9859 MANUEL SMS

338
Organisation de l’aviation civile internationale Approuvé par le Secrétaire général et publié sous son autorité Manuel de gestion de la sécurité (MGS) Première édition — 2006 Doc 9859 AN/460

Transcript of 9859 MANUEL SMS

Page 1: 9859 MANUEL SMS

Organisation de l’aviation civile internationale

Approuvé par le Secrétaire généralet publié sous son autorité

Manuel de gestionde la sécurité (MGS)

Première édition — 2006

Doc 9859

AN/460

Page 2: 9859 MANUEL SMS

Publié séparément, en français, en anglais, en arabe, en chinois, en espagnol et en russe, par l’Organisation de l’aviationcivile internationale. Prière d’adresser toute correspondance, à l’exception des commandes et des abonnements, auSecrétaire général.

Envoyer les commandes à l’une des adresses suivantes en y joignant le montant correspondant (par chèque, chèque bancaire ou mandat) endollars des États-Unis ou dans la monnaie du pays d’achat. Les commandes par carte de crédit (American Express, Mastercard ou Visa) sontacceptées au Siège de l’OACI.

Organisation de l’aviation civile internationale. Groupe de la vente des documents, 999, rue University, Montréal, Québec, Canada H3C 5H7Téléphone: +1 (514) 954-8022; Fax: +1 (514) 954-6769; Sitatex: YULCAYA; Courriel: [email protected]; Web: http://www.icao.int

Afrique du Sud. Avex Air Training (Pty) Ltd., Private Bag X102, Halfway House, 1685, JohannesburgTelephone: +27 (11) 315-0003/4; Facsimile: +27 (11) 805-3649; E-mail: [email protected]

Allemagne. UNO-Verlag GmbH, August-Bebel-Allee 6, 53175 Bonn / Telephone: +49 (0) 228-94 90 2-0; Facsimile: +49 (0) 228-94 90 2-22;E-mail: [email protected]; Web: http://www.uno-verlag.de

Cameroun. KnowHow, 1, Rue de la Chambre de Commerce-Bonanjo, B.P. 4676, Douala / Téléphone: +237 343 98 42; Fax: +237 343 89 25; Courriel: [email protected]

Chine. Glory Master International Limited, Room 434B, Hongshen Trade Centre, 428 Dong Fang Road, Pudong, Shanghai 200120Telephone: +86 137 0177 4638; Facsimile: +86 21 5888 1629; E-mail: [email protected]

Égypte. ICAO Regional Director, Middle East Office, Egyptian Civil Aviation Complex, Cairo Airport Road, Heliopolis, Cairo 11776Telephone: +20 (2) 267 4840; Facsimile: +20 (2) 267 4843; Sitatex: CAICAYA; E-mail: [email protected]

Espagne. A.E.N.A. — Aeropuertos Españoles y Navegación Aérea, Calle Juan Ignacio Luca de Tena, 14, Planta Tercera, Despacho 3. 11,28027 Madrid / Teléfono: +34 (91) 321-3148; Facsímile: +34 (91) 321-3157; Correo-e: [email protected]

Fédération de Russie. Aviaizdat, 48, Ivan Franko Street, Moscow 121351 / Telephone: +7 (095) 417-0405; Facsimile: +7 (095) 417-0254Inde. Oxford Book and Stationery Co., Scindia House, New Delhi 110001 or 17 Park Street, Calcutta 700016

Telephone: +91 (11) 331-5896; Facsimile: +91 (11) 51514284Inde. Sterling Book House – SBH, 181, Dr. D. N. Road, Fort, Bombay 400001

Telephone: +91 (22) 2261 2521, 2265 9599; Facsimile: +91 (22) 2262 3551; E-mail: [email protected]. Japan Civil Aviation Promotion Foundation, 15-12, 1-chome, Toranomon, Minato-Ku, Tokyo

Telephone: +81 (3) 3503-2686; Facsimile: +81 (3) 3503-2689Kenya. ICAO Regional Director, Eastern and Southern African Office, United Nations Accommodation, P.O. Box 46294, Nairobi

Telephone: +254 (20) 7622 395; Facsimile: +254 (20) 7623 028; Sitatex: NBOCAYA; E-mail: [email protected]. Director Regional de la OACI, Oficina Norteamérica, Centroamérica y Caribe, Av. Presidente Masaryk No. 29, 3er Piso,

Col. Chapultepec Morales, C.P. 11570, México D.F. / Teléfono: +52 (55) 52 50 32 11; Facsímile: +52 (55) 52 03 27 57; Correo-e: [email protected]

Nigéria. Landover Company, P.O. Box 3165, Ikeja, LagosTelephone: +234 (1) 4979780; Facsimile: +234 (1) 4979788; Sitatex: LOSLORK; E-mail: [email protected]

Pérou. Director Regional de la OACI, Oficina Sudamérica, Apartado 4127, Lima 100Teléfono: +51 (1) 575 1646; Facsímile: +51 (1) 575 0974; Sitatex: LIMCAYA; Correo-e: [email protected]

Royaume-Uni. Airplan Flight Equipment Ltd. (AFE), 1a Ringway Trading Estate, Shadowmoss Road, Manchester M22 5LHTelephone: +44 161 499 0023; Facsimile: +44 161 499 0298; E-mail: [email protected]; Web: http://www.afeonline.com

Sénégal. Directeur régional de l’OACI, Bureau Afrique occidentale et centrale, Boîte postale 2356, DakarTéléphone: +221 839 9393; Fax: +221 823 6926; Sitatex: DKRCAYA; Courriel: [email protected]

Slovaquie. Air Traffic Services of the Slovak Republic, Letové prevádzkové sluzby Slovenskej Republiky, State Enterprise, Letisko M.R. Stefánika, 823 07 Bratislava 21 / Telephone: +421 (7) 4857 1111; Facsimile: +421 (7) 4857 2105

Suisse. Adeco-Editions van Diermen, Attn: Mr. Martin Richard Van Diermen, Chemin du Lacuez 41, CH-1807 BlonayTelephone: +41 021 943 2673; Facsimile: +41 021 943 3605; E-mail: [email protected]

Thaïlande. ICAO Regional Director, Asia and Pacific Office, P.O. Box 11, Samyaek Ladprao, Bangkok 10901Telephone: +66 (2) 537 8189; Facsimile: +66 (2) 537 8199; Sitatex: BKKCAYA; E-mail: [email protected]

Le Catalogue des publicationset des aides audiovisuelles de l’OACI

Publié une fois par an, le Catalogue donne la liste des publications et des aides audiovisuelles disponibles. Des suppléments au Catalogue annoncent les nouvelles publications et aides audiovisuelles, les amendements, les suppléments, les réimpressions, etc.

On peut l’obtenir gratuitement auprès du Groupe de la vente des documents, OACI.

2/06

Page 3: 9859 MANUEL SMS

Doc 9859 AN/460

Manuel de gestion de la sécurité (MGS)

Approuvé par le Secrétaire général et publié sous son autorité

Première édition — 2006 Organisation de l’aviation civile internationale

Page 4: 9859 MANUEL SMS

II

AMENDEMENTS

La parution des amendements est annoncée dans le Journal de l’OACI ainsi que dans les suppléments au Catalogue des publications et des aides audiovisuelles de l’OACI, que les détenteurs de la présente publication sont priés de vouloir bien consulter. Le tableau ci-dessous est destiné à rappeler les divers amendements.

INSCRIPTION DES AMENDEMENTS ET DES RECTIFICATIFS

AMENDEMENTS RECTIFICATIFS

No Date Inséré par No Date Inséré par

Page 5: 9859 MANUEL SMS

III

TABLE DES MATIÈRES

Page SIGLES ET ABRÉVIATIONS........................................................................................................ XIII

Chapitre 1er. PRÉSENTATION GÉNÉRALE ............................................................................ 1-1

1.1 Généralités............................................................................................................... 1-1 1.2 Le concept de sécurité............................................................................................. 1-1 1.3 Nécessité de la gestion de la sécurité ..................................................................... 1-2 1.4 Exigences de l’OACI ................................................................................................ 1-2 Niveau de sécurité acceptable .......................................................................... 1-3 1.5 Les intervenants dans le domaine de la sécurité .................................................... 1-6 1.6 Approches de la gestion de la sécurité.................................................................... 1-7 La perspective traditionnelle.............................................................................. 1-7 La perspective moderne.................................................................................... 1-7 1.7 Utilisation du manuel................................................................................................ 1-8 Finalité ............................................................................................................... 1-8 Public cible ....................................................................................................... 1-8 Sommaire .......................................................................................................... 1-9 Remerciements ................................................................................................. 1-9 Liens avec d’autres documents de l’OACI ........................................................ 1-9

Chapitre 2. PARTAGE DE LA RESPONSABILITÉ DE LA GESTION Chapitre 2. DE LA SÉCURITÉ.................................................................................................. 2-1

2.1 Parties responsables de la gestion de la sécurité ................................................... 2-1 L’OACI ............................................................................................................... 2-1 Les États............................................................................................................ 2-2 Les Administrations de l’aviation civile (AAC) ................................................... 2-4 Les constructeurs ............................................................................................. 2-4 Les exploitants d’aéronefs................................................................................. 2-4 Les fournisseurs de services............................................................................. 2-4 Les entrepreneurs tiers ..................................................................................... 2-5 Les associations commerciales et professionnelles ......................................... 2-5 2.2 La responsabilité particulière de la direction en matière de sécurité....................... 2-6 2.3 Responsabilités et obligations redditionnelles ......................................................... 2-7 2.4 Coopération mondiale.............................................................................................. 2-7

Chapitre 3. PROGRAMME DE SÉCURITÉ DE L’ÉTAT........................................................... 3-1

3.1 Généralités............................................................................................................... 3-1 3.2 Responsabilités en matière de réglementation........................................................ 3-2 3.3 Les Administrations de l’aviation civile (AAC).......................................................... 3-2 3.4 La performance de l’État en matière de sécurité ..................................................... 3-4

Page 6: 9859 MANUEL SMS

IV Manuel de gestion de la sécurité (MGS)

Page

Chapitre 4. COMPRENDRE LA SÉCURITÉ............................................................................. 4-1 4.1 Généralités............................................................................................................... 4-1 4.2 Le concept de risque................................................................................................ 4-1 4.3 Distinction entre accidents et incidents.................................................................... 4-2 4.4 Causalité des accidents ........................................................................................... 4-3 Conception traditionnelle de la causalité des accidents ................................... 4-4 Conception moderne de la causalité des accidents.......................................... 4-4 Incidents : précurseurs des accidents............................................................... 4-6 4.5 Contexte des accidents et des incidents ................................................................. 4-7 Conception du matériel ..................................................................................... 4-8 Infrastructure d’appui......................................................................................... 4-8 Facteurs humains.............................................................................................. 4-9 Facteurs culturels .............................................................................................. 4-13 Culture d’entreprise de la sécurité..................................................................... 4-14 4.6 Erreur humaine ........................................................................................................ 4-19 Types d’erreur ................................................................................................... 4-19 Maîtrise de l’erreur humaine.............................................................................. 4-21 4.7 Cycle de la sécurité.................................................................................................. 4-22 4.8 Aspects financiers.................................................................................................... 4-23 Coûts des accidents .......................................................................................... 4-25 Coûts des incidents ........................................................................................... 4-26 Coûts de la sécurité........................................................................................... 4-26

Chapitre 5. PRINCIPES DE BASE DE LA GESTION DE LA SÉCURITÉ .............................. 5-1 5.1 Philosophie de la gestion de la sécurité .................................................................. 5-1 Fonction de gestion essentielle ......................................................................... 5-1 Approche systémique........................................................................................ 5-1 Sécurité du système.......................................................................................... 5-2 5.2 Facteurs affectant la sécurité du système ............................................................... 5-2 Défaillances actives et conditions latentes........................................................ 5-2 Défectuosités des équipements ........................................................................ 5-2 Erreur humaine.................................................................................................. 5-3 Conception du système..................................................................................... 5-3 5.3 Concepts de gestion de la sécurité.......................................................................... 5-4 Pierres angulaires de la gestion de la sécurité ................................................. 5-4 Stratégies de gestion de la sécurité .................................................................. 5-4 Activités principales de gestion de la sécurité................................................... 5-6 Processus de gestion de la sécurité ................................................................. 5-7 Supervision de la sécurité ................................................................................. 5-9 Indicateurs et objectifs de performance de sécurité.......................................... 5-10 Appendice 1. Trois pierres angulaires de la gestion de la sécurité............................................ 5-APP 1-1

Chapitre 6. GESTION DES RISQUES ...................................................................................... 6-1 6.1 Généralités............................................................................................................... 6-1 6.2 Identification des dangers ........................................................................................ 6-1

Page 7: 9859 MANUEL SMS

Table des matières V

Page

6.3 Évaluation du risque ................................................................................................ 6-3 Définition du problème ...................................................................................... 6-4 Probabilité de conséquences négatives............................................................ 6-5 Gravité des conséquences des événements .................................................... 6-6 Acceptabilité du risque ...................................................................................... 6-6 6.4 Atténuation du risque ............................................................................................... 6-8 Analyse des moyens de défense ...................................................................... 6-8 Stratégies d’atténuation du risque..................................................................... 6-9 Recherche d’idées............................................................................................. 6-10 Évaluer les options d’atténuation du risque ...................................................... 6-10 6.5 Communication du risque ........................................................................................ 6-11 6.6 Aspects de la gestion des risques pour les administrations publiques ................... 6-12 Situations justifiant une gestion des risques par les administrations publiques ........................................................................................................... 6-12 Avantages de la gestion des risques pour les administrations publiques......... 6-13 Chapitre 7. COMPTES RENDUS DE DANGERS ET D’INCIDENTS ....................................... 7-1 7.1 Introduction aux systèmes de comptes rendus ....................................................... 7-1 Valeur des systèmes de comptes rendus en matière de sécurité .................... 7-1 Exigences de l’OACI ......................................................................................... 7-2 7.2 Types de systèmes de comptes rendus d’incidents ................................................ 7-2 Systèmes obligatoires de comptes rendus d’incidents ..................................... 7-2 Systèmes volontaires de comptes rendus d’incidents ...................................... 7-3 Systèmes confidentiels de comptes rendus ..................................................... 7-3 7.3 Principes pour des systèmes efficaces de comptes rendus d’incidents.................. 7-3 Confiance .......................................................................................................... 7-4 Non punitif ......................................................................................................... 7-4 Large base de compte rendu ............................................................................ 7-4 Indépendance.................................................................................................... 7-5 Facilité de compte rendu ................................................................................... 7-5 Accusé de réception.......................................................................................... 7-5 Publicité ............................................................................................................. 7-5 7.4 Systèmes internationaux de comptes rendus d’incidents........................................ 7-5 Système de comptes rendus d’accident/incident de l’OACI (ADREP).............. 7-5 Centre européen de coordination des systèmes de comptes rendus d’incidents en navigation aérienne (ECCAIRS) ................................................ 7-6 7.5 Systèmes nationaux volontaires de comptes rendus d’incidents ............................ 7-6 Système de compte rendu pour la sécurité de l’aviation (ASRS) ..................... 7-7 Programme confidentiel de comptes rendus sur les incidents liés aux facteurs humains (CHIRP) ................................................................... 7-7 7.6 Systèmes de comptes rendus des compagnies ...................................................... 7-8 7.7 Mise en œuvre des systèmes de comptes rendus d’incidents ................................ 7-8 Que signaler ? ................................................................................................... 7-8 Qui devrait faire rapport ?.................................................................................. 7-9 Méthode et format des comptes rendus............................................................ 7-9 Appendice 1. Restrictions d’utilisation des données provenant des systèmes volontaires Appendice 1. de comptes rendus d’incidents............................................................................. 7-APP 1-1

Page 8: 9859 MANUEL SMS

VI Manuel de gestion de la sécurité (MGS)

Page

Chapitre 8. ENQUÊTES DE SÉCURITÉ................................................................................... 8-1 8.1 Introduction .............................................................................................................. 8-1 Enquêtes de l’État ............................................................................................. 8-1 Enquêtes internes ............................................................................................. 8-2 8.2 Portée des enquêtes de sécurité ............................................................................. 8-2 8.3 Sources d’informations ............................................................................................ 8-3 8.4 Entretiens................................................................................................................. 8-4 Conduite des entretiens ................................................................................... 8-4 Mise en garde quant aux entretiens avec des témoins..................................... 8-5 8.5 Méthodologie d’enquête........................................................................................... 8-5 8.6 Enquêtes sur les aspects de la performance humaine............................................ 8-5 8.7 Recommandations de sécurité ................................................................................ 8-8 Appendice 1. Techniques d’entretien ......................................................................................... 8-APP 1-1

Chapitre 9. ANALYSE DE LA SÉCURITÉ ET ÉTUDES SUR LA SÉCURITÉ......................... 9-1 9.1 Introduction .............................................................................................................. 9-1 Exigence de l’OACI ........................................................................................... 9-1 Analyse de la sécurité — de quoi s’agit-il ? ...................................................... 9-1 Objectivité et parti pris ....................................................................................... 9-1 9.2 Méthodes et outils analytiques ................................................................................ 9-2 9.3 Études sur la sécurité .............................................................................................. 9-3 Sélectionner les sujets des études.................................................................... 9-4 Collecte d’informations ...................................................................................... 9-4 9.4 Listes de questions de sécurité prioritaires (SIL)..................................................... 9-5 Appendice 1. Comprendre les partis pris ................................................................................... 9-APP 1-1

Chapitre 10. CONTRÔLE DES PERFORMANCES EN MATIÈRE DE SÉCURITÉ................. 10-1 10.1 Introduction .............................................................................................................. 10-1 10.2 « État de santé » de la sécurité .............................................................................. 10-2 Évaluer l’« état de santé » de la sécurité .......................................................... 10-3 10.3 Supervision de la sécurité........................................................................................ 10-4 Inspections ........................................................................................................ 10-5 Enquêtes ........................................................................................................... 10-6 Assurance de la qualité ..................................................................................... 10-7 Audits de sécurité .............................................................................................. 10-7 10.4 Programme universel OACI d’audits de supervision de la sécurité (USOAP) ........ 10-8 10.5 Audits de sécurité conduits par les autorités de réglementation ............................. 10-9 10.6 Auto-vérification ....................................................................................................... 10-9 Appendice 1. Exemples d’indicateurs de l’état de santé de la sécurité ..................................... 10-APP 1-1 Appendice 2. Auto-vérification de la direction ........................................................................... 10-APP 2-1

Page 9: 9859 MANUEL SMS

Table des matières VII

Page

Chapitre 11. PLANIFICATION DES INTERVENTIONS EN CAS D’URGENCE ..................... 11-1 11.1 Introduction .............................................................................................................. 11-1 11.2 Exigences de l’OACI ................................................................................................ 11-2 11.3 Contenu d’un ERP ................................................................................................... 11-2 11.4 Responsabilités de l’exploitant d’aéronefs............................................................... 11-6 11.5 Listes de vérification ................................................................................................ 11-7 11.6 Formation et exercices............................................................................................. 11-8 Chapitre 12. MISE EN PLACE D’UN SYSTÈME DE GESTION DE LA SÉCURITÉ ............... 12-1 12.1 Introduction .............................................................................................................. 12-1 12.2 Culture de la sécurité ............................................................................................... 12-1 12.3 Les dix étapes de la mise en place d’un SGS ......................................................... 12-2 Appendice 1. Modèle de déclaration de politique de sécurité .................................................... 12-APP 1-1 Appendice 2. Suggestions de points à inclure dans une déclaration du directeur général Appendice 2. sur l’engagement de l’entreprise à garantir la sécurité .................................... 12-APP 2-1 Chapitre 13. ÉVALUATIONS DE LA SÉCURITÉ ..................................................................... 13-1 13.1 Généralités............................................................................................................... 13-1 13.2 Le processus d’évaluation de la sécurité................................................................. 13-2 Appendice 1. Éléments indicatifs sur la conduite des sessions de groupes de travail Appendice 1. sur l’identification et l’évaluation des dangers ..................................................... 13-APP 1-1 Chapitre 14. RÉALISATION D’AUDITS DE SÉCURITÉ .......................................................... 14-1 14.1 Introduction .............................................................................................................. 14-1 14.2 Audits de sécurité .................................................................................................... 14-1 14.3 L’équipe d’audit de sécurité ..................................................................................... 14-3 Le rôle du chef de l’équipe d’audit .................................................................... 14-3 Le rôle des auditeurs......................................................................................... 14-4 14.4 Planification et préparation ...................................................................................... 14-4 Activité préalable à l’audit.................................................................................. 14-4 Le plan d’audit ................................................................................................... 14-5 14.5 Conduite de l’audit ................................................................................................... 14-5 Réunion préaudit ............................................................................................... 14-6 Procédures d’audit ............................................................................................ 14-6 Interviews d’audit............................................................................................... 14-6 Constatations de l’audit ..................................................................................... 14-7 Réunion postaudit ............................................................................................. 14-7 Plan d’action correctrice .................................................................................... 14-7 Rapports d’audit ................................................................................................ 14-8 14.6 Suivi d’audit.............................................................................................................. 14-8 14.7 Normes de qualité ISO............................................................................................. 14-10

Page 10: 9859 MANUEL SMS

VIII Manuel de gestion de la sécurité (MGS)

Page

Chapitre 15. CONSIDÉRATIONS PRATIQUES POUR APPLIQUER Chapitre 15. UN SYSTÈME DE GESTION DE LA SÉCURITÉ ................................................ 15-1 15.1 Introduction .............................................................................................................. 15-1 15.2 Le bureau de la sécurité .......................................................................................... 15-1 Fonctions du bureau de la sécurité ................................................................... 15-1 15.3 Directeur de la sécurité (DS).................................................................................... 15-3 Critères de sélection du DS............................................................................... 15-3 Rôle de leadership ............................................................................................ 15-4 Le DS dans de grandes organisations ou des organisations en expansion ..... 15-5 Les relations du DS ........................................................................................... 15-5 15.4 Comités de sécurité ................................................................................................. 15-5 Président du comité........................................................................................... 15-6 Membres............................................................................................................ 15-6 Ordre du jour ..................................................................................................... 15-7 Procès-verbal .................................................................................................... 15-7 Suivi ................................................................................................................... 15-7 15.5 Formation à la gestion de la sécurité....................................................................... 15-7 Besoins de formation......................................................................................... 15-7 15.6 Conduite d’une enquête de sécurité ........................................................................ 15-10 Principes............................................................................................................ 15-11 Fréquence des enquêtes................................................................................... 15-11 Domaines à examiner ....................................................................................... 15-12 Conclusion de l’enquête .................................................................................... 15-12 15.7 Diffusion des informations liées à la sécurité........................................................... 15-12 Informations cruciales pour la sécurité.............................................................. 15-13 Informations « bonnes à savoir » ...................................................................... 15-13 Comptes rendus adressés à la direction........................................................... 15-13 15.8 Communications écrites........................................................................................... 15-14 15.9 Promotion de la sécurité .......................................................................................... 15-14 Méthodes de promotion..................................................................................... 15-15 15.10 Gestion des informations liées à la sécurité ............................................................ 15-17 Généralités ........................................................................................................ 15-17 Besoins en systèmes d’information................................................................... 15-18 Compréhension des bases de données............................................................ 15-18 Gestion d’une base de données........................................................................ 15-20 Considérations relatives à la sélection des bases de données ........................ 15-21 15.11 Manuel de gestion de la sécurité ............................................................................. 15-22 Appendice 1. Exemple de description des fonctions d’un directeur de la sécurité ................... 15-APP 1-1 Chapitre 16. EXPLOITATION TECHNIQUE DES AÉRONEFS ............................................... 16-1 16.1 Généralités............................................................................................................... 16-1 16.2 Comptes rendus de dangers et d’incidents ............................................................. 16-1 Avantages.......................................................................................................... 16-1 Encourager la libre circulation des informations liées à la sécurité .................. 16-2 Systèmes disponibles sur le marché................................................................. 16-2

Page 11: 9859 MANUEL SMS

Table des matières IX

Page

16.3 Programme d’analyse des données de vol (FDA) .................................................. 16-3 Introduction........................................................................................................ 16-3 Qu’est-ce qu’un programme FDA ? .................................................................. 16-4 Avantages des programmes FDA ..................................................................... 16-4 Exigence de l’OACI ........................................................................................... 16-5 Utilisation d’un programme FDA ....................................................................... 16-5 Équipement FDA ............................................................................................... 16-8 Application pratique de l’analyse des données de vol ...................................... 16-10 Conditions d’efficacité des programmes FDA................................................... 16-11 Mise en œuvre d’un programme FDA............................................................... 16-13 16.4 Programme d’audit de sécurité en service de ligne (LOSA) ................................... 16-16 Introduction........................................................................................................ 16-16 Rôle de l’OACI................................................................................................... 16-17 Terminologie...................................................................................................... 16-18 Définition des caractéristiques du LOSA........................................................... 16-19 Processus de changement pour la sécurité ...................................................... 16-21 Application du LOSA ......................................................................................... 16-22 16.5 Programme de sécurité en cabine........................................................................... 16-23 Généralités ........................................................................................................ 16-23 Exigences de l’OACI ......................................................................................... 16-24 Gestion de la sécurité en cabine ....................................................................... 16-25 Appendice 1. Exemple de politique d’entreprise concernant les comptes rendus non punitifs de dangers ........................................................................................ 16-APP 1-1 Appendice 2. Exemples de points à signaler à un système de comptes rendus d’événements d’une compagnie aérienne............................................................ 16-APP 2-1 Appendice 3. Exemple de protocole d’accord entre une compagnie aérienne et une association de pilotes pour l’application d’un programme d’analyse des données de vol (FDA).................................................................... 16-APP 3-1 Appendice 4. Aspects de la performance humaine concernant la sécurité en cabine .............. 16-APP 4-1 CHAPITRE 17. SERVICES DE LA CIRCULATION AÉRIENNE (ATS).................................... 17-1 17.1 Sécurité des ATS ..................................................................................................... 17-1 Généralités ........................................................................................................ 17-1 Exigences de l’OACI ......................................................................................... 17-2 Fonctions de l’autorité de réglementation de la sécurité des ATS.................... 17-2 Directeur de la sécurité (DS) ............................................................................. 17-2 17.2 Systèmes de gestion de la sécurité des ATS .......................................................... 17-3 Indicateurs de performance en matière de sécurité et objectifs de sécurité ......................................................................................................... 17-3 Organisation de la sécurité................................................................................ 17-5 Gestion des risques........................................................................................... 17-5 Systèmes de comptes rendus d’incidents......................................................... 17-5 Intervention en cas d’urgence ........................................................................... 17-6 Enquêtes de sécurité......................................................................................... 17-6 Supervision de la sécurité ................................................................................. 17-6 Gestion du changement .................................................................................... 17-7

Page 12: 9859 MANUEL SMS

X Manuel de gestion de la sécurité (MGS)

Page

17.3 Modification des procédures ATS ........................................................................... 17-8 17.4 Gestion des menaces et des erreurs....................................................................... 17-9 17.5 Enquête sur la sécurité des vols normaux (NOSS) ................................................. 17-10 Appendice 1. Aspects des facteurs humains relatifs à la performance humaine Appendice 1. dans les services de la circulation aérienne ....................................................... 17-APP 1-1 Appendice 2. Évaluation des risques des procédures ATS ........................................................ 17-APP 2-1 Appendice 3. Gestion des menaces et des erreurs (TEM) dans les ATS................................... 17-APP 3-1 Chapitre 18. EXPLOITATION TECHNIQUE DES AÉRODROMES ......................................... 18-1 18.1 Sécurité des aérodromes – Généralités ................................................................. 18-1 18.2 Cadre réglementaire ................................................................................................ 18-3 Exigences de l’OACI en matière de gestion de la sécurité des aérodromes................................................................................................. 18-3 Responsabilités des États ................................................................................. 18-3 Modalités de respect des obligations légales.................................................... 18-4 18.3 Gestion de la sécurité des aérodromes ................................................................... 18-4 Portée de la gestion de la sécurité des aérodromes......................................... 18-5 Le SGS de l’exploitant d’aérodrome.................................................................. 18-5 Directeur de la sécurité et comité(s) de sécurité............................................... 18-6 Système de comptes rendus d’occurrences liées à la sécurité ........................ 18-6 Supervision de la sécurité ................................................................................. 18-7 Audits de sécurité .............................................................................................. 18-7 18.4 Planification des mesures d’urgence aéroportuaire ................................................ 18-7 Intervention coordonnée.................................................................................... 18-8 Exercices d’intervention en cas d’urgence aéroportuaire ................................. 18-9 18.5 Sécurité des aires de trafic des aérodromes ........................................................... 18-10 Environnement de travail sur les aires de trafic ................................................ 18-10 Causes d’accidents sur les aires de trafic ......................................................... 18-10 Gestion de la sécurité sur les aires de trafic ..................................................... 18-11 Circulation des véhicules................................................................................... 18-12 18.6 Rôle des directeurs de la sécurité des aérodromes dans la sécurité au sol........................................................................................................................ 18-13 Appendice 1. Exemple de politique de sécurité d’un exploitant d’aérodrome............................ 18-APP 1-1 Appendice 2. Facteurs de dangers dans l’environnement de travail des aires Appendice 2. de trafic ................................................................................................................. 18-APP 2-1 Chapitre 19. MAINTENANCE DES AÉRONEFS...................................................................... 19-1 19.1 Sécurité de la maintenance – Généralités .............................................................. 19-1 19.2 Gestion de la sécurité de la maintenance................................................................ 19-2 Approche unifiée de la sécurité au niveau de l’entreprise ................................ 19-2 Principaux outils de gestion de la sécurité de la maintenance ......................... 19-4 Supervision de la sécurité et évaluation du programme ................................... 19-4 19.3 Gestion des écarts par rapport aux procédures de maintenance ........................... 19-5 Système d’aide à la décision pour les erreurs de maintenance (MEDA).......... 19-6

Page 13: 9859 MANUEL SMS

Table des matières XI

Page

19.4 Préoccupations du directeur de la sécurité ............................................................. 19-7 Appendice 1. Conditions de travail dans le domaine de la maintenance................................... 19-APP 1-1 Appendice 2. Système d’aide à la décision pour les erreurs de maintenance (MEDA)............. 19-APP 2-1 RÉFÉRENCES ............................................................................................................................. Réf. 1-1

Page 14: 9859 MANUEL SMS

Page blanche

Page 15: 9859 MANUEL SMS

XIII

SIGLES ET ABRÉVIATIONS

AAC Administration de l’aviation civile [Civil Aviation Authority (CAA)] ACARS Système embarqué de communications, d’adressage et de compte rendu [Aircraft Communications Addressing and Reporting System] ACI Conseil international des aéroports [Airports Council International] ADREP Système de comptes rendus d’accident/incident (OACI)

[Accident/Incident Data Reporting (ICAO)] AEP Plan d’urgence d’aérodrome [Aerodrome Emergency Plan] AESA Agence européenne de la sécurité aérienne

[European Aviation Safety Agency (EASA)] AIRS Système de comptes rendus d’incidents pour les équipages d’aéronefs

[Aircrew Incident Reporting System] ALARP Le plus faible que l’on puisse raisonnablement atteindre

[As Low As Reasonably Practicable] AME Technicien de maintenance d’aéronef [Aircraft Maintenance Engineer] Note.— Aux fins du présent manuel, AME sera utilisé pour représenter

Technicien/Mécanicien de maintenance d’aéronef AMJ Éléments consultatifs associés aux Codes communs de l’aviation (JAR)

[Advisory Material Joint] ASECNA Agence pour la sécurité de la navigation aérienne en Afrique et à Madagascar

[Agency for Air Navigation Safety in Africa and Madagascar] ASR Rapport de sécurité aérienne [Air Safety Report] ASRS Système de compte rendu pour la sécurité de l’aviation (États-Unis)

[Aviation Safety Reporting System (U.S.)] ATA Association américaine du transport aérien [Air Transport Association of America] ATC Contrôle de la circulation aérienne [Air Traffic Control] ATCO Contrôleur de la circulation aérienne [Air Traffic Controller] ATM Gestion du trafic aérien [Air Traffic Management] ATS Service de la circulation aérienne [Air Traffic Service(s)] ATSB Bureau de la sécurité des transports australiens [Australian Transport Safety Bureau] BASIS Système d’informations sur la sécurité de la compagnie British Airways

[British Airways Safety Information System] CANSO Organisation des services de navigation aérienne civile

[Civil Air Navigation Services Organisation] CAP Publication de l’aviation civile (Royaume-Uni) [Civil Air Publication (U.K.)] CAST Équipe pour la sécurité de l’aviation commerciale [Commercial Aviation Safety Team] CEO Directeur général [Chief Executive Officer] CHIRP Programme confidentiel de comptes rendus sur les incidents liés aux facteurs humains

(Royaume-Uni) [Confidential Human Factors Incident Reporting Programme (U.K.)] CMC Centre de gestion des crises [Crisis Management Centre] CNS Communications, navigation et surveillance

[Communications, Navigation and Surveillance] CRM Gestion des ressources en équipage [Crew Resource Management] CVR Enregistreur de conversations du poste de pilotage [Cockpit Voice Recorder] DASS Direction des normes et de la sécurité des aérodromes

[Directorate of Aerodromes Standards and Safety] DGAC Direction générale de l’aviation civile (France)

Page 16: 9859 MANUEL SMS

XIV Manuel de gestion de la sécurité (MGS)

DME Dispositif de mesure de distance [Distance Measuring Equipment] DS Directeur de la sécurité [Safety Manager (SM)] EBAA Association européenne de l’aviation d’affaires

[European Business Aviation Association] ECCAIRS Centre européen de coordination des systèmes de comptes rendus d’incidents en

navigation aérienne [European Co-ordination Centre for Aviation Incident Reporting Systems]

EGPWS Dispositif renforcé d’avertissement de proximité du sol [Enhanced Ground Proximity Warning System]

ERP Plan d’intervention en cas d’urgence [Emergency Response Plan] EUROCONTROL Organisation européenne pour la sécurité de la navigation aérienne

[European Organisation for the Safety of Air Navigation] FAA Administration fédérale de l’aviation des États-Unis

[Federal Aviation Administration (U.S.)] FCO Ordre de l’équipage de conduite [Flight Crew Order] FDA Analyse des données de vol [Flight Data Analysis] FDR Enregistreur de données de vol [Flight Data Recorder] FIR Région d’information de vol [Flight Information Region] FMEA Analyse des modes et des effets des pannes [Failure Modes and Effects Analysis] FMS Système de gestion de vol [Flight Management System] FOD Dommages causés par un corps étranger [Foreign Object Damage] FOQA Assurance de la qualité des opérations aériennes

[Flight Operations Quality Assurance] FPD Base de données d’un programme d’analyse des données de vol

[FDA Programme Database] FSF Fondation pour la sécurité aérienne [Flight Safety Foundation] FSO Responsable de la sécurité aérienne [Flight Safety Officer] GAIN Réseau mondial d’information aéronautique [Global Aviation Information Network] GASP Plan (OACI) pour la sécurité de l’aviation dans le monde

[Global Aviation Safety Plan (ICAO)] GPS Système mondial de localisation [Global Positioning System] GPWS Dispositif avertisseur de proximité du sol [Ground Proximity Warning System] HAZid Identification des dangers [Hazard Identification] HST Hygiène et sécurité au travail [Occupational Safety and Health (OSH)] IATA Association du transport aérien international [International Air Transport Association] IBAC Conseil international de l’aviation d’affaires (société de capitaux)

[International Business Aviation Council, Ltd.] IFALPA Fédération internationale des associations de pilotes de ligne

[International Federation of Air Line Pilots’ Associations] IFATCA Fédération internationale des associations de contrôleurs de la circulation aérienne

[International Federation of Air Traffic Controllers’ Associations] ILS Système d’atterrissage aux instruments [Instrument Landing System] INDICATE Identification des moyens de défense nécessaires dans l’environnement du transport

aérien civil [Identifying Needed Defences in the Civil Aviation Transport Environment] ISASI Association internationale des enquêteurs de la sécurité aérienne

[International Society of Air Safety Investigators] ISIM Méthodologie intégrée d’enquête de sécurité

[Integrated Safety Investigation Methodology] ISO Organisation internationale de normalisation

[International Organization for Standardization] JAA Autorités conjointes de l’aviation [Joint Aviation Authorities] JAR Codes communs de l’aviation (JAA) [Joint Aviation Requirement(s) (JAA)]

Page 17: 9859 MANUEL SMS

Sigles et abréviations XV

LOSA Audit de sécurité en service de ligne [Line Operations Safety Audit] MEDA Système d’aide à la décision pour les erreurs de maintenance (Société Boeing)

[Maintenance Error Decision Aid (The Boeing Company)] MGS Manuel de gestion de la sécurité [Safety Management Manual (SMM)] MNPS Spécifications de performances minimales de navigation

[Minimum Navigation Performance Specifications] MRM Gestion des ressources de maintenance [Maintenance Resource Management] MSAW Avertissement d’altitude minimale de sécurité [Minimum Safe Altitude Warning] NASA Administration nationale de l’aéronautique et de l’espace (États-Unis)

[National Aeronautics and Space Administration (U.S.)] NBAA Association nationale de l’aviation d’affaires (société de capitaux) [National Business Aviation Association, Inc.] NOSS Enquête de sécurité sur les opérations normales

[Normal Operations Safety Survey] NTSB Conseil national de la sécurité des transports (États-Unis)

[National Transportation Safety Board (U.S.)] OACI Organisation de l’aviation civile internationale

[International Civil Aviation Organization (ICAO)] OFSH Manuel de sécurité de vol de l’exploitant [Operator’s Flight Safety Handbook] OIRAS Systèmes opérationnels de compte rendu et d’analyse d’incident

[Operational Incident Reporting and Analysis Systems] OMA Organisme de maintenance agréé [Approved Maintenance Organization (AMO)] PANS Procédures pour les services de navigation aérienne

[Procedures for Air Navigation Services] PANS-ATM Procédures pour les services de navigation aérienne — Gestion du trafic aérien

[Procedures for Air Navigation Services — Air Traffic Management] PANS-OPS Procédures pour les services de navigation aérienne — Exploitation technique

des aéronefs [Procedures for Air Navigation Services — Aircraft Operations] QAR Enregistreur à accès rapide [Quick Access Recorder] RA Avis de résolution [Resolution Advisory] RNP Qualité de navigation requise [Required Navigation Performance] RVSM Minimum de séparation verticale réduit [Reduced Vertical Separation Minimum] SAQ Système d’assurance de la qualité [Quality Assurance System (QAS)] SARP Normes et pratiques recommandées [Standards and Recommended Practices] SDCPS Systèmes de collecte et de traitement des données sur la sécurité

[Safety Data Collection and Processing Systems] SDR Compte rendu de difficultés constatées en service [Service Difficulty Reporting] SDR Demande de données liées à la sécurité [Safety Data Request] SGS Système de gestion de la sécurité [Safety Management System(s) (SMS)] SHEL Documentation/Matériel/Environnement/Être humain

[Software/Hardware/Environment/Liveware] SID Départ normalisé aux instruments [Standard Instrument Departure] SIL Liste de questions de sécurité prioritaires [Safety Issues List] SIN Numéro d’instruction permanente [Standing Instruction Number] SOP Procédures d’exploitation normalisées [Standard Operating Procedures] STAR Arrivée normalisée aux instruments [Standard Instrument Arrival] STCA Avertissement de conflit à court terme [Short-term Conflict Alert] TCAS Système d’alerte de trafic et d’évitement de collision

[Traffic Alert and Collision Avoidance System] TEM Gestion des menaces et des erreurs [Threat and Error Management] TOR Acceptabilité du risque [Tolerability of Risk] TRM Gestion des ressources en équipe [Team Resource Management]

Page 18: 9859 MANUEL SMS

XVI Manuel de gestion de la sécurité (MGS)

UE Union européenne [European Union (EU)] USOAP Programme universel (OACI) d’audits de supervision de la sécurité

[Universal Safety Oversight Audit Programme (ICAO)]

Page 19: 9859 MANUEL SMS

1-1

Chapitre 1er

PRÉSENTATION GÉNÉRALE

1.1 GÉNÉRALITÉS Au cours du siècle dernier, des progrès technologiques gigantesques ont été accomplis dans le domaine de l’aviation. Ces progrès n’auraient pas été possibles sans des réalisations parallèles en matière de maîtrise et d’atténuation des dangers qui mettent en péril la sécurité aérienne. Étant donné les nombreuses causes possibles de dommages tant matériels que corporels en aviation, les responsables de l’aviation se sont depuis toujours souciés de la prévention des accidents. Grâce au respect rigoureux de bonnes pratiques de gestion de la sécurité, la fréquence et la gravité des événements liés à la sécurité aérienne ont considérablement diminué.

1.2 LE CONCEPT DE SÉCURITÉ 1.2.1 Pour comprendre ce qu’est la gestion de la sécurité, il est nécessaire d’examiner ce que l’on entend par « sécurité ». Selon le point de vue que l’on adopte, le concept de sécurité aérienne peut prendre différentes acceptions, notamment : a) zéro accident (ou incident grave), un point de vue largement partagé par les voyageurs ; b) l’absence de danger ou de risque, c’est-à-dire de facteurs qui causent ou risquent de causer des

dommages ; c) l’attitude du personnel face à des actes et situations dangereux (reflet d’une culture d’entreprise

« valorisant la sécurité ») ; d) la mesure dans laquelle les risques inhérents à l’aviation sont « acceptables » ; e) le processus d’identification des dangers et de gestion des risques ; f) la limitation des pertes dues aux accidents (pertes humaines, pertes matérielles et dégâts à

l’environnement). 1.2.2 Il est souhaitable d’éliminer entièrement les accidents (et incidents graves), mais un taux de sécurité de 100 % n’est pas un objectif réalisable. Malgré tous les efforts consentis pour éviter les défaillances et les erreurs, il s’en produira toujours. Aucune activité humaine ni aucun système créé par l’homme ne peut être garanti comme absolument sûr, c’est-à-dire exempt de risques. La notion de sécurité est relative, les risques inhérents étant acceptables dans un système « sûr ». 1.2.3 La sécurité est de plus en plus considérée sous l’angle de la gestion des risques. Aux fins du présent manuel, on donnera donc à la sécurité la définition suivante :

Page 20: 9859 MANUEL SMS

1-2 Manuel de gestion de la sécurité (MGS)

La sécurité est la situation dans laquelle les risques de lésions corporelles ou de dommages matériels sont limités à un niveau acceptable et maintenus à ce niveau ou sous ce niveau par un processus continu d’identification des dangers et de gestion des risques.

1.3 NÉCESSITÉ DE LA GESTION DE LA SÉCURITÉ 1.3.1 Même si les catastrophes aériennes sont rares, des accidents moins graves et toutes sortes d’incidents se produisent plus fréquemment. Ces incidents mineurs qui touchent à la sécurité peuvent toutefois présager des problèmes de sécurité sous-jacents. Ne pas tenir compte de ces dangers sous-jacents pour la sécurité reviendrait à ouvrir la voie à une augmentation du nombre d’accidents plus graves. 1.3.2 Les accidents (et les incidents) coûtent cher. Même si les assurances permettent d’en répartir le coût dans le temps, les accidents ne sont pas bons pour les affaires. Les assurances peuvent couvrir certains risques, mais de nombreux coûts ne sont pas assurés. Il y a, en outre, des coûts moins tangibles (mais non moins importants) comme la perte de confiance des voyageurs. Une connaissance des coûts totaux d’un accident est essentielle pour comprendre les aspects économiques de la sécurité. 1.3.3 La viabilité future de l’industrie du transport aérien pourrait bien dépendre de sa capacité à conforter le public dans sa perception de la sécurité des vols. La gestion de la sécurité est dès lors une condition préalable à la pérennité de l’industrie aéronautique.

1.4 EXIGENCES DE L’OACI 1.4.1 La sécurité a toujours été la préoccupation majeure de toutes les activités de l’aviation. Elle figure dans les buts et objectifs de l’OACI tels qu’énoncés à l’Article 44 de la Convention relative à l’aviation civile internationale (Doc 7300), appelée communément Convention de Chicago, qui charge l’OACI d’assurer le développement ordonné et sûr de l’aviation civile internationale dans le monde entier. 1.4.2 En établissant les conditions que doivent remplir les États en matière de gestion de la sécurité, l’OACI établit la distinction suivante entre programmes de sécurité et systèmes de gestion de la sécurité (SGS) : • un programme de sécurité est un ensemble intégré de règlements et d’activités visant à améliorer

la sécurité ; • un système de gestion de la sécurité (SGS) est une approche structurée de gestion de la sécurité,

qui englobe les structures, responsabilités, politiques et procédures organisationnelles nécessaires. 1.4.3 Les normes et pratiques recommandées de l’OACI (SARP) (voir les Annexes suivantes à la Convention relative à l’aviation civile internationale : l’Annexe 6 — Exploitation technique des aéronefs, 1re Partie — Aviation de transport commercial international — Avions, et 3e Partie — Vols internationaux d’hélicoptères ; l’Annexe 11 — Services de la circulation aérienne ; et l’Annexe 14 — Aérodromes) font obligation aux États d’établir un programme de sécurité afin d’atteindre un niveau de sécurité acceptable de l’exploitation aérienne. Le niveau de sécurité acceptable sera établi par l’État (les États) concerné(s). Tandis que les concepts de programmes de sécurité et de SGS se limitent actuellement aux Annexes 6, 11 et 14, il est possible qu’ils soient élargis pour inclure à l’avenir des Annexes supplémentaires relatives à l’exploitation.

Page 21: 9859 MANUEL SMS

Chapitre 1er. Présentation générale 1-3

1.4.4 Un programme de sécurité aura une large portée qui englobera de nombreuses activités de sécurité visant à atteindre les objectifs du programme. Le programme de sécurité d’un État comprend les règlements et directives régissant la conduite d’opérations sûres du point de vue des exploitants d’aéronefs, des fournisseurs de services de la circulation aérienne (ATS), des aérodromes et des services de maintenance des aéronefs. Le programme de sécurité peut comprendre des dispositions se rapportant à des activités aussi diverses que les comptes rendus d’incidents, les enquêtes et les audits de sécurité et la promotion de la sécurité. Une mise en œuvre intégrée de ces activités de sécurité requiert un SGS cohérent. 1.4.5 Par conséquent, conformément aux dispositions des Annexes 6, 11 et 14, les États exigeront des différents opérateurs, organisations de maintenance, fournisseurs ATS et exploitants certifiés d’aérodromes qu’ils mettent en œuvre un SGS accepté par l’État. Ce SGS devra, au minimum : a) identifier les dangers pour la sécurité ; b) veiller à ce que des mesures correctives nécessaires d’atténuation des risques/dangers soient

mises en œuvre ; c) prévoir un contrôle continu et une évaluation régulière du niveau de sécurité atteint. 1.4.6 Le SGS d’une organisation approuvé par l’État définira également clairement les obligations redditionnelles en matière de sécurité, y compris la responsabilité directe de la haute direction en matière de sécurité. 1.4.7 L’OACI fournit des éléments indicatifs spécifiques, parmi lesquels le présent manuel sur la gestion de la sécurité, pour l’application des SARP. Ce manuel propose un cadre conceptuel pour gérer la sécurité et mettre en place un SGS, ainsi que quelques-uns des processus et activités systémiques utilisés pour réaliser les objectifs d’un programme de sécurité de l’État.

Niveau de sécurité acceptable 1.4.8 Dans tout système, il est nécessaire de fixer des niveaux de performance et de mesurer les résultats atteints afin de déterminer si le système fonctionne conformément aux attentes. Il convient éga-lement d’identifier les aspects qui appellent des mesures pour améliorer les niveaux de performance et répondre à ces attentes. 1.4.9 L’introduction du concept de niveau de sécurité acceptable répond à la nécessité de compléter l’approche actuelle de la gestion de la sécurité basée sur le respect des réglementations en y ajoutant une approche basée sur la performance. Le niveau de sécurité acceptable exprime les objectifs (ou les attentes) de sécurité d’une autorité de supervision, d’un exploitant ou d’un fournisseur de services. Du point de vue des relations entre les autorités de supervision et les exploitants/fournisseurs de services, il fournit un objectif de performance de sécurité que les exploitants/fournisseurs de services devraient atteindre dans la conduite de leurs activités de base et qui serait un minimum acceptable pour l’autorité de supervision. Il s’agit d’une référence en regard de laquelle l’autorité de supervision peut mesurer la performance de sécurité. Pour déterminer un niveau de sécurité acceptable, il faut prendre en considération des facteurs tels que le niveau de risque applicable, les coûts-avantages des améliorations à apporter au système et les attentes du public en termes de sécurité de l’industrie aéronautique. 1.4.10 Dans la pratique, le concept de niveau de sécurité acceptable s’exprime à l’aide de deux mesures/ paramètres (les indicateurs de performance de sécurité et les objectifs de performance de sécurité) et il est mis en œuvre au moyen de différentes exigences de sécurité. Dans le présent manuel, ces termes ont les significations suivantes :

Page 22: 9859 MANUEL SMS

1-4 Manuel de gestion de la sécurité (MGS)

• Les indicateurs de performance de sécurité sont une mesure de la performance de sécurité d’une organisation aéronautique ou d’un secteur de l’industrie. Les indicateurs de performance de sécurité devraient être faciles à mesurer et être liés aux principaux éléments du programme de sécurité d’un État ou au SGS d’un exploitant/fournisseur de services. Les indicateurs de performance de sécurité différeront dès lors d’un segment de l’industrie aéronautique à l’autre, notamment entre les exploitants d’aéronefs, les exploitants d’aérodrome ou les fournisseurs ATS.

• Les objectifs de performance de sécurité (parfois appelés buts) sont déterminés en fonction

de niveaux de performance de sécurité souhaitables et réalistes, à atteindre par les différents exploitants/fournisseurs de services. Les objectifs de sécurité devraient être mesurables, accep-tables pour les parties intéressées et compatibles avec le programme de sécurité de l’État.

• Les exigences de sécurité servent à atteindre les indicateurs de performance de sécurité et les

objectifs de performance de sécurité. Elles comprennent les procédures, la technologie, les systèmes et les programmes d’exploitation, qui peuvent être assortis de mesures de fiabilité, de disponibilité, de performance et/ou de précision. Comme exemple d’exigence de sécurité, citons le déploiement d’un système radar dans les trois aéroports les plus importants d’un État dans les 12 mois qui suivent, avec une disponibilité de 98 % du matériel crucial.

1.4.11 Un ensemble de plusieurs indicateurs et objectifs de performance de sécurité donnera un meilleur aperçu du niveau de sécurité acceptable d’une organisation ou d’un secteur de l’aviation que l’utilisation d’un seul indicateur ou objectif. 1.4.12 Le rapport existant entre le niveau de sécurité acceptable, les indicateurs de performance de sécurité, les objectifs de performance de sécurité et les exigences de sécurité est le suivant : le niveau acceptable de sécurité est le concept dominant ; les indicateurs de performance de sécurité sont les mesures/paramètres utilisés pour déterminer si le niveau acceptable de sécurité a été atteint ; les objectifs de performance de sécurité sont les objectifs quantifiés en rapport avec le niveau acceptable de sécurité ; les exigences de sécurité sont les outils ou moyens nécessaires pour réaliser les objectifs de sécurité. Le présent manuel porte principalement sur les exigences de sécurité, c’est-à-dire sur les moyens mis en œuvre pour atteindre les niveaux de sécurité acceptables. 1.4.13 Les indicateurs de sécurité et les objectifs de sécurité peuvent être différents (par ex., l’indi-cateur de sécurité est de 0,5 accident mortel par 100 000 heures pour les exploitants de compagnies aériennes, et l’objectif de sécurité est une réduction de 40 % du taux d’accidents mortels pour les vols), ou ils peuvent être identiques (par ex., l’indicateur de sécurité est de 0,5 accident mortel par 100 000 heures pour les exploitants de compagnies aériennes, et l’objectif de sécurité est pas plus de 0,5 accident mortel par 100 000 heures pour les exploitants de compagnies aériennes). 1.4.14 Il y aura rarement un niveau de sécurité acceptable à l’échelle nationale. Le plus souvent, il y aura dans chaque État différents niveaux de sécurité acceptables sur lesquels se seront mis d’accord l’autorité de supervision et de réglementation et les différents exploitants/fournisseurs de services. Chaque niveau de sécurité acceptable convenu devrait être à la mesure de la complexité du contexte opérationnel des différents exploitants/fournisseurs de services. 1.4.15 L’établissement d’un ou de plusieurs niveaux de sécurité acceptables pour le programme de sécurité ne remplace pas les exigences légales, réglementaires ou autres qui ont été établies, ni ne libère les États de leurs obligations découlant de la Convention relative à l’aviation civile internationale (Doc 7300) et de ses dispositions connexes. De même, l’établissement d’un ou de plusieurs niveaux de sécurité acceptables pour le SGS ne libère pas les exploitants/fournisseurs de services de leurs obligations découlant de réglementations nationales pertinentes, ni de celles résultant de la Convention relative à l’aviation civile internationale (Doc 7300).

Page 23: 9859 MANUEL SMS

Chapitre 1er. Présentation générale 1-5

Exemples de mise en œuvre 1.4.16 Programme de sécurité de l’État. Une autorité de supervision établit un niveau de sécurité acceptable que doit réaliser son programme de sécurité et qui sera exprimé comme suit :

a) 0,5 accident mortel par 100 000 heures pour les exploitants de compagnies aériennes (indicateur de sécurité) avec une réduction de 40 % en cinq ans (objectif de sécurité) ;

b) 50 incidents d’aéronefs par 100 000 heures de vol effectuées (indicateur de sécurité) avec une réduction de 25 % en trois ans (objectif de sécurité) ;

c) 200 incidents graves dus à une défectuosité de l’aéronef par 100 000 heures de vol effectuées (indicateur de sécurité) avec une réduction de 25 % par rapport à la moyenne des trois dernières années (objectif de sécurité) ;

d) 1,0 impact d’oiseau par 1 000 mouvements d’aéronefs (indicateur de sécurité) avec une réduction de 50 % en cinq ans (objectif de sécurité) ;

e) pas plus d’une incursion sur piste par 40 000 mouvements d’aéronefs (indicateur de sécurité) avec une réduction de 40 % sur une période de 12 mois (objectif de sécurité) ;

f) 40 incidents aériens par 100 000 heures de vol effectuées (indicateur de sécurité) avec une réduction de 30 % sur la moyenne mobile de cinq ans (objectif de sécurité).

1.4.17 Les exigences de sécurité permettant d’atteindre ces objectifs de sécurité et indicateurs de sécurité comprennent :

a) le programme de prévention des accidents élaboré par l’autorité de supervision ;

b) un système de compte rendu obligatoire des occurrences ;

c) un système de compte rendu volontaire des occurrences ;

d) un programme d’impact d’oiseau ;

e) le déploiement de systèmes radar dans les trois plus grands aéroports de l’État dans les 12 prochains mois.

1.4.18 SGS d’un exploitant de compagnie aérienne. Une autorité de supervision et un exploitant de compagnie aérienne se mettent d’accord sur un niveau de sécurité acceptable à atteindre par le SGS de l’exploitant, dont une mesure — mais non la seule — est 0,5 accident mortel par 100 000 départs (indicateur de sécurité) ; une réduction de 40 % en cinq ans (objectif de sécurité) et — notamment — le développement d’approches GPS pour les aérodromes sans approches ILS (exigence de sécurité). 1.4.19 SGS d’un fournisseur de services et d’un exploitant d’aérodrome. Une autorité de supervision, un fournisseur ATS et un exploitant d’aérodrome se mettent d’accord sur un niveau de sécurité acceptable à atteindre par le SGS du fournisseur et de l’exploitant, dont un élément — mais pas le seul — est pas plus d’une incursion sur piste par 40 000 mouvements d’aéronefs (indicateur de sécurité) ; une réduction de 40 % en 12 mois (objectif de sécurité) et — notamment — l’établissement de procédures de circulation à la surface par faible visibilité (exigence de sécurité). 1.4.20 Le Chapitre 5 contient plus d’informations sur les indicateurs de performance de sécurité et les objectifs de performance de sécurité.

Page 24: 9859 MANUEL SMS

1-6 Manuel de gestion de la sécurité (MGS)

1.5 LES INTERVENANTS DANS LE DOMAINE DE LA SÉCURITÉ 1.5.1 Compte tenu des coûts totaux des accidents d’aviation, de nombreux groupes différents sont concernés par l’amélioration de la gestion de la sécurité. On trouvera ci-après une liste des principaux inter-venants concernés par la sécurité : a) les professionnels de l’aviation (par ex. les équipages de conduite et de cabine, les contrôleurs de la

circulation aérienne [ATCO], les techniciens de maintenance d’aéronef [AME]1) ; b) les propriétaires et exploitants d’aéronefs ; c) les constructeurs (en particulier les constructeurs de cellules et de moteurs) ; d) les autorités de réglementation de l’aviation (par ex. les AAC, l’AESA et l’ASECNA) ; e) les groupements professionnels de l’industrie (par ex. l’IATA, l’ATA et l’ACI) ; f) les fournisseurs ATS régionaux (par ex. EUROCONTROL) ; g) les unions et associations professionnelles (par ex. l’IFALPA et l’IFATCA) ; h) les organisations internationales de l’aviation (par ex. l’OACI) ; i) les organismes d’enquête (par ex. le NTSB des États-Unis) ; j) les voyageurs. 1.5.2 Des événements graves liés à la sécurité aérienne touchent invariablement d’autres groupes qui ne partagent pas toujours un objectif de promotion de la sécurité aérienne, par ex. : a) les proches, victimes ou personnes blessées dans un accident ; b) les compagnies d’assurances ; c) l’industrie des voyages ; d) les instituts d’enseignement et de formation à la sécurité (par ex. la FSF) ; e) d’autres agences et services gouvernementaux ; f) les mandataires publics élus ; g) les investisseurs ; h) les médecins légistes et la police ; i) les médias ;

1. D’après l’Annexe 1 — Licences du personnel, il est également possible de désigner ces personnes sous le terme de « mécanicien

de maintenance d’aéronef ». Dans le présent manuel, c’est le terme « technicien de maintenance d’aéronef » (AME) qui sera utilisé.

Page 25: 9859 MANUEL SMS

Chapitre 1er. Présentation générale 1-7

j) le grand public ; k) les avocats et consultants ; l) différents groupes d’intérêts.

1.6 APPROCHES DE LA GESTION DE LA SÉCURITÉ 1.6.1 Compte tenu de la poursuite escomptée de l’augmentation des activités aéronautiques dans le monde, il est à craindre que les méthodes traditionnelles de réduction des risques à un niveau acceptable ne soient pas suffisantes. De nouvelles méthodes permettant de mieux comprendre et de gérer la sécurité voient dès lors le jour. 1.6.2 On peut ainsi considérer la gestion de la sécurité selon deux perspectives différentes : la perspective traditionnelle et la perspective moderne.

La perspective traditionnelle 1.6.3 Historiquement, la sécurité aérienne se concentrait sur le respect d’exigences réglementaires de plus en plus complexes. Cette approche a donné de bons résultats jusqu’à la fin des années 1970, lorsque le taux d’accidents a cessé de baisser. Des accidents ont continué à se produire en dépit de tout un arsenal de règles et réglementations. 1.6.4 Selon cette approche de la sécurité, on réagissait à des événements indésirables en prescri-vant des mesures visant à empêcher leur répétition. Plutôt que de définir les meilleures pratiques ou les normes souhaitées, on cherchait à s’assurer le respect des normes minimales. 1.6.5 Le taux global d’accidents mortels avoisinant 10–6 (soit un accident mortel par million de vols), il devenait de plus en plus difficile d’améliorer davantage la sécurité en suivant cette approche.

La perspective moderne 1.6.6 Afin de maintenir les risques de sécurité à un niveau acceptable, compatible avec les niveaux croissants d’activité, les pratiques modernes de gestion de la sécurité évoluent, délaissant une approche purement réactive en faveur d’une approche plus proactive. Outre un solide cadre de législations et d’exigences réglementaires reposant sur les SARP de l’OACI, et l’application de ces exigences, on estime qu’un certain nombre d’autres facteurs, dont certains sont énumérés ci-dessous, concourent à une gestion efficace de la sécurité. Il faut souligner que cette approche complète ou s’ajoute à l’obligation des États et d’autres organisations de se conformer aux SARP de l’OACI et/ou aux règlements nationaux. Parmi ces facteurs, citons : a) l’application de méthodes de gestion des risques reposant sur des fondements scientifiques ; b) l’engagement de la haute direction envers la gestion de la sécurité ; c) une culture de la sécurité au sein de l’entreprise, qui favorise des pratiques sûres, encourage les

communications relatives à la sécurité et gère activement la sécurité en portant autant d’attention aux résultats que ne le fait la gestion financière ;

Page 26: 9859 MANUEL SMS

1-8 Manuel de gestion de la sécurité (MGS)

d) la mise en œuvre efficace de Procédures d’exploitation normalisées (SOP), y compris l’utilisation de listes de vérification et de briefings ;

e) un environnement non punitif (ou culture juste) pour promouvoir des comptes rendus efficaces de dangers et d’incidents ;

f) des systèmes de collecte, d’analyse et de partage des données liées à la sécurité provenant de l’exploitation normale ;

g) des enquêtes sur les accidents et les incidents graves effectuées par du personnel compétent et permettant de faire apparaître les carences systémiques en matière de sécurité (plutôt que de chercher uniquement à condamner des responsables) ;

h) l’intégration de la formation à la sécurité (comprenant les facteurs humains) pour le personnel d’exploitation ;

i) le partage des enseignements tirés et des meilleures pratiques observées en rapport avec la sécurité par l’échange actif d’informations sur la sécurité (entre compagnies et États) ;

j) la supervision systématique de la sécurité et le contrôle méthodique des performances de sécurité en vue d’évaluer les performances de sécurité et de réduire ou éliminer les problèmes naissants.

1.6.7 Aucun élément pris isolément ne permettra de répondre aux attentes actuelles en matière de gestion des risques. En revanche, une application intégrée de la plupart de ces éléments permettra d’accroître la résistance du système de l’aviation aux circonstances et actes dangereux. Néanmoins, même des processus efficaces de gestion de la sécurité n’offrent pas la garantie que tous les accidents puissent être évités.

1.7 UTILISATION DU MANUEL

Finalité 1.7.1 Le présent manuel a pour objectif d’aider les États à se conformer aux exigences des Annexes 6, 11 et 14 dans l’optique de la mise en œuvre de SGS par les exploitants et les fournisseurs de services.

Public cible 1.7.2 Les méthodes et procédures décrites dans le présent manuel ont été élaborées à partir de l’expérience acquise dans le domaine du développement et de la gestion efficaces d’activités de sécurité aérienne par des exploitants d’aviation, des fournisseurs ATS, des aérodromes et des organisations de maintenance. Ce manuel intègre également les meilleures pratiques provenant de diverses sources telles que les gouvernements, les constructeurs et d’autres organisations aéronautiques reconnues. 1.7.3 La mise en pratique des éléments indicatifs repris ci-après ne se limite pas au personnel d’exploitation mais devrait, au contraire, concerner l’éventail complet des parties intéressées par la sécurité, y compris la haute direction. 1.7.4 Le présent manuel s’adresse en particulier aux responsables de la conception, de la mise en œuvre et de la gestion effectives des activités de sécurité, à savoir :

Page 27: 9859 MANUEL SMS

Chapitre 1er. Présentation générale 1-9

a) les fonctionnaires du gouvernement assumant des responsabilités de réglementation du système de l’aviation ;

b) les instances de direction d’organisations d’exploitation aérienne telles que les exploitants, les

fournisseurs ATS, les aérodromes et les organisations de maintenance ; c) les praticiens de la sécurité, tels que les directeurs de la sécurité et les conseillers en sécurité. 1.7.5 Les utilisateurs devraient y trouver suffisamment d’informations pour les guider dans la justifi-cation, l’introduction et l’exploitation d’un SGS viable. 1.7.6 Ce manuel n’est pas normatif. Toutefois, en se fondant sur une compréhension de la philo-sophie, des principes et des pratiques examinés ci-après, les organisations devraient être à même de mettre au point une approche de la gestion de la sécurité adaptée à leurs circonstances locales.

Sommaire 1.7.7 Le présent manuel s’adresse à un large public, allant des organismes de réglementation aérienne des États aux exploitants et fournisseurs de services. Il est également destiné à tous les niveaux de personnel au sein de ces organisations, de la haute direction aux agents de première ligne. Les Chapitres 1 à 3 contiennent une introduction à la gestion de la sécurité. Les Chapitres 4 à 11 traitent de la gestion de la sécurité. Les systèmes de gestion de la sécurité sont abordés dans les Chapitres 12 à 15. Les Chapitres 16 à 19 étudient la gestion de la sécurité appliquée. 1.7.8 Ce manuel n’est pas destiné à être lu du début à la fin. On conseille plutôt aux utilisateurs de se concentrer sur leurs centres d’intérêt, selon leur niveau de connaissance et d’expérience dans le domaine de la gestion de la sécurité aérienne. 1.7.9 Dans le présent manuel, le masculin est utilisé pour désigner à la fois les hommes et les femmes.

Remerciements 1.7.10 Pour élaborer le présent manuel, l’OACI s’est inspirée dans une large mesure des travaux, écrits et meilleures pratiques de nombreuses personnes et organisations. S’il est vrai que l’on ne peut citer toutes les références utilisées, l’OACI voudrait remercier pour leur contribution notamment les États suivants : l’Australie, le Canada, les États-Unis, la Nouvelle-Zélande et le Royaume-Uni ; les constructeurs suivants : Airbus Industrie et la société Boeing ; la société de conseil Integra ; les fournisseurs de services suivants : l’Organisation européenne pour la sécurité de la navigation aérienne (EUROCONTROL) et le Conseil international des aéroports (ACI) ; Richard W. Wood, auteur indépendant ; ainsi que le Réseau mondial d’information aéronautique (GAIN) et la Fondation pour la sécurité aérienne (FSF).

Liens avec d’autres documents de l’OACI 1.7.11 Le présent manuel fournit des orientations permettant de se conformer aux exigences des SARP des Annexes 6, 11 et 14 en ce qui concerne la mise en œuvre de programmes de sécurité et de SGS. Certaines de ces exigences sont développées dans les Procédures pour les services de navigation aérienne — Exploitation technique des aéronefs (PANS-OPS, Doc 8168), les Procédures pour les services

Page 28: 9859 MANUEL SMS

1-10 Manuel de gestion de la sécurité (MGS)

de navigation aérienne — Gestion du trafic aérien (PANS-ATM, Doc 4444), et le Manuel sur la certification des aérodromes (Doc 9774). 1.7.12 Ce manuel devrait également aider les États à satisfaire aux SARP de l’Annexe 13 — Enquêtes sur les accidents et incidents d’aviation — en ce qui concerne les enquêtes sur les accidents et les incidents, y compris les recommandations aux États visant à promouvoir la sécurité par l’analyse des données sur les accidents et les incidents et par un échange rapide de renseignements sur la sécurité. 1.7.13 Le présent manuel de gestion de la sécurité devrait également accompagner d’autres documents de l’OACI, parmi lesquels : a) le Manuel de navigabilité (Doc 9760), qui fournit des éléments indicatifs pour la conduite d’un

programme de maintien de la navigabilité ; b) les Facteurs humains — Étude n° 16 — Facteurs transculturels dans la sécurité de l’aviation

(Cir 302), qui traitent de l’importance des facteurs transculturels pour la sécurité de l’aviation ; c) les Lignes directrices sur les facteurs humains dans la maintenance aéronautique (Doc 9824), qui

fournissent des informations sur la réduction des erreurs humaines et la mise au point de contre-mesures dans la maintenance aéronautique ;

d) les Lignes directrices sur les facteurs humains et les systèmes de gestion du trafic aérien (ATM)

(Doc 9758), destinées à aider les États dans l’examen des questions liées aux facteurs humains lors de l’achat et de la mise en œuvre de systèmes CNS/ATM ;

e) les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806), qui

fournissent des éléments indicatifs pour la préparation et l’exécution d’un audit de supervision de la sécurité qui tienne compte de la performance et des limites humaines ;

f) le Manuel d’instruction sur les facteurs humains (Doc 9683), qui décrit de façon plus détaillée une

grande partie de l’approche sous-jacente des aspects de la performance humaine en rapport avec la gestion de la sécurité développée dans le présent manuel ;

g) l’Audit de sécurité en service de ligne (LOSA) (Doc 9803), qui présente des informations sur la

réduction et la gestion de l’erreur humaine et la mise au point de contre-mesures dans les contextes d’exploitation ;

h) le Manuel d’investigations techniques sur les accidents et incidents d’aviation (Doc 9756), qui fournit

aux États des informations et des orientations sur les procédures, pratiques et techniques qui peuvent être utilisées dans les enquêtes sur les accidents d’aviation ;

i) le Manuel sur la certification des aérodromes (Doc 9774), qui décrit les caractéristiques essentielles

d’un SGS à inclure dans le manuel des aérodromes pour la certification des aérodromes ; j) la Rédaction d’un manuel d’exploitation (Doc 9376), qui fournit aux exploitants des éléments

indicatifs détaillés dans des domaines tels que la formation et la supervision des opérations et qui comprend des consignes sur la nécessité de mettre en place un programme de prévention des accidents ;

k) le Manuel d’audits de la supervision de la sécurité (Doc 9735), qui fournit des éléments indicatifs et

des informations sur les procédures d’audit normalisées pour l’exécution d’audits de l’OACI de la supervision de la sécurité ;

Page 29: 9859 MANUEL SMS

Chapitre 1er. Présentation générale 1-11

l) le Manuel d’instruction (Doc 7192), Partie E-1 — Formation du personnel commercial de bord à la sécurité, qui fournit des éléments indicatifs pour la formation des équipages de cabine telle que prescrite par l’Annexe 62.

____________________

2. À la suite d’un changement de terminologie intervenu en 1999 (voir l’Annexe 6 — Exploitation technique des aéronefs), le terme

« membre de l’équipage de cabine » est dorénavant utilisé à la place du terme « membre du personnel commercial de bord ». Le terme « agent de bord » est parfois utilisé dans l’industrie aéronautique.

Page 30: 9859 MANUEL SMS

Page blanche

Page 31: 9859 MANUEL SMS

2-1

Chapitre 2

PARTAGE DE LA RESPONSABILITÉ DE LA GESTION DE LA SÉCURITÉ

2.1 PARTIES RESPONSABLES DE LA GESTION DE LA SÉCURITÉ 2.1.1 La responsabilité de la sécurité et de la gestion effective de la sécurité est partagée entre un large éventail d’organisations et d’institutions, dont des organisations internationales, les organismes nationaux de réglementation de l’aviation civile, les propriétaires et exploitants, les fournisseurs de services de navi-gation aérienne et d’aérodromes, les grands constructeurs d’aéronefs et de groupes motopropulseurs, les organisations de maintenance, les associations professionnelles et sectorielles et les instituts d’éducation et de formation aéronautique. En outre, les tiers qui fournissent des services d’appui à l’aviation (y compris des services sous contrat) partagent également cette responsabilité de la gestion de la sécurité. D’une façon générale, ces responsabilités relèvent des domaines suivants : a) la définition de politiques et de normes touchant à la sécurité ; b) l’affectation de ressources pour soutenir les activités de gestion des risques ; c) l’identification et l’évaluation des dangers pour la sécurité ; d) l’application de mesures visant à éliminer les dangers ou à réduire le risque connexe à un niveau

reconnu comme acceptable ; e) l’intégration des progrès techniques dans la conception et la maintenance du matériel ; f) l’évaluation de la supervision de la sécurité et du programme de sécurité ; g) la réalisation d’enquêtes sur les accidents et les incidents graves ; h) l’adoption des meilleures pratiques les plus appropriées de l’industrie ; i) la promotion de la sécurité de l’aviation (y compris l’échange d’informations liées à la sécurité) ; j) la mise à jour des réglementations régissant la sécurité de l’aviation civile. 2.1.2 Les procédures et pratiques systématiques de gestion de la sécurité sont généralement désignées par l’expression « système de gestion de la sécurité » (SGS) ;

L’OACI 2.1.3 Du point de vue de la réglementation, le rôle de l’OACI est de fournir des procédures et indications pour une exploitation internationale sûre des aéronefs, et de promouvoir la planification et le développement du transport aérien. L’OACI s’acquitte de cette tâche principalement par l’élaboration des

Page 32: 9859 MANUEL SMS

2-2 Manuel de gestion de la sécurité (MGS)

normes et pratiques recommandées (SARP), qui sont contenues dans les Annexes à la Convention de Chicago et qui illustrent les meilleures pratiques opérationnelles des États. Les procédures pour les services de navigation aérienne (PANS) contiennent des pratiques qui dépassent le champ d’application des SARP, là où une certaine uniformité internationale est souhaitable pour des raisons de sécurité et d’efficacité. Les plans régionaux de navigation aérienne décrivent de façon détaillée les besoins en installations et services propres aux régions de l’OACI. Essentiellement, ces documents définissent le cadre international pour promouvoir la sécurité et l’efficacité en aviation. 2.1.4 Outre ce cadre réglementaire, l’OACI contribue à la gestion de la sécurité par la promotion des meilleures pratiques de sécurité. Plus spécifiquement, l’OACI : a) fournit aux États et exploitants des éléments indicatifs couvrant la plupart des aspects de la sécurité

aérienne (notamment les opérations aériennes, la navigabilité, les services de la circulation aérienne, les aérodromes et la sécurité des aéroports). De manière générale, ces éléments indicatifs se présentent sous la forme de manuels ou de circulaires ;

b) a élaboré le présent manuel, qui décrit les principes de gestion de la sécurité et fournit des orien-

tations pour la réalisation de programmes efficaces de gestion de la sécurité ; c) définit des procédures internationales de compte rendu et d’enquête sur les accidents et les

incidents1 ; d) promeut la sécurité aérienne en : 1) diffusant des informations sur les accidents et les incidents via le système de comptes rendus

d’accident/incident (ADREP) ainsi que par d’autres moyens ; 2) diffusant des informations sur la sécurité aérienne dans des publications et, plus récemment,

sous forme électronique ; 3) participant à des colloques, séminaires, etc., pour y aborder des aspects spécifiques de la

sécurité aérienne (comme les enquêtes sur les accidents, la prévention des accidents et les facteurs humains) ;

e) mène des audits dans le cadre du Programme universel d’audits de supervision de la sécurité

(USOAP) ;

Les États 2.1.5 Il incombe tout particulièrement aux États de créer un environnement propice à des opérations aériennes sûres et efficaces. Quelles que soient les méthodes de gestion des risques qu’ils emploient, telles que celles décrites dans le présent manuel, les États, en tant que signataires de la Convention de Chicago, ont l’obligation de mettre en œuvre les SARP de l’OACI. À cette fin, chaque État doit : a) prévoir les dispositions législatives et réglementaires nécessaires pour administrer le système

d’aviation de l’État. Parmi les domaines qui demandent un cadre juridique pour une gestion efficace de la sécurité, on peut citer :

1. On les trouvera dans l’Annexe 13 — Enquêtes sur les accidents et incidents d’aviation, dans le Manuel d’investigations techniques

sur les accidents et incidents d’aviation (Doc 9756) et dans le Manuel de compte rendu d’accident/incident (Manuel ADREP) (Doc 9156).

Page 33: 9859 MANUEL SMS

Chapitre 2. Partage de la responsabilité de la gestion de la sécurité 2-3

1) la législation aéronautique, qui fixe les objectifs de l’État pour l’aviation — à la fois commerciale et privée. En règle générale, cette législation traduit la conception qu’a l’État de la sécurité aérienne, et elle délimite les responsabilités, obligations redditionnelles et pouvoirs principaux en vue d’atteindre ces objectifs ;

2) les lois sur la production industrielle et le commerce, qui régissent la production et la vente de

matériel et de services aéronautiques sûrs ; 3) la législation du travail, y compris la législation relative à l’hygiène et la sécurité au travail (HST),

qui fixe les règles du cadre de travail dans lequel le personnel d’aviation est censé s’acquitter de ses fonctions en toute sécurité ;

4) les lois sur la sécurité, qui contribuent à la sécurité sur le lieu de travail ; elles régissent par ex.

l’accès aux aires opérationnelles (qui peut y accéder et sous quelles conditions). Elles peuvent aussi protéger les sources d’informations liées à la sécurité ;

5) les lois environnementales influant sur l’implantation des aéroports et des aides à la navigation

qui ont des incidences sur les opérations aériennes (telles que les procédures antibruit) ; b) créer un organisme public approprié, appelé généralement Administration de l’aviation civile (AAC),

doté des pouvoirs nécessaires lui permettant d’assurer la conformité avec les réglementations. Dans ce cadre, il appartiendra notamment à l’État :

1) d’instituer l’autorité et les délégations statutaires nécessaires pour réglementer l’industrie

aéronautique ; 2) de veiller à ce que cette autorité soit dotée d’un nombre suffisant de techniciens compétents ; 3) d’administrer un système efficace de supervision de la sécurité destiné à évaluer l’application

des exigences réglementaires ; c) mettre en place des mécanismes appropriés de supervision de la sécurité pour s’assurer que les

exploitants et fournisseurs de services maintiennent un niveau de sécurité acceptable dans leurs opérations.

2.1.6 Une aviation sûre et efficace exige une importante infrastructure et de nombreux services aéronautiques, parmi lesquels des aéroports, des aides à la navigation, une gestion du trafic aérien, des services météorologiques et des services d’information de vol. Certains États sont propriétaires de services de navigation aérienne et des principaux aéroports, dont ils assurent l’exploitation ; d’autres sont proprié-taires de la compagnie aérienne nationale et l’exploitent. Toutefois, beaucoup d’États ont transféré ces opérations à des sociétés qui exercent leurs activités sous la supervision de l’État. Quelle que soit l’approche adoptée, les États doivent veiller à ce que l’infrastructure et les services d’appui à l’aviation soient gérés de façon à répondre aux obligations internationales et à satisfaire aux besoins de l’État. 2.1.7 Lorsque la fonction de réglementation et la fourniture de services particuliers sont toutes deux placées sous le contrôle direct du même organisme public (tel que l’AAC), une distinction claire doit être faite entre ces deux fonctions, c’est-à-dire celle de fournisseur de services et celle d’organisme de réglementation. 2.1.8 Enfin, il incombe aux États d’être de « bons citoyens » de la communauté de l’aviation inter-nationale. Le meilleur moyen pour eux d’y parvenir est de veiller à respecter la Convention de Chicago et les SARP de l’OACI. Quand un État ne peut pas adapter sa législation et ses règlements nationaux aux SARP, il est tenu de notifier la « différence ». L’OACI publie ces divergences de sorte que les autres États puissent

Page 34: 9859 MANUEL SMS

2-4 Manuel de gestion de la sécurité (MGS)

être informés des dérogations à des normes acceptées internationalement. L’USOAP de l’OACI est utilisé pour déterminer la conformité des États avec les SARP cruciales pour la sécurité.

Les Administrations de l’aviation civile (AAC) 2.1.9 Après avoir élaboré la législation aéronautique appropriée, l’État doit établir une AAC chargée de fixer les règles, règlements et procédures par lesquels l’État met en œuvre son programme de sécurité. Le Chapitre 3 du présent manuel (Programme de sécurité de l’État) décrit les fonctions et activités principales de l’AAC relatives à l’application d’un programme de sécurité efficace. Le rôle de l’AAC consiste essentiel-lement à assurer la supervision nécessaire afin de vérifier la conformité avec les lois et réglementations de l’État relatives à la sécurité aérienne, et la réalisation des objectifs de l’État en matière de sécurité.

Les constructeurs 2.1.10 Chaque nouvelle génération de matériel comporte des améliorations basées sur les techniques les plus avancées et l’expérience opérationnelle la plus récente. Les constructeurs fabriquent du matériel conforme aux normes de navigabilité et autres normes des gouvernements nationaux et étrangers et qui répond aux critères économiques et de performance des acheteurs. 2.1.11 Les constructeurs produisent également des manuels et autre documentation technique concernant leurs produits. Dans certains États, ces documents peuvent être les seuls éléments indicatifs disponibles pour comprendre le fonctionnement d’un certain type d’aéronef ou d’appareil. Il importe dès lors que la documentation fournie par le constructeur soit de bonne qualité. En outre, de par leur responsabilité de fournir le support technique, la formation, etc., les constructeurs peuvent communiquer le dossier de sécurité d’un certain appareil ou les dossiers de service d’un composant. 2.1.12 En outre, les grands constructeurs d’aéronefs ont des départements de sécurité actifs qui ont notamment pour tâche de suivre le fonctionnement en service de leurs produits, de fournir des retours d’information aux processus de construction et de diffuser des informations de sécurité aux compagnies aériennes clientes.

Les exploitants d’aéronefs 2.1.13 Les grandes compagnies aériennes réalisent généralement bon nombre des activités de gestion de la sécurité décrites dans le présent manuel. Ces activités sont souvent menées par un bureau de la sécurité, qui contrôle l’ensemble de l’exploitation et fournit à la direction de l’entreprise des conseils indépendants sur l’action à mener pour éliminer ou éviter les dangers identifiés, ou réduire le risque connexe à un niveau acceptable. 2.1.14 Les concepts de gestion de la sécurité décrits dans le présent manuel s’ajoutent à l’obligation existante de se conformer aux SARP de l’OACI et/ou réglementations nationales.

Les fournisseurs de services 2.1.15 Des opérations aériennes sûres et efficaces dépendent aussi de la fourniture efficace d’un ensemble de services distincts de ceux fournis par les exploitants d’aéronefs, par ex. : a) la gestion du trafic aérien ;

Page 35: 9859 MANUEL SMS

Chapitre 2. Partage de la responsabilité de la gestion de la sécurité 2-5

b) l’exploitation technique des aérodromes, y compris les services d’urgence d’aéroport ; c) la sûreté aéroportuaire ; d) les aides à la navigation et à la communication. 2.1.16 Ces services étaient traditionnellement fournis par l’État — généralement par son Autorité de l’aviation civile ou militaire. Toutefois, les Autorités de l’aviation civile de certains États ont découvert les conflits d’intérêts potentiels résultant du double rôle joué par l’État en tant qu’organisme de réglementation et fournisseur de services. En outre, certains États estiment que transférer bon nombre de ces services à des sociétés (ou les privatiser), notamment les ATS et l’exploitation des aérodromes, permet d’accroître l’efficacité opérationnelle et de réaliser des économies d’exploitation. En conséquence, un nombre croissant d’États ont délégué la responsabilité de la fourniture de bon nombre de ces services. 2.1.17 Quels que soient le mode de propriété ou la structure de gestion de tout service aéronautique, les dirigeants responsables sont tenus d’élaborer et de mettre en œuvre un SGS dans leur domaine de compétences. Les éléments indicatifs présentés dans le présent manuel s’appliquent indistinctement aux opérations aériennes et aux services aéronautiques, qu’ils soient assurés par l’État ou par une entreprise privée.

Les entrepreneurs tiers 2.1.18 La fourniture de services d’appui aux opérations aériennes fait souvent intervenir des entre-prises privées dans des domaines tels que l’avitaillement en carburant, le ravitaillement et autres services d’escale, la maintenance et la révision d’aéronefs, la construction et la réparation de pistes et voies de circulation, la formation des équipages, la planification des vols, la régulation des vols et le contrôle en vol. 2.1.19 Qu’elle ait affaire à une grosse entreprise ou à un petit entrepreneur, l’autorité contractante (par ex. une compagnie aérienne, un exploitant d’aérodrome ou un fournisseur de services de navigation aérienne) est globalement responsable de la gestion des risques encourus par le fournisseur en matière de sécurité. Le contrat doit spécifier les normes de sécurité à respecter. Il incombe donc à l’autorité contractante de s’assurer que le fournisseur se conforme aux normes de sécurité prescrites dans le contrat. 2.1.20 Un SGS doit garantir que le niveau de sécurité d’une organisation n’est pas fragilisé par les apports et fournitures des organisations externes.

Les associations commerciales et professionnelles 2.1.21 Les associations commerciales et professionnelles jouent également un rôle essentiel dans la gestion de la sécurité. 2.1.22 Les associations d’intervenants internationales, nationales et régionales sont généralement formées pour défendre des intérêts commerciaux ; néanmoins, leurs membres reconnaissent de plus en plus les liens étroits qui existent entre sécurité aérienne et rentabilité. Ils se rendent compte qu’un accident affectant une compagnie aérienne peut compromettre leurs propres opérations. C’est ainsi que des asso-ciations de compagnies aériennes, par exemple, suivent de près les progrès de l’industrie en matière de technologie, procédures et pratiques. Leurs membres collaborent à l’identification des dangers pour la sécurité et aux mesures requises pour réduire ou éliminer les carences. Par l’intermédiaire de ces associations, de nombreuses compagnies aériennes partagent maintenant les données liées à la sécurité en vue d’améliorer la gestion de la sécurité.

Page 36: 9859 MANUEL SMS

2-6 Manuel de gestion de la sécurité (MGS)

2.1.23 De la même manière, des associations professionnelles représentant les intérêts de différents groupes professionnels (par ex. pilotes, ATCO, AME et équipages de cabine) jouent un rôle actif dans les efforts consentis pour assurer la gestion de la sécurité. À travers des études et analyses et par un travail de sensibilisation, ces groupes fournissent les compétences spécifiques permettant d’identifier les dangers pour la sécurité et d’améliorer la prévention. 2.1.24 De plus en plus, les compagnies aériennes forment des partenariats ou des alliances avec d’autres compagnies aériennes pour élargir leur structure effective de routes par des accords de partage de codes. C’est ainsi qu’un tronçon de vol peut être exploité par une compagnie aérienne différente de celle à laquelle s’attend le passager. Ces dispositions peuvent avoir des incidences sur la sécurité. Aucune compagnie aérienne ne souhaite être associée à un partenaire peu sûr. Pour protéger leurs propres intérêts, les partenaires d’une alliance procèdent à des audits de sécurité mutuels — améliorant ainsi la sécurité des compagnies aériennes. 2.1.25 La communauté de l’aviation générale a un système d’associations nationales et internationales qui ont été créées pour promouvoir la sécurité et défendre leurs intérêts au sein de la communauté aéronautique. Le secteur de l’aviation d’affaires joue également un rôle actif dans les SGS et suit de près les questions de sécurité pour ses membres.

2.2 LA RESPONSABILITÉ PARTICULIÈRE DE LA DIRECTION EN MATIÈRE DE SÉCURITÉ2

2.2.1 Les équipes de direction des exploitants et des fournisseurs de services ont une responsabilité particulière en matière de gestion de la sécurité. Une grande enquête réalisée auprès de compagnies aériennes du monde entier a montré que les compagnies aériennes les plus sûres étaient celles qui avaient une mission claire sur le plan de la sécurité, commençant au sommet de l’organisation et orientant les actions à tous les niveaux jusqu’au niveau opérationnel. Lautman et Gallimore ont découvert que dans les compagnies aériennes les plus sûres :

« …Les responsables de l’exploitation des vols et de la formation au pilotage, conscients de leurs responsabilités en la matière, s’emploient à élaborer et à faire appliquer des lignes de conduite axées sur la sécurité. ... Il existe une méthode qui permet de transmettre rapidement des informations aux équipages de conduite et une politique qui encourage les retours d’expérience confidentiels des pilotes à la direction. ... Cette attitude de la direction … est une force dynamique qui suscite l’uniformisation et la discipline dans le poste de pilotage, préparées par un programme de formation axé sur les questions de sécurité. »

2.2.2 Les organisations les plus sûres sont souvent les plus efficaces. Bien que des arbitrages entre gestion de la sécurité et coûts puissent se produire, la direction doit prendre conscience des coûts cachés des accidents et reconnaître que la sécurité est bonne pour les affaires. L’adoption d’une approche systématique du processus décisionnel et de la gestion des risques dans l’entreprise permet de réduire les pertes dues aux accidents. 2.2.3 La direction a le pouvoir et la responsabilité de gérer les risques pour la sécurité au sein de l’entreprise. À cette fin, une méthode systématique destinée à déceler les dangers, évaluer les risques et assigner des priorités à ces risques sera établie, et les dangers qui présentent la plus grande menace de

2. Le Manuel d’instruction sur les facteurs humains (Doc 9683), 1re Partie, Chapitre 2, étudie plus en détail l’importance du rôle de la

direction dans la mise en place d’une culture positive de la sécurité.

Page 37: 9859 MANUEL SMS

Chapitre 2. Partage de la responsabilité de la gestion de la sécurité 2-7

perte potentielle seront réduits ou éliminés. Seule la direction a la capacité de modifier la structure, la dotation en personnel, les installations, les politiques et procédures de l’organisation. 2.2.4 Surtout, c’est la direction qui détermine la culture de la sécurité de l’organisation. Sans son adhésion sans réserve à la cause de la sécurité, la gestion de la sécurité restera en grande partie sans effet. En renforçant positivement les actions en faveur de la sécurité, les dirigeants adressent un message à tout le personnel, message par lequel ils montrent qu’ils se préoccupent vraiment de la sécurité et s’attendent à une attitude similaire de la part du personnel. 2.2.5 La direction doit faire de la sécurité une valeur fondamentale de l’organisation. À cet effet, elle fixera des buts et objectifs en matière de sécurité et demandera des comptes aux gestionnaires et au personnel au sujet de la réalisation de ces objectifs. Le personnel attend de la direction : a) des orientations claires sous la forme de politiques, buts, objectifs, normes, etc., crédibles ; b) des ressources suffisantes, y compris suffisamment de temps, pour s’acquitter, de manière sûre

et efficace, des tâches qui lui ont été assignées ; c) des compétences sur le plan de l’accès à l’expérience par le biais de publications, de participations

à des formations et séminaires, etc., sur la sécurité. 2.2.6 Cette responsabilité qui incombe aux dirigeants s’applique indépendamment de la taille ou du type d’organisation fournissant le service aéronautique. Le rôle de la direction à l’égard de la gestion de la sécurité est un leitmotiv du présent manuel.

2.3 RESPONSABILITÉS ET OBLIGATIONS REDDITIONNELLES 2.3.1 Les concepts de responsabilité et d’obligation redditionnelle sont étroitement liés. Tandis que chaque membre du personnel est responsable de ses actes, il doit aussi rendre compte de l’exécution sûre de ses fonctions à son supérieur hiérarchique ou à son directeur et il peut être amené à justifier ses actes. Mais tandis que les individus doivent rendre compte de leurs propres actes, les directeurs et supérieurs hiérarchiques doivent en outre rendre compte des prestations générales du groupe placé sous leur autorité. L’obligation de rendre compte n’est pas à sens unique. Les directeurs ont également la responsabilité de s’assurer que leurs subordonnés ont les ressources, la formation, l’expérience, etc., nécessaires pour accomplir en toute sécurité les tâches qui leur ont été confiées. 2.3.2 Un énoncé formel des responsabilités et obligations redditionnelles est souhaitable, même dans de petites organisations. Cet énoncé clarifie les liens hiérarchiques formels et informels dans l’organi-gramme et précise les obligations redditionnelles liées à des activités spécifiques, sans double emploi ni omission. La teneur de cet énoncé variera en fonction de la taille de l’organisation, de sa complexité et de ses relations.

2.4 COOPÉRATION MONDIALE 2.4.1 Bien que les éléments organisationnels décrits ci-dessus aient des rôles et responsabilités spécifiques en rapport avec la gestion de la sécurité, le caractère international de l’aviation exige que leurs efforts individuels soient intégrés dans un système de sécurité aéronautique mondial cohérent, nécessitant coopération et collaboration à tous les niveaux.

Page 38: 9859 MANUEL SMS

2-8 Manuel de gestion de la sécurité (MGS)

2.4.2 Cette collaboration mondiale se fait dans les forums internationaux tels que : a) les associations professionnelles (par ex. l’IATA, l’ACI, l’ATA, et CANSO) ; b) les associations nationales et internationales de l’aviation (par ex. la NBAA, l’EBAA, l’IBAC) ; c) les fédérations internationales d’associations nationales (par ex. I’IFALPA et I’IFATCA) ; d) les organismes internationaux de sécurité (par ex. la FSF et l’ISASI) ; e) les groupements industrie/gouvernement (par ex. CAST et GAIN) ; f) les forums sur la sécurité organisés par les grands constructeurs. 2.4.3 Ces organisations peuvent fournir des experts pour des réunions et des études. Par exemple, les constructeurs peuvent inviter des groupes d’utilisateurs à leur faire part de suggestions, tandis que les utilisateurs eux-mêmes peuvent consulter les constructeurs afin de mieux comprendre certaines pratiques d’exploitation. Il se crée ainsi un fructueux échange d’informations et de connaissances sur la sécurité. Ces efforts de collaboration ne servent toutefois pas uniquement les intérêts de la sécurité ; ils sont également économiquement avantageux, pour les raisons suivantes : a) les différents segments de l’industrie du transport aérien sont fortement interdépendants. Les

conséquences d’une catastrophe aérienne de grande envergure peuvent porter préjudice à de nombreux intervenants. L’inquiétude mutuelle que suscitent les atteintes à la réputation de l’indus-trie, à son image et à la confiance du public tend à privilégier l’action collective par rapport à la poursuite des seuls intérêts particuliers ;

b) l’action collective a plus de poids ; c) la mondialisation de l’économie a transcendé les frontières et l’autorité des États. 2.4.4 Une collaboration mondiale peut améliorer l’efficacité et la portée des actions de gestion de la sécurité de diverses manières, dont voici quelques exemples : a) l’harmonisation, la cohérence et l’interopérabilité par l’adoption de normes de conception, de SOP et

d’une terminologie universelles ; b) le partage mondial d’informations liées à la sécurité ; c) une identification et une résolution précoces des dangers systémiques mondiaux ; d) un appui et un renforcement mutuel par le chevauchement des efforts et le partage de ressources

spécialisées.

Page 39: 9859 MANUEL SMS

3-1

Chapitre 3

PROGRAMME DE SÉCURITÉ DE L’ÉTAT

3.1 GÉNÉRALITÉS 3.1.1 Comme exposé au Chapitre 2, les États ont l’importante responsabilité de créer un environ-nement propice à des activités aériennes sûres et efficaces. En tant que signataire de la Convention de Chicago, l’État est responsable de la mise en œuvre des SARP de l’OACI qui concernent les opérations aériennes, les services de la navigation et de l’espace aériens, et les aérodromes dont il a la responsabilité. D’une façon générale, ces responsabilités comprennent des fonctions à la fois de réglementation (octroi de licences, certification, etc.) et de supervision de la sécurité pour assurer la conformité avec les dispositions réglementaires.

3.1.2 Chaque État doit prendre des dispositions pour garantir la sécurité du système d’aviation qui relève de sa compétence. Toutefois, chaque État n’est qu’une composante du vaste système d’aviation mondial. En ce sens, les États ont également la responsabilité de répondre aux exigences du système international plus vaste.

3.1.3 L’approche systémique du programme de sécurité de l’aviation de l’État préconisée dans le présent manuel englobe tous les niveaux organisationnels, toutes les disciplines et toutes les phases du cycle de vie du système. Des facteurs se rapportant à la météorologie, aux cartes aéronautiques, à l’exploitation des aéronefs, à la navigabilité, aux informations aéronautiques, au transport de marchan-dises dangereuses, etc., pourraient tous avoir des incidences sur la sécurité de l’ensemble du système. Pour s’acquitter efficacement de ses différentes responsabilités en matière de sécurité, un État a besoin d’un « programme de sécurité » afin d’intégrer ses activités multidisciplinaires de sécurité dans un tout cohérent.

3.1.4 Les responsabilités de l’État à l’égard de la gestion de la sécurité peuvent aller au-delà des fonctions de réglementation et de supervision. Beaucoup d’États assument les fonctions à la fois d’orga-nisme de réglementation de la sécurité et de fournisseur de services. Malgré la tendance à la privatisation et à la conversion en société que connaissent de nombreux États, bon nombre d’États fournissent toujours des services de gestion du trafic aérien et des services aéroportuaires. Lorsqu’un État est à la fois autorité de réglementation et fournisseur de services d’exploitation, une distinction claire doit être faite entre ces deux fonctions.

3.1.5 L’OACI exige des exploitants et fournisseurs de services qu’ils mettent en œuvre un système de gestion de la sécurité (SGS) pour atteindre des niveaux de sécurité acceptables dans leurs opérations. D’une façon générale, un État n’a pas besoin d’un SGS pour ses fonctions de réglementation et de super-vision. Toutefois, les États qui gèrent des opérations aériennes, exploitent des aérodromes ou fournissent des services d’exploitation (comme les ATS, les services d’informations aéronautiques et les services météorologiques) auront besoin d’un SGS tout à fait distinct du programme de sécurité mis en œuvre dans le cadre de la fonction de réglementation de l’AAC. Les relations entre l’autorité de réglementation et l’organisme réglementé devraient être identiques, que l’organisme réglementé soit une entité extérieure ou qu’il fasse partie de l’organisation de l’État.

Page 40: 9859 MANUEL SMS

3-2 Manuel de gestion de la sécurité (MGS)

3.2 RESPONSABILITÉS EN MATIÈRE DE RÉGLEMENTATION 3.2.1 Par leurs actions en tant qu’autorité de réglementation, les États donnent le ton à la conduite d’opérations aéronautiques sûres et efficaces relevant de leur compétence, par ex. :

a) les SARP : l’État, en tant que signataire de la Convention de Chicago, est responsable de la mise en œuvre des SARP de l’OACI ;

b) les Administrations de l’aviation civile (AAC) : les États doivent instituer un organe approprié, appelé généralement Administration de l’aviation civile (AAC), doté des pouvoirs nécessaires lui permettant de veiller à la conformité avec les réglementations de l’aviation ;

c) la supervision de la sécurité : les États doivent mettre en place des mécanismes appropriés de supervision de la sécurité pour garantir que les exploitants et les fournisseurs de services maintiennent un niveau de sécurité acceptable dans leurs opérations.

3.2.2 Pour acquitter les responsabilités de réglementation de l’État, l’autorité de réglementation peut adopter soit un rôle actif, comprenant la surveillance étroite du déroulement de toutes les activités liées à l’aviation, soit un rôle passif, aux termes duquel une plus grande part de responsabilité est déléguée aux exploitants et aux fournisseurs de services. 3.2.3 Beaucoup d’États renoncent progressivement à jouer un rôle très actif dans la supervision des activités d’aviation. Parmi les raisons de cette évolution, le grand nombre d’inspecteurs que requiert cette fonction, la confusion qui règne quant aux responsabilités de sécurité et la nécessité de disposer d’un grand organisme d’exécution sont autant de facteurs qui dénient la culture de la sécurité que promeuvent les pratiques modernes de gestion de la sécurité. 3.2.4 Dans un rôle plus passif, l’État laisse l’interprétation et l’application des règlements à l’exploitant ou au fournisseur de services, se reposant sur leurs compétences techniques et encourageant la conformité en brandissant la menace de mesures d’exécution. 3.2.5 Un système de réglementation de l’État qui se situerait entre ces deux pôles que sont un rôle actif et un rôle passif présenterait un intérêt considérable. Ce système devrait :

a) proposer une répartition équilibrée des responsabilités de sécurité entre l’État et l’exploitant ou le fournisseur de services ;

b) pouvoir se justifier d’un point de vue économique dans les limites des ressources de l’État ;

c) permettre à l’État d’assurer la réglementation et la supervision continues des activités de l’exploi-tant ou du fournisseur de services sans trop entraver la gestion et l’administration effectives de l’organisation ;

d) permettre d’encourager et d’entretenir des relations harmonieuses entre l’État et les exploitants et fournisseurs de services.

3.3 LES ADMINISTRATIONS DE L’AVIATION CIVILE (AAC) 3.3.1 L’AAC est l’organe de l’État chargé de mettre en œuvre les dispositions législatives et réglementaires relatives à la sécurité aérienne. En pratique, l’AAC élabore et exécute le programme de sécurité de l’État. Ce faisant, les AAC efficaces s’inspirent des éléments suivants :

Page 41: 9859 MANUEL SMS

Chapitre 3. Programme de sécurité de l’État 3-3

a) une affirmation claire de leur conception de la sécurité et de leur mission en matière de sécurité ; b) un ensemble bien compris et accepté : 1) de principes directeurs, tels que la prestation d’un service sûr et efficace, compatible avec les

attentes du public et d’un coût raisonnable, tout en traitant les organisations réglementées (les clients) et le personnel avec respect ;

2) de valeurs de l’organisation telles que la compétence, l’ouverture, l’équité, l’intégrité, le respect

et l’aptitude à répondre aux besoins des clients ; c) une affirmation des objectifs de sécurité de l’Administration, comme par ex. réduire la probabilité et

les conséquences d’événements d’aviation dangereux, et améliorer, dans l’ensemble de l’industrie aéronautique et du grand public, la compréhension de la performance de sécurité réelle de l’État ;

d) l’adoption de stratégies en vue d’atteindre leurs objectifs, comme par ex. la réduction des risques de

sécurité pour l’aviation par l’identification des opérations qui ne satisfont pas aux niveaux acceptés, en encourageant leur retour à un niveau de sécurité acceptable ou, s’il y a lieu, en annulant leur certification.

3.3.2 Sur la base de ces orientations générales, les Administrations des États assument généralement la responsabilité de la totalité ou de certaines des fonctions suivantes : a) l’établissement et la mise en œuvre des règles, réglementations et procédures pour une aviation

sûre et efficace. Par ex. : 1) la délivrance des licences du personnel ; 2) l’établissement de procédures d’obtention et de renouvellement : — des certificats d’exploitation ; — des certificats de navigabilité ; — des certifications d’aéroport ; 3) l’exploitation des services de la circulation aérienne ; 4) (dans beaucoup d’États) la conduite d’enquêtes sur les accidents et incidents ; b) la mise en place d’un système de supervision de la sécurité de tout le système d’aviation civile par

la surveillance, des inspections et des audits de sécurité, etc. ; c) l’application de mesures coercitives s’il y a lieu ; d) le contrôle des progrès technologiques et des meilleures pratiques de l’industrie en vue d’améliorer

la performance du système d’aviation de l’État ; e) la tenue à jour d’un système de registres de l’aviation recensant, entre autres, les licences et

certificats, les infractions ainsi que les accidents et incidents signalés ;

Page 42: 9859 MANUEL SMS

3-4 Manuel de gestion de la sécurité (MGS)

f) la réalisation d’analyses des tendances en matière de sécurité, y compris des données sur les accidents/incidents et des rapports de difficultés en service ;

g) la promotion de la sécurité par la diffusion d’une documentation spécifique sur la sécurité, l’orga-

nisation de séminaires sur la sécurité, etc. 3.3.3 Beaucoup d’États délèguent la responsabilité des enquêtes sur les accidents et incidents graves (conformément à l’Annexe 13) à leur AAC. Toutefois, cette pratique génère un conflit d’intérêts potentiel dans la mesure où les enquêteurs peuvent être amenés à faire rapport sur des lacunes de la performance de supervision de la sécurité de l’État (peut-être même sur leur propre performance comme autorité de réglementation). Les États créent de plus en plus des organismes d’enquête spécialisés, indépendants des autorités de réglementation.

