méthode d'identification des risques pour le contrôle de

19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

METHODE D'IDENTIFICATION DES RISQUES POUR LE CONTROLE DE CONFORMITE AU CENTRE SPATIAL GUYANAIS

RISKS IDENTIFICATION METHOD FOR OPERATIONAL CONFORMITY IN

FRENCH GUYANA SPACE CENTER DELTORT Bruno et CHARRIER Hugo BULOT Mireille Centre National d’Études Spatiales SECTOR 52 rue Jacques Hillairet 12 avenue du Québec 75612 Paris Cedex B.P. 636 Villebon sur Yvette F-91965 COURTABOEUF CEDEX

Résumé Dans le cadre de la Loi sur les Opérations Spatiales (LOS), le Centre National d’Études Spatiales (CNES) est en charge de contrôler la conformité de la mise en œuvre opérationnelle des activités réalisées sur les systèmes de lancement. Pour cela, le CNES intervient par échantillonnage lors des opérations d'intégration des lanceurs en Guyane afin de contrôler la mise en application des règles par l'Opérateur de Lancement. Cette démarche de Contrôle et d'Analyse de Conformité des Activités Opérationnelles appelée "CACAO" se décompose en quatre sous-ensembles :

• analyse des Impacts Système : Analyse le Système complet (Sol, Bord, interface Sol/Bord), • analyse Des Causes en Opération : Identification des barrières, • analyse De Zone : Contrôle du déroulé opérationnel, • retour d'Expérience : Identification des causes profondes.

Elle se concentre sur l'identification à chaque étape, des barrières organisationnelles, matérielles, procédurales ou humaines qui concourent à éviter la propagation d'un événement indésirable. Le point fort de cette méthode est l'identification non seulement des barrières explicites mais aussi des barrières implicites définies au niveau de l'organisation et des méthodes.

Summary The French space agency "Centre National d'Etudes Spatiales" (CNES) is responsible for controlling the conformity of operational activities on launch systems with regards to the French Space Operations Act requirements. Thus, CNES samples integration operations on launchers in Guyana for which it verifies how the launch operator applies relevant rules. This method is called " COCOA " for COmpliance Control for Operational Activities and is divided into four subsets :

• analysis of impacts at system level: Full System Analysis ( ground systems, launcher, interfaces between ground and on-board systems), • causes Analysis during Operations: Identification of barriers, • zone Analysis: Control of operational processes, • feedback: Identification of weak signals and early warnings.

This approach of conformity control focuses at each level on the organizational, procedural and human barriers which contribute to prevent feared events to propagate. A great advantage of this method is to identify barriers that are not only explicit but also implicit and defined at an organizational level.

Introduction Les activités de préparation et de lancement des lanceurs en Guyane nécessitent de très nombreuses opérations. Le professionnalisme des différents intervenants est un atout majeur et a conduit à la réussite des programmes. Toutefois, malgré toutes les précautions prisent, l'erreur d'un opérateur est toujours possible. Pour les lanceurs, les conséquences d'une erreur unique peuvent être catastrophiques et conduire à un échec voir la destruction du lanceur. La maîtrise des risques constitue donc un véritable enjeu de société où un échec ou un accident majeur peut avoir des conséquences importantes tant humaines qu'économiques. Depuis les débuts du programme Ariane, la prise en compte des erreurs opérateurs a toujours été une préoccupation pour analyser les risques potentiels dans les activités opérationnelles. Dans ce cadre, une méthodologie stricte et systématique est utilisée par l'Opérateur de Lancement (entreprise responsable des activités de lancement. La personne réalisant les activités sur le terrain sera nommée "opérateur") pour identifier les phases critiques et prendre des actions en réduction de risques nécessaires. Depuis 2010, le CNES est chargé de contrôler l'activité de maîtrise des risques mise en place par l’Opérateur de Lancement. Un contrôle indépendant est désormais réalisé par le CNES, en particulier sur ce processus critique d'identification et de couverture des risques opérationnels. L'objectif de la surveillance est de placer à chaque étape des points spécifiques permettant de vérifier la bonne application des règles :

• audit de la méthode utilisée,

Communication 6B-3 sur 10


• contrôle des analyses de risques, • contrôle du déroulement des opérations.

