Reflecting on Jens Rasmussen’s legacy
Le Coze, J. C. (2015). Reflecting on Jens Rasmussen’s legacy. A strong program for a hard problem. Safety Science, 71, 123-141.
Our opinion
Jens Rasmussen (1926-2018) est l’un des fondateurs du renouveau de la science de la sécurité industrielle. René Amalberti, directeur de la Foncsi, est l’un des rares Français à l’avoir connu et longuement fréquenté à son laboratoire de Risø au Danemark entre 1988 et 1991, au cours du projet Européen MOHAWC (Models of Human Work in Context), à raison d’une semaine par mois, avec d’autres Européens qu’il avait inspirés, ou dont il s’inspirait : James Reason (avant qu’il ne publie son livre sur l’erreur humaine), Dietrich Dorman, Bert Brehmer, Inge Svedung, Veronique de Keyser, Maurice de Montmollin, pour n’en citer que quelques-uns. Dès le début des années 80, il avait aussi profondément influencé James Reason ; il avait encadré Erik Hollnagel (alors jeune professeur assistant à Copenhague) ; David Woods venait de passer un peu plus d’une année sabbatique chez lui ; de même que Kim Vicente, autre expert de référence sur la conception des interfaces. Jens Rasmussen était l’attraction, la plaque tournante du nouveau monde des FOH.
Pour mieux retracer sa contribution, René Amalberti a fait le choix dans ce conseil de lecture de reprendre un très bon article de synthèse sur son œuvre publié dans Safety Science en 2015 par Jean-Christophe Le Coze (Ineris, et expert Foncsi).
Notre synthèse
Ce document couvre ses 30 ans d’activités interdisciplinaires et montre l’évolution de son parcours, qui va des modèles cognitifs à la conception d'interfaces, de la définition des erreurs humaines à toute la fiabilité humaine, jusqu’aux enquêtes sur les accidents et à la modélisation sociotechnique globale de la sécurité.
Plusieurs disciplines scientifiques sont concernées : ingénierie, psychologie, gestion de la sécurité et cybernétique ; et c’est tout l’art de Rasmussen, ingénieur de formation, d’avoir eu cette ouverture d’esprit et cette capacité transversale à lire des domaines qui travaillaient en silo.
La modélisation de l’opérateur, le modèle « Skills, Rules, Knowledge » (SRK)
Le modèle « Habitudes-Règles-Connaissances » (Skills, Rules, Knowledge - SRK) est le premier modèle de cognition de l’opérateur face à une activité de contrôle publié par Rasmussen, et un des modèles les plus connus des facteurs humains notamment pour la conception des interfaces Homme-Machine. Ses prémices remontent à la fin des années 60 et sa forme définitive au début des années 1980.
Son succès est dû à sa capacité à englober des mécanismes de base de la cognition qui peuvent être facilement compris par un large public (en particulier les concepteurs ayant une formation d'ingénieur).
Ce modèle distingue trois niveaux de comportements cognitifs de l’opérateur
- S de « Skills » : Les comportements basés sur les habitudes, les routines et les processus automatiques inconscients, intériorisés par l'expérience, déclenchés par des stimulations de l’environnement et du contexte (suivi du tracé de la route et ajustement de la vitesse pour un conducteur par exemple).
- R de « Rules » : Les comportements basés sur les règles explicites et connues, que les opérateurs activent consciemment pour effectuer le travail en lien avec des règles d’action professionnelles finalisées, et le contexte perçu (« si je vois ou comprends cela… alors le savoir de mon métier me dit de faire ceci… »).
- K de « Knowledge » : Les comportements basés sur toutes les connaissances pour faire face à de nouvelles circonstances, où il faut trouver des réponses qui ne sont pas directement disponibles dans le répertoire de l’opérateur (pas de règles d’action) et qui nécessitent de ce fait une vraie résolution de problème (par exemple le fait de s’être perdu dans son itinéraire, et de devoir « faire un point » sur quoi faire maintenant)
Ce modèle SRK a fait le lit d’une science naissance : celle du « cognitive engineering », le terme engineering se référant à la finalité pratique des modèles à un moment ou l’automatisation et l’informatisation changeaient les nouvelles interfaces notamment dans l’aviation, ou le nucléaire.