3.4 LA PERFORMANCE DE L’ÉTAT EN MATIÈRE DE SÉCURITÉ 3.4.1 Le Programme universel d’audits de supervision de la sécurité de l’OACI a permis d’identifier des faiblesses fondamentales dans les programmes de sécurité de nombreux États, faiblesses qui engendrent d’importantes différences dans les normes de sécurité à travers le monde. Sans préjudice de l’obligation des États contractants de satisfaire aux exigences des SARP de l’OACI, les États doivent être soucieux des performances de sécurité de leur système d’aviation national. On trouvera ci-après quelques indicateurs de carences possibles dans le programme de sécurité de l’État : a) une législation et des réglementations inadaptées (incomplètes, dépassées, etc.) ; b) des conflits d’intérêts potentiels (entre organisme de réglementation et fournisseur de services,

entre éducateur et autorité d’exécution, au sein de l’organisme même de réglementation qui enquête sur des événements liés à des défaillances dont il est à l’origine, etc.) ;

c) des infrastructures et des systèmes de l’aviation civile inadaptés (aides à la navigation et à la

communication, aérodromes, gestion de l’espace aérien, etc.) ; d) l’exercice inadéquat des fonctions de réglementation, comme l’octroi de licences, la surveillance et

l’application des règlements (on s’en acquitte de manière incomplète, dépassée, incohérente) par manque de ressources, en raison de la situation politique, de l’état d’urgence national, etc. ;

e) des ressources et une organisation insuffisantes pour l’ampleur et la complexité des exigences

réglementaires (pénurie de personnel qualifié et compétent, manque de compétences administratives, de technologies de l’information, etc.) ;

f) instabilité et incertitude au sein de l’AAC qui compromettent la qualité et l’opportunité de la fonction

de réglementation (moral du personnel, ingérence politique, ressources limitées, etc.) ; g) absence de programmes officiels de sécurité (programme volontaire de comptes rendus d’incidents,

audits de sécurité réglementaires, etc.) ; h) stagnation de la réflexion sur la sécurité (taux d’occurrences en hausse, culture de la sécurité peu

développée au niveau national, réticence à adopter les meilleures pratiques éprouvées, etc.). 3.4.2 D’autre part, la présence des éléments suivants dans le programme de sécurité de l’État permet de penser que le programme constitue une base solide pour préserver les marges de sécurité souhaitées :

Page 43: 9859 MANUEL SMS

Chapitre 3. Programme de sécurité de l’État 3-5

a) l’appareil administratif nécessaire pour coordonner et intégrer tous les aspects du programme de sécurité de l’État en un tout cohérent ;

b) un contrôle des performances pour toutes les fonctions de sécurité de l’État (octroi des licences,

certification, exécution des dispositions, etc.) ; c) la mise en place par l’État de programmes d’identification des dangers (communication obligatoire

de comptes rendus d’occurrences, communication volontaire [non punitive] de comptes rendus d’incidents, de comptes rendus de difficultés constatées en service, etc.) ;

d) des équipes compétentes d’enquête sur les accidents (indépendantes de l’autorité de réglementation) ; e) une affectation des ressources en fonction des risques, pour toutes les fonctions de réglementation

(en orientant de manière proactive les efforts de réglementation vers les secteurs connus pour être à haut risque) ;

f) des programmes actifs et passifs de promotion de la sécurité pour aider les exploitants à diffuser

largement les informations relatives à la sécurité (parmi lesquelles des bases de données, l’analyse des tendances, le contrôle des meilleures pratiques de l’industrie, etc., en rapport avec la sécurité) ;

g) des programmes nationaux de contrôle de la sécurité (contrôle et analyse des tendances,

inspection de la sécurité, enquêtes sur les incidents et surveillance de la sécurité) ; h) des audits réglementaires réguliers de sécurité pour garantir la conformité de tous les exploitants et

fournisseurs de services.

Page 44: 9859 MANUEL SMS

Page blanche

Page 45: 9859 MANUEL SMS

4-1

Chapitre 4

COMPRENDRE LA SÉCURITÉ

4.1 GÉNÉRALITÉS 4.1.1 Comme le décrit le Chapitre 1er, la sécurité est la situation dans laquelle le risque de lésions corporelles ou de dommages matériels est limité à un niveau acceptable. Les dangers pour la sécurité engendrant un risque peuvent devenir apparents à la suite d’un non-respect manifeste des consignes de sécurité comme lors d’un accident ou d’un incident, ou ils peuvent être identifiés de manière proactive par le biais de programmes officiels de gestion de la sécurité avant que ne se produise un événement réel lié à la sécurité. Une fois un danger pour la sécurité identifié, les risques qui y sont associés doivent être évalués. Une bonne compréhension de la nature des risques permet de déterminer « l’acceptabilité » de ces risques. Les risques évalués comme inacceptables doivent ensuite faire l’objet de mesures. 4.1.2 La gestion de la sécurité est basée sur ce type d’approche systématique de l’identification des dangers et de la gestion des risques afin de réduire au minimum les pertes humaines et les dommages matériels ainsi que les pertes financières, environnementales et sociétales.

4.2 LE CONCEPT DE RISQUE 4.2.1 Étant donné que la sécurité est définie par rapport au risque, toute considération relative à la sécurité doit nécessairement faire intervenir le concept de risque. 4.2.2 La sécurité absolue n’existe pas. Avant de pouvoir évaluer si un système est sûr ou pas, il faut d’abord déterminer le niveau de risque acceptable pour ce système. 4.2.3 Les risques sont souvent exprimés en termes de probabilités ; toutefois, le concept de risque fait intervenir d’autres éléments. Pour illustrer cela par un exemple hypothétique, imaginons que la probabilité que le câble porteur d’un téléphérique transportant 100 passagers lâche et entraîne la chute de la nacelle ait été jugée la même que celle de la chute d’un ascenseur pouvant contenir 12 personnes. Bien que les proba-bilités que de tels événements se produisent soient identiques, les conséquences éventuelles de l’accident de téléphérique sont bien plus graves. Le risque est donc bidimensionnel. L’évaluation de l’acceptabilité d’un risque donné, associé à un danger déterminé, doit toujours prendre en considération tant la probabilité que le risque se concrétise que la gravité de ses conséquences éventuelles. 4.2.4 La perception du risque peut découler des trois grandes catégories suivantes : a) les risques tellement élevés qu’ils sont inacceptables ; b) les risques tellement minimes qu’ils sont acceptables ; c) les risques situés entre ces deux catégories, pour lesquels il faut envisager des arbitrages entre

risques et avantages.

Page 46: 9859 MANUEL SMS

4-2 Manuel de gestion de la sécurité (MGS)

4.2.5 Si le risque ne satisfait pas aux critères d’acceptabilité prédéterminés, il faut toujours tenter de le réduire à un niveau acceptable en utilisant des procédures d’atténuation appropriées. Si le risque ne peut pas être réduit à un niveau égal ou inférieur au niveau acceptable, il peut être considéré comme tolérable à condition que : a) ce risque soit en dessous de la limite prédéterminée de ce qui est inacceptable ; b) le risque ait été réduit au niveau le plus faible que l’on puisse raisonnablement atteindre ; c) les avantages du système ou des changements proposés soient suffisants pour justifier l’acceptation

du risque. Note.— Pour qu’un risque soit classé comme tolérable, il faut qu’il satisfasse aux trois critères susmentionnés. 4.2.6 Si des mesures susceptibles d’entraîner une réduction supplémentaire du risque sont identifiées et que leur application demande peu d’efforts ou de ressources, ces mesures devraient être appliquées même à un risque classé comme acceptable (tolérable). 4.2.7 L’acronyme ALARP (as low as reasonably practicable) est utilisé pour décrire un risque qui a été réduit au niveau le plus faible que l’on puisse raisonnablement atteindre. Lorsque l’on détermine « ce que l’on peut raisonnablement atteindre » dans ce contexte, il faut tenir compte tant de la faisabilité technique de la réduction supplémentaire du risque que du coût, ce qui peut nécessiter une étude coûts-avantages. 4.2.8 Montrer que le risque d’un système est le plus faible que l’on puisse raisonnablement atteindre signifie que toute réduction supplémentaire du risque est soit irréalisable soit beaucoup trop coûteuse. Toutefois, il faut se rappeler que quand un individu ou la société « accepte » un risque, cela ne signifie pas que ce risque ait été éliminé. Un certain niveau de risque subsiste mais l’individu ou la société a reconnu que ce risque résiduel était suffisamment faible pour que les avantages l’emportent sur le risque. 4.2.9 Ces concepts sont illustrés sous forme de diagramme dans le triangle de l’acceptabilité du risque (TOR, Tolerability of Risk) à la Figure 4-1. (Dans cette figure, le degré de risque est représenté par la largeur du triangle.) 4.2.10 Le Chapitre 6 contient de plus amples indications sur la gestion des risques.

4.3 DISTINCTION ENTRE ACCIDENTS ET INCIDENTS 4.3.1 Les définitions des accidents et des incidents telles qu’elles figurent dans l’Annexe 13 peuvent se résumer comme suit : a) Un accident est un événement se produisant lors de l’utilisation d’un aéronef et entraînant les

conséquences suivantes : 1) un décès ou une blessure grave ; 2) des dommages considérables pour l’aéronef, qui s’accompagnent d’une rupture structurelle ou

nécessitent une réparation importante de l’aéronef ; 3) la disparition de l’aéronef ou sa totale inaccessibilité.

Page 47: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-3

b) Un incident est un événement, autre qu’un accident, lié à l’utilisation d’un aéronef, qui compromet ou pourrait compromettre la sécurité de l’exploitation. Un incident grave est un incident dont les circonstances indiquent qu’un accident à failli se produire.

4.3.2 Les définitions de l’OACI emploient le terme « événement » pour décrire un accident ou un incident. Du point de vue de la gestion de la sécurité, il est dangereux de se focaliser sur la différence entre accidents et incidents par le biais de définitions pouvant être arbitraires et restrictives. Chaque jour se produisent de nombreux incidents, qui donnent lieu ou non à l’envoi d’un compte rendu au service d’enquête, mais qui sont quasiment des accidents — et font souvent courir des risques importants. Parce qu’ils n’ont occasionné aucune blessure, ou pas ou peu de dommages, de tels incidents peuvent ne pas faire l’objet d’une enquête, ce qui est regrettable car l’enquête sur un incident peut donner plus de résultats en termes d’identification des dangers que celle qui porte sur un accident. La différence entre un accident et un incident peut simplement être due au hasard. En effet, un incident peut être considéré comme un événement indésirable qui, dans des circonstances légèrement différentes, aurait pu causer des lésions corporelles ou des dommages matériels et aurait donc pu être classé parmi les accidents.

4.4 CAUSALITÉ DES ACCIDENTS 4.4.1 La manifestation la plus probante d’un non-respect des consignes de sécurité d’un système est l’accident. Puisque la gestion de la sécurité vise à réduire la probabilité et les conséquences des accidents, il est primordial de comprendre les causes des accidents et des incidents pour appréhender la gestion de la sécurité. Les accidents et les incidents étant étroitement liés, on n’essaie pas de distinguer les causes des accidents de celles des incidents.

Figure 4-1. Triangle de l’acceptabilité du risque (TOR)

Inacceptable

Tolérable(ALARP)

Acceptable

Risque

Risquenégligeable

Page 48: 9859 MANUEL SMS

4-4 Manuel de gestion de la sécurité (MGS)

Conception traditionnelle de la causalité des accidents 4.4.2 Après un accident grave, les questions suivantes peuvent être posées :

a) Comment et pourquoi des membres du personnel compétents ont-ils commis les erreurs ayant entraîné l’accident ?

b) Semblable situation pourrait-elle se reproduire ?

4.4.3 Traditionnellement, les enquêteurs examinent un enchaînement d’événements ou de circons-tances qui, à terme, mènent quelqu’un à poser un acte inapproprié qui aboutit à l’accident. Ce comportement inapproprié peut être une erreur de jugement (comme un écart par rapport aux SOP), une erreur d’inattention ou une transgression délibérée des règles.

4.4.4 Dans cette optique traditionnelle, l’enquête se concentrait le plus souvent sur la recherche d’une personne à qui imputer la responsabilité de l’accident (et à sanctionner). Dans le meilleur des cas, les efforts en matière de gestion de la sécurité visaient principalement à trouver des moyens de réduire le risque que se commettent de tels actes dangereux. Toutefois, les erreurs ou infractions déclenchant des accidents semblent se produire de façon aléatoire. Sans méthode particulière à appliquer, de tels efforts de gestion de la sécurité peuvent se révéler inefficaces pour réduire ou éliminer des événements aléatoires.

4.4.5 L’analyse des données d’un accident révèle trop souvent que la situation précédant l’accident était « mûre pour un accident ». Il se peut même que des personnes sensibilisées à la sécurité aient dit que ce n’était qu’une question de temps avant que ces circonstances ne débouchent sur un accident. Lorsque l’accident se produit, ce sont trop souvent des membres du personnel en bonne santé, qualifiés, expéri-mentés, motivés et bien équipés qui s’avèrent avoir commis des erreurs ayant provoqué l’accident. Il se peut qu’ils aient (de même que leurs collègues) commis ces erreurs ou utilisé ces pratiques dangereuses de nombreuses fois auparavant sans conséquences néfastes. En outre, certaines des conditions dangereuses dans lesquelles ils travaillaient étaient peut-être présentes depuis des années sans, ici non plus, causer d’accident. Autrement dit, une part de hasard est présente.

4.4.6 Parfois, ces conditions dangereuses sont la conséquence de décisions prises par les dirigeants : ceux-ci ont reconnu les risques mais d’autres priorités imposaient un arbitrage. De fait, le personnel de première ligne travaille fréquemment dans un contexte défini par des facteurs d’organisation et de gestion sur lesquels il n’a aucune prise. Ce personnel n’est qu’une des composantes d’un système plus vaste.

4.4.7 Pour être efficaces, les systèmes de gestion de la sécurité (SGS) requièrent une autre façon d’appréhender les causes des accidents, une conception qui se base sur l’examen du contexte (c.-à-d. du système) global dans lequel les personnes travaillent.

Conception moderne de la causalité des accidents 4.4.8 Selon la conception moderne, pour qu’un accident se produise, il faut qu’il y ait convergence de facteurs favorables, dont chacun est nécessaire mais pas suffisant en soi pour percer les défenses du système. D’importantes pannes de matériel ou des erreurs commises par le personnel d’exploitation sont rarement la cause unique de défaillances des dispositifs de sécurité. Ces failles sont souvent dues à des défaillances humaines lors de la prise de décision. Ces failles peuvent résulter soit de défaillances actives au niveau opérationnel, soit de conditions latentes facilitant l’ouverture d’une brèche dans les moyens de défense inhérents au système. La plupart des accidents résultent de conditions tant actives que latentes.

4.4.9 La Figure 4-2 représente un modèle de causes d’accidents qui aide à comprendre l’interaction entre les facteurs organisationnels et les facteurs de gestion (c.-à-d. les facteurs du système) dans les

Page 49: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-5

Figure 4-2. Modèle d’enchaînement causal menant à un accident

(D’après le Professeur James Reason) causes des accidents. Divers « moyens de défense » sont intégrés dans le système aéronautique afin de le protéger contre les performances inappropriées ou les mauvaises décisions à tous les niveaux du système (c.-à-d. le personnel de première ligne, les responsables de la supervision et la haute direction). Cet exemple montre que si les facteurs organisationnels, y compris les décisions de gestion, peuvent créer des conditions latentes, susceptibles de provoquer un accident, ils peuvent également jouer un rôle dans les moyens de défense du système. 4.4.10 Les erreurs et les infractions ayant un effet négatif immédiat peuvent être considérées comme des actes dangereux, ceux-ci étant généralement associés au personnel de première ligne (pilotes, ATCO, AME, etc.) Ces actes dangereux peuvent percer les diverses défenses mises en place par la direction de la compagnie, les autorités de réglementation, etc., afin de protéger le système aéronautique, et peuvent ainsi provoquer un accident. Ils peuvent être le résultat d’erreurs normales ou de transgressions délibérées des procédures et des pratiques prescrites. Le modèle reconnaît que dans l’environnement de travail, de nombreuses circonstances génératrices d’erreurs ou d’infractions peuvent affecter le comportement des individus ou de l’équipe. 4.4.11 Ces actes dangereux sont commis dans un contexte opérationnel comportant des conditions dangereuses latentes. Une condition latente est le résultat d’une action ou d’une décision nettement antérieure à un accident. Ses conséquences peuvent prendre beaucoup de temps à se manifester. Prises séparément, ces conditions latentes ne sont généralement pas néfastes puisqu’elles ne sont même pas perçues comme des défaillances. 4.4.12 Les conditions dangereuses latentes peuvent ne se manifester qu’une fois les défenses du système percées. Elles peuvent avoir été présentes dans le système bien avant un accident et sont généra-lement créées par les décideurs, les autorités de réglementation et d’autres personnes très éloignées dans

Accident

RésultatMoyensde défense

Équipage/Équipe

Erreurset

infractions

Conditionsgénératricesd’erreurs etd’infractions

Lieu de travail

Décisionsorganisationnelles

et de gestion

Organisation

Défenses mises en place parle système aéronautique

Moyensde défense

Page 50: 9859 MANUEL SMS

4-6 Manuel de gestion de la sécurité (MGS)

le temps et dans l’espace de l’accident. Le personnel d’exploitation de première ligne peut « hériter » des défauts du système, comme ceux dus à du mauvais matériel ou à une mauvaise conception des tâches, à des objectifs contradictoires (par ex. ponctualité du service par opposition à la sécurité), à une organisation déficiente (par ex. des communications internes médiocres) ou à des décisions de gestion inappropriées (par ex. le report d’une tâche de maintenance). Une gestion efficace de la sécurité vise à identifier et à atténuer ces conditions dangereuses latentes dans tout le système plutôt qu’à mener des efforts localisés en vue de réduire au minimum les actes dangereux posés par des individus. De tels actes ne sont peut-être que les symptômes de problèmes de sécurité, non pas les causes. 4.4.13 Même dans les organisations les mieux gérées, c’est auprès des décideurs qu’il faut chercher l’origine de la plupart des conditions dangereuses latentes. Ces décideurs peuvent avoir des opinions préconçues et ont des limites humaines normales ; ils sont soumis à des contraintes très réelles de temps, de budget, de politique, etc. Comme certaines de ces décisions dangereuses sont inévitables, il faut prendre des mesures pour les détecter et limiter leurs conséquences négatives. 4.4.14 Les décisions potentiellement erronées prises par les cadres hiérarchiques peuvent prendre la forme de procédures inadéquates, de mauvaise planification ou de non-prise en compte de dangers identi-fiables. Elles peuvent être la cause de connaissances et de compétences inadaptées ou engendrer des procédures d’exploitation inappropriées. Les conditions génératrices d’erreurs ou d’infractions sont fonction de la qualité du travail des cadres hiérarchiques et de l’organisation dans son ensemble. Avec quel degré d’efficacité, par exemple, les cadres hiérarchiques fixent-ils des objectifs de travail réalistes, organisent-ils les tâches et les ressources, gèrent-ils les affaires courantes, assurent-ils la communication interne et externe ? Les décisions potentiellement erronées prises par la direction de la compagnie et les autorités de réglementation sont trop souvent dues à un manque de ressources. Or, renoncer aux coûts du renforcement de la sécurité du système peut faciliter la survenance d’accidents suffisamment coûteux pour provoquer la faillite de l’exploitant.

Incidents : précurseurs des accidents 4.4.15 Quel que soit le modèle de causalité des accidents utilisé, il existe habituellement des signes avant-coureurs manifestes précédant l’accident. Cependant, bien trop souvent, ces signes n’apparaissent que rétrospectivement. Des conditions dangereuses latentes peuvent avoir été présentes au moment de l’événement. L’identification et la validation de ces conditions dangereuses latentes requièrent une analyse des risques objective et approfondie. Bien qu’il soit important d’enquêter de façon approfondie sur les accidents faisant un nombre élevé de victimes, ce n’est peut-être pas le meilleur moyen pour identifier des carences en matière de sécurité. Il faut veiller à ce que l’aspect émotionnel (souvent prédominant dans les médias lorsque les pertes humaines sont lourdes) ne nuise pas à une analyse rationnelle des risques associés aux conditions dangereuses latentes en aviation. Même si les enquêtes sur les accidents sont importantes pour identifier les dangers, elles constituent une méthode réactive et onéreuse d’amélioration de la sécurité. La règle 1/600 4.4.16 En 1969, la recherche en matière de sécurité du travail a montré que pour 600 rapports d’événements sans blessure ni dommages matériels, on observe : • 30 incidents avec dommages matériels, • 10 accidents avec blessures graves, • 1 accident où une personne est très grièvement ou mortellement blessée.

Page 51: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-7

4.4.17 Comme le montre le rapport 1-10-30-600 présenté à la Figure 4-3, concentrer uniquement les efforts d’enquête sur les rares événements entraînant blessures graves ou dommages matériels importants revient à gaspiller des opportunités. Les facteurs contribuant à provoquer de tels accidents peuvent être présents dans des centaines d’incidents et pourraient être identifiés avant que des blessures graves ou des dommages importants ne se produisent. Une gestion efficace de la sécurité exige que le personnel et la direction identifient et analysent les dangers avant que ceux-ci n’entraînent des accidents. 4.4.18 Comparés aux accidents d’aviation, les incidents d’aviation provoquent en général des blessures et des dommages matériels moins importants et sont dès lors moins médiatisés. En principe, davantage d’informations devraient être disponibles pour de tels événements (par ex. témoins directs et enregistreurs de bord intacts). En outre, sans la menace de poursuites importantes en dommages et intérêts, l’enquête se passe en général dans un climat moins conflictuel. Il devrait ainsi être plus aisé de comprendre pourquoi les incidents se sont produits et également comment les moyens de défense existants les ont empêchés de devenir des accidents. Idéalement, on devrait pouvoir identifier toutes les carences sous-jacentes en matière de sécurité et prendre des mesures préventives afin de remédier à ces conditions dangereuses avant qu’un accident ne se produise.

4.5 CONTEXTE DES ACCIDENTS ET DES INCIDENTS 4.5.1 Les accidents et les incidents surviennent quand plusieurs circonstances et conditions déter-minées sont réunies. Celles-ci sont notamment liées à l’aéronef et à d’autres équipements, aux conditions

Figure 4-3. La règle 1/600

1

10

30

600

Accident mortel

Accidentsgraves

Accidents

Incidents

Page 52: 9859 MANUEL SMS

4-8 Manuel de gestion de la sécurité (MGS)

météorologiques, aux services d’aéroport et de vol ainsi qu’à l’environnement opérationnel au sein de la société, aux réglementations en vigueur et au climat régnant dans l’industrie aéronautique. Elles englobent aussi les changements et les combinaisons de comportements humains. À tout moment, certains de ces facteurs peuvent converger de manière à créer des conditions susceptibles de provoquer un accident. Il est fondamental pour la gestion de la sécurité de comprendre le contexte dans lequel se produisent les accidents. Parmi les principaux facteurs qui déterminent un contexte favorable aux accidents et aux incidents on peut citer la conception du matériel, les infrastructures d’appui, les facteurs humains et culturels, la culture de sécurité de l’entreprise et les facteurs de coûts. Tous ces facteurs sont évoqués dans cette section sauf les facteurs de coûts, qui sont abordés à la section 4.8.

Conception du matériel 4.5.2 La conception du matériel (et des tâches) est essentielle à la sécurité de l’exploitation aérienne. Pour simplifier, le concepteur doit répondre à des questions telles que : a) Le matériel fonctionne-t-il comme prévu ? b) Le matériel dispose-t-il d’une bonne interface utilisateur ? Est-il convivial ? c) Le matériel est-il adapté à l’espace imparti ? 4.5.3 Du point de vue de l’utilisateur, le matériel doit « fonctionner comme prévu ». Sa conception ergonomique doit réduire le risque d’erreurs (et leurs conséquences) au minimum. Tous les commutateurs sont-ils accessibles ? L’utilisation est-elle intuitive ? Les cadrans et les affichages sont-ils adaptés à toutes les conditions d’utilisation ? Le matériel est-il résistant aux erreurs ? (Par ex., « Êtes-vous certain de vouloir supprimer ce fichier? ») 4.5.4 Le concepteur doit également penser à la personne chargée de la maintenance. Il faut prévoir suffisamment de place pour qu’une personne de force normale puisse, dans les limites de la portée de ses mouvements, avoir accès au matériel pour en effectuer la maintenance prévue dans des conditions de travail normales. La conception doit aussi prévoir des retours d’informations adéquats pour signaler un assemblage incorrect. 4.5.5 Face aux progrès de l’automatisation, les considérations relatives à la conception gagnent encore en importance. Qu’il s’agisse du pilote dans son poste de pilotage, des ATCO à leurs consoles ou de l’AME utilisant du matériel de diagnostic automatisé, le nombre de nouvelles possibilités d’erreurs humaines a considérablement augmenté. Bien que le renforcement de l’automatisation ait réduit l’éventualité de nombreux types d’accidents, les directeurs de la sécurité sont aujourd’hui confrontés à de nouveaux défis générés par cette automatisation, comme un manque de conscience de la situation et l’ennui.

Infrastructure d’appui 4.5.6 Du point de vue de l’exploitant ou du fournisseur de services, pour garantir une exploitation sûre des aéronefs, il est indispensable de disposer d’une infrastructure d’appui adaptée et donc de pouvoir compter, entre autres, sur une performance adéquate de l’État en matière de : a) délivrance de licences au personnel ; b) certification des aéronefs, des exploitants, des fournisseurs de services et des aérodromes ;

Page 53: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-9

c) garantie de la fourniture des services requis ; d) enquête sur les accidents et les incidents ; e) organisation de la supervision de la sécurité opérationnelle. 4.5.7 Du point de vue du pilote, l’infrastructure d’appui couvre notamment : a) un aéronef en bon état de navigabilité et convenant au type d’exploitation ; b) des services de communication, de navigation et de surveillance (CNS) adaptés et fiables ; c) des services d’aérodrome, d’escale et de planification des vols adaptés et fiables ; d) un soutien effectif de l’organisation mère en ce qui concerne la formation initiale et périodique,

l’établissement des horaires, le système de régulation des vols ou de surveillance des vols, etc. 4.5.8 Un ATCO se soucie des éléments suivants : a) la disponibilité de matériel CNS en bon état de marche et convenant pour la tâche opérationnelle

concernée ; b) l’existence de procédures efficaces permettant de s’occuper de manière sûre et rapide des aéronefs ; c) l’apport du soutien efficace de l’organisation mère en ce qui concerne la formation initiale et

périodique, l’établissement des horaires de travail et les conditions générales de travail.

Facteurs humains1,2 4.5.9 Dans un secteur de technologie de pointe comme l’aviation, la résolution des problèmes s’intéresse souvent à la technologie. Cependant, les rapports sur les accidents ont montré à maintes reprises qu’au moins trois accidents sur quatre sont dus à des erreurs de performance commises par des individus apparemment en bonne santé et possédant les qualifications appropriées. Dans la course aux nouvelles technologies, il est fréquent que les personnes devant s’adapter au matériel et l’utiliser soient trop peu prises en compte. 4.5.10 On constate que certains problèmes provoquant ces accidents ou y contribuant trouvent leur origine dans une mauvaise conception du matériel ou des procédures, ou encore dans une formation ou des consignes d’utilisation inadéquates. Quelle que soit cette origine, il est essentiel, pour comprendre la gestion de la sécurité, de connaître les capacités de performance, les limites et les comportements normaux de l’homme dans le contexte de l’exploitation. Il ne convient plus d’adopter une approche intuitive des facteurs humains. 4.5.11 L’élément humain est la composante la plus souple et la plus adaptable du système aéronau-tique mais elle est également la plus vulnérable face aux influences pouvant avoir des effets négatifs sur ses performances. Comme la majorité des accidents résultent de performances humaines loin d’être

1. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806), Chapitre 2. 2. Voir le Manuel d’instruction sur les facteurs humains (Doc 9683) pour un tratiement plus détaillé des aspects théoriques et pratiques

des facteurs humains.

Page 54: 9859 MANUEL SMS

4-10 Manuel de gestion de la sécurité (MGS)

optimales, on a eu tendance à ne les attribuer qu’à des erreurs humaines. Toutefois, l’expression « erreur humaine » n’est pas d’un grand secours dans la gestion de la sécurité. Bien qu’il signale où la défaillance a eu lieu dans le système, il ne donne aucune indication quant aux raisons de cette défaillance. 4.5.12 Une erreur attribuée à des êtres humains peut avoir été induite par la conception ou avoir été encouragée par une formation ou du matériel inadéquats, des procédures mal conçues ou une présentation médiocre des listes de vérification ou des manuels. En outre, l’expression « erreur humaine » permet de dissimuler les facteurs sous-jacents devant être mis en évidence si l’on veut éviter des accidents. L’approche moderne en matière de sécurité considère l’erreur humaine comme un point de départ plutôt que comme un point d’arrivée. Les initiatives concernant la gestion de la sécurité cherchent des moyens de prévenir les erreurs humaines qui pourraient menacer la sécurité et de réduire au minimum les conséquences négatives qu’auront sur la sécurité les erreurs qui se produiront inévitablement. Pour cela, il faut bien comprendre le contexte d’exploitation dans lequel les êtres humains commettent des erreurs (c.-à-d. comprendre les facteurs et les conditions affectant la performance humaine sur le lieu de travail). Le modèle SHEL 4.5.13 Un ensemble complexe de facteurs et de conditions étroitement liés, pouvant avoir des réper-cussions sur les performances humaines, sont généralement associés au lieu de travail. Le modèle SHEL (parfois appelé modèle SHELL) peut être utilisé pour permettre de visualiser les liens existant entre les divers éléments du système aéronautique. Ce modèle constitue une amélioration du système « homme-machine-environnement » traditionnel. Il met l’accent sur l’être humain et sur ses interactions avec les autres éléments du système aéronautique. Le nom du modèle SHEL est tiré des initiales de ses quatre composantes : a) Liveware (L) = être humain (élément humain sur le lieu de travail), b) Hardware (H) = matériel (machines et équipement), c) Software (S) = documentation/aides (procédures, formation, support, etc.), d) Environment (E) = environnement (les conditions d’exploitation dans lesquelles le reste du

système L-H-S doit fonctionner). 4.5.14 La Figure 4-4 représente le modèle SHEL. Ce schéma modulaire vise à faire comprendre les rudiments des liens entre les facteurs humains et les autres facteurs sur le lieu de travail. 4.5.15 Être humain. Au centre du modèle SHEL se trouvent les personnes en première ligne des opérations. Bien que les êtres humains aient de remarquables facultés d’adaptation, ils sont sujets à de considérables variations de performance. Ils ne sont pas standardisés comme l’est le matériel, ce qui explique que les bords de ce cube ne soient pas simples et rectilignes. Les êtres humains n’interagissent pas de façon parfaite avec les différents éléments du monde dans lequel ils travaillent. Afin d’éviter les tensions pouvant compromettre la performance humaine, il faut comprendre les effets des irrégularités se produisant aux interfaces entre les divers cubes du modèle SHEL et le cube central « Être humain ». Si l’on veut prévenir les tensions dans le système, il est impératif d’assurer une concordance minutieuse entre les humains et les autres composantes. 4.5.16 Plusieurs facteurs permettent d’expliquer les irrégularités des faces du cube « Être humain ». Les facteurs les plus importants affectant la performance individuelle sont notamment : a) les facteurs physiques : ils englobent les capacités physiques de la personne pour s’acquitter des

tâches requises (par ex. force, taille, portée des mouvements, vision et audition) ;

Page 55: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-11

Figure 4-4. Le modèle SHEL

b) les facteurs physiologiques : ils englobent les facteurs qui influencent les processus physiques

internes de l’être humain et peuvent compromettre les performances physiques et cognitives d’une personne. Exemples : la disponibilité en oxygène, l’état de santé et de forme physique général, la maladie, le tabagisme, la consommation de drogue ou d’alcool, le stress personnel, la fatigue ou une grossesse ;

c) les facteurs psychologiques : ils englobent les facteurs influant sur la capacité psychologique de

la personne à faire face à toutes les situations pouvant se présenter. Le niveau de formation, de connaissances et d’expérience ainsi que la charge de travail y contribuent. L’état de santé psycholo-gique englobe la motivation et le sens critique, l’attitude vis-à-vis des comportements dangereux, la confiance en soi et le stress ;

d) les facteurs psychosociaux : ils englobent tous les facteurs externes du contexte social de l’individu

qui font peser des pressions sur celui-ci dans son environnement professionnel et personnel. Ce sont par ex. un différend avec un supérieur hiérarchique, des conflits sociaux au sein de l’entreprise, un décès dans la famille, des problèmes financiers personnels ou d’autres tensions familiales.

4.5.17 Le modèle SHEL est particulièrement utile pour visualiser les interfaces entre les divers éléments du système aéronautique. Il s’agit notamment des interfaces suivantes : • Humain-Matériel (L-H). L’interface entre l’homme et la machine (ergonomie) est celle qui est le

plus souvent envisagée lorsqu’on parle de facteurs humains. Elle détermine comment l’homme interagit avec le milieu physique de travail et concerne, par ex. la conception de sièges adaptés aux caractéristiques du corps humain en position assise, des affichages répondant aux caractéristiques

H

L

ELSS = Software = Documentation

H = Hardware = MatérielE = EnvironnementL = Liveware = Être humain

S =S =

(procédures, symboles, logiciels, etc.)

Dans ce modèle, une bonne concordance entre les cubes (interfaces) est tout aussi importante que les caractéristiques des cubes eux-mêmes. Une inadéquation peut être source d’erreur humaine.

Page 56: 9859 MANUEL SMS

4-12 Manuel de gestion de la sécurité (MGS)

sensorielles de l’usager et à ses possibilités de traitement de l’information, des commandes bien étudiées en termes de mouvements à faire, de codage et d’emplacement. Toutefois, l’homme a naturellement tendance à s’adapter aux décalages entre L et H. Cette tendance peut masquer des carences graves qui n’apparaissent qu’après un accident.

• Humain-Documentation (L-S). L’interface L-S est la relation entre la personne et les systèmes de

soutien se trouvant sur le lieu de travail, par ex. les règlements, les manuels, les listes de vérifi-cation, les publications, les SOP et les logiciels informatiques. Elle touche à des questions relatives à la « convivialité », comme l’actualité, la précision, le format et la présentation, le vocabulaire, la clarté et la symbologie.

• Humain-Humain (L-L). L’interface L-L est la relation entre une personne et les autres individus sur

le lieu de travail. Les équipages de conduite, les ATCO, les AME et d’autres membres du personnel d’exploitation ont un fonctionnement de groupe, et les influences du groupe jouent un rôle déter-minant dans les performances et le comportement humains. Cette interface englobe le leadership, la coopération, le travail d’équipe et les interactions des personnalités. L’apparition de la gestion des ressources en équipage (CRM) a suscité un grand intérêt pour cette interface. La formation à la CRM et son extension aux ATS (gestion des ressources en équipe — TRM) et à la maintenance (gestion des ressources de maintenance — MRM) encouragent le travail en équipe et se concentrent sur la gestion d’erreurs humaines normales. Les relations entre le personnel et la direction se situent également à cette interface, tout comme la culture d’entreprise, le climat de l’entreprise et les pressions opérationnelles qu’exercent la compagnie, tous ces éléments pouvant avoir une influence considérable sur la performance humaine.

• Humain-Environnement (L-E). Cette interface concerne la relation qui existe entre l’individu et les

environnements externe et interne. L’environnement interne du lieu de travail comporte des consi-dérations physiques telles la température, la lumière ambiante, le bruit, les vibrations et la qualité de l’air. L’environnement externe (pour les pilotes) comprend, entre autres, la visibilité, les turbulences et le relief. De plus en plus, l’environnement de travail de l’aviation de 24 heures, 7 jours par semaine, entraîne des troubles des rythmes biologiques normaux, par ex. des rythmes du sommeil. En outre, le système aéronautique fonctionne dans un contexte de contraintes politiques et écono-miques importantes qui ont à leur tour des incidences sur l’environnement général de l’entreprise. Il s’agit ici de facteurs tels que le caractère adéquat des installations fixes et de l’infrastructure d’appui, la situation financière locale et l’efficacité de la réglementation. Tout comme l’environnement de travail immédiat peut générer des pressions poussant à prendre des raccourcis, une infrastructure de soutien inadaptée peut aussi compromettre la qualité de la prise de décision.

4.5.18 Il faut veiller à ce que des problèmes (des dangers) ne « passent pas à travers les mailles du filet » au niveau des interfaces. La plupart des irrégularités de ces interfaces peuvent être gérées, par ex. : a) Le concepteur peut garantir la fiabilité des performances du matériel sous certaines conditions

d’exploitation. b) Au cours du processus de certification, l’autorité de réglementation peut définir les conditions dans

lesquelles le matériel peut être utilisé. c) La direction de l’organisation peut préciser les SOP et offrir une formation initiale et périodique à

une utilisation sûre du matériel. d) Les utilisateurs du matériel peuvent veiller à entretenir leur connaissance de l’utilisation sûre de ce

matériel et leur maniement assuré de ce même matériel dans toutes les conditions d’exploitation requises.

Page 57: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-13

Facteurs culturels3 4.5.19 La culture influence les valeurs, les croyances et les comportements que nous partageons avec les autres membres de nos divers groupes sociaux. La culture sert à nous unir en tant que membres de groupes et à nous indiquer comment nous comporter dans les situations tant habituelles qu’inhabituelles. Certains considèrent la culture comme « une programmation collective de l’esprit ». Il s’agit de la dynamique sociale complexe qui fixe les règles du jeu, c’est-à-dire le cadre de toutes nos interactions interpersonnelles. La culture est le résultat de la façon dont les personnes conduisent leurs affaires dans un milieu social déterminé. Elle offre un contexte dans lequel les choses se produisent. Pour la gestion de la sécurité, une bonne compréhension de ce contexte appelé culture constitue un facteur déterminant important de la performance humaine et de ses limites. 4.5.20 Dans le monde occidental, l’approche de la gestion est souvent basée sur une rationalité détachée de toute émotion, considérée comme reposant sur des bases scientifiques. Une telle approche présuppose que les cultures humaines sur le lieu de travail ressemblent aux lois de la physique et de la mécanique, dont l’application est universelle. Cette hypothèse reflète un préjugé culturel de l’Occident. 4.5.21 La sécurité de l’aviation doit transcender les frontières nationales et toutes les cultures. Au niveau mondial, l’industrie aéronautique a atteint un niveau remarquable de normalisation entre les différents types d’avions ainsi qu’entre les différents pays et peuples. Toutefois, il n’est pas difficile de détecter des différences dans la manière dont les personnes réagissent dans des situations identiques. Quand des personnes de ce secteur entrent en contact (interface Humain-Humain [L-L]), leurs échanges sont influencés par leurs origines culturelles diverses. Chaque culture a sa manière de résoudre des problèmes courants. 4.5.22 Les organisations ne sont pas imperméables aux influences culturelles. Le comportement d’une organisation est exposé à ces influences à tous les niveaux. Les trois niveaux de culture suivants sont pertinents en matière d’initiatives de gestion de la sécurité : a) La culture nationale reconnaît et identifie les caractéristiques nationales et les systèmes de

valeurs des différents pays. Par ex., des personnes de nationalités différentes n’auront pas la même façon de réagir à l’autorité, de faire face à l’incertitude et à l’ambiguïté, ni d’exprimer leur individualité. Elles ne sont pas toutes à l’écoute des besoins collectifs du groupe (équipe ou organisation) de la même manière. Dans les cultures collectivistes, l’inégalité des statuts et la déférence envers les chefs sont acceptées. De tels facteurs peuvent avoir des répercussions sur la propension des individus à remettre en question des décisions ou des mesures — ce qui est important dans la CRM. Une affectation du personnel mélangeant les cultures nationales peut également avoir une influence sur les performances de l’équipe en générant des malentendus.

b) La culture professionnelle reconnaît et identifie les comportements et les caractéristiques de

différents groupes professionnels (par ex. le comportement typique des pilotes par rapport à celui des ATCO ou des AME). Par la sélection du personnel, leurs études et leur formation, leur expérience acquise en cours d’emploi, etc., les spécialistes (par ex. médecins, avocats, pilotes et ATCO) ont tendance à adopter le système de valeurs de leurs pairs et à développer des modèles de comportement qui sont en accord avec ceux de leurs pairs ; ils apprennent « à agir et parler » de la même façon. Habituellement, ils partagent la même fierté d’exercer leur profession et sont motivés pour y exceller. D’un autre côté, ils ont souvent un sentiment d’invulnérabilité personnelle ; ils pensent, par ex., que leurs problèmes personnels n’influent pas sur leur performance, et qu’ils ne commettent pas d’erreurs dans des situations de stress intense.

3. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806).

Page 58: 9859 MANUEL SMS

4-14 Manuel de gestion de la sécurité (MGS)

c) La culture d’organisation reconnaît et identifie le comportement et les valeurs des différentes organisations (par ex. le comportement des membres d’une entreprise par rapport à celui des membres d’une autre, ou le comportement du secteur public par rapport à celui du secteur privé). Les organisations constituent un creuset de cultures nationales et professionnelles. Dans une compagnie aérienne, par ex., les pilotes peuvent avoir des parcours professionnels différents (expérience militaire ou civile et vols à bord d’un avion de brousse ou d’un avion de transport de troisième niveau par rapport à la progression au sein d’une grande compagnie aérienne). Ils peuvent également venir de cultures d’organisation diverses à la suite de fusions et acquisitions ou de plans de licenciement.

Dans le secteur de l’aviation, les membres du personnel éprouvent généralement un sentiment d’appartenance. Leur comportement quotidien est influencé par les valeurs de leur organisation. L’organisation reconnaît-elle le mérite ? Favorise-t-elle les initiatives individuelles ? Encourage-t-elle la prise de risques ? Tolère-t-elle des transgressions des SOP ? Promeut-elle une communication franche et réciproque, etc. ? L’organisation représente donc un facteur déterminant important du comportement des membres du personnel.

La marge de manœuvre la plus large pour créer et entretenir une culture de la sécurité se trouve au niveau de l’organisation. C’est ce que l’on appelle communément la culture d’entreprise de la sécurité, abordée ci-dessous.

4.5.23 Les trois milieux culturels décrits ci-dessus déterminent, par ex., les relations hiérarchiques, la manière dont les informations sont échangées, la façon dont le personnel fera face au stress, comment telles technologies seront adoptées, l’attitude face à l’autorité, la manière dont les organisations réagiront aux erreurs humaines (par ex. sanctionner les coupables ou tirer des leçons de l’expérience). La culture jouera un rôle dans l’application de l’automatisation, l’élaboration des procédures (SOP), la préparation, la présentation et la réception de la documentation, la mise au point et le déroulement de la formation, l’attribution des tâches, les relations entre les pilotes et le contrôle du trafic aérien (ATC), les relations avec les syndicats, etc. En d’autres termes, la culture exerce une influence sur pratiquement tous les types d’interactions entre les personnes. En outre, les considérations culturelles se fraient même un chemin dans la conception du matériel et des outils. La technologie peut sembler culturellement neutre mais elle reflète les partis pris des constructeurs (par ex. le parti pris de la langue anglaise, implicite dans la plupart des logiciels du monde entier). Cependant, il n’existe pas de bonne ou de mauvaise culture ; les cultures sont ce qu’elles sont et toutes ont leurs forces et faiblesses respectives.

Culture d’entreprise de la sécurité4

4.5.24 Comme mentionné ci-dessus, de nombreux facteurs créent le contexte du comportement humain sur le lieu de travail. La culture d’organisation ou d’entreprise pose les limites du comportement humain accepté sur le lieu de travail en fixant les normes et les limites comportementales. La culture d’organisation ou d’entreprise constitue donc une pierre angulaire du processus décisionnel de la direction et du personnel : « Voilà comment nous travaillons ici. »

4.5.25 La culture de la sécurité est un sous-produit naturel de la culture d’entreprise. L’attitude de l’entreprise en matière de sécurité déteint sur l’approche collective du personnel vis-à-vis de la sécurité. La culture de la sécurité se compose de convictions, de pratiques et d’attitudes communes. Le ton en est donné et entretenu par les paroles et les actes de la haute direction. La culture d’entreprise de la sécurité est donc l’ambiance créée par la direction, qui façonne l’attitude des travailleurs vis-à-vis de la sécurité.

4. Voir les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806) pour un examen plus complet de la

culture de la sécurité.

Page 59: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-15

4.5.26 Cette culture de la sécurité est influencée par des facteurs tels que : a) les priorités et les mesures adoptées par la direction ; b) les politiques et les procédures ; c) les pratiques de supervision ; d) la planification de la sécurité et les objectifs de sécurité ; e) les mesures prises en réaction à des comportements dangereux ; f) la formation et la motivation du personnel ; g) la participation du personnel ou son ralliement au projet collectif. 4.5.27 La responsabilité finale en matière de sécurité revient aux directeurs et aux cadres supérieurs de l’organisation — qu’il s’agisse d’une compagnie aérienne, d’un prestataire de services (par ex. aéroports et ATS) ou d’un organisme de maintenance agréé (OMA). La philosophie de sécurité d’une organisation est établie dès le début en fonction de la mesure dans laquelle les dirigeants acceptent la responsabilité de la sécurité des opérations et de la gestion des risques. 4.5.28 La manière dont les cadres hiérarchiques gèrent les activités quotidiennes est un facteur fondamental d’une saine culture de la sécurité. Les bonnes leçons ont-elles été tirées des expériences réelles « de première ligne » et des mesures appropriées ont-elles été prises ? Le personnel concerné est-il associé de façon constructive au processus ou se sent-il victime de mesures unilatérales prises par la direction ? 4.5.29 Les relations entre les cadres hiérarchiques et les représentants de l’autorité de réglementation sont également révélatrices de l’existence ou de l’absence d’une saine culture de la sécurité. Ces relations devraient être empreintes de courtoisie professionnelle mais avec suffisamment de distance pour ne pas compromettre l’obligation de rendre des comptes. L’ouverture mènera à de meilleures communications sur la sécurité que la stricte application des règlements. La première approche encourage un dialogue constructif tandis que la deuxième pousse à dissimuler ou à ignorer les véritables problèmes de sécurité. Culture positive de la sécurité 4.5.30 Bien que le respect de la réglementation sur la sécurité soit fondamental pour la sécurité, le point de vue actuel est qu’il faut faire beaucoup plus. Les organisations qui se contentent d’appliquer les normes minimales fixées par la réglementation ne sont pas bien placées pour identifier les problèmes de sécurité naissants. 4.5.31 Une manière efficace de promouvoir une exploitation sûre est de s’assurer que l’exploitant a développé une culture positive de la sécurité. En résumé, tous les membres du personnel doivent être responsables de la sécurité et tenir compte de son influence sur tous leurs actes. Cette façon de penser doit être ancrée tellement profondément qu’elle devient véritablement une « culture ». Toutes les décisions, qu’elles proviennent par exemple du conseil d’administration, d’un chauffeur sur l’aire de trafic ou d’un AME, doivent tenir compte des conséquences sur la sécurité. 4.5.32 Une culture positive de la sécurité doit être générée par un processus descendant. Elle repose sur un degré élevé de confiance et de respect entre le personnel et la direction. Le personnel doit être convaincu

Page 60: 9859 MANUEL SMS

4-16 Manuel de gestion de la sécurité (MGS)

qu’il sera soutenu dans toutes ses décisions prises dans l’intérêt de la sécurité. Il doit aussi comprendre que les manquements intentionnels à la sécurité mettant l’exploitation en péril ne seront pas tolérés. 4.5.33 Il existe également un haut degré d’interdépendance entre la culture de la sécurité et d’autres aspects d’un SGS. Une culture positive de la sécurité est essentielle pour qu’un SGS puisse fonctionner de manière efficace. Toutefois, la culture d’une organisation est aussi modelée par la présence d’un SGS officiel. Une organisation ne devrait donc pas attendre d’avoir fini de développer une culture de la sécurité idéale pour introduire un SGS. La culture évoluera au fur et à mesure que l’exposition à la gestion de la sécurité et l’expérience qu’on en a s’amplifieront. Signes d’une culture positive de la sécurité 4.5.34 Une culture positive de la sécurité est révélée par les caractéristiques suivantes :

a) la haute direction accorde une place primordiale à la sécurité comme élément de la stratégie de maîtrise des risques (c.-à-d. la réduction des pertes au minimum) ;

b) les décideurs et le personnel d’exploitation ont une vision réaliste des dangers à court et à long terme, inhérents aux activités de l’organisation ;

c) les dirigeants :

1) favorisent un climat où règne une attitude positive à l’égard des critiques, des commentaires et des retours d’informations en matière de sécurité provenant des niveaux inférieurs de l’organisation ;

2) n’utilisent pas leur influence pour imposer leurs opinions à leurs subordonnés ;

3) mettent en œuvre des mesures visant à maîtriser les conséquences des carences identifiées en sécurité ;

d) la haute direction favorise un environnement de travail non punitif. Certaines organisations parlent de « culture juste » au lieu d’utiliser le terme « non punitif ». Comme mentionné au § 4.5.35 alinéa d), ce terme « non punitif » ne signifie pas une immunité totale ;

e) tous les niveaux de l’organisation sont conscients de l’importance de la communication des informations pertinentes en matière de sécurité (tant à l’intérieur qu’à l’extérieur des entités) ;

f) des règles réalistes et applicables existent en ce qui concerne les dangers, la sécurité et les sources potentielles de dommages ;

g) le personnel est bien formé et comprend les conséquences des actes dangereux ;

h) la fréquence des comportements à risque est faible et il existe une éthique de sécurité décourageant de tels comportements.

4.5.35 Généralement, les cultures positives de la sécurité sont :

a) Des cultures éclairées. La direction promeut une culture où les personnes comprennent les dangers et les risques inhérents à leurs domaines d’exploitation. Le personnel se voit offrir la possibilité d’acquérir les connaissances, les compétences et l’expérience professionnelle nécessaires pour travailler en toute sécurité ; il est encouragé à identifier les menaces qui mettent en danger sa sécurité et à demander les changements nécessaires pour y remédier.

Page 61: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-17

b) Des cultures de l’apprentissage. L’apprentissage est considéré comme un processus de toute une vie plutôt que seulement comme une exigence de la formation initiale. Les personnes sont incitées à développer et à appliquer leurs propres compétences et connaissances pour améliorer la sécurité de l’organisation. Le personnel est mis au courant des questions de sécurité par la direction et les rapports de sécurité sont transmis au personnel afin que tout le monde puisse tirer les leçons de sécurité pertinentes.

c) Des cultures de compte rendu. Les directeurs et le personnel opérationnel échangent librement

des informations cruciales liées à la sécurité sans la menace de mesures punitives. C’est ce que l’on appelle fréquemment créer une culture de compte rendu au sein de l’entreprise. Le personnel est à même de rendre compte des dangers et des préoccupations liées à la sécurité lorsqu’il en prend conscience, sans embarras ou crainte de sanction ;

d) Des cultures justes. Alors qu’un environnement non punitif est fondamental pour avoir une bonne

culture de compte rendu, la définition de ce qui constitue un comportement acceptable ou non doit être connue du personnel et avoir fait l’objet d’un accord. La négligence ou les infractions délibérées ne doivent pas être tolérées par les dirigeants (même dans un environnement non punitif). Une culture juste admet que, dans certaines circonstances, il peut s’avérer nécessaire de recourir à des mesures punitives, et elle tente de définir la ligne de démarcation entre les actes ou les activités acceptables et inacceptables.

4.5.36 Le Tableau 4-1 ci-dessous résume trois réactions d’entreprises face aux questions de sécurité, allant d’une culture de la sécurité médiocre à la culture positive idéale de la sécurité en passant par l’approche indifférente ou bureaucratique (qui ne fait que respecter les exigences minimales acceptables).

Tableau 4-1. Caractéristiques de différentes cultures de la sécurité

Culture de la sécurité

Caractéristiques

Médiocre

Bureaucratique

Positive

Les informations sur les dangers sont :

supprimées ignorées délibérément

recherchées activement

Les messagers de la sécurité sont :

découragés ou sanctionnés

tolérés formés et encouragés

La responsabilité de la sécurité est :

évitée fragmentée partagée

La diffusion des informations sur la sécurité est :

découragée autorisée mais découragée

récompensée

Les défaillances conduisent à :

des dissimulations

des rectifications locales

des enquêtes et des réformes systémiques

Les nouvelles idées sont :

étouffées considérées comme de nouveaux problèmes (non des occasions)

les bienvenues

Page 62: 9859 MANUEL SMS

4-18 Manuel de gestion de la sécurité (MGS)

Responsabilité et sanction 4.5.37 Une fois qu’une enquête a identifié la cause d’un événement, le responsable est généralement connu. Habituellement, le coupable pouvait alors être désigné (et sanctionné). Tandis que la législation varie considérablement d’un État à un autre, de nombreux États concentrent toujours leurs enquêtes sur la détermination de la faute et l’attribution de la responsabilité. Pour eux, la sanction demeure un outil de sécurité essentiel.

4.5.38 Philosophiquement, cette sanction est attrayante pour plusieurs raisons, notamment pour : a) chercher à réprimer un abus de confiance ; b) protéger la société des récidivistes ; c) modifier le comportement d’un individu ; d) faire un exemple pour les autres.

4.5.39 La sanction peut avoir un rôle à jouer quand des personnes enfreignent délibérément les « règles ». On peut avancer que de telles sanctions peuvent dissuader l’auteur de l’infraction (ou d’autres dans des circonstances similaires).

4.5.40 Si l’accident est le résultat d’une erreur de jugement ou d’une défaillance technique, il est pratiquement impossible de vraiment sanctionner cette erreur. On pourrait alors modifier les processus de sélection ou de formation, ou rendre le système plus tolérant vis-à-vis de ce type d’erreur. Une sanction dans de tels cas aboutira presque certainement à deux résultats : premièrement, plus aucun rapport ne sera transmis pour ce genre d’erreurs ; deuxièmement, puisque rien n’a été fait pour remédier à la situation, le même accident pourrait se reproduire.

4.5.41 Peut-être la société a-t-elle besoin de sanctions pour rendre justice. Cependant, toute l’expé-rience montre que la sanction n’a que peu de valeur systémique sur la sécurité, voire aucune. À l’exception de cas de négligence intentionnelle avec transgression délibérée des normes, la sanction n’a qu’un effet limité en termes de sécurité.

4.5.42 Dans une grande partie de la communauté internationale de l’aviation, on voit se dégager une approche plus éclairée du rôle de la sanction. Celle-ci va en partie de pair avec une meilleure compré-hension des causes des erreurs humaines (par opposition aux infractions). Les erreurs sont désormais considérées comme le résultat d’une situation ou d’une circonstance et pas nécessairement comme leur cause. En conséquence, les dirigeants commencent à chercher à identifier les conditions dangereuses qui contribuent à l’apparition de telles erreurs. Ils commencent à comprendre que l’identification systématique des faiblesses organisationnelles et des carences en matière de sécurité est bien plus rentable pour la gestion de la sécurité que des sanctions à l’égard d’individus. (Cela ne signifie pas que ces organisations éclairées ne doivent pas prendre des mesures contre les personnes n’arrivant pas à s’améliorer après avoir reçu des conseils et/ou une formation supplémentaire.)

4.5.43 Alors que de nombreuses opérations de l’aviation choisissent cette approche positive de la gestion de la sécurité, d’autres sont plus lentes à adopter et mettre en œuvre des « politiques non punitives » efficaces. D’autres encore ont tardé à étendre leurs politiques non punitives à l’échelle de l’entreprise. (cf. les commentaires au § 4.5.35, alinéa d), concernant une culture juste.)

Page 63: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-19

4.6 ERREUR HUMAINE 4.6.1 L’erreur humaine est citée comme étant un facteur causal ou contributif dans la majorité des événements aéronautiques. Bien trop souvent, des membres compétents du personnel commettent des erreurs bien qu’ils n’aient clairement pas eu l’intention de provoquer un accident. Les erreurs ne sont pas une forme de comportement aberrant mais un sous-produit naturel de pratiquement toute activité humaine. L’erreur doit être acceptée comme un élément normal de tout système où interagissent les êtres humains et la technologie. « L’erreur est humaine ». 4.6.2 Les facteurs évoqués à la section 4.5 créent le contexte dans lequel les hommes commettent des erreurs. Étant donné les interfaces irrégulières du système de l’aviation (telles que décrites dans le modèle SHEL), les possibilités d’erreurs humaines en aviation sont énormes. Il est fondamental pour la gestion de la sécurité de comprendre comment des personnes normales commettent des erreurs. Ce n’est qu’alors que des mesures efficaces pourront être mises en œuvre pour réduire au minimum les effets des erreurs humaines sur la sécurité. 4.6.3 Même si elles ne sont pas complètement évitables, les erreurs humaines sont gérables grâce à l’application d’une meilleure technologie, de formations pertinentes et d’une réglementation et de procé-dures appropriées. La plupart des mesures de gestion des erreurs concernent le personnel de première ligne. Toutefois, la performance des pilotes, des ATCO, des AME, etc., peut être fortement influencée par des facteurs organisationnels, réglementaires, culturels et environnementaux affectant le lieu de travail. Par exemple, les processus organisationnels constituent un véritable terreau pour de nombreuses erreurs humaines prévisibles : infrastructures de télécommunication inadéquates, procédures ambiguës, planification insatis-faisante, ressources insuffisantes, budget irréaliste, qui sont en réalité autant de processus que l’organisation peut contrôler. La Figure 4-5 résume certains des facteurs contribuant aux erreurs humaines — et aux accidents.

Types d’erreur 4.6.4 Des erreurs peuvent se produire au stade de la planification ou lors de l’exécution du plan. Les erreurs de planification entraînent des fautes : soit la personne suit une procédure inadéquate pour régler un problème de routine, soit elle établit un plan d’action inapproprié pour faire face à une nouvelle situation. Même lorsque l’action prévue est appropriée, des erreurs peuvent apparaître dans l’exécution du plan. Les publications sur les facteurs humains traitant de ces erreurs d’exécution opèrent généralement une distinction entre oublis et méprises. Un oubli est une action qui n’est pas réalisée comme prévu. Elle sera donc toujours observable. Une méprise est une défaillance de la mémoire, qui peut n’être perçue que par la personne qui a eu ce trou de mémoire. Erreurs de planification (fautes) 4.6.5 Lors de la résolution de problèmes, nous recherchons intuitivement un ensemble de règles connues (SOP, démarche empirique, etc.) qui ont été utilisées auparavant et qui conviendront pour résoudre le problème en question. Les fautes peuvent survenir de deux manières : par l’application d’une règle inadaptée à la situation ou par l’application correcte d’une règle imparfaite. 4.6.6 Mauvaise application de bonnes règles. Cette erreur se produit généralement lorsqu’un opé-rateur est confronté à une situation qui présente de nombreuses similitudes avec des circonstances pour lesquelles la règle a été élaborée, mais également quelques différences considérables. Si l’opérateur ne se rend pas compte de l’importance de ces différences, il peut appliquer une règle inappropriée.

Page 64: 9859 MANUEL SMS

4-20 Manuel de gestion de la sécurité (MGS)

Figure 4-5. Facteurs contribuant à l’erreur humaine

4.6.7 Application de mauvaises règles. Cette erreur suppose le recours à une procédure qui s’était avérée efficace pas le passé, mais qui contient des lacunes non identifiées. Si une telle solution a fonctionné dans les circonstances dans lesquelles elle a été appliquée une première fois, une personne peut y recourir de manière habituelle pour résoudre ce type de problème. 4.6.8 Lorsqu’une personne ne dispose pas d’une solution toute faite fondée sur la pratique et/ou la formation, elle se base sur ses connaissances et son expérience personnelles. Il faudra inévitablement plus de temps pour élaborer une solution à un problème en utilisant cette méthode qu’en appliquant une solution basée sur une règle, puisque cette démarche fait appel à un raisonnement qui s’appuie sur la connaissance de principes de base. Des fautes peuvent se produire par manque de connaissances ou à cause d’un raisonnement erroné. Il sera particulièrement difficile pour une personne très occupée de résoudre un problème par un raisonnement basé sur les connaissances, puisque son attention sera probablement détournée du processus de raisonnement pour régler d’autres questions. La probabilité qu’une faute soit commise dans de telles circonstances est plus grande. Erreurs d’exécution (oublis et méprises) 4.6.9 Les actions du personnel expérimenté et compétent ont tendance à relever de la routine et d’une longue pratique. Elles sont réalisées de manière principalement automatique à l’exception des vérifications occasionnelles de leur déroulement. Les oublis et méprises peuvent résulter :

Culture

Formation

Facteurspersonnels

Autresfacteurs

Procédures

Conceptiondu matériel Facteurs

organisationnels

ERREURS HUMAINES

Incidents

Accidents

Page 65: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-21

a) De relâchements de l’attention. Ils sont causés par l’absence de suivi du déroulement d’une action de routine à un moment critique. Ils sont particulièrement susceptibles de se produire lorsque le plan d’action prévu ressemble à une procédure de routine, sans y être identique. Si la personne relâche son attention ou est distraite par quelque chose au moment critique où l’action diffère de la procédure habituelle, il se peut qu’elle applique la procédure de routine plutôt que celle qu’elle comptait utiliser pour le cas donné.

b) De trous de mémoire. Ils se présentent soit lorsque nous oublions ce que nous avions prévu de faire, soit lorsque nous omettons un élément dans une série d’actions planifiées.

c) D’erreurs de perception. Ce sont des erreurs d’identification. Elles se produisent quand nous pensons voir ou entendre quelque chose d’autre que l’information réelle.

Distinction entre erreurs et infractions 4.6.10 Les erreurs (qui constituent une activité humaine normale) sont clairement distinctes des infractions. Toutes deux peuvent mener à une défaillance du système. Toutes deux peuvent entraîner une situation dangereuse. La différence se trouve dans l’intention. 4.6.11 Une infraction est un acte délibéré alors qu’une erreur n’est pas intentionnelle. Prenons, par exemple, une situation dans laquelle un ATCO autorise un aéronef à descendre en traversant le niveau d’un aéronef en croisière lorsque la distance DME entre eux est de 18 NM alors que les circonstances exigent un minimum de séparation de 20 NM. Si l’ATCO s’est trompé en calculant la différence entre les distances DME communiquées par les pilotes, il s’agit d’une erreur. S’il a bien calculé la distance et autorisé l’aéronef en descente à traverser le niveau de l’aéronef en croisière en sachant que le minimum de séparation requis n’est pas respecté, il s’agit d’une infraction. 4.6.12 Certaines infractions sont le résultat de procédures imparfaites ou irréalistes, qui ont amené des personnes à élaborer des moyens de tourner la difficulté pour accomplir leur tâche. Dans de tels cas, il est très important qu’elles soient signalées dès qu’elles sont observées afin que l’on puisse rectifier les procédures. Quoi qu’il arrive, ces infractions ne devraient pas être tolérées. Lors de certains accidents, on a constaté qu’une culture d’entreprise qui tolérait, voire encourageait, les raccourcis plutôt que le respect des procédures officielles avait contribué à l’accident.

Maîtrise de l’erreur humaine 4.6.13 Heureusement, peu d’erreurs entraînent des conséquences néfastes et encore moins des accidents. Généralement, les erreurs sont identifiées et corrigées sans résultat indésirable, comme en cas de réglage incorrect d’une fréquence ou du curseur d’altitude. Sachant que les erreurs font partie du comportement humain, l’élimination totale des erreurs humaines constituerait un objectif irréaliste. La difficulté n’est alors pas de simplement prévenir les erreurs mais d’apprendre à gérer en toute sécurité celles qui sont inévitables. 4.6.14 Trois stratégies de gestion des erreurs dans la maintenance des aéronefs sont brièvement exposées ci-dessous5.

a) Les stratégies de réduction de l’erreur interviennent directement à la source de l’erreur en réduisant ou en éliminant les facteurs contribuant à l’erreur. Il s’agit par ex. de faciliter l’accès à un élément de

5. Tiré du Manuel d’instruction sur les facteurs humains (Doc 9683).

Page 66: 9859 MANUEL SMS

4-22 Manuel de gestion de la sécurité (MGS)

l’aéronef pour maintenance, d’améliorer l’éclairage dans lequel une tâche doit être exécutée, de réduire les distractions liées à l’environnement et de dispenser une meilleure formation. La plupart des stratégies de gestion de l’erreur employées dans la maintenance entrent dans cette catégorie.

b) La capture de l’erreur suppose que l’erreur a déjà été commise. L’intention est de la « capturer » avant que des conséquences négatives ne se fassent sentir. La capture de l’erreur diffère de la réduction de l’erreur en ce qu’elle ne sert pas directement à réduire ou à éliminer l’erreur. Des exemples de cette stratégie sont la vérification par recoupement de la bonne exécution des tâches ou les vols d’essai de fonctionnement.

c) La tolérance à l’erreur concerne l’aptitude d’un système à accepter une erreur sans conséquences sérieuses. Parmi les exemples de mesures destinées à accroître la tolérance aux erreurs, citons l’installation à bord de circuits hydrauliques ou électriques multiples afin d’assurer la redondance et un programme d’inspection des structures qui donnera de multiples opportunités de déceler une crique de fatigue avant que celle-ci n’atteigne une longueur critique.

4.7 CYCLE DE LA SÉCURITÉ 4.7.1 Étant donné le nombre de relations qui peuvent exister entre les facteurs susceptibles d’affecter la sécurité, un SGS efficace est nécessaire. La Figure 4-6 montre un exemple du type de processus systématique requis. Elle est suivie d’une brève description du cycle de la sécurité. 4.7.2 L’identification des dangers est la première étape critique de la gestion de la sécurité. Des preuves de dangers sont nécessaires et peuvent être glanées de différentes manières, auprès de sources diverses, comme :

a) les systèmes de comptes rendus des dangers et des incidents ;

b) les enquêtes sur les dangers et les incidents signalés dans des comptes rendus, et leur suivi ;

c) les analyses de tendances ;

d) les retours d’informations après formation ;

e) l’analyse des données de vol ;

f) les enquêtes de sécurité et les audits de supervision de la sécurité opérationnels ;

g) la surveillance de l’exploitation normale ;

h) les enquêtes de l’État sur les accidents et les incidents graves ;

i) les systèmes d’échange d’informations. 4.7.3 Chaque danger identifié doit être évalué et se voir attribuer un niveau de priorité. Cette évaluation requiert la compilation et l’analyse de toutes les données disponibles. Celles-ci sont alors évaluées afin de déterminer l’étendue du danger : est-il isolé ou systémique ? Une base de données peut être nécessaire pour faciliter le stockage et l’extraction des données. Il faut des outils adaptés pour analyser ces données. 4.7.4 Une fois que la carence en matière de sécurité a été validée, des décisions doivent être prises quant aux mesures les plus appropriées à prendre pour éviter ou éliminer le danger ou réduire les risques

Page 67: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-23

Figure 4-6. Cycle de la sécurité

qui y sont liés. La solution doit tenir compte des conditions locales car une solution uniforme ne convient pas à toutes les situations. Il faut veiller à ce que la solution adoptée ne génère pas de nouveaux dangers. Tel est le processus de la gestion des risques. 4.7.5 Une fois qu’une mesure de sécurité appropriée a été mise en œuvre, la performance doit être contrôlée afin de s’assurer que le résultat souhaité a été atteint. Par ex. :

a) le danger a été éliminé (ou au moins l’éventualité ou la gravité des risques qui y sont liés ont été réduites) ;

b) les mesures adoptées permettent de faire face au danger de manière satisfaisante ;

c) aucun nouveau danger n’a été introduit dans le système. 4.7.6 Si les résultats ne sont pas satisfaisants, tout le processus doit être recommencé.

4.8 ASPECTS FINANCIERS 4.8.1 L’exploitation rentable et néanmoins sûre d’une compagnie aérienne ou d’une société de prestation de services exige un équilibre permanent entre le besoin d’atteindre les objectifs de production

Communiquerles risques

Identifierles dangers

Suivrela situation

Prendredes mesures

Vérifierles possibilités

Évaluer les risques

Cycle de la sécurité

Page 68: 9859 MANUEL SMS

4-24 Manuel de gestion de la sécurité (MGS)

(comme la ponctualité des départs) et celui de satisfaire aux objectifs de sécurité (notamment en prenant du temps supplémentaire pour s’assurer qu’une porte est bien sécurisée). Dans l’aviation, le lieu de travail est truffé de conditions potentiellement dangereuses qui ne seront pas toutes éliminées. Pourtant, l’exploitation doit continuer. 4.8.2 Certaines opérations adoptent un objectif de « zéro accident » et affirment que « la sécurité est leur priorité numéro un ». En réalité, les exploitants (et les autres organisations de l’aviation commerciale) doivent dégager un bénéfice pour survivre. Les bénéfices ou les pertes indiquent immédiatement si une entreprise a réussi à atteindre ses objectifs de production ou non. Cependant, la sécurité est une condition indispensable pour assurer la durabilité d’une entreprise aéronautique, comme finira par le comprendre toute compagnie tentée de rogner sur les coûts. Pour la plupart des compagnies aériennes, l’absence de pertes accidentelles est le meilleur moyen d’évaluer la sécurité. Ce n’est parfois qu’après un accident ou une perte grave, que certaines compagnies comprennent qu’elles ont un problème de sécurité, en partie parce que cela aura des incidences sur leur compte de profits et pertes. Toutefois, une compagnie peut exercer ses activités pendant des années en maintenant de nombreuses conditions potentiellement dangereuses sans subir de conséquences négatives. Faute d’une gestion efficace de la sécurité pour identifier et corriger ces conditions dangereuses, la compagnie peut penser qu’elle réalise ses objectifs de sécurité, comme le prouve « l’absence de pertes ». En fait, elle a juste eu de la chance. 4.8.3 Sécurité et profit ne sont pas incompatibles. En effet, les organisations de qualité savent que les dépenses consenties pour remédier à des conditions dangereuses représentent un investissement de rentabilité à long terme. Les pertes coûtent de l’argent. En consacrant de l’argent à des mesures de réduction des risques, on réduit les pertes onéreuses (comme le montre la Figure 4-7). Toutefois, si l’on consacre de plus en plus de moyens à la réduction des risques, les gains issus de la réduction des pertes ne seront peut-être pas proportionnels aux dépenses. Les compagnies doivent équilibrer les coûts des pertes et les dépenses effectuées pour les mesures de réduction des risques. Un certain niveau de pertes financières peut être acceptable d’un point de vue purement comptable. Cependant, peu d’organisations sont capables de survivre aux conséquences financières d’un accident grave. Il existe donc de bonnes raisons économiques de disposer d’un SGS efficace pour gérer les risques.

Figure 4-7. Sécurité par rapport aux coûts

Coû

ts

Protection

Pertes

Coûts totaux

Réductiondes risques

Page 69: 9859 MANUEL SMS

Chapitre 4. Comprendre la sécurité 4-25

Coûts des accidents 4.8.4 On trouve deux grands types de coûts liés aux accidents et aux incidents graves : les coûts directs et les coûts indirects. Coûts directs 4.8.5 Il s’agit des coûts évidents, assez simples à déterminer. La plupart d’entre eux découlent des dommages physiques et sont liés aux réparations, remplacements ou indemnisations pour les blessures, l’équipement aéronautique et les dommages matériels. Les coûts élevés d’un accident peuvent être réduits par le biais d’une couverture d’assurance (certaines grandes organisations s’auto-assurent de facto en constituant des réserves pour couvrir leurs risques). Coûts indirects 4.8.6 Si une assurance peut couvrir des coûts spécifiques d’un accident, il existe de nombreux coûts non couverts. Il est essentiel de bien comprendre ces coûts non couverts (ou indirects) pour bien saisir les aspects économiques de la sécurité. 4.8.7 Les coûts indirects comprennent tout ce qui n’est pas directement couvert par une assurance et dont le total est habituellement bien plus élevé que celui des coûts directs résultant de l’accident. Ces coûts ne sont pas toujours patents et se manifestent souvent plus tard. Voici quelques exemples de coûts non couverts pouvant découler d’un accident : a) La perte de clientèle et l’atteinte à l’image de l’organisation. De nombreuses organisations

n’autorisent pas leur personnel à voler avec une compagnie ayant un bilan douteux en matière de sécurité.

b) La privation de jouissance de matériel. Ceci équivaut à une perte de revenus. Le matériel de

remplacement peut devoir être acheté ou loué. Pour les compagnies exploitant un aéronef d’un type peu courant, il est possible que leur stock de pièces détachées et leur personnel spécialement formé pour un tel appareil deviennent inutiles.

c) La perte de productivité du personnel. Si certaines personnes sont blessées lors d’un accident et

sont en incapacité de travail, de nombreux États exigent qu’elles continuent à être payées. En outre, elles devront être remplacées au moins à court terme, ce qui augmentera les coûts salariaux, les heures supplémentaires (voire la formation), et entraînera une charge de travail supplémentaire pour les travailleurs expérimentés.

d) Les frais d’enquête et de remise en état. Ce sont souvent des coûts non assurés. Les exploitants

peuvent subir des frais suite à l’enquête, notamment les coûts de la participation de leur personnel à l’enquête ainsi que les coûts des tests et analyses, de la récupération de la carcasse et de la remise en état des lieux de l’accident.

e) Les franchises des assurances. Pour tout accident, l’assuré doit prendre à sa charge la première

tranche du coût de tout accident. De plus, une demande d’indemnisation fera passer la compagnie dans une catégorie de risque plus élevée à des fins d’assurance, ce qui peut entraîner une augmentation des primes (et inversement, la mise en œuvre d’un SGS global pourrait aider un exploitant à négocier une réduction de prime).

Page 70: 9859 MANUEL SMS

4-26 Manuel de gestion de la sécurité (MGS)

f) Les actions en justice et en dommages-intérêts. Les frais de justice peuvent croître rapidement. Bien qu’il soit possible de s’assurer en responsabilité civile et contre les actions en dommages et intérêts, il est pratiquement impossible de rentrer dans ses frais pour le temps perdu dans une action en justice et en poursuites en dommages-intérêts.

g) Les amendes et citations à comparaître. Les pouvoirs publics peuvent réclamer des amendes et

adresser des citations à comparaître, voire, éventuellement imposer l’arrêt d’opérations dangereuses.

Coûts des incidents 4.8.8 Des incidents aériens graves causant des dommages matériels ou des lésions corporelles mineures peuvent également entraîner de nombreux coûts indirects ou non couverts. Les facteurs de coûts types résultant de tels incidents sont notamment : a) les retards et annulations de vols ; b) une solution de rechange pour le transport des passagers, leur logement, les plaintes, etc. ; c) le changement d’équipage et son affectation ; d) le manque à gagner et l’atteinte à l’image de la compagnie ; e) la récupération et la réparation de l’aéronef, le vol d’essai ; f) l’enquête sur l’incident.

Coûts de la sécurité 4.8.9 Les coûts de la sécurité sont encore plus difficiles à quantifier que le coût total des accidents — en partie parce qu’il est difficile d’évaluer les accidents qui ont été évités. Néanmoins, certains exploitants ont tenté d’évaluer les coûts et les avantages de l’introduction d’un SGS. Ils ont conclu que les économies étaient considérables. La réalisation d’une analyse coûts-avantages est complexe. Cependant, comme les dirigeants sont peu enclins à dépenser de l’argent sans perspective d’un bénéfice quantifiable, cette analyse devrait être entreprise. Une façon de résoudre cette question est de séparer les coûts du SGS des frais encourus pour remédier aux carences en matière de sécurité, en imputant les coûts de la gestion de la sécurité au département sécurité et les coûts des carences de sécurité aux cadres hiérarchiques ayant les plus grandes responsabilités. Cet exercice exige que la haute direction s’engage à réfléchir aux coûts et aux avantages d’un SGS.

Page 71: 9859 MANUEL SMS

5-1

Chapitre 5

PRINCIPES DE BASE DE LA GESTION DE LA SÉCURITÉ

5.1 PHILOSOPHIE DE LA GESTION DE LA SÉCURITÉ

Fonction de gestion essentielle 5.1.1 Dans les organisations aéronautiques efficaces, la gestion de la sécurité est une fonction de gestion essentielle — au même titre que la gestion financière. Une gestion efficace de la sécurité requiert un équilibre réaliste entre les objectifs de sécurité et ceux de production. Par conséquent, une approche coordonnée, basée sur l’analyse des objectifs et des ressources de l’organisation, contribue à garantir que les décisions concernant la sécurité sont réalistes et complémentaires aux besoins opérationnels de l’organisation. Les limites du financement et de la performance opérationnelle doivent être acceptées dans tous les secteurs. Il est donc important pour une gestion rentable de la sécurité de définir les risques acceptables et inacceptables. Correctement mises en œuvre, les mesures de gestion de la sécurité non seulement renforcent la sécurité mais améliorent aussi l’efficacité des opérations d’une organisation. 5.1.2 L’expérience d’autres secteurs et les leçons tirées des enquêtes sur les accidents d’aéronefs ont souligné qu’il était important de gérer la sécurité de manière systématique, proactive et explicite. Ces termes revêtent ici les acceptions suivantes : • Systématique signifie que les activités de gestion de la sécurité seront exécutées conformément à

un plan prédéterminé et réalisées de façon cohérente dans toute l’organisation. • Proactive désigne l’adoption d’une approche qui met l’accent sur la prévention grâce à l’identifi-

cation des dangers et à l’introduction de mesures d’atténuation des risques avant que l’événement dangereux ne se produise et ait des conséquences négatives sur les performances en matière de sécurité.

• Explicite signifie que toutes les activités de gestion de la sécurité devraient être documentées,

visibles et exécutées indépendamment d’autres activités de gestion. 5.1.3 Une gestion systématique, proactive et explicite de la sécurité garantit qu’à long terme, la sécurité fera partie intégrante des opérations quotidiennes de l’organisation et que les activités liées à la sécurité menées par l’organisation seront dirigées vers les domaines où les avantages seront les plus grands.

Approche systémique 5.1.4 Les approches contemporaines de la gestion de la sécurité ont été façonnées par les concepts introduits au Chapitre 4 et, en particulier, par le rôle des questions organisationnelles en tant que facteurs contribuant aux accidents et aux incidents. La sécurité ne peut pas être atteinte par la seule instauration de règles ou de directives concernant les procédures à suivre par le personnel d’exploitation.

Page 72: 9859 MANUEL SMS

5-2 Manuel de gestion de la sécurité (MGS)

5.1.5 La portée de la gestion de la sécurité englobe la plupart des activités de l’organisation. Elle doit donc commencer à l’échelon de la haute direction et les effets sur la sécurité doivent être examinés à tous les niveaux de l’organisation.

Sécurité du système 5.1.6 La sécurité du système a été élaborée dans les années 1950 en tant que discipline d’ingénierie pour les systèmes aérospatiaux et de défense antimissile. Ses praticiens étaient des ingénieurs de la sécurité et non des spécialistes opérationnels. Par conséquent, ils avaient tendance à se concentrer sur la conception et la construction de systèmes à sûreté intégrée. D’autre part, l’aviation civile avait pour habitude de s’occuper surtout des opérations aériennes et les directeurs de la sécurité étaient souvent issus des rangs des pilotes. Pour améliorer la sécurité, il est devenu nécessaire de ne plus limiter la sécurité de l’aviation aux seuls aéronefs et à leurs pilotes. L’aviation est un système global qui inclut tout ce qui est nécessaire à la sécurité des opérations aériennes. Le « système » englobe l’aéroport, le contrôle de la circulation aérienne, la maintenance, les équipages de cabine, le soutien opérationnel au sol, la régulation des vols, etc. Une gestion saine de la sécurité doit couvrir tous les aspects du système.

5.2 FACTEURS AFFECTANT LA SÉCURITÉ DU SYSTÈME 5.2.1 Les facteurs affectant la sécurité au sein du système donné peuvent être étudiés sous deux angles : premièrement, par l’analyse des facteurs pouvant aboutir à des situations dans lesquelles la sécurité est compromise et, deuxièmement, par l’examen de la manière dont une connaissance de ces facteurs peut être appliquée à la conception de systèmes afin de réduire la probabilité que surviennent des événements pouvant mettre la sécurité en péril.

5.2.2 La recherche de facteurs qui pourraient compromettre la sécurité doit couvrir tous les niveaux de l’organisation responsable des opérations et de la prestation de services de soutien. Comme décrit au Chapitre 4, la sécurité commence au niveau le plus élevé de l’organisation.

Défaillances actives et conditions latentes 5.2.3 Les défaillances actives sont généralement le résultat de défauts du matériel ou d’erreurs commises par le personnel opérationnel. Les conditions latentes, elles, contiennent toujours un élément humain. Elles peuvent découler de défauts de conception non détectés. Elles peuvent être liées à des conséquences non identifiées de procédures approuvées officiellement. Dans un certain nombre de cas, les conditions latentes ont également été le résultat direct de décisions prises par la direction de l’organisation. Par exemple, des conditions latentes sont présentes lorsque la culture de l’organisation encourage la prise de raccourcis plutôt que l’application systématique des procédures approuvées. La conséquence directe d’une condition liée à l’utilisation de raccourcis se concrétiserait au niveau opérationnel en cas de non-respect des procédures correctes. Toutefois, si ce genre de comportement est largement admis par le personnel opérationnel et que la direction n’en est pas consciente ou ne prend aucune mesure pour y remédier, alors une condition latente existe dans le système au niveau de la direction.

Défectuosités des équipements 5.2.4 La probabilité de défaillances du système dues à des défectuosités des équipements relève de l’ingénierie de la fiabilité. Cette probabilité est déterminée en analysant les taux de défaillance des différents éléments du matériel. Les causes de défaillance des éléments peuvent notamment inclure des défauts électriques, mécaniques et logiciels.

Page 73: 9859 MANUEL SMS

Chapitre 5. Principes de base de la gestion de la sécurité 5-3

5.2.5 Une analyse de sécurité est requise pour évaluer tant la probabilité des défaillances au cours des opérations normales que les effets de l’indisponibilité continue d’un quelconque élément sur les autres parties du système. L’analyse devrait couvrir les conséquences de toute perte de fonctionnalité ou de redondance due à la mise hors service du matériel pour maintenance. Il est donc important que la portée de l’analyse et la délimitation du système aux fins de l’analyse soient suffisamment larges pour que tous les services et activités de soutien nécessaires soient couverts. Une analyse de sécurité devrait au minimum examiner les éléments du modèle SHEL décrit au Chapitre 4.

5.2.6 Les techniques concernant l’estimation de la probabilité d’une défaillance générale du système en raison de défectuosités du matériel et l’estimation des paramètres tels que la disponibilité et la continuité du service sont bien établies et sont décrites dans des ouvrages de référence relatifs à l’ingénierie de la fiabilité et de la sécurité. Ces questions ne seront pas abordées plus avant dans le présent manuel.

Erreur humaine 5.2.7 On parle d’erreur lorsque le résultat d’une tâche exécutée par une personne n’est pas celui qui était voulu. La manière dont un opérateur humain aborde une tâche dépend de la nature de celle-ci et de l’expérience que l’opérateur en a. La performance humaine peut être basée sur des compétences, sur des règles ou sur des connaissances. Les erreurs peuvent résulter de trous de mémoire, d’oublis au cours de la réalisation de la tâche prévue, ou bien de fautes qui sont des erreurs de jugement conscientes. Une distinction devrait également être opérée entre les erreurs normales ou erreurs commises de bonne foi dans l’exécution des fonctions assignées et les infractions délibérées aux procédures prescrites ou aux pratiques de sécurité acceptées. Comme il a été mentionné au Chapitre 4, certaines organisations utilisent le concept de « culture juste » pour aider à déterminer quelles erreurs sont « acceptables ».

Conception du système 5.2.8 Étant donné l’interaction complexe entre les facteurs humains, matériels et environnementaux dans les opérations, l’élimination totale du risque est impossible à atteindre. Même dans les organisations disposant des meilleurs programmes de formation et d’une culture positive de la sécurité, les opérateurs humains commettront de temps en temps des erreurs. Le matériel le mieux conçu et le mieux entretenu connaîtra occasionnellement des défaillances. Les concepteurs du système doivent donc tenir compte de l’inévitabilité des erreurs et des défaillances. Il est important que le système soit conçu et mis en œuvre de manière à ce que, dans la mesure du possible, les erreurs et les défaillances du matériel ne se soldent pas par un accident. En d’autres mots, le système est « tolérant à l’erreur ».

5.2.9 Les éléments matériels et logiciels d’un système sont généralement conçus pour répondre à des niveaux spécifiques de disponibilité, de continuité et d’intégrité. Les techniques d’estimation des perfor-mances du système par rapport à ces paramètres sont bien établies. Si nécessaire, une redondance peut être intégrée au système afin d’offrir des solutions de rechange en cas de défaillance d’un ou de plusieurs éléments du système.

5.2.10 Les performances de l’élément humain ne peuvent pas être précisées avec autant de détail, mais il est essentiel que la possibilité d’une erreur humaine soit considérée comme faisant partie de la conception générale du système. Dès lors, une analyse sera nécessaire afin d’identifier les faiblesses potentielles des aspects procéduraux du système en prenant en considération les lacunes normales des performances humaines. Cette analyse devrait également tenir compte du fait que les accidents n’ont que rarement, voire jamais, de cause unique. Comme nous l’avons dit plus haut, ceux-ci s’inscrivent généra-lement dans une séquence d’événements au sein d’un contexte situationnel complexe. Par conséquent, l’analyse doit se pencher sur les combinaisons d’événements et de circonstances afin d’identifier les séquences qui pourraient déboucher sur une mise en danger de la sécurité.

Page 74: 9859 MANUEL SMS

5-4 Manuel de gestion de la sécurité (MGS)

5.2.11 Pour que le système élaboré soit sûr et tolérant à l’erreur, il faut qu’il contienne des moyens de défense multiples pour garantir que, dans la mesure du possible, aucune défaillance ou erreur ne puisse à elle seule entraîner un accident et que, quand une défaillance ou une erreur survient, elle soit identifiée et corrigée avant l’éventuelle apparition d’une séquence d’événements menant à un accident. Le besoin de disposer d’un ensemble de défenses plutôt que d’une seule couche de défense découle de la possibilité que les moyens de défense eux-mêmes ne fonctionnent pas toujours à la perfection. Cette philosophie de conception est appelée « défenses en profondeur ». 5.2.12 Pour qu’un accident se produise dans un système bien conçu, il faut que des brèches apparaissent dans chaque couche de défense du système au moment critique où les moyens de défense auraient dû être capables de détecter l’erreur où la défaillance préalable. La Figure 5-1 illustre la manière dont un accident doit pénétrer toutes les couches de défense.

5.3 CONCEPTS DE GESTION DE LA SÉCURITÉ

Pierres angulaires de la gestion de la sécurité 5.3.1 Sous sa forme la plus simple, la gestion de la sécurité se compose de l’identification des dangers et du comblement des éventuelles brèches dans les défenses du système. Une gestion efficace de la sécurité est multidisciplinaire et exige l’application systématique de diverses techniques et activités à tout l’éventail des activités aéronautiques. Elle est fondée sur trois pierres angulaires déterminantes, à savoir : a) Une approche d’entreprise globale de la sécurité. Celle-ci donne le ton en matière de gestion de la

sécurité. L’approche d’entreprise prolonge la culture de la sécurité de l’organisation et couvre les politiques, buts et objectifs de sécurité de l’organisation et, surtout, l’engagement de la haute direction à garantir la sécurité.

b) Des outils organisationnels efficaces afin d’appliquer les normes de sécurité. Il faut disposer d’outils

organisationnels efficaces afin de mettre en œuvre les activités et les processus nécessaires pour améliorer la sécurité. Cette pierre angulaire concerne entre autres la façon dont l’organisation gère ses affaires en vue de réaliser ses politiques, buts et objectifs de sécurité et la manière dont elle fixe les normes et affecte les ressources. On se concentre principalement sur les dangers et leurs effets potentiels sur les activités cruciales pour la sécurité.

c) Un système formel de supervision de la sécurité. Un tel système est nécessaire pour confirmer

que l’organisation satisfait en permanence à sa politique, à ses buts, objectifs et normes de l’entre-prise relatifs à la sécurité. L’expression « supervision de la sécurité » couvre tout particulièrement les activités menées par l’État dans le cadre de son programme de sécurité. Le concept de « contrôle des performances en matière de sécurité », lui, est souvent utilisé pour décrire les activités exécutées par un exploitant ou un fournisseur de services, en application de son système de gestion de la sécurité (SGS).

5.3.2 Un examen plus détaillé de chacune de ces trois pierres angulaires figure à l’Appendice 1 de ce chapitre.

Stratégies de gestion de la sécurité 5.3.3 La stratégie qu’adopte une organisation pour son SGS reflétera sa culture de la sécurité et peut aller de la simple réaction aux seuls accidents à des mesures extrêmement proactives dans la recherche

Page 75: 9859 MANUEL SMS

Chapitre 5. Principes de base de la gestion de la sécurité 5-5

Figure 5-1. Défenses en profondeur

des problèmes de sécurité. Le processus traditionnel ou réactif est dominé par les réparations rétroactives (c.-à-d. réparer la porte de l’étable après que le cheval s’est échappé). Avec l’approche plus moderne ou proactive, ce sont les réformes proactives qui sont au premier plan (c.-à-d. construire une étable dont aucun cheval ne pourra ni ne voudra s’échapper). En fonction de la stratégie adoptée, des méthodes et des outils différents doivent être employés.

Stratégie réactive en matière de sécurité : enquêter sur les accidents et sur les incidents à signaler 5.3.4 Cette stratégie est utile pour les situations caractérisées par des défaillances technologiques ou des événements inhabituels. L’intérêt de l’approche réactive pour la gestion de la sécurité dépend de la mesure dans laquelle l’enquête dépasse la détermination des causes pour examiner tous les facteurs contributifs. L’approche réactive a tendance à se distinguer par les caractéristiques suivantes : a) en matière de sécurité, la direction privilégie le respect des exigences minimales ; b) l’évaluation de la sécurité se base sur des accidents et des incidents à signaler dans les limites

suivantes : 1) toute analyse est restreinte à l’examen des défaillances réelles ; 2) les données disponibles pour déterminer précisément les tendances sont insuffisantes, surtout

celles qui sont imputables aux erreurs humaines ; 3) les causes profondes et les conditions latentes dangereuses, qui facilitent l’erreur humaine, sont

méconnues.

Accident

Défenses en profondeur

Brèches oufaiblesses dansles moyensde défense

Trajectoire

Page 76: 9859 MANUEL SMS

5-6 Manuel de gestion de la sécurité (MGS)

c) un « rattrapage permanent » est nécessaire pour s’adapter à l’inventivité humaine quant aux nouveaux types d’erreurs.

Stratégie proactive en matière de sécurité : recherche agressive d’informations auprès de diverses sources pouvant indiquer l’émergence de problèmes de sécurité 5.3.5 Les organisations appliquant une stratégie proactive de gestion de la sécurité pensent qu’il est possible de réduire au minimum le risque d’accidents en identifiant les faiblesses avant une défaillance et en arrêtant les mesures nécessaires pour réduire ce risque. Par conséquent, elles s’emploient à détecter les conditions dangereuses systémiques grâce à des outils comme :

a) des systèmes de comptes rendus des dangers et des incidents favorisant l’identification des conditions dangereuses latentes ;

b) des enquêtes de sécurité pour susciter un retour d’informations de la part du personnel de première ligne sur les causes de doléances et les conditions insatisfaisantes recelant un potentiel d’accident ;

c) une analyse de l’enregistreur de données de vol pour identifier les dépassements opérationnels et confirmer les procédures d’exploitation normales ;

d) des inspections ou des audits opérationnels portant sur tous les aspects de l’exploitation, afin d’identifier les domaines vulnérables avant que des accidents, des incidents ou des événements de sécurité mineurs confirment l’existence d’un problème ;

e) une politique de prise en compte et de concrétisation des bulletins de service des constructeurs.

Activités principales de gestion de la sécurité 5.3.6 Les organisations qui réussissent le mieux à gérer la sécurité se distinguent par la mise en œuvre de plusieurs activités. Certaines de ces activités spécifiques sont exposées ci-dessous :

a) Organisation. Elles font en sorte d’instaurer une culture de la sécurité et de réduire leurs pertes accidentelles. Elles disposent normalement d’un SGS officiel tel que décrit aux Chapitres 12 à 15.

b) Évaluations de la sécurité. Elles analysent systématiquement les changements de matériel ou de procédures proposés afin d’identifier et d’atténuer les faiblesses avant que les changements ne soient effectués.

c) Comptes rendus d’événements liés à la sécurité. Elles ont instauré des procédures officielles pour rendre compte des événements liés à la sécurité et des autres conditions dangereuses.

d) Mécanismes d’identification des dangers. Elles emploient des mécanismes à la fois réactifs et proactifs d’identification des dangers pour la sécurité dans toute leur structure, comme des comptes rendus volontaires d’incidents, des enquêtes sur la sécurité, des audits de sécurité des opérations aériennes et des évaluations de la sécurité. Les Chapitres 16 et 17 exposent divers processus de sécurité efficaces pour identifier des dangers pour la sécurité, par ex. l’analyse des données de vol (FDA), les audits de sécurité en service de ligne (LOSA) et les enquêtes de sécurité sur les opérations normales (NOSS).

e) Enquête et analyse. Elles assurent le suivi des comptes rendus d’événements liés à la sécurité et de conditions dangereuses, si nécessaire en initiant des enquêtes de sécurité et des analyses de sécurité réalisées par du personnel compétent.

Page 77: 9859 MANUEL SMS

Chapitre 5. Principes de base de la gestion de la sécurité 5-7

f) Contrôle des performances. Elles cherchent activement à obtenir un retour d’informations pour boucler la boucle de la gestion de la sécurité en employant des techniques telles que le contrôle des tendances et les audits internes de sécurité.

g) Promotion de la sécurité. Elles diffusent activement les résultats des enquêtes et des analyses de

sécurité, partageant ainsi les leçons tirées tant à l’intérieur de l’organisation qu’à l’extérieur si cela se justifie.

h) Supervision de la sécurité. L’État (autorité de réglementation) et l’organisation réglementée

disposent tous deux de systèmes de contrôle et d’évaluation des performances en matière de sécurité. Toutes ces activités sont décrites de façon plus détaillée ailleurs dans ce manuel.

Processus de gestion de la sécurité 5.3.7 D’un point de vue conceptuel, le processus de gestion de la sécurité coïncide avec le cycle de la sécurité décrit à la Figure 4-6. Dans les deux cas, il s’agit d’un processus en boucle, comme le représente la Figure 5-2. 5.3.8 La gestion de la sécurité est basée sur les faits puisqu’elle requiert l’analyse des données pour identifier les dangers. Lors de l’utilisation de techniques d’évaluation des risques, des priorités sont établies afin de réduire les conséquences potentielles de ces dangers. Des stratégies destinées à réduire ou à éliminer les dangers sont ensuite élaborées et mises en œuvre avec des responsabilités clairement établies. La situation est réévaluée en permanence et des mesures supplémentaires sont appliquées le cas échéant. 5.3.9 Les étapes du processus de gestion de la sécurité exposées à la Figure 5-2 sont brièvement décrites ci-dessous : a) Collecter les données. La première étape du processus de gestion de la sécurité est l’acquisition

de données pertinentes en matière de sécurité, c’est-à-dire des éléments nécessaires pour déter-miner les performances en matière de sécurité ou identifier les conditions dangereuses latentes (dangers pour la sécurité). Ces données peuvent être tirées de n’importe quelle composante du système : le matériel utilisé, les personnes participant aux opérations, les procédures de travail, les interactions homme/matériel/procédures, etc.

b) Analyser les données. L’analyse de toutes les informations pertinentes permet d’identifier les

dangers pour la sécurité. Les conditions dans lesquelles les dangers présentent de véritables risques, leurs conséquences potentielles et la probabilité d’un événement lié à la sécurité peuvent être déterminés. Il s’agit, en d’autres termes, de répondre aux questions : Que peut-il se passer ? Comment ? Et quand ? Cette analyse peut être à la fois qualitative et quantitative.

c) Classer les conditions dangereuses par ordre de priorité. Un processus d’évaluation du risque

détermine la gravité de ces dangers. Des mesures de sécurité sont envisagées pour les dangers posant les plus gros risques. Ceci peut nécessiter une analyse coûts-avantages.

d) Élaborer des stratégies. En commençant par les risques dont la priorité est la plus élevée, on peut

réfléchir à diverses options de gestion des risques, par ex. : 1) Répartir la prise de risques sur une palette d’individus aussi large que possible. (Telle est la

base de l’assurance.)

Page 78: 9859 MANUEL SMS

5-8 Manuel de gestion de la sécurité (MGS)

Figure 5-2. Processus de gestion de la sécurité

2) Éliminer entièrement le risque (éventuellement en cessant l’opération ou la pratique). 3) Accepter le risque et poursuivre les opérations sans rien changer. 4) Atténuer le risque en mettant en œuvre des mesures de réduction du risque ou au moins

faciliter la prise en charge du risque. En sélectionnant une stratégie de gestion des risques, il faut s’assurer que l’on évite d’introduire de

nouveaux risques entraînant un niveau de sécurité inacceptable. e) Adopter des stratégies. Après avoir analysé les risques et décidé d’un plan d’action approprié,

l’accord de la direction est nécessaire pour aller de l’avant. À ce stade, la difficulté réside dans la formulation d’arguments convaincants pour justifier des changements (parfois coûteux).

f) Attribuer les responsabilités et mettre en œuvre les stratégies. Suite à la décision de mettre les

choses en route, il faut arrêter les détails pratiques. Il s’agit entre autres de fixer la répartition des ressources, de répartir les responsabilités, de déterminer le calendrier, de revoir les procédures d’exploitation, etc.

g) Réévaluer la situation. La réussite de la mise en œuvre est rarement à la hauteur des prévisions. Un

retour d’informations est requis pour boucler la boucle. Quels nouveaux problèmes ont éventuellement

Processusde gestion

de la sécurité

Classer les conditionsdangereuses parordre de priorité

Analyser les données

Collecter les données

Collecter des donnéessupplémentaires

Approuver les stratégies

Réévaluer la situation

Mettre en uvreles stratégies

œ

Attribuerles responsabilités Élaborer des stratégies

Page 79: 9859 MANUEL SMS

Chapitre 5. Principes de base de la gestion de la sécurité 5-9

été introduits ? Dans quelle mesure la stratégie convenue pour réduire les risques répond-elle aux attentes en termes de performance ? Quelles modifications du système ou du processus peuvent s’avérer nécessaires ?

h) Collecter des données supplémentaires. En fonction des résultats de la réévaluation, il faudra

peut-être obtenir de nouvelles informations et recommencer tout le cycle afin de peaufiner l’action en matière de sécurité.

5.3.10 La gestion de la sécurité requiert des compétences analytiques qui peuvent ne pas être exercées habituellement par la direction. Plus l’analyse est complexe, plus il est important d’utiliser les outils analytiques les plus adaptés. Le processus en boucle de la gestion de la sécurité exige également un retour d’informations pour garantir que les dirigeants puissent tester la validité de leurs décisions et évaluer l’efficacité de la mise en œuvre de celles-ci. (Le Chapitre 9 fournit des indications en matière d’analyse de la sécurité.)

Supervision de la sécurité 5.3.11 Comme mentionné au § 5.3.1 c), l’expression « supervision de la sécurité » fait référence aux activités d’un État relevant de son programme de sécurité, alors que le contrôle des performances de sécurité renvoie aux activités d’un exploitant ou d’un fournisseur de services dans le cadre de son SGS. 5.3.12 En matière de sécurité, les activités de supervision ou de contrôle des performances consti-tuent un élément essentiel de la stratégie de gestion de la sécurité d’une organisation. La supervision de la sécurité donne à un État les moyens de vérifier dans quelle mesure l’industrie aéronautique atteint ses objectifs de sécurité. 5.3.13 Une partie des exigences s’appliquant à un système de contrôle des performances de sécurité sont déjà respectées dans de nombreuses organisations. Par exemple, les États disposent normalement d’une réglementation relative à l’obligation de rendre compte des accidents et des incidents. 5.3.14 L’identification des faiblesses des défenses du système exige plus que la simple collecte de données rétrospectives et l’élaboration de statistiques sommaires. Les causes sous-jacentes des événe-ments signalés peuvent ne pas sauter immédiatement aux yeux. Les enquêtes sur les comptes rendus d’événements liés à la sécurité ou sur toute autre information concernant d’éventuels dangers devraient donc aller de pair avec le contrôle des performances de sécurité. 5.3.15 La mise en œuvre d’un programme efficace de supervision de la sécurité requiert que l’État et les organisations : a) déterminent des indicateurs de performances de sécurité pertinents (voir les § 5.3.17 à 5.3.21) ; b) établissent un système de comptes rendus d’événements liés à la sécurité ; c) mettent en place un système d’enquête sur ces mêmes événements ; d) élaborent des procédures d’intégration des données de sécurité provenant de toutes les sources

disponibles ; e) mettent au point des procédures d’analyse des données et de rédaction de rapports périodiques sur

les performances de sécurité.