Pour les deux derniers points, il s'agit de contrôler le bon déroulement des analyses puis de la mise en œuvre et de la pertinence de leurs résultats lors du déroulement des opérations. La méthodologie de contrôle dans le cadre de la Loi sur les Opérations Spatiales se base aujourd'hui sur une démarche nouvelle qui est détaillée dans cet article. Cette démarche de contrôle de conformité mise en place se concentre sur l'identification, à chaque étape, des barrières organisationnelles, matérielles, procédurales ou humaines qui concourent à éviter la propagation d'un événement indésirable. Le point fort de cette méthode est l'identification non seulement des barrières explicites mais aussi des barrières implicites définies au niveau de l'organisation et des méthodes. Elle se place par ailleurs au niveau fonctionnel de l’opération, de son enjeu vis-à-vis de l’ensemble de la campagne, l’analyse de risque de l’opérateur étant centrée sur l’opération élémentaire et son déroulé.

Origines du développement d'une nouvelle méthode Sur les Ensembles de Lancement Ariane, Soyouz et Véga, l'Opérateur de Lancement réalise des Analyses de risques en opérations sur toutes les activités qui sont déroulées durant le processus d'intégration. La méthode d'identification des risques utilisée par l'Opérateur de Lancement est basée sur une approche de type AMDEC où les risques associés à chaque action déroulée dans le cadre des procédures sont identifiés (S. De Vregille et al. 2012). Pour les risques jugés inacceptables, des actions en réduction de risques sont alors mises en place. Les actions en réduction de risques peuvent être organisationnelles (par exemple : modification de l'enchaînement des opérations), matérielles (par exemple : système de détrompage) ou humaines (par exemple : double contrôle). Dans ces conditions, les risques ainsi analysés en amont et leur maîtrise se traduisent dans un référentiel et dans des exigences opératoires. On s’assure ainsi de la reproductibilité du travail réalisé, quel que soit l’opérateur qui en a la charge. La démonstration du management des risques repose donc sur le respect strict de ces prescriptions notamment au travers du respect des procédures. Dans le cadre de son intervention de contrôle des activités opérationnelles, le CNES se doit de mettre en œuvre un contrôle indépendant du processus de maîtrise des risques de l’Opérateur de Lancement. À partir de là, une telle démarche se devait :

• d'être indépendante de la méthode utilisée par l'opérateur, • de permettre une vision globale de la maîtrise des risques dans le processus de maîtrise des risques de l’Opérateur de Lancement. • d'identifier les causes profondes révélatrices d'une dérive lors des opérations,

Les méthodes utilisées habituellement pour l’identification des risques dans les activités opérationnelles se sont révélées, après analyse, difficilement exploitables dans le contexte opérationnel spatial (J. Guy-Coquille, 2012 - A. Villemeur, 1988 - A. Lannoy, 2008 - J.M. Flaus). La liste des critères ayant servi à les évaluer ont été :

1) l'indépendance avec la méthode utilisée par l'Opérateur de Lancement (ne pas refaire le travail de l’Opérateur de Lancement), 2) l'utilisation dans un contexte opérationnel (temps de mise en œuvre inférieur à 1 jour), 3) la facilité d’appropriation par l’équipe de contrôle, 4) une identification la plus large possible des risques (identifications des risques matériels, humain,

organisationnels…), 5) une utilisation des ressources raisonnables pour réaliser les analyses, 6) une méthode proche d'une démarche éprouvée, 7) une méthode permettant l'identification des causes profondes de dérive de maitrise des risques.

À titre d'exemple, la liste ci-après détaille une partie des méthodes qui ont été analysées : • Méthode du Diagramme de Succès ou de Fiabilité, • Méthode de l’Arbre de Conséquences ou Arbres d’Événements, • Analyse Préliminaire des Risques / Dangers, • Analyse des Modes de Défaillances, de leurs Effets et de leurs Criticités, • HAZard and Operability, • Méthode des Combinaisons des Pannes Résumées, • Analyse De Zones, • Méthode de l’Arbre des Défaillances ….

Cette analyse des différentes méthodes a fait ressortir :

1) qu'aucune méthode n'était applicable directement dans le contexte opérationnel des activités spatiales, 2) l'importance de limiter le périmètre d'identification des risques, 3) la nécessité d'utiliser plusieurs méthodes pour répondre aux différents besoins.

Fort de ces résultats, il a été décidé de développer une démarche propre répondant aux besoins du CNES dans ce contexte opérationnel très spécifique. Les difficultés rencontrées ont essentiellement porté sur la couverture de l'identification des risques et la réactivité nécessaire pour s'intégrer à la mise en œuvre d’un système dans un environnement opérationnel. En effet, du point de vue opérationnel, il était impératif de ne pas retarder l'opération de par l'activité de contrôle réalisée par le CNES. Dans ce cadre, il doit être possible d'analyser une procédure opérationnelle même diffusée tardivement (quelques heures avant l'opération par exemple).



