mercredi 24 avril 2019

L’explosion de la navette Challenger, lancée contre la recommandation des ingénieurs

Diane Vaughan, dans son étude sur la décision de lancer Challenger, décrit de façon minutieuse la réunion tenue la veille du lancement. Elle souligne l’étonnant silence de nombreux participants qui auraient pu, en intervenant, accroître sensiblement la puissance du signal d’alerte.

 Jerry Harvey, l’auteur d’Abilene Paradox, a reçu une lettre d’un participant à la réunion où s’est décidé le lancement de la navette Challenger. Il raconte qu’il était assis dans la salle de réunion avec une fiche entre les mains sur laquelle il avait écrit : « En aucun cas, ne lancer Challenger. Les joints sont trop instables. » Mais quand vint son tour de parler, il dit comme les autres : « Lançons-la. »


Le 28 janvier 1986, au centre spatial Kennedy, la température extérieure est très froide comparée aux températures habituellement observées en hiver en Floride. Elle est tombée la nuit à moins 13 oC. La navette Challenger décolle à 11 h 38. Elle est arrachée du sol grâce à la puissance de deux fusées à carburant solide (boosters)qui doivent fonctionner pendant deux minutes, avant de se détacher de la navette pour être récupérées dans l’océan. Chaque booster est composé de plusieurs cylindres, l’extrémité supérieure de chaque cylindre étant emmanchée dans l’extrémité inférieure du suivant, pour former un long tube, un peu comme des boîtes de conserve, ouvertes des deux côtés, superposées. Afin d’assurer l’étanchéité des boosters, deux joints circulaires (O-rings)sont placés à la jonction des cylindres entre eux. La combustion du carburant dilate les cylindres mais il est prévu que les joints,qui sont élastiques, s’élargissent pour maintenir l’étanchéité à l’intérieur des boosters.




Mais ce matin-là, en raison du froid, les joints sont à une température (aux environs de 0 oC) qui les rend nettement moins élastiques. Ils mettent cinq fois plus de temps à s’élargir pour combler les interstices que lorsqu’ils sont à 24 oC. Ainsi, pendant un intervalle de temps infime, sur le boosterdroit, une ouverture se produit, laissant s’échapper les gaz brûlants qui font exploser l’immense réservoir externe de la navette, laquelle se désintègre. Les sept astronautes trouvent la mort, l’Amérique est traumatisée et les images font le tour du monde.


Cette catastrophe n’est pas due à un phénomène technique complexe, difficile à comprendre et à prévoir, comme un bug caché quelque part dans des milliers de lignes de programme. Les experts des boosters connaissaient bien le problème de perte d’élasticité des joints en période de froid et ils ont demandé avec insistance l’annulation du lancement. Pourtant, la décision de lancement a été prise.

L’HISTOIRE MOUVEMENTÉE DES JOINTS O-RINGS

Pendant les cinq années qui ont précédé le lancement, à l’issue de la plupart des vols, des détériorations sont constatées sur les joints des boosters. Leur sensibilité excessive au froid commence à être évoquée, qui fait l’objet de vives inquiétudes, de discussions, d’études.

À la NASA, certaines pièces sont classées comme critiques. Quand une pièce est dite « critique », elle doit faire l’objet d’une autorisation spécifique lors de la prise de décision du lancement au sommet. En 1980, les joints sont classés pièces critiques de second niveau (car ils sont doublés), puis en 1982 pièces critiques de premier niveau. En 1983, une dérogation leur enlève leur caractère de pièce critique. En juillet 1985, le classement est rétabli mais, lors des vols qui suivent, les autorisations sont accordées à un échelon de management inférieur à celui requis pour une pièce critique. 

Un mois avant le lancement, le fabricant des boosters, Morton Thiokol, demande la suppression du classement. Le directeur de projetbooster à la NASA refuse, mais la demande est acceptée par erreur et le classement comme pièce critique est supprimé.