Page 80: 9859 MANUEL SMS

5-10 Manuel de gestion de la sécurité (MGS)

5.3.16 Le Chapitre 10 fournit des indications sur la fonction de supervision de la sécurité.

Indicateurs et objectifs de performance de sécurité 5.3.17 Comme décrit aux § 5.3.7 à 5.3.10, le processus de gestion de la sécurité est une boucle fermée. Il requiert un retour d’informations qui permettra d’établir une base d’évaluation des performances du système afin que les ajustements nécessaires puissent être réalisés pour atteindre les niveaux de sécurité souhaités. À cette fin, il convient de bien comprendre la manière dont les résultats doivent être évalués. Par exemple, quels seront les indicateurs quantitatifs ou qualitatifs utilisés pour déterminer si le système fonctionne ? Après avoir décidé des facteurs à l’aune desquels la réussite du système peut être mesurée, il faut fixer des buts et des objectifs de sécurité spécifiques. Aux fins du présent manuel, la terminologie suivante est utilisée : • Indicateur de performance de sécurité. Mesure (ou paramètre) employée pour exprimer le niveau

des performances de sécurité obtenues par un système. • Objectif de performance de sécurité. Niveau de performance de sécurité requis pour un système.

Un objectif de performance de sécurité comporte un ou plusieurs indicateurs de performance de sécurité ainsi que les résultats souhaités, exprimés en fonction de ces indicateurs.

5.3.18 Une distinction doit être faite entre les critères utilisés pour évaluer la performance de sécurité opérationnelle par le biais de contrôles et les critères employés pour évaluer les nouveaux systèmes ou les nouvelles procédures planifiés. Le processus requis pour ce deuxième cas de figure est connu sous le nom d’évaluations de la sécurité (voir le Chapitre 13). Indicateurs de performance de sécurité 5.3.19 Pour fixer des objectifs de performance de sécurité, il faut d’abord décider d’indicateurs de performance de sécurité appropriés. Ces indicateurs sont généralement exprimés en termes de fréquence d’un événement causant des dommages. Des mesures typiques pourraient être, par ex. : a) le nombre d’accidents d’avion par 100 000 heures de vol ; b) le nombre d’accidents d’avion par 10 000 mouvements ; c) le nombre d’accidents d’avion mortels par an ; d) le nombre d’incidents graves par 10 000 heures de vol. 5.3.20 Il n’existe pas d’indicateur de performance de sécurité qui convienne à lui seul à tous les cas de figure. L’indicateur choisi pour exprimer un objectif de performance de sécurité doit être adapté à l’application qui lui est réservée, afin qu’il soit possible de réaliser une évaluation sérieuse de la sécurité selon les mêmes critères que ceux utilisés pour la fixation de l’objectif de performance de sécurité. 5.3.21 En général, les indicateurs de performance de sécurité retenus pour exprimer des objectifs mondiaux, régionaux et nationaux ne sont pas appropriés pour être appliqués à des organisations spécifiques. Dans la mesure où les accidents sont des événements relativement rares, ils ne donnent pas une idée fidèle de la performance de sécurité, surtout au niveau local. Même à l’échelle mondiale, les taux d’accidents varient considérablement d’une année à l’autre. Une hausse ou une baisse des accidents d’une année à l’autre n’est pas forcément le reflet d’un changement du niveau sous-jacent de sécurité.

Page 81: 9859 MANUEL SMS

Chapitre 5. Principes de base de la gestion de la sécurité 5-11

Objectifs de performance de sécurité 5.3.22 Après avoir déterminé des indicateurs de sécurité appropriés, il faut décider de ce qui constitue un résultat ou un objectif acceptable. Par exemple, l’OACI a fixé des objectifs mondiaux de performance de sécurité dans son plan pour la sécurité de l’aviation dans le monde (GASP). Il s’agit de : a) réduire le nombre d’accidents mortels ou non à l’échelle mondiale quel que soit le volume du trafic

aérien ; b) diminuer de façon significative les taux d’accidents, surtout dans les régions où ils restent élevés. 5.3.23 Le résultat visé peut être exprimé en termes absolus ou relatifs. Les objectifs mondiaux de l’OACI sont des exemples d’objectifs relatifs. Un objectif relatif pourrait également prévoir un pourcentage souhaité de réduction des accidents ou de certains types d’événements, et ce dans un délai défini. Par exemple, dans le cadre du programme de sécurité d’un État, une autorité de supervision réglementaire peut établir qu’un niveau de sécurité acceptable sera atteint en spécifiant les objectifs de performance suivants : a) pour les exploitants aériens : moins de 0,2 accident mortel par 100 000 heures. Un autre objectif peut

être la réduction de 30 % du nombre d’avertissements EGPWS au cours des 12 prochains mois ; b) pour les organisations de maintenance des aéronefs : moins de 200 défectuosités majeures par

100 000 heures de vol : c) pour les exploitants d’aérodromes : moins de 1,0 impact d’oiseau par 1 000 mouvements d’aéronefs ; d) pour les fournisseurs de services ATS : moins de 40 incidents aériens par 100 000 vols. Dans chaque branche de l’industrie, en matière de sécurité, différentes exigences seront utilisées pour atteindre les performances requises, telles que mesurées par les indicateurs. 5.3.24 Les graphiques des Figures 5-3 à 5-5 peuvent contribuer à expliquer la relation entre les indicateurs de performance de sécurité et les objectifs de performance de sécurité. La Figure 5-3 illustre le taux d’incidents aériens (indicateurs de sécurité) de deux catégories d’aéronefs sur une période définie. Aucun objectif n’est fixé dans ce graphique mais celui-ci indique une légère diminution des deux taux sur la période concernée. 5.3.25 Le graphique de la Figure 5-4 pourrait présenter le nombre d’impacts d’oiseau (ou tout autre paramètre) au cours d’une période définie. Il affiche une tendance. Dans ce cas, la tendance et le chiffre final sont restés en-dessous de la limite établie, ce qui correspond à une situation souhaitable. 5.3.26 Le graphique de la Figure 5-5 est semblable à celui de la Figure 5-4 à la différence près que la tendance se situe au-dessus de la limite établie, ce qui correspond à une situation indésirable. Pire, ce graphique indique qu’au cours des derniers trimestres, la tendance à la baisse s’est inversée et est désormais à la hausse. En fonction de la période contrôlée, cela pourrait avoir comme résultat de rendre l’indicateur de performance de sécurité considérablement plus mauvais que l’objectif de sécurité visé.

Page 82: 9859 MANUEL SMS

5-12 Manuel de gestion de la sécurité (MGS)

Figure 5-3. Taux d’incidents aériens (indicateurs de sécurité)

Moyenne mobile sur 12 mois

Figure 5-4. Taux d’événements correspondant à une tendance

évoluant en-dessous de la limite établie — une situation souhaitable

Inci

dent

s aé

riens

par

100

000

heur

es d

e vo

l60

50

40

30

20

10

005/104/404/304/204/103/403/303/203/102/402/302/2

Trimestre

Limite établie11,0Tendance

00/3 01/1 01/3 02/1 02/3 03/1 03/3 04/1 04/3 05/1

Trimestre

20

15

10

5

0

34

Page 83: 9859 MANUEL SMS

Chapitre 5. Principes de base de la gestion de la sécurité 5-13

Figure 5-5. Taux d’événements correspondant à une tendance récente évoluant

au-dessus de la limite établie — une situation indésirable

— — — — — — — —

05/104/304/103/303/102/302/101/301/100/30

20

40

60

80

100

Trimestre

Tendancerécente

Tendance

Limite établie25,0

Page 84: 9859 MANUEL SMS
Page 85: 9859 MANUEL SMS

5-APP 1-1

Appendice 1 au Chapitre 5

TROIS PIERRES ANGULAIRES DE LA GESTION DE LA SÉCURITÉ

1. Une gestion efficace de la sécurité comporte trois pierres angulaires. Celles-ci sont décrites ci-dessous, de même que leurs caractéristiques : a) Une approche d’entreprise globale en matière de sécurité — Elle prévoit notamment : 1) que la responsabilité ultime de la sécurité dans l’entreprise incombe au conseil d’administration

et au directeur général (CEO), ce qui montre l’engagement de l’entreprise envers la sécurité pris aux plus hauts niveaux de l’organisation ;

2) une philosophie de la sécurité clairement formulée, accompagnée de politiques d’entreprise,

dont une politique non punitive pour les questions disciplinaires ; 3) des objectifs de l’entreprise relatifs à la sécurité, assortis d’un plan de gestion pour atteindre ces

objectifs ; 4) des rôles et des responsabilités bien définis, assortis d’obligations redditionnelles spécifiques en

matière de sécurité, publiées et disponibles pour tous les membres du personnel concernés par la sécurité ;

5) l’obligation d’avoir un directeur de la sécurité indépendant ; 6) des preuves tangibles d’une culture positive de la sécurité dans toute l’organisation ; 7) un engagement à appliquer un processus de supervision de la sécurité qui soit indépendant des

cadres hiérarchiques ; 8) un système de documentation sur les politiques, principes, procédures et pratiques commerciaux

ayant des incidences sur la sécurité ; 9) un examen régulier des projets d’amélioration de la sécurité ; 10) des processus officiels d’examen de la sécurité. b) Des outils organisationnels efficaces pour appliquer les normes de sécurité, notamment : 1) une affectation des ressources basée sur les risques ; 2) une sélection, un recrutement, un perfectionnement et une formation efficaces du personnel ; 3) une mise en œuvre des SOP élaborées en coopération avec le personnel concerné ;

Page 86: 9859 MANUEL SMS

5-APP 1-2 Manuel de gestion de la sécurité (MGS)

4) la définition par l’entreprise des compétences spécifiques (et des critères de formation à la sécurité) pour tous les membres du personnel ayant des tâches liées à la performance en matière de sécurité ;

5) des normes définies et des audits pour l’achat de biens et les marchés de services ; 6) des contrôles destinés à permettre une détection précoce de toute détérioration des perfor-

mances du matériel, des systèmes et des services importants pour la sécurité et à assurer la prise de mesures correctrices ;

7) des contrôles pour vérifier et enregistrer les normes de sécurité générales de l’organisation ; 8) la mise en œuvre de processus appropriés d’identification des dangers, d’évaluation des risques

et de gestion efficace des ressources afin de maîtriser les risques identifiés ; 9) des mesures de gestion des changements importants dans des domaines tels que l’introduction

de matériel, procédures ou types d’opérations nouveaux, la rotation de membres du personnel occupant des postes clés, des licenciements collectifs ou une expansion rapide, des fusions et des acquisitions ;

10) des accords permettant au personnel de communiquer d’importants problèmes de sécurité

au niveau de gestion approprié afin d’obtenir une résolution du problème ainsi qu’un retour d’informations sur les mesures prises ;

11) une planification des interventions d’urgence et des exercices de simulation pour tester l’effica-

cité de cette planification ; 12) une évaluation des politiques commerciales du point de vue de leur incidence sur la sécurité. c) Un système officiel de supervision de la sécurité — Il comporte entre autres comme éléments : 1) un système d’analyse des données de l’enregistreur de bord en vue de contrôler les opérations

de vols et de détecter les événements liés à la sécurité n’ayant pas fait l’objet d’un compte rendu ;

2) un système à l’échelle de l’organisation pour la saisie de comptes rendus sur des événements

liés à la sécurité ou sur des conditions dangereuses ; 3) un système planifié et global d’audit de sécurité, suffisamment souple pour se concentrer sur

des problèmes de sécurité spécifiques dès leur apparition ; 4) un système pour mener des enquêtes de sécurité internes, mettre en œuvre des actions

correctrices et diffuser des informations relatives à la sécurité à tous les membres du personnel concernés ;

5) des systèmes d’utilisation efficace des données sur la sécurité à des fins d’analyse des

performances et de contrôle des changements de l’organisation dans le cadre du processus de gestion des risques ;

6) un examen et une assimilation systématiques des meilleures pratiques issues des autres

opérations ;

Page 87: 9859 MANUEL SMS

Chapitre 5. Principes de base de la gestion de la sécurité — Appendice 1 5-APP 1-3

7) un examen périodique du maintien de l’efficacité du SGS par un organisme indépendant ; 8) un suivi par les cadres hiérarchiques du travail en cours dans toutes les activités cruciales pour

la sécurité en vue de confirmer le respect des exigences réglementaires, des normes et des procédures de l’entreprise, avec une attention particulière aux usages locaux ;

9) un système global servant à documenter toutes les réglementations en matière de sécurité

aérienne en vigueur, les politiques d’entreprise, les objectifs de sécurité, les normes, les SOP, les comptes rendus de sécurité, etc., et à rendre cette documentation facilement disponible pour tous les membres du personnel concernés ;

10) des dispositions destinées à promouvoir la sécurité de manière continue sur la base de

l’évaluation des performances internes de sécurité. 2. Il est important que la portée du SGS soit adaptée à la taille et à la complexité de la compagnie. De grandes compagnies requerront un SGS plus complexe alors qu’un SGS plus sommaire devrait très bien convenir à des compagnies plus petites, aux structures moins complexes.

Page 88: 9859 MANUEL SMS

Page blanche

Page 89: 9859 MANUEL SMS

6-1

Chapitre 6

GESTION DES RISQUES

La gestion des risques sert à concentrer les efforts de sécurité sur les dangers présentant les plus gros risques.

6.1 GÉNÉRALITÉS 6.1.1 L’industrie aéronautique est quotidiennement confrontée à une multitude de risques, dont beaucoup sont susceptibles de compromettre la viabilité d’un exploitant, certains représentant même une menace pour toute l’industrie. En fait, le risque est un sous-produit de l’exploitation. Tous les risques ne peuvent pas être éliminés et toutes les mesures imaginables d’atténuation des risques ne sont pas financièrement réalisables. Les risques et coûts inhérents à l’aviation exigent un processus décisionnel rationnel. Tous les jours, il faut prendre des décisions en temps réel, en mettant en balance, d’une part, la probabilité et la gravité de toute conséquence négative induite par le risque et, d’autre part, l’avantage que l’on espère tirer de la prise de ce risque. Ce processus est connu sous le nom de « gestion des risques ». Aux fins du présent manuel, la gestion des risques peut être définie comme suit : • La gestion des risques est l’identification, l’analyse et l’élimination (et/ou l’atténuation jusqu’à un

niveau acceptable ou tolérable) des dangers, ainsi que des risques ultérieurs, qui menacent la viabilité d’une organisation.

6.1.2 En d’autres termes, la gestion des risques facilite la recherche d’un équilibre entre risques évalués et atténuation viable des risques. Elle fait partie intégrante de la gestion de la sécurité. Elle s’appuie sur un processus logique d’analyse objective, surtout dans l’évaluation des risques. 6.1.3 Un aperçu du processus de gestion des risques est présenté dans l’organigramme de la Figure 6-1. Comme le montre celle-ci, la gestion des risques se compose de trois éléments fondamentaux : l’identification des dangers, l’évaluation des risques et l’atténuation des risques. Les concepts de la gestion des risques s’appliquent de la même manière à la prise de décisions concernant les opérations aériennes, le contrôle de la circulation aérienne, la maintenance, la gestion des aéroports et l’administration publique.

6.2 IDENTIFICATION DES DANGERS 6.2.1 Le concept d’identification des dangers a été introduit au Chapitre 5. Étant donné qu’un danger peut concerner toute situation ou condition pouvant avoir des conséquences négatives, l’éventail des dangers en aviation est vaste. Voici quelques exemples : a) les facteurs conceptuels, y compris la conception du matériel et des tâches ;

Page 90: 9859 MANUEL SMS

6-2 Manuel de gestion de la sécurité (MGS)

Figure 6-1. Processus de gestion des risques

b) les procédures et les pratiques d’exploitation, y compris leur documentation et listes de vérification,

ainsi que leur validation dans les conditions d’exploitation réelles ; c) les communications, y compris le moyen, la terminologie et la langue ; d) les facteurs relatifs au personnel, comme les politiques de la compagnie en matière de recrutement,

de formation et de rémunération ; e) les facteurs organisationnels, tels que la compatibilité entre les objectifs de production et les

objectifs de sécurité, la répartition des ressources, les pressions opérationnelles et la culture de la sécurité de l’entreprise ;

f) les facteurs relatifs à l’environnement de travail, comme le bruit ambiant et les vibrations, la

température, l’éclairage et la mise à disposition de matériel et de vêtements de protection ; g) les facteurs concernant la supervision réglementaire, y compris l’applicabilité et la force exécutoire

des réglementations, la certification du matériel, du personnel et des procédures et le caractère adéquat des audits de surveillance ;

h) les moyens de défense, y compris des facteurs tels que la mise à disposition de systèmes de

détection et d’alerte adéquats, la résistance du matériel à l’erreur et la mesure dans laquelle le matériel est rendu plus résistant aux défaillances.

IDENTIFICATIONDES DANGERS

ÉVALUATION DU RISQUEGravité / Criticité

ÉVALUATION DU RISQUEProbabilité de concrétisation

ÉVALUATION DU RISQUEAcceptabilité

ATTÉNUATION DU RISQUE

Identifier les dangers pour le matériel,les biens, le personnel ou l’organisation

Évaluer la gravité des conséquencesd’une concrétisation du danger

Quelle est la probabilité qu’il se concrétise?

Le risque qui en résulte est-il acceptable etrentre-t-il dans les critères de performance

de sécurité de l’organisation?

Accepter le risquePrendre des mesuresde réduction du risqueà un niveau acceptable

Oui Non

Page 91: 9859 MANUEL SMS

Chapitre 6. Gestion des risques 6-3

6.2.2 Comme nous l’avons vu aux Chapitres 4 et 5, les dangers peuvent être reconnus au travers de véritables événements de sécurité (accidents ou incidents) ou via des processus proactifs d’identification avant que ces dangers ne déclenchent un événement. Dans la pratique, tant les mesures réactives que les processus proactifs constituent un moyen efficace d’identifier les dangers. 6.2.3 Les événements de sécurité sont la preuve flagrante de l’existence de problèmes dans le système et sont donc une occasion de tirer de précieuses leçons en matière de sécurité. Ils devraient par conséquent faire l’objet d’enquêtes afin d’identifier les dangers qui menacent le système. Ces enquêtes devraient porter sur tous les facteurs intervenus dans l’événement, y compris les facteurs organisationnels et humains. Le Chapitre 8 contient des conseils concernant les enquêtes sur les événements de sécurité. Plusieurs méthodes proactives d’identification des dangers sont évoquées aux Chapitres 16 et 17. 6.2.4 Dans un système de gestion de la sécurité qui a déjà fait ses preuves, l’identification des dangers devrait se faire à partir d’une multitude de sources dans le cadre d’un processus permanent. Toutefois, dans la vie d’une organisation, il arrive qu’il soit justifié d’accorder une attention particulière à l’identification des dangers. Les évaluations de la sécurité (traitées au Chapitre 13) offrent un processus structuré et systémique d’identification des dangers quand : a) on observe une augmentation inexpliquée des événements ou des infractions liées à la sécurité ; b) de grands changements sont prévus en matière d’exploitation, y compris des changements relatifs

aux membres principaux du personnel ou à du matériel ou des systèmes importants ; c) l’organisation subit une transformation importante, comme une croissance ou une contraction rapide ; d) une fusion de sociétés, une acquisition ou une réduction des effectifs est planifiée.

6.3 ÉVALUATION DU RISQUE 6.3.1 Une fois que la présence d’un danger pour la sécurité est confirmée, il faut une certaine forme d’analyse pour évaluer sa capacité à causer des lésions corporelles ou des dommages matériels. Généra-lement, cette évaluation du danger comporte trois aspects : a) la probabilité que le danger précipite un événement dangereux (c.-à-d. la probabilité de consé-

quences négatives si on laissait persister les conditions dangereuses sous-jacentes ) ; b) la gravité des éventuelles conséquences négatives ou les effets d’un événement dangereux ; c) le taux d’exposition aux dangers. La probabilité des conséquences négatives s’accroît avec

l’augmentation de l’exposition aux conditions dangereuses. L’exposition peut donc être considérée comme une autre dimension de la probabilité. Toutefois, certaines méthodes de définition de la probabilité peuvent aussi inclure l’élément d’exposition, par ex., un taux de 1 par 10 000 heures.

6.3.2 Le risque est le potentiel de conséquences négatives qui, selon les estimations, découlerait d’un danger. C’est la probabilité que se concrétise la capacité du danger à causer des dommages. 6.3.3 L’évaluation du risque concerne tant la probabilité que la gravité des conséquences négatives ; en d’autres termes, le potentiel de perte est déterminé. Lors de l’évaluation des risques, il est important de faire la distinction entre les dangers (la capacité à causer des dommages) et le risque (la probabilité que ces dommages se concrétisent dans un délai donné). Une matrice d’évaluation des risques (comme celle

Page 92: 9859 MANUEL SMS

6-4 Manuel de gestion de la sécurité (MGS)

présentée au Tableau 6-1) constitue un outil utile pour établir l’ordre de priorité des dangers auxquels il faut être le plus attentif. 6.3.4 Il existe de nombreuses manières — certaines plus formelles que d’autres — d’aborder les aspects analytiques de l’évaluation des risques. Pour certains risques, le nombre de variables et la disponibilité de données pertinentes ainsi que de modèles mathématiques peuvent permettre de dégager des résultats crédibles via des méthodes quantitatives (nécessitant l’analyse mathématique de données spécifiques). Néanmoins, en aviation, peu de dangers se prêtent à une analyse crédible par les seules méthodes numériques. Généralement, ces analyses sont complétées au niveau qualitatif par une analyse critique et logique des faits connus et des rapports qui existent entre eux. 6.3.5 De nombreuses publications sont disponibles sur les différents types d’analyses utilisés dans l’évaluation des risques. Des méthodes sophistiquées ne sont pas indispensables pour les évaluations des risques évoquées dans le présent manuel. Une connaissance de base de quelques méthodes suffit. 6.3.6 Quelles que soient les méthodes utilisées, les risques peuvent être exprimés de plusieurs manières, comme : a) le nombre de morts, la perte de revenus ou de parts de marché (c.-à-d. des nombres absolus) ; b) les taux de perte (par ex. le nombre de morts par 1 000 000 sièges-kilomètres parcourus) ; c) la probabilité d’accidents graves (par ex. 1 tous les 50 ans) ; d) la gravité des conséquences (par ex. la gravité des blessures) ; e) le montant des pertes prévisibles estimé en dollars par rapport aux recettes annuelles d’exploitation

(par ex. 1 million de dollars US de pertes pour 200 millions de dollars US de recettes).

Définition du problème 6.3.7 Dans tout processus analytique, il faut tout d’abord définir le problème. Même lorsque l’on a identifié un danger, il n’est pas toujours aisé de traduire ses caractéristiques en un problème à résoudre. Des personnes aux origines et expériences diverses percevront probablement les mêmes éléments sous des angles différents. Une situation présentant un risque significatif reflétera ces origines diverses, exacerbées par les préjugés humains normaux. Ainsi, les problèmes auront tendance à être perçus par les ingénieurs comme des défauts d’ingénierie, par les médecins comme des défauts médicaux, par les psychologues comme des problèmes comportementaux, etc. L’anecdote relatée dans l’encadré ci-dessous illustre les nombreuses facettes de la définition d’un problème.

L’accident de Charlie Charlie se dispute avec sa femme et se rend au bar du coin où il boit plusieurs verres. Il quitte le bar, monte dans sa voiture et démarre à vive allure. Quelques minutes plus tard, il perd le contrôle de son véhicule sur l’autoroute et est mortellement blessé. Nous connaissons la SÉQUENCE des événements. Nous devons maintenant en déterminer le POURQUOI.

Page 93: 9859 MANUEL SMS

Chapitre 6. Gestion des risques 6-5

L’équipe d’enquêteurs est composée de six spécialistes ayant chacun un point de vue complètement différent sur la carence de sécurité fondamentale. Le sociologue identifie une rupture de la communication entre les conjoints. Un policier chargé du contrôle de la vente d’alcool constate la vente illégale de deux boissons alcoolisées pour le prix d’une. Le médecin légiste établit que la concentration d’alcool dans le sang de Charlie dépassait la limite légale. L’ingénieur des autoroutes estime que les dévers et les barrières de sécurité sont inadaptés à la vitesse autorisée. Un ingénieur en mécanique automobile constate que la voiture de Charlie avait un pare-chocs mal fixé et des pneus lisses. Le policier souligne que le véhicule roulait à une vitesse excessive étant donné les conditions du moment. Chacun de ces points de vue peut déboucher sur une définition différente du danger sous-jacent.

6.3.8 Tous les facteurs cités dans cet exemple peuvent être valables, qu’ils soient pris individuel-lement ou globalement, ce qui montre bien la complexité de la causalité. Cependant, la manière de définir le problème de sécurité aura une incidence sur le type de mesure prise pour réduire ou éliminer les dangers. Lors de l’évaluation des risques, toutes les possibilités valables doivent être évaluées et seules les plus appropriées doivent être retenues.

Probabilité de conséquences négatives 6.3.9 Quelles que soient les méthodes analytiques utilisées, il faut évaluer la probabilité de lésions corporelles ou de dommages matériels. Cette probabilité dépendra des réponses apportées à des questions telles que : a) Un tel événement s’est-il déjà produit ou s’agit-il d’un cas isolé ? b) Quel autre matériel ou élément similaire pourrait présenter des défauts semblables ? c) Combien de membres du personnel d’exploitation ou de maintenance suivent les procédures en

question ou y sont soumis ? d) Pendant quel pourcentage du temps le matériel suspect ou la procédure douteuse sont-ils utilisés ? e) Dans quelle mesure existe-t-il des conséquences au niveau de l’organisation, de la gestion ou de la

réglementation, pouvant refléter des menaces plus importantes pour la sécurité publique ? 6.3.10 À partir de ces questions, la probabilité qu’un événement se produise peut être évaluée comme, par ex. : a) Peu probable. Parmi les défaillances « peu probables », on trouve les événements isolés et les

risques où le taux d’exposition est très faible ou l’échantillon petit. La complexité des circonstances nécessaires pour générer une situation d’accident peut être telle qu’il est peu probable que la même suite d’événements se reproduise. Par ex., il est peu probable que des systèmes indépendants connaissent une défaillance simultanée. Cependant, même si cette possibilité est très mince, les conséquences de défaillances simultanées peuvent justifier un suivi.

Page 94: 9859 MANUEL SMS

6-6 Manuel de gestion de la sécurité (MGS)

Note.— On a naturellement tendance à attribuer des événements peu probables à une « coïncidence ». La prudence est de mise. Alors qu’une coïncidence est statistiquement possible, elle ne devrait pas être utilisée comme excuse pour justifier l’absence d’une analyse.

b) Possible. Des défaillances « possibles » découlent de dangers assortis d’une probabilité raison-

nable qu’il faille s’attendre à des modèles similaires de performance humaine dans des conditions de travail semblables ou que les mêmes défauts du matériel existent ailleurs dans le système.

c) Probable. De tels événements reflètent un modèle (ou un modèle potentiel) de défaillances maté-

rielles n’ayant pas encore été rectifiées. Étant donné la conception ou la maintenance du matériel, sa résistance dans des conditions d’exploitation connues, etc., une exploitation continue mènerait certainement à une défaillance. De même, étant donné les preuves empiriques de certains aspects des performances humaines, on peut s’attendre selon toute probabilité à ce que des personnes normales travaillant dans des conditions similaires commettent les mêmes erreurs ou soient susceptibles d’arriver au même résultat de performance indésirable.

Gravité des conséquences des événements 6.3.11 Après avoir déterminé la probabilité de l’événement, il faut évaluer la nature des conséquences négatives si cet événement se réalisait. Ces conséquences potentielles déterminent le degré d’urgence lié à la mesure de sécurité requise. S’il existe un risque considérable de conséquences catastrophiques ou si le risque de blessures, de dommages matériels ou environnementaux graves est élevé, une mesure de suivi urgente se justifie. L’évaluation de la gravité des conséquences d’un événement pourrait s’appuyer sur les types de questions suivants : a) Combien de vies sont menacées ? (Membres du personnel, passagers, passants et grand public.) b) Quelle est l’ampleur probable des dommages matériels ou financiers ? (Perte directe de biens

pour l’exploitant, dommage à l’infrastructure aérienne, dommages collatéraux à des tiers, incidences financières et impact économique pour l’État.)

c) Quelle est la probabilité d’un impact environnemental ? (Déversement de carburant ou d’autres

produits dangereux et perturbation physique de l’habitat naturel.) d) Selon toute probabilité, quels seront les conséquences politiques et/ou l’intérêt des médias ?

Acceptabilité du risque 6.3.12 L’évaluation des risques permet de classer les risques par ordre d’importance par rapport à d’autres dangers non résolus. Cette étape est cruciale pour décider de façon rationnelle comment répartir des ressources limitées pour lutter contre les dangers présentant les plus gros risques pour l’organisation. 6.3.13 Établir un ordre de priorité des risques requiert une base rationnelle pour classer un risque par rapport aux autres. Des critères ou des normes sont nécessaires pour définir ce qu’est un risque acceptable et ce qu’est un risque inacceptable. En comparant la probabilité de conséquences indésirables à la gravité potentielle de ces conséquences, il est possible de classer le risque dans une catégorie à l’intérieur d’une matrice d’évaluation des risques. De nombreuses versions de ce type de matrices sont disponibles dans des publications. Bien que la terminologie ou les définitions utilisées pour les diverses catégories puissent varier, ces tableaux reflètent généralement les idées résumées au Tableau 6-1.

Page 95: 9859 MANUEL SMS

Chapitre 6. Gestion des risques 6-7

Tableau 6-1. Matrice d’évaluation des risques

GRAVITÉ DES CONSÉQUENCES PROBABILITÉ DE L’ÉVÉNEMENT

Définition dans

l’aviation Signification Valeur Définition qualitative Signification Valeur

Catastrophique Matériel détruit. Nombreux morts.

5 Fréquente Se produira probablement souvent

5

Dangereuse Forte réduction des marges de sécurité, souffrance physique ou charge de travail telle qu’on ne peut plus être sûr que les opérateurs fourniront un travail précis ni complet. Blessures graves ou décès de plusieurs personnes. Importants dégâts matériels.

4 Occasionnelle Se produira probablement de temps en temps

4

Majeure Forte réduction des marges de sécurité, perte de capacité des opérateurs à faire face à des conditions d’exploitation négatives suite à une augmentation de la charge de travail en raison de conditions limitant leur efficacité. Incident grave. Personnes blessées.

3 Faible Peu probable, mais possible

3

Mineure Désagrément. Limitation de l’exploitation. Recours à des procédures d’urgence. Incident mineur.

2 Improbable Très peu probable 2

Négligeable Peu de conséquences

1 Extrêmement improbable

Presque impensable que l’événement se produise

1

Page 96: 9859 MANUEL SMS

6-8 Manuel de gestion de la sécurité (MGS)

6.3.14 Dans cette version de matrice d’évaluation des risques :

a) La gravité du risque est déclinée en catastrophique, dangereuse, majeure, mineure ou négligeable, avec chaque fois une description de la gravité potentielle des conséquences. Comme mentionné au § 6.3.13, on peut utiliser d’autres définitions reflétant la nature de l’opération analysée.

b) La probabilité d’un événement est également ventilée en cinq niveaux de définitions qualitatives, et des descriptions sont fournies pour chaque degré de probabilité.

c) Des valeurs numériques peuvent être attribuées pour pondérer l’importance relative de chaque niveau de gravité et de probabilité. On peut alors déduire une évaluation composite des risques afin de faciliter leur comparaison en multipliant les valeurs de gravité et de probabilité.

6.3.15 Après avoir utilisé une matrice des risques pour attribuer des valeurs aux risques, il est possible de donner plusieurs valeurs pour classer les risques comme acceptables, indésirables et inacceptables. Ces termes sont expliqués ci-dessous :

• Acceptable signifie qu’aucune mesure ne doit être prise (à moins que le risque puisse être réduit davantage à peu de frais ou avec peu d’efforts).

• Indésirable (ou tolérable) signifie que les personnes concernées sont prêtes à vivre avec ce risque afin de jouir de certains avantages, à condition que le risque soit atténué le plus possible.

• Inacceptable signifie qu’étant donné les circonstances présentes, l’exploitation doit cesser jusqu’à ce que le risque soit ramené au moins au niveau tolérable.

6.3.16 Dans une approche moins numérique de détermination de l’acceptabilité de certains risques, on examine notamment les facteurs suivants :

a) La gestion. Le risque correspond-t-il à la politique et aux normes de l’entreprise en matière de sécurité ?

b) Les implications financières. La nature du risque fait-elle échec à tout mode de résolution rentable ?

c) L’aspect juridique. Le risque est-il conforme aux normes réglementaires en vigueur et aux moyens d’exécution ?

d) L’aspect culturel. Comment le personnel de l’organisation et d’autres parties prenantes percevra-t-il ce risque ?

e) Le marché. La compétitivité et le bien-être de l’organisation vis-à-vis d’autres organisations seront-ils compromis si le risque n’est ni réduit ni éliminé ?

f) L’aspect politique. Y aura-t-il un prix politique à payer si le risque n’est ni réduit ni éliminé ?

g) L’opinion publique. Quelle sera l’influence des médias ou de groupements d’intérêts sur l’opinion publique concernant ce risque ?

6.4 ATTÉNUATION DU RISQUE 6.4.1 En matière de risque, la sécurité absolue n’existe pas. Les risques doivent être ramenés au niveau « le plus faible que l’on puisse raisonnablement atteindre » (ALARP). Cela signifie qu’il faut faire la part des choses entre, d’un côté, le risque et, d’un autre côté, le temps, le coût et la difficulté liés à l’adoption de mesures visant à réduire ou éliminer le risque.

Page 97: 9859 MANUEL SMS

Chapitre 6. Gestion des risques 6-9

6.4.2 Lorsque le risque a été jugé indésirable ou inacceptable, des mesures de contrôle doivent être prises : l’urgence sera à la mesure de l’ampleur du risque. Le niveau de risque peut être diminué en réduisant la gravité des conséquences potentielles, en limitant la probabilité d’un événement ou l’exposition à ce risque. 6.4.3 La solution optimale dépendra des circonstances et des exigences locales. Pour élaborer une mesure de sécurité adéquate, il faut comprendre la pertinence des moyens de défense existants.

Analyse des moyens de défense 6.4.4 Les moyens de défense mis en place pour protéger les personnes, les biens ou l’environnement constituent un élément important de tout système de sécurité. Ces moyens de défense peuvent être utilisés pour :

a) réduire la probabilité d’événements non désirés ;

b) réduire la gravité des conséquences liées à tout événement non désiré. 6.4.5 Les moyens de défense peuvent être classés en deux catégories, à savoir :

a) Les moyens de défense physiques. Ceux-ci recouvrent entre autres des objets qui découragent ou empêchent un acte inapproprié ou encore atténuent les conséquences des événements (par ex. des contacteurs d’interdiction de rentrée du train au sol, des cache-interrupteurs, des cloisons pare-feu, du matériel de survie, des avertissements et des alarmes).

b) Les moyens de défense administratifs. Il s’agit notamment des procédures et des pratiques atténuant la probabilité d’un accident (par ex., la réglementation en matière de sécurité, les SOP, la supervision et l’inspection ainsi que les compétences personnelles).

6.4.6 Avant de choisir des stratégies appropriées d’atténuation des risques, il est important de comprendre pourquoi le système de défense existant était inadapté. À cette fin, il peut être intéressant de se poser la série de questions que voici :

a) Existait-il des moyens de défense contre de tels dangers ?

b) Ont-ils fonctionné comme prévu ?

c) Étaient-ils faciles à utiliser dans les conditions de travail réelles ?

d) Le personnel concerné était-il conscient des risques et des moyens de défense existants ?

e) Faut-il davantage de mesures d’atténuation des risques ?

Stratégies d’atténuation du risque 6.4.7 En matière d’atténuation du risque, il existe un éventail de stratégies disponibles. Par ex. :

a) Éviter l’exposition. Les tâches, pratiques, opérations ou activités présentant un risque sont évitées parce que ce risque dépasse les avantages.

b) Réduire les pertes. Des mesures sont prises pour réduire la fréquence des événements dangereux ou l’ampleur de leurs conséquences.

Page 98: 9859 MANUEL SMS

6-10 Manuel de gestion de la sécurité (MGS)

c) Isoler l’exposition (séparation ou duplication). Des mesures sont prises pour isoler les effets du risque ou instaurer une redondance afin de se protéger contre les risques, c.-à-d. de réduire la gravité de ceux-ci (par ex., se prémunir contre les dommages collatéraux en cas de défaillance du matériel ou prévoir des systèmes de secours visant à réduire la probabilité d’une défaillance totale du système).

Recherche d’idées 6.4.8 Il n’est pas simple de trouver les idées nécessaires à l’élaboration de mesures appropriées d’atténuation des risques. Cela requiert souvent de la créativité, de l’ingéniosité et, surtout, une ouverture d’esprit permettant d’envisager toutes les solutions possibles. La réflexion de ceux qui sont les plus proches du problème (habituellement ceux qui ont la plus grande expérience) est souvent teintée d’habitudes et de préjugés naturels. Une large participation, avec des représentants des différentes parties concernées, aide à vaincre des attitudes rigides. Pour résoudre efficacement les problèmes dans un monde complexe, il est essentiel d’être innovant. Il faudrait soigneusement peser le pour et le contre de toutes les nouvelles idées avant de les rejeter.

Évaluer les options d’atténuation du risque 6.4.9 L’évaluation des options d’atténuation des risques montre qu’elles n’ont pas toutes le même potentiel de réduction des risques. Il faut évaluer l’efficacité de chaque option avant de pouvoir prendre une décision. Pour trouver une solution optimale, il est important de prendre en considération tout l’éventail des mesures de contrôle possibles et d’envisager des compromis entre différentes mesures. Chaque option d’atténuation des risques devrait être examinée sous les angles suivants : a) Efficacité. Va-t-elle réduire ou éliminer les risques identifiés ? Jusqu’à quel point les autres options

atténuent-elles les risques ? L’efficacité peut être considérée comme se situant dans une réalité à divers degrés, ces degrés étant :

1) le niveau un (mesures d’ingénierie) : la mesure de sécurité élimine le risque, par ex. en

prévoyant des dispositifs de verrouillage pour empêcher l’activation de l’inverseur de poussée en vol ;

2) le niveau deux (mesures de contrôle) : la mesure de sécurité accepte le risque mais modifie le

système pour l’atténuer en le réduisant à un niveau gérable, par ex. en imposant des conditions d’exploitation plus restrictives ;

3) le niveau trois (mesures relatives au personnel) : la mesure de sécurité adoptée accepte que le

danger ne puisse être ni éliminé (niveau un) ni contrôlé (niveau deux), de telle sorte qu’il faut apprendre au personnel comment y faire face, notamment en ajoutant un avertissement, une liste de vérification révisée ou une formation supplémentaire ;

b) Coûts/avantages. Les avantages que semble présenter l’option l’emportent-ils sur son coût ? Les

bénéfices potentiels seront-ils proportionnels aux incidences du changement requis ? c) Faisabilité. Est-ce faisable et approprié technologiquement, financièrement et administrativement

ainsi que du point de vue de la législation et des réglementations en vigueur, de la volonté politique, etc. ?

d) Mise en question. La mesure d’atténuation du risque peut-elle résister à l’examen critique de

toutes les personnes concernées (personnel, direction, actionnaires/pouvoirs publics, etc.) ?

Page 99: 9859 MANUEL SMS

Chapitre 6. Gestion des risques 6-11

e) Acceptabilité pour chaque partie concernée. Quel degré d’acceptation (ou de résistance) peut être attendu de la part des parties concernées ? (Des discussions avec celles-ci au cours de la phase d’évaluation des risques peuvent indiquer quelle est leur option préférée d’atténuation des risques.)

f) Caractère exécutoire. Si de nouvelles règles (SOP, règlements, etc.) sont appliquées, ont-elles un

caractère exécutoire ? g) Durabilité. La mesure résistera-t-elle à l’épreuve du temps ? Sera-t-elle bénéfique temporairement

ou aura-t-elle une utilité à long terme ? h) Risques résiduels. Après la mise en œuvre de la mesure d’atténuation des risques, quels seront

les risques résiduels associés au danger initial ? Quelle est la capacité d’atténuer tout risque résiduel ? i) Nouveaux problèmes. Quels nouveaux problèmes ou nouveaux risques (peut-être plus importants)

seront introduits par le changement proposé ? 6.4.10 Il est évident qu’il faut accorder la préférence aux mesures correctrices qui élimineront complètement le risque. Malheureusement, ces solutions sont souvent les plus onéreuses. Dans l’autre cas extrême, lorsque la volonté ou les ressources de l’organisation sont insuffisantes, le problème est souvent transmis au service en charge de la formation pour apprendre au personnel comment faire face aux risques. Dans de tels cas, il se peut que la direction évite de prendre des décisions difficiles en déléguant la responsabilité du risque à des subordonnés.

6.5 COMMUNICATION DU RISQUE 6.5.1 La communication des risques englobe tous les échanges de renseignements relatifs aux risques, c.-à-d. toutes les communications publiques ou privées informant d’autres personnes quant à l’existence, la nature, la forme, la gravité ou l’acceptabilité des risques. Les besoins en information des groupes suivants peuvent requérir une attention particulière : a) la direction doit être avertie de tous les risques présentant un potentiel de pertes pour l’organi-

sation ; b) les personnes exposées aux risques identifiés doivent être avisées de leur gravité et de la probabi-

lité qu’ils se concrétisent ; c) ceux qui ont identifié le danger ont besoin d’un retour d’informations sur la mesure proposée ; d) les personnes concernées par toute modification prévue doivent être informées à la fois des

dangers et du raisonnement qui sous-tend la mesure prise ; e) les autorités de réglementation, les fournisseurs, les associations de l’industrie aéronautique, le

grand public, etc., peuvent avoir besoin d’informations sur des risques spécifiques ; f) les parties prenantes peuvent aider le(s) décideur(s) si les risques sont communiqués rapidement

de manière honnête, objective et compréhensible. Une communication efficace des risques (et des projets destinés à les résoudre) ajoute de la valeur au processus de gestion des risques.

6.5.2 Si les leçons tirées en matière de sécurité ne sont pas communiquées clairement et en temps utile, la politique de la direction visant à promouvoir une culture positive de la sécurité s’en trouvera

Page 100: 9859 MANUEL SMS

6-12 Manuel de gestion de la sécurité (MGS)

décrédibilisée. Pour que les messages de sécurité soient crédibles, il faut qu’ils correspondent aux faits, aux déclarations précédentes de la direction et aux messages des autres autorités. Ces messages doivent être exprimés dans un langage compréhensible pour les parties concernées.

6.6 ASPECTS DE LA GESTION DES RISQUES POUR LES ADMINISTRATIONS PUBLIQUES

6.6.1 Les techniques de gestion des risques ont des conséquences pour les administrations publiques dans des domaines allant de l’élaboration de politiques aux décisions « acceptation/refus » auxquelles sont confrontés les inspecteurs de première ligne de l’aviation civile, notamment en ce qui concerne : a) La politique générale. Jusqu’à quel point un État doit-il accepter les formalités administratives de

certification d’un autre État ? b) La modification de la réglementation. Comment les décisions sont-elles prises à partir de toutes

les recommandations (souvent contradictoires) en matière de changement de réglementation ? c) La fixation des priorités. Comment détermine-t-on les domaines de sécurité auxquels il faut

accorder une importance particulière lors des audits de supervision de la sécurité ? d) La gestion opérationnelle. Comment les décisions sont-elles prises lorsque les ressources dispo-

nibles sont insuffisantes pour mener à bien toutes les activités prévues ? e) Les inspections opérationnelles. En première ligne, comment les décisions sont-elles prises

quand des erreurs cruciales sont découvertes en dehors des heures de travail normales ?

Situations justifiant une gestion des risques par les administrations publiques 6.6.2 Certaines situations devraient alerter les administrations publiques de l’aviation quant au besoin éventuel d’appliquer des méthodes de gestion des risques, par ex. : a) les jeunes entreprises ou les entreprises à croissance rapide ; b) les fusions d’entreprises ; c) les entreprises au bord de la faillite ou en proie à d’autres difficultés financières ; d) les entreprises confrontées à de graves conflits sociaux ; e) l’introduction de nouveau matériel important par un exploitant ; f) la certification d’un nouveau type d’aéronef, d’un nouvel aéroport, etc. ; g) l’introduction d’un nouveau matériel ou de nouvelles procédures de communication, navigation ou

surveillance ; h) des modifications considérables du Règlement de l’Air ou d’autres lois pouvant avoir des incidences

sur la sécurité de l’aviation.

Page 101: 9859 MANUEL SMS

Chapitre 6. Gestion des risques 6-13

6.6.3 La gestion du risque par les administrations publiques sera influencée par des facteurs tels que : a) le temps disponible pour prendre la décision (d’immobiliser un aéronef, de révoquer un permis

d’exploitation, etc.) ; b) les ressources disponibles pour appliquer les mesures nécessaires ; c) le nombre de personnes touchées par les mesures requises (toute la société, toute la flotte, le

niveau régional, national, international, etc.) ; d) l’impact potentiel de la décision d’action (ou d’inaction) de l’administration publique ; e) la volonté culturelle et politique de prendre la mesure requise.

Avantages de la gestion des risques pour les administrations publiques 6.6.4 Le recours à des techniques de gestion des risques lors de la prise de décisions présente des avantages pour les administrations publiques. En voici quelques exemples : a) éviter des fautes coûteuses au cours du processus décisionnel ; b) garantir que tous les aspects du risque sont identifiés et pris en considération lors de la prise de

décisions ; c) garantir que les intérêts légitimes des parties prenantes concernées sont pris en compte ; d) donner aux décideurs une base solide pour défendre le bien-fondé de leurs décisions ; e) faciliter l’explication des décisions aux parties prenantes et au grand public ; f) permettre d’importantes économies de temps et d’argent.

Page 102: 9859 MANUEL SMS

Page blanche

Page 103: 9859 MANUEL SMS

7-1

Chapitre 7

COMPTES RENDUS DE DANGERS ET D’INCIDENTS

7.1 INTRODUCTION AUX SYSTÈMES DE COMPTES RENDUS 7.1.1 Les systèmes de gestion de la sécurité englobent l’identification réactive et proactive des dangers pour la sécurité. Les enquêtes sur les accidents permettent d’en apprendre beaucoup sur les dangers pour la sécurité. Mais, heureusement, les accidents d’aviation sont des événements rares. Cependant, ils font généralement l’objet d’une enquête plus approfondie que les incidents. Lorsque des initiatives de sécurité ne se basent que sur des données d’accidents, elles pâtissent de la petitesse de l’échantillon de cas. Par conséquent, ce sont peut-être les mauvaises conclusions qui seront tirées ou des mesures correctives inappropriées qui seront prises. 7.1.2 Les recherches qui ont abouti à la règle 1/600 ont montré que les incidents étaient nettement plus nombreux que les accidents pour des types d’événements comparables. Les causes et facteurs contributifs liés aux incidents peuvent également déboucher sur des accidents. Souvent, seule la chance empêche un incident de se transformer en accident. Malheureusement, ces incidents ne sont pas toujours connus des personnes responsables de la réduction et de l’élimination des risques associés, peut-être parce qu’il n’existe pas de systèmes de comptes rendus ou parce que le personnel n’est pas suffisamment encouragé à faire rapport sur les incidents.

Valeur des systèmes de comptes rendus en matière de sécurité 7.1.3 Les leçons tirées d’incidents peuvent aider à bien comprendre les dangers pour la sécurité. Une fois cette réalité admise, plusieurs types de systèmes de comptes rendus d’incidents ont été mis au point. Certaines bases de données sur la sécurité contiennent une grande quantité d’informations détaillées. Les systèmes contenant les informations tirées des enquêtes sur les accidents et les incidents peuvent être regroupés avec les bases de données sur la sécurité sous le concept général de « systèmes de collecte et de traitement des données sur la sécurité » (SDCPS). Le concept SDCPS fait référence aux systèmes de traitement et de comptes rendus, aux bases de données, aux systèmes d’échanges d’informations ainsi qu’aux informations enregistrées et il inclut les dossiers d’enquêtes sur les accidents et les incidents, les systèmes obligatoires de comptes rendus d’incidents, les systèmes volontaires de comptes rendus d’incidents et les systèmes d’auto-divulgation (y compris les systèmes automatiques et manuels de saisie de données). Bien que les incidents ne fassent pas l’objet d’enquêtes approfondies, les informations empiriques qu’ils fournissent peuvent s’avérer très utiles pour bien comprendre les perceptions et les réactions des pilotes, des équipages de cabine, des AME, des ATCO et du personnel d’aérodrome. 7.1.4 Les systèmes de comptes rendus sur la sécurité ne devraient pas se limiter aux seuls incidents mais devraient pouvoir couvrir les dangers, c.-à-d. les conditions dangereuses qui n’ont pas encore causé d’incident. Par exemple, certaines organisations disposent de programmes de comptes rendus de conditions jugées insatisfaisantes du point de vue du personnel expérimenté (les Rapports d’état non satisfaisant, sur des défectuosités techniques potentielles). Dans certains États, des systèmes de comptes rendus de difficultés constatées en service (SDR) identifient efficacement les dangers pour la navigabilité. Le regroupement des données de tels rapports sur les dangers et les incidents constitue une source importante d’expérience pour étayer d’autres activités de gestion de la sécurité.

Page 104: 9859 MANUEL SMS

7-2 Manuel de gestion de la sécurité (MGS)

7.1.5 Les données provenant des systèmes de comptes rendus d’incidents peuvent faciliter la compréhension des causes des dangers, aider à définir des stratégies d’intervention et à vérifier l’efficacité de ces interventions. Les incidents peuvent, en fonction du degré de détail des enquêtes menées à leur sujet, constituer un moyen unique d’obtenir des personnes concernées des preuves originales sur les facteurs liés aux incidents. Les auteurs des comptes rendus peuvent décrire les relations entre les stimuli et leurs actions. Ils peuvent donner leur interprétation des effets des divers facteurs affectant leur performance, comme la fatigue, les interactions interpersonnelles et les distractions. En outre, nombre d’entre eux sont à même de faire de bonnes suggestions en matière de mesures correctives. Des données d’incidents ont également été utilisées pour améliorer les procédures d’exploitation, la conception des affichages et des commandes ainsi que pour mieux comprendre les performances humaines associées à l’exploitation de l’aéronef, à l’ATC et aux aérodromes.

Exigences de l’OACI1 7.1.6 L’OACI exige des États qu’ils établissent un système obligatoire de comptes rendus d’incidents pour faciliter la collecte de renseignements sur les insuffisances réelles ou éventuelles en matière de sécu-rité. De plus, les États sont encouragés à créer un système volontaire de comptes rendus d’incidents et à adapter leurs lois, règlements et politiques afin que le programme volontaire : a) facilite la collecte de renseignements qui peuvent ne pas être recueillis au moyen d’un système

obligatoire de comptes rendus d’incidents ; b) soit non punitif ; c) assure la protection des sources d’information.

7.2 TYPES DE SYSTÈMES DE COMPTES RENDUS D’INCIDENTS 7.2.1 En général, un incident suppose une condition ou un événement dangereux ou potentiellement dangereux sans blessure grave ni dommage matériel important, c.-à-d. ne remplissant pas les critères de définition d’un accident. Lorsqu’un incident se produit, les personnes concernées peuvent être tenues ou non de remettre un compte rendu. Les exigences de compte rendu varient selon la législation de l’État où l’incident a eu lieu. Même si la loi ne l’impose pas, les exploitants peuvent exiger la remise d’un compte rendu de l’événement à l’organisation.

Systèmes obligatoires de comptes rendus d’incidents 7.2.2 Dans un système obligatoire, les individus sont tenus de faire rapport sur certains types d’incidents. Pour cela, il faut une réglementation détaillée indiquant qui doit rédiger les comptes rendus et quels incidents doivent en faire l’objet. Dans l’exploitation aérienne, le nombre de variables est tellement élevé qu’il est difficile de fournir une liste complète des éléments ou conditions justifiant un compte rendu. Par exemple, la perte d’un système hydraulique sur un aéronef n’en comportant qu’un seul est critique, alors qu’elle ne l’est peut-être pas sur un aéronef équipé de trois ou quatre de ces systèmes. Ce qui constitue un

1. Cf. l’Annexe 13, Chapitre 8.

Page 105: 9859 MANUEL SMS

Chapitre 7. Comptes rendus de dangers et d’incidents 7-3

problème relativement mineur dans certaines circonstances peut entraîner une situation dangereuse dans d’autres circonstances. Toutefois, la règle devrait être : « Dans le doute, signalez-le ». 7.2.3 Dans la mesure où les systèmes obligatoires concernent principalement les questions de « matériel », ils tendent à collecter plus d’informations sur les défaillances techniques que sur les perfor-mances humaines. Pour permettre de surmonter ce problème, les États disposant de systèmes obligatoires de comptes rendus bien développés mettent en place des systèmes volontaires de comptes rendus d’incidents visant à obtenir plus d’informations sur les aspects des facteurs humains liés à ces événements.

Systèmes volontaires de comptes rendus d’incidents 7.2.4 L’Annexe 13 recommande que les États introduisent des systèmes volontaires de comptes rendus d’incidents afin de compléter les informations obtenues grâce aux systèmes obligatoires de comptes rendus. Dans de tels systèmes, la personne faisant rapport rédige un compte rendu volontaire d’incident sans qu’il n’existe la moindre obligation légale ou administrative de le faire. Dans un système volontaire de comptes rendus, les autorités de réglementation peuvent prévoir des mesures d’incitation à faire rapport. Par exemple, une mesure coercitive peut être levée si des infractions involontaires sont signalées. Les informations signalées ne devraient pas être utilisées contre les auteurs des comptes rendus, c.-à-d. que de tels systèmes doivent être non punitifs pour encourager le signalement de ces informations.

Systèmes confidentiels de comptes rendus 7.2.5 Les systèmes confidentiels de comptes rendus visent à protéger l’identité de l’auteur du compte rendu. C’est une manière de garantir que les systèmes volontaires de comptes rendus soient non punitifs. La confidentialité est habituellement réalisée par désidentification, souvent en n’enregistrant aucune information identifiante concernant l’événement. Un système de ce type renvoie à l’utilisateur la partie identifiante du formulaire de compte rendu et aucune trace de ces renseignements n’est conservée. Les systèmes confidentiels de comptes rendus d’incidents facilitent la révélation des erreurs humaines sans embarras ou crainte de sanctions et permettent aux autres de tirer des leçons d’erreurs passées.

7.3 PRINCIPES POUR DES SYSTÈMES EFFICACES DE COMPTES RENDUS D’INCIDENTS

7.3.1 Les individus hésitent bien évidemment à faire rapport sur leurs erreurs auprès de l’organisation qui les emploie ou de leur ministère de tutelle. Trop souvent, les enquêteurs apprennent à la suite d’un événement que de nombreuses personnes étaient conscientes de l’existence des conditions dangereuses avant que l’événement ne se produise. Toutefois, pour diverses raisons, elles n’avaient pas fait rapport sur ces dangers perçus, peut-être pour les motifs suivants :

a) embarras vis-à-vis des pairs ;

b) auto-incrimination, surtout si elles étaient responsables d’avoir créé la condition dangereuse ;

c) mesures de rétorsion de leur employeur pour s’être exprimé ;

d) sanction (telle qu’une mesure coercitive) infligée par l’autorité de réglementation. 7.3.2 L’application des principes décrits aux § 7.3.3 à 7.3.12 aide à surmonter la résistance naturelle à déposer des comptes rendus de sécurité.

Page 106: 9859 MANUEL SMS

7-4 Manuel de gestion de la sécurité (MGS)

Confiance 7.3.3 Les personnes rendant compte d’incidents doivent avoir la certitude que l’organisation (État ou compagnie) n’utilisera pas les informations contre elles de quelque manière que ce soit. Sans cette confiance, elles ne seront pas enclines à rendre compte de leurs fautes ou d’autres dangers qu’elles ont observés. 7.3.4 La confiance se construit dès la conception et la mise en œuvre du système de comptes rendus. La contribution du personnel à l’élaboration d’un système de comptes rendus est donc vitale. Une culture positive de la sécurité au sein de l’organisation génère la confiance nécessaire à la réussite d’un système de comptes rendus d’incidents. Cette culture doit surtout être tolérante à l’erreur et juste. En outre, les systèmes de comptes rendus d’incidents doivent être perçus comme équitables dans la manière dont ils traitent les erreurs ou les fautes involontaires. (La plupart des individus n’attendent pas d’un système de comptes rendus d’incidents qu’il exempte les actes criminels ou les infractions délibérées de poursuites judiciaires ou de mesures disciplinaires.) Certains États considèrent un tel processus comme un exemple de « culture juste ».

Non punitif 7.3.5 Les systèmes non punitifs de comptes rendus reposent sur la confidentialité. Avant que les membres du personnel rendent librement compte d’incidents, ils doivent avoir reçu de l’autorité de réglementation ou de la direction l’engagement que les informations signalées ne seront pas utilisées contre eux à des fins punitives. La personne faisant rapport de l’incident (ou de la condition dangereuse) doit avoir la certitude que tout ce qu’elle dit restera confidentiel. Dans certains États, les lois relatives à « l’accès à l’information » rendent la confidentialité de plus en plus difficile à garantir. Dans de tels cas, les informations signalées tendent à se limiter au minimum pour remplir les exigences de compte rendu obligatoire. 7.3.6 Il est parfois fait référence aux systèmes anonymes de comptes rendus. Les comptes rendus anonymes sont différents des comptes rendus confidentiels. Les systèmes de comptes rendus qui fonctionnent le mieux disposent de l’une ou l’autre possibilité de rappel afin de confirmer les détails ou d’obtenir une meilleure compréhension de l’événement. Faire rapport de manière anonyme ne permet pas de « rappeler » l’auteur pour s’assurer que ses informations ont bien été comprises et sont complètes. Le danger existe, en outre, que les comptes rendus anonymes soient utilisés à des fins autres que la sécurité.

Large base de compte rendu 7.3.7 Les premiers systèmes volontaires de comptes rendus s’adressaient aux équipages de conduite. Les pilotes sont bien placés pour observer un large spectre du système aéronautique et sont donc à même de faire des remarques sur la santé de ce système. Néanmoins, les systèmes de comptes rendus d’incidents se concentrant uniquement sur le point de vue des équipages de conduite tendent à renforcer l’idée que tout se résume à des erreurs de pilotage. Adopter une approche systémique de la gestion de la sécurité requiert que les informations sur la sécurité soient obtenues auprès de toutes les parties associées à l’exploitation. 7.3.8 Dans les systèmes de comptes rendus d’incidents gérés par l’État, la collecte d’informations sur le même événement à partir de différents points de vue aide à se forger une idée plus complète des événements. Par exemple, l’ATC commande à un aéronef de « remettre les gaz » parce qu’un véhicule de maintenance se trouve sur la piste sans autorisation. Il est certain que le pilote, l’ATCO et le conducteur du véhicule n’auront pas vu la situation de la même façon. S’appuyer sur une seule manière de voir les choses peut ne pas donner une vue d’ensemble de l’événement.

Page 107: 9859 MANUEL SMS

Chapitre 7. Comptes rendus de dangers et d’incidents 7-5

Indépendance 7.3.9 Idéalement, les systèmes volontaires de comptes rendus d’incidents de l’État devraient être gérés par une organisation distincte de l’administration de l’aviation responsable de l’application des régle-mentations aériennes. L’expérience de plusieurs États a montré que les comptes rendus volontaires tirent avantage de l’attribution de la gestion du système à une « tierce partie » de confiance. Cette tierce partie reçoit, traite et analyse les comptes rendus d’incidents et fournit les résultats à l’administration de l’aviation et à la communauté de l’aviation. Avec les systèmes obligatoires de comptes rendus, il peut être impossible de recourir à une tierce partie. Néanmoins, il est souhaitable que l’administration de l’aviation s’engage clairement à ce que toute information reçue ne soit utilisée qu’à des fins de sécurité. Le même principe s’applique à une compagnie ou à tout autre exploitant du secteur aéronautique qui utilise les comptes rendus d’incidents dans le cadre de son système de gestion de la sécurité.

Facilité de compte rendu 7.3.10 La procédure de dépôt de comptes rendus d’incidents devrait être la plus facile possible. Des formulaires de compte rendu devraient être faciles à obtenir afin que toute personne qui le souhaite puisse faire rapport sans difficulté. Ces formulaires devraient être faciles à remplir, offrir suffisamment d’espace pour une description de l’événement et encourager les suggestions quant aux manières d’améliorer la situation ou d’éviter que l’événement ne se répète. Pour simplifier le travail de compte rendu, on peut utiliser un système de cases à cocher pour classer les informations comme le type d’opération, les conditions de luminosité, le type de plan de vol et les conditions météorologiques.

Accusé de réception 7.3.11 Rendre compte d’un événement demande du temps et de l’énergie et il faudrait donc envoyer un accusé de réception approprié. Afin de favoriser la transmission d’autres comptes rendus, un État joint un formulaire vierge à son accusé de réception. En outre, l’auteur attend bien naturellement des informations en retour quant aux mesures prises en réaction aux préoccupations de sécurité contenues dans son rapport.

Publicité 7.3.12 Les informations (désidentifiées) reçues via un système de comptes rendus d’incidents devraient être mises à la disposition de la communauté de l’aviation dans les meilleurs délais. Ceci pourrait se faire sous forme de bulletins mensuels ou de résumés périodiques. L’idéal serait d’employer diverses méthodes afin d’assurer la plus grande diffusion possible. De telles activités de publicité peuvent aider à motiver les individus à faire rapport sur d’autres incidents.

7.4 SYSTÈMES INTERNATIONAUX DE COMPTES RENDUS D’INCIDENTS

Système de comptes rendus d’accident/incident de l’OACI (ADREP) 7.4.1 En vertu de l’Annexe 13, les États font rapport à l’OACI sur tous les accidents d’avion impliquant un aéronef dont la masse maximale certifiée au décollage est supérieure à 2 250 kg. L’OACI collecte également des informations sur les incidents d’aéronefs (concernant les aéronefs de plus de 5 700 kg) considérés comme importants en matière de sécurité et de prévention des accidents. Ce système de comptes

Page 108: 9859 MANUEL SMS

7-6 Manuel de gestion de la sécurité (MGS)

rendus est connu sous le nom d’ADREP. Les États transmettent des données spécifiques à l’OACI dans un format prédéterminé (et codé). Une fois les rapports ADREP reçus, les informations sont vérifiées et stockées sur support informatique pour constituer une banque de données des événements de par le monde. 7.4.2 L’OACI n’exige pas des États qu’ils enquêtent sur les incidents. Cependant, si un État mène une enquête sur un incident grave, il est tenu de transmettre les données formatées à l’OACI. Les types d’incidents graves intéressant l’OACI sont : a) les défaillances multiples des systèmes ; b) les incendies ou fumées à bord d’un aéronef ; c) les incidents relatifs au dégagement du terrain ou à l’évacuation des obstacles ; d) les problèmes de commandes et de stabilité de vol ; e) les incidents au décollage et à l’atterrissage ; f) l’incapacité soudaine de l’équipage de conduite ; g) la décompression ; h) les quasi-collisions et autres incidents graves de la circulation aérienne.

Centre européen de coordination des systèmes de comptes rendus d’incidents en navigation aérienne (ECCAIRS)2

7.4.3 Plusieurs autorités européennes de l’aviation ont collecté des informations sur les accidents et les incidents aériens. Toutefois, le nombre d’événements importants dans les différents États n’était généra-lement pas suffisant pour donner une indication rapide des dangers potentiellement graves ou pour identifier des tendances pertinentes. Étant donné que de nombreux États disposaient de formats incompatibles de stockage des informations, la mise en commun des informations de sécurité était presque impossible. Pour améliorer cette situation, l’Union européenne (UE) a adopté des exigences en matière de compte rendu d’événements et mis en place la base de données de sécurité ECCAIRS. L’objectif de ces décisions était de renforcer la sécurité aérienne en Europe grâce à une détection précoce des situations potentiellement dangereuses. ECCAIRS dispose notamment de capacités d’analyse et de présentation des informations dans une multitude de formats. Il est compatible avec certains autres systèmes de comptes rendus d’incidents, comme l’ADREP. Plusieurs États non européens ont également choisi de mettre en œuvre ECCAIRS pour profiter de taxonomies communes, etc.

7.5 SYSTÈMES NATIONAUX VOLONTAIRES DE COMPTES RENDUS D’INCIDENTS 7.5.1 Plusieurs États gèrent avec succès des systèmes volontaires de comptes rendus d’incidents utilisant des caractéristiques communes. Deux de ces systèmes sont décrits aux § 7.5.2 à 7.5.5.

2. Pour plus d’informations sur ECCAIRS, voir leur site web à l’adresse http://eccairs-www.jrc.it.

Page 109: 9859 MANUEL SMS

Chapitre 7. Comptes rendus de dangers et d’incidents 7-7

Système de compte rendu pour la sécurité de l’aviation (ASRS)3 7.5.2 Les États-Unis gèrent un vaste système de comptes rendus des événements de l’aviation connu sous le nom d’Aviation Safety Reporting System (ASRS, ou Système de compte rendu pour la sécurité de l’aviation). L’ASRS fonctionne indépendamment de l’Administration fédérale de l’aviation (FAA) et est géré par l’Administration nationale de l’aéronautique et de l’espace (NASA). Les pilotes, les ATCO, les équipages de cabine, les AME, le personnel au sol et d’autres personnes participant à l’exploitation aérienne peuvent faire rapport lorsque la sécurité de l’aviation est considérée comme menacée. Des exemples de formulaires de compte rendu sont disponibles sur le site web de l’ASRS. 7.5.3 Les comptes rendus envoyés à l’ASRS sont tout à fait confidentiels. Ils sont tous désidentifiés avant d’être intégrés à la base de données. Tous les noms des personnes et des organisations sont supprimés. Les dates, les heures et les informations connexes, qui pourraient révéler une identité, sont soit généralisées soit retirées. Les données ASRS sont utilisées pour : a) identifier les dangers systémiques du système national d’aviation pour que les autorités compétentes

prennent des mesures correctives ; b) appuyer l’élaboration et la planification de politiques au sein du système national d’aviation ; c) soutenir la recherche et les études dans le domaine de l’aviation, y compris la recherche sur la

sécurité concernant les facteurs humains ; d) communiquer des informations afin de promouvoir la prévention des accidents. 7.5.4 La FAA reconnaît l’importance des comptes rendus volontaires d’incidents pour la sécurité de l’aviation et offre à leurs auteurs qui les envoient à l’ASRS une certaine immunité par rapport aux mesures coercitives en levant les sanctions pour les infractions involontaires. Avec actuellement plus de 300 000 comptes rendus disponibles, cette base de données aide la recherche sur la sécurité de l’aviation — surtout en ce qui concerne les facteurs humains.

Programme confidentiel de comptes rendus sur les incidents liés aux facteurs humains (CHIRP)4

7.5.5 Le CHIRP (Confidential Human Factors Incident Reporting Programme) contribue à renforcer la sécurité des vols au Royaume-Uni en fournissant un système confidentiel de comptes rendus pour toutes les personnes travaillant dans l’aviation. Il complète le système obligatoire de comptes rendus des événe-ments qui existe au Royaume-Uni. Les caractéristiques importantes du CHIRP sont entres autres : a) l’indépendance par rapport à l’autorité de réglementation ; b) une grande accessibilité (équipages de conduite, ATCO, AME titulaires d’une licence, équipages de

cabine et communauté générale de l’aviation) ;

3. L’adresse du site web de l’ASRS est http://asrs.arc.nasa.gov. 4. Le site web du CHIRP peut être consulté à l’adresse suivante : http://www.chirp.co.uk

Page 110: 9859 MANUEL SMS

7-8 Manuel de gestion de la sécurité (MGS)

c) la confidentialité des informations relatives à l’identité des auteurs des comptes rendus ; d) une analyse par des responsables de la sécurité expérimentés ; e) l’existence de bulletins largement diffusés afin d’améliorer les normes de sécurité en échangeant

des informations sur la sécurité ; f) la participation de représentants du CHIRP à différents organes de sécurité de l’aviation pour aider

à résoudre les questions systémiques de sécurité.

7.6 SYSTÈMES DE COMPTES RENDUS DES COMPAGNIES En plus des systèmes (obligatoires et volontaires) de comptes rendus d’incidents gérés par l’État, nombre de compagnies aériennes, de fournisseurs de services ATS et d’exploitants d’aérodromes utilisent des systèmes « internes » de comptes rendus de dangers et d’incidents. Si tous les membres du personnel (pas seulement les équipages de conduite) peuvent rédiger des comptes rendus, les systèmes internes contribuent à la promotion d’une culture positive de la sécurité à l’échelle de la compagnie. Le Chapitre 16 comporte un examen plus approfondi des systèmes internes de comptes rendus de dangers et d’incidents.

7.7 MISE EN ŒUVRE DES SYSTÈMES DE COMPTES RENDUS D’INCIDENTS 7.7.1 S’il est mis en œuvre dans un environnement de travail non punitif, un système de comptes rendus d’incidents peut largement contribuer à créer une culture positive de la sécurité. En fonction de la taille de l’organisation, la méthode de comptes rendus d’incidents et de dangers la plus opportune est d’utiliser les « documents » existants, comme les rapports de sécurité et de maintenance. Cependant, le volume des rapports augmentant, il faudra recourir à l’un ou l’autre système informatisé pour gérer cette tâche.

Que signaler ? 7.7.2 Tout danger susceptible de causer des dommages matériels ou des lésions corporelles ou menaçant la viabilité de l’organisation devrait faire l’objet d’un compte rendu. Dangers et incidents devraient être signalés si on pense que : a) quelque chose peut être fait pour renforcer la sécurité ; b) d’autres membres du personnel de l’aviation pourraient en tirer des leçons ; c) le système et ses moyens inhérents de défense n’ont pas fonctionné « comme prévu ». 7.7.3 Bref, un événement doit être signalé même en cas de doute sur son importance pour la sécurité. (Les incidents et les accidents devant faire l’objet d’un compte rendu en vertu des lois et des réglementations nationales régissant ce sujet devraient également être intégrés dans la base de données de comptes rendus d’un exploitant.) L’Appendice 2 au Chapitre 16 donne des exemples des types d’événements qui devraient être signalés dans le cadre du système de comptes rendus d’incidents d’un exploitant.

Page 111: 9859 MANUEL SMS

Chapitre 7. Comptes rendus de dangers et d’incidents 7-9

Qui devrait faire rapport ? 7.7.4 Pour être efficaces, les systèmes de comptes rendus d’incidents devraient s’appuyer sur un large éventail de membres du personnel. Pour des événements spécifiques, les perceptions de divers participants ou témoins peuvent être très différentes les unes des autres — mais toutes pertinentes. Les systèmes nationaux volontaires de comptes rendus d’incidents devraient encourager la participation des équipages de conduite et de cabine, des ATCO, du personnel des aéroports et des AME.

Méthode et format des comptes rendus 7.7.5 La méthode et le format choisis pour un système de comptes rendus n’ont que peu d’importance tant qu’ils encouragent le personnel à signaler tous les dangers et incidents. Le processus de compte rendu devrait être le plus simple possible et bien documenté, avec entre autres des détails expliquant sur quoi, où et quand faire rapport. 7.7.6 Dans la conception des formulaires de compte rendu, la mise en page devrait faciliter la trans-mission des informations. Il faudrait prévoir suffisamment d’espace pour encourager les auteurs à décrire les mesures correctrices suggérées. Voici quelques autres facteurs à prendre en considération dans la conception d’un système et de formulaires de compte rendu : a) comme les membres du personnel d’exploitation ne sont généralement pas très prolixes, le

formulaire devrait être aussi court que possible ; b) les auteurs des comptes rendus n’étant pas des analystes de la sécurité, les questions devraient

être posées avec des mots simples et usuels ; c) des questions non directives devraient être utilisées plutôt que des questions orientant les

réponses. (Des questions non directives sont par ex. : Que s’est-il passé ? Pourquoi ? Quelle solution a été apportée ? Qu’est-ce qui devrait être fait ?) ;

d) il faut parfois des questions incitatives pour amener les auteurs à réfléchir aux « défaillances du

système » (par ex. leur proximité par rapport à un accident) et à leurs stratégies de gestion des erreurs ;

e) l’accent devrait être mis sur la détection et la résolution d’une situation ou d’une condition dangereuse ; f) les auteurs devraient être encouragés à tirer les leçons générales de sécurité inhérentes au compte

rendu, comme la manière dont l’organisation et le système aéronautique pourraient en tirer profit. 7.7.7 Quelle que soit la source ou la méthode de dépôt du compte rendu, une fois l’information reçue, elle doit être stockée de manière à pouvoir être facilement extraite et analysée. 7.7.8 L’Appendice 1 au présent chapitre contient des indications relatives aux restrictions d’utilisation des données provenant des systèmes volontaires de comptes rendus d’incidents.

— — — — — — — —

Page 112: 9859 MANUEL SMS
Page 113: 9859 MANUEL SMS

7-APP 1-1

Appendice 1 au Chapitre 7

RESTRICTIONS D’UTILISATION DES DONNÉES PROVENANT DES SYSTÈMES VOLONTAIRES

DE COMPTES RENDUS D’INCIDENTS

Il faut faire attention en utilisant les données provenant de comptes rendus volontaires d’incidents. Quand ils tirent des conclusions basées sur ces données, les analystes devraient tenir compte des restrictions suivantes : a) Informations non validées. Dans certains États, les comptes rendus confidentiels peuvent faire

l’objet d’une enquête complète et des informations issues d’autres sources peuvent être utilisées pour faire la lumière sur l’incident. Cependant, vu les dispositions relatives à la confidentialité contenues dans les petits programmes (comme les systèmes de comptes rendus des compagnies), il est difficile d’assurer un suivi adéquat d’un compte rendu sans compromettre l’identité de son auteur. Une grande partie des informations signalées ne peuvent donc pas être validées.

b) A priori des auteurs. Deux facteurs peuvent fausser les comptes rendus volontaires d’incidents :

l’auteur et le sujet du compte rendu. Divers facteurs alimentant la subjectivité des comptes rendus volontaires d’incidents sont répertoriés ci-dessous :

1) les auteurs doivent bien connaître le système de comptes rendus et avoir accès aux formulaires

ou aux numéros de téléphone adéquats ; 2) la motivation des auteurs à faire rapport peut varier en raison des facteurs suivants : — le niveau d’engagement envers la sécurité ; — la sensibilisation au système de comptes rendus ; — la perception des risques associés (conséquences locales ou systémiques) ; — les conditions d’exploitation (certains types d’incidents mobilisent davantage l’attention que

d’autres) ; — le déni ou l’ignorance des effets sur la sécurité, le souhait de cacher le problème ou la peur

de reproches voire d’une mesure disciplinaire (malgré les garanties certifiant le contraire) ; 3) les divers groupes professionnels voient tous les choses différemment, tant pour interpréter le

même événement que pour décider de ce qui est important ; 4) les auteurs doivent avoir conscience d’un incident pour transmettre un compte rendu. Les

erreurs non détectées ne sont pas signalées. c) Formulaires de compte rendu. Généralement, les formulaires de compte rendu d’incidents génèrent

des partis pris (y compris des préjugés contre le principe même du compte rendu). En voici quelques exemples :

Page 114: 9859 MANUEL SMS

7-APP 1-2 Manuel de gestion de la sécurité (MGS)

1) Un formulaire de compte rendu doit être suffisamment succinct et simple à remplir pour encourager le personnel opérationnel à l’utiliser. Le nombre de questions doit donc être limité.

2) Des questions totalement ouvertes (c.-à-d. uniquement narratives) peuvent faire obstacle à

l’obtention de données utiles. 3) Les questions peuvent guider l’auteur mais elles peuvent également déformer ses perceptions

en l’amenant à des conclusions partiales. 4) L’éventail des événements possibles est tellement large qu’un formulaire structuré et normalisé

ne peut pas contenir toutes les informations. (Les analystes peuvent donc être amenés à prendre contact avec l’auteur pour obtenir des informations spécifiques.)

d) Bases de données des comptes rendus d’incidents. Les informations doivent être classées

selon une structure prédéterminée de mots clés ou de définitions pour être intégrées dans la base de données et en être extraites ultérieurement. Habituellement, ce travail introduit des partis pris dans les bases de données, ce qui en compromet l’utilité. Exemples :

1) contrairement aux paramètres objectifs et physiques de vol, les descriptions des événements et

les attributions causales sont plus subjectives ; 2) la classification requiert un système de mots clés ou de définitions prédéterminés, faussant ainsi

la base de données, par ex. : — les comptes rendus sont analysés pour « correspondre » aux mots clés. Les détails ne

correspondant pas sont ignorés ; — il est impossible de créer une liste exhaustive des mots clés servant à classer les

informations ; — les mots clés sont présents ou non, donnant une médiocre approximation du monde réel ; — les informations étant extraites en fonction de la manière dont elles sont stockées, la classi-

fication détermine les paramètres de sortie. Par ex., si « défaillance technique » n’apparaît pas parmi les mots clés, ce terme ne sera jamais trouvé comme cause d’incidents dans la base de données ;

— le système de classification engendre une « prédiction autoréalisatrice ». Par ex., de

nombreux systèmes de comptes rendus d’incidents faussent la classification par mots clés pour la CRM. Par conséquent, la CRM est souvent citée comme étant à la fois la cause du problème et sa solution (une formation supplémentaire en CRM remédiera à la carence perçue en CRM) ;

3) une grande partie des informations de la base de données n’est jamais extraite après avoir été

saisie ; 4) étant donné le caractère général des mots clés, l’analyste doit souvent revenir au compte rendu

original pour comprendre les détails contextuels. e) Fréquence relative des événements. Comme les systèmes volontaires de comptes rendus

d’incidents ne reçoivent pas le type d’informations nécessaire au calcul de taux utiles, toute tenta-tive de considérer l’incident du point de vue de sa fréquence par rapport à d’autres événements

Page 115: 9859 MANUEL SMS

ChapItre 7. Comptes rendus de dangers et d’incidents — Appendice 1 7-APP 1-3

sera au mieux une hypothèse émise en connaissance de cause. Pour établir des comparaisons valables quant à la fréquence, trois types de données sont nécessaires : le nombre de personnes faisant réellement l’expérience d’incidents similaires (pas seulement les incidents signalés), le pourcentage de population risquant de vivre des événements semblables et la mesure de la période examinée.

f) Analyse des tendances. On n’a pas vraiment réussi à réaliser des analyses sérieuses de

tendances des paramètres les plus subjectifs enregistrés dans les bases de données des comptes rendus d’incidents En voici quelques raisons :

1) difficultés d’utilisation d’informations structurées ; 2) limites de saisie du contexte de l’incident via des mots clés ; 3) niveaux inadéquats de détails et de précision des données enregistrées ; 4) problèmes de fiabilité d’un compte rendu par rapport à l’autre ; 5) difficultés de fusionner des données provenant de différentes bases de données ; 6) difficultés à formuler des requêtes pertinentes pour la base de données.

Page 116: 9859 MANUEL SMS

Page blanche

Page 117: 9859 MANUEL SMS

8-1

Chapitre 8

ENQUÊTES DE SÉCURITÉ

Enquête. Activités menées en vue de prévenir les accidents, qui comprennent la collecte et l’analyse de renseignements, l’exposé des conclusions, la détermina-tion des causes et, s’il y a lieu, l’établissement de recommandations de sécurité.

Annexe 13

8.1 INTRODUCTION 8.1.1 L’efficacité des systèmes de gestion de la sécurité dépend de la réalisation d’enquêtes et d’analyses sur les questions de sécurité. La valeur d’un accident, d’un danger ou d’un incident en termes de sécurité est largement proportionnelle à la qualité du travail d’enquête.

Enquêtes de l’État Accidents 8.1.2 Les accidents fournissent des preuves éclatantes et irréfutables de la gravité des dangers. Trop souvent, il faut qu’une organisation ait fait l’expérience de la nature catastrophique et extrêmement coûteuse des accidents pour qu’elle se décide à allouer des ressources en vue de réduire ou d’éliminer les conditions dangereuses jusqu’à un niveau qu’elle n’aurait pas atteint en d’autres circonstances. 8.1.3 Par définition, les accidents causent des dommages matériels et/ou des lésions corporelles. Se limiter à enquêter sur les seuls résultats des accidents et non sur les dangers et les risques qui les provoquent, c’est être réactif. Les enquêtes réactives ne sont guère efficaces du point de vue de la sécurité car elles sont susceptibles de négliger des conditions dangereuses latentes présentant des risques considérables pour la sécurité. 8.1.4 Une enquête sur un accident devrait donc cibler une maîtrise efficace des risques. Si l’enquête est dirigée non plus sur « la chasse au coupable » mais sur une réelle atténuation des risques, elle encouragera la coopération entre les personnes concernées par l’accident, ce qui facilitera la découverte des causes sous-jacentes. L’intérêt à court terme de trouver un coupable est préjudiciable à l’objectif à long terme de prévenir de futurs accidents.

Incidents graves 8.1.5 Le terme « incident grave » est employé pour les incidents que la chance a empêchés de devenir des accidents, par exemple une quasi-collision ou un quasi-abordage. Vu leur gravité, de tels incidents devraient faire l’objet d’une enquête approfondie. Certains États traitent ces incidents graves

Page 118: 9859 MANUEL SMS

8-2 Manuel de gestion de la sécurité (MGS)

comme des accidents. Ils recourent donc à une équipe d’enquête sur les accidents pour mener une enquête comprenant la publication d’un rapport final et la transmission à l’OACI d’un compte rendu de données d’incident ADREP. Ce type d’enquête exhaustive sur les incidents présente l’avantage de fournir la même qualité d’informations sur les dangers que les enquêtes sur les accidents.

Enquêtes internes 8.1.6 La plupart des événements liés à la sécurité ne justifient pas la tenue d’enquêtes par les autorités nationales d’enquête ou de réglementation. Bon nombre d’incidents ne doivent même pas être signalés à l’État. Néanmoins, de tels incidents peuvent indiquer l’existence de dangers potentiellement graves — peut-être des problèmes systémiques qui ne seront révélés que si l’événement fait l’objet d’une véritable enquête. 8.1.7 Pour chaque accident ou incident grave, il se produira certainement des centaines d’événements mineurs dont beaucoup sont susceptibles de provoquer un accident. Il est important d’examiner tous les dangers et incidents signalés, de décider lesquels devraient faire l’objet d’une enquête et de déterminer le niveau d’enquête qui leur sera appliqué. 8.1.8 Pour les enquêtes internes, l’équipe d’enquêteurs peut requérir l’aide de spécialistes en fonction de la nature de l’événement concerné, par ex. : a) des spécialistes de la sécurité en cabine pour des turbulences en vol, de la fumée ou des émanations

dans la cabine, un incendie dans les offices, etc. ; b) des experts en services de la circulation aérienne en cas de perte de séparation, de quasi-

collisions, d’encombrement des fréquences, etc. ; c) des techniciens de maintenance pour des incidents impliquant des défaillances du matériel ou du

système, de la fumée ou un incendie, etc. ; d) des experts capables de donner des conseils en gestion des aéroports pour des incidents avec

dommages causés par un corps étranger (FOD), pour le déneigement et le dégivrage, l’entretien du terrain d’aviation, la circulation des véhicules, etc.

8.2 PORTÉE DES ENQUÊTES DE SÉCURITÉ 8.2.1 Jusqu’à quel point faut-il enquêter sur les comptes rendus d’incidents mineurs et de dangers ? L’étendue de l’enquête devrait dépendre des conséquences réelles ou potentielles de l’événement ou du danger. Les comptes rendus de dangers ou d’incidents indiquant un potentiel de risque élevé devraient faire l’objet d’enquêtes plus approfondies que ceux qui présentent un faible potentiel de risque. 8.2.2 L’enquête devrait aller jusqu’au niveau de détail requis pour identifier clairement les dangers sous-jacents et les valider. Pour comprendre pourquoi quelque chose s’est produit, il faut bien saisir tout le contexte de l’événement. Pour acquérir cette compréhension des conditions dangereuses, l’enquêteur devrait adopter une approche systémique, éventuellement en se basant sur le modèle SHEL décrit au Chapitre 4. Comme les ressources sont généralement limitées, l’effort déployé devrait être proportionnel à l’avantage que l’on pense en tirer en matière de potentiel d’identification des dangers et des risques systémiques pour l’organisation.

Page 119: 9859 MANUEL SMS

Chapitre 8. Enquêtes de sécurité 8-3

8.2.3 Bien que l’enquête doive se concentrer sur les facteurs ayant le plus probablement influencé les actions, la frontière entre pertinence et non-pertinence est souvent floue. Des données qui ne semblent pas de prime abord liées à l’enquête peuvent ensuite s’avérer pertinentes une fois que l’on comprend mieux les liens entre les différents éléments de l’événement.

8.3 SOURCES D’INFORMATIONS Les informations pertinentes pour une enquête de sécurité peuvent être obtenues auprès d’une multitude de sources, dont : a) Un examen physique du matériel employé lors de l’événement lié à la sécurité. Il peut porter sur le

matériel de première ligne utilisé, ses composants, les postes de travail et le matériel employé par le personnel d’appui (par ex. les ATCO, le personnel de maintenance et d’entretien courant).

b) Les documents couvrant un large éventail d’aspects de l’exploitation, par ex. :

1) les états et les journaux de maintenance ;

2) les dossiers personnels/les carnets de route ;

3) les permis et les licences ;

4) les dossiers du personnel interne et les dossiers de formation ainsi que les horaires de travail ;

5) les manuels et les SOP de l’exploitant ;

6) les manuels et les programmes de formation ;

7) les données et les manuels des constructeurs ;

8) les dossiers des autorités de réglementation ;

9) les prévisions, données et informations météorologiques ;

10) les documents de planification des vols. c) Les enregistrements (des enregistreurs de bord, radars et cassettes audio ATC, etc.). Ils peuvent

apporter des informations utiles pour déterminer la chronologie des événements. Outre les enregis-trements traditionnels des données de vol, les enregistreurs de maintenance dans les aéronefs de nouvelle génération sont une éventuelle source supplémentaire d’informations.

d) Les entretiens avec des personnes directement ou indirectement mêlées à l’événement lié à la

sécurité. Ils peuvent constituer une source principale d’informations pour toutes les enquêtes. En l’absence de données mesurables, les entretiens sont parfois la seule source d’informations.

e) Les observations directes d’actions réalisées par des membres du personnel opérationnel ou de

maintenance dans leur environnement de travail. Elles peuvent apporter des informations sur des conditions dangereuses potentielles. Néanmoins, les personnes observées doivent être conscientes de l’objectif de ces observations.

f) Les simulations. Elles permettent la reconstitution d’un événement et peuvent aider à mieux

comprendre la succession des faits ayant conduit à l’événement et la manière dont le personnel a

Page 120: 9859 MANUEL SMS

8-4 Manuel de gestion de la sécurité (MGS)

réagi à cet événement. On peut avoir recours à des simulations informatiques pour reconstituer les événements sur la base de données extraites d’enregistreurs de bord, de cassettes ATC, d’enregistrements radar et d’autres preuves matérielles.

g) Les conseils de spécialistes. Les enquêteurs ne peuvent pas être experts dans tous les domaines liés à l’environnement opérationnel. Il est important qu’ils prennent conscience de leurs limites. Le cas échéant, ils doivent être prêts à consulter d’autres professionnels au cours d’une enquête.

h) Les bases de données sur la sécurité. On peut trouver des informations complémentaires utiles dans des bases de données sur les accidents/incidents, les systèmes internes de comptes rendus des dangers et des incidents, les programmes confidentiels de comptes rendus, les systèmes de surveillance des services de ligne (par ex. analyse des données de vol, programmes LOSA et NOSS), les bases de données des constructeurs, etc.

8.4 ENTRETIENS 8.4.1 Les informations obtenues grâce à des entretiens peuvent contribuer à clarifier le contexte des conditions et actes dangereux. Ils peuvent être utilisés pour corroborer, clarifier ou étoffer les informations provenant d’autres sources. Les entretiens peuvent servir à déterminer « ce qui s’est passé ». Plus important encore, ils sont souvent le seul moyen de répondre aux importantes questions du « pourquoi », ce qui, à son tour, peut faciliter la formulation de recommandations de sécurité appropriées et efficaces. 8.4.2 Lors de la préparation de l’entretien, la personne qui conduira l’entretien doit s’attendre à ce que les personnes interviewées aient perçu les choses et se les rappellent de manière différente. Les détails d’une défectuosité du système signalée par le personnel d’exploitation peuvent ne pas être les mêmes que ceux observés par le personnel de maintenance au cours d’une vérification longue escale. Les supérieurs hiérarchiques et les directeurs peuvent avoir une perception des choses différente de celle du personnel opérationnel. La personne qui conduit l’entretien doit accepter tous les points de vue comme étant dignes d’une analyse plus approfondie. Toutefois, même des témoins qualifiés, expérimentés et bien intentionnés pourraient avoir des souvenirs erronés des événements. En fait, il pourrait y avoir lieu de douter de la validité des informations reçues si plusieurs personnes interrogées au sujet du même événement ne présentaient pas des points de vue différents.

Conduite des entretiens 8.4.3 Un enquêteur efficace s’adapte à ces divergences de points de vue, en restant objectif et en évitant d’évaluer trop tôt le contenu de l’entretien. Un entretien est une situation dynamique et l’enquêteur compétent sait quand il doit insister dans une approche et quand il doit changer son fusil d’épaule. 8.4.4 Pour atteindre les meilleurs résultats, les enquêteurs recourront certainement au processus suivant :

a) une préparation et planification minutieuses de l’entretien ;

b) la conduite de l’entretien selon une structure logique et bien planifiée ;

c) l’évaluation des informations recueillies dans le contexte de toutes les autres informations connues.

L’Appendice 1 au présent chapitre donne des indications supplémentaires pour mener des entretiens efficaces.

Page 121: 9859 MANUEL SMS

Chapitre 8. Enquêtes de sécurité 8-5

Mise en garde quant aux entretiens avec des témoins 8.4.5 Les entretiens avec des témoins livrent souvent des versions divergentes des faits. Il faut donc être prudent lorsqu’on en établit une synthèse. Intuitivement, un enquêteur peut juger de la valeur d’un entretien en fonction de l’histoire personnelle et de l’expérience de la personne interrogée. Toutefois, les personnes considérées comme « de bons témoins » peuvent se laisser influencer par leur expérience (c.-à-d. qu’elles voient et entendent ce à quoi elles « s’attendent »). Par conséquent, leur description des événements peut être déformée. D’un autre côté, des personnes n’ayant aucune connaissance sur un événement auquel elles ont assisté sont souvent capables de décrire avec précision la chronologie des faits. Elles peuvent s’avérer plus objectives dans leurs observations. 8.4.6 L’enquêteur compétent ne se fie pas exagérément à un seul témoin — même si celui-ci est un expert. Il faut plutôt intégrer des informations provenant du plus grand nombre de sources possible pour se forger une idée précise de la situation.

8.5 MÉTHODOLOGIE D’ENQUÊTE 8.5.1 La phase de l’enquête qui se déroule sur le terrain sert à identifier et à valider les dangers perçus pour la sécurité. Il faut une analyse de la sécurité de qualité pour évaluer les risques et des communications efficaces pour maîtriser ces risques. En d’autres termes, une gestion efficace de la sécurité requiert une approche intégrée des enquêtes de sécurité. 8.5.2 Certains événements et dangers proviennent de défaillances du matériel et apparaissent dans des conditions environnementales très particulières. Cependant, la majorité des conditions dangereuses sont le produit d’erreurs humaines. Quand on examine l’erreur humaine, il faut bien comprendre les conditions qui peuvent avoir influencé les performances ou les décisions humaines. Ces conditions dangereuses peuvent être le signe de dangers systémiques faisant peser un risque sur tout le système aéronautique. Conformément à l’approche systémique de la sécurité, une approche intégrée des enquêtes de sécurité examine tous les aspects pouvant avoir contribué au comportement dangereux ou créé des conditions dangereuses. 8.5.3 La Figure 8-1 décrit le déroulement logique d’un processus intégré d’enquêtes de sécurité — la Méthodologie intégrée d’enquête de sécurité (ISIM). L’utilisation de ce type de modèle peut guider les enquêteurs depuis la notification initiale d’un danger ou d’un incident jusqu’à la communication des leçons tirées en matière de sécurité. 8.5.4 Les enquêtes efficaces ne suivent pas un processus simple par étapes depuis le début de ce processus jusqu’à son terme en progressant directement de phase en phase. Elles suivent plutôt un processus itératif pouvant exiger des retours en arrière et la répétition de certaines phases après la collecte de nouvelles données et/ou l’aboutissement à des conclusions.

8.6 ENQUÊTES SUR LES ASPECTS DE LA PERFORMANCE HUMAINE 8.6.1 Les enquêteurs ont relativement bien réussi à analyser les données mesurables concernant la performance humaine, par ex. les exigences de force pour déplacer un manche à balai, les exigences d’éclairage pour lire un affichage et les exigences de température ambiante et de pression. Malheureu-sement, la majorité des carences de sécurité découlent de problèmes qui ne sont pas simples à mesurer et

Page 122: 9859 MANUEL SMS

8-6 Manuel de gestion de la sécurité (MGS)

Figure 8-1. Méthodologie intégrée d’enquête de sécurité (ISIM)

Notification et évaluation dudanger ou de l’événement

Processus de communication sur la sécurité

Analyse de la maîtrise des risques

Analyse des moyens de défense

Processus d’évaluation des risques

Enquête intégrée

Succession de faits

Processus de collecte des données

Évaluer la notification et déciderde mener une enquête ou non

Identifier les événements et les facteurs sous-jacents

Reconstituer la suite logique des faitsayant mené à l’événement

Analyser les faits et déterminerles conclusions concernantles facteurs et les dangerssous-jacents

Estimer le risque etdéterminer l’acceptabilitéde chaque danger

Identifier les moyens de défense manquantsou inadéquats

Identifier et évaluerles possibilités demaîtrise des risques

Communiquer aux partiesprenantes les messagesrelatifs à la sécurité

Page 123: 9859 MANUEL SMS

Chapitre 8. Enquêtes de sécurité 8-7

ne sont donc pas entièrement prévisibles. En conséquence, les informations disponibles ne permettent pas toujours à un enquêteur de tirer des conclusions irréfutables. 8.6.2 Divers facteurs réduisent généralement l’efficacité de l’analyse de la performance humaine. Il s’agit notamment : a) du manque de données normatives sur la performance humaine, à utiliser comme référence pour

évaluer le comportement individuel observé ; Note.— Les données FDA, LOSA et NOSS fournissent une base permettant de mieux

comprendre les performances quotidiennes normales dans l’exploitation aérienne. b) du manque de méthodologie pratique pour établir une généralisation à partir des expériences d’un

individu (membre de l’équipage ou de l’équipe) afin de comprendre les effets probables sur une grande population exécutant des tâches similaires ;

c) de l’absence d’une base commune d’interprétation des données sur la performance humaine dans

les nombreuses disciplines (par ex. ingénierie, exploitation et gestion) représentées dans la commu-nauté de l’aviation ;

d) de la facilité avec laquelle les êtres humains s’adaptent à différentes situations, ce qui complique

encore la détermination de ce qui constitue une défaillance de la performance humaine. 8.6.3 La logique nécessaire à une analyse convaincante de certains des phénomènes les moins tangibles de la performance humaine diffère de celle qui est requise pour d’autres aspects d’une enquête. Les méthodes déductives sont relativement faciles à présenter et mènent à des conclusions probantes. Par ex., un cisaillement du vent mesuré a causé une perte calculée de performance d’un aéronef et on pourrait conclure que ce cisaillement du vent a dépassé la capacité de performance de l’aéronef. De tels liens directs de cause à effet ne sont pas si aisés à établir pour certains aspects de la performance humaine comme le relâchement de la vigilance, la fatigue, la distraction ou le jugement. Par ex., si une enquête révélait qu’un membre de l’équipage a commis une erreur ayant entraîné un événement dans des conditions particulières (comme le relâchement de la vigilance, la fatigue ou la distraction), on ne pourrait pas néces-sairement en déduire que l’erreur a été commise à cause de ces conditions préalables. Une telle conclusion reposerait inévitablement sur une part d’hypothèses. La viabilité de ce genre de conclusions empiriques est à la mesure de la qualité du processus de raisonnement utilisé et de la solidité des preuves disponibles. 8.6.4 Un raisonnement inductif s’appuie sur des probabilités. Des conclusions peuvent être tirées des explications les plus probables ou les plus plausibles des événements comportementaux. Les conclusions inductives peuvent toujours être contestées et leur crédibilité dépend du poids des preuves qui les étayent. Par conséquent, elles doivent être fondées sur une méthode de raisonnement cohérente et acceptée. 8.6.5 L’analyse des aspects de la performance humaine doit prendre en compte l’objectif de l’enquête (c.-à-d. comprendre pourquoi quelque chose s’est produit). Les événements liés à la sécurité sont rarement le résultat d’une cause unique. Bien que des facteurs individuels puissent sembler insignifiants quand ils sont pris isolément, une fois combinés, ils peuvent déclencher une série de faits ou de conditions aboutissant à un accident. Le modèle SHEL offre une approche systématique pour examiner les éléments constitutifs du système ainsi que les interfaces entre eux. 8.6.6 Il est fondamental de saisir le contexte dans lequel les personnes commettent des erreurs afin de comprendre les conditions dangereuses pouvant avoir influencé leur comportement et leurs décisions. Ces conditions dangereuses peuvent être des signes de risques systémiques présentant un potentiel d’accident considérable.

Page 124: 9859 MANUEL SMS

8-8 Manuel de gestion de la sécurité (MGS)

8.7 RECOMMANDATIONS DE SÉCURITÉ 8.7.1 Lorsqu’une enquête identifie des dangers ou des risques non atténués, des mesures de sécurité sont requises. Le besoin d’agir doit être communiqué au moyen de recommandations de sécurité aux personnes disposant du pouvoir d’allouer les ressources nécessaires. Si aucune recommandation de sécurité appropriée n’est formulée, il est possible qu’aucune mesure ne soit prise pour contrer ces risques. Les personnes chargées de formuler les recommandations de sécurité pourraient s’inspirer des considé-rations suivantes : a) Organisme compétent pour prendre des mesures. Qui est le mieux placé pour prendre des

mesures correctrices ? Qui a le pouvoir et les ressources nécessaires pour intervenir ? Idéalement, les problèmes devraient être abordés au niveau décisionnel le moins élevé possible, comme celui du département ou de la compagnie par opposition à celui de l’État ou de l’autorité de réglemen-tation. Toutefois, si plusieurs organisations sont exposées aux mêmes conditions dangereuses, il peut être justifié d’étendre les mesures recommandées. L’État et les autorités internationales ou les sociétés multinationales des constructeurs peuvent être les plus aptes à engager les mesures de sécurité nécessaires.

b) L’objectif et non la manière. Les recommandations de sécurité devraient clairement établir

l’objectif à atteindre et pas la manière d’y arriver. L’important est de communiquer la nature des risques exigeant des mesures de maîtrise. Il faut éviter les recommandations de sécurité détaillées exposant avec précision la manière de résoudre le problème. Le directeur responsable devrait être le mieux placé pour juger des caractéristiques des mesures les plus appropriées dans les conditions opérationnelles existantes. L’efficacité de toute recommandation sera évaluée à l’aune du degré de réduction des risques plutôt que du strict respect de leur libellé.

c) Termes généraux ou spécifiques. Étant donné que l’objectif des recommandations de sécurité est

de convaincre les autres qu’une condition dangereuse menace le système en tout ou en partie, des termes spécifiques devraient être employés pour résumer l’étendue et les conséquences des risques identifiés. De plus, vu que la recommandation doit préciser l’objectif à atteindre (et non la manière d’y arriver), il est préférable que la formulation soit concise.

d) Point de vue du destinataire. En matière de recommandation de mesures de sécurité, les

considérations suivantes ont trait au point de vue du destinataire : 1) la recommandation de sécurité s’adresse à l’autorité d’intervention la plus appropriée (c.-à-d.

celle qui dispose de la compétence et du pouvoir pour procéder au changement nécessaire) ; 2) il n’y a pas de surprise (c.-à-d. qu’un dialogue préalable a eu lieu au sujet de la nature des

risques évalués) ; 3) la recommandation explique l’objectif à atteindre tout en laissant à l’autorité d’intervention la

latitude nécessaire pour déterminer la manière d’atteindre au mieux cet objectif. 8.7.2 Les recommandations officielles de sécurité justifient des communications écrites. Un écrit garantit que les recommandations ne seront pas mal comprises et fournit la base nécessaire à l’évaluation de l’efficacité de la mise en œuvre. Toutefois, il est important de se rappeler que les recommandations de sécurité ne sont efficaces que si elles sont appliquées.

— — — — — — — —

Page 125: 9859 MANUEL SMS

8-APP 1-1

Appendice 1 au Chapitre 8

TECHNIQUES D’ENTRETIEN

Des conseils supplémentaires pour la conduite d’entretiens efficaces sont énumérés ci-dessous : a) le rôle de l’enquêteur est d’obtenir de la personne interviewée des informations aussi précises,

complètes et détaillées que possible ; b) les entretiens, particulièrement ceux faisant intervenir des facteurs de performance humaine,

doivent aller au-delà de la description des faits et de la chronologie de l’événement pour tenter de découvrir aussi « comment » et « pourquoi » il s’est produit ;

c) la réussite de l’entretien dépendra fortement de la préparation personnelle. Il faut adapter les prépa-

rations à l’entretien ; d) dans le cadre du suivi d’un incident ou d’un événement de sécurité, les entretiens devraient être

réalisés le plus tôt possible. S’il est impossible de procéder immédiatement à un entretien, demander une déclaration écrite afin que les informations soient consignées pendant qu’elles sont encore fraîches dans l’esprit de la personne interviewée ;

e) la réussite de l’entretien dépendra du moment choisi pour poser les questions et de la structure de

celles-ci. Commencez l’entretien par une question de « rappel libre », en laissant la personne parler de ce qu’elle sait de l’événement ou du sujet concerné. Au fur et à mesure que l’entretien avance, utilisez un mélange d’autres types de questions, par ex. :

1) Des questions ouvertes ou sous la forme de phrases « non finies ». Ce type de question

suscite des descriptions rapides et précises des événements et débouche sur une participation accrue de la personne interviewée (par ex., « Vous avez dit tout à l’heure que vous aviez une formation de... ? »).

