Accueil > Sécurité industrielle > L’accident est dû à une erreur humaine
Rattrapage d’un TGV par un TER à Denguin
L’accident est dû à une erreur humaine
lundi 28 juillet 2014, par
Voilà un accident sur lequel, contrairement à celui de Brétigny-sur-Orge l’an dernier, je me sens obligé d’écrire un billet : il concerne directement mon métier. Ce serait en effet, selon les premiers éléments de l’enquête, un défaut d’isolement sur des circuits de signalisation, qui en serait à l’origine. Un incident technique, donc ? Absolument pas. Nous sommes toujours dans l’erreur. Voici en quoi.
Préambule
Les installation de signalisation ferroviaire ne sont pas conçues comme n’importe quelle installation "technique", par exemple une machine à café. Sans trop assommer les lecteurs avec de complexes considérations sur le sujet, disons simplement qu’elles sont conçues à partir de l’idée qu’il n’est pas possible d’éliminer les défaillances techniques, mais qu’il est possible de concevoir une installation de telle façon que ses évolutions puissent être hiérachisées selon les règles suivantes [1] :
* certains états sont plus stables que d’autres ;
* l’évolution "spontanée" du système se fait vers l’état le plus stable ;
* il est possible de faire correspondre l’état le plus stable à une situation sécuritaire.
J’ajoute à ce propos que les probabilité des défaillances contraires à la sécurité et celles des défaillances non contraires, sont suffisamment éloignées pour qu’il soit possible de les hiérarchiser intuitivement, sans avoir besoin de statistiques fiables sur le sujet. Typiquement : dans le cas des circuits électriques, un mauvais contact est considéré comme un évènement banal et très fréquent. La coupure d’un circuit, quelle qu’en soit la cause, ne doit donc jamais aboutir à une situation permissive. Au contraire, la fermeture accidentelle d’un circuit électrique nécessite de nombreuses conditions pour survenir. Elle ne se produit jamais sur un circuit neuf câblé dans les règles de l’art ; il faut au minimum une détérioration des isolants, des fils qui ne sont pas à leur place, etc. pour qu’un court-circuit se produise.
Les défaillances sur les installations de signalisation ferroviaire se classent donc toutes, sans exceptions, dans deux grandes catégories : les incidents contraires à la sécurité, et les autres [2].
Cela ne veut pas dire que toute défaillance contraire à la sécurité soit impossible. Nous sommes ici dans ce cas [3]. Mais, contrairement à ce que laisse entendre le communiqué de la SNCF, la réalimentation intempestive du circuit qui a conduit à la présentation d’un signal "voie libre" au conducteur du TER, n’est pas un évènement extraordinaire. Le défaut d’isolement entre conducteurs d’un câble de signalisation est un évènement connu et redouté, précisément parce qu’il peut conduire à mettre en défaut la conception sécuritaire des installations.
Des règles à tous les étages
Ce défaut est à tel point redouté qu’il existe des règles d’établissement des circuits, destinées à limiter le risque. Par exemple, les circuits dans les câbles qui transitent en dehors des locaux techniques, et sont susceptibles par exemple de recevoir un coup de pelleteuse malencontreux, doivent toujours être en "double coupure", c’est à dire que l’organe qui ferme le circuit doit agir sur le fil "aller" et sur le fil "retour".
Il existe également des détecteurs de défaut d’isolement qui surveillent en permanence l’isolement entre les conducteurs d’un câble, et génèrent une alarme pour les agents de maintenance quand un défaut apparaît. En vertu du principe de conception évoqué plus tôt, l’apparition d’un seul défaut d’isolement n’est pas un incident contraire à la sécurité : ceci ne suffit pas à réalimenter un circuit, puisqu’il faudrait aussi un défaut d’isolement sur le circuit de retour. I’intervention d’un agent de maintenance permet donc de rétablir l’installation dans son état initial, avant que n’apparaisse éventuellement le second défaut qui pourrait être, lui, contraire à la sécurité.
Le circuit en cause à Denguin n’était cependant pas un circuit extérieur, mais un circuit intérieur [4].
Dans le cas des circuits intérieurs, il existe d’autres règles telles que l’obligation d’utiliser la même polarité d’un appareil commandé pour les éventuelles mises en facteur commun de conditions de commande. Si vous ne comprenez pas ce que cela veut dire, retenez simplement que les circuits sont toujours conçus de façon à rendre impossible une réalimentation intempestive d’un appareil, à cause d’un simple mauvais contact.
Le câblage, par ailleurs, est réalisé selon les règles de l’art : pas de fil dénudé qui traîne, pas d’entrelacs de fils, serrage ou sertissage correct des bornes [5] etc.
Le risque de réalimentation intempestive d’un appareil, tel qu’il s’est produit à Denguin, était couvert par la périodicité des visites de maintenance préventive.
Régulièrement, des agents du Service électrique visitaient les installation, prenaient des mesures ou même simplement observaient et décelaient, à l’oeil, les dégradations.