Six mois avant le lancement de Challenger, un ingénieur de Morton Thiokol adresse un rapport à sa hiérarchie où il exprime sa crainte « d’une catastrophe de la plus grande ampleur » si le problème des joints n’est pas résolu. En octobre 1985, un autre ingénieur de Morton Thiokol exprime son souhait de suspendre la livraison des boosters« This is a red flag », écrit-il, « C’est un drapeau rouge ».

LA DÉCISION DE LANCER QUAND MÊME (27 ET 28 JANVIER 1986)

N’étant plus classés pièces critiques, les joints ne seront pas examinés officiellement lors des procédures d’autorisation du lancement.
27 janvier 1986, veille du lancement, de 14 h 30 à 17 h : les ingénieurs de Morton Thiokol, situé dans l’Utah, informés de la température extérieure qui règne en Floride, font part de leur extrême préoccupation. Cette température est plus basse que celles qu’ils ont testées sur les joints. Leur responsable hiérarchique, au centre spatial Kennedy, alerte des responsables de la NASA et demande l’organisation d’une téléconférence.

De 17 h 45 à 20 h : un certain nombre d’échanges téléphoniques ont lieu entre responsables de laNASA sur le sujet. Pour l’un d’eux, la position des ingénieurs de Morton Thiokol est qu’il faut annuler le lancement et que l’on doit sérieusement envisager cette éventualité. Un autre responsable juge que Morton Thiokol n’est pas clair.
De 20 h 45 à 22 h : téléconférence entre la NASA (en Floride et dans l’Alabama) et Morton Thiokol (dans l’Utah, en Floride et dans l’Alabama) sur les joints. Cette téléconférence regroupe dix-huit personnes (hauts responsables et ingénieurs principaux) de Morton Thiokol et seize de la NASA. 

Les ingénieurs de Morton Thiokol expliquent que la température extérieure constatée en Floride va ralentir la vitesse d’allongement des joints, ouvrant aux gaz brûlants la possibilité de s’échapper des boosters. Ils soulignent que le lancement qui avait eu lieu précédemment à la température extérieure la plus basse de 11,7 oC s’était accompagné du plus mauvais fonctionnement des joints jamais observé. Le directeur du projet boosterchez Morton Thiokol déclare qu’il ne peut pas recommander le lancement. Puis il demande une interruption de la téléconférence pour permettre une réunion interne à Morton Thiokol.

De 22 h 30 à 23 h : réunion interne des dirigeants et ingénieurs de Morton Thiokol dans les bureaux de cette entreprise, dans l’Utah. Nous sommes au cœur du drame. Deux ingénieurs déclarent violemment qu’il faut s’opposer au lancement. Les autres ingénieurs restent silencieux. Le directeur des études semble opposé lui aussi au lancement. 

Les trois dirigeants de Morton Thiokol s’isolent avec le directeur des études et demandent à ce dernier, formule qui restera dans les annales, « d’enlever son chapeau d’ingénieur et de mettre sa casquette de manager (take off his engineering hat and put on his management cap) ». Ils se disent qu’il existe une marge de sécurité car les joints sont à chaque fois au nombre de deux.

Pendant ce temps, le chef de projet boostersde Morton Thiokol, présent au centre spatial Kennedy en Floride, s’oppose lui aussi au lancement. Le directeur de projet boosters, côté NASA, lui répond que les joints ne sont pas classés pièces critiques et que les vingt-quatre lancements précédents ont réussi.

De 23 h à 23 h 15 : reprise de la téléconférence. L’un des trois dirigeants de Morton Thiokol déclare que la navette peut être lancée. Il rédige par écrit sa déclaration, que ses ingénieurs refusent de signer, et l’adresse par fax. La téléconférence est terminée.