2) Des questions spécifiques. Ce type de question est indispensable pour obtenir des informations

détaillées et peut également amener la personne à se souvenir de plus de détails. 3) Des questions fermées. Ce type de question appelle des réponses sous forme de « oui » ou de

« non » (donnant peu d’informations au-delà de la réponse). 4) Des questions indirectes. Ce type de question peut être utile dans des situations délicates (par

ex., « Vous avez dit que le copilote était inquiet à l’idée d’utiliser cette approche. Pourquoi ? ») ; f) en interrogeant, évitez les questions suggestives, c.-à-d. celles qui contiennent la réponse. Utilisez

plutôt des phrases neutres ; g) ne prenez aucune information issue de l’entretien pour argent comptant. Servez-vous-en pour

confirmer, éclaircir ou compléter des informations provenant d’autres sources ;

Page 126: 9859 MANUEL SMS

8-APP 1-2 Manuel de gestion de la sécurité (MGS)

h) dans certaines circonstances, il peut y avoir beaucoup de témoins à interviewer. Les informations (souvent contradictoires) qui en résultent doivent être résumées, triées et rassemblées dans un format utile ;

i) pour bien mener un entretien, il faut savoir bien écouter ; j) il faut garder des traces de tous les entretiens pour consultation future. Ces traces peuvent être des

transcriptions, des résumés d’entretiens, des notes et/ou des enregistrements sur bande magnétique.

Page 127: 9859 MANUEL SMS

9-1

Chapitre 9

ANALYSE DE LA SÉCURITÉ ET ÉTUDES SUR LA SÉCURITÉ

9.1 INTRODUCTION

9.1.1 Seule une analyse de la sécurité permettra de tirer des conclusions valables des grandes quantités de données de sécurité recueillies et enregistrées grâce à des enquêtes de sécurité et à divers programmes d’identification des dangers. Pour que la réduction des données à des statistiques devienne utile, il faut évaluer la signification pratique de ces statistiques afin de définir un problème que l’on puisse résoudre.

Exigence de l’OACI1

9.1.2 L’OACI a conscience des liens existant entre analyse et gestion de la sécurité et elle encourage l’analyse des données sur les accidents et les incidents ainsi que l’échange d’informations sur la sécurité. Après avoir créé des bases de données sur la sécurité et des systèmes de comptes rendus d’incidents, les États devraient analyser les informations qui figurent dans leurs comptes rendus d’accident/d’incident et leurs bases de données pour déterminer les mesures préventives qui peuvent être nécessaires. L’OACI reconnaît également que les études sur la sécurité sont précieuses pour aider à élaborer des recomman-dations de sécurité.

Analyse de la sécurité — de quoi s’agit-il ?

9.1.3 L’analyse est le processus consistant à classer des faits en utilisant des méthodes, des outils ou des techniques spécifiques. Elle peut entre autres être utilisée pour :

a) aider à décider quels faits supplémentaires sont nécessaires ;

b) établir les facteurs déterminants et contributifs ;

c) aider à dégager des conclusions valables.

9.1.4 L’analyse de la sécurité est fondée sur des informations factuelles, provenant éventuellement de plusieurs sources. Les données pertinentes doivent être collectées, classées et stockées. Les méthodes et les outils analytiques convenant à l’analyse sont ensuite sélectionnés et utilisés. L’analyse de la sécurité est souvent itérative, requérant des cycles multiples. Elle peut être quantitative ou qualitative. Faute de données quantitatives de base, on peut être obligé de s’appuyer sur des méthodes d’analyse qualitatives.

Objectivité et parti pris

9.1.5 Il faut tenir compte de toutes les informations pertinentes. Cependant, toutes les informations sur la sécurité ne sont pas fiables. Les contraintes de temps ne permettent pas toujours la collecte et l’évaluation

1. Voir l’Annexe 13 — Enquêtes sur les accidents et incidents d’aviation.

Page 128: 9859 MANUEL SMS

9-2 Manuel de gestion de la sécurité (MGS)

de données en suffisance pour garantir l’objectivité. Parfois, des conclusions intuitives peuvent être tirées qui ne répondent pas au degré d’objectivité requis pour que l’analyse de la sécurité soit crédible. 9.1.6 Nous sommes tous susceptibles de partialité dans nos jugements. Des expériences passées vont souvent influencer notre jugement, de même que notre créativité, lors de la formulation d’hypothèses. Une des formes les plus fréquentes d’erreur de jugement est connue sous le nom de « biais de confirmation ». Il s’agit de la tendance à chercher à retenir les informations confirmant ce que nous tenons déjà pour vrai. L’Appendice 1 à ce chapitre fournit davantage d’informations permettant de comprendre les partis pris et leur rôle dans la formulation des conclusions d’une analyse de la sécurité.

9.2 MÉTHODES ET OUTILS ANALYTIQUES Différentes méthodes sont employées dans l’analyse de la sécurité, certaines étant automatisées et d’autres pas. En outre, il existe plusieurs outils informatiques (exigeant divers niveaux de compétences pour être utilisés efficacement). Une partie des méthodes et outils analytiques disponibles sont énumérés ci-dessous : a) L’analyse statistique. Nombre de méthodes et d’outils analytiques employés dans l’analyse de la

sécurité se basent sur des procédures et des concepts statistiques. Par ex., l’analyse des risques se sert des concepts de la probabilité statistique. Les statistiques jouent un rôle important dans l’analyse de la sécurité en contribuant à quantifier les situations, ce qui permet une meilleure compréhension grâce aux chiffres. Cela donne des résultats plus crédibles, sur lesquels baser une argumentation convaincante en faveur de la sécurité.

Le type d’analyse de la sécurité réalisé au niveau des systèmes de gestion de la sécurité d’une

compagnie requiert un minimum de compétences pour analyser les données numériques, identifier les tendances et faire des calculs statistiques élémentaires comme les moyennes arithmétiques, les percentiles et les médianes. Les méthodes statistiques sont également utiles pour les représen-tations graphiques des analyses.

Les ordinateurs peuvent traiter de gros volumes de données. La plupart des procédures d’analyse

statistique sont disponibles dans des progiciels commerciaux (par ex. Microsoft Excel). Avec ces applications, les données peuvent être directement intégrées dans une procédure préprogrammée. S’il n’est pas nécessaire d’avoir une compréhension détaillée de la théorie statistique sous-tendant la technique, l’analyste doit saisir le fonctionnement de la procédure et ce que les résultats sont censés traduire.

Bien que les statistiques soient un outil puissant pour l’analyse de la sécurité, elles peuvent aussi

être utilisées de manière abusive et ainsi mener à des conclusions erronées. Il faut sélectionner et employer les données avec beaucoup de soin dans l’analyse statistique. Pour s’assurer que les méthodes plus complexes sont bien appliquées, l’aide d’un spécialiste en analyse statistique peut s’avérer nécessaire.

b) L’analyse de tendances. En surveillant les tendances des données de sécurité, il est possible

d’émettre des prévisions quant aux événements à venir. Les tendances émergentes peuvent mettre en évidence des dangers embryonnaires. Les méthodes statistiques peuvent servir à évaluer l’impor-tance des tendances observées. Il est possible de définir les limites inférieures et supérieures de performance acceptable auxquelles comparer les performances observées. L’analyse des tendances peut être employée pour tirer la « sonnette d’alarme » lorsque les performances sont sur le point de sortir des limites autorisées.

Page 129: 9859 MANUEL SMS

Chapitre 9. Analyse de la sécurité et études sur la sécurité 9-3

c) Les comparaisons normatives. Les données disponibles peuvent être insuffisantes pour fournir une base factuelle permettant de comparer les circonstances de l’événement ou de la situation examinés avec l’expérience quotidienne. L’absence de données normatives crédibles compromet souvent l’utilité des analyses de la sécurité. Dans de tels cas, il peut s’avérer nécessaire d’inclure dans l’échantillon des expériences réelles ayant eu lieu dans des conditions opérationnelles semblables. Les programmes FDA, LOSA et NOSS offrent des données normatives précieuses pour l’analyse de l’exploitation aérienne. Ils sont traités aux Chapitres 16 et 17.

d) Les simulations et tests. Dans certains cas, les dangers sous-jacents pour la sécurité peuvent devenir manifestes grâce à des tests. Ainsi, des essais en laboratoire peuvent être requis pour analyser les défauts du matériel. Pour les procédures opérationnelles suspectes, une simulation sur le terrain dans les conditions réelles d’exploitation ou dans un simulateur peut se justifier.

e) Les groupes d’experts. Étant donné la diversité des dangers pour la sécurité et les différents points de vue possibles apparaissant dans l’évaluation de toute condition dangereuse particulière, il faudrait demander l’avis d’autres personnes, notamment de pairs et de spécialistes. Une équipe multidisciplinaire formée pour examiner les preuves d’une condition dangereuse peut également aider à l’identification et à l’évaluation des mesures correctrices les plus appropriées.

f) L’analyse coûts/avantages. Il se peut que l’acceptation des mesures recommandées de maîtrise des risques dépende de l’existence d’analyses coûts/avantages crédibles. Les coûts de la mise en œuvre des mesures proposées sont comparés aux avantages escomptés au fil du temps. Parfois, il peut ressortir d’un analyse coûts/avantages qu’il vaut mieux accepter le risque que consacrer du temps, des efforts et de l’argent à la mise en œuvre de mesures correctrices.

9.3 ÉTUDES SUR LA SÉCURITÉ 9.3.1 C’est grâce à un examen du plus large contexte possible que l’on peut le mieux comprendre certaines questions de sécurité complexes ou très répandues. Les questions de sécurité à caractère global peuvent être traitées au niveau de l’industrie aéronautique ou de l’État. Par exemple, l’industrie s’est inquiétée de la fréquence et de la gravité des accidents à l’approche et à l’atterrissage et elle a entrepris des études importantes, élaboré de nombreuses recommandations de sécurité et mis en œuvre des mesures globales de réduction des risques d’accidents pendant les phases de vol critiques que sont l’approche et l’atterrissage. Pour avancer des arguments convaincants en faveur de changements à grande échelle ou globaux, il faut des données significatives, une analyse appropriée et une communication efficace. Les arguments de sécurité fondés sur des événements isolés et des informations empiriques ne passeront pas. 9.3.2 Dans ce manuel, ces analyses de sécurité plus vastes et plus complexes sont appelées « études sur la sécurité ». Cette dénomination recouvre beaucoup de types d’études et d’analyses menées par les autorités publiques, les compagnies aériennes, les constructeurs et les associations professionnelles et sectorielles. L’OACI reconnaît que les recommandations de sécurité peuvent provenir non seulement des enquêtes sur les accidents et les incidents graves mais aussi d’études sur la sécurité2. Celles-ci s’appliquent à l’identification et à l’analyse des dangers dans les opérations aériennes, la maintenance, la sécurité en cabine, le contrôle de la circulation aérienne, l’exploitation des aérodromes, etc. 9.3.3 Les études sur la sécurité concernant des préoccupations à l’échelle de l’industrie requièrent généralement un promoteur important. La Fondation pour la sécurité aérienne, en collaboration avec de grands avionneurs, l’OACI, la NASA et d’autres acteurs clés de l’industrie, a endossé un rôle de premier

2. Cf. l’Annexe 13, Chapitre 8.

Page 130: 9859 MANUEL SMS

9-4 Manuel de gestion de la sécurité (MGS)

plan dans beaucoup de ces études. Les autorités de l’aviation civile de différents États ont également réalisé des études importantes sur la sécurité et ont ainsi identifié des risques pour la sécurité présentant un intérêt général. En outre, diverses autorités publiques ont utilisé ces études sur la sécurité pour identifier les dangers dans leurs systèmes nationaux d’aviation et y remédier. S’il est peu probable que des exploitants de petite taille ou de taille moyenne entreprennent une vaste étude sur la sécurité, les grands exploitants et les autorités de réglementation peuvent être associés à l’identification des problèmes de sécurité systémiques.

Sélectionner les sujets des études 9.3.4 Il se peut que les grands exploitants, les constructeurs, les organismes de prévention des accidents et les autorités de réglementation tiennent des listes de questions de sécurité prioritaires (significant safety issues lists, ou SIL). (La tenue de ces listes est abordée à la section 9.4.) Ces listes peuvent se baser sur les taux d’accidents et incidents dans des domaines tels que les incursions sur piste, les avertissements de proximité du sol, les recommandations du système d’alerte du trafic et d’évitement de collision (TCAS). Les problèmes de sécurité peuvent être classés par ordre de priorité en fonction des risques qu’ils présentent pour l’organisation ou l’industrie. 9.3.5 Étant donné le degré de collaboration et d’échanges d’informations nécessaire à la réalisation d’une enquête efficace sur la sécurité, les problèmes sélectionnés pour être étudiés doivent être largement approuvés par les participants et les donateurs.

Collecte d’informations 9.3.6 Les méthodes décrites ci-dessous permettent d’obtenir les informations sur lesquelles baser une étude sur la sécurité : a) Examen des comptes rendus d’événements. Il est possible d’examiner les événements faisant

l’objet d’une enquête en sélectionnant ceux qui répondent à des caractéristiques prédéfinies, comme les incursions sur piste ou la fatigue de l’équipage. En passant en revue tout le matériel classé disponible, on peut identifier des éléments spécifiques intéressants à analyser plus en détail.

b) Interviews structurées. Des informations utiles peuvent être obtenues grâce à des interviews

structurées. Certes, les interviews peuvent prendre du temps mais elles offrent la possibilité de recueillir des informations de qualité, même si l’échantillon n’est pas statistiquement représentatif. Leur réussite dépendra de la capacité de l’analyste à tirer des données utiles des grandes quantités d’informations empiriques.

c) Enquêtes de terrain dirigées. Les enquêtes sur des événements relativement mineurs (pouvant

normalement ne pas faire l’objet d’une enquête) peuvent révéler suffisamment d’informations supplémentaires pour permettre une analyse plus approfondie. Bien que peu de ces enquêtes, prises individuellement, contribuent vraiment à la connaissance collective des facteurs concourant à de tels événements, ensemble, elles peuvent mettre au jour des modèles de comportement compromettant la sécurité de l’exploitation.

d) Étude documentaire. Que les problèmes de sécurité à l’examen concernent certains éléments du

matériel, de la technologie, de la maintenance, des aspects de la performance humaine, des facteurs environnementaux ou des questions d’organisation et de gestion, beaucoup de choses ont sans aucun doute déjà été écrites sur le sujet. Avant d’entamer une étude sur la sécurité, il peut être opportun d’effectuer une étude documentaire sur la question concernée. Une utilisation prudente d’Internet peut apporter des informations à profusion.

Page 131: 9859 MANUEL SMS

Chapitre 9. Analyse de la sécurité et études sur la sécurité 9-5

e) Témoignage d’experts. Il peut être justifié de nouer un contact direct avec des experts reconnus. Ceux-ci peuvent être contactés de façon informelle ou être invités à fournir une contribution plus officielle par le biais de participations à une audition ou à une enquête publique.

f) Enquêtes publiques. Pour les grandes questions de sécurité devant être considérées sous

plusieurs angles, les autorités publiques peuvent organiser une sorte d’enquête publique. Cela permet à toutes les parties prenantes (individuellement ou en tant que représentants de groupes d’intérêts particuliers) de faire connaître leur opinion au cours d’un processus ouvert et impartial.

g) Auditions. Des réunions moins officielles que les enquêtes publiques peuvent être programmées

en vue d’entendre les points de vue différents (et souvent divergents) des acteurs importants de l’aviation. Contrairement à ce qui se passe pour les enquêtes publiques, les parties intéressées sont entendues à huis clos car il se peut qu’ainsi leur point de vue soit exprimé plus franchement.

9.4 LISTES DE QUESTIONS DE SÉCURITÉ PRIORITAIRES (SIL) 9.4.1 Parmi les autorités publiques de réglementation, les organismes d’enquête et les grands exploitants, certains estiment que tenir une liste des questions de sécurité hautement prioritaires est un moyen efficace de mettre en lumière les domaines justifiant une étude et une analyse supplémentaires. Ces listes sont connues sous le nom de « listes de questions de sécurité prioritaires » (SIL) ; elles sont cependant parfois appelées listes « top dix » ou, en anglais, « Most Wanted » (problèmes prioritaires). De telles listes accordent la priorité aux problèmes de sécurité menaçant le système aéronautique (ou l’organisation). Par conséquent, elles peuvent être utiles pour identifier des problèmes devant faire l’objet d’évaluations, d’enquêtes ou d’études sur la sécurité. Pour que ces listes puissent utilement guider le travail des personnes associées à la gestion de la sécurité, elles ne doivent pas mentionner tous les dangers perçus. Elles ne devraient pas comporter plus de dix problèmes. 9.4.2 Voici quelques exemples des questions pouvant être incluses dans une telle liste : a) fréquence des avertissements du dispositif avertisseur de proximité du sol (GPWS) ; b) fréquence des avertissements du TCAS ; c) incursions sur piste ; d) écarts d’altitude (dépassement des limites) ; e) confusion d’indicatifs d’appel ; f) approches non stabilisées ; g) proximités aériennes (quasi-collisions) à certains aérodromes. 9.4.3 Les SIL devraient être révisées et mises à jour chaque année, avec adjonction de nouveaux problèmes à haut risque et suppression des problèmes présentant un risque moindre.

— — — — — — — —

Page 132: 9859 MANUEL SMS
Page 133: 9859 MANUEL SMS

9-APP 1-1

Appendice 1 au Chapitre 9

COMPRENDRE LES PARTIS PRIS1

Le jugement de chacun est influencé par l’expérience personnelle. Malgré la quête d’objectivité, le temps ne permet pas toujours la collecte et l’évaluation minutieuse de données suffisantes pour garantir l’objectivité. Sur la base des expériences de notre vie, nous élaborons tous des schémas mentaux qui nous aident généralement à évaluer des situations de tous les jours de manière « intuitive », sans disposer de toutes les données factuelles. Malheureusement, bon nombre de ces schémas mentaux reflètent des partis pris personnels. Un parti pris est la tendance à adopter une réaction bien précise indépendamment de la situation. Voici quelques exemples de partis pris courants pouvant influencer la validité des analyses de la sécurité : a) Partis pris de fréquence. Nous avons tendance à surestimer ou à sous-estimer la probabilité d’un

événement donné parce que notre évaluation est uniquement fondée sur notre expérience person-nelle. Nous supposons que notre expérience limitée est représentative de la situation globale.

b) Partis pris de sélectivité. Nos préférences personnelles engendrent une tendance à sélectionner

les choses sur la base d’un noyau restreint de faits. Nous sommes enclins à ignorer les faits ne correspondant pas entièrement au modèle auquel nous nous attendons. Il se peut que nous concentrions notre attention sur des caractéristiques importantes d’un point de vue physique ou sur des preuves concrètes (par ex. bruit, luminosité et caractère récent) et ignorions des indices pouvant apporter des informations plus pertinentes sur la nature de la situation.

c) Parti pris de familiarité. Quelle que soit la situation donnée, nous avons tendance à choisir les

solutions et les schémas auxquels nous sommes le plus habitués. Ces faits et ces processus qui correspondent à nos modèles mentaux propres (ou idées préconçues) sont plus faciles à assimiler. Nous avons tendance à faire les choses conformément aux schémas de nos expériences passées, même si celles-ci n’offrent pas la meilleure solution à la situation donnée. Par ex., la route que nous choisissons d’emprunter pour aller quelque part n’est peut-être pas toujours la plus judicieuse dans des circonstances différentes.

d) Partis pris de conformité. Nous sommes enclins à rechercher des résultats qui étayent notre

décision plutôt que des informations qui la contrediraient. Plus notre modèle mental se renforce, moins nous sommes disposés à accepter les faits qui ne correspondent pas parfaitement à ce que nous « savons » déjà. Les contraintes de temps peuvent mener à des suppositions erronées qui ne reflètent pas la réalité présente avec précision.

e) Parti pris de conformité au groupe ou de « pensée de groupe ». Une des déclinaisons du parti

pris de conformité est la « pensée de groupe ». La plupart d’entre nous tendent à être d’accord avec les décisions de la majorité ; nous cédons aux pressions du groupe pour modeler notre propre pensée sur celle du groupe. Nous ne voulons pas briser l’harmonie du groupe en remettant en cause le modèle mental dominant. Il s’agit d’un comportement naturel adopté par commodité.

1. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806)

Page 134: 9859 MANUEL SMS

9-APP 1-2 Manuel de gestion de la sécurité (MGS)

f) Partis pris d’excès de confiance. Les individus ont tendance à surestimer leur connaissance de la situation et de ses conséquences. Dès lors, ils concentrent leur attention uniquement sur les informations qui confirment leur choix et ne tiennent pas compte des preuves qui contredisent leur point de vue.

Page 135: 9859 MANUEL SMS

10-1

Chapitre 10

CONTRÔLE DES PERFORMANCES EN MATIÈRE DE SÉCURITÉ

10.1 INTRODUCTION 10.1.1 Pour pouvoir boucler le cycle de la gestion de la sécurité, il faut recueillir des retours d’infor-mations sur les performances en matière de sécurité. Ces retours d’informations permettent d’évaluer la performance du système et de mettre en œuvre tout changement nécessaire. De plus, tous les intervenants doivent avoir une indication du niveau de sécurité qui règne au sein d’une organisation, et ce pour diverses raisons, dont voici quelques exemples :

a) Le personnel peut avoir besoin d’être rassuré quant à la capacité de son organisation à offrir un environnement de travail sûr.

b) Les cadres hiérarchiques ont besoin de retours d’informations sur les performances en matière de

sécurité afin de pouvoir répartir les ressources entre les objectifs souvent contradictoires de la production et de la sécurité.

c) Les passagers craignent pour leur vie. d) La haute direction tente de protéger l’image de la société (et sa part de marché).

e) Les actionnaires souhaitent protéger leur investissement.

10.1.2 Si les acteurs du processus de sécurité d’une organisation souhaitent des retours d’infor-mations, leurs conceptions de la sécurité varient considérablement. Or, le choix d’indicateurs fiables permettant de qualifier d’acceptable la performance en matière de sécurité dépend en grande partie de la conception que l’on a de la sécurité. Par ex. : a) La haute direction peut viser l’objectif irréaliste de « zéro accident ». Malheureusement, comme les

risques sont inhérents à l’aviation, il y aura toujours des accidents, même si le taux d’accidents peut être très bas.

b) Les exigences réglementaires définissent normalement des paramètres minimums d’exploitation « sûre », par ex. des limites de plafond nuageux et de visibilité en vol. Le respect de ces paramètres contribue à la « sécurité », sans toutefois la garantir.

c) Des mesures statistiques sont souvent utilisées pour indiquer un niveau de sécurité, par ex. le

nombre d’accidents par cent mille heures, ou de morts par millier de secteurs parcourus. Bien que sans grande valeur intrinsèque, ces indicateurs quantitatifs sont utiles pour évaluer si la sécurité s’améliore ou se dégrade au fil du temps.

Page 136: 9859 MANUEL SMS

10-2 Manuel de gestion de la sécurité (MGS)

10.2 « ÉTAT DE SANTÉ » DE LA SÉCURITÉ 10.2.1 Reconnaissant les interactions complexes qui influent sur la sécurité et la difficulté de définir les pratiques sûres et les pratiques dangereuses, certains experts en sécurité parlent de l’« état de santé de la sécurité » d’une organisation. L’expression « état de santé de la sécurité » indique le degré de résistance de l’organisation à des circonstances inattendues ou à des actes imprévus d’individus. Elle reflète les mesures systémiques mises en œuvre par l’organisation pour se protéger de l’inconnu. De plus, elle traduit la capacité de l’organisation à s’adapter à l’inconnu. En fait, elle reflète la culture de la sécurité de l’organisation. 10.2.2 Bien que l’absence d’événements liés à la sécurité (accidents et incidents) ne prouve pas nécessairement que l’exploitation soit « sûre », certaines opérations sont considérées comme plus « sûres » que d’autres. La sécurité s’emploie à réduire le risque à un niveau acceptable (ou tout au moins tolérable). Il est cependant peu probable que le niveau de sécurité d’une organisation soit statique. À mesure qu’une organisation ajoute des défenses contre des dangers pour la sécurité, on peut considérer que l’ « état de santé » de sa sécurité s’améliore. Toutefois, divers facteurs (dangers) peuvent compromettre cet « état de santé » de la sécurité et peuvent exiger l’adoption de mesures supplémentaires pour renforcer la résistance de l’organisation à l’adversité. La variation du concept d’ « état de santé » de la sécurité d’une organisation tout au long de son cycle de vie est illustrée à la Figure 10-1.

Figure 10-1. Variation de l’« état de santé » de la sécurité

Temps

Zone de « bonne santé »de la sécurité

Zone de « mauvaise santé » de la sécurité

Respect des réglementations

(Niveau minimum acceptable)

Octroi

du ce

rtific

at d’e

xploi

tation

Accu

mula

tion

d’exp

érien

ce

opér

ation

nelle

et d

e ges

tion

Fusio

n et

confl

it soc

ialNo

uvell

e dir

ectio

nAd

optio

n d’un

systè

me

de ge

stion

de

la sé

curit

éMise

en

uvre

d’un

systè

me

de co

mpte

s ren

dus

d’inc

idents

de

sécu

rité

œ

Prog

ramm

e d’a

nalys

e

des d

onné

es d

e vo

l

« Ét

at d

e sa

nté

» de

la s

écur

ité(R

ésis

tanc

e à

l’adv

ersi

té)

Page 137: 9859 MANUEL SMS

Chapitre 10. Contrôle des performances en matière de sécurité 10-3

Évaluer l’« état de santé » de la sécurité 10.2.3 En principe, il est possible d’identifier les caractéristiques et la performance en matière de sécurité des organisations « les plus sûres ». Ces caractéristiques, qui reflètent les bonnes pratiques du secteur, peuvent servir de valeurs de référence pour évaluer la performance en matière de sécurité. Symptômes d’un mauvais « état de santé » de la sécurité 10.2.4 Un mauvais état de la sécurité peut être révélé par des symptômes qui mettent en danger des éléments de l’organisation. L’Appendice 1 à ce chapitre cite des exemples de symptômes pouvant être révélateurs d’un mauvais « état de santé » de la sécurité. Une faiblesse dans un domaine peut être tolérable, mais des faiblesses dans de nombreux domaines traduisent de graves risques systémiques, qui compromettent l’ « état de santé » de la sécurité de l’organisation. Indicateurs de l’amélioration de l’ « état de santé » de la sécurité 10.2.5 L’Appendice 1 mentionne aussi des indicateurs de l’amélioration de l’ « état de santé » de la sécurité. Ceux-ci reflètent les meilleures pratiques de l’industrie aéronautique et une bonne culture de la sécurité. Les organisations qui ont la meilleure cote de sécurité tendent à « entretenir ou améliorer l’état de leur sécurité » en appliquant des mesures destinées à accroître leur résistance aux imprévus. Elles s’emploient en permanence à dépasser le stade du simple respect des exigences réglementaires minimales. 10.2.6 Si l’identification des symptômes peut donner une idée valable de l’ « état de santé » de la sécurité de l’organisation, elle ne fournira peut-être pas assez d’informations pour garantir une prise de décisions efficace. Des outils supplémentaires sont nécessaires pour mesurer la performance en matière de sécurité d’une façon systématique et convaincante. Indicateurs statistiques de la performance en matière de sécurité 10.2.7 Les indicateurs statistiques de la performance en matière de sécurité illustrent les réalisations en matière de sécurité engrangées au fil des années ; ils donnent donc un « aperçu » des événements passés. Présentés sous forme chiffrée ou graphique, ils dressent un bilan simple et facile à comprendre du niveau de sécurité d’un secteur donné de l’aviation, en termes de nombre ou de taux d’accidents, d’incidents ou de victimes sur une période de temps déterminée. Au niveau le plus élevé, il pourrait s’agir du nombre d’accidents mortels par an sur les dix dernières années. Au niveau le plus bas (ou le plus spécifique), les indicateurs de performance en matière de sécurité pourraient inclure des facteurs tels que le taux d’événements techniques spécifiques (par ex. les pertes de séparation, les pannes de moteurs, les avertissements du TCAS et les incursions sur piste). 10.2.8 Les indicateurs statistiques de performance en matière de sécurité peuvent cibler soit des domaines spécifiques des opérations afin de contrôler les résultats en matière de sécurité, soit des domaines méritant attention. Cette approche « rétrospective » est utile pour l’analyse des tendances, l’identification des dangers, l’évaluation des risques, ainsi que pour le choix des mesures de maîtrise des risques. 10.2.9 Comme les accidents (et les incidents graves) sont des événements relativement rares et fortuits en aviation, une évaluation de l’ « état de santé » de la sécurité basée sur les seuls indicateurs statistiques de performance en matière de sécurité pourrait ne pas fournir un indicateur prévisionnel valable de la performance en matière de sécurité, surtout en l’absence de données de risque fiables. L’examen du

Page 138: 9859 MANUEL SMS

10-4 Manuel de gestion de la sécurité (MGS)

passé n’aide guère les organisations dans leur quête d’approche proactive ni dans la mise en place des systèmes les plus susceptibles de protéger contre l’inconnu. Niveaux acceptables de sécurité 10.2.10 Les organisations de l’aviation doivent respecter des exigences réglementaires pour garantir des niveaux acceptables de sécurité. Toutefois, les organisations qui se limitent à respecter ces exigences minimales peuvent ne pas être saines si on les considère sous l’angle de la sécurité. Bien qu’elles aient réduit leur vulnérabilité aux actes et circonstances dangereux le plus susceptibles d’entraîner des accidents, elles n’ont pris qu’un minimum de mesures de précaution. 10.2.11 Les organisations « faibles » qui ne satisfont pas aux niveaux acceptables de sécurité seront éliminées du système aéronautique soit de façon proactive, via une révocation de leur certificat d’exploi-tation par l’autorité de réglementation, soit de façon réactive, en réaction à des pressions commerciales telles que le coût élevé d’accidents ou d’incidents graves ou la résistance des consommateurs. Les Chapitres 1, 4 et 5 contiennent des informations supplémentaires sur les niveaux acceptables de sécurité.

10.3 SUPERVISION DE LA SÉCURITÉ 10.3.1 Une des pierres angulaires d’une gestion efficace de la sécurité est l’existence d’un système formel de supervision de la sécurité. La supervision de la sécurité consiste en une surveillance régulière (si pas continue) de tous les aspects de l’exploitation d’une organisation. À première vue, la supervision de la sécurité prouve le respect des règles, réglementations, normes, procédures, etc., de l’État et de l’organi-sation mais elle a une valeur beaucoup plus profonde. Cette surveillance constitue un autre moyen proactif d’identifier les dangers, de valider l’efficacité des mesures de sécurité prises et d’évaluer en continu la performance en matière de sécurité. 10.3.2 Comme indiqué au § 5.3.1, alinéa c), la supervision de la sécurité est considérée comme une fonction à assumer par l’État dans son rôle d’autorité de réglementation, tandis que le contrôle de la performance en matière de sécurité est à mener par les exploitants et les prestataires de services. Les fonctions de « surveillance » de la supervision de la sécurité peuvent revêtir de nombreuses formes, assorties de degré de formalisme divers. Niveau international 10.3.3 Au niveau international, le Programme universel OACI d’audits de supervision de la sécurité (USOAP) (décrit au § 10.4) surveille la performance en matière de sécurité de tous les États contractants. Des organisations internationales, telles que l’IATA, supervisent aussi la sécurité des compagnies aériennes par le biais d’un programme d’audit. Niveau national 10.3.4 Au niveau national, une supervision efficace de la sécurité peut être assurée par une combi-naison de plusieurs activités, dont voici quelques exemples : a) mener des inspections surprises pour sonder la performance réelle de divers aspects du système

aéronautique national ;

Page 139: 9859 MANUEL SMS

Chapitre 10. Contrôle des performances en matière de sécurité 10-5

b) mener des inspections formelles (prévues) qui suivent un protocole clairement compris par l’organisation soumise à inspection ;

c) décourager les comportements non conformes par la prise de mesures d’exécution (sanctions ou amendes) ;

d) contrôler la qualité de la performance associée à toutes les demandes de permis et de certification ; e) assurer le suivi de la performance en matière de sécurité des divers secteurs de l’aviation ;

f) intervenir dans des cas justifiant une vigilance supplémentaire au niveau de la sécurité (notamment en cas de graves conflits du travail, de faillites de transporteurs aériens, d’expansion ou de contraction rapide des activités) ;

g) mener des audits formels de supervision de la sécurité des compagnies aériennes ou des prestataires de services tels que l’ATC, les organismes agréés de maintenance, les centres de formation et les autorités aéroportuaires.

Niveau organisationnel 10.3.5 La taille et la complexité de l’organisation détermineront les meilleures méthodes à appliquer pour mettre en place et maintenir un programme efficace de contrôle de la performance en matière de sécurité. Les organisations offrant une supervision adéquate de la sécurité emploient les méthodes suivantes, en tout ou en partie :

a) Leurs contrôleurs de première ligne entretiennent la vigilance (du point de vue de la sécurité) en surveillant les activités quotidiennes.

b) Elles mènent régulièrement des inspections (formelles ou informelles) des activités quotidiennes dans tous les domaines cruciaux pour la sécurité.

c) Elles recueillent les avis du personnel sur la sécurité (d’un point de vue tant général que spécifique) par le biais d’enquêtes sur la sécurité.

d) Elles assurent un examen et un suivi systématiques de tous les comptes rendus de problèmes de sécurité identifiés.

e) Elles saisissent systématiquement les données qui reflètent la performance quotidienne réelle (au moyen de programmes tels que la FDA, le LOSA et le NOSS).

f) Elles effectuent des macro-analyses de la performance en matière de sécurité (études sur la sécurité).

g) Elles appliquent un programme régulier d’audits opérationnels (comprenant des audits de sécurité internes et externes).

h) Elles communiquent les résultats relatifs à la sécurité à l’ensemble du personnel concerné.

Inspections 10.3.6 La forme la plus simple de supervision de la sécurité consiste peut-être à mener des « rondes » informelles de toutes les aires opérationnelles de l’organisation. S’entretenir avec le personnel et les

Page 140: 9859 MANUEL SMS

10-6 Manuel de gestion de la sécurité (MGS)

responsables, voir les pratiques de travail réelles, etc., d’une façon non structurée permet d’obtenir une idée précieuse de la performance en matière de sécurité « sur le terrain ». Les informations ainsi obtenues devraient permettre d’affiner le système de gestion de la sécurité (SGS). 10.3.7 Pour qu’une inspection soit utile à l’organisation, il faut qu’elle soit axée sur la qualité du « produit fini ». Malheureusement, beaucoup d’inspections se limitent à suivre un formulaire avec cases à cocher. Bien qu’utile pour vérifier le respect d’exigences spécifiques, ce type de formulaire est moins efficace pour évaluer des risques systémiques pour la sécurité. Par contre, une liste de vérification peut être utilisée comme guide pour éviter d’omettre des parties des opérations. 10.3.8 La direction et les cadres hiérarchiques peuvent aussi mener des inspections de la sécurité afin d’évaluer le respect des exigences, plans et procédures de l’organisation. Toutefois, de telles inspections ne peuvent fournir qu’une vérification par sondage des opérations, n’offrant que peu de potentiel de supervision systémique de la sécurité.

Enquêtes 10.3.9 Les enquêtes sur les opérations et les installations peuvent donner à la direction une indication sur les niveaux de sécurité et d’efficacité au sein de l’organisation. La compréhension des dangers systémiques et des risques inhérents aux activités quotidiennes permet à une organisation de réduire au minimum les actes dangereux et de réagir de façon proactive en améliorant les processus, les conditions et autres questions systémiques qui mènent à des actes dangereux. Les enquêtes sur la sécurité constituent une des formes d’examen systématique d’éléments organisationnels spécifiques ou des processus utilisés pour effectuer une opération particulière, que cet examen soit général ou mené sous un angle de sécurité déterminé. Elles sont particulièrement utiles pour évaluer les attitudes de populations déterminées, par ex. les pilotes de ligne pour un type d’aéronef spécifique, ou les ATCO travaillant à un poste particulier. 10.3.10 Lorsqu’elles tentent de déterminer les dangers sous-jacents d’un système, les enquêtes sont habituellement indépendantes des inspections de routine menées par les gouvernements ou par la direction des compagnies. Les enquêtes effectuées par le personnel opérationnel peuvent révéler des informations diagnostiques importantes sur les opérations quotidiennes. Elles peuvent fournir des mécanismes peu coûteux pour obtenir des informations importantes sur de nombreux aspects de l’organisation, dont : a) les perceptions et opinions du personnel opérationnel ; b) le niveau de travail en équipe et de coopération entre les divers groupes constituant le personnel ; c) les domaines posant problème ou les blocages dans les opérations quotidiennes ; d) la culture de la sécurité au sein de l’entreprise ; e) les points actuels de désaccord ou de confusion. 10.3.11 Les enquêtes sur la sécurité sont généralement menées au moyen de listes de vérification, de questionnaires et d’interviews confidentielles informelles. Les enquêtes, surtout celles qui font usage d’interviews, peuvent susciter la révélation d’informations qu’il est impossible d’obtenir par d’autres moyens. 10.3.12 En général, des données spécifiques appropriées pour évaluer la performance en matière de sécurité peuvent être acquises au moyen d’enquêtes bien structurées et gérées. Toutefois, il se peut que la validité de toutes les informations obtenues au terme de l’enquête doive être vérifiée avant que ne soient prises des mesures correctrices. Étant similaires aux systèmes volontaires de comptes rendus d’incidents,

Page 141: 9859 MANUEL SMS

Chapitre 10. Contrôle des performances en matière de sécurité 10-7

les enquêtes sont subjectives et reflètent les perceptions des individus. Par conséquent, elles souffrent des mêmes limites, entre autres les préjugés de l’auteur, des répondants et les partis pris qui orientent l’interpré-tation des données. 10.3.13 Les activités liées aux enquêtes sur la sécurité peuvent couvrir l’ensemble du cycle de gestion des risques, depuis l’identification des dangers jusqu’à la supervision de la sécurité, en passant par l’évaluation des risques. Elles seront plus que probablement menées par des organisations qui sont passées d’une culture réactive de la sécurité à une culture proactive. Le Chapitre 15 comporte des indications sur la conduite des enquêtes de sécurité.

Assurance de la qualité

10.3.14 Un système d’assurance de la qualité (SAQ) définit et fixe la politique et les objectifs de l’organisation en matière de qualité. Il veille à ce que l’organisation ait mis en place les éléments néces-saires pour améliorer l’efficacité et réduire les risques. S’il est mis en œuvre de façon adéquate, un SAQ garantit une exécution systématique des procédures dans le respect des exigences en vigueur, l’identifi-cation et la résolution des problèmes, ainsi que l’application par l’organisation d’une politique continue de révision et d’amélioration de ses procédures, produits et services. Un SAQ devrait identifier les problèmes et améliorer les procédures en vue de réaliser les objectifs de l’entreprise. 10.3.15 Un SAQ contribue à garantir que les mesures systémiques requises ont été prises afin de satisfaire aux objectifs de sécurité de l’organisation. Cependant, l’assurance de la qualité « ne garantit pas la sécurité ». Les mesures d’assurance de la qualité aident la direction à assurer la normalisation nécessaire des systèmes au sein de son organisation afin de réduire les risques d’accidents. 10.3.16 Un SAQ contient des procédures de contrôle de la performance de tous les aspects de l’organisation. Il vérifie notamment :

a) l’existence de procédures (par ex. des SOP) bien conçues et documentées ;

b) les méthodes d’inspection et d’essai ;

c) le contrôle des équipements et des opérations ;

d) les audits internes et externes ;

e) le suivi des mesures correctrices prises ;

f) l’utilisation d’analyses statistiques appropriées, le cas échéant. 10.3.17 Plusieurs normes d’assurance de la qualité acceptées à l’échelon international sont actuel-lement en usage. Le choix du système le plus approprié dépend de la taille, de la complexité et du produit de l’organisation. Les normes ISO 9000 constituent un des systèmes internationaux utilisés par beaucoup d’organisations pour l’application d’un système interne d’assurance de la qualité. L’utilisation de tels systèmes garantit en outre que les fournisseurs de l’organisation appliquent des systèmes d’assurance de la qualité appropriés.

Audits de sécurité 10.3.18 La réalisation d’audits de sécurité est une activité clé de la gestion de la sécurité. Similaires aux audits financiers, les audits de sécurité offrent un moyen d’évaluer de façon systématique dans quelle

Page 142: 9859 MANUEL SMS

10-8 Manuel de gestion de la sécurité (MGS)

mesure l’organisation atteint ses objectifs de sécurité. Le programme d’audits de sécurité, ainsi que d’autres activités de supervision de la sécurité (contrôle des performances en matière de sécurité), donne aux directeurs des différentes unités et à la haute direction des retours d’informations sur la performance de l’organisation en matière de sécurité. Ces retours d’informations apportent des preuves du niveau de performance en matière de sécurité atteint par l’organisation. En ce sens, les audits de sécurité constituent une activité proactive de gestion de la sécurité et offrent un moyen d’identifier des problèmes potentiels avant que ceux-ci n’aient une incidence sur la sécurité. 10.3.19 Les audits de sécurité peuvent être menés en interne par l’organisation ou être confiés à un auditeur externe. La forme la plus courante d’audit externe de sécurité a pour objectif de prouver la performance en matière de sécurité aux autorités de réglementation de l’État. Toutefois, de plus en plus, d’autres intervenants peuvent exiger un audit indépendant en tant que condition préalable à l’octroi d’une approbation spécifique, qu’il s’agisse de financement, d’assurance, de partenariats avec d’autres transporteurs aériens ou d’entrée dans un espace aérien étranger. Quelle que soit la raison de l’audit, les activités et produits des audits internes et externes sont similaires. Des audits de sécurité devraient être conduits de façon régulière et systématique conformément au programme d’audits de sécurité de l’organisation. Des éléments indicatifs sur la conduite des audits de sécurité sont mentionnés au Chapitre 14.

10.4 PROGRAMME UNIVERSEL OACI D’AUDITS DE SUPERVISION DE LA SÉCURITÉ (USOAP)

10.4.1 L’OACI reconnaît la nécessité pour les États d’exercer une supervision effective de la sécurité de leurs secteurs aéronautiques. C’est pourquoi l’OACI a mis sur pied le Programme universel d’audits de supervision de la sécurité (USOAP)1. Voici les objectifs principaux de l’USOAP : a) déterminer le degré de conformité des États dans la mise en œuvre des normes de l’OACI ; b) observer et évaluer le respect par les États des pratiques recommandées de l’OACI, des procédures

connexes, des éléments indicatifs et des pratiques liées à la sécurité ; c) déterminer si l’instauration par les États de législations, réglementations, autorités et inspections de

la sécurité et moyens d’audit appropriés assurent une mise en œuvre efficace de leurs systèmes de supervision de la sécurité ;

d) donner aux États contractants des conseils afin d’améliorer leurs capacités de supervision de la

sécurité. 10.4.2 Un premier cycle d’audits USOAP de la plupart des États contractants de l’OACI concernant l’Annexe 1 — Licences du personnel, l’Annexe 6 — Exploitation technique des aéronefs et l’Annexe 8 — Navigabilité des aéronefs est terminé. Des rapports sommaires d’audits contenant un résumé des consta-tations, recommandations et mesures correctrices proposées par les États sont publiés et diffusés par l’OACI afin de permettre aux autres États contractants de se faire une idée de la qualité de la sécurité de l’aviation dans l’État audité. Les futurs cycles d’audits USOAP utiliseront une approche systémique, centrée sur les SARP cruciales pour la sécurité de toutes les Annexes liées à la sécurité. Les constatations des audits menés à ce jour ont révélé de nombreuses lacunes dans le respect des SARP de l’OACI par les États.

1. Des éléments indicatifs peuvent être obtenus auprès de l’OACI pour aider les États à préparer les audits USOAP. Voir le Manuel

d’audits de la supervision de la sécurité (Doc 9735) et les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806).

Page 143: 9859 MANUEL SMS

Chapitre 10. Contrôle des performances en matière de sécurité 10-9

10.5 AUDITS DE SÉCURITÉ CONDUITS PAR LES AUTORITÉS DE RÉGLEMENTATION Pour certains États, les audits USOAP de l’OACI sont la seule évaluation de leur performance en matière de supervision de la sécurité de leur aviation. Toutefois, beaucoup d’États appliquent un programme d’audits de sécurité afin de garantir l’intégrité de leur système national d’aviation. Les audits conduits par une autorité de réglementation de la sécurité devraient effectuer un examen général des procédures de gestion de la sécurité de l’organisation considérée dans son ensemble. Les points clés de tels audits sont énumérés ci-dessous : a) Surveillance et conformité. Avant d’octroyer une licence ou une approbation, l’autorité de réglemen-

tation doit s’assurer que les normes locales, nationales ou internationales requises sont respectées et que la situation sera maintenue à ce niveau pendant toute la durée de validité de la licence ou de l’approbation. L’autorité de réglementation détermine un moyen acceptable de prouver la conformité. L’organisation soumise à audit est alors tenue de fournir les documents prouvant que les exigences réglementaires peuvent être respectées et le seront.

b) Domaines et degré de risque. Un audit de sécurité mené par une autorité de réglementation

devrait garantir que le SGS de l’organisation repose sur des principes et procédures solides. Des systèmes organisationnels doivent être mis en place pour réexaminer régulièrement les procédures afin de garantir le respect permanent de toutes les normes de sécurité. Il faudrait évaluer les procédures d’identification des risques et de mise en œuvre des changements requis. L’audit devrait confirmer que les diverses parties de l’organisation fonctionnent en tant que système intégré. Par conséquent, les audits de sécurité menés par l’autorité de réglementation doivent avoir un degré de détail et une portée suffisants pour garantir que l’organisation a envisagé les diverses interdépen-dances dans son processus de gestion de la sécurité.

c) Compétence. L’organisation devrait avoir un personnel formé suffisant pour garantir que le SGS

fonctionne comme prévu. Non seulement l’autorité de réglementation doit confirmer la compétence de tous les membres du personnel mais elle doit aussi évaluer les capacités du personnel occupant des postes clés. La détention d’une licence octroyant des privilèges spécifiques ne donne pas nécessairement d’indications quant à la compétence du titulaire pour assumer des tâches de gestion. Ainsi, la compétence en tant qu’ATCO n’est pas synonyme de clairvoyance en matière de gestion. En cas de lacunes à court terme au niveau des compétences, l’organisation devra convaincre l’autorité de réglementation qu’elle dispose d’un plan viable pour résoudre le problème le plus rapidement possible. En outre, l’autorité de réglementation devrait désigner le directeur qui assumera la responsabilité de la sécurité.

d) Gestion de la sécurité. Un SGS doit être en vigueur pour garantir une gestion efficace des

problèmes de sécurité et la capacité générale de l’organisation de respecter ses objectifs de performance en matière de sécurité.

10.6 AUTO-VÉRIFICATION 10.6.1 Une auto-évaluation critique (ou auto-vérification) est un outil que la direction peut utiliser pour évaluer les marges de sécurité. Un questionnaire global destiné à aider la direction à mener une auto-vérification des facteurs qui ont une incidence sur la sécurité est inclus à l’Appendice 2 à ce chapitre. Cette liste d’auto-vérification est destinée à permettre à la haute direction d’identifier les événements, politiques, procédures ou pratiques de l’organisation susceptibles de révéler des dangers pour la sécurité.

Page 144: 9859 MANUEL SMS

10-10 Manuel de gestion de la sécurité (MGS)

10.6.2 Il n’existe pas de bonnes ou de mauvaises réponses pour toutes les situations et toutes les questions ne sont pas pertinentes pour tous les types d’opérations. Toutefois, la réaction à un certain type de questionnement peut contribuer à déterminer si la sécurité de l’organisation est saine. 10.6.3 Bien que l’auto-vérification de l’Appendice 2 ait été conçue à l’origine pour être utilisée dans le cadre des opérations aériennes, ce type de questionnement est valable pour la gestion de la plupart des aspects opérationnels de l’aviation civile. Dès lors, cette liste d’auto-vérification peut être adaptée à tout un éventail de situations.

— — — — — — — —

Page 145: 9859 MANUEL SMS

10-APP 1-1

Appendice 1 au Chapitre 10

EXEMPLES D’INDICATEURS DE L’ÉTAT DE SANTÉ DE LA SÉCURITÉ

MAUVAIS ÉTAT DE SANTÉ DE LA SÉCURITÉ

ÉTAT DE SANTÉ DE LA SÉCURITÉ EN VOIE D’AMÉLIORATION

AAC ▪ Lois et réglementations en vigueur inadaptées ; ▪ Risque de conflits d’intérêts (par ex. l’autorité de

réglementation est aussi prestataire de services) ; ▪ Infrastructure et systèmes de l’aviation civile inadaptés ; ▪ Insuffisances au niveau des fonctions de réglementation

(telles que l’octroi de licences, la surveillance et l’exécution) ;

▪ Ressources et organisation insuffisantes pour l’ampleur et la complexité des exigences réglementaires ;

▪ Instabilité et incertitude au sein de l’AAC compromettent la qualité et l’opportunité de la fonction de réglementation ;

▪ Absence de processus formels de sécurité tels que des processus de comptes rendus d’incidents et de supervision de la sécurité ;

▪ Stagnation de la réflexion sur la sécurité (par ex. réticence à adopter les meilleures pratiques éprouvées).

AAC ▪ Programmes nationaux de comptes rendus d’incidents

(tant obligatoires que volontaires) ; ▪ Programmes nationaux de contrôle de la sécurité, y

compris enquêtes sur des incidents, bases de données sur la sécurité accessibles et analyses des tendances ;

▪ Supervision réglementaire, y compris surveillance de routine, audits de sécurité réguliers et suivi des bonnes pratiques du secteur ;

▪ Répartition des ressources basée sur le risque pour toutes les fonctions de réglementation ;

▪ Programmes de promotion de la sécurité pour aider les exploitants.

Organisation opérationnelle ▪ Organisation et ressources insuffisantes pour les

opérations actuelles ; ▪ Instabilité et incertitude dues à de récents changements

organisationnels ; ▪ Mauvaise situation financière ; ▪ Conflits sociaux non résolus ; ▪ Réputation de non-respect des réglementations ; ▪ Faibles niveaux d’expérience opérationnelle pour le type

d’équipement ou d’opérations concerné ; ▪ Déficiences de la flotte, notamment en termes d’âge et

de composition ; ▪ Fonction de sécurité au sein de l’entreprise mal définie

ou absence d’une telle fonction ; ▪ Programmes de formation inadéquats ; ▪ Relâchement de la vigilance de l’entreprise en ce qui

concerne la sécurité, les pratiques de travail actuelles, etc. ;

▪ Mauvaise culture de la sécurité.

Organisation opérationnelle ▪ Culture proactive de la sécurité au sein de l’entreprise ; ▪ Investissement dans les ressources humaines dans des

domaines tels que la formation non obligatoire ; ▪ Processus formels de sécurité pour la tenue à jour d’une

base de données concernant la sécurité, les comptes rendus d’incidents, les enquêtes sur les incidents, les communications relatives à la sécurité, etc. ;

▪ Application d’un système global de gestion de la sécurité (à savoir approche appropriée de l’entreprise, outils organisationnels et supervision de la sécurité) ;

▪ Système de communications internes bidirectionnelles fort en termes d’ouverture, de retours d’informations, de culture du compte rendu et de diffusion des enseignements tirés ;

▪ Éducation et sensibilisation à la sécurité via des échanges de données, la promotion de la sécurité, la participation à des forums de sécurité et l’élaboration de matériel pédagogique.

— — — — — — — —

Page 146: 9859 MANUEL SMS
Page 147: 9859 MANUEL SMS

10-APP 2-1

Appendice 2 au Chapitre 10

AUTO-VÉRIFICATION DE LA DIRECTION

1. OBJECTIF Cette liste d’auto-vérification peut être utilisée par la direction pour identifier les processus administratifs, opérationnels et autres, ainsi que les exigences de formation susceptibles de révéler des dangers pour la sécurité. Les résultats peuvent servir à attirer l’attention de la direction sur les points qui pourraient générer un risque pour la sécurité.

2. GESTION ET ORGANISATION

Structure de gestion 1) L’organisation a-t-elle une déclaration écrite formelle des politiques et objectifs de sécurité de

l’entreprise ? 2) Les politiques et objectifs de sécurité de l’entreprise sont-ils suffisamment diffusés dans toute

l’organisation ? La haute direction soutient-elle visiblement ces politiques de sécurité ? 3) L’organisation a-t-elle un département de la sécurité ou un directeur de la sécurité (DS) ? 4) Ce département ou ce DS est-il efficace ? 5) Le DS du département relève-t-il directement de la haute direction de l’entreprise ? 6) L’organisation soutient-elle la publication périodique d’un rapport ou d’un bulletin d’information sur la

sécurité ? 7) L’organisation distribue-t-elle des rapports ou des bulletins d’information sur la sécurité provenant

d’autres sources ? 8) Existe-t-il un système formel de communication régulière des informations liées à la sécurité entre la

direction et le personnel ? 9) Des réunions sur la sécurité se tiennent-elles régulièrement ? 10) L’organisation participe-t-elle à des activités et initiatives de sécurité de l’industrie aéronautique ? 11) L’organisation mène-t-elle des enquêtes formelles sur les incidents et les accidents ? Les résultats

de ces enquêtes sont-ils communiqués aux directeurs et au personnel opérationnel ? 12) L’organisation a-t-elle un programme confidentiel, non punitif, de comptes rendus de dangers et

d’incidents ?

Page 148: 9859 MANUEL SMS

10-APP 2-2 Manuel de gestion de la sécurité (MGS)

13) L’organisation tient-elle à jour une base de données sur les incidents ? 14) La base de données sur les incidents est-elle analysée régulièrement pour déterminer les tendances ? 15) L’organisation applique-t-elle un programme d’analyse des données de vol (FDA) ? 16) L’organisation applique-t-elle un programme d’audits de sécurité en service de ligne (LOSA) ? 17) L’organisation mène-t-elle des études sur la sécurité ? 18) L’organisation utilise-t-elle des sources extérieures pour conduire des évaluations ou des audits de

la sécurité ? 19) L’organisation sollicite-t-elle le concours des groupes de soutien technique des constructeurs

d’aéronefs ?

Stabilité de la direction et de l’entreprise 1) Y a-t-il eu des changements importants ou fréquents au niveau de la propriété ou de la haute

direction durant les trois dernières années ? 2) Y a-t-il eu des changements importants ou fréquents au niveau de la direction des départements

opérationnels durant les trois dernières années ? 3) Des directeurs des départements opérationnels ont-ils démissionné en raison de litiges au sujet des

questions de sécurité, des procédures ou pratiques d’exploitation ? 4) Les progrès technologiques liés à la sécurité sont-ils mis en œuvre avant d’être imposés par les

exigences réglementaires, autrement dit l’organisation se montre-t-elle proactive dans l’utilisation de la technologie pour atteindre ses objectifs en matière de sécurité ?

Stabilité financière de l’organisation 1) L’organisation a-t-elle récemment connu une instabilité financière, une fusion, une acquisition ou

toute autre grande réorganisation ? 2) Une attention a-t-elle été portée aux questions de sécurité pendant ou après la période d’instabilité,

la fusion, l’acquisition ou la réorganisation ?

Sélection et formation de la direction 1) Existe-t-il des critères bien définis de sélection des directeurs ? 2) Le passé et l’expérience opérationnels font-ils partie des exigences de la sélection du personnel de

direction ? 3) Les directeurs d’exploitation de première ligne sont-ils sélectionnés parmi les candidats ayant des

qualifications opérationnelles ?

Page 149: 9859 MANUEL SMS

Chapitre 10. Contrôle des performances en matière de sécurité — Appendice 2 10-APP 2-3

4) Le nouveau personnel de direction reçoit-il une initiation et une formation formelles à la sécurité ? 5) Existe-t-il un développement de carrière bien défini pour les directeurs d’exploitation ? 6) Existe-t-il un processus formel d’évaluation annuelle des directeurs ?

Personnel

1) L’organisation a-t-elle procédé à des licenciements récemment ? 2) Une grande partie du personnel est-elle employée à temps partiel ou sur une base contractuelle ? 3) La société a-t-elle des règles ou politiques formelles pour gérer l’utilisation de personnel contractuel ? 4) Existe-t-il une communication franche entre la direction, le personnel et les syndicats au sujet des

questions de sécurité ? 5) Existe-t-il un taux élevé de rotation du personnel dans les départements de l’exploitation ou de la

maintenance ? 6) Le niveau général d’expérience du personnel de l’exploitation et de la maintenance est-il bas ou en

recul ? 7) Est-il tenu compte de la répartition des niveaux d’âge ou d’expérience au sein de l’organisation dans

le cadre de la planification organisationnelle à long terme ? 8) Les compétences professionnelles des candidats à des postes d’exploitation ou de maintenance

sont-elles évaluées de façon formelle pendant le processus de sélection ? 9) Les processus et questions de diversité culturelle sont-ils envisagés pendant la sélection et la

formation du personnel ? 10) Une attention particulière est-elle accordée aux questions de sécurité pendant des périodes de

désaccords ou de conflits sociaux ? 11) Des changements récents ont-ils été appliqués aux salaires, aux règles de travail ou aux pensions ? 12) L’organisation a-t-elle un programme propre de suivi médical du personnel ? 13) L’organisation a-t-elle un programme d’aide au personnel couvrant notamment le traitement de

l’alcoolisme et de la toxicomanie ?

Relations avec l’autorité de réglementation

1) Les normes de sécurité sont-elles fixées essentiellement par l’organisation ou par l’autorité de

réglementation appropriée ? 2) L’organisation fixe-t-elle des normes plus élevées que celles que lui impose l’autorité de régle-

mentation ?

Page 150: 9859 MANUEL SMS

10-APP 2-4 Manuel de gestion de la sécurité (MGS)

3) L’organisation a-t-elle une relation constructive, de coopération avec l’autorité de réglementation ? 4) L’organisation a-t-elle été soumise à une récente mesure d’exécution de la sécurité par l’autorité de

réglementation ? 5) L’organisation tient-elle compte des différents niveaux d’expérience et de normes d’octroi de licence

d’autres États lorsqu’elle examine les demandes d’emploi ? 6) L’autorité de réglementation évalue-t-elle régulièrement si l’organisation respecte les normes de

sécurité requises ?

Page 151: 9859 MANUEL SMS

11-1

Chapitre 11

PLANIFICATION DES INTERVENTIONS EN CAS D’URGENCE

11.1 INTRODUCTION 11.1.1 C’est peut-être parce que les accidents d’aviation sont rares que peu d’organisations sont prêtes pour y faire face. Beaucoup d’organisations n’ont pas mis en place de plans efficaces pour gérer les événements pendant ou après une situation d’urgence ou une crise. Or, la façon dont une organisation s’en sort après un accident ou une autre situation d’urgence peut dépendre de la qualité de sa gestion des premières heures ou jours suivant un grave événement lié à la sécurité. Un plan d’urgence énonce par écrit ce qu’il faut faire après un accident et qui est responsable de chaque action. Dans les opérations aéro-portuaires, un tel plan s’intitule Plan d’urgence d’aérodrome (AEP). Toutefois, ce chapitre utilise le terme générique Plan d’intervention en cas d’urgence (ERP). 11.1.2 S’il est normal d’associer la planification des interventions en cas d’urgence aux opérations aériennes et aéroportuaires dans le cas d’un accident d’aéronef, le concept peut tout aussi bien s’appliquer à d’autres prestataires de services. La planification des interventions en cas d’urgence est nécessaire pour les fournisseurs de services ATS afin de leur permettre de faire face à une importante coupure de courant, à une perte de couverture radar, à une défaillance des communications ou d’autres installations majeures, etc. Un organisme de maintenance a besoin d’une planification des interventions en cas d’urgence pour gérer l’incendie d’un hangar, un gros déversement de carburant, etc. Dans ce contexte, une situation d’urgence est considérée comme un événement susceptible de faire subir un grave préjudice ou de sérieuses perturbations à l’organisation. 11.1.3 À première vue, la planification des interventions en cas d’urgence peut paraître peu liée à la gestion de la sécurité. Néanmoins, une planification efficace des interventions en cas d’urgence offre une occasion d’apprendre, ainsi que d’appliquer les leçons de sécurité visant à réduire au minimum les dommages matériels ou les lésions corporelles. 11.1.4 Pour pouvoir gérer avec succès une urgence, il faut commencer par élaborer une planification efficace. Un ERP fournit la base d’une approche systématique de la gestion des activités de l’organisation à la suite d’un événement imprévu important qui, dans le pire des cas, peut être un accident grave. 11.1.5 Un ERP vise à garantir : a) une transition ordonnée et efficace des opérations normales aux opérations d’urgence ; b) une délégation de l’autorité en cas d’urgence ; c) une attribution des responsabilités en situation d’urgence ; d) une autorisation du personnel clé pour l’application des mesures prévues dans le plan ; e) une coordination des efforts pour faire face à la situation d’urgence ;

Page 152: 9859 MANUEL SMS

11-2 Manuel de gestion de la sécurité (MGS)

f) une poursuite des opérations en toute sécurité ou le retour le plus rapide possible aux opérations normales.

11.2 EXIGENCES DE L’OACI 11.2.1 Toute organisation qui effectue ou soutient des opérations aériennes devrait avoir un ERP. Les documents suivants stipulent les exigences de l’OACI ou fournissent des éléments indicatifs concernant la planification des interventions en cas d’urgence : a) L’Annexe 14 — Aérodromes stipule qu’un plan d’urgence sera établi pour tout aérodrome en

proportion des opérations aériennes et autres activités pour lesquelles il est utilisé. Le plan d’urgence d’aérodrome permettra d’assurer la coordination des mesures à prendre dans une situation d’urgence survenant sur l’aérodrome ou dans son voisinage.

b) La Rédaction d’un manuel d’exploitation (Doc 9376) recommande que les compagnies incluent

dans leurs manuels d’exploitation des instructions et indications sur les tâches et obligations du personnel à la suite d’un accident. Le manuel d’exploitation devrait comporter des éléments indicatifs sur l’installation et le fonctionnement d’un centre d’intervention en cas d’urgence/accident, qui sera le centre nerveux d’où sera gérée la crise. Outre les éléments indicatifs sur les accidents concernant les aéronefs de la compagnie, des indications devraient aussi être données sur les accidents concernant des aéronefs dont la compagnie est l’agent de services d’escale (par ex. en raison d’accords de partage de codes ou de contrats de sous-traitance de services). Les grandes compagnies peuvent choisir de consolider toutes ces informations relatives à la planification des interventions en cas d’urgence dans un volume distinct de leur manuel d’exploitation.

c) Le Manuel des services d’aéroport (Doc 9137), 7e Partie — Planification des mesures d’urgence aux

aéroports, donne des indications tant aux autorités aéroportuaires qu’aux exploitants d’aéronefs quant à la planification préliminaire des interventions en cas d’urgence ainsi qu’à la coordination entre les différents organismes aéroportuaires, exploitant compris.

11.2.2 Pour être efficace, un ERP devrait : a) être pertinent et utile pour les personnes qui sont susceptibles d’être de service au moment où

survient un accident ; b) comporter des listes de vérification et un aide-mémoire reprenant les coordonnées du personnel

adéquat ; c) être testé régulièrement par le biais d’exercices ; d) être mis à jour lorsque surviennent des changements.

11.3 CONTENU D’UN ERP L’ERP sera normalement conçu sous la forme d’un manuel. Il devrait exposer les responsabilités, rôles et actions des divers organismes et personnels qui devront gérer les situations d’urgence. L’ERP devrait tenir compte des éléments suivants :

Page 153: 9859 MANUEL SMS

Chapitre 11. Planification des interventions en cas d’urgence 11-3

a) Les politiques en vigueur. L’ERP devrait donner des indications sur les interventions en cas d’urgence, notamment les lois et réglementations régissant les enquêtes, les accords passés avec les autorités locales et les politiques et priorités de la compagnie.

b) L’Organisation. L’ERP devrait décrire les intentions de la direction quant aux organismes d’inter-

vention en : 1) désignant qui sera affecté aux équipes d’intervention et en spécifiant qui dirigera ces équipes ; 2) définissant les rôles et responsabilités du personnel affecté aux équipes d’intervention ; 3) clarifiant les liens hiérarchiques ; 4) donnant des instructions pour la mise sur pied d’un Centre de gestion des crises (CMC) ; 5) instaurant des procédures pour la réception d’un grand nombre de demandes d’informations,

surtout pendant les premiers jours suivant un grave accident ; 6) désignant le porte-parole de la compagnie qui assurera le contact avec les médias ; 7) définissant les ressources qui seront disponibles, y compris les autorisations financières pour

les activités immédiates ; 8) désignant le représentant de la compagnie pour toute enquête officielle qui serait entreprise par

des agents de l’État ; 9) définissant un plan de rappel au travail du personnel clé. Un organigramme ou un ordinogramme pourrait être utilisé pour montrer les fonctions au sein de

l’organisation et les flux de communications entre ces fonctions. c) Notifications. L’ERP devrait spécifier à quelle(s) personne(s) au sein de l’organisation il faut

signaler une situation d’urgence et qui en enverra notification à l’extérieur et par quel(s) moyen(s). Il faudrait envisager de signaler l’événement aux personnes ci-dessous :

1) la direction ; 2) les autorités nationales (services de recherche et de sauvetage, autorité de réglementation,

bureau d’enquête sur les accidents, etc.) ; 3) les services locaux d’intervention en cas d’urgence (autorités aéroportuaires, pompiers, police,

services d’ambulance, organismes médicaux, etc.) ; 4) les proches des victimes (une question sensible qui est gérée par la police dans de nombreux

États) ; 5) le personnel de la compagnie ; 6) les médias ; 7) les représentants légaux, les mandataires comptables et représentants des assurances.

Page 154: 9859 MANUEL SMS

11-4 Manuel de gestion de la sécurité (MGS)

d) Première intervention. En fonction des circonstances, une équipe de première intervention peut être envoyée sur le site de l’accident pour renforcer les ressources locales et surveiller les intérêts de l’organisation. Voici quelques facteurs à envisager lors de la constitution d’une équipe de première intervention :

1) Qui doit diriger l’équipe de première intervention ? 2) Qui doit faire partie de l’équipe de première intervention ? 3) Qui doit parler au nom de l’organisation sur le site de l’accident ? 4) Quels seraient les besoins en termes d’équipements spéciaux, de vêtements, de documentation,

de moyens de transport, de logement, etc. ? e) Aide supplémentaire. Les membres du personnel ayant la formation et l’expérience appropriées

peuvent offrir un soutien utile pendant l’élaboration, les exercices de test et la mise à jour de l’ERP de l’organisation. Leur savoir-faire peut être utile pour planifier et exécuter les tâches suivantes :

1) tenir le rôle de passagers dans des exercices de secours ; 2) aider les survivants ; 3) gérer le contact avec les familles des victimes. f) Le Centre de gestion des crises (CMC). Un CMC devrait être installé au siège de l’organisation

lorsque la situation répond aux critères d’activation. En outre, le poste de commandement peut être installé sur le site de l’accident ou à proximité de ce site. L’ERP devrait préciser comment l’organisation répondra aux besoins en termes de :

1) dotation en personnel (éventuellement pour un service assuré 24 heures sur 24, 7 jours sur 7,

pendant la période de première intervention) ; 2) équipements de communication (téléphones, fax, Internet, etc.) ; 3) tenue des registres d’activités d’intervention ; 4) saisie des états de la compagnie qui concernent la situation d’urgence ; 5) mobilier et fournitures de bureau ; 6) documents de référence (tels que les listes de vérification et procédures d’intervention en cas

d’urgence, les manuels de la compagnie, les plans d’urgence d’aérodrome et les listes de numéros de téléphone).

Il se peut que l’exploitant, qu’il s’agisse d’une compagnie aérienne ou d’une autre organisation

spécialisée, doive sous-traiter les services d’un centre de crise pour veiller à ses intérêts lorsque la situation d’urgence s’est produite loin de l’aéroport d’attache. Du personnel de la compagnie viendrait normalement renforcer dès que possible le centre assurant le service en sous-traitance.

g) États. Non seulement l’organisation doit tenir à jour des registres des événements et activités, mais

elle sera aussi tenue de fournir des informations à l’équipe d’enquête de l’État. L’ERP devrait permettre la mise à disposition des types d’informations suivantes aux enquêteurs :

Page 155: 9859 MANUEL SMS

Chapitre 11. Planification des interventions en cas d’urgence 11-5

1) tous les états pertinents concernant l’aéronef, l’équipage de conduite, le vol, etc. ;

2) les listes de points de contact et de tous les membres du personnel associés à l’événement ;

3) les notes prises lors des interviews de toute personne associée à l’événement et les déclarations de telles personnes ;

4) les preuves photographiques ou autres.

h) Site de l’accident. Après un grave accident, des représentants de nombreuses autorités ont des raisons légitimes d’accéder au site, notamment la police, les pompiers, le corps médical, les autorités aéroportuaires, les médecins légistes, les enquêteurs de l’État, les organismes de secours (par ex. la Croix Rouge) et les médias. Bien que la coordination des activités de ces intervenants relève de la responsabilité de la police de l’État et/ou de l’autorité en charge de l’enquête, l’exploitant de l’aéronef devrait clarifier certains aspects des activités sur le site de l’accident. Il devrait prévoir :

1) la nomination d’un haut représentant de la compagnie sur le site de l’accident (quel que soit le lieu de cet accident) ;

2) la gestion des passagers survivants ;

3) comment répondre aux besoins des proches des victimes ;

4) les moyens d’assurer la sûreté de l’épave ;

5) le traitement des restes humains et des objets personnels des décédés ;

6) comment préserver les preuves ;

7) la fourniture d’assistance aux autorités d’enquête (le cas échéant) ;

8) comment enlever et éliminer l’épave.

i) Médias d’information. La réaction de la compagnie vis-à-vis des médias peut avoir une incidence sur la façon dont la compagnie se remet de l’événement. Des instructions claires sont nécessaires concernant entre autres :

1) les informations protégées par la loi (données de l’enregistreur de données de vol [FDR], enregistrements de l’enregistreur de conversations du poste de pilotage [CVR] et enregistre-ments ATC, déclarations de témoins, etc.) ;

2) la personne habilitée à s’exprimer au nom de l’organisation parente tant au siège que sur le site de l’accident (Directeur des Relations publiques, Directeur général ou autre cadre dirigeant, directeur ou propriétaire) ;

3) les instructions relatives à une déclaration préparée pour pouvoir répondre immédiatement aux demandes des médias ;

4) les informations qui peuvent ou ne peuvent pas être divulguées ;

5) le choix du moment et du contenu de la première déclaration de la compagnie ;

6) la fourniture de mises à jour régulières aux médias.

Page 156: 9859 MANUEL SMS

11-6 Manuel de gestion de la sécurité (MGS)

j) Enquêtes officielles. Des indications pour le personnel de la compagnie qui entrera en contact avec les enquêteurs de l’État et la police devraient être fournies dans l’ERP.

k) Aide aux familles. L’ERP devrait aussi comporter des éléments indicatifs sur la façon dont la

compagnie aidera les familles des victimes de l’accident (équipages et passagers). Ces indications pourraient couvrir des matières telles que :

1) les exigences de l’État concernant la fourniture de services d’aide aux familles ; 2) les dispositions relatives au voyage et au logement pour visiter le lieu de l’accident et voir les

survivants ; 3) la désignation d’un coordinateur du programme et d’un ou plusieurs points de contact pour

chaque famille ; 4) la fourniture d’informations actualisées ; 5) l’assistance aux personnes en deuil ; 6) l’aide financière immédiate aux victimes et à leurs familles ; 7) les services à la mémoire des défunts. Certains États définissent les types d’aide à fournir par les exploitants. l) Conseils en gestion du stress à la suite d’un incident critique. L’ERP devrait donner des

indications au personnel travaillant dans des situations stressantes. Il peut notamment spécifier les limites de temps de service et fournir des conseils en gestion du stress à la suite d’un incident critique.

m) Évaluation après l’occurrence. Des indications devraient être données pour garantir qu’à la suite

de la situation d’urgence, le personnel clé effectue un débriefing complet et consigne toutes les leçons importantes tirées de cette occurrence. Il se peut que des amendements soient ensuite apportés à l’ERP et aux listes de vérification connexes.

11.4 RESPONSABILITÉS DE L’EXPLOITANT D’AÉRONEFS 11.4.1 L’ERP de l’exploitant d’aéronefs devrait être coordonné avec le plan d’urgence d’aérodrome (AEP) afin que le personnel de l’exploitant sache quelles sont les responsabilités que l’aéroport assumera et quel type d’intervention est requis de l’exploitant1. Dans le cadre de leur planification des interventions en cas d’urgence, les exploitants d’aéronefs, ainsi que l’exploitant de l’aéroport, sont tenus de2 : a) fournir une formation pour préparer le personnel à faire face aux situations d’urgence ; b) prendre des dispositions pour gérer les demandes téléphoniques de renseignements concernant la

situation d’urgence ;

1. Voir le Chapitre 18 pour des informations supplémentaires sur la planification des interventions en cas d’urgence aéroportuaire. 2. Voir aussi le Manuel des services d’aéroport (Doc 9137), 7e Partie — Planification des mesures d’urgence aux aéroports.

Page 157: 9859 MANUEL SMS

Chapitre 11. Planification des interventions en cas d’urgence 11-7

c) désigner une aire d’attente appropriée pour les passagers indemnes et les « parents et amis » ; d) fournir une description des tâches du personnel de la compagnie (par ex. qui commande, qui

accueille les passagers dans les aires d’attente) ; e) recueillir les informations essentielles sur les passagers et coordonner la réponse à leurs besoins ; f) élaborer des arrangements avec d’autres exploitants et organismes pour fournir un soutien mutuel

pendant une situation d’urgence ; g) préparer et tenir à jour un kit d’urgence contenant : 1) les fournitures administratives nécessaires (formulaires, papier, insignes nominatifs, ordinateurs,

etc.) ; 2) les numéros de téléphone cruciaux (de médecins, hôtels locaux, interprètes, restaurateurs,

compagnies de transport aérien, etc.). 11.4.2 Lorsqu’un accident d’aéronef se produit sur un aéroport ou à proximité de celui-ci, l’exploitant d’aéronefs sera tenu de prendre certaines mesures, notamment : a) se référer au poste de commandement de l’aéroport pour coordonner les activités de l’exploitant

aérien ; b) aider à la localisation et à la récupération de tout enregistreur de vol ; c) aider les enquêteurs à identifier les composants de l’aéronef et garantir que les composants

dangereux soient rendus inoffensifs ; d) fournir des informations concernant les passagers, les membres d’équipage et l’existence de toute

marchandise dangereuse à bord ; e) transporter les personnes indemnes jusqu’à l’aire d’attente désignée ; f) prendre des dispositions pour toute personne indemne qui souhaiterait poursuivre son voyage ou

qui aurait besoin d’un logement ou de toute autre forme d’aide ; g) diffuser les informations aux médias en parfaite coordination avec le responsable des relations

publiques de l’aéroport et la police ; h) enlever l’aéronef et/ou l’épave sur autorisation de l’autorité d’enquête. Bien que les informations de ce paragraphe concernent surtout les accidents d’aéronefs, certains de ces concepts sont aussi valables pour guider les exploitants d’aérodromes et les fournisseurs de services ATS dans leur processus de planification des interventions en cas d’urgence.

11.5 LISTES DE VÉRIFICATION Toute personne participant à la première intervention à la suite d’un grave accident d’aéronef subira un certain choc. Dès lors, le processus d’intervention en cas d’urgence se prête à l’utilisation de listes de

Page 158: 9859 MANUEL SMS

11-8 Manuel de gestion de la sécurité (MGS)

vérification. Ces listes de vérification peuvent faire partie intégrante des Manuels d’exploitation ou d’intervention en cas d’urgence de la compagnie. Pour être efficaces, ces listes doivent être régulièrement : a) revues et mises à jour (par ex., les listes de rappel et coordonnées de contact) ; b) testées au cours d’exercices réalistes.

11.6 FORMATION ET EXERCICES L’ERP est une déclaration d’intention écrite. Il est à espérer qu’une grande partie de l’ERP ne sera jamais testée en conditions réelles. Dès lors, une formation est nécessaire pour garantir que les intentions énoncées dans l’ERP soient soutenues par des capacités opérationnelles. Comme la formation a une courte « durée utile », il est à conseiller de prévoir des exercices réguliers. Certaines parties de l’ERP, telles que les plans de rappel et de communication, peuvent être testées au moyen d’exercices sur table. D’autres aspects, tels que les activités « sur site » auxquelles participent d’autres organismes, doivent faire l’objet d’exercices réguliers. La tenue d’exercices présente l’avantage de révéler les carences du plan, qui peuvent être corrigées avant que ne se produise une réelle situation d’urgence.

Page 159: 9859 MANUEL SMS

12-1

Chapitre 12

MISE EN PLACE D’UN SYSTÈME DE GESTION DE LA SÉCURITÉ

12.1 INTRODUCTION 12.1.1 Une gestion efficace de la sécurité requiert une approche systémique de l’élaboration des politiques, procédures et pratiques relatives à la sécurité afin de permettre à l’organisation d’atteindre ses objectifs de sécurité. Comme d’autres fonctions de management, la gestion de la sécurité exige planifi-cation, organisation, communications et fixation d’orientations. La gestion de la sécurité intègre diverses activités dans un tout cohérent. Un suivi sera nécessaire pour évaluer et valider l’opportunité et l’efficacité des pratiques de l’organisation en matière de gestion de la sécurité afin de boucler le cycle de la sécurité. 12.1.2 Les besoins de gestion de la sécurité d’une organisation peuvent être satisfaits de plusieurs manières. Il n’existe pas de modèle unique et universel. La taille, la complexité et le type d’opérations, ainsi que la culture de l’entreprise en matière de sécurité et l’environnement opérationnel, sont autant de facteurs qui détermineront la structure la plus adaptée à chaque organisation et à ses circonstances particulières. Certaines organisations auront besoin d’un système formel de gestion de la sécurité (SGS) (tel que décrit au Chapitre 5). D’autres requerront l’exécution de la plupart des mêmes fonctions mais selon une approche moins structurée. Il se peut aussi que des organisations doivent tenir compte des limites de leurs ressources et ne puissent dès lors mettre en œuvre que quelques activités de gestion de la sécurité. 12.1.3 Le présent chapitre examine les facteurs à prendre en considération lors de la mise en place d’un SGS. Le choix du degré de formalisme et de rigidité du SGS devrait s’inspirer des besoins de l’organisation et non d’un respect aveugle de la doctrine. Il est important que la taille et la complexité du SGS soient adaptées à chaque organisation. Le Chapitre 15 examine quelques-uns des aspects les plus pratiques de la mise en œuvre d’un SGS. 12.1.4 L’existence d’une culture appropriée de la sécurité au sein de l’organisation est une condition préalable à la mise en œuvre d’un SGS efficace. Les aspects culturels sont évoqués au Chapitre 4. Toutefois, comme la culture de la sécurité revêt une importance capitale pour la réussite d’un SGS, les aspects pertinents d’une culture de la sécurité sont examinés plus en détail à la section 12.2.

12.2 CULTURE DE LA SÉCURITÉ

12.2.1 Une gestion efficace de la sécurité requiert plus que la mise en place d’une structure organi-sationnelle appropriée et la promulgation de règles et de procédures à appliquer. Elle exige un véritable engagement de la haute direction à garantir la sécurité. Les attitudes, décisions et méthodes de fonctionnement au niveau de l’élaboration des politiques révèlent la priorité donnée à la sécurité. La première indication de l’engagement de l’entreprise à garantir la sécurité apparaît dans la politique et les objectifs de sécurité énoncés par l’organisation et dans la propension du personnel à croire que les préoccupations relatives à la sécurité pourraient, le cas échéant, passer avant les objectifs de production.

Page 160: 9859 MANUEL SMS

12-2 Manuel de gestion de la sécurité (MGS)

12.2.2 Un indicateur clé de l’engagement de la direction à garantir la sécurité réside dans l’octroi de ressources suffisantes. La mise en place d’une structure de gestion appropriée, l’attribution des responsa-bilités et obligations redditionnelles et l’affectation de ressources adéquates doivent correspondre aux objectifs de sécurité explicites de l’organisation. Une dotation suffisante en personnel expérimenté, des formations pertinentes, données en temps utile, et le financement des équipements et installations nécessaires sont autant d’éléments indispensables pour créer un environnement de travail dans lequel chacun prend la sécurité au sérieux. 12.2.3 Des cultures effectives de la sécurité se caractérisent par des liens hiérarchiques clairs, des tâches bien définies et des procédures bien comprises. Le personnel comprend pleinement ses responsabilités et sait que signaler, à qui et quand. La haute direction évalue non seulement la performance financière de l’organisation mais aussi sa performance en matière de sécurité. 12.2.4 Dès lors, la culture de la sécurité relève autant de l’attitude que de la structure et concerne autant les individus que les organisations. Elle entraîne l’obligation non seulement de percevoir les problèmes de sécurité mais aussi de les résoudre par l’adoption des mesures appropriées. La culture de la sécurité porte sur des notions abstraites telles que les attitudes personnelles et le style de l’organisation. Elle est donc difficile à évaluer, surtout lorsque le principal critère d’évaluation de la sécurité est l’absence d’accidents et d’incidents. Toutefois, les attitudes personnelles et le style de l’entreprise permettent ou facilitent les actes et circonstances dangereux qui sont les précurseurs d’accidents et d’incidents.

12.3 LES DIX ÉTAPES DE LA MISE EN PLACE D’UN SGS 12.3.1 Lancer un processus efficace de gestion de la sécurité et en assurer le fonctionnement peut constituer un énorme défi. L’adoption d’une approche systémique contribuera à garantir la présence des éléments nécessaires à l’élaboration d’un système efficace. La présente section décrit les dix étapes de l’intégration des divers éléments dans un SGS cohérent. Une mise en œuvre simultanée de toutes les fonctions d’un SGS représenterait une tâche titanesque, voire impossible. Il est donc préférable de réaliser ces étapes progressivement afin de permettre à l’organisation de s’adapter et de se familiariser aux exigences et résultats de chaque étape, avant d’aller plus loin. 12.3.2 Bien que l’ordre des étapes décrit ci-dessous réponde à une certaine logique, il n’est pas normatif. Certaines étapes peuvent être retardées, dans l’attente d’un moment plus opportun. La liste type de vérification et de confirmation fournie permet d’assurer le suivi des progrès en mettant en évidence les initiatives à prendre à mesure que l’on avance dans la mise en œuvre des diverses étapes.

ÉTAPE 1 : PLANIFICATION S’inscrivant dans la logique des pratiques générales de gestion, la gestion de la sécurité commence par une planification rigoureuse. Une organisation qui s’efforce d’améliorer ses processus de gestion de la sécurité serait bien avisée de désigner un groupe de cadres hiérarchiques principaux et la personne la plus susceptible d’être nommée directeur de la sécurité (DS) de l’organisation pour mener à bien cette phase de planification.

Analyse Le groupe de la planification (ou de la mise en place) pourra peut-être s’appuyer sur des atouts existants en réalisant l’inventaire des capacités actuelles de gestion de la sécurité de l’organisation (y compris l’expérience, la connaissance, les processus, procédures, ressources, etc.). Il faut identifier les lacunes

Page 161: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-3

dans l’expérience acquise en matière de gestion de la sécurité et déterminer les ressources nécessaires pour contribuer à l’élaboration et à la mise en œuvre d’un SGS. De nombreuses unités opérationnelles disposent peut-être déjà de procédures internes pour les enquêtes sur les incidents, l’identification des dangers, le contrôle de la sécurité, etc. Il conviendrait d’examiner ces dispositifs et d’éventuellement les modifier pour les intégrer dans le SGS. Il est important que l’organisation recycle le plus de procédures existantes possible, car il n’est pas nécessaire de remplacer des procédures et processus connus et efficaces. En s’appuyant sur un tel acquis, la création d’un SGS engendrera moins de perturbations. Pendant ce processus d’analyse, le groupe de la planification devrait aussi étudier les bonnes pratiques du secteur dans le domaine de la gestion de la sécurité en consultant d’autres organisations ayant une taille et une mission similaires. Évaluation de la sécurité La conception et la mise en œuvre d’un SGS représenteront probablement pour l’organisation un grand changement, qui est susceptible de générer de nouveaux dangers pour la sécurité. L’outil qui pourrait utilement aider le groupe de la planification à résoudre ce problème est l’évaluation de la sécurité (telle que décrite au Chapitre 13). La synergie d’un groupe de gestionnaires expérimentés qui, de façon systématique, remettent en question tous les aspects de l’approche tant actuelle que planifiée de la gestion de la sécurité de l’organisation devrait réduire le risque de surprises lors de la mise en œuvre du SGS, améliorer la connais-sance qu’a le groupe de la situation actuelle et des besoins et préparer la voie pour la mise en œuvre effective du changement. Indicateurs de performance en matière de sécurité et objectifs de sécurité En matière de sécurité, le groupe de la planification devrait définir des indicateurs de performance pour l’organisation et fixer à celle-ci des objectifs de performance (comme décrit aux Chapitres 1 et 5). Ces indicateurs et objectifs doivent être réalistes, c’est-à-dire qu’ils doivent tenir compte de la taille et de la complexité de l’organisation, ainsi que du type d’exploitation, des ressources disponibles, etc. Il faut aussi convenir d’un calendrier réaliste pour la réalisation des objectifs. Même si ces indicateurs et ces objectifs peuvent s’avérer difficiles à établir, ce sont eux qui serviront de base pour évaluer le succès d’un SGS. Stratégie de sécurité En se basant sur les objectifs de sécurité convenus, le groupe de la planification peut élaborer une stratégie réaliste pour répondre aux besoins. Cette stratégie devra probablement combiner des éléments réactifs et proactifs (comme le décrit le Chapitre 5). Elle devrait aussi tenir compte des types de processus et d’activités de sécurité qui seront utilisés (tels qu’esquissés dans les étapes suivantes). En fonction du nombre de nouvelles initiatives à l’étude et de la disponibilité des ressources, il pourrait être souhaitable d’adopter une approche graduelle. La stratégie peut aussi définir le degré de formalisme qu’une organi-sation doit donner à son « système de gestion de la sécurité ». Une participation de la haute direction à l’élaboration de la stratégie sera nécessaire. Le plan La phase de planification devrait aboutir à un plan détaillé pour l’élaboration et la mise en œuvre du SGS. Généralement, la planification portera sur une durée d’un à trois ans. Le plan devrait aborder des aspects tels que les objectifs de sécurité, la stratégie de sécurité, les processus et activités de gestion de la sécurité, les implications en termes de ressources et les échéanciers.

Page 162: 9859 MANUEL SMS

12-4 Manuel de gestion de la sécurité (MGS)

Liste type de vérification et de confirmation n° 1 PLANIFICATION

Un groupe de la planification de la sécurité et un directeur de la sécurité

ont été désignés.

Le groupe de la planification :

— dispose d’une base d’expérience appropriée ; — rencontre régulièrement la haute direction ; — reçoit des ressources (y compris du temps pour les réunions).

Le groupe de la planification élabore une stratégie et un plan de mise en œuvre réalistes pour instaurer un SGS qui répondra aux besoins de sécurité de l’organisation.

La haute direction approuve le plan.

ÉTAPE 2 : ENGAGEMENT DES INSTANCES DE DIRECTION À GARANTIR LA SÉCURITÉ La responsabilité ultime de la sécurité incombe aux directeurs et aux cadres dirigeants de l’organisation. Tout le système de valeurs qui sous-tend l’attitude d’une organisation vis-à-vis de la sécurité — autrement dit toute sa culture de la sécurité — est déterminé dès le départ par la mesure dans laquelle les cadres dirigeants acceptent la responsabilité de la sécurité des opérations et en particulier de la gestion proactive des risques. Indépendamment des notions de taille, de complexité ou de type d’opérations, le succès d’un SGS dépendra de la mesure dans laquelle les instances de direction consacrent le temps, les ressources et l’attention nécessaires à la sécurité en temps que question essentielle de management. Sur ce point, les actes sont plus éloquents que tous les discours. Ce sont les actes visibles que posera la direction dans le domaine de la sécurité qui détermineront la culture de la sécurité (et par conséquent la performance en matière de sécurité) de l’organisation. Les politiques et objectifs de sécurité énoncent le résultat que l’organisation s’efforce d’atteindre et les moyens qu’elle mettra en œuvre pour y parvenir. La volonté de la direction de garantir la sécurité est d’abord communiquée à tout le personnel de l’organisation par la publication d’une politique et d’objectifs explicites de sécurité. Politique de sécurité L’engagement de la direction à garantir la sécurité devrait être exprimé officiellement dans la politique de sécurité de l’organisation. Celle-ci devrait refléter la philosophie de gestion de la sécurité de l’organisation et devrait devenir la base sur laquelle l’organisation fondera son SGS. La politique de sécurité expose les méthodes et processus qu’utilisera l’organisation pour atteindre les objectifs de sécurité souhaités et sert à rappeler « les bases sur lesquelles nous travaillons ici ». L’instauration d’une culture positive de la sécurité commence par la publication d’orientations claires, sans équivoque. Une politique de sécurité peut revêtir plusieurs formes mais inclura généralement des déclarations concernant : — l’objectif général de sécurité de l’organisation ;

Page 163: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-5

— l’engagement de la haute direction à atteindre l’objectif de garantir que tous les aspects des opérations répondent aux objectifs de performance en matière de sécurité ;

— un engagement de l’organisation à affecter les ressources nécessaires à la gestion efficace de la

sécurité ; — un engagement de l’organisation à accorder la plus haute priorité à la garantie de la sécurité ; — la politique de l’organisation concernant la responsabilité et les obligations redditionnelles en matière

de sécurité à tous les niveaux de l’organisation. Cette politique de sécurité devrait être un document écrit, publié sous l’autorité du niveau de direction le plus élevé de l’organisation, approuvé par les autorités de réglementation et communiqué à tout le personnel. Un exemple de déclaration de politique de sécurité d’une entreprise est présenté à l’Appendice 1 à ce chapitre. Cette déclaration de politique exprime de façon tangible l’engagement de la haute direction à garantir la sécurité. En lieu et place de ce type de politique de sécurité, il est possible de publier une déclaration par laquelle le directeur général s’engage à respecter les normes les plus élevées de sécurité. Un exemple de sujets pouvant être inclus dans une telle déclaration est présenté à l’Appendice 2 à ce chapitre. Au cours de l’élaboration d’une politique de sécurité, les instances dirigeantes devraient entreprendre une large consultation des membres clés du personnel responsables de domaines cruciaux pour la sécurité. Cette consultation garantira que le document présente un intérêt direct pour le personnel, qui aura l’impression d’y avoir en quelque sorte contribué. La politique de sécurité de l’entreprise doit aussi être conforme aux réglementations de l’État concerné. Objectifs de sécurité La politique de sécurité (et la culture de la sécurité) est étroitement liée à la façon dont une organisation fixe ses objectifs de sécurité. Des objectifs clairs peuvent générer un engagement à agir qui améliorera la sécurité de l’organisation. De rares organisations fixent leurs objectifs de façon formelle, exposant clairement leur philosophie, définissant les résultats souhaités, énonçant les progrès réalisables pour atteindre ces objectifs et documentant le processus. Elles ont convenu d’indicateurs pertinents de performance en matière de sécurité et ont adopté des objectifs réalistes de performance en matière de sécurité.

Liste type de vérification et de confirmation n° 2 ENGAGEMENT DES INSTANCES DE DIRECTION À GARANTIR LA SÉCURITÉ

La haute direction participe — et souscrit — au SGS.

La haute direction a approuvé la politique et les objectifs de sécurité de l’organisation, le plan de mise en œuvre du SGS et les normes de sécurité des opérations.

Ces éléments sont communiqués à tout le personnel, avec l’approbation visible des instances de direction.

La politique de sécurité a été élaborée par la direction et le personnel et a été signée par le Directeur général. La politique de sécurité :

— bénéficie de l’engagement et de la participation de tout le personnel ; — est conforme à d’autres politiques opérationnelles ; — donne des orientations pour mettre en œuvre la politique ;

Page 164: 9859 MANUEL SMS

12-6 Manuel de gestion de la sécurité (MGS)

— stipule les responsabilités et obligations redditionnelles des directeurs, des gestionnaires et du personnel ;

— est traduite dans les actes et décisions de tout le personnel ; — a été communiquée à tout le personnel ; — est réexaminée régulièrement.

Les objectifs et buts de sécurité sont pratiques et réalisables et sont revus régulièrement pour vérifier leur pertinence.

Des normes de performance (y compris les échéances) sont fixées.

Les responsabilités relatives à l’exécution des mesures sont clairement comprises.

Les directeurs assurent le suivi des mesures et obligent les responsables à rendre compte des progrès réalisés dans la poursuite des objectifs de sécurité fixés.

Des ressources appropriées sont octroyées pour assister le directeur de la sécurité.

La haute direction engage des ressources pour éliminer les dangers posant des risques inacceptables.

La haute direction a créé une chaîne appropriée de comptes rendus pour les questions de sécurité.

La haute direction encourage activement la participation aux divers programmes de sécurité du SGS.

La haute direction encourage une culture positive de la sécurité en vertu de laquelle :

— les informations relatives à la sécurité sont recherchées activement ; — le personnel est formé pour assumer ses responsabilités en matière de sécurité ; — la sécurité est une responsabilité partagée ; — les informations liées à la sécurité sont diffusées à tout le personnel concerné ; — les déficiences et dangers potentiels du système mènent promptement à des enquêtes de

la direction et à toute réforme nécessaire ; — un programme formel est en place pour évaluer régulièrement les performances en matière

de sécurité ; — de nouvelles idées liées à la sécurité sont accueillies favorablement.

ÉTAPE 3 : ORGANISATION Les méthodes de fonctionnement et de gestion de la sécurité que choisit une organisation influenceront la capacité de cette organisation à résister à l’adversité (ou à des situations dangereuses) et sa capacité à réduire les risques. Plusieurs points doivent impérativement être pris en considération lors de la mise en place d’une structure efficace de soutien d’un SGS. Il faut notamment :

— désigner un DS ;

— avoir une structure organisationnelle qui facilite la gestion de la sécurité ;

— disposer d’un énoncé des responsabilités et obligations redditionnelles ;

— créer un comité de sécurité ;

— assurer la formation et la compétence.

Page 165: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-7

Directeur de la sécurité (DS) Une des premières tâches à accomplir lors de la mise en place d’un SGS est la désignation d’un DS. Les activités de gestion de la sécurité requièrent un coordonnateur (ou un ardent défenseur) capable de stimuler les changements systémiques nécessaires pour rendre la sécurité effective dans toute l’organisation. Dans la plupart des organisations, la meilleure solution à cette fin est de désigner un DS à temps plein, qui fera partie de l’équipe directoriale de l’organisation. Ce DS sera notamment chargé de sensibiliser à la sécurité et de veiller à ce que la gestion de la sécurité reçoive, dans toute l’organisation, le même niveau de priorité que tout autre processus. Toutefois, dans de petites organisations, la fonction de DS peut faire partie des compétences du directeur de l’organisation. La gestion de la sécurité est une responsabilité partagée par chaque cadre hiérarchique et soutenue par le DS. Les activités spécifiques de sécurité incombent aux cadres hiérarchiques. Les cadres dirigeants ne doivent pas demander au DS des comptes concernant les responsabilités des cadres hiérarchiques ; toutefois, il incombe au DS de mettre à la disposition de tous les cadres hiérarchiques du personnel auxiliaire efficace afin de garantir le succès du SGS de l’organisation. Alors que le DS peut être tenu de rendre des comptes pour toute lacune dans le SGS même, il ne devrait pas être tenu pour responsable de la performance de l’organisation en matière de sécurité. L’idéal serait que le DS ait la sécurité pour seule responsabilité. Ce serait généralement le cas dans de grandes organisations où un poste de DS à temps plein peut se justifier. Dans de petites organisations, il se peut que la gestion de la sécurité doive incomber à un directeur ayant d’autres tâches. Dans de tels cas, pour éviter d’éventuels conflits d’intérêts, il serait préférable que la personne responsable de la gestion de la sécurité n’ait pas de responsabilité directe dans les domaines des opérations ou de l’ingénierie. Que les fonctions de DS soient exercées à temps plein ou intégrées aux responsabilités du directeur désigné, les devoirs et responsabilités liés à ce poste seront les mêmes. Quelle que soit la situation, le DS est un membre de l’équipe directoriale de l’organisation et doit se situer à un niveau suffisamment élevé dans la hiérarchie directoriale pour qu’il puisse communiquer directement avec d’autres cadres dirigeants. Le DS devrait être chargé de gérer tous les aspects du fonctionnement du SGS. Ainsi, il devrait notamment veiller à ce que la documentation concernant la sécurité reflète exactement l’environnement existant, contrôler l’efficacité des mesures correctrices, fournir des rapports réguliers sur les performances en matière de sécurité et donner au Directeur général, aux cadres dirigeants et à d’autres membres du personnel des conseils indépendants sur des questions liées à la sécurité. Un exemple de description des fonctions d’un DS est présenté à l’Appendice 1 au Chapitre 15. Structure organisationnelle et énoncé des responsabilités et obligations redditionnelles Deux approches différentes de la structure organisationnelle d’un exploitant qui répondent aux exigences de gestion de la sécurité sont décrites aux Figures 12-1 et 12-2. Toutes deux sont conçues pour soutenir un SGS cohérent. L’exemple A présenté à la Figure 12-1 se rencontre couramment dans les organisations ayant une bonne cote de sécurité. Le Responsable de la sécurité aérienne (FSO) relève directement du directeur des opérations aériennes. Toutefois, le FSO n’a pas de responsabilités de gestion de la sécurité dans d’autres départements. Pour couvrir les questions de sécurité dans le département de la maintenance, un responsable de la sécurité de la maintenance, rattaché directement au Directeur de la maintenance, assure une coordination informelle avec le FSO par le biais du « Bureau de la sécurité ». Bien que, dans cet organigramme, le Bureau de la sécurité soit placé de façon informelle sous l’autorité de la direction, cette structure n’encourage pas vraiment une approche systémique de la gestion de la sécurité. Au contraire,

Page 166: 9859 MANUEL SMS

12-8 Manuel de gestion de la sécurité (MGS)

l’organisation s’intéresse aux questions de sécurité uniquement sous l’angle des opérations aériennes et de la maintenance. Dans l’exemple B présenté à la Figure 12-2, tant le DS que le gestionnaire de l’assurance qualité assument des fonctions du SGS. Toutefois, tous deux sont placés sous l’autorité directe du Directeur général. Les fonctions de sécurité sont distribuées à travers toute l’organisation, aux départements des opérations, de la maintenance et à d’autres encore. Le DS et le gestionnaire de l’assurance qualité se concertent ensuite entre eux et avec les chefs de département afin d’aider ceux-ci à assumer leurs fonctions de gestion de la sécurité. Le modèle B élargit le centre de l’attention par rapport au modèle A et correspond mieux à l’approche systémique de la gestion de la sécurité. Les modifications de la structure organisationnelle devraient être évaluées afin de déterminer si elles auront une quelconque incidence sur les responsabilités et obligations redditionnelles en matière de sécurité. Tout amendement nécessaire aux responsabilités et obligations redditionnelles précédentes devrait être documenté de façon appropriée.

Comité de sécurité Non seulement il est nécessaire qu’un groupe de cadres hiérarchiques effectuent la planification initiale d’un SGS (Étape 1), mais il peut aussi être souhaitable de créer un comité de sécurité. La nécessité et la structure d’un comité de sécurité dépendront de la taille de l’organisation. Dans de petites organisations, où la structure organisationnelle comporte relativement peu d’échelons entre le niveau de travail et le niveau de la direction, le besoin de créer un comité de sécurité peut être moins impérieux. Un comité de sécurité sera généralement créé au niveau de la haute direction et comptera comme membres le DS ainsi que d’autres cadres dirigeants. L’objectif d’un comité de sécurité est de fournir un forum où se discuteront les questions liées à la performance de l’organisation en matière de sécurité et à la santé du SGS. Le comité de sécurité émet des recommandations relatives aux décisions portant sur la politique de la sécurité et examine les résultats de la performance en matière de sécurité. Pendant la phase initiale de mise en œuvre d’un SGS, le comité de sécurité analysera aussi les progrès réalisés dans le processus de mise en œuvre. Le mandat du comité de sécurité devrait être documenté dans le manuel de gestion de la sécurité de l’organisation. Des éléments indicatifs supplémentaires sur les comités de sécurité sont inclus dans le Chapitre 15.

Formation et compétence Pour assurer la sécurité, il est fondamental de disposer d’un personnel qui a les compétences nécessaires pour assumer ses tâches. Les exigences de compétence et, le cas échéant, des exigences en matière de licences devraient être explicitées dans la description des fonctions de chaque poste lié à la sécurité. Ces exigences devraient ensuite être intégrées dans les critères de recrutement et dans la formation interne pour ces postes. Tous les cadres hiérarchiques devraient être tenus d’assurer le maintien des compétences du personnel occupant des postes liés à la sécurité dans les domaines qui relèvent de leur responsabilité. Cette obligation s’étend aussi au respect des exigences en matière de recyclages réguliers. Tous les programmes de formation devraient proposer des cours sur les aspects du SGS et procédures connexes qui concernent le poste en question. Des éléments indicatifs sur la formation à la gestion de la sécurité sont inclus dans le Chapitre 15.

Page 167: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-9

Liste type de vérification et de confirmation n° 3 ORGANISATION

La structure organisationnelle facilite :

— les lignes de communication entre le DS et le DG et avec les cadres hiérarchiques ; — une définition claire des pouvoirs, obligations redditionnelles et responsabilités, afin d’éviter

tout malentendu, chevauchement et conflit (par ex. entre le DS et les cadres hiérarchiques) ; — l’identification des risques et la supervision de la sécurité.

Un DS (disposant des compétences et capacités appropriées) a été désigné.

Les rôles et responsabilités du DS (et de tout membre du personnel) sont clairement définis et explicités.

Un comité de sécurité se réunit régulièrement pour examiner les résultats en matière de

sécurité et émettre des recommandations à l’attention de la haute direction.

Le DS (et tout membre du personnel) a/ont reçu une formation appropriée à la sécurité.

Le personnel et la direction comprennent et soutiennent les rôles du DS, et le DS bénéficie du soutien du Directeur général.

