Regulating nuclear safety through safety culture

📖📖📖📖 Une application tout à fait concrète du concept de culture de sécurité pour l’autorité de contrôle, avec deux exemples qui rendent le discours très convaincant.
 

Notre synthèse

La culture de la sécurité a maintenant une longue histoire mais le concept est toujours très contesté. Les critiques de la culture de sécurité sont multiples. Elle risque d’éluder les problèmes techniques et de minimiser l’importance de la conception technologique. Elle peut être trop simplificatrice, mettant au second plan les analyses organisationnelles plus approfondies. Son évaluation peut conduire à une explication simpliste d’un problème complexe de sécurité.
Certains auteurs (notamment Andrew Hopkins, Gudela Grote) vont même jusqu’à ne pas recommander aux autorités de réglementation d’utiliser ce concept. Pour ces auteurs, elle semble faiblement appropriée pour réguler les industries à risque : trop abstraite et intangible, ne pouvant pas être imposée par des règles prescriptives, difficilement mesurable par des chiffres et aussi difficile à aborder à distance. De plus, le concept nécessite un coût d’interprétation élevé pour les régulateurs et des compétences qui peuvent manquer, comme d’ailleurs chez les industriels qu’ils surveillent.
Mais pour autant, la culture de sécurité/sûreté est de plus en plus intégrée dans le cadre réglementaire notamment dans le nucléaire et l’Oil and Gaz.
Cet article analyse les forces et faiblesses de l’usage du concept pour réguler les industries à haut risque.  L’auteur propose un modèle à trois niveaux visant à guider une évaluation de la culture de sécurité :

• Evaluer la conformité (le niveau d’alignement entre les principes de la culture de sécurité et les pratiques de terrain),
• Evaluer la coopération (entre les sous-cultures existant dans une entreprise)  
• Evaluer la cohérence (la stabilité de la culture dans le temps).

La nécessité et les avantages d’aborder ces questions sont illustrés par deux études de cas dans le nucléaire Belge. A noter qu’une approche similaire a été suivie par Garcés et Morcillo abordant ces questions de cohérence, de consensus et de stabilité dans les centrales nucléaires espagnoles. Dans la lignée des travaux fondateurs de Mintzberg sur les « configurations structurelles », ces auteurs définissent des « configurations culturelles » et une sorte de carte culturelle structurant les différents îlots culturels au sein d’une organisation.

Le niveau d’alignement des principes de culture de sécurité et des pratiques de terrain

Pour une autorité de régulation, il est important de s’assurer que la culture de la sécurité ne reste pas au niveau des écrits mais qu’elle est intégrée dans les pratiques, les mots et la façon de penser sur le lieu de travail.
D’un point de vue méthodologique, il s’agit donc d’identifier des « mécanismes intégratifs » qui contribuent à la construction d’une culture homogène et unifiée. Parmi ces mécanismes intégrateurs, on retrouve les politiques ou les outils managériaux ainsi que les histoires ou les jargons partagés. Par exemple, des expressions telles que « Nous ne travaillons pas dans une ‟usine de chocolat” » sont fréquemment utilisées par les exploitants de centrales nucléaires exprimant leur engagement à un niveau de rigueur adéquat. En commun, ces éléments sont partagés au niveau de l’ensemble de l’organisation et contribuent à la cohérence des pratiques entre les opérateurs.

La compréhension mutuelle entre les sous-cultures qui habitent les services

Les sous-cultures animent des perceptions et des interprétations spécifiques au sein des services, des niveaux hiérarchiques, des métiers, des équipes, des générations. Les frontières entre les groupes se conjuguent avec, entre autres, des référentiels, des outils, des jargons ou des temporalités spécifiques. Il s’agit d’évaluer comment ces sous-cultures se chevauchent et interagissent. Cet enjeu réglementaire (assurer une compréhension mutuelle) se complète par la perspective de « différenciation » centrée sur le consensus au sein de chaque sous-groupe.