Méthode CACAO La démarche qui a été développée devait ainsi répondre à un compromis entre l’exhaustivité de l’identification des risques et la difficulté de mise en place. Une identification très fine et exhaustive des risques conduira inévitablement à une méthode lourde à mettre en œuvre, nécessitant en plus une expertise importante. La démarche détaillée ci-après constitue une approche très différente de ce que fait l'Opérateur de Lancement et, dans ce sens, cela présente une véritable indépendance. Les 4 étapes de la méthode de Contrôle et d'Analyse de Conformité des Activités Opérationnelles (CACAO) développée sont ainsi :

• l'Analyse des Impacts Système (AIS) : Analyse le Système complet (Sol, Bord et interface Sol/Bord), • l'Analyse Des Causes en Opération (ADCO) : Analyse de la méthodologie de Mise en Œuvre, • l'Analyse De Zone (ADZ) : Contrôle du déroulé opérationnel, • le Retour d'Expérience (REX) : identification du retour d'expérience et causes profondes.

Ces 4 étapes sont réalisées de manière chronologique afin que les données de sortie d’une analyse servent de données d’entrée à l’analyse suivante. L’interdépendance des méthodes est le point fort de cette démarche car elle permet une cohérence au niveau de la prise en compte des risques de la conception à l'exploitation. Les 4 étapes sont alors réalisées de manière cyclique afin de s’enrichir mutuellement des résultats observés à chaque étape. Les principaux développements ont porté sur l'enchaînement des méthodes, l'analyse des causes potentielles d'anomalies en opération et l'analyse de zone en opération.

AIS

ADCO

ADZ

REX

Analyse des Impacts Système : analyse des modes de défaillance du système complet

Analyse Des Causes en Opérations : analyse de la méthodologie de mise en œuvre

Analyse de Zone : analyse de l’environnement du déroulement opérationnel

Réalisation d’un avis sur la conformité de la mise en œuvre / identification des causes profondes

Figure 1 : Démarche de contrôle des activités opérationnelles Chaque étape du processus sera détaillée dans les paragraphes suivants. Une première étape en amont concerne la sélection des opérations sur lesquelles vont être réalisés les contrôles.

Partie 1 : Identification de l'échantillonnage À partir du plan d’opérations général contenant l’ensemble des opérations standards déroulées en campagne de lancement, une extraction a été réalisée en utilisant les critères suivants :

• opérations ayant un impact potentiel mission en vol, • opérations sur les moyens lanceur concourant à la sauvegarde en vol (les moyens sauvegarde peuvent être utilisés

par le CNES pour détruire un lanceur jugé potentiellement dangereux). La liste ainsi obtenue a été classée en 3 catégories :

Catégorie 1 : opérations ne pouvant être validées par aucun test Ce sont les opérations les plus critiques pour lesquelles le respect strict du prescrit est la seule garantie du résultat de l'opération. Nous retrouvons en particulier dans cette catégorie l'intégration de certains éléments pyrotechniques tels que les lignes pyrotechniques ou la mise en place de détonateurs. De même, certaines opérations mécaniques sont classées dans cette catégorie. Le mauvais serrage d'un écrou ne peut pas être contrôlé par une opération ultérieure. Le respect strict du processus d'étalonnage de la clé, du serrage et du freinage permet de garantir la tenue mécanique de l'assemblage. Catégorie 2 : opérations pouvant être validées par un test local Cette catégorie contient les opérations pour lesquelles un test local permet de valider l'opération. Par exemple, les tests réalisés sur les batteries avant intégration appartiennent à cette catégorie. Cela permet de valider le fonctionnement de la batterie. Catégorie 3 : opérations pouvant être validées par un test global Nous retrouvons dans cette catégorie l'intégration de certains équipements pouvant être validés par un test final global.

Au début de chaque campagne, une liste (d’environ 4 à 5 opérations sur Ariane 5 par exemple) est ainsi réalisée en privilégiant la catégorie 1. Cette liste peut être complétée au cas par cas par des opérations supplémentaires sur des équipements ayant une particularité durant la phase de production.