ÉTAPE 4 : IDENTIFICATION DES DANGERS Les risques et coûts inhérents à l’aviation commerciale exigent un processus décisionnel rationnel. Il est indispensable de mettre en œuvre des processus de gestion des risques pour assurer l’efficacité du programme de gestion de la sécurité. Non seulement il n’est pas toujours possible d’éliminer les risques mais, en outre, toutes les mesures de gestion de la sécurité imaginables ne sont pas réalisables d’un point de vue économique. La gestion des risques facilite la recherche d’une solution de compromis en commençant par l’identification des dangers. Comme indiqué au Chapitre 5, la création et l’application de programmes effectifs d’identification des dangers constituent des éléments fondamentaux d’une gestion efficace de la sécurité. Toute organisation peut s’inspirer d’un large éventail d’activités de sécurité pour identifier les dangers ou les questions de sécurité justifiant la prise de mesures supplémentaires. Certaines de ces questions peuvent découler de dangers spécifiques pour la sécurité qui menacent une partie des opérations. D’autres questions méritant attention peuvent résulter de lacunes organisationnelles à l’origine du non-fonctionnement des dispositifs systémiques de sécurité prévus. L’identification des dangers peut avoir un caractère réactif ou proactif. Le contrôle des tendances, les comptes rendus d’événements liés à la sécurité et les enquêtes sont essentiellement réactifs. D’autres processus d’identification des dangers cherchent activement à obtenir des retours d’information en observant et analysant les opérations quotidiennes de routine. Voici quelques exemples des activités de sécurité les plus courantes, susceptibles de se prêter à des processus formels au sein de l’organisation : — évaluations de la sécurité ; — contrôle des tendances ;

Page 168: 9859 MANUEL SMS

12-10 Manuel de gestion de la sécurité (MGS)

Figure 12-1. Organigramme de gestion de la sécurité d’un exploitant : Exemple A

Figure 12-2. Organigramme de gestion de la sécurité d’un exploitant : Exemple B

Titulaire d’un certificat(Gestionnaire supérieur responsable)

Directeurs des opérationsaériennes

Responsable de la sécuritéaérienne

Directeur de la maintenance

Responsable de la sécuritéde la maintenance

Directeur de la sécurité

Liens hiérarchiques officiels

Circuit informel de communication

Liens hiérarchiques officiels

Circuit informel de communication

Directeur général

Directeur de la sécurité Directeur de l’assurance qualité

MaintenanceOpérations Autres

Page 169: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-11

— comptes rendus d’incidents ; — enquêtes sur la sécurité et audits de sécurité ; — processus proactifs d’identification des dangers (tels que FDA, LOSA et NOSS). Les Chapitres 16 et 17 décrivent plusieurs processus de sécurité réputés efficaces pour l’identification des dangers. La volonté d’utiliser plusieurs processus différents d’identification des dangers témoigne d’un engagement à assurer la sécurité. Pour porter ses fruits, le processus d’identification des dangers doit s’inscrire dans une culture de sécurité non punitive (ou juste). Il est de l’intérêt de la direction d’être informée des faiblesses potentielles du filet de sécurité du système qui sont susceptibles d’entraîner un accident ou de compromettre d’autre manière l’efficacité des opérations. Un blâme n’est justifié que lorsque des individus se rendent coupables de négligences ou d’imprudences. Si les travailleurs opèrent dans un climat de peur ou de sanction en cas de bévues, inattentions et erreurs normales dans leurs tâches quotidiennes, erreurs et conditions dangereuses ne seront probablement jamais révélées.

Liste type de vérification et de confirmation n° 4 IDENTIFICATION DES DANGERS

Des mécanismes formels (tels que des évaluations des risques et des audits de sécurité) sont

instaurés pour l’identification systématique des dangers.

Un système de comptes rendus d’événements est en vigueur et comprend un système volontaire de comptes rendus d’incidents.

La direction a mis des ressources adéquates à disposition pour l’identification des dangers.

Le personnel reçoit la formation nécessaire pour soutenir les programmes d’identification des

dangers.

Un personnel compétent gère les programmes d’identification des dangers et assure leur adéquation par rapport aux opérations existantes.

Le personnel concerné par tout incident enregistré ou rapporté est conscient qu’il ne sera pas

sanctionné pour des erreurs normales ; un environnement non punitif (juste) est favorisé par la direction.

Toutes les données sur les dangers identifiés sont systématiquement enregistrées, stockées et

analysées.

Des mesures de sécurité sont en vigueur pour protéger tout élément sensible.

ÉTAPE 5 : GESTION DES RISQUES La gestion des risques comprend trois éléments essentiels : l’identification des dangers, l’évaluation des risques et l’atténuation des risques. Elle requiert l’analyse et l’élimination (ou tout au moins une réduction à un niveau acceptable) des dangers qui menacent la viabilité d’une organisation. La gestion des risques sert à concentrer les efforts de sécurité sur les dangers les plus graves. Tous les dangers identifiés sont soumis à une évaluation critique et classés en fonction de leur potentiel de risque. Cette évaluation peut être

Page 170: 9859 MANUEL SMS

12-12 Manuel de gestion de la sécurité (MGS)

réalisée subjectivement par du personnel expérimenté ou effectuée au moyen de techniques plus formelles requérant souvent des compétences particulières en analyse. Les facteurs à prendre en considération sont la probabilité que l’événement se produise et la gravité des conséquences d’un tel événement. Lors de l’évaluation des risques, il faut aussi évaluer les moyens de défense instaurés pour se protéger des dangers. L’absence de tels moyens de défense, leur utilisation abusive, leur mauvaise conception ou leur état sont autant de facteurs susceptibles de favoriser une occurrence ou d’exacerber les risques. Un tel processus d’évaluation des risques permet de déterminer si les risques sont gérés ou maîtrisés de façon appropriée. Si les risques sont acceptables, les opérations peuvent se poursuivre. Si les risques sont inacceptables, des mesures doivent être prises pour renforcer les moyens de défense ou éliminer ou éviter le danger. Il existe généralement tout un éventail de mesures de maîtrise des risques capables de réduire la vulnéra-bilité à des risques identifiés. Il faut évaluer chaque option de maîtrise des risques ainsi que les risques résiduels et réaliser une analyse coûts-avantages. Après avoir arrêté un plan d’action, la direction doit communiquer ses préoccupations en matière de sécurité et les actions planifiées à toutes les personnes concernées. La gestion des risques est examinée plus en détail au Chapitre 6.

Liste type de vérification et de confirmation n° 5 GESTION DES RISQUES

Des critères sont fixés pour l’évaluation des risques.

Les risques sont analysés et classés par du personnel compétent (y compris des représentants

expérimentés du personnel).

Des mesures viables de maîtrise des risques sont évaluées.

La direction prend des mesures pour réduire, éliminer ou éviter les risques.

Le personnel est au courant des mesures prises pour éviter ou éliminer les dangers identifiés.

Des procédures en vigueur permettent de confirmer que les mesures prises donnent les résultats escomptés.

ÉTAPE 6 : CAPACITÉ D’ENQUÊTE Les enquêtes sur des événements liés à la sécurité révèlent souvent l’existence préalable de plusieurs signaux d’alerte ou signes précurseurs. Les enquêtes sur ces événements peuvent identifier de tels signaux d’alerte, ce qui permettra à l’avenir de reconnaître des signaux similaires avant qu’ils ne provoquent une occurrence. Alors que l’État peut enquêter sur des accidents qui doivent obligatoirement être signalés et sur des incidents graves, un SGS efficace donne la capacité d’enquêter sur de tels événements dans une optique propre à l’organisation. La valeur de telles enquêtes pour la gestion de la sécurité sera fonction de la qualité de l’enquête menée. En effet, en l’absence d’une méthodologie structurée, il est difficile d’intégrer et d’analyser toutes les informations pertinentes livrées par de telles enquêtes en vue de procéder à une

Page 171: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-13

évaluation efficace, de classer les risques par ordre de priorité et de recommander toute mesure nécessaire pour promouvoir la sécurité. La détermination des responsabilités n’a pas sa place dans de telles enquêtes sur la sécurité. Pour dégager les leçons à tirer d’un événement lié à la sécurité, il faut bien comprendre non seulement ce qui s’est produit mais aussi pourquoi. Pour bien cerner les causes d’un événement, il faut une enquête qui dépasse les raisons évidentes et s’applique à repérer tous les facteurs secondaires, dont certains peuvent être liés aux faiblesses des défenses du système ou à d’autres aspects organisationnels. Le Chapitre 8 contient de plus amples informations sur les enquêtes de sécurité.

Liste type de vérification et de confirmation n° 6 CAPACITÉ D’ENQUÊTE

Du personnel opérationnel clé a reçu une formation officielle sur les enquêtes de sécurité.

Chaque compte rendu de danger et d’incident est évalué et mène, si nécessaire, à une

enquête de sécurité plus approfondie.

La direction soutient l’acquisition et l’analyse des informations relatives à la sécurité.

La direction s’intéresse activement aux résultats de l’enquête et applique des procédures de gestion des risques aux dangers repérés.

Les leçons tirées en termes de sécurité sont largement diffusées.

L’autorité de réglementation est informée des préoccupations de sécurité majeures qui sont

susceptibles d’avoir des incidences sur d’autres exploitants, ou qui nécessitent la prise de mesures par l’autorité de réglementation.

ÉTAPE 7 : CAPACITÉ D’ANALYSE DE LA SÉCURITÉ L’analyse de la sécurité est le processus qui consiste à organiser et évaluer les faits en toute objectivité. Suivant les règles fondamentales de la logique et s’appuyant sur des méthodologies et des outils analy-tiques reconnus, elle examine les faits de façon systématique, de manière à pouvoir tirer des conclusions valables. L’analyse de la sécurité diffère de la procédure contradictoire utilisée par les tribunaux en ce sens qu’elle évalue toutes les facettes de toute situation. Si elle est bien faite, d’autres personnes suivant le même raisonnement arriveront aux mêmes conclusions. L’analyse de la sécurité s’applique à des domaines tels que : a) l’analyse des tendances ; b) les enquêtes sur les événements ; c) l’identification des dangers ; d) l’évaluation des risques ;

Page 172: 9859 MANUEL SMS

12-14 Manuel de gestion de la sécurité (MGS)

e) l’évaluation des mesures d’atténuation des risques ; f) le contrôle de la performance en matière de sécurité. L’analyse de la sécurité requiert des aptitudes et une expérience particulières. Il faut de solides capacités d’analyse pour avancer des arguments convaincants en faveur du changement. Le Chapitre 9 contient de plus amples informations sur l’analyse de la sécurité.

Liste type de vérification et de confirmation n° 7 CAPACITÉ D’ANALYSE DE LA SÉCURITÉ

Le DS a une expérience des méthodes d’analyse ou a été formé à ces méthodes ou a accès à

du personnel compétent en analyse de la sécurité.

Les outils d’analyse (et le soutien de spécialistes) sont disponibles pour soutenir les analyses de la sécurité.

L’organisation tient à jour une base de données de sécurité crédible.

D’autres sources d’informations sont accessibles.

Les données relatives aux informations sur des dangers et à la performance sont régulièrement

contrôlées (analyse des tendances, etc.).

Les analyses de la sécurité sont soumises à un processus de contrôle par les pairs.

Des recommandations de sécurité sont faites à la direction et des mesures correctives sont prises et soumises à un suivi afin de garantir leur pertinence et leur efficacité.

ÉTAPE 8 : PROMOTION DE LA SÉCURITÉ ET FORMATION À LA SÉCURITÉ L’organisation améliore l’état de sa sécurité en tenant le personnel au courant des questions de sécurité en cours par le biais de formations judicieuses, de publications sur la sécurité, de participations à des cours et séminaires sur la sécurité, etc. L’offre de formations judicieuses à tous les membres du personnel (quel que soit leur domaine professionnel) constitue une indication de l’engagement de la direction à assurer un SGS efficace. (Une direction moins motivée peut considérer la formation comme un coût plutôt que comme un investissement dans la viabilité future de l’organisation.) De nouveaux membres du personnel doivent savoir ce que l’on exige d’eux et comment fonctionne le SGS de l’organisation. Les cours d’initiation devraient mettre l’accent sur « les bases sur lesquelles nous travaillons ici ». Il est possible que des agents plus expérimentés aient besoin de recyclages sur des processus de sécurité spécifiques dans lesquels leur participation directe peut être requise, notamment les systèmes FDA, LOSA ou NOSS. Indépendamment de leur niveau d’expérience, tous les membres du personnel reçoivent des informations en retour sur les dangers repérés, les mesures de sécurité prises, les leçons tirées en termes de sécurité, etc. Le DS est le conseiller technique logique qui donne le point de vue de l’entreprise sur l’approche de la gestion de la sécurité adoptée par l’organisation. Toute une gamme d’outils sont disponibles pour aider le DS dans son rôle de promotion de la sécurité. (Voir le Chapitre 15 pour obtenir des éléments indicatifs dans ce domaine.)

Page 173: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-15

Liste type de vérification et de confirmation n° 8 PROMOTION DE LA SÉCURITÉ ET FORMATION À LA SÉCURITÉ

La direction reconnaît que tous les niveaux de l’organisation requièrent une formation à la gestion

de la sécurité et que les besoins varient d’un service à l’autre.

Les descriptions des fonctions reflètent les exigences en termes de compétences.

Tout le personnel reçoit un cours d’initiation à la sécurité et participe à des formations permanentes spécifiques à la gestion de la sécurité.

L’organisation dispose d’un programme efficace visant à promouvoir les questions de sécurité en temps utile.

Le personnel est conscient du rôle qu’il a à jouer dans les éléments du SGS qui concernent ses tâches.

Une formation supplémentaire de sensibilisation à la sécurité est fournie lorsque des changements sont apportés à l’environnement opérationnel (changements saisonniers, modifications des condi-tions d’exploitation, des exigences réglementaires, etc.).

Le personnel comprend que la gestion de la sécurité ne vise nullement à incriminer qui que ce soit.

ÉTAPE 9 : DOCUMENTATION SUR LA GESTION DE LA SÉCURITÉ ET GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ

Pour assurer une gestion responsable de la sécurité, les organisations performantes suivent une approche disciplinée de la gestion de la documentation et de l’information. Une documentation officielle est requise pour constituer la base de référence du SGS. Cette documentation clarifie la relation de la direction de la sécurité avec les autres fonctions au sein de l’organisation, la façon dont les activités de gestion de la sécurité s’intègrent à ces autres fonctions et la relation entre les activités de gestion de la sécurité et la politique de sécurité de l’organisation. Généralement, ces informations sont reprises dans un manuel de gestion de la sécurité. L’application d’un SGS génère de grandes quantités d’informations, tantôt sous forme de documents imprimés, tantôt sous forme de données en format électronique, notamment des comptes rendus d’événe-ments et des notices d’identification de dangers. Bien gérées, ces informations peuvent bien servir le SGS, surtout le processus de gestion des risques. Toutefois, en l’absence des outils et compétences nécessaires pour enregistrer, stocker, sauvegarder et extraire les renseignements requis, de telles informations sont souvent dénuées d’intérêt et leur collecte se révèle une perte de temps. (Les Chapitres 9 et 15 contiennent des éléments indicatifs sur l’utilisation et la gestion des données et informations concernant la sécurité.) Il est important que l’organisation tienne un registre des mesures prises pour atteindre les objectifs du SGS. Un registre des mesures prises pour maîtriser les risques et garantir le respect de niveaux adéquats de sécurité sera peut-être requis en cas d’enquête de l’État sur un accident ou un incident grave. Ces registres devraient être suffisamment détaillés pour assurer la traçabilité de toutes les décisions liées à la sécurité. Le manuel de gestion de la sécurité de l’organisation devrait fournir les éléments indicatifs nécessaires pour incorporer les activités de sécurité de l’organisation dans un système cohérent et intégré de sécurité. Il est l’instrument qui permet à la direction de communiquer l’approche de la sécurité appliquée à l’ensemble de l’organisation. Ce manuel devrait traiter tous les aspects du SGS, y compris la politique de sécurité, les obligations redditionnelles de chacun en matière de sécurité, les procédures de sécurité, etc.

Page 174: 9859 MANUEL SMS

12-16 Manuel de gestion de la sécurité (MGS)

Liste type de vérification et de confirmation n° 9 DOCUMENTATION SUR LA GESTION DE LA SÉCURITÉ

ET GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ

La direction appuie la nécessité d’une documentation et d’un contrôle des données minutieux.

Le SGS est bien explicité dans un manuel de gestion de la sécurité.

Les documents sont mis à jour régulièrement et sont facilement accessibles à ceux qui en ont besoin.

Des mesures crédibles ont été prises pour la protection des informations sensibles concernant

la sécurité.

Les équipements et le soutien technique appropriés sont disponibles pour gérer les infor-mations sur la sécurité.

Des bases de données sur la sécurité sont utilisées pour faciliter les analyses de la sécurité et

le contrôle des performances.

Le personnel adéquat a accès aux bases de données sur la sécurité.

Le personnel a reçu la formation nécessaire pour tenir à jour et utiliser le système de gestion des informations sur la sécurité.

ÉTAPE 10 : SUPERVISION DE LA SÉCURITÉ ET CONTRÔLE DES PERFORMANCES EN MATIÈRE DE SÉCURITÉ

Une approche systémique de la gestion de la sécurité requiert que l’on « boucle le cycle de la sécurité ». Il est indispensable de disposer de retours d’informations pour évaluer le bon fonctionnement des neuf premières étapes. C’est là qu’interviennent la supervision de la sécurité et le contrôle des performances en matière de sécurité. La supervision de la sécurité peut être réalisée au moyen d’inspections, d’enquêtes et d’audits. Les personnes font-elles ce qu’elles sont censées faire ? Dans beaucoup de grandes organisations, des audits formels de sécurité sont effectués régulièrement afin de permettre une supervision des opérations quotidiennes. Des audits de sécurité certifient au personnel et à la direction que les activités de l’organisation sont exécutées dans les règles (c.-à-d. en toute sécurité). De petites organisations peuvent obtenir les retours d’informations nécessaires de façon moins formelle, par ex., par le biais d’observations informelles et de discussions avec le personnel. Le contrôle des performances en matière de sécurité valide le SGS, en confirmant non seulement que les personnes font ce qu’elles sont censées faire mais aussi que leurs efforts collectifs ont permis d’atteindre les objectifs de sécurité de l’organisation. Par des analyses et évaluations régulières, la direction peut s’efforcer de continuer à améliorer la gestion de la sécurité et garantir que le SGS reste efficace et en phase avec les opérations de l’organisation. Le Chapitre 10 fournit des éléments indicatifs sur la pratique de la supervision de la sécurité et sur l’exécution du contrôle des performances en matière de sécurité.

Page 175: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-17

Liste type de vérification et de confirmation n° 10 SUPERVISION DE LA SÉCURITÉ ET CONTRÔLE DES PERFORMANCES

EN MATIÈRE DE SÉCURITÉ

Des indicateurs de performance en matière de sécurité sont convenus et des objectifs de sécurité réalistes, fixés.

Des ressources adéquates sont affectées aux fonctions de supervision de la sécurité et de

contrôle des performances en matière de sécurité.

Une participation active du personnel est recherchée et fournie sans crainte de répercussions.

Des audits de sécurité réguliers sont effectués dans tous les domaines opérationnels de l’organisation (y compris les activités des sous-traitants).

La supervision de la sécurité comprend l’examen systématique de tous les retours d’infor-

mations disponibles, notamment les évaluations de la sécurité, les résultats du programme d’assurance de la qualité, les analyses des tendances en matière de sécurité, les enquêtes sur la sécurité, les audits de sécurité.

Les constatations sont communiquées au personnel et des mesures correctives sont mises en

œuvre si nécessaire pour renforcer le système.

— — — — — — — —

Page 176: 9859 MANUEL SMS
Page 177: 9859 MANUEL SMS

12-APP 1-1

Appendice 1 au Chapitre 12

MODÈLE DE DÉCLARATION DE POLITIQUE DE SÉCURITÉ

La sécurité reçoit la plus haute priorité dans toutes nos activités. Nous nous engageons à appliquer, développer et améliorer des stratégies, systèmes de gestion et processus en vue de garantir que toutes nos activités aéronautiques se maintiennent au plus haut niveau de performance en matière de sécurité et satisfassent aux normes nationales et internationales. Nous nous engageons à : a) développer et ancrer dans toutes nos activités aéronautiques une culture de la sécurité qui reconnaît

l’importance et la valeur d’une gestion efficace de la sécurité de l’aviation et admet à tout moment que la sécurité est primordiale ;

b) définir clairement les obligations redditionnelles et responsabilités de tous les membres du personnel dans le développement et la réalisation de la stratégie et de la performance en matière de sécurité de l’aviation ;

c) réduire les risques liés à l’exploitation aérienne jusqu’au niveau le plus faible que l’on puisse raisonnablement atteindre ;

d) garantir que les systèmes et services qui sont fournis par des éléments extérieurs et qui ont une incidence sur la sécurité de nos opérations répondent aux normes de sécurité appropriées ;

e) développer et améliorer activement nos processus de sécurité pour nous conformer aux normes internationales ;

f) respecter et, si possible, dépasser les exigences et normes législatives et réglementaires ;

g) garantir que tous les membres du personnel reçoivent les informations et formations adéquates et appropriées sur la sécurité de l’aviation, soient compétents dans les domaines liés à la sécurité et ne soient affectés qu’à des tâches qui sont à la mesure de leurs aptitudes ;

h) garantir la disponibilité de suffisamment de ressources humaines formées et qualifiées pour mettre en œuvre la stratégie et la politique de sécurité ;

i) établir et mesurer notre performance en matière de sécurité par rapport à des objectifs et/ou buts réalistes ;

j) atteindre les niveaux les plus élevés de normes et de performance en matière de sécurité dans toutes nos activités aéronautiques ;

k) constamment améliorer notre performance en matière de sécurité ;

l) procéder à des examens de la sécurité et de la gestion et veiller à ce que les mesures nécessaires soient prises ;

Page 178: 9859 MANUEL SMS

12-APP 1-2 Manuel de gestion de la sécurité (MGS)

m) veiller à ce que l’application de systèmes efficaces de gestion de la sécurité de l’aviation fasse partie intégrante de toutes nos activités aéronautiques, en vue d’atteindre les niveaux les plus élevés de normes et de performance en matière de sécurité.

— — — — — — — —

Page 179: 9859 MANUEL SMS

12-APP 2-1

Appendice 2 au Chapitre 12

SUGGESTIONS DE POINTS À INCLURE DANS UNE DÉCLARATION DU DIRECTEUR GÉNÉRAL

SUR L’ENGAGEMENT DE L’ENTREPRISE À GARANTIR LA SÉCURITÉ

La liste ci-dessous énumère les points fréquemment couverts dans des déclarations sur l’engagement de l’entreprise à garantir la sécurité. Elle mentionne à la suite de chaque point les sujets habituellement abordés pour développer la position de l’entreprise sur ce point. a) Valeurs fondamentales. Parmi nos valeurs fondamentales, nous inclurons : 1) la sécurité, la santé et l’environnement ; 2) le comportement éthique ; 3) l’importance accordée aux personnes. b) Convictions fondamentales en matière de sécurité. Nos convictions fondamentales en matière

de sécurité sont les suivantes : 1) La sécurité est une activité de base et une valeur personnelle. 2) La sécurité est une des sources de notre avantage concurrentiel. 3) Nous renforcerons notre entreprise en intégrant l’excellence en matière de sécurité dans toutes

nos activités aéronautiques. 4) Tous les accidents et tous les incidents graves sont évitables. 5) Tous les niveaux hiérarchiques sont responsables de notre performance en matière de sécurité,

à commencer par le Directeur général/l’Administrateur délégué. c) Éléments fondamentaux de notre approche de la sécurité. Les cinq éléments fondamentaux de

notre approche de la sécurité sont : 1) L’engagement de la haute direction : — L’excellence en matière de sécurité sera une composante de notre mission. — La haute direction demandera des comptes sur la performance en matière de sécurité aux

cadres hiérarchiques et à tous les membres du personnel.

Page 180: 9859 MANUEL SMS

12-APP 2-2 Manuel de gestion de la sécurité (MGS)

2) La responsabilité et les obligations redditionnelles de tous les membres du personnel : — La performance en matière de sécurité constituera une partie importante de notre système

d’évaluation de la direction/du personnel. — Nous reconnaîtrons et récompenserons la performance en matière de sécurité. — Avant tout travail, chacun sera sensibilisé aux règles et procédures de sécurité ainsi qu’à la

responsabilité de chacun d’observer ces règles et procédures. 3) Objectif « zéro accident » clairement communiqué : — Nous aurons un objectif de sécurité formel écrit et nous veillerons à ce que chacun

comprenne et accepte cet objectif. — Nous mettrons en place un système de communication et de motivation afin de maintenir

notre personnel concentré sur l’objectif de sécurité. 4) Réalisation d’audits et d’évaluations pour améliorer la performance : — La direction veillera à ce que des audits de sécurité réguliers soient réalisés. — Nous concentrerons nos audits sur le comportement des personnes ainsi que sur l’état des

lieux de travail. — Nous arrêterons des indicateurs de performance pour nous aider à évaluer notre perfor-

mance en matière de sécurité. 5) Responsabilité de tous les membres du personnel : — Chacun de nous sera tenu d’accepter d’être responsable et de répondre de ses propres

comportements. — Chacun de nous aura l’occasion de participer à l’élaboration des normes et procédures de

sécurité. — Nous communiquerons ouvertement les informations sur les incidents de sécurité et en

partagerons les leçons avec d’autres. — Chacun de nous se préoccupera de la sécurité des autres membres de notre organisation. d) Les objectifs du processus de sécurité. Voici nos objectifs : 1) TOUS les niveaux de la direction s’engageront clairement à garantir la sécurité. 2) Nous aurons des paramètres de sécurité clairs pour le personnel, assortis d’obligations reddi-

tionnelles claires. 3) Nous aurons des communications ouvertes sur la sécurité. 4) Nous associerons tous les membres de personnel concernés au processus décisionnel.

Page 181: 9859 MANUEL SMS

Chapitre 12. Mise en place d’un système de gestion de la sécurité — Appendice 2 12-APP 2-3

5) Nous fournirons la formation nécessaire pour développer et maintenir des compétences efficaces de leadership dans le domaine de la sécurité.

6) La sécurité de notre personnel, de nos clients et fournisseurs fera partie des préoccupations

stratégiques de l’organisation.

Signature : Directeur général/Administrateur délégué ou autre selon le cas

Page 182: 9859 MANUEL SMS

Page blanche

Page 183: 9859 MANUEL SMS

13-1

Chapitre 13

ÉVALUATIONS DE LA SÉCURITÉ

13.1 GÉNÉRALITÉS

13.1.1 La gestion de la sécurité fournit les moyens qui permettent à des organisations de maîtriser les processus susceptibles de mener à des événements dangereux, afin de garantir que le risque de lésions corporelles et de dommages matériels soit limité à un niveau acceptable. Une grande partie de cette activité se concentre sur les dangers identifiés par le biais de processus et activités tels que les enquêtes sur des événements liés à la sécurité, les systèmes de comptes rendus d’incidents et les programmes de super-vision de la sécurité. Les évaluations de la sécurité offrent un autre mécanisme proactif permettant d’identifier les dangers potentiels et de découvrir des moyens de maîtriser les risques y afférents. 13.1.2 Une évaluation de la sécurité devrait être entreprise avant la mise en œuvre de toute modifi-cation majeure susceptible d’avoir une incidence sur la sécurité des opérations, afin de prouver que la modification respecte un niveau acceptable de sécurité. Par exemple, une évaluation de la sécurité peut se justifier lors de la planification de modifications majeures concernant les procédures opérationnelles, l’acquisition ou la configuration d’équipements, les relations organisationnelles au sein de l’entreprise, etc. L’Annexe 11 de l’OACI — Services de la circulation aérienne exige que toute modification importante du système ATC qui aurait des incidences sur la sécurité ne soit réalisée qu’après qu’il aura été démontré par une évaluation de la sécurité qu’un niveau de sécurité acceptable sera respecté1. Des exigences similaires concernant toute modification de l’environnement d’exploitation d’un aérodrome existent dans l’Annexe 14 — Aérodromes, Volume I — Conception et exploitation technique des aérodromes, ainsi que dans les éléments indicatifs fournis dans le Manuel sur la certification des aérodromes (Doc 9774). La portée d’une évaluation de la sécurité doit être suffisamment large pour couvrir tous les aspects du système sur lesquels cette modification pourrait avoir des incidences soit directes, soit indirectes, et devrait comprendre des éléments relatifs aux facteurs humains, aux équipements et aux procédures. 13.1.3 Si une évaluation conclut que le système examiné ne satisfait pas aux critères de l’évaluation de la sécurité, il sera nécessaire de trouver des moyens de modifier le système afin de réduire le risque. Ce processus est appelé atténuation du risque. L’élaboration de mesures d’atténuation devient partie intégrante du processus d’évaluation. Il faudrait tester la pertinence des mesures d’atténuation proposées en réévaluant le niveau de risque une fois les mesures d’atténuation appliquées. (Le Chapitre 6 donne de plus amples indications sur le processus de gestion des risques.) 13.1.4 Le processus d’évaluation de la sécurité vise à répondre aux trois questions fondamen-tales suivantes : a) Quel problème pourrait se produire ? b) Quelles en seraient les conséquences ?

1. Des informations plus spécifiques sur les circonstances dans lesquelles une évaluation de la sécurité pourrait être requise dans le

domaine des ATS sont données à la section 2.6 du Chapitre 2 des Procédures pour les services de navigation aérienne — Gestion du trafic aérien (PANS-ATM, Doc 4444).

Page 184: 9859 MANUEL SMS

13-2 Manuel de gestion de la sécurité (MGS)

c) À quelle fréquence ce problème pourrait-t-il se produire ? 13.1.5 Une fois qu’une évaluation de la sécurité est terminée, elle devrait être signée pour approbation par le directeur responsable, qui devrait indiquer que le directeur est convaincu que l’évaluation a été menée avec rigueur et que le niveau de risque est acceptable. Pour que le directeur puisse prendre une décision en connaissance de cause sur ces points, il faut que l’évaluation de la sécurité soit bien étayée. Les documents sur lesquels s’appuie cette évaluation devraient être conservés afin de constituer un dossier qui prouvera sur quelle base la décision d’acceptation a été prise. 13.1.6 La mise en œuvre d’un programme d’évaluations de la sécurité requiert que l’organisation : a) détermine quand les évaluations de la sécurité doivent impérativement être réalisées ;

b) élabore des procédures pour mener les évaluations de la sécurité ;

c) élabore des critères organisationnels de classification des risques pour les dangers identifiés ;

d) élabore des critères d’acceptation des évaluations de la sécurité ;

e) élabore des exigences de documentation et des procédures de conservation et de diffusion des informations sur la sécurité recueillies par le biais des évaluations.

13.2 LE PROCESSUS D’ÉVALUATION DE LA SÉCURITÉ 13.2.1 Le Chapitre 6 a présenté un concept bidimensionnel du risque : le risque perçu lié à un événement dangereux dépend à la foi de la probabilité que cet événement se produise et de la gravité de ses conséquences. Le processus d’évaluation de la sécurité aborde ces deux facteurs. Les évaluations de la sécurité s’appuient sur les processus systématiques de gestion des risques décrits au Chapitre 6, processus dont elles constituent une application spécifique. Le processus d’évaluation de la sécurité peut être divisé en sept étapes, énumérées dans le Tableau 13-1.

Tableau 13-1. Les sept étapes de l’évaluation de la sécurité

Étape 1 : Élaboration (ou acquisition) d’une description complète du système à évaluer et de l’environnement dans lequel ce système sera mis en œuvre ;

Étape 2 : Identification des dangers ;

Étape 3 : Estimation de la gravité des conséquences d’un danger si celui-ci se concrétisait ;

Étape 4 : Estimation de la probabilité qu’un danger se concrétise ;

Étape 5 : Évaluation du risque ;

Étape 6 : Atténuation du risque ;

Étape 7 : Élaboration d’une documentation relative à l’évaluation de la sécurité.

Page 185: 9859 MANUEL SMS

Chapitre 13. Évaluations de la sécurité 13-3

13.2.2 La Figure 13-1 illustre le processus d’évaluation de la sécurité sous forme schématique et montre qu’il sera éventuellement nécessaire de répéter ce processus plusieurs fois jusqu’à ce qu’une méthode satisfaisante d’atténuation du risque soit trouvée. 13.2.3 Comme on pouvait s’y attendre, le processus d’évaluation de la sécurité présente de nombreux parallélismes avec le processus de gestion des risques décrit au Chapitre 6. Le reste de ce chapitre exami-nera en détail chacune des sept étapes d’une évaluation de la sécurité.

ÉTAPE 1 : ÉLABORATION D’UNE DESCRIPTION COMPLÈTE DU SYSTÈME À ÉVALUER ET DE L’ENVIRONNEMENT DANS LEQUEL CE SYSTÈME DEVRA FONCTIONNER

Le « système », tel que défini pour les besoins de l’évaluation de la sécurité, sera toujours un sous-ensemble d’un système plus grand. Ainsi, même si l’évaluation englobe tous les services fournis au sein d’un aérodrome, cet ensemble peut être considéré comme faisant partie d’un système régional plus vaste, lui-même sous-ensemble du système d’aviation mondial. Pour pouvoir identifier tous les dangers potentiels, il faut que les personnes participant à l’évaluation de la sécurité comprennent bien le nouveau système ou le changement proposé et la manière dont ce nouveau système ou ce changement interagira avec d’autres composantes du système global dans lequel il s’intègre. Voilà pourquoi la première étape du processus d’évaluation de la sécurité consiste à rédiger une description du système ou du changement proposé. Le processus d’identification des dangers ne peut identifier des dangers que dans les limites du système décrit. Par conséquent, les limites de ce système doivent être suffisamment larges pour englober toutes les incidences que le système pourrait avoir. Il est en particulier important que la description comprenne les interfaces avec le système plus vaste dont fait partie le système soumis à évaluation. Une description détaillée de ce système devrait comprendre :

a) le but du système ;

b) la manière dont ce système sera utilisé ;

c) les fonctions du système ;

d) les limites du système et les interfaces extérieures ;

e) l’environnement dans lequel le système fonctionnera.

Les incidences qu’une éventuelle perte ou dégradation du système aura sur la sécurité seront déterminées en partie par les caractéristiques de l’environnement opérationnel dans lequel le système sera intégré. La description de cet environnement devrait dès lors inclure tous les facteurs susceptibles d’avoir un effet important sur la sécurité. Ces facteurs varieront selon les cas. Il pourrait s’agir, par exemple, de caractéris-tiques de trafic, d’infrastructures aéroportuaires et de facteurs météorologiques. La description du système devrait aussi envisager les procédures d’urgence et autres opérations anormales telles que, par exemple, une panne des systèmes de communication ou des aides à la navigation. Pour les projets de grande envergure, la description du système devrait exposer la stratégie qui sera appliquée lors de la transition de l’ancien système au nouveau. Par exemple, le système existant sera-t-il désaffecté et remplacé immédiatement par le nouveau système ou les deux fonctionneront-ils en parallèle pendant un certain temps ?

Page 186: 9859 MANUEL SMS

13-4 Manuel de gestion de la sécurité (MGS)

Figure 13-1. Le processus d’évaluation de la sécurité

Décrire le systèmeà évaluer

Décrirel’environnement

opérationnel

Identifier les dangers

Identifierles conséquences

Évaluer le risque

Le risqueest-il acceptable?

Non

Oui

Identifier les mesuresd’atténuation du risque

Réévaluer le risque

Oui Le risqueest-il acceptable?

Non

NonS’agit-il d’unrisque ALARP?

Oui

Oui

Non

Documenter la décisionet passer à l’étape

suivante dedéveloppement oude mise en uvreœ

Abandonner le projetou revoir

les objectifs originauxdu projet

Le risqueest-il tolérable?

Page 187: 9859 MANUEL SMS

Chapitre 13. Évaluations de la sécurité 13-5

ÉTAPE 2 : IDENTIFICATION DES DANGERS L’étape d’identification des dangers devrait envisager toutes les sources possibles de défaillance du système. En fonction de la nature et de la taille du système examiné, ces sources pourraient comprendre les éléments suivants :

a) l’équipement (matériel et logiciel) ;

b) l’environnement opérationnel (par ex. les conditions physiques, l’espace aérien et la conception des routes aériennes) ;

c) les opérateurs humains ;

d) l’interface homme/machine ;

e) les procédures opérationnelles ;

f) les procédures de maintenance ;

g) les services extérieurs. Toutes les configurations possibles du système devraient être examinées. Il est important d’également analyser les incidences que tout chantier de construction aura sur les opérations quotidiennes. Le Tableau 13-2 présente une liste des types de questions à envisager au cours de la phase de développement d’un aérodrome, lorsque des travaux de construction peuvent avoir des incidences sur les opérations quotidiennes.

Tableau 13-2. Exemples d’incidences de la construction d’un aérodrome sur les opérations

Exemples de problèmes d’incidence

▪ Comment les diverses surfaces aéroportuaires et celles des équipements de navigation et équipements électroniques seront-elles protégées des travaux, des véhicules et des zones de stockage du chantier de construction ?

▪ Quelles procédures temporaires d’exploitation, d’ATC et d’ingénierie faut-il instaurer ?

▪ Quelles seront les heures de début, de contrôle et de fin des procédures de chantier le jour/la nuit ? À cet égard, il faudrait prévoir :

— une inspection du chantier avant la reprise de l’exploitation, le cas échéant, et la personne qui assumera, au nom de l’aérodrome, la responsabilité de veiller à ce que cette inspection soit effectuée ;

— la méthode choisie pour les communications entre la tour ATC et le site ;

— combien de temps après le dernier départ et avant la première arrivée les travaux commenceront et cesseront, respectivement.

▪ Quelles procédures seront adoptées en cas de détérioration du temps et quelles actions devront être envisagées avant le début des procédures de visibilité réduite ?

▪ Quelle mesure sera prise en cas de situation d’urgence ?

Page 188: 9859 MANUEL SMS

13-6 Manuel de gestion de la sécurité (MGS)

Toutes les personnes associées au processus d’identification des dangers devraient être conscientes de l’importance des conditions latentes (décrites au Chapitre 4), car celles-ci ne sont généralement pas évidentes. Le processus devrait spécifiquement répondre à des questions telles que « comment le personnel pourrait-il mal interpréter cette nouvelle procédure ? » ou « comment une personne pourrait-elle utiliser de façon abusive cette nouvelle fonction/ce nouveau système (intentionnellement ou non) ? » L’étape d’identification des dangers devrait être lancée le plus tôt possible dans le déroulement du projet. Pour les projets de grande envergure, plusieurs sessions d’identification des dangers peuvent avoir lieu à des phases différentes du projet. Le degré de précision requis dépendra de la complexité du système à examiner et de l’étape du cycle de vie du système à laquelle l’évaluation est effectuée. En général, le degré de précision requis sera plus faible pour une évaluation menée pendant la phase de définition des exigences opérationnelles que pour une évaluation effectuée pendant la phase de conception détaillée. Sessions d’identification des dangers Une approche structurée de l’identification des dangers garantit que, dans la mesure du possible, tous les dangers potentiels seront identifiés. Des techniques adéquates pour assurer une telle approche structurée pourraient inclure : a) Des listes de vérification. Il s’agira d’analyser l’expérience et les données disponibles sur les

accidents, incidents ou systèmes similaires et de dresser une liste de vérification des dangers. Les domaines potentiellement dangereux requerront une évaluation plus approfondie.

b) Des réunions de groupe. Des réunions de groupe peuvent être utilisées pour examiner les listes

de vérification des dangers, élargir la base de réflexion sur les dangers (séances de brainstorming) ou mener une analyse détaillée de scénarios.

Les sessions d’identification des dangers requièrent du personnel technique et opérationnel expérimenté de divers horizons et se pratiquent généralement sous la forme de discussions de groupe dirigées. Un facilitateur qui connaît bien les techniques devrait diriger les réunions de groupe. Cette fonction serait normalement attribuée à un directeur de la sécurité (si un tel directeur a été nommé). L’Appendice 1 au présent chapitre comprend de plus amples indications sur la conduite des réunions de groupe consacrées à l’analyse des dangers. Ce facilitateur n’a pas un rôle aisé. Il doit guider les discussions pour parvenir à un consensus mais, dans le même temps, il doit s’assurer que tous les participants ont l’occasion d’exprimer leur point de vue et permettre des discussions suffisamment larges pour garantir que tous les dangers potentiels seront identifiés. Les autres participants du groupe devraient être choisis pour leur compétence dans des domaines concernés par le projet en cours d’évaluation. La gamme de compétences doit être suffisamment large pour garantir que tous les aspects du système seront abordés, mais il est aussi important de limiter le groupe à une taille gérable. Le nombre de participants requis pour les sessions d’identification des dangers dépend de la taille et de la complexité du système soumis à évaluation. Mis à part le facilitateur, les participants ne doivent pas nécessairement avoir une expérience préalable de l’identification des dangers. Note. — L’utilisation de réunions de groupe est évoquée ici dans le contexte de l’identification des dangers, mais le même groupe procéderait aussi à l’évaluation de la probabilité et de la gravité des dangers qu’il a identifiés. L’évaluation des dangers devrait tenir compte de toutes les possibilités, depuis la moins probable jusqu’à la plus probable. Elle doit tenir suffisamment compte des « scénarios catastrophes », mais il est aussi

Page 189: 9859 MANUEL SMS

Chapitre 13. Évaluations de la sécurité 13-7

important que les dangers à inclure dans l’analyse finale soient des dangers « crédibles ». Il est souvent difficile de définir la limite entre le pire scénario crédible et un scénario tellement tributaire de coïncidences qu’il ne devrait pas être pris en considération. Les définitions suivantes peuvent servir d’indications lors de la prise de telles décisions :

Pire scénario : Les conditions les plus défavorables auxquelles on puisse s’attendre, par ex. des niveaux extrêmement élevés de trafic, et des perturbations dues à des conditions météorologiques extrêmes. Scénario crédible : Ce terme implique qu’il n’est pas irréaliste de s’attendre à ce que l’hypothèse d’une combinaison de conditions extrêmes se concrétise durant le cycle de vie opérationnelle du système.

L’évaluation devrait toujours envisager la phase la plus critique du vol pendant laquelle un aéronef pourrait subir les conséquences d’une défaillance du système en cours d’évaluation, mais il ne devrait généralement pas être nécessaire de supposer que des défaillances simultanées non liées se produiront. Toutefois, il est important d’identifier toute défaillance de mode commun potentielle, qui se produit lorsqu’un seul événement entraîne des défaillances multiples au sein du système. Il faudrait attribuer un numéro à tous les dangers identifiés et enregistrer ceux-ci dans un répertoire des dangers. Ce répertoire des dangers devrait contenir une description de chaque danger, incluant ses conséquences, la probabilité et la gravité évaluées et toute mesure d’atténuation requise. Il devrait être mis à jour chaque fois que de nouveaux dangers sont identifiés et que des propositions d’atténuation sont adoptées.

ÉTAPE 3 : ESTIMATION DE LA GRAVITÉ DES CONSÉQUENCES D’UN DANGER SI CELUI-CI SE CONCRÉTISAIT Avant d’entamer cette étape, il faudrait avoir enregistré dans le répertoire des dangers les conséquences de chaque danger identifié à l’Étape 2. L’Étape 3 concerne en effet l’évaluation de la gravité de chacune de ces conséquences. Des systèmes de classification des risques ont été mis au point pour un grand nombre d’applications où l’analyse des dangers est régulièrement pratiquée. Citons, à titre d’exemple, les Codes communs de l’aviation (Joint Aviation Requirements — Large Aeroplanes [JAR-25]), des exigences relatives aux gros aéronefs élaborées par les Autorités conjointes de l’aviation (JAA). Les JAR-25 sont reconnues par de nombreuses Autorités de l’aviation civile comme une base acceptable pour prouver le respect de leurs codes nationaux de navigabilité. La JAR 25.1309 ainsi que les éléments consultatifs y afférents, AMJ 25.1309, spécifient des critères de classification des risques à utiliser pour déterminer des niveaux acceptables de risque associés à diverses défaillances des systèmes de bord. Les niveaux d’acceptabilité tiennent compte des taux d’accidents historiques et de la nécessité d’obtenir une relation inverse entre la probabilité de la perte d’une ou plusieurs fonctions et la gravité des dangers qu’un tel événement ferait courir à l’aéronef et à ses occupants. Les critères spécifiés dans les JAR-25 concernent spécifiquement la navigabilité des systèmes de bord mais il est possible de les utiliser comme base pour élaborer des systèmes similaires de classification destinés à d’autres fins. Plusieurs États l’ont déjà fait. Le Tableau 13-3 donne un exemple de système de classification

Page 190: 9859 MANUEL SMS

13-8 Manuel de gestion de la sécurité (MGS)

de la gravité basé sur l’approche des JAR-25 mais adapté aux applications ATS; cet exemple a été tiré des exigences de sécurité des services de la circulation aérienne publiées par les Autorités britanniques de l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670. Le groupe qui a procédé à l’identification des dangers est le mieux placé pour évaluer la gravité des conséquences. Les lignes directrices présentées à l’Appendice 1 de ce chapitre pour la conduite des réunions de groupe s’appliquent autant à l’évaluation de la gravité des conséquences qu’à l’identification des dangers. Bien que l’évaluation de la gravité des conséquences comporte toujours un certain degré de subjectivité, des discussions de groupe structurées, guidées par un système standard de classification des risques et réunissant des participants ayant une grande expérience dans leurs domaines respectifs devraient garantir l’obtention d’un résultat reposant sur des informations appropriées.

Tableau 13-3. Système de classification de la gravité

Classification de la gravité

Catastrophique Dangereuse Majeure Mineure Négligeable Entraîne

un ou plusieurs des effets suivants

L’ATC émet une instruction ou une information susceptible de causer la perte d’un ou plusieurs aéronefs (l’équi-page ne dispose d’aucun moyen raisonnable pour vérifier cette information ou atténuer les dangers). La poursuite du vol ou de l’atter-rissage en toute sécurité est impossible.

Le service ATC de séparation fourni aux aéronefs en vol ou à l’intérieur d’une zone protégée des-tinée aux décollages et atterrissages dans un ou plusieurs secteurs est brusquement, et pour une durée importante, tota-lement indisponible. Fourniture d’ins-tructions ou d’infor-mations pouvant entraîner un quasi-abordage critique ou une quasi-collision critique avec le sol.

Le service ATC de sépa-ration fourni aux aéronefs en vol ou à l’intérieur d’une zone protégée destinée aux décollages et atterrissages dans un ou plusieurs secteurs est brusquement, et pour une durée impor-tante, gravement dégradé ou amoindri (par ex. mesures d’urgence requises, ou nette augmen-tation de la charge de travail des contrôleurs de sorte que la probabilité d’une erreur humaine augmente). Le service ATC de sépa-ration fourni aux aéronefs au sol à l’extérieur d’une zone protégée destinée aux décollages et atterrissages est brusquement, et pour une durée importante, totalement indisponible. Fourniture d’instructions ou d’informations telles que la séparation entre aéronefs ou entre un aéronef et le sol peut être inférieure aux normes habituelles. Aucune intervention ATS possible pour venir en aide à un aéronef en état d’urgence.

Le service ATC de séparation fourni aux aéronefs en vol ou à l’intérieur d’une zone pro- tégée destinée aux décollages et atterrissages dans un ou plusieurs secteurs est perturbé brusquement et pour une durée importante. Le service ATC de séparation fourni aux aéronefs au sol à l’extérieur d’une zone pro- tégée destinée aux décollages et atterrissages est brusquement, et pour une durée importante, grave-ment dégradé. La capacité ATS de soutien en cas d’urgence est gravement amoindrie.

Aucun effet sur le service ATC de séparation fourni aux aéronefs. Effet minime sur le service ATC de séparation fourni aux aéronefs au sol à l’extérieur d’une zone protégée destinée aux décollages et atterrissages. Effet minime sur la capacité ATS de soutien en cas d’urgence.

Page 191: 9859 MANUEL SMS

Chapitre 13. Évaluations de la sécurité 13-9

Une fois l’évaluation de la gravité terminée pour tous les dangers identifiés, les résultats ainsi que le raisonnement ayant mené à la classification de gravité choisie devraient être enregistrés dans le répertoire des dangers.

ÉTAPE 4 : ESTIMATION DE LA PROBABILITÉ QU’UN DANGER SE CONCRÉTISE L’estimation de la probabilité qu’un danger se concrétise repose sur une approche similaire à celle des Étapes 2 et 3, c’est-à-dire des discussions structurées utilisant un système de classification standard comme guide. Le Tableau 13-4 donne à cette fin un exemple de système de classification basé sur les JAR-25 ; cet exemple a été tiré des exigences de sécurité des services de la circulation aérienne publiées par les Autorités britanniques de l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670. Le Tableau 13-4 précise la probabilité en termes de catégories qualitatives mais donne aussi des valeurs chiffrées pour les probabilités associées à chaque catégorie. Dans certains cas, des données seront peut-être disponibles pour permettre des estimations numériques directes de la probabilité d’une défaillance. Pour les éléments matériels d’un système, par exemple, des données abondantes sur les taux historiques de défaillance des composants sont souvent disponibles. L’estimation de la probabilité que des dangers associés à une erreur humaine se concrétisent comportera généralement un certain degré de subjectivité (et il ne faudrait pas oublier que même pour l’évaluation du matériel, il faut toujours envisager la possibilité de défaillances dues à une erreur humaine comme, par exemple, des procédures de maintenance incorrectes). Néanmoins, comme pour l’évaluation de la gravité, des discussions de groupe structurées, réunissant des participants ayant une longue expérience dans leurs domaines respectifs, ainsi que l’adoption d’un système standard de classification des risques devraient garantir l’obtention d’un résultat reposant sur des informations appropriées. Une fois l’évaluation de la probabilité terminée pour tous les dangers identifiés, les résultats ainsi que le raisonnement ayant mené à la classification choisie devraient être enregistrés dans le répertoire des dangers.

Tableau 13-4. Système de classification de la probabilité

Définitions de la probabilité d’un événement

Extrêmement improbable

Extrêmement ténue Ténue

Raisonnablement probable Fréquente

Définition qualitative

Ne devrait pratiquement jamais se produire durant toute la vie de la flotte.

Il est peu probable qu’il se produise si l’on envisage plusieurs systèmes du même type, mais il doit néanmoins être considéré comme possible.

Il est peu probable qu’il se produise pendant la durée de vie opérationnelle totale de chaque système, mais il peut se produire plusieurs fois si l’on envisage plusieurs systèmes du même type.

Peut se produire une fois durant la durée de vie opérationnelle totale d’un système.

Peut se produire une ou plusieurs fois durant la durée de vie opérationnelle.

Définition quantitative

< 10–9 par heure de vol

10–7 à 10–9 par heure de vol

10–5 à 10–7 par heure de vol

10–3 à 10–5 par heure de vol

1 à 10–3 par heure de vol

Page 192: 9859 MANUEL SMS

13-10 Manuel de gestion de la sécurité (MGS)

ÉTAPE 5 : ÉVALUATION DU RISQUE Comme l’acceptabilité d’un risque dépend à la fois de sa probabilité et de la gravité de ses conséquences, les critères utilisés pour juger de l’acceptabilité seront toujours bidimensionnels. Par conséquent, l’accepta-bilité repose habituellement sur une comparaison réalisée à l’aide d’une matrice gravité/probabilité. Le Tableau 13-5 donne un exemple d’une matrice pour l’évaluation de l’acceptabilité des risques dans les ATS. Cet exemple est tiré des exigences de sécurité des services de la circulation aérienne publiées par les Autorités britanniques de l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670 et a été adapté à partir du système de classification des risques des JAR-25. Comme expliqué au Chapitre 6, il existe entre le risque acceptable et le risque inacceptable une zone qui ne permet pas de prendre une décision catégorique. Ces risques-là relèvent d’une troisième catégorie, où le risque peut être tolérable s’il est réduit au niveau le plus faible que l’on puisse raisonnablement atteindre (ALARP — as low as reasonably practicable). Lorsqu’un risque est classé dans cette catégorie, des mesures d’atténuation ont toujours été tentées et celles qui ont été classées comme faisables ont été mises en œuvre. Dans le Tableau 13-5, les risques de cette catégorie sont assortis de la mention « Examen ». En effet, ces risques ne sont pas automatiquement classés comme tolérables. Chaque cas doit être jugé pour ce qu’il vaut, compte tenu tant des avantages qui découleront de la mise en œuvre des modifications proposées que du risque.

ÉTAPE 6 : ATTÉNUATION DU RISQUE Comme l’indique l’Étape 5, si le risque ne répond pas aux critères d’acceptabilité prédéterminés, il faut toujours tenter de le réduire à un niveau acceptable ou, si ce n’est pas possible, au niveau le plus faible que l’on puisse raisonnablement atteindre, en utilisant des procédures d’atténuation appropriées. L’identification des mesures appropriées d’atténuation du risque requiert une bonne compréhension du danger concerné et des facteurs qui contribuent à sa concrétisation car, pour être efficace, un mécanisme d’atténuation devra nécessairement modifier un ou plusieurs de ces facteurs. Les mesures d’atténuation du risque peuvent porter sur la réduction soit de la probabilité d’un événement, soit de la gravité de ses conséquences, soit sur ces deux paramètres. Pour atteindre le niveau souhaité de réduction du risque, il peut être nécessaire de mettre en œuvre plusieurs mesures d’atténuation.

Tableau 13-5. Système de classification des risques

Probabilité d’un événement

Extrêmement improbable

Extrêmement ténue Ténue

Raisonnablement probable Fréquente

Catastrophique Examen Inacceptable Inacceptable Inacceptable Inacceptable

Dangereuse Examen Examen Inacceptable Inacceptable Inacceptable

Majeure Acceptable Examen Examen Examen Examen Gra

vité

Mineure Acceptable Acceptable Acceptable Acceptable Examen

Page 193: 9859 MANUEL SMS

Chapitre 13. Évaluations de la sécurité 13-11

Parmi les approches possibles pour atténuer le risque, citons : a) la révision de la conception du système ; b) la modification des procédures opérationnelles ; c) des modifications des dotations en personnel ; d) la formation du personnel afin que celui-ci puisse faire face au danger. Plus les dangers sont détectés tôt dans le cycle de vie du système, plus il sera facile de modifier, le cas échéant, la conception du système. Lorsque le système approche de la phase de mise en œuvre, il devient plus difficile et plus onéreux de modifier sa conception, ce qui pourrait réduire les options d’atténuation disponibles pour les dangers qui n’auront été identifiés qu’à un stade avancé du projet. Pour évaluer l’efficacité de toute mesure proposée pour atténuer le risque, il faut tout d’abord examiner minutieusement si la mise en œuvre des mesures d’atténuation est susceptible de générer de nouveaux dangers, puis répéter les Étapes 3, 4 et 5 afin d’évaluer l’acceptabilité du risque lorsque les mesures d’atténuation proposées sont en vigueur. Une fois le système mis en œuvre, il faut vérifier avec la plus grande attention si les mesures d’atténuation fonctionnent comme prévu lorsqu’on évalue les résultats du contrôle des performances en matière de sécurité. De plus amples indications sur l’atténuation du risque sont données au Chapitre 6.

ÉTAPE 7 : ÉLABORATION D’UNE DOCUMENTATION RELATIVE À L’ÉVALUATION DE LA SÉCURITÉ L’objectif d’une documentation relative à l’évaluation de la sécurité est de fournir des archives permanentes des résultats finaux des évaluations de la sécurité et des arguments et preuves démontrant que les risques liés à la mise en œuvre du système ou du changement proposé ont été éliminés ou ont été maîtrisés de façon satisfaisante et réduits à un niveau tolérable. Note.— Cette présentation des arguments et preuves pour démontrer la sécurité est appelée dossier de sécurité dans de nombreux documents sur la gestion de la sécurité. Bien que la documentation sur l’évaluation de la sécurité soit mentionnée ici en tant que dernière étape, une grande quantité de documents auront déjà été produits durant les étapes précédentes. Cette documentation devrait décrire le résultat de l’évaluation de la sécurité mais aussi contenir un résumé des méthodes utilisées, des dangers identifiés et des mesures d’atténuation requises pour satisfaire aux critères d’évaluation de la sécurité. Le répertoire des dangers devrait toujours y être inclus. La documen-tation devrait être élaborée de façon suffisamment détaillée pour que toute personne qui la lise puisse savoir non seulement quelles décisions ont été prises mais aussi pour quelles raisons les risques ont été classés comme acceptables ou tolérables. Elle devrait aussi comprendre les noms des membres du personnel ayant participé au processus d’évaluation. En fonction de la taille et de la complexité du projet ainsi que de la politique de l’organisation, ce sera une personne différente qui sera chargée de garantir la conduite effective des évaluations de la sécurité et de les signer pour approbation finale. Dans certains cas, le responsable sera le gestionnaire du projet. Lorsqu’aucun gestionnaire de projet n’a été désigné, le responsable pourrait être le cadre hiérarchique en charge du système concerné. Dans certaines organisations, l’acceptation peut être subordonnée à l’approbation d’un

Page 194: 9859 MANUEL SMS

13-12 Manuel de gestion de la sécurité (MGS)

niveau hiérarchique supérieur, lorsque le risque résiduel ne peut être réduit à un niveau acceptable mais doit être accepté comme tolérable ou comme risque réduit au niveau le plus faible que l’on puisse raisonnablement atteindre (ALARP). La signature de la documentation sur l’évaluation de la sécurité par le cadre responsable, qui marque ainsi son acceptation, est l’acte final du processus d’évaluation.

— — — — — — — —

Page 195: 9859 MANUEL SMS

13-APP 1-1

Appendice 1 au Chapitre 13

ÉLÉMENTS INDICATIFS SUR LA CONDUITE DES SESSIONS DE GROUPES

DE TRAVAIL SUR L’IDENTIFICATION ET L’ÉVALUATION DES DANGERS

1. RÔLE DU GROUPE D’ÉVALUATION 1.1 Il est habituellement préférable de lancer le processus d’évaluation dans un groupe de travail réunissant des représentants des diverses organisations participant à la spécification, à l’élaboration et à l’utilisation du système. Les interactions entre participants ayant des degrés divers d’expérience et de connaissance ont tendance à mener à une prise en considération plus large, plus globale et plus équilibrée des questions de sécurité qu’une évaluation effectuée par un seul individu. 1.2 Si les groupes de travail réussissent généralement bien à susciter des idées, identifier des problèmes et faire une évaluation initiale, ils ne produisent par toujours ces résultats dans un ordre logique. En outre, il est difficile pour un groupe d’analyser les idées et problèmes en détail. Il est en effet compliqué d’envisager toutes les implications et rapports mutuels entre des problèmes qui viennent d’être soulevés. C’est pourquoi il est recommandé de procéder comme suit : a) le groupe de travail devrait être utilisé uniquement pour générer des idées et entreprendre une

évaluation préliminaire ; b) les résultats devraient être classés et analysés après la réunion du groupe. Ce travail devrait être

confié à une ou deux personnes ayant à la fois des compétences suffisamment larges pour comprendre tous les problèmes soulevés et une bonne appréciation des buts de l’évaluation ;

c) les résultats classés devraient être renvoyés au groupe afin de permettre à celui-ci de vérifier si

l’analyse a correctement interprété ses suggestions et de lui donner une occasion de revoir tout aspect à la lumière d’une « vision globale » de la problématique.

2. PARTICIPANTS AUX GROUPES D’ÉVALUATION Les groupes doivent comprendre des représentants de toutes les parties principales concernées par le système et sa sécurité. Généralement, un groupe comptera : a) des utilisateurs du système — les groupes d’utilisateurs primaires les plus directement concernés

afin d’évaluer les conséquences d’une ou plusieurs défaillances d’un point de vue opérationnel (par ex. contrôleurs de la circulation aérienne (ATCO) et équipages de conduite) ;

b) des experts techniques du système pour expliquer l’objet, les interfaces et fonctions du système ;

Page 196: 9859 MANUEL SMS

13-APP 1-2 Manuel de gestion de la sécurité (MGS)

c) des experts en sécurité et facteurs humains pour guider l’application de la méthodologie et apporter une compréhension plus large des causes et effets des dangers ;

d) un modérateur ou facilitateur pour diriger et maîtriser la dynamique du groupe ; e) un secrétaire de réunion pour prendre note des résultats et aider le facilitateur à garantir que tous

les aspects ont été couverts.

3. PSYCHOLOGIE DU GROUPE 3.1 Il est utile d’accorder une certaine attention à la psychologie individuelle et à la psychologie du groupe lors de la réunion du groupe d’évaluation afin de comprendre comment gérer une réunion avec fruit. Les processus mentaux requis pour produire les résultats souhaités peuvent être classés en deux grandes catégories de pensée : a) Pensée créative (inductive). Elle est importante pour l’identification de défaillance(s) et de

séquences d’événements ainsi que des dangers susceptibles d’en découler. Le type de question fondamental que l’on pose est : « Quel problème pourrait se produire ? »

b) Pensée rationnelle (déductive). Elle est importante pour classer les dangers en fonction de leur

gravité et pour fixer des objectifs de sécurité. La question fondamentale que l’on pose est : « Quelle sera la gravité des conséquences de cette séquence d’événements ? »

3.2 Les processus susmentionnés sont de type cognitifs et sont entrepris par chaque participant mais la dynamique de groupe d’une réunion est aussi importante pour en assurer le succès.

Le processus créatif — identifier les problèmes qui pourraient survenir 3.3 La pensée créative est nécessaire pour garantir que l’identification des défaillances potentielles et des éventuels dangers qui en découleraient soit la plus complète possible. Il est important d’encourager les participants à mener une réflexion large et audacieuse sur le sujet, dans un premier temps sans analyse ou critique. 3.4 En général, on y parviendra au moyen d’une séance structurée de recherche d’idées. La structure devrait à la fois assurer l’exhaustivité et encourager (et non limiter) une réflexion large sur le système.

Pensée rationnelle — classer les risques et fixer des objectifs de sécurité 3.5 Le but de cette partie de la session d’évaluation est de susciter des jugements subjectifs de façon à utiliser au mieux la connaissance et l’expérience des gens et à réduire au minimum — ou tout au moins à révéler — toute partialité ou incertitude. 3.6 Lorsque les fonctions et dangers sont complexes et étroitement interdépendants, les concepteurs de la session devraient envisager de lancer la partie rationnelle de la session quelque temps après la partie créative, afin de dégager du temps pour classer les résultats sous une forme concise. Si ce n’est pas possible, les chefs de session devraient veiller à se donner une occasion (pendant une pause, par exemple) de faire un tri préliminaire des résultats.

Page 197: 9859 MANUEL SMS

Chapitre 13. Évaluations de la sécurité — Appendice 1 13-APP 1-3

Dynamique de groupe 3.7 Les indications suivantes s’appliquent tant aux aspects créatifs qu’aux aspects rationnels de la session : a) Comprendre le processus et les raisons de la participation. Il est important que les participants

aient un but commun. b) Taille du groupe. La taille du groupe est principalement déterminée par les domaines de

compétence requis. Toutefois, des groupes de plus de dix personnes peuvent être très difficiles à gérer.

c) Dominance et réticence. Certains individus peuvent dominer la conversation tandis que d’autres

peuvent éprouver une réticence surtout à marquer leur désaccord par rapport à ce qui apparaît comme l’opinion générale.

d) Attitude défensive. Les participants étroitement associés à l’élaboration d’un système ou de son

équivalent peuvent éprouver des difficultés à admettre que des problèmes puissent survenir. e) Retours d’informations. Il est important de donner des retours d’informations positifs pendant la

session. Toutes les interventions devraient être perçues comme extrêmement utiles. f) Confidentialité. Lorsque des représentants de diverses organisations sont présents, le facilitateur

devrait être conscient d’éventuels points susceptibles d’influer sur ce que les participants estiment pouvoir dire.

Page 198: 9859 MANUEL SMS

Page blanche

Page 199: 9859 MANUEL SMS

14-1

Chapitre 14

RÉALISATION D’AUDITS DE SÉCURITÉ

14.1 INTRODUCTION

Les audits de sécurité sont une des principales méthodes permettant d’assumer les fonctions de contrôle des performances en matière de sécurité décrites au Chapitre 10. Ils constituent une activité essentielle de tout système de gestion de la sécurité (SGS). Les audits de sécurité peuvent être réalisés par une autorité externe d’audit, telle qu’une autorité nationale de réglementation, ou ils peuvent être effectués par du personnel de l’organisation même, dans le cadre d’un SGS. Les audits réglementaires ont été brièvement étudiés au Chapitre 10. Le présent chapitre se concentre sur le programme interne d’audits de sécurité.

14.2 AUDITS DE SÉCURITÉ 14.2.1 Les audits de sécurité servent à apporter les garanties suivantes : a) la structure du SGS est saine sur les plans de la dotation en personnel, du respect des procédures

et instructions approuvées, ainsi que du degré satisfaisant de compétence et de formation pour utiliser les équipements et les installations et pour maintenir les niveaux de performance ;

b) la performance des équipements est adéquate pour les niveaux de sécurité du service fourni ; c) des dispositions efficaces existent pour promouvoir la sécurité, contrôler les performances en

matière de sécurité et traiter les problèmes de sécurité ; d) des dispositions adéquates existent pour traiter les urgences prévisibles. 14.2.2 L’idéal serait d’effectuer des audits de sécurité régulièrement, selon un cycle qui veille à ce que chaque domaine fonctionnel soit audité dans le cadre du plan de l’organisation visant à évaluer la perfor-mance générale en matière de sécurité1. Des audits de sécurité devraient entraîner une réévaluation périodique détaillée des performances, procédures et pratiques de sécurité de chaque unité ou section ayant des responsabilités en matière de sécurité. En plus du plan d’audit à l’échelle de l’organisation, un plan détaillé d’audit devrait donc être préparé pour chaque unité/section distincte. 14.2.3 Les audits de sécurité ne devraient pas se borner à vérifier le respect des exigences régle-mentaires et la conformité aux normes de l’organisation. L’équipe d’audit devrait évaluer si les procédures en vigueur sont appropriées et si certaines pratiques de travail sont susceptibles d’avoir des conséquences imprévues sur la sécurité.

1. Pour les centres ATS, l’organisation devrait élaborer un plan d’audit de sécurité à l’échelle de l’organisation. Ce plan d’audit de

sécurité devrait être revu chaque année et devrait prévoir des audits réguliers pour toutes les unités ou sections. En général, ces audits se dérouleraient à des intervalles de deux à trois ans.

Page 200: 9859 MANUEL SMS

14-2 Manuel de gestion de la sécurité (MGS)

14.2.4 La portée des audits de sécurité est variable, allant d’un tour d’horizon de toutes les activités de l’unité ou de la section à une activité spécifique. Il faudrait spécifier à l’avance les critères sur la base desquels l’audit sera mené2. Des listes de vérification peuvent être utilisées pour déterminer les points que l’audit devra examiner de façon suffisamment détaillée pour garantir une prise en considération de toutes les tâches et fonctions prévues. La portée et la précision de ces listes de vérification dépendront de la taille et de la complexité de l’organisation soumise à audit. 14.2.5 Pour qu’un audit soit fructueux, il est essentiel d’obtenir la coopération du personnel de l’unité ou de la section concernée. Le programme d’audits de sécurité devrait reposer sur les principes suivants : a) Il ne doit jamais apparaître comme une « chasse aux sorcières ». L’objectif est de développer les

connaissances. Toute suggestion de blâme ou de sanction ira à l’encontre du but recherché. b) L’audité devrait mettre toute la documentation pertinente à la disposition des auditeurs et prendre

les dispositions nécessaires pour que le personnel soit disponible pour des interviews selon les besoins.

c) Les faits devraient être examinés de façon objective. d) Un rapport d’audit écrit décrivant les constatations et recommandations devrait être présenté à

l’unité ou à la section dans un délai spécifié. e) Le personnel de l’unité ou de la section ainsi que la direction devraient être informés des consta-

tations de l’audit. f) Il faudrait donner un retour d’information positif en soulignant dans le rapport les points positifs

constatés pendant l’audit. g) Bien que les carences doivent être repérées, toute critique négative devrait être évitée dans la

mesure du possible. h) Il devrait être exigé d’élaborer un plan pour remédier aux carences. 14.2.6 À la suite d’un audit, un mécanisme de contrôle peut être mis en œuvre pour vérifier l’efficacité de toute mesure correctrice nécessaire. Des audits de suivi devraient se concentrer sur les aspects des opérations épinglés comme nécessitant une mesure correctrice. Il n’est pas toujours possible de programmer à l’avance à quelle date se dérouleront des audits de suivi d’audits de sécurité précédents qui ont amené à suggérer des mesures correctrices ou ont détecté une tendance inopportune de la performance en matière de sécurité. Le programme annuel général d’audits devrait tenir compte de l’éventualité de tels audits non programmés. 14.2.7 La Figure 14-1 illustre sous forme de diagramme le processus d’audit de sécurité. Les procé-dures concernées à chaque étape du processus d’audit de sécurité sont examinées en détail plus loin dans ce chapitre.

2. Pour les audits des unités ATS, ces critères devraient comprendre les éléments énumérés à la section 2.5 des PANS-ATM

(Doc 4444) qui concernent l’unité ou la section soumise à audit.

Page 201: 9859 MANUEL SMS

Chapitre 14. Réalisation d’audits de sécurité 14-3

Figure 14-1. Le processus d’audit de sécurité

14.3 L’ÉQUIPE D’AUDIT DE SÉCURITÉ 14.3.1 Les audits de sécurité peuvent être réalisés par une seule personne ou par une équipe, en fonction de l’ampleur de l’audit. Selon la taille de l’organisation et la disponibilité des ressources, du personnel expérimenté et formé de l’organisation même peut effectuer des audits de sécurité ou aider des auditeurs externes. Le personnel sélectionné pour réaliser un audit devrait avoir une expérience pratique des disciplines présentes dans le domaine à auditer, une bonne connaissance des exigences réglemen-taires pertinentes et du SGS de l’organisation, et devrait avoir été formé aux procédures et techniques d’audit. Une équipe d’audit se compose d’un chef d’équipe d’audit et d’un ou plusieurs auditeurs. 14.3.2 Les personnes choisies pour entreprendre un audit doivent être crédibles aux yeux des audités. En un mot, elles doivent avoir les qualifications et la formation requises pour assumer la fonction d’auditeur dans les domaines appropriés de compétence. Les membres de l’équipe d’audit devraient, dans la mesure du possible, être indépendants du domaine audité. Pour autant que la taille de l’organi-sation et les circonstances le permettent, ces fonctions devraient être assumées par des personnes non responsables de la conception ou de la réalisation des tâches et fonctions auditées et n’ayant pas participé à de telles tâches et fonctions. Ainsi, l’évaluation est neutre et indépendante des aspects opérationnels de l’organisation. Il est en outre préférable que l’équipe d’audit ne soit pas exclusivement composée de cadres dirigeants. Ce paramètre contribuera à garantir que l’audit ne soit pas perçu comme menaçant. Du personnel ayant une expérience des opérations actuelles peut aussi être mieux à même de repérer les éventuels problèmes. Il peut être nécessaire de demander à un spécialiste extérieur à l’auto-rité d’audit de participer à l’audit.

Le rôle du chef de l’équipe d’audit 14.3.3 Un chef d’équipe d’audit devrait être désigné si l’équipe compte plus d’un auditeur. Le chef d’équipe d’audit est chargé de la conduite générale de l’audit. En outre, il entreprend certaines des tâches générales d’un auditeur (voir le § 14.3.4). Le chef de l’équipe d’audit doit aussi être un bon communicateur et doit être capable de gagner la confiance de l’organisation soumise à audit.

OUI NON

Élaborer le plan d’audit

Soumettre le rapport

Réaliser l’audit

Déterminerles mesures

Déterminer le suivides mesures correctrices

Des mesurescorrectivessont-elles

nécessaires?

Page 202: 9859 MANUEL SMS

14-4 Manuel de gestion de la sécurité (MGS)

Le rôle des auditeurs 14.3.4 Les tâches à effectuer par chaque membre de l’équipe d’audit seront attribuées par le chef de l’équipe d’audit. Il s’agira entre autres de réaliser des interviews du personnel de l’unité ou de la section soumise à audit, d’examiner la documentation, d’observer les opérations et d’écrire des documents pour le rapport d’audit.

14.4 PLANIFICATION ET PRÉPARATION

14.4.1 Une notification formelle de l’intention de réaliser l’audit devrait être envoyée à l’unité ou à la section à auditer, suffisamment tôt pour permettre d’effectuer toutes préparations nécessaires. Dans le cadre du processus de préparation de l’audit, l’autorité d’audit peut consulter les instances de direction de l’organisation à auditer. Il peut être demandé à l’organisation de fournir des documents préparatoires avant l’audit proprement dit, par exemple des dossiers sélectionnés, un questionnaire préalable à l’audit dûment complété et des manuels. L’organisation auditée doit bien comprendre le but, la portée, les exigences en ressources, les processus d’audit et de suivi, etc., avant l’arrivée des auditeurs.

Activité préalable à l’audit 14.4.2 Un des premiers actes à poser lors de la planification d’un audit sera de vérifier la faisabilité du programme proposé et de déterminer les informations qui seront nécessaires avant le début de l’audit. Il faudra aussi préciser les critères sur la base desquels l’audit sera mené et élaborer un plan d’audit détaillé ainsi que des listes de vérification à utiliser pendant l’audit. 14.4.3 Les listes de vérification comprendront une série exhaustive de questions groupées par thème, qui seront utilisées pour garantir que tous les thèmes pertinents seront abordés. Aux fins d’un audit de sécurité, les listes de vérification devraient aborder les domaines suivants d’une organisation : a) les exigences réglementaires nationales relatives à la sécurité ; b) les politiques et normes de sécurité de l’organisation ; c) la structure des obligations redditionnelles en matière de sécurité ; d) la documentation, notamment : — le manuel de gestion de la sécurité ; — la documentation opérationnelle (y compris les instructions locales) ; e) la culture de la sécurité (réactive ou proactive) ; f) les processus d’identification des dangers et de gestion des risques ; g) les capacités de supervision de la sécurité (contrôle, inspections, audits, etc.) ; h) des dispositions visant à garantir la performance des sous-traitants en matière de sécurité.

Page 203: 9859 MANUEL SMS

Chapitre 14. Réalisation d’audits de sécurité 14-5

Le plan d’audit

14.4.4 Le Tableau 14-1 présente une esquisse d’un plan d’audit type.

14.5 CONDUITE DE L’AUDIT 14.5.1 La conduite de l’audit proprement dit consiste essentiellement en un processus d’inspection ou de recherche de données. Des informations de pratiquement toute source peuvent être examinées dans le cadre de l’audit. 14.5.2 Pendant la conduite d’un audit de sécurité, beaucoup tendent à limiter les constatations aux cas de non-conformité par rapport aux exigences réglementaires. Les auditeurs doivent être bien conscients du fait que de telles inspections n’ont qu’une valeur limitée pour les raisons suivantes : a) il est possible que l’organisation compte exclusivement sur l’autorité d’audit pour garantir qu’elle

respecte les normes ;

Tableau 14-1. Exemple d’une structure type de plan d’audit

PLAN D’AUDIT

INTRODUCTION

[Cette section devrait présenter le plan d’audit et le contexte de l’audit.] OBJET

[Le but, les objectifs, la portée et les critères sur la base desquels l’audit sera effectué devraient être spécifiés.] UNITÉ/SECTION À AUDITER

[Cette section devrait clairement spécifier le domaine à soumettre à audit.] ACTIVITÉS PLANIFIÉES

[Cette section devrait déterminer et décrire les activités à effectuer, les domaines d’intérêt et la manière dont les différents sujets seront abordés. Elle devrait aussi préciser les documents qui devraient être mis à la disposition de l’équipe d’audit. Si l’audit comporte des interviews, les domaines qui seront abordés pendant ces interviews devraient être mentionnés.] CALENDRIER

[Cette section devrait présenter un calendrier détaillé pour chacune des activités planifiées.] ÉQUIPE D’AUDIT

[Cette section devrait présenter les membres de l’équipe d’audit.]

Page 204: 9859 MANUEL SMS

14-6 Manuel de gestion de la sécurité (MGS)

b) il se peut que les normes soient respectées uniquement pendant que l’auditeur effectue l’inspection ; c) un rapport d’audit ne soulignera que les domaines où des lacunes ont été constatées lors de

l’inspection ; d) l’audit n’encouragera pas l’organisation à être proactive et, souvent, seules les questions soulevées

par l’auditeur seront vérifiées.

Réunion préaudit 14.5.3 Lors de la réunion préaudit, le chef de l’équipe d’audit présentera brièvement le contexte de l’audit, son objectif, et toutes questions spécifiques qui seront abordées par l’équipe d’audit. Les dispositions pratiques, notamment la disponibilité du personnel pour des interviews, devraient être discutées et convenues avec le directeur de l’unité ou de la section auditée.

Procédures d’audit 14.5.4 Les techniques de collecte des informations sur lesquelles l’équipe d’audit basera son évaluation comprennent : a) l’examen de la documentation ; b) les interviews du personnel ; c) les constatations de l’équipe d’audit. 14.5.5 L’équipe d’audit devrait passer en revue de façon systématique les points de la liste de vérifi-cation pertinente. Les constatations devraient être notées sur des feuilles de constatations normalisées. 14.5.6 Si un point particulier de préoccupation est détecté pendant l’audit, il devrait faire l’objet d’un examen plus approfondi. Toutefois, l’auditeur doit garder à l’esprit la nécessité de terminer le reste de l’audit dans le délai prévu et doit donc éviter de passer un temps excessif à explorer un seul point au risque de ne pas remarquer d’autres problèmes.

Interviews d’audit3 14.5.7 Pour les auditeurs, le principal moyen d’obtenir des informations est de poser des questions. Cette méthode fournit des informations supplémentaires par rapport à celles contenues dans les documents écrits et donne au personnel concerné une occasion d’expliquer le système et les pratiques de travail. Des discussions en face-à-face permettent aussi aux auditeurs d’évaluer dans quelle mesure le personnel de l’unité ou de la section comprend la gestion de la sécurité et a la volonté de l’appliquer. Les personnes à interviewer devraient être choisies dans toute une gamme de fonctions de direction, de supervision et de postes fonctionnels. Le but des interviews d’audit est de générer des informations, pas de se lancer dans des discussions.

3. Des indications plus complètes sur les techniques d’interview sont présentées au Chapitre 8.

Page 205: 9859 MANUEL SMS

Chapitre 14. Réalisation d’audits de sécurité 14-7

Constatations de l’audit 14.5.8 Une fois que les activités d’audit sont terminées, l’équipe d’audit devrait examiner toutes les constatations de l’audit et les comparer avec les réglementations et procédures pertinentes pour confirmer qu’il est bien exact de qualifier les constatations faites de « non-conformités », « carences » ou « lacunes de sécurité ». 14.5.9 Une évaluation de la gravité devrait être réalisée pour tous les points considérés comme « non-conformités », « carences » ou « lacunes de sécurité ». 14.5.10 Il faudrait garder à l’esprit que l’audit ne devrait pas se concentrer sur des constatations négatives. Un objectif important de l’audit de sécurité est aussi de mettre en évidence les bonnes pratiques dans le domaine audité.

Réunion postaudit 14.5.11 La direction peut exiger des rapports intermédiaires réguliers tout au long de l’audit. Néanmoins, une réunion postaudit devrait se tenir avec la direction de l’unité ou de la section à la fin des activités d’audit afin de communiquer les constatations faites pendant l’audit et toute recommandation qui en découle. L’exactitude factuelle peut être confirmée et des constatations importantes peuvent être mises en évidence. 14.5.12 Avant cette réunion, l’équipe d’audit devra :

a) s’accorder sur les conclusions de l’audit ;

b) rédiger des recommandations, telles que des propositions de mesures correctrices appropriées, si nécessaire ;

c) examiner l’éventuelle nécessité de mesures de suivi. 14.5.13 Les constatations de l’audit peuvent se répartir en trois catégories :

a) des divergences ou non-conformités graves justifiant une suspension d’une licence, d’un permis ou d’une autorisation ;

b) toute divergence ou non-conformité qui doit être rectifiée dans un délai convenu ;

c) les constatations sur des questions susceptibles d’avoir une incidence sur la sécurité ou de faire l’objet d’une réglementation avant le prochain audit.

14.5.14 À la réunion postaudit, le chef de l’équipe d’audit devrait présenter les constatations faites pendant l’audit et donner aux représentants de l’unité ou de la section auditée l’occasion de lever tout malen-tendu. Les dates de publication de tout rapport d’audit provisoire et de réception des commentaires sur ce rapport devraient être fixées par accord mutuel. Un projet de rapport final est souvent donné à la direction.

Plan d’action correctrice 14.5.15 À la fin d’un audit, des actions correctrices planifiées devraient être exposées par écrit pour tous les domaines identifiés comme sources de préoccupation en termes de sécurité. Il incombe à la direction de l’unité ou de la section d’élaborer un plan d’action correctrice décrivant la/les mesure(s) à prendre pour remédier aux carences ou lacunes de sécurité identifiées, et ce dans le délai convenu.

Page 206: 9859 MANUEL SMS

14-8 Manuel de gestion de la sécurité (MGS)

14.5.16 Une fois terminé, le plan d’action correctrice devrait être envoyé au chef de l’équipe d’audit. Le rapport d’audit final comprendra ce plan d’action correctrice et précisera toute mesure d’audit de suivi proposée. Il incombe au directeur du domaine audité de veiller à ce que les mesures correctrices appropriées soient mises en œuvre en temps voulu.

Rapports d’audit 14.5.17 Le rapport d’audit devrait brosser un tableau objectif des résultats de l’audit de sécurité. Après la fin de l’audit, un rapport d’audit provisoire devrait être envoyé dès que possible au directeur de l’unité ou de la section pour examen et commentaires. Tout commentaire reçu devrait être pris en considération lors de la rédaction du rapport final, qui constitue le rapport d’audit officiel. 14.5.18 Voici les principes clés à respecter lors de l’élaboration du rapport d’audit : a) cohérence des constatations et des recommandations présentées à la réunion postaudit, dans le

rapport d’audit provisoire et dans le rapport final d’audit ; b) conclusions étayées par des renvois ; c) énoncé clair et concis des constatations et des recommandations ; d) absence de généralités et d’observations vagues ; e) présentation objective des constatations ; f) emploi de la terminologie aéronautique couramment acceptée, sans acronymes ni jargon ; g) absence de critiques visant des individus ou des postes particuliers. 14.5.19 Le Tableau 14-2 présente une esquisse d’un rapport d’audit type.

14.6 SUIVI D’AUDIT 14.6.1 Le suivi d’audit concerne la gestion du changement. Dès réception du rapport d’audit final, la direction doit veiller à ce que l’organisation progresse réellement sur la voie de la réduction ou de l’élimination des risques détectés. L’objectif principal d’un suivi d’audit est de vérifier la mise en œuvre effective du plan d’action correctrice. Un suivi est aussi requis pour veiller à ce que toute mesure prise à la suite de l’audit ne nuise en aucune manière à la sécurité. En d’autres termes, l’audit ne devrait pas avoir pour conséquence de permettre que de nouveaux dangers, présentant des risques potentiellement plus élevés, entrent dans le système. 14.6.2 Si l’auditeur n’assure pas le suivi des manquements dans la mise en œuvre de mesures de sécurité nécessaires (et convenues), la validité de tout le processus d’audit de sécurité s’en trouvera compromise. Le suivi peut se faire par la surveillance de l’état d’avancement de la mise en œuvre des plans d’action correctrice convenus ou par des visites d’audit de suivi. Un rapport devrait être rédigé sur toute visite de suivi effectuée. Il devrait indiquer clairement l’état d’avancement de la mise en œuvre des mesures correctrices convenues. Dans le rapport de suivi, le chef de l’équipe d’audit devrait mettre en évidence toute non-conformité, carence ou lacune de sécurité restée non corrigée.

Page 207: 9859 MANUEL SMS

Chapitre 14. Réalisation d’audits de sécurité 14-9

Tableau 14-2. Exemple de contenu d’un rapport d’audit

CONTENU D’UN RAPPORT D’AUDIT INTRODUCTION

[Cette section devrait identifier l’audit, dont ce rapport est le compte rendu officiel, et présenter les différents chapitres du rapport.]

LISTE DES DOCUMENTS DE RÉFÉRENCE

[Cette section devrait décrire brièvement tous les documents qui ont été utilisés pendant l’audit.]

CONTEXTE

[Cette section devrait exposer la raison de l’audit. Il pourrait s’agir d’un audit régulier ou d’un audit réalisé pour une raison spécifique (par ex. l’identification d’un risque pour la sécurité ou la constatation d’un incident de sécurité).]

OBJET

[Cette section devrait énoncer l’objectif et la portée de l’audit, tels que décrits dans le plan d’audit. Tout événement survenu pendant l’audit et ayant posé des problèmes au niveau de la réalisation de cet objectif devrait être décrit.]

DOTATION EN PERSONNEL

[Cette section devrait énumérer le personnel participant à l’audit.]

CONSTATATIONS

[Cette section devrait exposer les constatations de l’équipe d’audit en termes généraux. Elle devrait aborder les points positifs et les sources de préoccupation. Les informations détaillées concernant les constatations devraient être annexées sous la forme de feuilles de constatations et être assorties des mesures correctrices convenues.]

CONCLUSION GÉNÉRALE

[Cette section devrait présenter les conclusions générales de l’audit. Elle ne devrait pas se concentrer uniquement sur les problèmes mais devrait aussi mettre en évidence les points positifs.]

ANNEXES

[Toutes les feuilles de constatations et les feuilles d’actions correctrices y afférentes devraient être annexées au rapport d’audit.]

Page 208: 9859 MANUEL SMS

14-10 Manuel de gestion de la sécurité (MGS)

14.7 NORMES DE QUALITÉ ISO De nombreuses organisations aéronautiques ont été certifiées en vertu des normes de produits et services de l’Organisation internationale de normalisation (ISO) (généralement la série de normes ISO 9000 relatives à la gestion de la qualité). Dans le cadre du processus de certification ISO, les organisations sont soumises à des audits de qualité sévères, tant initiaux que continus, réalisés par un organisme d’audit indépendant.

Page 209: 9859 MANUEL SMS

15-1

Chapitre 15

CONSIDÉRATIONS PRATIQUES POUR APPLIQUER UN SYSTÈME DE GESTION DE LA SÉCURITÉ

15.1 INTRODUCTION

Au-delà des considérations théoriques et conceptuelles à envisager lors de la mise en place d’un système de gestion de la sécurité (SGS), il faut aborder plusieurs aspects pratiques. Le présent chapitre en examine quelques-uns.

15.2 LE BUREAU DE LA SÉCURITÉ 15.2.1 Dans la plupart des États, les exploitants ne sont soumis à aucune obligation réglementaire de désigner un directeur de la sécurité (DS). Néanmoins, beaucoup de grands exploitants ou d’exploitants de taille moyenne choisissent d’employer un DS et de créer un bureau de la sécurité. Le bureau de la sécurité constitue un point de contact central pour toutes les activités liées à la sécurité ; il sert de dépôt pour les rapports et informations concernant la sécurité et il met ses compétences en matière de gestion de la sécu-rité à la disposition des cadres hiérarchiques. La création d’un bureau de la sécurité spécifique serait aussi bénéfique aux grands fournisseurs de services aéronautiques (tels que l’ATC, les aérodromes et les organismes de maintenance d’aéronefs) qu’elle ne l’a été aux exploitants d’aéronefs. 15.2.2 Le DS doit disposer d’un bureau équipé de façon appropriée. La présence physique du bureau de la sécurité (taille et lieu) en dit long sur l’importance que la direction accorde à la gestion de la sécurité et au rôle du DS. 15.2.3 Le DS devrait être libre de circuler dans l’organisation pour effectuer des coups de sonde, interroger et observer. Il doit être facilement accessible à toute personne qui souhaite le contacter et il ne devrait pas s’enfermer dans un bureau et attendre que les informations viennent à lui. Si son bureau se situe loin des opérations quotidiennes, les communications en souffriront inévitablement. 15.2.4 Comme la principale source d’informations liées à la sécurité au sein d’une organisation est le personnel opérationnel lui-même, le bureau du DS devrait se situer là où le personnel peut facilement y accéder. Ce paramètre est particulièrement important pour les questions relatives aux performances humaines, où les informations concernant un événement lié à la sécurité seront rapportées ou non en fonction de la facilité avec laquelle un problème peut être discuté, de façon confidentielle si nécessaire, immédiatement après un incident.

Fonctions du bureau de la sécurité 15.2.5 Indépendamment de son emplacement au sein d’une organisation, un bureau de la sécurité assume généralement toute une gamme de fonctions de sécurité dans l’entreprise. Parmi les plus courantes, citons :

Page 210: 9859 MANUEL SMS

15-2 Manuel de gestion de la sécurité (MGS)

a) conseiller la haute direction sur des matières liées à la sécurité, telles que : 1) établir une politique de sécurité ; 2) définir les responsabilités et obligations redditionnelles en matière de sécurité ; 3) instaurer un SGS efficace dans l’organisation ; 4) émettre des recommandations relatives à la répartition des ressources nécessaires pour soutenir

les initiatives de sécurité ; 5) diffuser des communications publiques sur les questions de sécurité ; 6) organiser la planification des interventions en cas d’urgence ; b) assister les cadres hiérarchiques dans : 1) l’évaluation des risques identifiés ; 2) la sélection des mesures d’atténuation les plus appropriées pour les risques considérés comme

inacceptables ; c) superviser les systèmes d’identification des dangers, par exemple : 1) les enquêtes sur les événements ; 2) les systèmes de comptes rendus d’incidents ; 3) les programmes d’analyse des données de vol ; d) gérer les bases de données de sécurité ; e) effectuer des analyses de sécurité, par exemple : 1) le contrôle des tendances ; 2) des études sur la sécurité ; f) former aux méthodes de gestion de la sécurité ; g) coordonner les comités de sécurité ; h) promouvoir la sécurité : 1) en assurant la sensibilisation aux processus de gestion de la sécurité de l’organisation et la

compréhension de ces processus dans tous les domaines opérationnels ; 2) en diffusant en interne les leçons tirées en matière de sécurité ; 3) en échangeant des informations liées à la sécurité avec des agences externes et des organi-

sations assurant des opérations similaires ;

Page 211: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-3

i) contrôler l’évaluation des performances en matière de sécurité :

1) en conduisant des enquêtes de sécurité ;

2) en fournissant des indications sur la supervision de la sécurité ;

j) participer aux enquêtes sur les accidents et incidents ;

k) établir des comptes rendus de sécurité devant satisfaire aux exigences :

1) de la direction (par ex. des rapports annuels/trimestriels sur les tendances en matière de sécurité et l’identification des questions de sécurité non résolues) ;

2) de l’autorité de réglementation (AAC).

15.3 DIRECTEUR DE LA SÉCURITÉ (DS) 15.3.1 Le DS est le coordinateur de l’élaboration et de la maintenance d’un SGS efficace. Il sera probablement aussi le principal point de contact avec l’autorité de réglementation pour de nombreuses questions de sécurité. L’obligation pour le DS de rendre des comptes directement au directeur général prouve que la sécurité a, dans le processus décisionnel, un niveau d’importance équivalent à celui d’autres grandes fonctions organisationnelles. 15.3.2 Les fonctions du DS sont examinées brièvement au Chapitre 12. En général, le DS a pour mission de veiller à ce que la documentation concernant la sécurité reflète exactement la situation existante, de contrôler l’efficacité des mesures correctrices, de fournir des rapports réguliers sur les performances en matière de sécurité et de donner des conseils indépendants au directeur général, aux cadres dirigeants et à d’autres membres du personnel sur des questions liées à la sécurité. 15.3.3 Dans beaucoup d’organisations, le DS occupe une fonction de « cadre fonctionnel » et conseille la haute direction sur les questions liées à la sécurité. En effet, un conflit d’intérêt pourrait surgir si le DS détenait aussi des responsabilités de cadre hiérarchique. La gestion de la sécurité est donc une responsabilité partagée par les cadres hiérarchiques et soutenue par le « cadre fonctionnel », spécialiste de la sécurité, le DS. La haute direction ne devrait pas faire porter au DS la responsabilité des tâches qui incombent aux cadres hiérarchiques. Toutefois, il est de la responsabilité du DS d’octroyer aux cadres hiérarchiques un soutien efficace en personnel afin de garantir le succès de leurs efforts en matière de gestion de la sécurité. 15.3.4 Il est possible que de grandes organisations aient besoin d’une petite équipe de quelques spécia-listes en sécurité pour aider le DS. Ces spécialistes assureraient diverses tâches, telles que la tenue à jour de la documentation de sécurité, l’examen des évaluations de sécurité et la participation à des audits de sécurité. 15.3.5 Indépendamment des dispositions organisationnelles, une déclaration formelle des responsa-bilités et obligations redditionnelles est souhaitable, même dans de petites organisations. Cette déclaration clarifie les liens hiérarchiques formels et informels de l’organigramme et précise les obligations reddition-nelles liées à des activités spécifiques.

Critères de sélection du DS 15.3.6 Quelle que soit la taille de l’organisation, le DS devrait avoir une expérience de la gestion opérationnelle et des compétences techniques adéquates pour comprendre les systèmes qui sous-tendent

Page 212: 9859 MANUEL SMS

15-4 Manuel de gestion de la sécurité (MGS)

les opérations. Les compétences opérationnelles seules ne suffiront pas. Le DS doit avoir une bonne compréhension des principes de gestion de la sécurité, acquise par le biais d’une formation officielle et de son expérience pratique. 15.3.7 Outre sa compétence professionnelle, le DS doit posséder plusieurs atouts. Il devrait avoir :

a) une bonne connaissance de l’aviation et des fonctions et activités de l’organisation ;

b) des aptitudes en relations humaines (telles que le tact, la diplomatie, l’objectivité et l’équité) ;

c) des aptitudes d’analyse et de résolution des problèmes ;

d) des aptitudes à gérer des projets ;

e) des aptitudes en communication orale et écrite. 15.3.8 Un exemple de description des fonctions d’un DS est présenté à l’Appendice 1 de ce chapitre.

Rôle de leadership 15.3.9 Dès le départ, le DS doit imposer son image. Le DS est perçu comme un expert spécifique en gestion de la sécurité. Une des forces du DS est de convaincre les autres de la nécessité de changer. Pour cela, il faut des aptitudes de leadership. Pour développer le style de leadership le plus approprié à une organisation déterminée, il faut envisager les éléments suivants :

a) Exemple personnel. Le système de valeurs personnel du DS doit amener celui-ci à donner l’exemple à tout le personnel, aux fournisseurs de services et à la direction. Le DS doit en tout temps être perçu comme respectant les normes de sécurité les plus élevées. En aucun cas le DS ne peut agir selon le principe « Faites ce que je dis, mais pas ce que je fais... ».

b) Courage de ses opinions. Le DS doit être disposé à aller à contre-courant si nécessaire. Dans certains cas, le DS peut être la seule voix appelant au changement. La nécessité de changer ne sera pas toujours populaire, ni auprès de la direction ni auprès du personnel concerné.

c) Recherche du consensus. En tant que promoteur du travail en équipe, que ce soit avec le personnel du bureau ou dans le contexte de comités, le DS doit rechercher le consensus, inspirer la confiance tout en convainquant les principaux acteurs de la nécessité de changer. Dans ce cadre, il lui faudra souvent recourir aux compromis et faire preuve d’aptitudes à résoudre les conflits.

d) Adaptabilité. Le DS doit diriger sa barque avec prudence à travers des circonstances et priorités en constante évolution, en jugeant quand dénoncer des faits et quand renoncer. Il n’y a pas loin de la persévérance à l’entêtement, ni de la flexibilité au manque de fermeté.

e) Esprit d’initiative. Un DS efficace n’attend pas que les problèmes se présentent. Conformément à une culture de sécurité proactive, il doit faire preuve d’initiative pour rechercher les dangers, évaluer les risques y afférents et avancer les arguments en faveur du changement.

f) Innovation. Il existe peu de messages neufs dans le domaine de la sécurité. On a déjà tiré trop de leçons, parfois à maintes reprises. Le DS doit trouver des approches innovantes pour les éternels problèmes posés par l’excès de confiance, les raccourcis, les « contournements de règlements ».

g) Fermeté mais équité. Un leadership efficace traite toutes les personnes de façon équitable : il est ferme sur les exigences mais équitable dans sa sensibilité aux circonstances exceptionnelles.

Page 213: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-5

Le DS dans de grandes organisations ou des organisations en expansion 15.3.10 À mesure qu’une organisation s’étend, il deviendra de plus en plus difficile pour un DS d’assumer ses fonctions seul. Ainsi, l’extension du réseau de routes d’un exploitant peut entraîner une augmentation de la flotte et, peut-être, l’introduction de types d’aéronefs différents. Ces évolutions vont accroître le nombre d’événements requérant l’attention du DS. Dans ces cas, un service de gestion de la sécurité disposant d’un personnel minimal ne sera peut-être pas à même d’assumer une fonction adéquate de contrôle. Pour aider le DS, notamment dans des tâches secondaires, il faudra probablement des spécialistes supplémentaires. Voici, par exemple, quelques-uns des spécialistes dont une compagnie aérienne devra peut-être s’adjoindre les services :

a) des responsables de la sécurité aérienne de la flotte (pilotes qualifiés sur type) ;

b) des responsables de la sécurité des services techniques (ingénieurs au sol titulaires d’une licence et ayant une vaste expérience) ;

c) des responsables de la sécurité des cabines (membres les plus anciens des équipages de cabine ayant une expérience de la formation des équipages de cabine, des équipements de sécurité et des procédures opérationnelles).

15.3.11 Ces spécialistes peuvent apporter leur aide pour le contrôle des événements spécifiques à leur flotte ou à leur discipline et apporter un point de vue technique lors d’enquêtes sur des événements.

Les relations du DS 15.3.12 Les domaines d’intérêt du DS sont très larges, couvrant les relations extérieures avec les prestataires de services, les sous-traitants, les fournisseurs, les constructeurs et les responsables de l’autorité de réglementation. Le DS doit encourager des relations de travail efficaces avec tout l’éventail des personnes ayant une action sur la sécurité et à tous les niveaux. Ces relations devraient être placées sous le signe de : a) la compétence et du professionnalisme ;

b) la cordialité et la courtoisie ;

c) l’équité et l’intégrité ;

d) l’ouverture d’esprit. 15.3.13 Le DS devrait être disponible pour discuter des questions de gestion de la sécurité avec toute personne. Une politique dite « de la porte ouverte » ne suffit pas. Le DS doit être visible et chacun doit pouvoir s’adresser à lui dans toutes les zones d’opérations et de maintenance, y compris les fournisseurs extérieurs.

15.4 COMITÉS DE SÉCURITÉ 15.4.1 Selon la taille et la complexité de l’organisation, le DS peut bénéficier du soutien d’un comité de sécurité. De petites organisations feront bien d’examiner et de résoudre les questions de sécurité de façon informelle. Tant que la communication est bonne et que le personnel et la direction sont disposés à donner des conseils et de l’aide au DS, il ne sera pas nécessaire de mettre en place un comité de sécurité officiel. Dans les organisations où un comité de sécurité distinct n’a pas été créé, les performances en matière de

Page 214: 9859 MANUEL SMS

15-6 Manuel de gestion de la sécurité (MGS)

sécurité et la gestion de la sécurité devraient figurer régulièrement à l’ordre du jour des réunions générales de la direction. Le DS devrait participer à ces réunions. 15.4.2 Toutefois, dans de grandes organisations comptant plusieurs départements opérationnels, les communications sont souvent « filtrées » et il s’avère fréquemment nécessaire d’améliorer la coordination entre les départements. Les questions de sécurité requièrent souvent des données provenant d’un large éventail de domaines. Les comités de sécurité peuvent constituer un forum pour examiner les questions liées à la sécurité sous différents angles, surtout lorsque celles-ci nécessitent un éclairage plus large. En outre, ils garantissent la participation active de la haute direction de l’organisation au SGS. Vu leurs compé-tences multidisciplinaires, les comités de sécurité constituent la plate-forme naturelle pour la « pollinisation croisée » des idées et pour une évaluation « systémique » des performances en matière de sécurité. 15.4.3 Les comités de sécurité devraient se concentrer sur « l’action » et non sur le « dialogue ». Le rôle du comité de sécurité peut couvrir les aspects suivants :

a) mettre ses compétences et conseils sur les questions de sécurité au service de la haute direction ;

b) examiner les progrès réalisés dans la résolution des dangers identifiés et dans l’application des mesures prises à la suite d’accidents et d’incidents ;

c) émettre des recommandations de sécurité pour faire face aux dangers pour la sécurité ;

d) examiner les rapports d’audits de sécurité internes ;

e) examiner et approuver les réactions qu’a suscitées l’audit et les mesures prises ;

f) encourager une approche indirecte des questions de sécurité ;

g) contribuer à l’identification des dangers et des moyens de défense ;

h) rédiger et examiner des rapports de sécurité à présenter au directeur général.

15.4.4 Les comités de sécurité n’ont normalement pas le pouvoir de donner des ordres à des départements spécifiques. (Un tel pouvoir interférerait avec les liens hiérarchiques formels.) En réalité, les comités de sécurité recommandent des actions à mettre en œuvre par les gestionnaires responsables. Toutefois, en raison de questions d’obligations redditionnelles, certaines organisations ont instauré des comités de sécurité au niveau du Conseil d’administration, afin de garantir que les mesures correctrices sont prises.

Président du comité 15.4.5 Le comité de sécurité est souvent présidé par un cadre supérieur, le DS agissant en tant que secrétaire. Cet arrangement contribue à garantir que les débats n’éludent pas les questions controversées. Pour être efficace, le comité de sécurité doit jouir du soutien du directeur général et des directeurs de département. Les directeurs qui ont la capacité de prendre des décisions et d’autoriser des dépenses devraient participer aux réunions concernant des points spécifiques. Sans la participation des décideurs, les réunions pourraient devenir des « causeries » entraînant de grosses pertes de temps.

