Avons-nous tiré les enseignements des accidents de Challenger et Columbia ?

05/09/2017
Auteurs : David Monchaux
Publication REE REE 2005-11
OAI : oai:www.see.asso.fr:1301:2005-11:19817
DOI :

Résumé

Avons-nous tiré les enseignements des accidents de Challenger et Columbia ?

Métriques

11
4
5.16 Mo
 application/pdf
bitcache://b5f56a0aebfa47138661394e50ef7bd1b9f39357

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2005-11/19817</identifier><creators><creator><creatorName>David Monchaux</creatorName></creator></creators><titles>
            <title>Avons-nous tiré les enseignements des accidents de Challenger et Columbia ?</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Tue 5 Sep 2017</date>
	    <date dateType="Updated">Tue 5 Sep 2017</date>
            <date dateType="Submitted">Fri 20 Apr 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">b5f56a0aebfa47138661394e50ef7bd1b9f39357</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>33615</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES À FORTE COMPOSANTE LOGICIELLE Avons-nous tiré les a enseignements des accidents de Challenger et Columbia ? Mots clés Systèmesspatiaux, Sûretédefonctionnement, Accidentologie, Retourd'expérience Par David MONCHAUX EADS Space Transportation Introduction L'objectif de cet article est d'examiner certains des mécanismes ayant conduit aux accidents de Challenger et Columbia, pour poser le problème du point de vue de l'ingénieur Sûreté de fonctionnement travaillant dans le spatial. L'identification de ces mécanismes permettra de proposer des pistes à suivre pour exploiter les leçons de ces tragédies. Les rapports des Commissions d'enquête sont souvent riches en enseignements, et serviront de base de départ à la réflexion (cf. [41, [5] et [9]). Le retour d'expérience d'Ariane 4 et d'Ariane 5 sera aussi examiné. Dans le cas des deux accidents de la navette spatiale, plusieurs points communs ont été mis en évidence, dont les trois suivants, qui seront étudiés dans cet article : . l'influence des facteurs organisationnels et culturels, . l'existence de précurseurs (également dans le cas de l'accident du Concorde), . les aspects cognitifs, ou de perception du risque. 1. Les facteurs organisationnels et culturels Historiquement, la Sûreté de fonctionnement a com- mencé par s'intéresser à la fiabilité des matériels, puis elle a élargi son champ de vision aux erreurs humaines, SSENTIE SYNOPSIS Après l'accident de la navette Challenger en 1986, la NASA a remis en question son organisation,pour répondre aux critiques de la Commission Rogerssur le caractère « silencieux » de son programme de sûreté'. La Commission avait en effet été éton- née de constater l'absence de tout ingénieur sûreté, fiabilité ou assurance qualité lors de la téléconférence fatidique qui avait abouti à la décision de lancer la navette. Dix-sept ans après, l'accident de la navette Columbia a provoqué un nouvel examen critique, et en 2004, la NASA a annoncé la création d'un nouveau Centre de sécurité, le NESC2. En Europe, nous n'avons pas eu à déplorer de pertes humaines lors d'un vol spatial, car contrairement aux États-Unis, à la Russie et maintenant à la Chine, l'Europe a choisi de ne pas lancer de vois habités. Mais après les 73 succès consécutifs d'Ariane 4, son successeur Ariane 5 a connu deux défaillances ayant entraïné la destruction du lanceur,sur les 18 premiers tirs (Ariane 501 et 517). Par ailleurs, le Concorde, un autre grand système complexe, fleuron de l'industrie aéronautique euro- péenne, a lui aussi subi un accident ayant provoqué des pertes de vies humaines. Laquestiondes enseignements des accidents de Challenger et Columbia est donc légitime. S'il est vécu comme la crainte de l'incertitude, le risque peut effectivement paralysertoute initiative mais, inversement, une perception erronée du risque peut entraîner progressivement une normalisation de la déviance (comme le montre l'analyse des exemples de Challenger et Columbia).Certes, la sûreté de fonctionnement permet de prendre en compte l'incertitude qui parasite toute décision, et donc constitue une aide précieuse à la décision, mais encore faut-il qu'elle puisse s'exprimer, et qu'elle soit comprise ! After the SpaceShuttle ChallengerAccident in 1986,NASAtried to reform its organization,to come upto the inquiry Commission's expectations: The Rogers Commission had sharply criticized NASA's "Silent Safety Program", as it was surprised to realize that no safety representative, nor reliability & quality assurance engineer had been invited to the teleconference that led to the Challenger launch décision. Seventeen years later, when the ColumbiaAccident InvestigationBoardissued its report, it critici- zed once again what it described as a non-existent safety pro- gram,and recentlyNASAannouncedthe creationof a new Safety Center,the NESC 2. In Europe,the space industry did not experience any accident with such casualties,becauseit has not completed, up to now, a HumanSpaceFlightprogram.But after 73 hits in a row for Ariane 4, the new-generationlauncher Ariane5 hasfailed twice, causing the destruction of flights 501 and 517. Besides, the Concorde - anotherhigh-tech,high-riskprogram- has been involvedin anair disasterwith loss of lives. Risksimply uncertainty,which can indeedfreezeanyinitiative,but a flawed perception of risks can also lead to a normalizationof deviance.That is where RAMSand dependabilitytechniquesare particularly useful, to take account of uncertainties interfering with everydecision.But Challenger and Columbia examplesshow that some efforts arestill to be made by safety engineersto com- municatebetter andto be better understood. 2 Cf. [5] : "TheSileiit Stifet3 Progriiii". NASA EngineeringandSafetyCenter. REE N° ! t Décembre2005 Do ss ii e r 1 1 1 SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES À FORTE COMPOSANTE LOGICIELLE avant d'intégrer enfin les aspects organisationnels. M. Abramovici rappelle, dans un article sur la culture organisationnelle comme enjeu pour la fiabilité des systèmes (cf. [2]), que l'importance des phénomènes organisationnels est de plus en plus mise en évidence dans l'analyse des accidents. Il s'agit le plus souvent de cas où les dispositifs formels existants se sont avérés insuffisants pour assurer le bon fonctionnement de l'entreprise... et éviter l'accident. Le recours aux théories de l'accident normal et des « organisations hautement fiables » permettra de soulever certaines difficultés inhérentes à différents types d'orga- nisations, ainsi que certains pièges à éviter et les contraintes dont il faut s'accommoder, du point de vue de la fonction Sûreté de fonctionnement. Enfin nous nous attarderons sur la notion de culture de sûreté, si chère au nucléaire, pour poser le problème de son développement dans le spatial. Mais pour commencer, citons quelques exemples concernant le domaine du spatial, soulignant l'importance des facteurs organisationnels : Beagle 2 : La Commission d'enquête mise en place par l'ESA (European Space Agency) et le BNSC (British National Spa ce Centre), à la suite de l'échec de la mission Beagle 2 sur Mars fin 2003, a émis dix-neuf recommandations, qui se focalisent principalement sur les « raisons programmatiques et organisationnelles qui ont augmenté significativement le risque d'échec de Beagle 2 ». Selon le professeur D Southwood, directeur de la science spatiale à l'ESA, « l'échec a été institutionnel ; nous travaillions dans un système qui n'était pas le bon, où les structures de l'organisation n'étaient pas bonnes et dans lequel les gens n'avaient pas le bon niveau d'autonomie, d'autorité ou de ressource » (AFP, 24 mai 2004). L'accident (TAtcantara (Brésil) : L'explosion du VLS brésilien (Veiculo Lançador de Satellites) le 22 août 2003 a causé la mort de 21 techni- ciens dans la destruction du pas de tir d'Alcantara. Le ministère de la Défense brésilien a publié le 16 mars 2004 un rapport d'enquête sur cet accident, dans lequel il évoque une sûreté « relâchée » et des faiblesses organisa- tionnelles. Challenger : Le 28 janvier 1986, 73 secondes après le lancement, la navette Challenger explose à cause de la défaillance d'un joint torique du booster gauche, entraînant la mort des sept astronautes. Le joint défectueux a laissé échapper des gaz brûlants qui ont provoqué l'explosion du réservoir d'hydrogène liquide voisin. Une Commission d'enquête présidée par W. P. Rogers (et souvent désignée comme la « Commission Rogers ») a conduit les investigations sur l'accident, et publié le rapport [5]. Au cours de sa recherche des causes racines de l'accident, la Commission a d'abord porté ses efforts sur la cause technique (le joint torique défaillant), puis sur les pratiques de management de la NASA : En effet, elle a découvert qu'un débat animé entre la NASA et un fournisseur avait eu lieu la veille du lancement, sur les risques pour la navette liés au froid annoncé par la météo (températures inférieures à celles du domaine de qualifi- cation des joints). Les managers de plus haut niveau de la NASA n'étaient pas informés de ce débat, ni des risques. Au fur et à mesure des investigations, la Commission a révélé une culture d'entreprise de la NASA qui acceptait progressivement des risques croissants, et un programme de sûreté largement silencieux et inefficace. En 2003, l'Institut Européen de Cindyniques' (IEC) a récapitulé plusieurs grandes sources de dangers organisa- tionnelles et culturelles, classées en dix catégories (cf. [10]). Dans le cas de Challenger, au moins trois des défi- cits systémiques cindynogènes listés par l'IEC sont pré- sents, et identifiés dans le rapport d'enquête de la Commission Rogers : . Culture d'infaillibilité (symptôme classique : « Nous sommes sûrs du succès. Ce système est garanti contre toute défaillance ». R.P. Feynman, dans son rapport complémentaire sur la fiabilité de la navette [8],évoque la foi fantastique du mana- gement dans le système ") . Subordination des fonctions de gestion du risque aux fonctions de production ou à d'autres fonctions de gestion créatrices de risques (cf. [5]) : « Organizational structures... 