Le nombre d'opérations contrôlées peut paraître faible, mais il est apparu suffisant pour plusieurs raisons : 1) il permet de ne pas alourdir le processus opérationnel qui limite volontairement les accès pour les opérations dangereuses, 2) il évite à l'Opérateur de Lancement de se reposer inconsciemment sur le contrôle du CNES pour les activités de sa responsabilité, 3) il fait partie d'un plan de contrôle global qui permet de contrôler des opérations différentes à chaque campagne. Au bout d'un an, une vision globale des activités réalisées est ainsi possible, 4) il conduit par l’identification de causes profondes, d’écarts organisationnels à détecter des problématiques communes à tout un ensemble d’opérations.

Partie 2 : Analyse des Impacts Système Durant la conception, des analyses de risques ont été réalisées afin de s’assurer de la maîtrise des risques sur le système de lancement. Un système de lancement est composé :

• des installations sol, • du lanceur, • de son processus de mise en œuvre.

Dans la pratique, la partie Analyse des Impacts Système a déjà été en grande partie réalisée durant les phases de conception et c’est plus l’exploitation des résultats qui en est faite. Toutefois, des éléments du retour d’expérience, comme l'identification potentielle de nouveaux modes de défaillances, de nouveaux dangers, l'analyse des impacts des modifications réalisées peuvent conduire à réviser les analyses réalisées en conception. Durant la phase de conception, différentes barrières ont été imaginées permettant de diminuer la probabilité de l’événement redouté ou de réduire la gravité de l’accident qui en découle. Les barrières peuvent se présenter sous différentes formes :

• barrière technique : automate de sécurité, redondance d’un élément, choix des matériaux, couple de serrage etc. • barrière préventive : opération de maintenance régulière, opération de nettoyage etc.

Dans certains cas, il est impossible d’instaurer une barrière de conception pour maîtriser l’événement redouté. On parle alors de points critiques. Ces points critiques sont alors analysés afin d’instaurer une ou des barrières de type méthodologique. Ces barrières de type méthodologique seront déclinées durant la mise en œuvre :

• soit sous forme de contraintes opérationnelles, • soit sous forme d’actions au travers d’une procédure, • soit sous forme d’opérations spécifiques.

Dans le cadre de l’activité de contrôle de conformité, ces opérations sont à surveiller afin de vérifier que les actions en réduction de risque initiées en conception sont correctement appliquées. Ce dernier point est important dans la mesure où les opérateurs n’ont pas en règle générale, la connaissance système nécessaire pour percevoir les risques associés et l’utilité des actions en réduction de risques. L'Analyse des impacts système (AIS) se base sur la documentation disponible :

• les analyses de risques système de conception, • les analyses SDF de conception, • les points critiques, • les réserves formulées lors de la qualification du système étudié, • les analyses de risques réalisées dans le cadre de l'exploitation, • les comptes rendus d’anomalies et leur traitement, • les modifications, etc.

Ce qui permet d'identifier en sortie :

• les objectifs de l'opération (nécessaire pour l'analyse de l'ADCO), • les différentes barrières misent en place lors de la conception (seront contrôlées lors de l'ADZ), • les événements redoutés identifiés lors des phases de conception (nécessaire pour l'analyse de l'ADCO).

L'ensemble est synthétisé dans un tableau détaillé ci-après.

Analyse des Impacts Système Opération : Lieu : 1. Référentiel Documentation Technique Étude SdF / Points critiques Spécifications de mise en œuvre Procédure(s) ADR Opération / Système Modifications réalisées Anomalies 2. Contraintes opérationnelles Contraintes d'enchaînement du plan d'opérations



3. Objectifs de l'opération dans les conditions de sécurité Objectif 1 Objectif 2… 4. Événements redoutés identifiés Événement 1 Événement 2… 5. Barrières mise en place Barrière matérielle Barrière procédurale Barrière organisationnelle Barrière humaine

Tableau 1 : Tableau d'analyse de l'AIS

Partie 3 : Analyse des Causes en Opérations L'idée de base de la méthode d’Analyse Des Causes en Opérations (ADCO) est de réaliser une cartographie des causes pouvant conduire à un événement indésirable et d'identifier les différentes barrières organisationnelles, matérielles, procédurales et humaines en place permettant d'éviter la propagation. Globalement, si les barrières sont suffisamment efficaces, il est très probable que chaque barrière puisse stopper la propagation vers un événement indésirable. Contrôler l'efficacité des barrières revient à contrôler l'efficacité de l'organisation à stopper la propagation d'une source de danger vers un événement redouté (J. Reason, 1993). L’objectif principal de la méthode ADCO est d’identifier les barrières opérationnelles misent en œuvre lors du déroulement de l’opération. Une ADCO est spécifique à une opération, les causes et barrières identifiées ne sont donc évidemment pas les mêmes d’une opération à l’autre. La méthode doit donc être appliquée en amont de chaque contrôle sur le terrain (de chaque Analyse de Zone). L’ADCO permet de se concentrer sur :

• les événements redoutés dits "opérationnels", à savoir la non-atteinte des objectifs d’une opération de mise en œuvre (revalidation, maintenance, assemblage, mise en configuration etc.) dans le respect des objectifs de sécurité, • les points critiques issus des Analyses de risques système.