Dans un article publié en 1969, Rasmussen prévenait qu’un concepteur d’interface homme-machine ne doit pas se baser sur son propre modèle mental (d’informaticien) […] car les procédures de diagnostic utilisées par les utilisateurs sont toujours différentes de celles des concepteurs ; elles doivent faire l’objet d’une étude préalable (et de la connaissance sur l’homme comme ce qui est dit dans le modèle SRK) pour obtenir une interface compréhensible et simple pour l’usager.
Dans la poursuite de ce modèle SRK au début des années 70, il lance une vaste étude des activités de dépannage et de maintenance qui va profondément marquer ses orientations scientifiques (Rasmussen et Jensen, 1974). Cette étude de terrain révèle :
- Une grande variété de stratégies que les dépanneurs utilisent, qui vont de stratégies très routinières et procédurales, jusqu’à de rares mais véritables résolutions de problème.
- Et un répertoire de modèles mentaux chez tous ces opérateurs qui reflète une expertise capable de solliciter des niveaux d’abstraction différente sur le même objet en fonction des circonstances. On retrouve ainsi des compétences sous forme de simples cartographies et de représentations topographiques, des compréhensions fonctionnelles schématiques, des représentations physiques de composantes (pompes, vanne, etc.), des théories et bien plus.
- Rasmussen observe aussi beaucoup de stratégies locales de type essai-erreur en contradiction avec ce à quoi les concepteurs peuvent s’attendre pour des tâches de dépannage confiées à des opérateurs hautement qualifiés. Mais ces stratégies s’expliquent toujours par une recherche du meilleur ratio par l’humain entre économie de ressources (gestion de la charge de travail, du temps, complexité inutile) et efficacité optimale dans le contexte proposé (vitesse de résolution, satisfaction du résultat).
Cette étude sur la maintenance conduit Jens Ramussen à proposer deux nouveaux modèles en 1976 :
Le premier est un modèle de l’opérateur de contrôle de processus, s’appuyant sur les modèles cognitifs de traitement de l’information de l’époque (Newell et Simon, 1972). Rasmussen combine ici l’idée que l’opérateur dispose d’un processeur mental lent et sériel (processeur conscient) coopérant avec un traitement parallèle de grande capacité (processeur subconscient lié à la perception et aux interactions sensori-motrices avec l’environnement). Cette coopération entre les deux processeurs est basée sur un « modèle dynamique du monde » permettant la variabilité des stratégies dans différents environnements.
Le second modèle : le modèle de l’échelle (step-ladder model - SLM). Il est schématique et montre que l’opérateur utilise des raccourcis pour s’éviter de fonctionner à un niveau trop coûteux en ressources. L’opérateur cherche ces raccourcis par souci d’économie. Le modèle de l’échelle nous dit que face à une tâche à accomplir :
- L’opérateur peut « monter et descendre l’échelle ». On « monte » en percevant la demande, l’identifiant, la classifiant, pour rechercher une solution (le sommet de l’échelle) ; et on commence à « descendre » en sélectionnant des solutions, en préparant un plan puis une première procédure d’action, puis en mettant en action.
- Le modèle prédit que l’opérateur professionnel « cherche toujours à s’éviter de monter et descendre l’échelle » (trop long, inutile dans les cas les plus fréquents). L’opérateur peut ainsi « couper » sa montée ‒ faire un raccourci ‒ et utiliser un comportement basé sur les règles (suivi de procédures) ; il suffit d’identifier le problème pour disposer d’un plan d’action.
- Mais même ce comportement basé sur les règles mobilise encore (trop) d’énergie attentionnelle et va être rapidement abandonné au profit d’un autre raccourci plus extrême vers un comportement routinier, automatisé, qui permet de faire le travail vite et bien en associant perception à action, en restant à la base de l’échelle et en gardant la capacité d’investir en parallèle d’autres préoccupations plus stratégiques (c’est le cas quand on conduit son véhicule en mode routinier en libérant notre esprit pour penser par exemple à notre réunion du matin…).