1 have placed safe- t) reliability and quality assurance offices under the supervision of the very organizations and acti- vities whose efforts the) are to check ») . Absence d'un système de retour d'expérience (selon la Commission d'enquête, la NASA n'a pas démontré les caractéristiques d'une organisation « apprenante » 5) Columbia : Le le'février 2003, 82 secondes après le lancement de Columbia, un morceau de mousse isolante se détache du réservoir externe et heurte le bord d'attaque de l'aile 3 4 CyndiniqueCyndinique : Sciencedesdangers,du greccindynos,qui évoquel'idéedefougue,deprécipitation,detémérité,derisque. Citation originale: "mamngement's fanta.rtic faith in the machiney ". Citation originalede [5] : "Thespcice ageticy [... 1 has iiot demoiisti-cited the chai-ictei-istics o a learniiig oi-gaili7atioti"..f 1Citation orit REE WII Décembre2005 Avons-nous tiré les enseignements des accidents de Challenger et Columbia ? gauche de la navette. Lors de la rentrée atmosphérique, la brèche ainsi créée dans la protection thermique de l'aile permet à l'air surchauffé de pénétrer, faisant progressivement fondre la structure en aluminium. Les efforts aérody- namiques ont finalement causé la rupture de l'aile et la destruction de la navette, entraînant la mort des sept astronautes. Les facteurs organisationnels et culturels ont été for- tement soulignés par la Commission d'enquête sur l'acci- dent de Columbia. Ainsi, elle affirme dans son rapport (cf. [4]) que la culture d'entreprise de la NASA a joué un rôle aussi important dans cet accident que la mousse iso- lante ( « NASAs organizational culture had as mtich to do with this accident as foam did. »), ou encore que l'agence n'a pas de programme de sûreté indépendant « < The space agenc-y [...] does not have an independent safety program »). En outre, se penchant sur le passé, la Commission d'enquête a également constaté que les faiblesses organi- sationnelles mises en évidence après l'accident de Challenger n'avaient pas été corrigées, malgré plusieurs réorganisations successives. En particulier, un rapport de 1990 sur la nouvelle organisation de la sûreté à la NASA (rapport émis par le US General Accounting Office, inti- tulé « Space Program Safety.- Ftindingfor NASA's Safety Organizations Should Be Centralized ») constate que malgré les efforts post-Challenger pour créer un bureau de sûreté indépendant au sein de la NASA, les services de sûreté « de terrain » ne sont toujours pas indépendants, car ils obtiennent la majeure partie de leur financement des centres d'activité qu'ils sont chargés d'examiner. A la date de l'accident de Columbia, la NASA n'avait toujours pas suivi les recommandations de ce rapport en instituant un financement centralisé pour ses organisations de sûreté, fiabilité, maintenabilité et assurance qualité. En 1999, un groupe d'évaluation indépendant a été mis en place pour auditer les pratiques de la NASA sur le programme Shuttle (SIAT : Shuttle Independent Assessment Team). Ce groupe a une nouvelle fois consta- té que les services de sûreté et de fiabilité n'étaient pas suffisamment indépendants (cf. [4] § 7.1 : « NASA's safety and mission assurance organization was not sufficiently independent »), et que les mêmes problèmes organisationnels que ceux soulevés par la Commission Rogers subsistaient ( « The SIAT [... Ifindings iiiirror those presented by the Rogers Commission »), treize ans après. En 2002, un nouveau groupe ( « Space Shtittle Conipetitive Source Task Force ») fait la même observation sur l'organisation de la sûreté : La NASA n'a toujours pas de fonction « sûreté » réellement indépendante, ayant l'autorité nécessaire pour empêcher un lancement, ou pour stopper la progression d'un élément critique pour la mission. Il apparaît donc que longtemps après l'accident de Challenger, après de multiples rapports répétant les mêmes recommandations, après plusieurs tentatives de réorganisation, les mêmes causes organisationnelles et culturelles ont joué un rôle dans l'accident de Columbia. Le rapport d'enquête est sévère ; selon lui, les systèmes redondants essentiels à toute entreprise confrontée à un haut niveau de risque ont été les victimes de l'efficacité bureaucratique. Des années de réduction du personnel et d'outsourcing ont fait perdre à la NASA une partie de l'expérience et de la connaissance pratique des systèmes qui, auparavant, lui donnaient une capacité de surveillan- ce du niveau de sûreté. Les moyens humains de la sûreté et de l' « assurance mission » ont été réduits, les carrières dans la sûreté ont perdu leur prestige organisationnel, et le programme des vols habités décide lui-même de com- bien de sûreté il a besoin'. La théorie de l'accident normal et des « High-Reliability Organizations » Le rapport de la Commission d'enquête sur l'accident de Columbia [41 puise dans la littérature pour comprendre les causes de la catastrophe. Il met en parallèle deux théories, celle de la « haute fiabilité » (High Reliability Theory) et celle de l'accident normal. La théorie de la « haute fiabilité » cherche à montrer que les organisations opérant dans les domaines techno- logiques à haut risque peuvent être conçues de manière à compenser les faiblesses humaines, évitant ainsi les éventuelles conséquences catastrophiques. Cependant, l'organisation à mettre en place repose sur deux postulats forts (cf. [2]) : . Il est possible de déterminer a priori la totalité des situations de fonctionnement possibles du système, et d'en analyser les risques ; . Il est possible de concevoir un ensemble de mesures afin de prévenir ces risques. L'organisation adéquate doit notamment permettre de contrôler parfaitement le travail de l'homme et d'assurer l'adéquation entre celui-ci et les exi- gences de fonctionnement du système. A contrario, la théorie de l'accident normal, développée initialement par C. Perrow en 1984 (cf. également [2]), 6 Citation originale de [41 : "Rediiiidaiit s.,stenis esse ; îtial to evei-- high--isk etitei-pi-ise havefallei victiiii to btit-eaiie-titie efficienc' Years o'f ivoi-k- force reductions and oiitsoiii-ciiig have ciilledfi-oiii NASA's woi-kfoi-ce the la-vers of evlerience aizd hatids-oti s-vstenis ktioit,ledge that ojice pi-ovi- ded a cap (icin to safet ovet-sight. Sa t at ? d Mi.sioii A.stirajice lei-.oiiiiel have beeii eliiiiiiiated, careei-s iii safet, have lost o-gaiii7ational pi-es-fe, 1 tige, and the Pi-og-at) î nov decides on its owii hom, iiiiieh scifety aiid engineering ove ; -sight it 17eeds ". REE No Il Décembre2005 s s i e r 1 1 1 SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES À FORTE COMPOSANTE LOGICIELLE soutient un point de vue plus pessimiste : les accidents dans les systèmes complexes de haute technologie sont « normaux », et dérivent de la logique même de ces sys- tèmes. Toute organisation visant à éliminer tous les risques serait donc vouée à l'échec. Cependant, malgré la multiplication de tels systèmes, les catastrophes restent rares. Ces deux théories montrent donc leurs limites. Le concept d' « organisation hautement fiable » repris dans [2] est également mentionné par C. Morel, dans sa « Sociologie des erreurs radicales et persistantes » [3]. Un groupe de chercheurs de Berkeley s'est intéressé à certaines organisations, dénommées par eux High- Reliability Organizations (HRO), qui présentent la caracté- ristique d'être particulièrement fiables, alors qu'elles sont confrontées à des activités potentiellement dangereuses et d'une grande complexité. Les HRO que cette école a étu- diées de près sont les porte-avions et le contrôle aérien. Une observation très intéressante de l'école de Berkeley est celle d'un fonctionnement opposé de ces organisations selon qu'elles sont soit dans une situation de routine, soit dans une situation de forte demande (cf. [3] : « Sur un porte-avions, en temps normal, l'organisation bureaucratique domine. Elle fonctionne principalement à l'aide des procédures standard et d'instructions hiérar- chiques. En revanche, en face d'un pie de la demande, quand 90 % des avions sont en l'air, la dimension tech- nique prend le dessus. Les échanges se multiplient (les procédures standards ne suffisent plus) et la ses symboles s'effacent devant l'autorité des fonctions techniques »). Il apparaît que l'organisation « fiable » ou « sûre » ne peut pas reposer uniquement sur des procédures formelles, exécutées passivement par des opérateurs, mais ceux-ci doivent pouvoir déterminer, dans chaque situation, la façon adéquate d'utiliser les règles prescrites, parfois en les complétant ou en les modifiant, la coordination de leurs actions étant assurée par un partage d'hypothèses fondamentales, de valeurs ou de croyances. La perfor- mance en termes de sûreté des HRO est donc en partie due à la culture organisationnelle qui s'y est développée [2]. Organisation centralisée ou décentralisée ? C. Morel, dans sa « Sociologie des erreurs radicales et persistantes » [3], présente différents modèles d'organi- sation, selon la répartition des actions entre les trois archétypes : le manager, l'expert, et le candide. Intéressons-nous plus particulièrement à deux de ces modèles appliqués au cas de la fonction sûreté ou Sûreté de fonctionnement. Par exemple, dans une entreprise organisée en Business Units, la fonction Sûreté de fonctionnement peut être placée au niveau central comme service commun (centralisation), ou distribuée dans les unités opérationnelles (décentralisa- tion). Bien sûr, ces deux modèles sont des extrêmes et toute une gamme de solutions intermédiaires existe. Lorsque la fonction Sûreté de fonctionnement (SDF) est centralisée, la difficulté pour l'ingénieur Sûreté de fonctionnement est l'éloignement des acteurs de terrain, qui seront plus facilement enclins à traiter eux-mêmes des sujets techniques, sans faire appel aux « experts cen- traux ». Cela favorise le développement de l'auto-exper- tise locale. C. Morel explique que « l'auto-expertise est une réponse aux lacunes de l'organisation, et elle perinet souvent d'efficaces ajusteilients. Mais en iiiême tenips, c'est un mécani.sme qui peut enclencher un processus d'erreur collective radicale et persistante. L'auto-exper- tise est à l'organisation ce que la iiiéthode heuristique est à l'esprit humain. (...) elle est capable du meilleur, n2ais elle explique aussi de belles erreurs ». La centralisation de la fonction SDF entraîne un second handicap pour l'ingénieur Sûreté de fonctionnement : la difficulté d'ac- quisition d'une connaissance pratique des systèmes qu'il doit analyser. Inversement, lorsque la fonction SDF est décen- tralisée, en distribuant dans les unités opérationnelles les ingénieurs Sûreté de fonctionnement, le risque est alors un appauvrissement de l'expertise. L'ingénieur Sûreté de fonctionnement y perd dans sa spécialité, mais y gagne dans sa connaissance « de terrain » des systèmes. Une faiblesse de la gestion des risques peut également apparaître lorsque la fonction Sûreté de fonctionnement est subordonnée, hiérarchiquement ou de par son finan- cement, à une fonction créatrice de risques : perte de l'indépendance. Certains auteurs considèrent que la recherche de l'organisation idéale permettant d'éviter l'erreur collective se heurte à un dilemme : la fiabilité d'un système nécessite le découpage des tâches et la décentralisation, mais elle requiert aussi une excellente coordination, donc la cen- tralisation. Une solution serait la décentralisation et la socialisation. La socialisation, qui permet à chacun d'intégrer comme des automatismes les valeurs et les procédures communes de l'organisation, remplacerait la centralisation. On retrouve la notion de culture organisa- tionnelle. Culture organisationnelle de fiabilité et culture de sûreté Une définition largement acceptée du concept de cul- ture organisationnelle est donnée par E. Schein et reprise dans [2] : Elle peut être définie « comme un ensemble d'hypothesesfondanienta les qu'un groupe donné a inven- té, découvert obi constitué en apprenant à résoudre ses problènies d'adaptation à son environiieiiient et d'inté- gration interne. Ces hypothèses ont été suffisaniiiient REE No 11 Décembre2005 Avons-nous tiré les enseignements des accidents de Challenger et Columbia ? confirn lées dans l'action, de sorte qu'on puisse les considérer comme valides, et donc les enseigner à tout nouveau membre du groupe, en les présentant comme la manière appropriée de pouvoir penser et sentir les problèmes de l'action collective ». Il s'agit donc d'une sorte de catalogue d'hypothèses fondamentales sur les bonnes façons de percevoir, penser et ressentir, constituant un référentiel informel, conscient ou inconscient, commun à tous les acteurs de l'entreprise. Ces principes permettent de s'adapter aux cas inhabituels pour lesquels il n'existe pas de procédure formalisée. Par ailleurs, dans le domaine du nucléaire, à la suite de l'accident de Tchernobyl, la communauté nucléaire a élaboré le concept de « culture de sûreté », pour répondre au constat que des procédures rationnelles et des bonnes pratiques ne suffisent pas si elles sont seulement appliquées de manière formelle. En 1991, l'Agence internationale de l'énergie atomique définit la culture de sûreté comme « l'ensemble des caractéristiques et des attitudes qui, dans les organismes et chez les individus, font que les questions relatives à la sûreté des centrales nucléaires bénéficient, en priorité, de l'attention qu'elles méritent en raison de leur importance ». Parmi ces valeurs, on doit retrouver notamment une attitude de remise en question systématique, un refus de se contenter des résultats acquis, etc. Plusieurs des valeurs et attitudes individuelles promues par FAIEA se retrouvent dans le domaine des sous-marins nucléaires, en particulier le Naval Reactor Program aux États-Unis. Pour n'en citer qu'une, ce programme encourage très concrètement les opinions minoritaires et les « mauvaises nouvelles ». Les responsables mettent l'accent sur le fait que si aucune opinion minoritaire n'est exprimée, il incombe au management d'effectuer un examen appro- fondi et critique : la meilleure réponse d'un manager à un accord unanime est de jouer lui-même l'avocat du diable Ainsi les points de vue alternatifs et les questions critiques sont toujours favorisés (cf. [4] § 7.3 - « Evaluating Best Safety Practices »). Ce point est important, car un processus formel de remontée des opinions ou avis contraires ne suffit pas : un tel système existait à la NASA au moment de l'accident de Columbia (le NASA Safety Reporting System était censé permettre l'expression anonyme), mais en pratique les opinions « dissidentes » ou les avis contraires avaient tendance à être étouffés au cours de la remontée dans la chaîne de communication et de management.c Qu'en est-il dans le domaine aéronautique et spatial en Europe ? En Europe, nous n'avons pas eu à déplorer de pertes humaines lors d'un vol spatial, car contrairement aux États-Unis, à la Russie et maintenant à la Chine, l'Europe a choisi de ne pas lancer de vols habités (abandon du programme HERMES). Mais après les 73 succès consé- cutifs d'Ariane 4, son successeur Ariane 5 a connu deux défaillances ayant entraîné la destruction du lanceur, sur les 18 premiers tirs (Ariane 501 et 517 1). Les questions de fiabilité ou assurance mission restent donc plus que jamais d'actualité, et bien sûr la sécurité au sol - et celle de l'ISS'dans le cas du cargo ATV - est toujours une exigence forte. Par ailleurs, le Concorde, un autre grand système complexe, fleuron de l'industrie aéronautique européenne, a lui aussi subi un accident ayant provoqué des pertes de vies humaines. Sans vouloir analyser en profondeur les différentes organisations de sûreté et de fiabilité en place en Europe dans le domaine aéronautique et spatial (l'auteur n'ayant pas la vision d'ensemble nécessaire à un tel examen), mentionnons néanmoins quelques points marquants : . Chez Airbus, chaque sous-système est sous la res- ponsabilité d'un binôme : un concepteur et un ingénieur Sûreté de fonctionnement. Il y a donc une décentralisation importante de la fonction Sûreté de fonctionnement (meilleure connaissance pratique des systèmes), complétée par une organi- sation centralisée et forte pour la méthodologie Sûreté de fonctionnement (les outils d'analyse sont imposés) et le retour d'expérience . Chez EADS Space Transportation, l'organisation évolue vers une position intermédiaire entre la cen- tralisation et la décentralisation de la fonction Sûreté de fonctionnement : Cette fonction est cen- tralisée dans un « Competence Centre », qui détache de manière temporaire des ingénieurs dans les « Business Lines ». Toute la difficulté réside dans le dosage, pour éviter de retomber d'un côté ou de l'autre (centralisation ou décentralisation) ; il s'agira de garder les avantages des deux modèles, plutôt que d'en cumuler les inconvénients... . Concernant la remontée des opinions dissidentes : sur le programme Ariane 5, les points critiques (PC) sont un outil de remontée d'information sur les risques. Mais dans un souci de juguler l'explosion du nombre de points critiques, chaque PC doit être 7 8 9 CommedisaitConfuciusà proposd'un de sesdisciples,« Zilll al) pt-oitvait toitjoiirs iiies ptiroles, il iie ii'était d'aticiiiie totilité »... Ariane517étantle tir dequalificationdeia version« 10tonnes». Ir2ternational Space Station,qui seraravitailléepar l'ATV ouAutomatedTi-aiisfei- Vehicle. REE No Il Décembre2005 ®®sier 1 1 SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES A FORTE COMPOSANTE LOGICIELLE signé par les responsables techniques et programme (cf. [1]). Une des conséquences indésirables de cette contrainte est de brider mécaniquement la remontée des opinions minoritaires, du fait de la multiplication du nombre d'intervenants devant être d'accord entre eux pour ouvrir le PC. En outre, sous la pression financière, la logique « prouvez- moi que le risque existe » risque de se substituer peuà peu à la logiqueinitiale « montrez-moipeu a peu a c comment vous maîtrisez le risque » 'La notion de culture organisationnelle de fiabilité (ou de sûreté) n'apparaît pas aussi développée dans le spatial que dans le nucléaire, et n'a pas été for- malisée par un organisme régulateur de ce domai- ne, comme l'a fait l'AlEA pour le nucléaire. Du point de vue de l'ingénieur Sûreté de fonctionne- ment, que faut-il retenir ? D'abord, que l'organisation idéa- le n'existe pas. Il est donc nécessaire de percevoir le type d'organisation dans laquelle on travaille, pour en cibler les faiblesses et porter ses efforts de manière à les compenser (se rapprocher du terrain si la fonction est trop centralisée, se rapprocher des experts centraux si la fonction est trop décentralisée...). Un corollaire de cette constatation est qu'il faut parfois ne pas faire confiance à l'organisation pour assurer la bonne propagation des informations sur les risques vers les niveaux décisionnels. Les voies de com- munications formelles ne sont pas toujours efficaces, et il est donc nécessaire pour l'ingénieur Sûreté de fonctionne- ment de se constituer un réseau informel permettant de contourner les barrières, que ce soit pour acquérir ou pour transmettre l'information. On retrouve la notion de socialisation - proposée par C. Morel [3] - qui sera un outil indispensable à la propagation de la culture organisa- tionnelle de fiabilité dans le spatial. 