La démarche ADCO repose sur une analyse globale de l’évaluation des risques et de la fiabilité des barrières mises en œuvre. Le point de départ de l’analyse est l’événement redouté qui est la non-atteinte de l'objectif de l'opération dans le respect de la sécurité des personnes et des biens. Par exemple, lors d'une opération de contrôle d'une vanne, la non-atteinte de l'objectif de l'opération pourrait être :

• Vanne contrôlée fonctionnelle à tort, • Vanne non contrôlée, • Vanne contrôlée partiellement, • Vanne contrôlée trop tard, • Vanne contrôlée trop tôt.

À partir de l'événement ou des événements redoutés, il est alors construit un ensemble de scénarii combinant les défaillances matérielles, les défaillances des moyens de contrôle et les erreurs humaines. Une fois ces causes identifiées, une étude des actions déroulées tout au long de l’opération permettra de vérifier la présence de barrières permettant d'éviter la propagation d'une défaillance vers l'événement redouté. Les barrières méthodologiques sont parfois implicites (sécurité des personnes, procédure etc.) et ne peuvent être décelées que par l’analyse complète des documents de référence et des moyens qui seront utilisés et mis en œuvre durant l’opération. Par exemple, un enchaînement d’actions dans un ordre bien précis peut s’avérer être une barrière méthodologique. La réalisation des mêmes actions dans un ordre différent peut détruire cette barrière. Un contrôle visuel effectué par un opérateur afin de valider une action peut être sur le moment considéré comme une redondance inutile et être supprimé de la procédure. Ce contrôle visuel était pourtant une barrière méthodologique assurant le bon déroulement d’une deuxième action réalisée bien plus tard durant l’opération. Les barrières ainsi identifiées seront regroupées dans un tableau (ci-après) permettant de les hiérarchiser en fonction de leur importance de couverture de risques. Cette cartographie complète des barrières de méthodologie déroulées durant l’opération permet au contrôleur d’identifier les actions les plus "à risque", à surveiller lors des contrôles en opération (lors des Analyses de Zone). Le tableau ci-après récapitule les événements redoutés et barrières misent place. La présentation sous forme de tableau s'est révélée être plus simple à mettre en œuvre que sous forme d'arbre.



Analyse des Causes en Opérations Opération : Lieu : Événement redouté 1 Mise en place du détonateur incorrecte (détonateur non vol) Cause Mauvaise fourniture et pas de contrôle de l'opérateur au moment du déstockage

2

Barrière Humaine Contrôle de l'opérateur au déstockage Barrière Matérielle Barrière procédurale Contrôle Niveau 0 soute Pyro Barrière Organisationnelle

Événement redouté 2 Mise en place du détonateur incorrecte (Serrage au couple incorrecte du détonateur dans le BSA)

Cause Matériel défectueux et mauvais contrôle

2

Barrière Humaine Barrière Matérielle Barrière procédurale Contrôle validité de la clé + vérification étalonnage à l'ACRATORK Barrière Organisationnelle contrôle inspecteur PCQ du serrage

Tableau 2 : Exemple de tableau d'analyse de l'ADCO

Compte-tenu des contraintes opérationnelles, les événements redoutés recherchés ont volontairement été limités à la non-atteinte de l'objectif de la procédure dans les conditions nominales de sécurité. L'influence de l'environnement est alors vue au travers de l'ADZ. Le nombre et la combinaison de barrières permettent d'éviter la propagation d'une cause vers un événement redouté.

Partie 4 : Principe de l'ADZ L’Analyse de Zone qui est effectuée sur le terrain lors de chaque campagne a pour objectif de contrôler différents points lors du déroulement de l'opération :

• vérifier la conformité des opérations vis-à-vis des règles applicables, • contrôler le respect des barrières identifiées lors de l'analyse des causes en opération, • identifier des risques générés par cet environnement ou sur celui-ci, • mettre en évidence d'éventuelles interactions avec les autres opérations (co-activité).

