
60. je recherche un risque nul de noyade dans Paris je ne peux me permettre de ne pas envisager ces situations et bien d autres que nous pouvons tout autant imaginer Pour se rapprocher du risque nul il serait donc judicieux que le Parlement vote une loi imposant le port obligatoire d une brassi re automatiquement gonflable au contact de l eau C est techniquement possible pourquoi s en priver Autant mettre en place des moyens pour r duire un risque trop lev jusqu une valeur raisonnable est judicieux autant mettre en place des moyens co teux pour r duire un risque d j si faible qu il est consid r comme n gligeable est totalement absurde Ainsi imposer la ceinture de s curit bord des voitures est il judicieux car le risque de blessures graves ou mortelles est important en cas d accident et la fr quence des accidents de la route est encore trop lev e Par contre imposer le port de la brassi re pour viter la noyade en ville est pour le moins discutable Il est bien pr f rable de porter son effort sur des risques encore trop lev s dans la vie de tous les jours plut t que de chercher minimiser les risques d j n gligeables Ainsi chercher diminuer les risques dus l utilisation du gaz de ville par explosions ou asphyxie est beaucoup plus efficace que de chercher limiter les risques de noyades La r ponse bien souvent est que l une des mesures n emp che pas l autre et chacun de s crier la s curit
61. l on manque d informations Ainsi seul l op rateur peut pr ciser par exemple qu il a saisi la mauvaise commande parce que sa charge de travail tait trop lev e Ca parce qu il utilisait un mauvais mod le de localisation des commandes SPIa ou par suite d une simple maladresse La Dans le doute il faut caract riser l v nement par les trois sigles possibles Ca ou SPIa ou La Enfin la reconnaissance d une maladresse simple n est envisager que si l on peut liminer les trois autres cas possibles C A S Par ailleurs le choix de la colonne ne fait qu identifier l op ration au cours de laquelle l erreur s est manifest e Dans bien des cas le fait qu une erreur survienne l occasion de tele ou telle op ration n est qu anecdotique Mis dans les m mes conditions un autre op rateur ou le m me op rateur commettrait une erreur loccasion d une op ration d un autre type Ceci est toujours le cas pour le Facteur d Erreur Absence de Stimuli conduisant la chute de la vigilance Dans ce cas il est inutile en cons quence de pr ciser la colonne et le sigle caract risant le Facteur d erreur se r duira A sans plus de pr cision C est souvent vrai pour le Facteur d Erreur Charge de Travail lev e N anmoins il peut tre utile de pr ciser la colonne pour pouvoir v rifier ult rieurement lors de la comparaison de plusieurs incidents du m me type si l erreur ne survient pas quasi syst matiquement pour le m me type
62. la limite d incidence maximale Ainsi le rapprochement d une limite ne d pend que des caract ristiques du syst me et non de l habilet de l op rateur L encore peut se superposer l v nement de Man uvrabilit un v nement d Op rabilit si l op rateur effectue mal la man uvre Mais il ne faut pas confondre ces deux types d v nement Tous les changements de phases ou de sous phases acc l rations virage mise en palier etc imposent des man uvres au cours desquelles le point d tat se d place C est pourquoi les proc dures imposent des points d tat de consigne en prenant des marges suffisantes par rapport aux limites pour couvrir les man uvres maximales raisonnablement pr visibles En cons quence la suite d une s rie d v nements des trois types d crits le point d tat se rapproche d une limite de telle sorte qu un dernier v nement toujours de l un des trois types conduit le point d tat franchir une limite provoquant l accident L tude des v nements de Sensibilit aux Perturbations et des v nements de Man uvrabilit conduit prendre des marges entre le point d tat et les limites de fa on pouvoir faire face aux perturbations maximales et aux man uvres maximales raisonnablement probables Il est donc important dans l analyse de retour d exp rience de bien identifier ces v nements car outre l explication de l apparition d v nements d Op rabilit dans les man uvres d
63. le clou utilisation d un autre outil pour positionner et maintenir le clou utilisation d un autre outil pour positionner et maintenir en place les pi ces clouer etc L op ration associ e la machine tudier doit tre d coup e en phases chaque phase tant elle m me d coup e en sous phases Une phase est caract ris e par un objectif g n ral une sous phase est caract ris e par un objectif l mentaire Chaque objectif doit tre d fini avec des tol rances telles que s il est atteint l int rieur de ces tol rances la sous phase ou la phase suivante puisse tre entam e avec succ s Pour chaque sous phase le manuel d utilisation ou les proc dures doivent pr ciser la configuration n cessaire de la machine configuration g om trique mise sur marche ou arr t des automatismes et plus g n ralement des syst mes Pour chaque sous phase il faut dresser la liste des diff rents cas de pannes possibles et les diff rents cas d environnement pr visibles pour valuer les risques d erreurs avec toutes les combinaisons pannes environnement ventuelles chaque cas constituant une f che A chaque t che on peut affecter une probabilit P produit de la probabilit d avoir effectuer la sous phase de la probabilit de la combinaison de pannes choisie de la probabilit des conditions d environnement La probabilit d avoir effectuer la sous phase est en g n ral gale 1 sauf pour que
64. le syst me peut reconna tre que la configuration d atterrissage n est pas respect e volets insuffisamment sortis par exemple mais peut en outre recommander parmi les configurations admissibles la configuration optimale par exemple plein volets et non volets en position 3 tant donn la longueur de piste en service et la force du vent Bien entendu ces informations doivent tre connues du syst me ce qui est facile pour la piste en service car le FMGS Flight Management and Guidance System syst me de navigation et de guidage contient cette information Il faudra attendre la mise en service des transmissions automatiques des donn es m t o pour obtenir la force et la direction du vent sur la piste Une tude men e sur le fichier RACHEL voir Chapitre 8 a montr que si les pilotes avaient dispos d un tel syst me et avaient suivi les instructions propos es environ la moiti des accidents r pertori s auraient sans doute pu tre vit s Dans tous ces accidents l erreur initiale tait une erreur de repr sentation se traduisant par une incoh rence entre la repr sentation mentale du pilote et l tat r el du syst me et l accident lui m me ne se produisait que plusieurs minutes apr s l erreur initiale Cela aurait laiss suffisamment de temps au syst me pour d tecter la situation anormale et au pilote pour la corriger La philosophie d tablissement d un syst me d alarme est tr s d licate tablir Les quelques
65. les hommes et m me de les liminer Nous ne sommes pas aussi pessimistes ce qui ne nous emp che pas de nous divertir la lecture de ces histoires qui valent bien les contes de f es de notre enfance Nous savons que la machine capable de tout pr voir est une utopie pour des raisons profondes et tout aussi incontournables que la croissance in luctable de l entropie interdisant le mouvement perp tuel ou que le principe d incertitude d Heisenberg La non lin arit des mod les math matiques conduit l impossibilit de pr vision terme toute impr cision aussi minime soit elle sur les donn es initiales se traduisant par une modification des conditions finales impr visible a priori et sans commune mesure avec l cart initial les fameux attracteurs tranges ou le chaos d terministe Ainsi ne disposerons nous jamais de machines capables de tout pr voir et devrons nous nous en remettre aux sentiments autrement dit au pifom tre de l homme pour prendre des d cisions m me si ces d cisions sont appuy es par des informations venant d ordinateurs puissants dot s de grandes m moires et capables de traiter beaucoup d informations en peu de temps C est l homme et l homme seul qui d cidera de planter cette ann e du ma s dans son champ plut t que du sorgho car aucun ordinateur ne sera en mesure de pr voir la pluviom trie pr cise en ao t entre le dix et le trente du mois et de donner les cours comparatifs de l euro du dollar
66. les instruments donnant le retour d information de deux commandes plac es c te c te sont pr sent s c te c te mais intervertis la commande de gauche tant contr l e par l indicateur de droite etc Identification des sources d information Les afficheurs ont tous la m me forme la m me couleur sans tiquetage gt L identification du param tre affich est faite par des sigles des symboles difficiles interpr ter La logique d tiquetage est d ficiente voir les probl mes g n raux d tiquetage en d but de guide Transposition de l information La transposition de l information brute fournie par l afficheur en une grandeur utilisable par l op rateur se fait avec erreur L chelle est l inverse du sens habituel croissante vers le bas pour une chelle verticale croissante de droite gauche pour une chelle horizontale ou croissante en sens inverse du sens d horloge Le sens de variation du param tre affich doit tre conforme au sens d volution physique de ce param tre la vitesse verticale doit tre repr sent e par un d placement haut bas et non gauche droite L chelle n est pas lin aire ce qui rend difficile les interpolations Plusieurs chelles sont disponibles le choix de l chelle d pendant d une commande annexe ce qui n cessite avant lecture de v rifier la position de la commande de changement d chelle Plusieurs param tres sont affich s sur le m me ins
67. logiques et math matiques bien ma tris es Mais il peut exister des risques cach s r sultant d interactions non videntes et passant par des chemins tr s d tourn s Par exemple plusieurs circuits hydrauliques ind pendants et correctement s gr gu s peuvent se trouver vibrer sur une m me fr quence m canique g n r e rarement mais occasionnellement par tel quipement et en cons quence tomber en panne de mani re quasi simultan e Il est important que les situations potentiellement catastrophiques r siduelles soient grossi rement quiprobables Dans le cas contraire une erreur d estimation pourrait avoir des cons quences d mesur es par rapport l erreur commise Ce point a d j t cit au chapitre 2 rappelons en l explication Supposons que le taux de risque accept corresponde une probabilit de catastrophe inf rieure 107 par heure de fonctionnement et que ce risque r siduel r sulte de 100 situations catastrophiques ayant chacune une probabilit de 10 Une erreur d un facteur 100 sur l une de ces situations lui donnera une probabilit de 107 et la probabilit globale de catastrophe passera 2 107 d gradation encore tol rable Si en revanche la probabilit globale de catastrophe r sulte d une situation ayant une probabilit de 0 9 10 7 et de 99 autres se partageant le 0 1 10 7 restant une erreur d un facteur 100 sur la premi re situation lui conf rera une probabilit de 0 9 10 totalement
68. m connaissance des r gles g n rales de transmission de l information m connaissance des r gles de s curit m connaissances dans le domaine du comportement de l homme face la machine etc mauvaise conception de la formation sp cifique au syst me m connaissance des mod les de fonctionnement du syst me conduisant des erreurs de d cisions des mod les utilis s pour la captation des donn es des mod les utilis s pour l action sur les commandes de l organisation en cours r partition des t ches des proc dures de l organisation g n rale de l entreprise et de ses objectifs manque d entra nement ou mauvaises m thodes d entra nement mauvaise mise jour des connaissances formation continue les D fauts de conception ou de r alisation de la Documentation les Informations erron es non transmises ou mat riellement mal transmises aux utilisateurs La documentation comprend la documentation technique relative aux mat riels les documents de navigation cartes et documents terrains les documents administratifs etc Les informations qui constituent une documentation provisoire concernent les modifications de mat riels de proc dures d organisation les incidents ou accidents identifi s etc D D fauts mat riels Documentation inexistante mal pr sent e mat riellement photocopie d fectueuse taille ou volume incompatible avec une utilisation dans le poste etc Nous avons ainsi
69. mais ne couvre pas les erreurs de logique du cahier des charges La dissemblance doit s tendre jusqu au cahier des charges lui m me L id al est d utiliser d une part des ordinateurs digitaux avec un cahier des charges pr voyant toutes les fonctions n cessaires l optimisation du vol d autre part des calculateurs analogiques dissemblance du mat riel et n cessairement dissemblance du cahier des charges avec un cahier des charges ne pr voyant que les fonctions minimales n cessaires la s curit du vol Voir chapitre 2 En cons quence si le programme des ordinateurs digitaux se plante le vol et le retour au terrain sont assur s par les calculateurs analogiques la mission n tant plus remplie mais l avion tant sauv Vive les P pins Tome II 250 On voit ainsi que l ing nieur dispose de nombreux moyens nous ne les avons pas tous cit s pour r duire les incertitudes et liminer une grande partie des erreurs de conception dues aux imperfections des mod les Nous venons de voir ainsi comment limiter les deux types d erreurs que nous avons cit s Il existe un troisi me type d erreur de conception que nous n avons pas encore envisag dans ce chapitre Ces erreurs sont commises chaque fois que le concepteur ne tient pas compte des caract ristiques de l op rateur humain futur utilisateur charg du pilotage ou de l entretien de la machine Nous avons abondamment d crits les d fauts d interface homme machine pour ne
70. moyens de transmission d information gt FORMATION SPECIFIQUE Fst gt La formation sp cifique n a pas suffisamment insist sur les moyens et m thodes de transmission de l information et n a pas justifi les proc dures utiliser Vive les P pins Tome II 227 gt L entra nement a t effectu sur un syst me diff rent du syst me r el simulateur par exemple sans entra nement la transmission des informations gt DOCUMENTATION Dmt gt La documentation sur les moyens et les proc dures de transmission est inexistante incompl te mal reproduite difficilement maniable sur le terrain listes multiples de destinataires ou de fr quences inutilisables en ext rieur caract res trop petits difficilement lisibles sous faible clairage ou encore contient des erreurs mat rielles oubli de mise jour fautes de frappe sur les codes les noms de destinataires ou les fr quences par exemple gt Une modification des r gles et consignes de transmission une modification de l organisation changement des destinataires des messages une modification d un annuaire n est pas transmise aux op rateurs gt DOCUMENTATION Dct gt La documentation sur les moyens et les proc dures de transmission est difficilement compr hensible ou trop dispers e et conduit des erreurs Les annuaires ou les listes de fr quences comportent des ambigu t s ou rendent difficile la recherche d un code de correspondant gt Une modific
71. objectif de s curit mais des objectifs tr s diff rents par exemple assurer la r gularit des op rations financi res et comptables Il arrive qu une r gle judicieuse une poque devienne caduque ou m me n faste une autre poque compte tenu des volutions de la technique ou des m thodes d exploitation Dans d autres cas deux r gles r dig es par des organismes diff rents et destin es traiter des v nements redout s diff rents face des types d agression diff rents peuvent se r v ler contradictoires au moment de leur application Les d fauts d crits au chapitre pr c dent ont donn lieu de nombreux d veloppements dans les premiers chapitres Nous nous sommes donc content s de les citer rapidement Par contre les D fauts d origine r glementaire ont un caract re sp cifique et nouveau Il est donc n cessaire de leur consacrer quelques pages particuli res Tr s souvent les D fauts dits R glementaires ont pour origine une m thode d fectueuse d laboration des r gles Il est tr s commode d noncer une r gle de s curit en imposant un moyen et c est cette m thode qui est utilis e dans de nombreux r glements Elle a l avantage de faciliter la r daction et la v rification de la r gle Le moyen est d crit en termes techniques et il suffit d en v rifier la pr sence et la conformit sur le syst me r alis Cette m thode a quatre inconv nients majeurs En g n ral l objectif de
72. odeur anormale ou par le go t eau plus ou moins sal e La saisie de l information n cessite la mise en service volontaire du capteur humain op ration cognitive la r f rence plus ou moins consciente trois types de mod les stock s de fa on plus ou moins parfaite dans la m moire de l op rateur voir chapitres 3 et 4 gt le mod le de localisation des sources d information pour savoir o capter l information recherch e gt le mod le d identification des sources d information pour pouvoir v rifier si n cessaire que la source d information est bien celle souhait e gt les mod les de transposition de l information ces mod les permettent de transformer une information brute position d une aiguille couleur d un voyant forme d un sigle ou d une ic ne en une information utilisable par le cerveau pour une d cision ult rieure Il peut tre utile de pr ciser si la source d information est le syst me lui m me transmission d information Machine Homme ou un autre op rateur transmission Homme Homme Si la source d information est la machine l op ration de saisie est d clench e par une d cision de l op rateur la d cision pouvant tre forc e par la machine dans le cas d une alarme Si la source d information est un autre op rateur communiquant verbalement l op ration de saisie est forc e par l metteur du message et l information est en g n ral fugitive Les erreurs s
73. param tre unique Vive les P pins Tome II 319 Ces corr lations existent sans conteste Diam tre de la pupille variabilit du rythme cardiaque etc varient avec la charge de travail telle qu elle est ressentie par l op rateur Mais ces mesures ne peuvent fournir que des indicateurs de variation de certains composants de la charge de travail recueil de donn es activit musculaire laboration de strat gies etc En aucun cas elles ne constituent des mesures absolues et reproductibles permettant le classement des t ches Que signifie d ailleurs un classement d objets caract ris s par des param tres multiples Ces mesures d pendent enfin de beaucoup trop d autres facteurs et sont en g n ral plus sensibles ces facteurs qu la charge de travail elle m me En d finitive le seul outil disponible est l estimation par l op rateur lui m me de la charge de travail n cessit e par la t che qu il ex cute par comparaison avec les charges de travail correspondant des t ches de r f rence L exp rience montre en effet que des op rateurs bien au fait du probl me de simulation et d essai sur prototype ou sur machine r elle sont capables de fournir des estimations fiables et r p titives dans la mesure o ils ont compris qu il s agit d estimer non la charge de travail elle m me multiforme et mal d finie mais indirectement la probabilit dans les conditions d essai de commettre une erreur d Op rabilit Pr cisons
74. peut imposer par contrat l application de normes autres que celles impos es par le r glement de certification et exiger l utilisation de tel mat riel homologu Le technicien peut enfin accorder des d rogations aux exigences du cahier des charges Il agit en effet dans le domaine contractuel en tant que repr sentant de l tat client et non dans le domaine l gal en tant que repr sentant de l tat garant de la s curit En d finitive cette confusion des r les de l tat client et de l tat garant de la s curit conduit ainsi bien souvent des D fauts R glementaires Vive les P pins Tome II 205 CHAPITRE 11 GUIDE D ANALYSE D UN INCIDENT GAFE Grille d Analyse des Facteurs d Erreurs RADOS R pertoire d analyse des D fauts Op rationnels du Syst me GARE Grille des facteurs Amplificateurs de Risque d Erreur GASP Grille d Analyse des v nements de Sensibilit aux Perturbations GAME Grille d Analyse des v nements de Man uvrabilit Ce chapitre reprend un grand nombre de notions d velopp es dans les chapitres pr c dents de fa on pouvoir tre lu de fa on autonome et utilis comme guide ind pendant Les incidents d crits dans les fiches de RETOUR D EXPERIENCE doivent tre pr sent s sous forme de cha nes d v nements de trois types les v nements d Op rabilit mettant en cause les caract ristiques de l op rateur humain les v nements de Sensibilit aux perturbations externes et in
75. ph rique peut supporter 5 fois la charge maximale de skieurs Des proc dures bien d finies assurent la s curit dans des situations op rationnelles ou de pannes bien d finies Il suffit alors de les respecter C est ce que certains appelaient la s curit intrins que L approche pr c dente rassure mais elle est un mirage un mirage dangereux C est la m thode de l autruche le danger n existe plus Puisqu il n existe plus point n est besoin de l identifier C est le tout ou rien A d faut d inventaire des l ments sont rest s inaper us dans un tiroir ou bien se sont introduits subrepticement apr s inspection du dit tiroir Le pont est surabondant mais par fort vent peut appara tre un ph nom ne vibratoire dit de flottement qui le d truit rapidement pont de Tacoma aux tats Unis Le t l ph rique est surabondant statiquement mais l on a chang de mat riau pour la potence et des ph nom nes de fatigue inconnus ou n glig s auparavant juste titre deviennent d terminants accident d un t l ph rique dans les Alpes fran aises au d but des ann es 60 Les proc dures d finies sont correctes mais apparaissent des circonstances ou des pannes non envisag es un malentendu une r daction ambigu et la porte du ferry n est pas ferm e ou le frein du train n a plus de pression ou deux trains sont envoy s en sens inverse sur une voie unique sans possibilit de les intercepter et de les stopper Puisqu il est in
76. pour provoquer la catastrophe mais cet v nement n en aurait pas t pour autant la cause Nous retiendrons donc que nous appelons incident toute succession d v nements qui provoque le d placement du point d tat et le rapproche d une limite et qu un accident est le r sultat d un franchissement de limite Ainsi un accident peut se d crire par une succession d v nements dont le dernier conduit au franchissement d une limite amenant la probabilit de catastrophe blessures ou perte de vies humaines destructions de mat riel une valeur inacceptable Un incident peut se d crire par une succession d v nements dont le dernier met le syst me dans une situation dangereuse puisque voisine d une limite La distinction entre accident et incident est utile sur le plan de la justice ou de la gestion Elle est sans int r t pour le retour d exp rience en mati re de s curit Il s agit en effet de d gager les sc narios accidentog nes peu importe que leurs conclusions aient t plus ou moins catastrophiques Un accident n est qu un incident qui a mal tourn Dans ce qui suit nous ne ferons donc plus la distinction entre accident et incident et les appellerons tous accidents Un d placement du point d tat est provoqu par des v nements de trois types et de trois types seulement v nements d Op rabilit L op rateur dispose des commandes n cessaires pour maintenir le point d tat dans le domaine autoris
77. quatre sc narios pour la premi re campagne sept s quences pour la deuxi me campagne Le souci de r alisme a t pouss jusqu demander aux quipages de porter l uniforme et reproduire l environnement radio en passant des enregistrements de trafic r els effectu s dans les zones correspondants aux trajectoires simul es et en faisant intervenir un contr leur a rien simulant le trafic radio avec l quipage et d autres quipages jou s par les ing nieurs d essai Les quipages ont tous reconnu le r alisme de la simulation confirm par les enregistrements des rythmes cardiaques Ils ont galement not que les sc narios taient tr s conformes la r alit d un vol et ils n ont pas eu l impression d avoir t pi g s par des v nements anormaux que l on ne pourrait rencontrer en vol Le r sultat des essais n a pas t conforme nos pr visions Nous pensions observer un ou deux cas de d viation int ressants dans les quelques cent sc narios ex cut s Or chaque sc nario a provoqu quasi syst matiquement des d viations plus ou moins importantes proches de l accident Les v nements dont la succession conduit cette situation critique sont d une extr me banalit petites erreurs courantes commises tr s souvent mais la plupart du temps corrig es tr s rapidement ou sans cons quences dans le contexte et par suite rarement not es par les quipages C est l encha nement malencontreux de ce
78. que le but de chaque analyse d accident est d en retrouver dans la mesure du possible toute la gen se et si des erreurs humaines sont d tect es de rechercher si elles sont explicables par des erreurs de conception ou d organisation ou si elles sont r ellement des fautes Il est vident que condamner l auteur d une erreur due une mauvaise conception du tableau de commande d une machine n emp chera pas un autre op rateur de commettre la m me erreur La punition n aura d effet que si une faute contre la discipline a t commise Donnons quelques exemples de cas concrets destin s non pas d finir des responsabilit s mais faire r fl chir les juristes avec nous comme nous avons tent de le faire lors de plusieurs colloques Juristes Ing nieurs Bordeaux en 1991 puis Lyon depuis 1993 Vive les P pins Tome II 290 Les exp riences ARCHIMEDE Les op rations RACHEL SEMIRAMIS et ARCHIMEDE men es pour le compte de la Direction G n rale de l Aviation Civile avaient pour objectif une meilleure compr hension du r le des erreurs humaines dans la gen se des accidents a riens Nous les avons d crites au chapitre 8 nous n y reviendrons pas et rappellerons simplement les conclusions qui nous int ressent ici sur le plan juridique Les quipages ont tous reconnu que les sc narios taient tr s conformes la r alit d un vol et qu ils n ont pas eu l impression d avoir t pi g s par des v nements anormaux qu
79. quipage et d tourner leur attention des performances de l avion Erreur de repr sentation par manque d analyse de la situation le pilote a mis le pilote automatique sur IAS HOLD l a vu s afficher et ne v rifie plus si ce mode est toujours en service non renouvellement de l image mentale de la situation Ce type de sc nario pr figure les sc narios que l on risque de rencontrer avec les avions modernes glass cockpit fortement automatis s mauvaise connaissance du fonctionnement des automatismes mauvaises prises d information sur l tat des automatismes voir le paragraphe d crivant les boucles de contr le de la machine en utilisant les automatismes au chapitre 4 voir au chapitre 7 l incident survenu au dessus de Luxembourg le 11 11 79 au DC10 d Aeromexico Il faut enfin noter que tous les sc narios rencontr s dans la r alit ne peuvent pas tre simul s Pour pouvoir tre simul un sc nario doit reposer sur une cha ne d v nements dont chacun peut tre provoqu par une action ext rieure de la part du Contr le de Trafic A rien perturbant l quipage au bon moment du responsable du simulateur introduisant une panne un instant crucial de la part du responsable du trafic radio mettant un message ambigu etc Si la cha ne contient une interpr tation erron e d un message d un param tre de vol il est vident qu un tel v nement ne peut tre provoqu L exp rience ARCHIMEDE a toutefois montr que de tels v n
80. repr sentation Le R pertoire RADOS est constitu des m mes quatre colonnes et de cinq groupes de lignes correspondant aux diff rents types de D fauts des syst mes A chaque Facteur d Erreur identifi e par la GAFE on peut faire correspondre un d faut syst me du R pertoire On prendra garde au fait qu il n y a pas de correspondance automatique entre les Facteurs d Erreurs rep r es par la GAFE et les types de D fauts du RADOS bien qu il y ait g n ralement une forte corr lation tel type de D faut favorisant le plus souvent tel Facteur d Erreur Les grilles GASP et GAME d pendent du type de Machine dont on tudie les incidents Il est vident qu un avion de transport est sensible la turbulence de l atmosph re ce qui n est pas le cas pour une motrice de TGV Les perturbations internes c est dire les pannes sont sp cifiques Enfin les man uvres impos es par la mission ou les man uvres de correction d pendent du type de machine tudi e L annulation du d rapage au moment du toucher des roues au cours d un atterrissage par vent de travers man uvre dite de d crabe est sp cifique l avion de transport et n a pas d quivalent sur le TGV ou une centrale nucl aire Aussi ne donnerons nous en fin d annexe les grilles GASP et GAME utilis es dans l a ronautique qu titre d exemple La grille GARE d pend elle aussi du type de Machine tudi e Nous donnons toutefois en fin de ce chapitre une liste assez comp
81. riellement erron es pour l une ou plusieurs des raisons suivantes erreurs de frappe erreur de recopie m canique la photocopieuse a mang la derni re ligne d une page d o la r gle l mentaire suivante une proc dure doit tre mat riellement inscrite dans un cadre si le cadre n appara t pas dans son int gralit sur la reproduction la copie doit tre rejet e erreur de recopie manuelle Vive les P pins Tome II 271 pages interverties etc Les op rateurs n appliquent pas la proc dure recommand e mais une proc dure modifi e par l usage petit carnet personnel Les op rateurs appliquent la proc dure sans en comprendre les raisons et l interpr tent tort Les op rateurs appliquent les r gles d change d information en particulier r daction des documents r glementaires de fa on routini re sans en comprendre la justification par exemple d p che d ouverture de gare exp di e en retard avec un horaire d envoi antidat probl mes de conception de proc dure Les op rateurs disposent de documentations sous une forme non adapt e au travail de tous les jours r glements g n raux en particulier Les op rateurs disposent de proc dures mal adapt es leurs besoins Check List sommaire pour des op rations ponctuelles effectu es rarement proc dures tr s d taill es pour les op rations de routine Les op rateurs disposent de proc dures non mises jour Les m thode
82. s curit initial et les arguments techniques ayant pr sid au choix et la conception du moyen ne figurent pas dans la r gle et sont rapidement oubli s On se contente d appliquer la r gle sans en conna tre le bien fond Or l volution des techniques des proc dures d utilisation des conditions d emploi peut rendre le moyen inutile ou m me n faste Certains concepteurs ou utilisateurs se contentent d appliquer la r gle m me s ils la savent inutile ou n faste pour se prot ger sur le plan juridique En cas d accident je suis inattaquable puisque j ai appliqu la r gle prescrite Les r dacteurs des r gles n ont pas conscience de leur responsabilit en d finissant en lieu et place du concepteur en dehors du contexte r el de cr ation et d utilisation du mat riel les moyens d assurer la s curit Enfin et c est le d faut le plus grave cette m thode scl rose totalement l innovation en interdisant toute solution originale autoris e par l volution de la technique et des conditions d emploi Donnons un exemple caricatural de ce type de d faut r glementaire Vive les P pins Tome II 200 Au cours des ann es 60 on imposait la r gle suivante pour la conception des c bles liant sur les planeurs le manche aux gouvernes Si le cheminement du c ble l int rieur de la structure impose des coudes de plus de 15 il faut assurer cette d viation en installant une poulie folle L objectif non pr cis
83. s entra n et particuli rement chanceux ne commettra qu une erreur sur dix mille actions Mais cette fr quence est encore trop lev e pour que la s curit soit assur e par le seul respect des proc dures Il est donc fondamental de d tecter tous les incidents dus une seule erreur d op rateur et trouver des rem des d trompage m caniques ou automatiques syst mes d avertissement proc dures de v rification par un autre op rateur etc A titre d exemple rappelons que lorsque sur notre ordinateur personnel nous tapons la commande FORMAT A en g n ral le message Attention vous allez effacer tous les fichiers Confirmez la commande est affich et n cessite la r ponse OUI Trois lettres taper pour viter la r ponse r flexe Ce message de confirmation est bien utile si par m garde nous avons tap la commande FORMAT C Sans ce message nous risquons d effacer tout le disque dur ce qui peut tre tr s f cheux Par contre interdire l effacement de fa on syst matique n est pas une solution car cette op ration peut se r v ler n cessaire D tecter des erreurs effectives ou potentielles n cessite une certaine pr paration et la connaissance a priori des types d erreurs g n ralement commises par les op rateurs Nous allons examiner les conditions dans lesquelles sont commises les erreurs en notant que ce n est pas l erreur elle m me qui nous int resse mais les circonstances qui ont favoris son apparition
84. s sur la machine ou sur le terrain Faire en sorte que le mode d action de la commande pousser tirer tourner lever etc ne soit pas en contradiction avec l effet de la commande sur la machine Lutter contre les erreurs de repr sentation En d finitive l objectif g n ral de ces r gles est essentiellement de r duire la charge de travail de l op rateur fonction des quantit s d information qu il saisit traite et fournit au syst me de maintenir sa vigilance et de limiter les risques de mauvaises interpr tations des informations conduisant des erreurs de repr sentation de l tat du syst me ou une utilisation de mod les erron s d actions sur les commandes Nous sommes maintenant en mesure d laborer une m thode d observation d un poste de travail en fonctionnement r el ou en simulation et de r diger un guide l usage des observateurs Nous ne justifierons pas les r gles nonc es ces justifications se trouvant dans tout ce que nous avons expos jusqu ici Le lecteur retrouvera par ailleurs de nombreux exemples d j cit s mais ordonn s suivant une logique diff rente Avant de commencer l observation essayer de mettre en confiance les op rateurs plus facile crire qu faire sur le terrain nous en sommes conscients Expliquer que l observation qui va se d rouler sur de nombreuses s ances n a pas pour objet la d tection de fautes et l application de sanctions le Retour d Exp r
85. scabreuse Erreur d estimation du risque Sc nario dit d Approche Pr cipit e l avion se pr sente en finale sur la piste de gauche lorsque le contr le demande l atterrissage sur la piste de droite plus courte et dont le seuil est en retrait par rapport la piste de gauche La man uvre de ba onnette est th oriquement possible mais d licate ex cuter en toute s curit Certains pilotes tentent la man uvre plut t que d ex cuter une remise de gaz A cette occasion se pose le probl me de la d cision de remise de gaz et de l ex cution de la man uvre suivant qu elle est d cid e par l quipage ou impos e par la tour un cisaillement de vent au d collage n est pas pr vu par l quipage malgr les informations m t o d placement d une zone orageuse autour du terrain Variations rapides du sens et de la direction du vent La proc dure adapt e utilisation pr ventive de la pouss e maximale au d collage maintien de l assiette malgr la chute de la vitesse indiqu e pour viter a tout prix la perte d altitude n est pas appliqu e le ph nom ne n tant pas identifi correctement erreur de repr sentation par m connaissance du ph nom ne la prise de pression totale de l an mom tre l indicateur de vitesse du pilote aux commandes est bouch e par un corps tranger Il en r sulte une augmentation de la vitesse indiqu e par l an mom tre au cours de la mont e suivant le d collage la pression stati
86. supprim la phase de r duction de vitesse 10000 pieds Le pilote ignore ou a oubli cette caract ristique du FMS qui fait que la reprogrammation d une phase ici l atterrissage annule la programmation des phases pr c dentes Il pense alors que la r duction de vitesse s effectuera 10000 pieds et laisse l avion p n trer l espace a rien d approche au dessous de 10000 pieds une vitesse excessive Ce type d erreur est g n ralement d un entra nement insuffisant n insistant pas assez sur le comportement des automatismes Il peut tre aussi d l utilisation de proc dures trop complexes ou a une conception des syst mes imposant un mod le de fonctionnement sophistiqu comportant trop de cas sp cifiques F La chronologie des v nements pr c dents actions sur les commandes lectures de param tres d cisions transmissions et r ceptions de messages a conduit l op rateur se b tir une image a priori int rieure ou ext rieure Par exemple le pilote a plac le s lecteur de train d atterrissage sur sorti et a t perturb par un message du contr le a rien Aussi ne v rifie t il pas les lampes de train et pense t il que le train est effectivement sorti puisqu il a actionn le s lecteur alors qu une panne a fait chouer la man uvre L op rateur sait qu une certaine panne s est produite pendant le quart pr c dent Une alarme retentit L op rateur sans v rifier attribue l alarme la panne connue
87. tat de la piste autres trafics etc 5 2 Image Interne erron e La Conscience Erron e de la Situation est relative la situation interne au syst me dont l op rateur est responsable 5 3 Les Images Externes et Interne sont correctes mais l op rateur utilise un mauvais Mod le de Risque 1 Explicite signifie que le rapporteur a formellement cit le cas 2 vident implicite signifie que le rapporteur n a pas cit formellement le cas mais que la lecture du rapport ne laisse aucun doute sur sa r alit Vive les P pins Tome H 241 En fonction du degr de d tails du rapport il est g n ralement possible d tre plus pr cis et de fournir une sous division des rubriques 5 1 et 5 2 Le plus souvent on pourra d finir des listes d roulantes dans lesquelles l analyste pourra choisir une ou plusieurs rubriques En outre l analyste pourra citer un ou plusieurs Facteur d Augmentation du Risque s il ne l a pas d j d sign comme cause quasi unique de l incident La planche pr sent e ci dessous sch matise le processus de Codification L analyste au niveau de la Codification doit essayer de pr ciser dans le cas d une Conscience Erron e de la Situation quelle Image est erron e Interne ou Externe Il est aid par quelques listes d roulantes proposant les divers types possibles d Images Les listes pr sent es ci dessous ne sont pas exhaustives Elles ne constituent que des exemples et doivent tre
88. tations Ce chapitre a t r dig avec le concours de Pierre Lecomte membre de l Acad mie de l Air et de l Espace d apr s GOSCINNY et UDERZO Il n y a pas h las de potion magique pour rendre les op rateurs humains infaillibles et les accidents impossibles Vive les P pins Tome II 302 CHAPITRE 16 Il existe dans le mur du d terminisme une faille dont la constante de Planck mesure l paisseur Louis de Broglie C est une erreur de croire que toutes les fautes ne sont que des erreurs mais c est une faute lourde d estimer que toutes les erreurs sont des fautes Fr re Jehan d H turbine 1606 1669 POUVONS NOUS CONCLURE Nous venons de montrer que l homme est faillible mais que nous ne pouvons viter sa pr sence dans la conduite des grands syst mes La probabilit pour que nous soyons d mentis sur ce dernier point de notre vivant est suffisamment faible pour entrer dans le domaine du risque acceptable Il nous faut alors lutter pour viter dans la mesure du possible de mettre les op rateurs humains dans des conditions favorisant leurs faiblesses Nous disposons de m thodes de conception des syst mes et d une m thode de critique de cette conception assur e par le Retour d Exp rience Nous devons utiliser ces m thodes si nous voulons am liorer la s curit qui dans l tat actuel de la technologie plafonne f cheusement depuis quelques ann es du fait des cons quences des erreurs humaines
89. thique de la profession et une application rigoureuse de m thodes bien identifi es la meilleure parade est trouver dans un caract re suffisamment international de la r glementation y compris les m thodes de conformit et des instances de contr le En effet il est extr mement rare que les int r ts des divers pays des divers constructeurs co ncident et que les pressions politiques et autres s additionnent sans heurts Ceci r duit les risques de d rapage et au pire les homog n ise Cependant le jour o le lib ralisme et la d r glementation sans contraintes et le jeu de la concurrence d brid e auront conduit dans le domaine du transport a rien un constructeur a ronautique unique un exploitant unique une autorit unique de navigabilit et une cour de justice internationale unique install e Panama ou la r publique de Saint Marin il y aura lieu de s inqui ter de la s curit dans ce domaine Nous n en sommes pas encore l Croisons les doigts Signalons un autre effet pervers potentiel de l utilisation des avis d experts Dans un domaine d activit donn les experts pr conisent un niveau de s curit acceptable compte tenu des solutions technologiques disponibles un moment donn Au cours du temps les possibilit s de la technique et les contraintes conomiques voluant il est possible de resserrer les exigences On peut faire mieux pourquoi ne pas demander plus sera tent de d clare
90. toutefois il vaut mieux p cher par exc s d extension que par limitation excessive du nombre d erreurs consid r es l exp rience prouvant que le champ des erreurs rencontr es en service est souvent plus grand que ce que l on aurait imagin On consid rera notamment les 3 principes suivants 1 Les cons quences ne devront pas tre catastrophiques une chelle de temps compatible avec les conditions op rationnelles 2 Il devra tre vident qu une erreur bien identifiable a t commise 3 La correction devra tre facile et le moyen de la faire vident Dans cette d marche si un poste repr sentatif n est pas disponible on pourra s aider de maquettes simples modestement anim es micro simulateurs sur PC Plus pr cis ment l usage de tels micro simulateurs assez t t dans l avancement du projet permet de r duire le nombre de corrections faire ult rieurement lorsque celles ci deviennent co teuses ou de r duire le nombre de cas o l on est oblig de vivre avec une solution modestement satisfaisante Au cours de cette d marche il est utile de demander des op rateurs ext rieurs au projet de manipuler les maquettes et micro simulateurs pour d tecter les erreurs plausibles En effet les concepteurs ne peuvent imaginer les actions exotiques possibles qu ils savent inutiles puisque non programm es Par exemple ils n envisageront pas d utiliser dans le logiciel en cours de mise au point la commande CTRL ALT
91. tres de m me nature changement de fr quence d une balise etc gt REGLEMENTATION Rs gt La r glementation impose des signalisations de s curit qui surchargent inutilement l op rateur panneaux multiples d avertissement de travaux sur la voie gt La r glementation impose des types d instruments d une technologie d pass e COLONNE d D cision apr s traitement de l information gt ORGANISATION Qui doit faire Ord gt Une d cision est prise par un op rateur qui n a pas les qualifications n cessaires ou le niveau hi rarchique pr vu et qui par suite n a pas acc s aux informations ad quates permettant cette d cision Par exemple un op rateur constate une anomalie mais ne se sentant pas responsable ne la signale pas son sup rieur pensant que c est lui de r agir Au contraire il d cide d intervenir de sa propre initiative sans signaler au bon niveau de d cision l intervention en cours gt Une d cision est prise par un responsable de haut niveau qui ne dispose pas des informations appropri es gt Un incident survient alors qu un op rateur de maintenance fait un accompagnement en ligne sur une rame RATP Il prend sur lui de faire le d pannage sur place alors que l objectif des exploitants est de d gager le train le plus rapidement possible gt ORGANISATION Que doit on faire Oed gt L organisation n a pas pr vu les actions entreprendre dans des situations particuli res rare
92. troisi me disjoncteur et non le quatri me parce qu il est convaincu que c est le troisi me qui commande le syst me d faillant dont il a la r paration charge Il raisonne sur un mod le fonctionnel inadapt SFI gt L op rateur utilise un syst me de transmission inadapt la situation Il se trompe de destinataire il transmet la hi rarchie au lieu du coll gue ou de nature de message il croit n cessaire de transmettre telle information alors que le destinataire en attend une autre Il se trompe de moyen de transmission message oral au lieu de message crit Il estime qu il suffit de transmettre sur un r seau de diffusion g n rale sans pr ciser son code metteur ni celui du destinataire ni s assurer de l Accus de r ception A toi gt CONSCIENCE ERRONEE DE LA SITUATION Image a priori SA gt Au cours d une op ration de conduite ou de maintenance l op rateur lit une valeur erron e ou interpr te faussement une indication par voyants parce qu il est convaincu que la valeur relev e ou la signalisation doit tre normale puisque la situation tait jusqu pr sent normale et qu il a pense t il effectu correctement les op rations n cessaires gt Au cours d une op ration de maintenance l op rateur remplace successivement plusieurs exemplaires d un m me syst me les jugeant tous d fectueux alors que la panne vient d ailleurs gt Au cours d une op ration de maintenance l op rateu
93. trop pr s des limites et ne laissent pas aux op rateurs le temps de r agir pour ramener la machine dans le domaine op rationnel gt CONCEPTION des INTERFACES Hms gt Un capteur d fectueux transmet une valeur erron e un instrument d un panneau de surveillance gt Une cl dynamom trique mal talonn e indique une valeur d effort erron e gt Un instrument mal clair dont l aiguille grise se d place sur fond gris avec des graduations blanches d lav es conduit une erreur de lecture gt La signalisation est masqu e par le soleil gt tiquetage d fectueux du syst me sur lequel doit se d rouler une op ration de maintenance tiquette manquante masqu e partiellement par de la graisse local mal clair gt La proc dure crite fournie l op rateur comporte une erreur mat rielle ligne manquante en bas de page par suite d une mauvaise photocopie pages interverties erreur de frappe etc gt CONCEPTION des INTERFACES Hes gt Num rotation d fectueuse ou ambigu des organes identifier gt Num rotation anarchique des organes et des instruments gt Les synoptiques ne sont pas orient s comme sur le terrain alors que l op rateur peut voir simultan ment le synoptique et le terrain gt La disposition des instruments sur le panneau est en contradiction avec la disposition spatiale des points de mesure sur le syst me r el ou sur le sch ma de conduite gt Un cas particuli rement perv
94. un pilote dont l pouse est sur le point d accoucher un copilote en cours de divorce et en pr sence du pr sident de la compagnie dans le cockpit Il n est sans doute pas n cessaire d envisager une modification co teuse du cockpit pour r duire la charge de travail dans une situation analogue Par contre les Amplificateurs de Risque ont g n ralement une origine qui peut tre identifi e par un article de la grille RADOS Les d fauts du syst me ainsi identifi s doivent alors tre pris en compte au m me titre que les d fauts l origine des Facteurs d Erreur La notion d Erreur de Repr sentation Cette notion abondamment d velopp e jusqu ici n est peut tre pas bien caract ris e par ce terme d Erreur de Repr sentation Ce terme consacr maintenant par l usage pourrait tre remplac par Mauvais tat Mental Mauvaise Configuration Mentale Confusion Mentale Conscience erron e de la Situation pour viter le mot erreur car nous avons tendance confondre l tat mental de l op rateur et l erreur elle m me commise il y a erreur de repr sentation sur le terme erreur de repr sentation Nous avons ainsi connu de nombreuses difficult s expliciter le concept aupr s de nos interlocuteurs de la NASA la langue et la d marche intellectuelle de type Anglo Saxon pragmatique et non cart sienne ajoutant la confusion Essayons de pr ciser le concept sans changer le terme Lorsque l op rateur prend
95. une mont e jusqu une altitude s lect e il est n cessaire de pr venir le pilote que le mode suivant mise en palier va tre mis en service Vive les P pins Tome II 257 Ainsi titre d exemple sur avion l indicateur de mode FMA Flight Mode Anonciator Indicateur de mode du pilote automatique doit pr senter les informations suivantes lors d une mont e en Open Climb Mont e plein gaz une vitesse s lect e par le pilote 300 kt par exemple jusqu 29000 ft Open Climb 300 kt Mont e Plein Gaz 300 n uds en Vert sur la premi re ligne de l cran Open Climb 300kt de 29000 ft 29300 ft Open Climb 300 kt toujours en Vert et sur la seconde ligne Altitude Capture 30000 ft capture de l altitude par mise en palier 30000 ft en Magenta clignotant Open Climb 300kt en Vert Altitude Capture 30000 ft en Magenta Clignotant de 29300 ft 29500 ft Open Climb 300 kt en Vert clignotant et sur la seconde ligne Altitude Capture 30000 ft en Magenta fixe Open Climb 300kt en Vert Clignotant Altitude Capture 30000 ft de 29500 ft 29800 ft Altitude Capture 30000 ft en Vert sur la premi re ligne sur la seconde ligne Altitude Hold 30000 ft maintien du palier l altitude de 30000 ft et en Magenta clignotant Altitude Hold 30000 ft en Magenta Clignotant Altitude Capture 30000 ft en Vert de 29800 ft 30000 ft Altitude Capture 30000 en Vert c
96. ur sera nominal ne n cessitant pas la mise en service des s curit s la situation ne sera que potentiellement dangereuse Les origines de ces Consciences erron es de la situation sont tr s nombreuses Sans pr tendre l exhaustivit nous pouvons citer les quelques exemples suivants qui compl tent ceux d j donn A En raison d une charge de travail lev e d une absence de stimuli du fait que la situation est stationnaire depuis un long moment le pilote ne remarque pas la panne d un syst me la proximit d un autre avion le survol d un way point A la suite d une maladresse un interrupteur a t mis en position arr t et cet v nement n a pas t remarqu La cons quence de ces v nements est une fausse image mentale ext rieure au syst me le pilote ignore le danger d la pr sence d un autre avion ou il pense que le waypoint est encore devant l avion ou la cons quence en est une fausse image int rieure le pilote pense que le syst me en panne ou que le syst me mis sur arr t est toujours en service et il l utilise La probabilit de se trouver dans ce type de situation est augment e en cas de fatigue de l quipage de souci ou de conflit social GARE B L op rateur fait une lecture erron e d un param tre probl mes d clairage ou de visibilit Par exemple il lit une pression de 50 bars au lieu de 40 bars sur un manom tre il lit une temp rature de 60 C au lieu de 80 C sur un th
97. v rifie que les param tres qui confirment cette pr diction e Utilisation d un mauvais Mod le de Risque L op rateur a en t te des Images Pr sentes et Futures exactes mais il n value pas correctement le risque associ ces situations Ces erreurs sont r sum es dans la grille dite GAFE Grille d Analyse des Facteurs d rreurs dont l origine lointaine est la grille utilis e au cours de l op ration RACHEL voir chapitre 8 et plus r cemment la grille GAFH Grille d Analyse des incidents sous l aspect Facteur Humain mise au point avec la Marine Nationale et la soci t Technicatome pour le retour d exp rience sur les sous marins nucl aires Toutes ces erreurs ont des causes premi res qu il convient d identifier pour les combattre Ce n est pas en effet l erreur finale qu il convient d liminer Cette derni re est la cons quence quasi in vitable sauf coup de chance de circonstances pr alables que seule une analyse fine des v nements permet de reconna tre Il arrive aussi que l erreur une fois commise n ait pas de cons quences graves entamer la descente finale deux minutes trop t t dans la r gion parisienne n a pas les m mes cons quences que dans la r gion grenobloise Il n en reste pas moins que cette erreur a t commise et qu il est important d analyser les circonstances qui l ont g n r e En effet r p tons le les m mes causes ayant les m mes effets tout porte croire que ce type d erreur se repro
98. 7 d abord puis DC10 Lockheed 1011 Airbus A300 pensant qu un crash faisant plus de 300 morts ferait r agir plus fortement que des crashs faisant environ 100 morts La FAA a eu raison d ailleurs m me pour de mauvais motifs car la technique le permettant et l application des nouveaux r glements ayant t g n ralis e il en est r sulta une am lioration notable de la s curit Nous renvoyons volontiers aux propos d j cit s de Jean Anouilh dans l Hurluberlu se demandant ce qui est le plus triste une veuve ou 100 veuves 100 veuves est il 100 fois plus triste qu une veuve Allez donc le demander aux int ress es Enfin l opinion publique n est pas exempte de passions par nature irrationnelles R cusons donc galement l opinion publique Vive les P pins Tome II 299 Le risque admissible se d finit il alors par la n gative savoir celui qui n est pas prohib C est alors le l gislateur qui est juge et le droit qui codifie Nous faisions plus haut allusion la s curit con ue comme respect du r glement en parlant des issues de secours et de l ininflammabilit des mat riaux dans une boite de nuit C est une solution bien commode pour l industriel concepteur comme pour l exploitant Leurs t ches et leurs devoirs sont clairs C est galement commode pour les assurances et en cas de litige Le r glement c est le r glement le gendarme sait comment s y prendre Mais en fait il faut se demander pour quel mot
99. BABILITE Conditionnelle CLASSE DE CLASSE d Accident Probabilit d Accident 11 IT Pa X 10 9 B IT Po x 10 ee 7 n 5 D IT Ps 10 S 3 E Mg PE x 10 an 1 P gt Il La probabilit d accident IH calcul e pour la classe I est le produit de la probabilit d occurrence PI de la classe I par la probabilit conditionnelle d accident Pr affect e cette classe La probabilit d accident P pour la sous phase est la somme des probabilit s d accidents TI de chaque classe A titre d exemple supposons que nous ayons obtenu les r sultats d essai suivants Vive les P pins Tome II 323 PROBABILIT PROBABILIT PEASE TACHE DE T CHE DE CLASSE La premi re colonne est consacr e aux classes de risque La deuxi me colonne regroupe pour chaque classe toutes les t ches qui ont t jug es appartenant la m me classe de risque La probabilit Pt d occurrence de chaque t che figure dans la troisi me colonne Enfin dans la derni re colonne figure la probabilit Pcl de classe qui est la somme des probabilit s Pt des t ches de la classe Les valeurs choisies ne sont donn es qu titre d exemples permettant de mettre en lumi re les cas particuliers rencontr s en pratique on notera que le nombre de t ches est r duit en g n ral il en figure beaucoup plus pour une sous phase donn e si l on tient compte de toutes les combinaisons de pannes et de conditions d em
100. C est la confrontation des analyses de plusieurs incidents qui peut mettre en lumi re un d faut syst me permettre une valuation des risques qu il entra ne et guider l analyste vers une proposition de rem de Il est donc n cessaire de mettre sur pied une organisation de retour d exp rience charg e de collecter les incidents et de les analyser et de proposer des voies de recherche aux organismes comp tents pour trouver des rem des Les analystes ne doivent pas tre des ing nieurs d butants mais d anciens op rateurs pilote de ligne en d but de retraite par exemple pour les accidents a riens connaissant bien les conditions r elles d utilisation des mat riels L analyste doit faire deux hypoth ses fondamentales avant de commencer une analyse savoir l op rateur est disciplin et n a pas enfreint volontairement les r gles de s curit les faits rapport s ont t fid lement d crits Ce n est qu avec des arguments solidement tay s que l analyste peut conclure en fin d tude que l op rateur a transgress une r gle de s curit volontairement et non par suite d erreurs ou que les faits rapport s sont faux Nous nous sommes ax s sur la pr vention des accidents dus aux erreurs de l quipage Autrement dit nous avons d fini un type d v nement redout la perte de vies humaines pour les personnes transport es et les personnes survol es et un type d agression l erreur des quipages Nous y avo
101. CHAPITRE 8 Tout individu plong dans l erreur subit une pouss e verticale dirig e de haut en bas qui l y enfonce un peu plus Philosophe Grec anonyme du Deuxi me si cle RACHEL SEMIRAMIS et ARCHIMEDE Les op rations RACHEL SEMIRAMIS et ARCHIMEDE men es depuis 1988 pour le compte de la Direction G n rale de l Aviation Civile avaient pour objectif une meilleure compr hension du r le des erreurs humaines dans la gen se des accidents a riens Ces trois op rations sont d crites en d tail dans le num ro 153 d A ronautique et Astronautique Le fichier RACHEL R pertoire d Analyse du Comportement Humain En Ligne rassemble des accidents a riens survenus dans le monde occidental depuis 1973 jusqu 1987 Les renseignements de base sont fournis principalement par le fichier OACI Organisation Mondiale de l Aviation Civile et le fichier de la CAA Organisme britannique de certification Environ 500 accidents dont pratiquement 450 utilisables ont t analys s pour lesquels le facteur humain a jou un r le dans la gen se de la catastrophe On a pu constater qu il n y avait pas d accidents dus une surcharge de travail ou du moins que ce type d accident ne survient que lorsque l quipage est incapable de faire face une charge de travail normale pour des raisons de fatigue d tats physiologiques anormaux etc la p riode retenue pour la collecte est telle que les avions int ress s sont des avions modernes relativem
102. DE MAN UVRABILIT GAME Grille d finie pour l tude des incidents et accidents d avions de transport civils Man uvres correctives Sigle correction de vitesse ou de Mach Mcm correction d incidence ou d assiette longitudinale Mci correction de d rapage Mcd correction d assiette lat rale Mca correction de cap Mcc correction d altitude Mch Man uvres impos es par la mission Sigle changement de vitesse ou de Mach Mmm changement de pente en particulier arrondi changement de cap mise en virage virage sortie de virage changement d altitude mise en mont e ou en descente mont e ou descente mise en palier changement de configuration train volets etc Ces grilles sont caract ristiques du syst me de transport civil a rien Elles ne sont valables que dans ce cas Vive les P pins Tome H 234 Retour d Exp rience sur le Retour d Exp rience Les notions de Facteur d Erreur et d Amplificateur de Risque L utilisation des grilles pour l analyse des incidents en particulier les incidents de la base de donn e de l ASRS nous a montr que la notion de Facteur d Erreur n tait pas toujours bien comprise par les analystes Il y a souvent confusion dans les esprits entre Facteur d Erreur Cause et Type d Erreur Un Facteur d Erreur rappelons le une fois de plus d finit les conditions au cours desquelles une erreur est commise mais ne caract rise ni le type d erreur commi