2. Les précurseurs Que ce soit pour l'accident de Challenger, celui de Columbia ou du Concorde, les enquêtes ont mis en évi- dence des signes précurseurs de la catastrophe. Comment ces « signaux faibles » auraient-ils pu être amplifiés ? Nous considérerons les possibilités de traduction dans le spatial des méthodes utilisées dans le nucléaire civil pour analyser les incidents ou les presque accidents. Challenger Dans le cas de Challenger, les ingénieurs savaient que les joints toriques des boosters supportaient mal le froid, et une érosion des joints avait été constatée sur des maté- riels récupérés après lancement, manifestant un échappe- ment de gaz brûlant au-delà du premier joint (en particu- lier après le coup de froid de 1985 : - 7° C au centre spatial Kennedy). Mais cette anomalie observée, n'ayant pas encore entraîné de conséquences catastrophiques, a été interprétée par une erreur de raisonnement comme une preuve de la robustesse du système plutôt que comme une faille de sécurité (cf. [51). R.P. Feynman décrit très clairement cette erreur d'analyse, dans ses observations [8] : « Pour détercniner s'il était stîr de Itincer STS-51L coiiipte-tenii de l'érosion dujoiiit observée sbir STS-5] C, il a été noté que 1,érosion était seulement d'titi tiers de rayon. Une expérience avtiit montré qu'il,fàllait couper le joint au moins d'un rayon pour qu'il défaille. Au lieu d'être préoccupé par le faitpour qii faille. Ait lieu d e eo que des variations de conditions mal connues puissent raisonnablement créer une érosi.on supérieure cettefois- ci, il a été affirmé qu'il y avait un « facteur de sécurité de 3 ». C'est un usage étrange d'un terme d'ingénieur, « fac- telir de sécbit-ité » "'. Il fait l'analogie avec un pont : si une poutre maîtresse présente une fissure sur un tiers de son épaisseur, cela ne signife pas pour autant qu'il y a un facteur de sécurité de trois, même si le pont ne s'est pas encore effondré, mais qu'il y a un grave défaut de conception et que la situation est dangereuse !c L'analyse du retour d'expérience concernant l'érosion des joints toriques aurait mis en évidence une corrélation entre cette érosion et les basses températures. Le risque dû au froid exceptionnel observé à la date prévue de la mission STS-5 IL (- 4'C en début de matinée le jour du lancement de Challenger) aurait alors été mieux perçu. En effet, les 4 lancements effectués en-dessous de 18'C présentaient tous au moins un défaut sur les joints, alors que lorsque la température extérieure est élevée, presque tous les vols sont sans défaut. Lors de la revue d'aptitude au vol, les ingénieurs du sous-traitant de la NASA ont exprimé leurs craintes pour les joints, mais la NASA leur a demandé, non pas de prouver qu'il était sûr de lancer la navette, mais de prouver que ce n'était pas sûr. Les ingénieurs n'ont considéré que les vols avec incident dans leur analyse de l'influence de la température, et ils n'ont donc pas pu démontrer la corrélation qu'ils avaient perçue intuitivement (cf. [3], [5]). Cette succession d'erreurs collectives a finalement débouché sur la décision de lancer Challenger. Les signaux de danger ont été étouffés ; même ceux qui étaient absolument contre initialement ont finalement 10 Citation originale : « In detei-iiiiiiing ijflight 51-L vas scife tofb, iiî thef (c'e oj'j-ing ei-osioii iiiflight 51-C, it vv (is izoted that tlie ei-osioti delti f 0/ !/V /7f-/r < ? y m' ! .// CC7J/ ! / /7 /' ? < C ! '/ /' ; g 7 f :' ! !/ ff / ? .S' (9/' ! M.S'C./J the t-iiig failed. Iiistead of bei ? g t,ei-, coii (-ei-iiecl that t,cit-iatioiis of iiiitle-stood coiidiiioiis ? iight re (isoiably c-eate a deel) ei- el-osioj7 this tinte, it was Éis.çei-ted, the-e i,Éis " a safet,.fcictoi- o.f thi-ee". This is a strciiige it.ye of the eiigiiieei-'s tei,ii,'sa.fet.\,,facloj-'>. REE NO il Décembre2005 Avons-nous tiré les enseignements des accidents de Challenger et Columbia ? cédé devant le groupe (comme l'ingénieur arrivé en réunion avec une fiche sur laquelle il avait écrit « Sous aucun prétexte ne faire voler Challenger, les joints sont trop instables » "). Columbia Il existait bien avant l'accident de Columbia une ana- lyse des risques liés à la protection thermique de la navet- te [7], réalisée par les universitaires de Stanford pour la NASA. Il y apparaît clairement que : . Les tuiles de protection thermique sont fragiles (highly brittle) . La perte d'une seule tuile peut être catastrophique selon son emplacement . Dans les deux cas connus (en 1990) de perte de tuile avant ou pendant la rentrée dans l'atmosphère, il n'y a pas eu de dommages catastrophiques, mais que cette chance (goodfortune) était due à la loca- lisation des tuiles manquantes et aux structures sous-jacentes. Une perte similaire mais à un autre endroit aurait pu être bien plus risquée . Les débris de la protection thermique du réservoir externe (External Tank) de la navette sont bien identifiés comme une cause significative de dégâts sur les tuiles . Les risques liés aux erreurs humaines dans la mise en place et la maintenance des tuiles sont large- ment sous-estimes, voire niés par le management ( « Management assunies unnecessary risk by denying that errors have occured and will occur again ») Ensuite, lors de la revue d'aptitude au vol de la mis- sion STS-113, une évaluation du risque d'impact d'un morceau de mousse isolante a été effectuée, car lors du vol STS-112 en 2002 (juste deux tirs avant l'accident de Columbia), un morceau de mousse a heurté l'attache entre l'External Tank et le Solid Rocket Booster. Mais cette analyse s'est révélée incomplète et biaisée ( « a sleight-of-hand »), conduisant à un risque sous-estimé d'un facteur 10 12 par l'application de la politique de l'autruche (« a " what you don't see ivon't hurt you " men- tality »). Sans aucune analyse poussée, sous la pression des délais à tenir'\ les managers du programme Shuttle ont classé le problème comme « risque accepté » (accepted risk), plutôt que « risque vis-à-vis de la sûreté » (safety- of-flight risk). L'occasion de faire remonter cet « avertissement » a donc été perdue lors de cette revue, et le problème n'a pas été réexaminé lors de la revue suivante (celle de Columbia, vol STS-107), puisqu'il avait été classé « acceptable ». Malheureusement, « les faits ne cessent pas d'exister parce qu'on les ignore » (Aldous Huxley)... Accident du Concorde F-BTSC du 25 juillet 2000 Lors du décollage de l'aérodrome de Paris Charles- de-Gaulle, peu avant la rotation (i.e. la phase où l'avion commence à se cabrer), le pneu avant droit (roue n'2) du train principal gauche roule sur une lamelle métallique tombée d'un autre avion et se détériore. Des débris sont projetés contre la structure de l'aile, provoquant une rup- ture du réservoir 5. Un feu important, alimenté par la fuite, se déclare presque immédiatement sous la voilure gauche. Ensuite, des problèmes moteurs apparaissent, l'avion décolle mais il ne peut prendre ni altitude ni vitesse. Le moteur 1 perd alors sa poussée, l'incidence et l'incli- naison de l'avion augmentent fortement, et l'avion s'écrase sur un hôtel à Gonesse, entraînant la mort de 113 personnes. Le Bureau d'enquêtes et d'analyses (BEA) pour la sécurité de l'aviation civile a présenté ses conclusions sur les circonstances et les causes de cet accident dans le rapport [9]. Tous les aspects sont détaillés, y compris le facteur humain, mais il est à noter qu'en l'absence de tout autre problème, l'incendie ayant résulté de la fuite de carburant aurait suffi à détruire l'avion (la structure fond vers 500-600° C, alors que les températures sont montées à plus de 1000'C). Tentons d'examiner cet accident sous l'angle des signes précurseurs. Les archives analysées par le BEA font état de 57 cas d'éclatement/dégonflage de pneus sur Concorde, dont douze ayant eu des conséquences struc- turales sur les ailes et/ou les réservoirs. Six ont conduit à la perforation d'un ou plusieurs réservoirs. Si l'on consi- dère seulement les événements qui sont survenus au décollage, puisque représentatifs de l'accident, on constate que l'endommagement des pneumatiques a été causé dans 50 % des cas par un objet extérieur. Cependant, aucun des événements recensés n'a fait apparaître de rupture importante du réservoir (les perfo- rations étaient toujours de petites dimensions), de feu ou de perte de puissance simultanée significative de deux moteurs. Le premier événement du genre (et le plus sévère) se produit le 14 juin 1979 à Washington : déchapage d'un pneu et éclatement du pneu voisin au décollage, entraî- H . 12 13 Citation reprisede [31: « Underno conditionsfly the Challenger. The O-rings are too unstable. ». Cf. [4] page126. Dansle casdeColumbia,la contraintedeplanningforte était liée aulancementd'un élémentdela Station Spatiale Internationale. REE N°M Décembre2005 m Dossier 1 1 1 SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES À FORTE COMPOSANTE LOGICIELLE nant la destruction de la roue et des dommages au train gauche, aux circuits hydrauliques et électriques, et perfo- ration des réservoirs 2, 5 et 6. L'étude réalisée par Aérospatiale à la suite de cet incident concluait que le risque était supérieur en probabilité et en conséquences potentielles à celui qui avait été pris en compte lors de la certification. Concernant le risque de feu, l'étude concluait qu'il était limité en considérant en particulier que la taille des perforations et le taux de fuite sont suffisamment faibles. Un renforcement de l'intrados avait été envisagé dans un premier temps puis, au vu des résultats des études et des essais de tenue en cas de perforation directe, il avait été considéré qu'il n'était pas nécessaire de revoir la structure. Ce point n'a pas été rouvert par la suite, les incidents ne faisant pas apparaître de faiblesse particulière de la structure de l'avion. Seuls les équipements directement à l'origine des perforations ont fait l'objet de modifications : . système de détection de sous-gonflage, amélioration de la protection du système hydrau- lique de freinage normal, procédure de vérification des pneus et roues du train principal avant chaque vol, . nouvelles roues et nouveaux pneus renforcés capables de supporter deux fois la charge normale (contre 1,5 pour les autres avions). Le taux de dégonflage/destruction de pneumatiques sur Concorde a donc diminué au cours du temps, et la proportion n'était plus que d'une occurrence pour 3 000 cycles (ou 8 000 heures de vol) entre 1995 et 2000 ". 