Les atouts du retour d'expérience | Techniques de l'Ingénieur

Quel est l'apport du retour d'expérience à une démarche probabiliste ? Comment l'utiliser le plus efficacement possible ? Quelles sont ses limites ? Le point en situation.

Pour limiter les risques d’accident, les techniciens sont parfois conduits à tripler les systèmes pour éviter la défaillance de l’un d’entre eux. Cette démarche est toutefois souvent critiquée. Reposant sur des essais d’endurance et sur les résultats observés en service réel sur les systèmes analogues, on lui reproche de faire des hypothèses peu fondées sur la fiabilité de chacun des systèmes et donc de se leurrer sur la fiabilité globale du système avec ses redondances.Il y a d’ailleurs mieux : la surveillance du comportement des systèmes au cours de l’exploitation réelle. Si l’on observe des taux de défaillance supérieurs à ceux prévus, il est possible d’en trouver les causes et d’y porter remède avant qu’une catastrophe ne se produise, pour ramener la fiabilité au niveau souhaité. A titre d’exemple on peut constater qu’une rupture de canalisation est due à un niveau vibratoire insoupçonné dans la zone et y installer des protections adéquates. Cette démarche est connue sous le nom de retour d’expérience. Elle consiste à tirer partie des incidents en service sans attendre la catastrophe pour réagir. Mais comment utiliser efficacement ces retours d’expérience ? Que permettent-ils vraiment de faire ? Quelles sont leurs limites ?

Faire attention aux incidents

Parmi les événements qui risquent de réduire la sécurité, il faut citer tous ceux que l’on ne peut imaginer au moment de la conception et qui ne se révèlent qu’au cours de l’utilisation. Prenons un exemple.Les trois moteurs du DC10 sont équipés de bouchons magnétiques qui peuvent capturer, dans le circuit de graissage, des débris métalliques pouvant provenir d’une usure intempestive des roulements. L’examen périodique de ces bouchons permet ainsi de détecter à temps une anomalie et d’y porter remède.

Que voici une disposition judicieuse, utilisée sur la plupart des moteurs, mais à l’origine d’un incident très grave se soldant par la panne en vol des trois moteurs. Heureusement, l’avion après un vol plané depuis l’altitude de croisière jusqu’à 1.000 mètres environ réussit à se poser sans encombre sur un terrain après remise en route de l’un des trois moteurs.Au cours de la nuit précédant ce vol critique, les trois moteurs furent révisés et, suivant la procédure, les trois bouchons furent démontés pour expertise par le service compétent et remplacés par trois bouchons neufs. Or le magasin habituel n’ayant pas les bouchons de rechange, les mécaniciens durent s’approvisionner à un magasin auxiliaire qui leur fournit des bouchons non équipés, contrairement à l’usage, de joints assurant l’étanchéité du circuit de graissage. Ce montage défectueux sans joint se traduisit par une fuite provoquant la panne des trois moteurs en croisière, une fois épuisées les réserves d’huile de graissage.Qui aurait pu envisager un tel scénario ?Bien entendu, une fois l’incident connu, des procédures furent mises en place pour éviter son renouvellement et la sécurité en fut renforcée, en attendant l’apparition d’un autre scénario tout aussi inimaginable a priori. C’est là que le retour d’expérience montre sa nécessité pour détecter les événements imprévisibles au moment de la conception et de la première mise en service.Notre expérience des accidents aériens nous a montré que les accidents et les incidents sont de même nature, les accidents n’étant dus qu’à une succession d’incidents bien connus et qui ont « mal tourné ». Le retour d’expérience consiste ainsi à analyser les incidents pour en tirer profit et non à se contenter d’analyser les accidents qui sont peut-être très instructifs mais heureusement peu nombreux ce qui en rend l’étude peu fructueuse et par ailleurs trop tardive.Dans le cas de l’incident très grave que nous venons de décrire, il faut reconnaître que les utilisateurs du DC10 n’ont pas su tirer partie des précurseurs. En effet plusieurs incidents avaient montré que des montages de bouchons sans joints s’étaient déjà produits, sans autres conséquences que l’arrêt du moteur révisé par panne de graissage, les autres moteurs, non révisés, assurant la sécurité. Mais il n’en avait pas été tenu compte pour modifier les procédures de stockage des bouchons munis de joints ainsi que les procédures de montage comportant une vérification de la présence des joints et les procédures de vérification de l’étanchéité des circuits de graissage. Les montages erronés sans joints s’étaient révélés comme trop fréquents pour que ce type d’événement puisse être considéré comme négligeableLe scénario de l’accident lui-même était imprévisible, mais la réduction de probabilité de panne de graissage était possible.Assurer la sécurité c’est réduire la probabilité d’apparition d’événements qui combinés à d’autres événements peuvent conduire à la catastrophe. Ce n’est pas éviter les incidents (ce qui est impossible), mais faire en sorte que ces incidents ne conduisent à la catastrophe que dans des cas de très faible probabilité.