103. Dca R GLEMENTATION R Vive les P pins Tome II 222 Ra EXEMPLES ILLUSTRANT L UTILISATION DE LA GRILLE RADOS COLONNE s Saisie et traitement de l information gt ORGANISATION Qui doit faire Ors gt L op rateur ne rel ve pas les informations qu il doit normalement surveiller car il pense que cette t che incombe un autre Au cours d une op ration de maintenance il constate une anomalie des coffres sont rest s ouverts par exemple mais ne le signale pas pensant que ce n est pas lui de la faire pas dans ses attributions et que d autres s en chargeront normalement gt Au cours d une op ration de chargement l un des op rateurs responsable de la surveillance du d placement des charges ne s occupe que d un secteur g ographique restreint pensant que les autres secteurs sont surveill s par d autres op rateurs gt Au cours d une op ration d accostage du navire un observateur la passerelle constate la pr sence d un obstacle impr vu et ne le signale pas au responsable de la man uvre pensant que ce n est pas de son ressort gt ORGANISATION Que doit on faire Oes gt L op rateur ne connaissant pas les limites de la t che effectuer rel ve simplement quelques informations partielles et ne saisit pas les informations dont il ignore l importance gt ORGANISATION Quels moyens pour faire Oms gt L op rateur ne rel ve pas correctement une information car le moyen de me
104. ES TYPES DE D FAUTS SYSTEME R pertoire RADOS Les types de D fauts sont regroup s en cinq classes Ja mauvaise organisation du travail de l quipe de l unit de la direction de l entreprise etc sigle O Ces d fauts se divisent eux m mes en quatre cat gories les op rateurs ne savent pas ce qui est de leur responsabilit ce qu ils doivent faire eux m mes ce qu ils ne doivent pas faire ce qu ils peuvent d l guer quelles informations ils doivent transmettre En cons quence ils omettent une op ration croyant qu elle n est pas de leur ressort ou ex cutent une action normalement impartie un autre op rateur Ce type d erreur est bien souvent l origine d une erreur de repr sentation pour un autre op rateur R ponse la question Qui doit faire sigle compl mentaire r pour responsabilit les d finitions des objectifs des contraintes des marges disponibles comportent des erreurs ce que nous regrouperons sous le terme de T ches mal d finies En particulier les situations nominales recommand es sont trop pr s des limites ce qui laisse des marges trop faibles pour couvrir les al as erreur d Op rabilit Perturbations Man uvres Ou encore l op rateur se d finit un objectif de t che qui ne lui a pas t prescrit faire l heure atterrir a tout prix etc R ponse la question Que doit on faire sigle compl mentaire e pour ex cution les op rateurs ne disposent pas de moy
105. Une information touffue difficile synth tiser peut conduire une erreur de d cision Hcd gt FORMATION de BASE Fbd gt La formation de base a pr sent des mod les de principe de fonctionnement du syst me incompris par les op rateurs par exemple l op rateur croit que la relation pression temp rature est la loi des gaz parfaits de Mariotte alors que c est la loi de vapeur saturante qui est en cause gt FORMATION SPECIFIQUE Fsd gt La formation sp cifique fournit des mod les trop g n raux de fonctionnement du syst me mod les qui ne sont pas applicables dans quelques cas particuliers Dans ces cas l les op rateurs font reposer leurs d cisions sur le principe g n ral non applicable gt L entra nement a t effectu sur un syst me diff rent du syst me r el simulateur par exemple avec des modes de fonctionnement simplifi s non conformes aux modes de fonctionnement r els gt DOCUMENTATION Dmd gt La documentation sur les mod les de fonctionnement permettant les d cisions est inexistante incompl te mal reproduite difficilement maniable sur le terrain organigrammes de grandes dimensions ou manuels multiples inutilisables en ext rieur ou encore contient des erreurs mat rielles fautes de frappe sur des codes d identification d organes par exemple gt Une modification des r gles et consignes de conduite de l organisation r partition des t ches par exemple n est pas transmise g
106. a par ailleurs que la pr sentation digitale est n faste pour le pilotage d un param tre car il est tr s difficile d estimer la grandeur de l cart par rapport la consigne de saisir le signe de cet cart et son sens de variation alors que toutes ces donn es sont videntes en pr sentation analogique Il est ainsi beaucoup plus facile et rapide de lire la vitesse sur un tachym tre classique aiguille que sur un tachym tre num rique L op rateur saisit la position de l aiguille par une op ration de reconnaissance de forme et en d duit quasi instantan ment si la vitesse est dans un domaine acceptable Sur un tachym tre num rique il lui faut interpr ter la lecture des chiffres et comparer mentalement le r sultat aux limites du moment Une r gle est de ne fournir des pr sentations digitales que pour les param tres qui doivent tre utilis s pour des calculs pr cis et non pour le pilotage qui doit rester analogique Une fois de plus insistons sur le fait que les technologies disponibles ont pendant longtemps limit les possibilit s de pr sentation d information Il faut comprendre que maintenant gr ce aux progr s de l informatique sur le plan performances et co ts tout est possible La seule limitation r side dans l imagination des concepteurs et dans les habitudes routini res des utilisateurs Rappelons la r gle il faut sch matiser et non symboliser d Ne fournir que les informations utiles Autrement dit i
107. a documentation sur les commandes est inexistante incompl te mal reproduite difficilement maniable sur le terrain plans de grandes dimensions ou manuels multiples inutilisables en ext rieur ou encore contient des erreurs mat rielles fautes de frappe sur des codes d identification des commandes par exemple gt Une modification des commandes position forme identification sens d action etc n est pas signal e aux op rateurs panne changement de type de commande avec par exemple changement de sens d action d placement des commandes sur le tableau de bord avec par exemple interversion de deux commandes agissant de fa on analogue sur le syst me etc gt DOCUMENTATION Dca gt La documentation sur les commandes est difficilement compr hensible ou trop dispers e et conduit des erreurs d action Par exemple il n est pas clairement pr cis le sens d action particulier d une commande ses effets parasites sur le contr le du syst me Vive les P pins Tome II 229 gt Les sch mas fournis sont des sch mas de conception et non des sch mas d utilisation les commandes ne sont pas dispos es sur le sch ma comme sur le poste de travail gt Une modification des commandes position forme identification sens d action etc est signal e avec des erreurs aux op rateurs panne changement de type de commande avec changement de sens d action par exemple d placement des commandes sur le tableau de bord avec interversi
108. a m me couleur sans tiquetage gt L identification de la commande est faite par des sigles des symboles difficiles interpr ter La logique de l tiquetage est d ficiente voir les probl mes g n raux d tiquetage en d but de guide Les tiquettes ont disparu ou sont illisibles parce que salies us es etc rappel des probl mes d ergonomie m canique Mode d action des commandes gt Une commande particuli re a un mode d action diff rent des commandes du m me type ou un mode d action contraire l usage habituel Par exemple un robinet particulier s ouvre dans le sens visser un potentiom tre r duit le volume dans le sens visser La position Marche des interrupteurs est arbitraire et varie d un interrupteur l autre en haut en bas gauche droite Les inverseurs sont orient s dans le sens haut bas en position haute l tiquette du haut est masqu e ce qui peut faire croire que c est la fonction indiqu e sur l tiquette du bas d masqu e qui est mise en service Le sens d action de la commande n est pas homog ne avec le r sultat de l action sur l organe command un d placement de la commande d une grue vers l avant provoque le d placement gauche ou vers le bas de la charge command e gt L information de retour de position de la commande pr sente un d faut correspondant l un des crit res expos s pour la capture des informations Vive les P pins Tome II 275
109. a souris en prenant garde ce que la manipulation soit la plus simple possible L informatique doit tre compl tement transparente pour l op rateur Il ne faut pas qu il soit bloqu par un apprentissage fastidieux du syst me informatique Enfin les r sultats doivent tre pr sent s sous forme d images sch matisant la r alit de fa on faciliter la formation des bonnes images mentales On peut y adjoindre des courbes et des diagrammes dans la mesure o ce type de pr sentation s av re strictement n cessaire la compr hension des ph nom nes Ainsi dans notre exemple on pr sentera une vue en coupe simplifi e du pressuriseur avec une repr sentation du niveau un manom tre et un thermom tre On peut l occasion de certains essais et dans un deuxi me temps montrer en outre les volutions du point de fonctionnement pression temp rature sur un diagramme o figure la loi de pression de vapeur saturante ou repr senter les volutions de la pression et de la temp rature en fonction du temps Les simulateurs destin s se mettre en t te la r partition spatiale des instruments les param tres repr sent s les chelles les z ros mod les de localisation et de v rification des sources d information et mod les de transposition des informations la r partition spatiale des commandes leur r le leur sens d action mod le de localisation et de v rification des commandes mod les d action des commandes
110. ais elle se r v le souvent insuffisante car une telle redondance manque de dissemblance Les op rateurs ont tendance dans la m me situation et plong s dans la m me action commettre les m mes erreurs et ne pas voir les erreurs des autres ce n est pas le cas de la relecture apr s coup du texte d un autre c est ici le cas de la v rification sur le tas des actions de l autre Nous avons donn de nombreux exemples o deux ou trois op rateurs commettent en quipe la m me erreur Enfin comme nous l avons soulign au chapitre 6 une bien meilleure solution consiste faire effectivement de la redondance dissemblable en adjoignant l op rateur un automatisme qui peut avoir diff rents modes d action interdire l action erron e elle m me Entrent dans cette cat gorie tous les syst mes de d trompage par exemple les dispositifs m caniques interdisant des montages erron s les dispositifs de verrouillage n autorisant que des encha nements pr d termin s de diverses commandes Font partie galement de ce type de solution tous les dispositifs automatiques inhibant les actions de commandes conduisant des d passements du domaine autoris automatismes sur les avions modernes interdisant le d passement d une incidence limite de la vitesse maximale ou du nombre de Mach maximal etc pr venir l op rateur qu il vient de mettre son syst me dans une situation qui terme peut devenir dangereuse et lui
111. aisant croire que l avion revenait ailes horizontales un changement de proc dure n imposant plus le changement de fr quence a t d cid et les accidents ont cess mais il est difficile de conclure quant la v racit de l explication IV FACTEURS AGGRAVANT LA DESORIENTATION De l avis de nombreux pilotes et la suite d exp rimentations syst matiques effectu es en particulier par la NASA il ressort que les ph nom nes de d sorientation apparaissent pr f rentiellement lors de man uvres effectu es au moment du passage des conditions de vol vue aux conditions de vol aux instruments L exp rience montre qu il faut environ 30 secondes un pilote pour analyser la situation lors d un passage vol vue vol aux instruments Vive les P pins Tome II 329 Ce temps n cessaire au pilote pour s habituer aux nouvelles r f rences fournies par les instruments de bord a t mesur en demandant des pilotes d effectuer une man uvre tr s simple de changement de cap 30 de changement de cap un taux de 3 s d s que possible apr s une mise sous capote un moment non pr vu Il s agit ici de tableaux de bord conventionnels non quip s de viseurs t te haute qui fournissent des informations beaucoup plus proches de celles recueillies en vol vue Ceci montre combien peut tre dangereux d effectuer des man uvres comportant un risque de d sorientation au moment du passage vol vue vol aux instruments Aussi e
112. aladie Exemple Le simulateur du pavillon 3 vient de mourir QUELQUES R FLEXIONS SUR LES TECHNIQUES DE SIMULATION Il est vident que disposer d un outil reproduisant fid lement le comportement d un syst me peut apporter beaucoup aux concepteurs et utilisateurs L outil le plus fid le est le syst me lui m me Ceci justifie la construction de prototypes Mais il est vident qu un prototype co te cher qu il arrive tard apr s qu aient t faits des choix quasi irr versibles qu il ne peut sans risques excessifs pour le mat riel et pour le personnel tre pouss aux limites du domaine d utilisation Un prototype trouve sa justification ce n est pas le lieu ici d en discuter Il n en reste pas moins qu il est tr s utile de disposer le plus t t possible de syst mes simulant le syst me r el Les d veloppements de l informatique fournissent des solutions qui r volutionnent les m thodes de conception traditionnelles Le DAO Dessin Assist par Ordinateur permet de voir le syst me en trois dimensions bien avant la r alisation d une maquette Une maquette est un simulateur puisqu il simule l occupation spatiale du syst me r el Le DAO est galement un outil de simulation puisqu il permet d essayer diverses solutions g om triques ou cn matiques La CAO Conception Assist e par Ordinateur en g n ral associ e au DAO permet de soumettre par le calcul le futur syst me des efforts m caniques et des contraintes th
113. ance varie avec le temps et les progr s de la technique Pour l instant on ne sait gu re annoncer les tremblements de terre Il y a pourtant des pays risques Faut il vacuer le Japon la zone de San Francisco et la r gion de Nice Et pourtant sur longue p riode un tremblement de terre y est probable Les risques volcaniques sont moins impr visibles prend on pour autant toutes les mesures n cessaires pour qu une ruption ne cause pas de victimes Mauvaise r ponse notre question Le risque admissible est il celui que l opinion publique tol re En un sens certes car d une mani re ou d une autre l opinion publique aura toujours finalement raison Mais ce risque ainsi d fini est il en fait d fini contr lable ma trisable L opinion publique se montre souvent incoh rente comme d ailleurs chacun des membres qui la constitue car il est bien tabli que le danger ou le risque est une notion que les humains appr cient naturellement fort mal Telle personne refusera de prendre l avion parce que c est trop dangereux mais n h sitera nullement prendre sa voiture beaucoup plus dangereuse ou faire de la varappe Est ce l impression confuse de la ma trise de soi Je conduis ma voiture moi m me et je fais de la varappe Bref je suis ma tre de moi comme de l univers mais peu dispos me livrer d autres Comportement psychologiquement explicable mais erron Le risque a rien tient compte des populations de pilot
114. anci re industrielle etc C est bien d ailleurs lorsqu il y a victime que l opinion publique s meut demande des sanctions contre les coupables et clame plus jamais cela Pour des raisons affectives et psychologiques notamment cette attitude se comprend parfaitement et nous sommes tous susceptibles de l avoir un jour ou l autre Autant un individu est pr t admettre non sans douleur un deuil r sultat d un cataclysme naturel incontr lable et impr visible autant il admet fort mal qu il soit plus ou moins le fait d une erreur ou n gligence humaine et que par cons quent il aurait pu tre vit En raison des progr s de la m decine m me le d c s suite maladie n est plus syst matiquement admis si l on a l impression que le malade aurait pu tre mieux soign On n abordera pas ici ce probl me des responsabilit s ou culpabilit s civiles ou p nales et on se limitera une analyse des risques et cette notion tr s floue pour l opinion comme pour les acteurs concern s de risque admissible Mais un risque peut il tre admissible tol rable On dira sans doute qu il peut en tre ainsi si l on est le seul concern ou si l on appartient un groupe sp cifique qui l accepte d lib r ment Apr s tout un alpiniste prend des risques et le sait Mais si d autres que les volontaires subissent les effets des risques pris qu en est il alors On verra que cette notion incertaine et m me ambigu de risque admissible
115. ant aux objectifs des simulateurs d interface homme machine Les simulateurs d tude Un simulateur d tude a pour objet de d finir le plus t t possible au cours de la conception l interface la mieux adapt e aux op rateurs Le logiciel doit tre capable de repr senter le fonctionnement normal du syst me ainsi que son comportement dans un certain nombre de cas incidentels typiques Il n est pas n cessaire toutefois de repr senter le comportement accidentel c est dire une fois d pass es les limites de fonctionnement s r Il ne s agit pas par exemple de voir l volution des param tres une fois d clench e la fusion du c ur d une centrale nucl aire ou une fois d pass e l incidence de d crochage d un avion de ligne Ce probl me n est pas celui de l interface homme machine ce peut tre par contre celui du Simulateur de Comportement Syst me dans la mesure o les connaissances actuelles permettent une mod lisation valable L interface homme machine visualisation du monde ext rieur panneaux d instruments crans commandes doit tre repr sent e avec r alisme et surtout doit pouvoir tre modifi e souplement car il s agit non pas de v rifier la validit d une disposition connue mais d essayer diverses solutions Il faut savoir en effet que g n ralement les solutions envisag es sur la planche dessin n apparaissent pas toujours optimales une fois pr sent es aux op rateurs De nombreuses retouches quel
116. apport la vision en lumi re naturelle provoquant des reflets interdisant la vision de l ext rieur des crans cathodiques des instruments le soleil masque l information etc Le confort est insuffisant chauffage si ges espace repos circulations autour des postes etc causant une fatigue inutile des op rateurs ou des risques de maladresses Il n est pas pr vu d emplacement commode pour placer la documentation en cours d utilisation la nourriture ou les boissons Les commandes les instruments ont une forme une taille une disposition spatiale non adapt es la morphologie des op rateurs touches trop petites alors que par exemple l op rateur travaille normalement avec des gants instruments trop petits loign s de l op rateur en position normale de travail efforts exercer sur les commandes incompatibles avec la force moyenne d un op rateur commandes ou instruments hors de port e m canique ou visuelle de l op rateur poste l obligeant des d placements inutiles et fatigants etc Les commandes sont dispos es trop serr es sur le pupitre ce qui conduit des risques de d accrochage intempestif Les commandes critiques ne sont pas prot g es par des caches Les afficheurs sont peu lisibles ce qui induit une erreur de captation de l information brute aiguille grise se d pla ant sur un fond gris face des graduations grises ou difficilement lisibles afficheur num rique com
117. ation des r gles et consignes de transmission une modification de l organisation changement des destinataires des messages une modification d un annuaire est transmise avec erreurs aux op rateurs gt REGLEMENTATION Rt gt La r glementation impose l utilisation de types de messages lourds retardant d autant la transmission d information dans les cas d urgence COLONNE a Action gt ORGANISATION Qui doit faire Ora gt L op rateur n ex cute pas les actions pr vues parce qu il croit que c est un autre de les faire C est le probl me de partage des t ches entre le m canicien d entretien et l lectricien qui doit entretenir les capteurs gt L op rateur entreprend des actions normalement d volues un autre ce qui peut provoquer des incompr hensions de part et d autre tant que les op rateurs ne communiquent pas gt ORGANISATION Que doit on faire Oea gt L organisation n a pas pr vu la liste syst matique des actions et des proc dures suivre en couvrant tous les cas possibles de fonctionnement normal et incidentels des syst mes Par exemple a t on pr vu quelle proc dure suivre ou quitter en cas d impossibilit de poursuivre une op ration de maintenance gt ORGANISATION Quels moyens pour faire Oma gt L op rateur ne dispose pas des moyens en personnel pour ex cuter toutes les actions dans le temps qui lui est imparti pour accomplir la t che gt L op rateur ne dispose pas
118. ation indiqu e sur la check list en agissante sur la commande qui lui est signal e par le voyant D s que l tat de l organe est modifi la premi re ligne de la check list s efface Par ailleurs le nouvel tat de l organe est signal sur le sch ma par exemple un robinet d intercommunication passe sur le sch ma de la configuration ouverte la configuration ferm e L organe suivant commander est signal sur le panneau de contr le L op rateur est ainsi guid pas pas dans l ex cution de la proc dure Il se peut que la proc dure soit compl ter lors d une autre phase de vol par exemple au cours de l approche pr c dent l atterrissage Dans ce cas l op rateur est pr venu qu il aura compl ter la reconfiguration ult rieurement et la check list compl mentaire est affich e en temps voulu Enfin une fois la proc dure termin e le nouvel tat de l avion est signal en pr cisant les changements de performance dus cet tat d grad par exemple augmentation de la distance de freinage en cas de perte d un syst me hydraulique On peut d s lors se poser la question suivante A partir du moment o les automatismes sont programm s pour indiquer sur quelle commande l op rateur doit agir ne serait il pas aussi simple de faire agir directement ces automatismes sur la commande sans exiger une man uvre manuelle de la part de l op rateur La r ponse cette question est OUI il faut totalement automatiser si la rec
119. au S curit qui d finit les m thodologies appliquer revoit les analyses et les synth tise d cloisonnant ainsi les sp cialistes de diverses disciplines Elle identifie les points difficiles et potentiellement critiques qui devront faire l objet d une surveillance particuli re pendant les essais et en utilisation Elle identifie le niveau de s curit vis que l on esp re atteint et a contrario les v nements circonstances ou pannes que l on a d lib r ment accept s de ne pas consid rer Vive les P pins Tome II 297 A l vidence cette approche est la fois plus r aliste et plus s re que celle de l autruche Elle n est pas non plus sans danger et rec le un certain nombre de pi ges si elle est appliqu e sans discernement Sans entrer dans trop de d tails prenons quelques exemples L estimation des probabilit s l mentaires de situations ou de pannes n est pas toujours de la m me qualit Il existe une probabilit de se tromper sur la probabilit La probabilit de rafales d une certaine importance est connue avec une assez grande pr cision Mais tous les ph nom nes ne sont pas aussi bien connus La panne simple aux effets catastrophiques doit donc tre syst matiquement cart e sauf justification en b ton en raison des cons quences consid rables que peut avoir une erreur d estimation La combinaison des probabilit s pour estimer le r sultat pour une situation complexe ressort de m thodes
120. availler l aide de mod les de repr sentation mentaux traduisant en images plus ou moins proches de la r alit les informations dont ils disposent sur le tableau de bord ou provenant du monde Vive les P pins Tome II 282 L laboration des strat gies et tactiques n cessite la connaissance correcte de l tat r el du syst me Or cette connaissance sous forme d une image dans le cerveau de l op rateur repose sur deux types fondamentaux de prise d information la lecture d un certain nombre de param tres caract ristiques la connaissance des v nements ant rieurs Ainsi l image mentale de l op rateur peut tre fauss e pour deux raisons mauvaise interpr tation des lectures dont les causes sont l gions non lecture par suite d une surcharge de travail ou par manque de vigilance erreur de localisation de la source d information erreurs instrumentales brouillage transmissions d informations orales dans une ambiance sonore importante ou mauvais clairage d un instrument erreur de z ro d chelle etc Ces erreurs ont t abondamment d crites aux chapitres 2 6 mauvaise interpr tation des v nements ant rieurs dont les raisons sont nombreuses galement l action pr c dente tait une commande mal ex cut e erreur de commande erreur de sens d action de la commande panne de la commande etc L op rateur croit alors que le r sultat attendu a t obtenu et il ne le v rifie pas
121. ce au moteur et provoquant son arr t gt Le pilote se pose avec une vitesse excessive sur une piste courte et mouill e avec vent arri re sachant qu il a d j rencontr s par ment de telles situations mais en oubliant que la conjonction de ces trois v nements conduit un risque s rieux gt Le pilote traverse un gros nuage d orage en estimant que la turbulence et la foudre ne sont pas aussi dangereux qu on veut bien le dire gt Un plaisancier s aventure traverser le Pas de Calais dans le brouillard en coupant la route des navires de commerce gt Un alpiniste amateur se lance dans une course en montagne sans aucun quipement On remarquera que l accident de TCHERNOBYL est particuli rement instructif On y rencontre les cinq types de Conscience Erron e de la Situation On notera par ailleurs qu il ne faut pas s imaginer que l op rateur est conscient de ces comportements aberrants et en d duire une pr somption de faute Rappelons qu il est hors de sujet du pr sent guide d mettre des jugements ou des justifications de comportement Un observateur ext rieur peut s tonner de voir des op rateurs s rieux et consciencieux se comporter ainsi mais il doit se convaincre que le raisonnement des op rateurs plong s dans cette situation d erreur diabolique est parfaitement logique ce raisonnement repose sur des hypoth ses fausses difficiles remettre en cause dans le feu de l action Vive les P pins Tome II 218 L
122. ce cas sur des calculs aussi pr cis et repr sentatifs que possible sur l utilisation de marges pour couvrir les incertitudes et en d finitive sur l intime conviction du concepteur qui s appuie sur l exp rience accumul e par ses pr d cesseurs et lui m me Vive les P pins Tome II 311 La d monstration de l objectif de fiabilit par la redondance suppose l ind pendance r elle des composants sinon la r gle de multiplication des probabilit s l mentaires n est pas valable L ind pendance physique des syst mes est facile assurer dans son principe Il suffit de v rifier que le fonctionnement de chacun ne d pend pas d un seul autre et m me syst me en particulier sources d nergie ou alimentations en fluides cr ant ce que l on a coutume d appeler un mode commun Par ailleurs on notera que la d faillance d un syst me n est pas due un ph nom ne r ellement al atoire On traite l apparition des d faillances comme des ph nom nes al atoires mais ceci n est qu un mod le math matique commode En r alit une d faillance provient du d passement d une limite pour l un des composants du syst me d passement provenant soit des conditions d emploi fluctuant au cours du temps soit d une caract ristique anormale du composant Or si une d faillance appara t sur l un de deux syst mes de m me conception constitu s de composants fabriqu s des instants voisins avec la m me m thode et les m mes mat riaux de bas
123. celle que produirait la mise en rotation pendant le m me temps T sur le troisi me axe jusqu une vitesse angulaire o Q sin6 Autrement dit si au cours d un virage horizontal le pilote baisse la t te en la faisant tourner de 90 pour passer de la position il fix au dessus de l horizon la position il sur une banquette lat rale pour changer par exemple une fr quence radio 8 90 et sin 0 1 ce mouvement se traduira par une sensation de mise en roulis jusqu une vitesse de rotation gale la vitesse de rotation de l avion Ainsi au cours d une approche la vitesse de 120 kt 60 m s en virage inclin 30 la vitesse de changement de cap est de 5 5 degr s par seconde Le pilote aura donc l impression en baissant la t te que l avion est anim d une vitesse de roulis de 5 5 degr s par seconde ce qui ne va pas manquer de lui faire contrer cette rotation apparente par un coup de manche en roulis Ce ph nom ne est sans doute l origine de quelques accidents survenus en approche sur des avions de chasse o le pilote devait en dernier virage effectuer un changement de fr quence radio en manipulant un contacteur plac tr s en arri re sur la banquette gauche ce qui l obligeait baisser fortement la t te pour le rep rer visuellement on a pu observer au cours de cette phase de vol des passages de l avion sur le dos dus sans doute une man uvre instinctive du pilote contrant une sensation erron e de rotation lui f
124. ceux rep r s par la Codification et surtout en mettant en vidence les domaines d actions possibles pour am liorer la s curit Ces domaines sont d crits dans la grille RADOS La phase d Analyse est plus d taill e et doit compl ter la phase de Codification Parfois une meilleure compr hension de l incident peut amener revoir la Codification Il faut esp rer que cela sera relativement peu fr quent L analyse d un incident doit se faire de la fa on suivante Identifier les conditions g n rales dans lesquelles s est d roul l incident utilisation de la grille GARE pour pr ciser les facteurs d amplification de gravit Cette premi re analyse doit permettre d estimer la probabilit de retrouver des incidents analogues dans les m mes conditions g n rales Identifier l v nement final ayant conduit la catastrophe ou ayant conduit une situation potentiellement dangereuse Ainsi le franchissement intempestif d un feu rouge en voiture peut se traduire par un accrochage plus ou moins dramatique pertes de vies humaines blessures d g ts mat riels par un incident plus ou moins f cheux prison retrait du permis de conduire amende etc par une simple peur r trospective ou par rien du tout si l on n a rien vu Quelles que soient les cons quences de l v nement final il est important d analyser la succession des v nements qui en sont l origine Identifier et d crire chronologiquement les v nements
125. ches quotidiennes L observation peut aussi porter sur le comportement des op rateurs sur simulateur d tude et sur simulateur d entra nement en prenant garde toutefois aux biais introduits par les techniques de simulation Il peut tre galement instructif d observer les op rateurs en cours de formation Certaines erreurs commises en d but de formation disparaissent naturellement au cours de la progression d autres persistent et il est tr s important d expliquer ces comportements anormaux pour en identifier la cause mauvaise formation sans doute mais peut tre D fauts d interface d organisation etc Ainsi l observation des op rateurs peut elle permettre de d tecter des Facteurs d Erreur typiques d en valuer les cons quences potentielles d estimer leurs probabilit s d apparition et de mettre en place les actions ou les moyens permettant de r duire leurs fr quences il est utopique de penser que l on liminera toutes les erreurs mais r duire par dix la fr quence d un Facteur d Erreur c est r duire d autant la probabilit de l accident qu il peut entra ner Ces m thodes viennent heureusement compl ter le Retour d Exp rience expos au chapitre pr c dent D tecter des Facteurs d Erreur effectifs ou potentiels n cessite une certaine pr paration et la connaissance a priori des types de Facteurs d Erreurs g n ralement pr sents dans les op rations et les D fauts Syst mes qui les favorisent Quelques remarques im
126. cidents ou d accidents connus est souvent mis sur le compte de la n gligence et de l incomp tence mais n est pas reconnu comme un comportement explicable par la nature m me des hommes fallait il tre b te ou tourdi pour n avoir pas vu que la situation tait critique L exp rience nous a montr que la mise en vidence de l erreur diabolique dans l utilisation du plan manuscrit d crit au chapitre 3 paragraphe Les erreurs de mod les ou erreurs de repr sentation pour se guider dans un coin de banlieue inconnu permet chacun de ne plus se faire pi ger Cela n emp che pas l erreur initiale mais vite de se fourvoyer ult rieurement Toute discordance entre le monde observ et les indications du plan ne sont pas interpr t es comme des erreurs du r dacteur du plan mais comme un signal d alarme obligeant faire demi tour pour retrouver des indications coh rentes d autre part montrer aux op rateurs que la mise en erreur diabolique peut se produire non seulement dans la vie de tous les jours mais galement dans la vie professionnelle et que tout op rateur aussi s rieux comp tent exp riment soit il peut un jour commettre ce type d erreur Dans l a ronautique ces deux objectifs peuvent tre atteints par des op rations du type connu sous le nom de CRM Cockpit Ressource Management formation des quipages la gestion des informations et des commandes coordination avec les autres membres de l quipage On y
127. compl t es par l exp rience 1 Facteur Extr me d Amplification du Fe estr me Risque d erreur Folie Environnement eztr me 2 Charge de Travail Extr me Avion instable_ Panne incontr lable Personne dans le cockpit Equipage assoupi Equipage totalement 3 Chute de Vigilance Extr me absorb par un v nement ezt rieur Yerbal al 4 Lapsus Auditif Yisuel Gestuel A Image Ezterne erron e Piste Way Points Relief Position de l Avion Etat de la Piste Nuages Pluie Neige Gr le Givrage Turbulence Cisaillement de vent Interlocuteurs Est rieurs Assiettes Cap Route Param tres de Yol 5 Mauvaise Conscience i i Configuration olets de la Situation Rae uiue Becs Image interne Train W RENE erron e Hi ydraulique Moteurs Etat des Carburant Marche ia j i Syst mes Pilote Equipage Automatique En panne w Interlocuteurs technique FMS Internes gt Equipage commercial Passagers w Images l Mod le de Risque ezactes Vive les P pins Tome II 242 L Analyse A ce niveau l op ration de Codification doit avoir t d j ex cut e ce que nous supposerons L objectif de l Analyse est d obtenir une meilleure compr hension de l incident en identifiant les Facteurs d Erreur en cause s il en existe d autres que
128. ct des proc dures qui pensait on couvraient tous les cas possibles L erreur humaine tait jug e comme impossible puisque les op rateurs taient form s pour appliquer des consignes simples qu ils devaient conna tre par c ur et qu ils se devaient d appliquer puisqu ils connaissaient par ailleurs les punitions encourues en cas de non application Tant que le r seau ferroviaire a t relativement simple cette hypoth se du respect des proc dures s est r v l e efficace Mais les accidents survenus au cours des ann es quatre vingts Flaujac Argenton sur Creuse Gare de Lyon Gare de l Est en ont montr les limites Les op rateurs n ont pas su ou pas pu appliquer des proc dures qu ils connaissaient parfaitement Dans le transport maritime en particulier dans le domaine du transport passagers et v hicules la s curit reposait sur le respect des consignes assur par la discipline bien connue des gens de mer L encore l accident du Herald of Free Enterprise en mer du Nord a montr les limites de cette hypoth se L ensemble de la corporation a t boulevers par le fait qu un marin aussi exp riment et soucieux de la s curit que l tait le commandant de ce navire ait pu commettre l erreur d appareiller avec une porte ouverte sur le pont hangar des v hicules Chacune de ces industries a donc d cid de se pencher sur le probl me de l erreur humaine qui de toute vidence limite les am liorations de s curit qu impose la mo
129. cter Il faut toutefois distinguer les diff rents types de simulateurs Pour un simulateur d entra nement nous venons de le voir il est indispensable de respecter strictement les formes et la disposition des commandes Il s agit en effet de faire acqu rir l op rateur les mod les corrects de localisation des commandes et de mode d action des commandes Par contre pour les simulateurs d tude et les simulateurs didactiques le respect du crit re d identit des commandes peut tre plus l che Il suffit que les commandes soient d un mod le r aliste Les informations fournies par les instruments sont tr s faciles reproduire Le probl me est beaucoup plus d licat en ce qui concerne les informations provenant de l environnement pour les simulateurs de v hicules Or une grande partie des informations n cessaires au pilotage provient du monde ext rieur qu il convient donc de repr senter De nombreuses solutions technologiques sont disponibles lorsqu il s agit de repr senter ce que l op rateur observe du monde ext rieur projection sur cran d images prises par une cam ra se d pla ant par rapport une maquette projection d images synth tiques calcul es en temps r el etc Cette derni re solution a fait ces derni res ann es des progr s d cisifs et elle supplante d sormais la premi re Tous ces dispositifs ne fournissent en g n ral qu une vision sans relief ce qui est suffisant pour simuler la vision d un paysage re
130. ctuellement les syst mes de commandes hydrauliques sont tripl s sur les avions de ligne et rendus physiquement ind pendants autrement dit la panne de l un des syst mes est sans effet sur le bon fonctionnement des autres syst mes Cette disposition conduit une probabilit de perte totale des commandes de l ordre de un sur un milliard par heure de vol 10 h la perte d un seul syst me ayant une probabilit de l ordre de un sur mille par heure 10 h voir le Chapitre 2 et l Annexe 2 Faut il aller plus loin et installer quatre syst mes redondants Tous les techniciens interrog s r pondront non cette question pour plusieurs raisons il n est pas physiquement possible de disposer plus de trois v rins par gouverne sans avoir effectuer des changements tr s d licats de conception installer un syst me hydraulique suppl mentaire augmentera la masse vide de l avion et r duira d autant sa charge marchande masse au d collage constante impos e par des consid rations de performances minimales assurant la s curit au d collage augmenter la complexit de l installation du syst me hydraulique augmente les probabilit s de non ind pendance des circuits redondants et ne va donc peut tre pas dans le sens de la s curit probl me bien connu de la d fiabilisation par un exc s de souci de fiabilisation les autres syst mes vitaux de l avion circuits lectriques circuits d alimentation en combustibles struct
131. d op ration ce qui peut tre un guide utile pour d terminer le type de D faut Syst me en cause Si par exemple on constate que l erreur survient souvent au cours d une saisie d information il faut v rifier si la proc dure ne conduit pas une surcharge de travail en exigeant de nombreux relev s de param tres dans un temps trop court La pr cision de l op ration en cours est tr s utile dans le cas du Lapsus car le type d op ration en cause caract rise le type de lapsus visuel verbal auditif ou gestuel Par exemple un lapsus gestuel peut tre l indication d une mauvaise disposition des commandes favorisant une maladresse Enfin dans les cas de la Conscience Erron e de la Situation la pr cision de la colonne n est utile que pour la premi re rubrique Mauvaise Image Pr sente pour pr ciser au cours de quelle op ration saisie d information transmission d information action la fausse image a t forg e Pour les quatre autres rubriques pr ciser la colonne ne fait que signaler au cours de quelle op ration l erreur est survenue ce qui n est qu anecdotique et ne caract rise pas le Facteur d Erreur Dans certains cas il est difficile par manque d information la lecture du rapport d incident de pr ciser la colonne de la grille On remplace alors les sigles s d a et t par le sigle Vive les P pins Tome II 213 EXEMPLES ILLUSTRANT L UTILISATION DE LA GRILLE GAFE COLONNE s Saisie et traitement de l information
132. de l op rateur qui utilise le m me mod le de fonctionnement quel que soit l tat r el du syst me ou d une erreur sur l identification de l tat du syst me qui lui fait choisir le mod le adapt la situation per ue et non le mod le adapt la situation r elle Ces mod les peuvent tre tr s simplifi s ou trop simplifi s et par suite inadapt s quelques situations exceptionnelles Ils peuvent tre plus complexes avec le risque de mauvaise utilisation par difficult d application dans des cas particuliers 3 les mod les d interface op rateurs machine qui permettent le dialogue homme machine Ces mod les comportent les mod les de localisation des instruments les mod les d identification des instruments les mod les de transposition de l information les mod les de localisation des commandes les mod les d identification des commandes les mod les de mode d action des commandes les mod les de retour d information sur les positions de commande Il faut y ajouter tous les mod les analogues utilis s pour les transmissions d information 4 le Mod le de T ches qui lui permet de d finir l objectif de la sous phase en cours d ex cution 5 le Mod le de Risque qui aide l op rateur estimer le danger li l tat de sa machine tat externe et tat interne et au r sultat envisag des op rations qu il a d cid d ex cuter Par exemple le temps est calme l avion est en
133. de ce message a d clar cela signifie que l on ne doit pas tenir compte de cette alarme et l autre moiti a d clar il faut imp rativement remettre les gaz Le moins que l on puisse dire est que cette indication est f cheusement ambigu Nous ne savons d ailleurs toujours pas quelle en est la signification r elle Vive les P pins Tome II 195 A titre d exemple v cu nous reproduisons sur les pages suivantes deux cartes d approche vue de la base d Hy res Nous laissons au lecteur le soin d y d tecter l erreur On imaginera sans peine la confusion mentale du pilote faisant une approche vue du terrain en se rep rant sur la carte fausse Les informations fournies contiennent des erreurs codes de r f rence incomplets ou contenant des fautes de frappes sch mas faux incomplets ou p rim s etc Quelquefois les op rateurs utilisent une documentation sauvage carnet personnel dont le contenu est incontr lable les D fauts R glementaires Pour assurer la s curit la puissance publique impose par la loi un certain nombre de r gles que les concepteurs et les utilisateurs se doivent de respecter sous peine de sanctions Or il arrive que ces r gles deviennent caduques parce que les techniques ou les conditions d emploi ont volu Les appliquer aveugl ment peut conduire un d faut syst me appartenant l une des quatre cat gories que nous venons de d finir Le probl me des d fauts de r glementat
134. de le sanctionner pour ses maladresses ou ses erreurs il n en reste pas moins qu il est du devoir de ses sup rieurs de l orienter vers d autres t ches surtout si ces erreurs compromettent la s curit Cette r orientation ne doit pas tre consid r e comme une sanction mais comme une op ration de s curit au m me titre que l on changera d affectation un op rateur devenu inapte pour des raisons de sant Dans l tat actuel de notre morale il est remarquable de constater que l on fera plus facilement accepter la communaut et l int ress un changement de poste pour raison m dicale la vision de nuit du conducteur s est d t rior e que par suite d une accumulation malheureuse d incidents plus ou moins graves mettant en doute ses capacit s de conduite Le changement de responsabilit d un op rateur mal adapt sa t che sera envisag comme une sanction et non comme une op ration de s curit Il est vrai que nous sommes consid r s comme coupables de faire des fautes d orthographe qui ne sont que des erreurs bien involontaires car nous ne voyons vraiment pas qui profite la faute alors que personne ne nous reprochera d tre daltonien Quelle diff rence entre quelques cellules mal organis es du cerveau et quelques cellules mal venues de la r tine Cette fois c est aux moralistes que nous posons la question Vive les P pins Tome II 291 Un probl me de conception Les gouvernes des avions de transports moder
135. de souplesse d emploi On remontera jusqu au moment o les questions sont jug es suffisamment d grossies pour qu on ne puisse plus sensiblement progresser le d monstrateur devient trop complexe ou se r v le incapable du niveau de synth se n cessaire le passage un vrai simulateur bien repr sentatif est possible et jug n cessaire Remarques compl mentaires On notera que les questions d Interface Homme Syst me IHS ne sont pas du seul ressort de sp cialistes consacr s l IHS une sensibilisation plus g n rale des concepteurs est n cessaire pr sence dans chaque service au moins de t moins ayant suivi une formation rapide Il y a cependant une n cessit de disposer de personnes plus sp cialement form es ces probl mes et plus aptes les consid rer de points de vue op rationnels aussi bien qu engineering Ceci conduit constituer de petites quipes int gr es capables de r aliser elles m mes les mini ou micro simulations et auxquelles participe de fa on fr quente un op rateur Une cellule prospective de recherche appliqu e IHS suffisamment d gag e des contraintes court terme est utile pour pr parer l avenir Vive les P pins Tome II 266 GUIDE D EVALUATION D UN POSTE DE TRAVAIL L analyse d un poste de travail a pour objet l identification des erreurs potentiellement graves commises par les op rateurs en observant leurs comportements dans l accomplissement de leurs t
136. des d une erreur rel ve du travail du psychologue et non de celui du technicien L identification des origines d un Facteur d Erreur plut t que de ses causes est suffisante pour l objectif poursuivi par le technicien de la s curit savoir d finir les modifications apporter au Syst me pour am liorer la s curit D un autre c t nous pensons que les psychologues doivent maintenir la grille GAFE telle quelle parce qu elle aide pr ciser la situation mentale de l op rateur au cours de chacun des v nements conduisant un accident Mais les psychologues doivent compl ter cette grille par une autre grille parall le la grille RADOS montrant la relation entre les Facteurs d Erreur et les erreurs elles m mes Ce travail est tr s important mais il d passe les comp tences des techniciens Nous avons galement observ lors de nos tudes avec la NASA la tentation pour les analystes en formation m langer les articles de la GARE avec ceux de la GAFE c est dire confondre les Facteurs d Erreur avec les Amplificateurs de Risque La base ASRS est un recueil sous la responsabilit de la NASA d environ 80 000 rapports volontaires d incidents survenus dans le domaine du transport a rien Elle est g r e par la soci t Batelle Vive les P pins Tome II 235 Or il y a une grande diff rence entre ces deux notions Un Facteur d Erreur caract rise une situation mentale temporaire de l op rateur Un Amplif
137. des des outillages et les commandes des syst mes de contr le et de mesure Toute action n cessite la mise en service volontaire de l actionneur humain main doigt ou pied op ration cognitive la r f rence plus ou moins consciente quatre types de mod les stock s de fa on plus ou moins parfaite dans la m moire de l op rateur savoir des mod les voir chapitres 3 et 4 gt de localisation des commandes pour savoir o se situe la commande d sir e gt d identification des commandes pour pouvoir v rifier que la commande saisie est bien celle souhait e ce mod le peut se r duire la reconnaissance par la forme la taille la couleur gt de mode d action des commandes pour savoir dans quel sens agir pour obtenir l effet d sir tirer pousser lever tourner gauche etc gt de localisation du retour d information sur l tat de l organe command l tat de l organe command n est pas toujours fourni par la position de l actionneur lui m me ainsi dans le cas d une commande de vanne par bouton poussoir agissant sur un moteur d ouverture ou de fermeture il est n cessaire d avoir une information sur la position de la vanne elle m me Certaines op rations de transmission d information par manipulation de claviers et de touches s apparentent des actions sur des commandes On prendra garde ne pas les confondre Une action a pour objet une modification de l tat du syst me ce qui n es
138. des moyens mat riels outillage engins de chantier mat riel de levage etc adapt s l ex cution de la t che gt ORGANISATION Comment doit on faire Opa gt C est dans cette cat gorie qu entrent le non respect des proc dures tablies et le recours aux proc dures exotiques du style tu vas voir j ai a dans mon calepin L analyse n cessite alors de se poser la question Pourquoi la proc dure pr vue n a pas t suivie impossibilit physique manque de moyens en homme ou en mat riel mauvaise interpr tation proc dure mal adapt e adaptation de r gles de l art non appropri es etc avant d assimiler l erreur une faute contre la discipline Ainsi au cours des man uvres de refoulement de trains coup s en atelier la proc dure r glementaire n est pas respect e Le shuntage de la boucle de s curit n est pas mis en place et le manipulateur en loge arri re est utilis La man uvre n en est pas modifi e mais le frein de secours est inutilisable C est l exemple dramatique et r el du pilote qui d cide de parcourir la piste avec les r acteurs fort r gime et en freinant nergiquement afin de chauffer l atmosph re et ainsi dissiper temporairement le Vive les P pins Tome II 228 brouillard Il en est r sult une temp rature anormale des freins qui a conduit l explosion des pneumatiques une fois le train rentr apr s le d collage et la destruction fatale des circuits hydrauliques gt
139. des servocommandes afin de respecter les ordres prescrits Il est alors possible de piloter des avions naturellement instables l ordinateur agissant suffisamment rapidement sur les gouvernes pour maintenir l quilibre m me instable Cette possibilit de pilotage d un avion en situation instable ne r sulte pas d un choix vicieux On sait depuis longtemps qu un avion instable parce que centr arri re a de meilleures performances qu un avion stable la d monstration de cette affirmation sort du cadre de cet expos mais cette propri t tait inutilisable en pratique puisque l avion tait impilotable Les commandes lectriques permettent enfin de profiter de cette propri t Bien entendu une panne d alimentation lectrique ou une panne de l ordinateur a des cons quences dramatiques puisque la liaison pilote servocommandes ne se fait que par l interm diaire de l ordinateur On a vu aussit t de bons esprits recommander de placer en parall le avec la liaison manche ordinateur servocommandes une liaison directe et m canique manche servocommandes pour rem dier aux pannes de l ordinateur ou de la g n ration lectrique On tombe sur un probl me analogue au pr c dent On compte sur le pilote pour ma triser un syst me instable et rem dier ainsi aux d faillances du syst me qui est seul capable d assurer l quilibre Dans le cas de la servocommande on esp rait que le pilote pourrait devenir soudainement Goliath en cas d
140. ditions r alistes de simulation mis dans les m mes conditions a commis les m mes cha nes d erreurs conduisant la catastrophe Les erreurs taient toutes prises s par ment extr mement banales et dans la plupart des cas normaux corrig es instantan ment ou sans cons quences Ce r sultat est tr s encourageant car il est plus facile d identifier et donc de tenter de contrer des ph nom nes fr quents que d intervenir sur des v nements uniques et tr s rares Par ailleurs il semble bien que des proc dures compagnie claires et pr cises bien int gr es par la pratique des quipages puissent permettre d viter quelques types de cha nes d erreurs Enfin de l avis de tous les quipages ayant particip aux essais ce type d op ration au simulateur est hautement instructif Il permet chacun de prendre conscience du fait que nul n est l abri d un encha nement malencontreux quels que soient sa comp tence et son s rieux Il permet galement de reconna tre l existence des erreurs de repr sentation et donc peut tre de les identifier en vol r el Une r flexion est en cours pour orienter une partie des vols d entra nement au simulateur dans cette direction analogue celle d j connue sous le vocable LOFT Line Oriented Flight Training La mise au point d un sc nario type ARCHIMEDE n cessite plusieurs tapes confection d une base de donn es rapportant des accidents ou des incidents rencontr s en vol op ra
141. drons trois exemples tous emprunt s au monde a ronautique La distribution des rafales dans l atmosph re est bien connue avec une assez bonne pr cision en raison de nombreuses tudes conduites dans le monde entier depuis longtemps Les avions sont calcul s pour r sister sans dommages s rieux un certain niveau de rafales dont la probabilit est bien d termin e De plus il existe des statistiques tenues jour par l exp rience en service et les m thodes de calcul et de justification des structures sont bien ma tris es avec une grosse exp rience Un jour au dessus de la Sierra Nevada am ricaine un B52 de l US Air Force rencontra la rafale du si cle et la d rive cassa Par chance l quipage r ussit ramener l avion au sol mais l accident n tait pas pass loin La m me aventure aurait aussi bien pu survenir un avion civil Pour la plupart des avions de transport actuels l existence d nergie hydraulique est vitale la vitesse et la taille des avions rendent impossible l usage de la seule force humaine pour d placer les gouvernes La p rennit de la fourniture hydraulique est g n ralement assur e par trois circuits ind pendants d ment s gr gu s et dont les quipements constitutifs sont tr s fiables et de plus fortement redondants Nous avons d j cit cet exemple au chapitre 12 Sur un DC10 am ricain une avarie du r acteur central pourtant envisag e conduisit une projection de d bris hau
142. du Mod le Math matique sophistiqu du Simulateur de Comportement Syst me Il est par contre beaucoup plus important que le tableau de bord soit aussi proche que possible de la r alit condition qui est en g n ral sans int r t pour le Simulateur de Comportement Syst me L objectif du Simulateur de Comportement Syst me est en effet de conna tre la r ponse pr cise du syst me des sollicitations pr cises Il faut donc introduire des entr es programm es et enregistrer les r ponses et non pas introduire des entr es mal d finies comme celles produites par un op rateur et se contenter de voir la r ponse sur les instruments Nous voyons ainsi se dessiner les diff rences fondamentales entre les deux grandes familles de simulateur un Simulateur de Comportement Syst me doit tre constitu autour d un logiciel sophistiqu qui n est pas oblig de fournir les r ponses en temps r el avec des entr es pr programm es et des sorties enregistr es pour tudes ult rieures un Simulateur d Interface Homme Machine doit tre b ti autour d un logiciel simple travaillant n cessairement en temps r el avec une repr sentation aussi fid le que possible de l interface En cons quence il est n faste d essayer de b tir un Simulateur universel r pondant aux deux objectifs sous peine de surdimensionner inutilement le syst me Vive les P pins Tome II 281 LES SIMULATEURS D INTERFACE HOMME MACHINE Revenons mainten
143. duira et que l on n aura pas toujours la chance qu elle soit commise dans des conditions telles que les cons quences n en soient pas catastrophiques Vive les P pins Tome II 191 Ainsi nous ne saurions trop insister sur la n cessit du retour d exp rience et l analyse des incidents en service chacun exposant franchement les erreurs commises en d taillant soigneusement les circonstances pr alables Il ne sert rien de signaler une erreur d affichage de fr quence de balise si l on ne pr cise pas la succession des op rations des man uvres des d cisions des changes d informations qui ont pr c d l erreur Il ne s agit pas de s indigner devant l erreur commise et de sanctionner mais de comprendre l encha nement des faits pour viter que cet encha nement ne se reproduise trop fr quemment Le Retour d Exp rience ce n est ni Accuser ni Excuser mais Expliquer Cette d marche est fondamentale On ne peut pr voir tous les cas possibles et qui pourra prendre les mesures n cessaires pour limiter les erreurs si celles ci sont soigneusement dissimul es Les incidents d crits dans les fiches de RETOUR D EXPERIENCE doivent tre pr sent s nous venons de le voir sous forme de cha nes d v nements de trois types les v nements d Op rabilit mettant en cause les caract ristiques de l op rateur humain les v nements de Sensibilit aux perturbations externes et internes les v nements de Man uvrabilit ca
144. e Tant qu un risque est bien identifi et jug encore trop lev il est judicieux de mettre en place des moyens pour le r duire Mais chercher r duire encore un risque estim n gligeable n est pas raisonnable car une telle op ration se fait au d triment d autres op rations plus utiles et peut m me se r v ler dangereuse dans d autres domaines Encore faut il s entendre sur la notion de risque n gligeable Un risque doit tre estim n gligeable s il est consid r comme tel par un groupe d experts ind pendants par comparaison avec les risques naturels analogues que chacun encourt tous les jours voir quelques r flexions sur le sujet dans le chapitre 15 Les r gles doivent reposer sur des bases scientifiques s rieuses sous peine d imposer des contraintes abusives et inutiles avec une double cons quence rendre le syst me conomiquement non viable Ainsi imposer de quadrupler tous les syst mes critiques sur les avions de transport r duirait la charge marchande d un AIRBUS quelques dizaines de places Imposer une radioactivit nulle interdirait la consommation de tous les aliments imposer des solutions faisant courir d autres risques Ainsi dans une unit de production chimique r duire la quantit d effluents gazeux polluant l environnement peut tre obtenu en balayant l installation avec un gaz inerte azote ou gaz carbonique Mais la pr sence de ces gaz peut conduire des accidents graves et m
145. e l jection conduisait la plupart du temps l vanouissement du pilote qui se trouvait quelque peu handicap pour effectuer manuellement les deux derni res man uvres vitales s paration du si ge et ouverture du parachute mauvaise conception de l interface sur le plan ergonomie m canique Eclairage chauffage ventilation si ges dispositions et tailles des afficheurs dispositions tailles formes et d battements des commandes dispositions formes tailles couleurs et caract res des tiquettes etc La conception ne tient pas compte des capacit s m caniques et physiologiques de la taille et de la forme des membres de l op rateur humain mauvaise conception de l interface sur le plan ergonomie mentale Echelles z ros des afficheurs sens d action des commandes synoptiques sch mas sur cran etc Nous renvoyons aux nombreux exemples donn s dans les chapitres 2 et 3 Vive les P pins Tome II 194 les d fauts de Conception de la Formation Ces d fauts peuvent tre divis s en deux groupes mauvaise conception de la formation de base m connaissances dans les domaines l mentaires de la lecture de l criture des calculs mentaux de l arithm tique des langues parl es etc m connaissances dans le domaine des techniques m canique physique lectricit lectronique informatique a rodynamique hydraulique r sistance des structures usinage soudage langue technique etc