Membres 15.4.6 Les comités de sécurité se composent généralement de représentants de tous les principaux départements de l’organisation. En fonction de la taille de l’organisation, il peut être nécessaire de créer des

Page 215: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-7

sous-comités distincts, chargés d’aborder des questions spécifiques. Le DS et le bureau de la sécurité coordonnent les activités et aident le comité de sécurité et tout sous-comité.

Ordre du jour 15.4.7 Tous les membres du comité devraient avoir l’opportunité de soumettre des points susceptibles de figurer à l’ordre du jour. S’il n’y a pas suffisamment de points à l’ordre du jour pour justifier une réunion régulière, celle-ci devrait être annulée. Le DS, en tant que secrétaire de la réunion, devrait finaliser l’ordre du jour avec le président, en fournissant la documentation nécessaire pour chaque point. Les points requérant décisions et action ont priorité sur les points (d’information) en cours de discussion.

Procès-verbal 15.4.8 Le DS, en tant que secrétaire de la réunion, devrait rédiger un projet de procès-verbal immédiatement après la réunion (tant que les souvenirs sont encore frais). Une fois que le président a signé le procès-verbal, celui-ci devient un document à suivre. Le procès-verbal devrait être distribué dans les quelques jours ouvrables qui suivent la réunion, lorsque les personnes chargées de prendre des mesures se souviennent de l’engagement qu’elles ont pris. Des copies du procès-verbal devraient être diffusées largement dans toute l’organisation, à la fois au personnel opérationnel et aux directeurs.

Suivi 15.4.9 Après la réunion, d’autres priorités sont susceptibles de capter l’attention des personnes censées exécuter les mesures. Le DS devrait contrôler discrètement les mesures prises (ou non) et évaluer les progrès avec ceux qui sont tenus d’appliquer les décisions.

15.5 FORMATION À LA GESTION DE LA SÉCURITÉ 15.5.1 La culture de la sécurité de l’organisation est étroitement liée au succès de son programme de formation à la gestion de la sécurité. Tous les membres du personnel doivent comprendre la philosophie, les politiques, procédures et pratiques de sécurité de l’organisation et ils doivent avoir une idée claire de leurs rôles et responsabilités dans ce cadre de gestion de la sécurité. La formation à la sécurité devrait commencer par un cours d’initiation pour tous les membres du personnel et devrait se poursuivre pendant toute la durée du contrat d’emploi. Une formation spécifique à la gestion de la sécurité devrait être fournie au personnel occupant des fonctions assorties de responsabilités particulières en matière de sécurité. Le programme de formation devrait permettre de garantir que la politique et les principes de sécurité de l’organisation sont compris et respectés par l’ensemble du personnel et que tous les membres du personnel sont conscients des responsabilités de sécurité liées à leur fonction.

Besoins de formation 15.5.2 Le DS devrait, en collaboration avec le service du personnel, examiner les descriptions des fonctions de tous les membres du personnel et identifier celles qui sont assorties de responsabilités en matière de sécurité. Les responsabilités détaillées concernant la sécurité devraient être ajoutées aux descriptions des fonctions. 15.5.3 Une fois les descriptions des fonctions mises à jour, le DS, en collaboration avec le directeur de la formation, devrait analyser les besoins de formation afin de déterminer la formation qui sera requise pour chaque fonction.

Page 216: 9859 MANUEL SMS

15-8 Manuel de gestion de la sécurité (MGS)

15.5.4 En fonction de la nature de la tâche, le niveau requis de formation à la gestion de la sécurité ira d’une familiarisation générale à la sécurité jusqu’au niveau d’expert pour les spécialistes de la sécurité. En voici quelques exemples :

a) formation à la sécurité de l’entreprise pour tout le personnel ;

b) formation visant les responsabilités de sécurité de la direction ;

c) formation pour le personnel opérationnel (tels que pilotes, ATCO, AME, personnel des aires de trafic) ;

d) formation pour les spécialistes de la sécurité de l’aviation (tels que le DS, les analystes des données de vol).

15.5.5 Pendant la mise en œuvre initiale d’un SGS, une formation spécifique devra être fournie au personnel existant. Une fois le SGS pleinement mis en œuvre, les membres du personnel non spécialisé en sécurité devraient voir leurs besoins en formation à la sécurité couverts par l’insertion du contenu de sécurité approprié dans le programme général de formation à leurs fonctions. Formation initiale à la sécurité pour tout le personnel 15.5.6 Un des rôles de la formation à la gestion de la sécurité est de sensibiliser aux objectifs du SGS mis en place par l’organisation et à l’importance de développer une culture de la sécurité. Tout le personnel devrait recevoir un cours d’initiation de base couvrant : a) les principes de base de la gestion de la sécurité ;

b) la philosophie ainsi que les politiques et normes de sécurité de l’entreprise (y compris la différence d’approche appliquée par l’entreprise aux mesures disciplinaires et aux questions de sécurité, la nature intégrée de la gestion de la sécurité, le processus décisionnel lié à la gestion du risque, la culture de la sécurité, etc.) ;

c) l’importance de se conformer à la politique de sécurité et aux procédures qui font partie intégrante du SGS ;

d) l’organisation, les rôles et responsabilités du personnel en matière de sécurité ;

e) la cote de sécurité de l’entreprise, y compris l’examen des domaines de faiblesse systémique ;

f) les buts et objectifs de sécurité de l’entreprise ;

g) les programmes de gestion de la sécurité de l’entreprise (systèmes de comptes rendus d’incidents, LOSA et NOSS) ;

h) la nécessité d’une évaluation interne continue des performances de l’organisation en matière de sécurité (par ex. enquêtes auprès des travailleurs, audits de sécurité et évaluations de la sécurité) ;

i) les comptes rendus d’accidents, d’incidents et de dangers perçus ; j) les lignes de communications pour les questions de sécurité ; k) les méthodes de communication et de retour d’informations pour la diffusion des informations liées à

la sécurité ;

Page 217: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-9

l) les programmes destinés à récompenser les efforts consentis en matière de sécurité (le cas échéant) ;

m) les audits de sécurité ; n) la promotion de la sécurité et la diffusion des informations. Formation à la sécurité pour la direction 15.5.7 Il est essentiel que l’équipe de direction comprenne les principes sur lesquels repose le SGS. La formation devrait permettre de garantir que les directeurs et supérieurs hiérarchiques ont une bonne connaissance des principes du SGS et de leurs responsabilités et obligations redditionnelles en matière de sécurité. Il peut aussi être utile de donner aux directeurs une formation qui aborde les questions juridiques connexes, par exemple, leurs responsabilités juridiques. Formation spécialisée à la sécurité 15.5.8 Plusieurs tâches liées à la sécurité requièrent un personnel spécialement formé, à savoir : a) les enquêtes sur les événements liés à la sécurité ; b) le contrôle des performances en matière de sécurité ; c) la conduite d’évaluations de la sécurité ; d) la gestion des bases de données de sécurité ; e) la conduite d’audits de sécurité. 15.5.9 Il est important que le personnel qui assume ces tâches reçoive une formation adéquate aux méthodes et techniques spécifiques utilisées à ces fins. Selon le niveau de formation requis et les compé-tences en gestion de la sécurité existant au sein de l’organisation, il peut être nécessaire de recourir à l’aide de spécialistes externes pour fournir cette formation. Formation à la sécurité pour le personnel opérationnel 15.5.10 Outre l’initiation à la sécurité au sein de l’entreprise telle que décrite brièvement ci-dessus, le personnel participant directement aux opérations de vol (équipages de conduite, ATCO, AME, etc.) aura besoin d’une formation plus spécifique à la sécurité dans les domaines suivants : a) procédures de comptes rendus d’accidents et d’incidents ; b) dangers très spécifiques auxquels est confronté le personnel opérationnel ; c) procédures de comptes rendus de dangers ; d) initiatives de sécurité spécifiques, telles que : 1) l’équipement FDA ;

Page 218: 9859 MANUEL SMS

15-10 Manuel de gestion de la sécurité (MGS)

2) le programme LOSA ; 3) le programme NOSS ; e) comité(s) de sécurité ; f) dangers et procédures de sécurité saisonniers (opérations en hiver, etc.) ; g) procédures d’urgence. Formation pour les directeurs de la sécurité 15.5.11 La personne sélectionnée pour exercer les fonctions de DS doit bien connaître la plupart des aspects de l’organisation, ses activités et son personnel. Ces exigences peuvent être satisfaites en interne ou par le biais de cours extérieurs, mais le DS acquerra une bonne partie de ses connaissances en autodidacte. 15.5.12 Parmi les domaines dans lesquels le DS pourrait avoir besoin d’une formation formelle, citons : a) une familiarisation aux différentes flottes, types d’opérations, routes, etc. ; b) une compréhension du rôle des performances humaines dans les causes et la prévention des

accidents ; c) le fonctionnement du SGS ; d) les enquêtes sur les accidents et les incidents ; e) la gestion des crises et la planification des interventions d’urgence ; f) la promotion de la sécurité ; g) les aptitudes de communication ; h) les compétences numériques, notamment le traitement de texte, les tableurs et la gestion de bases

de données ; i) une formation ou une initiation à des domaines spécialisés (CRM, FDA, LOSA et NOSS, entre autres).

15.6 CONDUITE D’UNE ENQUÊTE DE SÉCURITÉ1 15.6.1 Les enquêtes sur la sécurité offrent une méthode souple et performante d’identification des dangers à partir d’un échantillon d’avis d’experts. Elles peuvent être utilisées pour examiner un domaine particulier de la sécurité où des dangers apparaissent ou sont suspectés, ou en tant qu’instrument de contrôle visant à confirmer qu’une situation existante est satisfaisante. Dans l’un et l’autre cas, les principes et procédures sont les mêmes et s’appliquent aussi bien aux grandes enquêtes qu’aux petites.

1. Les principes sous-tendant les enquêtes de sécurité ont été abordés au Chapitre 9.

Page 219: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-11

Principes 15.6.2 Les objectifs de l’enquête devraient être énoncés clairement à tous les répondants ciblés.

15.6.3 La taille de l’échantillon devrait être suffisante pour permettre de tirer des conclusions valables à partir des informations obtenues. Le degré de respect des procédures formelles, le nombre de participants, etc., dépendront de la portée de l’enquête.

15.6.4 Des enquêtes peuvent être menées au moyen de listes de vérification, de questionnaires et d’interviews. Toutes ces méthodes requièrent une aptitude à formuler des questions qui fourniront un point de référence valable sans orienter la personne interrogée. Les interviews exigent des aptitudes spécifiques à maintenir les questions neutres et impartiales, en évitant toute réaction négative, en encourageant la franchise, etc.

15.6.5 Une sélection au hasard des personnes à interroger réduira les risques de gauchissement des informations recueillies.

15.6.6 La formulation et l’ordre des questions de l’enquête exigent une rigueur identique à celle des interviews structurées. Toutefois, à l’inverse des interviews, les enquêtes devraient éviter les questions ouvertes exigeant des réponses rédigées. Les questions devraient au contraire susciter des réponses spécifiques (qui peuvent être cotées). Elles peuvent porter sur l’évaluation d’un avis selon une échelle prédéterminée allant, par exemple, de pas du tout d’accord à tout à fait d’accord en passant par sans avis.

15.6.7 Les enquêtes exigent une coordination préalable avec les autorités exerçant la tutelle sur les répondants ciblés. Ainsi, une enquête peut être vouée à l’échec dès le départ si elle ne bénéficie pas du soutien des syndicats et associations professionnelles concernés.

15.6.8 Quelle que soit la méthode utilisée pour mener l’enquête, le répondant doit recevoir une garantie de confidentialité concernant les déclarations spontanées qu’il fera dans le cadre de l’enquête.

15.6.9 D’autres éléments sont à envisager avant de mener une enquête. Il faut notamment :

a) obtenir la coopération des personnes participant à l’enquête ;

b) éviter toute impression de « chasse aux sorcières » (L’objectif est de développer les connaissances. Toute suggestion de blâme ou de sanction ira à l’encontre du but recherché.) ;

c) respecter l’expérience des répondants ciblés (Ceux-ci ont souvent plus d’expérience dans leur domaine de spécialisation que l’enquêteur.) ;

d) savoir que toute critique (réelle ou implicite) peut compromettre le bon contact avec la personne interviewée ;

e) n’accepter les ouï-dire et les rumeurs que s’ils sont étayés.

Fréquence des enquêtes 15.6.10 Certaines organisations préconisent d’effectuer des enquêtes de sécurité à intervalles réguliers parce qu’elles considèrent celles-ci comme faisant partie intégrante de leur SGS. Ces enquêtes sont parti-culièrement utiles lorsqu’une organisation traverse une période de changements importants, par exemple : a) lors de changements organisationnels rapides dus à la croissance ou à l’expansion ;

Page 220: 9859 MANUEL SMS

15-12 Manuel de gestion de la sécurité (MGS)

b) lorsque des changements majeurs de la nature des opérations de l’organisation sont planifiés (tels que l’introduction de nouveaux équipements ou des fusions d’entreprises) ;

c) lorsque des différends importants opposent le personnel à la direction (tels que des négociations de contrats ou des actions de grève en cours) ;

d) à la suite d’un changement de membres principaux du personnel (notamment le chef pilote ou le chef d’unité) ;

e) pendant l’introduction d’une nouvelle initiative de sécurité importante (telle que le TCAS, la FDA, le LOSA ou le NOSS).

Domaines à examiner 15.6.11 En général, le personnel sait où rechercher les domaines de risque. Les cadres hiérarchiques et le personnel de première ligne ont souvent une bonne perception des points qui posent les plus gros risques dans leur domaine de responsabilité. On peut leur demander leur avis dans le cadre de groupes de travail, de consultations des représentants des travailleurs et d’interviews avec des sous-directeurs et supérieurs hiérarchiques. 15.6.12 Les sources d’informations évoquées au Chapitre 9 peuvent aussi permettre de comprendre les risques potentiels que doit affronter l’organisation. Les rapports d’audit peuvent fournir un dossier structuré des points à surveiller. Comme la rotation des gestionnaires responsables a tendance à donner la mémoire courte aux entreprises, des évaluations de suivi des rapports formels d’audit peuvent révéler la persistance de dangers pour la sécurité.

Conclusion de l’enquête 15.6.13 La collecte et l’analyse des informations, l’élaboration de recommandations et la rédaction du rapport final d’une enquête prendront du temps. Il est dès lors souhaitable de dresser un bref bilan avec les responsables dès la fin de l’enquête. Si des conclusions s’imposent de toute évidence, elles devraient être examinées de façon informelle. 15.6.14 Les recommandations devraient être pratiques et se limiter au domaine d’activités et aux compétences de l’organisation concernée. Il ne faudrait pas éviter les questions sensibles mais veiller à les présenter de façon équitable, constructive et diplomate.

15.7 DIFFUSION DES INFORMATIONS LIÉES À LA SÉCURITÉ 15.7.1 Le DS devrait être le point de contact central pour les informations liées à la sécurité : rapports sur les dangers, évaluations des risques, analyses de sécurité, rapports d’enquêtes, rapports d’audits, procès-verbaux de réunions, travaux de conférences, etc. Le DS doit dégager de toutes ces informations les messages à diffuser les plus pertinents pour la sécurité. Certains messages sont urgents (avant le prochain vol), certains sont directifs, d’autres ont valeur de documentation, d’autres encore sont saisonniers, etc. Comme la plupart des membres du personnel n’ont pas le temps de lire toutes ces informations, il incombe au DS de distiller les points importants sous la forme de messages de sécurité faciles à comprendre. Plusieurs éléments devraient guider le DS dans la diffusion des informations liées à la sécurité, notamment : a) le caractère crucial de l’information ;

Page 221: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-13

b) le public cible ;

c) les meilleurs moyens pour diffuser l’information (par ex. briefings, lettres personnelles, bulletins d’informations, intranet de l’entreprise, vidéos et affiches) ;

d) le choix stratégique du moment opportun pour maximaliser l’impact du message (par ex. les briefings d’hiver ne suscitent guère d’intérêt en été) ;

e) le contenu (par ex. quelle quantité d’informations contextuelles donner par rapport au message principal) ;

f) le libellé (par ex. vocabulaire, style et ton les plus appropriés).

Informations cruciales pour la sécurité 15.7.2 Des informations urgentes sur la sécurité peuvent être diffusées par les canaux suivants :

a) messages directs (oraux ou écrits) aux directeurs responsables ;

b) briefings directs (par ex. pour les équipages de conduite d’une flotte particulière ou pour les contrôleurs d’un organisme spécifique) ;

c) briefings de relève d’équipes (par ex. pour les AME et les ATCO) ;

d) courrier adressé directement à toutes les personnes concernées (par la poste, par fax ou par courriel) : surtout pour le personnel en poste en dehors du secteur d’attache.

Informations « bonnes à savoir » 15.7.3 L’industrie aéronautique publie une littérature abondante, dont une partie est destinée à des opérations particulières. Cette documentation comprend des rapports nationaux sur des accidents/incidents, des études relatives à la sécurité, des revues d’aéronautique, les travaux de conférences et symposiums, des rapports de constructeurs, des vidéos de formation, etc. Ces informations sont de plus en plus souvent disponibles sur support électronique. Quel que soit le type de support, ces informations peuvent être mises à la disposition du personnel et/ou de la direction par divers moyens :

a) un système de diffusion interne ;

b) une bibliothèque de la sécurité (probablement dans le bureau du DS) ;

c) des résumés (probablement rédigés par le DS) signalant au personnel la réception de ces informations ;

d) la distribution personnelle à des directeurs sélectionnés.

Comptes rendus adressés à la direction 15.7.4 Dans les comptes rendus adressés à la direction, il faut éviter de compliquer les choses. La direction n’a pas le temps de prendre connaissance de grandes quantités de documents, dont certains sont probablement hors de propos. La direction veut connaître la réponse à des questions élémentaires telles que :

a) Quel est le problème ?

Page 222: 9859 MANUEL SMS

15-14 Manuel de gestion de la sécurité (MGS)

b) Dans quelle mesure peut-il avoir des conséquences sur l’organisation ?

c) Quelle est la probabilité qu’il survienne ?

d) Quel en sera le coût s’il se produit ?

e) Comment peut-on éliminer ce danger ?

f) Comment peut-on réduire le risque ?

g) Quel sera le coût des mesures à prendre ?

h) Quels sont les inconvénients de telles mesures ?

15.8 COMMUNICATIONS ÉCRITES 15.8.1 L’établissement d’une documentation pour le SGS, l’enregistrement et le suivi des mesures de sécurité importantes, la formulation de recommandations concrètes de sécurité, la promotion de la sécurité, etc., tous ces éléments requièrent des communications écrites fortes. 15.8.2 Comme les recommandations de sécurité exigent en général des ressources supplémentaires (ou une redistribution des ressources existantes), les directeurs concernés seront naturellement peu enclins à prendre des mesures. Les communications écrites offrent un moyen efficace de faire passer les arguments nécessaires en faveur du changement car elles réduisent le risque de malentendus. 15.8.3 Quelle que soit la nature de la mesure de sécurité recommandée, de mauvaises communications écrites ont peu de chances de convaincre le bénéficiaire de changer. Dès lors, les communications écrites devraient répondre aux critères suivants :

a) clarté de l’objectif ;

b) simplicité de la langue ;

c) attention aux détails, mais concision ;

d) pertinence des mots et des idées ;

e) logique et précision de l’argumentation ;

f) objectivité, impartialité et équité de l’examen des faits et de l’analyse ;

g) neutralité de ton (ton non accusateur) ;

h) opportunité.

15.9 PROMOTION DE LA SÉCURITÉ 15.9.1 Un programme continu de promotion de la sécurité veillera à ce que le personnel bénéficie des leçons tirées en matière de sécurité et continue à comprendre le SGS de l’organisation. La promotion de la sécurité est étroitement liée à la formation à la sécurité et à la diffusion des informations liées à la sécurité. Elle englobe les activités que mène l’organisation pour veiller à ce que le personnel comprenne pourquoi

Page 223: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-15

des procédures de gestion de la sécurité sont instaurées, ce que signifie la gestion de la sécurité, pourquoi des mesures de sécurité spécifiques sont prises, etc. La promotion de la sécurité constitue le mécanisme par lequel les leçons tirées d’enquêtes sur des événements relatifs à la sécurité et d’autres activités liées à la sécurité sont mises à la disposition de l’ensemble du personnel concerné. Elle fournit également un moyen d’encourager le développement d’une culture positive de la sécurité et de garantir qu’une fois installée, cette culture de la sécurité sera entretenue. 15.9.2 La publication des politiques, procédures, bulletins d’information et circulaires relatifs à la sécu-rité ne créera pas à elle seule une culture positive de la sécurité. S’il est important que le personnel soit bien informé, il est tout aussi important que ce personnel perçoive les preuves d’un engagement de la direction à garantir la sécurité. Les attitudes et actions de la direction joueront dès lors un rôle significatif dans la promotion de pratiques de travail sûres et dans le développement d’une culture positive de la sécurité. 15.9.3 Les activités de promotion de la sécurité sont particulièrement importantes pendant les phases initiales de la mise en œuvre d’un SGS. Toutefois, la promotion de la sécurité joue aussi un rôle important dans le maintien de la sécurité, car elle constitue le moyen par lequel les questions de sécurité sont communiquées au sein de l’organisation. Ces questions peuvent être abordées par le biais de programmes de formation du personnel ou de mécanismes moins formels. 15.9.4 Pour proposer des solutions à des dangers identifiés, le personnel doit être conscient des dangers déjà identifiés et des actions correctrices déjà mises en œuvre. Les activités de promotion de la sécurité et les programmes de formation y afférents devraient donc aborder le raisonnement qui sous-tend l’introduction de nouvelles procédures. Lorsque les enseignements tirés sont susceptibles de présenter un intérêt pour d’autres États, exploitants ou fournisseurs de services, il faudrait envisager une diffusion plus large des informations.

Méthodes de promotion 15.9.5 Pour qu’un message de sécurité soit appris et retenu, il faut tout d’abord donner au destinataire des motivations positives, sans quoi une grande partie des efforts consentis pour atteindre le but recherché seront gaspillés en pure perte. Une propagande qui se contente d’exhorter les gens à éviter de commettre des erreurs, à faire plus attention, etc., est inefficace car elle ne présente aucun argument de fond qui permette aux individus de se sentir concernés. Cette approche de la sécurité a parfois été qualifiée d’approche « autocollant pour pare-chocs ». 15.9.6 Les campagnes de promotion de la sécurité devraient reposer sur des sujets sélectionnés pour leur potentiel de maîtrise et de réduction des pertes. La sélection devrait donc se baser sur l’expérience d’accidents ou de quasi-collisions passés, sur les sujets identifiés par l’analyse des dangers et sur les constatations d’audits de sécurité de routine. En outre, le personnel devrait être encouragé à suggérer des thèmes de campagnes promotionnelles. 15.9.7 Pour être efficaces, toutes les méthodes de diffusion — messages oraux et écrits, affiches, vidéos, présentation de diapositives, etc., — requièrent talent, compétence et expérience. Une diffusion mal exécutée peut être pire que l’inaction. Il est dès lors souhaitable de recourir à des professionnels lorsque l’on diffuse des informations à un public crucial. 15.9.8 Une fois qu’il a été décidé de diffuser des informations liées à la sécurité, il faudrait tenir compte de plusieurs facteurs importants, dont voici quelques exemples : a) Le public cible. Le message doit être exprimé dans des termes et un langage qui correspondent aux

connaissances du public cible.

Page 224: 9859 MANUEL SMS

15-16 Manuel de gestion de la sécurité (MGS)

b) La réaction attendue. Quelle action le public cible est-il censé accomplir ? c) Le support. Si les messages imprimés sont peut-être les plus aisés et les moins chers, ils seront

probablement les moins efficaces. d) Le style de présentation. Il peut faire appel à l’humour, intégrer des éléments graphiques, des

photographies et recourir à d’autres techniques destinées à attirer l’attention. 15.9.9 L’idéal, c’est qu’un programme de promotion de la sécurité repose sur diverses méthodes de communication. Les méthodes suivantes sont couramment utilisées à cette fin : a) Message oral. C’est peut-être la méthode la plus efficace, surtout si elle est complétée par une

présentation visuelle. Cependant, c’est aussi la méthode la plus chère car elle demande temps et efforts pour rassembler le public, les équipements et le matériel. Certains États emploient des spécialistes en sécurité qui se rendent dans diverses organisations pour y donner conférences et séminaires.

b) Message écrit. C’est de loin la méthode la plus populaire en raison de sa rapidité et de son faible

coût. Toutefois, la prolifération des imprimés tend à saturer notre capacité à absorber le tout. Les documents imprimés de promotion de la sécurité entrent en concurrence avec des quantités considé-rables d’autres documents écrits qui tentent, eux aussi, d’attirer l’attention. De plus, à l’ère numérique, l’imprimé fait face à une concurrence encore plus forte. Il peut être souhaitable de recourir aux conseils ou à l’aide de professionnels pour garantir que le message soit transmis de façon efficace.

c) Vidéos. L’utilisation de vidéos offre les avantages d’images et sons dynamiques pour renforcer de

façon efficace des messages de sécurité spécifiques. Toutefois, elle présente deux grands incon-vénients : le coût de production et la nécessité d’un équipement spécial de lecture. Néanmoins, les vidéos peuvent être efficaces pour diffuser un message particulier dans l’ensemble d’une structure organisationnelle fort dispersée, ce qui réduit au minimum la nécessité de demander au personnel de se déplacer. Aujourd’hui, elles peuvent être distribuées par voie électronique ou par disque compact (CD). Une grande gamme de vidéos de sécurité sont disponibles sur le marché. Beaucoup sont reprises sur des sites de sécurité sur l’Internet.

d) Stands. Lorsqu’un message doit être montré à une grande assemblée, comme lors d’une conférence,

le stand est une bonne technique d’« auto-information ». Imagination et compétences graphiques sont requises pour présenter non seulement le message mais aussi l’image de l’organisation. Les inconvénients d’un stand sont le coût et, à moins qu’une permanence soit assurée au stand, un côté statique et, d’une certaine manière, peu intéressant. Il peut être souhaitable de recourir aux conseils ou à l’aide de professionnels pour garantir que le message soit transmis de façon efficace.

e) Sites Internet. Nombre des méthodes de promotion précitées pourraient ne pas être très attrayantes

pour les générations qui ont grandi dans un contexte d’ordinateurs, de jeux numériques et d’accès à l’Internet. La croissance exponentielle de l’Internet offre un énorme potentiel d’amélioration de la promotion de la sécurité. Même les petites entreprises peuvent créer et tenir à jour un site Internet pour diffuser des informations liées à la sécurité.

f) Conférences, symposiums, séminaires, ateliers, etc. L’utilisation de cette méthode fournit des

forums idéaux pour promouvoir les questions de sécurité. L’organisation, l’autorité de réglemen-tation, les associations du secteur, les instituts de sécurité, les universités, les constructeurs, etc. peuvent parrainer ces événements. La valeur de ces forums dépasse souvent de loin la promotion de la sécurité en permettant de nouer des contacts avec d’autres personnes actives dans le domaine de la sécurité.

Page 225: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-17

15.9.10 Lorsqu’on envisage de lancer un programme de promotion important, il est sage de demander les conseils de spécialistes en communication et de représentants bien informés des groupes cibles concernés.

15.10 GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ

Les bases de données contiennent quantités d’informations sur la sécurité ; toutefois, sans les outils et compétences nécessaires pour accéder aux données et les analyser, ces informations ne sont en fait d’aucune utilité.

Généralités

15.10.1 Des données de qualité sont vitales pour la gestion de la sécurité. Une gestion efficace de la sécurité est « guidée par les données ». Les renseignements recueillis dans les rapports sur les activités et la maintenance, les rapports de sécurité, les audits, les évaluations des pratiques de travail, etc., génèrent une grande quantité de données, mais toutes ne sont pas pertinentes pour la gestion de la sécurité. Tant d’informations liées à la sécurité sont recueillies et stockées que les directeurs responsables risquent d’être submergés, ce qui compromettrait l’utilité des données. Une bonne gestion des bases de données de l’organisation est fondamentale pour assurer des fonctions efficaces de gestion de la sécurité (telles que le contrôle des tendances, l’évaluation des risques, les analyses coûts-avantages et les enquêtes sur des occurrences). 15.10.2 Les arguments prônant un changement des pratiques de sécurité doivent reposer sur l’analyse de données de qualité consolidées. La création et la tenue à jour d’une base de données de sécurité procurent un outil essentiel aux gestionnaires de l’entreprise, aux directeurs de la sécurité et aux autorités de réglementation qui contrôlent les questions de sécurité du système. Malheureusement, nombre de bases de données n’atteignent pas le niveau de qualité des données nécessaire pour offrir une base fiable pour affûter les priorités en matière de sécurité, évaluer l’efficacité des mesures d’atténuation des risques et lancer des recherches relatives à la sécurité. Une compréhension des données, des bases de données et de l’utilisation des outils appropriés est requise pour prendre des décisions valables et opportunes. 15.10.3 De plus en plus, des logiciels sont utilisés pour faciliter l’enregistrement, le stockage, l’analyse et la présentation des informations liées à la sécurité. Il est maintenant possible de mener facilement une analyse sophistiquée des informations contenues dans les bases de données. Une vaste gamme de bases de données électroniques, relativement peu onéreuses et capables de répondre aux exigences de gestion des données de l’organisation, sont disponibles dans le commerce, pour des ordinateurs de bureau. Ces systèmes autonomes présentent l’avantage de ne pas utiliser le système informatique principal de l’orga-nisation, ce qui améliore la sécurité des données. Recommandations de l’OACI 15.10.4 L’Annexe 13 recommande que les États établissent une base de données sur les accidents et incidents pour faciliter l’analyse efficace des renseignements obtenus, notamment ceux qui sont issus de leurs systèmes de comptes rendus d’incidents. Les systèmes de bases de données devraient utiliser des formats normalisés de façon à faciliter les échanges de données.

Page 226: 9859 MANUEL SMS

15-18 Manuel de gestion de la sécurité (MGS)

Système de comptes rendus d’accident/incident de l’OACI (ADREP) 15.10.5 Pour aider les États à obtenir des données relatives à la sécurité, l’OACI tient à jour le système ADREP. L’ADREP est une base de données contenant des informations sur les accidents et graves incidents d’aviation dans le monde. 15.10.6 Le système ADREP utilise le logiciel ECCAIRS2. Le programme de cette base de données est mis à la disposition des États qui souhaitent créer leurs propres bases de données pour soutenir la gestion de la sécurité. Le système ADREP offre aux États : a) une importante base de données des comptes rendus internationaux d’accidents et d’incidents pour

analyse et recherche en matière de sécurité ; b) un système élaboré à l’échelon international pour coder les données liées à la sécurité afin de faciliter

l’échange de ces données ; c) un service d’analyse pour répondre à des demandes spécifiques, relatives à la sécurité, émises par

des États.

Besoins en systèmes d’information 15.10.7 Selon la taille de leur organisation, les utilisateurs ont besoin d’un système offrant une gamme de capacités et de sorties pour gérer leurs données relatives à la sécurité. En général, il faut aux utilisateurs : a) un système capable de transformer de grandes quantités de données liées à la sécurité en infor-

mations utiles au processus décisionnel ; b) un système qui réduira la charge de travail des directeurs et du personnel de sécurité ; c) un système automatisé, adaptable à leur propre culture ; d) un système qui peut fonctionner à relativement peu de frais.

Compréhension des bases de données 15.10.8 Pour exploiter les avantages potentiels de bases de données de sécurité, il faut comprendre les fondements de leur fonctionnement. Qu’est-ce qu’une base de données ? 15.10.9 Tout ensemble d’informations regroupées d’une manière organisée peut être considéré comme constituant une base de données. Des documents imprimés peuvent être tenus à jour dans un simple système de classement (c.-à-d. une « base de données » manuelle), mais ce genre de système ne suffira

2. Le Centre européen de coordination des systèmes de comptes rendus d’incidents en navigation aérienne (ECCAIRS) est décrit au

Chapitre 7.

Page 227: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-19

que pour les plus petites opérations. Le stockage, l’enregistrement, le rappel et l’extraction des données sont des tâches lourdes. Il est préférable que les données de sécurité, quelle qu’en soit l’origine, soient stockées dans une base de données électronique qui facilite l’extraction des renseignements sous divers formats. 15.10.10 La capacité de manipuler les informations, de les analyser et de les extraire sous diverses formes est appelée gestion de base de données. La plupart des logiciels de gestion de bases de données comprennent les éléments organisationnels suivants, qui permettent de définir une base de données : a) Enregistrement : Un groupe de données considéré comme un tout (par ex. toutes les données

concernant une occurrence) ; b) Zone : Chaque élément d’information distinct à l’intérieur d’un enregistrement (tel que la date ou le

lieu d’une occurrence) ; c) Fichier : Groupe d’enregistrements présentant la même structure et ayant un rapport entre eux

(comme toutes les occurrences liées au moteur dans une année spécifique). 15.10.11 Les bases de données sont dites « structurées » lorsque chaque zone de données a une longueur fixe et que son type de format est clairement défini par un chiffre, une date, une réponse « oui/non », un caractère ou un texte. Souvent, l’utilisateur ne dispose que d’un choix prédéterminé de valeurs. Ces valeurs sont stockées dans des fichiers de référence, souvent appelés table de valeurs ; par exemple, une sélection de marques et de modèles d’aéronefs dans une liste prédéterminée. Pour faciliter l’analyse quantitative et les recherches systématiques, les bases de données structurées réduisent au minimum les saisies simples en format libre en les limitant à des longueurs de zones fixes. Souvent, ces informations sont catégorisées par un système de mots clés. 15.10.12 Les bases de données sont dites « alphanumériques » lorsque les banques d’informations sont essentiellement constituées de documents écrits (par exemple, résumés des rapports sur les accidents et incidents ou correspondance écrite). Les données sont indexées et stockées dans des zones de texte en format libre. Certaines bases de données contiennent de grandes quantités de données structurées et de données documentaires mais les bases de données modernes sont bien plus que des classeurs électroniques. Limites d’une base de données 15.10.13 Lorsque l’on crée, tient à jour ou utilise des bases de données, il faut tenir compte de leurs limites. Certaines de ces limites sont inhérentes au système de la base de données, tandis que d’autres découlent de l’usage qui est fait des données. Pour éviter des conclusions et décisions injustifiables, les utilisateurs de bases de données doivent comprendre les limites de l’outil. Les utilisateurs de bases de données devraient aussi savoir dans quel but la base de données a été constituée et connaître la crédibilité des informations saisies par l’organisation qui a créé la base de données et la tient à jour. Intégrité d’une base de données 15.10.14 Les bases de données de sécurité constituent un élément stratégique du SGS d’une organisation. Les données sont vulnérables aux altérations provenant de multiples sources et il faut veiller à préserver leur intégrité. Beaucoup de membres du personnel peuvent avoir accès à la base de données pour y entrer des données. D’autres auront besoin d’un accès aux données pour exécuter leurs tâches de sécurité. L’accès à partir de sites multiples d’un système en réseau peut accroître la vulnérabilité de la base de données.

Page 228: 9859 MANUEL SMS

15-20 Manuel de gestion de la sécurité (MGS)

15.10.15 L’utilité d’une base de données sera compromise si une attention suffisante n’est pas accordée à la tenue à jour des données. Des données manquantes, des retards dans la saisie de données actuelles, des saisies de données inexactes, etc., altèrent la base de données. Même l’application des meilleurs outils d’analyse ne peut compenser de mauvaises données.

Gestion d’une base de données

Protection des données de sécurité 15.10.16 Comme les données liées à la sécurité, recueillies strictement aux fins de faire progresser la sécurité de l’aviation, présentent un grand potentiel d’usages abusifs, la gestion d’une base de données doit commencer par la protection de ces données. Les gestionnaires de bases de données doivent trouver un juste équilibre entre le besoin de protéger les données et celui de rendre les données accessibles à ceux qui peuvent faire progresser la sécurité de l’aviation. Parmi les aspects à prendre en considération pour la protection des données, citons :

a) l’efficacité des lois sur « l’accès à l’information » face aux exigences de la gestion de la sécurité ;

b) les politiques de l’organisation en matière de protection des données liées à la sécurité ;

c) la dépersonnalisation des données par l’élimination de toutes les informations qui pourraient amener une tierce partie à déduire l’identité d’individus (par exemple, numéros de vol, dates/heures, lieux et type d’aéronef) ;

d) la sécurité des systèmes d’information, du stockage des données et des réseaux de communication ;

e) la limitation de l’accès aux bases de données à ceux qui « ont besoin de savoir » ;

f) les interdictions d’usages non autorisés des données.

Capacités des bases de données de sécurité 15.10.17 Comme les divers systèmes de gestion de bases de données varient dans leurs propriétés et attributs fonctionnels, il faudrait les étudier tous avant de décider du système le plus apte à répondre aux besoins d’un exploitant. L’expérience a montré que l’usage d’une base de données sur PC est le meilleur moyen pour enregistrer et retrouver les incidents aériens liés à la sécurité. Le nombre de caractéristiques disponibles dépend du type de système sélectionné. Les caractéristiques de base devraient permettre à l’utilisateur d’exécuter des tâches telles que :

a) entrer des événements de sécurité sous diverses catégories ;

b) lier les événements aux documents connexes (par ex. des rapports et photographies) ;

c) contrôler les tendances ;

d) compiler des analyses, des graphiques et des rapports ;

e) vérifier les dossiers historiques ;

f) partager des données avec d’autres organisations ;

Page 229: 9859 MANUEL SMS

Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-21

g) suivre les enquêtes sur les événements ; h) signaler des retards dans la prise de mesures à l’aide d’un repère.

Considérations relatives à la sélection des bases de données 15.10.18 La sélection d’un type de base de données parmi les systèmes disponibles sur le marché dépendra des attentes de l’utilisateur, des données requises, du système d’exploitation de l’ordinateur et de la complexité des requêtes à traiter. Toute une gamme de programmes dotés de diverses capacités et exigences en matière de compétences sont disponibles. Pour choisir, il faudra trouver un juste équilibre entre les aspects suivants : a) Convivialité. Le système devrait être facile à utiliser de façon intuitive. Certains programmes offrent

une vaste gamme de caractéristiques mais requièrent une importante formation. Malheureusement, il faut souvent trouver un compromis entre la puissance du moteur de recherche et la convivialité ; plus l’outil est convivial, moins il sera susceptible d’être à même de traiter des requêtes complexes.

b) Accès. Bien que l’accès à toutes les informations stockées dans la base de données soit la situation

idéale, tous les utilisateurs n’ont pas besoin d’un accès aussi large. La structure et la complexité de la base de données influenceront le choix d’outils particuliers de requête.

c) La performance permet de mesurer l’efficacité du système. Elle dépend d’éléments tels que : 1) la qualité de la saisie, de la tenue à jour et du contrôle des données ; 2) la pertinence du format de stockage des données pour faciliter des contrôles de tendance ou

d’autres analyses ; 3) la complexité de la structure de la base de données ; 4) la conception du système (ou réseau) informatique hôte. d) La flexibilité dépend de la capacité du système à : 1) traiter une diversité de requêtes ; 2) filtrer et trier les données ; 3) utiliser la logique binaire (c’est-à-dire la capacité du système à traiter des conditions « ET/OU »

telles que « tous les pilotes qui sont commandants de bord et ont 15 000 heures de vol » ou « tous les pilotes qui sont commandants de bord ou ont 15 000 heures de vol ») ;

4) effectuer une analyse de base (comptages et tableaux à entrées multiples) ; 5) produire des données de sortie définies par l’utilisateur ; 6) se connecter à d’autres bases de données pour importer ou exporter des données. 15.10.19 Les coûts varient selon les exigences de chaque organisation. Chez certains vendeurs de systèmes, le prix demandé est un forfait, qui autorise de multiples utilisateurs sur une licence unique. Chez

Page 230: 9859 MANUEL SMS

15-22 Manuel de gestion de la sécurité (MGS)

d’autres, le tarif augmente selon le nombre d’utilisateurs autorisés. L’acheteur devrait tenir compte de facteurs de coûts connexes tels que :

a) les frais d’installation ;

b) les frais de formation ;

c) les coûts de mise à jour des logiciels ;

d) les frais de maintenance et d’assistance technique ;

e) d’autres frais de licence de logiciels qui pourraient être nécessaires.

15.11 MANUEL DE GESTION DE LA SÉCURITÉ 15.11.1 Un manuel de gestion de la sécurité donne à la direction un instrument clé pour communiquer l’approche de la sécurité appliquée à l’ensemble de l’organisation. Ce manuel devrait traiter tous les aspects du SGS, y compris la politique de sécurité, les procédures de sécurité et les obligations redditionnelles de chacun en matière de sécurité. 15.11.2 Le manuel de gestion de la sécurité devrait aborder, entre autres :

a) les procédures de contrôle des documents ;

b) la portée du SGS ;

c) la politique de sécurité ;

d) les obligations redditionnelles en matière de sécurité ;

e) les mécanismes d’identification des dangers ;

f) le contrôle des performances en matière de sécurité ;

g) l’évaluation de la sécurité ;

h) les audits de sécurité ;

i) la promotion de la sécurité ;

j) la structure de l’organisation de la sécurité. 15.11.3 Le manuel de gestion de la sécurité devrait être un document de type évolutif, reflétant l’état actuel du SGS. Le DS sera sans doute chargé de l’élaboration du manuel de gestion de la sécurité. Ce manuel devrait être rédigé de façon à expliciter la finalité et les processus du SGS. Dès lors, toute modification significative du SGS requerra une mise à jour du manuel de gestion de la sécurité. 15.11.4 Le manuel de gestion de la sécurité devrait être aussi court et concis que possible. Toute information qui change régulièrement devrait être incluse dans des appendices. Ce sera notamment le cas des noms des membres du personnel chargés de responsabilités de sécurité spécifiques.

— — — — — — — —

Page 231: 9859 MANUEL SMS

15-APP 1-1

Appendice 1 au Chapitre 15

EXEMPLE DE DESCRIPTION DES FONCTIONS D’UN DIRECTEUR DE LA SÉCURITÉ

Mission générale 1. Le directeur de la sécurité (DS) est chargé de donner des indications et des instructions pour assurer le fonctionnement du système de gestion de la sécurité de l’organisation.

Qualités 2. Cette fonction requiert la capacité de faire face, sans réelle supervision, à des circonstances et situations en constante évolution. Le DS agit indépendamment des autres directeurs de l’organisation. 3. Le DS est chargé de fournir des informations et des conseils à la haute direction sur des questions relatives à la sécurité des opérations. Tact, diplomatie et un haut degré d’intégrité sont indispensables. 4. Cette fonction requiert de la flexibilité car des tâches peuvent être entreprises à bref délai, voire au pied levé et en dehors des heures de travail normales.

Nature et portée 5. Le DS doit interagir avec le personnel opérationnel, les cadres dirigeants et les chefs de dépar-tement de toute l’organisation. Le DS devrait aussi favoriser des relations positives avec les autorités, les services de réglementation et les fournisseurs de services extérieurs à l’organisation. D’autres contacts seront noués au niveau opérationnel, s’il y a lieu.

Qualifications 6. Les qualités et qualifications préconisées sont notamment : a) une connaissance et une expérience opérationnelles larges des fonctions de l’organisation (par ex.

les opérations de navigation aérienne, la gestion du trafic aérien et les opérations aéroportuaires) ; b) une bonne connaissance des principes et pratiques de gestion de la sécurité ; c) de bonnes aptitudes en communication orale et écrite ; d) une excellente aptitude à nouer des relations interpersonnelles ; e) des connaissances en informatique ;

Page 232: 9859 MANUEL SMS

15-APP 1-2 Manuel de gestion de la sécurité (MGS)

f) la capacité d’entretenir des rapports harmonieux à tous les niveaux, à la fois à l’intérieur et à l’extérieur de l’organisation ;

g) le sens de l’organisation ; h) la capacité de travailler de façon autonome ; i) un bon esprit d’analyse ; j) avoir des aptitudes de leadership et de l’autorité ; k) être digne du respect de ses pairs et de la direction.

Pouvoirs 7. Pour les questions de sécurité, le DS a un accès direct au directeur général et aux directions appropriées. 8. Le DS est autorisé à procéder à des audits de sécurité sur tout aspect des opérations. 9. Le DS a le pouvoir de diligenter une enquête sur un accident ou un incident conformément aux procédures spécifiées dans le manuel de gestion de la sécurité.

Page 233: 9859 MANUEL SMS

16-1

Chapitre 16

EXPLOITATION TECHNIQUE DES AÉRONEFS

16.1 GÉNÉRALITÉS 16.1.1 L’Annexe 6 — Exploitation technique des aéronefs, 1re Partie — Aviation de transport commercial international — Avions, et 3e Partie — Vols internationaux d’hélicoptères, exige que les États mettent en place un programme de sécurité en vue d’atteindre un niveau acceptable de sécurité dans l’exploitation des aéronefs. Dans le cadre de leur programme de sécurité, les États exigent que les exploitants mettent en œuvre un système accepté de gestion de la sécurité (SGS). 16.1.2 Un SGS permet aux exploitants d’intégrer leurs diverses activités liées à la sécurité en un système cohérent. Parmi les activités liées à la sécurité qui pourraient être intégrées dans le SGS des exploitants, citons : a) les comptes rendus de dangers et d’incidents ; b) l’analyse des données de vol (FDA) ; c) le programme d’audit de sécurité en service de ligne (LOSA) ; d) la sécurité en cabine. Chacun de ces points est décrit plus en détail ci-dessous.

16.2 COMPTES RENDUS DE DANGERS ET D’INCIDENTS 16.2.1 Les principes et le fonctionnement d’un système efficace de comptes rendus d’incidents sont décrits au Chapitre 7. Pour une organisation, la mise en œuvre d’un système non punitif de comptes rendus d’incidents constitue un des meilleurs moyens — si pas le meilleur — d’exprimer son engagement à garantir la sécurité et d’encourager une culture positive de la sécurité. Aujourd’hui, nombre d’exploitants ont pris cet engagement envers la sécurité et, en conséquence, ont bénéficié non seulement de l’amélioration de l’identification des risques, mais aussi d’un renforcement de l’efficacité des opérations aériennes.

Avantages 16.2.2 Les systèmes de comptes rendus d’incidents sont un des outils les plus efficaces dont disposent les exploitants pour réaliser une étape clé d’une gestion efficace de la sécurité, à savoir l’identification proactive des risques. Les politiques, procédures et pratiques élaborées au sein des organisations introduisent parfois des dangers imprévus dans les opérations aériennes. Ces facteurs latents (dangers) peuvent ne pas se manifester pendant des années. Ils sont habituellement les conséquences imprévues de modifications qui ont été apportées souvent avec les meilleures intentions du monde. Ils trouvent notamment leur origine dans une mauvaise conception des équipements, des décisions de gestion inappropriées, des ambiguïtés

Page 234: 9859 MANUEL SMS

16-2 Manuel de gestion de la sécurité (MGS)

dans les procédures écrites et une mauvaise communication entre la direction et le personnel opérationnel. Les cadres hiérarchiques sont aussi susceptibles d’introduire de tels dangers en instaurant des procédures opérationnelles qui ne fonctionnent pas comme prévu en conditions « réelles ». Bref, des dangers peuvent avoir une origine très éloignée dans le temps et l’espace des incidents qu’ils finiront peut-être par entraîner. 16.2.3 Il se peut que ces dangers n’entraînent pas immédiatement un accident ou un incident parce que le « personnel de première ligne » (qu’il s’agisse des pilotes, des ATCO ou des AME) crée souvent des techniques d’adaptation à ces dangers, techniques parfois qualifiées de « moyens de tourner la difficulté ». Toutefois, si les dangers ne sont pas identifiés et traités, tôt ou tard, les mécanismes d’adaptation échoueront et un accident ou un incident se produira. 16.2.4 Un système interne de comptes rendus bien géré peut aider les compagnies à identifier nombre de ces dangers. Grâce à la collecte, au regroupement, puis à l’analyse des comptes rendus de dangers et d’incidents, les directeurs de la sécurité peuvent mieux comprendre les problèmes rencontrés pendant l’exploitation. Armés de ces connaissances, ils peuvent mettre en place des solutions systémiques plutôt que des solutions « bouche-trous » qui ne feront peut-être que cacher les vrais problèmes.

Encourager la libre circulation des informations liées à la sécurité 16.2.5 Il est fondamental que le personnel ait confiance dans le système de comptes rendus d’incidents pour garantir la qualité, la précision et l’intérêt des renseignements signalés. Dans un climat d’entreprise où le personnel se sent libre de partager ouvertement les informations liées à la sécurité, les renseignements recueillis sur des dangers et des incidents contiendront beaucoup de détails utiles. Comme les comptes rendus refléteront l’environnement réel, il sera intéressant de déterminer les facteurs en jeu et les domaines où la sécurité suscite des préoccupations. 16.2.6 Toutefois, si la compagnie utilise les comptes rendus d’incidents à des fins disciplinaires, son système de comptes rendus d’incidents ne recevra que les renseignements minimums requis pour respecter les règles qu’elle a édictées. On ne pourra en attendre que peu d’informations utiles pour la sécurité. 16.2.7 La confiance nécessaire à la libre circulation des informations liées à la sécurité est très fragile. Elle mettra peut-être des années à s’installer, mais il suffira d’un abus de confiance pour saper l’efficacité du système pour longtemps. Pour gagner la nécessaire confiance du personnel, la compagnie devra commencer par publier une déclaration officielle énonçant sa politique de franchise et de liberté en matière de comptes rendus d’incidents. Un exemple de politique d’entreprise relative à ces comptes rendus non punitifs de dangers est présenté à l’Appendice 1 de ce chapitre. 16.2.8 Tout nouveau système de comptes rendus d’incidents soulève l’éternelle question : « Que signaler ? ». Comme indiqué au Chapitre 7, le principe directeur devrait être : « Dans le doute, signalez-le ». Une liste illustrative de types d’occurrences ou d’événements à signaler dans le cadre d’un système de comptes rendus d’exploitant figure à l’Appendice 2 de ce chapitre. Pour être efficaces, les programmes de comptes rendus des exploitants devraient au minimum comprendre les comptes rendus de dangers et d’incidents émanant du personnel des opérations aériennes, des AME et des équipages de cabine.

Systèmes disponibles sur le marché 16.2.9 Un nombre croissant de systèmes de comptes rendus d’incidents fonctionnant sur ordinateurs individuels sont disponibles sur le marché à un coût relativement faible et se sont avérés bien adaptés aux besoins des systèmes de comptes rendus des compagnies. Ces logiciels de série recueillent et enregistrent les

Page 235: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-3

données, produisent des rapports et peuvent être utilisés pour effectuer des analyses de tendances et un suivi des performances en matière de sécurité. Le Chapitre 15 fournit de plus amples informations sur les systèmes de bases de données. 16.2.10 Voici trois exemples de tels systèmes : a) British Airways Safety Information System (BASIS) (Système d’informations sur la sécurité de la

compagnie British Airways) a été créé en tant que programme interne de comptes rendus d’incidents pour les équipages de conduite. Ce programme informatique a évolué pour devenir une quasi norme de l’industrie aéronautique pour la collecte et la gestion des informations liées à la sécurité. Il est actuellement utilisé par plus de 100 compagnies aériennes et organisations aéronautiques. Les systèmes élaborés en ligne sont fréquemment conçus pour être compatibles avec BASIS. Plusieurs modules de BASIS couvrent un large spectre d’activités concernant la gestion de la sécurité. De plus amples informations sur BASIS sont disponibles sur le site web http://www.winbasis.com.

b) INDICATE (Identifying Needed Defences in the Civil Aviation Transport Environment) (Identification

des moyens de défense nécessaires dans l’environnement du transport aérien civil) est un programme de gestion de la sécurité élaboré en Australie pour offrir un moyen simple, rentable et fiable permettant la saisie, le suivi et le signalement des renseignements sur des dangers pour la sécurité.

Le logiciel INDICATE utilise le programme Access de Microsoft et est facile à installer sur un

ordinateur compatible avec Windows. Il donne une méthodologie logique et cohérente pour enregistrer et classer les dangers, un moyen d’enregistrement rapide et aisé des recommandations et des interventions, une base de données permettant l’enregistrement et l’extraction des dangers pour la sécurité, ainsi qu’un système automatique d’élaboration de rapports sur les dangers permettant une diffusion rapide des informations. Il constitue en outre un outil utile pour les audits de sécurité. Le Bureau de la sécurité des transports australiens (ATSB) fournit le logiciel INDICATE gratuitement. De plus amples informations sur INDICATE sont disponibles sur le site web http://www.atsb.gov.au.

c) Airbus Industrie a élaboré le Aircrew Incident Reporting System (AIRS) (Système de comptes

rendus d’incidents pour les équipages d’aéronefs) afin d’aider ses clients à mettre en place leurs propres systèmes confidentiels de comptes rendus. AIRS met l’accent sur la collecte et la compréhen-sion des implications systémiques des incidents signalés ainsi que sur les aspects comportementaux. La partie analytique d’AIRS entend éclaircir la manière dont un incident s’est produit et les causes de cet incident. AIRS vise en particulier à améliorer la compréhension des facteurs humains sous-jacents ayant joué un rôle dans des événements. Le logiciel AIRS, qui est compatible avec BASIS, permet de stocker des données normalisées émanant tant des opérations du poste de pilotage que des opérations de cabine.

16.3 PROGRAMME D’ANALYSE DES DONNÉES DE VOL (FDA)

Introduction 16.3.1 Les programmes d’analyse des données de vol (FDA), parfois appelés programme d’assurance de la qualité des opérations aériennes (FOQA), offrent un autre instrument permettant une identification proactive des dangers. Les programmes FDA constituent un complément logique aux comptes rendus de dangers et d’incidents et au LOSA.

Page 236: 9859 MANUEL SMS

16-4 Manuel de gestion de la sécurité (MGS)

Qu’est-ce qu’un programme FDA ? 16.3.2 À l’origine, les enregistreurs de bord servaient principalement à aider les enquêteurs, surtout lors d’accidents ayant entraîné la mort de tous les membres d’équipage. L’analyse des données enre-gistrées s’est très tôt révélée également utile pour mieux comprendre les incidents graves. En consultant régulièrement les paramètres de vol enregistrés, il était possible d’en apprendre beaucoup sur la sécurité des opérations aériennes et sur la performance des cellules et des moteurs. De précieuses données sur le déroulement normal des choses dans les opérations quotidiennes étaient ainsi disponibles, ce qui a permis de replacer dans leur contexte les données relatives à des accidents et à des incidents. De plus, l’analyse de ces données désidentifiées pouvait aussi être utile pour identifier les dangers pour la sécurité avant qu’un incident grave ou un accident ne se produise. 16.3.3 Afin de tirer le meilleur parti possible de ces avantages, plusieurs compagnies aériennes ont mis en place des systèmes visant à analyser régulièrement les données de vol enregistrées. Malgré quelques problèmes initiaux, l’industrie aéronautique analyse de plus en plus les données enregistrées au cours des opérations normales afin de soutenir les programmes de sécurité des compagnies. Les programmes FDA ont donné à la direction un outil de plus pour identifier de façon proactive les dangers pour la sécurité et atténuer les risques connexes. 16.3.4 Aux fins du présent manuel, un programme FDA peut être défini comme suit : • Un programme proactif et non punitif destiné à recueillir et analyser des données enregistrées

pendant des vols de routine en vue d’améliorer la performance des équipages de conduite, les procédures opérationnelles, la formation des équipages, les procédures de contrôle de la circulation aérienne, les services de navigation aérienne ou la maintenance et la conception des aéronefs.

16.3.5 Tout programme FDA requiert la coopération des pilotes. Avant d’instaurer un programme FDA, il est essentiel de conclure un accord sur les processus à suivre, en particulier sur les aspects non punitifs d’un tel programme. Ces détails sont normalement inclus dans un accord formel entre la direction et ses équipages de conduite. Un exemple de ce type d’accord figure à l’Appendice 3 du présent chapitre.

Avantages des programmes FDA 16.3.6 Les programmes FDA sont de plus en plus souvent utilisés pour assurer le suivi et l’analyse des opérations aériennes et des performances techniques. Les programmes FDA sont une composante logique d’un SGS, surtout chez de grands exploitants. Des programmes efficaces encouragent le respect des SOP, préviennent les comportements hors norme et renforcent ainsi la sécurité des vols. Ils peuvent détecter des tendances inopportunes dans toute partie du régime de vol et ainsi faciliter les enquêtes sur des événements n’ayant pas eu de graves conséquences. 16.3.7 L’analyse des données de vol peut servir à détecter des dépassements des paramètres de vol et à repérer des procédures non normalisées ou déficientes, des faiblesses du système ATC et des anomalies dans la performance des aéronefs. Elle permet de suivre les divers aspects d’un profil de vol, tels que le respect des SOP prescrites pour le décollage, la montée, la croisière, la descente, l’approche et l’atterrissage. Des aspects spécifiques des vols peuvent être étudiés, soit rétrospectivement, pour repérer les points problématiques, ou de façon proactive avant l’instauration d’un changement opérationnel, pour ensuite confirmer l’efficacité de ce changement. 16.3.8 Lors de l’analyse d’un incident, les données de l’enregistreur de bord du vol sur lequel l’incident s’est produit peuvent être comparées avec les données du profil de la flotte, ce qui facilite l’analyse des aspects systémiques d’un incident. Il se peut que les paramètres d’un vol avec incident ne varient que

Page 237: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-5

légèrement par rapport à bien d’autres vols, ce qui indique peut-être une nécessité de modifier la technique opérationnelle ou la formation. Il serait par exemple possible de déterminer si un incident ayant entraîné un contact queue-sol à l’atterrissage est un incident isolé ou s’il est symptomatique d’un problème plus large de fausse manœuvre, telle qu’un arrondi trop haut au toucher des roues ou une mauvaise gestion de la poussée. 16.3.9 Les programmes de surveillance des moteurs peuvent utiliser l’analyse automatisée des données des enregistreurs de bord pour obtenir une analyse de tendance fiable, car les données relatives aux moteurs qui sont codées manuellement ont une précision, une opportunité et une fiabilité limitées. Il est aussi possible de surveiller d’autres aspects de la cellule et des systèmes. 16.3.10 En résumé, les programmes FDA offrent un large spectre d’applications pour la gestion de la sécurité ainsi que pour l’amélioration de l’efficacité et de la rentabilité opérationnelles. Les données cumulées de nombreux vols peuvent être utiles pour : a) déterminer les normes d’exploitation quotidienne ; b) repérer les tendances dangereuses ; c) identifier les dangers dans les procédures d’exploitation, les flottes, les aéroports, les procédures

ATC, etc. ; d) surveiller l’efficacité des mesures de sécurité spécifiques prises ; e) réduire les coûts d’exploitation et de maintenance ; f) optimaliser les procédures de formation ; g) constituer un outil d’évaluation des performances pour les programmes de gestion des risques.

Exigence de l’OACI 16.3.11 L’Annexe 6, 1re Partie, contient des dispositions exigeant l’intégration des programmes FDA dans les SGS des exploitants. Les exploitants de gros aéronefs assurant des vols commerciaux internationaux sont tenus d’avoir un programme FDA non punitif contenant des garanties adéquates pour protéger la/les source(s) de données. Ils peuvent recourir aux services d’un sous-traitant spécialisé pour gérer ce programme.

À compter du 1er janvier 2005, les exploitants d’avions dont la masse maximale certifiée au décollage excède 27 000 kg établiront et maintiendront un programme d’analyse des données de vol dans le cadre de leur système de gestion de la sécurité des vols.

Annexe 6, 1re Partie, Chapitre 3

Utilisation d’un programme FDA 16.3.12 Généralement, les renseignements FDA sont utilisés pour : a) la détection de dépassements ;

Page 238: 9859 MANUEL SMS

16-6 Manuel de gestion de la sécurité (MGS)

b) des mesures de routine ; c) les enquêtes sur les incidents ; d) le maintien de la navigabilité ; e) le chaînage des bases de données (ou l’analyse intégrée de la sécurité). Détection de dépassements 16.3.13 Les programmes FDA peuvent être utilisés pour détecter des dépassements ou des événe-ments liés à la sécurité, tels que des écarts par rapport aux limites spécifiées dans le manuel de vol, aux SOP ou aux bonnes pratiques aéronautiques. Un ensemble d’événements clés (habituellement fourni par le vendeur de logiciel FDA en consultation avec l’exploitant/le constructeur) fixe les principaux centres d’intérêt des exploitants.

Exemples : Vitesse de rotation élevée au décollage, avertissement de décrochage, avertissement GPWS, dépassement de la vitesse maximale volets sortis, approche rapide, position trop basse/élevée par rapport à la trajectoire de descente, atterrissage dur.

16.3.14 L’analyse des données de vol fournit des renseignements utiles qui peuvent compléter les informations données dans les comptes rendus des équipages.

Exemples : Atterrissage avec volets réduits, descente d’urgence, panne de moteur, décollage interrompu, remise des gaz, avertissement du TCAS ou du GPWS, défaillances des systèmes.

16.3.15 Les compagnies peuvent aussi modifier l’ensemble standard d’événements clés (en fonction de l’accord passé avec leurs pilotes), pour tenir compte de situations exceptionnelles auxquelles les pilotes sont confrontés régulièrement, ou les SOP qu’elles utilisent.

Exemple : Pour éviter des comptes rendus de nuisance liés au non-respect d’un départ normalisé aux instruments (SID).

16.3.16 Elles peuvent aussi définir de nouveaux événements (avec l’accord des pilotes) pour résoudre des problèmes spécifiques.

Exemple : Restrictions portant sur l’utilisation de certains braquages des volets en vue d’accroître la durée de vie des composants.

16.3.17 Il faut veiller à ce que, pour éviter un dépassement, les équipages de conduite ne tentent de voler selon le profil FDA plutôt que de suivre les SOP. Ce genre de réaction pourrait rapidement aggraver la situation. Mesures de routine 16.3.18 On tend de plus en plus à conserver les données de tous les vols et pas seulement celles des vols ayant connu des événements majeurs. Un ensemble de paramètres sont sélectionnés en vue d’offrir une base suffisante pour pouvoir caractériser chaque vol et effectuer une analyse comparative d’un large spectre de variantes opérationnelles. Des tendances peuvent être mises en évidence avant l’obtention d’un nombre d’événements statistiquement significatif. Les tendances plus ou moins fortes qui émergent sont surveillées avant qu’elles n’aient atteint les seuils de déclenchement associés à des dépassements.

Page 239: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-7

Exemples de paramètres surveillés : la masse au décollage ; le braquage des volets ; la température ; les vitesses de rotation et de décollage par rapport aux vitesses types ; le taux et l’assiette de tangage pendant la rotation ; les vitesses, hauteurs et moments de rentrée du train.

Exemples d’analyses comparatives : comparaison des taux de tangage des avions à masse au décol-lage élevée et à masse au décollage basse ; approches dans de bonnes conditions météorologiques par rapport aux approches dans de mauvaises conditions ; touchers des roues sur piste longue par rapport aux touchers sur piste courte.

Enquêtes sur les incidents 16.3.19 Les données enregistrées fournissent de précieux renseignements pour assurer le suivi des incidents qui doivent être obligatoirement signalés et d’autres comptes rendus techniques. Des données enregistrées quantifiables ont été des compléments utiles à ajouter aux impressions et informations dont se souvenaient les équipages de conduite. Les données enregistrées donnent aussi une indication précise de l’état et de la performance des systèmes, ce qui peut constituer une aide pour déterminer les relations de cause à effet.

Exemples d’incidents où des données enregistrées pourraient être utiles : a) des urgences, telles que : 1) décollages interrompus à vitesse élevée ; 2) problèmes de commandes de vol ; 3) défaillances des systèmes ; b) une charge de travail élevée dans le poste de pilotage, corroborée par les indicateurs suivants : 1) une descente tardive ; 2) une interception tardive du radiophare d’alignement et/ou de la pente de descente ; 3) un important changement de cap sous une hauteur spécifique ; 4) une configuration d’atterrissage tardive ; c) des approches non stabilisées et précipitées, écarts d’alignement de descente, etc. ; d) des dépassements par rapport aux limites opérationnelles prescrites (telles que les vitesses maximales

volets sortis, les surchauffes des moteurs, les vitesses aérodynamiques, les conditions d’amorce de décrochage) ;

e) des rencontres de turbulences de sillage, un cisaillement du vent à bas niveau, des rencontres de

turbulences ou d’autres accélérations verticales.

Maintien de la navigabilité 16.3.20 Les données de routine et les données d’événements peuvent servir à soutenir la fonction de maintien de la navigabilité. Par exemple, les programmes de surveillance des moteurs tiennent compte des mesures de performance des moteurs pour déterminer l’efficacité opérationnelle et prédire les pannes imminentes.

Exemples d’utilisations pour le maintien de la navigabilité : mesures du niveau de poussée du moteur et de la traînée de la cellule ; avionique et autres modes de surveillance du fonctionnement des systèmes ; performance des commandes de vol ; utilisation des freins et du train d’atterrissage.

Page 240: 9859 MANUEL SMS

16-8 Manuel de gestion de la sécurité (MGS)

Analyse intégrée de la sécurité 16.3.21 Toutes les données recueillies dans le cadre d’un programme FDA devraient être conservées dans une base de données centrale, consacrée à la sécurité. En reliant cette base de données FDA à d’autres bases de données de sécurité (telles que les systèmes de comptes rendus d’incidents et les systèmes de comptes rendus de défectuosités techniques), il est possible d’obtenir une compréhension plus complète des événements par le recoupement de renseignements provenant de diverses sources. Il convient toutefois de veiller à garantir la confidentialité des renseignements FDA lorsqu’on relie ceux-ci à des données identifiées.

Exemple d’intégration : Un atterrissage dur donne lieu à un compte rendu d’équipage, ainsi qu’à un compte rendu d’événement FDA et à un rapport technique. Le compte rendu d’équipage fournit le contexte, l’événement FDA donne la description quantitative, et le rapport technique décrit le résultat.

16.3.22 L’intégration de toutes les sources disponibles de données concernant la sécurité donne au SGS de l’exploitant des informations viables sur le niveau général de sécurité de l’exploitation.

Équipement FDA 16.3.23 Les programmes FDA font généralement appel à des systèmes qui saisissent les données de vol, les transforment en un format approprié pour l’analyse et génèrent des rapports et représentations visuelles qui sont autant d’aides pour évaluer les données. Le niveau de sophistication des équipements est très variable. En général, toutefois, les capacités suivantes d’équipements sont requises pour garantir l’efficacité des programmes FDA :

a) un système embarqué de saisie et d’enregistrement des données sur une vaste gamme de paramètres en vol (tels que l’altitude, la vitesse anémométrique, le cap, l’assiette de l’aéronef et la configuration de l’aéronef) ;

b) un moyen de transférer les données enregistrées à bord de l’aéronef à une station de traitement des données au sol. Par le passé, ce transfert entraînait souvent le déplacement physique de l’unité de mémoire de l’enregistreur à accès rapide (QAR) (bande magnétique, disque optique ou semi-conducteurs). Pour réduire l’effort physique requis, des méthodes ultérieures de transfert ont fait appel aux technologies sans fil ;

c) un système informatique au sol (utilisant un logiciel spécialisé) pour analyser les données (de vols spécifiques et/ou les données consolidées de plusieurs vols), détecter les écarts par rapport aux performances attendues, produire des rapports pour faciliter l’interprétation des données de sortie, etc. ;

d) un logiciel facultatif offrant une capacité d’animation des vols afin d’intégrer toutes les données et de les présenter sous la forme d’une simulation en conditions de vol, ce qui facilite la visualisation des événements réels.

Équipements embarqués 16.3.24 Les aéronefs modernes à visualisation d’habitacle et à commandes de vol électriques sont équipés des bus numériques nécessaires permettant la saisie de données par un enregistreur aux fins d’analyse ultérieure. Des équipements enregistrant des paramètres supplémentaires peuvent être installés en rattrapage sur des aéronefs plus anciens. Toutefois, il est peu probable que des aéronefs anciens (non numériques) permettent l’enregistrement d’un nombre de paramètres suffisants pour soutenir un programme FDA viable.

Page 241: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-9

16.3.25 Le nombre de paramètres enregistrés par le FDR obligatoire peut être déterminant pour la portée d’un programme FDA. Malheureusement, dans certains cas, le nombre de paramètres à enregistrer et la capacité d’enregistrement requis par la loi aux fins d’enquêtes sur des accidents peuvent se révéler insuffisants pour appliquer un programme FDA efficace. C’est pourquoi beaucoup d’exploitants optent pour une capacité d’enregistrement supplémentaire, capable d’être facilement téléchargée pour analyse. 16.3.26 Enregistreurs à accès rapide (QAR). Des QAR sont installés dans l’aéronef et enregistrent les données de vol sur un support amovible à faible coût, tel qu’une cassette, un disque optique ou un support d’enregistrement à semi-conducteurs. L’enregistrement peut être retiré de l’aéronef après plusieurs vols. Des QAR utilisant de nouvelles technologies sont à même de traiter plus de 2 000 paramètres à des cadences d’échantillonnage beaucoup plus élevées que celles des FDR. Cette extension du cadre de données accroît sensiblement la résolution et la précision des sorties des programmes d’analyse au sol. 16.3.27 Pour éliminer la nécessité de retirer le support d’enregistrement du QAR afin de transférer les données de l’aéronef jusqu’à la station au sol, les systèmes plus récents téléchargent automatiquement les renseignements enregistrés via des systèmes sans fil sécurisés lorsque l’aéronef se trouve à proximité de la porte. Dans d’autres systèmes encore, les données enregistrées sont analysées à bord pendant le vol. Les données chiffrées sont ensuite transmises à une station au sol au moyen de communications par satellite. La composition de la flotte, la structure des routes et des considérations de coûts détermineront la méthode la plus rentable à utiliser pour retirer les données de l’aéronef. Équipements de lecture et d’analyse au sol 16.3.28 Les données sont téléchargées du système d’enregistrement de l’aéronef dans une unité de lecture et d’analyse basée au sol, où elles sont conservées dans un environnement sécurisé afin de protéger ces informations sensibles. Diverses plates-formes numériques, y compris des ordinateurs individuels en réseau, sont capables d’héberger les logiciels nécessaires pour lire les données enregistrées. Des logiciels de lecture sont disponibles sur le marché mais la plate-forme informatique requerra des interfaces frontales appropriées (habituellement fournies par les fabricants des enregistreurs) pour traiter la variété d’entrées enregistrées disponibles aujourd’hui. 16.3.29 Les programmes FDA génèrent de grandes quantités de données requérant des outils analy-tiques spécialisés. Ces outils, disponibles dans le commerce, facilitent l’analyse de routine des données de vol, qui permet de révéler des situations requérant des mesures correctrices. 16.3.30 Le logiciel d’analyse vérifie les données de vol téléchargées pour y rechercher les anomalies. Les logiciels de détection de dépassements comprennent généralement un grand nombre d’expressions logiques de bascule tirées d’une grande variété de sources, telles que les courbes de performances, les SOP, les données relatives à la performance fournies par le constructeur des moteurs, ainsi que la disposition de l’aérodrome et les critères d’approche. Les expressions logiques de bascule peuvent être de simples dépassements, tels que des valeurs critiques, mais il s’agit le plus souvent d’expressions composées qui définissent un certain régime de vol, une certaine configuration d’aéronef ou une certaine situation concernant la charge marchande. Les logiciels d’analyse peuvent aussi appliquer des ensembles de règles différents en fonction de l’aéroport ou de la géographie. Par exemple, des aéroports sensibles au bruit peuvent utiliser des alignements de descente plus élevés que la normale sur les trajectoires d’approche survolant des zones habitées. 16.3.31 Événements et mesures peuvent être affichés sur un écran d’ordinateur au sol sous divers formats. Les données de vol enregistrées sont habituellement affichées sous la forme de traces à codage en couleurs avec éléments techniques connexes, de simulations de poste de pilotage ou d’animations de la vue extérieure de l’aéronef.

Page 242: 9859 MANUEL SMS

16-10 Manuel de gestion de la sécurité (MGS)

Application pratique de l’analyse des données de vol Processus FDA 16.3.32 Généralement, les exploitants suivent un processus en circuit fermé lorsqu’ils appliquent un programme FDA, par exemple : a) Établissement d’une ligne de départ. Les exploitants commencent par établir une ligne de départ

précisant les paramètres opérationnels par rapport auxquels des changements peuvent être détectés et mesurés.

Exemples : Taux d’approches instables ou d’atterrissages durs.

b) Mise en évidence de circonstances inhabituelles ou dangereuses. L’utilisateur détermine lorsque

des circonstances non normalisées, inhabituelles ou essentiellement dangereuses se produisent ; en les comparant aux marges de sécurité de la ligne de départ, il est possible de quantifier les changements.

Exemple : Augmentations des approches instables (ou d’autres événements dangereux) en des endroits spécifiques.

c) Identification des tendances dangereuses. Des tendances peuvent être détectées sur la base de

la fréquence des événements. Outre une estimation du niveau de gravité, les risques sont évalués afin de déterminer lesquels pourraient devenir inacceptables si la tendance se poursuivait.

Exemple : Une nouvelle procédure a provoqué des vitesses élevées de descente, proches du seuil de déclenchement d’avertissements GPWS.

d) Atténuation du risque. Une fois qu’un risque inacceptable a été identifié, des mesures appropriées

d’atténuation du risque sont adoptées et mises en œuvre.

Exemple : Après la découverte de vitesses élevées de descente, les SOP sont modifiées afin d’améliorer la maîtrise de l’aéronef pour garantir des vitesses optimales/maximales de descente.

e) Suivi de l’efficacité. Une fois qu’une mesure correctrice a été mise en œuvre, le suivi de son effi-

cacité permet de confirmer qu’elle a réduit le risque identifié et que ce risque n’a pas été transféré ailleurs.

Exemple : Confirmer que d’autres mesures de sécurité sur le terrain d’aviation présentant des vitesses élevées de descente ne pâtissent pas des changements de procédures d’approche.

Analyse et suivi 16.3.33 Les renseignements FDA sont généralement recueillis sur une base mensuelle. Ils devraient ensuite être examinés par un groupe de travail, qui identifiera les dépassements spécifiques et l’émergence de tendances inopportunes et diffusera les informations aux équipages de conduite. 16.3.34 En cas de carences manifestes dans la technique de pilotage des pilotes, les informations sont désidentifiées afin de protéger l’identité de l’équipage de conduite. Les renseignements sur des dépas-sements spécifiques sont transmis à un représentant convenu des équipages de conduite afin que celui-ci

Page 243: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-11

ait une conversation confidentielle avec le pilote. Le représentant des pilotes fournit le contact nécessaire avec le pilote afin de clarifier les circonstances, d’obtenir des retours d’informations et de donner des conseils et recommandations sur des mesures appropriées, telles que des cours de recyclage pour le pilote (suivis dans une optique positive et non punitive), des révisions des manuels d’exploitation et des manuels de vol, des modifications des procédures ATC et des procédures opérationnelles de l’aéroport, etc. 16.3.35 L’examen des dépassements spécifiques est complété par un archivage de tous les événements dans une base de données, qui est utilisée pour trier, valider et afficher les données dans des rapports de gestion faciles à comprendre. Au fil du temps, ces données archivées peuvent brosser un panorama des tendances et dangers émergents qui, sinon, passeraient inaperçus. Lorsque l’apparition d’une tendance inopportune devient manifeste (dans une flotte ou lors d’une phase de vol particulière ou dans un aéroport spécifique), le département de la formation de la flotte peut mettre en œuvre des mesures pour inverser la tendance en modifiant des exercices de formation et/ou des procédures opérationnelles. Tout comme dans d’autres parties des opérations requérant des mesures, les données peuvent ensuite être utilisées pour confirmer l’efficacité de toute mesure adoptée. 16.3.36 Il peut être justifié d’inclure les leçons tirées du programme FDA dans les programmes de promotion de la sécurité de la compagnie. Toutefois, il faut veiller à ce que tout renseignement acquis via le programme FDA soit minutieusement désidentifié avant de l’utiliser dans toute initiative de formation ou de promotion. 16.3.37 Comme dans tout processus en circuit fermé, le contrôle du suivi est requis pour évaluer l’efficacité de toute mesure correctrice prise. Il est crucial de recevoir des informations en retour des équipages de conduite pour identifier et résoudre les problèmes de sécurité. Ces retours d’informations pourraient notamment comprendre des réponses aux questions suivantes : a) Les résultats escomptés sont-ils obtenus suffisamment tôt ? b) Les problèmes ont-ils été réellement corrigés ou seulement transférés dans une autre partie du

système ? c) De nouveaux problèmes ont-ils été introduits ? 16.3.38 Tous les succès et échecs devraient être enregistrés et il faudrait chaque fois comparer les objectifs planifiés du programme avec les résultats escomptés. Ainsi se crée une base permettant d’évaluer le programme FDA et de poursuivre le développement du programme.

Conditions d’efficacité des programmes FDA 16.3.39 Plusieurs conditions essentielles à la réussite des programmes FDA sont décrites ci-dessous. Protection des renseignements FDA 16.3.40 La direction des compagnies aériennes et les pilotes ont des inquiétudes légitimes au sujet de la protection des renseignements FDA, notamment en ce qui concerne : a) l’utilisation des renseignements à des fins disciplinaires ; b) l’utilisation des renseignements pour prendre des mesures coercitives à l’encontre d’individus ou de

la compagnie, sauf en cas d’acte délictueux ou de non-respect intentionnel de la sécurité ;

Page 244: 9859 MANUEL SMS

16-12 Manuel de gestion de la sécurité (MGS)

c) la divulgation de renseignements aux médias et au grand public en vertu des dispositions du droit national régissant l’accès à l’information ;

d) la divulgation de renseignements pendant un procès au civil. 16.3.41 L’intégrité des programmes FDA repose sur la protection des renseignements FDA. Toute divulgation à des fins autres que la gestion de la sécurité peut compromettre la fourniture volontaire de renseignements FDA, ce qui nuirait à la sécurité de l’aviation. Dès lors, il est de l’intérêt commun des États, des compagnies aériennes et des pilotes de prévenir tout usage abusif des renseignements FDA. La confiance : un élément essentiel 16.3.42 De même que la confiance établie entre la direction et ses pilotes est la clé de la réussite des systèmes de comptes rendus d’incidents, elle est aussi la pierre angulaire de la réussite d’un programme FDA. Cette confiance peut être facilitée par : a) une participation précoce de l’association des pilotes à la conception, à la mise en œuvre et au

fonctionnement du programme FDA ; b) un accord formel entre la direction et les pilotes, décrivant les procédures d’utilisation et de protection

des données (À l’Appendice 3 de ce chapitre figure un exemple d’accord entre une compagnie aérienne et ses équipages.) ;

c) l’optimalisation de la sécurité des données par : 1) le respect d’accords rigoureux passés avec les associations de pilotes ; 2) la limitation stricte de l’accès aux données à des individus sélectionnés au sein de la compagnie ; 3) le maintien d’un contrôle rigoureux afin de garantir que les données identifiantes soient supprimées

dès que possible des enregistrements des données de vol ; 4) la garantie que les problèmes opérationnels soient résolus promptement par la direction ; 5) la destruction, dès que possible, de toutes les données identifiées. 16.3.43 Pendant le suivi, l’accès aux renseignements relatifs à l’identité des membres d’équipage ne devrait être permis qu’à des personnes dûment autorisées et utilisé uniquement à des fins d’enquête. Après analyse, les renseignements permettant cette identification devraient être détruits. Nécessité d’une culture de la sécurité 16.3.44 Les programmes FDA fructueux se distinguent par une gestion cohérente et compétente. Voici quelques indicateurs d’une culture efficace de la sécurité : a) la direction a montré son engagement à promouvoir une culture proactive de la sécurité, à vivement

encourager la coopération et la responsabilisation à tous les niveaux de l’organisation et des associations aéronautiques (pilotes, équipages de cabine, AME, agents techniques d’exploitation, etc.) ;

Page 245: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-13

b) une politique non punitive au sein de la compagnie (Le principal objectif du programme FDA doit être de détecter des dangers, pas d’identifier les individus qui pourraient avoir commis un acte dangereux.) ;

c) la gestion du programme FDA est assurée par un membre spécifique du personnel appartenant au

département soit de la sécurité soit de l’exploitation et disposant d’un haut degré de spécialisation et d’un important soutien logistique ;

d) les risques potentiels sont identifiés par des personnes ayant les compétences appropriées, qui

établissent les corrélations entre les résultats de l’analyse (Par exemple, il faut des pilotes expéri-mentés sur le type d’aéronef analysé pour réaliser un diagnostic exact des dangers opérationnels ressortant des analyses des données de vol.) ;

e) l’accent est mis sur le suivi des tendances de la flotte qui émergent des données cumulatives de

nombreux vols plutôt que sur des événements spécifiques. L’identification de problèmes systémiques est plus intéressante pour la gestion de la sécurité que celle d’événements (parfois isolés) ;

f) un système bien structuré de désidentification des données protège la confidentialité de ces données ; g) un système de communication efficace permet de diffuser les informations relatives aux dangers (et

les évaluations ultérieures des risques) aux départements et services externes pertinents, afin que des mesures de sécurité puissent être prises à temps.

Mise en œuvre d’un programme FDA 16.3.45 En général, la mise en œuvre d’un programme FDA requiert l’exécution des étapes suivantes : a) mise en œuvre d’accords avec les associations de pilotes ; b) mise en place et vérification des procédures opérationnelles et de sécurité ; c) installation des équipements ; d) sélection et formation de membres du personnel dévoués et expérimentés, pour la mise en œuvre

du programme ; e) lancement de l’analyse et de la validation des données. 16.3.46 Compte tenu du temps requis pour conclure des accords entre direction et équipages et pour élaborer les procédures, une jeune compagnie aérienne n’ayant aucune expérience en FDA ne pourrait probablement pas avoir un système opérationnel en moins de douze mois. Il faudra peut-être une deuxième année avant que n’apparaissent les premiers avantages en termes de sécurité et de coûts. Des amélio-rations des logiciels d’analyse ou l’utilisation de fournisseurs externes de services spécialisés peuvent raccourcir ces délais. 16.3.47 L’intégration du programme FDA et d’autres systèmes de contrôle de la sécurité dans un SGS cohérent accroîtra les retombées positives potentielles. Les informations liées à la sécurité recueillies à partir d’autres programmes du SGS replacent les renseignements FDA dans leur contexte. Le programme FDA, quant à lui, peut fournir des informations quantitatives utiles à des enquêtes qui, sinon, se baseraient sur des rapports subjectifs moins fiables.

Page 246: 9859 MANUEL SMS

16-14 Manuel de gestion de la sécurité (MGS)

Buts et objectifs d’un programme FDA 16.3.48 Définir les objectifs du programme. Comme pour tout projet, il est nécessaire de définir l’orientation et les objectifs du travail. Il est recommandé d’adopter une approche graduelle afin de jeter les bases d’éventuelles expansions ultérieures dans d’autres domaines. L’utilisation d’une approche modulaire permettra expansion, diversification et évolution par l’expérience.

Exemple : Un système modulaire permet de se limiter dans un premier temps aux questions de sécurité de base. On pourra ajouter le contrôle de l’état des moteurs, etc., au cours de la deuxième phase. Il faudra veiller à assurer la compatibilité avec d’autres systèmes.

16.3.49 Fixer les objectifs. Un ensemble d’objectifs progressifs, commençant par la lecture des données de la première semaine pour ensuite passer aux premiers rapports de production puis à l’analyse de routine régulière, permettra de donner une impression de progression à mesure que les objectifs intermédiaires seront atteints.

Exemples :

Objectifs à court terme :

a) élaborer les procédures de téléchargement des données, tester les logiciels de lecture et repérer les défectuosités des aéronefs ;

b) valider et examiner les données relatives aux dépassements ;

c) établir un format de rapport de routine acceptable pour les utilisateurs, qui mette en évidence les dépassements spécifiques et facilite l’acquisition de statistiques pertinentes.

Objectifs à moyen terme :

a) rédiger un rapport annuel — y inclure les indicateurs clés de performance ;

b) ajouter d’autres modules d’analyse (par ex. le maintien de la navigabilité) ;

c) préparer l’ajout de la prochaine flotte dans le programme.

Objectifs à long terme :

a) mettre en réseau les renseignements FDA avec tous les systèmes d’information sur la sécurité de la compagnie ;

b) veiller à insérer l’analyse des données de vol dans toute proposition de programme avancé de

formation ; c) utiliser la surveillance d’état et d’utilisation pour réduire les stocks des rechanges. 16.3.50 Dans un premier temps, le ciblage de quelques aspects intéressants connus permettra de prouver l’efficacité du système. Par rapport à une approche « tous azimuts », non dirigée, une approche ciblée sera probablement plus susceptible de porter des fruits rapidement.

Exemples : Des approches précipitées ou des pistes en mauvais état sur certains aérodromes ; une consommation anormale de carburant sur certains segments de vol ; etc. L’analyse de ce type de problèmes connus peut générer des informations utiles pour l’analyse d’autres aspects.

Page 247: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-15

L’équipe d’analyse des données de vol 16.3.51 L’expérience a montré que la taille de l’« équipe » nécessaire pour gérer un programme FDA pouvait varier d’une personne pour une petite flotte (cinq aéronefs) à une section spécifique pour de grandes flottes. Diverses fonctions à remplir sont décrites ci-dessous mais toutes ne nécessitent pas l’affectation d’une personne à temps plein. Par exemple, le service technique pourrait ne fournir qu’un soutien à temps partiel. • Chef d’équipe. Les chefs d’équipe doivent gagner la confiance et le soutien total à la fois de la

direction et des équipages de conduite. Ils travaillent indépendamment des cadres hiérarchiques en vue d’émettre des recommandations qui seront perçues par tous comme ayant un haut degré d’intégrité et d’impartialité. La personne qui occupe ce poste doit avoir de bonnes compétences en analyse, présentation et gestion.

• Interprète des données relatives aux opérations aériennes. Cette personne est habituellement

un pilote en fonction (ou un commandant de bord ou un instructeur retraité depuis peu), qui connaît le réseau de routes et les aéronefs de la compagnie. Sa connaissance approfondie des SOP, des caractéristiques de conduite des aéronefs, des terrains d’aviation et des routes sera utilisée pour replacer les renseignements FDA dans un contexte crédible.

• Interprète des données techniques. Cette personne interprète les données FDA relatives aux

aspects techniques de l’exploitation des aéronefs et connaît bien les besoins d’informations des départements des groupes motopropulseurs, des structures et des systèmes et tous les autres programmes de suivi technique utilisés par la compagnie aérienne.

• Représentant des équipages de conduite. Cette personne fournit le lien entre les directeurs de la

flotte ou de la formation et les équipages de conduite concernés par les événements mis en évidence par le programme FDA. Cette fonction requiert de bonnes aptitudes en relations humaines et une attitude positive vis-à-vis de la formation à la sécurité. Cette personne est normalement un représentant de l’association des pilotes et elle devrait être la seule personne autorisée à relier les renseignements d’identification avec l’événement. Le représentant des pilotes doit, par son intégrité et la sûreté de son jugement, gagner la confiance des membres d’équipage et des directeurs.

• Assistant d’ingénierie et de soutien technique. Cette personne est habituellement un spécialiste

de l’avionique qui participe à la supervision des exigences minimales de fonctionnement des systèmes FDR. Ce membre de l’équipe doit maîtriser l’analyse des données de vol et les systèmes connexes, nécessaires pour appliquer le programme.

• Coordonnateur de la sécurité aérienne. Cette personne recoupe les renseignements FDA avec

d’autres programmes de contrôle de la sécurité aérienne (tels que le programme obligatoire ou confidentiel de comptes rendus d’incidents de la compagnie et le LOSA) afin de replacer toutes les informations dans un contexte intégré, crédible. Cette fonction peut réduire les répétitions d’enquêtes de suivi.

• Agent chargé de la gestion et du fonctionnement du programme. Cette personne est chargée

de la gestion quotidienne du système, de l’élaboration des rapports et des analyses. Méthodique et ayant quelques connaissances de l’environnement opérationnel général, cette personne assure le bon fonctionnement du programme.

16.3.52 Tous les membres de l’équipe FDA devront avoir la formation ou l’expérience nécessaires pour leurs domaines respectifs d’analyse des données. Chaque membre de l’équipe doit se voir attribuer un

Page 248: 9859 MANUEL SMS

16-16 Manuel de gestion de la sécurité (MGS)

temps réaliste à consacrer régulièrement à des tâches d’analyse des données de vol. Si les ressources humaines disponibles sont insuffisantes, l’ensemble du programme produira des résultats décevants, voire échouera. Systèmes FDA de série 16.3.53 Les QAR disponibles sur la plupart des gros aéronefs modernes peuvent être analysés sur un système de lecture et d’analyse présentant la configuration adéquate. Bien que les exploitants eux-mêmes puissent configurer les diverses équations d’événements et niveaux de dépassement, les fournisseurs de logiciels de lecture au sol offrent des systèmes de base et des programmes FDA avancés pour toute une gamme de types d’aéronefs différents. Il n’est généralement pas rentable pour de nouveaux exploitants de configurer eux-mêmes des systèmes FDA, même si la plupart des fournisseurs sont disposés à étudier la pertinence et les niveaux des bascules d’événements avec tout nouvel exploitant. 16.3.54 Certains constructeurs d’aéronefs soutiennent activement les programmes FDA concernant leurs aéronefs. Ils fournissent aux compagnies aériennes des mallettes comprenant outils et logiciels, manuels d’information sur leurs méthodes et procédures FDA et une aide complémentaire pour les exploitants qui appliquent leur programme. (Ils considèrent que le partage de données et d’informations fournies par la compagnie aérienne est un moyen d’améliorer leurs aéronefs, leurs SOP et leur formation.) 16.3.55 La plupart des vendeurs de systèmes offrent une année de maintenance et d’assistance technique à l’achat du système mais facturent ensuite des frais annuels. En outre, des candidats acheteurs devront tenir compte d’autres facteurs de coût, tels que : a) les frais d’installation ; b) les frais de formation ; c) les frais de mise à jour des logiciels (souvent inclus dans les contrats de maintenance) ; d) d’autres frais de licence de logiciels qui pourraient être nécessaires. 16.3.56 Les programmes FDA sont souvent classés parmi les systèmes de sécurité les plus onéreux en termes d’investissement initial, de licences de logiciels et d’exigences en personnel. En réalité, ils peuvent épargner à la compagnie des frais énormes grâce à la réduction du risque d’accidents majeurs, à l’amélioration des normes opérationnelles, à l’identification de facteurs externes ayant une incidence sur l’exploitation et à l’amélioration des programmes de suivi technique.

16.4 PROGRAMME D’AUDIT DE SÉCURITÉ EN SERVICE DE LIGNE (LOSA)

Introduction 16.4.1 Comme nous l’avons déjà dit, les conséquences négatives du comportement humain peuvent être gérées de façon proactive. Les dangers peuvent être détectés, analysés et validés sur la base des renseignements recueillis par le biais de la surveillance des opérations quotidiennes. Les audits de sécurité en service de ligne (LOSA) constituent une des méthodes de surveillance des opérations aériennes ordinaires à des fins de sécurité. Les programmes LOSA fournissent donc un autre instrument de gestion proactive de la sécurité.

Page 249: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-17

16.4.2 À l’instar des programmes FDA, le LOSA facilite l’identification des dangers par l’analyse des performances réelles en vol. Alors que la FDA fournit des données précises sur les dépassements par rapport aux performances attendues de l’aéronef, le LOSA apporte des informations sur la combinaison des performances systémiques et humaines. Il facilite la compréhension du contexte dans lequel s’est produite la performance qui peut avoir précipité un dépassement. 16.4.3 Le LOSA est un outil qui permet de comprendre les erreurs humaines commises au cours d’opérations aériennes. Il est utilisé pour identifier les menaces pour la sécurité de l’aviation qui mènent à des erreurs humaines, pour réduire au minimum les risques que de telles menaces pourraient engendrer et pour mettre en œuvre des mesures destinées à gérer ces erreurs dans le contexte opérationnel. Grâce au LOSA, les exploitants peuvent évaluer leur résistance aux risques opérationnels et aux erreurs commises par le personnel de première ligne. En s’appuyant sur une approche guidée par les données, ils peuvent classer ces risques par ordre de priorité et identifier les mesures à prendre pour réduire le risque d’accidents. 16.4.4 L’observation des opérations aériennes quotidiennes normales permet de recueillir des données sur les performances des équipages de conduite et sur les facteurs situationnels. Ainsi, le LOSA facilite la compréhension à la fois des bonnes performances et des défaillances. Les dangers découlant d’erreurs opérationnelles peuvent être identifiés et des contre-mesures efficaces peuvent être élaborées. 16.4.5 Le LOSA utilise des observateurs expérimentés et formés spécialement pour recueillir des données sur les performances des équipages de conduite et sur les facteurs situationnels sur des vols « normaux ». Pendant les vols audités, les observateurs enregistrent les circonstances induisant des erreurs et les réactions de l’équipage à ces circonstances. Les audits sont effectués dans des conditions strictement non punitives, sans crainte que des mesures disciplinaires viennent sanctionner les erreurs détectées. Les équipages de conduite ne sont pas tenus de justifier leurs actes. 16.4.6 Les données du LOSA fournissent aussi une photographie de l’exploitation du système qui peut guider des stratégies en matière de gestion de la sécurité, de formation et d’exploitation. Tout comme pour les programmes FDA, les renseignements recueillis par le biais du LOSA peuvent constituer une riche source d’informations pour l’identification proactive de dangers systémiques pour la sécurité. Une des grandes qualités du LOSA réside dans sa capacité à repérer des exemples de performances exceptionnelles qui peuvent être soulignés et utilisés comme modèles dans le cadre des formations. (Traditionnellement, l’industrie recueillait des informations sur les comportements humains défaillants et revoyait les programmes de formation en fonction de ces informations.) Avec le LOSA, les interventions de formation peuvent être basées sur les meilleures performances opérationnelles. Par exemple, sur la base des données LOSA, la formation CRM peut être modifiée pour intégrer les meilleures pratiques de gestion de conditions dangereuses spécifiques et pour gérer des erreurs typiques liées à ces conditions.

Rôle de l’OACI 16.4.7 L’OACI approuve le LOSA en tant que moyen de surveiller les opérations aériennes normales. Elle soutient les initiatives de l’industrie aéronautique dans le domaine du LOSA en agissant en tant que partenaire facilitateur du programme. Le rôle de l’OACI couvre les aspects suivants : a) promouvoir l’importance du LOSA au sein de la communauté de l’aviation civile internationale ; b) faciliter la recherche dans le but de recueillir les données nécessaires ; c) agir en tant que médiateur dans les aspects culturellement sensibles de la collecte des données.

Page 250: 9859 MANUEL SMS

16-18 Manuel de gestion de la sécurité (MGS)

16.4.8 L’OACI a publié un manuel, Audit de sécurité en service de ligne (LOSA) (Doc 9803), afin de donner aux exploitants des éléments indicatifs sur les programmes LOSA.

Terminologie Menaces 16.4.9 Au cours de vols normaux, les équipages sont régulièrement confrontés à des circonstances externes qu’ils doivent gérer. Ces circonstances accroissent la complexité opérationnelle de leur tâche et constituent un certain risque pour la sécurité. La gravité de ces menaces peut varier sur toute la gamme, depuis les niveaux relativement bénins (par exemple l’encombrement des fréquences) jusqu’aux menaces majeures (telles qu’une alarme incendie moteur). 16.4.10 Certaines menaces sont prévisibles (telles qu’une importante charge de travail pendant l’approche) et l’équipage peut s’y préparer à l’avance, par exemple : « Dans le cas d’une remise des gaz… ». D’autres menaces sont imprévisibles. Comme elles se produisent sans avertissement, aucun briefing préalable n’est possible (par exemple, un avis TCAS). Erreurs 16.4.11 L’erreur est une composante normale de tout comportement humain. Les erreurs commises par les équipages de conduite tendent à réduire la marge de sécurité et à augmenter la probabilité d’accidents. Heureusement, les humains utilisent généralement très efficacement les mécanismes permettant d’atteindre un équilibre entre les exigences conflictuelles de la production et de la sécurité. 16.4.12 Toute action ou toute absence d’action de l’équipage de conduite qui entraîne des écarts par rapport au comportement attendu est considérée comme une erreur. Les erreurs de l’équipage peuvent se définir en termes de non-conformité aux règlements et aux procédures d’exploitation normalisées (SOP) ou en termes d’écarts inattendus par rapport aux attentes de la compagnie ou de l’ATC. Les erreurs peuvent être mineures (afficher une altitude erronée puis la corriger rapidement) ou majeures (omettre un point essentiel d’une liste de vérification). 16.4.13 Le LOSA repose sur cinq catégories d’erreurs d’équipage, à savoir : a) Erreur de communication : communication erronée, mauvaise interprétation ou défaut de commu-

niquer des renseignements pertinents entre les membres de l’équipage ou entre l’équipage et un agent externe (par exemple l’ATC ou le personnel d’exploitation au sol) ;

b) Erreur de compétence : manque de connaissances ou d’aptitudes psychomotrices (pilotage) ; c) Erreur de décision opérationnelle : erreur dans le processus de décision qui, n’étant pas norma-

lisée par les règlements ou les procédures d’exploitation, compromet cependant inutilement la sécurité (par exemple, une décision de l’équipage de traverser une zone connue de cisaillement du vent, lors d’une approche, au lieu de la contourner) ;

d) Erreur de procédure : écart de conformité aux règlements et/ou aux procédures d’exploitation.

L’intention était bonne mais l’exécution mauvaise. Cette catégorie inclut également les erreurs dues à un oubli de la part de l’équipage ;

Page 251: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-19

e) Erreur de non-conformité intentionnelle : écart délibéré par rapport aux règlements et/ou aux procédures d’exploitation (par ex. infractions).

Gestion des menaces et des erreurs 16.4.14 Comme les menaces et les erreurs font partie intégrante des opérations aériennes quotidiennes, il faut en acquérir une compréhension systématique pour pouvoir les gérer en toute sécurité. Le LOSA offre une perspective éclairée sur les menaces et les erreurs, qui permet d’élaborer des stratégies appropriées d’adaptation. Les données quantifiables du LOSA sont particulièrement utiles pour répondre à des questions telles que : a) Quelles menaces les équipages rencontrent-ils le plus fréquemment ? Où et quand se manifestent-

elles et quels sont les types de menaces les plus difficiles à gérer ? b) Quelles sont les erreurs les plus souvent commises par les équipages et quelles sont celles qui sont

les plus difficiles à gérer ? c) Quelles sont les répercussions des erreurs mal gérées ? Combien de ces erreurs aboutissent à une

situation d’aéronef « indésirable » (par ex. approche finale rapide/lente) ? d) Existe-t-il des différences importantes entre les aéroports, les flottes aériennes, les routes ou les

phases des vols en termes de menaces et d’erreurs ? Contre-mesures systémiques 16.4.15 Partant du principe que l’erreur est inévitable, les contre-mesures les plus efficaces dépassent la simple tentative de prévenir les erreurs. Elles doivent mettre en évidence les circonstances dangereuses suffisamment tôt pour permettre aux équipages de conduite de prendre les mesures correctrices avant que l’erreur n’entraîne des conséquences néfastes. En d’autres termes, elles « piègent » l’erreur. 16.4.16 Les contre-mesures les plus efficaces tentent d’améliorer l’environnement de travail quotidien dans lequel les équipages de conduite sont confrontés aux menaces inévitables à la sécurité des vols et elles donnent aux équipages une « deuxième chance » de corriger leurs erreurs. De telles contre-mesures systémiques comprennent des changements dans la conception des aéronefs, dans la formation des équipages, dans les procédures opérationnelles de la compagnie, dans les décisions de gestion, etc.

Définition des caractéristiques du LOSA 16.4.17 Les caractéristiques suivantes du LOSA assurent l’intégrité de sa méthodologie et de ses données : a) Observations de type « siège de service » au cours de vols ordinaires : les observations LOSA

se limitent aux vols réguliers (contrairement aux vérifications de compétence en route ou à d’autres vols d’entraînement). Des pilotes inspecteurs ne feraient qu’aggraver le niveau de stress déjà élevé, ce qui donnerait une image déformée des performances. Les meilleurs observateurs apprennent à passer inaperçus et à ne pas intimider, n’enregistrant que des détails minimums dans le poste de pilotage.

Page 252: 9859 MANUEL SMS

16-20 Manuel de gestion de la sécurité (MGS)

b) Soutien combiné de la direction et des pilotes : pour qu’un LOSA soit un succès en tant que programme de sécurité viable, il est essentiel que la direction et les pilotes appuient le projet. Leur soutien combiné assure au projet un juste équilibre, qui garantira que tout changement nécessaire sera effectué sur la base des renseignements LOSA obtenus. Tout comme la mise en œuvre d’un programme FDA fructueux, un audit LOSA ne pourra être mené sans l’approbation des pilotes, obtenue via un accord conclu avec la direction. Un comité directeur LOSA, constitué de repré-sentants des pilotes et de la direction partage la responsabilité de planifier, programmer et soutenir les observateurs et de vérifier les données.

c) Participation volontaire des équipages : il est extrêmement important de maintenir l’intégrité du

programme LOSA chez un transporteur aérien pour en assurer le succès à long terme. Une façon d’y arriver consiste à recueillir toutes les observations avec la participation volontaire des équipages. Avant d’effectuer des observations LOSA, l’observateur doit d’abord obtenir la permission de l’équipage à observer. Si un transporteur aérien qui effectue un LOSA reçoit un nombre inhabituel de refus des équipages à observer, il peut en déduire l’existence de problèmes critiques de confiance, qu’il faudra résoudre en premier lieu.

d) Collecte uniquement de données désidentifiées et confidentielles, relatives à la sécurité : les

observateurs LOSA ne notent ni les noms, ni les numéros de vol, dates ou autres informations susceptibles de permettre l’identification de l’équipage. Cette discrétion assure un haut niveau de protection contre les mesures disciplinaires. Les compagnies aériennes ne devraient pas gâcher une opportunité d’obtenir un aperçu de leurs activités d’exploitation en faisant craindre aux pilotes qu’une observation LOSA puisse être utilisée contre eux dans des procédures disciplinaires. En d’autres termes, le LOSA ne doit pas seulement être perçu comme non punitif ; il doit être non punitif.

e) Observations ciblées : toutes les données sont recueillies sur le formulaire d’observation LOSA

spécialement élaboré à cette fin. (Des exemples de formulaires sont inclus dans le Doc 9803.) Généralement, les types d’informations suivants sont recueillis par l’observateur LOSA :

1) données démographiques sur le vol et l’équipage, par exemple villes reliées, type d’avion, durée

du vol, années d’expérience dans la compagnie et à ce poste et connaissance mutuelle des membres de l’équipage ;

2) description écrite de ce que l’équipage a bien fait, de ce qu’il a fait médiocrement et de la façon

dont il a géré les menaces ou erreurs au cours de chaque phase du vol ; 3) évaluation des performances en CRM (gestion des ressources en équipage) à l’aide de

marqueurs validés de comportement ; 4) feuille de notes techniques pour les phases de descente/approche/atterrissage, soulignant le

type d’approche suivi, identifiant la piste d’atterrissage et indiquant si l’équipage a bien respecté les paramètres d’approche stabilisée ;

5) feuille de travail sur la gestion des menaces décrivant en détail chaque menace et la manière

dont elle a été traitée ; 6) feuille de travail sur la gestion des erreurs dressant la liste des erreurs observées et décrivant la

façon dont chaque erreur a été traitée, ainsi que le résultat final ; 7) interview des membres de l’équipage au cours des périodes peu chargées du vol, par exemple,

en croisière, pour demander aux pilotes quelles sont leurs suggestions pour améliorer la sécurité, la formation et les opérations en vol.