14 La différence entre les cas observés et l'accident de Gonesse réside en partie dans la gravité de l'cndomma- gement du réservoir. Un morceau de la paroi du réservoir de 320 mm x 320 mm a été retrouvé sur la piste. Le débit de fuite de carburant qui en a résulté était d'un tout autre ordre de grandeur que lors d'une simple perforation ! En effet, le débit de fuite a été évalué à plusieurs dizaines de kg/s, soit environ dix fois plus que lors de l'événement de Washington. L'importance du niveau de fuite a favorisé l'inflammation du carburant car elle conduit à un mélange combustible/comburant proche du mélange stchiomé- trique. Il y a donc eu inflammation (plusieurs causes sont possibles, du court-circuit au contact avec les parties chaudes du moteur), puis stabilisation et accrochage de la flamme sous l'aile du Concorde. Pourquoi y a-t-il eu une telle brèche dans le réservoir, et pas seulement une petite perforation ? L'analyse du morceau de la paroi du réservoir retrouvé sur la piste montre qu'il a subi une poussée orientée de l'intérieur du réservoir vers l'extérieur, entraînant sa rupture. Le méca- nisme de rupture du réservoir n'a pas pu être reproduit lors des essais, mais les simulations ont étayé une « certitude d'ingénieur » : Il s'agirait donc de la combinaison de deux modes, une déformation par continuité lors de l'im- pact, et une convection dans le carburant (incompres- sible, réservoir plein), ayant entraîné la rupture statique par poussée de l'intérieur vers l'extérieur. Ce mécanisme n'avait pas été imaginé par les concep- teurs de la structure, ce que l'on comprend tout à fait en constatant la difficulté de l'analyse a posteriori et la reproductibilité limitée du phénomène ! En conclusion, des précurseurs avaient été observés dans le cas de l'accident du Concorde, et les risques avaient été perçus. Des modifications avaient été mises en ceuvre pour réduire ces risques, mais elles n'ont pas suffi à éviter l'accident, à cause de la méconnaissance de certains phénomènes physiques complexes. Il apparaît que la nécessaire analyse des précurseurs doit être com- binée avec d'autres concepts de sûreté pour pallier ces méconnaissances, comme la « défense en profondeur » utilisée dans le nucléaire. L'analyse des précurseurs dans le nucléaire L'analyse des précurseurs est une approche lancée aux Etats-Unis dans les années 1980, dans le domaine du nucléaire civil. Elle est utilisée depuis dans de nombreux pays, dont la France. Il s'agit d'évaluer, vis-à-vis de la sûreté, l'importance relative des incidents, i.e. des événements significatifs n'ayant pas entrainé d'accident. Les consé- quences potentielles de ces incidents sont examinées (en cumulant l'incident avec d'autres événements ou défaillances), et la probabilité conditionnelle d'endom- magement du coeur est évaluée, à l'aide des Etudes probabilistes de sûreté (EPS). Les résultats permettent de mettre en évidence l'importance de certains problèmes qui pouvaient sembler mineurs au premier abord, et de hiérarchiser les actions correctrices. La traduction de cette approche dans le spatial impli- querait une analyse systématique par la fonction Sûreté de fonctionnement des événements (ou anomalies n'ayant pas forcément entraîné de pertes de performances) survenus au cours des vols' " couplés avec les modèles quantitatifs pour évaluer un facteur d'accroissement du risque permettant de hiérarchiser les incidents. Il s'agirait 14 15 A titre decomparaison,suravionlong-courrierdu type de l'Airbus A 340,cetauxestde l'ordre d'uneoccurrencepour 100 000 cycles. Dansle casdeslanceursconsommables,l'expertiseaprèstir estplusarduequepourleslanceursréutilisablesou semi-réutilisables(navette),mais il seraitpossiblede mieuxexploiterlesinformationstélémesurées. REE WII Décembre2005 Avons-nous tiré les enseignements des accidents de Challenger et Columbia 7 donc de faire « vivre » les analyses quantitatives de la phase de développement, rejoignant ainsi le concept d' « EPS vivante » du nucléaire. L'exemple de Challenger et de Columbia montre que les précurseurs existaient, les données permettant de les déceler également, mais qu'il a manqué un traitement rigoureux et transparent. L'exemple de Concorde montre les limites de l'analyse des précurseurs, lorsqu'elle se heurte aux incertitudes de connaissances. Rappelons enfin l'importance des avis minoritaires dans la remontée des signaux faibles. 3. Les facteurs cognitifs : la perception du risque La sûreté de fonctionnement quantitative manipule des notions de probabilités qui peuvent être sources d'erreurs d'interprétation, de « pièges cognitifs » pour le non-spé- cialiste. Or, pour être une aide à la décision, les données doivent remonter la chaîne de management, et devraient donc être sans ambiguïté ni hypothèse implicite. Faut-il simplifier l'information selon le message que l'on veut faire passer (par exemple, « sous aucun prétexte ne faire voler Challenger »), ou bien fournir une information plus riche mais plus complexe, comme une courbe de densité de probabilité sur le risque ? De plus, dans le spatial se manifestent généralement plusieurs problèmes spécifiques : . des échantillons statistiques réduits (petites séries), alors que les systèmes sont à haute fiabilité . des systèmes aux limites de l'état de l'art, qui rendent délicate l'utilisation des bases de données géné- riques . une évolution des politiques composants, en parti- culier la généralisation de l'utilisation des compo- sants sur étagère (COTS) " " pour suivre l'évolution rapide des technologies. Ces difficultés engendrent soit des problèmes de crédibilité des analyses quantitatives (incertitudes), soit des problèmes de perception du risque : les faibles échan- tillons rendent les signes précurseurs encore plus utiles mais plus difficiles à détecter. Le problème de la prise en compte des erreurs de conception ou de fabrication doit également être posé. En effet, les évaluations quantitatives supposent généralement que le système se situe dans le plateau de la fameuse courbe en baignoire, au-delà de la période de jeunesse. Or, sur des petites séries, cette hypothèse est difficilement justifiable, comme en témoigne le retour d'expérience d'Ariane. Les méthodes de croissance de fiabilité ou les méthodes bayésiennes constituent une réponse mathéma- tique, qui doit être fortement accompagnée par de la Sûreté de fonctionnement qualitative et pratique. Quelques pièges cognitifs en Sûreté de fonctionnement Selon C. Morel, les spécialistes de psychologie cognitive ont largement mis en évidence la capacité de l'intelligence humaine à commettre des erreurs de raisonnement dans le domaine des probabilités (cf. [3]). Il donne l'exemple des chats noirs et des chats gris : « Supposons une nuit avec 85 % de chats gris et 15 % de chats noirs, et qu'un individu ait 80 % de chances de distinguer la bonne cou- leur. La majorité des cobayes pensent que, si le témoin dit avoir vu un chat noir, il y a 80 % de chances qu'il le soit » alors que cette probabilité n'est que d'environ 41 % ". Une autre erreur classique de l'intelligence humaine est de faire excessivement confiance aux faibles échan- tillons : une majorité estime, par exemple, qu'une petite maternité a autant de chances qu'une grande de voir naître exactement autant de filles que de garçons.ZD Il semble que l'homme, spontanément, raisonne dans l'action en termes de confiance ou de non-confiance, et non par un calcul, même grossier, de probabilités. Ses a priori le conduisent soit à avoir confiance dans l'événe- ment prévu, auquel cas il lui attribuera une probabilité très élevée et disproportionnée par rapport à la probabili- té réelle ; soit à ne pas avoir confiance et il lui affectera une probabilité anormalement faible [3]. Une autre difficulté réside dans le « sens physique » associé aux très faibles probabilités. Ainsi, dans les entretiens menés par R. P. Feynman avec des cadres de la NASA à la suite de l'accident de Challenger, les estimations spontanées de probabilités d'échec d'un lanceur spatial entraînant la perte du véhicule varient de près de 1 pour 100 à 1 pour 100 000. Les probabilités les plus élevées (1/100) viennent des ingénieurs de terrain, et les proba- bilités les plus basses (1/100 000) viennent du manage- ment (cf. [8]). L'opinion des ingénieurs de terrain sur le risque d'échec est conforme à l'évaluation indépendante effectuée sur la fiabilité des boosters (« Un chiffre plus raisonnable pour des fusées ai@ri.vées à mattirite pourrai.t être de 1 sur 50. Avec un soin particulier apporté à la sélection des pièces et au contrôle, un chiffre de près de 1 pour 100 pourrait être atteint, mais 1 pour 1000 est pro- bablement non réalisable avec la technologie actuelle »). 