La capacité de l’industriel à faire évoluer sa culture

Une culture se caractérise aussi par sa stabilité dans le temps. Selon Schein, une culture est fortement liée à la solution développée par un groupe « pour résoudre son problème d’adaptation externe et d’intégration interne ». Ces solutions (en tant que traditions, rituels, normes, règles) ne sont évidemment pas de simples mécanismes qui peuvent être modifiés ou remplacés du jour au lendemain. Le processus d’institutionnalisation – en tant qu’établissement de représentations, d’attentes ou de règles explicites considérées comme la norme officielle et enseignées aux nouveaux arrivants – donne également une bonne idée de la stabilité intrinsèque des éléments culturels et de leur interconnexion.
Néanmoins, d’un point de vue réglementaire, une attente importante de l’autorité réside dans la volonté et la capacité de l’exploitant à améliorer la sûreté/sécurité comme condition préalable à tout changement.

Comment apprécier la culture de la sécurité par l'observation : l’exemple du régulateur belge du nucléaire (Bel V)

La méthode utilisée repose sur un processus de « Safety Culture Observations » (SCO), appliqué depuis plusieurs années au sein de Bel V, le régulateur belge. Ce modèle est alimenté par des observations de terrain d’inspecteurs ou d’analystes de sûreté réalisées à l’occasion de tout contact avec un exploitant. Ces observations sont consignées dans une fiche d’observation décrivant les éléments factuels et contextuels. Elles sont ensuite reliées aux attributs de la culture de sûreté décrits par l’Agence internationale de l’énergie atomique (AIEA). Les résultats présentés dans cet article sont basés sur environ 450 observations recueillies sur une période de trois ans au sein de deux installations nucléaires. Ces observations ont été complétées par des entretiens qualitatifs réalisés lors d’inspections dédiées (environ 25 entretiens pour chaque cas).

Ce modèle est structuré autour de deux axes.

• Le premier axe concentre les observations sur des éléments organisationnels de la culture de sécurité (comme les SOP, les politiques, les processus, les interfaces entre les départements…) mais aussi sur des éléments appartenant au côté « comportemental » de la culture sécurité (prise de décision, attitude, action…).
• Le deuxième axe concentre les observations sur les enjeux « managériaux » (ce que disent et font les managers) ou sur des « pratiques de travail » (ce qui se fait sur le terrain).

À l’intersection des deux axes, quatre dimensions apparaissent reflétant les différentes « briques » de la culture de la sécurité :

• Le système de management (politiques de sécurité, processus de travail, interfaces, rôles et responsabilités, procédures ou documentation technique…) ;
• Le leadership (niveau d’implication des managers en matière de sécurité tels que l’engagement, la prise de décision, le style de supervision) ;
• La performance humaine (pratiques de terrain montrant des exemples, entre autres, d’attitude de questionnement, de conformité, de compétences d’équipe ou de conscience de la situation) ;
• La capacité d’apprentissage (learning attitude, mémoire des incidents et solutions).

Résultats de cette évaluation sur deux centrales nucléaires belges

Première centrale nucléaire : une culture reprenant le « modèle de la machine »