Page 253: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-21

f) Des observateurs fiables, entraînés et compétents : avant tout, les observateurs sont des pilotes de ligne, des pilotes instructeurs, des pilotes de sécurité, des pilotes d’encadrement, etc. Des obser-vateurs LOSA expérimentés d’une compagnie aérienne n’ayant aucun lien avec le transporteur seront peut-être plus objectifs et peuvent servir de point d’ancrage aux observateurs du transporteur, surtout lorsque ce dernier introduit un nouveau programme LOSA. Indépendamment de la source, il est crucial que les observateurs jouissent du respect et de la confiance nécessaires pour garantir que le LOSA sera accepté par les pilotes de ligne. Les observateurs doivent être formés aux concepts de gestion des menaces et des erreurs et à l’utilisation des formulaires d’évaluation LOSA. Une évaluation normalisée est vitale pour assurer la validité du programme.

g) Centre fiable de conservation des données : pour garantir la confidentialité des données, les

transporteurs aériens doivent disposer d’un centre fiable de conservation des données. Aucune observation ne peut être détournée ou indûment diffusée dans la compagnie aérienne sans compromettre l’intégrité du LOSA. Certaines compagnies aériennes recourent à une « tierce partie » neutre pour assurer une analyse objective des résultats.

h) Tables rondes sur la vérification des données : les programmes fondés sur des données,

comme le LOSA, exigent des procédures de gestion de la qualité des données et des vérifications d’uniformité. Dans le cas du LOSA, des tables rondes réunissant des représentants de la direction et des associations de pilotes passent en revue les données brutes, à la recherche d’anomalies. Il faut valider la cohérence et la précision de la base de données avant de pouvoir procéder à l’analyse statistique.

i) Objectifs d’améliorations dérivés des données : au fil de la collecte et de l’analyse des données,

des tendances se font jour. Certaines erreurs se produisent plus fréquemment que d’autres, certains aéroports ou activités présentent plus de problèmes que d’autres, certaines SOP sont ignorées ou modifiées et certaines manœuvres posent des difficultés spécifiques. Ces tendances deviennent des objectifs d’améliorations. La compagnie aérienne élabore ensuite un plan d’action et met en œuvre les stratégies de changement appropriées en recourant aux experts disponibles au sein de la compagnie. Des audits LOSA ultérieurs permettront de mesurer l’efficacité des changements.

j) Communication des résultats aux pilotes de ligne : à la clôture d’un LOSA, l’équipe de direction

de la compagnie aérienne et l’association des pilotes ont l’obligation de communiquer les résultats aux pilotes de ligne. Ceux-ci désireront voir non seulement les résultats mais aussi le plan d’amélio-ration dressé par la direction.

Processus de changement pour la sécurité 16.4.18 Comme d’autres outils de gestion des risques, un changement pour la sécurité exige un processus en boucle fermée : détection et analyse des problèmes, élaboration des stratégies, fixation des priorités, mise en œuvre des mesures correctrices et suivi de l’efficacité pour identifier tout problème résiduel. 16.4.19 Le LOSA attire l’attention de l’organisation sur les problèmes de sécurité les plus importants dans les opérations quotidiennes. Toutefois, il ne fournit pas de solutions; celles-ci doivent découler des stratégies organisationnelles. L’organisation doit évaluer les données LOSA obtenues, identifier les dangers qui posent les plus gros risques pour l’organisation, puis prendre les mesures nécessaires pour y remédier. Le LOSA ne peut réaliser son plein potentiel que s’il existe un désir et une volonté de la part de l’organisation d’agir en fonction des leçons tirées du LOSA. Si elles ne donnent pas lieu à la prise de mesures de sécurité dignes de ce nom, les données LOSA rejoindront les énormes banques de données relatives à la sécurité, inutilisées, déjà disponibles dans la communauté de l’aviation civile internationale.

Page 254: 9859 MANUEL SMS

16-22 Manuel de gestion de la sécurité (MGS)

16.4.20 Voici quelques stratégies types de changement pour la sécurité à prendre par des compagnies aériennes à la suite d’un audit LOSA :

a) redéfinir les philosophies et lignes directrices opérationnelles ;

b) modifier les procédures existantes ou en appliquer de nouvelles ;

c) prévoir une formation spécifique en gestion des menaces et erreurs et en contre-mesures à la disposition des équipages ;

d) revoir les listes de vérification pour s’assurer de la pertinence de leur contenu, puis diffuser des lignes directrices claires en vue de leur mise en œuvre et exécution ;

e) définir les tolérances en matière d’approche stabilisée, par opposition aux paramètres d’« approche parfaite » décrits dans les SOP existantes.

16.4.21 Les premiers succès du LOSA ont été surtout perceptibles dans les domaines suivants :

a) amélioration de la gestion des erreurs par les équipages de conduite ;

b) réduction des erreurs dans l’exécution des listes de vérification ;

c) réduction des approches non stabilisées.

Application du LOSA 16.4.22 Entreprendre un audit LOSA est une initiative majeure de sécurité, qui ne peut être menée à la légère. Si le LOSA convient très bien à de grandes compagnies aériennes ayant des SGS qui ont déjà fait leurs preuves, il est de plus en plus adopté par des transporteurs de taille moyenne à petite. Comme pour la réussite des programmes de formation en FDA et CRM, les connaissances et l’expérience de spécialistes sont requises pour concevoir et conduire un LOSA efficace. 16.4.23 Les organisations qui souhaitent appliquer un programme LOSA devraient consulter le manuel Audit de sécurité en service de ligne (LOSA) (Doc 9803) et une compagnie aérienne ayant l’expérience de l’application du LOSA. En particulier, il est essentiel d’organiser une formation officielle à la méthodologie et à l’utilisation des outils spécialisés du LOSA et au traitement des données hautement sensibles recueillies. 16.4.24 Comme le soutien de toutes les parties est requis pour assurer la réussite du programme LOSA, des représentants des départements des opérations aériennes, de la formation et de la sécurité ainsi que des représentants de l’association des pilotes devraient se rencontrer dès le début et se mettre d’accord sur des points tels que :

a) les exigences opérationnelles du LOSA et la probabilité de conduire un audit fructueux ;

b) les objectifs du programme ;

c) les ressources disponibles pour guider la conduite de l’audit ;

d) la création d’un comité directeur du LOSA chargé de collaborer à la planification et de contribuer à faire accepter le programme par le personnel (notamment celui des départements des opérations aériennes, de la formation, de la sécurité, ainsi que l’association des pilotes, cette liste n’étant pas imitative) ;

Page 255: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-23

e) le département approprié qui devrait être chargé de la gestion du programme (par exemple, le département de la sécurité) ;

f) la sélection et la formation d’observateurs crédibles ; g) la fixation d’un calendrier, la définition des préoccupations ciblées (par ex. les approches stabilisées),

la flotte couverte, etc. ; h) les protocoles à suivre par les équipages de conduite et les observateurs ; i) les protocoles de protection des données ; j) le processus d’analyse ; k) les exigences formelles de compte rendu ; l) la communication des résultats ; m) le processus de mise en œuvre des changements nécessaires pour réduire ou éliminer les dangers

identifiés. 16.4.25 Les meilleurs résultats sont obtenus lorsque le LOSA est appliqué dans un environnement de confiance. Les pilotes de ligne doivent être convaincus qu’il n’y aura aucune répercussion au niveau individuel, sinon leur comportement ne reflétera pas la réalité quotidienne et le LOSA ne sera guère plus qu’une version approfondie de la vérification de compétence en route. À cet égard, il peut être instructif de lire le protocole d’accord présenté à l’Appendice 3 de ce chapitre, au sujet du programme FDA.

16.5 PROGRAMME DE SÉCURITÉ EN CABINE

Généralités 16.5.1 La sécurité en cabine a pour objectif de réduire au minimum les risques encourus par les occupants des aéronefs. En réduisant ou éliminant les dangers pouvant entraîner des lésions corporelles ou des dommages matériels, le programme de sécurité en cabine vise à fournir un environnement plus sûr aux occupants des aéronefs. 16.5.2 La gamme de menaces pour l’aéronef et ses occupants comprend les éléments suivants : a) turbulences en vol ; b) fumée ou feu dans la cabine ; c) décompression ; d) atterrissages d’urgence ; e) évacuations d’urgence ; f) passagers indisciplinés.

Page 256: 9859 MANUEL SMS

16-24 Manuel de gestion de la sécurité (MGS)

16.5.3 L’environnement et les conditions de travail des équipages de cabine sont influencés par divers aspects de la performance humaine, susceptibles de modifier la façon dont les équipages de cabine réagissent à des menaces, erreurs et autres situations indésirables. Certaines des questions de performance humaine les plus courantes touchant la performance des équipages de cabine sont décrites brièvement à l’Appendice 4 de ce chapitre. 16.5.4 Les équipages de cabine sont généralement les seuls représentants de la compagnie aérienne que les passagers voient à bord de l’avion. Du point de vue des passagers, les équipages de cabine sont là pour fournir un service en vol. Du point de vue de la direction, le rôle des équipages de cabine est peut-être davantage de créer une image favorable de la compagnie. D’un point de vue réglementaire et opérationnel, les équipages de cabine sont présents dans la cabine pour gérer les situations inopportunes qui pourraient survenir dans la cabine de l’aéronef et pour donner conseils et assistance aux passagers en cas d’urgence. 16.5.5 À la suite d’un accident majeur d’aviation, l’attention des enquêteurs se portera probablement d’abord sur les opérations de conduite. Ensuite, en fonction des éléments de preuve, l’enquête peut s’étendre à d’autres aspects. L’événement déclencheur d’un accident commence rarement dans la cabine passagers. Toutefois, une réaction inappropriée des équipages de cabine à des événements survenant dans la cabine peut avoir des conséquences plus graves. Par exemple :

a) chargement incorrect des passagers (par ex. paramètres de poids et d’équilibre) ;

b) incapacité de sécuriser adéquatement la cabine et les offices avant le décollage et l’atterrissage et en cas de turbulences ;

c) réaction tardive à des avertissements (par ex. turbulences en vol) ;

d) réaction inappropriée à des événements survenant dans la cabine (par ex. des courts-circuits électriques, de la fumée, des émanations ou un feu dans un four) ;

e) omission de signaler des observations importantes (telles que des fuites de fluides, ou des ailes couvertes de neige ou de glace) à l’équipage de conduite.

16.5.6 Une bonne partie des activités de routine des équipages de cabine étant centrées sur le service cabine, un effort supplémentaire est requis pour garantir que le service cabine ne soit pas fourni au détriment des responsabilités premières, relatives à la sécurité des passagers. Il est crucial que la formation et les procédures opérationnelles destinées aux équipages de cabine abordent l’ensemble complet des questions susceptibles d’avoir des incidences sur la sécurité.

Exigences de l’OACI 16.5.7 Bien que l’OACI n’exige pas de licence pour les équipages de cabine, le Chapitre 12 de l’Annexe 6 — Exploitation technique des aéronefs précise les exigences concernant :

a) les fonctions attribuées en cas d’urgence ;

b) le rôle pendant les évacuations d’urgence ;

c) l’utilisation des équipements d’urgence ;

d) les temps limites de vol et de période de service de vol ;

e) la formation.

Page 257: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-25

16.5.8 Les exploitants sont tenus d’instaurer et de poursuivre un programme de formation approuvé (recyclages réguliers compris), qui devra être mené à bien par toutes les personnes avant que celles-ci ne puissent être désignées comme membres d’équipage de cabine. Cette formation vise à assurer la compétence des équipages de cabine pour faire face à des situations d’urgence. 16.5.9 Le document Rédaction d’un manuel d’exploitation (Doc 9376) donne des éléments indicatifs supplémentaires pour la formation des équipages de cabine, notamment : a) la formation conjointe avec les équipages de conduite pour la gestion des urgences ; b) la formation pour pouvoir aider l’équipage de conduite (équipage de deux pilotes) en cas d’incapacité

soudaine de l’équipage de conduite. 16.5.10 Le manuel Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806) fournit aussi des éléments indicatifs sur la formation aux facteurs humains liés aux fonctions de sécurité dans la cabine passagers, y compris la coordination entre équipage de conduite et équipage de cabine. 16.5.11 La Circulaire intitulée Facteurs humains, Étude n°15 — Les facteurs humains dans la sécurité de la cabine (Cir 300) donne des éléments indicatifs sur les facteurs humains dans les équipes en mettant l’accent sur le travail dans l’environnement de la cabine. D’autres chapitres abordent les aspects relatifs à la communication et à la coordination ainsi qu’au traitement des événements anormaux. Manuel de sécurité de vol de l’exploitant (OFSH) — Compendium sur la sécurité en cabine 16.5.12 Reconnaissant le défi que pose la mise en place d’un programme de sécurité en cabine, plusieurs grands exploitants et représentants clés de l’industrie aéronautique ont élaboré une approche systématique de la gestion de la sécurité en cabine. Le Compendium sur la sécurité en cabine annexé au Manuel de sécurité de vol de l’exploitant (OFSH) étend les systèmes de gestion de la sécurité à la cabine. Ce Compendium documente les pratiques de sécurité qui ont fait leurs preuves dans le monde. Non seulement il décrit les procédures de sécurité de routine et d’urgence, mais il comprend aussi plusieurs appendices contenant des documents de référence, des exemples de listes de vérification, des listes d’équipements minimums, etc.

Gestion de la sécurité en cabine Engagement 16.5.13 La fourniture d’un service cabine peut être perçue comme une fonction de marketing ou de service à la clientèle ; toutefois, la sécurité en cabine est manifestement une fonction opérationnelle. La politique de la compagnie doit refléter ce fait et la direction ne doit pas se limiter aux paroles lorsqu’il s’agit de prouver sa volonté de garantir la sécurité en cabine. Parmi les indicateurs habituels de l’engagement de la direction envers la sécurité en cabine, citons : a) l’affectation de ressources suffisantes (effectifs adéquats pour les postes d’équipages de cabine,

formation initiale et continue, installations de formation, etc.) ; b) définition claire des responsabilités, y compris l’établissement, le suivi et l’application de SOP

concrètes pour la sécurité ; c) encouragement d’une culture positive de la sécurité.

Page 258: 9859 MANUEL SMS

16-26 Manuel de gestion de la sécurité (MGS)

Culture positive de la sécurité 16.5.14 La mise en place d’une culture positive de la sécurité pour les équipages de cabine commence au niveau de l’organisation du département. Si, comme dans beaucoup de compagnies aériennes, les équipages de cabine reçoivent leurs principales instructions du département du marketing plutôt que de celui des opérations aériennes, la sécurité en cabine ne figurera pas en tête de leurs priorités. Parmi les autres aspects à envisager pour promouvoir une culture positive de la sécurité, citons : a) la relation entre l’équipage de conduite et l’équipage de cabine, notamment : 1) l’esprit de coopération, marqué par le respect et la compréhension mutuels ; 2) des communications efficaces entre l’équipage de conduite et l’équipage de cabine1 ; 3) des révisions régulières des SOP pour garantir la compatibilité entre les procédures du poste de

pilotage et celles de la cabine ; 4) des briefings prévol communs pour l’équipage de conduite et l’équipage de cabine ; 5) des débriefings communs à la suite d’événements liés à la sécurité, etc. ; b) la participation des équipages de cabine à la gestion de la sécurité : 1) participation du directeur de la sécurité aux questions relatives à la sécurité en cabine ; 2) possibilités d’offrir des conseils et connaissances spécialisés sur la sécurité en cabine (réunions

du comité de sécurité, etc.) ; 3) participation à l’élaboration des politiques, des objectifs et des SOP concernant la sécurité en

cabine ; 4) participation au système de comptes rendus d’incidents de la compagnie, etc. SOP, listes de vérification et briefings 16.5.15 Comme pour les opérations du poste de pilotage, la sécurité en cabine exige un respect strict de SOP concrètes et bien conçues, y compris l’utilisation de listes de vérification et les briefings des équipages de cabine. Les procédures couvrent entre autres les aspects suivants : embarquement des passagers ; attribution des places ; rangement des bagages à main ; accessibilité et disponibilité des issues de secours ; briefing de sécurité des passagers ; rangement et utilisation des équipements de service ; rangement et utilisation des équipements médicaux d’urgence (oxygène, défibrillateur, trousse de premiers secours, etc.) ; traitement des urgences médicales ; rangement et utilisation des équipements d’urgence non médicaux (extincteurs, inhalateurs protecteurs, etc.) ; procédures d’urgence en vol (fumée, feu, etc.) ; annonces de l’équipage de cabine ; procédures en cas de turbulences (y compris la sécurisation de la cabine) ; traitement des passagers indisciplinés ; évacuations d’urgence ; débarquement de routine.

1. Comme les mesures de sécurité exigent la fermeture à clé de la porte du poste de pilotage pendant le vol, un effort supplémentaire

est nécessaire pour maintenir des communications efficaces à bord entre l’équipage de conduite et l’équipage de cabine.

Page 259: 9859 MANUEL SMS

Chapitre 16. Exploitation technique des aéronefs 16-27

16.5.16 Les Procédures pour les services de navigation aérienne — Exploitation technique des aéronefs (PANS-OPS, Doc 8168) comprennent des éléments indicatifs sur les SOP, les listes de vérification et les briefings des équipages. Le Compendium sur la sécurité en cabine du Manuel de sécurité de vol de l’exploitant (OFSH) comprend aussi des éléments indicatifs pour la mise en place de procédures sûres tant pour les opérations normales que pour les opérations d’urgence. Compte rendu de danger et d’incident2 16.5.17 Les équipages de cabine doivent être capables de rendre compte de dangers, d’incidents ou de préoccupations relatives à la sécurité quand ils les remarquent, sans crainte de se mettre dans l’embarras ou d’être la cible d’accusations ou de mesures disciplinaires. Les équipages de cabine, leurs supérieurs hiérarchiques et le DS ne devraient avoir aucun doute sur : a) les types de dangers dont il faut rendre compte ; b) les mécanismes appropriés de compte rendu ; c) la sécurité de leur emploi (après avoir rendu compte d’une préoccupation relative à la sécurité) ; d) toute mesure de sécurité prise à la suite de la détection de dangers. Formation à la sécurité en cabine 16.5.18 Les équipages de cabine ont des tâches et responsabilités liées à la sécurité et leur formation devrait clairement refléter ce fait. Bien que la formation ne puisse jamais recréer tous les types de situations auxquels les équipages de cabine puissent être confrontés, elle peut transmettre les connaissances, aptitudes, attitudes de base et la confiance qui permettront aux équipages de cabine de traiter les situations d’urgence. La formation des équipages de cabine devrait dès lors comprendre : a) un cours d’initiation couvrant la théorie de base sur le vol, la météorologie, la physiologie du vol, la

psychologie du comportement des passagers, la terminologie de l’aviation, etc. ; b) une formation pratique (si possible au moyen de simulateurs de cabine pour les exercices feu/fumée

en cabine et les exercices d’évacuation) ; c) un contrôle en cours de vol (formation en cours d’emploi) ; d) des recyclages et réévaluations annuels ; e) des connaissances et aptitudes en CRM, y compris les activités de coordination avec l’équipage de

conduite ; f) des exercices communs de formation avec les équipages de conduite pour s’entraîner aux procé-

dures utilisées en vol et pour les évacuations d’urgence ; g) une familiarisation à la fonction et à l’utilisation de certains aspects du SGS de la compagnie (tels

que les comptes rendus de dangers et d’incidents) ; etc.

2. Le Chapitre 7 fournit des éléments indicatifs sur la mise en place et l’utilisation de systèmes de comptes rendus d’incidents.

Page 260: 9859 MANUEL SMS

16-28 Manuel de gestion de la sécurité (MGS)

16.5.19 En cas d’urgence, le savoir-faire des équipages de cabine sera requis quasiment sur-le-champ. Une formation efficace à la sécurité pour les équipages de cabine exige donc une pratique régulière afin de conserver la promptitude nécessaire en cas d’urgence. 16.5.20 Le Manuel d’instruction (Doc 7192), Partie E-1 — Formation du personnel commercial de bord à la sécurité, concerne la formation à la sécurité des équipages de cabine. Normes de sécurité en cabine 16.5.21 Les inspections de sécurité, enquêtes de sécurité et audits de sécurité sont des outils qui peuvent être utilisés pour garantir le maintien des normes requises de sécurité en cabine. Une fois qu’un exploitant est certifié, les normes de sécurité en cabine peuvent être confirmées par un programme permanent d’inspections : a) inspections de l’aéronef (par ex. issues de secours, équipements de secours et offices) ; b) inspections prévol (aire de trafic) ; c) inspections en vol de la cabine (par ex. briefings des passagers et démonstrations, briefings de

l’équipage et utilisation des listes de vérification, communications entre les membres d’équipage, discipline et conscience de la situation) ;

d) inspections de la formation (par ex. installations, qualité de la formation et dossiers) ; e) inspections des bases d’exploitation (par ex. affectation des équipages, régulation des vols,

système de comptes rendus d’incidents de sécurité et réaction à de tels incidents), etc. 16.5.22 Le programme d’audits de sécurité interne de la compagnie devrait s’étendre au département des équipages de cabine. Le processus d’audit devrait comprendre un examen de toutes les opérations dans la cabine ainsi qu’un audit des procédures de sécurité en cabine, de la formation, du manuel des équipages de cabine, etc.

— — — — — — — —

Page 261: 9859 MANUEL SMS

16-APP 1-1

Appendice 1 au Chapitre 16

EXEMPLE DE POLITIQUE D’ENTREPRISE CONCERNANT LES COMPTES RENDUS NON PUNITIFS DE DANGERS

POLITIQUE NON PUNITIVE DE COMPTE RENDU DE LA COMPAGNIE XYZ 1. La compagnie aérienne XYZ s’engage à appliquer les normes d’exploitation des vols les plus sûres possible. À cette fin, il est impératif que nous recevions des comptes rendus libres et francs de tous les incidents et événements susceptibles de compromettre la sécurité de nos opérations. Dès lors, il incombe à chaque membre du personnel de communiquer toute information qui puisse avoir une incidence sur l’intégrité de la sécurité des vols. Ce type de communication doit être totalement libre de toute forme de rétorsion. 2. La compagnie aérienne XYZ ne prendra aucune mesure disciplinaire à l’encontre de tout membre du personnel qui signale un incident ou un événement lié à la sécurité des vols. La présente politique ne s’applique pas aux informations que la compagnie reçoit d’une source autre que le membre du personnel ou qui concernent un acte illicite ou un mépris délibéré ou volontaire des règlements ou des procédures promulguées. 3. La responsabilité première de la sécurité des vols incombe aux cadres hiérarchiques mais la sécurité des vols est l’affaire de tout un chacun. 4. Notre méthode de collecte, d’enregistrement et de diffusion des informations obtenues à partir des rapports de sécurité aérienne (ASR) a été élaborée de façon à protéger, dans les limites permises par la loi, l’identité de tout membre du personnel qui fournit des informations relatives à la sécurité des vols. 5. Je prie instamment tout le personnel d’utiliser notre programme de sécurité des vols pour aider la compagnie XYZ à se hisser au premier rang en tant que compagnie offrant le niveau de sécurité des vols le plus élevé à sa clientèle et à son personnel. Signature : _________________________________ Président et Directeur général

— — — — — — — —

Page 262: 9859 MANUEL SMS
Page 263: 9859 MANUEL SMS

16-APP 2-1

Appendice 2 au Chapitre 16

EXEMPLES DE POINTS À SIGNALER À UN SYSTÈME DE COMPTES RENDUS D’ÉVÉNEMENTS

D’UNE COMPAGNIE AÉRIENNE

Voici une liste des types d’occurrences ou d’événements liés à la sécurité à communiquer dans le cadre du système de comptes rendus d’incidents de la compagnie. Cette liste n’est ni exhaustive ni classée par ordre d’importance. (Le signalement de certains points peut être obligatoire en vertu des lois ou règlements nationaux.) • Toute défectuosité du système qui a une incidence négative sur la conduite ou l’exploitation de

l’aéronef ; • Une alarme fumée ou feu, y compris l’activation des détecteurs de fumée des toilettes et les

incendies dans les offices ; • Une urgence est déclarée ; • L’aéronef est évacué via les issues/toboggans de secours ; • Les équipements ou les procédures de sécurité sont défectueux, inadéquats ou usagés ; • De graves carences dans la documentation d’exploitation ; • Un chargement incorrect de carburant, de fret ou de marchandises dangereuses ; • Un écart important par rapport aux SOP ; • Une remise des gaz est effectuée à une altitude inférieure à 1 000 ft ; • Un moteur est coupé ou tombe en panne dans quelque phase du vol que ce soit ; • Des dégâts se produisent au sol ; • Un décollage est interrompu après passage à la puissance de décollage ; • L’aéronef quitte la piste ou la voie de circulation ou toute aire de stationnement ; • Une erreur de navigation entraînant une importante déviation par rapport à la route ; • Un écart d’altitude de plus de 500 ft se produit ; • Une approche non stabilisée sous les 500 ft ; • Le dépassement des paramètres limites pour la configuration de l’aéronef ;

Page 264: 9859 MANUEL SMS

16-APP 2-2 Manuel de gestion de la sécurité (MGS)

• Une panne ou détérioration du système de communications ; • Un avertissement de décrochage se produit ; • Activation du GPWS ; • Une vérification après atterrissage dur est requise ; • Conditions de surface dangereuses, par ex. verglas, neige fondante et mauvais freinage ; • L’aéronef atterrit en n’ayant plus que son carburant de réserve ou moins ; • Réception d’un RA du TCAS ; • Un grave incident ATC, par ex. un quasi-abordage, une incursion sur piste et une autorisation ATC

incorrecte ; • De graves turbulences de sillage, turbulences, cisaillements du vent ou autres phénomènes

météorologiques sévères ; • Des membres d’équipage ou des passagers deviennent gravement malades, sont blessés ou sont

frappés d’incapacité soudaine ou décèdent ; • Des passagers violents, armés ou en état d’ivresse ou auxquels il faut appliquer des dispositifs

de contrainte ; • Violation des procédures de sécurité ; • Impacts d’oiseaux ou dommages causés par un corps étranger (FOD) ; • Tout autre événement considéré comme susceptible d’avoir un effet sur la sécurité ou sur

l’exploitation de l’aéronef.

— — — — — — — —

Page 265: 9859 MANUEL SMS

16-APP 3-1

Appendice 3 au Chapitre 16

EXEMPLE DE PROTOCOLE D’ACCORD ENTRE UNE COMPAGNIE AÉRIENNE ET UNE ASSOCIATION

DE PILOTES POUR L’APPLICATION D’UN PROGRAMME D’ANALYSE DES DONNÉES DE VOL (FDA)

1. CONTEXTE

Le programme d’analyse des données de vol, PROGRAMME FDA, fait partie intégrante du système de gestion de la sécurité de LA COMPAGNIE. Les données de vol enregistrées peuvent contenir des renseignements susceptibles d’améliorer la sécurité des vols mais susceptibles aussi, en cas d’usage abusif, d’être préjudiciables aux membres d’équipages ou à la compagnie aérienne dans son ensemble. Le présent document décrit les protocoles qui permettront de tirer de ces données les meilleurs avantages en termes de sécurité tout en répondant au besoin de la compagnie d’être perçue comme gérant la sécurité et en garantissant simultanément un traitement équitable au personnel. Le PROGRAMME FDA est conforme à l’esprit de l’instruction permanente numéro X (SIN X) de LA COMPAGNIE — « Compte rendu d’incident de sécurité » — puisque « L’objectif d’une enquête sur tout accident ou incident est d’établir les faits et la cause et de prévenir ainsi toute nouvelle occurrence. L’objectif n’est pas de désigner des coupables ou des responsables. » Le PROGRAMME FDA est également conforme à l’esprit de l’Annexe 6 (1re Partie, Chapitre 3) : « Les programmes d’analyse des données de vol ne seront pas punitifs et contiendront des garanties adéquates pour protéger les sources de données ».

2. INTENTIONS GÉNÉRALES 2.1 Tant LA COMPAGNIE que L’ASSOCIATION DES PILOTES reconnaissent depuis longtemps que

pour tirer le meilleur parti possible d’un PROGRAMME FDA, il faut travailler à l’amélioration de la sécurité des vols dans un esprit de coopération mutuelle. Un ensemble rigide de règles peut, dans certains cas, devenir une entrave ou une contrainte, voire aller à l’encontre du but recherché. La préférence est donnée à un système dans lequel les personnes participant au PROGRAMME FDA sont libres d’explorer de nouvelles voies par consentement mutuel, en gardant toujours à l’esprit que le PROGRAMME FDA est un programme de sécurité, pas un programme disciplinaire. En l’absence de règles rigides, le maintien du succès d’un PROGRAMME FDA dépend de la confiance mutuelle, confiance qui a toujours été une caractéristique clé du programme.

2.2 L’objectif principal de la surveillance des données opérationnelles de vols par le PROGRAMME FDA est d’améliorer la sécurité des vols. Dès lors, l’intention de toute mesure correctrice prise

Page 266: 9859 MANUEL SMS

16-APP 3-2 Manuel de gestion de la sécurité (MGS)

après la mise en évidence d’un problème par le PROGRAMME FDA est d’apprendre le plus possible afin :

a) de prévenir une répétition du problème ; b) d’accroître nos connaissances opérationnelles générales. 2.3 L’intention générale est que les problèmes révélés par le PROGRAMME FDA soient, dans la

mesure du possible, résolus sans identification des équipages concernés. Toutefois, dans certains cas, il se peut que l’anonymat ne soit pas approprié et le présent document énonce des protocoles à suivre dans de tels cas, afin de respecter SIN X.

2.4 Il est admis que LA COMPAGNIE doit vérifier les mesures prises à la suite d’enquêtes menées

dans le cadre du PROGRAMME FDA. Cette vérification sera menée au sein de LA COMPAGNIE selon des modalités qui satisfont aux exigences de LA COMPAGNIE et elle ne sera pas incluse dans les dossiers des membres d’équipages.

2.5 Il est aussi prévu que des données de vol enregistrées soient fournies à des tierces parties (AAC,

FAA, universités, constructeurs, etc.) à des fins de recherche sur la sécurité des vols. L’ASSOCIATION DES PILOTES sera informée de chaque fourniture de telles données et si les données doivent être identifiées pour être utiles (c’est-à-dire qu’elles doivent pouvoir être liées à un vol spécifique), LA COMPAGNIE conviendra avec L’ASSOCIATION DES PILOTES des conditions de confidentialité auxquelles ces données seront fournies.

3. COMPOSITION

La composition et les responsabilités du groupe d’enregistrement des données de vol (le « groupe du PROGRAMME FDA ») sont définies dans le FCO Y. Le groupe se réunit une fois par mois. Il se compose des membres suivants :

— le président (directeur des opérations aériennes du PROGRAMME FDA) ; — un représentant de la section de la formation de chaque flotte ; — un représentant de l’enregistrement des données de vol (service technique) ; — un représentant du service de soutien technique des vols ; — un analyste des données de vol du département des opérations aériennes ; — des représentants de L’ASSOCIATION DES PILOTES (actuellement deux représentants

court-courriers et un représentant long-courrier).

La composition et les responsabilités du groupe de travail sur l’enregistrement des données opérationnelles de vols sont définies dans le FCO Y. Le Groupe se réunit tous les deux mois. Il se compose des membres suivants :

— le président (directeur des opérations aériennes du PROGRAMME FDA) ; — un analyste des données de vol du département des opérations aériennes ; — un directeur de l’enregistrement des données de vol (service technique) ; — un représentant du service de soutien technique des vols ; — un représentant des services de sécurité ; — un représentant du groupe de la sécurité de l’AAC ; — un représentant de L’ASSOCIATION DES PILOTES.

Page 267: 9859 MANUEL SMS

Chapitre 16. Exploitation aérienne — Appendice 3 16-APP 3-3

4. TRAITEMENT 4.1 Portée

Cette section concerne les « événements » découverts par l’application de routine du PROGRAMME FDA. Si un pilote dépose un rapport de sécurité aérienne (ASR) ou signale un événement à son directeur, la responsabilité de mener une enquête incombe à la flotte, bien que le groupe du PROGRAMME FDA puisse offrir son aide. Dans ce cas, le pilote est, bien entendu, identifié.

4.2 La liste ci-dessous énumère certaines des mesures de suivi possibles, utilisables pour enquêter sur

un problème révélé par le PROGRAMME FDA. Elle n’a pas la prétention d’être exhaustive et n’exclut aucune autre action, convenue entre LA COMPAGNIE et L’ASSOCIATION DES PILOTES, qui soit conforme aux intentions générales énoncées ci-dessus.

LA COMPAGNIE, représentée par le directeur des opérations aériennes du PROGRAMME FDA et le représentant de la flotte siégeant au PROGRAMME FDA, et L’ASSOCIATION DES PILOTES, représentée par le représentant compétent de L’ASSOCIATION DES PILOTES, discuteront et conviendront entre elles du choix de l’action la plus appropriée à des circonstances spécifiques.

Un directeur de flotte peut demander des mesures de suivi. Il adressera sa requête au représentant de sa flotte siégeant au PROGRAMME FDA, qui consultera le directeur des opérations aériennes du PROGRAMME FDA et le représentant compétent de l’ASSOCIATION DES PILOTES, comme stipulé ci-dessus.

4.2.1 Il peut être demandé à L’ASSOCIATION DES PILOTES de téléphoner aux membres

d’équipage pour un débriefing de l’« événement ». La nature de cet appel peut aller de louanges pour une situation bien gérée, à un rappel de la procédure d’exploitation normalisée concernée, en passant par une demande de plus amples informations sur l’événement et ses causes.

La direction de la flotte peut demander que des questions ou points spécifiques soient soumis aux pilotes pendant cet/ces appel(s).

Dans ce cas, les pilotes restent non identifiés et un compte rendu de débriefing sera conservé conformément à la Section 5 du présent accord.

4.2.2 Il peut être demandé à L’ASSOCIATION DES PILOTES de contacter un pilote qui a un taux

supérieur à la moyenne d’événements détectés par le PROGRAMME FDA, afin de conseiller ce pilote et de rechercher toute raison sous-jacente.

Dans ce cas aussi, la direction de la flotte peut demander que des questions ou points spécifiques soient soumis aux pilotes pendant cet/ces appel(s).

Dans ce cas aussi, les pilotes restent non identifiés et un compte rendu de débriefing sera conservé conformément à la Section 5 du présent accord.

4.2.3 Les enquêtes évoquées aux § 4.2.1 et 4.2.2 ci-dessus peuvent signaler qu’il ne sera peut-

être pas possible de clore le dossier sans que d’autres mesures soient prises. Voici des exemples de mesures supplémentaires possibles :

— le dépôt d’un ASR — voir le § 4.2.4 ci-dessous ;

Page 268: 9859 MANUEL SMS

16-APP 3-4 Manuel de gestion de la sécurité (MGS)

— une demande que le pilote parle directement à la direction de la flotte — voir le § 4.2.5 ci-dessous ;

— une exigence que le pilote suive une formation pour maîtriser à nouveau la norme

requise dans un domaine particulier — voir le § 4.2.6 ci-dessous. 4.2.4 Si l’« événement » mérite manifestement le dépôt d’un ASR, mais qu’aucun ASR n’a été

remis, il peut être demandé à L’ASSOCIATION DES PILOTES d’inviter le(s) pilote(s) à en déposer un.

Un ASR déposé dans ces circonstances sera traité comme s’il avait été déposé au moment de l’événement.

4.2.5 Il peut être demandé à L’ASSOCIATION DES PILOTES d’inviter un pilote à un débriefing

mené par la direction de la flotte. Si le pilote accepte, il sera considéré comme ayant signalé l’événement de lui-même, de sorte que le paragraphe 10.1 de SIN X est d’application : « Il ne relève normalement pas de la politique de LA COMPAGNIE d’entreprendre une procédure disciplinaire en réaction au signalement de tout incident relatif à la sécurité des vols. »

Un compte rendu d’un tel débriefing sera envoyé au pilote concerné et une copie sera conservée par LA COMPAGNIE, conformément à la Section 5 du présent document.

Si le pilote décline l’invitation susmentionnée, le débriefing par L’ASSOCIATION DES PILOTES sera poursuivi jusqu’à ce que le dossier puisse être clos. Un compte rendu de ce débriefing sera conservé conformément à la Section 5 du présent document.

4.2.6 Il peut être demandé à un pilote de suivre le recyclage qui peut être jugé nécessaire

après consultation de la flotte concernée. LA COMPANIE organisera cette formation et L’ASSOCIATION DES PILOTES agira en tant qu’intermédiaire entre LA COMPAGNIE et le pilote.

Un compte rendu de cette formation sera envoyé au pilote concerné et une copie sera conservée par LA COMPAGNIE, conformément à la Section 5 du présent document.

4.3 Si un événement ou une série d’événements est considéré comme suffisamment grave pour avoir

mis en danger l’aéronef ou ses occupants, il sera demandé à L’ASSOCIATION DES PILOTES de lever l’anonymat des pilotes. L’ASSOCIATION DES PILOTES reconnaît que, dans l’intérêt de la sécurité des vols, elle ne peut fermer les yeux sur des comportements déraisonnables, négligents ou dangereux de la part de pilotes et elle accédera normalement à ce genre de demande.

La levée de l’anonymat sera effectuée par le représentant le plus ancien de l’ASSOCIATION DES PILOTES, après consultation avec le président de L’ASSOCIATION DES PILOTES. Le repré-sentant le plus ancien de L’ASSOCIATION DES PILOTES notifiera au pilote la procédure de levée de l’anonymat et lui signalera qu’il ou elle peut être accompagné(e) d’un représentant de L’ASSOCIATION DES PILOTES à tout entretien ultérieur.

Si le Département des opérations aériennes de LA COMPAGNIE et L’ASSOCIATION DES PILOTES ne peuvent s’accorder sur le fait qu’un événement est suffisamment grave pour justifier une levée d’anonymat, une décision finale sera prise par une personne désignée. Cette personne sera soit le directeur de la sécurité de LA COMPAGNIE ou un autre cadre supérieur désigné de LA COMPAGNIE et il/elle se verra confirmé(e) dans ce rôle par L’ASSOCIATION DES PILOTES, qui réaffirmera son acceptabilité chaque année.

Page 269: 9859 MANUEL SMS

Chapitre 16. Exploitation aérienne — Appendice 3 16-APP 3-5

4.4 Mépris délibéré des SOP

Si l’on découvre, par le biais du PROGRAMME FDA uniquement, qu’un pilote a délibérément fait fi des SOP de LA COMPAGNIE, ce pilote sera soumis à la procédure suivante :

— Si la transgression des SOP n’a pas mis en danger l’aéronef ou ses occupants, le

débriefing peut être effectué par le représentant de L’ASSOCIATION DES PILOTES, ce qui préservera l’anonymat du pilote ; mais le pilote recevra une lettre contenant un avertissement clair qu’une deuxième violation entraînera une levée d’anonymat.

— Si la transgression des SOP a réellement mis en danger l’aéronef et ses occupants, LA

COMPAGNIE demandera la levée de l’anonymat selon la procédure énoncée au § 4.3 ci-dessus.

4.5 Si un pilote ne coopère pas avec L’ASSOCIATION DES PILOTES au sujet des dispositions du

présent accord, LA COMPAGNIE recevra l’approbation de L’ASSOCIATION DES PILOTES pour prendre la responsabilité de contacter ce pilote et entreprendre toute action ultérieure.

L’ASSOCIATION DES PILOTES rappellera à ce pilote que la SIN X contient l’avertissement suivant : « Si un membre du personnel ne signale pas un incident lié à la sécurité qu’il a causé ou découvert, il s’exposera à des mesures disciplinaires complètes. »

5. CLÔTURE DU DOSSIER

La plupart des événements découverts via le PROGRAMME FDA ne sont pas suffisamment graves pour justifier des mesures de suivi et sont donc automatiquement « clos ». Les événements requérant des mesures de suivi sont considérés comme « ouverts » et ne seront clos que lorsque les mesures de suivi seront terminées.

LA COMPAGNIE tiendra un dossier de tous les événements nécessitant des mesures. Pour chacun de ces événements, les mesures prises seront consignées, ainsi que la date de clôture. Ce dossier sera conservé dans la base de données du PROGRAMME FDA en regard de l’événement même.

Aucun document n’en sera conservé dans les dossiers des pilotes.

Une lettre sera envoyée par la direction de la flotte à chaque pilote ayant participé aux mesures de suivi, à moins que la mesure de suivi se soit limitée à un débriefing par téléphone réalisé par le représentant de L’ASSOCIATION DES PILOTES pour un événement unique. Cette lettre mentionnera le problème d’origine, la discussion qui a eu lieu et/ou la mesure prise et le résultat escompté.

Cette lettre ne sera pas adressée au nom du pilote mais sera remise à L’ASSOCIATION DES PILOTES pour transmission au pilote concerné.

Contenu du dossier repris dans la BASE DE DONNÉES DU PROGRAMME FDA (FPD) :

Les éléments suivants seront repris dans les fichiers de la FPD en regard de l’événement même :

a) un compte rendu de tout débriefing téléphonique réalisé par L’ASSOCIATION DES

PILOTES ;

Page 270: 9859 MANUEL SMS

16-APP 3-6 Manuel de gestion de la sécurité (MGS)

b) un compte rendu de tout débriefing réalisé par la direction de la flotte ;

c) une copie de toute lettre envoyée au pilote ;

d) un compte rendu de tout recyclage donné au pilote ;

e) tout autre document pertinent.

Le dossier ne contiendra rien qui puisse permettre d’identifier le pilote par son nom.

Publicité du dossier et identité du pilote :

Le niveau d’accès de la direction des opérations aériennes à la FPD révélera uniquement qu’une action est « ouverte » ou « close » pour chaque événement — le dossier de l’action réelle n’est pas visible. Il est impossible de relier les événements à un vol ou à un pilote particulier.

Le niveau d’accès du directeur des opérations aériennes du PROGRAMME FDA à la FPD révélera les actions réelles menées et permettra d’associer un pilote, par son numéro de PROGRAMME FDA à 5 chiffres, à cet événement. L’identité réelle du pilote n’est pas disponible.

L’accès du représentant de L’ASSOCIATION DES PILOTES à la FPD est le même que celui du directeur des opérations aériennes du PROGRAMME FDA, mais le représentant de L’ASSOCIATION DES PILOTES dispose en outre d’un disque de décodage afin d’identifier un pilote à partir de son numéro de PROGRAMME FDA à 5 chiffres.

Il incombe au directeur des opérations aériennes du PROGRAMME FDA de détecter, dans un délai raisonnable, les pilotes ayant plus d’une action mentionnée en regard de leur numéro de PROGRAMME FDA à 5 chiffres et de signaler ce fait à la flotte.

6. DEMANDE DE DONNÉES LIÉES À LA SÉCURITÉ (SDR)

Les données de vol relatives aux 15 premières et 15 dernières minutes de chaque vol sont enre-gistrées dans une base de données appelée SDR. Ces données sont disponibles pour consultation par un directeur des opérations aériennes si et seulement si :

a) un ASR a été déposé pour cette portion de ce vol, ou

b) le commandant de bord de ce vol a donné sa permission explicite pour que ces données soient consultées.

Pour pouvoir consulter les données dans la SDR, le directeur des opérations aériennes doit indiquer, dans la SDR même, la raison de la consultation de ces données. Cette raison est enregistrée dans chaque cas et les représentants de L’ASSOCIATION DES PILOTES peuvent consulter ces enregistrements.

7. CONSERVATION DES DONNÉES

Pour chaque événement détecté par le PROGRAMME FDA, la FPD enregistre les données de vol brutes qui peuvent être consultées sous forme de traces ou d’animations des instruments. En outre, la FPD enregistre des renseignements, non consultables par la direction des opérations aériennes,

Page 271: 9859 MANUEL SMS

Chapitre 16. Exploitation aérienne — Appendice 3 16-APP 3-7

qui identifient le vol (date et immatriculation) et le pilote (par son numéro de PROGRAMME FDA à 5 chiffres).

Ces données et renseignements sont nécessaires pour analyser l’événement et pour suivre, de façon anonyme pendant un certain temps, les taux d’événements des différents pilotes.

Par ailleurs, la SDR enregistre quelques données de vol brutes de chaque vol, comme le décrit la Section 6 ci-dessus.

LA COMPAGNIE ne conservera pas ces données plus longtemps que nécessaire et effacera en tout cas toutes les données de vol et tous les moyens d’identifier les vols et les équipages dans les deux ans suivant le vol.

Pour les vols de plus de deux ans, la base de données du PROGRAMME FDA (FPD) conservera un fichier des événements du PROGRAMME FDA dont toutes les données d’identification du vol et de l’équipage auront été supprimées.

8. ACCÈS DES REPRÉSENTANTS DE L’ASSOCIATION DES PILOTES AUX INFORMATIONS CONFIDENTIELLES

Pour remplir les obligations découlant du PROGRAMME FDA, le représentant de L’ASSOCIATION DES PILOTES devra avoir accès à des informations qui sont confidentielles pour LA COMPAGNIE et peuvent relever de la Loi sur la protection des données relatives à la vie privée. Un représentant désigné devra signer un accord de confidentialité qui précise les conditions auxquelles les infor-mations reçues de LA COMPAGNIE peuvent être utilisées. S’il enfreint les clauses de cet accord, il sera suspendu de ses fonctions au sein du groupe du PROGRAMME FDA et pourra faire l’objet de procédures disciplinaires de la part de LA COMPAGNIE.

Pour contacter le membre d’équipage concerné par un événement détecté par le PROGRAMME FDA (voir Section 4), le représentant de L’ASSOCIATION DES PILOTES aura besoin de :

— l’identification du vol (date, immatriculation et numéro de vol) ;

— la capacité d’identifier l’équipage de ce vol et la manière de le contacter ;

— une copie électronique des données de vol et un moyen de les consulter.

LA COMPAGNIE fournira à chaque représentant de L’ASSOCIATION DES PILOTES un ordinateur portable sur lequel des logiciels auront été préinstallés, afin de répondre aux exigences suivantes :

— l’identification du vol sera fournie par courriel par le Groupe du PROGRAMME FDA ;

— l’identité des membres d’équipage et leurs coordonnées seront déterminées par accès à distance au système d’affectation des équipages de conduite de LA COMPAGNIE ;

— les données de vol seront envoyées par courriel par le groupe du PROGRAMME FDA et seront consultées au moyen des logiciels préinstallés.

Pour identifier un pilote à partir de son numéro de PROGRAMME FDA à 5 chiffres (voir le § 4.2.2), le représentant de L’ASSOCIATION DES PILOTES recevra un disque de décodage à utiliser avec la FPD.

Page 272: 9859 MANUEL SMS

16-APP 3-8 Manuel de gestion de la sécurité (MGS)

Lorsqu’il aura terminé son travail avec le groupe du PROGRAMME FDA, le représentant de L’ASSOCIATION DES PILOTES restituera l’ordinateur portable et le disque à LA COMPAGNIE. Aucune copie des logiciels fournis par LA COMPAGNIE ne peut être conservée.

Signature au nom de LA COMPAGNIE : Signature au nom de L’ASSOCIATION DES PILOTES : __________________________________ _________________________________ Nom : ____________________________ Nom : ____________________________ Date : ____________________________ Date : ____________________________

— — — — — — — —

Page 273: 9859 MANUEL SMS

16-APP 4-1

Appendice 4 au Chapitre 16

ASPECTS DE LA PERFORMANCE HUMAINE CONCERNANT LA SÉCURITÉ EN CABINE1

L’environnement et les conditions de travail des équipages de cabine sont influencés par un ensemble hétérogène de facteurs humains. Voici quelques-uns des facteurs les plus courants à prendre en considération lors de l’élaboration d’un programme de sécurité en cabine : a) Gestion des ressources en équipage (CRM). Comme les équipages de cabine comptent de plus

en plus de membres, les membres des équipages de cabine doivent travailler en équipe. La formation CRM pour les équipages de cabine pourrait comprendre :

1) Les aptitudes en communication et en gestion des relations interpersonnelles. L’hésitation à

communiquer des données importantes à d’autres membres de l’équipe pourrait compromettre un vol. Une assurance polie est requise pour assurer un travail d’équipe efficace ;

2) La conscience de la situation. Pour maintenir une perception exacte de l’évolution des événements,

il faut poser des questions, recouper les informations, affiner et actualiser les perceptions ; 3) Les aptitudes en résolution des problèmes et prise de décision ainsi que le discernement

peuvent être cruciaux s’il survient une urgence en vol ou une situation requérant une évacuation d’urgence ou un amerrissage forcé ;

4) Les aptitudes de leadership/suivisme. Si, dans leurs fonctions, les équipages de cabine ont

besoin d’aptitudes de leadership bien développées, chaque membre de l’équipage de cabine doit respecter le pouvoir de commandement pendant une urgence.

b) Fatigue. La dysrythmie circadienne (c’est-à-dire le décalage horaire) et d’autres troubles du cycle

normal du sommeil sont inhérents à ce travail. Toutefois, la fatigue peut gravement compromettre la réaction des équipages de cabine en cas d’urgence. Une vigilance maximale est requise pendant les phases d’approche et d’atterrissage, souvent à la fin d’une longue période de service.

c) Facteurs liés à la personnalité. Les membres d’équipages de cabine doivent être capables de

gérer différents types de personnalités. En outre, la diversité culturelle peut influencer les résultats en cas d’urgence, non seulement parmi les passagers, mais aussi au sein d’équipages dont les membres sont issus de cultures différentes.

d) Charge de travail et stress. Le rythme de travail dans les cabines est très variable, surtout sur les

vols long-courriers. Il est fondamental pour les équipages de cabine d’apprendre à gérer le stress de charges de travail intenses suivies de périodes d’ennui afin de maintenir une conscience de la situation et l’acuité mentale nécessaires en cas d’urgence.

1. Pour mieux comprendre les facteurs humains intervenant dans les programmes de sécurité en cabine, voir le Manuel d’instruction

sur les facteurs humains (Doc 9683), les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806) et Facteurs humains, Étude n° 15 — Facteurs humains dans la sécurité de la cabine (Cir 300).

Page 274: 9859 MANUEL SMS

16-APP 4-2 Manuel de gestion de la sécurité (MGS)

e) Compétence. La compétence, qui découle de l’expérience et de la réalité présente, est vitale pour maximaliser l’efficacité. La multiplicité des réalités résultant de transferts d’un type d’aéronef à un autre peut compromettre l’efficacité des interventions en cas d’urgence, en raison de transferts d’habitudes difficiles, voire inadéquats.

f) Conception des équipements. Pendant les audits de sécurité, il faudrait s’intéresser aux facteurs

de conception des équipements susceptibles de compromettre une exécution sûre des tâches par les membres d’équipages de cabine (exigences de force, facilité d’accès, convivialité, etc.).

Page 275: 9859 MANUEL SMS

17-1

Chapitre 17

SERVICES DE LA CIRCULATION AÉRIENNE (ATS)

17.1 SÉCURITÉ DES ATS

Généralités 17.1.1 Si les accidents d’aviation causés par des lacunes dans les services ATS sont rares, les consé-quences de tels accidents sont potentiellement catastrophiques. La sécurité des ATS exige une approche systématique de la gestion de la sécurité et les systèmes ATS actuels offrent des défenses multicouches grâce notamment à : a) la rigueur des critères de sélection et de la formation des contrôleurs ; b) des normes de performance clairement définies, telles que les critères de séparation ; c) un respect strict des SOP qui ont fait leurs preuves ; d) une importante coopération internationale ; e) l’utilisation des progrès technologiques ; f) un système continu d’évaluation, de suivi et d’amélioration. 17.1.2 Maintenir des distances de séparation sûres entre les aéronefs tout en activant le flux de trafic dans une situation hautement dynamique pose des défis particuliers. La charge de travail des contrôleurs ainsi que la densité et la complexité du trafic génèrent de plus en plus de risques importants pour l’aviation. La fréquence des déclenchements de l’alarme de proximité et des quasi-abordages, incursions sur piste, pertes techniques de la séparation requise, etc., est révélatrice du potentiel permanent d’accident dans la fourniture de services ATS. 17.1.3 Comme les volumes de trafic et la complexité continuent à augmenter, les superviseurs ATS, les enquêteurs travaillant sur des occurrences ATS et les directeurs de la sécurité vont devoir renforcer leur connaissance des effets de la performance humaine sur les actes du personnel ATS. (L’Appendice 1 de ce chapitre énumère les aspects des facteurs humains les plus courants pouvant influencer la performance humaine dans la prestation de services ATS.) 17.1.4 La fourniture de services ATS doit en outre relever le défi du changement organisationnel. Bien que les autorités nationales fournissent traditionnellement les services ATS, ces services sont en cours de privatisation dans un nombre croissant d’États. D’autres États intègrent des consortiums régionaux, comme EUROCONTROL, pour la fourniture de ces services. 17.1.5 D’un point de vue réglementaire, la supervision de la sécurité pour les aérodromes et les services ATS a traditionnellement été réalisée selon une démarche dirigiste, en vertu de laquelle des exigences détaillées étaient publiées et le respect de ces exigences était confirmé par une inspection. Cette approche

Page 276: 9859 MANUEL SMS

17-2 Manuel de gestion de la sécurité (MGS)

a encouragé une culture de la sécurité fondée sur le respect des exigences et peu d’attention était accordée à une gestion proactive de la sécurité. Face aux volumes croissants de trafic aérien et à un taux d’accidents constant, de plus en plus d’efforts sont consentis pour améliorer la sécurité par la mise en œuvre de systèmes de gestion de la sécurité (SGS), y compris de SGS pour les aérodromes et les organismes ATS. 17.1.6 Cette approche de la gestion de la sécurité décrite dans le présent manuel repose sur les « meilleures pratiques » des industries où la gestion de la sécurité est depuis longtemps intégrée aux opérations. Bien que ce chapitre soit consacré spécifiquement aux services ATS, une bonne compréhension du reste de ce manuel sera utile pour appliquer un SGS efficace dans les ATS.

Exigences de l’OACI 17.1.7 L’Annexe 11 — Services de la circulation aérienne exige que les fournisseurs ATS mettent en œuvre un SGS accepté afin de garantir la sécurité de la fourniture de services ATS. Un tel SGS garantira l’identification des dangers réels et potentiels pour la sécurité et la mise en œuvre des mesures correctrices nécessaires, ainsi qu’une surveillance continue en vue d’assurer le maintien d’un niveau acceptable de sécurité. 17.1.8 Les Procédures pour les services de navigation aérienne — Gestion du trafic aérien (PANS-ATM, Doc 4444) donnent des éléments indicatifs concernant la gestion de la sécurité dans les services ATS. La gestion de la sécurité dans les services ATS devrait aborder, entre autres : a) la surveillance des niveaux généraux de sécurité et la détection de toute tendance inopportune,

notamment : 1) la collecte et l’évaluation des données liées à la sécurité ; 2) l’examen des comptes rendus d’incidents et autres comptes rendus liés à la sécurité ; b) un examen de la sécurité des organismes ATS, notamment : 1) des questions de réglementation ; 2) des questions opérationnelles et techniques ; 3) des questions portant sur les licences et la formation. c) des évaluations de la sécurité dans le cadre de la mise en œuvre planifiée d’une réorganisation de

l’espace aérien, de l’introduction de nouveaux équipements, systèmes ou installations et de l’application de procédures ATS nouvelles ou modifiées ;

d) des mécanismes permettant de détecter la nécessité de mesures de renforcement de la sécurité.

Fonctions de l’autorité de réglementation de la sécurité des ATS 17.1.9 Comme l’explique le Chapitre 3, les États exigent qu’une autorité de réglementation supervise l’application de leurs lois et réglementations nationales régissant la sécurité aérienne. En matière de sécurité des services ATS, les fonctions principales de cette autorité de réglementation sont les suivantes : a) l’élaboration et la mise à jour des réglementations nécessaires ;

Page 277: 9859 MANUEL SMS

Chapitre 17. Services de la circulation aérienne (ATS) 17-3

b) la fixation d’objectifs nationaux de performance en matière de sécurité ; c) la fourniture d’une supervision des fournisseurs ATS.

Directeur de la sécurité (DS) 17.1.10 Les fonctions et rôles d’un DS ainsi que les principes sur lesquels se fonde l’organisation de la gestion de la sécurité ont été décrits au Chapitre 12. 17.1.11 L’idéal serait que le DS d’un organisme ATS n’ait pas d’autres responsabilités que la sécurité. Le DS devrait être un membre de l’équipe directoriale de l’organisation et il doit se situer à un niveau suffi-samment élevé dans la hiérarchie directoriale pour qu’il puisse communiquer directement avec d’autres cadres dirigeants. Voici quelques exemples de tâches à inclure dans la description des fonctions du DS de l’ATS : a) élaborer, tenir à jour et promouvoir un SGS efficace ; b) surveiller le fonctionnement du SGS et rendre compte de la performance et de l’efficacité du

système au directeur général ; c) signaler à l’attention de la direction tout changement identifié comme nécessaire au maintien ou à

l’amélioration de la sécurité ; d) agir comme point de contact central pour tous les échanges avec l’autorité de réglementation de la

sécurité ; e) fournir conseils et aide en tant qu’expert en matière de sécurité ; f) favoriser une prise de conscience et une compréhension de la gestion de la sécurité dans toute

l’organisation ; g) agir en tant que coordonnateur proactif des questions de sécurité.

17.2 SYSTÈMES DE GESTION DE LA SÉCURITÉ DES ATS 17.2.1 Le Chapitre 12 cite les dix étapes préalables à la mise en place d’un SGS. Ces dix étapes s’appliquent également à la gestion de la sécurité dans les services ATS et le chapitre en question devrait être lu parallèlement à cette section. De plus, les considérations suivantes s’appliquent à la gestion de la sécurité dans les services ATS.

Indicateurs de performance en matière de sécurité et objectifs de sécurité 17.2.2 Les notions d’indicateurs de performance en matière de sécurité et d’objectifs de sécurité ont été introduites aux Chapitres 1 et 5. Avant de tenter de déterminer si la performance d’un système en matière de sécurité ou l’incidence sur la sécurité de changements planifiés de ce système est acceptable, il faudra décider des critères qui seront utilisés pour juger de cette acceptabilité. Les dispositions de l’OACI relatives à la gestion de la sécurité et destinées aux exploitants d’aéronefs, aux exploitants d’aérodromes et aux fournisseurs ATS exigent notamment qu’un niveau acceptable de sécurité soit atteint. Ce niveau acceptable de sécurité sera déterminé par l’État ou les États concerné(s).

Page 278: 9859 MANUEL SMS

17-4 Manuel de gestion de la sécurité (MGS)

17.2.3 L’Annexe 11 exige que les États fixent un niveau acceptable de sécurité applicable à la fourniture de services ATS dans leur espace aérien et à leurs aérodromes. 17.2.4 Pour déterminer ce qu’est un niveau acceptable de sécurité, il faut tout d’abord décider d’indicateurs appropriés de performance en matière de sécurité, puis établir ce qui représente un résultat acceptable. Les indicateurs de performance en matière de sécurité choisis doivent convenir à l’application. Voici quelques mesures types qui pourraient être utilisées pour la gestion de la sécurité des services ATS : a) la probabilité maximale d’un événement indésirable, tel qu’un abordage, une perte de séparation ou

une incursion sur piste ; b) le nombre maximal d’incidents par 10 000 mouvements d’aéronefs ; c) le nombre maximal acceptable de pertes de séparation par 10 000 traversées transatlantiques ; d) le nombre maximal d’avertissements de conflit à court terme (STCA) par 10 000 mouvements

d’aéronefs. 17.2.5 Comme les accidents d’aviation sont rares, les taux d’accidents ne sont pas de bons indicateurs de la performance en matière de sécurité. Ils peuvent présenter un intérêt limité au niveau mondial, régional ou national. En fait, l’absence d’accidents peut masquer l’existence, au sein du système, de nombreuses conditions dangereuses qui, réunies, font le terreau des accidents. Les taux d’accidents sont encore moins utiles en tant qu’indicateurs de sécurité lorsqu’ils sont appliqués à des aérodromes ou à des régions d’information de vol (FIR) spécifiques. Pour toute FIR donnée, par exemple, le temps probable entre deux accidents en route pourrait dépasser les 100 ans. 17.2.6 Des indicateurs plus utiles de la performance des ATS en matière de sécurité pourraient être les taux d’incidents, notamment les signalements de déclenchements de l’alarme de proximité, les pertes techniques de séparation, les avertissements du TCAS et messages d’alerte, les pertes de couverture radar et les pannes du système d’alimentation électrique. 17.2.7 La valeur des indicateurs basés sur les événements liés à la sécurité est toutefois tributaire de celle des systèmes de comptes rendus ou de surveillance par lesquels de tels événements sont enregistrés et suivis. Pour que le système soit efficace, il faut que la culture de l’organisation encourage le dépôt et l’enregistrement des comptes rendus requis. L’importance de la culture de la sécurité d’une organisation a été examinée au Chapitre 4 et les limites potentielles de l’utilisation des informations provenant des systèmes volontaires de comptes rendus d’incidents ont été évoquées au Chapitre 7. 17.2.8 Pour chaque objectif quantitatif de performance en matière de sécurité qui a été fixé, il doit être possible de mesurer ou d’estimer de façon quantitative le niveau de sécurité atteint. L’application d’un objectif de ce type à des opérations en route au sein d’une seule FIR ou à des approches aux instruments à un seul aérodrome livrera une fréquence probable d’accidents si faible que les données sur les accidents réels ne permettront pas d’indiquer de façon valable si l’objectif est atteint. 17.2.9 Des objectifs quantitatifs sont utilisés, par exemple, pour évaluer la sécurité des opérations dans l’espace aérien à minimums de séparation verticale réduits (RVSM). Toutefois, dans ce cas, l’évalua-tion du niveau de sécurité atteint se fait au moyen de modèles mathématiques de risques d’abordages, qui peuvent estimer le taux probable d’accidents à partir des données d’écarts d’altitude des aéronefs qui n’ont pas entraîné d’accident. Des modèles similaires sont utilisés pour estimer le risque d’abordage à la suite de déviations latérales par rapport aux trajectoires dans l’espace aérien à spécifications de performances minimales de navigation (MNPS) de l’Atlantique Nord et dans l’espace aérien océanique où les minimums de séparation basés sur la qualité de navigation requise (RNP) sont appliqués.

Page 279: 9859 MANUEL SMS

Chapitre 17. Services de la circulation aérienne (ATS) 17-5

17.2.10 Les techniques utilisées dans cette forme d’évaluation de la sécurité dépassent la portée du présent manuel. De plus amples informations sur les modèles de risques de collision sont données dans le Manuel sur la méthode de planification de l’espace aérien pour l’établissement des minimums de séparation (Doc 9689).

Organisation de la sécurité 17.2.11 L’organisation de la gestion de la sécurité au sein d’un centre ou d’un organisme ATS dépendra, dans une grande mesure, du volume et de la complexité des activités. Ainsi, dans un grand centre, tel que celui d’un aéroport international, plusieurs activités ATS distinctes sont effectuées (contrôle en route, terminal, contrôle des arrivées et des départs, contrôle tour, sol, etc.). L’efficacité des processus décisionnels en matière de sécurité dépendra en grande partie de la façon dont les divers intérêts de tous les prestataires de services sont intégrés dans un « système » cohérent. 17.2.12 Le directeur du centre ou de l’organisme ne pourra pas à lui seul appliquer un SGS. Outre la coopération et l’engagement des autres directeurs et membres du personnel, le directeur du centre ou le chef d’unité devra probablement s’appuyer sur les indications et l’aide d’un DS attitré. Lors de la désignation d’un DS, la direction doit se garder de déléguer la responsabilité de la sécurité au DS mais doit plutôt répartir cette responsabilité entre tous les directeurs et membres du personnel.

Gestion des risques 17.2.13 Comme d’autres activités aéronautiques, la fourniture de services ATS exige une approche décisionnelle basée sur les risques. Les processus décrits ailleurs dans le présent manuel sont requis pour réduire ou éliminer les risques de la fourniture de services ATS. La gestion des risques exige un système cohérent d’identification des dangers, d’évaluation des risques et de mise en œuvre de mesures viables de maîtrise des risques. (Voir les Chapitres 6 et 13.) 17.2.14 Les Procédures pour les services de navigation aérienne — Gestion du trafic aérien (PANS-ATM, Doc 4444) exigent que tous les comptes rendus d’incidents ou comptes rendus concernant l’état de fonction-nement des installations et systèmes ATS (tels que l’interruption ou la dégradation des communications, de la surveillance et d’autres systèmes et équipements importants pour la sécurité) soient systématiquement examinés par l’autorité appropriée en charge des services ATS, afin de détecter toute tendance dans le fonctionnement de ces systèmes qui puisse compromettre la sécurité.

Systèmes de comptes rendus d’incidents1 17.2.15 Dans le cadre d’un SGS d’ATS, un système confidentiel et volontaire de comptes rendus d’incidents de sécurité constitue un des meilleurs moyens de détecter les dangers. Le Doc 4444 exige un système formel de comptes rendus d’incidents pour le personnel des ATS afin de faciliter la collecte des informations sur les dangers ou les carences réels ou potentiels en matière de sécurité qui sont liés à la fourniture de services ATS. 17.2.16 En plus des exigences de compte rendu d’accident et d’incident imposées par l’État, l’organisme ATS peut définir les types de dangers, d’événements ou d’occurrences comportant un potentiel

1. Le Chapitre 7 fournit de plus amples informations sur les principes et le fonctionnement des systèmes efficaces de comptes rendus

d’incidents.

Page 280: 9859 MANUEL SMS

17-6 Manuel de gestion de la sécurité (MGS)

de risque que le personnel doit signaler. Un système efficace de comptes rendus prévoit que toute situation ou circonstance qui, de l’avis d’un membre du personnel, fait courir un risque d’accident soit signalée sur une base volontaire dans un environnement non punitif et non accusateur.

Intervention en cas d’urgence2 17.2.17 Le personnel ATS doit être prêt à continuer à fournir des services en pleine situation d’urgence, notamment après un accident, une panne d’électricité ou une rupture des communications, une perte de couverture radar et une menace pour la sécurité. Des procédures d’urgence doivent être en place pour guider les opérations sans compromettre davantage la sécurité. L’intervention appropriée de l’organisme requiert un solide plan d’intervention en cas d’urgence (ERP). 17.2.18 L’ERP devrait refléter un effort de collaboration entre la direction et le personnel opérationnel qui devra l’exécuter, en particulier les contrôleurs. Des procédures de secours doivent être en place et être testées régulièrement pour garantir la fourniture ininterrompue de services, afin de maintenir le flux sûr, rapide, efficace et ordonné du trafic aérien, éventuellement à un niveau dégradé, par exemple, par le passage à un contrôle aux procédures en cas de panne radar.

Enquêtes de sécurité3

17.2.19 Lorsqu’un accident ou un grave incident se produit, des enquêteurs compétents doivent être disponibles pour mener une enquête afin : a) de mieux comprendre les événements ayant mené à cette occurrence ; b) d’identifier les dangers et réaliser des évaluations des risques ; c) d’émettre des recommandations en vue de réduire ou d’éliminer les risques inacceptables ; d) de communiquer les messages de sécurité aux intervenants appropriés. 17.2.20 Les enquêtes sur des incidents mineurs, tels que des pertes de séparation, peuvent révéler des dangers systémiques. Afin d’assurer une efficacité maximale, la direction devrait se concentrer sur la détermination des risques plutôt que sur l’identification des personnes à sanctionner. La méthode utilisée sera fonction de la culture de la sécurité de l’organisation. La crédibilité du processus d’enquête dépendra en grande partie de la compétence technique et de l’objectivité des enquêteurs.

Supervision de la sécurité4

17.2.21 Le maintien de normes élevées dans les services ATS requiert un programme visant à contrôler et surveiller les activités de tous les contrôleurs et du personnel de soutien administratif, ainsi que la fiabilité et les performances des équipements à leur disposition.

2. Voir le Chapitre 11 pour obtenir des indications sur la planification des interventions en cas d’urgence destinées à gérer un accident

ou un incident grave lié aux services ATS. 3. Voir le Chapitre 8 pour obtenir des indications sur la conduite des enquêtes de sécurité. 4. Voir les Chapitres 10 et 14 pour de plus amples indications sur la supervision de la sécurité dans les ATS.

Page 281: 9859 MANUEL SMS

Chapitre 17. Services de la circulation aérienne (ATS) 17-7

17.2.22 L’objectif de la supervision de la sécurité chez les fournisseurs ATS est de vérifier le respect des dispositions concernées des : a) SARP et procédures de l’OACI ; b) lois et réglementations nationales ; c) meilleures pratiques nationales et internationales. 17.2.23 Les méthodes de supervision de la sécurité peuvent comprendre des inspections de sécurité et/ou des audits de sécurité des organismes concernés. La supervision de la sécurité devrait aussi entraîner un examen systématique des événements importants liés à la sécurité. Comme expliqué au Chapitre 5, les audits de sécurité sont un des éléments fondamentaux d’un SGS. Les procédures de supervision de la sécurité doivent être normalisées et documentées afin d’en garantir une application cohérente. 17.2.24 Le personnel responsable de cette fonction de supervision doit avoir une bonne connaissance et, de préférence, une expérience pratique des procédures de gestion de la sécurité. Le Doc 4444 exige que les évaluations de la sécurité des organismes ATS soient conduites sur une base régulière et systématique par du personnel qualifié ayant une compréhension totale des procédures, pratiques et facteurs pertinents influençant la performance humaine. 17.2.25 Le Doc 4444 exige en outre que les données utilisées dans les programmes de contrôle de la sécurité soient recueillies dans le plus large éventail de sources possible, étant donné que les consé-quences de procédures ou systèmes particuliers sur la sécurité peuvent n’être perceptibles qu’après un incident. Le programme d’audit devrait donc s’étendre aux interfaces de sécurité avec tous les utilisateurs du système ATS, les exploitants, les directions des aérodromes et tout fournisseur de services travaillant en sous-traitance.

Gestion du changement 17.2.26 La fourniture de services ATS est une activité dynamique. Le Doc 4444 exige qu’une évaluation de la sécurité soit effectuée pour toute proposition de réorganisation importante de l’espace aérien, pour tout changement significatif des procédures de fourniture d’ATS applicables à un espace aérien ou à un aérodrome défini et pour l’introduction de nouveaux équipements, systèmes ou installations. Voici quelques exemples de changements significatifs : a) réduction des minimums de séparation ; b) nouvelles procédures d’exploitation, y compris les procédures d’arrivée et de départ (STAR et SID) ; c) réorganisation de la structure de routes ATS ; d) nouvelle sectorisation d’un espace aérien ; e) mise en œuvre de nouveaux systèmes et équipements de communications et surveillance ou d’autres

systèmes importants pour la sécurité, notamment ceux qui offrent de nouvelles fonctionnalités et/ou capacités.

17.2.27 En résumé, une évaluation de la sécurité requiert la participation d’un groupe multidisciplinaire d’experts qui identifient de façon systématique les dangers et recommandent la prise de mesures destinées

Page 282: 9859 MANUEL SMS

17-8 Manuel de gestion de la sécurité (MGS)

à éliminer les risques inhérents ou à les réduire à un niveau acceptable. Le Chapitre 13 fournit de plus amples informations sur la conduite des évaluations de la sécurité. 17.2.28 Parmi les facteurs à envisager lors de la conduite d’une évaluation de la sécurité, citons : a) les types d’aéronefs et leurs caractéristiques de performance, notamment leurs capacités et perfor-

mances de navigation ; b) la densité et la répartition du trafic ; c) la complexité de l’espace aérien, la structure des routes ATS et la classification de l’espace aérien ; d) la configuration de l’aérodrome, y compris les configurations des pistes et voies de circulation et les

préférences ; e) les capacités de communications air-sol et leur utilisation ; f) les systèmes de surveillance et d’alerte ; g) les éléments locaux significatifs relatifs à la topographie ou à des phénomènes météorologiques.

17.3 MODIFICATION DES PROCÉDURES ATS 17.3.1 Les systèmes de la circulation aérienne sont particulièrement vulnérables en périodes de changements de procédures, qu’il s’agisse de modifications de procédures existantes ou d’introduction de nouvelles procédures. Les techniques de gestion des risques sont utilisées pour passer en revue les effets des changements proposés. Les principes de la gestion des risques sont énoncés au Chapitre 6. Le Chapitre 13 énumère sept étapes utiles pour évaluer de nouveaux équipements ou procédures. 17.3.2 L’évaluation des procédures ATS vise à apporter la garantie que, dans la mesure du possible, les dangers potentiels associés au contrôle des aéronefs ont été identifiés et les mesures d’atténuation des risques importants associés à ces dangers ont été mises en œuvre. En général, ce processus de gestion des risques couvre les aspects suivants : a) identification des dangers (HAZid) ; b) analyse des dangers, y compris de la probabilité d’une occurrence ; c) identification et analyse des conséquences ; d) évaluation par rapport aux critères d’évaluation des risques. 17.3.3 Lorsque la direction propose d’élaborer, valider, changer ou introduire des procédures opéra-tionnelles, elle devrait, dans la mesure du possible : a) utiliser les techniques d’identification des dangers, d’évaluation et de gestion des risques avant

d’introduire les procédures ; b) utiliser une simulation pour élaborer et évaluer les nouvelles procédures ;

Page 283: 9859 MANUEL SMS

Chapitre 17. Services de la circulation aérienne (ATS) 17-9

c) mettre en œuvre les changements en petites étapes faciles à gérer pour permettre d’acquérir la certitude que ces procédures sont appropriées ;

d) commencer les changements en périodes de faible densité de trafic. 17.3.4 Comme expliqué au Chapitre 13, il vaut mieux que l’évaluation des risques des procédures ATS soit menée par un groupe comprenant :

a) les responsables de la conception de la procédure ;

b) le personnel ayant une connaissance et une expérience actuelles du service de contrôle évalué, c’est-à-dire les utilisateurs du système (le personnel ATS et les pilotes), pour évaluer les procédures sous l’angle opérationnel ;

c) un spécialiste des services techniques, pour donner un avis technique sur les performances des équipements ;

d) un spécialiste de la sécurité/des risques, pour guider l’application de la méthodologie ;

e) un spécialiste des facteurs humains. 17.3.5 L’Appendice 1 du Chapitre 13 donne des éléments indicatifs sur la conduite des sessions de groupes de travail sur l’identification et l’évaluation des dangers, qui sont particulièrement efficaces pour identifier et analyser les dangers potentiels des procédures ATS. 17.3.6 L’Appendice 2 du présent chapitre fournit de plus amples indications sur l’évaluation des risques dans les procédures ATS.

17.4 GESTION DES MENACES ET DES ERREURS 17.4.1 Comme l’explique le Chapitre 16, le cadre de gestion des menaces et des erreurs (TEM) permet de mieux comprendre, d’un point de vue opérationnel, les interactions entre sécurité et performance humaine dans des contextes opérationnels dynamiques et exigeants. Les menaces pesant sur la sécurité opérationnelle sont reconnues depuis longtemps mais les principes de la TEM permettent de gérer les trois composantes de base du cadre TEM : les menaces, les erreurs et les situations indésirables. 17.4.2 Les menaces et les erreurs sont des éléments normaux des opérations quotidiennes. Pour éviter qu’elles ne dégénèrent en situations indésirables, les ATCO doivent régulièrement gérer de telles menaces et erreurs. Pour maintenir les marges de sécurité dans les opérations ATC, les ATCO doivent aussi gérer toute situation indésirable susceptible de découler de telles menaces et erreurs. Leurs actions peuvent offrir la dernière chance d’éviter une situation fâcheuse. 17.4.3 Les menaces, erreurs et situations indésirables doivent toutes être gérées à l’intérieur d’un ensemble de complexités contextuelles. Par exemple, les contrôleurs doivent gérer des conditions météo-rologiques néfastes, des aérodromes entourés de hautes montagnes, un espace aérien encombré, des défaillances d’aéronefs et les erreurs commises par des personnes extérieures à la salle ATC, telles que des équipages de conduite, du personnel au sol ou du personnel de maintenance. Le modèle TEM considère ces complexités comme des menaces parce qu’elles sont toutes susceptibles d’avoir une incidence négative sur les opérations ATC en réduisant les marges de sécurité. 17.4.4 L’Appendice 3 de ce chapitre examine en détail la TEM dans les ATS.

Page 284: 9859 MANUEL SMS

17-10 Manuel de gestion de la sécurité (MGS)

17.5 ENQUÊTE DE SÉCURITÉ SUR LES OPÉRATIONS NORMALES (NOSS) 17.5.1 Jusqu’à tout récemment, le contrôle de la sécurité s’appuyait sur l’identification par le personnel de dangers réels et potentiels pour l’exploitation sûre du système et sur le dépôt de comptes rendus par ce même personnel. Or, si les pratiques dangereuses sont devenues partie intégrante de la méthode normale d’exploitation, il est peu probable que le personnel concerné reconnaisse ces pratiques comme dange-reuses et dépose des comptes rendus via le système de comptes rendus d’événements liés à la sécurité. 17.5.2 Des méthodes basées sur l’observation fournissent un moyen supplémentaire de collecte de données, indépendant des personnes concernées. Plusieurs compagnies aériennes ont mis en œuvre un programme appelé audit de sécurité en service de ligne (LOSA) pour surveiller les opérations aériennes dans des conditions d’exploitation normales. (Le LOSA est décrit plus en détail au Chapitre 16.) 17.5.3 Le LOSA est une méthode éprouvée d’identification des dangers et d’élaboration de stratégies d’adaptation pour les opérations normales du poste de pilotage. L’objectif de cette surveillance est de recueillir des données sur les menaces opérationnelles, les erreurs des équipages et leur gestion. Les observations sont faites par des observateurs formés aux techniques LOSA, qui prennent place sur le siège de service sur des vols réguliers de routine. En surveillant les opérations normales, il est possible d’en apprendre beaucoup sur les stratégies fructueuses utilisées par les pilotes pour gérer les menaces, erreurs et situations indésirables normales. 17.5.4 Le processus est en cours pour appliquer les leçons tirées du LOSA à l’ATC. Toutefois, comme les opérations ATC diffèrent sensiblement des opérations aériennes, la méthodologie en cours d’élabo-ration, appelée Enquête de sécurité sur les opérations normales (NOSS), sera, elle aussi, différente. L’idée qui sous-tend le NOSS est de fournir à la communauté ATC un moyen d’obtenir des données solides sur les menaces, les erreurs et les situations indésirables. L’analyse des données NOSS, combinée à celle des données liées à la sécurité provenant de sources conventionnelles, devrait permettre de centrer le processus de changement pour la sécurité sur les domaines qui nécessitent la plus grande attention. 17.5.5 Le NOSS s’appuie sur le modèle TEM. Dans sa forme la plus simple, il se traduit par des observations par-dessus l’épaule pendant des périodes de service normales. L’analyse de ces données normatives et des données recueillies pas d’autres moyens (tels que les systèmes de comptes rendus d’incidents et les enquêtes sur des événements) devrait fournir à la direction de l’ATC un moyen de centrer le processus de changement pour la sécurité sur les menaces qui érodent le plus les marges de sécurité au sein du système ATC. 17.5.6 Le NOSS reconnaît que les contrôleurs gèrent régulièrement les menaces, erreurs et situations indésirables auxquelles ils sont confrontés au quotidien, dans le cadre des opérations normales. Leur intervention opportune préserve les marges de sécurité souhaitées avant que ne survienne une situation dangereuse (c’est-à-dire un accident ou un incident). Il est vital de comprendre comment des contrôleurs efficaces gèrent la situation évolutive pour élaborer les contre-mesures nécessaires afin de préserver les défenses au sein du système ATS. Comme les stratégies de gestion de la sécurité doivent cibler les menaces systémiques plutôt que les erreurs individuelles, l’objectif premier du NOSS doit être d’identifier les menaces et non de se limiter à compter les erreurs. 17.5.7 Au moment de la rédaction du présent manuel, les protocoles d’application du NOSS dans un environnement de travail réel ne sont pas encore établis.

— — — — — — — —

Page 285: 9859 MANUEL SMS

17-APP 1-1

Appendice 1 au Chapitre 17

ASPECTS DES FACTEURS HUMAINS RELATIFS À LA PERFORMANCE HUMAINE DANS LES

SERVICES DE LA CIRCULATION AÉRIENNE1

1. Voici quelques-uns des aspects des facteurs humains les plus courants pouvant influencer la performance humaine dans la prestation de services ATS : a) limites physiologiques : 1) la vue — la capacité de voir physiquement les événements se dérouler (par exemple à partir

d’une tour de contrôle) ; 2) l’audition — la capacité de distinguer différentes voix dans un environnement bruyant ; 3) la fatigue chronique influençant le jugement, les aptitudes cognitives et la mémoire ; b) variables psychologiques : 1) la mémoire (essentielle pour maintenir une image tridimensionnelle d’une situation dynamique) ; 2) la vigilance par opposition à la distraction et à l’ennui ; 3) les pressions opérationnelles (par ex. des supérieurs hiérarchiques, de la direction et des pairs) ; 4) la motivation et l’état d’esprit (parfois influencés par des pressions de la vie privée ou d’autres

pressions extérieures) ; 5) la résistance au stress (et aux maladies dues au stress) ; 6) le jugement ; 7) les habitudes (par ex. simplifier les procédures) ; 8) la diversité culturelle des nombreux utilisateurs du système ATS (militaires ou civils, différentes

compagnies, des utilisateurs étrangers ou nationaux, la diversité des langues et des schémas comportementaux) qui peut influencer les attentes des contrôleurs ;

c) facteurs liés aux équipements : 1) la conception des écrans d’affichage et l’aménagement du poste de travail ;

1. Voir le Manuel d’instruction sur les facteurs humains (Doc 9683) pour un examen complet de la performance humaine dans les ATS.

Page 286: 9859 MANUEL SMS

17-APP 1-2 Manuel de gestion de la sécurité (MGS)

2) la convivialité des logiciels, y compris leur flexibilité pour s’adapter à des situations dynamiques ;

3) l’utilisation de l’automatisation ;

d) problèmes de transfert d’informations :

1) l’encombrement des fréquences ;

2) la confusion d’indicatifs d’appel ;

3) les anticipations auditives ;

4) la compréhension de la langue et l’accent ;

5) l’utilisation d’une terminologie non normalisée ;

e) facteurs liés à la charge de travail :

1) le volume et la complexité du trafic ;

2) le nombre de secteurs utilisés ;

3) la conscience de la situation (maintenir une « vue d’ensemble ») ;

4) les modèles mentaux utilisés dans le processus décisionnel (par ex. règles empiriques) ;

5) le temps écoulé depuis la dernière pause ;

6) l’incidence du travail par équipes, des horaires et des heures supplémentaires ;

7) la fatigue chronique ;

f) facteurs organisationnels :

1) la culture de la sécurité au sein de l’entreprise ;

2) l’approche du travail en équipe (et l’utilisation de la gestion des ressources en équipe [TRM]) ;

3) la pertinence de la formation ;

4) l’expérience, la compétence et l’actualité des connaissances du contrôleur ;

5) la qualité de la supervision de première ligne ;

6) la relation entre les contrôleurs et la direction ;

7) la normalisation effective des procédures et de la terminologie ;

8) le contrôle efficace des opérations quotidiennes. 2. Comme le trafic continue à augmenter en volume et en complexité, les superviseurs ATS, les enquêteurs travaillant sur des occurrences ATS et les directeurs de la sécurité vont devoir renforcer leur connaissance des effets de ces facteurs humains sur la performance du personnel ATS.

— — — — — — — —

Page 287: 9859 MANUEL SMS

17-APP 2-1

Appendice 2 au Chapitre 17

ÉVALUATION DES RISQUES DES PROCÉDURES ATS

1. OBJET 1.1 L’évaluation des procédures ATS vise à apporter la garantie que, dans la mesure du possible, les dangers potentiels associés au contrôle des aéronefs ont été identifiés et les mesures d’atténuation des risques associés à ces dangers ont été mises en œuvre. 1.2 Le présent appendice donne des indications générales sur les processus d’identification des dangers et d’évaluation des risques qui sont utiles pour élaborer ou modifier des procédures ATS.

2. IDENTIFICATION DES DANGERS (HAZid) 2.1 L’HAZid est une technique descendante, relativement complète, qui décompose les activités liées à la mise en œuvre des procédures ATS en composantes plus petites et identifie leurs modes potentiels de défaillance et l’incidence de ces derniers sur la sécurité des services ATS. La technique HAZid est spécifi-quement utilisée pour identifier : a) Les dangers liés aux services ATS. Un danger est défini comme une source de préjudice potentiel

ou une situation pouvant entraîner des pertes. Les dangers fondamentaux liés aux services ATS comprennent :

1) les abordages en vol ; 2) les collisions au sol ; 3) les rencontres des turbulences de sillage ; 4) les événements liés aux turbulences ; 5) les impacts avec le sol. b) Les scénarios dangereux. Par scénario dangereux, on entend le danger spécifique à l’examen.

Par exemple, lorsqu’on étudie le danger d’abordage en vol à un aéroport, les scénarios dangereux pourraient être :

1) un abordage entre un aéronef en partance et un aéronef à l’arrivée ; 2) un abordage entre des aéronefs sur des approches parallèles. c) Les événements déclencheurs. On entend par événements déclencheurs, les raisons génériques

pouvant entraîner la concrétisation du scénario dangereux. Il peut s’agir d’une déviation par rapport à une trajectoire de vol. Par exemple, divers événements déclencheurs peuvent mener à un scénario

Page 288: 9859 MANUEL SMS

17-APP 2-2 Manuel de gestion de la sécurité (MGS)

dangereux d’abordage en vol entre un aéronef en partance et un aéronef à l’arrivée : un aéronef peut ne pas respecter une restriction d’altitude ou un aéronef peut dévier par rapport à une SID ou une STAR.

d) Les causes des dangers. Les causes des dangers décrivent le démarrage des événements

déclencheurs. Les événements déclencheurs peuvent découler d’influences extérieures, d’erreurs humaines, de défaillances des équipements ou d’erreurs dans la conception des procédures, susceptibles de déclencher une chaîne d’événements pouvant engendrer un danger. Lorsqu’un aéronef s’écarte d’une SID, la cause pourrait être une défaillance des équipements, telle qu’une défaillance du système de contrôle, ou une erreur humaine, telle que la sélection par le pilote de la mauvaise SID dans le système de gestion de vol (FMS).

e) Les facteurs de récupération. Les facteurs de récupération désignent les systèmes disponibles

pour prévenir ou réduire la probabilité que des événements déclencheurs ne se transforment en scénarios dangereux. Pour un abordage en vol, les facteurs de récupération comprennent la fourniture de services ATC, l’utilisation du TCAS, la règle « voir et éviter » pour le pilote et la géométrie de la trajectoire de vol.

f) L’échec des facteurs de récupération. Il se peut que les facteurs de récupération ne parviennent

pas à prévenir un abordage en vol. Les échecs des facteurs de récupération pour le TCAS pourraient être dus à l’absence de transpondeur sur un des aéronefs ou à l’absence de réaction du pilote aux alertes.

2.2 La méthode HAZid utilise des mots-clés ou prompteurs pour générer systématiquement des écarts possibles par rapport à la norme pour les tâches ATS et tâches de vol. La procédure examine ensuite l’effet de chaque écart sur la sécurité liée aux services ATS. Influences extérieures 2.3 La technique HAZid commence par envisager les influences extérieures sur un seul aéronef sur une trajectoire fixe. Ces sources d’influences extérieures pourraient être, par exemple : a) météorologiques ; b) topographiques ; c) environnementales ; d) humaines. Déviations possibles par rapport à une trajectoire planifiée 2.4 Une fois que les influences extérieures sur la sécurité des vols sont identifiées et enregistrées, la technique HAZid envisage les déviations possibles par rapport à la trajectoire de vol planifiée et analyse dans quelle mesure ces déviations peuvent être causées par des événements opérationnels internes. De telles déviations peuvent devenir des événements déclencheurs de scénarios dangereux. Les sources habituelles d’événements opérationnels internes sont notamment : a) la séparation ATC ;

Page 289: 9859 MANUEL SMS

Chapitre 17. Services de la circulation aérienne (ATS) — Appendice 2 17-APP 2-3

b) les aides à la navigation ; c) la conception de l’aérodrome — les pistes ; d) la conception de l’espace aérien ; e) la conception et la maintenance des aéronefs ; f) l’exploitation des aéronefs. 2.5 Les mots-clés ou prompteurs sont utilisés pour identifier de façon systématique les déviations possibles par rapport aux trajectoires de vol planifiées. Les déviations possibles sont examinées en envisageant, de façon ascendante, les éléments suivants : a) Les procédures en vigueur. Les procédures en vigueur concernent la conception de l’espace

aérien et des aéroports, les procédures ATC et les procédures de vol. Ces procédures peuvent mener à des scénarios dangereux sans défaillances complémentaires des systèmes. En d’autres termes, les scénarios dangereux peuvent se concrétiser sans qu’il n’y ait déviation par rapport aux trajectoires de vol normales. Par exemple, la zone tampon de séparation verticale pour la limite inférieure de la région de contrôle peut être de 150 m (500 ft). Toutefois, l’espacement de turbulence de sillage s’applique lorsqu’un aéronef opère jusqu’à 300 m (1 000 ft) au-dessous.

b) Tâches humaines. Les tâches humaines peuvent échouer en raison de divers types d’erreur

humaine. C’est un domaine spécialisé de l’analyse et il faudrait demander des conseils aux spécialistes appropriés des facteurs humains.

c) Fonctionnalité des équipements. L’analyse des modes et des effets des pannes (FMEA) est

normalement utilisée pour analyser les influences des défaillances des équipements sur le système ATS. Cette méthode s’applique au niveau fonctionnel, à tous les équipements ATS, aux équipements embarqués de communication, et aux équipements de navigation, de surveillance, de commandes de vol et du groupe motopropulseur.

d) Facteurs géométriques. Il peut exister d’autres facteurs non liés à une erreur humaine ou à une

défaillance des équipements mais nécessaires pour qu’un danger se concrétise. Il s’agit généralement de la description de la géométrie de la rencontre.

3. ANALYSE DES DANGERS 3.1 Une fois les dangers spécifiques identifiés, plusieurs techniques permettent de les évaluer sur les plans qualitatif et quantitatif. L’application de certaines techniques requiert des compétences spécialisées. Généralement, le processus d’analyse des dangers comprend : a) l’élaboration de fiches de défaillances ; b) l’élaboration d’arbres de défaillances ; c) l’évaluation quantitative de la probabilité d’une erreur humaine, d’une défaillance d’équipement

et de facteurs opérationnels.

Page 290: 9859 MANUEL SMS

17-APP 2-4 Manuel de gestion de la sécurité (MGS)

Fiches de défaillances 3.2 Les fiches de défaillances sont utilisées pour enregistrer les résultats du processus HAZid pour chaque scénario dangereux. Un exemple de scénario dangereux pourrait être un abordage en vol entre un aéronef en partance et un aéronef à l’arrivée lorsque l’aéronef à l’arrivée ne parvient pas à intercepter le radiophare d’alignement. 3.3 L’événement déclencheur de ce scénario serait que l’aéronef à l’arrivée se dirige vers la trajectoire de vol de l’aéronef en partance. La fiche de défaillance mentionnerait les causes possibles de l’événement déclencheur, notamment des défaillances des équipements embarqués ou au sol, et une erreur humaine commise soit par le pilote soit par l’ATC (par exemple, une erreur d’indicatif d’appel). Les facteurs de récupération comprennent les défenses existantes ou absentes, destinées à réduire la probabilité qu’un événement déclencheur ne se transforme en scénario dangereux. Chaque facteur de récupération est examiné afin d’établir pourquoi la survenance d’une telle situation n’a pu être évitée.

Arbres de défaillances 3.4 Les informations contenues dans les fiches de défaillances peuvent être utilisées pour élaborer un arbre de défaillances. Le niveau d’analyse requis pour élaborer l’arbre de défaillances dépendra de la situation. Toutefois, à titre d’indication générale, un modèle pessimiste simple devrait être utilisé au départ pour déterminer la probabilité d’une erreur humaine, d’une défaillance des équipements et de facteurs opérationnels et donc l’exposition à un risque opérationnel. Cette exposition au risque est alors comparée aux critères de risque pour le niveau ciblé de sécurité. Si le modèle pessimiste donne un résultat inférieur aux critères cibles, il n’est pas nécessaire d’affecter des ressources supplémentaires car ce résultat ne modifiera en rien la décision relative à la gestion du risque.

Analyse des conséquences 3.5 Le calcul des pertes dans les évaluations des risques liés aux services ATS repose normalement sur le nombre potentiel de morts qui puisse résulter de l’issue la plus dramatique possible. Par exemple, une analyse simple des abordages en vol et des impacts avec le sol présuppose que toutes les personnes à bord de l’aéronef mourront à la suite d’un abordage et de la plupart des impacts avec le sol.

4. ÉVALUATION DES RISQUES 4.1 Comme décrit au Chapitre 6, une phase clé de la gestion des risques concerne l’évaluation des risques identifiés. Des évaluations formelles des risques doivent être effectuées : a) lorsque les procédures ATS subissent des modifications importantes par rapport aux opérations

actuelles ; b) lorsque les équipements utilisés pour exécuter les tâches ATS subissent des modifications impor-

tantes par rapport à la situation existante ; c) lorsque des changements de circonstances, tels qu’une augmentation des volumes de trafic et des

différences dans les performances des aéronefs, révèlent que les procédures existantes pourraient ne pas être appropriées.

Page 291: 9859 MANUEL SMS

Chapitre 17. Services de la circulation aérienne (ATS) — Appendice 2 17-APP 2-5

4.2 Le Tableau 17-APP 2-1 présente plusieurs étapes permettant d’évaluer les risques inhérents aux dangers rencontrés dans les procédures ATS.

Tableau 17-APP 2-1. Procédures d’évaluation des risques ATS

Étape 1 Déterminer si la modification entraîne un changement des procédures de contrôle, une modification des équipements ou les deux.

Étape 2 Décomposer les procédures en composantes gérables. Par exemple, les procédures de contrôle pourraient être subdivisées en : a) transfert des procédures de contrôle ; b) procédures de coordination ; c) procédures radar ; d) procédures d’attente ; e) procédures de contrôle de la vitesse ; f) procédures d’approche décalée. Les procédures des utilisateurs des équipements pourraient être subdivisées en : a) procédures d’installation ; b) opérations en conditions normales et en conditions d’urgence ; c) opérations dans des conditions de défaillance partielle ou totale des équipements.

Étape 3 Identifier les dangers potentiels qui affectent la capacité de maintenir une séparation sûre. La meilleure manière de procéder est de se demander, pour chacune des subdivisions de l’Étape 2, quels problèmes pourraient se produire et ce qui se passerait si… Il est nécessaire d’envisager l’incidence de la procédure sur tous les niveaux de capacité et d’expérience des contrôleurs.

Étape 4 Identifier les circonstances ou séquences d’incidents dans lesquelles un danger pourrait survenir ainsi que la probabilité d’une occurrence. Une fois la probabilité et les conséquences d’une occurrence envisagées, certains dangers identifiés pourront être écartés comme irréalistes. Les raisons pour lesquelles ils ont été écartés doivent être consignées par écrit.

Étape 5 Évaluer la gravité du danger.

Étape 6 Examiner les circonstances du danger et de l’incident et identifier les mesures essentielles et souhaitables qui, une fois mises en œuvre, atténueront ou élimineront le danger.

Page 292: 9859 MANUEL SMS

17-APP 2-6 Manuel de gestion de la sécurité (MGS)

Analyse des risques 4.3 Le risque est calculé comme étant le produit de la probabilité d’un événement dangereux et des conséquences de la concrétisation de cet événement. L’analyse des risques peut être quantitative ou qualitative selon les informations et données disponibles sur les risques, l’ampleur du danger et d’autres facteurs. L’utilisation de données quantitatives permet de clarifier la plupart des décisions et devrait être utilisée lorsque ces données sont disponibles, mais certains des facteurs les plus importants dans la prise d’une décision peuvent être difficiles à quantifier. (Souvent, lorsqu’on examine les personnes et les procédures associées à la fourniture d’un service de séparation, les descriptions qualitatives et échelles de comparaison sont les seuls éléments concrets disponibles.) Il faudrait veiller à aussi prendre ces facteurs-là en considération.

Gestion des risques 4.4 Les principes et étapes de la gestion des risques ont été expliqués au Chapitre 6. La direction doit décider si : a) le risque est si grand qu’il doit être carrément refusé ; b) le risque est, ou a été rendu, si petit qu’il est insignifiant (toutefois, toute mesure qui atténue le

risque en n’exigeant que peu d’efforts ou de ressources doit être mise en œuvre) ; c) le risque se situe entre les états a) et b) et a été réduit au niveau le plus faible que l’on puisse

atteindre compte tenu des avantages découlant de son acceptation et des coûts de toute mesure supplémentaire d’atténuation.

— — — — — — — —

Page 293: 9859 MANUEL SMS

17-APP 3-1

Appendice 3 au Chapitre 17

GESTION DES MENACES ET DES ERREURS (TEM) DANS LES ATS

1. GÉNÉRALITÉS

Dans le cadre du modèle TEM, une menace n’est pas un problème en soi mais elle peut en devenir un si elle n’est pas gérée convenablement. Toutes les menaces ne génèrent pas des erreurs et toute erreur ne mène pas à une situation indésirable, mais la possibilité existe et devrait donc être reconnue. Par exemple, des visiteurs dans une salle de contrôle aérien sont une « menace » : leur présence ne constitue pas en soi une situation dangereuse mais si les visiteurs engagent une conversation avec l’équipe des contrôleurs ATC ou distraient ceux-ci de toute autre manière, ils pourraient amener le contrôleur à commettre une erreur. Une fois reconnue comme une menace, cette situation pourra être gérée en connaissance de cause par les contrôleurs, ce qui réduira au minimum ou préviendra toute distraction et n’entraînera donc pas de réduction des marges de sécurité dans le contexte opérationnel.

2. CATÉGORIES DE MENACES DANS LE CONTRÔLE DE LA CIRCULATION AÉRIENNE

2.1 Les menaces dans les services ATC peuvent être groupées en quatre grandes catégories : a) internes au fournisseur de services ATS ; b) externes au fournisseur de services ATS ; c) en vol ; d) environnementales. 2.2 Comme la conscience de ces menaces contribue au déploiement de contre-mesures individuelles et organisationnelles afin de maintenir les marges de sécurité pendant des opérations ATC normales, les paragraphes suivants exposent les sources et la nature des circonstances qui « menacent » la sécurité des services de la circulation aérienne.

Menaces internes au fournisseur de services ATS 2.3 L’équipement est une source fréquente de menaces pour l’ATC. Défaillances et compromis de conception comptent parmi les situations auxquelles les contrôleurs doivent faire face à des degrés divers pendant les opérations quotidiennes. D’autres menaces entrant dans cette catégorie concernent l’éventuelle mauvaise qualité des communications radio et le fonctionnement parfois défectueux des connexions téléphoniques avec d’autres centres ATC. La saisie de données dans des systèmes automatisés peut devenir une menace si l’entrée souhaitée est rejetée par le système et que le contrôleur doit trouver la raison de ce rejet et le remède à cette situation. Le manque d’équipements adéquats est une menace pour

Page 294: 9859 MANUEL SMS

17-APP 3-2 Manuel de gestion de la sécurité (MGS)

les installations ATC dans de nombreuses parties du monde. Une menace importante pour les services ATC est la réalisation de travaux de maintenance (prévus ou non) pendant les opérations ATC normales. En outre, les activités de maintenance peuvent générer des menaces qui ne se manifestent que lorsque l’équipement concerné est remis en service.

2.4 Les facteurs liés à l’espace de travail comprennent l’éblouissement, les reflets, la température de la salle, les chaises non ajustables, le bruit de fond, etc. Le travail du contrôleur est plus difficile si l’éclairage de la pièce se reflète dans les écrans. Un contrôleur de la tour peut éprouver des difficultés à percevoir visuellement le trafic la nuit si l’éclairage intérieur se reflète dans les fenêtres de la tour. Un niveau élevé de bruit de fond, provenant par exemple de ventilateurs nécessaires pour refroidir les équipements, peut rendre la compréhension précise des messages radio entrants plus difficile. De même, il peut rendre les messages sortants plus difficiles à comprendre par les destinataires.

2.5 Les procédures peuvent, elles aussi, constituer une menace pour l’ATC. Cette remarque s’applique non seulement aux procédures de gestion du trafic mais aussi aux procédures de communication et/ou de coordination interne et externe. Des procédures lourdes ou apparemment inutiles peuvent amener les contrôleurs à opter pour des raccourcis en vue de faciliter le trafic, raccourcis qui risquent toutefois de générer des erreurs ou des situations indésirables.