16 17 Coiiipoiielits O,ff Tlie Shelf. Eneffet.quandil dit « noir », soit il setrompeet désigneunchatgris (probabilité0,2x 0,85= 0,17),soit il nesetrompepaset il s'agitbiend'unc chatnoir (probabilité0,8x 0,15= 0, 12). Sui-l'ensembledescasoù il dit « noir », il y adoncbien0,12/ (0,17+0,12)= 0,413chancesqu'il nese trompepas. REE ? ! ! Décembre2005 D o s s i e r -J 1 1 1 SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES A FORTE COMPOSANTE LOGICIELLE A l'opposé, la confiance extrême des managers interrogés relève du fantasme, et d'une incompréhension flagrante entre eux et les ingénieurs de terrain. Ces éléments permettent de mieux comprendre les décisions qui ont été prises dans le cas de Challenger. Le management, ayant largement surestimé a priori la fiabilité de la navette, a cru que les 24 premiers lancements réussis (faible échantillon) étaient une confirmation de cet a priori, une preuve que sa confiance était justifiée. Cette croyance a pu aggraver le phénomène de normalisation de la déviance, qui se retrouve aussi bien pour Challenger que pour Columbia. En effet, la Commission d'enquête sur l'accident de Columbia a constaté que « the Shuttle Independent Assessment Teaiii (SIAT) [... 1 was concerned with success-engendered safet optiniism [... 1, the tendency to accept risk solely because of prior success. » (cf. [4]). Cette attitude engendre progressivement une normalisa- tion de la déviance : un risque est pris une première fois, avec succès, et la mémoire de ce succès pousse à prendre le risque une seconde fois, etc. La même dérive a été identifiée par R.P. Feynman dans son rapport à la Commission Rogers [8] : « The argument that the same risk wasflown before withoutfailure is often accepted as an argumentfor the safety of accepting it again. [...] The fact that this danger did not lead to a catastrophe before is no guarantee that it will not the next time, unless it is completely understood ». Il compare même cette attitude à la « roulette russe »... Qu'est-ce que la confiance ? On écrit parfois que l'un des objectifs essentiels de la Sûreté de fonctionnement est de donner confiance dans le système : confiance que la mission du système sera accomplie avec les performances prévues, au moment voulu, et sans dommage pour les populations, l'environ- nement ou le système lui-même. Mais qu'est-ce que la confiance ? Un rapport de la National Academy of Sciences a posé la question après l'accident de Challenger (cf. [6]) : Une façon « humaine » d'augmenter notre confiance est de croire que nous sommes hautement compétents. Il s'agit d'une confiance psychologique, qui peut être très utile au bon fonctionnement d'une organi- sation, mais qui ne devrait pas être la confiance « de l'in- génieur ». Celle-ci peut venir d'une connaissance appro- fondie du système, de sa conception, des tests, de la qua- lité de la fabrication, de la mise en oeuvre, de la mainte- nance, etc. Mais la confiance que cherche à donner la Sûreté de fonctionnement doit également reposer sur l'acceptation du principe selon lequel « le risque zéro n'existe pas » pour un système conçu et produit par l'homme. La confiance ne vient donc pas de l'élimination totale du risque (qui est impossible), mais de sa maîtrise. Maîtriser le risque implique de le connaître, de l'évaluer, et de prendre les mesures nécessaires pour le réduire à un niveau jugé acceptable selon les standards de notre civilisation. Le rapport [6] sur l'évaluation post-Challenger du management des risques sur le programme Space Shtittle fait ainsi un lien direct entre la « confiance de l'ingénieur » et l'évaluation, voire la quantification du risque. Cela fait de la « confiance de l'ingénieur » une quantité objective, par opposition à la confiance psychologique, qui est subjective. La confiance psychologique est de l'ordre du sentiment ou de l'humeur, alors que la « confiance de l'ingénieur » est objectivement reliée aux informations disponibles à un instant donné : retour d'expérience, données de tests ou d'essais de fiabilité, modélisations, et même les avis d'experts (bien que ceux-ci puissent être considérés comme subjectifs !). Un niveau satisfaisant de « confiance de l'ingénieur » peut donner naissance à un sentiment de « confiance psychologique », mais l'inverse est rarement vrai ! Les outils de sûreté de fonctionnement donnent plu- sieurs moyens de quantifier un niveau de « confiance de l'ingénieur ». Il y a par exemple l' « intervalle de confiance à X% » qui encadre un estimateur de la valeur moyenne d'une donnée de fiabilité, et qui peut aussi être élaboré au niveau d'un sous-système ou d'un système. Ainsi, dans le nucléaire civil en France, les estimations de fréquence de fusion du coeur d'un réacteur sont calculées avec un inter- valle de confiance. Mais cette approche nécessite un retour d'expérience considérable, ce qui est possible dans le cas du nucléaire civil grâce à la standardisation des cen- trales en France, mais qui est plus difficile dans le spatial. La méthode préconisée par la Natiohal Acadervy of Sciences dans [6] repose sur l'utilisation du théorème de Bayes, qui permet de représenter graphiquement la courbe de densité de probabilité de l'occurrence du risque (par exemple la fréquence de perte d'une navette). Cette cour- be peut alors être présentée comme une expression Densitéde probabilité 1 1 4 3 1 io- io- 10-n io- 1 Fréquence il d'accident Figure 1. État de Ici colinai, « ance.tir la probabilité depeile d'i in véliici ile. REE WIJ Décembre2005 Avons-nous tiré les enseignements des accidents de Challenger et Columbia ? quantitative de l'état des connaissances à un moment donné, i.e. une représentation de la « confiance de l'ingé- nieur ». Cette courbe (cf. figure 1) prend la forme d'une distribution autour de la valeur réelle de la probabilité d'occurrence du risque, inconnue - et qui ne peut être connue qu'au bout d'un très grand nombre d'observations. L'intérêt de cette méthode est de permettre la mise à jour progressive de l'indicateur de confiance, au fur et à mesure de l'enrichissement de la connaissance. Rappelons brièvement le principe des méthodes bayé- siennes : l'information a priori (pouvant regrouper plu- sieurs sources) est modélisée sous la forme d'une pre- mière distribution, que l'on combine avec une fonction de vraisemblance (issue des observations) pour obtenir une distribution a posteriori, représentant l'état de la connaissance sur le phénomène considéré. Ainsi, la confiance augmente lorsque les observations viennent corroborer la connaissance existante, et la distribution se resserre autour de la valeur vraie (toujours inconnue) du risque : L'inconvénient de cette méthode est que le choix de la distribution a priori pèse lourd dans les résultats obtenus Densité de probabilité A posteriori A priori .1 b io-4 10-3 io-2 io-i 1 Fréquence d'accident Figure 2. Aiiiélioratioii de la coiii7,aiçsaiice du phéiioiiièiie. (à moins de choisir une distribution non informative, ce qui ôte tout intérêt à la méthode), et il est parfois diffici- le de démontrer l'objectivité de ce choix. Par exemple, lorsqu'il s'agit de transformer un avis d'expert en une distribution, si celui-ci ne donne qu'une fourchette de valeurs, le choix d'une distribution uniforme entre deux bornes peut constituer une « création » d'information si l'on n'y prend garde. La National Academy of Sciences reconnaît elle-même que l'utilisation du théorème de Bayes relève partiellement de l'art' " ! Plus qu'un moyen de quantification de la « confiance de l'ingénieur », les méthodes bayésiennes peuvent être utilisées comme outils de communication et d'aide à la décision. La quantification du risque ne suffit pas : elle est la première étape permettant de faire ressortir les points les plus importants, mais la seconde étape est la quantification de l'incertitude (le niveau de confiance). Face à un risque, avant de le rejeter comme acceptable quantitativement, il est nécessaire de justifier d'une confiance suffisante pour étayer cette décision. En outre, la quantification de l'incertitude permet de déterminer si un problème particulier est lié à un manque de données, ou à un problème de conception. Les solutions diffèrent : des essais ou tests supplémentaires dans un cas, des modifications de conception dans l'autre. La Sûreté de fonctionnement constitue là une aide précieuse à la décision. Les systèmes spatiaux peuvent-ils être considérés comme « opérationnels » du point de vue Sûreté de fonctionnement ? A la fin de la phase de test en vol du programme Shuttle (après le 4 " levol, le 4 juillet 1982), le système a été déclaré « opérationnel » par le président Ronald Reagan : « beginning with the nextflight, the Columbia and her sis- ter ships will be fully operational, ready to provide eco- noiiiical and routine access to space [...] » (cf. [4]). Il en a résulté une réduction des effectifs et moyens de plu- sieurs services de sûreté, fiabilité ou assurance qualité (cf. [5]), § « Implications of an Operational Prograni »), selon l'idée que les opérations de « routine » de la navet- te requerraient moins de travaux de sûreté, fiabilité ou assurance qualité. En conséquence, plusieurs anomalies des vols précédents n'avaient pas encore été traitées dans le « Problem Assessnient Systeni » lors du lancement de la mission STS-5IL, par manque de moyens. Ainsi, le fait de déclarer le système propre à effectuer des missions « de routine », n'est pas resté un artifice de communication (destiné à favoriser la concurrence avec Ariane 4 pour les lancements commerciaux, par exemple), mais a influencé la perception du risque et sa gestion. Après l'accident de Challenger, l'illusion selon laquelle le Space Shuttle était un système « opérationnel » a volé en éclats ". Si l'on observe le retour d'expérience d'Ariane 4, on constate qu'après les dernières modifications de l'étage supérieur, tous les tirs ont été réussis (73 succès consécutifs). Le plateau de la fameuse « courbe en baignoire » aurait-il été atteint seulement à ce moment-là ? Ce qui signifie que le système aurait été réellement opérationnel, au sens de la Sûreté de fonctionnement, très longtemps après les 4 tirs de qualification. L'objectif de fiabilité d'Ariane 4 a pu être démontré par l'observation sensiblement à mi-vie du lan- ceur, mais pour Ariane 5, l'objectif ayant été fortement durci, il sera très difficile de le démontrer statistiquement. 