Ces raccourcis successifs sont pour Rasmussen le reflet fondamental de l’apprentissage et des trois stades d’acquisition de l’expertise professionnelle faisant passer tout opérateur du mode attentif et analytique du novice, au mode intermédiaire associatif du jeune professionnel (suivi de règles) pour finir en mode autonome, réflexe et routinier du professionnel aguerri. Tout apprentissage, même complexe, finit par la simple répétition des actes à conduire à ce mode final routinier.
La critique de Hollnagel
Erik Hollnagel (1983) jugeait ce modèle SRK, et les modèles dérivés, trop « mécanicistes », normatifs, découplés du contexte. Cette critique rejoignait une autre critique sur le focus sur l’erreur humaine de Rasmussen et Reason. L’erreur pour Hollnagel était considérée comme une mauvaise entrée pour bâtir un système sûr, un produit « à charge » des jugements externes issus des enquêtes d’incidents et d’accidents, qui ignorent tout des situations et contextes dans lesquels les mêmes comportements ont été réussis et non vecteurs d’échecs. Pour Hollnagel, c’est le contexte qui construit la cognition en situation, ses erreurs et ses succès, ce qui va l’amener avec David Woods à introduire l’idée de « Joint Cognitive Systems », signant en 1983 leur différence et séparation progressive de Jens Rasmussen et leur nouveau parcours vers la résilience (Cognitive Systems Engineering: New Wine in New Bottles, 1983).
L’auteur de l’article note que la critique sur le contexte était excessive, mais que celle sur l’erreur avait plus de sens et pouvait être influente et décisive pour conduire à des changements potentiels dans les stratégies de conception. Il note aussi finalement que c’est la simplicité, la « force graphique » et l’opérationnalité du modèle SRK ‒ comme beaucoup des modèles de Rasmussen (ce qui n’était pas le cas du Joint cognitive model) ‒ qui l’a finalement imposé chez les concepteurs.
L’erreur humaine : focus commun et différences entre Reason et Rasmussen
L’étude sur l’erreur humaine a commencé dans deux domaines indépendants. L’un reposait sur une tradition psychologique (les travaux de Reason et de son co-auteur Micielska se centraient sur les erreurs de tous les jours, particulièrement les omissions ‒ every-day errors, lapses and slips) ; l’autre soutenu par Rasmussen sur l’ingénierie cognitive, la conception d’interfaces et les questions de modèle mental incorrect de la machine (du logiciel, de l’automate) chez l’opérateur (le plus souvent favorisée par une conception insuffisamment « users friendly »). Pendant presque 10 ans, les deux lignes sont restées peu connectées, jusqu’à l’accident nucléaire de Three Mile Island en 1979 et l’énorme éclairage donné à cette occasion à l’erreur humaine comme cause d’accident.
Trois aspects principaux distinguent les deux approches :
- Reason et Micielska considèrent l’erreur sous un angle psychologique. Les erreurs sont un moyen de théoriser la psychologie, en s’appuyant sur les écrits freudiens notamment sur les ratés de comportements (mental lapses), avec l’aide de nouvelles métaphores disponibles dans le domaine, y compris une analogie avec l’informatique et le traitement de l’information. Le focus sur des histoires d’accidents n’est pour eux que prétexte, et source de données pour révéler les rouages secrets de l’esprit. C’est juste le chemin inverse qui intéresse Rasmussen : partir des erreurs constatées pour changer opérationnellement le travail des opérateurs (et la conception des systèmes).
- Reason et Micielska se sont concentrés sur les erreurs liées aux processus cognitifs automatiques ou inconscients. L’orientation de Rasmussen était radicalement différente. Pour lui, « la plupart des accidents sont déclenchés par des opérations non routinières [...] la majorité des échecs peuvent être attribués à l’opérateur humain dans des situations complexes et inhabituelles lorsqu’il doit ajuster ses procédures en tenant compte de nombreux paramètres. L’angle adopté est d’aider les opérateurs pour faire face à la complexité et en gérant les erreurs inéluctables » (Rasmussen et Lind, 1981), grâce à une conception d’interface appropriée.
- Le troisième aspect est précisément l’utilisation presque exclusive de données de laboratoire chez Reason, alors que Rasmussen ne considérait utile, et faisant sens, que les données venant du terrain.