Concernant le système de management, on note des constats positifs sur la capacité de l’exploitant à mettre en œuvre et à contrôler les processus d’exploitation. Opérateurs et managers font preuve de grande confiance en la robustesse de ces processus. On est presque dans un excès de confiance et d’une perception d’abolition de distance entre « ce qui est décrit sur papier » versus « ce qui se fait réellement sur le terrain ».
Concernant le leadership, on note l’implication de terrain du management pour encadrer, sensibiliser, communiquer aux équipes et rappeler des règles. Néanmoins, les observations et entretiens ont également montré la réticence des managers à prendre en compte les questions de facteurs humains. Autrement dit, les « erreurs » humaines sont régulièrement perçues dans une perspective individuelle en évitant d’explorer des problématiques plus « collectives », comme la culture, les décalages systémiques, les pratiques enracinées, etc.
La ligne hiérarchique se caractérise par un manque global de maturité sur les facteurs humains et organisationnels (FHO) et semble partager un certain fatalisme quant à la possibilité d’améliorer ces problématiques. La manière d’aborder les problèmes de sécurité repose d’abord sur une approche technique : la sécurité est avant tout une question de fiabilité et de disponibilité des équipements. Ainsi dans le cadre d’interventions de terrain ou de prise de décision, la priorité va aux solutions pratiques (versus conceptuelles) pour lesquelles la réussite des opérations est le principal critère de performance. Ce pragmatisme conduit à des prises de position comme « Les procédures sont principalement pour les nouveaux arrivants ». Dans cette optique, les principes du « Stop Think Act Review » (STAR) sont suivis mais parfois de manière strictement formelle, c’est-à-dire sans compréhension et utilisation approfondie des outils de performance humaine.
Concernant la dimension apprentissage, les rapports d’analyse d’événements sont systématiquement orientés techniquement. Les problèmes FOH sont éludés et, par conséquent, les causes profondes liées aux problèmes FOH ne sont pas identifiées.

Pour résumer, on note les traits culturels suivants dans cette première centrale :

• Système de management : confiance excessive dans l’efficacité des processus ;
• Leadership : FHO-manque de maturité et FOH-fatalisme ;  
• Performance humaine : Forte connaissance par les expérimentés de tous les dispositifs de sécurité en place ; seuls les débutants reviennent à l’écrit, au travers des procédures et manuels de formation.
• Apprentissage : manque d’attention aux problèmes de FOH dans l’analyse d’événements.

Les quatre dimensions se renforcent mutuellement : l’excès de confiance global vis-à-vis de la robustesse des processus conduit à minimiser « ce qui est réellement fait » et à minimiser l’importance des enjeux de facteurs humains. Métaphoriquement, cette installation peut être qualifiée de « modèle de la machine », où chaque membre du personnel a une bonne compréhension du travail à effectuer et des attentes spécifiques à atteindre. Cela peut évidemment être considéré comme positif en ce qui concerne la responsabilité des opérateurs. À l’inverse, le modèle de la machine peut aussi conduire à un niveau d’homogénéité excessif et inapproprié.

Seconde centrale nucléaire : une culture d’autonomie

Concernant le management, on note un manque de respect des procédures écrites et des écarts liés aux processus de travail avec une faible utilisation des formulaires prescrits et un manque de rigueur dans la gestion des documents.
Concernant le leadership, des constats positifs montrent l’implication de la haute direction dans les projets d’amélioration de la sécurité. On voit des exemples de prise de décision prudente ou de transparence vis-à-vis du régulateur qui reflètent l’engagement des gestionnaires de terrain en matière de sécurité. Néanmoins, un ensemble de constats pose la question de l’efficacité de la présence des managers sur le terrain car ils ne viennent que lorsque des problèmes surviennent (typique d’un leadership par « management par exception »).
Concernant la dimension de la performance humaine, les observations montrent des faiblesses concernant le respect des procédures ou l’attitude de questionnement. Les raisons sous-jacentes de ces faiblesses sont ancrées dans un manque d’appropriation (par exemple concernant la mise en œuvre des processus, les actions correctives, le respect des délais ou le peer-check) et dans une « routinisation » des pratiques (définie comme la force des habitudes et la normalisation des pratiques de longue date).
Concernant la dimension apprentissage, les observations positives démontrent la capacité de l’exploitant à enquêter sur les causes techniques racines et à effectuer une analyse approfondie des événements. Mais on note aussi une certaine réticence pour gérer les événements récurrents et des faiblesses dans la mise en œuvre des actions correctives efficaces, remettant en cause la capacité de l’exploitant à conduire des changements en profondeur.

En synthèse, la culture de cette seconde centrale apparaît comme suit :

• Système de gestion : perte de sens des règles ;
• Leadership : manque de présence effective sur le terrain et gestion par exception ;
• Performance humaine : manque d’appropriation et de routinisation des pratiques ;
• Apprentissage : capacité insuffisante pour des changements en profondeur.