146. e autour de la verticale tout en laissant la visualisation de l ext rieur fixe par rapport la cabine Il est ainsi possible par de multiples astuces de tromper l op rateur et lui fournir un succ dan de sensations qu il identifie psychologiquement aux sensations r elles s il conna t bien l environnement naturel du v hicule Les consid rations que nous venons de d velopper rel vent du bon sens Il est fondamental de ne pas oublier l objectif de la simulation projet e Un simulateur d entra nement doit permettre l op rateur de b tir solidement ses mod les de repr sentation personnels Il importe donc de l aider dans cette t che et faire en sorte de ne pas fausser la repr sentation et risquer de le conduire vers des mod les faux En particulier le logiciel doit pouvoir non seulement pr senter le fonctionnement normal du syst me mais galement le fonctionnement dans les cas des incidents fr quents caract ristiques Un tel simulateur ne peut g n ralement pas tre b ti sur micro ordinateur surtout lorsque le syst me doit tre pilot par une quipe sauf pour les petits syst mes on retrouve alors les caract ristiques des simulateurs de fonction LES ESSAIS AU SIMULATEUR Il nous reste maintenant interpr ter les essais effectu s soit au simulateur soit sur le v hicule ou sur le syst me r el Les estimations de la charge de travail Les m thodes d valuation de la charge de travail sont voqu es
147. e il y a de grandes chances les m mes causes produisant les m mes effets pour que la m me d faillance se produise sur le m me composant de l autre syst me Ainsi deux syst mes identiques ne sont ils pas r ellement ind pendants La d monstration de s curit n cessite donc d utiliser des syst mes non seulement redondants mais galement dissemblables pour assurer une fonction donn e Cette conclusion est encore plus importante lorsqu il s agit de calculateurs Il est vident que le m me logiciel fonctionnant sur plusieurs calculateurs en parall le constitue une source de d pendance irr futable Une d faillance du mat riel sur l un des calculateurs identiques a de grande chance de se produire sur les autres Mais une d faillance du logiciel se produira instantan ment sur tous les calculateurs On propose quelque fois de faire r aliser le logiciel par plusieurs programmeurs ind pendants en esp rant qu ils ne commettront pas les m mes erreurs La formation et les m thodes des programmeurs sont d j des sources de d pendance Mais le cahier des charges est une autre source encore plus importante de d pendance erreur dans la logique oubli de cas particuliers La difficult provient du fait que l on demande aux calculateurs d assurer deux fonctions une fonction d optimisation pour l conomie du syst me et une fonction de s curit La d faillance de la fonction de s curit non seulement n assure pas l co
148. e alors des consignes de cap vitesse pente et altitude au pilote automatique afin d ex cuter les man uvres successives ainsi programm es Vive les P pins Tome II 239 dans le cas 2 il faut d finir quel syst me est en cause et en quoi le mod le de fonctionnement utilis par l op rateur tait faux par exemple utilisation d un mod le trop simplifi non valable dans ce cas particulier de fonctionnement dans le cas 3 il faut d finir quel mauvais mod le tait utilis mod le de capture d information mod le d action sur les commandes mod le d utilisation des moyens de transmission quel l ment de l interface et quel type de mod le localisation identification transposition mode d action taient en cause Cette information est tr s importante pour pr ciser si et o il faut modifier la conception de l interface ou modifier les m thodes d entra nement et de formation Enfin il est utile de pr ciser si possible l utilisation d images ou de mod les retenus a priori par l op rateur car les rem des ne reposent pas en g n ral sur des modifications technologiques mais sur des m thodes de formation et d entra nement mettant en relief ce type de comportement diabolique des op rateurs Vive les P pins Tome II 240 M thodes de Codification et d Analyse L analyse des seuls accidents est insuffisante parce que les accidents sont heureusement rares Il est n cessaire d analyser les incidents pour y
149. e bien raisonnable La r ponse n est pas vidente Cette am lioration technologique ne rec le t elle pas des vices cach s qui peuvent cr er des risques diff rents et nouveaux Rappelons l exemple fabriqu pour la circonstance mais r aliste Nous pouvons r duire la quantit de polluants rejet s en balayant les unit s de production avec un gaz inerte de l azote par exemple Dans ce cas ne risquons nous pas d augmenter le risque d asphyxie des travailleurs pour r duire inutilement un risque n gligeable dans les populations voisines Par ailleurs toute modification a un co t conomiquement acceptable peut tre mais qui demande quand m me un financement Ne serait il pas plus judicieux d utiliser cet argent faire progresser la s curit dans un autre domaine la s curit du transport routier dans le voisinage par exemple Vive les P pins Tome II 301 La question que nous posons n est pas triviale Actuellement le contribuable d pense beaucoup d argent pour gratter quelques d cimales sur la probabilit d accidents lors de transport de mati res nucl aires Ne serait il pas plus judicieux de d penser une partie de ces sommes pour am liorer le transport d autres mati res dangereuses les produits chimiques en particulier qui ont provoqu plusieurs centaines de morts alors qu aucun accident de transport de mati res nucl aires n a eu jusqu pr sent la moindre cons quence L objectif de notre soci t est l int
150. e cas plus commode d utiliser l heure comme unit de temps La probabilit de 10 paran probabilit moyenne du risque de mort naturelle devient alors sensiblement 10 par heure 1 an 24 x 365 8760 heures Ainsi la probabilit de 10 par heure est elle une grandeur de r f rence pour les risques de transport ou de travail constituant une valeur raisonnablement acceptable pour chaque mortel C est cette valeur qui est commun ment admise pour l tablissement des r gles de s curit Le chapitre 15 d taille les consid rations thiques et conomiques qui permettent de d finir cette probabilit r siduelle d accident admissible 2 Hormis le constat que 10 par heure est la probabilit de mort naturelle aux environs de 35 ans il est difficile d valuer ce que signifie un risque ayant une telle probabilit l mentaire car ce nombre est trop faible Pour en aider l interpr tation nous donnons sur la figure ci dessous la probabilit d observer un v nement ayant une probabilit l mentaire de k 10 heure loi de Poisson au bout d un temps suffisamment long pour que cette probabilit soit comprise entre 0 1 et 1 On constate ainsi qu il faut attendre 120 ans pour que la probabilit d observer un v nement de probabilit l mentaire 10 heure ou 10 an atteigne 0 1 ce qui confirme bien que le risque de r f rence est faible 3 Par contre un v nement de probabilit l mentaire 10 heure ou 10 an peut tr
151. e charge de travail intelligente d interpr tation et de pr vision par une charge de travail stupide de recueil continue d informations l op rateur se trouvant ramen au niveau d un servom canisme pur C est l l occasion de faire la diff rence dans les op rations de contr le de processus entre ce que nous appelons les op rations de conduite et les op rations de pilotage Nous appellerons pilotage toutes les actions qui relevant d une tactique court terme permettent de maintenir ou de faire voluer un param tre de pilotage ou un param tre de fonctionnement de la machine c est dire maintenir ou faire voluer une valeur de consigne Les op rations de conduite rel vent d une strat gie plus long terme permettant de g rer le processus Elles portent sur le respect des objectifs de la mission Elles reposent sur des pr visions d volution du processus et sont la cons quence d op rations de comparaison entre pr vision et observation Ce sont elles qui sont l origine des valeurs de consigne pour les param tres de pilotage les param tres de fonctionnement des syst mes les automatismes Les op rations de pilotage peuvent tre tr s facilement automatis es parce qu elles rel vent d algorithmes de d cision tr s simples consistant r duire les carts entre valeur de consigne et valeur mesur e Dans un contr le de processus il y a toujours int r t soulager l op rateur des op rations de pilotage en le
152. e cherchons pas dans ce court expos identifier les capteurs responsables des divers troubles rencontr s en vol N anmoins dans un simple souci de classement nous regrouperons les diff rents troubles en cherchant les attribuer des d fauts d un m me capteur mais seul le bon sens et non la rigueur scientifique nous servira de guide I TROUBLES DUS AUX CAPTEURS DE GRAVITE Par capteurs de gravit nous entendons ici tous les capteurs oreille interne ou surfaces du corps capables de fournir des informations sur l intensit et la direction des facteurs de charge subis par le pilote Ces capteurs ne sont pas plus capables que les acc l rom tres plac s bord de l avion de d tecter la direction des forces de gravit hormis le cas du d placement rectiligne uniforme Ils ne fournissent que la direction de la verticale apparente c est dire la direction du vecteur facteur de charge Rappelons qu un acc l rom tre lin aire mesure le facteur de charge et non l acc l ration au point de mesure Le vecteur facteur de charge est gal si le v hicule ne tourne pas autour de son centre de gravit ou si l acc l rom tre est plac au centre de gravit la r sultante de toutes les forces appliqu es au v hicule except le poids du v hicule divis e par la valeur scalaire du poids du v hicule Autrement dit il mesure la diff rence vectorielle I g entre le vecteur acc l ration I du v hicule et le vecteur acc l
153. e chose tout est rentr dans l ordre mais c est tr s d sagr able de ne pas savoir ce qui s est pass Vive les P pins Tome II 256 Ainsi la reconfiguration manuelle guid e par l ordinateur permet de fournir toute l information utile l op rateur sur le nouvel tat du syst me f Fournir des informations permettant la pr vision Les informations de ce type sont les informations sur l tat du syst me contr ler et sur le sens et l amplitude de ses variations Disposant de ces informations l op rateur peut alors pr voir l volution du syst me l aide de ses divers mod les de repr sentation Il est vident que les op rations mentales de pr vision n cessitent une certaine charge de travail de recueil de donn es d interpr tation de la situation pr sente et d extrapolation dans le temps On a quelquefois cherch r duire cette charge de travail en pr sentant l op rateur non la situation mais la position des commandes permettant de corriger les carts par rapport aux valeurs de consigne Incontestablement on supprime ainsi toute charge de travail d interpr tation de la situation et de choix des commandes mais on supprime par la m me occasion toute possibilit de pr vision de la part de l op rateur Celui ci est d s lors oblig de capter en permanence les indications d ordre de position de commandes car il n est pas en mesure de pr voir l volution temporelle de ces ordres On remplace ainsi un
154. e comme si la pesanteur avait tourn de 45 degr s et tait multipli e par 1 4 racine de 2 Vive les P pins Tome II 334 Dans le cas d un virage d rap la r sultante R des forces a rodynamiques n est pas dans le plan de sym trie de l avion du fait du d rapage le pilote a l impression que la verticale est parall le la force R et donc que l avion penche droite alors qu il est inclin gauche avion vu de face sur la figure mg gpi R Sensation du pilote Verticale apparente Examinons maintenant le d collage de la navette mont e sur son lanceur La pouss e des moteurs est il a PPT TT TTL TT TT TT TT TT TITI F mg suppos e gale 1 2 fois le poids de l ensemble lanceur navette Le vecteur facteur de charge a un module gal 1 2 et est orient suivant la pouss e F donc suivant l axe du lanceur Le lanceur est soumis la force F et son poids mg donc une r sultante verticale de module F mg L acc l ration est donc verticale et de module F mg m 0 2g soit 2 m s Le pilote est soumis une r action S du si ge parall le au vecteur facteur de charge donc verticale gale 1 2 fois son poids m g Il a la sensation que l acc l ration de la pesanteur a t multipli e par 1 2 La navette et son lanceur sont maintenant en altitude avec une assiette de 50 La masse lanceur navette n est plus q
155. e confort est utilis tr s souvent pour carter un probl me g nant Enfin nous avons galement entendu Il suffit de demander aux op rateurs de faire particuli rement attention Je vais faire une note de service leur rappelant qu ils se doivent d tre vigilants Ces responsables oublient que lorsqu un pi ge est mis en place il finit toujours par attraper quelqu un et pas seulement les imb ciles les insouciants et les indisciplin s quelles que soient les mises en garde qui n ont d effet que pendant quelques jours m me chez les plus scrupuleux des op rateurs Vive les P pins Tome II 267 xk k k k Ces remarques tant faites regardons quels sont les moyens disponibles pour limiter les erreurs identifi es L identification des D fauts Syst me l origine des erreurs est un guide pour l tablissement des rem des Les moyens d action pour limiter les erreurs sont de six sortes am lioration de l organisation en pr cisant les objectifs des t ches en pr cisant la responsabilit de chacun ce qu il doit faire lui m me ce qu il ne doit pas faire ce qu il peut d l guer quelles informations il doit transmettre gt en mettant la disposition des op rateurs les moyens n cessaires en hommes et en mat riels gt en pr sentant les proc dures sous forme de consignes claires faciles interpr ter et appliquer et non pas sous forme de note de service noyant la proc dure au milieu de consid
156. e corrections ils peuvent mettre en vidence une insuffisance des marges entre point d tat et limites et conduire modifier les consignes op rationnelles par exemple modification des vitesses d approche recommand es en turbulence Ces v nements sont r sum s dans les grilles GASP Grille d Analyse des v nements de Sensibilit aux Perturbations et GAME Grille d Analyse des v nements de Man uvrabilit pr sent es au chapitre 11 dans le cas particulier de l analyse des incidents et accidents d avions de transport civils Un retour sur la notion de limite et de domaine autoris est n cessaire avant de poursuivre plus avant Les limites que nous avons d crites jusqu ici sont les valeurs des param tres au del ou en de desquelles la probabilit de catastrophe est voisine de l unit Nous appellerons ces limites limites absolues tout en reconnaissant leur caract re un peu flou en toute rigueur il faudrait d finir les limites absolues avec une probabilit de catastrophe associ e 10 heure par exemple on voit tout de suite l aspect purement th orique de cette d finition Vive les P pins Tome II 189 En pratique on ne laisse pas l op rateur le loisir de laisser volontairement son syst me fr ler les limites absolues On lui fixe des limites op rationnelles correspondant une probabilit raisonnablement faible de catastrophe pour fournir des marges vis vis des diff rents al as Si l on vise un
157. e de d faillance par heure estim e pour le mat riel tudi Pour fixer les id es on peut ainsi dire que si l on a observ un temps Tm de 1000 heures la probabilit pe est de 1 1000 par heure L encore la valeur pe doit tre pr sent e accompagn e d une marge Ape calcul e partir de la marge AT et du niveau de confiance P Dans le cas particulier o la m thode d estimation de pe consiste faire fonctionner des mat riels identiques pendant 2 3 10 heures cumul es sans rencontrer de d faillance le calcul compte tenu d hypoth ses sur la loi d apparition des d faillances permet d affirmer que la probabilit pe est inf rieure 107 n par heure la marge est alors de 10 0 avec un niveau de confiance de 0 9 Ces chiffres sont li s la m thode d essai et la loi suppos e d apparition des d faillances et quelques hypoth ses suppl mentaires D autres valeurs sont retenir avec des m thodes diff rentes et bien entendu avec des niveaux de confiance diff rents Nous retiendrons toutefois que l ordre de grandeur du nombre d heure d essais est de k 10 k entier entre 1 et 10 pour d montrer une probabilit pe inf rieure 10 par heure avec un niveau de confiance P de l ordre de 0 9 Nous avons suppos jusqu ici que l on cherchait estimer la probabilit p de d faillance d un mat riel enti rement nouveau pour lequel on ne dispose d aucun renseignement compl mentaire concernant sa fiabilit
158. e de celles du concepteur et du constructeur du syst me Les risques d erreurs d identification peuvent tre li s des num rotations similaires justifi es pour le concepteur mais peut tre inutiles ou n fastes pour l utilisateur Une d nomination simplifi e est parfois possible ce qui all ge d autant le dessin dans la mesure du possible on s efforcera faire tenir le sch ma complet sur un seul cran ce qui peut conduire un choix de mat riel permettant une surface de repr sentation plus grande Si plusieurs crans sont n cessaires la repr sentation du sch ma complet on pr voira une planche g n rale permettant de voir le sch ma simplifi dans sa totalit et une possibilit de zoom faisant appara tre le sch ma d taill Il doit tre alors envisag de disposer de deux crans l un pour le sch ma g n ral avec identification facile de la zone zoom e pr sent e sur le deuxi me cran La commande de d filement de la zone zoom e se fera alors par d placement du rep re de zone sur l cran du sch ma g n ral Ce dernier d placement se fera par une souris une boule roulante un minimanche ou un touch pad voir chapitre 4 Dans la suite de ce paragraphe nous d signerons cette commande par le terme g n ral souris Par exemple un d placement vers la droite et le haut de la souris se traduira par un d placement vers la droite et le haut du rep re de zone sur le sch ma g n ral ce qui est int
159. e de touches du clavier touches H B D G ou fl ches car le d placement doit pouvoir tre effectu en gardant les yeux sur l cran D une fa on g n rale toutes les man uvres de commande de la visualisation du sch ma apparition de renseignements compl mentaires appel de donn es sous forme d tat tabul s ou de courbes d signation d organes etc doivent se faire sans passer par un clavier pour viter la fatigue cr e par le passage de la vue de l cran la vue d un clavier A la rigueur un clavier sp cialis tr s simple constitu de quelques touches seulement peut tre utilis pour des fonctions tr s r p titives qu il peut tre commode d ex cuter rapidement sans passer par la souris et un menu de d signation k Lutter contre les erreurs de repr sentation La plupart des recommandations faites jusqu ici ont pour objet de limiter la charge de travail des op rateurs de maintenir leur vigilance et de limiter les erreurs de repr sentation des trois premiers types erreurs sur les images pr sentes futures et d sir es Elles sont sans effet pour limiter l apparition des erreurs des deux derniers types images a priori et mod le de risques erron Une premi re m thode pour lutter contre les erreurs des deux derniers types consiste d une part faire conna tre aux op rateurs leur existence existence g n ralement m connue le comportement apparemment aberrant de certains op rateurs au cours d in
160. e faut pas la signaler nouveau que ce n est pas parce qu aucun p pin grave ne s est produit jusqu ici qu il n y en aura jamais gt enfin que le Retour d Exp rience est le seul moyen susceptible d am liorer la s curit Vive les P pins Tome II 269 Pr parer l observation en se fixant un champ r duit de recherche des erreurs On ne peut observer le comportement de tous les op rateurs en m me temps et surveiller l apparition de tous les types d erreurs au cours d une m me s ance Il est donc recommand de se fixer un th me par exemple le suivi d une proc dure particuli re en cherchant y d tecter les conditions favorisant l apparition d erreurs li es aux probl mes de charge de travail trop fortes aux probl mes de pertes de vigilance aux probl mes de mauvaise repr sentation ou aux maladresses Charge de travail et perte de vigilance Il est recommand de d terminer au pr alable par observation de l ensemble du poste de travail les points critiques potentiels organisation proc dures sources d information moyens de commande moyens et proc dures de transmission qui risquent de provoquer des erreurs li es la charge de travail ou les erreurs li es la chute de vigilance Il est recommand de pr parer l observation en cherchant d terminer l avance les p riodes qui risquent d tre critiques en prenant connaissance des t ches ex cuter Erreurs de repr sentation Il est recommand
161. e l ISR Il reste encore bien des progr s faire dans ce sens et de nombreuses tudes doivent tre men es ne serait ce que sur la fa on de pr senter le r sultat du diagnostic l quipage pour que celui ci ne le rejette pas en commettant une nouvelle erreur de repr sentation encore une erreur du syst me expert Nous avons cit plus haut le syst me connu sous le nom de Test de Coh rence qui doit pouvoir tre g n ralis d autres contr les de processus Vive les P pins Tome II 264 M THODOLOGIE G N RALE DE L TUDE D UN POSTE en phase de DEFINITION Pour chaque mission ou grande phase ou sous phase on tablira un sch ma op rationnel c est dire un sch ma illustrant la suite des d cisions actions requises de l quipage Sont associ es ce sch ma Des R gles g n rales de conception des interfaces tablir dans le langage et l organisation du concepteur Les d veloppements pr c dents d crivant le comportement des op rateurs humains les d fauts syst mes typiques et la r alisation des interfaces serviront de base l tablissement de ces r gles Des R gles propres au projet concern telles que Code de couleur symbologie g n rale etc Deux d marches sont ensuite conduites la premi re descendante la seconde ascendante D MARCHE DESCENDANTE chaque n ud du sch ma op rationnel c est dire chaque endroit ou une d cision ou action est requise de l quipage il conv
162. e l on ne peut rencontrer en vol Nous pensions observer une ou deux erreurs Le r sultat a t tout autre Chaque sc nario a provoqu syst matiquement des d viations importantes proches de l accident Les v nements dont la succession conduit cette situation critique sont d une extr me banalit petites erreurs courantes commises tr s souvent mais la plupart du temps corrig es tr s rapidement ou sans cons quences dans le contexte et par suite rarement not es par les quipages C est l encha nement malencontreux de ces erreurs qui est rare mais non l occurrence de chaque erreur Le r le des sc narios tait de provoquer cet encha nement malencontreux en favorisant une erreur au mauvais moment ou en interdisant la correction par un v nement ext rieur r aliste judicieusement provoqu Ces r sultats ont conduit examiner un fichier analogue au fichier RACHEL mais r pertoriant non les accidents mais les incidents graves Une analyse du fichier Incidents n a pas fait appara tre de familles nouvelles Les accidents ne seraient que des incidents qui ont mal tourn mais ne semblent pas tre de nature diff rente Ceci milite en faveur du recueil de ce type de donn es car les incidents sont beaucoup plus fr quents que les accidents et plus facile analyser en particulier parce que l quipage peut s expliquer Malheureusement la tendance f cheuse consistant consid rer que les erreurs sont des faut
163. e les erreurs dues une Image a priori ou l utilisation d un mauvais mod le de risque est beaucoup plus d licate Vive les P pins Tome II 283 Plusieurs strat gies ont t propos es Elles ne sont pas concurrentes mais notre avis compl mentaires L une des strat gies repose sur la formation Nous ne citerons que celle l les autres sortant du cadre de ces r flexions sur les simulateurs approche par tat syst mes de d trompage chapitre 12 G n ralement les op rateurs ignorent l existence m me des erreurs de repr sentation Les incidents ou accidents dont ces erreurs sont la cause sont tr s souvent interpr t s une fois les v nements d cortiqu s comme r sultant de l incomp tence de l op rateur ce n tait pourtant pas difficile de d tecter l existence d une petite br che dans le primaire il y avait 19 param tres dont les valeurs anormales pouvaient alerter l op rateur accident de la centrale nucl aire de Three Mile Island Il est donc important de faire conna tre ce type d erreur aux op rateurs en leur en signalant l existence par des pr sentations th oriques et en les mettant en vidence par des analyses d incidents r els Mais il est galement n cessaire de mettre les op rateurs au simulateur dans des situations d erreur de repr sentation pour leur montrer que cela n arrive pas qu aux incomp tents Ce type d exp rience entam e dans l a ronautique a d j port ses fruits
164. e observ au bout de 80 ans avec une probabilit de 0 5 Enfin la courbe en S donne la probabilit de mort compte tenu de la loi de probabilit de mort naturelle d crite en d but de ce paragraphe Ainsi la naissance un individu a 4 chances sur 100 de p rir 50 ans 20 chances sur 100 de p rir 70 ans 40 chances sur 100 de p rir 80 ans et enfin 70 chances sur 100 de p rir 90 ans Rappelons qu il ne s agit ici que de mort naturelle La courbe de mortalit toutes causes confondues est moins favorable P EE z M E A M e T a NAAST N TN A E A TN RER NREENEE CE A Z FA CAT m4 ZE CE M ZE Vive les P pins Tome II 317 CALCUL DE LA PROBABILIT DE GAGNER AU LOTO AVEC UNE GRILLE La probabilit de tirer un bon num ro sur 49 est 1 49 Il reste alors 48 num ros disponibles La probabilit de tirer un bon num ro sur 48 est 1 48 et la probabilit de tirer deux bons num ros est donc 1 49x48 En poursuivant le m me raisonnement pour six num ros on parvient la probabilit de 1 49x48x47x46x45x44 Mais ce raisonnement suppose que l on a choisi les num ros dans un ordre d termin Or il y a une seule fa on de choisir un num ro 2 fa ons de choisir deux num ros 3x2 fa ons de choisir trois num ros 6x5x4x3x2x1 720 fa ons de choisir six num ros dans un ordre quelconque La probabilit de tirer les six bons num ros dans un ordre quelconque est donc p 720 49x48x47x46x45x44 p
165. e panne hydraulique Dans le cas des commandes lectriques on esp rait voir notre Goliath se transformer de plus en David v loce en cas de panne lectrique On constate maintenant que la compr hension de certaines situations n cessiterait l installation bord d un syst me expert destin faire l analyse la place du pilote Et bien entendu certains beaux esprits toujours les m mes proposent de demander au pilote de contr ler le syst me expert pour en d tecter les erreurs de diagnostic Cette fois notre Goliath David devrait se doubler d un Einstein La solution ne r side pas dans la surveillance impossible du syst me expert par l op rateur mais dans une fiabilit du syst me telle que la panne en soit jug e raisonnablement improbable Il nous reste maintenant mettre sur pieds les m thodes permettant de b tir des syst mes experts ayant une fiabilit suffisante et des moyens Vive les P pins Tome II 255 permettant d valuer cette fiabilit Ceci est une autre histoire mais la solution ne r side pas dans l utilisation de l homme avec ses d faillances et ses faiblesses Le Goliath David Einstein n existe pas e Fournir de l information Nous avons d j insist longuement sur cette caract ristique de l op rateur humain qui a besoin de stimuli en particulier d informations en provenance de la machine Nous renvoyons le lecteur aux chapitres 3 4 et 5 pour plus de d tails sur ce sujet Pr cisons to
166. e plus souvent une non corr lation entre les informations assez pauvres fournies par l observation visuelle des instruments de bord classiques et les sensations fournies g n ralement par le syst me vestibulaire syst me que le hasard et la n cessit n ont pas encore eu le temps de faire voluer chez l homo volans Vive les P pins Tome II 332 ANNEXE 4 COMPLEMENT 1 Facteur de Charge Verticale apparente Pla ons un pendule constitu d une bille tenue par un fil sans masse au centre d inertie G de l avion en vol L avion est soumis aux forces a rodynamiques dont la r sultante au centre d inertie est RA aux forces de propulsion dont la r sultante au centre d inertie est F aux forces de gravit dont la r sultante au centre d inertie est le poids mg g est l acc l ration de la pesanteur m la masse de l avion L acc l ration T du centre d inertie est gale R m o R est la somme g om trique de ces trois r sultantes Th or me du mouvement du centre d inertie La bille du pendule est soumise la traction T du fil aux forces de gravit dont la r sultante au centre d inertie de la bille est son poids mg m est la masse de la bille L acc l ration T du centre d inertie de la bille est gale r m o r est la somme g om trique de T et de mg Le pendule tant suppos en quilibre par rapport l avion l acc l ration T de la bille est gale l acc l rati
167. e probabilit globale d accident de l ordre de 10 heure on se fixe g n ralement la limite op rationnelle cette valeur l encore cette pr cision est toute th orique mais l ordre de grandeur doit tre retenu On d finit ainsi un domaine op rationnel l int rieur duquel la probabilit de catastrophe est raisonnablement faible entour d un domaine dit p riph rique au sein duquel la probabilit de catastrophe varie de 10 heure 10 heure L op rateur a pour consigne de maintenir le point d tat l int rieur du domaine op rationnel Si pour une raison quelconque le point d tat sort du domaine op rationnel pour p n trer dans le domaine p riph rique l op rateur a la consigne imp rative de ramener le plus rapidement possible le point d tat dans le domaine op rationnel certains automatismes sont con us pour exercer cette fonction Le point nominal d tat n est pas en g n ral sur la limite du domaine op rationnel On le choisit en prenant des marges vis vis des limites op rationnelles pour couvrir les v nements d Op rabilit de Man uvrabilit et de Sensibilit aux Perturbations et ne pas imposer l op rateur une surveillance permanente du point d tat On voit donc appara tre deux types de marges les marges op rationnelles entre le point d tat nominal et les limites op rationnelles les marges de s curit entre les limites op rationnelles et les limites absolues Ainsi en config
168. e qu ils peuvent d l guer quelles informations ils doivent transmettre et qui Autrement dit la r partition des taches entre les divers op rateurs est mal d finie du moins dans l esprit des op rateurs En cons quence ils omettent une op ration croyant qu elle n est pas de leur ressort ou ex cutent une action normalement impartie un autre op rateur Ce type d erreur est bien souvent l origine d une erreur de repr sentation pour un autre op rateur A titre d exemple la responsabilit de l anticollision avec le relief est du ressort du contr le au sol ou de l quipage suivant les phases de vol ce qui peut engendrer une certaine confusion Ce type de d faut correspond la question Qui doit faire les d finitions des objectifs des contraintes des marges disponibles comportent des erreurs ou des oublis ce que nous regroupons sous le terme de T ches mal d finies Dans certains cas les situations nominales recommand es sont trop pr s des limites ce qui laisse des marges trop faibles pour couvrir les al as erreur d Op rabilit Perturbations Man uvres Il arrive aussi bien souvent que les op rateurs s imposent eux m mes des contraintes inutiles par exemple mettent en priorit la r gularit avant la s curit faire l heure pour la SNCF atterrir imm diatement m me dans des conditions limite pour un pilote de transport Ce type de d faut correspond la question Que doit on faire les op
169. e sont pas adapt s aux circonstances ainsi rencontr es en vol et conduisent parfois le pilote une mauvaise interpr tation de la situation ce qui se traduit par un ph nom ne de d sorientation appel quelquefois mais improprement vertige ou une fausse image de la situation le conduisant une erreur de repr sentation Cette mauvaise interpr tation de la situation est due aux imperfections des capteurs humains seuil pr cision retard imperfections qui sont sans effet notable dans la vie courante mais qui ne sont plus n gligeables lors des volutions d un avion Par ailleurs des volutions en vol sans visibilit peuvent galement provoquer des troubles d orientation du fait de la non corr lation des informations venant des divers capteurs Les diff rents capteurs jouant un r le important dans la prise de conscience de l orientation sont l oreille interne qui d tecte le sens et la grandeur des acc l rations angulaires et d une fa on plus ou moins nette le sens et la grandeur des vitesses angulaires ainsi que la direction mais non l intensit du vecteur facteur de charge la vision centrale et la vision p riph rique qui d tectent les positions et les vitesses angulaires les parties du corps en contact avec les surfaces d appui qui d tectent l intensit et la direction des forces de contact forces en relation directe avec la grandeur et la direction du vecteur facteur de charge subi par le pilote Nous n
170. e vitesse critique Les m thodes de calcul sans ordinateurs taient inutilisables et les r sultats exp rimentaux inexploitables parce que les mesures en soufflerie sont perturb es par les multiples r flexions des ondes de choc sur les parois Seules les exp rimentations vraie grandeur quelque fois douloureuses ont permis d accro tre les connaissances et de r soudre les multiples probl mes de la barri re sonique Passer du vol transsonique au vol Mach 2 dans la d cennie suivante a n cessit un effort galement consid rable On remarquera en outre que les concepteurs de l poque n taient m me pas s rs de l existence d une solution pour le programme Concorde Il s agissait en effet de concevoir un avion de transport d une centaine de passagers d une dur e de vie de l ordre de trente mille heures volant Mach 2 pendant deux heures et demie chaque tape alors que l on ne disposait que de l exp rience des avions militaires dur e de vie de l ordre de cinq mille heures ne restant en supersonique que quelques dizaines de minutes chaque vol Cette remarque prend toute sa valeur lorsque l on sait que les Am ricains la m me poque ont chou dans leur tentative de r alisation d un avion de transport Mach 3 la technologie disponible l poque ne permit pas de trouver une solution Cet chec a t masqu sous des pr textes cologiques On voit que les possibilit s d erreurs de conception conduisant
171. ectueux incomplet etc gt Contenu erron sigle compl mentaire c Les donn es fournies par la documentation conduisent des erreurs quant aux mod les utilis s pour la saisie des donn es les d cisions la transmission des informations et les actions sur les commandes La documentation est r dig e par les concepteurs et non adapt e aux besoins de l utilisateur qui n y trouve pas ce qu il y cherche Quelquefois les op rateurs utilisent une documentation sauvage carnet personnel dont le contenu est incontr lable Les informations fournies contiennent des erreurs codes de r f rence incomplets ou contenant des fautes de frappes sch mas faux incomplets ou p rim s etc Trait de magic rose Plantes et aromates Mais nor d un t o est cetei Sy de Forruule F D apr s PEYO Exemple de mauvaise conception de la documentation R glementation inadapt e sigle R L volution des techniques des m thodes d utilisation des mat riels peuvent rendre caduques et m me n fastes des r gles qui se sont montr es longtemps utiles et efficaces Ce type d erreur appara t surtout lorsque les r glements ont t r dig s en imposant des moyens plut t que des objectifs de s curit Enfin une derni re ligne a t cr e portant le sigle Z pour couvrir les cas qui n entreraient dans aucune des rubriques pr c dentes dans la mesure o nul ne peut pr tendre l exhaustivit Bien ent
172. effets parasites sur le contr le du syst me La documentation sur les mod les de fonctionnement permettant les d cisions est difficilement compr hensible ou trop dispers e et conduit des erreurs de d cision Par exemple les organigrammes de d cision comportent des ambigu t s ou encore ne pr sentent que le mod le de fonctionnement g n ral du syst me et renvoient les cas particuliers des annexes sans en signaler l importance sur le plan s curit Les organigrammes de d cision font appel des conditions quelques fois n gatives au milieu de conditions g n ralement positives La documentation sur les moyens et les proc dures de transmission est difficilement compr hensible ou trop dispers e et conduit des erreurs Les annuaires ou les listes de fr quences comportent des ambigu t s ou rendent difficile la recherche d un code de correspondant En particulier les num ros d appel des postes de s curit sont noy s dans la liste g n rale Les sch mas fournis sont des sch mas de conception et non des sch mas d utilisation les commandes les organes les points de mesure ne sont pas dispos s sur le sch ma comme sur le poste de travail La num rotation des organes est une num rotation faite par les concepteurs et inadapt e aux besoins des utilisateurs Les op rateurs utilisent une documentation sauvage carnet personnel dont le contenu est incontr lable Vive les P pins Tome II 276 Informa
173. elle acquise en m canique et en structure Nous en doutons Une autre fa on d assurer la redondance d un syst me automatique mat riel et logiciel consiste le doubler par un op rateur humain Il est vident que les erreurs de logiciel du syst me et du cerveau de l op rateur ont peu de chances d tre communes sauf si les mod les de comportement du syst me contr ler sont les m mes pour le concepteur du logiciel et pour l op rateur humain Bien entendu il est n cessaire de tenir compte des d faillances particuli res de l op rateur humain pour en estimer la fiabilit et en d duire la fiabilit du composite automatisme op rateur Vive les P pins Tome II 312 LES ESTIMATIONS DE FIABILIT L valuation de la fiabilit d un mat riel peut se faire par des essais syst matiques en laboratoire par examen du fonctionnement de ce mat riel en service r el ou encore par comparaison avec des mat riels existants Nous n tudierons ici que l valuation par essais en laboratoire Pour rendre plus accessible le raisonnement nous ne chercherons pas valuer directement la probabilit de d faillance d un mat riel mais sa dur e de vie moyenne et nous reviendrons ult rieurement sur la relation dur e de vie probabilit de d faillance Il est possible pour un mat riel donn de mesurer sa masse sa consommation en nergie son volume sa bande passante d une fa on g n rale tout param tre caract risant
174. embre de la famille naissance prochaine ch mage du conjoint d un enfant probl mes financiers etc tat psychopathologique perte de m moire folie etc Facteurs sociologiques sigle S Facteurs internes sigle Si Composition de l quipe ou de l quipage qualification des membres anciennet connaissances E sous effectif occasionnel pr sence de stagiaires conflits internes l quipe Facteurs externes sigle Se Climat social gr ves manifestations Pr sence d un visiteur Pr sence d un instructeur Pr sence d un examinateur Pr sence d une personnalit On notera que parmi ces facteurs certains sont directement dus une mauvaise conception ergonomique du poste confort tenue de travail ambiance des probl mes d organisation horaires besoins physiologiques ou facteurs sociologiques ou des probl mes de conception de base pannes de la machine Il faut les signaler ce stade d observation car ils constituent des facteurs aggravant pouvant expliquer les erreurs observ es mais il faut galement les noter parmi les d fauts du syst me corriger A la suite d un accident l enqu te permet g n ralement de retrouver la plus grande partie de ces facteurs Par contre dans bien des cas de simples incidents il est difficile d obtenir des renseignements suffisants pour d terminer les facteurs psychologiques et sociologiques internes Voici quelques
175. ements se produisent spontan ment mais on ne peut compter sur ce hasard pour b tir un sc nario valable ARCHIMEDE n est qu une premi re tentative pour nous plonger dans le bain ou plut t l oc an des erreurs humaines Il nous reste encore beaucoup faire avant de pouvoir en merger en criant EUREKA Vive les P pins Tome II 181 D apr s Tex Avery Vive les P pins Tome II 182 CHAPITRE 9 Si tu laisses la porte ferm e toutes les erreurs la v rit n entrera pas Rabindran th Tagore Il n y a rien de plus difficile entreprendre de plus p rilleux poursuivre et de plus incertain r ussir que d introduire un nouvel ordre des choses car l innovateur a pour adversaires tous ceux qui ont r ussi dans les conditions anciennes et ne trouve qu une aide ti de aupr s de ceux qui pourront r ussir dans les nouvelles Nicolo Macchiabelli 1469 1527 Ne pas frapper de d rision les actions humaines ne pas les d plorer ne pas les maudire mais les comprendre Spinoza QUELQUES REFLEXIONS SUR LE RETOUR D EXPERIENCE Depuis les ann es cinquante les responsables du transport a rien se pr occupent de mettre en place les moyens n cessaires l am lioration de la s curit des personnes transport es et des personnes survol es Le r sultat de ces efforts est vident La probabilit d accident par vol a t divis e par un facteur voisin de mille au cours des quatre derni res d cennies Il n en reste pas mo
176. en France R cusons nous aussi le l gislateur Le risque admissible est il une question sans r ponse S rement pas sans r ponse car ne pas r pondre constitue une r ponse le hasard moins de suspendre toute activit humaine ce qui est d pourvu de sens Cependant il n existe pas de bonne r ponse totalement inattaquable Parlons donc de ce qui constitue semble t il la moins mauvaise solution Elle consiste inventorier le plus s rieusement possible les risques courus les quantifier essayer de d finir un niveau jug tol rable et par cons quent admissible une poque donn e dans des circonstances donn es sur la base d un consensus national ou mieux international si c est possible consensus explicite ou implicite Par consensus explicite nous entendons celui qui r sulte des actes d une conf rence ou d un organisme qui enregistre le niveau de s curit requis et pour tre r aliste les moyens acceptables de le justifier Le consensus est implicite s il est obtenu par r f rence un tat de l art et des statistiques op rationnelles qui identifient en fait le niveau requis Ne reprenons pas le Discours sur les m thodes peine esquiss plus haut et tentons d identifier les failles et les m rites de cette moins mauvaise r ponse Le consensus auquel nous nous r f rons est n cessairement un consensus d experts Ceci ne veut pas dire qu il ne tienne pas compte de l opinion publique de
177. endu un d faut ne peut tre class dans cette derni re ligne qu avec des justifications appropri es et une r vision du r pertoire doit tre propos e pour couvrir les cas analogues Vive les P pins Tome II 221 R PERTOIRE D ANALYSE DES D FAUTS OP RATIONNELS DU SYST ME TYPE DE D FAUT SYST ME ORGANISATION Qui doit faire responsabilit ORGANISATION 0e Que doit on faire ex cution Saisie et traitement de l information RADOS D cision apr s traitement de l information d Oed Transmission de l information Homme hm Machine Op rations d ex cution de la t che au cours de laquelle est survenue l erreur induite par le d faut syst me Action apr s d cision Ora Oea ORGANISATION Om Quels mogens pour faire moyens ORGANISATION Op Comment doit on faire proc dures CONCEPTION de BASE Hb Conception reposant sur des hypoth ses douteuses ou des principes inadapt s CONCEPTION des INTERFACES Hm Mauvaise ergonomie m canique des interfaces CONCEPTION des INTERFACES c Mauvaise conception des interfaces ergonomie mentale Omd Hcd Oma Opa Hba Hma Hca FORMATION Fb Formation de base insuffisante FORMATION Fs Formation sp cifique insuffisante DOCUMENTATION Dm D fauts mat riels Fsd Fba Fsa Dmd Dma DOCUMENTATION De Contenu d fectueuz Documentation sauvage Dcd Dct
178. ens suffisants en personnel ou en mat riel pour ex cuter leur t che Cela conduit en g n ral des surcharges de travail quelque fois de courte dur e mais suffisantes pour conduire l erreur Ce cas se rencontre souvent dans les postes de travail charge moyenne faible ne justifiant pas un nombre d op rateurs suffisant pour faire face aux pointes T che pr voyant des transmissions d informations alors que les moyens de transmission ne sont pas disponibles centre de contr le ferm la nuit par exemple R ponse la question Quels moyens pour faire sigle compl mentaire m pour moyen les op rateurs ne savent pas comment ex cuter leur t che ou encore les proc dures qu on leur impose sont mal adapt es aux caract ristiques de l op rateur humain et aux moyens dont ils disposent en homme et mat riel R ponse la question Comment faire sigle compl mentaire p pour proc dure Cette situation a des origines multiples proc dures mat riellement d fectueuses erreurs de frappe photocopie imparfaite etc proc dures imparfaites parce que mal r dig es complexes non expliqu es proc dures trop g n rales laissant l op rateur devant un choix difficile faire proc dures imposant des charges de travail ponctuelles trop lev es ou imposant des t ches fastidieuses longs temps d attente entre op rations attente d un v nement qui ne se produit que tr s rarement surveillance sans v nements no
179. ense qu il a d j d pass la colline dans l axe de la piste alors que cette colline est encore devant et il commence sa descente trop t t Le contr leur pense tort qu il n y a pas de trafic sur la piste en service et il donne l autorisation d atterrir sur cette piste b Une Image Future Externe ou Interne est erron e ce qui conduit une mauvaise d cision d action Par exemple le pilote pense que les performances de l avion sont suffisantes pour monter rapidement et viter le sommet de la colline Le contr leur pense que son ordre de d collage va tre imm diatement suivi d effet et qu en cons quence la piste sera rapidement disponible pour un atterrissage c Utilisation d un mauvais Mod le de T che conduisant une mauvaise Image d sir e Une mauvaise d finition des responsabilit s de l quipage ou une mauvaise d finition de la r partition des t ches entre les membres de l quipage ou entre l quipage et le contr leur peuvent conduire des erreurs sur le choix du Mod le de T che et par la m me une erreur sur une Image D sir e d Utilisation d une Image a priori L op rateur ayant ex cut ou croyant avoir ex cut une s quence d actions d cid es au temps T b tit au temps T une Image Pr sente identique l Image Future qu il avait pr vue au temps T ou qu il avait b tie la suite d observation d v nements entre les temps T et T2 Il ne v rifie pas l exactitude de cette Image ou ne
180. ent tre catastrophiques Il est vident que si la s curit est en cause il est plus que raisonnable d interdire de vol tel type d avion Est ce justifi par de simples consid rations juridiques Pour pousser les choses au pire que se passerait il si un accident se produisait suite une protection malencontreuse des preuves par exemple explosion de produits chimiques mis sous scell s Le juge d instruction serait il consid r comme l un des responsables de ce nouvel accident Il nous parait indispensable de concilier les objectifs des techniciens et des magistrats En aucun cas les techniciens ne d sirent entraver le cours de la justice et nous ne pensons pas que les magistrats n aient pas le souci d assurer la s curit Il est donc fondamental de d gager des proc dures de pr servation des preuves sans pour autant en emp cher la consultation par des personnes comp tentes Il ne nous parait pas impossible de r aliser des copies conformes des enregistrements sans d t rioration des originaux et avec toutes les garanties juridiques de leur non falsification Il ne nous parait pas impossible de pratiquer l analyse des pi ces en pr sence d experts et de magistrats garants de la non destruction des preuves Il est vident que la mise au point de ces proc dures doit se faire en dehors de toute situation de catastrophe En conclusion de ce chapitre nous proposons donc la mise sur pied de groupes de travail juristes techniciens pour
181. ent absurde si np est sup rieur 1 Pour n 13 679 820 le calcul exact donne P 0 632 et non 1 bien s r Pour n 20 000 000 P 0 768 Pour n 60 000 000 ou trois tirages de vingt millions de grilles P 0 9875 Vive les P pins Tome II 318 ANNEXE 3 VALUAT ION DU RISQUE D ERREUR HUMAINE LI A LA CHARGE DE TRAVAIL LE PROBL ME DE L VALUATION DES CHARGES DE TRAVAIL Nous savons que les variations de difficult d une t che ne se traduisent pas par une variation des performances de l op rateur Celui ci compense une augmentation de difficult par une augmentation de la charge de travail fournie mais aucune manifestation ext rieure ne permet de d celer le ph nom ne sauf lorsque la compensation devient impossible Si en effet la charge de travail n cessaire d passe la charge de travail que peut fournir l op rateur compte tenu de son tat physique et de son tat psychosociologique celui ci abandonne une partie de la t che et la performance s en ressent On peut observer que l op rateur r partit les param tres surveiller en trois classes les param tres qui rel vent de la conduite de la machine param tres de situation et qui int ressent la s curit long terme L heure d arriv e destination pour le m canicien du TGV la position du terrain de destination pour le commandant de bord d un avion de transport rentrent dans cette cat gorie les param tres qui rel vent de la s curit cour
182. ent bien quip s en automatismes soulageant l quipage ce ne sont toutefois pas les avions de la derni re g n ration dite des glass cockpit Ainsi la tr s grande majorit des accidents a pour origine des erreurs de repr sentation et une mauvaise valuation du risque encouru Rappelons qu une erreur de repr sentation est une erreur au cours de laquelle un op rateur et ou l ensemble de l quipage se fait une fausse image de la situation et ne parvient pas r tablir l image r elle Sa d marche de correction de la situation est coh rente avec l image qu il s est b tie mais est en g n ral mal adapt e la r alit Le r sultat le plus spectaculaire de l analyse est le fait qu il a t possible de regrouper la plupart des accidents en pratiquement sept familles Certaines de ces familles sont typiques du travail a rien mais on retrouve une famille du genre Three Mile Island le premier accident nucl aire aux Etats Unis erreur de repr sentation due une pr sentation ambigu de l information et une famille du genre Tchernobyl successions de proc dures improvis es sans valuation du risque encouru Parmi les sept familles il a t possible de s lectionner quelques sc narios pouvant tre reproduits au simulateur de vol Ainsi partir d accidents r els ont t b tis des sc narios typiques reproduisant l encha nement des v nements caract ristiques d une famille Les sc narios ont t adap
183. er les r sultats que l on pourrait obtenir en int grant les quations de Navier Ces m mes quations consid r es comme un mod le de connaissance reposent sur des consid rations macroscopiques traduisant statistiquement le comportement du fluide l chelle mol culaire Elles reposent ainsi sur des mod les de repr sentation sous jacents par exemple le mod le des forces de viscosit Ainsi les Mod les Math matiques des Simulateurs de Comportement Syst me sont ils b tis en utilisant des algorithmes choisis pour fournir au mieux la r ponse du syst me des sollicitations dans un domaine de validit qu il importe de bien identifier domaine d autant plus large que les mod les utilis s sont plus des mod les de connaissance que des mod les de repr sentation Mais il faut prendre garde ce qu un mod le ne donne jamais le comportement r el dans tous les cas Utiliser des mod les de connaissance de plus en plus fouill s augmentera le domaine de validit mais augmentera par la m me occasion la complexit et donc le temps de calcul Un compromis est n cessaire entre domaine de validit et temps de calcul et nous ne parlons pas du risque d erreur de logiciel qui cro t lui aussi avec la complexit des mod les Il est donc fondamental au moment de la conception d un Mod le Math matique de se poser la question de l amplitude n cessaire et suffisante du domaine de validit fonction des objectifs fix s aux tudes util
184. ermiques L encore nous disposons d un moyen permettant des d cisions pr coces avant de disposer de banc d essais de charges statiques et thermiques de fatigue m canique et thermique bancs qui eux aussi peuvent tre consid r s comme des simulateurs Gr ce l informatique il est enfin possible de repr senter plus ou moins fid lement l volution dans le temps des param tres caract ristiques d un syst me en r ponse des variations de commandes ou des sollicitations de l environnement Ce sont ces syst mes que l on appelle en g n ral des simulateurs bien que la simulation nous venons de le voir recouvre un domaine plus vaste Mais ce terme de simulateur m me employ avec cette signification restrictive de simulateur de fonctionnement couvre en r alit des syst mes r pondant des objectifs tr s diff rents Cela conduit des confusions f cheuses dans la conception et l utilisation de ces syst mes par confusion sur les t ches leur confier LES DIFF RENTES CLASSES DE SIMULATEUR Nous distinguerons deux grandes classes de simulateurs de fonctionnement les Simulateurs de Comportement Syst me qui ont pour t che la compr hension des ph nom nes physiques expliquant le comportement du syst me tudier l exploration des limites du domaine d utilisation s r en cas d v nements perturbateurs rares difficiles et dangereux essayer sur le syst me r el le comportement accidentel au del d
185. ermom tre En raison de la mauvaise fid lit d un haut parleur l op rateur interpr te tort un message oral d un autre op rateur vanne six ferm e alors que le message est vanne dix ferm e L op rateur actionne la mauvaise touche d un clavier trop petit Il tape 106 au lieu de 109 par confusion entre la seconde et la troisi me ligne du clavier confusion classique conduisant taper un mauvais num ro de t l phone Ces erreurs proviennent g n ralement d une mauvaise conception du tableau de bord RADOS Toutes ces erreurs ont pour cons quence une mauvaise image de la situation du syst me C L op rateur rel ve une donn e sur le mauvais instrument mod le de localisation des sources d information Par exemple il rel ve la temp rature de la turbine 3 au lieu de la temp rature de la turbine 2 Le param tre affich sur un instrument d pend de la position d un commutateur ce qui conduit par exemple le pilote lire une vitesse verticale au lieu d un angle de pente mod le d identification des instruments La couleur ambre d un param tre affich sur un cran de contr le est vue comme rouge et interpr t e comme une alarme La position de l aiguille d un instrument est interpr t e comme indiquant une valeur autoris e parce que l op rateur n utilise pas la bonne chelle de mesure sur un instrument comportant plusieurs chelles le choix de l chelle tant choisi par un commutateur situ loin de l instru
186. ers est celui de la signalisation en relation non biunivoque avec le ph nom ne signaler Par exemple on ne transmet pas la position r elle d un organe l aide d un capteur appropri mais un param tre plus ou moins en relation avec cette position Par exemple ordre d un syst me automatique de changement de position en g n ral l ordre est suivi d effet sauf s il y a panne de l actionneur alors ind celable par l op rateur Exemple industrie nucl aire Catastrophe nucl aire de Harrisburg Three Mile Island Ce n tait pas la position ferm e de la vanne de d charge du circuit primaire qui tait signal e mais l ordre de fermeture Exemple RATP Si le verrou du frein d immobilisation reste bloqu m caniquement la signalisation indique que le frein est desserr alors que le frein est serr Exemple transport a rien Sur le DC10 accident Ermenonville Chapitre 7 la signalisation au tableau de bord du verrouillage de la porte de soute tait li e non pas la mise en place du verrou mais la position de la poign e de fermeture gt FORMATION de BASE Fbs gt La formation de base n a pas suffisamment insist sur la nature l ordre de grandeur l importance des param tres n cessaires au contr le du processus gt FORMATION SPECIFIQUE Fss gt La formation sp cifique n a pas suffisamment insist sur la disposition des instruments de mesure d o une erreur de localisation de la source d information
187. erses sous phases et de d tecter a posteriori celles qui sont critiques et sur lesquelles il y a int r t porter un effort sur les plans fiabilit et conditions d emploi Rappelons que les am liorations peuvent tre apport es sur trois points Am lioration de l Op rabilit du syst me en jouant entre autres sur la pr sentation des informations la pr sentation des alarmes en particulier hi rarchisation la disposition et les modes d action des commandes la r ponse du syst me aux diverses commandes l automatisation de certaines op rations de conduite r vision des proc dures r vision des m thodes de formation et d entra nement Am lioration de la fiabilit des syst mes en jouant en autres sur la redondance des syst mes les conditions d ambiance les r gles d utilisation les r gles de maintenance Modification des conditions d emploi par exemple interdiction d effectuer certains travaux de nuit ou dans de mauvaises conditions m t orologiques interdiction d ex cution d une t che en dehors d un poste de travail d termin etc Vive les P pins Tome II 326 ANNEXE 4 VESTIBULE ET PILOTAGE Lors des volutions d un avion surtout d un chasseur le pilote se trouve soumis des acc l rations lin aires et angulaires et des vitesses angulaires qui sont bien sup rieures celles rencontr es dans la vie courante Les capteurs humains qui d tectent le mouvement n
188. es lectriques et d ordinateurs Par exemple le pilote envoie avec le manche un ordre d augmentation de pente et c est l ordinateur qui envoie les ordres aux gouvernes par l interm diaire des servocommandes pour obtenir la r ponse d sir e de fa on optimale pr cision rapidit amortissement suppression des mouvements parasites etc Il est donc n cessaire de mettre en place des logiciels r alisant ces fonctions de transformation entre la demande du pilote les r ponses de l avion et l action sur les gouvernes Il est vident que des erreurs peuvent se glisser dans la r daction des logiciels au niveau de la r daction des cahiers des charges et de la r daction des instructions elles m mes Or une erreur peut avoir des cons quences catastrophiques en provoquant une r ponse aberrante de l avion ou en bloquant le programme rendant l avion impilotable La v rification des logiciels ne peut se faire par des m thodes d essais analogues celles utilis es pour l estimation de fiabilit des mat riels Il ne sert rien de faire tourner un logiciel en le sollicitant par des valeurs d entr e r p titives Il faudrait trouver une m thode assurant que toutes les combinaisons possibles des valeurs d entr e ont t examin es et l on n est jamais s r de l exhaustivit Les solutions ce probl me sont diverses Une organisation rationnelle des logiciels faisant appel des langages haut niveau r duit les risques d erreurs ma