Les barrières spécifiques identifiées lors de la phase ADCO précédente sont complétées par une liste de barrières génériques. Cette liste a été élaborée à partir du Retour d’expérience et d'une analyse générique des risques et barrières. Cette liste générique est ainsi composée :

• de 45 questions génériques, communes à toutes les opérations, • de 13 questions spécifiques aux opérations électriques, • de 15 questions spécifiques aux opérations pyrotechniques.

Intitulé OK

N

OK

SO

N

C

Observations

Mat

érie

l

Le matériel opérateur utilisé est-il en bon état ?

Le matériel opérateur utilisé respecte-t-il la spécificité en procédure ?

Le matériel opérateur utilisé est-il adapté à l’opération ?

La documentation d’accompagnement du matériel intégré est-elle disponible ?

La validité des moyens de mesures utilisés est-elle vérifiable avant usage (présence d’étiquettes, PV d’étalonnage …) ? Vérification de la date de péremption

Les ingrédients à durée de vie limitée à disposition en plate-forme sont-ils utilisables ? (colle, C.A.F) – Vérification de la date de péremption

Tableau 3 : Exemple des points contrôlés lors de l'ADZ

Exemples de vérification à effectuer durant le contrôle en opération :

• la documentation d’accompagnement du matériel intégré est-elle disponible ? • l’opérateur est-il habilité ? • le matériel de manutention a-t-il été contrôlé par un organisme agréé ? • l’opération est-elle isolée ou des interactions sont-elles possibles avec une autre opération ?



Les résultats du contrôle réalisé sont synthétisés dans le tableau ci-après.

OPÉRATION XXX 1. Sondage Criticité de l'opération Contrôleurs Durée de l'opération X heures 2. Écarts Référentiel Procédure Spécifications Analyse de risques 3. Écarts Méthode 4. Écarts Matériel 5. Écarts Sécurité & Environnement 6. Écarts Autre

Tableau 4 : Exemple de tableau rempli à l'issue de l'ADZ

Partie 5 : Principe du REX Les contrôles en opération conduisent à l’identification d’un certain nombre d’observations, qu’il est nécessaire de catégoriser pour en améliorer l’analyse et orienter les actions correctives que l'Opérateur de Lancement doit mener ultérieurement. Cela permet notamment :

• d'orienter les futurs contrôles, • de faire ressortir les causes profondes, • de demander des corrections factuelles à l'Opérateur de Lancement.

Les catégories proposées reposent sur la façon dont l’écart est observé (qui s’apparente plus à un mode de défaillance) et ne présagent pas d'une ou plusieurs causes racines. Ces causes sont à identifier ultérieurement dans le cadre des analyses réalisées par l'Opérateur de Lancement. Les écarts identifiés lors des Analyses de Zones peuvent être classés dans différentes catégories :

• écarts liés à la méthodologie, • écarts liés au référentiel (documents de référence), • écarts liés au matériel (à la matière), • écarts liés à l’environnement de l’opération (au milieu), • écarts liés à la main d’œuvre.

Catégorie Méthodologie : Il s’agit de tout écart de déroulement de l’opération par rapport au déroulement prescrit. Procédure : écart entre actions réalisées et prescription dans les procédures (absence de procédure, procédure incomplète, erreur dans la procédure, non-respect du séquencement). Exemples : l’opérateur ne respecte pas le séquencement décrit dans la procédure, l’opérateur réalise une action non-décrite en procédure. Catégorie Référentiel : Il s’agit de tout écart concernant le référencement d’un document, la cohérence des informations (ADR/procédure, SMO/procédure…), le circuit de validation des documents définissant le prescrit. La récurrence de ce type d’écart : - peut signifier des origines potentielles de type organisationnel avec un impact sur un grand nombre d’opérations, - peut engendrer une dérive des pratiques des opérateurs qui risquent de ne plus considérer le référentiel comme ce qui est prescrit et par conséquent de prendre des libertés vis-à-vis du prescrit. Catégorie Matériel (Matière) : Il s’agit de tout écart concernant le matériel au sens large (outillage, mesure, matière) au niveau de sa disponibilité, son fonctionnement, son étalonnage, son mode d’emploi ; de problèmes sur les matières employées (références des pièces, péremption des matières, etc.) Exemples : gaines de câbles détériorées, date d’étalonnage non-visible, étiquettes de référencement de matériel manquantes, défaillance d’un relais… Catégorie Milieu (Environnement) : Il s’agit de tout écart concernant l’environnement du poste de travail pouvant nuire à la fiabilité du lanceur. Catégorie Main d’œuvre : Il s’agit de tout écart ressources humaines en rapport avec l’effectif prescrit (en nombre, en types de compétences), écart de désignation, répartition de responsabilité (Responsable opération, surveillant extérieur etc.) Des écarts récurrents constatés sur la méthode peuvent signifier des intervenants (opérateurs, inspecteurs) pas assez formés et informés, en particulier sur les règles à respecter (suivre la consigne, double contrôle…).