2.6 D’autres contrôleurs du même organisme peuvent être une menace aussi. Il se peut que des propositions de solutions à des situations de trafic ne soient pas acceptées, que des intentions soient mal comprises ou mal interprétées et que la coordination interne soit insuffisante. D’autres contrôleurs peuvent se lancer dans des bavardages, ce qui peut détourner l’attention du trafic. Le contrôleur de relève peut être en retard. Il se peut que d’autres contrôleurs de l’organisme gèrent le trafic avec moins d’efficacité que prévu, de sorte qu’ils ne peuvent accepter le trafic supplémentaire qu’un contrôleur veut leur passer.

Menaces externes au fournisseur de services ATS 2.7 Le plan et la configuration de l’aéroport peuvent être une source de menaces pour les opérations ATC. Un aéroport de base avec juste une voie de circulation courte reliant les aires de station-nement au milieu de la piste obligera l’ATC à organiser une remontée de piste pour la majeure partie du trafic à l’arrivée et en partance. Si une voie de circulation parallèle à la piste était disponible, avec des intersections aux deux extrémités ainsi qu’entre ces extrémités, les aéronefs ne seraient pas contraints de remonter la piste. Certains aéroports sont conçus et/ou exploités de telle manière que des traversées de piste sont fréquemment nécessaires tant par des aéronefs circulant par leurs propres moyens que par des aéronefs remorqués ou d’autres véhicules.

2.8 Une indisponibilité inattendue des aides à la navigation (par exemple en raison de travaux de maintenance) peut constituer une menace pour l’ATC car elle peut entraîner un manque de précision dans la navigation et avoir des répercussions sur la séparation des aéronefs. Les systèmes d’atterrissage aux instruments (ILS) disponibles pour les deux sens de la même piste constituent un autre exemple de cette catégorie de menaces. Normalement, seul un des ILS est actif, de sorte qu’en cas de changement de piste, l’ILS destiné au sens de piste du moment peut ne pas encore être activé lorsque l’ATC autorise déjà un aéronef à l’intercepter.

2.9 L’infrastructure/la conception de l’espace aérien est une autre source potentielle de menaces pour l’ATC. Si l’aire de manœuvre est limitée, il devient plus difficile de gérer un volume élevé de trafic. Les zones dangereuses ou réglementées qui ne sont pas actives en permanence peuvent constituer une menace si les procédures pour communiquer le statut de ces zones aux contrôleurs sont inadaptées. La fourniture d’un service ATC au trafic est moins exposée à des menaces dans un espace aérien de classe A que, par exemple, dans un espace aérien de classe E, où du trafic inconnu peut interférer avec du trafic contrôlé par l’ATC.

Page 295: 9859 MANUEL SMS

Chapitre 17. Services de la circulation aérienne (ATS) — Appendice 2 17-APP 3-3

2.10 Les organismes adjacents. Les contrôleurs d’organismes adjacents peuvent oublier de coordonner un transfert de trafic. Le transfert peut être coordonné correctement mais mal exécuté. Les limites de l’espace aérien peuvent ne pas être respectées. Un contrôleur du centre adjacent peut ne pas accepter une proposition de transfert non normalisé, ce qui force à trouver une autre solution. Des centres adjacents peuvent ne pas être en mesure d’accepter la quantité de trafic qu’un organisme veut leur transférer. Il peut survenir des difficultés linguistiques entre contrôleurs de différents pays.

Menaces en vol 2.11 Les pilotes qui ne connaissent pas bien l’espace aérien ou l’aéroport peuvent constituer une menace pour l’ATC. Les pilotes peuvent ne pas signaler à l’ATC certaines manœuvres qu’ils peuvent avoir à effectuer (par exemple éviter des phénomènes météorologiques), ce qui peut représenter une menace pour l’ATC. Les pilotes oublient parfois de signaler avoir passé un point de cheminement ou une altitude, ou ils peuvent déclarer faire quelque chose qu’ensuite ils ne feront pas. Dans le cadre du TEM, une erreur d’un pilote est une menace pour l’ATC.

2.12 Performances des aéronefs. Les contrôleurs connaissent bien les performances normales de la plupart des types ou catégories d’aéronefs qu’ils gèrent mais, parfois, les performances peuvent différer par rapport aux attentes. Un Boeing 747 avec une destination proche du point de départ effectuera une montée beaucoup plus rapide et raide que si sa destination était lointaine. Il lui faudra aussi un roulement au décollage plus court. Certains aéronefs à turbopropulseurs de la nouvelle génération auront des perfor-mances supérieures à celles des avions à réaction moyens dans les premières phases suivant le décollage. Les versions dérivées de types d’aéronefs peuvent avoir une vitesse d’approche finale nettement plus élevée que les versions antérieures.

2.13 Communications de radiotéléphonie. Les erreurs de collationnement commises par des pilotes sont des menaces pour l’ATC. (De même, une erreur d’écoute commise par un contrôleur est une menace pour le pilote.) Les procédures de communications par radiotéléphonie sont conçues pour détecter et corriger de telles erreurs (donc pour éviter des menaces) mais, dans la pratique, elles ne fonctionnent pas toujours parfaitement. Les communications entre les pilotes et les contrôleurs peuvent être compromises par des problèmes linguistiques. L’utilisation de deux langues sur la même fréquence ou le partage d’une même fréquence par deux organismes ATC ou plus est également considéré comme une menace relevant de cette catégorie.

2.14 Les contrôleurs de la circulation aérienne connaissent bien les flux de trafic normaux dans leur zone et la façon dont ces flux sont habituellement gérés. Un trafic supplémentaire, tel que des vols de photographie aérienne, des levés aériens, des vols d’étalonnage (navaid), des activités de saut en parachute, des vols de surveillance du trafic routier et des vols de remorquage de panneaux publicitaires, constitue une menace pour la gestion du trafic normal. Plus tôt le contrôleur est au courant de ce trafic supplémentaire, mieux il aura l’occasion de gérer cette menace de façon appropriée.

Menaces environnementales 2.15 La météo est sans doute la catégorie la plus courante de menaces pour tous les aspects de l’aviation, y compris les opérations ATC. La connaissance des conditions météorologiques du moment et des tendances prévues pour au moins la durée du service du contrôleur facilite la gestion de cette menace. Par exemple, des changements de direction du vent peuvent entraîner des changements de pistes. Plus le trafic est dense, plus le choix du moment d’un changement de piste devient crucial. Les contrôleurs planifieront des stratégies pour que ce changement s’effectue en perturbant le moins possible le flux de trafic. Pour les contrôleurs en route, la connaissance des zones de temps significatif permettra d’anticiper des demandes de réacheminement ou de détour.

Page 296: 9859 MANUEL SMS

17-APP 3-4 Manuel de gestion de la sécurité (MGS)

2.16 Une connaissance appropriée des phénomènes météorologiques locaux (par exemple des turbu-lences au-dessus de terrains montagneux, des modes de formation de brouillard et l’intensité des orages) et/ou de phénomènes météorologiques soudains, tels qu’un cisaillement du vent ou des microrafales, contribue à une gestion réussie des menaces météorologiques. 2.17 Environnement géographique. Les menaces de cette catégorie comprennent le relief accidenté ou des obstacles dans la zone de responsabilité du contrôleur. Des menaces moins évidentes peuvent exister, notamment des zones résidentielles qu’il est interdit de survoler sous certaines altitudes ou pendant certains créneaux horaires. Dans certains aéroports, des changements de pistes sont obligatoires à des heures spécifiques de la journée pour des raisons environnementales.

3. ERREURS DANS LE CONTRÔLE DE LA CIRCULATION AÉRIENNE

3.1 Les erreurs peuvent être définies ici comme des « actions ou défauts d’agir de la part d’un ATCO qui mènent à des écarts par rapport aux intentions ou aux attentes de l’organisation ou de l’ATCO ». Des erreurs non gérées et/ou mal gérées mènent fréquemment à des situations indésirables. Les erreurs commises dans le contexte opérationnel tendent donc à réduire les marges de sécurité et à augmenter la probabilité d’événements indésirables. 3.2 Les erreurs peuvent être spontanées (c’est-à-dire sans lien direct avec des menaces spécifiques, évidentes), liées à des menaces ou elles peuvent faire partie d’une chaîne d’erreurs. Voici quelques exemples d’erreurs : non-détection d’une erreur de collationnement de la part d’un pilote ; autorisation d’un aéronef ou d’un véhicule à utiliser une piste déjà occupée ; sélection d’une fonction inappropriée dans un système automatisé ; erreurs de saisie de données.

4. SITUATIONS INDÉSIRABLES DANS LE CONTRÔLE

DE LA CIRCULATION AÉRIENNE Les situations indésirables se définissent comme des « conditions opérationnelles où une situation de trafic non voulue entraîne une réduction des marges de sécurité ». Les situations indésirables découlant d’une gestion inefficace d’une menace et/ou d’une erreur peuvent mener à des situations périlleuses et réduire les marges de sécurité des opérations ATC. Souvent considérées comme la dernière étape avant un incident ou un accident, les situations indésirables doivent être gérées par les ATCO. Voici quelques exemples de situations indésirables : un aéronef monte ou descend à un niveau où il ne devrait pas se trouver ou un aéronef tourne dans une direction contraire à celle qu’il devrait prendre. Des événements tels que des défaillances d’équipements ou des erreurs des équipages de conduite peuvent aussi réduire les marges de sécurité des opérations ATC, mais ces erreurs-là seraient considérées comme des menaces. Une gestion efficace des situations indésirables entraînera un rétablissement des marges de sécurité ; dans le cas contraire, la réaction de l’ATCO peut engendrer une erreur supplémentaire, un incident ou un accident.

Une situation indésirable est souvent, pour le contrôleur, le premier indice qu’une menace ou une erreur antérieure n’a pas été gérée

de façon appropriée.

Page 297: 9859 MANUEL SMS

Chapitre 17. Services de la circulation aérienne (ATS) — Appendice 2 17-APP 3-5

5. CONTRE-MESURES EN CAS DE MENACES OU D’ERREURS 5.1 Dans le cadre de l’exécution normale de leurs tâches opérationnelles, les ATCO utilisent des contre-mesures pour éviter que des menaces, erreurs et situations indésirables ne réduisent les marges de sécurité des opérations ATC. Parmi les exemples de contre-mesures, citons les listes de vérification, les briefings et les SOP, ainsi que des stratégies et tactiques personnelles. Les équipages de conduite consacrent beaucoup de temps et d’énergie à appliquer des contre-mesures pour garantir le maintien des marges de sécurité pendant les vols. Des observations empiriques effectuées pendant la formation et des vérifications donnent à penser que jusqu’à 70 % des activités des équipages de conduite peuvent être liées à l’application de contre-mesures. Un scénario similaire s’applique probablement à l’ATC. 5.2 Toutes les contre-mesures sont nécessairement des actions des ATCO. Toutefois, certaines contre-mesures utilisées par les ATCO pour gérer des menaces, des erreurs et des situations indésirables reposent sur des ressources « concrètes », fournies par le système aéronautique. Ces ressources sont déjà présentes dans le système avant que les ATCO ne se présentent à leur poste et sont dès lors considérées comme des contre-mesures à base systémique. Parmi les exemples de ressources « concrètes » que les ATCO utilisent comme contre-mesures à base systémique, citons : a) l’avertissement d’altitude minimale de sécurité (MSAW) ; b) l’avertissement de conflit à court terme (STCA) ; c) les SOP ; d) les briefings ; e) la formation. 5.3 D’autres contre-mesures sont plus directement liées à la contribution humaine à la sécurité des opérations ATC. Il s’agit de stratégies et tactiques personnelles, ainsi que de contre-mesures individuelles et d’équipe, qui comprennent généralement les aptitudes, connaissances et attitudes qui ont été examinées de façon approfondie et acquises au fil de la formation sur les facteurs humains et surtout de la formation en TRM.

6. INTÉGRER LE MODÈLE TEM DANS LA GESTION DE LA SÉCURITÉ 6.1 La distinction entre les différentes catégories de menaces peut paraître futile aux yeux des contrôleurs d’exploitation : les menaces existent et il faut les gérer au quotidien pendant les heures de service. Les directeurs de la formation, par contre, peuvent souhaiter déterminer quelles catégories de menaces sont abordées dans le programme de leur organisme (bien qu’elles ne soient fort probablement pas présentées comme des menaces pendant la formation). Certaines de ces menaces sont souvent abordées d’une façon moins formelle, notamment sous la forme d’informations empiriques pendant une formation en cours d’emploi. 6.2 Citons, à titre d’exemple, le cas d’un aéroport ayant un plan élémentaire, où la remontée de la piste est requise pour des mouvements. Les contrôleurs travaillant à cet aéroport auront reçu la formation (en salle de cours, dans le simulateur ou en cours d’emploi) qui leur permet de contrôler le trafic à cet aéroport et ils auront l’habitude de gérer cette menace. Néanmoins, chaque remontée de piste par un aéronef constitue une menace pour les opérations ATC et doit être gérée par les contrôleurs.

Page 298: 9859 MANUEL SMS

17-APP 3-6 Manuel de gestion de la sécurité (MGS)

6.3 Du point de vue d’un directeur de la sécurité ATC, il est important de savoir comment cette menace spécifique est gérée par les contrôleurs au quotidien. Sont-ils capables de la gérer sans problèmes majeurs ou les difficultés posées par la gestion de cette menace sont-elles si courantes qu’elles ne sont pas signalées ? Dans le premier cas, il ne serait sans doute pas nécessaire que le directeur de la sécurité prenne des mesures spécifiques. Dans le deuxième cas, il est manifestement nécessaire de prendre des mesures de gestion de la sécurité.

Page 299: 9859 MANUEL SMS

18-1

Chapitre 18

EXPLOITATION TECHNIQUE DES AÉRODROMES

18.1 SÉCURITÉ DES AÉRODROMES — GÉNÉRALITÉS 18.1.1 La sécurité, la régularité et l’efficacité des opérations aériennes aux aérodromes revêtent une importance capitale. C’est pourquoi l’Annexe 14, Volume I, exige que les États certifient les aérodromes utilisés pour les vols internationaux et recommande la certification des aérodromes ouverts au public. Le processus de certification des aérodromes comprend l’approbation/acceptation d’un manuel d’aérodrome qui décrit le système de gestion de la sécurité (SGS) de l’aérodrome. Si un accident catastrophique pendant les opérations au sol relève du possible, un accident mineur pendant que l’aéronef est au sol, surtout pendant une escale, est, quant à lui, assorti d’une probabilité élevée. Chaque année, des exploitants d’aéronefs subissent de lourdes pertes financières à la suite d’accidents survenus pendant les opérations au sol. 18.1.2 Les accidents et incidents survenant en vol font généralement l’objet de comptes rendus détaillés et d’enquêtes. Par contre, les accidents au sol ne reçoivent pas toujours le même degré d’attention. Les exploitants, locataires et prestataires de services basés à l’aérodrome ne signalent pas toujours les accidents et incidents mineurs à la direction de l’aérodrome. Or, ces accidents et incidents mineurs peuvent être le terreau d’accidents plus graves (voir au Chapitre 4, les paragraphes 4.4.16 à 4.4.18 relatifs à la règle 1/600). Pour assurer une gestion efficace de la sécurité, il est crucial de comprendre les circonstances qui génèrent des dangers pour la sécurité aéroportuaire. 18.1.3 Aérodromes et opérations aériennes requièrent pratiquement la même approche de la gestion de la sécurité. En effet, la concentration de nombreuses activités différentes aux aérodromes crée des circonstances très spécifiques, assorties d’un haut potentiel d’accident. 18.1.4 Les événements au sol doivent être examinés dans le contexte général de l’exploitation technique des aérodromes. Les aérodromes rassemblent un mélange dynamique d’activités à haut potentiel de risque. Parmi les facteurs qui participent à ce potentiel de risque, citons : a) le volume et la complexité du trafic (vols nationaux et internationaux, réguliers et non réguliers, vols

d’affrètement et services spéciaux, aviation commerciale et de loisir, aéronefs à voilure fixe et à voilure tournante, etc.) ;

b) la vulnérabilité de l’aéronef au sol (peu maniable, fragile, etc.) ; c) l’abondance de sources à haute énergie (y compris les souffles de réacteurs, les hélices, les carbu-

rants, etc.) ; d) des conditions météorologiques extrêmes (températures, vents, précipitations et mauvaise visibilité) ; e) les dangers posés par la faune sauvage (oiseaux et animaux) ; f) le plan de l’aérodrome (surtout les itinéraires sur les voies de circulation, l’encombrement des aires

de trafic, la conception des bâtiments et structures limitant la visibilité directe, ce qui peut éventuellement entraîner une incursion sur piste) ;

Page 300: 9859 MANUEL SMS

18-2 Manuel de gestion de la sécurité (MGS)

g) l’insuffisance des aides visuelles (par ex. la signalisation, le marquage et les dispositifs lumineux) ; h) la non-adhésion aux procédures en vigueur (surtout à des aérodromes non contrôlés) ; i) les véhicules sur les aires de trafic ; j) les problèmes de transfert d’informations (communications) avec les personnes opérant côté piste ; k) l’utilisation des pistes (y compris l’utilisation simultanée de pistes multiples, les départs à partir d’une

intersection et les pistes préférentielles) ; l) le contrôle des opérations au sol et sur les aires de trafic (parfois compromis par l’encombrement

des fréquences, l’utilisation d’une terminologie non normalisée, des difficultés linguistiques, des erreurs d’indicatifs d’appel, etc.) ;

m) l’insuffisance et le manque de fiabilité des aides visuelles et non visuelles à l’approche ; n) les limitations de l’espace aérien (topographie, obstacles, exigences de réduction du bruit, etc.) ; o) les questions de sûreté ; p) les activités de construction sur un aérodrome opérationnel ; q) les procédures de développement des capacités et l’utilisation d’installations existantes non

conçues pour les générations d’aéronefs les plus récentes. 18.1.5 Dans son contexte opérationnel, l’aérodrome fournit une gamme de services divers pour soutenir les opérations aériennes. En voici quelques exemples : a) planification des vols, y compris les services météorologiques ; b) aides à la navigation, à l’approche et à l’atterrissage ; c) services de communication ; d) contrôle de la circulation aérienne, des opérations au sol et sur les aires de trafic ; e) maintenance des pistes et des aires de trafic (y compris le déneigement et dégivrage, le contrôle

des oiseaux et des animaux sauvages, l’élimination des FOD, etc.) ; f) entretien des avions de tous types ; g) sûreté aéroportuaire ; h) services d’intervention d’urgence de l’aérodrome (c’est-à-dire services de lutte contre les incendies

et de sauvetage) ; i) gestion des locataires (exploitants d’aéronefs, sous-traitants prestataires de services, etc.) ; j) gestion de la clientèle (passagers, affréteurs, etc.).

Page 301: 9859 MANUEL SMS

Chapitre 18. Exploitation technique des aérodromes 18-3

18.1.6 Vu la complexité de l’environnement aéroportuaire, une approche systématique de la sécurité est requise afin de coordonner les différentes activités en vue d’assurer une fourniture sûre de services. Un SGS offre ce type d’approche cohérente. Il permet d’élaborer la philosophie de la sécurité et les politiques connexes, de coordonner et mettre en œuvre les procédures opérationnelles et de surveiller, de façon systématique, les pratiques opérationnelles quotidiennes. Bref, un SGS contribue à créer, au sein de l’aérodrome, une culture de la sécurité propice à une exploitation sûre.

18.2 CADRE RÉGLEMENTAIRE

Exigences de l’OACI en matière de gestion de la sécurité des aérodromes 18.2.1 Les SARP concernant la mise en œuvre de SGS par les exploitants d’aérodromes figurent dans l’Annexe 14 — Aérodromes, Volume I — Conception et exploitation technique des aérodromes. Le Chapitre 1, Section 1.4, exige que le manuel d’aérodrome soumis pour approbation et en vue de l’octroi d’un certificat d’aérodrome contienne des précisions sur le SGS de l’aérodrome. 18.2.2 Le Manuel sur la certification des aérodromes (Doc 9774) présente, à l’Appendice 1, les renseignements à inclure dans le manuel d’aérodrome. La 5e Partie de cet appendice énumère les caractéristiques essentielles d’un SGS d’aérodrome. 18.2.3 Le Doc 9774 stipule que le SGS de l’exploitant d’aérodrome doit couvrir la politique de sécurité, la structure de l’organisation et des responsabilités en matière de sécurité incombant aux individus et au groupe, la fixation des objectifs de performance en matière de sécurité et les systèmes d’évaluation et d’audit de sécurité internes, en vue de garantir et de démontrer la mise en place de mécanismes de contrôle de l’exploitation.

Responsabilités des États 18.2.4 La mise en œuvre des dispositions de l’OACI a des implications à la fois pour les exploitants d’aérodromes et pour l’organe national de réglementation. De plus en plus, les aérodromes sont exploités comme des entreprises privées ou privatisées, qui ne sont pas placées sous le contrôle direct de l’État. Toutefois, l’État, en tant que signataire de la Convention de Chicago, est responsable de la mise en œuvre des SARP de l’OACI. Les principes de gestion de la sécurité décrits dans le présent manuel ne remplacent pas l’obligation de respecter les SARP de l’OACI et/ou les réglementations nationales mais font office d’éléments indicatifs. 18.2.5 Pour assumer sa responsabilité, l’État doit instaurer les dispositions législatives et réglementaires nécessaires pour exiger des exploitants d’aérodromes qu’ils mettent en œuvre des pratiques et procédures systématiques de gestion de la sécurité. Les États devront aussi mettre en place des mécanismes appropriés de supervision afin de garantir que les fournisseurs respectent ces exigences législatives et réglementaires et maintiennent un niveau acceptable de sécurité dans leurs opérations. La mise en place d’un cadre réglementaire est décrite dans le Doc 9774. 18.2.6 Les États doivent créer au sein de l’AAC un organe chargé de veiller au respect des exigences concernant les aérodromes. La structure organisationnelle et la dotation en personnel de cet organe (parfois appelé Direction des normes et de la sécurité des aérodromes [DASS]) devraient être adaptées à l’environnement national et à la complexité du système de l’aviation civile. Le Doc 9774 décrit en détail la création et les responsabilités d’une DASS.

Page 302: 9859 MANUEL SMS

18-4 Manuel de gestion de la sécurité (MGS)

18.2.7 Lorsque la fonction de réglementation et l’exploitation d’un aérodrome sont soumises au contrôle d’un seul organe (par exemple un département de l’administration ou une autorité gouvernementale), il est très important qu’une distinction claire soit maintenue entre ces deux fonctions, à savoir la supervision de la sécurité et la fourniture du service. 18.2.8 Le programme national de sécurité des aérodromes peut être perçu comme s’articulant autour de deux composantes : une fonction de réglementation et de supervision de la sécurité, qui sera toujours de la responsabilité directe de l’État, et une composante de gestion de la sécurité, mise en œuvre par le biais des SGS des exploitants d’aérodromes.

Modalités de respect des obligations légales 18.2.9 Comme exposé au Chapitre 3, l’État peut jouer un rôle actif dans le respect de ses obligations légales, en supervisant étroitement toutes les activités de l’exploitant d’aérodrome ayant un lien avec la sécurité, ou un rôle passif, en vertu duquel une plus grande part de responsabilité est déléguée à l’exploitant d’aérodrome, l’État conservant les responsabilités de supervision. Il y aurait de nombreux avantages à adopter un système national de réglementation qui se situerait entre ces deux extrêmes et qui devrait : a) offrir une répartition équilibrée des responsabilités entre l’État et l’exploitant d’aérodrome pour

garantir une exploitation sûre de l’aérodrome ; b) se justifier du point de vue économique, dans le cadre des ressources de l’État ; c) permettre à l’État de continuer à assurer la réglementation et la supervision des activités des

exploitants d’aérodromes sans entraver indûment le rôle de direction et de contrôle assumé par les exploitants d’aérodromes au sein de leurs organisations respectives ;

d) entraîner la mise en place et le maintien de relations harmonieuses entre l’État et les exploitants

d’aérodromes.

18.3 GESTION DE LA SÉCURITÉ DES AÉRODROMES 18.3.1 Traditionnellement, les aérodromes étaient la propriété de l’État, qui en assurait aussi l’exploi-tation. Cette situation évolue de plus en plus, à mesure que les aérodromes sont transformés en sociétés (ou privatisés) et que la gestion est transférée des agents de l’État aux autorités aéroportuaires ou à des entités privées. Toutefois, que l’aérodrome soit géré par l’État ou par une entité privée, la sécurité reste une préoccupation prioritaire. Un SGS solide peut faciliter une exploitation sûre des aéronefs sur un aérodrome. Toutefois, l’adoption d’un SGS n’élimine pas la nécessité de respecter les SARP de l’Annexe 14, Volume I, et les réglementations nationales en vigueur. Dans le cadre d’un SGS aéroportuaire, il incombe à la direction d’aérodrome de superviser les activités de tous les prestataires de services, locataires, sous-traitants et autres afin d’assurer l’exploitation la plus sûre et la plus efficace possible de l’aérodrome. 18.3.2 Pour assurer l’efficacité du SGS aéroportuaire, il faut d’abord que l’entreprise ait une connais-sance solide du secteur aéronautique. La direction de l’aérodrome doit promouvoir une culture positive de la sécurité. Le résultat dépendra de divers facteurs, dont les ressources affectées à la gestion de la sécurité, les mécanismes de retour d’information mis en place et leurs modalités de gestion au quotidien, la promotion du partage des informations liées à la sécurité entre les divers acteurs participant à l’exploitation de l’aérodrome et une volonté constante d’amélioration.

Page 303: 9859 MANUEL SMS

Chapitre 18. Exploitation technique des aérodromes 18-5

18.3.3 Les Chapitres 12 à 15 donnent des éléments indicatifs sur les principes et pratiques qui président à la mise en place d’un SGS efficace. Les dix étapes énoncées au Chapitre 12 s’appliquent également aux aérodromes.

Portée de la gestion de la sécurité des aérodromes 18.3.4 Un SGS aéroportuaire ne peut que fournir un moyen de contrôler les dangers qui trouvent leur origine dans le système aéroportuaire ou qui pourraient être favorisés par certains aspects du système aéroportuaire. 18.3.5 À titre d’exemple de ce dernier cas, le système de sécurité aéroportuaire ne peut directement remédier aux causes d’un atterrissage d’urgence dû à une défaillance de systèmes d’un aéronef ; il ne peut en fait que s’attaquer aux conséquences d’un atterrissage d’urgence à cet aérodrome. Toutefois, il est important que les procédures d’aérodrome pour la gestion des urgences n’aggravent pas la situation d’urgence. 18.3.6 Dans le présent manuel, le terme Système d’aérodrome couvre non seulement toutes les personnes, technologies et procédures requises pour l’exploitation d’un aérodrome mais aussi les interfaces entre elles.

Le SGS de l’exploitant d’aérodrome 18.3.7 S’il incombe à l’État de promulguer les dispositions législatives et réglementaires appropriées concernant les aérodromes, c’est néanmoins l’exploitant d’aérodrome qui est responsable de la gestion quotidienne de l’aérodrome. 18.3.8 Vu la complexité des facteurs créant un potentiel de risque aux aérodromes, la direction de l’aérodrome doit coordonner les activités des divers intervenants présents à l’aérodrome, qui ont souvent des attentes et des priorités contradictoires. Il faut encourager le partage d’un objectif commun entre ces intervenants, dont la majorité relèvent d’organismes autres que l’autorité aéroportuaire. En outre, il faut obtenir des promesses d’affectation de ressources de la part des compagnies aériennes et d’autres prestataires de services. 18.3.9 Pour instaurer un SGS aéroportuaire, il faut tout d’abord élaborer des politiques de sécurité et procédures opérationnelles appropriées. Ces politiques et procédures opérationnelles ont plus de chances d’être appliquées si les intervenants participent à leur élaboration et si elles sont incluses dans des documents contractuels appropriés, tels que des contrats de location et permis d’exploitation. Un haut degré de coopération de la part de tous les intervenants sera aussi nécessaire pour atteindre le niveau souhaité de normalisation et d’interopérabilité qui est nécessaire pour garantir la sécurité des opérations au sol. L’Appendice 1 du présent chapitre donne un exemple de politique de sécurité d’un exploitant d’aérodrome. 18.3.10 Il faut veiller à ne pas faire passer les intérêts commerciaux, dont dépend la viabilité financière de l’aérodrome, avant les questions de sécurité des opérations. Par exemple, une augmentation du nombre de postes de stationnement d’aéronefs peut accroître les recettes de l’aérodrome mais peut aussi aggraver l’encombrement des aires de trafic, ce qui pose des risques supplémentaires pour la sécurité. Beaucoup de grands aérodromes ont un groupe d’utilisateurs ou comité consultatif fort, constitué de représentants des locataires, exploitants, prestataires de services, etc., de l’aérodrome, qui peut aider la direction de l’aérodrome à prendre des décisions concernant l’exploitation de l’aéroport.

Page 304: 9859 MANUEL SMS

18-6 Manuel de gestion de la sécurité (MGS)

Directeur de la sécurité et comité(s) de sécurité 18.3.11 Les grands aérodromes auraient intérêt à désigner un directeur de la sécurité attitré (DS). Toutefois, la désignation d’un DS ne dégage pas le directeur/administrateur d’aérodrome de la respon-sabilité de gérer efficacement la sécurité. 18.3.12 En outre, les grands aérodromes auront peut-être besoin d’un comité de sécurité. Un tel comité de sécurité, auquel participe le groupe d’utilisateurs mentionné au § 18.3.10, est un instrument efficace pour intégrer les divers points de vue. Un tel comité serait, par exemple, essentiel pour élaborer le plan d’urgence d’aérodrome (examiné au § 18.4). 18.3.13 Logiquement, un DS d’aérodrome coordonnerait les activités du comité de sécurité de l’aérodrome. De plus, vu l’obligation d’intégrer de nombreux intérêts souvent contradictoires, plusieurs sous-comités de sécurité pourraient s’avérer nécessaires. Des groupes distincts pourraient, par exemple, être constitués pour aborder des domaines spécifiques de la sécurité, tels que la sécurité aéroportuaire, la sécurité des aires de trafic, la circulation des véhicules côté piste, le déneigement et le dégivrage et les incursions sur piste. 18.3.14 De plus amples indications sur le rôle et les pratiques du DS et des comités de sécurité sont données aux Chapitres 12 et 15.

Système de comptes rendus d’occurrences liées à la sécurité 18.3.15 Les dangers ne peuvent être maîtrisés que si leur existence est connue. Le compte rendu d’occurrence fournit à cet égard un puissant outil d’identification proactive des dangers pour la sécurité. Par le biais d’un système non punitif de comptes rendus d’occurrences, le directeur d’aérodrome peut puiser dans la diversité des points de vue disponibles dans l’aérodrome pour identifier les situations ou circons-tances sous-jacentes, susceptibles de menacer la sécurité de l’exploitation aérienne. 18.3.16 Comme décrit au Chapitre 7, il existe deux types fondamentaux de système de comptes rendus, à savoir : a) les comptes rendus obligatoires d’accidents et d’incidents, exigés par les réglementations

nationales ; b) les comptes rendus volontaires d’événements de sécurité, qui peuvent ne pas être signalés dans

le cadre des dispositions de comptes rendus obligatoires. 18.3.17 Toutes les organisations présentes à l’aérodrome, y compris les exploitants d’aéronefs, les fournisseurs de services d’escale et d’autres organismes, doivent participer activement au système de comptes rendus d’événements. Toutefois, vu le nombre de groupes d’intervenants concernés et leurs intérêts et priorités divergents, la mise en place et l’utilisation d’un système efficace de comptes rendus d’événements dans un aérodrome constituent un énorme défi. De plus, certains de ces intervenants, notamment les sociétés d’avitaillement, disposent peut-être de leurs propres méthodes de gestion de la sécurité de leurs opérations. 18.3.18 Lorsqu’ils mettent en œuvre un système de comptes rendus d’événements, le personnel, les sous-traitants et les locataires d’un aérodrome devraient tous comprendre clairement : a) les types de dangers dont il faut rendre compte ;

Page 305: 9859 MANUEL SMS

Chapitre 18. Exploitation technique des aérodromes 18-7

b) les mécanismes de comptes rendus ; c) leur sécurité d’emploi ; d) les mesures de suivi prises en rapport avec les dangers détectés.

Supervision de la sécurité 18.3.19 Étant donné la diversité d’activités des nombreux organismes différents, le maintien de normes de sécurité élevées aux aérodromes requiert un programme régulier de contrôle et de surveillance. Aux interfaces entre intervenants (par exemple entre le personnel de l’aérodrome et le personnel des compagnies aériennes ou des prestataires de services travaillant en sous-traitance), il peut exister une tendance à éluder les responsabilités, sous le prétexte que « ce n’est pas mon problème ». Il est dès lors essentiel que les rôles et responsabilités soient clairement définis. 18.3.20 Des changements se produisent partout à mesure que les aérodromes s’agrandissent pour répondre à la croissance de la demande. De nouvelles pistes et voies de circulation, bâtiments d’aérogare, magasins et entrepôts, etc., sont susceptibles d’introduire de nouveaux dangers pour la sécurité. Le directeur d’aérodrome peut exiger qu’une évaluation de la sécurité soit effectuée pour toute proposition de changement significatif relative aux installations, aux services et à l’exploitation de l’aérodrome. 18.3.21 Un SGS aéroportuaire efficace devrait aussi inclure un programme d’audits de sécurité couvrant toutes les activités effectuées à l’aérodrome. Ces audits de sécurité porteraient aussi sur les activités des prestataires de services et des exploitants sur les aires de trafic. Une bonne compréhension des aspects des facteurs humains associés à certaines catégories du personnel, tels le personnel de maintenance, les bagagistes et les conducteurs de véhicules, permettra de percevoir les dangers pour la sécurité. Des accords de coopération avec la direction d’un aérodrome de taille similaire peuvent offrir l’occasion d’acquérir un savoir-faire et une expérience supplémentaires pour pratiquer des évaluations et mener des audits de sécurité efficaces.

Audits de sécurité 18.3.22 Les audits de sécurité constituent une activité fondamentale de la gestion de la sécurité et offrent un moyen d’identifier des problèmes potentiels avant que ceux-ci n’aient une incidence sur la sécurité. Le Chapitre 14 brosse un panorama des principes et pratiques présidant à la mise en place d’un programme d’audits de sécurité. 18.3.23 Le Manuel sur la certification des aérodromes (Doc 9774) stipule que l’exploitant d’aérodrome devrait organiser un audit du SGS aéroportuaire, y compris une inspection des installations et équipements aéroportuaires. L’exploitant d’aérodrome devrait aussi organiser un audit externe d’évaluation des utilisateurs de l’aérodrome, y compris des exploitants d’aéronefs, des fournisseurs de services d’escale et d’autres organisations travaillant à l’aérodrome. Ces audits externes devraient être conduits par des experts en sécurité dûment qualifiés.

18.4 PLANIFICATION DES MESURES D’URGENCE AÉROPORTUAIRE 18.4.1 De nombreux accidents se produisent aux aérodromes ou dans leur voisinage immédiat, ce qui grève les ressources des aérodromes. Offrir une aide appropriée et opportune à un aéronef en situation

Page 306: 9859 MANUEL SMS

18-8 Manuel de gestion de la sécurité (MGS)

d’urgence est l’un des défis les plus difficiles pour la direction d’un aérodrome. Pour garantir une intervention appropriée dans ces moments de grand stress, il est essentiel de disposer d’un plan d’urgence d’aérodrome (AEP). L’Annexe 14, Volume I, Chapitre 9, Section 9.1, énonce des exigences détaillées concernant la mise en place et le maintien d’un AEP. Celles-ci couvrent notamment la nécessaire coor-dination avec d’autres organismes prenant part aux interventions en cas d’urgence. L’AEP reflète un effort de collaboration entre la direction de l’aérodrome, les intervenants sur place et les personnes qui devront exécuter le plan. La section suivante développe la planification des mesures d’urgence aéroportuaire. 18.4.2 La planification des mesures d’urgence aéroportuaire vise à réduire au minimum les effets d’une urgence, surtout en termes de sauvetage de vies humaines et de maintien des opérations aériennes. L’AEP décrit les procédures permettant de coordonner les interventions des différents organismes (ou services) de l’aérodrome et des organismes de la communauté environnante qui pourraient contribuer à faire face à la situation d’urgence. 18.4.3 Le Manuel des services d’aéroport (Doc 9137), 7e Partie — Planification des mesures d’urgence aux aéroports, stipule qu’un AEP devrait être mis en œuvre, que l’accident/incident se soit produit sur le site de l’aéroport ou en dehors du périmètre de l’aéroport. L’AEP devrait tenir compte des opérations en toutes conditions météorologiques et prévoir des lieux potentiels d’accidents sur des zones difficiles entourant l’aérodrome, à savoir des étendues d’eau, des routes, des dépressions et autres zones problé-matiques. Le Chapitre 11 du présent manuel donne des éléments indicatifs sur l’élaboration d’un AEP.

Intervention coordonnée 18.4.4 L’AEP devrait décrire l’intervention, ou la participation, des organismes qui, de l’avis de l’exploi-tant de l’aérodrome, joueraient un rôle actif en cas d’urgence. Parmi ces organismes, citons : a) dans l’enceinte de l’aérodrome : 1) les services de sauvetage et de lutte contre l’incendie ; 2) les services médicaux ; 3) les services de police et/ou de sécurité ; 4) les services administratifs de l’aérodrome, les services ATS, les organismes de maintenance et

les exploitants d’aéronefs ; b) hors de l’aérodrome : 1) la police ; 2) les services d’incendie locaux ; 3) les services médicaux ; 4) les hôpitaux ; 4) les autorités gouvernementales ; 6) l’armée ;

Page 307: 9859 MANUEL SMS

Chapitre 18. Exploitation technique des aérodromes 18-9

7) les services de surveillance des ports et des côtes ; 8) d’autres organismes pertinents.

Exercices d’intervention en cas d’urgence aéroportuaire 18.4.5 L’AEP prévoit le cadre théorique pour une riposte coordonnée à des situations d’urgence survenant sur l’aérodrome ou dans son voisinage immédiat. Toutefois, il est crucial de tester l’AEP afin de déterminer les éventuelles lacunes du plan. Il faudra, par exemple, peut-être résoudre des malentendus entre participants quant à l’applicabilité des procédures en vigueur et revoir des estimations irréalistes d’exigences (temps, ressources, etc.). La mise à l’épreuve du plan permet aussi aux participants d’apprendre à se connaître, de se familiariser aux installations aéroportuaires, etc., et de découvrir le mode de fonctionnement d’autres services. Elle confirme en outre les liens de communication vitaux. 18.4.6 Il existe trois méthodes pour tester un AEP : a) Des exercices complets. Des simulations complètes et réalistes, permettant de tester la totalité

des capacités, installations et services participant à une intervention d’urgence, devraient être organisées sur une base au moins bisannuelle.

b) Des exercices partiels. Des simulations de fonctions sélectionnées d’intervention en cas

d’urgence, telles que la lutte contre les incendies, devraient être réalisées au moins une fois pendant l’année au cours de laquelle aucun exercice complet n’est organisé, ou selon les besoins pour entretenir les compétences.

c) Des exercices sur table. Cette méthode visant à actualiser les procédures, listes de vérification,

listes de numéros de téléphone, etc., et à intégrer les ressources d’intervention en cas d’urgence à peu de frais devrait être coordonnée au moins sur une base semestrielle.

18.4.7 Voici quelques-uns des points les plus importants à prendre en considération lors de l’élaboration d’un plan d’exercices pour l’AEP : a) le personnel du service d’urgence aéroportuaire est régulièrement soumis à des tests portant sur : 1) les procédures d’intervention en cas d’urgence, les premiers secours, etc. ; 2) la lutte contre l’incendie ; 3) les évacuations d’urgence, y compris la connaissance des systèmes d’aéronefs concernés et

des itinéraires d’évacuation, etc. ; b) la communication et les procédures d’appel sont testées et tenues à jour ; c) les itinéraires des véhicules de sauvetage et d’incendie sont bien compris, maintenus dégagés et

inspectés régulièrement ; d) le poste de commandement est désigné, équipé et testé ; e) des installations de morgue temporaire sont disponibles ; f) des procédures sont en place (et testées régulièrement) pour :

Page 308: 9859 MANUEL SMS

18-10 Manuel de gestion de la sécurité (MGS)

1) la maîtrise des foules ; 2) l’accès des médias ; 3) l’accueil des familles et des proches des victimes de l’accident ; g) l’enlèvement de la carcasse de l’aéronef ou la récupération de l’aéronef ; h) les dispositions pour le rétablissement du service ou la poursuite des opérations aéroportuaires, etc.

18.5 SÉCURITÉ DES AIRES DE TRAFIC DES AÉRODROMES 18.5.1 Les accidents sur les aires de trafic entraînent souvent des dommages relativement mineurs mais peuvent parfois provoquer des dommages plus graves. Le revêtement de l’aéronef et les équipements de services d’escale peuvent être endommagés et/ou des membres du personnel, blessés. Parfois, un contact entre un camion de ravitaillement ou un véhicule de service d’escale et un aéronef peut causer des dommages mineurs qui peuvent passer inaperçus ou ne pas être signalés mais peuvent contribuer à une urgence ultérieure en vol. 18.5.2 Les aéronefs peuvent facilement encourir des dommages dont la réparation est onéreuse. Même des accidents mineurs dans le cadre des services d’escale sont chers car ils génèrent des coûts indirects tels que des perturbations des horaires et des frais de logement des passagers. Toutefois, comme de tels événements peuvent ne pas répondre à la définition d’un accident d’aviation, les organisations aéronautiques les considèrent souvent du point de vue de la santé et de la sécurité au travail ou de la sécurité environnementale et non comme un aspect crucial du maintien d’opérations aériennes sûres et efficaces. Souvent, l’idée de créer et d’encourager une culture positive de la sécurité sur les aires de trafic n’est pas suffisamment développée.

Environnement de travail sur les aires de trafic 18.5.3 Du point de vue de la performance humaine, l’environnement de travail sur les aires de trafic est souvent tout sauf idéal pour la sécurité des opérations. Des difficultés peuvent être provoquées par la variété des activités, l’encombrement d’un environnement restreint, les pressions engendrées par des horaires serrés et, souvent, les mauvaises conditions météorologiques ou un éclairage médiocre. L’Appendice 2 du présent chapitre décrit certains des facteurs susceptibles de générer des dangers dans l’environnement de travail des aires de trafic. 18.5.4 Tout bien considéré, le potentiel d’accidents ou de lésions corporelles dans l’environnement des aires de trafic est élevé. Pour réduire ce potentiel, il faut un effort multidisciplinaire consenti par divers départements de l’aérodrome et par les membres du personnel des compagnies aériennes, des prestataires de services et des sous-traitants.

Causes d’accidents sur les aires de trafic 18.5.5 Bien que de nombreux exploitants d’aéronefs aient leurs propres bases de données internes sur les accidents/incidents, il existe peu de sources publiques de données sur les accidents survenus sur les aires de trafic. Beaucoup d’événements au sol ne sont signalés à aucune autorité nationale. Néanmoins,

Page 309: 9859 MANUEL SMS

Chapitre 18. Exploitation technique des aérodromes 18-11

sur la base de l’expérience de l’industrie, les observations générales suivantes peuvent être faites quant aux causes des accidents sur les aires de trafic : a) Les réglementations ou procédures d’exploitation normalisées (SOP) sont inadéquates ou ne

sont pas respectées. b) Une mauvaise discipline et une supervision insuffisante engendrent beaucoup d’accidents

(surtout liés à des excès de vitesse des véhicules). c) L’équipement. Une utilisation incorrecte ou un usage abusif des équipements de services d’escale

peut causer des accidents sur les aires de trafic. d) L’environnement dynamique toujours en mouvement (et agitation) rend le maintien de la

conscience situationnelle difficile, même pour du personnel expérimenté. e) Les conditions météorologiques limitent la performance humaine. f) La formation par rapport à l’exposition au risque. Les organisations forment généralement leur

personnel qualifié de façon adéquate. Toutefois, une forte proportion de travailleurs relativement peu qualifiés, présents sur les aires de trafic et exposés quotidiennement à des risques importants, ne reçoit habituellement que peu de formation et de supervision en matière de sécurité.

g) La performance humaine. Les accidents sur les aires de trafic sont souvent liés à des facteurs

humains découlant d’éléments tels que des erreurs de jugement, des obstacles à la vue, le stress, la distraction, les pressions horaires (ou exercées par les pairs), le relâchement de la vigilance, l’ignorance, la fatigue et une supervision ou un contrôle insuffisant.

Gestion de la sécurité sur les aires de trafic 18.5.6 Les opérations sur les aires de trafic présentent des scénarios aux objectifs souvent contradictoires qui requièrent des prises rapides de décisions en matière de gestion des risques. Pour trouver le juste équilibre entre, d’une part, l’exigence de sécurité et, d’autre part, les pressions opéra-tionnelles visant à assurer un temps d’escale court afin d’éviter les retards et perturbations, il faut consentir des compromis. Des raccourcis peuvent être appliqués aux SOP en vue de faciliter le respect des horaires de départ, souvent sans conséquences négatives. Le personnel peut être réprimandé (voire pénalisé) pour ne pas avoir réussi à faire avancer les choses. Cependant, il peut être « puni » si les pratiques suivies ont contribué à un accident. Comment rompre ce cercle vicieux ? 18.5.7 Les trois pierres angulaires d’un SGS efficace et les activités correspondantes sont exposées au Chapitre 5. Hormis quelques modifications mineures, elles s’appliquent également à la prévention des accidents sur les aires de trafic. Certains facteurs méritent une attention particulière, notamment : a) une formation structurée, axée sur les capacités du personnel et comprenant : 1) une orientation sur la sécurité ; 2) une utilisation sûre des équipements de servitude au sol ; 3) la nécessité de respecter les SOP ;

Page 310: 9859 MANUEL SMS

18-12 Manuel de gestion de la sécurité (MGS)

4) une formation axée sur les compétences, telles que le guidage par placier, et les tâches saisonnières, telles que le dégivrage ;

b) des SOP concrètes et claires, qui sont comprises, mises en œuvre et respectées ; c) un système de comptes rendus de dangers et d’incidents qui encourage les contributions de la part

du personnel des services d’escale ; d) des enquêtes sur les incidents survenus sur des aires de trafic, réalisées par des personnes

compétentes, avec un accent particulier sur les aspects liés à la performance humaine ; e) une collecte et une analyse efficaces des données pertinentes, relatives à la sécurité au sol ; f) l’encouragement d’une culture positive de la sécurité pour tout le personnel des aires de trafic, qui

permette à ce personnel de « s’approprier » sa cote de sécurité ; g) une représentation du personnel des services d’escale et du personnel d’entretien au sol dans les

comités de sécurité avec, éventuellement, un sous-comité distinct pour la sécurité au sol ; h) la communication aux travailleurs des dangers identifiés et des mesures prises pour réduire les

risques ou les éliminer ; i) un programme permanent de sensibilisation à la sécurité ; j) un contrôle de la sécurité des opérations au sol (par le biais d’évaluations et d’audits réguliers).

Circulation des véhicules 18.5.8 Les services d’escale/la manutention au sol d’un aéronef sur les aires de trafic couvrent de nombreuses activités. Des véhicules tels que les camions de ravitaillement, les camions d’avitaillement, les équipements de manutention des bagages et du fret, les véhicules de nettoyage, tous convergent vers l’aéronef quasi simultanément afin de respecter le temps d’escale planifié. Dans de telles conditions, le risque de collision est omniprésent et le potentiel de conséquences graves est énorme. La vitesse excessive dans des zones restreintes et à proximité immédiate d’un aéronef est une cause majeure d’accidents sur les aires de trafic. Une approche systémique est nécessaire pour organiser et contrôler le trafic des véhicules sur les aires de trafic afin de réduire le risque d’accidents. 18.5.9 La plupart des conducteurs de véhicules sur les aires de trafic ne font pas partie du personnel de l’exploitant de l’aérodrome. Ils travaillent pour des prestataires de services, tels que des compagnies aériennes, des sociétés d’avitaillement ou des sociétés de restauration et de nettoyage. Une grande partie de ce personnel n’est pas soumis au contrôle de l’exploitant d’aérodrome. Néanmoins, ces membres du personnel ont normalement besoin d’une forme d’autorisation émise par l’exploitant de l’aérodrome pour rouler sur les aires de trafic. Voici quelques exemples de méthodes de contrôle sûr des véhicules, que les comités de sécurité d’aérodrome et les DS devraient envisager : a) Plan de contrôle des véhicules. Ce plan est généralement élaboré par l’exploitant de l’aérodrome

et s’applique à toutes les aires de trafic et à tous les véhicules qui y circulent. Tous les locataires de l’aérodrome sont tenus de connaître et respecter ce plan, qui doit préciser l’écoulement du trafic, les règles d’exploitation des véhicules, la signalisation et le marquage pour les véhicules et les dispositifs de signalisation.

Page 311: 9859 MANUEL SMS

Chapitre 18. Exploitation technique des aérodromes 18-13

b) Normes de circulation des véhicules. Il s’agit d’un « code de la route » élémentaire régissant la façon de conduire un véhicule à l’intérieur du périmètre de l’aérodrome et mentionnant entre autres les limites de vitesse et de proximité des aéronefs, les priorités de passage. Ce code est normalement édicté par l’autorité aéroportuaire avec l’aide et les conseils des utilisateurs principaux.

c) Limites imposées aux véhicules. Une règle de base consiste à limiter le nombre de véhicules sur

l’aire de stationnement au minimum requis pour effectuer le travail nécessaire. La présence de chaque véhicule doit être justifiée. Tous les véhicules devraient appartenir à des compagnies, aucun véhicule privé n’étant autorisé.

d) Formation des conducteurs de véhicules. Avant d’être autorisés à circuler sur les aires de trafic,

tous les conducteurs doivent avoir suivi une formation (et éventuellement avoir reçu une licence). Ce programme peut être géré par l’exploitant de l’aérodrome ou par d’importants locataires de l’aérodrome conformément aux lignes directrices édictées par l’exploitant de l’aérodrome.

e) Mise en œuvre. L’efficacité de l’exploitation des véhicules côté piste et de tout plan concernant

cette exploitation dépend de la mise en œuvre et du respect des normes d’exploitation. Une surveillance et un contrôle étroits sont nécessaires pour veiller à ce que tous les utilisateurs des aires de trafic respectent les normes de sécurité requises. À cette fin, des mesures coercitives devront être prises à l’égard de ceux qui ne s’y conforment pas.

18.6 RÔLE DES DIRECTEURS DE LA SÉCURITÉ DES AÉRODROMES DANS LA SÉCURITÉ AU SOL

18.6.1 Un DS d’aérodrome peut contribuer de façon significative à améliorer la sécurité au sol et l’efficacité des opérations. La sécurité au sol mérite la même approche systématique et le même souci du détail que la sécurité des vols. Le programme aéroportuaire de prévention des accidents au sol devrait donc comporter tous les éléments d’un SGS (systèmes de comptes rendus de dangers et d’incidents, comités de sécurité, processus de gestion des risques, enquêtes par des personnes compétentes, supervision de la sécurité, etc.). Un SGS aéroportuaire efficace requiert une solide relation de travail entre les divers utilisateurs de l’aérodrome et le DS. Le DS devrait s’intéresser à la pertinence des moyens de défense de l’aérodrome contre les accidents au sol dans des domaines tels que : a) la maintenance de routine de l’aérodrome (surfaces revêtues et non revêtues, dispositifs lumineux,

signalisation, marquage, etc.) ; b) la planification de nouvelles constructions ; c) les inspections de l’aérodrome et des aires de trafic, y compris le contrôle des FOD ; d) le contrôle des mouvements de véhicules ; e) la gestion des dangers liés à la faune, surtout aux oiseaux ; f) les incursions sur piste ; g) le déneigement et le dégivrage ; h) les procédures de comptes rendus d’événements et d’enquêtes ;

Page 312: 9859 MANUEL SMS

18-14 Manuel de gestion de la sécurité (MGS)

i) la planification des interventions en cas d’urgence ; j) les comités de sécurité, surtout le comité de sécurité des aires de trafic ; k) les communications des informations liées à la sécurité au niveau local. 18.6.2 La Figure 18-1 illustre l’application d’un SGS à un aérodrome et le rôle du DS dans ce processus.

Page 313: 9859 MANUEL SMS

Chapitre 18. Exploitation technique des aérodromes 18-15

Figure 18-1. Exemple de SGS aéroportuaire

— — — — — — — —

Législations,réglementations,

normes etpratiques

nationales etinternationales

Comptesrendus

d’accident/incident

et enquêtes

Analyse

Directeur de la sécurité

Recommandationpour la sécurité

Bulletinde sécurité

Comité de sécurité de l’aéroport

Comitéde sécurité

de l’airede trafic

ComitéSMGC

Comitéd’urgence

Organisationset autorités

diverses

Actionscorrectrices

– Procédures nouvelles et révisées– Formation– Campagnes de sécurité– Amélioration des installations et

de l’environnement d’exploitation–

Informationsà la direction

Suggestionspour la sécuritéreçues de tous

les niveaux

Débriefingd’urgence

etdocumentation

Auditsde

sécurité

Système de gestion de la sécurité

Suivi

Page 314: 9859 MANUEL SMS
Page 315: 9859 MANUEL SMS

18-APP 1-1

Appendice 1 au Chapitre 18

EXEMPLE DE POLITIQUE DE SÉCURITÉ D’UN EXPLOITANT D’AÉRODROME

1. Le principal objectif de sécurité de l’« exploitant d’aérodrome » est de réduire au minimum, au niveau le plus faible que l’on puisse raisonnablement atteindre, le risque que se produise un accident d’aéronef sur l’aérodrome ou dans le voisinage de celui-ci. Dès lors, la sécurité recevra la plus haute priorité dans toutes les activités de l’« exploitant d’aérodrome » et primera sur les considérations commerciales, environnementales et sociales. 2. Pour atteindre son principal objectif de sécurité, l’« exploitant d’aérodrome » appliquera, dans l’exploitation de l’aérodrome, une approche méthodique et proactive de la gestion systématique de la sécurité. Un système de gestion de la sécurité sera mis en œuvre pour tous les services de soutien et activités qui relèvent du contrôle de gestion de l’« exploitant d’aérodrome ». 3. Toute personne participant aux fonctions opérationnelles de l’« exploitant d’aérodrome » assume personnellement la responsabilité de ses propres actes en matière de sécurité. Comme la sécurité fait partie intégrante des fonctions de gestion, tous les cadres hiérarchiques sont responsables de la performance en matière de sécurité de leurs domaines de responsabilité et doivent veiller au respect des exigences de sécurité. 4. L’« exploitant d’aérodrome » se conformera à toutes les obligations légales et aux exigences de gestion de la sécurité de l’« autorité de réglementation ».

— — — — — — — —

Page 316: 9859 MANUEL SMS
Page 317: 9859 MANUEL SMS

18-APP 2-1

Appendice 2 au Chapitre 18

FACTEURS DE DANGERS DANS L’ENVIRONNEMENT DE TRAVAIL DES AIRES DE TRAFIC

Les points suivants illustrent certains des facteurs qui contribuent à créer un environnement de travail dangereux sur les aires de trafic des aérodromes. a) La manutention au sol des aéronefs comprend les activités requises lors d’une escale d’un aéronef,

notamment : 1) le guidage par placier et le calage des aéronefs à l’arrivée ; 2) l’avitaillement ; 3) la réparation des défectuosités et l’exécution de la maintenance de routine des aéronefs ; 4) le dégivrage et l’antigivrage des aéronefs ; 5) les services de restauration, nettoyage des cabines, ravitaillement en eau potable et entretien

des toilettes des aéronefs ; 6) l’embarquement/le débarquement des passagers ; 7) le chargement et le déchargement des bagages et du fret ; 8) le remorquage et le refoulement des aéronefs. b) Outre la complexité des opérations sur les aires de trafic, la nature de la manutention au sol génère

un grand potentiel de dangers pour la sécurité en raison notamment des aspects suivants : 1) la taille et la forme des aéronefs par rapport à la propension des conducteurs de véhicules à

commettre des erreurs de perception et de jugement des distances et emplacements ; 2) le revêtement et les appendices (par ex. les antennes et les sondes) fragiles des aéronefs, qui

sont vite endommagés ; 3) le besoin de préserver l’intégrité aérodynamique et structurale de l’aéronef ; 4) les contraintes d’espace et de temps ; 5) le nombre de travailleurs peu qualifiés, peu rémunérés et peu motivés. c) Plusieurs facteurs humains exacerbent le potentiel d’accident généré par les éléments précités. Les

facteurs suivants caractérisent en général l’environnement de travail et les tâches de manutention au sol :

Page 318: 9859 MANUEL SMS

18-APP 2-2 Manuel de gestion de la sécurité (MGS)

1) environnement de travail hostile (bruit, souffle des réacteurs, variations météorologiques et conditions de luminosité difficiles) ;

2) travail dans un espace limité (souvent de hauteur restreinte) au milieu de l’encombrement d’autres

véhicules et personnels de services d’escale et des mouvements des aéronefs adjacents ; 3) contraintes de temps pour le respect des horaires de départ (ou pour rattraper un retard) ; 4) charge de travail cyclique avec des pics de demande suivis de creux entre des aéronefs en

transit ; 5) fréquent travail par équipes ; 6) obligation de manier toute une gamme d’équipements d’entretien spécialisés et chers ; 7) la main-d’œuvre (surtout les chargeurs-bagagistes) comporte souvent des temporaires peu

qualifiés ; 8) les travailleurs des aires de trafic sont souvent employés par des organismes autres que

l’autorité aéroportuaire (par ex. des compagnies aériennes, des prestataires de services et des entreprises de restauration) ;

9) les facteurs organisationnels découlant de l’incapacité de la direction d’accorder un même

degré d’attention à la sécurité au sol qu’à la sécurité des vols.

Page 319: 9859 MANUEL SMS

19-1

Chapitre 19

MAINTENANCE DES AÉRONEFS

19.1 SÉCURITÉ DE LA MAINTENANCE — GÉNÉRALITÉS 19.1.1 Jusqu’à tout récemment, l’intérêt porté à la réduction systématique des risques était moins grand dans les activités de maintenance des aéronefs que dans les opérations aériennes. Or, chaque année, des erreurs de maintenance et d’inspection sont mentionnées comme facteurs ayant contribué à plusieurs accidents et graves incidents dans le monde.

19.1.2 La sécurité des vols dépend de la navigabilité des aéronefs. La gestion de la sécurité dans les domaines de la maintenance, de l’inspection, de la réparation et de la révision revêt donc une importance vitale pour la sécurité des vols. Dès lors, les organismes de maintenance doivent suivre la même approche disciplinée de la gestion de la sécurité que celle requise pour les opérations aériennes. Toutefois, il peut être difficile de se conformer à une telle discipline dans le domaine de la maintenance. Les activités de maintenance peuvent être réalisées par la compagnie aérienne elle-même ou sous-traitées à des orga-nismes agréés de maintenance et, en conséquence, peuvent avoir lieu bien loin de l’aéroport d’attache de la compagnie aérienne.

19.1.3 Les conditions propices à des erreurs liées à la maintenance peuvent s’installer longtemps avant qu’une erreur soit finalement commise. Par exemple, une fissure de fatigue non détectée peut prendre des années pour se développer jusqu’au point de rupture. Contrairement aux équipages de conduite qui sont informés quasiment en temps réel de leurs erreurs, le personnel de maintenance ne reçoit habituel-lement que peu de retours d’informations sur son travail jusqu’à ce qu’une défaillance se produise. Pendant ce temps, le personnel de maintenance peut continuer à créer les mêmes conditions dangereuses latentes. En conséquence, le monde de la maintenance prévoit une variété de moyens de défense en matière de sécurité, dont des redondances multiples des systèmes de bord, dans le but de renforcer le système. Parmi ces défenses figurent aussi la certification des organismes de maintenance, l’emploi d’AME titulaires d’une licence, les directives sur la navigabilité, des SOP détaillées, les cartes de travail, l’inspection du travail et les certifications de conformité et états des travaux effectués.

19.1.4 Le potentiel de risque peut être créé par les conditions dans lesquelles les travaux de mainte-nance sont souvent effectués, y compris par des variables telles que les questions organisationnelles, les conditions sur le site de travail, et les aspects de la performance humaine relatifs à la maintenance des aéronefs. Certains des grands problèmes de maintenance susceptibles d’avoir une incidence sur la sécurité sont exposés à l’Appendice 1 du présent chapitre.

19.1.5 Dans un contexte de maintenance d’aéronef, le terme « sécurité » est souvent considéré comme revêtant deux significations : l’une met l’accent sur l’hygiène et la sécurité au travail aux fins de protéger les AME, les installations et les équipements ; l’autre concerne le processus visant à garantir que les AME fournissent un aéronef répondant aux normes de navigabilité pour les opérations aériennes. Bien que les deux puissent être inextricablement liées, ce chapitre se concentre sur la deuxième et n’aborde guère les questions d’hygiène et sécurité au travail (HST).

Page 320: 9859 MANUEL SMS

19-2 Manuel de gestion de la sécurité (MGS)

19.2 GESTION DE LA SÉCURITÉ DE LA MAINTENANCE 19.2.1 Vu la nature de la fonction de maintenance, l’environnement de travail des AME et les nombreux aspects liés aux facteurs humains susceptibles de compromettre la performance souhaitée, une approche systématique de la sécurité s’impose, c’est-à-dire un système de gestion de la sécurité (SGS). Le Chapitre 5 décrit comment une gestion de la sécurité à l’échelon du système reconnaît les interdé-pendances et interactions organisationnelles et la nécessité d’intégrer les efforts consentis en matière de sécurité dans l’ensemble de l’exploitation. Des SGS efficaces se construisent sur les trois pierres angulaires suivantes : a) une approche unifiée de la sécurité au niveau de l’entreprise ; b) des outils efficaces pour atteindre les objectifs du programme ; c) un système formel de supervision de la sécurité et d’évaluation du programme. 19.2.2 Chacun de ces aspects d’un SGS est développé ci-dessous.

Approche unifiée de la sécurité au niveau de l’entreprise 19.2.3 L’approche unifiée de la sécurité au niveau de l’entreprise donne le ton quant à la manière dont l’organisation développe sa philosophie et sa culture de la sécurité. Les facteurs suivants peuvent s’avérer pertinents dans le choix de l’approche que l’organisation souhaite adopter en matière de gestion de la sécurité : a) taille de l’organisme de maintenance (les grands exploitants requièrent en général une plus grande

structure) ; b) nature des opérations (par ex. 24 heures sur 24, opérations comprenant soit des vols internationaux

ou réguliers, soit des vols locaux ou non réguliers) ; c) statut de l’organisation (par ex. département d’une compagnie aérienne ou entreprise indépendante) ; d) maturité de l’organisation et de son personnel (par ex. stabilité et expérience de l’entreprise) ; e) relations sociales (par ex. passé récent et complexité) ; f) culture d’entreprise actuelle (ou culture de la sécurité souhaitée) ; g) portée des travaux de maintenance (par ex. station service ou révision lourde d’un aéronef ou de

systèmes majeurs). Organisation en fonction de la sécurité 19.2.4 Le Chapitre 12 (voir les Figures 12-1 et 12-2) expose deux exemples de structures organisationnelles pour une compagnie aérienne, qui reflètent tous deux les liens hiérarchiques directs et informels entre les départements des opérations, de la sécurité et de la maintenance. Ces canaux de communication dépendent du climat de confiance et de respect créé dans les relations de travail quoti-diennes des personnes concernées.

Page 321: 9859 MANUEL SMS

Chapitre 19. Maintenance des aéronefs 19-3

19.2.5 Chez un exploitant d’aéronefs, le directeur de la sécurité (DS) doit avoir des responsabilités et liens hiérarchiques clairement définis en ce qui concerne la gestion de la sécurité dans le département de la maintenance. L’organisme de maintenance peut exiger qu’un technicien spécialisé travaille avec le DS. Le DS aura au minimum besoin des conseils de spécialistes du département de la maintenance. 19.2.6 Le comité de sécurité de la compagnie devrait comprendre des représentants du département de la maintenance. Chez les grands exploitants, un sous-comité spécifique pour les questions de sécurité liées à la maintenance peut se justifier. Gestion de la documentation et des états 19.2.7 Les départements de la maintenance sont fort tributaires de systèmes permettant une saisie, un stockage et une extraction systématiques des gros volumes d’informations requis pour la gestion de la sécurité. En voici quelques exemples : a) les bibliothèques techniques doivent être tenues à jour (notamment pour les instructions techniques,

les certifications de type, les consignes de navigabilité et les bulletins de service) ; b) les défectuosités et travaux de maintenance réalisés doivent être consignés sur des états détaillés ; c) les données sur le contrôle des performances et des systèmes doivent être conservées pour les

analyses de tendance ; d) les politiques, objectifs et buts de l’entreprise en matière de sécurité doivent être documentés et

diffusés de façon officielle ; e) la tenue à jour des dossiers reprenant la formation du personnel, ses qualifications et l’actualisation

de ses compétences, etc. ; f) la conservation des informations sur l’histoire, la vie des composants, etc. 19.2.8 Chez un grand exploitant, une grande partie de ces informations seront numérisées. Dès lors, le succès du SGS d’un organisme de maintenance dépendra en grande partie de la qualité et de la tenue à jour de ses systèmes de gestion des documents et des états. Répartition des ressources 19.2.9 Sans ressources adéquates, le meilleur SGS établi sur papier sera dépourvu de toute utilité. Pour se protéger des pertes dues à un accident, il faudra investir. Il faudra, par exemple, affecter des ressources à : a) du personnel compétent pour concevoir et mettre en œuvre le système de sécurité du département

de la maintenance ; b) une formation à la gestion de la sécurité pour tout le personnel ; c) des systèmes de gestion des informations pour stocker les données liées à la sécurité et du

personnel ayant les compétences requises pour analyser ces données.

Page 322: 9859 MANUEL SMS

19-4 Manuel de gestion de la sécurité (MGS)

Culture de la sécurité 19.2.10 Dans un organisme de maintenance, si la culture de la sécurité est mauvaise, des pratiques de travail dangereuses ne seront peut-être pas corrigées, ce qui peut créer des conditions dangereuses latentes susceptibles de ne générer un problème que des années plus tard. La capacité de la direction à favoriser une culture positive de la sécurité dans le département de la maintenance dépendra en grande partie de la méthodologie utilisée pour aborder les questions précitées et pour mettre en œuvre le SGS.

Principaux outils de gestion de la sécurité de la maintenance 19.2.11 Le fonctionnement efficace d’un SGS de la maintenance s’appuie sur un processus déci-sionnel axé sur les risques, concept qui fait depuis longtemps partie intégrante des pratiques de maintenance. Ainsi, les cycles de maintenance reposent sur les probabilités que les systèmes et composants ne connaîtront aucune défaillance pendant la période concernée du cycle. Les composants sont souvent remplacés parce qu’ils ont atteint leur « limite de fonctionnement », même si, sur le plan fonctionnel, ils restent en bon état de service. Sur la base des connaissances et de l’expérience, les risques de défaillances inattendues sont réduits à des niveaux acceptables. 19.2.12 Voici quelques-uns des principaux outils nécessaires au fonctionnement d’un SGS pour la maintenance : a) des SOP clairement définies et mises en œuvre ; b) des affectations des ressources axées sur les risques ; c) des systèmes de comptes rendus de dangers et d’incidents ; d) des programmes d’analyse des données de vol ; e) un contrôle des tendances et des analyses de la sécurité (y compris des analyses coûts-avantages) ; f) des enquêtes menées par du personnel compétent sur les événements liés à la maintenance ; g) une formation à la gestion de la sécurité ; h) des systèmes de communication et de retours d’informations (y compris des échanges d’infor-

mations et la promotion de la sécurité).

Supervision de la sécurité et évaluation du programme 19.2.13 Comme pour tout « système », des retours d’informations sont nécessaires pour s’assurer que les différents éléments du SGS de la maintenance fonctionnent comme prévu. Le maintien de normes élevées de sécurité dans un organisme de maintenance requiert contrôles et surveillance réguliers de toutes les activités de maintenance. C’est tout particulièrement le cas aux interfaces entre membres du personnel (notamment entre le personnel de maintenance et les équipages de conduite, entre les différents corps de métiers ou entre équipes qui se relaient) afin d’éviter d’être victime de « défaillances du système ». Le Chapitre 10 examine les méthodes de maintien de la supervision de la sécurité, notamment la conduite d’audits de sécurité réguliers.

Page 323: 9859 MANUEL SMS

Chapitre 19. Maintenance des aéronefs 19-5

19.2.14 L’évolution est inévitable dans le secteur aéronautique et la maintenance n’échappe pas à la règle. Le directeur de la maintenance peut exiger qu’une évaluation de la sécurité soit réalisée pour tout changement significatif de l’organisation de la maintenance. Les circonstances qui pourraient justifier la réalisation d’une évaluation de la sécurité comprennent une fusion d’entreprises et l’introduction d’une nouvelle flotte, de nouveaux équipements, systèmes ou installations. Ainsi, il est possible de repérer toute nécessité d’adaptations et de prendre les mesures correctrices. 19.2.15 Le SGS de maintenance devrait être évalué régulièrement afin de garantir que les résultats escomptés sont bel et bien atteints. L’évaluation du programme devrait donner des réponses satisfaisantes à des questions telles que : a) Dans quelle mesure la direction a-t-elle réussi à instaurer une culture positive de la sécurité ? b) Quelles sont les tendances en matière de comptes rendus de dangers et d’incidents (par aspect

technique, par flotte d’aéronefs, etc.) ? c) Les dangers sont-ils identifiés et résolus ? d) Des ressources adéquates ont-elles été attribuées au SGS de la maintenance ?

19.3 GESTION DES ÉCARTS PAR RAPPORT AUX PROCÉDURES DE MAINTENANCE

19.3.1 Le système de maintenance comprend non seulement les AME en atelier mais aussi tous les autres techniciens, ingénieurs, planificateurs, gestionnaires, magasiniers et autres personnes qui participent au processus de maintenance. Dans un système aussi large, des écarts par rapport aux procédures et des erreurs de maintenance sont inévitables et fréquents. 19.3.2 Les accidents et incidents attribuables à la maintenance résultent plus souvent d’actes humains que de défaillances mécaniques. Souvent, ils sont le résultat d’écarts par rapport aux procédures et pratiques en vigueur. Même des défaillances mécaniques peuvent refléter des erreurs au niveau de l’observation (ou du signalement) de défectuosités mineures avant que celles-ci n’évoluent jusqu’à entraîner une défaillance. 19.3.3 Les erreurs de maintenance sont souvent facilitées par des facteurs indépendants de la volonté des AME, notamment : a) les informations requises pour exécuter le travail ; b) les équipements et outils requis ; c) les limites de conception des aéronefs ; d) les exigences du travail ou de la tâche ; e) les exigences en termes de connaissances techniques ou d’aptitudes ; f) les facteurs liés à la performance individuelle (c’est-à-dire les facteurs SHEL) ; g) les facteurs environnementaux ou liés au lieu de travail ;

Page 324: 9859 MANUEL SMS

19-6 Manuel de gestion de la sécurité (MGS)

h) les facteurs organisationnels tels que le climat de l’entreprise ; i) le leadership et la supervision. 19.3.4 Des organismes de maintenance sûrs favorisent le signalement consciencieux des erreurs de maintenance, surtout de celles qui compromettent la navigabilité, afin que des mesures efficaces puissent être prises. À cette fin, il faut une culture dans laquelle le personnel se sente à l’aise pour signaler les erreurs au supérieur hiérarchique une fois que celles-ci ont été repérées. 19.3.5 De nouveaux systèmes sont en cours d’élaboration pour gérer les écarts par rapport aux procé-dures (et gérer les erreurs) dans le contexte de la maintenance des aéronefs. En général, ces systèmes sont des sous-ensembles d’un SGS général de la maintenance et ils présentent les caractéristiques suivantes : a) ils favorisent des comptes rendus libres et francs des événements qu’il ne serait normalement pas

obligatoire de signaler ; b) ils offrent des formations au personnel sur le but et les procédures du SGS de la maintenance, y

compris une définition claire des politiques disciplinaires des départements (par ex. une mesure disciplinaire ne devrait être nécessaire que pour les cas de négligence ou de non-respect délibéré des instructions données au sujet des procédures) ;

c) ils recourent à du personnel compétent pour mener des enquêtes de sécurité sur les erreurs

signalées ; d) ils recherchent des mesures de sécurité appropriées pour assurer le suivi des carences de sécurité

détectées ; e) ils communiquent les résultats au personnel ; f) ils fournissent des données appropriées pour l’analyse des tendances.

Système d’aide à la décision pour les erreurs de maintenance (MEDA) 19.3.6 Un des outils de gestion des écarts par rapport aux procédures de maintenance est le Maintenance Error Decision Aid (MEDA) conçu par la société Boeing. Le MEDA donne au supérieur hiérarchique de première ligne (et au DS) une méthode structurée pour analyser et repérer les facteurs qui ont entraîné des erreurs de maintenance et pour recommander des stratégies de prévention des erreurs. 19.3.7 Le processus MEDA comporte cinq étapes de base, à savoir : a) L’événement. À la suite d’un événement, il incombe à l’organisme de maintenance de sélectionner

les aspects découlant d’erreurs qui seront soumis à l’enquête. b) La décision. Après avoir résolu le problème et avoir remis l’aéronef en état de service, l’exploitant

décide si l’événement était lié à la maintenance. Si oui, l’exploitant mène une enquête MEDA. c) L’enquête. L’exploitant mène une enquête en suivant un document structuré (conçu spécialement

pour le MEDA). L’enquêteur y consigne les informations générales sur l’aéronef, les moments où la maintenance et l’événement ont eu lieu, l’événement qui a précipité l’enquête, l’erreur qui a causé l’événement, les facteurs qui ont déclenché l’erreur et les stratégies de prévention possibles.

Page 325: 9859 MANUEL SMS

Chapitre 19. Maintenance des aéronefs 19-7

d) Les stratégies de prévention. La direction examine les stratégies de prévention, les classe par ordre de priorité, les met en œuvre, puis en assure le suivi (améliorations des processus) afin d’éviter, ou de réduire la probabilité, que des erreurs similaires se produisent à l’avenir.

e) Un retour d’information est donné au personnel de maintenance afin que les AME sachent que

des changements ont été apportés au système de maintenance au terme du processus MEDA. Il incombe à la direction de souligner l’efficacité de la participation des membres du personnel et de valider leur contribution au processus MEDA en partageant les résultats d’enquête avec eux.

19.3.8 L’Appendice 2 du présent chapitre donne une description plus détaillée du MEDA.

19.4 PRÉOCCUPATIONS DU DIRECTEUR DE LA SÉCURITÉ 19.4.1 Dans une compagnie, un DS sera souvent confronté à la difficulté de donner des conseils judicieux à la haute direction sur la partie du SGS qui concerne la maintenance — surtout si le DS n’est pas issu du secteur de la maintenance d’aéronefs. Il devra relever plusieurs défis, notamment : a) comprendre la gestion de la sécurité dans le contexte dans lequel les travaux de maintenance sont

effectués ; b) se forger une crédibilité personnelle surtout en acquérant suffisamment de connaissances sur les

pratiques professionnelles sûres acceptées dans l’industrie et en se tenant au courant des évolutions technologiques dans le domaine de la maintenance d’aéronefs. (Un des moyens par lesquels le DS peut améliorer sa compréhension de la nature complexe de la maintenance d’aéronefs est de discuter avec des chefs de services de maintenance et de se familiariser aux diverses facettes de la liste de vérification MEDA.) ;

c) nouer et entretenir de bonnes relations de travail avec : 1) les directeurs responsables de la maintenance d’aéronefs et de l’intégration de la sécurité de la

maintenance dans le SGS général de l’entreprise ; 2) les éventuels conseillers techniques ; d) créer une synergie entre le personnel de maintenance et les autres participants au SGS ; e) développer un esprit de coopération et de coordination de routine des activités entre les dépar-

tements des opérations aériennes et de la maintenance, surtout pour déterminer si les comptes rendus de divergences sont suffisants ou pour exploiter un système FDA ;

f) réaliser en temps voulu une analyse crédible des données liées à la sécurité, recueillies au moyen

des divers outils utilisés pour identifier les dangers ; g) obtenir la participation active et volontaire du département de la maintenance aux comités de

sécurité de la compagnie. 19.4.2 Lorsqu’ils vérifient l’efficacité de la gestion de la sécurité dans le département de la mainte-nance, les DS feraient bien d’accorder une attention particulière aux points suivants : a) la suffisance de la documentation de maintenance ;

Page 326: 9859 MANUEL SMS

19-8 Manuel de gestion de la sécurité (MGS)

b) la qualité des communications vers le haut et vers le bas, ainsi que des communications hori-zontales au sein de l’organisme de maintenance ;

c) les facteurs environnementaux influençant la performance humaine ; d) la qualité de la formation au niveau tant des connaissances liées aux tâches à accomplir que des

compétences techniques ; e) les systèmes de comptes rendus d’erreurs et d’analyse des tendances visant à identifier des

dangers systémiques ; f) les moyens disponibles pour mettre en œuvre les changements nécessaires pour réduire ou

éliminer les carences de sécurité détectées ; g) l’existence d’une culture de la sécurité non punitive et qui tolère les erreurs.

— — — — — — —

Page 327: 9859 MANUEL SMS

19-APP 1-1

Appendice 1 au Chapitre 19

CONDITIONS DE TRAVAIL DANS LE DOMAINE DE LA MAINTENANCE

1. Voici quelques-uns des aspects types qui ont une incidence sur les conditions de travail dans lesquelles les activités de maintenance d’aéronefs sont exécutées : a) Aspects organisationnels : 1) contraintes de temps pour respecter les horaires de départ et une exploitation en continu ; 2) aéronefs vieillissants exigeant des inspections approfondies pour détecter les signes de fatigue,

de corrosion et vérifier l’état général, etc. ; 3) nouvelles technologies nécessitant de nouveaux outils, de nouvelles procédures de travail, des

recyclages coûteux, etc. ; 4) priorité donnée à la réparation afin de respecter les horaires (par ex. remplacer les pièces

cassées sans déterminer la cause de la défaillance — parfois due à une mauvaise conception ou à un montage incorrect) ;

5) expansions et fusions de compagnies aériennes, qui entraînent, par exemple, la fusion de

départements de maintenance ayant des pratiques de travail et des cultures de la sécurité différentes ;

6) externalisation des services, qui sont confiés à des sous-traitants (par ex. pour des entretiens

lourds ou des révisions) ; 7) introduction involontaire de pièces non conformes (moins coûteuses, de qualité inférieure), etc. ; 8) octroi de licences aux AME pour divers aéronefs, générations et types d’aéronefs, et cons-

tructeurs d’aéronefs.

b) Conditions sur le lieu de travail : 1) conceptions d’aéronefs qui ne sont pas conviviales du point de vue de la maintenance (par

exemple, accès difficile aux composants, hauteur inappropriée depuis le sol) ; 2) contrôle des configurations d’aéronefs (constamment soumises à modifications) par rapport à la

normalisation des tâches et procédures de maintenance ; 3) disponibilité (et accessibilité) des pièces de rechange, des outils, de la documentation, etc.; 4) exigences d’accès immédiat aux volumineuses informations techniques et nécessité de tenir à

jour des états de travaux détaillés ;

Page 328: 9859 MANUEL SMS

19-APP 1-2 Manuel de gestion de la sécurité (MGS)

5) facteurs environnementaux variables (par exemple, les différences de conditions de travail entre l’aire de stationnement, l’atelier technique ou l’aire de hangar) ;

6) conditions de travail exceptionnelles créées par des activités simultanées et les intempéries sur

l’aire de stationnement ; 7) lacunes dans la fourniture en temps voulu de comptes rendus de divergences compréhensibles

et précis par les équipages de conduite, etc. c) Facteurs humains dans le secteur de la maintenance : 1) les conditions de travail et d’organisation (telles que décrites ci-dessus) ; 2) les facteurs environnementaux (par ex. la température, l’éclairage et le bruit) ; 3) les facteurs individuels (par ex. charge de travail, exigences physiques et maintenance) ; 4) les horaires (par ex. travail par équipes, travail de nuit et heures supplémentaires) et l’octroi de

périodes de repos suffisantes ; 5) la pertinence des SOP (par ex. exactitude, compréhensibilité et convivialité) ; 6) la qualité de la supervision ; 7) l’utilisation appropriée des cartes de travail, etc. (en d’autres termes, les pratiques de travail

réelles sont-elles conformes aux SOP ?) ; 8) l’efficacité de la formation théorique, de la formation en cours d’emploi, des recyclages et de la

formation aux facteurs humains ; 9) la qualité du transfert aux changements d’équipes et de la tenue à jour des états ; 10) l’ennui ; 11) les facteurs culturels (par ex. le professionnalisme des AME et la franchise dans le signalement

des erreurs et des dangers). 2. Le manuel intitulé Lignes directrices sur les facteurs humains dans la maintenance aéronautique (Doc 9824) donne des informations sur le contrôle des erreurs humaines et l’élaboration de contre-mesures pour pallier les erreurs dans la maintenance aéronautique. Il est destiné aux directeurs des organismes de maintenance, aux exploitants d’aéronefs et aux administrations de l’aviation civile.

— — — — — — —

Page 329: 9859 MANUEL SMS

19-APP 2-1

Appendice 2 au Chapitre 19

SYSTÈME D’AIDE À LA DÉCISION POUR LES ERREURS DE MAINTENANCE (MEDA)

1. Le MEDA offre un cadre structuré pour documenter les facteurs jouant un rôle dans les erreurs et pour recommander des stratégies adéquates de prévention des erreurs. Le MEDA repose sur les principes fondamentaux ci-après :

a) les erreurs de maintenance ne sont pas commises volontairement ;

b) la plupart des erreurs de maintenance résultent d’une série de facteurs contributifs ;

c) nombre de ces facteurs contributifs font partie des processus de l’exploitant et peuvent donc être gérés.

2. Traditionnellement, la suite donnée à des erreurs de maintenance se limitait trop souvent à identifier l’événement causé par une erreur de maintenance puis à sanctionner quiconque avait commis l’erreur. Le processus MEDA va beaucoup plus loin (sans suites disciplinaires, sauf en cas de violation délibérée des procédures). Après avoir mené l’enquête sur l’événement causé par une erreur de maintenance et avoir identifié qui avait commis l’erreur, le système MEDA facilite les actions suivantes : a) la détermination des facteurs qui ont contribué à l’erreur ; b) l’interview des personnes responsables (et d’autres si nécessaire) pour obtenir tous les

renseignements pertinents ; c) l’identification des obstacles organisationnels ou systémiques qui n’ont pas réussi à prévenir l’erreur

(et les facteurs contributifs expliquant cette défaillance) ; d) la collecte, auprès des personnes responsables (et d’autres si nécessaire), d’idées pour améliorer

les processus ; e) la tenue à jour d’une base de données des erreurs de maintenance ;

f) l’analyse des tendances des erreurs de maintenance ;

g) la mise en œuvre des améliorations à apporter aux processus sur la base des enquêtes et analyses des erreurs ;

h) la fourniture de retours d’informations à tout le personnel concerné par des améliorations des processus.

3. Les listes de vérification du système MEDA facilitent la conduite des interviews (c’est-à-dire la collecte des données) et le stockage des données dans une base de données des erreurs de maintenance. Pour comprendre le contexte dans lequel les erreurs de maintenance sont commises, voici dix domaines sur lesquels il faudrait recueillir des données :

Page 330: 9859 MANUEL SMS

19-APP 2-2 Manuel de gestion de la sécurité (MGS)

a) L’information. Cette catégorie comprend les cartes de travail, les manuels des procédures de maintenance, les bulletins de service, les instructions techniques, les catalogues illustrés de pièces de rechange et toutes autres informations écrites ou numériques fournies soit en interne ou par le constructeur, qui sont considérées comme nécessaires à l’exécution de la tâche de l’AME. Parmi les facteurs expliquant pourquoi les informations ont été difficiles à obtenir ou n’ont pas été utilisées, citons :

1) la compréhensibilité (y compris le format, le niveau de détail, l’utilisation de la langue, la clarté

des illustrations et l’exhaustivité) ; 2) la disponibilité et l’accessibilité ; 3) l’exactitude, la validité et la pertinence par rapport à la situation actuelle ; 4) les contradictions. b) Les équipements/outils. Cette catégorie comprend tous les outils et matériels nécessaires pour

l’exécution correcte des tâches de maintenance ou d’inspection. Outre les foreuses, clefs, tournevis, etc., habituels, il faut y inclure les équipements d’essais non destructifs, les postes de montage, les boîtes d’essais et les outils spéciaux mentionnés dans les procédures de maintenance. Parmi les facteurs expliquant dans quelles circonstances les équipements ou outils peuvent compromettre la performance de l’AME, citons :

1) un matériel dangereux à utiliser pour l’AME (par ex. absence de dispositifs de protection ou

instabilité) ; 2) un matériel non fiable, endommagé ou usé ; 3) une mauvaise disposition des commandes ou des écrans ; 4) des erreurs de lecture ou d’étalonnage ; 5) un matériel inadapté à la tâche à effectuer ; 6) l’indisponibilité du matériel ; 7) un matériel ne pouvant être utilisé dans l’environnement prévu (notamment en raison de limites

spatiales ou de la présence d’humidité) ; 8) l’absence de notices d’emploi ; 9) un matériel trop compliqué. c) La conception/la configuration/les pièces des aéronefs. Cette catégorie comprend tous les

aspects des diverses conceptions ou configurations d’aéronefs qui limitent l’accès de l’AME pour effectuer les activités de maintenance. Elle couvre en outre le mauvais étiquetage ou l’indisponibilité des pièces de rechange, qui entraîne l’utilisation de pièces de substitution. Parmi les facteurs pouvant entraîner dans ce cas des erreurs de la part de l’AME, citons :

1) la complexité des procédures d’installation ou d’essai ; 2) la taille ou le poids du composant ;

Page 331: 9859 MANUEL SMS

Chapitre 19. Maintenance des aéronefs — Appendice 2 19-APP 2-3

3) l’inaccessibilité ; 4) la variabilité de la configuration (par ex. due aux différences de modèles d’un même type

d’aéronef ou à des modifications) ; 5) l’indisponibilité des pièces ou leur mauvais étiquetage ; 6) la facilité avec laquelle la pièce peut être mal montée (par ex. en raison d’un retour d’information

insuffisant ou de l’absence de marques d’orientation ou d’indicateurs de sens d’écoulement, ou de la présence de connecteurs identiques).

d) Le travail/la tâche. Cette catégorie comprend la nature du travail à exécuter, y compris la combinaison

et la succession des diverses tâches composant le travail. Parmi les facteurs pouvant faciliter des erreurs de maintenance dans ce domaine, citons :

1) la répétitivité ou la monotonie des tâches ; 2) la complexité des tâches ou leur capacité à susciter la confusion (par ex. longue procédure avec

tâches multiples ou simultanées, effort physique ou mental exceptionnel requis) ; 3) la nouveauté ou la modification de tâches ; 4) les variations des tâches ou procédures en fonction du modèle d’aéronef ou de l’endroit où doit

être effectué le travail de maintenance. e) Les connaissances/aptitudes techniques. Cette catégorie comprend la connaissance des

processus de l’exploitant, des systèmes de l’aéronef et des tâches de maintenance ainsi que les compétences techniques pour exécuter les tâches ou sous-tâches attribuées sans commettre d’erreur. Parmi les facteurs connexes pouvant compromettre l’exécution du travail, citons :

1) l’insuffisance des compétences malgré la formation, les difficultés de mémorisation ou un

mauvais processus décisionnel ; 2) l’insuffisance de la connaissance de la tâche due à une formation ou à une expérience pratique

insuffisante ; 3) une mauvaise planification de la tâche entraînant des interruptions de procédures ou la

planification d’un trop grand nombre de tâches pour le temps disponible (par ex. incapacité d’obtenir d’abord tous les outils et matériels nécessaires) ;

4) une connaissance insuffisante des processus de l’exploitant, notamment en raison d’une

formation et d’une initiation insuffisantes (par ex. incapacité de commander les pièces néces-saires à temps) ;

5) une connaissance insuffisante des systèmes d’aéronefs (par ex. essai après installation et

localisation des pannes incomplets). Nombre des carences précitées requièrent une amélioration du suivi et de l’évaluation de la

performance technique concrète de l’AME. f) Facteurs individuels. Cette notion couvre les facteurs ayant une incidence sur la performance des

individus et variant d’une personne à l’autre, tels que les éléments apportés au travail par l’individu

Page 332: 9859 MANUEL SMS

19-APP 2-4 Manuel de gestion de la sécurité (MGS)

(par ex. taille/force, santé et événements personnels) ainsi que les éléments résultant de facteurs interpersonnels ou organisationnels (par ex. les pressions exercées par les pairs, les contraintes de temps, la fatigue due au travail même, aux horaires ou au travail par équipes). La liste de véri-fication MEDA mentionne les éventuels facteurs suivants pouvant entraîner des erreurs de maintenance :

1) la santé physique, y compris l’acuité sensorielle, des maladies ou blessures préexistantes, des

douleurs chroniques, des traitements médicamenteux et l’abus de drogues ou d’alcool ; 2) la fatigue due à la saturation des tâches, à la charge de travail, aux rotations d’équipes, au

manque de sommeil ou à des facteurs personnels ; 3) les contraintes de temps dues au rythme de travail, à la disponibilité des ressources pour

effectuer les tâches attribuées, aux pressions pour respecter l’heure à la porte de minutage, etc. ;

4) les pressions exercées par les pairs pour suivre les pratiques dangereuses du groupe, le mépris

des informations écrites, etc. ; 5) le relâchement de la vigilance (par ex. dû à une trop grande familiarité avec des tâches répé-

titives ou à des attitudes dangereuses d’invulnérabilité ou d’excès de confiance) ; 6) la taille ou la force inadaptées pour répondre aux exigences de force ou atteindre les éléments

voulus (par ex. dans des espaces confinés) ; 7) des événements personnels tels que la mort d’un membre de la famille, des problèmes conju-

gaux ou un changement de situation financière ; 8) des distractions sur les lieux de travail (par ex. dues à des interruptions dans un environnement

de travail en constante mutation). g) L’environnement/les installations. Cette catégorie couvre tous les facteurs susceptibles non

seulement d’avoir une incidence sur le confort de l’AME mais aussi de créer des problèmes de santé ou de sécurité qui peuvent perturber l’AME. Voici quelques-uns des facteurs environ-nementaux que le système MEDA identifie comme susceptibles d’entraîner des erreurs de maintenance :

1) des niveaux de bruit élevés qui compromettent les communications ou le retour d’information ou

perturbent la concentration, etc. ; 2) une chaleur excessive qui limite la capacité de l’AME à physiquement manier les pièces ou les

équipements ou cause une fatigue personnelle ; 3) un froid prolongé qui diminue le sens du toucher ou de l’odorat ; 4) l’humidité ou la pluie qui tombe sur l’aéronef, sur des surfaces de pièces ou d’outils, ou entrave

l’usage de documents écrits ; 5) les précipitations entravant la visibilité ou nécessitant des vêtements de protection encombrants ; 6) l’éclairage insuffisant pour lire les instructions ou les affichettes, mener des inspections visuelles

ou exécuter les tâches ;

Page 333: 9859 MANUEL SMS

Chapitre 19. Maintenance des aéronefs — Appendice 2 19-APP 2-5

7) le vent qui entrave la capacité d’entendre ou de communiquer ou irrite les yeux, les oreilles, le nez ou la gorge ;

8) les vibrations qui rendent la lecture des instruments difficile ou provoquent une fatigue des

mains ou des bras ; 9) la saleté qui gêne les inspections visuelles, et rend le sol ou l’objet à saisir glissant, ou l’encom-

brement de l’espace de travail disponible ; 10) des substances dangereuses ou toxiques qui réduisent l’acuité sensorielle, causent des maux

de tête, des vertiges ou d’autres malaises, ou requièrent le port de vêtements de protection peu maniables ;

11) des sources d’électricité insuffisamment protégées ou marquées ; 12) une ventilation insuffisante causant malaise ou fatigue ; 13) un espace de travail trop encombré ou mal organisé. h) Les facteurs organisationnels. Cette catégorie regroupe des facteurs tels que la communication

interne avec les organismes de soutien, le niveau de confiance établi entre la direction et les AME, la connaissance et l’acceptation des objectifs de la direction et les activités syndicales. Tous ces aspects peuvent avoir une incidence sur la qualité du travail et donc sur la possibilité que des erreurs de maintenance soient commises. Voici quelques-uns des facteurs organisationnels que le système MEDA identifie comme susceptibles d’entraîner des erreurs de maintenance :

1) la qualité du soutien apporté par les organisations techniques (soutien incohérent, tardif ou

médiocre pour d’autres motifs); 2) les politiques d’entreprise qui sont inéquitables ou incohérentes dans leur mise en œuvre ou ne

tiennent pas compte de circonstances particulières, etc. ; 3) les processus de travail de la compagnie, y compris des SOP inappropriées, des inspections

inadéquates du travail et des manuels obsolètes ; 4) des activités syndicales qui détournent l’attention du travail ; 5) des mutations de l’entreprise (par ex. restructurations) engendrant incertitude, délocalisations,

licenciements, rétrogradations, etc. i) Le leadership et la supervision. Cette catégorie est étroitement liée à celle des facteurs

organisationnels. Bien que les supérieurs hiérarchiques chargés de l’inspection n’exécutent norma-lement pas de tâches de maintenance, ils peuvent créer un terrain favorable aux erreurs de maintenance par des carences au niveau de la planification, de l’établissement des priorités et de l’organisation des tâches. Les supérieurs hiérarchiques et la direction doivent donner une idée claire des objectifs de la fonction de maintenance et des moyens qui lui permettront d’atteindre ces objectifs ; dans leurs activités quotidiennes, ils doivent montrer l’exemple, c’est-à-dire que leurs actes doivent être à la mesure de leurs paroles. Voici quelques domaines où les faiblesses en matière de leadership et de supervision peuvent créer un environnement de travail propice à des erreurs de maintenance :

Page 334: 9859 MANUEL SMS

19-APP 2-6 Manuel de gestion de la sécurité (MGS)

1) planification ou organisation inadéquate des tâches qui se répercute sur le temps ou les ressources disponibles pour mener à bien le travail dans les règles ;

2) détermination inadéquate des tâches prioritaires ; 3) délégation ou attribution inadéquate des tâches ; 4) attitude ou attentes irréalistes, entraînant un manque de temps pour terminer le travail ; 5) style de supervision excessif ou inapproprié, qui critique après coup les AME ou s’avère

incapable d’associer ceux-ci aux décisions qui les concernent ; 6) réunions excessives ou futiles. j) La communication. Cette catégorie couvre toute défaillance dans la communication (écrite ou

orale) qui empêche l’AME d’obtenir en temps utile l’information correcte concernant une tâche de maintenance. Voici quelques exemples d’interfaces entre membres du personnel où, selon le système MEDA, des défaillances de communication se produisent, ce qui crée un risque d’erreurs de maintenance :

1) entre départements — directives écrites incomplètes ou vagues, transmission des informations

à un mauvais destinataire, conflits de personnes ou incapacité de transmettre des informations en temps utile ;

2) entre AME — absence pure et simple de communication ; mauvaise communication due à des

barrières linguistiques, utilisation de mots d’argot ou d’acronymes, etc. ; l’AME omet de poser des questions en cas de doute ou n’émet pas de suggestions lorsque des changements sont nécessaires ;

3) entre équipes — transferts inadéquats de travaux en raison de briefings oraux médiocres (ou

bâclés) ou mauvaise tenue des états (cartes de travail, listes de vérification, etc.) ; 4) entre les membres de l’équipe de maintenance et leur chef — lorsque le chef omet de

transmettre des informations importantes aux membres de l’équipe (notamment briefing insuffisant en début de poste ou retour d’information insuffisant sur les performances); lorsque les membres de l’équipe omettent de signaler des problèmes ou des opportunités au chef ; lorsque les rôles et responsabilités ne sont pas clairement définis ;

5) entre le chef de l’équipe de maintenance et la direction — lorsque la direction omet de

transmettre des informations importantes au chef de l’équipe (notamment discussion des buts et projets, retours d’informations sur les travaux terminés) ; lorsque le chef de l’équipe omet de signaler des problèmes ou des opportunités à la direction ; etc. ;

6) entre l’équipage de conduite et l’équipe de maintenance — inscriptions vagues ou incomplètes

dans le carnet de route ; signalement tardif de défaillances ; non-utilisation du système embarqué de communications, d’adressage et de compte rendu (ACARS)/de la liaison de données ; etc.

Page 335: 9859 MANUEL SMS

Réf. 1-1

RÉFÉRENCES

Association du transport aérien international. Mars 2002, Non-Punitive Policy Survey. Chappell, Dr. S. 1994, « Using Voluntary Incident Reports for Human Factors Evaluations », Aviation

Psychology in Practice, Avebury Press. Flight Safety Foundation. Juillet–septembre 1998, « Aviation Safety: U.S. Efforts to Implement Flight

Operational Quality Assurance Programs », Flight Safety Digest. Flight Safety Foundation. Mai 1999, « FSF Icarus Committee Report: Aviation Grapples with Human-factors

Accidents », Flight Safety Digest. Flight Safety Foundation. Otobre 1989, « Control of Crew-Caused Accidents », Flight Safety Digest. Global Aviation Information Network (GAIN). 2001, Cabin Safety Compendium. Global Aviation Information Network (GAIN). 2002, Operator’s Flight Safety Handbook. Paries, J., A. Merritt et M. Schmidlin. 1999, Development of a Methodology for Operational Incident

Reporting and Analysis Systems (OIRAS), Appel d’offres DGAC No 96/01. Reason, J. 1992, « Collective Mistakes in Aviation: The Last Great Frontier », Flight Deck, Numéro 4. Transports Canada. Novembre 1996, TP 12883, Human Factors: Management & Organization:

Management’s Role in Safety. Transports Canada. 2001, TP 13095, La gestion des risques et la prise de décisions au sein de la Direction

générale de l'Aviation civile. Transports Canada. Mars 2002, TP 13881, Systèmes de gestion de la sécurité destinés aux exploitants

aériens et aux organismes de maintenance des aéronefs. United Kingdom Civil Aviation Authority. Avril 2002, CAP 712, Safety Management Systems for Commercial

Air Transport Operations. United Kingdom Civil Aviation Authority. Juin 2003, CAP 670, Air Traffic Services Safety Requirements. United Kingdom Civil Aviation Authority. Août 2003, CAP 739, Flight Data Monitoring. Wood, R.H. 2003, Aviation Safety Programs: A Management Handbook, 3e édition, Englewood, Colorado,

Jeppesen.

— FIN —

Page 336: 9859 MANUEL SMS

Page blanche

Page 337: 9859 MANUEL SMS

PUBLICATIONS TECHNIQUES DE L’OACI

Le résumé ci-après précise le caractère des diversesséries de publications techniques de l’Organisation del’aviation civile internationale et décrit, en termesgénéraux, la teneur de ces publications. Il n’est pas faitmention des publications spéciales qui ne font pas partied’une série: Catalogue des cartes aéronautiques ouTableaux météorologiques pour la navigation aérienneinternationale, par exemple.

Les Normes et pratiques recommandéesinternationales sont adoptées par le Conseil en vertudes dispositions des articles 54, 37 et 90 de laConvention relative à l’aviation civile internationale, etconstituent les Annexes à la Convention. Sont classéescomme normes internationales les spécifications dontl’application uniforme par les États contractants estreconnue nécessaire à la sécurité ou à la régularité de lanavigation aérienne internationale; les spécificationsdont l’application uniforme est reconnue souhaitabledans l’intérêt de la sécurité, de la régularité ou del’efficacité de la navigation aérienne internationale sontclassées comme pratiques recommandées. Laconnaissance de toute différence entre les règlements ouusages d’un État et les dispositions d’une normeinternationale est essentielle à la sécurité ou à larégularité de la navigation aérienne internationale. Auxtermes de l’article 38 de la Convention, un État qui nese conforme pas aux dispositions d’une normeinternationale est tenu de notifier toute différence auConseil de l’OACI. La connaissance des différences parrapport aux pratiques recommandées peut aussiprésenter de l’importance pour la sécurité de lanavigation aérienne; bien que la Convention n’imposepas d’obligation à cet égard, le Conseil a invité les Étatscontractants à notifier ces différences en plus desdifférences par rapport aux normes internationales.

Les Procédures pour les services de navigationaérienne (PANS) sont approuvées par le Conseil pourêtre mises en application dans le monde entier. Ellescomprennent surtout des procédures d’exploitation quine paraissent pas avoir atteint un stade de maturitésuffisant pour être adoptées comme normes et pratiquesrecommandées internationales, ainsi que desdispositions présentant un caractère plus définitif, mais

trop détaillées pour être incorporées à une Annexe, oususceptibles d’être amendées fréquemment, et pourlesquelles la méthode prévue dans la Convention seraitinutilement compliquée.

Les Procédures complémentaires régionales(SUPPS) ont un caractère analogue à celui desprocédures pour les services de navigation aérienne, carelles ont été aussi approuvées par le Conseil, mais ellesne sont applicables que dans certaines régions. Ellessont établies sous forme de recueil, car certaines d’entreelles s’appliquent à des régions qui se chevauchent, ousont communes à plusieurs régions.

Les publications ci-après sont établies sous l’autoritédu Secrétaire général, conformément aux principesapprouvés par le Conseil.

Les Manuels techniques donnent des indications etrenseignements qui développent les dispositions desnormes, pratiques recommandées et procéduresinternationales; ils sont destinés à faciliter la mise enapplication de ces dispositions.

Les Plans de navigation aérienne présentent sousune forme concise les plans OACI de mise en oeuvredes installations et services destinés à la navigationaérienne internationale dans les diverses régions denavigation aérienne de l’OACI. Ils sont établis, pardécision du Secrétaire général, d’après lesrecommandations des réunions régionales de navigationaérienne et les décisions du Conseil au sujet de cesrecommandations. Les plans sont amendéspériodiquement pour tenir compte des changementssurvenus dans les installations et services nécessaires etde l’état d’avancement de la mise en application.

Les Circulaires permettent de communiquer auxÉtats contractants des renseignements pouvant lesintéresser dans le cadre de diverses spécialités. Ellescomprennent des études sur des questions techniques.

Page 338: 9859 MANUEL SMS

© OACI 20066/06, F/P1/250

N de commande 9859Imprimé à l’OACI

o