189. es de l op rateur perdu dans la manipulation chaotique de son cran de contr le Les simulateurs destin s comprendre le fonctionnement d un sous syst me particulier Ce type de simulateur est en g n ral nomm simulateur de fonction C est un syst me interm diaire entre le premier et le dernier type On est proche du simulateur complet mais seule une ou quelques fonctions sont simul es Le logiciel est videment plus simple que celui du simulateur complet encore que la repr sentation de l interface avec les autres syst mes ne soit pas toujours simple L interface avec l op rateur peut galement tre simplifi e puisque seules quelques fonctions sont simul es Dans certains cas l interface avec l op rateur peut tre r duite un simple cran o sont repr sent es sur plusieurs pages facilement manipulables les informations et les commandes C est ainsi que nous avons pu r aliser sur micro ordinateur un simulateur de la fonction RCV contr le volum trique et chimique d un REP 900 MW d EDF Le tableau de commande occupait 24 pages d cran le tableau d instruments 18 pages et le tableau d alarmes 5 pages Chaque page pouvait tre rapidement appel e en d signant avec le pointeur de souris la partie de pupitre concern e sur un sch ma g n ral L exp rience a montr qu apr s une ou deux s ances d un quart d heure les op rateurs oubliaient l aspect manipulation du simulateur lui m me pour se consacrer aux p
190. es erreurs de repr sentation On consultera le Chapitre 8 donnant quelques d tails des op rations ARCHIMEDE Action de Recherche sur le Comportement Humain en Incident M thode d valuation et de D tection des Erreurs consistant faire ex cuter des quipages entra n s des vols simul s reproduisant des conditions accidentog nes tir es de l exploitation d accidents r els Vive les P pins Tome II 289 CHAPITRE 14 La Morale et le Droit h rit s de la sagesse des Anciens nous imposent de punir fermement toutes les erreurs sauf une l erreur judiciaire Miss Anne Hexamin SECURITE ET RESPONSABILITE PENALE L abondante litt rature traitant des probl mes de s curit montre la grande difficult que rencontre la justice lors de la d termination des responsabilit s l occasion d accidents intervenant dans les syst mes industriels complexes On y constate combien il est injuste de ne retenir que la responsabilit de l agent qui a directement t la cause d un dommage et nous partageons totalement ce point de vue Nos tudes des accidents dans le domaine des industries de production et dans le domaine des transports nous ont en effet montr l vidence qu un accident est d une succession malheureuse d v nements et que le dernier ne peut pas tre consid r comme la cause de la catastrophe de pr f rence l un quelconque des autres v nements Il suffit qu un seul des v nements de la cha ne n a
191. es limites les Simulateurs d Interface Homme Machine qui ont pour objet l tude du comportement des op rateurs face au nouveau syst me Ces simulateurs se divisent encore en deux sous classes les simulateurs d tude destin s concevoir la meilleure interface disposition des instruments et des commandes les simulateurs d entra nement destin s la formation des futurs op rateurs ou au maintien des connaissances des op rateurs en service Les objectifs tant diff rents les caract ristiques g n rales de conception de ces machines sont diff rentes Vive les P pins Tome II 280 LES MOD LES MATH MATIQUES Les Simulateurs de Comportement Syst me doivent comporter des algorithmes serrant au plus pr s la r alit physique Ainsi un changeur doit il tre repr sent par l ensemble des quations traduisant le plus fid lement possible les changes thermiques et les coulements hydrodynamiques dans les canalisations Les algorithmes sont alors des mod les de connaissance Bien entendu chaque mod le de connaissance a ses limites de validit et utilise sans le dire des mod les dits de repr sentation qui ne font que repr senter le ph nom ne physique sans l expliquer C est ainsi que les coulements hydrodynamiques sont repr sent s par des lois empiriques traduisant l volution des pressions par des pertes de charges r parties le long des canalisations En r alit ces lois empiriques ne font qu utilis
192. es moyens de s curit mettre en place peuvent tre tr s diff rents suivant les choix car certains objectifs peuvent conduire des solutions contradictoires Par exemple devra t on privil gier le fait de ne pas perdre la course v nement redout perte de l image de marque ou le fait de parvenir destination sans pertes de vies humaines et sans blessures pour l quipage Les listes suivantes ne pr tendent pas tre exhaustives D v nements redout s Pertes de vies humaines Personnel de l entreprise accidents du travail Personnes transport es usagers Personnes hors de l entreprise riverains personnes survol es etc D gradations ou pertes de mat riels de l entreprise B timents Mobilier Mat riels roulants volants flottants etc Machines gt Outillages Mat riels informatiques Mat riels et R seaux de communication Archives Atteinte par l entreprise l environnement ext rieur et ou int rieur l entreprise gt Pollution gt Salet immondices Corrosion d gradation destruction de mat riels voir liste ci dessus Bruit Bang supersonique gt Pollution lectromagn tique D gradations ou pertes de logiciels de l entreprise Logiciels sp cifiques aux syst mes utilis s par l entreprise gt Logiciels de gestion de r seaux Bases de donn es Archives D gradation perte ou vol du Savoir Faire de l entreprise
193. es rend encore difficile la divulgation de ces donn es fondamentales pour la s curit Nous avons voqu ce probl me dans le chapitre traitant du Retour d Exp rience Ce rappel technique des exp riences ARCHIMEDE tant fait nous pouvons nous interroger sur les responsabilit s des quipages des compagnies a riennes et des concepteurs d avions de ligne Si la grande majorit des quipages participant l op ration en conditions r alistes de simulation mis dans les m mes conditions commet les m mes cha nes d erreurs conduisant la catastrophe on est en droit de se poser la question de la responsabilit des quipages qui ont t r ellement impliqu s dans les accidents Sachant que les erreurs taient toutes prises s par ment extr mement banales et dans la plupart des cas normaux corrig es instantan ment ou sans cons quences on peut galement se poser la question de la responsabilit des compagnies et des concepteurs Nous nous garderons bien de trancher n tant que techniciens et non juristes Il se peut par ailleurs qu un op rateur se r v le par trop sujet l erreur Ce cas est rare car en g n ral ce genre de d faut est d tect au moment de la formation Il peut arriver cependant qu un l ve brillant pendant la formation c est un fort en th me soit incapable de prendre ses responsabilit s une fois plong dans l univers non prot g du r el S il n est pas question notre avis
194. es telles qu elles sont Et en voiture je cours des risques du fait des autres Je suis loin d tre infaillible moi m me et n ai point besoin d tre extralucide pour m en apercevoir Incoh rente l opinion publique l est aussi suivant les secteurs de l activit humaine Un accident circonscrit l int rieur d une centrale nucl aire et qui ferait 10 morts soul verait beaucoup plus d indignation que la mort de 30 personnes dans un carambolage g n ral sur autoroute Les accidents provoqu s par le gaz dans nombre de villes sont moins dramatiquement per us qu un accident d avion quoique ceux ci commencent se banaliser dans l opinion L incoh rence peut aussi se manifester dans les chelles de temps Un crash unique faisant 500 morts en une fois et survenant une fois dans l ann e est beaucoup plus mal ressenti que 10 crash 50 victimes chacun tal s sur un an Quant aux accidents de la route ils semblent faire partie de l in vitable telle enseigne que l opinion publique s l ve quelquefois contre des mesures destin es am liorer la s curit routi re Que dire par exemple des v nements statistiquement non significatifs avanc s pour r cuser le port de la ceinture ou du report du projet de loi relatif aux grands exc s de vitesse C est pour des raisons quantitatives de ce genre que la FAA am ricaine Federal Aeronautical Agency d cida pendant les ann es 60 de revoir les r glements applicables aux gros porteurs B74
195. esse conventionnelle le nombre de Mach l altitude la longitude et la latitude de l avion param tres caract risant entre autres l tat de l avion lui m me Ce sont galement les r gimes de rotation des ensembles basse et haute pression des r acteurs les temp ratures devant turbines la pression dans la b che d un circuit hydraulique la pression cabine la temp rature dans le circuit de ventilation d une g n ratrice la tension d alimentation d un ordinateur etc A chaque position du point d tat on peut faire correspondre une probabilit de catastrophe Au milieu du domaine la probabilit de catastrophe est tr s faible Elle n est toutefois pas nulle car la liste des param tres d finissant le point d tat n est pas compl te A titre d exemple d v nement n glig dans la caract risation de l espace d tat citons la chute d un m t ore percutant la cabine On peut trouver d autres v nements tout aussi exotiques qui sont n glig s juste titre lors de l laboration de l espace d tat mais qui rendent la probabilit d accident tr s faible mais non nulle tremblement de terre endommageant la piste tsunami envahissant la piste ruption solaire d truisant l lectronique de bord etc Mais l on peut citer d autres v nements hautement improbables mais possibles comme la panne totale des trois circuits hydrauliques la panne totale des moteurs etc ces v nements tr s rares ont d j t observ s
196. et correctement quilibr en supersonique se trouve un centrage qui le rendrait instable en subsonique Aussi en fin de croisi re le combustible est il transf r de nouveau de l arri re l avant de fa on se retrouver en situation stable pour les man uvres de descente et d atterrissage Mais il est vident que la r gle L avion doit tre stable avec la position du centre de gravit la plus arri re rencontr e en vol ne peut plus tre satisfaite Ainsi l volution des techniques avait rendu caduque une r gle qui s tait r v l e judicieuse pendant les cinquante premi res ann es de l industrie a ronautique Il fallut des prodiges de rh toriques pour convaincre l administration am ricaine par ailleurs peu dispos e accepter Concorde de modifier le r glement pour tenir compte de ces nouvelles conditions d emploi La solution consista d montrer qu en cas de retour intempestif en r gime subsonique partir du vol de croisi re trois moteurs teints fonctionnant en moulinet et un moteur bloqu cas hautement improbable il restait suffisamment d nergie disponible bord pour au cours de la d c l ration Vive les P pins Tome II 202 in vitable ramener le centre de gravit par transfert de combustible en position acceptable en subsonique Que dire des r glements administratifs mal interpr t s imposant le verrouillage de locaux pour des raisons de secret militaire et interdisant de fait l acc
197. et le choix d actions qui en r sulte sans passer par les mod les de fonctionnement du syst me Transmission de l information sigle t Les transmissions d information sont multiples Elles d pendent de la nature du message transmettre du moyen de transmission du destinataire Les messages peuvent tre des messages oraux exprim s en langage naturel des messages exprim s en langage normalis message dont la forme et ou le contenu ont t pr cis s par une r gle g n rale de transmission des messages exprim s en langage cod code alphab tique ALPHA pour A ZOULOU pour Z des messages r duits la valeur d un param tre valeur num rique valeur binaire ou discr te etc Les moyens de transmission sont galement vari s transmission orale par sifflet etc transmission l aide d un clavier clavier type ordinateur pav s sp cialis s touche unique sp cialis e bouton poussoir de commande de la sir ne d alarme g n rale etc transmission par signaux optiques par gestes par pavillons etc transmission par b ton pilote etc transmission crite manuelle etc Le destinataire peut tre un autre membre de l quipe en vue directe ou non un op rateur ou un groupe d op rateurs ext rieurs l op rateur lui m me pour une m morisation de l information usage ult rieur un syst me de stockage de l information gt introduction d une valeur de
198. eur travaillant deux heures du matin fatigu gripp anxieux ou pr occup alors que la charge ou l attention est normale pour un op rateur repos en d but de mission sain et sans souci Vive les P pins Tome II 190 l op rateur commet un geste maladroit prononce un mot la place d un autre entend de travers un message lit une valeur erron e sur un indicateur parce qu il est mal clair etc Toutes ces erreurs sont regroup es sous le nom de lapsus gestuel verbal auditif etc ou de maladresses A titre d exemples l op rateur accroche une commande avec sa manche en cherchant en atteindre une autre L op rateur demande une man uvre droite en pensant gauche qui n a pas commis cette erreur en guidant un conducteur en ville sur un trajet difficile Ou bien encore l op rateur renverse sa tasse de caf sur un pupitre lectronique provoquant un court circuit fatal ou d clenche une commande en posant sa documentation sur une touche sensible etc Il faut noter que bien souvent une erreur de conception de mat riel facilite ce genre d erreur il faut pr voir un porte gobelet et une tablette pour la documentation par exemple Conscience Erron e de la Situation Il y a cinq types de Conscience Erron e de la Situation a Une Image Pr sente Externe ou Interne est erron e ce qui conduit une mauvaise d cision d action ou une mauvaise estimation de l Image Future Par exemple le pilote p
199. ev s dus aux grandes vitesses d coulement sur les gouvernes Il fallut attendre sept accidents fatals en service avant que Boeing ne parvienne ma triser la complexit de son installation L encore l administration avait impos un moyen et non un objectif de s curit Fort heureusement cette interdiction ne fut pas maintenue ce qui permit d installer des commandes hydrauliques sur des avions comme le DCB et la Caravelle o la preuve de leur fiabilit fut tablie Vive les P pins Tome II 201 Citons un exemple plus complexe Un avion n est stable que si son centre de gravit se situe en avant d un point appel foyer qui d pend principalement de la g om trie de l aile y Centre de B Sur un avion classique aile droite ce point se situe environ 25 de la corde de l aile en arri re du bord d attaque Pendant tr s longtemps le r glement stipula avec juste raison que l on devait d montrer que l avion tait stable pour la position du centre de gravit la plus arri re que l on peut rencontrer en vol Il faut savoir en effet que le centre de gravit de l avion se d place au cours du vol et d un vol l autre Sa position d pend en effet de la r partition de la charge marchande passagers et fret le long du fuselage et de la consommation du combustible dans les diff rents r servoirs Or cette r gle fut mise en d faut lors de la conception de Concorde Le foyer fixe sur les av
200. exemples de composition d quipage entra nant des risques Un officier brillant mais jeune et sans grande exp rience pratique et un vieux sous officier tr s pragmatique et peu soucieux des aspects th oriques Un commandant de bord ancien et un tout jeune copilote avec deux attitudes possibles du commandant bienveillant il se pr occupe de la formation de son jeune coll gue et en oublie de mener bien sa propre t che malveillant il ne pense qu mettre en vidence les manques de son coll gue et s en indigner quipage constitu de deux commandants de bord de m me anciennet Vive les P pins Tome II 232 GRILLE D ANALYSE DES V NEMENTS DE SENSIBILIT AUX PERTURBATIONS GASP Grille d finie pour l tude des incidents et accidents d avions de transport civils Perturbations externes Sigle rafale gradient de vent Sgrv turbulence foudroiement givrage gr lons Sgrl variation brutale de l tat de la piste trous flaque d eau etc Spst oiseaux Soix Perturbations internes Sigle panne de syst me il s agit de la perturbation provoqu e par l apparition de la panne et non de l effet de la panne tablie feu perte de pressurisation perturbation commise par un passager Ces grilles sont caract ristiques du syst me de transport civil a rien Elles ne sont valables que dans ce cas Vive les P pins Tome H 233 GRILLE D ANALYSE DES V NEMENTS
201. fonctions sont tr s diff rentes commande agissant sur un param tre vital manipuler avec pr caution situ e c t d une commande utilis e pour de banales op rations de routine par exemple un exemple anecdotique d j cit est fourni par la disposition des commandes de mise hors service de quelques escaliers roulants de la RATP stations Gare du Nord et Halles entre autres L tiquette affich e sous l interrupteur plac gauche mentionnait Arr t de l escalier droit gt Les commandes sont dispos es de fa ons diff rentes sur les diff rents postes de travail qu un m me op rateur est susceptible d utiliser ce qui lui demande un effort d adaptation chaque utilisation favorable aux erreurs de localisation des commandes les claviers d ordinateurs ont des touches de fonctions r parties de fa ons diff rentes par exemple Les commandes sont dispos es en ne tenant pas compte de la disposition des afficheurs des param tres sur lesquels elles agissent Les commandes sont dispos es sur le pupitre en ne tenant pas compte des positions des organes command s sur le terrain ou sur le tableau de retour d information d tat des organes command s par exemple l aiguille A est repr sent e sur le TCO au dessus de l aiguille B et la commande de l aiguille A est plac e au dessous de la commande de l aiguille B sur le pupitre de commandes Identification des commandes Les commandes ont toutes la m me forme l
202. formation inadapt e ou un mod le simpliste Il utilise ainsi un mod le g n ral de fonctionnement du syst me valable dans 95 des cas alors que la Vive les P pins Tome II 216 situation du syst me exigerait un mod le plus labor ou un mod le diff rent voir D faut Syst me Fsd gt Le pilote pense que sa trajectoire montante lui permettra de passer l obstacle mais il surestime les performances de son avion gt Le conducteur freine tardivement parce qu il surestime les capacit s du syst me de freinage il pense que le syst me ABS r duit les distances de freinage gt Le conducteur pense que la distance de freinage 100 km h est seulement le double de la distance de freinage 50 km h gt CONSCIENCE ERRONEE DE LA SITUATION Image d sir e erron e SF gt Apr s d collage le pilote vire gauche en suivant la proc dure habituelle mais exceptionnellement le contr le a demand un virage droite SFE gt L op rateur charg du reprofilage des roues au tour en fosse ne change pas les donn es de r f rence en passant d un mod le un autre SFD gt Alors que le contr le a impos un changement de piste tardif pour une piste plus courte et avec vent d favorable l quipage ne change pas les vitesses caract ristiques de d collage vitesse de d cision d abandon ou de poursuite du d collage qui d pend de la longueur de la piste et des force et direction du vent gt L op rateur d monte le
203. ge de travail impos e par la t che Il n ex cute pas l action appropri e au bon moment ou bien il ne prend pas la bonne d cision parce qu il n a pas le temps d analyser les donn es dont il dispose ou bien il ne pr l ve pas une donn e utile ou bien il ne transmet pas une donn e importante A titre d exemple tir de la vie quotidienne citons le conducteur arrivant un carrefour et devant lire un grand panneau lui indiquant toutes les directions possibles sauf celle qui l int resse Surcharg par la lecture et le travail d identification des villes pr c dant ou suivant sa destination il ne surveille pas la route et ne per oit que trop tard le v hicule qui a ralenti devant lui pour les m mes raisons de surcharge de travail Ne parlons pas du cas r el vu aux environs de Lille o le panneau indique Toutes directions droite et Autres directions gauche ce qui impose une charge de travail intense de d cision le syst me ne fournit aucun stimulus l op rateur parce que tout est stable Dans ces conditions l attention de l op rateur est r duite et il rate une action ne rel ve pas un changement d tat oublie de prendre une d cision ou de transmettre une information Ces deux situations charge de travail trop lev e ou manque de stimuli d pendent de l tat physiologique et psychosociologique de l op rateur La charge de travail peut tre trop forte ou l attention peut tre trop r duite pour un op rat
204. ges Parmi les conditions de faisabilit d un sc nario il y a lieu d examiner si le sc nario de base est tr s d pendant du type d avion ou si des adaptations de d tail pr s il peut tre consid r comme g n ral laboration d un script d taill d crivant le minutage pr cis des op rations effectuer par le responsable du simulateur mise en place des v nements externes tels que turbulence gradients de vent perte de visibilit ou des v nements internes tels que pannes de syst mes ou d instruments de bord par le responsable de l ATC Air Traffic Control ou Contr le de la Navigation A rienne teneur des messages variantes en fonction des r ponses pr visibles de l quipage changement des fr quences radio etc par le responsable de la simulation du trafic radio d autres avions messages codes d identification r ponses ou demandes l ATC etc par le responsable de l essai r le de coordination de tous les acteurs en particulier en cas de r actions possibles mais non attendues de l quipage Vive les P pins Tome II 179 Le script est tout d abord minut en calculant les performances de l avion puis v rifi par quelques essais au simulateur Cette op ration au simulateur permet en outre d entra ner les divers responsables et peut conduire corriger ou changer des op rations n apparaissant pas comme r alistes l exp rience Enfin essai du sc nario au simulateur
205. gnaler les travaux par des panneaux comprenant entre autres un panneau de limitation de vitesse 50 km h Pour viter de se voir imputer la responsabilit d un accident au voisinage d un chantier les entrepreneurs de travaux publics posent alors un panneau de limitation de vitesse cot de chaque tas de cailloux ce qui am ne les automobilistes les consid rer comme superflus et rend la signalisation inefficace dans les cas rares o elle serait utile L accident ferroviaire d Argenton sur Creuse a une origine r glementaire analogue La pr sence de travaux importants sur la voie a conduit la mise en place d une profusion de signalisations d alarme parfaitement r glementaires L abondance de ces signaux a provoqu une surcharge de travail temporaire sur le m canicien qui n a pas effectu le ralentissement n cessaire en temps utile et entra n un d raillement fatal Les organismes de certification des avions des tats Unis avaient interdit l emploi de syst mes hydrauliques pour actionner les gouvernes au moment de la mise en service des avions r action civils estimant que ces syst mes n taient pas suffisamment fiables Les concepteurs du Boeing 707 furent donc oblig s de mettre en place un syst me purement m canique tr s complexe de commandes de vol Or des syst mes hydrauliques qui avaient fait leurs preuves sur les avions militaires auraient permis de r soudre simplement le probl me des efforts a rodynamiques l
206. gues Vive les P pins Tome II 211 GRILLE D ANALYSE DES FACTEURS D ERREURS GAFE Op rations d ex cution de la t che au cours de laquelle survient l erreur Saisie et traitement D cision apr s traitement Transmission de Action apr s d cision de l information de l information l information FACTEUR D ERREUR s d t a t L WES mh hm CHARGE DE TRAVAIL C Cs Cd Ct Ca Charge trop lev e Saturation ABSENCE DE STIMULI A Perte de vigilance LAPSUS L Ls Ld Lt La CONSCIENCE ERRON E de la SITUATION S Image en cause Image Externe SPEs SPEd SPEt SPEa Pr sent Eaa meme see f sa fO AS EE Image Externe SFE Fut pete Interne SFI Image Externe SDE D sir Erron e Interne SDI mage Eterne SAE A Priori riina SAI Mod le Externe SRE de Risque Erron interne SRI Vive les P pins Tome II 212 UTILISATION DE LA GRILLE GAFE Pour chaque v nement d Op rabilit il faut se poser deux questions dans quelle cat gorie se classe l op ration de d roulement de la t che au cours de laquelle s est produit l v nement autrement dit dans quelle colonne de la grille se situe l v nement d crit sous quelle rubrique se classe le Facteur d Erreur d Op rabilit tudi autrement dit dans quelle ligne de la grille le pla ons nous Dans bien des cas il est impossible de choisir une case unique pour caract riser l v nement parce que
207. hapitre 7 l accident du B727 de TWA accident le 1 12 74 Berryville aux environs de l a roport de Washington Dulles la proc dure d atterrissage sur un terrain dans une zone montagneuse pr voit apr s passage la verticale d une balise sur l axe d approche l entr e dans un hippodrome d attente Le temps est orageux le vent sup rieur au vent m t o retarde quelque peu l avion A l heure pr vue de passage de la balise le Contr le de Trafic A rien demande confirmation de position ce qui am ne le pilote aux commandes regarder le radiocompas A ce m me instant la foudre dans un cumulo nimbus derri re l avion provoque le basculement de l aiguille Le pilote se croit la verticale de la balise et entame le virage de proc dure dans une r gion dangereuse erreur de repr sentation sur la position de l avion provoqu e par la conjonction de plusieurs v nements al atoires appel du Contr le de Trafic A rien retard sur les pr visions basculement intempestif du radiocompas C est ce sc nario que nous avons utilis plus haut comme exemple l avion est en vue de la piste bonne m t o lorsque le Contr le de Trafic A rien donne l autorisation d atterrissage mais il est mal plac trop haut trop pr s trop vite Le commandant de bord d cide de tenter l atterrissage alors qu aucune urgence ne le pousse le faire sinon le d sir de se retrouver au sol et tarde remettre les gaz et m me poursuit une approche
208. humain etc gt mauvaise conception de la formation sp cifique au syst me sigle compl mentaire s m connaissances des mod les de fonctionnement du syst me conduisant des erreurs de d cisions des mod les utilis s pour la captation d information des mod les utilis s pour l action sur les commandes de l organisation en cours r partition des t ches des proc dures manque d entra nement ou mauvaises m thodes d entra nement mauvaise mise jour des connaissances formation continue les D fauts de conception ou de r alisation de la Documentation les Informations erron es non transmises ou mat riellement mal transmises aux utilisateurs sigle D La documentation comprend la documentation technique relative aux mat riels les documents de navigation cartes et documents terrains les documents administratifs etc Les informations qui constituent une documentation provisoire concernent les modifications de mat riels de proc dures d organisation les incidents ou accidents identifi s etc gt D fauts mat riels sigle compl mentaire m Documentation inexistante mal pr sent e mat riellement photocopie d fectueuse taille ou volume incompatible avec une utilisation dans le poste etc Vive les P pins Tome II 220 Information non transmise erreur de transmission liste de destinataires incompl te ou erron e mal pr sent e mat riellement ou mal transmise Fax d f
209. i Etudier la localisation et le mode d action des commandes Nous ne reviendrons pas sur ces points qui ont t largement d velopp s aux chapitres 4 6 Nous rappellerons seulement que la conception des commandes ou pour tre plus pr cis des actionneurs rel ve d une branche de l ergonomie que nous appellerons l ergonomie m canique et qui traite des formes tailles positions d placement des commandes compatibles avec les dimensions et les possibilit s de d placement des membres Cette discipline est tr s utile et a connu r cemment de nombreux d veloppements par la constitution de banques de donn es ergonom triques permettant d introduire des mod les g om triques et dynamiques d op rateurs types dans un syst me g n ral de conception assist e par ordinateur Cette d marche est fondamentale au moment de la conception d une salle de contr le ou d un poste de pilotage Il est tr s important de v rifier que les op rateurs pourront voir facilement les instruments sans tre amen s prendre des postures p nibles qu ils pourront atteindre d placer librement les commandes sans tre contraints des contorsions inutiles et fatigantes Mais il faut galement retenir qu une telle d marche n est que le premier pas d une it ration le deuxi me devant faire intervenir les consid rations impos es par l ergonomie Vive les P pins Tome II 261 mentale consid rations que nous avons largement d velopp es jusqu ici Une c
210. i unique de l incident par exemple fatigue ou malaise tels que l op rateur est dans une situation o il ne peut pratiquement pas agir Un tel cas doit tre explicite 2 Est ce que le principal Facteur d Erreur est une Charge de Travail extr me Ce cas ne doit tre retenu que si la Charge de Travail est si lev e que l op rateur ne peut ex cuter sa t che tout en ayant une conscience parfaite de la situation Ce cas doit tre explicite ou vident implicite 2 3 Est ce que le principal Facteur d Erreur est une Chute de Vigilance extr me Ce cas ne doit tre retenu que si l quipage est totalement hors service aucun pilote dans le cockpit quipage en train de dormir ou perturb par un v nement ext rieur retenant totalement leur attention Ce cas doit tre explicite ou vident implicite 2 4 Est ce que le principal Facteur d Erreur est un Lapsus verbal oral ou gestuel ayant un effet quasi imm diat et vident langue ayant manifestement fourch maladresse telle qu un mouvement malheureux de manchette vient couper un moteur Ce cas doit tre explicite ou vident implicite 2 5 Si aucune des rubriques 1 4 n a t retenue nous sommes en pr sence d un cas de Conscience Erron e de la Situation Ce cas doit tre divis en trois sous rubriques 5 1 Image Externe erron e La Conscience Erron e de la Situation est relative la situation ext rieure position de l avion m t o
211. icateur de Risque est plus permanent et est pr sent dans un certain nombre d v nements Un Amplificateur de Risque par exemple la fatigue ou une pr occupation d ordre sociologique accro t le d sordre mental lorsque celui ci est d j pr sent Par exemple en utilisant notre mod le simpliste du cerveau la fatigue r duit le nombre de neurones disponibles pour faire face une charge de travail donn e ou augmente le nombre de mauvaises connexions conduisant la maladresse Des pr occupations r duisent les chances de d tecter une fausse image de la situation op rationnelle Mais nous devons noter que la fatigue est sans effet si aucun Facteur d Erreur n est pr sent Fatigu ou non un op rateur ne commettra pas d erreur s il n a rien faire Ainsi les Amplificateurs de Risque ne sont ils jamais seuls l origine d un accident sauf peut tre dans les cas peu fr quents o l op rateur est totalement hors circuit mort ou vanoui Il est n anmoins important au cours d une analyse d identifier les Amplificateurs de Risque R p tons ce que nous avons d j dit sur ce sujet L ensemble des Amplificateurs de Risque pr sents dans un incident ou un accident donne une id e de la probabilit d observer le m me type de situation dans d autres cas A titre d exemple d j cit une erreur est commise par Charge de Travail trop lev e avec un quipage tr s fatigu une m t o ex crable turbulence gr le clairs
212. idit temporelles et locales FORMATION Formation de base Les op rateurs ne disposent pas des connaissances l mentaires suffisantes et adapt es lecture criture calcul mental ou arithm tique etc Les op rateurs ne connaissent pas suffisamment la langue parl e ou ne savent pas lire la langue crite en particulier probl mes pos s par l utilisation de personnels int rimaires trangers Les op rateurs ne disposent pas des connaissances techniques suffisantes et adapt es m canique r sistance des structures lectricit lectronique informatique hydraulique a rodynamique etc Les op rateurs ne disposent pas des connaissances suffisantes et adapt es sur les techniques de base usinage soudage c blage etc Les op rateurs ne disposent pas des connaissances suffisantes et adapt es sur l organisation de l entreprise Les op rateurs ne connaissent pas ou connaissent mal les r gles g n rales de transmission de l information Les op rateurs ne connaissent pas ou connaissent mal les r gles g n rales de s curit et les r gles g n rales de discipline Les op rateurs ne connaissent pas ou connaissent mal les comportements de l op rateur humain sources d erreurs ou de d faillances ils n ont pas lu Vive les P pins Formation sp cifique Les op rateurs ne disposent pas des connaissances techniques suffisantes et adapt es sur les mod les de fonctio
213. ience n est pas le Retour de B ton que l observation a pour seul objet la d tection des pi ges possibles dans lesquels tout op rateur est susceptible de tomber quel que soit son s rieux son travail et sa comp tence que tomber dans un pi ge n est pas d shonorant que si l on est tomb dans un pi ge il y int r t le signaler car un autre op rateur ne tardera pas y tomber lui aussi avec peut tre des cons quences plus graves que les pi ges ont pour origine une conception d fectueuse du poste de travail une organisation ou des proc dures mal adapt es une formation mal assimil e une documentation d fectueuse une information erron e et sont ind pendants de l op rateur que les D fauts de conception d organisation ou de r daction des proc dures de documentation d information ne proviennent pas de l incomp tence des concepteurs et des responsables on ne peut tout pr voir et que seule l exp rience bien comprise peut permettre de corriger ces D fauts impr visibles au d part que la d tection des pi ges est une op ration d licate car la plupart des erreurs commises par les op rateurs sont en g n ral fugitives corrig es rapidement et inconsciemment et en g n ral heureusement sans cons quences que ce n est pas parce qu une erreur d tect e n a pas eu de cons quences qu il ne faut pas s en occuper que ce n est pas parce qu une erreur a d j t signal e qu il n
214. ient d examiner Les informations n cessaires pour les prises de d cisions et non les informations compl mentaires qui peuvent tre utiles par exemple au personnel charg de la maintenance et les modes d acc s ces informations Les actions faire sur le syst me pour mat rialiser les d cisions G n ralement une action doit tre effectu e action sur une commande transmission d information etc Les comptes rendus de ces actions c est dire les moyens dont dispose l quipage pour s assurer que l action projet e a bien t ex cut e Pour chacune des op rations pr c dentes Les passer au crible des m thodes d taill es d analyse d j expliqu es acc s aux informations lisibilit interpr tation informations inutiles actions l mentaires acc s commodit ambigu t etc Tester le respect des r gles g n rales Identifier les difficult s les ventuels besoins de d rogations ou les demandes de modification de ces r gles Dans ces derniers cas les justifications appropri es devront tre fournies et enregistr es souci de tra abilit et de v rification de la coh rence des diverses d marches Consid rer les erreurs plausibles des op rateurs et leurs cons quences Un certain jugement d op rationnels exp riment s est utile pour estimer la plausibilit en effet il est impraticable de consid rer toutes les erreurs physiquement possibles des op rateurs dans le doute
215. if et comment le l gislateur a l gif r Il a pu agir en toute bonne foi et dans un r el souci de s curit Mais son action r sulte d avis d experts et des connaissances une poque donn e Les phares jaunes ont t introduits en France pour des raisons de s curit Leur obligation a t supprim e r cemment subrepticement pour des raisons d harmonisation europ enne sans doute A t on justifi l erreur ventuelle associ e la premi re mesure savoir que les phares jaunes n am lioreraient pas la s curit ou l importance accord e la seconde si elle r duit effectivement la s curit Rappelons qu la suite de la catastrophe de Tchernobyl un certain nombre d tats europ ens ont d cr t qu il tait interdit de commercialiser des produits alimentaires dont la radioactivit ne serait pas strictement nulle en oubliant totalement la radioactivit naturelle Respecter la r glementation aurait conduit p rir de faim devant des monceaux de victuailles r glementairement impropres la consommation Le r glement renvoie aux experts et par cons quent l tat de l art et de la technique Mais la question est souvent plus compliqu e encore Le l gislateur est soumis de nombreuses pressions celles de ses opposants politiques celles de son lectorat celles de l opinion publique celles des professions des lobbies ces derni res tant officielles et quasi codifi es aux tats Unis et plus souterraines
216. ification n gative une m thode de d tection de ce type d erreur consiste tracer l organigramme des actions de l op rateur On constate qu un seul embranchement est pr vu la suite de la v rification et que l organigramme comporte une patte en l air La proc dure comporte des points de v rification tardifs imposant de repartir z ro en cas d chec de la v rification La proc dure ne comporte pas de points de rendez vous pour v rification de l accomplissement des t ches de chacun des op rateurs avant d entamer les phases suivantes La proc dure trop g n rale dans un souci louable de simplification et d homog n isation impose des contraintes inutiles dans un certain nombre de cas Il en r sulte un non respect de quelques unes de ces contraintes justifi dans certains cas mais anormalement g n ralis tous les cas La proc dure est crite de fa on peu claire par exemple n gation sur une interdiction tel que il n est pas interdit dans le cas du paragraphe b alin a 2 du manuel d exploitation g n ral de ne pas fermer le robinet si le remplissage du r servoir n est pas termin La proc dure ne pr voit pas les actions entreprendre en cas de panne ou d indisponibilit temporaire de moyens par exemple indisponibilit de t l phone ou fermeture temporaire d un poste La proc dure n est plus adapt e une installation qui vient d tre modifi e La consigne locale entre en c
217. il est n cessaire de taper plusieurs fois sur un clou pour l enfoncer durablement a D tecter les circonstances o une erreur unique de l op rateur peut conduire la catastrophe afin d en r duire la fr quence d apparition C est la m me raison qui a conduit faire en sorte qu une d faillance unique d un syst me ne conduise pas une catastrophe car nous ne pouvons d montrer que la panne unique a une probabilit suffisamment basse pour tre n glig e La solution pour les syst mes r side dans la redondance dissemblable Il nous faut entreprendre une d marche analogue pour l erreur unique de l op rateur On peut exiger de l op rateur qu il fasse de l auto v rification de ses actions Cette d marche en vogue dans certaines industries car elle limite le nombre d op rateurs affect s une t che pr sente un risque important car il est tr s difficile chacun de se remettre en cause comme le montrent tous les exemples d erreurs de repr sentation diaboliques Chacun sait combien il nous est difficile de relire pour correction un texte que nous venons de r diger alors que nous d tectons plus facilement les erreurs dans un texte dont nous ne sommes pas l auteur Une seconde solution r sultant de cette derni re remarque consiste redonder l op rateur en lui adjoignant un ou plusieurs autres op rateurs dont la t che consiste v rifier les actions du premier Cette solution am liore sans doute la s curit m
218. inacceptable Il y a des risques externes sp cifiques qui n apparaissent pas naturellement dans une tude de s curit Faut il consid rer le crash d un B747 sur une centrale nucl aire Et l arriv e d un m t orite De quelle taille Comment assurer qu un logiciel vital est libre d erreurs Sauf pr cautions particuli res une m me erreur peut affecter tous les l ments suppos s ind pendants et redondants Les op rateurs peuvent commettre des erreurs Les syst mes doivent le pr voir et faire en sorte que les cons quences n en soient pas catastrophiques Mais doit on supposer que le pilote d un avion de transport va d lib r ment passer sous le t l ph rique de l aiguille du Midi pour faire joli etc M me appliqu e correctement avec soin et discernement la m thode suivie n est pas sans poser un certain nombre de probl mes l opinion publique au monde juridique aux assurances etc Car d une certaine mani re elle montre clairement que l accident est non improbable que d une certaine mani re il tait pr visible Le technicien dira non sans raison que l application de la m thode ne cr e pas le risque elle conduit m me mieux le r duire Le risque existait m me auparavant au temps de la s curit intrins que Simplement on ne l identifiait pas on ne le quantifiait pas aussi clairement il n apparaissait pas dans les dossiers de justification Qu en r sulte t il en cas d accident Nous pren
219. indiquer de fa on simple et claire la proc dure suivre pour revenir dans un tat s r Ainsi un syst me automatique d tecte que l avion est en descente basse altitude basse vitesse moteurs r duits et train d atterrissage non sorti Il pr vient le pilote que cette configuration peut tre dangereuse terme si le vol se poursuit ainsi jusqu l atterrissage On ne peut envisager dans un tel cas un syst me interdisant l atterrissage en remettant par exemple automatiquement les gaz il faut bien se poser dans le cas d une panne de train ni sortant automatiquement le train il se peut qu exceptionnellement le pilote veuille se poser train rentr par exemple en cas d atterrissage de d tresse sur une piste tr s courte Les syst mes dits de test de coh rence entrent dans cette cat gorie syst mes v rifiant que la configuration du syst me est coh rente avec la phase en cours de la mission Ces syst mes constituent une application de la philosophie de l approche par tat que nous avons d crite comme rem de aux erreurs de repr sentations provoqu es chez les op rateurs par leur appr hension chronologique des v nements Vive les P pins Tome II 252 pr venir l op rateur qu il s appr te faire une man uvre dont les cons quences peuvent tre graves et lui demander de confirmer sa volont d action par une seconde man uvre qui ne doit pas tre r flexe Ce sont de telles dispositions que l on rencontre sur le
220. initive la probabilit P d observer une d faillance avant l instant t est 1 Q soit c est la loi de POISSON Temps Moyen Entre Pannes et Probabilit l mentaire de Panne Quelle est maintenant la relation entre la probabilit l mentaire de d faillance p et le temps moyen entre d faillances ou plus simplement le temps moyen d apparition d une d faillance MTBF Mean Time Between Failures Vive les P pins Tome II 315 A chaque temps t nous pouvons associer la probabilit R dt d observer la d faillance entre le temps t et le temps t dt Bien videmment cette probabilit est le produit de la probabilit Q de ne pas avoir observ la d faillance jusqu au temps t par la probabilit p dt de l observer entre t et t dt soit Ri dt Q p dt p e Pl dt Le temps moyen d apparition d une d faillance est la moyenne des temps t pond r s par la probabilit R associ e chaque temps t 3 Ainsi un syst me ayant yne probabilit l mentaire de d faillance de 10 heure a un temps moyen d apparition de d faillance de 10 heures Calcul de la relation Temps d essai Niveau de confiance Au bout de combien de temps d essai aurons nous une probabilit 0 9 d observer une d faillance Nous cherchons le temps T pour lequel la probabilit P est gale 0 9 soit 1 ePT 0 9 soit Log 0 1 p 2 3 p 2 3 Tm Autrement dit si j observe le fonctionnement du syst me pendant un temps T gal 2
221. ins que cette am lioration de la s curit s essouffle et qu il semble bien que l on soit parvenu un plancher Les derniers apports de la technologie reposant sur l utilisation d automatismes fiables et performants inclinent quelque peu ce plancher dans un sens b n fique mais nous nous heurtons au probl me s rieux de l erreur humaine La recherche de l am lioration de la s curit est permanente dans tous les domaines de l industrie de production et dans l industrie des transports Elle n a pas suivi les m mes voies que dans le transport a rien pour des raisons diverses Citons trois exemples Nous les avons d j voqu s au chapitre 1 Dans l industrie de production d nergie nucl aire l assurance de s curit reposait jusqu la fin des ann es soixante dix sur l tude de l incident technologique le plus grave que l on pouvait raisonnablement imaginer Si la rupture d une canalisation principale du circuit de g n ration de vapeur pouvait tre ma tris e sans conduire la catastrophe la s curit tait assur e L erreur humaine tait consid r e comme impossible gr ce une formation pouss e des op rateurs L accident de Three Mile Island a montr en 1979 que ces hypoth ses taient fausses Un incident d une grande banalit n a pu tre ma tris par suite d une erreur humaine provoqu e par une erreur de conception du pupitre de contr le Dans le transport ferroviaire la s curit reposait sur le respe
222. ion est suffisamment vaste pour que nous y consacrions un chapitre entier voir chapitre 10 x kk k k Les d fauts syst mes que nous venons de d crire sont r sum s dans la grille RADOS qui d rive en partie de la grille GAFH utilis e pour le retour d exp rience sur les sous marins nucl aires Vous trouverez pages suivantes un exemple tonnant de documentation erron e pouvant conduire la catastrophe Vive les P pins Tome H 196 CARTE D APPROCHE A VUE ALT 10 FT D c 1 W 95 HYERES LFTH 6121 A RODROME FNF SITUATION 1 5 KM SSE de Hy res r 94124500 standard 94124565 CLA cowrRout Lat APP 126 325 O R 244 375 TWR 336 500 ARRIVEES Se reporter 2 500 ft QFE au POINT D ENTREE puis rejoindre le POINT INITIAL Cap des M d s 2 500 ft QFE aux ordres de l APP DEPARTS Apr s d collage prendre imp rativement le cap 300 Mise de cap v rs mission sur instructions de l APP CIRCUIT D ATTERRISSAGE Circuit gauche Altitude break 1 500 ft QFE avions de combat QFU 14 interdit REACTEURS QFU 32 01 11 95 02 HYERES LE PALYVESTRE LFTH Vive les P pins Tome II 197 CARTE D APPROCHE A VUE ALT 10 FT_ D c 1 W 95 SITUATION 1 5 KM SSE de Hy res L 94124500 standard 94124565 CLA 0 R 244 375 TWR 336 500 COMSIGHES PARTICULI RES D UTILISATION VOIR TEXTE REACTEURS QFU 23 01 11 95 DS HVERES LE PALYVESTRE LF TH Pour compl ter la confusion du
223. ion peuvent r duire la fr quence d apparition de ces amplificateurs de risque C est ainsi que l arm e de l air am ricaine a interdit provisoirement de vol les pilotes dont l pouse tait sur le point d accoucher Enfin certains v nements relevant de la GASP ou de la GAME peuvent avoir pour origine un D faut syst me Par exemple une proc dure mal con ue peut conduire effectuer une man uvre d amplitude anormalement lev e subir une rafale trop importante la proc dure n a pas interdit la sortie en mer par vents force 10 subir une panne dangereuse proc dure de maintenance d fectueuse etc Une fois identifi s les D fauts Syst me chercher leurs fr quences d apparition dans les analyses des autres incidents et si n cessaire envisager des mesures correctives La fr quence d apparition d un D faut et du Facteur d Erreur dont il est la cause n est qu un guide pour d cider de l urgence et de la n cessit d laboration d un rem de La fr quence critique peut se r duire l unit si les cons quences potentielles de l incident sont suffisamment graves et surtout lorsque l on constate que la catastrophe peut tre d clench e la suite d une seule erreur humaine car la probabilit d erreur humaine est trop grande pour faire reposer la s curit sur l hypoth se que l op rateur est suffisamment form et entra n pour viter l erreur Vive les P pins Tome II 244 Ah quelle chaleur sous cette Bo
224. ions subsoniques n a pas la m me position sur les avions supersoniques selon que la vitesse est inf rieure ou sup rieure la vitesse du son lorsque l avion vole la vitesse du son limite entre les deux r gimes il vole un nombre de Mach gal 1 Ce ph nom ne est d au fait que l coulement de l air autour de l aile est tr s diff rent en r gime subsonique Mach inf rieur 1 et en r gime supersonique Mach sup rieur 1 Le foyer passe d une position situ e en r gime subsonique environ 50 de la corde centrale de l aile delta une position situ e environ 60 de cette m me corde R servoir d quilibrage Arri re Foyer supersonique lt lt Foyer subsonique R servoir d quilibrage Avant en r gime supersonique Un avion centr de fa on tre stable en subsonique centre de gravit situ en avant du point 50 se trouve alors tre trop stable en supersonique Un tel centrage en avant du foyer subsonique conduit en supersonique des positions de gouvernes en dehors du profil de l aile g n rant une tra n e a rodynamique prohibitive et une consommation de combustible interdisant la travers e de l Atlantique Il est donc n cessaire de reculer le centre de gravit de l avion en r gime de vol de croisi re Mach 2 Ceci est obtenu en d pla ant du combustible entre un r servoir situ l avant du fuselage et un r servoir situ l arri re D s lors l avion stable
225. ir de la faute du praticien De toute fa on nous voyons difficilement dans le climat actuel un chirurgien ou un m decin faire part ses confr res de sa derni re erreur pour les mettre en garde et leur faire profiter de son exp rience malheureuse mais instructive Cependant comme le montrent de nombreux articles de la revue Responsabilit revue de formation sur le risque m dical dont le num ro 1 date de mars 2001 et dont le pr sident du conseil de r daction est le Professeur Claude Sureau ancien pr sident de l Acad mie de M decine le corps m dical a pris conscience de la n cessit du Retour d Exp rience et uvre dans ce sens En conclusion nous pensons que l application rigoureuse du Code p nal en mati re d accident du travail peut conduire une am lioration de la s curit en montrant aux dirigeants que le non respect des r gles de s curit n est peut tre pas rentable Elle risque toutefois d avoir un effet pervers en poussant ces m mes dirigeants peu scrupuleux faire de la s curit juridique c est dire se contenter d appliquer la lettre des r gles de s curit sans se soucier de leur efficacit Par contre l application trop rigoureuse de la loi dans les cas complexes du type de ceux que nous avons voqu s en cherchant tout prix un coupable est n faste la s curit en ce sens qu elle conduit tous les acteurs industriels se garder de faire part de leurs erreurs la communaut de peur
226. is ne les limine pas tous Des m thodes de v rification syst matique des organigrammes de calcul des listes de variables etc ont t mises au point Il est hors de propos de les expliciter ici Certains ont pr conis la r daction des logiciels par des quipes ind pendantes Mais des erreurs communes peuvent subsister dues par exemple des erreurs de logique dans le cahier des charges ou dues des m thodes de programmation identiques utilis es par les deux quipes Nous avons d j cit le cas d un sous programme de calcul des racines carr es donnant des r sultats aberrants dans le cas des carr s parfaits utilis par deux quipes ind pendantes partageant la m me biblioth que Il n en reste pas moins que l on est actuellement incapable d estimer la probabilit de panne d un logiciel donn avec des m thodes analogues celles utilis es pour estimer la probabilit de panne d un mat riel La seule solution consiste donc faire de la redondance non pas en utilisant plusieurs ordinateurs ind pendants fonctionnant avec le m me logiciel seule la d faillance du mat riel est couverte par cette solution ce qui n est toutefois pas inutile mais en utilisant des ordinateurs dissemblables fonctionnant avec des logiciels dissemblables Par logiciels dissemblables nous n entendons pas des logiciels r dig s par des quipes diff rentes avec des langages diff rents Une telle solution couvre les erreurs de programmation
227. isant ce mod le Il se peut que simuler un changeur par un mod le de repr sentation simple soit largement suffisant si l on est s r de ne pas avoir faire face des situations simul es hors du domaine de validit du mod le On peut ainsi utiliser une simple table donnant les deux temp ratures de sortie en fonction des d bits et des temp ratures d entr e et repr senter les transitoires par des r ponses du premier ordre entre valeurs initiales et valeurs finales fournies par la table Mais il est vident que ce mod le ne permettra pas d tudier des cas d obstruction ou de rupture de canalisations de l changeur Ces m mes consid rations sont valables pour les Mod les Math matiques utilis s pour les Simulateurs d Interface Homme Machine Il faut l aussi se poser le probl me du domaine de validit n cessaire et suffisant Tr s souvent des mod les de repr sentation simples d duits de calculs faits l aide des Simulateurs de Comportement Syst me peuvent se r v ler largement suffisants Il s agit en effet d tudier le comportement de l op rateur face au tableau d instruments et de commandes Il suffit que l volution des param tres suite aux actions de l op rateur soit r aliste et non pas fid le la troisi me d cimale Sauf cas particulier le comportement de l op rateur ne sera pas chang si l quilibre attendu est obtenu en deux minutes trente au lieu des deux minutes vingt huit donn es par le calcul
228. ission gt LAPSUS Lt gt C est le cas le plus classique du lapsus verbal On pense qu il faut commander une man uvre gauche et l on prononce droite On commande descendre alors que l on pense attentivement bien commander monter C est galement le cas du lapsus gestuel que l on retrouve aussi en La on appuie sur la mauvaise touche ce qui conduit une erreur de destinataire qui n a pas fait de faux num ro au t l phone sans que la Poste soit en cause gt CONSCIENCE ERRONEE DE LA SITUATION SPt gt L op rateur se fait une fausse image de l tat du syst me de transmission Il met son message sur public adress et non sur la fr quence du contr le de circulation a rienne Il pense mettre alors que l metteur est en panne Il met sur une mauvaise fr quence etc Vive les P pins Tome II 215 COLONNE a Action gt CHARGE de TRAVAIL TROP FORTE Ca gt Au cours d une op ration de conduite l op rateur doit dans un temps r duit ex cuter trop d op rations pour accomplir la t che requise reconfiguration apr s avarie par exemple Il rate ou oublie d effectuer une action sur une commande ou encore se trompe de commande gt Au cours d une op ration de maintenance corrective effectuer en temps limit pour des raisons op rationnelles l op rateur se trompe de pi ce changer et laisse la pi ce d fectueuse en place gt LAPSUS La gt C est le cas le plus classique du lap
229. it pas lieu pour que l accident soit vit Pour bien analyser un accident afin de trouver des rem des ou des parades pour le futur c est l un des r les des techniciens charg s de la s curit il est presque toujours n cessaire de remonter loin en amont de l v nement final pour tablir en essayant d atteindre l exhaustivit la cha ne d v nements ayant conduit la catastrophe On constate alors bien souvent en particulier lors de l analyse des grandes catastrophes que chaque v nement de la cha ne ainsi reconstitu e est d une grande banalit et s est d j produit de nombreuses fois sans cons quence On constate galement que ces v nements appartiennent des domaines tr s divers et r sultent de probl mes d organisation g n rale de l entreprise des r gles d entretien et de maintenance du mat riel des m thodes de conception des mat riels et des interfaces homme machine des proc dures d emploi et de conduite etc Si nous soulignons ce fait ce n est en aucun cas pour rejeter la notion de responsabilit comme on nous le reproche souvent mais pour mettre en vidence les grandes difficult s que la justice rencontre trouver le seul et unique responsable de tous ces v nements G n ralement des erreurs ou des fautes ont t commises par des op rateurs c est exact mais galement par les concepteurs les autorit s responsables de la s curit les compagnies exploitantes etc Il est pour
230. iter les risques li s des estimations erron es de bonne foi une surveillance continue en exploitation permet de justifier qu il n y a pas d erreur grossi re sur les probabilit s estim es ou dans le cas contraire de revoir l analyse les proc dures et m me la conception La description des m thodes permettant de mettre en uvre le rouleau compresseur voqu ci dessus sort du cadre de cet ouvrage Disons simplement que leur application apporte beaucoup au concepteur comme l exploitant et que leur application des installations ou syst mes con us ant rieurement auraient t f conde On con oit bien les principaux avantages d une telle approche Elle oblige tous les concepteurs pour d finir justifier tant les mat riels que les proc dures un constant souci de s curit Elle implique tous les acteurs et leur fournit une m thode de travail unique dans un projet donn Elle fournit un guide ne pour reconna tre ce qui est acceptable et ce qui ne l est pas Ceci n vacue nullement l exp rience et le bon sens mais leur ajoute un juge de paix suppl mentaire Elle permet d estimer l opportunit ou l nopportunit de tel dispositif ou de telle modification On s apercevra par exemple qu une disposition qui paraissait b n fique au premier coup d il mais qui complique le dispositif n apporte ventuellement rien par suite d effets seconds Elle requiert g n ralement la constitution d un service ou bure
231. l te bien que sans doute non exhaustive des facteurs d Amplification de Risque d Erreurs les plus courants Chaque utilisateur pourra liminer les facteurs non adapt s son cas particulier Vive les P pins Tome II 207 LES OP RATIONS D EX CUTION DE LA T CHE L tude des op rations ex cut es par un op rateur ou une quipe d op rateurs pour accomplir une t che donn e montre que ces diverses op rations sont de quatre types Ainsi toute t che peut tre d crite par une succession d op rations des types suivants correspondant au mode de fonctionnement s quentiel dit en canal unique de l op rateur Saisie de l information Traitement de l information aboutissant une d cision Transmission de l information Action L ordre de succession des op rations n est pas syst matiquement l ordre indiqu ici la d cision pouvant par exemple tre de saisir une autre information Saisie et traitement de l information sigle s L op rateur capte une information par l un de ses sens Dans un processus industriel la capture d information se fait tr s g n ralement par les yeux lecture d un instrument observation de l environnement souvent par l ou ie capture d un message oral reconnaissance d un signal sonore voire d un bruit ou par le toucher reconnaissance de la forme de la position d une commande valuation de l effort sur une commande plus rarement par l odorat reconnaissance d une
