Sécurité gérée et réglée lors d’une action humaine de SoM (Start of Mission) d’une rame TGV dans un contexte d’utilisation du nouveau système de signalisation ERTMS (European

29 & 30 novembre 2011Les Entretiens du Risque 2011 : « Sécurité réglée et sécurité gérée :

pour une complémentarité à partager par les acteurs »

Sécurité gérée et réglée lors d’une action humaine

de SoM (Start of Mission)

d’une rame TGV dans un contexte d’utilisation du

nouveau système de signalisation ERTMS

(European Rail Transport Management System)

Dominique TROJELLI

[email protected]

Ion BERECHET

[email protected]

Henri-Bertrand PETIT

[email protected]

Vincent AMARANTI

[email protected]

Jean-Marc CEREZ

[email protected]

Vincent ROY

[email protected]

Présentée par Ion BERECHET et Jean-Marc CEREZ

Auteurs :



Sommaire

• L’objectif de la communication• Le contexte• La problématique

• Les acteurs• Les faits• Les modèles• La réglementation• Les valeurs• Les motivations

• La solution• Les résultats• Conclusion



Objectif de la communication

� Partager l’expérience SNCF et montrer comment la sécurité du TGV a été démontrée et consolidée face aux événements non acceptables liés à une procédure de Start of Mission (SoM) en appliquant une méthodologie innovante et pragmatique basée sur la fusion des indicateurs issus du REX et de l’expertise métier.



Contexte et Problématique

Le déploiement du nouveau système de signalisation ferroviaire ERTMS, sur les rames TGV, a fait apparaître une fragilité dans la sécurité globale du système.

Il s’agit d’une procédure humaine qui intervient en début de mission, lorsque l'agent de conduite doit faire le choix du système de signalisation sous lequel il va être amené àdébuter sa mission.

Cette opération est désignée par SoM (exemple sélection du système « France » pour le départ d’une rame TGV THALYS en Gare de Nord à destination de la Belgique).



Nouvelle situation

Avant l’avènement de l’ERTMS, la logique d’activation des différentes systèmes de signalisation ne se posait pas puisque tous les systèmes était actifs en même temps.

L’ERTMS a introduit une nouvelle logique de pilotage considérant que l’ensemble des systèmes nationaux historiques

� KVB, TVM pour la France

� PZB, LZB pour l’Allemagne

� TBL1, TBL2 pour la Belgique

� l’ATB pour le Pays Bas

devait être supervisé par le cœur de l’ERTMS et qu’un seul système devait être actif à la fois.

Ceci pose donc le problproblèème dme d’’initialisation du systinitialisation du systèèmeme lorsque l’on réveille le train.



Erreurs humaines

Malgré des alarmes visuelles et sonores émises par le détecteur d’incohérences intégré au système, des erreurs humaines peuvent entraîner une sélection autre que le système France et amener le train à circuler sans que le bon système de signalisation soit opérationnel.



Interface utilisateurs



Les acteurs

Cette problématique, identifiée par la Direction du Matériel de la SNCF, a été discutée avec l’autorité nationale de sécuritéferroviaire française (EPSF) et avec le Réseau Ferré de France (RFF) gestionnaire des infrastructures.

Suite aux premiers éléments d’analyse il est ressorti la nécessité de quantifier le risque lié à cet événement redouté sur - la base du retour d’expérience du terrain (sécurité gérée)- la pertinence des règles de conduite, des procédures et des réglementations en vigueur (sécurité réglée) - et les configurations des infrastructures gérées par la RFF.

La Commission Européenne, en charge de la spécification du nouveau système ERTMS, n’a rien exigée pour sécurisée les procédures de SoM laissant aux états membres le soin et la responsabilité d’adresser cette problématique.



Approche de la problématique

La problématique est double : - comment rendre visible le processus de genèse et de propagation de l'erreur humaine vers l'événement indésirable- et surtout comment quantifier chaque élément de ce processus dans un contexte ou le retour d'expérience ne peut pas permettre la profondeur d'analyse.

La SNCF en s’appuyant sur :- la richesse de l’expérience de ses agents de conduite- le retour d’expérience qui a commencé à se mettre en place,

sollicite la société AFM42 pour fusionner ces acquis et démontrer la pertinence du niveau de sécurité opérationnelle en exploitation du système ERTMS.



Démarche et méthode

AFM42 a fait l'emploi : � de plusieurs approches d'analyse des mécanismes de genèse de l'erreur humaine (TRACERs)� des descripteurs issus du domaine aérien (nomenclature ADREP) � de la méthodologie innovante SISPIA® pour la construction et la quantification de l'arbre "événement - précurseurs -barrières de défense".

Une fois le périmètre d’action défini, l’application de la méthode SISPIA® et des outils de qualification des réponses inter juges (séances de brainstorming avec les experts opérationnels SNCF) a permis d’obtenir et d’enrichir l’arbre de défaillances lié à cet événement non souhaitable.