Où est l’erreur ?
De ce point de vue, les agents de maintenance ont fait leur travail à Denguin. Le rapport souligne notamment :
"La dernière opération de maintenance préventive systématique des installations du centre a eu lieu le 25 juin 2013. En 2014, la même opération était prévue en juin avec une tolérance « SPRC » (travaux massifiés) qui est de + 90 jours pour une périodicité de référence de 12 mois. La norme en vigueur n’était donc pas dépassée."
Là où le bât blesse, c’est que cette périodicité de 12 mois est elle-même issue d’une évolution qui date de 1997. A cette époque, un Directeur (qui a pris sa retraite depuis) a jugé bon de faire signer par son adjoint (qui partait en retraite cette année là) un texte réglementaire qui expliquait doctement que, dans les locaux techniques, les installations sont protégées des agressions et peuvent très bien rester 12 mois sans visite de maintenance préventive, quand parfois l’ancien réglement prévoyait 6 mois.
Nous sommes en 2014 et passer de 12 à 15 mois est dorénavant considéré comme normal... ou du moins, réglementaire.
Les rongeurs, hélas, n’ont pas été prévenus de cette évolution réglementaire. Et si les règles de conception des installations, telles qu’elles ont été élaborées il y a déjà un certain temps (1985 pour le texte qui définit les règles d’établissement des circuits, mais sans doute en remplacement de textes plus anciens) permettaient, avec la périodicité de maintenance normale de l’époque, d’assurer la sécurité des installations, il est temps de se poser la question : est-ce encore le cas ? De toute évidence, non.
Mon propos n’est évidemment pas d’accuser ce Directeur, qui n’était d’ailleurs dans cette affaire qu’un maillon d’une chaîne de décision plus longue (et plus lourde). En l’occurrence, il ne faisait que rendre l’application des textes compatibles avec l’état déjà fortement réduit de l’effectif disponible pour effectuer la maintenance. A quoi servait-il de maintenir dans les textes une périodicité de 6 mois, si dans les faits cette règle n’était déjà plus respectée ?
Peut-être, pourrait on dire aujourd’hui, de garder une trace écrite de ce qui fut considéré comme normal, et de mettre en accusation préventive, en quelque sorte, ceux qui décidaient arbitrairement, de réduire l’effectif en personnel de maintenance.
Mener une telle bataille n’était sans doute pas la vocation de ce Directeur -il n’a cependant guère aidé les syndicalistes qui l’on menée à l’époque. Et puis argumenter en faveur de l’ancien texte n’était pas si facile : pourquoi 6 mois et pas 5 ? Pourquoi pas 7 ? Faute d’être dure, la science de l’ingénieur devait s’incliner devant celle du comptable qui, lui, comptait au franc près [6].
Les cheminots qui s’offusquaient en 1997 de l’allongement de la périodicité de maintenance préventive, parce qu’elle leur semblait totalement irresponsable en regard de leur expérience sur le terrain, sont partis en retraite depuis fort longtemps. Il ne reste que ceux qui n’ont pas connu le terrain, ou pire : qui l’on connu à une époque où la nouvelle périodicité de maintenance était déjà entrée dans les moeurs ; les autres ont rentré la tête dans les épaules et font le dos rond. Il est dommage de devoir attendre dix-sept ans, et des blessés graves, pour constater que les avertissements des "vieux" n’étaient pas dénués de fondement.
Nous sommes entrés, en tout état de cause, dans une période sombre pour les chemins de fer français. L’accident de Brétigny déjà le montrait ; celui de Denguin confirme que le "système" de sécurité des chemins de fer français est détruit. D’autres accidents graves surviendront hélas, dans les mois à venir. C’est une certitude qui ne peut être quantifiée précisément, mais n’en est pas moins dure.
[1] Je ne détaillerai pas davantage ici : les choses sont extrêmement bien expliquées dans l’ouvrage en trois volumes Signalisation et automatismes ferroviaires, de Walter Schön, Guy Larraufie, Gilbert Moëns et Jacques Poré. Je les ai également assez longuement expliquées dans mon mémoire disponible ici.
[2] Les statistiques sur les appareils de sécurité confirment que le rapport de probabilité entre les uns et les autres est de l’ordre de 1 milliard.
[3] Selon l’explication officielle. D’autres semi-explications circulent, mais je ne dispose d’aucune information fiable pour accréditer telle ou telle rumeur.
[4] Il semble, selon certaines sources, qu’il se soit agi d’un circuit qui aurait dû être réalisé en double coupure, mais qui ne l’était pas. Le procès confirmera ou non s’il y a eu cette erreur de conception.
[5] Ces points sont l’objet de vérifications par les agents SNCF, lorsque le câblage est réalisé par une entreprise extérieure.
[6] Ou du moins l’affirme. Il faudrait enquêter sur toutes les lignes "divers" qui parsèment la comptabilité de tous les organismes d’une grande société pour découvrir que, peut-être, même la comptabilité n’est exacte que parce qu’elle le proclame.