232. l environnement les moyens de communication entre les op rateurs les textes de consignes et de proc dures Ces d fauts peuvent tre divis s en trois groupes illustr s par quelques exemples D mauvaise conception de base Structure con ue en n gligeant un processus de rupture possible cas du Comet pour lequel le dessin des hublots conduisait une concentration de contraintes acceptables en efforts statiques mais inadmissibles en contraintes altern es ph nom ne dit de fatigue mal connu l poque Automatisme dont la logique peut conduire dans certains cas une situation dangereuse cas de certains pilotes automatiques quipant les avions de l avant derni re g n ration dont un mode de base maintien de la vitesse verticale conduisait haute altitude une r duction de la vitesse a rodynamique allant sans protection jusqu au d crochage et la perte de contr le Voir l accident du DC10 d Aeromexico d crit au chapitre 7 Le principe de l automatisme interdisant la sortie des destructeurs de portance tant que les deux amortisseurs de train ne sont pas enfonc s ce qui vite la man uvre dangereuse d ouverture en vol a conduit l accident de Varsovie d j cit au chapitre 2 Si ge jectable de la premi re g n ration commandes enti rement manuelles pour le largage de la verri re la commande d jection la s paration du si ge et du pilote l ouverture du parachute l acc l ration brutal
233. l importe de supprimer toutes les informations inutiles Cette remarque est vidente mais combien de fois oubli e Il est n faste d augmenter la charge de travail par la lecture de param tres inutiles mais la tentation est grande pour le concepteur d ajouter sur le tableau de contr le tel ou tel param tre sous pr texte qu il est facilement mesurable et qu il peut toujours servir Dans certains cas ajouter des param tres redondants peut faire na tre l espoir d obtenir de l op rateur un contr le de coh rence Cet espoir est en g n ral irr aliste car l op ration de contr le de coh rence augmente norm ment la charge mentale et est tr s souvent abandonn e par l op rateur Elle n cessite en outre des raisonnements complexes et le risque de conclusion erron e est tr s lev Ainsi dans le cas de la centrale d Harrisburg Three Mile Island l op rateur disposait de 19 param tres qui lui auraient permis de conclure l ouverture de la vanne de d charge Il a interpr t de travers quelques param tres pour justifier l hypoth se de la vanne ferm e et il a compl tement ignor les autres pourquoi v rifier une hypoth se fermement tablie Par exemple la temp rature lev e la sortie de la vanne a t consid r e comme normale car l op rateur savait que la vanne fuyait quelque peu S il est inutile de pr senter des param tres redondants il n est par contre pas inutile de s en servir pour effectuer un cont
234. l incoh rence Par exemple pr senter un message sous la forme l avion est basse altitude la vitesse est faible les moteurs sont au r gime d approche avant atterrissage et je constate que le train n est pas sorti Si vous devez vous poser il serait utile de sortir le train Qu en pensez vous h Limiter le nombre d actions et faciliter l laboration des tactiques et strat gies La limitation du nombre d actions peut s obtenir comme nous l avons vu en automatisant toutes les actions tactiques simples o l op rateur n aurait qu un r le de servom canisme et en lui laissant les op rations de conduite qui en g n ral n cessitent peu d actions sur les commandes L laboration des tactiques et des strat gies passe par une compr hension de l tat du syst me et de son volution La compr hension rapide d un tat ne peut se faire en g n ral pour les syst mes un peu complexes qu partir d une repr sentation analogique la repr sentation digitale tant r serv e nous l avons d j dit une analyse pr cise n exigeant pas d action rapide Avec l introduction massive de l informatique dans les contr les de processus industriels on a vu appara tre des pr sentations d information sous forme d tats tabul s sur cran ou pire sur imprimante Ces tats permettent a posteriori de suivre de fa on tr s pr cise l volution pass e de l tat du syst me mais ils ne permettent en aucun cas de suivre son volution en
235. l n y a pas loin j entends un bruit et me dis c est bien ce que je pensais voil l alarme Le coll gue doit normalement me r pondre OUT j entends un bruit et je me dis c est bien ce que je pensais il est d accord gt CONSCIENCE ERRONEE DE LA SITUATION SPs gt L op rateur oublie de renouveler son image mentale de la situation et raisonne sur une image vieillie qui ne refl te plus la r alit certains param tres ayant chang Il n y a aucun obstacle autour du v hicule je l ai v rifi en r alit cette v rification date de quelques instants et la situation s est modifi e je peux donc effectuer ma man uvre en toute s curit SPes gt Le courant a t coup et l op rateur l a v rifi il y a plusieurs minutes Il ne pense pas le v rifier nouveau avant une nouvelle intervention alors que la tension a t r tablie entre temps par un autre op rateur SPIs gt L op rateur confond lors d une op ration d change d essieu sur une voiture SNCF le rep rage par rapport au boggie et le rep rage par rapport la voiture mauvais mod le de rep rage SPEs gt L op rateur se trompe d instrument de contr le il lit la temp rature relever sur le troisi me thermom tre et non sur le quatri me SPIs C est le cas typique d erreur de mod le de localisation de la source d information dont les origines possibles sont multiples voir les exemples RADOS entra nement sur un pupitre simul
236. la perturbation Dans certains cas il serait possible de concevoir un automatisme r duisant la r ponse transitoire mais non l liminant Il serait illusoire de compter sur l op rateur pour faire ce travail v nements de Man uvrabilit Pour suivre un programme donn d fini par l objectif de l op ration suivi d une trajectoire donn e ou pour ramener le point d tat la valeur nominale ou dans le domaine autoris la suite d un cart d des v nements des deux premiers types l op rateur doit effectuer une man uvre qui en g n ral am ne le point d tat se d placer et quelquefois se rapprocher d une limite Ce d placement constitue un v nement de Man uvrabilit Le d placement du point d tat est impos par la man uvre effectuer et les caract ristiques du syst me Il ne d pend pas de l habilet de l op rateur M me un automatisme infiniment performant ne peut l viter Ces v nements d pendent de la machine et du type de mission qui lui est confi Quelques exemples peuvent clairer cet aspect fondamental de l v nement de Man uvrabilit Pour viter un obstacle par exemple pour viter une collision avec un autre avion le pilote est amen effectuer une man uvre de mise en virage Si la man uvre d vitement impose une incidence sup rieure l incidence maximale autoris e le pilote se trouve en pr sence de deux solutions aussi mauvaises l une que l autre Ou bie
237. la volont politique etc Mais seuls des experts peuvent identifier ce qui est possible et ce qui ne l est pas manipuler les concepts pertinents pour une technologie donn e identifier la nature des risques courus et traduire le tout sous une forme intelligible non ambigu scientifiquement correcte etc Le recours aux experts est une faiblesse mais comment faire autrement Expert ne veut pas dire infaillible ni extralucide De plus les experts sont in vitablement influen ables et influenc s Ils appartiennent par nature un certain milieu technique ou scientifique ils en partagent les qualit s et les d fauts Ils sont in vitablement d form s par ce qu ils sont De plus ils sont soumis des pressions volontaires ou non coupables ou innocentes Leur milieu professionnel d abord Experts du nucl aire par exemple c est un secteur d activit qui les int resse les passionne Il n y a jamais tr s loin entre l information n cessaire en provenance du milieu professionnel et la pression d int r ts techniques sociaux financiers Qu ils soient experts officiels d tat ou d l gu s ce titre ou experts priv s ils peuvent tre l objet de pressions politiques conomiques ou financi res Sournoises elles peuvent tre les plus pernicieuses telle attitude va tre d favorable l industrie fran aise qui a investi ailleurs entra ner du ch mage entamer la balance du commerce Vive les P pins Tome II 300 ext rie
238. lativement loign Le d placement relatif des objets suffit pour restituer l impression de relief Par contre lorsqu il s agit de repr senter le champ visuel proche l absence de relief est tr s nettement ressentie et peut perturber l op rateur Des progr s restent faire dans ce domaine mais des solutions sont l tude de moins en moins co teuses sur le plan du mat riel et amortissables pour le logiciel si les pratiques de simulation se g n ralisent La repr sentation des forces d inertie pose un probl me de principe impossible r soudre Seule la reproduction de la trajectoire r elle permettrait de faire subir les forces d inertie r elles l op rateur Il semble heureusement que l homme soit plus sensible aux variations des forces d inertie qu aux forces d inertie elles m mes Vive les P pins Tome II 287 Ainsi avec des mouvements d amplitudes limit es il est possible de rendre compte de ces variations Les mouvements de la cabine du simulateur sont ceux de la machine simuler filtr s par un filtre passe haut le retour en position moyenne tant assur par des mouvements dont les acc l rations sont inf rieures au seuil de perception de l op rateur Il est par ailleurs possible de repr senter les facteurs de charge continus du moins normaux la trajectoire par un gonflement du coussin de si ge nous l avons d j vu et les variations de direction de la verticale apparente par des mouvements de la cabin
239. lectromagn tiques orages rayonnement cosmiques etc gt Obstacles li s des ph nom nes naturels ou des activit s humaines gt d formations de la chauss e nids de poule orni res gravillons etc gt chutes de pierres ou d objets sur la route la voie ferr e paves objets d rivant sur l eau gt d bris de satellites ou de lanceurs en orbite Malveillance gt Sabotage Terrorisme Guerre Manifestations gt Vol Vandalisme Virus informatiques gt Espionnage industriel gt Espionnage militaire Concurrence gt L gale gt Ill gale contrefa on dumping etc gt Activit s industrielles ext rieures l entreprise gt Pollution corrosion Salet immondices Produits toxiques Rayonnement lectromagn tique des installations industrielles Rayonnement lectromagn tique des syst mes de production et de transport d nergie lectrique Vive les P pins Tome II 308 gt D faillance d un fournisseur nergie carburant lectricit etc information t l phone r seaux informatiques etc mat riel pi ces de rechange mat riaux etc personnels int rimaires sous traitance Activit s humaines ext rieures l entreprise sans d sir de nuire Action intempestive des usagers gt Action intempestive des riverains Rayonnement lectromagn tique des ordinateurs passagers Activit s animales gt Microbes virus et vecteur
240. lignotant et sur la seconde ligne Altitude Hold 30000 ft en Magenta fixe Altitude Capture 30000 ft en Vert Clignotant Altitude Hold 30000 ft 30000 ft Altitude Hold 30000 ft en Vert fixe Altitude Hold 30000 ft en Vert Les messages en Magenta sur la seconde ligne indiquent le mode futur le clignotement indique que le changement de mode va avoir lieu Deux changements de mode sont ainsi signal s le passage au mode Capture d altitude 29500 ft 500 ft au dessous de l altitude de palier s lect e et le passage en tenue d altitude l altitude 30000 ft s lect e g Fournir des alarmes qui ne passent pas inaper ues Deux grands types d informations peuvent parvenir l op rateur s il est en mesure de les recueillir pour le pr venir d une anomalie dans la conduite du syst me Ce sont les alarmes programm es et les alarmes non programm es dont on trouera les d finitions au chapitre 5 Vive les P pins Tome II 258 ALARMES Alarmes non programm es Chocs Bruits Vibrations Fum es Odeurs Param tres de Performance Instantan s Observation du monde ext rieur Param tres de fonctionnement des syst mes Param tres de configuration Positions des commandes Alarmes programm es T ALARME GENERALE Sonore ou lumineuse Porn ie Pooma anane Doyen Fronin te rorommeemens Doyen rm ae tonctonnemen esp oyana j rar mms OO Moyens rnnsue dr conma S Y S T M E Nous avons vu que les
241. lit d erreur dans un domaine acceptable Il est donc n cessaire d adjoindre au carr un syst me automatique n en rendant pas catastrophique le franchissement intempestif b Fournir des informations r ellement utiles et non ambigu s Il s agit de fournir des informations en rapport direct avec la situation r elle du point d tat par rapport aux limites et avec l tat r el du syst me Cette r gle peut sembler vidente Elle est en r alit bien souvent transgress e Au risque de nous r p ter rappelons quelques exemples caract ristiques que nous avons d j d crits L accident de la centrale nucl aire d Harrisburg Three Mile Island en est l exemple le plus spectaculaire Le tableau de contr le de la centrale comportait un voyant indiquant non pas la position de la vanne de d charge du circuit primaire de refroidissement du c ur mais l ordre de fermeture ou d ouverture envoy par le syst me de surveillance de la pression primaire L op rateur interpr ta la signalisation de vanne comme une signalisation de position ferm e Or malgr l ordre de fermeture envoy par le syst me automatique de surveillance de pression c est cet ordre qui tait signal la vanne tait rest e coinc e ouverte Le circuit de refroidissement primaire s est donc vid ce qui a conduit la fusion partielle du c ur Une erreur analogue est l origine de l accident du DC 10 des Turkish Airlines Ermenonville voir chapitre 7 Le pil
242. lques sous phases qui ne sont ex cut es que dans des conditions particuli res comme les op rations d urgence par exemple freinage Vive les P pins Tome II 320 d urgence en cas de pr sence de bestiaux sur la voie descente rapide en cas de perte de pression cabine La probabilit de sous phase est alors la probabilit d apparition des conditions imposant l op ration d urgence valuation du risque Il reste maintenant valuer le risque d erreur humaine au cours de l ex cution de chacune des t ches risque li la charge de travail impos e par la t che mais non risque d erreurs d autres types maladresse erreur de repr sentation mauvaise estimation du risque etc Apr s ex cution par un op rateur qualifi d une phase r aliste comportant plusieurs t ches nous lui posons pour chaque t che deux questions permettant de choisir l une des six classes de risques rep r es par les lettres A F Par op rateur qualifi nous entendons un op rateur qui non seulement conna t parfaitement le syst me essay mais qui conna t le m tier c est dire les conditions r elles d emploi des syst mes ayant des missions analogues Le tableau suivant r sume la m thode de choix de la classe de risque Le risque d erreur au cours de la T che est il inf rieur au Risque Quotidien CLASSE Maximal admissible Avez vous atteint l Objectif l mentaire de la Sous Phase OUI La premi re question es
243. ls doivent transmettre des informations Les op rateurs se fixent des contraintes a priori s ajoutant ou se substituant aux contraintes r elles en particulier ils privil gient la r gularit au d triment de la s curit avec le souci de faire l heure Les pilotes de ligne tentent l atterrissage dans des conditions limites plut t que de remettre les gaz Les r gles tablies au niveau de l tablissement sont en contradiction avec les r gles locales probl me de la d centralisation des responsabilit s en mati re de s curit probl mes de moyens Les op rateurs ne sont pas en nombre suffisant pour ex cuter toutes les t ches Les moyens mat riels mis la disposition des op rateurs ne sont pas adapt s aux t ches en nombre et ou en nature moyens de mesure moyens de manutention outillage documents aidant la d cision proc dures sch mas abaques organigrammes de choix de proc dure ou organigrammes de d cision etc moyens de transmission metteur r cepteur portable t l phone portable etc etc probl mes de m connaissance des m thodes d ex cution de la t che proc dures Les op rateurs se font un faux devoir d appliquer les proc dures de m moire sans consulter les proc dures crites Les op rateurs ne disposent pas de proc dures crites faciles consulter et doivent se reposer sur leurs souvenirs de formation Les op rateurs disposent de proc dures mat
244. m thodes d utilisation des moyens de transmission en couvrant tous les cas possibles de fonctionnement normal et d incidents des syst mes de transmission Par exemple en cas de panne d interphone que dois je faire en fonction de l urgence et du type de destinataire gt ORGANISATION Quels moyens pour faire Omt gt L op rateur ne dispose pas des personnels n cessaires ou adapt s la transmission des informations personnel non qualifi en particulier gt L organisation n a pas pr vu que les moyens de transmission des messages ne sont pas disponibles l o se trouve l op rateur absence de t l phone par exemple gt ORGANISATION Comment doit on faire Opt gt Quelquefois l op rateur est oblig de m moriser un certain nombre de valeurs pendant un temps plus ou moins long cas de transmission de l op rateur vers lui m me Cette op ration de m morisation comporte des risques d erreurs ou d oubli L organisation a t elle pr vu des moyens simples de stockage provisoire de l information ardoise papier planchette tableau gras syst me d affichage m canique ou lectronique etc gt L organisation n a pas pr vu de proc dures simples d mission des messages d urgence num ros d appel banalis s des services d urgence rechercher dans l annuaire g n ral par exemple gt CONCEPTION de BASE Hb voir les exemples donn s pour la colonne s saisie des informations gt CONCEPTION des INTERFACES H
245. me mortels pour les travailleurs On ne peut courir ce risque que si l abaissement de la pollution est r ellement n cessaire Citons enfin la confusion f cheuse qui r gne dans les esprits des repr sentants de la puissance publique des concepteurs et des utilisateurs en ce qui concerne les diff rences de statut entre les r gles de s curit impos es par la loi les normes et l homologation des mat riels Dans le domaine a ronautique un repr sentant de l tat a le devoir de v rifier l application correcte des r gles de s curit impos es par le r glement de certification des avions Ces r gles relevant du domaine de la loi il n est pas question pour lui d accorder des d rogations S il constate que la loi est d fectueuse il est de son devoir de le signaler et de demander une modification mais cette derni re d marche rel ve du l gislateur et non du technicien seul Dans certains cas le r glement impose l application de normes nationales ou internationales L application de ses normes devient alors obligatoire au m me titre que les autres r gles mais seules ces normes sont obligatoires et le technicien responsable de la certification ne peut de son chef imposer l application d autres normes Quelquefois une d marche technique am ne ex cuter des essais pr liminaires sur des mat riels permettant d en v rifier quelques performances Si ces essais sont r ussis le mat riel est dit homologu Si le concepte
246. ment mod les de transposition de l information D L op rateur n actionne pas le s lecteur ad quat mettant ainsi en service un automatisme non d sir mod le de localisation des commandes L op rateur met un s lecteur en position haute pensant mettre ainsi en service l automatisme qu il commande mais il s agit d un s lecteur positions multiples et l automatisme est ainsi mis en veille mod le de mode d action des commandes G n ralement les erreurs du type C ou D sont dues une utilisation de mauvais mod les de poste de travail cons quence d un entra nement insuffisant ou d un entra nement fait sur un simulateur diff rant du poste de travail r el E Le pilote a programm sur le FMS une descente depuis 20000 pieds avec une phase de r duction de vitesse de 300 250 n uds en passant 10000 pieds et un atterrissage automatique sur la piste 05 Un waypoint est un point arbitraire de navigation sans r alit physique d fini par le contr le a rien et d termin par ses coordonn es g ographiques longitude et latitude ou par sa position en distance et rel vement par rapport un point g ographique connu balise ou a roport par exemple Vive les P pins Tome II 238 Gauche Mais une modification de la piste d atterrissage de 05 Gauche 05 Droite demand e par le contr le d a roport lorsque l avion est en descente 15000 pieds est rapidement reprogramm e par le pilote Cette reprogrammation a
247. milite en faveur de la pr sentation d informations li es au monde ext rieur collimat es l infini sur des viseurs t te haute Pour r sumer les conditions qui favorisent l apparition de ph nom nes de d sorientation nous citerons les conditions de vol visibilit r duite turbulence vol de nuit au d collage en particulier vol en patrouille ravitaillement en vol par mauvaise visibilit passage du vol vue au vol aux instruments le comportement du pilote mouvements de la t te en volution lecture de carte changement de fr quence radio r glage altim trique manipulation d interrupteurs de commande du syst me d arme de boutons de r glage du radar etc tentative de vol vue par mauvaise visibilit surtout par passages intermittents dans les nuages les man uvres virage prolong avec retour rapide au vol rectiligne mont e spirale et mise en palier rectiligne mise en virage lente acc l ration et d c l ration brutales passage au vol aux instruments au cours de man uvres acrobatiques variations importantes et rapides d altitude le non quilibrage des pressions de part et d autre de l oreille moyenne peut conduire des troubles de l quilibre l inexp rience et le faible entra nement au vol aux instruments l exp rience conduit les pilotes se m fier des informations fournies par ses propres capteurs de gravit et ne se fier qu aux inf
248. modent tr s bien La preuve en est que nous n avons pas encore eu d incidents le mettant en cause et voil dix ans que nous l utilisons Or rappelons que pour d montrer par exp rience directe la fiabilit d un poste sur le plan de l erreur humaine entre autres en tenant compte des objectifs de s curit que l on s impose raisonnablement moins d un accident tous les dix millions d heures il faut fonctionner plus de 2665 ans sans accident c est une r gle que les statisticiens d montrent ais ment et qui est justifi e dans l Annexe 2 On voit tout de suite le poids ridicule des dix ans d exp rience sans accident Par ailleurs il faut savoir galement que par l entra nement on peut parvenir faire faire n importe quelle t che un op rateur Il suffit d aller au cirque pour en prendre conscience Mais il faut ne pas oublier que plus la t che est difficile plus le risque est grand de commettre une erreur La sagesse populaire l exprime sous la forme imag e force de jouer au on finit un jour par gagner Quelque fois la r ponse est Modifier ce dispositif ne ferait qu am liorer le confort des op rateurs Nous ne pouvons faire des d penses de confort Or le confort est une condition importante de s curit et non pas un luxe inutile Toute diminution de la p nibilit d une t che augmente les capacit s de l op rateur faire face aux surcharges de travail et aux v nements inattendus De plus le terme d
249. moyens de d monstration on peut ajouter une ou des dispositions technologiques ayant fait leurs preuves en en restreignant l utilisation la condition que les modalit s d emploi soient inchang es Cette m thode dite de r glementation par objectif a le gros avantage de laisser la porte ouverte toutes les innovations C est au concepteur de montrer que sa solution conduit au m me niveau de s curit ce qui reporte la responsabilit du choix des solutions sur le concepteur et non sur les services officiels qui n en ont pas les moyens C est l une des raisons pour lesquelles elle est souvent rejet e par les concepteurs qui trouvent plus confortable de ne pas assumer cette responsabilit et de la laisser un service o elle se dissout dans l anonymat A titre d exemple citons le probl me de s curit li la r sistance des pare brise d avion face aux impacts d oiseaux La m thode par moyens consiste imposer un mat riau et des m thodes de dimensionnement et de fabrication ayant fait leurs preuves sur des avions connus La m thode par objectif impose seulement une m thode de d monstration de r sistance l impact dans des conditions normalis es vitesse d impact masse et taille des volatiles ces conditions tant reconnues comme repr sentatives du risque maximal encouru raisonnablement probable Donnons quelques exemples suppl mentaires La r glementation impose aux responsables de chantiers sur la voie publique de si
250. mt gt Le syst me de transmission de l information est d grad par exemple par panne ou insuffisance m canique lectrique ou lectronique par brouillage ou bruitage ambiance sonore lev e ou par mauvaise visibilit clairage non nominal brouillard gt Les claviers de commande des moyens de transmission sont inadapt s la manipulation touches trop petites pas assez espac es le pupitre est trop loign de l op rateur etc gt CONCEPTION des INTERFACES Hct gt Le syst me de transmission ne permet pas d identifier facilement le canal de transmission affichage de fr quence pr tant confusion ou d identifier clairement le destinataire des messages gt Les claviers de commande de transmission facilitent les confusions panneau carr s de cent touches de formes et de couleurs identiques choix du destinataire interphone mission radio fait par un inverseur ind pendant du bouton poussoir d mission etc gt FORMATION de BASE Fbt gt La formation de base n a pas suffisamment insist sur les r gles et les proc dures g n rales de transmission de l information n cessit de s identifier clairement en tant qu metteur n cessit de pr ciser le destinataire n cessit d utilisation de format pr cis de message code alphab tique par exemple etc gt La formation de base n a pas suffisamment insist sur l organisation de l entreprise et les r gles de s curit justifiant les besoins et les
251. n Sans je casque je h Eey 1 as Entendu je m arr te cloche fromage Je fonds ianngophone ettout cet E H attirail a Va d ja beaucoup mieux d apr s HERG La mauvaise climatisation de la cabine est l origine de l incident mais n en est pas la cause Ce n est qu un facteur amplificateur de risque Vive les P pins Tome IT 245 CHAPITRE 12 C est en forgeant que l on devient forgeron Ce n est pas parce que l on est un bon op rateur que l on ne commet pas d erreur ce n est pas parce que l on a commis une erreur que l on n est plus un bon op rateur D apr s Ellie Wiesel Les consid rations d velopp es jusqu ici avaient pour but de d gager les principes d analyse des incidents et accidents rencontr s en service et elles nous ont permis de mettre en vidence un certain nombre de d fauts syst me caract ristiques Elles vont maintenant nous amener dresser une liste non exhaustive de r gles pour aider la conception des syst mes et proposer une m thode d analyse critique d un syst me existant avant son utilisation op rationnelle Les r gles pour la conception d un poste ne sont pas des r gles imp ratives mais plut t des conseils Il est toutefois recommand de se poser pour chacune d elles la question La r gle a t elle t respect e et dans le cas o elle n a pas t respect e de noter et de justifier les raisons qui l ont fait abandonner afin d am liorer le g
252. n a pas de prix La r ponse est bien connue la s curit n a pas de prix mais elle a un co t Le co t d une op ration d am lioration de la s curit se mesure en Euros mais en r alit ce sont des moyens en hommes et en mat riels qui sont utilis s et les ressources ne sont pas illimit es On ne peut Vive les P pins Tome II 203 consacrer l effort des soixante millions de fran ais la seule am lioration de s curit Il faut quand m me en garder une bonne partie pour la production le transport et la distribution Ainsi l am lioration de la s curit impose t elle un choix d objectifs judicieux qui ne repose pas sur des sentiments et des raisonnements mal tay s mais sur un vrai bilan co t efficacit afin de faire porter l effort dans les domaines o la s curit est encore insuffisante Il faut en outre se garder des risques imaginaires et viter de prendre des mesures pour les couvrir Par ailleurs augmenter la s curit dans un domaine peut se traduire par une diminution de s curit dans un autre domaine C est ici que nous rencontrons l aspect n faste d une mesure prise trop rapidement Reprenons notre exemple absurde de brassi re Le gonflage intempestif de la brassi re peut faire perdre le contr le de la voiture et provoquer un accident mortel La g ne caus e par le port de la brassi re peut augmenter les embouteillages et bloquer le passage d une ambulance etc Une position raisonnable est la suivant
253. n est affich en bonne et due place mais l op rateur ignorant la derni re action sur le poussoir de sa part ou plus grave de la part d un autre op rateur oublie de consulter cette information sur l indicateur auxiliaire et interpr te tort l information transmise par l indicateur principal erreur du mod le de localisation ou erreur de mod le de transposition SPIs gt L op rateur rel ve une valeur erron e d un param tre parce qu il se trompe sur la valeur du z ro de l chelle c est le seul instrument du panneau dont la graduation d bute 20 et non z ro erreur de mod le de transposition SPIs gt Au cours d une op ration de maintenance l op rateur rel ve une valeur erron e l aide de son multim tre car il a oubli que l chelle des ohms est croissante vers la gauche erreur de mod le de transposition SPIs gt Au cours d une op ration de maintenance l op rateur rel ve la tension en un mauvais point du circuit erreur de mod le de localisation de la source d information SPIs gt LAPSUS Ld gt L op rateur a bien analys la situation mais il prend la d cision contraire ou toute autre d cision par confusion mentale L op rateur a identifi que le bogie avant tait d fectueux et il d monte le bogie arri re tout en pensant qu il fait attention d monter le bon Il est souvent difficile de distinguer ce type de lapsus du lapsus d Action La ou du lapsus de saisie de l informa
254. n il affiche une incidence sup rieure l incidence maximale et l avion d croche ou bien il respecte la limitation et il ne peut viter la collision Ainsi suite une erreur d Op rabilit le pilote n a pas d tect temps l autre avion parce que la visibilit tait mauvaise par exemple la Marge de Man uvrabilit rayon de virage minimal tait insuffisante pour faire face la demande Un exemple analogue est celui du conducteur amen effectuer vitesse lev e un virage serr impos par la route Ou bien il affiche le braquage des roues n cessaire pour fournir la force lat rale assurant le virage et il d passe la limite d adh rence des pneumatiques ou bien il respecte cette limite et la voiture sort de la route parce que le rayon de virage est insuffisant De m me face un obstacle le conducteur freine suffisamment mais il d passe la limite d adh rence des pneumatiques et la force de freinage s effondre ou bien il respecte cette limite mais le freinage est insuffisant Vive les P pins Tome II 188 On notera qu un syst me automatique interdisant de d passer l incidence maximale ou la limite d adh rence ne permettrait pas d viter l accident C est la marge de Man uvrabilit disponible qui est insuffisante et aucun syst me ne peut l augmenter Nous distinguons ainsi deux types d v nements de Man uvrabilit les v nements de Man uvrabilit de corrections d carts L op rateur doit effec
255. nd insensible aux acc l rations lin aires Nous supposerons que le signal envoy au cerveau est fonction de la d formation de la masse g latineuse donc des forces hydrodynamiques sur cette masse En cons quence le signal est fonction de la vitesse d coulement du liquide lymphatique par rapport la paroi Q Capteur Soit V la vitesse lin aire de la paroi suite une rotation Q et W la vitesse lin aire d une particule de masse dm du liquide lymphatique V et W sont des vitesses absolues dans un rep re li la terre La force s exer ant sur la particule due la viscosit du liquide est proportionnelle la vitesse de la particule par rapport la paroi soit V W Il en r sulte une acc l ration dW dt donn e par dW dt k V W Le capteur d tecte la vitesse U V W du liquide par rapport la paroi l quation r gissant U et par suite le signal envoy au cerveau que nous assimilons U s crit alors dU dt k U dV dt V tant proportionnel la vitesse de rotation Q V rotation Q est Q la relation entre le signal U et la vitesse de dU dt k U dQ dt Q Cette quation une fois int gr e donne la relation signal U vitesse de rotation Q pour une variation lin aire Q a b t t U Up e5 tw u d eE tto o U est la valeur initiale du signal l instant t Signal etu b k La figure ci contre donne l allure du signal transmis suite deux cr neaux
256. ndre ce sont les origines de l augmentation de charge de travail Il s agit donc d observer les v nements qui ont conduit ces erreurs et identifier les D fauts de conception d organisation de documentation de formation de r glementation qui en ont facilit l apparition C est en effet sur ces v nements que nous pourrons agir en en r duisant la fr quence d apparition avec les moyens d crits plus haut Enfin il est imp ratif au cours d une observation de noter l tat physique fatigue maladie et l tat psychosociologique soucis personnels familiaux professionnels des op rateurs ainsi que l environnement de travail temp ratures extr mes pr sence de personnalit s dans le poste agitation sociale etc Ceci permet de relativiser le degr de gravit des anomalies observ es La grille GARE Grille des Facteurs Amplificateurs de Risque d Erreur donn e au chapitre 11 peut tre utile pour ne pas oublier de noter l un de ces facteurs Vive les P pins Tome II 270 LISTE DES DEFAUTS SYSTEME TYPIQUES Cette liste ne constitue qu un catalogue pouvant servir de pense b te pour d tecter les erreurs potentielles lors de l tude pr alable d un poste de travail ou pour identifier les causes des erreurs commises lors d une observation Elle s inspire des d fauts donn s en exemple au Chapitre 11 Si un Facteur d Erreur potentiel ou observ est d tect il est indispensable d en pr ciser la nature et son contex
257. ndustriels o la minimisation des risques fait partie des r gles du jeu Dans des domaines moins ambitieux techniquement la pr vention du risque se limite souvent un respect des r glements issues de secours de la boite de nuit non inflammabilit des mat riaux etc On suppose alors que la puissance publique ou ses agents ont fait leur m tier et que le respect du r glement assure la s curit quitte tout remettre en cause si malheureusement un accident se produit Vive les P pins Tome II 296 Dans l industrie jusqu aux environs des ann es 60 l id e tait confus ment r pandue que le risque nul existait Cette id e est encore d ailleurs tr s pr sente dans l opinion la publicit et surtout les m dias Nous avons fait tout le n cessaire vous ne risquez rien Un tel accident ne se produira jamais plus Ou plus chauvin Un tel v nement ne peut pas se produire en France Bien s r des accidents se produisaient quand m me ils taient alors n cessairement le r sultat de n gligences de l g ret voire de m chancet ou in fine d faut de la fatalit Le destin bref Des rat s du syst me mais il fallait poursuivre l objectif du risque nul Des exemples Des marges de calcul importantes assurent que le pont r sistera des charrois bien plus lourds que la charge maximale autoris e ce qui permit pendant la guerre des chars de 10t de franchir des ponts limit s 1 5t ou que le t l
258. ne probabilit suffisamment basse pour tre n glig e La solution pour les syst mes r side dans la redondance dissemblable Il nous faut entreprendre une d marche analogue pour l erreur unique de l op rateur Les moyens pour satisfaire cette exigence sont abondamment d crits dans le chapitre 12 N y revenons pas Ces deux d marches r duction des probabilit s d apparition de circonstances favorisant l erreur traitement des erreurs humaines uniques causes de catastrophes sont la base de toute action d am lioration de la s curit des syst mes pilot s Verrons nous ou plut t nos enfants ou petits enfants verront ils un jour des syst mes enti rement automatiques sans aucune intervention humaine Nous l avons dit en d but de cette conclusion nous n y croyons gu re bien que chacun sache qu il est tr s difficile de faire des pr visions N oublions pas que pr voir c est remplacer l incertitude par l erreur comme l a rappel un sp cialiste de la science dite Prospective Pour terminer cet ouvrage sur un ton aussi l ger que celui utilis en l entamant ce qui n en interdit pas le s rieux voquons les ouvrages de Science Fiction Ceux ci nous pr sentent deux types de robots d un c t les machines normes omniscientes et omnipotentes capables de r soudre tous les probl mes de tout pr voir mais asservissant l humanit et de l autre les andro des b tis l image de l humain et risquant eux aussi d asservir
259. nes ne peuvent tre actionn es directement par le pilote agissant sur le manche ou le palonnier Les efforts a rodynamiques sur les gouvernes aux vitesses de croisi res sont en effet trop importants pour pouvoir tre quilibr s par une liaison m canique entre commandes et gouvernes Il est n cessaire d assister le pilote en pla ant entre la commande et la gouverne un syst me amplificateur connu sous le nom de servocommande Les servocommandes sont actuellement constitu es par des v rins hydrauliques plac s au voisinage des gouvernes La commande des v rins est soit une commande m canique tringles et c bles liant le manche et le palonnier au tiroir de commande du v rin soit une commande lectrique la position du manche est transmise par c ble lectrique un moteur attaquant le tiroir du v rin le plus souvent par l interm diaire d un ordinateur Il est vident que la fiabilit du syst me de transmission des ordres du pilote aux gouvernes est fondamentale pour la s curit du vol Aussi les constructeurs ont ils le souci permanent d assurer une fiabilit optimale ces syst mes Qu entend on par fiabilit optimale Le premier r flexe consiste proposer une absence totale de panne H las tous les techniciens le confirmeront la s curit absolue n existe pas nous avons abondamment dissert sur ce sujet On peut am liorer la fiabilit d un syst me en lui adjoignant des syst mes redondants mais combien A
260. ngueurs variables ce qui ne permet pas de v rifier l int grit de l tiquette L tiquetage d origine a t remplac par un tiquetage sauvage bricol compr hensible seulement pour les vieux op rateurs mais perturbant pour les nouveaux Les tiquettes sont crites avec des caract res trop petits et difficilement lisibles Les tiquettes ont disparu ou sont illisibles parce que salies us es partiellement masqu es par de la poussi re de la graisse des coul es de peinture etc Le syst me de transmission de l information est d grad par exemple par panne ou insuffisance m canique lectrique ou lectronique par brouillage ou bruitage ambiance sonore lev e ou par mauvaise visibilit clairage non nominal brouillard A titre d exemple la manipulation d licate d un tage de fus e exige des transmissions par metteurs portatifs entre les divers op rateurs Un haut parleur dans l atelier diffuse en permanence des Vive les P pins Tome II 273 messages de routine du type on demande monsieur Dunabla de rappeler le 3615 Les op rateurs consult s d clarent qu ils se forcent ne pas couter ces messages qui les perturbent et de toute fa on ne les concernent pas Localisation des sources d information Les afficheurs sont dispos s suivant une logique ne correspondant pas aux besoins des op rateurs leur disposition ne tient pas compte de la repr sentation mentale des op rateurs
261. nnement du syst me dont ils ont la charge Les mod les de fonctionnement propos s sont trop simplifi s pour couvrir tous les cas de fonctionnement possibles Les mod les de fonctionnement retenus par les op rateurs en formation sont trop simplifi s pour couvrir tous les cas de fonctionnement possibles La formation n a pas suffisamment insist sur les particularit s des syst mes de pr sentation d information et des syst mes de commandes ce qui induit des erreurs sur les trois mod les utilis s pour la saisie des informations et les quatre mod les utilis s pour les actions sur les commandes Les objectifs des proc dures n ont pas t clairement expos s en particulier les v nements redout s couverts par les proc dures n ont pas t suffisamment d taill s en pr cisant les risques encourus en cas de non application ou d application partielle des proc dures Les documents fournis au cours de la formation sont insuffisamment renseign s partiellement erron s ou inexistants voir tous les probl mes g n raux de documentation La formation est p rim e en ce sens qu elle porte sur des syst mes ou des proc dures qui ne sont plus en service La formation continue permettant d approfondir ou de mettre jour les connaissances est inexistante ou insuffisante Vive les P pins Tome II 277 Les op rateurs ne connaissent pas ou connaissent mal les r gles de s curit sp cifiques au syst me
262. nomie mais galement ne permet pas de continuer la mission La solution consiste donc s parer ces fonctions Un premier groupe de calculateurs est dot d un logiciel sophistiqu donc sujet erreurs pour assurer l optimisation Leur redondance n est justifi e que pour couvrir les d faillances du mat riel Un deuxi me groupe de calculateurs de conception diff rente du premier groupe est dot d un logiciel beaucoup plus simple destin seulement ramener le syst me dans un tat s r en cas de d faillance du logiciel du premier groupe Ce logiciel plus simple et par l m me probablement moins co teux tablir est moins sujet erreurs et son cahier des charges tant diff rent du cahier des charges du premier groupe il y a moins de chances pour qu une erreur soit commune aux deux logiciels Cela est encore plus vrai si le deuxi me groupe est constitu de calculateurs analogiques et le premier de calculateurs digitaux Bien entendu dans le cas d une redondance du seul mat riel il se peut que la fiabilit r elle du logiciel soit suffisante La d monstration directe en est impossible mais le fait d utiliser des langages de programmation volu s des m thodes prouv es d criture de programme des quipes bien pr par es peut entra ner l intime conviction du responsable de la conception L exp rience acquise dans le domaine de l informatique en volution exponentielle est elle du m me ordre de grandeur que c
263. nous vident que toute faute m rite sanction dans la mesure o la faute est r ellement tablie Ainsi le responsable d un syst me de transport de passagers ou de fret qui par des dispositions d organisation interne oblige ses op rateurs conducteurs ou pilotes ex cuter des op rations au del des dur es l gales du travail le responsable d une unit de production qui n glige volontairement dans un souci ill gitime de productivit les r gles l mentaires de s curit doivent tre sanctionn s au m me titre que le conducteur qui roule 200 km h ou qui double en haut de c te La faute est dans ces divers cas vidente ind pendamment des cons quences et nous estimons que la sanction doit tre aussi lourde que ces manquements patents aux r gles l mentaires de s curit aient t suivis ou non de cons quences graves mais ceci est un autre probl me Notre propos n a pas pour objet de pr ner une politique de laxisme tout prix dans la recherche des responsabilit s en mati re d accidents industriels en transformant toute faute en erreur loin de l Nous voulons seulement montrer que l application brutale de l article 212 6 du Code p nal peut conduire transformer toute erreur en faute et dans quelques cas transformer une d marche normale tenant compte des imp ratifs de s curit en une faute pour peu que s en m lent des circonstances pr visibles peut tre mais hautement improbables C est ainsi
264. ns pour couvrir notre objectif d tude du comportement humain comporte donc les op rations suivantes Recueil des incidents ou accidents en service en identifiant les conditions dans lesquelles ils se sont d roul s Par conditions nous entendons les conditions internes par exemple composition anciennet tat physiologique fatigue maladie tat psychosociologique soucis personnels familiaux professionnels ou v nements heureux naissance gain la loterie etc des membres de l quipage les conditions externes vol de jour de nuit sans visibilit en turbulence pr sence d instructeurs de personnalit s mouvements sociaux etc Analyse pour tout incident ou accident de la succession des v nements ayant conduit une situation potentiellement dangereuse ou catastrophique en pr cisant pour chacun de ces v nements les conditions ayant favoris l erreur Une fois un v nement identifi recherche du ou des d fauts du syst me ayant cr les conditions favorisant l erreur Lorsqu un d faut syst me identifi participe un nombre significatif d incidents recherche du ou des rem des possibles pour l liminer ou en r duire les cons quences La connaissance des conditions dans lesquelles s est d roul un incident est importante car elle permet d estimer la probabilit de se retrouver dans des conditions analogues et donc de donner un poids aux actions envisageables pour y tro
265. ns que les extrapolations sont tributaires de nombreuses hypoth ses sur la validit des mod les que les exp riences en laboratoire ne sont pas toujours susceptibles de confirmer Restent enfin les essais du ou des prototypes Ils fournissent sans conteste une bonne estimation des performances et des qualit s de vol de l avion Ils peuvent ainsi valider les mod les de calcul de m canique du vol dans le domaine r ellement explor L extrapolation aux domaines interdits en vol perd de son impr cision et en justifie l exploration au simulateur Par des mesures judicieuses de pressions et de temp ratures en quelques points de la structure et quelques mesures par sonde laser du champ des vitesses au voisinage des parois un recoupement des pr visions des caract ristiques a rodynamiques permet de valider les pr visions en la mati re et donc de confirmer les estimations de charge utilis es dans les essais statiques et les essais de fatigue de structure de valider les mod les de champs a rodynamiques dans les entr es d air etc Des mesures d amortissement en vol des modes de vibration de la structure permettent galement de recouper les estimations des caract ristiques de flottement Vive les P pins Tome II 249 Un dernier type d tude reste effectuer et c est l un des points les plus d licats actuels Il s agit de v rifier la non nocivit des agressions externes venant de l atmosph re et ou de la pollution lectromagn tique
266. ns subrepticement ajout d autres types d agression les agressions internes pannes les agressions atmosph riques rafales cisaillements de vent givre etc les agressions par les obstacles relief oiseaux autres avions et les agressions par l action intempestive des passagers Une tude de s curit compl te du syst me de transport a rien ne devrait pas se contenter de ces seuls types d v nements redout s et d agressions Ce sont les plus importants mais bien d autres tudes relevant du retour d exp rience pourraient tre men es dans le m me esprit Nous donnons en Annexe 1 une liste non exhaustive d v nements redout s et d agressions qu il pourrait tre int ressant d tudier pour compl ter une tude de s curit du transport a rien ou pour toute tude de s curit industrielle Il est noter que bien des incompr hensions en mati re de retour d exp rience viennent du fait que les objectifs de chacun types d v nements redout s et types d agressions ne sont pas toujours clairement pr cis s Il est vident que l tude des d t riorations ou du vol de mat riel de cabine passager par vandalisme l tude des pertes d exploitation par d faut de fourniture de carburant dans certaines contr es loign es ou les effets du terrorisme peuvent relever des m mes techniques de retour d exp rience mais exigent une organisation et des experts diff rents pour mener bien l analyse Le chapitre 11 est consacr
267. nse etc parce qu ils rendent impossible la conduite de la machine Leur connaissance permet d autre part d estimer la probabilit de retrouver des conditions analogues en service et donc permet de juger l utilit de trouver un rem de pour limiter la probabilit d apparition d incidents du m me type Si ces conditions se r v lent exceptionnelles on peut estimer qu il n est pas n cessaire de pousser l analyse de l incident jusqu la recherche de rem des La GARE Grille des facteurs Amplificateurs du Risque d Erreur dresse la liste des principales conditions g n rales dans lesquelles se sont d roul s les v nements voir chapitre 11 Une fois reconnus les v nements d op rabilit caract ris s par la GAFE il nous reste identifier les causes premi res des cinq Facteurs d Erreurs que nous venons de citer et les causes de la plupart des Facteurs d amplificateurs de gravit Ces causes premi res se r partissent en cinq groupes de d fauts de conception du syst me Le RADOS R pertoire d Analyse des D fauts Op rationnels Syst me est destin identifier le D faut du Syst me ayant contribu l apparition de chaque v nement d Op rabilit les D fauts d Organisation Ces d fauts se divisent eux m mes en quatre cat gories Vive les P pins Tome II 192 les op rateurs ne savent pas ce qui est de leur responsabilit ce qu ils doivent faire eux m mes ce qu ils ne doivent pas faire c
268. nt t caract ris es par des lettres de A F et non par des chiffres de 1 6 pour viter la tentation d interpr ter des jugements de plusieurs op rateurs en faisant une op ration de pond ration sur les num ros de classe la classe D 66 n a pas de sens alors qu il peut tre tentant de parler de la classe 5 66 On obtient alors r sultat suivant E Probabilit PROBABILIT Conditionnelle DE CLASSE d Accident par heure Probabilit d Accident CLASSE 810 10 Il n est pas question de donner une valeur absolue ces r sultats et d en d duire par exemple que la probabilit d accident au cours de la sous phase tudi e est de 118 2 10711 ni m me de 1 2 10 2 Vive les P pins Tome II 325 Cette m thode n a pour objet que de comparer les poids relatifs des diverses t ches afin de ne pas n gliger les cas qui pourraient appara tre a priori comme n gligeables vis vis de la s curit compte tenu de leur faible probabilit d occurrence Pt On voit ainsi que les t ches class es E et F dans notre exemple choisi aux fins de d monstration ont un poids important malgr leurs probabilit s d occurrence que l on pourrait juger faibles a priori Il y aurait donc int r t modifier si possible ces probabilit s d occurrence en jouant par exemple sur la fiabilit des syst mes en cause ou les conditions d emploi Cette m thode permet galement d valuer les poids relatifs des div
269. ntations 3D sur cran Ces maquettes sont gr ce aux m thodes modernes de pr sentation 3D de moins en moins utiles pour v rifier que le dessin ne comporte pas d incompatibilit s spatiales Par contre elles peuvent se r v ler tr s utiles pour les tudes d accessibilit intervenant dans les tudes de maintenabilit Il n est pas vident par ailleurs d valuer les possibilit s d accessibilit de d montage et de montage de pi ces sur une seule pr sentation 3D Des programmes sp cifiques facilitent cependant ce type d tude et permettent de se passer des maquettes d installation Les m thodes de CAO disponibles pour certains types de syst mes en particulier les syst mes lectroniques vont jusqu la simulation du fonctionnement du syst me en r ponse des entr es vari es C est un excellent moyen pour v rifier que le syst me que l on vient de concevoir r pond bien au cahier des charges Par contre il peut tre utile de compl ter certaines tudes par des simulations sp cifiques Par exemple les mod les de calcul a rodynamiques permettent de pr voir les coefficients a rodynamiques d un avion mais il est n cessaire de les introduire dans des mod les de calcul de m canique du vol pour voir si les performances et les qualit s de vol sont satisfaisantes En effet quelques r gles de l art permettent de pr voir le bon ou le mauvais comportement d un avion connaissant quelques coefficients a rodynamiques important
270. nternes pour une usine de production 2 des mod les de fonctionnement des syst mes qui repr sentent comment chaque syst me travaille en situation normale en situation de panne partielle ou totale et qui permettent d identifier les pannes de syst me Il faut prendre garde ne pas confondre ces mod les avec les images d tat des syst mes d crits en 1b ou avec les images du syst me de transmission d crit en la Une image d tat d un syst me d finit si le syst me est sur Marche sur Arr t s il est partiellement ou totalement en panne Un mod le de syst me d finit comment fonctionne th oriquement un syst me Bien entendu le mod le de fonctionnement du syst me choisit par l op rateur peut d pendre de l tat du syst me et donc de son image d tat Par exemple l op rateur n utilisera pas le m me mod le de fonctionnement du c ur et donc le m me mod le de pilotage suivant que le r acteur est pleine puissance ou en arr t chaud De m me un op rateur n utilisera pas le m me mod le d organisation des transmissions avec les organismes ext rieurs suivant que l image qu il se fait de l tat du syst me de transmission est celle d un syst me int gre ou celle d un syst me partiellement en panne utilisation de proc dures d urgence simplifi es par exemple si le syst me de transmission est pass en situation secours Attention Le choix d un mauvais mod le de fonctionnement peut provenir d une ignorance
271. nts Il n avait aucune raison de remettre en doute ce r sultat Ainsi est ce le v cu chronologique des faits quelquefois mal interpr t s qui interdit pratiquement l op rateur de se remettre en cause Vive les P pins Tome II 263 Si par contre un observateur tranger n ayant pas v cu le d roulement des faits pr c dents analyse la situation il a des chances de d tecter des anomalies car il est oblig pour effectuer son analyse de v rifier la coh rence des informations fournies sans s en remettre sa m moire des faits pass s Ainsi un observateur ext rieur analysant le comportement du r acteur nucl aire de TMI dans l ignorance des faits pass s aurait sans doute conclu que la vanne de d charge ne pouvait qu tre ouverte ce que n imaginait pas en toute bonne foi le chef de quart Cette d marche est connue sous le nom d Analyse par tat Elle a t appliqu e par EDF dans les centrales nucl aires fran aises En cas d incident on fait appel un ing nieur qui n a pas particip la conduite ISR pour Ing nieur S curit Radioprotection qui fait l analyse par tat et donne un diagnostic ind pendant du diagnostic fait par l quipe de quart De la confrontation des conclusions peut jaillir l tincelle r duisant les erreurs de repr sentation en cours Cette m thode n est pas applicable directement sur toutes les machines mais il n est pas impossible de voir terme un syst me expert jouer le r le d
272. obabilit s de d faillance un peu inf rieures 10 par heure mais il est bien difficile de d montrer avec un niveau de confiance raisonnable des valeurs inf rieures 10 par heure rappelons que cette valeur exige l accumulation de 26 ans d exp rience continue 9 10 En d finitive la d monstration de 10 ou de 10 ne peut se faire directement par essais Il est n cessaire de la faire reposer sur le calcul Si la fonction est assur e par deux syst mes et si ces deux syst mes sont ind pendants la probabilit de perte de la fonction est le produit des probabilit s de d faillance de chacun des syst mes On voit ainsi appara tre la n cessit de tripler au moins les syst mes pour pouvoir d montrer 109 puisque la probabilit de d faillance d un seul syst me ne peut tre d montr e inf rieure 10 La redondance des syst mes est donc une n cessit non pour assurer la fiabilit d un syst me mais pour la d montrer 7 Il se peut en effet que la fiabilit r elle d un seul syst me soit 10 et qu ainsi la probabilit de perte de la fonction par le syst me redond soit de 10 Mais nous sommes dans l incapacit de le d montrer Force nous est donc de tripler le syst me Dans certains cas o la redondance est pratiquement impossible en particulier pour les pi ces principales de structure la d monstration de fiabilit directe est alors galement impossible La d monstration de la s curit repose dans
273. oissance des efforts aux commandes li e l augmentation de la vitesse a rodynamique Les pilotes agissant sur les gouvernes par l interm diaire des commandes m caniques ne pouvaient plus fournir les efforts n cessaires Le manche se r v lait un bras de levier insuffisant Il tait donc naturel de remplacer la cha ne de commande m canique par une cha ne comportant un amplificateur artificiel d effort la servocommande Bien entendu cette amplification n cessitait la mise en place d une source auxiliaire d nergie la pompe hydraulique Imm diatement se posa le probl me de la fiabilit de cette source d nergie Il fut donc propos de mettre en parall le avec la servocommande une liaison purement m canique permettant au pilote de se retrouver en liaison directe avec la gouverne On voit imm diatement l aberration d une telle prescription Le pilote n est pas assez muscl pour fournir les efforts mais on compte sur lui pour les fournir quand m me en cas de panne du syst me destin le remplacer Les avions modernes ne comportent plus de liaison m canique entre manche et gouvernes La s curit est assur e par une redondance suffisante du syst me hydraulique Au milieu des ann es 80 on a vu appara tre un nouveau syst me de commandes les commandes lectriques Ces syst mes permettent au pilote d envoyer des ordres de trajectoire un ordinateur de bord qui commande le d placement des gouvernes par l interm diaire
274. oit le plus facile satisfaire Il suffit de demander l op rateur de faire la m me chose donc lui fixer les m mes objectifs de mission En r alit le probl me se complique du fait que l op rateur a bien souvent du mal oublier qu il travaille sur simulateur et que dans ces conditions les incidents les plus graves sont sans cons quences Nous allons voir que le respect des deux autres crit res r duit l ampleur du probl me Il est n cessaire n anmoins de rendre l environnement de l op rateur aussi r aliste que possible L absence de certains d tails que l on ne pense pas toujours reproduire comme une l g re vibration un bruit de conditionnement d air un bruit de moteur voire m me une odeur peut emp cher l op rateur de s y croire Seuls les op rateurs ayant une bonne exp rience du syst me simuler ou de syst mes analogues peuvent signaler les d tails ne pas oublier Si les op rateurs portent normalement en service une tenue sp ciale uniforme par exemple il est important qu ils la portent en simulation Il est stupide de g cher une s ance de simulation par une sonnerie intempestive de t l phone ou l intrusion d une personne trang re l action simul e En outre seuls les m mes op rateurs par souvenir des conditions r elles peuvent recr er les conditions psychologiques leur permettant d oublier qu ils sont sur simulateur Ainsi un pilote chevronn ressentira les acc l rations sur
