Traditionally accident investigation approaches have been driven by the need to pin down exactly what went wrong. The answer is demanded by our insurance and legal processes, which need to establish who, or what was to blame. People like Turner (1997) and Rasmussen, (1997) however, came to the conclusion that much of the blame, lay with the organisations that were supposed to be managing these situations, safely (i.e., without accidents). Perrow, (1984) on the other hand, theorised that in highly complex, tightly coupled, stiff systems, accidents were inevitable; indeed, were to be expected and regarded as “normal”. He quoted the 3 Mile Island (Elliot, 1980) nuclear accident as an example. Hopkins (1999) has articulated the problems and confusion inherent in this explanation (justification?) of such incidents; and further queried whether even 3 Mile Island fitted this definition in practice. (2001) Many of the methods employed in the study of these accidents are focussed on finding what failures caused the consequences observed, whether of components, individuals, or organisations. More recent discussions (Hollnagel, Woods, Dekker) have highlighted that these failures perhaps represent extreme excursions in “normal” system behaviour and hence as Perrow indicates “to be expected. So, the questions of whether or not accidents are “normal” is relevant. Hence more recent approaches (Hollnagel E., 2014) to trying to understand what happens in these situations, has proposed that many of the accidents happen as a result of operating such systems in very much the same way as usual – i.e., normally. What is now of interest as a research question is to determine what constitutes “normal” behaviour and why deviations from it are a problem. Variabilities in operational environments, personnel and conditions, manifest themselves as a range of observed behaviours, with a (normal?) distribution of frequency of occurrence. Accidents, on this approach would thus represent excursions into a small section of the tails of a normal distribution. This is almost back full circle to Rasmussen’s idea that in real systems and operating environments, it is normal to expect such straying over safe limits inadvertently. The paper sets out to review the methods available for analysing this kind of behaviour: and using such an approach, (the Functional Resonance Analysis Method) (Hollnagel E., FRAM: The Functional Resonance Analysis Method: Modelling Complex Socio-technical Systems, 2012), has examined the BP Macondo Well incident to determine its applicability and effectiveness as a diagnostic tool for addressing the research question. The FRAM analysis employed, shows that there was indeed a range of conditions which were considered “normal” and acceptable in individual functions; and that their complex interdependencies could indeed explain the emergent accident conditions that were observed. It argues that if “normal” is understood as natural variabilities in operating environments i.e., in its normal usage, the Macondo Well incident was indeed a normal accident.
Commentaire du Dr Marius Laurent (PAQS)
- Un article qui n’intéressera que ceux que l’histoire de la « science de la sécurité » passionne, je le crains. Il se penche sur l’accident « historique » de la plateforme de forage Deeepwater Horizon opérée par BP, qui explose soudainement après des années de fonctionnement sans incident. Il pose la question de savoir si cette explosion est un « accident normal » comme décrit par Perrow [1]. Il examine tout d’abord les diverses approches théoriques adoptées pour étudier les raisons de l’échec des organisations. il passe ensuite en revue les méthodologies possibles qui ont été employées pour étudier ces échecs puis sélectionne et décrit la démarche particulière choisie, une analyse FRAM (fonctional resonance analysis method, promue par Erik Hollnagel, père du Safety-II [2]) et l’applique ensuite à l’accident du puits Macondo qui s’est achevé par l’explosion de la plateforme Deepwater Horizon. Ce type d’investigation permet d’identifier les variabilités potentielles et les écarts aux comportements idéaux, et d’interpréter leurs implications. Les variabilités prédites sont ensuite comparées aux variabilités réelles telles qu’observées, puis discutées pour savoir si elles entrent dans le cadre de variations « normales ». La thèse de l’auteur, un ingénieur, est que cet accident, parfaitement explicable a posteriori, échappait d’abord à la perception puis à la compréhension des opérateurs jusqu’à sa conclusion dramatique sans qu’à aucun moment on ne soit sorti du cadre d’opérations normalement choisies et exéuctées. On se trouve à cette date à l’extrême fin de l’exploitation du puits, qu’il convient de reboucher et de recouvrir avant de se retirer. Cela implique une série d’opérations qui vont être détaillées par la méthode FRAM choisie. Les diverses fonctions qui seront mises en œuvre sont énumérées, leurs rapports définis, et leurs écarts par rapport aux opérations normalement prévues sont évalués : ils sont considérés comme « normaux », fonction par fonction. Chaque « propriétaire » d’une fonction n’aperçoit qu’un déroulement se produisant selon les normes admises. Le problème gît comme souvent dans la communication entre ces « propriétaires », de nombreux sous-traitants présents sur la plateforme. Ils gèrent chacun une petite partie des opérations ou des matières utilisées acheminées de très loin (le ciment utilisé pour boucher le puits, qui s’avérera ne pas convenir) et utilisent (ou pas) des outils de vérification qui leur sont propres et sont peu compréhensibles pour leurs voisins. Ce choix d’organisation est dicté par des impératifs budgétaires, sans trop s’apercevoir qu’il pousse à une dérive à la limite de la zone des opérations sûres. De plus une série de barrières « matérielles », donc a priori fiables, ne vont pas fonctionner, les pannes n’étant pas détectées, ou trop tard ou mal interprétées : les actions se déroulent sous l’eau, à plus de 1 000 mètres de profondeur. La méthode FRAM permet-elle de mieux comprendre les relations complexes et la variabilité des fonctions en jeu ? Probablement. Permet-elle de mieux prévoir des dysfonctionnements et des accidents même normaux ? c’est la thèse de l’auteur.
Slater DH. Was the Deepwater Horizon incident a “Normal” accident? Saf Sci 2023;168:106290. Doi : 10.1016/j.ssci.2023.106290.
Références
1- Perrow C. Normal accidents: Living with high risk technologies. New York, NY: Basic Books, 1984. 464 p.
2- Hollnagel E, Hounsgaard J, Colligan L. FRAM – the functional resonance analysis method: A handbook for the practical use of the method. Middelfart DK: Centre for Quality, 2014. 75 p.