De 23 h 15 à 23 h 30 : au centre spatial Kennedy, discussion entre trois hauts responsables de la NASA et le chef de projet boosters de Morton Thiokol sur place. Ce dernier est très surpris de constater que sa hiérarchie a donné son feu vert pour le lancement et tente de nouveau, sans succès, de dissuader la NASA de procéder au lancement. Il dit même qu’il ne veut pas avoir à s’expliquer devant une commission d’enquête.
27 janvier dans la nuit et 28 janvier : jour du lancement, au matin, à la NASA, lors des ultimes échanges, procédures et autorisations préalables au lancement, le problème des joints n’est plus discuté, bien que la température extérieure ait encore baissé.

28 janvier à 11 h 38 : lancement et destruction de la navette Challengeren raison du mauvais fonctionnement des O-rings. (...)

Les estimations spontanées de probabilité varient de près de 1 pour 100 à 1 pour 100 000. Les probabilités d’échec les plus élevées (1 pour 100) viennent des ingénieurs de terrain, et les probabilités les plus basses (jusqu’à 1 pour 100 000) viennent du management. Or la croyance en un risque d’échec de 1 pour 100 000 chez les managers est totalement erronée, pour ne pas dire délirante : « 1 pour 100 000 impliquerait qu’on pourrait lancer une navette chaque jour pendant 300 ans et n’en perdre qu’une. » (...)
Il semble donc que les managers à la NASA aient eu une idée complètement fausse de l’ordre de grandeur des probabilités de défaillance d’une fusée. Si l’on accepte cette observation, les trois comportements surprenants qu’ils ont eus et qui ont conduit à la destruction de Challenger deviennent logiques, constituant ainsi le piège cognitif qui s’est refermé sur eux.

Un premier comportement découlant de cette croyance dans une fiabilité extravagante fut l’acceptation du mauvais fonctionnement des joints lors des lancements des années précédentes. En effet, une érosion des joints était constatée après le lancement, manifestant un échappement de gaz brûlant au-delà du joint. L’observation a d’abord été faite sur le premier joint, puis sur le second qui fait office de joint de secours. Cette érosion a non seulement été admise comme risque acceptable, mais aussi, paradoxalement, comme preuve de fiabilité. Comme on avait constaté en laboratoire qu’un joint n’échouait que s’il était érodé sur une longueur égale au rayon, le fait qu’il ne soit érodé que sur un tiers du rayon était interprété comme un facteur de sécurité de trois (pouvant supporter trois fois le poids prévu) ! Ces observations auraient dû être interprétées, faute d’être parfaitement comprises, comme des facteurs potentiels de défaillance majeure. (...)

Le troisième comportement surprenant est que la direction de projet booster de la NASA a demandé aux ingénieurs de Morton Thiokol, la veille du lancement, non de prouver que le système des joints était fiable, mais de prouver qu’il n’était pas fiable. C’est ce qui a le plus choqué et gêné les ingénieurs. En effet, ceux-ci ne disposaient pas de données sur le fonctionnement des joints à des températures inférieures à 12 oC et n’avaient aucun moyen de prouver quoi que ce soit pour la température glaciale qui régnait en Floride le jour du lancement. Roger Boisjoly (de Morton Thiokol) a déclaré à la commission : 

« ... C’était à nous de prouver, au-delà de tout doute, que ce n’était pas prudent. C’est totalement l’inverse de la situation usuelle dans une discussion avant le vol ou dans une réunion d’accord de lancement (Flight Readiness Review). » Or il est évident que ne pas pouvoir prouver qu’un objet n’est pas bon ne signifie pas qu’il est bon. Mais, là encore, le degré de confiance attribué à l’objet a priori joue sur la manière de concevoir les preuves. (...)

Il faut souligner que les ingénieurs et les managers ont été victimes d’erreurs cognitives, mais que chaque groupe a reproché à l’autre de ne pas avoir une démarche scientifique.