275. ommande doit d abord tre facilement manipulable mais son mode d action doit tre galement conforme au mod le mental de l op rateur Le troisi me pas de l it ration conduisant la conception d finitive d une salle de contr le ou d un poste de pilotage passe enfin par des essais grandeurs de pr f rence sur des simulateurs d tude ou sur des machines prototypes car seule l exp rience r elle avec un op rateur averti du probl me peut fournir une critique valable des solutions propos es On prendra garde toutefois aux op rateurs qui cherchent mettre leur virtuosit en vidence en laborant un syst me de commandes et d instrumentation qu ils sont seuls ma triser On se reportera la fin du chapitre 13 pour plus de d tails sur ce type de probl me j Concevoir des sch mas sur crans adapt s aux op rateurs Quitte nous r p ter voici quelques r gles pr sidant la conception des sch mas sur cran coller le plus possible la r alit en respectant au mieux les chelles et les dispositions spatiales si le respect rigoureux des chelles est impossible faire en sorte que l op rateur ait quand m me une id e raisonnable des distances et des proportions en jeu Par exemple une canalisation et la vanne associ e passant un d bit de un m tre cube par minute sera repr sent e plus grosse qu une canalisation et un robinet d alimentation en eau potable La liaison avec un syst me loign sera rep
276. on T de l avion R R R F La comparaison des deux diagrammes de forces montre alors que r et R d une part mg et m g d autre part tant parall les et dans le rapport de m mp les forces T et RE somme de R et F sont parall les et dans le m me rapport de m my el mg Ainsi un pendule s oriente dans la direction de la somme de toutes les forces appliqu es l avion sauf les forces de gravit et la force de traction du fil est gale cette somme multipli e par le rapport m m La mesure de la force T permet ainsi de conna tre la force RE En pratique on mesure la force T par l longation d un ressort par exemple et donc n T mpg qui est gal RE mg La valeur de n est l intensit du vecteur facteur de charge dont la direction est celle du fil donc de RE Vive les P pins Tome II 333 Nous supposerons que l avion ne tourne pas autour de son centre d inertie Le pilote sur son si ge est soumis aux forces de contact du si ge dont la r sultante est RS aux forces de gravit dont la r sultante au centre d inertie du pilote est son poids mpg m est la masse du pilote E 2 z L acc l ration T du centre RE RA F G d inertie du pilote est gale r m o rp est la somme g om trique de RS et de mg Le pilote tant fixe par rapport l avion heureusement et l avion ne tournant pas autour du centre d inertie I est gal Fr RS La comparaison des trois T diagramme
277. on brusque de performance on peut en conclure que l op rateur a atteint la charge maximale qu il peut fournir Mais l observation ext rieure de l op rateur ne permet pas de diff rencier des charges de travail inf rieures Certains auteurs ont propos de confier l op rateur une t che auxiliaire ais ment quantifiable et d augmenter cette charge auxiliaire jusqu saturation seul ph nom ne observable La charge de travail principale serait alors d autant plus petite qu est grande la charge auxiliaire conduisant la saturation Ce principe de mesure repose h las sur de nombreuses hypoth ses qui se sont r v l es fausses La charge de travail ne peut tre repr sent e par un param tre unique les charges de travail ne sont donc pas additives par ailleurs la charge n cessaire pour g rer le passage de la t che principale la t che auxiliaire et le passage inverse n est s rement pas n gligeable Enfin on peut se poser la question du sens de l op ration de quantification de la charge de travail auxiliaire qui r p tons le ne peut tre repr sent e par un unique param tre Force donc est de reconna tre que la m thode de la double t che repose sur trop d hypoth ses erron es pour tre valable De nombreuses tentatives ont t faites par ailleurs pour corr ler des param tres physiologiques et la charge de travail malheureusement toujours avec l hypoth se fausse de la repr sentation de la charge de travail par un
278. on d instruments par exemple La documentation sur les mod les de fonctionnement permettant les d cisions est inexistante incompl te mal reproduite difficilement maniable sur le terrain organigrammes de grandes dimensions ou manuels multiples inutilisables en ext rieur ou encore contient des erreurs mat rielles fautes de frappe sur des codes d identification d organes par exemple La documentation sur les moyens et les proc dures de transmission est inexistante incompl te mal reproduite difficilement maniable sur le terrain listes multiples de destinataires ou de fr quences inutilisables en ext rieur caract res trop petits difficilement lisibles sous faible clairage ou encore contient des erreurs mat rielles oubli de mise jour fautes de frappe sur les codes les noms de destinataires ou les fr quences par exemple D fauts de conception La documentation sur les sources d information est difficilement compr hensible ou trop dispers e et conduit des erreurs de saisie de donn es Par exemple il n est pas clairement pr cis que les tendues de mesure des instruments donnant les valeurs de plusieurs param tres analogues ne sont pas identiques z ros et chelles diff rentes La documentation sur les commandes est difficilement compr hensible ou trop dispers e et conduit des erreurs d action Par exemple il n est pas clairement pr cis le sens d action particulier d une commande et ses
279. on de deux commandes agissant de fa on analogue sur le syst me par exemple etc gt REGLEMENTATION Ra gt La r glementation impose le verrouillage de certaines commandes interdisant leur utilisation en cas d urgence GAFE a t traduit en anglais par GOOF Grid Of Operator Failure d o Goofy personnage bien connu de Walt Disney et RADOS traduit par RAFT Rapid Analysis Failures Table radeau To make a Smurf gasp signifie couper le souffle un Schtroumpf Vive les P pins Tome II 230 GRILLE DES FACTEURS AMPLIFICATEURS DE RISQUE D ERREUR Confort r duit si ges posture anormale local confin troit travail dans l espace gt Tenue de travail g nante combinaison de s curit s curacide spatiale etc gants bottes casque lunettes masque antipoussi re oxyg ne couteurs sourdines gt Mouvements de plate forme vibrations secousses oscillations lentes travail en impesanteur travail sous facteur de charge Ambiance Temp ratures extr mes Pression anormale travail en caisson pressuris faible pression Humidit clairage violent ou trop faible Bruits Odeurs gt Horaire d ex cution de l op ration l instant de l incident D but de mission Fin de mission Reprise du service remise en route des installations le matin en d but de semaine apr s un jour ch m apr s une p riode de cong annuel Arr t du service arr t de
280. onditions physiques et psychologiques qui conduisent l op rateur se frapper le front et s crier Bon Sang mais c est bien s r Il est vident que l observation est tr s d licate car elle risque de troubler l op rateur Par ailleurs on voit difficilement l observateur demander l op rateur en cours d essai s il cro t tre en erreur de repr sentation On tombe sur toutes les difficult s bien connues des tudes de psychologie exp rimentale Actuellement les recherches de m thodes exp rimentales s orientent vers l enregistrement aussi fid le que possible des actions de l op rateur La s ance de simulation est alors rejou e devant l op rateur sur le simulateur Vive les P pins Tome II 288 lui m me le plus t t possible apr s l essai On lui fournit le maximum de renseignements sur son comportement par exemple on lui signale en temps r el sur quels instruments ou commandes se portait son regard quelles commandes ont t manipul es etc Il est alors possible de l interroger sur le contenu de ses pens es chaque instant en esp rant que le d roulement des v nements sous ses yeux lui permettra de se rem morer ce qu il avait en t te ces instants L exp rience montre d ailleurs que bien souvent l op rateur est tr s tonn de voir en d tail la succession des op rations qu il a effectu es quelques instants avant il en avait gard un souvenir tr s diff rent c est d ailleurs l une des origines d
281. onfiguration doit tre faite tr s rapidement dans des conditions o la s curit risque d tre compromise par une man uvre erron e ou trop lente C est le cas par exemple de la panne moteur au d collage qui est effectivement enti rement automatis e avec action sur les commandes de vol pour maintenir une trajectoire saine ainsi que sur les commandes moteurs pour obtenir le maximum de pouss e disponible sur les moteurs restants et pour couper l alimentation du moteur d faillant Par contre la r ponse est NON pour toutes les autres man uvres n exigeant pas une habilet exceptionnelle de la part des op rateurs La reconfiguration manuelle permet aux op rateurs de prendre conscience progressivement du nouvel tat des syst mes et donc d en tre parfaitement inform une fois la man uvre effectu e Une tentative de reconfiguration enti rement automatique avait t entreprise par EDF dans le cadre d une recherche sur simulateur d tude de commande informatis e d une centrale nouvelle g n ration Les op rateurs ont unanimement rejet la solution propos e Ils constataient qu une alarme survenait avec une avalanche de messages signalant toutes d faillances secondaires notaient que les alarmes disparaissaient progressivement suite aux actions des automatismes jusqu ce qu un dernier message signale que tout tait rentr dans l ordre nous simplifions un peu Ils se plaignaient tous de ne rien comprendre il s est pass quelqu
282. onflit avec les r glements applicables La proc dure ne tient pas compte de l tat d automatisation du poste r duction du personnel conduisant des pointes de charge de travail longs moments d inactivit pr judiciable au maintien de la vigilance La proc dure ne tient pas compte du fait que l automatisation a fait perdre certains savoir faire Les consignes temporaires parviennent en retard La dur e de validit des consignes temporaires n est pas pr cis e Les proc dures ne pr voient pas les r gles d change d information La proc dure pr voit une v rification de bonne ex cution par l op rateur lui m me ou par un second op rateur qui n a pour t che ingrate et fastidieuse que d observer que les op rations pr vues ont t ex cut es et correctement ex cut es Il est bien pr f rable de faire ex cuter de temps en temps par l op rateur ou par un autre op rateur des mesures dont le r sultat permet d affirmer ou d infirmer la bonne ex cution des derni res op rations Luup Uug Lugg g Vive les P pins Tome II 272 CONCEPTION DES INTERFACES M connaissance des r gles d ergonomie m canique L clairage est d fectueux trop fort interdisant la vision de l ext rieur ou la vision des crans cathodiques trop faible conduisant des erreurs de lectures lecture d un param tre d une tiquette d identification d un instrument ou d une commande changeant la vision des couleurs par r
283. onnect s sur une t che trang re souvenir du dernier film de la derni re partie de campagne du bricolage en cours Pour le dernier Facteur la Maladresse les neurones de l op rateur ne sont pas correctement connect s ce qui conduit une mauvaise ex cution de l op ration pr vue recueil d information action sur une commande nature du message oral etc Dans ce cas de Maladresse il est souvent difficile de pr ciser pourquoi et comment les neurones sont mal connect s sauf quelquefois dans le cas d une fausse man uvre quand l op rateur r agit instinctivement sans noter les obstacles dans son environnement ou dans le cas du message erron quand l op rateur utilise le mauvais mot parce qu il vient juste d entendre ce dernier Enfin dans le cas des Erreurs de Repr sentation la fausse image conduit des connexions inad quates des neurones Ne donnons pas ce mod le du cerveau plus de valeur qu il n en a c est dire aucune Il ne repr sente qu une image commode pour illustrer notre propos Au cours d une analyse d un accident ou d un incident il est tr s important de ne pas s en tenir au niveau de la grille GAFE des Facteurs d Erreur mais d essayer d expliquer la pr sence de ces Facteurs d Erreur en examinant la grille RADOS Les cinq articles de cette grille donnent une origine possible des Facteurs d Erreur Nous pr f rons utiliser le terme origine plut t que cause parce que l identification des causes profon
284. ons importantes et pertes de vies humaines L objectif est alors de trouver la cause dite majeure de l accident c est dire la derni re erreur de l op rateur et de trouver une parade sous forme en g n ral d une modification technologique importante permettant d affirmer qu une telle catastrophe ne se reproduira plus Les accidents sont tr s instructifs mais trop rares heureusement pour que l exp rience qu ils fournissent soit suffisante pour am liorer nos connaissances en mati re de comportement des op rateurs En outre il ne s agit pas de trouver une parade vitant la derni re erreur de l op rateur Celle ci n a en effet qu un caract re anecdotique Un autre op rateur dans les m mes conditions aurait commis une autre erreur Ce qu il importe c est identifier les conditions dans lesquelles l erreur a t commise et c est trouver un moyen pour viter que de telles conditions ne se reproduisent En outre l exp rience montre qu un accident n est pas d un v nement unique mais une succession d v nements comportant des erreurs plus ou moins banales et en g n ral sans cons quences Il importe donc d identifier cette s quence d v nements et les circonstances ayant conduit leur apparition car il est alors possible de trouver une parade limitant l une de ces apparitions et par cons quent limitant la probabilit de catastrophe Vive les P pins Tome II 184 Le retour d exp rience tel que nous le d finisso
285. onsignes du style Il n est pas interdit de ne pas ouvrir le robinet tant que le r servoir n est pas plein Nous n avons rien invent des pages enti res du r glement d une grande compagnie de transport terrestre taient r dig es sur ce principe cette situation s est heureusement am lior e depuis quelque temps Cela se traduit le plus souvent par des op rations rat es l origine d erreurs de repr sentation pour l op rateur lui m me ou pour un autre op rateur qui pense que la t che de son coll gue a t correctement ex cut e Ce type de d faut correspond la question Comment faire les op rateurs ne disposent pas de moyens suffisants en personnel ou en mat riel pour ex cuter leur t che Cela conduit en g n ral des surcharges de travail quelque fois de courte dur e mais suffisantes pour conduire l erreur Ce cas se rencontre souvent dans les postes de travail charge moyenne faible ne justifiant pas un nombre d op rateurs suffisant pour faire face aux pointes ou dans le cas de proc dures pr voyant des transmissions de donn es alors que les moyens de transmission ne sont pas disponibles centre de contr le ferm la nuit par exemple Ce type de d faut correspond la question Avec qui et quoi peut on faire Vive les P pins Tome II 193 les d fauts de Conception de la Machine Le mat riel n a pas t con u en tenant compte des caract ristiques physiques physiologiques et p
286. ont analogues dans les deux cas mais les d fauts syst me l origine peuvent tre tr s diff rents Si n cessaire le sigle s pour saisie sera compl t du sigle mh transmission d information Machine Homme ou du sigle hh transmission Homme gt Homme D cision sigle d Apr s avoir saisi une ou plusieurs informations l op rateur en fait une synth se pour prendre une d cision sur la suite donner quant l ex cution de sa t che La d cision peut tre de plusieurs sortes attendre c est dire reporter plus tard avec un d lai estim la capture d autres informations balayage des diverses informations disponibles ou capture d un param tre pr cis dont on pr voit la variation terme saisir une autre information pr cise pour compl ter la synth se d terminer la commande sur laquelle on va agir avec valuation du sens et de l amplitude de l action sur la commande transmettre une information avec d termination de la nature du message du mode de transmission et du destinataire La prise de d cision n cessite la connaissance des Mod les de Fonctionnement du syst me contr ler c est dire les relations entre commandes tat de l environnement et param tres d tat du syst me Elle n cessite galement la connaissance des Mod les de Risque Certaines d cisions peuvent tre prises l aide de proc dures Vive les P pins Tome II 208 qui facilitent l interpr tation des informations
287. ormations visuelles fournies par les instruments l tat physique et mental du pilote une sinusite m me l g re et un tat d anxi t sont tr s favorables l apparition de troubles d orientation Parmi tous ces facteurs nous retiendrons les plus actifs la faible exp rience et le manque d entra nement les changements de position de la t te en man uvre le changement de r f rences en vol vol vue vol aux instruments vol en patrouille vol aux instruments m lange de deux modes de pilotage l anxi t Vive les P pins Tome II 331 V LES REM DES LA D SORIENTATION On ne peut modifier les capteurs humains Il faut se rendre l vidence l homme n est pas fait pour voler C est ce dont tout pilote prend conscience lorsqu il se trouve de nuit dans un beau cunimb un cumulo nimbus d orage secou par les rafales aveugl par les clairs et assourdi par le tintamarre des gr lons sur le pare brise On ne peut donc proprement parler faire tat de rem des la d sorientation peut on tout au plus chercher limiter les facteurs favorisant l apparition du ph nom ne Il faut entra ner les pilotes de fa on les habituer ignorer les sensations en vol aux instruments c est ce que les pilotes appellent ne pas voler aux fesses mais aux instruments L entra nement permet galement aux pilotes de reconna tre l existence de ces ph nom nes de d sorientation dans des condi
288. orme tr s imag e leur permettait en g n ral de se replacer dans le contexte psychologique du vol et de se rem morer le d roulement de leur d marche intellectuelle de prise de d cision Nous avons pu ainsi plusieurs fois reconstituer la succession des raisonnements ayant conduit une erreur ni e a priori parce que non remarqu e et mise en vidence par la relecture Nous insistons sur la n cessit d une telle pr sentation imag e La pr sentation de l v nement sous forme de courbes permet de reconna tre l erreur mais beaucoup plus difficilement d en faire reconstituer la gen se par l op rateur Il faut replacer l quipage dans des conditions psychologiques voisines de la r alit pour l aider se rem morer la succession des v nements et des d cisions Une fois l outil mis au point la soci t APSYS A rospatiale Protection Syst mes a lanc l op ration ARCHIMEDE Action de Recherche sur le Comportement Humain en Incident M thode d Evaluation et de D tection des Erreurs sous la forme de deux campagnes de douze vols simul s Chaque vol de quatre heures environ comprenait des s quences destin es mettre les quipages dans les conditions psychologiques du vol pour faire oublier la simulation mise en route au parking roulage d collage mont e croisi re avec quelques pannes ou incidents mineurs et plusieurs s quences reproduisant des sc narios tir s d accidents types r els deux s quences prises parmi
289. osition de commande Il suffit souvent de b tir une maquette anim e sur micro ordinateur pour juger la validit d une solution Le choix par exemple entre une pr sentation digitale ou analogique la taille des caract res la pr cision et l orientation verticale ou horizontale des chelles le libell la taille la couleur la position sur cran des messages etc peut se faire sur une maquette anim e par un petit programme tr s simple C est la solution ainsi d finie qui sera valid e ult rieurement sur simulateur puis sur prototype avec de meilleures chances de succ s rapide En d finitive un Simulateur d tude de l Interface Homme Machine doit r pondre aux crit res minimaux suivants poss der un logiciel aussi simple que possible donnant des r ponses r alistes aux sollicitations et capable de simuler les principales situations incidentelles car la d finition de l interface doit se faire en prenant galement en compte le fonctionnement anormal tre b ti autour d un tableau de bord r aliste facilement modifiable Les simulateurs de formation Un simulateur de formation doit r pondre d autres exigences car ses objectifs sont diff rents Quelques consid rations sur les objectifs et m thodes de formation doivent tre d velopp es au pr alable Les op rateurs de syst mes complexes ne sont plus en contact direct avec la machine comme nous l avons vu tout au long des chapitres de cet ouvrage Ils doivent tr
290. ote avait eu confirmation de la fermeture correcte des soutes bagages par la consultation des voyants correspondants sur son tableau de bord Or la porte d une des soutes tait en r alit incorrectement verrouill e d o son ouverture en vol une d pressurisation brutale la rupture du plancher cabine et la destruction des c bles de commande de la gouverne de profondeur La non signalisation de cet tat dangereux provenait du fait que le micro switch de contr le indiquait la position de la poign e de fermeture et non la position des verrous Vive les P pins Tome II 253 Un op rateur particuli rement muscl avait r ussi mettre la poign e en position ferm e en for ant sur les verrous qui n taient pas en bonne position L encore l alarme ne signalait pas le non verrouillage lui m me de la porte mais la position d un dispositif qui ne lui tait pas strictement li Nous retiendrons qu une information doit avoir une signification non ambigu pour limiter les erreurs de repr sentation c Ne pas fournir des informations difficiles interpr ter Il ne faut pas obliger l op rateur effectuer des op rations mentales compliqu es pour en d duire la marge par rapport aux limites l cart par rapport aux consignes ou l tat r el du syst me L exemple que nous avons d j cit est celui de la pr sentation d un param tre sous forme digitale et de sa limite sous forme analogique ou la disposition inverse On noter
291. ote n a pas not l cart de vitesse cause par exemple d une charge de travail trop lev e avec une atmosph re tr s turbulente L utilisation d un mauvais mod le de risque est g n ralement due une mauvaise formation et des m thodes d entra nement n insistant pas assez sur les diff rentes conditions risque Lorsqu une erreur de repr sentation est identifi e il est alors n cessaire de d finir le type de repr sentation mentale en cause Image erron e 1 a 1 b mauvais Mod le 2 3 ou Mod le de Risque 5 dans le cas 1 a l image en cause est l image de la situation de la machine par rapport son environnement position de l avion par rapport au relief et aux autres avions on parle alors d Image 3D position de la motrice du train sur le r seau et position des autres trains tat de la connexion de la centrale d nergie dans le syst me de distribution Ce peut tre aussi l image du r seau de transmission l erreur tant souvent la mauvaise identification de l metteur et du destinataire d un message dans le cas 1 b il est n cessaire de pr ciser de quel syst me l op rateur se fait une fausse image quel tait l tat r el du syst me marche arr t en panne partielle ou totale et quelle tait la repr sentation que s en faisait l op rateur Le FMS Flight Management System est un super pilote automatique avec lequel le pilote peut programmer plusieurs phases successives de vol Le FMS envoi
292. ous avez commis une faute d estimation ou bien vous avez n glig volontairement de traiter ce cas vous tes donc coupable Il est vident pour tous les sp cialistes des probabilit s que hautement improbable ne signifie pas impossible Pour s en convaincre il suffit de calculer la probabilit de gagner le gros lot au Loto c est dire de pr voir six num ros gagnants sur quarante neuf Il y a environ une chance sur quatorze millions de gagner v nement par cons quent hautement improbable Or presque chaque tirage il y a un gagnant ce qui ne signifie pas que le calcul de la probabilit soit faux mais que le nombre de joueurs est grand En effet la probabilit pour qu il y ait un gagnant si vingt millions de grilles ont t jou s est de 76 Elle monte m me 98 6 pour trois tirages de vingt millions de grilles Les curieux trouveront en annexe 2 la justification de ces chiffres Une fois de plus ce n est pas au technicien de trancher Nous nous contenterons de poser le probl me qui est loin d tre un cas d cole fabriqu pour la cause Il nous parait int ressant de citer cette occasion Monsieur Raymond Nivet Ing nieur des Arts et Manufactures Expert agr par la Cour de Cassation Dans un article publi en Octobre 1989 dans la revue EXPERTS il crit Incidemment la mont e en puissance du consum risme s est naturellement traduite par une augmentation consid rable des actions intent es contre les cons
293. ouveau poste avez vous des critiques formuler la r ponse est bien souvent Non monsieur le Directeur ce nouveau poste nous semble parfait Et tout le monde quitte satisfait la r union les utilisateurs ont t consult s Le probl me est quelquefois diff rent dans d autres domaines mais pas plus simple Bien souvent l utilisateur moyen est peu ouvert aux innovations Voil dix ou vingt ans qu il travaille sur le m me syst me Il en conna t tous les d fauts et sait en tenir compte Changer de machine c est changer d habitudes perdre une qualification durement acquise Cet tat d esprit se manifeste au cours de la formation sur un mat riel nouveau par des remarques du style Mais sur le 737 ce n tait pas comme a il y avait quatre op rations faire et maintenant on obtient le r sultat en une seule op ration C est compl tement d routant C est trop simple les jeunes ne vont plus savoir piloter etc Nous avons rencontr cette attitude aussi bien chez les pilotes de ligne l allusion au 737 n est pas innocente que chez les conducteurs de machines de chantiers de travaux publics Il est donc n cessaire de faire appel des utilisateurs ouverts aux nouveaut s mais quand m me capables de critiques Il faut faire aussi le tri de ces critiques car il y a en g n ral autant d avis que d utilisateurs Dans le domaine des transports a riens l avis des pilotes d essais fondamental pour la mise au point est n
294. pas les r p ter ici Un grand nombre de r gles de conception limitant les erreurs d interface sera rappel plus loin Elles rel vent toutes du bon sens mais nous avons mis pr s de quarante ans d exp rience les rassembler En d finitive le bon sens chose au monde la mieux partag e comme chacun sait est peut tre tellement partag qu il faut y ajouter quelques grains d hell bore pour perfectionner les recettes de s curit Notons que la mise au point de l interface n cessite de nombreuses v rifications sur simulateurs puis sur prototype et enfin sur le syst me r el en d but de mise en service en faisant appel aux avis des futurs utilisateurs L exp rience montre en effet que toute solution labor e autour d un tapis vert ou d une planche dessin et jug e g niale par l ensemble des concepteurs peut se r v ler stupide d s que l on peut en voir une r alisation pratique Il est indispensable insistons sur ce point fondamental d essayer les solutions sur maquette sur simulateur sur prototype en pr sence des futurs utilisateurs Le chapitre 13 pr cise cette notion de simulation Cette derni re d marche comporte cependant bien des cueils Bien souvent nous en avons des exemples dans le domaine des transports terrestres on pr sente le nouveau poste de travail quelques op rateurs peu pr par s au cours d une r union formelle en pr sence de responsables de haut niveau A la question Que pensez vous de ce n
295. pe sont beaucoup plus d licates r aliser car elles n cessitent la reconnaissance automatique de la phase de la mission et de l tat r el du syst me Elles sont destin es viter les erreurs de repr sentation dans le cas o le changement d tat impos par la mission a t mal effectu ou non effectu par l op rateur Un syst me permettant la reconnaissance de la phase de vol et la comparaison entre la configuration r elle et la configuration recommand e a t brevet par l A rospatiale et la soci t APSYS sous le terme g n ral de Test de Coh rence Il est vident que la reconnaissance de la phase atterrissage ne peut se faire en rep rant la position du train d atterrissage car cela interdirait de reconna tre une configuration anormale train rentr dans cette phase de vol Vive les P pins Tome II 259 Le principe de reconnaissance de la phase repose sur la mesure de param tres de vol comme l altitude la vitesse et le nombre de Mach quelquefois les r gimes moteurs caract ristiques d un tat si la vitesse est constante etc et la constatation que l ordre d encha nement des phases de vol n est pas arbitraire par exemple caricatural la phase atterrissage ne peut suivre la phase croisi re haute altitude En outre le syst me est capable non seulement de signaler les erreurs de configuration mais de conseiller sur la configuration optimale compte tenu de contraintes suppl mentaires A titre d exemple
296. pilote les deux cartes ne se trouvaient pas c te c te mais sur deux pages recto verso ce qui en interdisait la comparaison Pour le lecteur intrigu nous lui conseillons de noter comment est crit le nom de la base militaire de Cuers sur l une et l autre carte C est l que r side le mode de d tection bien cach de l erreur Vive les P pins Tome II 198 Cinq remarques s imposent enfin Il n y a pas de correspondance biunivoque entre un Facteur d Erreur de la GAFE ou un Facteur d Amplification de Risque d Erreur et un D faut Op rationnel Syst me tout au plus des corr lations fortes Ainsi les maladresses ont tr s souvent pour origine une mauvaise conception du poste sous l aspect ergonomie m canique Les erreurs de repr sentation par mauvaise utilisation de l information sont souvent dues un d faut de conception du poste sous l aspect ergonomie mentale mais elles peuvent provenir d un d faut d organisation mauvaise r partition des t ches etc L utilisation des grilles GAFE RADOS GASP GAME et GARE exige un compl ment d information qu il est hors de propos de d velopper ici pour pr ciser par des exemples les types d erreurs et de d fauts trop sommairement d crits dans les lignes qui pr c dent voir le chapitre 12 L analyse des incidents et accidents est un travail de sp cialiste Il est hors de question de demander au rapporteur de faire lui m me cette analyse et de proposer des rem des
297. ploi Il est indispensable de dresser le tableau de l ensemble des t ches sans en n gliger aucune Si l on n glige par exemple les t ches j3 j10 sous pr texte que leur probabilit 10 est faible on voit que l on modifie substantiellement la probabilit de la classe F Par contre la t che d peut tre n glig e a posteriori sans que la probabilit de la classe B en soit modifi e La t che h correspond par exemple des conditions de freinage un carr avec des visibilit s comprises entre 500 et 1500 m On pourrait d composer cette t che en dix sous t ches h h10 pour des visibilit s de 500 600 1400 et 1500 m la probabilit de chaque sous t che est le dixi me de la probabilit de la t che h Si les dix sous t ches sont regroup es dans la m me classe de risque ce raffinement ne change pas la probabilit de classe Par contre les t ches j j10 ne se pla ant pas dans la m me classe l op rateur risquerait d prouver des difficult s d estimation si on les regroupait en une seule tache j de probabilit 10 Vive les P pins Tome II 324 Cette remarque permet de d finir la r gle de d coupage des t ches Il est inutile de poursuivre la d composition en sous t ches si celles ci se regroupent dans la m me classe de risque Si l on demande plusieurs op rateurs d valuer le risque d une m me t che on peut rencontrer le cas d valuations divergentes Si ces valuations son
298. ponibles Cela devrait confirmer compl ter ou peut tre rectifier le choix fait durant la phase de Codification Compl ter devrait tre relativement fr quent parce que la phase Codification n extrait que les faits les plus saillants mais d autres aspects d une Conscience Erron e de la Situation peuvent appara tre laissant la possibilit d une identification plus pr cise Il sera ainsi n cessaire d identifier quelles Images sont erron es et si le Mod le de Risque est mis en cause en se r f rant aux cinq types de Conscience Erron e de la Situation Compl ter si n cessaire la liste des Facteurs d Augmentation du Risque d Erreur impliqu s Une fois la chronologie tablie rechercher pour chaque Facteur d Erreur ainsi identifi pour les Facteurs Amplificateurs de Risque et quelquefois pour les v nements de Sensibilit aux perturbations et les v nements de Man uvrabilit le type de D faut syst me qui peut tre l origine de cette situation et le caract riser par une case du R pertoire RADOS Vive les P pins Tome II 243 Il n y a pas de correspondance syst matique entre une case de la GAFE une rubrique de la GARE de la GASP ou de la GAME et une case du RADOS tout au plus des corr lations fortes Ainsi une erreur due une charge de travail trop lev e Cs ou Ca est en g n ral la cons quence d une proc dure mal adapt e Ops ou Opa mais elle peut aussi avoir pour origine une mauvaise conception de l
299. portantes s imposent avant d aborder les m thodes d observation Une fois le D faut identifi organisation interface documentation formation r glementation il para t vident On en arrive se demander pourquoi personne ne l a d couverte plus t t Mais il faut reconna tre que d tecter les D fauts et les identifier demande un tat d esprit et une m thode qu il n est pas vident d acqu rir Les op rateurs eux m mes sont souvent incapables de d tecter les erreurs potentielles et m me celles qu ils commettent r ellement Elles sont en effet pratiquement toujours corrig es par l op rateur lui m me ou par un autre membre de l quipe et bien souvent elles sont sans cons quences donc en toute bonne foi oubli es une fois commises Chacun s habitue aux D fauts d organisation et de conception trouve intuitivement des rem des des palliatifs qui masquent les difficult s Chacun modifie les proc dures en les simplifiant quelque fois abusivement Et a marche Comme les encha nements d erreurs critiques sont relativement rares et que ces encha nements ne conduisent heureusement que peu souvent la catastrophe personne ne prend conscience du fait que la situation est potentiellement dangereuse Lorsqu un D faut d interface dans un poste de travail est mis en vidence et signal un responsable la r ponse est bien souvent la suivante Oui bien s r ce dispositif n est pas fameux mais les op rateurs s en accom
300. pos de caract res peu lisibles trop fins mal dessin s trop petits peu lumineux manquant de contraste avec le fond etc chelle mal dessin e toutes les graduations sont identiques en taille et valeurs num riques mal positionn es absentes ou peu lisibles les aiguilles sont plac es loin du fond de l instrument ce qui induit des erreurs de parallaxe etc Les codes de couleur pr tent confusion par exemple utilisation du mauve du violet et du magenta avec des significations diff rentes sur cran cathodique alors que les commandes de luminosit et de contraste la disposition de l op rateur peuvent modifier les couleurs tiquetage La logique d tiquetage est celle du concepteur et ne r pond pas aux besoins de l utilisateur Les tiquetages des voies ferr es des aiguilles et des carr s ont t faits de fa on ind pendante ce qui conduit des incoh rences l utilisation le m me num ro tant par exemple utilis pour une voie un carr et une aiguille qui n ont aucun rapport logique entre eux Les tiquetages des robinets des canalisations des r servoirs ont t faits ind pendamment par les concepteurs de ces trois syst mes ce qui les rend incoh rents Les tiquettes sont constitu es de messages pr tant confusion codes trop longs deux codes d tiquettes voisines ne diff rant que par un caract re en milieu de code utilisation de caract res ambigus codes de lo
301. que diminue avec la prise d altitude et la diff rence totale statique augmente ce qui se traduit par une augmentation de vitesse indiqu e Le pilote non aux commandes est perturb par diverses demandes du Contr le de Trafic A rien changement de fr quences radio demande de pr visions changement de proc dure de mont e etc ce qui l emp che de surveiller les param tres de vol Le pilote aux commandes augmente l incidence pour contrer l augmentation intempestive de la vitesse Erreur de repr sentation due une fausse information Une fois constat e la diff rence d indication des deux badins Vive les P pins Tome II 180 suit une p riode de discussion au sein de l quipage pour d terminer quel est l instrument qui fournit une valeur correcte l horizon artificiel du pilote aux commandes se bloque panne m canique non d tect e sur certains avions de la g n ration 70 90 Le pilote non aux commandes est perturb par les demandes du Contr le de Trafic A rien et ne note pas la d rive de l assiette lat rale Dans quelques cas une fois l anomalie d tect e ce qui peut prendre de longues secondes si le pilote suit le directeur de vol le pilote attribue une panne des commandes de vol et non une panne de l instrument la non r ponse ses actions au gauchissement pendant le roulage avant d collage la tour propose un changement de piste la piste propos e est plus courte et orient e vent de travers L q
302. que fois de d tail sont souvent n cessaires Il ne faut pas qu une modification de l interface se traduise par des jours de travail de d coupage de t le et de c blages Nous avons dit que l interface devait tre r aliste Cela ne veut pas dire strictement conforme la r alit La forme pr cise d un inverseur importe peu Il suffit que l inverseur utilis entre dans la gamme des manipulateurs connus de l op rateur C est sa position sur le tableau et son sens de manipulation qui sont importants tester plut t que sa forme Bien s r la forme devra tre tudi e mais dans un second stade seulement De m me la technologie des crans n est pas fondamentale ce sont les param tres qui y sont pr sent s leur type de pr sentation analogique num rique courbes diagramme qui sont importants d finir Bien entendu il ne faut pas utiliser un cran texte noir et blanc pour simuler un cran graphique couleur haute d finition mais la taille et la qualit de l cran ne sont pas fondamentales ce stade de l tude A cette occasion il est bon de noter qu une tude pr alable sur maquette informatique doit permettre de d fricher un certain nombre de points avant d essayer la solution sur simulateur c est ce que nous avons appel les micro simulateurs au chapitre pr c dent Il n est en effet pas n cessaire de disposer de la r ponse r elle du syst me pour estimer la qualit d une pr sentation d information ou d une disp
303. que l on ne demande pas d estimer la probabilit d accident mais seulement la probabilit conditionnelle d erreur d Op rabilit la probabilit d avoir ex cuter la t che dans les conditions d essai r sultant de l analyse de la mission Autrement dit on ne demande pas l op rateur de dire si la t che est acceptable ou non sur le plan s curit On lui demande seulement d valuer le risque d erreur qu il pourrait commettre si on lui demandait d ex cuter r ellement cette t che en faisant des comparaisons avec des t ches connues et bien identifi es quant aux risques qu elles entra nent Ces remarques pr liminaires tant admises examinons la m thode d valuation LA M THODE D VALUATION DES CHARGES DE TRAVAIL D finition de la t che La machine valuer doit l tre dans le cadre bien pr cis d une op ration associ e L op ration associ e une machine est d finie par un objectif global dans un environnement donn et avec des conditions d emploi pr cis es Autrement dit on ne cherche pas valuer les risques li s la machine elle m me ce qui n a aucun sens mais les risques li s l utilisation de la machine dans des conditions pr cises Ainsi tudier les risques caus s par un marteau n a pas de sens Par contre on peut estimer les risques d utilisation d un marteau au cours d une op ration de cloutage pr cise taille du clou mat riau clouer pr sence ou non d un autre op rateur tenant
304. ques simul s sur les gouvernes De m me les ordres du pilote automatique en r ponse aux mouvements de l avion sont introduits comme entr es compl mentaires aux ordres du pilote le pilote automatique peut tre le syst me r el lui m me ou dans un premier temps un syst me simplement simul lui aussi L encore la simulation n est pas compl te M me si les mod les de m canique du vol sont valides les conditions d ambiance ne sont pas toujours suffisamment repr sentatives pression temp rature vibrations d formation de structure etc Ces essais peuvent donc d tecter certaines erreurs de conception mais ne les d tecteront pas toutes Les essais de structure permettent de soumettre des parties de l avion demi voilure fuselage train volets becs empennage gouvernes etc des sollicitations statiques efforts m caniques avec simulation quelques fois d ambiance thermique ou dynamiques essais de fatigue m canique ou thermique Ces essais permettent de valider les calculs de r sistance aux efforts que l on estime devoir survenir au cours de vols r els et de d terminer la marge disponible entre les efforts maximaux estim s en vol et les efforts mesur s conduisant la rupture L encore une incertitude demeure puisque l on soumet la structure r elle des efforts dont la grandeur et la r partition ne sont que les r sultats des calculs et essais a rodynamiques Une autre incertitude provient du fait que les cell
305. quipage l erreur Il s agissait d un changement de piste juste avant le d collage RACHEL a enregistr plusieurs cas r els d quipage ayant oubli de recalculer les param tres de d collage alors que la longueur de la nouvelle piste et la direction du vent taient Vive les P pins Tome II 178 d favorables Les consignes compagnie et la pratique des quipages appel s travailler dans des r gions o la m t o provoque souvent des changements de piste au dernier moment ont permis tous les quipages d ARCHIMEDE d ex cuter les op rations de reconfiguration de l avion naturellement d ailleurs et sans m me avoir conscience du pi ge tendu Ces r sultats ont conduit consulter un fichier analogue RACHEL mais r pertoriant non les accidents mais les incidents graves L analyse du fichier Incidents n a pas fait appara tre de familles nouvelles Les accidents ne seraient que des incidents qui ont mal tourn mais ne semblent pas tre de nature diff rente Ceci milite en faveur du recueil de ce type de donn es car les incidents sont beaucoup plus fr quents que les accidents et plus facile analyser en particulier parce que l quipage peut s expliquer Malheureusement la tendance f cheuse consistant consid rer que les erreurs sont des fautes rend encore difficile la divulgation de ces donn es fondamentales pour la s curit Ainsi la grande majorit des quipages participant l op ration en con
306. r fournir une r f rence L avion ainsi mis en l ger virage sortait de l axe d approche et il fallait un temps non n gligeable au pilote pour reconna tre la situation et revenir la r f rence donn e par l horizon artificiel pour effectuer la man uvre de correction II TROUBLES DUS AUX CAPTEURS D ACCELERATION ANGULAIRE Les canaux semi circulaires ne d tectent les acc l rations angulaires qu au del d un certain seuil et par ailleurs une mise en rotation suivie d une rotation vitesse angulaire constante se traduit au bout de quelques dizaines de secondes par une suppression de toute sensation de rotation lors de l arr t de cette rotation le sujet a la sensation d acc l ration angulaire puis de rotation constante en sens inverse voir Compl ment 2 Ces deux types d imperfections sont sans doute l origine d un trouble bien connu des pilotes se traduisant en vol sans visibilit par la sensation de virage continu avec une forte inclinaison lat rale alors que les instruments en particulier l horizon montrent que le vol est parfaitement rectiligne Il est difficile de pr ciser si cette sensation erron e est due l effet de seuil mise en virage lente non d tect e suivie d un retour rapide au vol rectiligne ou l effet d hyst r sis du capteur retour au vol rectiligne apr s un vol en virage prolong Suivant les cas il est probable que l une ou l autre des deux imperfections de l oreille interne est la cause du
307. r gles suivantes peuvent n anmoins servir de guide Limiter le nombre d alarmes au strict n cessaire car une alarme doit tre rapidement per ue et interpr t e Le panneau d alarmes lumineuses ne doit pas prendre l aspect d un arbre de No l Une m thode de limitation du nombre d alarmes du type pannes de syst mes est la hi rarchisation On ne signale que les pannes primaires c est dire celles qui sont l origine du non fonctionnement des sous syst mes qui en d pendent Par exemple seule la panne d une g n ratrice lectrique sera signal e mais non la panne des sous syst mes qu elle alimente La signalisation des pannes secondaires n est fournie que sur demande de l op rateur une fois les op rations de sauvegarde effectu es et lorsque le bilan des syst mes disponibles s impose On peut esp rer simplifier le tableau d alarmes en rempla ant des alarmes lumineuses par des alarmes sonores Mais il faut se souvenir qu une alarme sonore n est en g n ral pas per ue en cas de charge de travail intense elle est plus difficile identifier sauf si elle se pr sente sous forme d un message vocal et est plus fugitive En r gle g n rale il vaut mieux utiliser un signal sonore comme signal g n ral d alarme incitant l op rateur chercher l anomalie sur le panneau lumineux et le panneau d instruments Dans la mesure du possible doubler une alarme du type respect des limites par un syst me de surveillance et de
308. r l expert Le probl me est de savoir jusqu o il est raisonnable d aller Reprenons un exemple d j cit Il est raisonnable de limiter le rejet de polluants en provenance d une industrie de fabrication de produits chimiques A un moment donn il est possible avec des moyens techniques acceptables sur le plan conomique de limiter le taux de pollution proximit des unit s de production une valeur de x Ce taux n est pas fameux mais moyennant quelques pr cautions vis vis de la population voisine les risques encourus disent les experts sont raisonnablement faibles Les am liorations de la technique aidant on voit appara tre une possibilit de r duire le taux de pollution La d cision dans ce cas ne fait aucun doute Il faut renforcer les exigences et imposer ces nouvelles solutions technologiques Arrive un moment o le taux de pollution de l avis d une communaut d experts ne pr sente plus qu un risque dit acceptable pour les populations du voisinage Tout le monde est satisfait bien que la querelle sur l effet des faibles doses opposent et opposeront toujours les scientifiques et les cologistes purs et durs Puis les am liorations technologiques se poursuivant il devient possible de diviser encore par un facteur cent le taux de pollution Certains experts d clareront Qui peut le plus peut le moins Puisque cela est possible sur le plan technique et sur le plan conomique pourquoi ne pas l exiger Est c
309. r le automatique de la coh rence des informations et de ne pr senter l op rateur que le r sultat de l op ration de contr le sous la forme d un seul param tre permettant l interpr tation facile de la situation la valeur de ce param tre tant la meilleure estimation possible compte tenu des informations disponibles On voit ici les techniques de l intelligence artificielle s introduire subrepticement L estimation de la meilleure valeur d un param tre peut r sulter en effet de telles techniques encore dans leurs premiers Vive les P pins Tome II 254 balbutiements Il n en est pas moins vrai qu il est temps d en pr voir l utilisation prochaine Une fois de plus ces techniques vont poser de faux probl mes de philosophie d emploi sinon d thique Nous avons d j vu proposer l affichage d un param tre global unique permettant une d cision simple et rapide accompagn de l affichage de tous les param tres l mentaires utilis s pour la cr ation du param tre global L intention tait de demander l op rateur de v rifier la coh rence du r sultat propos par l ordinateur Nous retrouvons ici la d marche na ve d j pr n e dans l a ronautique l occasion de l introduction dans le courant des ann es cinquante des servocommandes et plus r cemment des commandes lectriques Il n est pas inutile de d tailler ces probl mes Au d but des ann es cinquante les avions se sont heurt s au probl me de la cr
310. r panne d un transformateur dans un ensemble d alimentation lectrique panne d un ordinateur par exemples ou par une avarie du mat riel rupture ou blocage d un c ble de commande clatement d un pneumatique rupture d une canalisation hydraulique ouverture d une porte de soute etc Il faut bien noter que les v nements de Sensibilit aux Perturbations Internes ne font intervenir que la r ponse transitoire du syst me l apparition de la perturbation Une fois la panne ou l avarie tablie on se trouve en pr sence d un nouveau syst me ayant ses caract ristiques et ses performances propres et qu il convient d tudier tel quel vis vis des v nements des trois types Ainsi la panne d un r gulateur peut se traduire par un changement brutal de la valeur de consigne et une r ponse plus ou moins rapide du syst me r gul jusqu ce que l op rateur ou une s curit mette le r gulateur d faillant hors service Le transitoire ainsi provoqu d place le point d tat dans l espace d tat Une avarie peut avoir deux effets le d placement du point d tat embard e lat rale sur clatement de pneumatique ou la modification d une limite baisse de la vitesse maximale autoris e si la structure a t endommag e suite une rupture La modification des param tres de fonctionnement est ind pendante du comportement de l op rateur elle ne d pend que des caract ristiques du syst me de la nature et de l amplitude de
311. r sent e avec une interruption bien identifiable faisant comprendre que l chelle de distance ne peut tre respect e Sur une pr sentation cartographique respecter les distances ce point peut sembler vident or les cartes de navigation en approche aux instruments actuellement utilis es sur les avions de ligne ne respectent pas cette r gle ce qui est manifestement une source d erreurs viter les symboles pour repr senter les organes en leur pr f rant des sch mas simplifiant les d tails de construction mais reproduisant l essentiel de la forme et permettant de saisir d un coup d il la fonction et l tat de l organe position ouvert ou ferm sous tension ou hors tension etc viter de ne repr senter les tats des organes que par des couleurs conventionnelles Les diff rents tats seront repr sent s par des variations de forme du sch ma robinet avec un boisseau bouchant ou non la canalisation par exemple limiter l essentiel les renseignements figurant sur le sch ma en particulier les mesures quitte les faire appara tre la demande de l op rateur ou si un seuil est d pass voir le paragraphe concernant les alarmes dans le m me esprit les d nominations d organes seront r duites en nombre l indispensable quitte pouvoir appeler ces renseignements au moment o ils se r v lent n cessaires On r fl chira la possibilit de d nominations et en particulier de num rotation diff rent
312. r acte purement r flexe Ainsi l absence de r f rences visuelles surtout en provenance de la vision p riph rique favorise la d sorientation Ce ph nom ne peut par ailleurs tre aggrav lorsque les informations en provenance de l oreille interne sont en contradiction avec les informations provenant de l il effectuer un virage inclinaison lat rale variable en regardant l aile haute sur fond de ciel pur pas de vision du mouvement se traduit tr s rapidement par un malaise Voler aux instruments avec un horizon artificiel en panne conduit aussi rapidement au malaise car les informations fausses fournies par l instrument et collect es involontairement par l il sont en contradictions avec le mouvement r el de l avion ressenti par l oreille interne en g n ral ce ph nom ne est vit en masquant par un cache l horizon d faillant Deux exemples vont illustrer le probl me de la non corr lation des informations en provenance de l oreille interne et des capteurs des r actions d appui du corps sur le si ge et en provenance de la vision p riph rique Nous avons tous remarqu qu il est tr s p nible de suivre sur un cran de t l vision et encore plus sur un cran large de cin ma les images prises bord d un v hicule en volution Nous prouvons tr s rapidement le besoin de quitter les images des yeux car nous ne ressentons pas les acc l rations qui devraient accompagner les images Cet effet avait d ailleurs t
313. r met en place un syst me sortant de r vision Il le juge bon a priori et cherche la panne ailleurs si une anomalie est d tect e gt L op rateur mesure la tension sur un circuit normalement coup et interpr te ce qu il lit sur le voltm tre comme une erreur de l instrument et non comme la pr sence r elle d une tension exemple de mauvaise utilisation du VAT V rificateur d Absence de Tension gt Au moment pr cis d une action sur une commande une alarme survient L op rateur ne pousse pas le diagnostic plus loin et attribue la cause de l anomalie son action SAT gt L op rateur sait qu une panne est d j survenue Un fonctionnement anormal survient accompagn ou non d une alarme L op rateur attribue ce dysfonctionnement la panne connue sans faire un diagnostic plus approfondi a y est a recommence SAD gt L op rateur refuse d admettre la r alit d un feu moteur Il invoque un mauvais fonctionnement des alarmes En un mot il consid re que cela ne peut lui arriver lui qui n a jamais eu de p pins gt Au cours d une op ration de maintenance dans un atelier de la RATP un op rateur ayant termin sa t che sur fosse transmet l information train bon puis constatant qu il a oubli d effectuer une op ration coupe nouveau le courant verrouille le disjoncteur avec le cadenas et retourne dans la fosse sans pr venir Le conducteur charg de sortir le train sachant a priori le train bon c
314. ract risant les man uvres impos es par l objectif de la t che ou les man uvres de corrections d carts La description des v nements eux m mes doit tre pr c d e d une description des conditions g n rales dans lesquelles se sont d roul s ces v nements conditions physiques telles que temp rature clairage visibilit etc conditions physiologiques psychologiques et sociologiques des op rateurs La connaissance de ces conditions est utile deux titres D une part elles peuvent influer sur l apparition des erreurs A nsi des temp ratures extr mes une ambiance sonore intense la fatigue les soucis personnels etc r duisent les capacit s des op rateurs et favorisent les erreurs sans en tre pour autant la cause directe Elles agissent en tant qu Amplificateurs du Risque d Erreur Leur connaissance permet donc d expliquer l apparition d erreurs aux cours d v nements d op rabilit Tr s souvent la fatigue est cit e comme cause d une catastrophe C est le plus souvent une mauvaise analyse En effet la fatigue ne fait que favoriser l apparition d une erreur mais encore faut il que cette erreur soit potentielle Fatigu ou non si l op rateur n est pas dans une situation o une erreur est possible il n en commettra pas Seuls quelques cas de conditions physiologiques extr mes peuvent tre cause directe de catastrophe vanouissement malaise incapacitant mort subite aveuglement par une lumi re inte
315. rale et que r clame l opinion publique qui ne supporte plus l accident comme une fatalit incontournable Certains esprits audacieux envisagent de supprimer l homme dans le contr le des v hicules du trafic ou des syst mes de production Ind niablement cette solution liminera les erreurs humaines du moins les erreurs de pilotage et de guidage Elle n liminera pas toutefois les erreurs de conception Par ailleurs supprimer l homme au profit des automatismes suppose une connaissance exhaustive de toutes les circonstances que l on peut rencontrer Vive les P pins Tome II 183 au cours des op rations Nous n en sommes pas l il s en faut de beaucoup et nous ne pouvons pas pour l instant nous passer des facult s fondamentales de l homme capacit de reconnaissance de situations non pr vues et capacit de d cision reposant sur des crit res qualitatifs et non quantitatifs La pr sence de l homme est sans conteste une cause d accident mais nous ne pouvons nous en passer car l homme est le seul capable de faire face l impr vu Il faut d ailleurs noter que les statistiques ne nous donnent que les cas o l homme s est montr cause d accident et jamais les cas o l homme a vit l accident gr ce ses qualit s D aucuns rappellent que certains trains le VAL par exemple circulent sans conducteur Ils utilisent cet argument pour montrer que l on peut se passer de l homme et le remplacer par des automatismes Certes il n y a pas
316. ration g de la pesanteur voir Compl ment 1 en fin d annexe C est ainsi qu au cours d un palier acc l r le pilote aura la sensation de voler en mont e et qu au cours d un palier d c l r il aura la sensation de voler en descente Il est bien vident que sur un v hicule terrestre ou marin les sensations seront les m mes mais avec deux diff rences tr s importantes les niveaux d acc l rations usuels y sont beaucoup plus faibles le pilote sait que son v hicule reste sur le sol et il traduit instinctivement la sensation en terme d acc l ration et non en terme de pente s il sait que le v hicule se d place horizontalement Un avion de chasse fortement motoris peut avoir au d collage une acc l ration horizontale voisine de l acc l ration de la pesanteur ce qui conduit la sensation de mont e avec une pente de 45 Un avion de transport du type Concorde a au l cher des freins une acc l ration de l ordre de 0 4 fois l acc l ration de la pesanteur ce qui donne une sensation de mont e sous un angle de 20 environ Vive les P pins Tome II 327 Ce type de d sorientation est en g n ral peu dangereux dans la mesure o la vision du monde ext rieur et en particulier de l horizon permet au pilote de se recaler N anmoins certains accidents au d collage peuvent lui tre imput s lorsque les circonstances d collage de nuit avec mauvaise visibilit pannes de syst mes moteur en particulier absorbant
317. rations administratives ou techniques la justifiant Ce n est pas une raison pour ne pas justifier les proc dures appliquer mais c est un autre probl me am lioration de la conception de la machine et de l interface homme machine conception de la machine ne conduisant pas des situations dangereuses disposition forme lisibilit dimensions facilit d identification facilit d interpr tation des instruments etc disposition forme accessibilit facilit d identification sens d action des commandes etc Nous sommes d j revenus longuement sur ces points dans le guide des erreurs de conception car les moyens et les m thodes mettre en uvre d coulent directement de l identification de chaque Facteur d Erreur et de chaque D faut Op rationnel Syst me am lioration de la documentation et de l information conception de la documentation sous ses aspects mat riels lisibilit couleurs et graphismes commodit de manipulation conception de la documentation pour l adapter aux besoins des op rateurs intelligibilit des textes et des graphiques facilit de recherche d un renseignement am lioration de la formation am lioration de la formation de base am lioration de la formation sp cifique sur la machine am lioration des m thodes de contr le des connaissances modification de la r glementation diffusion de l information sur les incidents potentiel