Cette démarche de retour d'expérience est ainsi réalisée à chaque campagne (débriefing à chaud) avec l'Opérateur de Lancement et une synthèse annuelle est réalisée reprenant l'ensemble des constats. Le fait d'utiliser une démarche basée sur l'efficacité des barrières en place permet de juger non seulement de la robustesse des moyens spécifiques mis en place pour une opération, mais aussi de juger globalement de l'efficacité des barrières implicites misent place au niveau de l'organisation. À titre d'exemple, l'efficacité des barrières implicites qui ont été mises en évidence sont :

• la justesse des procédures utilisées (le processus de mise à jour), • la formation des intervenants, • l'organisation de la planification des opérations ….

Enchaînement des méthodes Cette démarche permet d’émettre un bilan de conformité complet à l’issue des contrôles réalisés durant la campagne. Ces 4 étapes (AIS-ADCO-ADZ-REX) sont réalisées de manière chronologique afin que les données de sortie d’une analyse servent de données d’entrée à l’analyse suivante. Le tableau ci-après présente l’enchaînement des 4 méthodes en y insérant les données de sortie pour chaque méthode d’analyse.

AIS ADCO ADZ

Méthodes utilisées : AIS

Objectifs : Rechercher les barrières de conception et les événements redoutés du système complet.

Système de Lancement Mise en œuvre opérationnelle

Objectifs : Identifier les barrières permettant de prévenir un événement indésirable

Méthode utilisée : ADCO

Comment : Analyser les objectifs de l’opération 1) analyser la méthode de mise en œuvre et les moyens mis en œuvre. 2) Identifier les causes et analyser leurs conséquences. 3) Faire ressortir les barrières.

Objectifs : Contrôler l'efficacité des barrières et vérifier l'impact de l'environnement

Comment : Contrôles en opération Constats d’écarts majeurs Constats d’écarts Constats de risques potentiels Contrôle des barrières Contrôle des interactions environnement / opération

Méthodes Utilisées : ADZ

Barrières de conception Objectifs de l'opération

Liste des barrières

Nouveaux risques Modes de Défaillances

Comment : Récupération et analyse des documents de conception et études SdF

Environnement

REX

Objectifs : Classer les constats pour identifier des écarts et détecter les signaux faibles

Comment : Analyse des écarts constatés en opération

Méthodes utilisées : REX

Écarts génériques

Toutes campagnes

Liste des écarts

Tableau 5 : Tableau détaillé récapitulatif de la démarche de contrôle des activités opérationnelles

Les liens entre les méthodes sont récapitulés dans le tableau ci-dessous.

AISADCO 1) identification barrières établies lors de la conception 2) détermination des objectifs de l'opération

ADCO AIS Remontée vers le concepteur de points faisant l'objet de défaillance ou problèmes récurrents

ADCO ADZ création d’une cartographie des barrières ADZ ADCO identification de nouveaux risques potentiels

ADZ REX liste des écarts constatés lors de l'ADZ à classifier

REX ADZ Enrichissement par les écarts constatés lors des ADZ

Tableau 6 : Liens entre les différentes méthodes



Exemple d'analyse réalisée L'exemple détaillé correspond à l'analyse de l'intégration d'un système de séparation au niveau de la coiffe du lanceur (Spring Package). Nota : une partie seulement des tableaux a été détaillée et les références ont été simplifiées pour une meilleure compréhension et pour des raisons de confidentialité.

Étape 1 : Analyse des Impacts Système Opération : XXXXXX Lieu : BAF 4. Événements redoutés identifiés Événement 1 Intégration d’un Système de séparation non-conforme Événement 2 Mise en œuvre non conforme d’un Spring Package Événement 3 Liaison Lanceur/Spring Package non conforme 5. Barrières mise en place Barrière matérielle Barrière procédurale Barrière organisationnelle Barrière humaine

Tableau 7 : Exemple de tableau AIS

L'étape AIS a identifié 3 événements redoutés issus de l'analyse de la documentation de conception :

• intégration d’un Système de séparation non-conforme, • mise en œuvre non conforme d’un Spring Package, • liaison Lanceur/Spring Package non conforme.