11

Écartsnégatifs

Écartspositifs

ActivitéRéelle

TâchesPrescrites

Processusde travail

Analyseen

situation

Étape 1 : DIAGNOSTIC DE LA SITUATION

Étape 2 : ANALYSE DE L’ACTIVITE

Étape 3 : ANALYSE DES ECARTS

Étape 4 :ANALYSE DES ERREURS

BASE DE CONNAISSANCES « Erreurs Écarts

Activités »

ETAPES ITERATIVES

La méthodologie SISPIA® appliquée



Étude des relations en amont et en aval

Identification des fonctions à risque

du système socio-techniques

DELIMITATION DU PERIMETRE

� SoM & test arm / France / V.7.2.3.x/ 18 mois de REX� SoM & test arm / France / V.7.2.3.x/ 18 mois de REX

MISE EN SITUATION DES ACTEURS

Choix de situationet des acteurs représentatifs

Identification desactivités à risque

en conditions réelles

� Experts SNCF (Matériel, Sécurité, Traction, Formation)� Experts SNCF (Matériel, Sécurité, Traction, Formation)

Etape 1 : diagnostic de la situation



ANALYSE DE L’ACTIVITE PRESCRITE

Identification- du partage des rôles- des consignes de sécurité

� Art. 2206 & 2312 du manuel de conduite

� Guide de dépannage

� Art. 2206 & 2312 du manuel de conduite

� Guide de dépannage

HISTORIQUE DE L’ACTIVITE

Evénements

OBSERVATION TERRAIN

Entretiens

Questionnaires

Identificationdes écarts

prescription - réalité

Conséquences

ANALYSE DE L’ACTIVITE RELLE

� base ATESS & bulletins de service

� base ATESS & bulletins de service

� Centre de formation des AdC, cabine TGV

� Centre de formation des AdC, cabine TGV

� Formateurs, experts SNCF

� Formateurs, experts SNCF� REX SNCF� REX SNCF

Etape 2 : analyse de l’activité, identification des écarts



Démarche et méthode- activité réglée

Manuel de conduite Guides, notes spécifiquesRapports SNCF



Démarche et méthode- activité gérée


pour une complémentarité à partager par les acteurs »Srce : TRACEr - Steven T. Shorrocka, Barry Kirwanb « Development and application of a human error identification tool for air traffic control »

Etape 3 : analyse des écarts

Action humaineAction humaine

Modes externes d’erreur (EEM)


Pour chaque action humaine :

Domainescognitifs

Domainescognitifs

Facteurs influents

Organisation/procéduresTechniqueEnvironnement

Facteurs influents


Déte

ction

Recouvre

ment

Déte

ction

Recouvre

ment

Modes internes d’erreur (IEM)


Mécanismes psychologiques d’erreur (PEM)


Ecarts relatifs au facteur humain


Action humaineAction humaine



Pour chaque action humaine :

Domainescognitifs

Domainescognitifs

Facteurs influents


Facteurs influents


Déte

ction

Recouvre

ment

Déte

ction

Recouvre

ment









P

Données issues du REX SNCF

Données issues du REX SNCF

P2

P3 P4

P6 P8 P9

P1

Confrontation d’experts

Confrontation d’experts

P7

Données issues du secteur aérien

Données issues du secteur aérien

P5

Facteur influent 1

Facteur influent 1

Facteur influent 5

Facteur influent 5

Facteur influent 3

Facteur influent 3

Facteur influent 2

Facteur influent 2

Facteur influent 4

Facteur influent 4

……

Etape 4 : Analyse des erreurs et quantification du risque



La quantification

Analyse qualitative et construction de l’arbre de l’événement en se basant sur l’expertise métier

Propagation dans l’arbre de taux des défaillances validés dans d’autres secteurs d’activité (aérien, nucléaire…)

Chiffrage des défaillances par les experts SNCF

Confirmation et validation par REX



19

Arbre qualitatif de l’événement



20

2E-2 1E-1

1E-10 1E-5

Propagation des connaissancesd’autres secteurs d’activité dans l’arbre



Chiffrage des défaillancespar les experts SNCF



Situation d'application des mesures opérationnelles d'amélioration

Dans la période d’observation, le taux de SoM erronés en évolution et circulation

France est de 0 pour plus de 15 000 SoM réalisées



Résultats

L’arbre de l’événement redouté présente quatre situations quantifiées aux niveaux de fréquences d’apparition

10-8 : événement redouté sans aucune barrière particulière

10-9 : événement redouté avec barrière opérationnelle (cas du

choix à tort de l’ERTMS)

10-10: événement redouté avec une barrière dépêches

(uniquement TVM sur LVG)

10-11: événement redouté avec barrière opérationnelle et

dépêches.



Conclusions

L’outil a permis :� de quantifier l’apport de chacune des barrières,� de rendre visible l’impact positif d’une nouvelle barrière réglementée appliquée sur une durée limitée� de rester à des niveaux nettement supérieurs aux niveaux techniques du système (10-6), même sans cette nouvelle mesure réglementée tout en renforçant la sécurité gérée (renforcement de la vigilance de l'agent de conduite).

En octobre 2010, les résultats de l’étude ont été acceptés par l’EPSF et la RFF, et à ce jour le retour d’expérience opérationnel SNCF confirme la prédiction du modèle.



Références

[1] Ion Berechet, Cindynique appliquée pour suivre les risques liés au comportement humain, http://www.imdr.fr/docs/Manifestations/ER2009/4%20-%20BERECHET.pdf



Merci de votre attention !

Documents

Sécurité gérée et réglée lors d’une action humaine de SoM (Start of Mission) d’une rame TGV dans un contexte d’utilisation du nouveau système de signalisation ERTMS (European