318. rement on met en service un mat riel X choisi au hasard on observera une dur e de vie T de ce mat riel On peut alors affirmer avant mise en service du mat riel X que la valeur T que l on observera a la probabilit P d tre l int rieur de la bande Te AT Il se peut que les essais sur le premier chantillon se soient d roul s avec des mat riels anormaux conduisant une mauvaise estimation de T et de la marge AT Il se peut aussi que le mat riel X en service soit galement un mat riel anormal La probabilit de s tre trouv par hasard dans ces cas anormaux est 1 P Il est vident que plus on cherche d finir la marge AT avec une probabilit P grande de ne pas se tromper plus pour un essai donn la plage AT est grande On se doute aussi que si l on augmente le nombre des essais on diminue AT pour P donn ou que l on augmente P pour AT donn En d finitive chaque estimation Te de la dur e de vie doit s accompagner d une marge AT et d un niveau de confiance P La dur e de vie moyenne Tm tant ainsi estim e par Te on peut traduire ce r sultat par une probabilit de d faillance par heure de fonctionnement Il est n cessaire de faire quelques hypoth ses suppl mentaires par exemple la probabilit de d faillance ne d pend pas du temps Des calculs classiques de probabilit que nous d velopperons dans le chapitre suivant permettent ainsi de calculer connaissant Te AT la probabilit p
319. ri re sans courir de risque jug excessif cela signifie donc que la probabilit de risque attach e la classe A est de l ordre de 1077 90 000 soit environ 10 heure S1 l on admet que l op rateur d essai n a pas une connaissance exacte de tout ce qui peut arriver un op rateur moyen en service on peut donc admettre que la valeur de 10 l heure est une bonne estimation de la probabilit de risque li e la classe A Nous affecterons la probabilit 10 l heure la classe F Elle est en effet tr s voisine de 1 puisque l op rateur d essai n a pas r ussi atteindre l objectif de la sous phase dans les conditions impos es par la t che Mais cela ne signifie pas pour autant que la catastrophe soit syst matiquement in vitable pour l op rateur mis en service dans la m me situation d o l estimation 10 l heure Ces deux estimations tant faites pour les deux classes extr mes les estimations pour les classes interm diaires se font de fa on arbitraire en supposant que le passage d une classe la classe de risque sup rieur multiplie par 100 la probabilit d accident Ce raisonnement est valable pour les op rations rencontr es dans l industrie et dans le transport Il est r viser pour les op rations spatiales du moins tant que les astronautes ne travaillerons pas 2000 heures par an Dans ces conditions la probabilit d accident au cours de la sous phase s tablit partir du tableau F Probabilit PRO
320. rnir une estimation raisonnable de la masse moyenne des mat riels de m me type sur lesquels nous n avons pas fait de mesure Cette d marche est la m me pour l estimation de la dur e de vie Il s agit partir de mesure de la dur e de vie observ e sur quelques mat riels en laboratoire d en d duire une estimation de la dur e de vie moyenne des mat riels qui seront mis en service dans des conditions r elles d emploi La seule diff rence avec l estimation de la masse moyenne ou de la consommation moyenne est que les mat riels utilis s pour les essais sont n cessairement d truits en fin d essai On retrouve le probl me d tude des allumettes Rien ne sert de savoir qu une allumette particuli re s est bien allum e Par contre il est int ressant apr s avoir test un lot d allumettes d en d duire qu elle est la probabilit de bon fonctionnement d une allumette quelconque de la m me fabrication utilis e dans les m mes conditions d environnement La premi re pr caution prendre pour les essais de laboratoire est de r aliser des conditions de fonctionnement ambiance temp rature pression vibrations humidit etc mise en service et arr t tension d alimentation etc reproduisant au mieux les conditions r elles d emploi Nous supposerons ces conditions r alis es pour les essais d un mat riel donn De nombreuses m thodes d essais peuvent tre utilis es faire fonctionner un seul syst me jusqu l appari
321. ro t que l op rateur a oubli de remettre le courant et de retirer le cadenas il r tablit la tension en court circuitant la s curit impos e par le cadenas gt L op rateur peut galement ne tenir compte que des informations confirmant le mod le a priori qu il s est forg j ai coup le disjoncteur et ai v rifi sa coupure le voltm tre est donc faux et je n en tiens pas compte le cadenas est en place mais je connais l op rateur il est tourdi et ce jour l tr s press de rentrer chez lui gt Dans le m me esprit on remarquera que bien souvent la lecture d un compte rendu de r union on constate que les divers participants n ont entendu que ce qu ils d siraient entendre Vive les P pins Tome II 217 gt CONSCIENCE ERRONEE DE LA SITUATION Mod le de risque erron SR gt L op rateur ne reconna t pas la gravit de la situation parce qu il ignore tre dans un cas dangereux Il ignore que telle vibration dans telle partie de la structure est dangereuse alors qu une vibration de m me amplitude et de m me fr quence est anodine il en a fait l exp rience en d autres endroits gt L op rateur de maintenance ne d branche pas la pompe graisse ignorant le danger de travailler proximit gt Le pilote d avion l ger ne met pas en route la pompe de gavage au d collage car il estime n gligeable le ph nom ne de vapor lock bulle de gaz dans le circuit de carburant bloquant l arriv e d essen
322. robl mes sp cifiques du RCV simul Ce simulateur qui a t achev il y a pr s de vingt ans ne b n ficiait que des techniques d crans CGA 320 x 200 pixels en 4 couleurs Il est vident que les crans actuels 1500 x 900 pixels ou plus de 256 pr s de 17 millions de couleurs facilitent les probl mes d imagerie comme en t moignent les simulateurs de d monstration que nous avons r cemment r alis s Vive les P pins Tome II 285 L avantage de tels simulateurs est de permettre de focaliser l attention de l op rateur stagiaire sur la seule fonction simul e sans se soucier du fonctionnement d ensemble L acquisition des bonnes images mentales et des manipulations r flexes s en trouve d s lors facilit e parce que plus simples et moins nombreuses m moriser Les simulateurs destin s comprendre le fonctionnement du syst me complet La caract ristique essentielle d un tel simulateur est de poss der une interface homme machine identique l interface r elle Pour qu une simulation soit parfaite il faut que la t che impos e l op rateur soit identique la t che r elle identit de t che que l op rateur dispose de moyens d actions identiques sur le syst me simul et sur le syst me r el identit de commandes que l op rateur dispose d informations identiques sur l tat et l volution de l tat du syst me simul d une part et sur l tat et l volution de l tat du syst me r
323. rop d informations certaines informations sont inutiles parce que redondantes ou sans rapport avec le fonctionnement du syst me Fournir toutes les informations utiles Cette r gle peut sembler vidente et pourtant elle est bien souvent oubli e Fournir des informations qui ne soient pas ambigu s Fournir des informations faciles interpr ter les op rations mentales d interpr tation occupent le cerveau de l op rateur qui peut alors laisser chapper une autre information utile commettre une erreur d interpr tation ou ne pas avoir le temps d ex cuter les actions n cessaires sur les commandes Fournir des informations permettant la pr vision Fournir des alarmes qui ne passent pas inaper ues Concevoir des sch mas sur crans adapt s aux op rateurs Ne pas exiger un trop grand nombre d actions sur les commandes et faire en sorte que ces actions soient sans ambigu t faciles concevoir et encha ner Ne pas laisser l op rateur sans information son attention est ce prix Laisser l op rateur la possibilit de fonctionner en boucle c est dire de corriger ses actions en suivant l volution des param tres d tat corriger le fonctionnement en boucle ouverte correspond des actions que l on qualifie d actions exigeant une habilet exceptionnelle de la part de l op rateur Disposer les commandes suivant une logique non contraire la disposition des organes command
324. rvers est celui de la signalisation en relation non biunivoque avec le ph nom ne signaler Ainsi on ne transmet pas la position r elle d un organe l aide d un capteur appropri mais un param tre plus ou moins en relation avec cette position par exemple ordre d un syst me automatique de changement de position en g n ral l ordre est suivi d effet sauf s il y a panne de l actionneur alors ind celable par l op rateur C est ce type d erreur d interface qui est l origine de la catastrophe nucl aire am ricaine de Harrisburg TMI ou de l accident du DC10 d Ermenonville Localisation des commandes Les commandes sont dispos es suivant une logique ne correspondant pas aux besoins des op rateurs leur disposition ne tient pas compte de la repr sentation mentale des op rateurs Il faut noter qu il y a toujours une logique de conception des tableaux de bord mais que cette logique n est pas toujours la bonne surtout sur les syst mes anciens pour lesquels les probl mes d ergonomie taient totalement ignor s les commandes ont t dispos es sur un pupitre par un concepteur n ayant aucun souci d ergonomie il a suivi le cahier des charges dressant la liste des commandes class es suivant un ordre alphab tique ou les a dispos s avec un certain souci d esth tique industrielle etc les commandes sont dispos es de fa on minimiser l encombrement ce qui conduit regrouper arbitrairement des commandes dont les
325. s En attendant que d autres mesures aient pu tre prises il est fondamental de pr venir les op rateurs de l existence d un pi ge potentiel C est insuffisant on ne peut s en contenter mais cela peut provisoirement viter des erreurs fatales Bien entendu il ne s agit pas de se contenter de donner des consignes g n rales de s rieux de travail de vigilance mais de mettre en valeur les pi ges identifi s et de d crire quelques moyens provisoires pour les d tecter et les viter Rappelons quelques r gles g n rales de conception des postes et de r daction des proc dures Elles vont constituer l ossature du guide d observation et de d tection des Facteurs d Erreurs mais ont t pr cis es en d but de chapitre en particulier par des exemples pour tre pratiquement utilisables D tecter les circonstances o une erreur unique de l op rateur peut conduire la catastrophe et faire en sorte que ce genre d erreur ne puisse se produire qu avec une probabilit suffisamment faible pour tre estim e n gligeable syst me de d trompage avertissement du danger de la man uvre en en demandant confirmation syst me automatique interdisant la man uvre dangereuse etc Cette r gle constitue la r gle de conception la plus importante Vive les P pins Tome II 268 Fournir des informations sur les param tres int ressant la s curit et leurs positions relatives par rapport aux limites Ne pas fournir t
326. s v nements pr c dents etc L encore ce type d erreur a t largement d crit L laboration d une mauvaise image mentale conduit une erreur de repr sentation ou une Conscience Erron e de la Situation La lutte contre les erreurs de repr sentation passe par des am liorations technologiques fiabilit des capteurs am lioration des instruments clairage homog n isation des z ros et des chelles r partition spatiale des informations hi rarchisation des alarmes vitant l effet arbre de No l disposition des commandes etc C est l un des r les des simulateurs d tude que d aider au choix des meilleures solutions en la mati re La formation est galement un outil de lutte contre les erreurs de repr sentation La formation permet en effet d atteindre une connaissance d taill e du tableau de bord c est dire des instruments de leur disposition de la signification et du r le de chaque param tre de la disposition et du sens d action et du r le des commandes Un entra nement au simulateur permet d automatiser les op rations les plus courantes et de mettre en m moire les mod les de localisation et de v rification des sources d information les mod les d interpr tation des informations ainsi que les mod les de localisation de v rification et de sens d action des commandes Nous reviendrons sur les caract ristiques n cessaires d un bon simulateur r pondant cet objectif La lutte contr
327. s ce qui constitue un bon guide pr liminaire pour le concepteur mais ces r gles sont en g n ral insuffisantes Seul un passage au simulateur permet de valider les choix effectu s Rappelons toutefois que ces v rifications ne sont valables que dans la mesure o les mod les utilis s sont valables attention aux extrapolations dont nous reparlerons plus loin Les syst mes devenant de plus en plus complexes un certain nombre de m thodes d analyses est devenu n cessaire pour d tecter des fonctionnements n fastes qui peuvent appara tre dans des circonstances particuli res et rares difficilement pr visibles par le simple bon sens au seul examen des sch mas de principe Ce sont les m thodes du type Sneak Analysis M thode de d tection des causes insidieuses Ce genre d outil est s rement destin tre d velopp comme aide la conception Bien entendu les quatre r gles nonc es plus haut ne sont destin es qu limiter les erreurs du genre lapsus calami ce mot s appliquant par g n ralisation audacieuse l erreur mat rielle de frappe de la mauvaise touche au clavier l utilisation d un plan p rim l oubli de recopie d un circuit ou d un l ment de circuit la faute de calcul Elles ne couvrent pas les erreurs de mod les de calcul que nous allons examiner maintenant Vive les P pins Tome II 248 L ing nieur dispose de toute une panoplie de moyens destin s v rifier ou infirmer les choix effec
328. s mais pr visibles gt ORGANISATION Quels moyens pour faire Omd gt L op rateur ne dispose pas des moyens mat riels n cessaires ou adapt s sa prise de d cision abaques ou sch mas incomplets ou peu pr cis par exemple Ce cas est quelque fois difficile distinguer du cas suivant Opd des probl mes d interface Hmd et Hcd ou des probl mes de documentation Dmd et Dcd gt ORGANISATION Comment doit on faire Opd gt Les proc dures de d cision ne sont pas adapt es ou ne sont pas pr cis es gt Les proc dures de d cision sont ambigu s ou difficiles interpr ter en particulier interdiction sur crit res n gatifs du style il n est pas interdit de ne pas ouvrir le robinet si le r servoir n est pas plein gt La proc dure pr voit des v rifications avant enclenchement de la suite des op rations points d arr t mais ne pr cise pas ce qu il convient de faire si les v rifications ne sont pas acquises Par exemple la proc dure pr voit avant intervention sur un circuit de v rifier qu il est bien hors tension Cette recommandation est judicieuse encore faut il pr ciser ce que doit faire l op rateur s il constate que le circuit est toujours sous tension ouvrir le disjoncteur D312 en r f rer la hi rarchie comment et dans quels d lais attendre combien de temps etc Il est clair que laiss sa propre initiative l op rateur peut sortir du domaine de s curit pr vu pour l in
329. s d encombrement videntes Il est donc n cessaire de les compl ter par un Guide objet du pr sent expos Grilles et R pertoire sont donn s plus loin Ce Guide ne peut tre utile qu au sp cialiste de l analyse des fiches de RETOUR D EXPERIENCE Son contenu n a rien de confidentiel mais il est n cessaire de bien conna tre les caract ristiques bonnes et mauvaises de l op rateur humain pour tre en mesure de l utiliser avec profit Il serait illusoire d envisager de le confier aux r dacteurs des fiches en esp rant les voir effectuer des analyses correctes et utilisables Il constitue tout au plus un pense b te permettant au sp cialiste de conforter son analyse pr alable en consultant les exemples d erreurs typiques ou les exemples de d fauts du syst me illustrant chaque case de la Grille ou du R pertoire Il devra tre compl t progressivement par ce m me sp cialiste la lumi re du retour d exp rience lui m me Une partie des consid rations qui vont suivre ont t pr sent es dans les chapitres 9 et 10 Nous les reprenons afin d obtenir un expos complet qui peut tre utilis sans avoir se r f rer ces chapitres La Grille GAFE est constitu e de quatre colonnes correspondant aux quatre types d op rations rencontr es dans l ex cution de la t che et de quatre lignes correspondant aux diff rents Facteurs d Erreurs La derni re ligne est divis e en cinq rubriques correspondant aux cinq types d erreurs de
330. s de forces montre alors que les forces r Retr d une part mg mpg et m g z d autre part tant parall les et proportionnelles m m et Mp Fe les forces T RE et RS sont parall les et proportionnelles m My et mp p mg Verticale apparente mpg RS n mg Ainsi la r action RS du si ge sur le pilote est elle proportionnelle son poids et au facteur de charge n Les sensations du pilote sont celles qu il aurait si la verticale avait tourn pour tre parall le la r sultante RE et si l acc l ration de la pesanteur avait t multipli e par n k Dans le cas d un R d collage o la pouss e des moteurs serait gale au poids de l avion celui ci au l cher des freins est soumis la vitesse est nulle les forces a rodynamiques sont nulles Rr R4R R RF Horizon r el Verticale apparente mpg aux forces de r action du sol G J F Saa g sur le train d atterrissage dont 2 a la r sultante est RT verticale Assiette apparente mm nr quilibrant le poids mg de J Horizon apparent l avion aux forces de propulsion dont la r sultante est F horizontale et suppos e de module gal Verticale mg Hour aux forces de gravit dont la r sultante est le poids mg La r sultante RE de la pouss e F et de la r action RT du sol est alors inclin e 45 degr s sur l horizontale Pour le pilote tout se pass
331. s de maladies Animaux venimeux gt Insectes nuisibles mouches moustiques poux puces termites etc Rongeurs Animaux aquatiques obstruant les canalisations Animaux de grande taille bestiaux et gros gibiers pour les transports terrestres oiseaux pour les transports a riens c tac s pour les transports maritimes b tes f roces Activit s v g tales Algues moisissures mousses etc gt Plantes agressives ronces orties etc gt Plantes envahissantes lierre racines lianes for t vierge plantes aquatiques etc gt Plantes v n neuses Activit s tatiques gt R glementations gt Justice Impositions diverses Activit s des groupes de pression Vive les P pins Tome II 309 D apr s Morris et Goscinny Exemple d v nement redout et de type d agression non cit s dans cette Annexe d montrant que les listes sont loin d tre exhaustives Vive les P pins Tome II 310 ANNEXE 2 Les statistiques montrent que dans 80 pour cent des cas les accidents ont l erreur humaine pour origine Les 20 pour cent restants ont la m me origine mais c est moins grave car ils sont moins nombreux QUELQUES CONSID RATIONS SUR LES PROBL MES DE S CURIT DEMONSTRATIONS DE SECURITE Les objectifs g n raux de s curit que l on impose aux grands syst mes se traduisent entre autres par des objectifs particuliers de fiabilit au niveau des fonctions assur es par chacun des sous
332. s de mise jour des proc dures sont inexistantes peu claires ou trop lourdes Les op rateurs disposent de proc dures incompl tes ne couvrant pas tous les cas possibles La m thode permettant de d terminer la proc dure appliquer repose sur des crit res confus Les op rateurs ne savent pas d terminer si telle proc dure les concerne ou non dans ce cas l La proc dure a t con ue sans se soucier des difficult s d application l op rateur doit effectuer seul plusieurs op rations simultan es n cessitant plus de deux mains la proc dure impose des pointes de charge de travail que ne peut assurer le personnel r ellement mis en place la proc dure ne tient pas compte de la disposition r elle des sources d information et des commandes sur le poste de travail action sur une commande en surveillant le r sultat sur un afficheur situ l autre bout du poste par exemple la proc dure impose une r action imm diate et rapide des v nements rares alors que l op rateur n a rien d autre faire que d attendre probl me de vigilance la proc dure ne pr cise pas les moyens les outils et les informations utiliser la proc dure ne tient pas compte des erreurs possibles des op rateurs confusion de commandes ou d instruments de mesure voisins semblables et mal identifi s La proc dure comporte des op rations de v rification mais oublie de pr ciser les actions entreprendre en cas de v r
333. s des fautes commises mais nous devons galement viter de transformer toutes les erreurs en fautes et chercher syst matiquement le coupable pour chaque catastrophe L am lioration de la s curit passe par l abandon du juridisme aveugle et l adoption de m thodes d analyse constructive des incidents et des accidents en service pour en tablir les causes profondes et non pour d noncer des responsables coupables Vive les P pins Tome II 305 d apr s HERG Vive les P pins Tome IT 306 ANNEXE 1 S curit Situation dans laquelle quelqu un quelque chose n est expos aucun danger aucun risque d agression physique d accident de vol de d t rioration Cette installation pr sente une s curit totale Petit Larousse OBJECTIFS DE SECURITE Toute tude de s curit doit pr ciser quels sont les v nements redout s dont on cherche minimiser la probabilit d apparition et quels sont les types d agressions qui peuvent provoquer ces v nements redout s A titre d exemple lors d une tude de s curit sur un navire destin effectuer une course autour du monde il faudra parmi les v nements redout s placer les avaries de coque ou de flotteur et parmi les types d agressions les objets d rivant en surface Bien entendu d autres v nements redout s et d autres types d agressions doivent tre retenus mais il est n cessaire de bien pr ciser toutes les rubriques retenues en tenant compte du fait que l
334. s erreurs qui est rare mais non l occurrence de chaque erreur Le r le des sc narios tait justement de provoquer cet encha nement malencontreux en favorisant une erreur au mauvais moment ou en interdisant la correction par un v nement ext rieur r aliste judicieusement provoqu Par exemple l quipage attendait le passage la verticale d une balise un instant calcul en tenant compte du vent donn par la m t o Un vent l g rement sup rieur la pr vision retardait l avion Au moment attendu un clair provoquait fugitivement une fausse indication de passage de la balise la situation orageuse tait simul e par de la turbulence et des clairs donc non ignor e par l quipage Au m me instant le contr le de trafic a rien demandait au pilote d annoncer le passage de la balise Cette simultan it d v nements poussait en g n ral l quipage se croire la verticale de la balise et commencer trop t t sa descente dans une r gion montagneuse avec le risque vident de percuter le relief On notera que c est la conjonction rare mais provoqu e par la simulation de nombreux v nements erreurs d estimation du vent clair l instant pr vu du passage de la balise mauvaise indication du r cepteur de la balise trafic radio relief qui conduit une situation dangereuse alors que chaque v nement est banal et relativement fr quent Il faut noter toutefois que l un des sc narios n a conduit aucun
335. s et par le constructeur et par la compagnie utilisatrice Si une faute a t commise dans l un de ces domaines il lui faudra certainement condamner le coupable Mais il est parfaitement possible que l accident ne provienne que de la conjonction malheureuse de la panne normale et pr vue de chacun des trois circuits Et si l occasion de cet accident avec pertes de vies humaines la justice venait mettre son nez dans les dossiers d incidents Cette fois ce sont les responsables de la s curit qui se sentent mal l aise Que r pondre au juge d instruction s tonnant que des incidents analogues se soient d j produits et que l on n ait pas encore r agi Plut t que de risquer une mise en examen et une condamnation ne vaudrait il pas mieux ignorer les incidents et mettre l accident sur le compte de la fatalit Cette attitude peut sembler tonnante mais nous avons connu des responsables d une grande industrie refuser de faire des tudes de s curit de peur de voir la justice se retourner contre eux dans le cas d un accident survenant dans des conditions estim es hautement improbables au cours de l tude et donc cart es juste titre A l occasion d un accident a rien nous avons vu en effet des magistrats d une nation trang re et n anmoins amie faire le raisonnement faux mais tr s convaincant suivant Vous me dites que cet v nement est hautement improbable soit mais il s est produit par cons quent ou bien v
336. s installations le soir en fin de semaine avant un jour ch m avant la p riode de cong annuel Op rations pendant le week end un jour ch m pendant la p riode de cong annuel Changement des quipes de quart Apr s un changement des horaires syst mes de transports D T ches sp ciales Entra nement sur syst me r el Entra nement sur simulateur Essai sur syst me r el Essai sur simulateur Mission non commerciale convoyage tat du syst me l instant de l incident Fonctions non assur es par la machine Capteurs cha nes de transmission de donn es afficheurs en panne Commandes cha nes de commande actionneurs en panne Cha nes de transmission metteurs r cepteurs en panne Syst mes sous syst mes automatismes en panne Facteurs internes sigle Pki Utilisation de m dicaments Absorption d alcool gt Usage de drogues Vive les P pins Tome II 231 Facteurs physiologiques sigle Pg Douleurs t te dents oreilles yeux dos etc Douleurs gastriques abdominales musculaires articulaires etc D mangeaisons Incapacitation vanouissement d c s etc Facteurs psychologiques sigle Pz Peur Angoisse Pr occupations personnelles heureuses r ussite amoureuse promotion gain au jeu etc malheureuses chec amoureux r primande perte au jeu probl mes de sant etc Pr occupations et soucis familiaux maladie d un m
337. s micro ordinateurs personnels lorsque l on s appr te d truire un fichier de donn es ou formater un disque ou une disquette non vierges Sur ordre de destruction ou de formatage appara t un message avertissant des cons quences de cet ordre et demandant confirmation Cette confirmation doit tre faite sous une forme qui ne soit pas r flexe par exemple taper sur la touche Entr e au clavier Ce doit tre une op ration demandant l op rateur une action cognitive par exemple taper les trois lettres OUI au clavier Un syst me automatique ne peut interdire la man uvre car elle peut dans certains cas se r v ler utile et sans les cons quences graves dont seul un op rateur humain peut tre juge limiter les cons quences de la man uvre erron e en agissant automatiquement sur le syst me Par exemple un dispositif coupe la traction sur une locomotive lorsque le m canicien d clenche une action de freinage voir l accident de la gare de l Est au chapitre 7 Un syst me automatique interdit sur v hicule routier le blocage des roues m me si par r flexe le conducteur crase le frein syst me type ABS Si le m canicien d un train ne respecte pas la signalisation d arr t impos par un carr ferm un dispositif automatique le KVB freine le train pour lui viter de p n trer dans une zone prot ger en particulier p n trer sur une voie d j occup e par un autre train Ce dernier exemple est tr s caract
338. se ni les causes de cette erreur Par exemple une Charge de Travail lev e peut amener l op rateur ne pas remarquer la d rive d un param tre important d oublier d ex cuter une action n cessaire de correction d ex cuter une autre action que celle n cessaire de mettre trop de temps l ex cuter d oublier de transmettre un message etc Mais le m me Facteur d Erreur peut ne conduire aucune erreur Mis dans la m me situation avec le m me Facteur d Erreur par exemple au cours d un exercice au simulateur reproduisant cette situation deux op rateurs diff rents ou le m me op rateur au cours de deux exercices diff rents commettront des erreurs diff rentes Ainsi les types d erreur ne sont pas caract ristiques d un Facteur d Erreur Un Facteur d Erreur d finit la situation mentale de l op rateur au moment o il commet une erreur Cette d finition explique pourquoi nous avons mis dans la m me grille GAFE la Charge de Travail lev e l Absence de Stimuli la Maladresse et les Erreurs de Repr sentation Montrons l aide d un mod le de fonctionnement tr s simpliste du cerveau ce que nous appelons situation mentale de l op rateur Dans le cas du premier Facteur d Erreur Charge de Travail lev e le cerveau de l op rateur n a pas assez de neurones disponibles pour ex cuter la t che requise Dans le second cas Absence de Stimuli les neurones sont d connect s de l volution de la t che surveiller et c
339. ses performances Il est galement possible de mesurer sa dur e de vie en le faisant fonctionner en laboratoire et en notant le temps d apparition de la d faillance conduisant la perte de la fonction assur e Pour faciliter le raisonnement nous supposerons que l apparition d une d faillance est du type tout ou rien c est dire que la premi re d faillance conduit la perte de la fonction sans faire appel la notion de fonctionnement d grad qui compliquerait inutilement la notion de mesure de la dur e de vie Ainsi la dur e de vie est un param tre de performance mesurable analogue aux premiers cit s Par contre sa connaissance est sans int r t puisque qu elle n est effective qu une fois le mat riel hors d usage Nous cherchons donc non mesurer la dur e de vie d un exemplaire d un mat riel donn mais valuer la dur e de vie d un exemplaire quelconque de ce mat riel construit en s rie avant la mise en service de cet exemplaire en faisant des mesures sur un chantillon Cette d marche peut se faire galement pour d autres performances du mat riel pour la masse le volume la consommation etc On peut ainsi d sirer obtenir la masse moyenne d un mat riel en faisant la mesure de la masse de quelques mat riels d un chantillon Mais notons bien qu il ne s agit pas de mesurer la masse moyenne des mat riels de l chantillon il s agit partir des mesures des masses des mat riels de l chantillon de fou
340. st class e C Si la r ponse la deuxi me question est OUI apr s avoir h sit r pondre NON la t che est class e B Une fois une classe affect e chacune des t ches celles ci sont regroup es par classes ce qui permet de calculer la probabilit de chaque classe PROBABILIT PROBABILIT GES 180 DE T CHE DE CLASSE Les t ches R1 R32 Rp relevant de la classe A ont t renomm es Ta Ta2 Tan de probabilit s Pa Pa2 Pan Les t ches S1 S2 Sq relevant de la classe B ont t renomm es T1 Th2 Ton de probabilit s P51 Pp2 Pon etc La probabilit PA de la classe A est la somme des probabilit s Par Pa2 Pan La probabilit Pg de la classe B est la somme des probabilit s P 1 Pp2 Pon Etc Vive les P pins Tome II 322 Pour calculer le risque li la sous phase tudi e il reste affecter chaque classe une probabilit de risque Pr l aide du tableau suivant l unit de temps est l heure CLASSE B C D E F Probabilit Conditionnelle d Accident par heure On peut admettre qu un op rateur moyen aura effectuer 2000 heures par an pendant 45 ans soit 90 000 heures pendant toute sa carri re Or la probabilit de p rir dans l heure qui suit de mort naturelle est de l ordre de 107 Un risque est jug acceptable si sa probabilit est du m me ordre de grandeur Si l op rateur admet d effectuer une t che de classe A pendant toute sa car
341. st donc verticale et gale g Si sa vitesse est horizontale et voisine de 7700 m s le rayon de courbure de la trajectoire est R V4 g 6 366 000 rayon de la terre 300 000 m La navette d crit une trajectoire circulaire l altitude constante de 300 km Le vecteur facteur de charge est nul puisque la seule force agissant sur la navette est son poids Il en r sulte que la r action du si ge sur le pilote est nulle Le pilote flotte dans la navette Il est en tat d impesanteur On remarquera qu il est toujours soumis son poids m 8 son acc l ration est donc gale g comme pour la navette Ceci explique le terme impesanteur utilis plut t qu apesanteur qui signifie absence de pesanteur ce qui n est pas le cas m amp mg Vive les P pins Tome II 336 COMPLEMENT 2 L oreille interne L un des trois canaux semi circulaires composant en partie l oreille interne peut tre sch matis comme indiqu sur la figure ci dessous V W Lors d un mouvement de rotation autour d un axe perpendiculaire au plan du canal le liquide lymphatique situ l int rieur du canal a tendance par inertie rester fixe par rapport un rep re li la terre Il est entra n par effet de viscosit par la paroi du canal Le mouvement du liquide qui en r sulte est d tect par la d formation d une masse g latineuse la base de laquelle parviennent les nerfs Cette masse est en quilibre hydrostatique ce qui la re
342. st en volution Cette sensation est maximale lorsque la rotation de la t te se fait autour d un axe perpendiculaire l axe de rotation de l avion et l effet est ressenti comme une rotation autour de la perpendiculaire commune l axe de rotation avion et l axe de rotation de la t te Ainsi le fait de baisser la t te axe de rotation de la t te horizontal gauche droite au cours d un virage en palier axe de rotation de l avion vertical se traduira par une sensation de rotation en roulis balancement gauche droite ou droite gauche Au cours du m me virage le fait de pencher la t te lat ralement axe de rotation de la t te horizontal avant arri re se traduira par une sensation de rotation de tangage cabrer ou piquer Au cours d une ressource le fait de tourner la t te autour d un axe vertical pour regarder sur le c t se traduira par une sensation de roulis le fait d incliner lat ralement la t te se traduira par une sensation de lacet rotation autour d un axe vertical Au cours d un tonneau rotation de l avion autour d un axe parall le la vitesse le fait de baisser la t te se traduira par une sensation de lacet et le fait de tourner la t te pour regarder sur le c t par une sensation de mouvement de tangage On peut d montrer que la rotation d un angle O pendant le temps T autour d un axe perpendiculaire l axe de rotation avion vitesse de rotation Q se traduit par une sensation identique
343. st il recommand au pilote de passer volontairement au vol aux instruments avant de p n trer dans la couche de fa on s habituer aux r f rences nouvelles fournies par les instruments alors que les informations de positions angulaires fournies par la vision p riph rique sont encore disponibles Il est galement recommand de ne pas effectuer si possible de man uvres dans les 30 secondes suivant le passage aux instruments Nous venons de montrer que les informations de position angulaire de l avion fournies par la vision p riph rique taient tr s utiles au pilotage leur absence en vol aux instruments favorise la d sorientation Il faut noter que la sensation de virage permanent alors que l avion vole en ligne droite n est en rien supprim e par l observation de l horizon artificiel c est un processus intellectuel douloureux qui persuade le pilote que ses sensations sont fausses sans pour autant les liminer Par contre cette sensation cesse instantan ment d s le passage en vol vue Les r f rences visuelles sont indispensables au pilotage La lecture de l horizon artificiel ou des instruments pouvant fournir des indications d attitude ou celle des autres instruments altim tre variom tre indicateur de cap bille et aiguille est moins commode que la vue du monde ext rieur mais elle est indispensable Toute tentative de pilotage les yeux ferm s se traduit par une perte de contr le au bout d un temps n exc dant pas
344. suivre la premi re m thode car le risque est faible et l esp rance de gain importante pour lui alors que le chirurgien a int r t suivre la seconde car il finira bien un jour ou l autre s il suit la premi re par tomber sur un mauvais cas qui lui sera pr judiciable Un certain nombre de fractures rel ve de traitements chirurgicaux permettant de r parer le squelette endommag l aide de proth ses internes provisoires ou d finitives Or ces techniques ne sont pas utilis es aux tats Unis On leur pr f re des fixateurs externes qui r parent moins bien mais qui ne font courir aucun risque au m decin qui ne peut se voir reprocher un accident rare l encore mais possible li l acte chirurgical en particulier l anesth sie ou au risque d infection Enfin et nous nous en tiendrons l pour viter la lassitude chez le lecteur le nombre d accouchements par c sarienne augmente r guli rement aux Etats Unis non parce que les femmes deviennent plus fragiles mais parce que le risque de proc s est plus faible pour le gyn cologue que lorsque l accouchement est pratiqu par voie naturelle Il se trouve qu heureusement les ravages du consum risme ne se sont pas encore trop fait sentir en France mais nous sentons venir l orage L affaire r cente de la non d tection par chographie d une malformation du f tus in utero doit nous mettre en garde contre la tentation de supposer que tout dysfonctionnement ne peut que proven
345. sure mis sa disposition est inadapt pr cision chelle trop grande etc gt L op rateur ne dispose pas du personnel qualifi pour effectuer une mesure ou lire une information gt L op rateur ne dispose pas du nombre de personnels suffisant pour surveiller le d placement d une charge au cours d une op ration de manutention gt ORGANISATION Comment doit on faire Ops gt La proc dure mise la disposition de l op rateur ne pr cise pas sur quel instrument relever une information alors que plusieurs afficheurs fournissent la m me information mais avec des pr cisions diff rentes gt CONCEPTION de BASE Hb Nous donnons ici des exemples de d fauts de conception g n raux sans qu il soit possible de les affecter l une plut t qu l autre des colonnes de la grille gt La structure a t con ue en ne tenant pas compte de ph nom nes physiques dangereux dans certaines conditions de fonctionnement ph nom nes de fatigue ou de flottement des structures par exemple Exemple du Comet dont la structure avait t con ue sans tenir compte du ph nom ne de fatigue du fuselage due aux contraintes altern es produites par la pressurisation de la cabine passagers ph nom ne mal connu l poque gt La logique de fonctionnement d un automatisme ne tient pas compte de certaines circonstances rares mais possibles ce qui conduit des r ponses aberrantes de l automatisme ou une mise hors service intempesti
346. sus gestuel On veut atteindre une commande un peu loign e et l on accroche au passage une autre commande Sur mouvement inattendu de plate forme une commande ou une action de travers est enclench e C est souvent ce genre d erreur qui figure implicitement dans les rapports d incidents derri re les vocables maladresses ou action malencontreuse Il est parfois bien difficile l analyse de faire la diff rence entre l erreur gestuelle et l erreur de mod le de localisation des commandes gt CONSCIENCE ERRONEE DE LA SITUATION SPa gt L op rateur agit sur le troisi me levier au lieu du quatri me erreur de mod le de localisation des commandes gt L op rateur ferme une vanne en tournant le volant dans le sens classique alors qu il est en pr sence d une vanne particuli re qui se ferme en sens inverse erreur de mod le de sens d action gt L op rateur ferme CJ 00120 au lieu de CJ00012 par mauvaise identification de la commande erreur de mod le d identification des commandes gt L op rateur v rifie le r sultat de son action sur une vanne par l interm diaire d un poussoir actionnant un moteur de fermeture et se trompe d indicateur de retour de position Les deux derni res erreurs sont rapprocher des erreurs de saisie d information mais r sultats et rem des sont diff rents FACTEURS D ERREUR INDEPENDANTS DU TYPE D OPERATION gt ABSENCE de STIMULI Perte de Vigilance A gt L op rateur plac devan
347. sychologiques des op rateurs ou encore la conception repose sur des principes pouvant conduire dans des cas rares mais possibles des situations dangereuses Ces d fauts sont l origine d une saisie erron e de donn es ou d une erreur d action sur une commande conduisant une erreur de repr sentation A titre d exemples citons les touches d ordinateur trop petites et trop rapproch es probl me de d signation en turbulence les messages comportant des signes tels que ou amp ayant des significations diff rentes d un message l autre les codes de couleurs reposant sur plusieurs philosophies etc Citons les commandes de ponts roulants constitu es d un bo tier comportant six touches align es indiqu es L pour Left gauche R pour Right droite FW pour Forwards vers l avant BW pour Backwards vers l arri re U pour Up haut D pour Down bas alors que le bo tier peut tre orient n importe comment par rapport la charge ce qui fait perdre toute signification aux notions de gauche droite avant et arri re Citons encore le cas o la touche Up est situ e au dessous de la touche Down L encore nous n avons pas invent ces exemples Nous avons donn de nombreux exemples de ce type de d faut d interface dans les chapitres 3 et 4 Les interfaces sont les pupitres d instruments les pupitres de commandes les transparents isolant le poste de pilotage du monde ext rieur les moyens d observation de
348. syst mes Parmi les sous syst mes il ne faut pas oublier les op rateurs humains appel s assurer de multiples fonctions certaines en secours de syst mes automatiques Pour certaines fonctions critiques les probabilit s maximales de perte de la fonction peuvent ainsi tre fix es des valeurs aussi basses que 10 ou 10 par heure 4 Or pour d montrer par des essais que la probabilit de d faillance d un syst me est inf rieure 10 par heure avec un niveau de confiance de 0 9 il est n cessaire d effectuer 2 3 10 heures d essais sans rencontrer la d faillance Le chapitre suivant de cette Annexe pr cise la notion de niveau de confiance et l origine de cette valeur de 2 3 10 6 Ainsi la d monstration directe de 10 par heure exigerait d effectuer 262 560 ans d essais continus On r alise ainsi que seules sont accessibles par des essais directs les probabilit s de l ordre de 10 par heure qui n exigent que 100 jours environ d exp rimentation Il est toutefois n cessaire d effectuer ces essais dans des conditions r alistes respectant les conditions d emploi et d ambiance r elles ce qui n est pas toujours facile l impesanteur est bien videmment irr alisable en laboratoire pour des dur es d essais sup rieures quelques secondes La plus grande prudence est donc n cessaire pour l interpr tation des essais de laboratoire Dans certains cas l exp rience acquise sur des mat riels en service permet d estimer des pr
349. t Avez vous atteint l objectif l mentaire de la sous phase Bien entendu l op rateur doit conna tre l objectif de chaque sous phase avec les tol rances associ es Si la r ponse cette premi re question est NON la t che est class e F Si la r ponse est OUI une deuxi me question est pos e Le risque d erreur au cours de cette t che est il inf rieur au Risque Quotidien Maximal admissible Si l op rateur juge que les conditions d ex cution de la t che n entra nent pas de risque sup rieur au Risque Quotidien Maximal admissible c est qu il admet d ex cuter des t ches analogues pendant toute sa carri re professionnelle en courant un risque global qu il estime suffisamment faible pour tre accept Le risque valuer est soit le risque encouru par l op rateur lui m me soit le risque de provoquer une catastrophe entra nant perte de vies humaines et d g ts mat riels importants Vive les P pins Tome II 321 Dans ces conditions si la r ponse la deuxi me question est OUT sans h sitation la t che est class e A Si la r ponse la premi re question a t OUI mais apr s h sitation la r ponse la deuxi me question ne peut tre que NON et la t che est class e E Si la r ponse la deuxi me question est NON sans h sitation apr s avoir r pondu OUI la premi re la t che est class e D Si la r ponse la deuxi me question est NON apr s avoir h sit r pondre OUI la t che e
350. t et que les pilotes confirm s ne pensent m me pas utiliser Ces remarques font ressortir le fait que l on ne doit pas esp rer faire apprendre piloter sur un simulateur Il est par contre possible de transformer un pilote sur un nouvel avion Dans ce cas le pilote conna t les proc dures g n rales et les ambiances r elles Il ne reste qu lui apprendre les particularit s de la machine qu il ne conna t pas encore Il peut ainsi apprendre les proc dures les m caniser et les comprendre Mais un d butant ne pourra acqu rir sur simulateur ce que l on appelle le sens de l air c est dire la connaissance des conditions r elles d ambiance du vol et des r flexes l mentaires de pilotage Ainsi un simulateur peut il aider un pilote confirm conna tre les particularit s d un nouveau syst me et s entra ner l application de proc dures particuli res Dans le cas d un simulateur d entra nement il est donc recommand de s appliquer reproduire fid lement la disposition des commandes et des instruments de contr le pour que l op rateur puisse acqu rir les automatismes valables pour le r el Par contre un simulateur didactique destin faire comprendre le r le et le fonctionnement des syst mes peut tre moins fid le Il s agit de comprendre intellectuellement avant d acqu rir les automatismes Rendre les commandes aussi r alistes que possible est certainement le crit re le plus facile respe
351. t tre pr f rable d occulter l indicateur de vitesse instrument que le pilote ne peut ignorer au cours de l approche et de lui substituer un message d avertissement du type Attention train non sorti Vive les P pins Tome II 260 Dans la mesure du possible nous l avons d j soulign il est toutefois bien pr f rable de pr senter l information permettant de saisir l tat du syst me sous une forme la plus proche possible de la r alit c est dire sous une forme analogique plut t que sous toute forme symbolique plus difficile interpr ter Il est probable que la vue directe du train plut t que l interpr tation de la couleur de trois lampes viterait des atterrissages train rentr par erreur de repr sentation C est l occasion de se poser le probl me de la pr sentation du r sultat du test de coh rence signal plus haut Une simple alarme sonore ou visuelle est s rement inefficace L op rateur est en tat d erreur de repr sentation diabolique et il risque d carter l alarme sous pr texte que c est encore une fausse alarme ou m me ne pas la percevoir De nombreuses tudes sont encore mener pour pr senter une alarme immanquable Rappelons toutefois que convaincre quelqu un n est pas lui imposer le r sultat mais l amener faire le raisonnement l amenant de lui m me la conclusion Peut tre faudra t il pr senter non le r sultat brutal du test de coh rence mais les arguments ayant conduit d tecter
352. t Une information d interdiction de survol n a pas t transmise ce qui conduit l quipage une mauvaise d cision sur la trajectoire suivre gt DOCUMENTATION Ded gt La documentation sur les mod les de fonctionnement permettant les d cisions est difficilement compr hensible ou trop dispers e et conduit des erreurs de d cision Par exemple les organigrammes de d cision comportent des ambigu t s ou encore ne pr sentent que le mod le de fonctionnement g n ral du syst me et renvoient les cas particuliers des annexes sans en signaler l importance sur le plan s curit gt Une modification des r gles et consignes de conduite de l organisation r partition des t ches par exemple est transmise avec erreurs aux op rateurs gt REGLEMENTATION Rd gt La r glementation impose des accords multiples de la hi rarchie retardant la prise de d cision dans des cas d urgence Vive les P pins Tome II 226 COLONNE t Transmission de l information gt ORGANISATION Qui doit faire Ort gt L organisation n a pas pr vu la liste compl te des metteurs et des destinataires des messages dans tous les cas possibles Par exemple en situation de maintenance lorsqu une impossibilit de poursuivre appara t qui pr venir et quelle information transmettre gt ORGANISATION Que doit on faire Oet gt L organisation n a pas pr vu la liste syst matique des moyens de transmission des messages et des
353. t s au type d avion simul et aux lignes a riennes desservies par la compagnie fran aise dont les quipages volontaires ont accept de participer l exp rience C est alors que l op ration SEMIRAMIS Syst me pour l Etude des Mod les Internes de Repr sentation et Analyse des M thodes d interpr tation de Situations a t mise sur pied avec l aide d AEROFORMATION devenu depuis Airbus Training pour ajuster les m thodes d essais A cette occasion ont t b tis les programmes permettant de relever en cours de simulation les param tres de vol et les commandes de l quipage et de les restituer sur l cran d un micro ordinateur sous la forme soit d un tableau de bord reconstitu soit de la trajectoire vue en plan ou en perspective Au cours de cette op ration est apparue aussi l utilit de l enregistrement vid o et phonie des trois membres de l quipage et de l enregistrement de leurs rythmes cardiaques pour estimer le r alisme de la simulation Vive les P pins Tome II 177 La visualisation du tableau de bord et de la trajectoire ainsi que les enregistrements vid o et phonie taient pr sent s aux quipages juste apr s l essai de fa on provoquer leurs remarques sur les v nements enregistr s et surtout afin d obtenir de leur part des commentaires sur les raisons qui les avaient pouss s prendre telle ou telle d cision bonne ou mauvaise Le fait de leur pr senter le d roulement de l action sous une f
354. t pas le cas pour une transmission d information la distinction est subtile lorsque la transmission d information est l envoi d une valeur de consigne un automatisme Il faut enfin noter qu une t che peut tre d crite par une succession d op rations des quatre types d crits mais nous l avons d j dit cette succession n est pas syst matiquement dans l ordre Saisie d information D cision Transmission et Action Vive les P pins Tome II 210 LES FACTEURS D ERREURS Grille GAFE Les Facteurs d Erreur li s aux caract ristiques et limitations anatomiques et physiologiques des op rateurs gt Charge de travail sigle C La charge de travail est trop lev e conduisant un chec de l op ration par saturation des possibilit s de l op rateur gt Lapsus sigle L ou maladresses Les lapsus peuvent tre gestuels on accroche une commande avec la manche on tape sur la touche d c t on crit une lettre la place d une autre ou on inverse les lettres d une syllabe verbaux on prononce un mot la place d un autre visuels on voit un signal qui n a pas t mis auditifs on entend une alarme qui n a pas retenti Les Facteurs d Erreurs li s aux caract ristiques psychologiques des op rateurs gt Absence de stimuli sigle A Le manque de stimuli en provenance du syst me conduit une perte de vigilance de l op rateur gt Erreur de Repr sentation ou Conscience Erron e de la Sit
355. t terme c est dire ceux figurant dans la d finition de l objectif de la phase en cours Lors du freinage l approche d un carr ferm la position de la motrice est de ce type Lors d une approche avant atterrissage la position de l avion en cart d altitude et en cart lat ral par rapport la trajectoire id ale est galement de ce type Les param tres qui rel vent de la s curit instantan e Ce sont les param tres de pilotage ou les param tres de fonctionnement qui risquent de franchir une limite La vitesse du train la temp rature des freins entrent dans cette derni re cat gorie L incidence l assiette lat rale de l avion en approche sont de ce type Lorsque la difficult de la t che augmente l op rateur ne pouvant plus au del d un certain seuil compenser par augmentation de charge de travail abandonne progressivement la surveillance des param tres de s curit long terme puis la surveillance des param tres de s curit court terme Lorsqu il ne peut m me plus assurer la surveillance des param tres de s curit instantan e la catastrophe ne tarde plus survenir C est l abandon de la surveillance des param tres de s curit court terme qui se traduit par une variation caract ristique des performances de l ensemble syst me op rateur puisque l op rateur ne parvient pas atteindre l objectif de la t che Lorsqu la suite d une augmentation de la difficult on observe une variati
356. t tr s diff rentes la m me t che tant class e par exemple en A par un op rateur et en F par un autre il faut se poser le probl me de la validit de l exp rimentation mauvaise simulation des conditions d emploi mauvaise information des op rateurs etc et rejeter les r sultats tant que les diff rences n ont pas t expliqu es Par contre des faibles diff rences d valuation carts d une classe peuvent se produire Ces r sultats sont directement utilisables de la fa on suivante Les t ches g et i ont t valu es par trois op rateurs O1 O2 O3 Nous divisons artificiellement ces t ches en trois sous t ches go1 Zo2 Sos 101 io2 io et nous r partissons les probabilit s Pg et Pi des t ches g et i entre les sous t ches correspondantes Cette r partition est arbitraire Elle peut se faire de fa on uniforme ou en accordant plus de poids certains des op rateurs Dans notre exemple c est la r partition uniforme qui a t choisie Pg 106 et Pi 3 107 Les trois op rateurs ayant plac la t che g dans la m me classe D la multiplication des op rateurs n a pas chang le r sultat Par contre l op rateur O3 a plac la t che i en classe D et les deux autres en classe E Il en r sulte un l ger changement pour la probabilit de la classe E et peu d effet sur la probabilit de la classe D par rapport une estimation reposant uniquement sur le jugement de l op rateur O1 On notera que les classes o
357. t un panneau de contr le dont les informations sont fig es depuis plusieurs heures ne note pas la d rive d un param tre important ou l apparition d une signalisation ou encore n agit pas sur une commande au moment requis parce que sa vigilance est amoindrie par une situation non volutive ne lui fournissant aucune information int ressante gt Surveillance du scope de contr le pour la d tection des fissures d essieu avec une d tection tr s rare d anomalie gt Surveillance du scope radar pour assurer l anticollision avec les autres navires avec une d tection tr s rare d objectifs gt Au cours d une op ration de maintenance un op rateur laisse d border un r servoir car l op ration de remplissage se d roule depuis de longues minutes sa seule t che tant d attendre la fin de cette op ration gt La situation est stable et l op rateur en conclut qu elle va le rester et qu il n est pas n cessaire de surveiller le processus Il peut aussi faire un diagnostic r flexe reposant sur une erreur de reconnaissance de la situation gt L op rateur ayant transmettre un message de routine au cours d une attente sans rien signaler ne transmet pas le message transmet un message erron ou se trompe de destinataire Il peut galement se tromper de canal de transmission par erreur de touche gt CONSCIENCE ERRONEE DE LA SITUATION Image future erron e SF gt L op rateur utilise un mod le faux d par exemple une
358. te nergie suivant une distribution spatiale fort peu probable les trois circuits furent coup s L quipage qui n avait plus de commandes de vol du tout r ussit le tour de force l aide d un Vive les P pins Tome II 298 pilotage diff rentiel des deux moteurs restant et gr ce la collaboration du Contr le au sol ramener l avion vers un terrain de secours o l avion fit n anmoins un crash assez violent il y eut des morts mais aussi des survivants revenant de tr s loin En un sens cet accident tait pr visible Les avions sont con us pour r sister au givrage qui est un ph nom ne assez bien connu et bien quantifi Les r glements fixent les givrages maximaux consid rer ce qui veut dire que des givrages plus s v res sont possibles et sont quelquefois tr s rarement rencontr s Qu est ce alors qu un risque admissible Y a t il donc un risque admissible Une premi re r ponse consisterait dire c est le risque contre lequel je ne peux rien La fatalit en quelque sorte Nous ne pouvons en rien nous pr munir contre un m t orite qui nous tomberait sur la t te nous sommes donc oblig s d admettre ce risque En fait m me cette r ponse l mentaire est plus complexe qu il n y para t Nous pourrions nous promener munis de casques parapluie r sistant certaines tailles de m t orites qu imaginerait sans peine ce cher savant Cosinus Laissons la fac tie de c t pour constater que l impuiss
359. te A titre d exemple on ne peut se contenter de citer erreur de repr sentation due un mauvais tiquetage d un voyant d alarme encore faut il pr ciser de quel voyant il s agit quelle est sa fonction et en quoi tiquetage est il d fectueux absent de conception absent par d t rioration illisible par usure illisible parce que masqu par une coulure de peinture une tache de graisse message pr tant confusion I et 1 O et 0 B et 8 etc symbole difficile interpr ter etc Une fois de plus rappelons qu il n est pas question de d crire l erreur commise mais les conditions ayant conduit l erreur et d en d duire le D faut du syst me l origine de ces conditions ORGANISATION probl mes de responsabilit d ex cution des t ches Les op rateurs ne connaissent pas clairement quelles sont les t ches dont ils sont responsables par exemple r partition des responsabilit s entre l agent de circulation et l aiguilleur entre le commandant de bord et le copilote Les op rateurs ne connaissent pas clairement le r le de leur chef de leurs coll gues de leurs subordonn s Les op rateurs ne connaissent pas clairement les objectifs des t ches dont ils sont responsables L organisation a mis en place des op rateurs n ayant pas la qualification requise sous qualification et sur qualification Les op rateurs s inventent des objectifs fantaisistes Les op rateurs ignorent quels destinataires i
360. tecture et de forme calculs plus serr s de pi ces l mentaires m thodes nouvelles d assemblage ou d usinage etc Ces moyens sont valables aussi bien pour la structure de l avion lui m me que pour les am nagements cabine les moteurs les syst mes les c blages etc am lioration de la finesse a rodynamique ce qui r duit la pouss e n cessaire des moteurs et donc la consommation kilom trique de carburant Choix d architecture diff rente forme en plan et paisseur relative de la voilure taille du fuselage implantation des gouvernes etc Modification de forme en vol fl che variable becs volets gouvernes par d formation continue de structure etc Soufflage ou aspiration de la couche limite Centrage arri re rendant l avion naturellement instable ce qui augmente la portance donc la finesse m me incidence l avion est alors rendu artificiellement stable par des syst mes automatiques etc am lioration du rendement des moteurs conduisant une r duction de la consommation sp cifique rapport consommation pouss Am lioration du rendement des compresseurs et turbines par am lioration de leurs caract ristiques a rodynamiques am lioration du rendement de combustion optimisation du taux de compression et de la temp rature devant turbine r alisation d une architecture permettant de faire varier le taux de dilution en fonction de la vitesse et du Mach etc Vive les P pins Tome II 246 am liora