Faut-il toujours réagir ?

Mais que l’on ne s’y trompe pas. Une fois observée, par retour d’expérience, une défaillance attendue ou non prévue du système, on se retrouve devant le même problème que lors de la conception. La probabilité de l’événement observé est elle suffisamment élevée pour qu’il soit nécessaire de réagir ? Rentre-t-elle dans la statistique prévue ? Faut-il attendre d’autres événements pour agir ? C’est là qu’intervient l’analyse statistique raisonnée. Un événement de probabilité anormalement faible mais de conséquence catastrophique doit-il être néanmoins couvert ? Pour donner un exemple caricatural, une météorite ayant traversé le cockpit d’un avion de ligne et tué le pilote, faut-il installer un blindage adéquat sur tous les avions en service ? Une panne attendue se produisant avec la fréquence prévue doit-elle néanmoins faire l’objet d’une modification réduisant cette fréquence ?Ce n’est pas parce que l’on a observé des événements potentiellement ou effectivement dangereux en service qu’il faut obligatoirement envisager l’application de remèdes toujours faciles à imaginer après coup. Ainsi le retour d’expérience permet de détecter :

des événements potentiellement dangereux, non prévus lors de la conception et de probabilité suffisamment élevée pour que soient prises des mesures réduisant leur probabilité d’occurrence ou leurs conséquences ;
des événements tout aussi potentiellement dangereux et identifiés, mais dont la probabilité d’occurrence avait été jugée, à tort, suffisamment faible pour qu’ils ne fassent pas l’objet de mesure supplémentaire.

Des facteurs économiques peuvent également différer, voire empêcher la mise en oeuvre d’une solution. Prenons l’exemple de la tempête de décembre 1999. Les mises hors service d’un grand nombre de centraux téléphoniques par manque d’alimentation pouvaient être évitées par l’installation, dans chaque centre, d’un groupe électrogène et même, pour plus de sécurité, de deux groupes électrogènes. Cette solution, évidente, a été bien des fois avancée dans les médias. Il est sûr que la perte des moyens de communication peut avoir des conséquences graves et qu’il faut faire quelque chose ! Cette solution ne résout toutefois pas le problème de la destruction des lignes téléphoniques. Qu’à cela ne tienne, installons des groupes électrogènes dans tous les relais de transmission pour la téléphonie portable ! Par ailleurs équipons chaque relais d’antennes rétractables pour en éviter la destruction en cas de vents trop élevés. Bien sûr la rentrée de ces antennes et la mise en route des groupes électrogènes se fera par des automatismes (redondants), alimentés par plusieurs batteries.C’est alors qu’il faut se poser le problème du coût de cette solution. Pour se prémunir contre un événement exceptionnel comme celui que nous avons subi, est-on prêt à payer cinq ou dix fois plus cher nos communications ?Par Jean-Claude Wanner, Académie de l’air et de l’espace Photo © air-safety-security.com

Les autres articles du dossier