Étape 2 : Analyse des Causes en Opérations Opération : XXXXXX Procédure : Ariane Date : 29/05/2013 Lieu : BAF Événement redouté 1 Intégration d’un Système de séparation non-conforme

Cause 1 Contrôle incorrect du jeu entre les ressorts et le support ET jeu incorrect entre les Système de séparation et les supports.

2

Barrière Humain / Barrière Matériel Relevé du jeu (pied à coulisse) entre les Système de séparation et les supports Barrière Interface / Barrière Organisationnel et Management Compression au préalable des ressorts selon procédure Ariane

Événement redouté 1 Intégration d’un Système de séparation non-conforme

Cause 2 Endommagement du Système de séparation lors de son transport

1

Barrière Humain / Barrière Matériel Transport des boitiers dans des caisses dédiées avec cales et flammes Barrière Interface / Barrière Organisationnel et Management /

Tableau 8 : Exemple de tableau d'ADCO

À l'issue de l'étape 2 ADCO, les événements redoutés sont alors au nombre de 6 :

• Événement 1 - Intégration d’un Système de séparation non-conforme • Événement 2- Mise en œuvre non conforme d’un Spring Package • Événement 3 - Liaison Lanceur/Spring Package non conforme • Événement 4 - Pollution d’un Spring Package • Événement 5 - Ovni par décrochage des capots de protection • Événement 6 - Huile sur les filets des vis

Le tableau ci-dessus donne un exemple de traitement d'un événement redouté avec identification des barrières.



Étape 3 : Analyse de Zone 1. Sondage : Opéra tion d 'ins ta lla tion des res s orts du s ys tème de s épara tion Criticité de l'opération Contrôleurs M. X Durée de l'opération X heures Mme Y 2. Écarts Référentiel Procédure Ariane-XXX Spécifications A5-SM-XXX Analyse de risques A5-SF-XXX 2 écarts sur le système documentaire 3. Écarts Méthode 4. Écarts Matériel Étalonnage des outillages Pas d’étiquette de validité sur le pied à coulisse. Afficher la validité du pied à coulisse sur l’outillage lui-même. 5. Écarts Sécurité & Environnement RAS 6. Écarts Autre RAS

Tableau 9 : Exemple de tableau d'ADZ

L'étape 4, l’Analyse de Retour d'expérience, est réalisée annuellement dans le cadre des bilans du contrôle de conformité de l'Opérateur de Lancement.

Conclusions La mise en place de la méthode CACAO permet lors de contrôles réalisés sur le terrain de se focaliser sur les barrières qui sont sensées bloquer la propagation d'un accident. L'identification des barrières implicites telles que l'enchaînement des opérations, l'organisation et l'opérateur est un atout dans le cadre du contrôle du processus de maîtrise des risques de l'Opérateur de Lancement. La démarche permet donc de compléter, de mettre à jour les résultats des analyses menées lors de la conception par le retour d’expérience et d’intégrer des modifications. La méthode permet également de mettre en perspective les Analyses de Risques Opérations conduites unitairement par l’Opérateur de Lancement par une vision des impacts fonctionnels de l’activité et la prise en compte des risques liés aux co-activités. La démarche a été mise en application depuis 2012. Les résultats ont montré une réelle plus-value, en particulier en complément de la vision unitaire des ADR de l’Opérateur de Lancement. Cela nous a permet en particulier d’évaluer plus rapidement les impacts des modifications affectant le déroulé d’une opération pendant la campagne. Sa mise en œuvre aboutit à la mise à disposition d’une check-list très opérationnelle adaptée aux conditions des déroulements des contrôles en opérations. Enfin, la détection des causes profondes, nous permet de mettre en perspective les résultats obtenus sur les opérations contrôlées.

Références S. De Vregille – B. Deltort, 2012, Maitrise des risques lors des opérations Ariane en campagne de lancement – Acte congrès Lambda mu 17 A. Desroches, 1989, Règles pour la prévention des erreurs humaines, A5-SG-52-CNES 1.1 J.M. Flaus, 2013, Analyse des risques des systèmes de production industriels et de services, Lavoisier J. Guy-Coquille, 2012, Comparatif des méthodes d'identification des risques, Rapport CNES A. Lannoy, 2008, Maîtrise des risques et sûreté de fonctionnement, Tec & Doc Lavoisier J. Reason, 1993, L'erreur humaine, Presses Universitaires de France A. Villemeur, 1988, Sureté de fonctionnement des systèmes industriels, Eyrolles


méthode d'identification des risques pour le contrôle de

Documents