361. ternes les v nements de Man uvrabilit caract risant les man uvres impos es par l objectif de la t che ou les man uvres de corrections d carts La description des v nements eux m mes doit tre pr c d e d une description des conditions g n rales dans lesquelles se sont d roul s ces v nements conditions physiques telles que temp rature clairage visibilit etc conditions physiologiques psychologiques et sociologiques des op rateurs La connaissance de ces conditions est utile deux titres D une part elles peuvent influer sur l apparition des erreurs A nsi des temp ratures extr mes une ambiance sonore intense la fatigue les soucis personnels etc r duisent les capacit s des op rateurs et favorisent les erreurs sans en tre pour autant la cause directe Elles agissent en tant qu amplificateurs de gravit de la situation Leur connaissance permet donc d expliquer l apparition d erreurs aux cours d v nements d op rabilit Leur connaissance permet d autre part d estimer la probabilit de retrouver des conditions analogues en service et donc permet de juger l utilit de trouver un rem de pour limiter la probabilit d apparition d incidents du m me type Si ces conditions se r v lent exceptionnelles on peut estimer qu il n est pas n cessaire de pousser l analyse de l incident jusqu la recherche de rem des La GARE dresse la liste des principales conditions g n rales dans lesq
362. tervention d s lors que les limites techniques et fonctions du temps peuvent d pendre d v nements ind pendants du seul op rateur Vive les P pins Tome II 225 gt CONCEPTION de BASE Hb voir les exemples donn s pour la colonne s saisie des informations gt CONCEPTION des INTERFACES Hmd et Hcd Ce type d erreur est g n ralement rare une mauvaise d cision provenant le plus souvent dans le cas d une erreur d interface d une mauvaise information On peut n anmoins citer les quelques ventualit s suivantes gt Une erreur mat rielle dans la pr sentation d un sch ma de d cision sur cran induit une mauvaise d cision de la part de l op rateur Hmd gt Une erreur de logiciel d aide la d cision induit une mauvaise d cision de la part de l op rateur Hmd gt Le cahier des charges de r daction du logiciel d aide la d cision n a pas pr vu le cas particulier dans lequel se trouve l op rateur face son syst me ce qui am ne ce dernier une erreur de diagnostic donc de d cision Hcd gt Un synoptique d aide la d cision par une mauvaise pr sentation par exemple arbre de d cision trop touffu ou par des questions mal pos es par exemple avec des doubles n gations peut conduire une erreur de d cision Hcd gt Une formulation ambigu peut conduire l erreur par exemple si la condition A n est pas r alis e non interdiction de passer la pompe en grande vitesse Hcd gt
363. tion Ls gt CONSCIENCE ERRONEE DE LA SITUATION SPd gt Le pilote ayant lu le cap 80 alors que le cap r el est 30 d cide de virer gauche pour rejoindre le cap 50 SPEd gt Le pilote ayant vu basculer l aiguille du radio compas pense avoir pass la verticale de la balise et d cide la mise en descente alors que le basculement est le r sultat d un clair d orage SPEd gt Centrale de Three Mile Island Une panne des turbines provoque l absence de refroidissement du circuit secondaire et donc une surchauffe du circuit primaire imposant l arr t d urgence automatique chute des barres ouverture d une vanne de d charge pour limiter la surpression transitoire Douze secondes apr s le d but de chute des barres les automatismes envoient comme pr vu l ordre de fermeture de la vanne de d charge Celle ci est signal e referm e mais un incident m canique la maintient ouverte Le chef de quart se fait donc une image fausse de l tat du c ur en train de se vider et il prend la d cision f cheuse mais logique pour lui de couper l alimentation de secours en eau d clench e par les automatismes qui ont d tect une baisse de niveau dans le c ur SPId COLONNE t Transmission de l information gt CHARGE de TRAVAIL TROP FORTE Ct gt l op rateur ayant transmettre un message urgent pendant une p riode charg e ne transmet pas le message en transmet un erron se trompe de destinataire ou de canal de transm
364. tion de la premi re d faillance apr s n heures faire fonctionner q mat riels identiques et noter le nombre n d heures de fonctionnement l apparition de la d faillance du r i me mat riel sans remplacer les mat riels d faillants ou en rempla ant les mat riels d faillants faire fonctionner q mat riels identiques attendre n heures et constater le nombre r de mat riels en d faillance avec ou sans remplacement des mat riels d faillants etc En d finitive nous avons mesur un certain nombre de valeurs de dur e de vie pour quelques mat riels d un chantillon Vive les P pins Tome II 313 Le statisticien consid re que la dur e de vie T d un mat riel est une variable al atoire et ayant mesur quelques valeurs sur un chantillon il essaie de caract riser cette variable al atoire en donnant sa valeur moyenne entre autres sa fonction de r partition etc Ainsi pour une m thode d essai donn e une m thode donn e du choix des mat riels constituant l chantillon et moyennant quelques hypoth ses sur les lois de probabilit s r gissant la variable al atoire T le calcul statistique d termine trois valeurs T AT et P et permet d affirmer que la valeur moyenne du param tre T peut tre estim e Te ATe avec une probabilit P de ne pas se tromper Lorsque P se rapproche de 1 on a de plus en plus confiance dans les r sultats d o le nom de niveau de confiance donn la variable P Si ult rieu
365. tion de la s curit d utilisation Une augmentation de la s curit se traduit par une diminution de la probabilit d accident en utilisation Utilisation par exemple de syst mes interdisant les d passements du domaine autoris pour l avion ou certains sous ensembles interdiction de d passement de l incidence de d crochage Mise en place de syst mes redondants dissemblables limitant les pertes de fonctions vitales am lioration de la s ret d emploi Une augmentation de la s ret se traduit par une meilleure r gularit d utilisation les syst mes remplissant leurs fonctions avec une probabilit de d faillance diminu e Mise en place de syst mes redondants pour limiter les pertes de fonctions interdisant le vol si elles sont d tect es avant d collage augmentation de la dur e de vie Utilisation de mat riaux nouveaux Changement des m thodes d assemblage et d usinage Syst mes automatiques r duisant la fatigue des structures en volution ou en turbulence Changement du domaine de vol vitesse distance franchissable ou de la charge marchande Les moyens sont analogues ceux que nous venons de citer mais les extrapolations sont en g n ral plus audacieuses car il ne s agit pas de gratter seulement quelques pour cents Le passage de Mach 1 pour les avions exp rimentaux au cours des ann es 50 a t rendu difficile du fait de la mauvaise connaissance l poque des ph nom nes a rodynamiques autour de cett
366. tion g n rale gt Une modification des sources d information n est pas signal e ou signal e avec erreurs aux op rateurs panne de capteur changement de type d instrument avec par exemple changement d chelle d placement des instruments sur le tableau de bord avec par exemple interversion de deux instruments mesurant des param tres de m me nature etc gt Une modification des r gles et consignes de conduite de l organisation r partition des t ches par exemple n est pas transmise ou est transmise avec erreurs aux op rateurs Par exemple le changement de fr quence d une balise la mise hors service d une installation ne sont pas transmises ou sont transmises avec retard gt Une modification des commandes position forme identification sens d action etc n est pas signal e ou signal e avec des erreurs aux op rateurs panne changement de type de commande avec par exemple changement de sens d action d placement des commandes sur le tableau de bord avec par exemple interversion de deux commandes agissant de fa on analogue sur le syst me etc gt Une modification des r gles et consignes de transmission une modification de l organisation changement des destinataires des messages une modification d un annuaire n est pas transmise ou transmise avec erreurs aux op rateurs Les consignes provisoires sont transmises avec retard Les consignes provisoires sont transmises sans pr ciser les conditions de val
367. tionnel en entra nement ou en formation au simulateur Op ration type RACHEL analyse de chacun des accidents incidents de la base l aide de grilles adapt es et caract risation de chacun d entre eux par une cha ne d v nements chaque v nement est identifi par un premier code caract risant le Facteur d Erreur et un second code caract risant le D faut Syst me l origine du Facteur d Erreur gt identification de cha nes ou de sous cha nes d v nements semblables sinon communes plusieurs accidents incidents cha nes rencontr es dans des conditions de vol analogues telle cha ne au d collage ne peut tre compar e une cha ne m me analogue en croisi re haute altitude Cette op ration permet de d finir des familles typiques d accidents incidents caract ris es par une similitude au moins grossi re des circonstances essentielles et de la ou des erreurs principales commises Ces familles peuvent tre l origine d un sc nario identification de cha nes ou de sous cha nes d v nements que l on pense tre symptomatiques d un type d accident original L encore ces cha nes peuvent tre l origine d un sc nario si la cha ne identifi e peut tre ais ment simul e laboration d un sc nario sommaire provoquant une cha ne d v nements analogue la cha ne identifi e dans le d roulement d un vol compagnie type c est dire dans le d roulement d une mission bien connue des quipa
368. tions o sentant leur s curit assur e par le moniteur ils n en subissent que les effets physiologiques et non psychologiques ce qui leur vitera l anxi t en op ration r elle l entra nement peut ainsi aider reconna tre le ph nom ne et le combattre Par ailleurs l application de proc dures strictes de pilotage peut limiter l apparition du ph nom ne ne pas concentrer son attention sur un seul instrument v rification crois e de la situation par balayage de tous les instruments de fa on am liorer l valuation de la situation de l avion en oubliant les sensations ne pas bouger la t te en vol aux instruments ou du moins viter les mouvements rapides de grande amplitude en cas de d sorientation passer les commandes au copilote Sur monoplace essayer de se d tendre et effectuer des man uvres amples de roulis contr l es l horizon artificiel ne pas tenter de faire du pilotage mixte en m langeant les r f rences du vol vue et du vol aux instruments passer au vol aux instruments si possible trente secondes au moins avant de p n trer dans la couche rester si possible en vol rectiligne entre 30 et 45 secondes apr s passage au vol aux instruments VI CONCLUSIONS Ce court expos n tait pas destin faire le tour de la question des ph nom nes de d sorientation en vol Il n a trait que quelques cas rencontr s le plus fr quemment et relativement bien identifi s Ils sont dus l
369. toires n fastes la vigilance attention il ne s agit pas de charger les op rateurs par des op rations artificielles ou inutiles etc Cela se traduit le plus souvent par des op rations manqu es l origine d erreurs de repr sentation pour l op rateur lui m me ou pour un autre op rateur qui pense que la t che de son coll gue a t correctement ex cut e Il est noter qu il est quelquefois difficile de distinguer les d fauts de type e Que doit on faire des d fauts de type p Comment doit on faire Est ce la proc dure qui traduit mal la t che ou est ce la t che qui a t mal d finie Il est toutefois important de faire la distinction car les rem des sont diff rents Vive les P pins Tome II 219 la mauvaise conception de la machine sigle H La conception de base repose sur des hypoth ses ne prenant pas en compte toutes les situations envisageables et conduit dans certains cas rares mais possibles des situations dangereuses La conception des interfaces ne tient pas compte des caract ristiques physiques physiologiques ou psychologiques de l op rateur moyen Les interfaces sont les pupitres d instruments les pupitres de commandes les transparents isolant le poste de commande du monde ext rieur les moyens d observation de l environnement les moyens de communication entre les op rateurs les textes de consignes et de proc dures Ces d fauts peuvent tre divis s en trois groupes gt ma
370. trouble Presque tous les pilotes ont rencontr au moins une fois ce type de d sorientation en vol sans visibilit c est un ph nom ne extr mement d sagr able car il oblige le pilote maintenir son attention de fa on quasiment permanente sur l horizon artificiel pour ne pas c der au r flexe qui le pousse agir sur le manche en gauchissement pour corriger le virage d s qu il surveille un autre param tre altitude vitesse pente navigation change radio avec le contr le au sol etc Il est tout aussi difficile de pr ciser quelles sont les circonstances favorisant l apparition de ce type de d sorientation Il appara t toutefois que l absence totale de la vision ext rieure vol de nuit dans la brume vol d entra nement sous capote le vol en patrouille avec un mauvais horizon le pilote l il fix sur le leader ne recueille plus d information visuelle sur sa position par rapport l horizon si celui ci n est pas tr s net une charge de travail lev e qui augmente les seuils de perception minimale un mauvais tat physique et mental l g re congestion des sinus usage de drogues agissant sur la circulation du sang anxi t etc favorisent l apparition de ces troubles Il faut noter qu en vol dans les nuages de jour la vision p riph rique d tecte non pas l assiette lat rale mais les variations d assiette lat rale En g n ral en effet les nuages ne sont pas tr s homog nes variation de teintes paquets pl
371. trouver les d fauts du syst me qui sont l origine d accidents potentiels Mais l on se trouve face une t che de grande ampleur car les incidents sont tr s nombreux Il est ainsi n cessaire de b tir une m thode de classement des incidents permettant de les grouper par familles afin de les retrouver ais ment pour les analyser Pour chaque rapport d incident nous envisageons deux niveaux d tude associ s deux diff rentes m thodes la Codification et l Analyse proprement dite La Codification Il faut noter que le niveau Codification a pour seul objet de fournir des moyens et des crit res permettant d extraire d une base de donn es des sous ensembles pr sentant des similarit s afin d identifier des probl mes op rationnels significatifs et de d gager d ventuels v nements pr curseurs Une fois obtenu un sous ensemble de taille raisonnable par tri automatique il est alors possible d entamer des Analyses d taill es Dans ce but le processus de Codification doit tre relativement simple appliquer par du personnel connaissant les syst mes en cause transport a rien transport maritime ou terrestre centrale nucl aire usine de production etc et ne doit exiger qu un minimum de temps d ex cution La m thode de Codification consiste choisir l une des rubriques suivantes 1 Est ce que l un des Facteurs d Augmentation du Risque de la liste GARE est d une importance telle qu il constitue l explication quas
372. tructeurs Cette tendance a malheureusement un effet n faste sur la s curit a rienne on peut comprendre une tendance chez les constructeurs limiter la circulation des informations sur les incidents ou dysfonctionnements ou ce qui revient pratiquement au m me les faire transiter par leurs services juridiques Pire encore ils pourront h siter imposer les modifications au mat riel que l tude d un incident feraient appara tre souhaitables sinon n cessaires de peur que cette d marche soit interpr t e comme un aveu de n gligence ou imprudence dans la mise en service de ce mat riel dans sa configuration initiale Cet tat d esprit f cheux mais bien compr hensible ne se rencontre pas que dans le domaine a ronautique Citons quelques exemples dans le domaine m dical Le cancer du larynx peut tre soign de deux fa ons Vive les P pins Tome II 293 par voie chirurgicale laryngectomie partielle conservatrice qui risque de provoquer des pneumopathies ou des accidents post op ratoires risques faibles mais non nuls mais qui conduit la gu rison du cancer dans 90 des cas par radioth rapie ce qui ne conduit la gu rison que dans 60 des cas Actuellement la premi re solution n est pas pratiqu e aux tats Unis car un chec est mis sur le compte du chirurgien alors que pour la seconde m thode un chec est mis sur le compte de la maladie Or il est vident que statistiquement un malade a int r t
373. trument avec plusieurs aiguilles ou plusieurs index se d pla ant sur une m me chelle l identification des aiguilles ou des index se faisant par leur couleur un symbole un caract re alphanum rique Plusieurs afficheurs de param tres de m me nature n ont pas les m mes chelles l op rateur peut transposer un param tre en utilisant les r gles de transposition du param tre voisin les z ros sont diff rents les valeurs maximales sont diff rentes la taille des graduations leur nombre sont diff rents gt L affichage se fait par voyant de couleur par clignotement fr quence variable d une fa on g n rale sous une forme symbolique demandant un effort de transposition reposant sur la m moire gt L information est fournie par un signal sonore une alarme en g n ral qu il faut identifier par sa fr quence sonore ou sa fr quence de r p tition gt L information est fournie sous une forme analogique et il faut l interpr ter par un cart par rapport une valeur m moris e sous forme num rique L information est fournie sous une forme num rique et il faut l interpr ter sous forme de vitesse de variation ou d cart par rapport une valeur m moris e Vive les P pins Tome H 274 L information est fournie sur une chelle gradu e en pour cents et les consignes sont fournies sous forme de valeurs absolues imposant la transformation des valeurs lues en valeurs absolues gt Un cas particuli rement pe
374. tu s avec les mod les de calcul existants Ces moyens vont de l essai partiel sur prouvettes maquettes l ments chelle un aux essais sur prototypes Les essais sur prouvette sont par exemple utilis s pour d terminer ou confirmer les caract ristiques l mentaires d un mat riau nouveau d une nouvelle m thode d assemblage ou d usinage Les essais sur maquettes en soufflerie fournissent les caract ristiques a rodynamiques de l avion ou de certaines de ses parties Les conditions de similitudes exactes nombre de Reynolds et nombre de Mach identiques en vol et en soufflerie n tant pas r alis es bien souvent pour des raisons technologiques de taille de maquette entre autres ces essais ne fournissent pas directement les coefficients a rodynamiques de l avion projet Ils sont plut t utilis s pour v rifier la validit des mod les de calcul dans des conditions assez voisines de la r alit et permettre une extrapolation moins hasardeuse Des essais de fonctionnement et de fiabilit de syst mes sont souvent effectu s sur des sous syst mes prototypes plac s dans des conditions d ambiance aussi r alistes que possibles avec simulation par calcul des sollicitations d entr e Par exemple les cha nes de commande de vol lectro hydrauliques sont test es avec simulation des ordres d entr e venant du pilote les r actions de l avion m canique du vol sont calcul es pour introduire par des v rins les efforts a rodynami
375. tuer une man uvre pour ramener le point d tat la valeur de consigne la suite d un d placement d un v nement des deux autres types Ainsi la suite d une erreur d Op rabilit le pilote en approche en turbulence a laiss la vitesse diminuer et l avion passer au dessous de la trajectoire nominale Le pilote tire sur le manche pour accro tre l incidence et pousse les manettes r acteurs Au cours de l op ration de correction le point d tat se d place l incidence se rapproche de la limite de d crochage et ne suit pas n cessairement le trajet inverse du trajet initial d l effet de la turbulence Le trajet de retour est impos par les caract ristiques du syst me et ne d pend pas de l habilet de l op rateur Bien entendu peut se superposer cet v nement de Man uvrabilit un v nement d Op rabilit si l op rateur effectue mal la man uvre de correction ou ne l effectue pas parce qu il n a pas not le d placement du point d tat Mais il ne faut pas confondre ces deux types d v nements les v nements de Man uvrabilit impos s par la mission Par exemple le contr le au sol demande une mise en palier provisoire au cours d une descente Pendant l op ration de mise en palier le point d tat se d place et bien qu allant d une position initiale une position finale respectant toutes deux des marges raisonnables par rapport aux limites il peut se rapprocher provisoirement d une limite ici
376. u l automatiser mais elle a le d faut r dhibitoire de ne pas estimer correctement les connaissances r elles des op rateurs Ou bien la r ponse de la question rel ve du simple bon sens et non des connaissances r elles de l op rateur ou bien la question est pos e de fa on ambigu et seule la connaissance a priori du pi ge permet de r pondre correctement ce qui incite les op rateurs apprendre par c ur les r ponses Il est maintenant possible d automatiser la correction du contr le en profitant des m thodes de simulation sur micro ordinateur obligeant les op rateurs utiliser leurs connaissances r elles pour r soudre les probl mes pratiques pos s Information de Retour d Exp rience Les incidents relev s en service n ont pas fait l objet d une diffusion suffisante aupr s des op rateurs avec mise en garde pour couvrir temporairement des cas analogues probl me de diffusion du Retour d Exp rience entrav e par le souci l gitime d anonymat Les incidents observ s en service par les op rateurs et la hi rarchie de proximit n ont pas fait l objet d un rapport suffisant aux autorit s de s ret rapport ne relatant que les cons quences mat rielles et non la description des v nements l origine de l incident rapport non transmis par crainte de sanctions ou de critiques rapport non transmis car portant sur des v nements d j cit s de nombreuses fois etc Les mauvaises raisons pour bloq
377. u voisinage des limites les alarmes se trouvant la fronti re entre le domaine autoris et le domaine p riph rique Nous dirons qu il y a accident chaque fois qu un param tre d tat franchit une limite Ceci constitue une sch matisation de la r alit mais cette d finition est commode Ainsi assurer la s curit revient fournir l op rateur les moyens de maintenir le point d tat l int rieur des limites Bien entendu cela signifie seulement que dans ces conditions la probabilit d accident est estim e suffisamment faible pour que l accident soit consid r comme raisonnablement improbable Comment se produit l accident c est dire le franchissement d une limite Les r gles d emploi du syst me imposent l op rateur de maintenir le point d tat une valeur nominale ou dans un domaine suffisamment loign des limites En g n ral le franchissement d une limite est d une succession d v nements qui d placent le point d tat On notera qu aucun des v nements ne joue un r le pr pond rant Aussi est il vain de chercher d finir la cause d un accident Chaque v nement joue un r le dans le d placement du point d tat et il suffit qu un seul d entre eux peu importe lequel n ait pas lieu pour que l accident soit vit Ainsi dans les accidents vit s de justesse le near miss des anglo saxons on remarque bien souvent qu il e t suffi de la co ncidence d un seul autre v nement
378. u risque r siduel admissible Tout le monde admet donc qu une probabilit de un sur un milliard par heure de vol pour la panne totale d hydraulique est raisonnable Bien entendu cela signifie que chaque concepteur s assure que les syst mes Vive les P pins Tome II 292 hydrauliques r pondent aux r gles de l art et passent avec succ s les preuves s v res de qualification permettant d affirmer que le niveau de un sur un milliard est raisonnablement assur Il n en reste pas moins qu il reste une chance ou plut t une malchance sur un milliard par heure de vol pour qu une panne totale des circuits hydrauliques ne conduise un jour la catastrophe Or ce n est parce qu un ph nom ne est hautement improbable qu il ne se produit pas Envisageons une flotte de 4000 avions de la classe AIRBUS Si l on admet que chaque avion effectue en moyenne 14 heures de vol par jour chiffre certainement sous estim cela repr sente 4000 x 14 x 365 20 000 000 heures par an Ainsi la probabilit d observer une panne totale d hydraulique de probabilit l mentaire de 10 heure sur un avion de la flotte en 10 ans d utilisation est elle de l ordre de vingt pour cent Que fera alors la justice si un tel v nement malheureux se produit Cherchera t elle un coupable Bien entendu il lui faudra s assurer que toutes les r gles de s curit en mati re de fabrication maintenance conditions d emploi formation du personnel ont t respect e
379. uation Ces facteurs d erreur peuvent tre divis s en cinq groupes gt Une Image Pr sente Externe ou Interne est erron e Sigle SPE ou SPI La mauvaise image provient en g n ral d une mauvaise saisie d une information ou d un message gt Une Image Future Externe ou Interne est erron e Sigle SFE ou SET La mauvaise image provient en g n ral de l utilisation d un mod le de fonctionnement erron gt Une Image D sir e Externe ou Interne est erron e Sigle SDE ou SDI La mauvaise image provient en g n ral de l utilisation d un mauvais mod le de t che gt Utilisation d une Image Externe ou Interne a priori Sigle SAE ou SAD Refus de l information qui permettrait de r tablir la v rit gt Utilisation d un mauvais Mod le de Risque Les images pr sentes futures et d sir es sont exactes mais l op rateur sous estime le risque li la situation Pour une mauvaise estimation du risque correspondant la situation externe sigle SRE Pour une mauvaise estimation du risque correspondant la situation interne sigle SRI Enfin il faudrait ajouter une derni re ligne portant le sigle X pour couvrir les cas qui n entreraient dans aucune des rubriques pr c dentes dans la mesure o nul ne peut pr tendre l exhaustivit Bien entendu une erreur ne peut tre class e dans cette derni re ligne qu avec des justifications appropri es et une r vision de la grille doit tre propos e pour couvrir les cas analo
380. ue 80 de la masse au d collage et la pouss e des moteurs est inchang e Le vecteur facteur de charge toujours parall le la force de pouss e F a maintenant un module gal 1 5 La r sultante R de la pouss e F et du poids mg n est plus verticale Il en r sulte une acc l ration T dont la composante T sur le vecteur vitesse gale dV dt augmente la vitesse et la composante normale 1 courbe la trajectoire vers le bas le rayon de courbure R est donn par R V2 n La r action S du si ge sur le pilote est parall le au vecteur facteur de charge donc parall le l axe du lanceur et gale 1 5 fois le poids m g Le pilote a la sensation d tre toujours dans la m me position par rapport la terre et de subir une pesanteur multipli e par 1 5 Vive les P pins Tome II Lorsque la masse lanceur navette n est plus que 20 de la masse au d collage fin de combustion l assiette est de 20 le facteur de charge toujours parall le la pouss e a un module gal 6 La r action du si ge sur le pilote est parall le l axe du lanceur et vaut 6 fois le poids m g Le pilote a encore la sensation d tre toujours dans la m me position par rapport la terre et de subir une pesanteur multipli e par 6 F Enfin la navette est en orbite 300 km moteur teint Elle est soumise son seul poids mg Zp est l acc l ration de la pesanteur 300 km soit environ 8 94 m s2 Son acc l ration e
381. uelles se sont d roul s les v nements conditions agissant comme Amplificateurs du Risque d Erreurs La GAFE est destin e permettre d identifier le Facteur d Erreur caract risant chaque v nement d Op rabilit Le facteur d erreur ne caract rise pas la nature de l erreur elle m me commise par l op rateur mais plut t les conditions particuli res d ex cution de la t che ayant favoris l apparition de l erreur Mis dans les m mes conditions divers op rateurs commettront des erreurs diff rentes par exemple non observation d une d viation d un param tre important mauvaise d cision d action action intempestive ou non appropri e oubli de transmission d une information transmission d une mauvaise information erreur de destinataire etc Le RADOS est destin identifier le ou les D fauts du Syst me ayant contribu l apparition de chaque v nement d Op rabilit quelquefois l apparition des v nements des deux autres types et enfin l origine des conditions g n rales favorisant l erreur La GASP est destin e identifier le type de perturbation d un v nement de Sensibilit aux Perturbations La GAME est destin e identifier le type de man uvre ex cut e au cours d un v nement de Man uvrabilit Vive les P pins Tome II 206 Ces Grilles et le R pertoire ne peuvent tre utilis s sans quelques explications compl mentaires qu il est impossible d y faire figurer pour des raison
382. uer la remont e de l information sont l gions R GLEMENTATION gt Les r gles impos es n ont pas un objectif de s curit mais des objectifs tr s diff rents par exemple assurer la r gularit des op rations financi res et comptables Une r gle judicieuse une poque devient caduque ou m me n faste une autre poque compte tenu des volutions de la technique ou des m thodes d exploitation Deux r gles r dig es par des organismes diff rents et destin es traiter des v nements redout s diff rents face des types d agression diff rents peuvent se r v ler contradictoires au moment de leur application La m thode d laboration des r gles est d fectueuse Il est tr s commode d noncer une r gle de s curit en imposant un moyen et c est cette m thode qui est utilis e dans de nombreux r glements Elle a l avantage de faciliter la r daction et la v rification de la r gle Le moyen est d crit en termes techniques et il suffit d en v rifier la pr sence et la conformit sur le syst me r alis Nous renvoyons le lecteur au Chapitre 10 pour plus de d tails sur le sujet Vive les P pins Tome II 278 d apr s GOSCINNY et UDERZO Une mauvaise interpr tation peut tre la source d une erreur de repr sentation mais conduit toujours une repr sentation critiqu e Vive les P pins Tome II 279 CHAPITRE 13 Simulateur n m Personne qui simule un trouble un sympt me une m
383. uide LES ERREURS AU MOMENT DE LA CONCEPTION L erreur humaine est l origine de tous les accidents Si les utilisateurs sont mis hors de cause ce sont les concepteurs qui sont responsables Voici l un des lieux communs les plus entendus dans les r unions symposiums ou congr s traitant de la s curit Il est vrai qu un certain nombre d erreurs peuvent tre commises par les concepteurs Quelles sont ces erreurs comment les r duire quels sont les outils et les proc dures nous permettant de les combattre Lorsque l on con oit un nouveau syst me c est avec l id e justifi e de faire mieux que les syst mes en service mieux signifiant des performances sup rieures des co ts de production et d exploitation inf rieurs une s curit d utilisation ou une s ret de fonctionnement accrues La conception n cessite donc le plus souvent une exploration de domaines nouveaux c est dire une extrapolation des connaissances Il est bien vident que toute extrapolation comporte des risques d erreurs Donnons quelques exemples d extrapolations dans le domaine de la conception des avions Sans vouloir tre exhaustif nous pouvons citer performances gales ou voisines m me domaine de vol vitesses et altitudes charge marchande du m me ordre de grandeur r duction des masses vide r duction des co ts de fabrication et d exploitation Utilisation de mat riaux nouveaux composites en particulier changement d archi
384. uipage accepte et ne recalcule pas le carton de d collage ce qui l am ne des vitesses de d cision de lever de roulette et de mont e initiale erron es n assurant pas la s curit au d collage Il ne reconsid re pas la configuration d hypersustentation qu il faut ventuellement envisager erreur d organisation conduisant un non respect des proc dures Ce sc nario repr sentatif d une dizaine d accidents r els n a donn lieu aucune erreur de la part des douze quipages L explication de ce fait surprenant a priori en est que les quipages de l ancienne compagnie UTA qui participaient ces essais rencontraient ce type de situation au cours de leurs missions en Afrique o les changements brutaux de m t o imposent tr s souvent des changements de piste au dernier moment gt en d but de mont e le pilote passe le pilote automatique sur le mode maintien de la vitesse indiqu e IAS HOLD Il est au m me instant perturb par le Contr le de Trafic A rien et ne note pas que le mode IAS HOLD saute et que c est le mode VERTICAL SPEED maintien de la vitesse verticale qui est mis en service extinction du voyant IAS HOLD et allumage du voyant voisin VERTICAL SPEED Au cours de la mont e la vitesse indiqu e r gresse pour maintenir la vitesse verticale constante Le ph nom ne est aggrav par du givrage Enfin des vibrations moteurs dans les tol rances acceptables n anmoins viennent perturber les trois membres d
385. uitif si l on regarde ce sch ma et par un glissement de l image sur le deuxi me cran repr sentant le sch ma agrandi en sens contraire ce qui est beaucoup moins intuitif lorsque l on ne regarde que cet cran Dans le cas d un seul cran d conseill mais quelquefois impos par la place disponible le choix de la m thode de d placement de la zone zoom e sans repasser par le sch ma g n ral devra tre particuli rement tudi car deux solutions sont possibles le sch ma est consid r comme fixe et la souris commande les d placements de la fen tre de visualisation sur le sch ma c est la solution donn e ci dessus ou encore la fen tre est fixe et l on d place le sch ma sous la fen tre ce qui conduit l inversion du sens de la commande par rapport la solution pr c dente mais ce qui semble plus facile interpr ter en absence de vision du sch ma g n ral Vive les P pins Tome II 262 Il est pr f rable que la commande de d placement avec la souris ne se fasse pas par d signation d une direction en cliquant apr s positionnement du curseur sur une bordure ou un coin de l cran ou sur des emplacements s lectionn s sur l cran rectangles identifi s Haut Bas Gauche Droite par exemple Il est pr f rable qu il se fasse en d pla ant la souris dans le sens du mouvement d sir en maintenant le bouton enfonc op ration de brossage La commande de d placement ne doit pas tre constitu
386. ules d essai sont construites avec des m thodes de fabrication en g n ral diff rentes des m thodes de fabrication s rie Un autre ph nom ne limite la r sistance des structures c est le ph nom ne de flottement flutter chez les anglo saxons Ce ph nom ne se traduit par l excitation d un mode de vibration sous l effet de forces a rodynamiques instationnaires dues aux d formations de structure provoqu es par un autre mode de vibration Par exemple la vibration de flexion en envergure d une gouverne provoque des variations locales de forces a rodynamiques qui excitent la vibration en torsion de cette gouverne Ce ph nom ne peut conduire des ruptures en fatigue et dans certains cas flottement explosif se traduire par des ruptures statiques quasi instantan es L encore on dispose de mod les de calcul combinant le calcul des modes vibratoires des structures et le calcul des forces a rodynamiques instationnaires dues aux modes vibratoires Les m thodes de calcul des forces a rodynamiques sont sujettes caution dans le domaine transsonique Les mesures de modes de vibration sont effectu es au sol et ne donnent que les modes vitesse a rodynamique nulle la rigidit de la structure en vol donc ses modes de vibration d pend des efforts a rodynamiques globaux auxquels elle est soumise Des essais en soufflerie sur maquette souples dynamiquement semblables constituent un autre moyen d approche du probl me On voit n anmoi
387. un simulateur d avion sans reproduction du mouvement cabine parce que par r flexes acquis en vol il contractera ses muscles abdominaux sur informations d volutions de l avion provenant de la visualisation du monde ext rieur et de ses actions sur les commandes Par contre un op rateur ignorant tout du vol r el ne ressentira rien Une solution retenue sur les simulateurs d avion base fixe consiste gonfler un coussin sur le si ge pilote au Vive les P pins Tome II 286 moment des acc l rations Si le pilote est soigneusement sangl sur le si ge l augmentation de la r action du si ge sur son corps lui sugg re l augmentation de son poids apparent lors d une volution et l aide recr er psychologiquement l ensemble des sensations per ues dans ces conditions il est impossible de reproduire la sensation d sagr able produite par le mouvement des joues et du menton attir s vers le bas au cours d un virage serr Par ailleurs un op rateur ignorant la conduite r elle du syst me risque d utiliser les petits d fauts de la simulation comme informations compl mentaires parce qu il ne les identifie pas comme tant des d fauts On peut ainsi voir des techniciens charg s d un syst me de simulation mais ignorant la conduite r elle faire preuve d une dext rit vexante pour les op rateurs chevronn s En r alit ils pilotent un autre syst me que le syst me r el avec des informations qui n existent pas dans la r ali
388. une d cision lorsqu il capte des informations lorsqu il transmet un message lorsqu il agit sur une commande ou lorsque qu il ne fait rien et attend il utilise quatre types de repr sentations mentales 1 des images du monde qui peuvent tre divis es en deux types principaux 1a images du monde ext rieur au syst me par exemple positions des autres avions position des obstacles m t orologie pour un pilote d avion Situation de la demande en nergie sur le r seau nergie externe disponible en cas de panne m t orologie glaces entravant la r frig ration pour l op rateur d une centrale nucl aire situation des stockages ext rieurs pour un op rateur d une entreprise de production situation disponibilit des entit s destin es dialoguer au cours de la mission situation disponibilit du r seau de transmission 1b images du monde int rieur au syst me par exemple configuration de l avion couvrant non seulement la configuration g om trique trains et volets mais galement l tat des syst mes moteurs circuit de combustible automatismes marche arr t en panne partielle ou total tat du c ur du r acteur pleine puissance r duit arr t chaud arr t froid de l tage de fourniture d nergie des syst mes de s curit des auxiliaires pour une centrale nucl aire Vive les P pins Tome II 236 tat des machines de production tat des syst mes de transport i
389. une partie de l attention du pilote ont amen celui ci pousser sur le manche une fois l avion d coll pour r duire de fa on r flexe une pente de mont e ressentie comme excessive Les capteurs de gravit sont par ailleurs peu pr cis Lorsque les r f rences visuelles sont mauvaises ils ne permettent pas de reconna tre la verticale avec une pr cision suffisante m me en vol vitesse uniforme donc sans effet de verticale apparente C est ainsi qu un pilote peut prendre pour horizon un faux horizon d cal de quelques degr s vers le haut ou vers le bas banc de brume ligne de nuages en particulier sur horizon marin Cette erreur est en g n ral sans cons quence sauf en cas de vol basse altitude o le pilote peut d couvrir tr s tardivement que telle ligne de cr te est une altitude sup rieure celle estim e par comparaison avec un faux horizon L incident suivant qui n a d ailleurs qu un int r t anecdotique montre bien que l appr ciation de la verticale ou de l horizontale se fait avec une impr cision excessive Un terrain d Afrique poss dait une ligne de balises d entr e de piste qui install e parall lement au sol se trouvait inclin e de quelques degr s sur l horizontale l exp rience a montr que les pilotes non avertis avaient tendance au cours de l approche mettre le plan des ailes parall le la ligne de balises d s que cette ligne tait vue sous un angle suffisamment grand pour pouvoi
390. ur r fl chissez bien aux cons quences de vos d cisions d experts ne restez pas drap s dans une position de vestale etc L opinion publique peut jouer un r le pervers Une d cision technique qui serait parfaitement fond e et faciliterait de fait l extension des centrales nucl aires serait mal venue Sans prendre parti sur le fond il suffit de voir le niveau des arguments pour ou contre Super Ph nix pour r aliser que la s r nit technique ne coule pas de source Le r le ventuel de la justice peut aussi avoir des effets pervers La perspective d avoir peut tre un jour t moigner ou se d fendre dans une action en justice peut distordre le jugement technique et conduire prendre les d cisions les plus faciles d fendre en justice et non les plus appropri es pour la s curit C est le cas actuellement aux tats Unis dans le domaine m dical Devons nous rappeler qu il fut une poque o tant partie dans un accident de la circulation porter secours une victime tait quelquefois interpr t comme un aveu de culpabilit Malgr tous ces d fauts cette approche du probl me est quand m me la moins mauvaise possible pour toute une s rie de raisons qui ont t explicit es plus haut Paraphrasant W Churchill on pourrait dire que c est la plus mauvaise des m thodes mais que les autres sont encore pires La lucidit implique cependant d essayer de minimiser les d fauts du syst me Outre des principes d ordre
391. ur utilise ces mat riels il est vident qu il est inutile de r p ter les essais d homologation au Vive les P pins Tome II 204 cours des essais de certification L utilisation de mat riels homologu s facilite donc la t che de certification mais elle n est ni imposable ni suffisante Il faut en effet v rifier que les performances relev es dans les essais d homologation sont conformes aux besoins de s curit et que les conditions d emploi des mat riels homologu s respectent galement les r gles de s curit Enfin il arrive que le m me technicien responsable de la certification d un avion civil ait galement la responsabilit de v rifier la conformit au cahier des charges des performances d un avion de transport militaire command par l tat Le cahier des charges imposera des r gles de s curit analogues celles impos es aux avions civils mais ces r gles n ont pas le m me caract re Les r gles de certification des avions civils ont rappelons le encore une fois un caract re l gal Par contre le cahier des charges d un avion militaire n est imposable au concepteur qu la suite d un contrat pass par l tat client Rien n emp che le technicien repr sentant de l tat client d imposer des r gles plus s v res ou moins s v res que les r gles de certification En effet les soucis de s curit pour les avions militaires ne sont pas les m mes que les soucis de s curit pour les avions civils Le technicien
392. uration d approche train et volets sortis la Vitesse Maximale Autoris e n est pas la vitesse o pourraient appara tre des ruptures de structure mais une vitesse inf rieure marges pour les volutions et les rafales On remarquera en outre que le franchissement de cette vitesse ne conduit pas la catastrophe on en est encore loin mais impose une r duction imm diate de vitesse au pilote Un tel franchissement doit tre consid r comme un incident d autant plus grave que la p n tration dans le domaine p riph rique a t profonde et durable mais ne constitue pas un accident Par contre si la vitesse de rupture est franchie on peut admettre que la limite absolue a t viol e L tude des v nements d Op rabilit conduit des recommandations tr s diff rentes de celle des deux autres types d v nements Elle a pour objet la pr vention des erreurs des op rateurs C est le domaine des facteurs humains qui nous int resse ici plus particuli rement D tecter des erreurs effectives ou potentielles n cessite une certaine pr paration et la connaissance a priori des types d erreurs g n ralement commises par les op rateurs Examinons les conditions dans lesquelles sont commises les erreurs en notant que ce n est pas l erreur elle m me qui nous int resse mais les circonstances qui ont favoris son apparition G n ralement une erreur est commise dans cinq circonstances l op rateur est d bord par la char
393. ure etc ont des fiabilit s voisines de celle du syst me hydraulique Il serait illusoire d augmenter la fiabilit du seul syst me hydraulique sans augmenter la fiabilit des autres syst mes sinon la fiabilit globale de l avion n en serait pas augment e pour autant On peut admettre que le premier argument est r futable Les ing nieurs n ont qu faire preuve d un peu d imagination Il faut toutefois l encore penser au fait qu augmenter la complexit ne va pas toujours dans le sens de la s curit comme le rappelle le troisi me argument Au deuxi me argument on peut r pondre que le souci de la s curit passe avant celui de la rentabilit Ceci est vrai dans la mesure o les am liorations de s curit ne rendent pas le produit fini conomiquement inexploitable rappelons le vieil adage d j cit la s curit n a pas de prix mais elle a un co t ce qui risque d arriver si l on augmente la fiabilit de tous les syst mes pour r pondre au dernier argument Quelle compagnie ach terait un avion de la taille de l AIRBUS A380 pour transporter une vingtaine de passagers seulement parce que la place disponible dans le fuselage est pratiquement toute occup e par les syst mes En d finitive l ensemble des responsables de la conception des avions des g n rations actuelles est d accord pour admettre que le triplement des syst mes hydrauliques est la solution raisonnable On se reportera au chapitre 15 traitant d
394. us ou moins denses etc et la lumi re du soleil bien que diffuse donne une direction de r f rence Par contre en vol de brume sous une couverture nuageuse importante de jour ou en vol de nuage de nuit la vision p riph rique ne d tecte plus rien D un autre c t il semble qu une forte turbulence ne favorise pas l apparition du ph nom ne peut tre parce que les agitations de l avion d passent en permanence les seuils de perception Un rem de quelquefois recommand consiste effectuer des balancements lat raux soigneusement suivis l horizon artificiel ce qui permettrait de recaler le capteur d acc l ration angulaire au z ro Vive les P pins Tome II 328 II EFFET DE CORIOLIS SUR LES CANAUX SEMI CIRCULAIRES On sait que si un mobile se d place avec une vitesse V par rapport un syst me de r f rence lui m me anim d un mouvement de rotation Q par rapport un syst me de r f rence absolu le mobile est soumis une acc l ration T 2 Q AV A repr sente le produit vectoriel ainsi le vecteur I est il normal au plan contenant Q et V et son module est gal au produit des modules de Q et de V et du sinus de l angle entre Q et V ce module est donc maximal si Q et V sont rectangulaires et nul s ils sont parall les Le liquide contenu dans les canaux semi circulaires est soumis cette acc l ration ce qui peut cr er une sensation parasite de rotation lorsque le pilote bouge la t te alors que l avion e
395. ut pas n gliger cet avertissement et faire quelque chose modifier le mat riel modifier ses conditions d ambiance et d emploi etc LA LOI DE POISSON Temps moyen d apparition d une d faillance Nous supposerons que la probabilit d occurrence de la d faillance du syst me tudi est ind pendante du temps Autrement dit quel que soit l instant t la probabilit d observer une d faillance entre l instant t et l instant t dt est p dt o p est une constante On suppose que la d faillance est caract ris e par le passage brutal un instant donn de l tat fonction assur e l tat fonction non assur e Soit Q la probabilit pour que la d faillance n ait pas t observ e avant l instant t et Q dQ la probabilit pour que la d faillance n ait pas t observ e avant l instant t dt Pour que la d faillance n ait pas t observ e l instant t dt il faut qu elle n ait pas t observ e jusqu l instant t probabilit Q de cet v nement et qu elle n ait pas t observ e entre les instants t et t dt probabilit 1 p dt de ce dernier v nement puisque p dt est la probabilit d apparition de la d faillance entre t et t dt La probabilit de la conjonction de ces deux v nements est donc le produit de la probabilit de chacun soit Q 1 p dt En cons quence Qi dQ Qi 1 p dt soit dQ Q p dt et Qi ePt puisque Q est gal 1 l instant z ro En d f
396. utefois un point important touchant la reconfiguration d un syst me apr s panne Une panne ayant t signal e l op rateur par une alarme appropri e il importe celui ci d effectuer un certain nombre de man uvre pour retrouver un tat s r bien que d grad Plusieurs solutions sont possibles pour aider l op rateur dans cette t che la solution classique consiste lui fournir une proc dure ou une check list qui constitue un r sum de la proc dure un pense b te permettant de n oublier aucune op ration Le choix entre proc dure d taill e et check list d pend de la fr quence de la panne Pour une panne courante une check list est en g n ral suffisante Pour une panne rare il est pr f rable de fournir une proc dure compl te Ce choix d pend galement de la rapidit d intervention n cessaire La difficult principale r side dans la pr sentation de la proc dure d identification de la panne et de choix de la proc dure de reconfiguration une solution moderne mise au point sur les Airbus 320 380 consiste d une part pr senter sur un cran le sch ma du syst me en panne avec identification des organes d faillants d autre part afficher sur un autre cran la check list appliquer Sur le panneau de contr le des syst mes au plafond entre les pilotes la commande du premier organe dont il faut modifier l tat est signal e par l allumage d un voyant L op rateur ex cute alors la premi re op r
397. uvaise conception de base sigle compl mentaire b pour base Structure ne r sistant pas dans des conditions particuli res automatismes conduisant des situations dangereuses gt mauvaise conception de l interface sur le plan ergonomie m canique sigle compl mentaire m pour m canique clairage chauffage ventilation si ges disposition taille des afficheurs disposition taille forme d battements des commandes disposition forme taille couleur caract res des tiquettes gt mauvaise conception de l interface sur le plan ergonomie mentale sigle compl mentaire c pour conception chelles z ros des afficheurs sens d action des commandes synoptiques sch mas sur cran la mauvaise conception de la formation sigle F Ces d fauts peuvent tre divis s en deux groupes gt mauvaise conception de la formation de base sigle compl mentaire b m connaissances dans le domaine de la formation l mentaire lecture criture calcul mental arithm tique langage parl ou crit etc m connaissances dans le domaine des techniques m canique physique lectricit lectronique informatique a rodynamique hydraulique r sistance des structures usinage soudure langage technique etc m connaissances de l organisation g n rale de l entreprise et de ses objectifs des r gles g n rales de transmission de l information des r gles de s curit m connaissances en mati re de facteur
398. uver rem de Pour plaisanter il n est peut tre pas n cessaire de passer beaucoup de temps l analyse d un incident qui s est d roul sur un avion de ligne pendant la nuit de No l dans la turbulence d un gros orage en p riode de gr ve partielle du contr le a rien apr s dix heures de vol avec le ministre des transports dans la cabine un commandant de bord ancien en cours de divorce et couvant la grippe et enfin un tout jeune copilote dont l pouse est sur le point d accoucher Rappelons le il ne s agit pas comme pour une enqu te d accident de d gager toutes les circonstances l origine de l incident mais d identifier les circonstances sur lesquelles nous pouvons agir pour en r duire la probabilit d apparition Nous avons dit qu il faut agir lorsqu un nombre significatif d incidents a t d tect Ce nombre significatif peut se r duire l unit si les cons quences potentielles de l incident sont suffisamment graves et surtout lorsque l on constate que la catastrophe peut tre d clench e la suite d une seule erreur humaine car la probabilit d erreur humaine est trop grande pour faire reposer la s curit sur l hypoth se que l op rateur est suffisamment form et entra n pour viter l erreur Il faut se souvenir qu un op rateur mal entra n commet en moyenne une erreur pour cent actions Un op rateur bien form et bien entra n commet une erreur sur mille actions Un op rateur tr s habile tr
399. ve Exemple de l accident d ARIANE V Un logiciel de surveillance de la d rive lat rale au d part de la fus e a command la remise z ro des centrales inertie provoquant des ordres abusifs de corrections de trajectoires aboutissant la rupture de la structure Ce logiciel parfait pour ARIANE IV a t utilis tel quel sur ARIANE V alors que le domaine possible de d rive lat rale au d collage tait diff rent Exemple de quelques pilotes automatiques des avions de l avant derni re g n ration Le mode de base du pilote automatique en mont e tait un mode assurant une vitesse verticale constante Ce mode tait mis en service automatiquement en cas de d faillance du mode en service sans que l quipage en soit clairement pr venu Or haute altitude le maintien de la vitesse verticale conduit une r duction de la vitesse a rodynamique les moteurs pleins gaz ne peuvent assurer la performance de mont e La r duction de vitesse pouvait alors se poursuivre jusqu au d crochage a rodynamique c est dire la perte de contr le de l avion voir au chapitre 7 l exemple de l accident du DC10 d A romexico Vive les P pins Tome II 223 gt La conception de base peut reposer sur des hypoth ses fausses de fr quence d apparition des pannes ce qui conduit en service des d faillances graves des syst mes avec pertes de fonctions utiles la s curit gt Les seuils d apparition d alarme sont
400. vice nous permettra de d gager les circonstances critiques conduisant l erreur et trouver des rem des pour limiter l apparition de ces circonstances n fastes C est l objet du RETOUR D EXPERIENCE Ce terme de retour d exp rience recouvre de nombreuses acceptions et est utilis pour caract riser des op rations de nature tr s diff rentes Dans de nombreuses industries le retour d exp rience a pour objet de recenser les d faillances des mat riels en service afin d am liorer leur fiabilit souci de s curit et surtout souci d am lioration de la r gularit de fonctionnement L objectif est quelquefois de d terminer les op rateurs risque pour les carter des fonctions de responsabilit Dans le domaine de la chimie le retour d exp rience a pour objet l tude du comportement de l installation de production apr s un incident grave ou un accident par exemple volution d une nappe de gaz ou de fluide toxique apr s rupture des r servoirs ou r actions chimiques se d veloppant dans les produits s chappant intempestivement des r acteurs Ces tudes sont manifestement utiles pour la s curit il est difficile de mod liser ces ph nom nes sans contr ler le mod le par une exp rience qu on ne peut raisonnablement provoquer volontairement mais elles ne correspondent pas notre objectif Dans de nombreux cas les responsables du retour d exp rience ne s int ressent qu aux accidents majeurs ayant entra n destructi
401. vitable qu un risque r siduel existe mieux vaut essayer de l identifier de le chasser avec obstination ou d faut de le borner Comme de plus le travail effectu est imparfait et que les circonstances peuvent changer il faut que cette activit soit continue aid e d une surveillance non moins continue Une volution importante s est donc d velopp e il y a quelques quarante ans L apparition de syst mes tr s complexes comme peuvent l tre un avion moderne une aventure spatiale une centrale nucl aire l importance des dangers courus avions de plus de 400 places risques li s aux mati res fissiles l usage de technologies ou l exploration de domaines d action sur lesquels l exp rience est faible Concorde espace centrales nucl aires rendaient indispensable ce changement de m thodologie On a donc entrepris des analyses tr s d taill es des risques ventuels avec des arbres de d fauts possibles une analyse des cons quences etc Un tel travail tant quasiment infini si l on ne le borne pas on a tent de quantifier les probabilit s des v nements l mentaires participant cette analyse Si une probabilit trop basse peut tre attribu e avec confiance un v nement ou combinaison d v nements la situation correspondante peut alors tre n glig e Bien entendu les r sultats d un tel travail sont constamment utilis s pour concevoir et justifier un syst me aussi s r que possible De plus pour v
402. vu des plans d installations consulter sur le terrain par tous les temps pluvieux ou venteux constitu s d une feuille de six m tres sur deux Information non transmise erreur de transmission liste de destinataires incompl te ou erron e mal pr sent e mat riellement ou mal transmise Fax d fectueux incomplet etc Contenu erron Les donn es fournies par la documentation conduisent des erreurs quant aux mod les utilis s pour la saisie des donn es les d cisions la transmission des informations et les actions sur les commandes La documentation est r dig e par les concepteurs et n est pas adapt e aux besoins de l utilisateur qui n y trouve pas ce qu il y cherche Citons par exemple un manuel de vol d un avion de ligne o il est n cessaire de consulter cinq chapitres diff rents pour identifier les symboles figurant sur la planche affich e sur cran cathodique pour surveillance du train d atterrissage chapitre Train chapitre Commandes de Vol chapitre Frein chapitre Pneumatiques chapitre Commandes de roulage Nous avons vu des cartes d approche de terrains contenant des erreurs sur des rel vements de balises ou indiquant des fr quences fausses Sur l une de ces cartes figurait la mention Attention le GPWS peut retentir au cours de l approche Rappelons que le GPWS Ground Proximity Warning System signale une altitude trop faible par rapport au relief La moiti des pilotes consult s sur la signification

Download Pdf Manuals

Related Search

Related Contents

SoftBank 303SH 取扱説明書  VTech Letter Fun with Phonics User`s manual  Orpie v1.5 User Manual  Omron E6C3-A Rotary Encoder Datasheet  Panasonic KX-FPC91 Plain Paper Thermal transfer Fax  MANUALE USO E MANUTENZIONE Sverniciatore Art. 0024  取扱説明書  informe tercera reunion de expertos gubernamentales en  Lab 4A: Troubleshooting the Boot Process  Hunter Fan 23871 Fan User Manual  

Copyright © All rights reserved.

• https://telegra.ph/Calculate-Wire-Resistor-from-Voltage-Drop-634eaca2-11-16
• https://telegra.ph/Concrete-Mix-Calculator-3547f0f8-11-16
• https://telegra.ph/Wall-Concrete-Volume-Calculator-5847c931-11-13
• https://telegra.ph/u-shaped-steel-weight-calculator-67cfc96b-11-07
• https://telegra.ph/round-bar-weight-calculator-5bf8ceff-11-07
• https://telegra.ph/Calculate-Wire-Resistor-from-Voltage-Drop-165bfdb1-11-18
• https://telegra.ph/Wire-Size-Calculator-From-Voltage-Drop-a48513c6-11-18
• https://telegra.ph/Wire-Size-Calculator-From-Voltage-Drop-fcae9099-11-18
• https://telegra.ph/Calculat-Wire-Area-From-Voltage-Drop-e2aa81bb-11-18
• https://telegra.ph/Calculate-Wire-Resistor-from-Voltage-Drop-29e098a2-11-18