1Cf. [6] : « y... // ! 7m< ?/'///or< ?/n f9//jï/rc, v< ëom. 7'/ ? H o/' o/- '/y rr û/M/y. ( ?/ /w'c/ ? 19 be (loiie ni a kvay th (it is iiieaiiiiigfiil.l) r decisioii iiiakiiig piti-l ? oses ». Cf. [41 : « Tiie Shitttle cleai-l, caiiiiot be tlioiight of as'olgei-citiojial'iii the iistial seiise. Extensive iiaiiîteiîaiice, iîia'iot- aiiiotints of'toiich laboi-' and a high deg) -ee of skill and expertise ivili alwa,s be -eqttii- (,,d ». REE Wll Décembre2005 elrd 1 1 1 SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES A FORTE COMPOSANTE LOGICIELLE Quand peut-on considérer que le « plateau » de la cour- be en baignoire est atteint ? Prenons un exemple : en 2004, la NASA a découvert sur Discovery une erreur de monta- ge potentiellement désastreuse, faite plus de 20 ans aupa- ravant (Reuters, 22 mars 2004). Certaines pièces méca- niques avaient été montées à l'envers (dans un actionneur des freins aérodynamiques de la queue), et auraient pu rompre sous la contrainte d'un atterrissage d'urgence après un tir avorté 211.Le même défaut de montage a été observé sur une des pièces de rechange. Il s'agit clairement d'un « défaut de jeunesse », représentatif de la première partie de la courbe en baignoire, bien que l'on se situe plus de vingt ans après le passage du programme au stade opérationnel ! Dans ces conditions, il est vrai que la notion même de fiabilité prévisionnelle d'un lanceur spatial semble discutable, puisque d'une part la démonstration par l'observation est souvent impossible (petites séries, haut niveau de fiabilité, modifications successives du lan- ceur...), et d'autre part on ne s'affranchit des « défauts de jeunesse » que très tard. La Sûreté de fonctionnement quantitative en développement est néanmoins utile comme aide à la conception (certains choix d'architectu- re découlant des objectifs de fiabilité prévisionnelle, comme la redondance des chaînes électriques sur Ariane 5), en complément de la Sûreté de fonctionnement quali- tative (tolérance à la panne, robustesse) et pratique, qui s'intéresse aux erreurs de fabrication, de montage ou de mise en oeuvre. Il est à noter que l'aspect « fiabilisation du processus industriel » est fortement ancré dans le spatial européen depuis l'échec du vol 36 d'Ariane 4 (cf. [1]), dû à un chiffon oublié dans une tuyauterie. Après le développement, même si souvent la fin de cette phase marque une période de clôture de dossier, l'in- génieur Sûreté de fonctionnement doit garder en mémoire le fait que le système est encore loin du plateau de la bai- gnoire ! Les lancements ne sont pas des opérations de rou- tine, et les erreurs de conception sont parfois tenaces sur des systèmes aussi complexes, aux limites de l'état de l'art, comme l'a rappelé l'échec d'Ariane 517 (la version « 10 tonnes »). Un des pièges à éviter réside dans l'attitude selon laquelle un système « qui a déjà volé au moins une fois » ne présente plus de risques. Il est évident pour un statisticien qu'une unique observation (ou un faible nombre) ne constitue en rien une démonstration de haute fiabilité, mais psycho- logiquement, il est aisé de tomber dans ce travers. Conclusion Le secteur spatial est confronté à des risques et des enjeux importants, qu'ils soient de sécurité pour les vols habités ou la station spatiale, ou financiers pour les lance- ments de satellites. S'il est vécu comme la crainte de l'in- certitude, le risque peut effectivement paralyser toute initia- tive, mais inversement, une perception erronée du risque peut entraîner progressivement une normalisation de la déviance. Pour que la sûreté de fonctionnement puisse jouer son rôle d'aide à la décision (et permette de prendre en compte l'incertitude qui parasite tout choix), il faut qu'elle puisse s'exprimer, et qu'elle soit comprise ! Les accidents de Challenger et Columbia ont provoqué plusieurs remises en cause de la NASA, qui aujourd'hui encore lutte pour faire évoluer sa culture organisationnelle, favorisant l'expression des opinions minoritaires et l'indépendance de la sûreté et de l'assurance mission. La culture et les méthodes utilisées dans un domaine comme le nucléaire civil pourraient repré- senter d'autres pistes pour améliorer la sûreté dans le spa- tial, et même la fiabilité des lanceurs. Références [1] "DIx ans de Sûreté de Fonctionnement dans le Programme Ariane 5 " (G. Ragain, CNES, ile@@e coloque national de Fiabilité & Maintenabilité). [2] "La culture organisationnelle.'un enjeu pour la fiabilité des systèmes " (. ABRAMOVICI & M. POUMADERE, ENS Cachan, 11 e "'e colloque nationalde Fiabilité & Maintenabilité) [3] " Les décisions absurdes " - Sociologie des erreurs radicales et persistantes (C. MOREL, Ed. Gallimard - ISBN 2-07- 076302-1, 2002). [41 "Columbiâ Accident Investigation " Board Report (Août 2003). [5] Report of the Presidential Commission on the Space Shuttle Challenger Accident (Juin 1986). [6] " Post-Challenger Evaluation of Space Shuttle Risk Assessment and Management " (The National Academy of Science, 1988). [7] "Safety of the Thermal Protection System of the Space Suttle Orbiter : Duantitative Analysis and Orgamzational Factors " (E. Pathe-Cornell & PS. Fischbeck report to NASA, décembre 1990). [8] "Personal Observations on the Reliability of the Shuttle Report to the President (R.P. Feynman, 1986). [9] Rapport F-SC000725 sur l'accident survenu le 25 juillet 2000 au lieu-dit La Patte d'Oie de Gonesse (95) au Concorde immatriculé F-BTSC exploité par Air France (Bureau d'Enquêtes et d'Analyses pour la sécurité de l'aviation civile). [10] La Lettre des Cindyniques n'39 (juillet 2003). Nota Ce texte est une version revue et corrigée d'un article présenté lors du colloque de ktl4 l'Institut de maîtrise des risques et de sûreté de fonctionnement (Bourges, 2004), et publié dans les actes du congrès. a u e u David Monchaux est ingénieurchez EADSSpaceTransportation depuis 2002. Auparavant,il était consultant en sûreté de fonction- nement chez Bellême ICE, société qu'il avait rejointe après quelquesannéespasséesau sein du Département sûreté probabi- liste de Framatome. C'est donc logiquement qu'il a exercé chez EADSSpaceTransportationdes activités en sûreté de fonctionne- ment et sûreté nucléaire,avant de passer du côté de ['ingénierie des systèmes électriques embarqués. 20 « Gears were iiistalled bticku,ai-ds the speed bi-akes ai Discove-)'s tail section aiid coiild ha,e.failed iiiidei- the stress o.1 an eiiiei-geiic,, laiidiiîg, said WilliËiiii Ptirsoiis, tlie shitttle pi-ogi-ciiii iii (iiiagei- ». REE No Il Décembre2005 Résumés RÉSUMÉS ABSTRACTS Dossier : Sûreté de fonctionnement des systèmes à forte composante logicielle Par T Lambolais, O. Gout REE, ISSN 1265-6534, n'11, décembre 2005, p 26 Mots clés : Génie logicie Fiabilité. Modélisation, Validation, Vérification, Ces dernières décennies, le génie logiciel a proposé concepts, langages, méthodes, outils pour concevoir des systèmes, mais aussi pour les ana- lyser, les vérifier et globalement chercher à garantir leur validité. Nous présentons ici les principales solutions explorées et nous analysons leur intérêt en terme de fiabilité : il s'agit soit de solutions de modélisation depuis les premières phases du développement jusqu'aux phases de conception, de réalisation et d'exploitation, soit de techniques de valida- tion par le test ou de techniques de vérification par des modèles formels. L'un des enjeux actuels consiste à coupler davantage les techniques de validation et vérification à celles de modélisation. Feature : Safety in Operations Involving Strong Component Software Systems Software Engineering : Are We Going Toward More Reliable Systems ? By T Lambolals, 0. Gout REF, ISSN 1265-6534, n'11, December 2005, p. 26 Keywords : Software Engineering, Modelling, Validation, Verification, Reliability. These last decades, Software Engineering has proposed concepts, lan- guages, methods, and tools to design, analyse, verify and validate sys- tems. We present here the main solutions and analyse them in term of reliability : these are either modelling solutions, from the first develop- ment phases to design, realisation, and exploitation phases, or test vali- dation techniques and verification techniques by means of formal models. One of the current challenges is to combine more closely such modelling techniques with verification and validation techniques. Par J. C Laprie, K Kanoun REE, ISSN 1265-6534, n'11, décembre 2005, p. 37 Mots clés : Processus de développement, Fautes créées, Fautes résiduelles, Défaillances, Vérification, Test, Tolérance aux fautes, Evaluation, Réutilisation. Après avoir dressé l'état de l'art actuel en sûreté de fonctionnement du logiciel en introduction, les approches pour diminuer les densités de fautes créées et résiduelles sont examinées dans le premier paragraphe. Tout logiciel quelque peu complexe étant immanquablement le siège de fautes résiduelles, les approches de tolérance aux fautes des logiciels sont ensuite examinées dans le deuxième paragraphe. Le troisième para- graphe traite de l'évaluation de la sûreté de fonctionnement via l'analy- se du comportement des logiciels par rapport aux fautes, tant créées que résiduelles. La situation par rapport à la réutilisation de composants logi- ciels pour produire un logiciel fait l'objet du quatrième paragraphe. La conclusion attire l'attention sur la