Une perspective « naturaliste » sur « l’erreur humaine »
Rasmussen partageait avec Reason la vision naturelle sur l’erreur (produit inéluctable de la cognition) mais il en tirait des conséquences différentes : pour optimiser les performances, pour développer des compétences fluides et efficaces, il considérait important de laisser à l’opérateur l’opportunité d’effectuer des expériences d’essais et d’erreurs ; les erreurs humaines pouvaient en quelque sorte être considérées comme des expériences positives, même si parfois elles aboutissaient à des conséquences inacceptables. Rasmussen considérait que le bénéfice (pour l’apprentissage) versus la sévérité inacceptable des conséquences de l’erreur dépendait en fait non pas du mécanisme psychologique mais de la qualité de conception de l’environnement de travail. Rasmussen résumait cette idée en disant : « Si un raccourci est réussi, on dira que la personne est maligne ; sinon, on dit que c’est une erreur et elle sera blâmée ».
Les deux domaines (psychologie/ingénierie cognitive) se sont donc réunis en début des années 80, mais leurs trajectoires ont légèrement divergé par la suite en partie à cause de ces différences.
Pour simplifier : l’un (Reason) parle de caractériser l’erreur pour l’éliminer, la bloquer ; alors que l’autre (Rasmussen) parle de gérer l’erreur. Cette orientation pratique vers la gestion des erreurs a conduit Jens Rasmussen à imaginer la sécurité d’un système comme celle d’une enveloppe de fonctionnement à gérer de façon à laisser s’exprimer le « style » de chaque opérateur (sa cognition, son apprentissage), tout en empêchant de violer les contraintes du domaine de travail.
La différence entre fiabilité technique et humaine et analyse de sécurité
L’accident de Three Mile Island (TMI) a induit à une forte demande de quantification statistique du risque d’erreur humaine. Rasmussen a toujours été en retrait de cette perspective (Human Reliability Assessment - HRA). Il disait notamment en 1983 : « Dans certains domaines, notamment en ingénierie de la fiabilité, on voit les tentatives se multiplier pour quantifier la performance humaine et répondre au besoin pressant de prédiction des risques et erreurs. [...] mais nous devons considérer que les humains ne sont pas simplement des dispositifs d’entrée-sortie déterministes ; ce sont des êtres motivés qui sélectionnent activement leurs objectifs et recherchent des informations pour les atteindre. Le comportement des humains est téléologique (finalisé) par nature ». Rasmussen rejetait l’idée que ces évaluations mathématiques des risques, qui plaisent tant aux ingénieurs, pourraient être appliquées avec efficacité aux performances humaines. « Les opérateurs auront toujours un libre arbitre, une mobilité et des buts qui se construisent avec leur vécu objectif et subjectif du moment et du contexte, et qui dépassent toujours une simple vision procédurale répétitive ».
Mais il reconnaissait aussi que ce ne serait pas facile de dissuader les ingénieurs d’abandonner leurs attraits pour ces modèles mathématiques. Les dimensions de sécurité et de risque ne sont prises au sérieux dans certains cercles que seulement lorsque des nombres ou des équations commencent à apparaître. La question était tellement importante pour lui que cela en est devenu un thème épistémologique qui a sous-tendu plusieurs autres développements ultérieurs.
On observe un net changement dans les sujets qu’il aborde dans les années 80, avec une perspective plus macro systémique sur la sécurité industrielle.
Un événement clé dans la genèse de ce changement semble rétrospectivement être les ateliers internationaux organisés en 1989 par la Banque mondiale autour de question centrale du besoin ‒ ou pas ‒de changer de paradigme de sécurité après les catastrophes qui avaient marquées les années 80 (Bhopal, 1984 ; Challenger, 1986 ; Tchernobyl, 1986 ; Zeebrugge, 1987 ; Clapham Junction, 1988 ; Piper Alpha, 1988).
A partir de cette date, on observe un changement. La communauté comprenait jusque-là les accidents comme des situations à faible probabilité liées à des situations complexes causées par plusieurs conditions anormales coïncidentes. Rasmussen va impulser une nouvelle vision en 1993 : « L’accident peut être le résultat d’une migration naturelle (normale) vers les limites de la performance acceptable du système industriel et de son organisation de travail ». En quelque sorte il s’agit de l’idée de l’existence d’accidents « normaux » victimes du besoin de production industriel et de l’histoire/évolution naturelle du système sociotechnique. En ce sens les accidents sont prévisibles pour Rasmussen, mais en regardant l’évolution globale du système, plus qu’en regardant le détail du risque et en le quantifiant çà et là. (Rasmussen, 1995).