Les managers ont critiqué les ingénieurs parce qu’ils demandaient l’annulation du lancement sans données scientifiques, sur une simple intuition. Et les ingénieurs en ont voulu aux managers de leur optimisme non scientifique (consistant par exemple à voir les vingt-quatre réussites précédentes comme une preuve de fiabilité).
Le plus frappant dans cet enchaînement d’erreurs cognitives est qu’une fois enclenchée les acteurs ne pouvaient s’échapper de la souricière qui s’était refermée sur eux. À partir du moment où les ingénieurs de Thiokol avaient exclu l’éventualité du coup de froid sur la Floride, ils n’avaient pas de données sur l’influence de la température ambiante sur les joints. 

Les managers ne pouvaient pas annuler le lancement pour un danger exprimé de façon purement intuitive par les ingénieurs, sauf s’ils avaient eu une appréciation correcte de la probabilité de destruction d’une fusée. Or leur estimation de la probabilité d’échec était erronée. Le climat de la Floride s’est présenté comme le fils dans Le Malentendu. Dès lors que sa véritable identité n’a pas été reconnue par les ingénieurs bernés dirigés par des managers tropconfiants (comme Jan n’est pas reconnu par sa mère et sa sœur, et en mourra), ils n’avaient aucune chance d’échapper au piège. (...)

Résumé du processus cognitif.
Cas de la navette Challenger


Dans le processus de traduction, il faut non seulement effectuer un travail de pédagogie, comme on vient de le voir, mais aussi prendre en compte la logique des différents acteurs. Lors de l’accident de Challenger, les responsables de la NASA attendaient, pour traduire le danger qu’il y avait à procéder au lancement, des preuves, comme cela se comprend dans une activité fondée sur le raisonnement scientifique. C’était la logique scientifique. Mais les ingénieurs des joints, qui n’avaient pas étudié les joints à des températures atmosphériques froides, ne pouvaient pas leur fournir ces preuves. Ils ne pouvaient qu’exprimer une très forte inquiétude. C’était la logique intuitive, intraduisible dans la logique scientifique. Intraduisible, l’erreur a donc persisté. (...)

Pour prendre une décision collective, les individus doivent se coordonner entre eux. Pour assurer cette coordination, ils utilisent des processus (par exemple l’anticipation) ou des méthodes (par exemple des outils de conduite de réunion). Or ces processus et ces méthodes de coordination comportent des pièges qui peuvent conduire à la décision absurde. Je distinguerai, d’une part, les pièges de la coordination silencieuse et, d’autre part, les pièges de la coordination structurée.
Bien entendu, ces pièges jouent un rôle également dans la production des décisions médiocres et pas uniquement dans la conception des décisions absurdes. 

Mais l’intérêt d’analyser le rôle de la coordination dans les décisions absurdes est qu’on obtient un écart considérable entre le caractère apparemment anodin des dysfonctionnements et la gravité des conséquences, ce qui permet de mieux en mesurer les effets. Chacun sait qu’une réunion par téléphone n’est pas le meilleur moyen d’obtenir une bonne décision. Mais quand on sait que l’obligation d’utiliser la téléconférence a joué un rôle important dans la décision de lancer la navette Challenger, onregarde ce qui n’est qu’une technique de communication d’un autre œil. (...)

Diane Vaughan, dans son étude sur la décision de lancer Challenger, décrit de façon minutieuse la réunion tenue la veille du lancement. Elle souligne l’étonnant silence de nombreux participants qui auraient pu, en intervenant, accroître sensiblement la puissance du signal d’alerte. Jerry Harvey, l’auteur d’Abilene Paradox, a reçu une lettre d’un participant à la réunion où s’est décidé le lancement de la navette Challenger. Il raconte qu’il était assis dans la salle de réunion avec une fiche entre les mains sur laquelle il avait écrit : « En aucun cas, ne lancer Challenger. Les joints sont trop instables. » Mais quand vint son tour de parler, il dit comme les autres : « Lançons-la. »

 Les décisions absurdes " Sociologie des erreurs radicales et persistantes par Christian Morel



Aucun commentaire:

Quelle est la différence entre un optimiste et un pessimiste ?

L'optimiste pense que l'on vit dans le meilleur des mondes possibles.
Le pessimiste pense que malheureusement c'est vrai.