défaillance des processus de dévelop- pement, donc n'aboutissant pas à produire les logiciels recherchés. By JC Laprie, K Kanoun REE,ISSN 1265-6534, n'11, December 2005, p. 37 Keywords : Development Process, Faults, Failures, Verification, Test, Fault Tolerance, Evaluation, re-use. After having summarised the current state-of-the-art in software depen- dability in the introduction, the approaches for reducing fault density are addressed in the first paragraph. As any software somewhat complex includes residual faults, software fault tolerance approaches are exami- ned in the second paragraph. The third paragraph ad dresses the evalua- tion of dependability via the analysis of software behaviour with respect to faults. The fourth paragraph addresses reuse of software components. The conclusion draws attention upon failures of development processes, leading to failure to produce the expected software systems. Par G. Motet, S. Gaudan REE, ISSN 1265-6534, n'11, décembre 2005, p 42 Mots clés : Management du risque, Logiciel critique, Langage de programmation et de modélisation. Cet article justifie tout d'abord la nécessité de maîtriser les risques induits par les applications logicielles, en particulier les logiciels cri- tiques. Il explique que la maïtrise des risques applicatifs, si elle est indis- pensable, n'est pas suffisante. Elle doit être complétée par l'étude des risques propres aux technologies logicielles employées. L'article présen- te ensuite les étapes d'un processus de management du risque, et les modèles que ces étapes doivent produire. Nous montrons comment cette démarche peut être appliquée à l'étude des risques associés à la technologie logicielle. Elle est enfin illustrée sur l'analyse d'un exemple de risque lié à l'utilisation d'une construction particulière des langages orientés objet (l'héritage). Sy G. Motet, S. Gaudan REE.ISSN 1265-6534, n'11, Decomber 2005, p 42 Keywords : Risk Management, High-Critical Softvvare, Programming and Modeling Language. This paper justifies the need for mastering the risks of the software appli- cations, specially of high-critical applications. However, even if it is requi- red, the control of the application risks is not enough. It must be com- pleted studying the risks associated with the used software technologies. Then, the paper presents the steps of a risk management process and the models produced by each step. We show how this approach can be applied to control the risks of the software technologies. It is illustrated analysing an example of a risk relevant to an object-oriented feature (the inheritance). REE No 11 Décembre2005 ,or Pl R Résumés RÉSUMÉS ABSTRACTS lï Par P Letzkus REE, ISSN 1265-6534, no 11, décembre 2005, p 51 Mots clés : Conduites à risques, Adaptation, Régulation, Sûreté de fonctionnement, Affects. Les conduites à risques sont généralement considérées en ergonomie comme une adaptation des individus aux contraintes qu'ils rencontrent dans leur activité. Il est classiquement admis qu'elles sont conditionnées par l'environnement socio-technique de la tâche (définition de la tâche, son contexte) ; et les caractéristiques de l'opérateur (âge, sexe, expé- rience, vie privée...). Les analyses de situations accidentelles ne font cependant pas assez remonter un facteur qui influence de manière décisive l'activité : les affects. Ces derniers sont très variables, et complexes à contrôler. Un des plus connus est la désirabilité sociale, moteur de l'effet Hawthorne, qui pousse les individus jusqu'à prendre des risques pour prouver leur valeur (à eux-mêmes comme à leur entouragel. Cette dimension affecti- ve constitue une limite sérieuse, tant dans la définition de la sûreté d'un système que dans son exploitation. By P Letzkus REE,ISSN 1265-6534, n° 11, December 2005, p 51 Keywords : Risk Behaviours, Adaptation, Reliability, Affect. Risky behaviours are generally considered in ergonomics as an adapta- tion of the individuals to the constraints they meet in their activity. It is usually acknowledged that these behaviours are conditioned by the socio-technical environment in which the task is performed (définition of the task, its context) ; and the characteristics of operators (age, gender, experience, private life...l. The analyses of accidental situations do not however put enough empha- sis on a variable which influences the activity in a crucial way : affects. Affects are very variable, and difficult to control. One of the most known is the social desirability, which drives the Hawthorne effect, and pushes the individuals to take risks to prove their value (either to themselves or to their acquaintances). This emotional dimension represents an impor- tant limit both to the definition of the system safety and to its exploita- tion. Par D. Monchaux REE, ISSN 1265-6534, n'11, décembre 2005, p. 57 Mots clés : Systèmes spatiaux, Sûreté de fonctionnement, Accidentologie, Retour d'expérience. Après l'accident de la navette Challenger en 1986, la NASA a remis en question son organisation, pour répondre aux critiques de la Commission Rogers sur le caractère « silencieux » de son programme de sûreté. La Commission avait en effet été étonnée de constater l'absence de tout ingénieur sûreté, fiabilité ou assurance qualité lors de la télécon- férence fatidique qui avait abouti à la décision de lancer la navette. Dix- sept ans après, l'accident de la navette Columbia a provoqué un nouvel examen critique, et en 2004, la NASA a annoncé la création d'un nouveau Centre de sécurité, le NESC. En Europe, nous n'avons pas eu à déplorer de pertes humaines lors d'un vol spatial, car contrairement aux Etats-Unis, à la Russie et maintenant à la Chine, l'Europe a choisi de ne pas lancer de vols habités. Mais après les 73 succès consécutifs d'Ariane 4, son successeur Ariane 5 a connu deux défaillances ayant entraîné la destruction du lanceur, sur les 18 pre- miers tirs (Ariane 501 et 517). Par ailleurs, le Concorde, un autre grand système complexe, fleuron de l'industrie aéronautique européenne, a lui aussi subi un accident ayant provoqué des pertes de vies humaines. La question des enseignements des accidents de Challenger et Columbia est donc légitime. S'il est vécu comme la crainte de l'incertitude, le risque peut effective- ment paralyser toute initiative mais, inversement, une perception erro- née du risque peut entraîner progressivement une normalisation de la déviance (comme le montre l'analyse des exemples de Challenger et Columbia). Certes, la sûreté de fonctionnement permet de prendre en compte l'incertitude qui parasite toute décision, et donc constitue une aide précieuse à la décision, mais encore faut-il qu'elle puisse s'exprimer, et qu'elle soit comprise ! By D. Monchaux REE.ISSN 1265-6534, n'11, December 2005, p. 57 Keywords : Space Transportation System, Dependability, Accidentology, Lessons Learnt. After the Space Shuttle Challenger Accident in 1986, NASA tried to reform its organization, to came up to the inquiry Commission's expectations : The Rogers Commission had sharply criticized NASA's " Silent Safety Program ", as it was surprised to realize that no safety representative, nor reliability & quality assurance engineer had been invited to the teleconfe- rence that led to the Challenger launch decision. Seventeen years later, when the Columbia Accident Investigation Board issued its report, it criti- cized once again what it described as a non-existent safety program, and recently NASA announced the creation of a new Safety Center, the NESC. ln Europe, the space industry did not experience any accident with such casualties, because it has not completed, up to now, a Human Space Flight program. But after 73 hits in a row for Ariane 4, the new-generation launcher Ariane 5 has failed twice, causing the destruction of flights 501 and 517. Besides, the Concorde- another high-tech, high-risk program - has been involved in an air disaster with loss of lives. Risks imply uncertainty, which can indeed freeze any initiative, but a fla- wed perception of risks can also lead to a normalization of deviance. That is where RAMS and dependability techniques are particularly useful, to take account of uncertainties interfering with every decision. But Challenger and Columbia examples show that some efforts are still to be made by safety engineers to communicate better and to be better unders- tood. REE No Il Décembre2005 Résumés RÉSUMÉS ABSTRACTS Repères : Les applications industrielles des logiciels libres les applïcations industrielles et scîentîfîques des logiciels libres - aperçu général ParJ.P Hauet REF, ISSN 1265-6534, ri'11, décembre 2005, p. 75 Mots clés : Logiciels Libres, Gratuiciels, GNU, Licences, Copyleft, Brevetabilité des Logiciels Apparu en 1984, le modèle économique des logiciels libres est souvent confondu avec celui des freewares, dont la gratuité est avant tout un acte commercial. Les logiciels « libres », au sens libres d'accès, procèdent d'une autre approche et ont vocation à valoriser les synergies entre concepteurs, développeurs et utilisateurs. L'exemple-type est celui du système GNU-Linuxqui a ouvert la voie à des dizaines de milliers d'autres logiciels dans les domaines les plus variés. Les logiciels libres constituent un domaine de prédilection pour l'inno- vation, et sont aujourd'hui une alternative possible aux logiciels proprié- taires, y compris dans les domaines les plus exigeants des applications industrielles et scientifiques. Toutefois, un certain nombre de précau- tions doivent être prises avant de les adopter. Par ailleurs, la question toujours pendante de la brevetabilité des logiciels reste une question for- tement débattue, qui peut avoir une incidence sur leur avenir. Features : Industrial Applications in Free Software S%NBC "''S'EB ! &*a