Une nouvelle vision de l’accident et de la sécurité
Une idée importante derrière ce passage du micro au macro est la place accordée au degré de liberté des opérateurs dans l’accomplissement de leurs tâches : « Dans des situations réelles, un grand degré de liberté est laissé à l’humain même si l’objectif global est prescrit et n’inclut pas cette liberté ». La notion d’auto-organisation, qui est derrière cette idée de degré de liberté, était inspirée par le mouvement cybernétique des années 60, et va influencer de nombreux domaines dont la physique, la biologie et les sciences sociales, et s’étendre à travers la science et la philosophie à toute l’étude de la complexité.
Rasmussen va d’abord faire des liens entre cette auto-organisation et le principe de défense en profondeur. L’idée de défense en profondeur était déjà bien sûr au centre du modèle du fromage suisse de Reason avec deux conclusions importantes :
- Les catastrophes sont rarement causées par un seul facteur.
- La plupart des causes profondes sont présentes dans un système bien avant qu’une séquence d’accident ne soit identifiée, ce que Reason résumait par la métaphore d’« agents pathogènes résidents ».
Rasmussen va combiner auto-organisation et défense en profondeur dans ce qu’il appelle le « sophisme de la défense en profondeur » : « Le problème de base d’un tel système ayant des défenses et protections fonctionnellement redondantes est qu’une une violation locale de l’une des défenses n’a aucun effet immédiat, et peut même ne pas être détectée… ».
De là, deux conséquences vont s’ensuivre :
- L’une est de considérer que pannes et déviances locales sont des caractéristiques normales des systèmes qui ont une capacité d’auto-organisation, et qui vivent avec ces défauts, sans nécessairement créer de lien direct à l’accident. L’accident est plutôt à comprendre comme le produit de ces auto-organisations et des protections excessives développées contre ces auto-organisations, qui en viennent finalement à bloquer tout le mécanisme naturel de défenses.
- Une autre est que ces adaptations s’appliquent aussi à la chaîne managériale en charge des systèmes à haut risque. Erreurs de gestion et de planification sont intimement liées aux tentatives organisationnelles d’adaptation aux exigences d’un environnement concurrentiel.
Cela a amené Rasmussen à imaginer un modèle de migration vers la frontière de performance acceptable servie par une analogie du domaine de sciences physiques. « L’activité des opérateurs n’est pas un point ou un trait à jamais répétitif, c’est plutôt un nuage de variations induites au sein de l’espace de travail évoquant les mouvements de molécules de gaz ». Une telle variabilité permet aux opérateurs de s’inscrire dans un « gradient d’effort » (pour réaliser le travail) tandis que la direction s’inscrit dans un « gradient des coûts et performances ». Le tout décrit un espace, un territoire de faisabilité du travail, dynamique, vivant, ayant tendance au toujours plus et à la migration vers ses frontières.
La vision de Rasmussen sur les « accidents normaux »
Rasmussen soutenait que l’organisation (de la sécurité) et l’histoire sociotechnique des ambitions d’un système finissait par sécréter leur propre cause des accidents résiduels. En gros, l’organisation finissait par produire ses propres sources de risques. L’idée n’était évidemment pas nouvelle. Elle avait trois sources historiques :
- La première tendance est technologique et bureaucratique et renvoie à Charles Perrow et son livre sur l’accident normal. On y lit le couplage étroit entre complexité des systèmes technique, pluralité des risques technologiques induits et, en retour surrisque des postures et défenses (souvent trop réactives et désordonnées) qui s’accumulent sans cohérence globale (bureaucratisation), et finissent paradoxalement par constituer un risque propre additionnel d’accident.