Ces quatre dimensions sont également fortement imbriquées : l’absence d’une présence effective des managers sur le terrain contribue à une perte de sens des procédures écrites. Petit à petit, les membres du personnel perçoivent les activités comme des routines et perdent leur sentiment d’appartenance.

Quelle évaluation et action de l’autorité de contrôle sur deux résultats aussi différents ?

La leçon essentielle de cette étude est que l’autorité de contrôle doit faire des prescriptions totalement différentes aux deux centrales, compte tenu de son diagnostic de culture de sécurité

La question de la « conformité »

On voit dans la première centrale un niveau élevé d’alignement entre ce qui est prescrit et l’organisation des opérations sur le terrain. L’autorité doit attirer l’attention de l’exploitant sur une confiance excessive dans les connaissances techniques des personnes et les processus existants.
En revanche, dans la seconde, on note de fréquentes divergences quant à la manière dont les règles sont mises en pratique. Un manque de conformité est évidemment une faiblesse au sein d’une industrie comme la production nucléaire. Ce modèle de l’autonomie semble antagoniste avec une cohérence entre le système de gestion de la sécurité et les pratiques de terrain. Pourtant, cette recherche d’autonomie pourrait représenter un trait positif pour la culture de sécurité (permettant des compétences d’adaptation, des capacités cognitives flexibilité, résilience…), mais seulement si l’autonomie s’appuie sur de fortes compétences techniques et des aptitudes d’équipe.

La question de la « coopération »

Dans la première centrale, on note la faible différenciation et le fort alignement des pratiques sur le système de gestion de la sécurité. La « machine » est un cadre très puissant permettant une compréhension mutuelle sur une définition de la sécurité. L’autorité de contrôle doit se méfier d’une adhésion passive et non critique de toute la chaîne hiérarchique.
Dans la seconde centrale, le processus de construction de la sécurité amène à un « ce qui est sûr ou pas » principalement défini au sein de sous-groupes. Le risque pour l’autorité de sûreté est ici de réduire les fortes frontières entre la ligne hiérarchique et le lieu de travail liées au fort processus de différenciation et de fragmentation. Il faut restaurer une présence effective des managers sur le terrain et une compréhension mutuelle.

La question de la « cohérence »

Il est intéressant de noter que les configurations culturelles proposées ne sont pas seulement des instantanés mais pourraient également être utilisées pour « anticiper » ou « prévoir », dans la mesure du possible, des évolutions ou des conséquences potentielles. L’enjeu n’est pas de substituer des programmes d’inspection et des évaluations de sécurité par une « boule de cristal » mais de surveiller de près les éléments culturels d’une installation qui sont considérés comme des « moteurs de changement » importants. Par exemple, les résultats liés au deuxième cas pourraient être reliés aux travaux de Snook qui a identifié quatre évolutions d’états des systèmes sociotechniques et, en particulier, une « dérive pratique ». Ce phénomène, défini comme une dérive lente et insidieuse provoquant le découplage entre les règles écrites et les pratiques réelles sur le terrain, est certainement un scénario à prendre en compte dans le cadre du cas 2.

Au total, on voit que cette évaluation de la culture de sécurité est encadrée par une méthode bien décrite et pratique. Elle peut donner des éléments globaux et stratégiques à l’autorité de contrôle sur la façon dont est déployée la sécurité, avec à la clé des recommandations très différentes d’un site à un autre. L'approche basée sur la « configuration culturelle » suggérée par Garcés et Morcillo s’avère être un concept précieux pour identifier les briques d’une culture, comprendre comment elles sont interconnectées et montrer comment ces principaux éléments encadrent les attitudes et les comportements.
La méthode permet d’adopter une vision holistique prenant en compte les différentes composantes d’un système sociotechnique. L’utilisation de métaphores (culture machine, culture autonomie…) dans l’évaluation de la sûreté s’avère aussi une approche fructueuse afin de nourrir l’imaginaire de sûreté des exploitants. Cela nécessite néanmoins d’assurer une compréhension mutuelle entre le régulateur et le régulé.