On y retrouve aussi l’idée que la technologie finit toujours par échapper à l’homme, une idée antérieure à Perrow, et qui renvoie à Ellul (1954). Ellul considérait que la technologie a la capacité de façonner ces sociétés modernes avec des pratiques colonisatrices et un certain degré d’autonomie, hors du contrôle humain. La technologie peut être vue, en ce sens, comme façonnant considérablement les sociétés, d’une façon subversive. - La seconde tendance est épistémique ou constructiviste. Elle remonte à l’« échec de la prévention » de Turner, reprise par Vaughan (1996, 2005). Cette vision a des racines kuhniennes en philosophie des sciences (Khun, 1962) : les points de vue institutionnalisés s’avèrent inadéquats parce qu’ils sont incapables d’envisager la possibilité de certains événements ou anomalies. Le cadre de raisonnement cognitif et culturel bride le possible, et ce possible ne devient réalité pour ces communautés de pensée qu’une fois l’accident arrivé. Les signes sont déjà présents avant l’accident mais demeurent non interprétés d’où la notion de « période d’incubation » de Turner avec des anomalies ne remettant pas suffisamment en cause les visions du monde des décideurs.
- La troisième tendance est la question de la complexité. L’idée était déjà présente chez Perrow mais le terme s’est largement enrichi avec les principes de l’auto-organisation introduite par les penseurs de la cybernétique, particulièrement Ashby (1962). C’est sans doute la vision de l’accident normal qui a le plus influencé Rasmussen. Snook (2000) se place dans cette mouvance sur la complexité et a encore plus directement influencé Rasmussen. Il pousse plus loin l’idée de la normalité des accidents à travers le fait qu’un « accident normal survient dans une organisation hautement fiable », en ajoutant que « cela se produit avec des personnes normales se comportant de manière normale dans des organisations normales ».
Sa position sur les enquêtes d’accidents
Rasmussen a exploré les principes de l’enquête dans un article publié en 1988. Il oppose la réalité mathématique de la prospective et de la quantification des risques de l’« avant accident » à l’image beaucoup plus désordonnée de l’« après accident ». Les énoncés mathématiques et relationnels sont remplacés par des descriptions causales d’événements discrets liés les uns aux autres par de nombreuses dimensions différentes, de la technique à l’organisationnel en passant par la psychosociologie.
Du coup, Rasmussen propose de s’attarder sur deux concepts nécessaires pour la compréhension des enjeux liés aux enquêtes sur les accidents : Quid de la règle d’arrêt ? Et quid des objectifs des enquêtes ?
Pour Rasmussen, il n’est pas possible d’être objectif lors de l’application d’un mode d’explication causal : « La description des objets et des événements […] dépend d’un référentiel qui est tenu pour acquis et les explications causales ne conviennent que pour communiquer parmi les personnes ayant une expérience similaire qui partagent plus ou moins intuitivement les définitions sous-jacentes ». Car, « il y a une tendance à voir ce que vous attendez », il est donc fondamental d’être clair sur les aux fins d’une enquête ainsi que sur les modèles utilisés pour étayer les conclusions.
Rasmussen identifie trois objectifs pour les enquêtes : explication, répartition des responsabilités, et améliorations possibles. Selon l’objectif poursuivi, le type de données collectées et interprétées différera, de même que son exploitation. Les enquêtes ne sont pas les mêmes lorsqu’elles sont conçues d’abord pour trouver des responsables à blâmer, où lorsqu’elles sont effectuées pour élaborer des recommandations, ou encore lorsqu’elles sont conduites pour expliquer (ou théoriser).
L’état d’esprit des enquêteurs, les relations entre les enquêteurs et les acteurs interrogés, ainsi que le calendrier de l’enquête, sont très différents pour chaque but. Les règles d’arrêt sont donc étroitement liées à la fois à un référentiel et aux objectifs des enquêtes.
Le modèle d’abstraction hiérarchique
Au milieu des années 90, Rasmussen développe avec Inge Svedung un dernier cadre conceptuel systémique voulant intégrer toutes les dimensions de son parcours de recherche sur la causalité des accidents. Ce cadre est appelé « Accimap » mais il mieux connu sous le nom de modèle d’abstraction hiérarchique.
C’est une approche graphique représentant explicitement une cartographie causale comprenant plusieurs niveaux du système (Rasmussen et Svedung, 2002). Accimap est d’abord un outil conçu pour cartographier la nature de la prise de décision partagée par des acteurs situés à des niveaux hiérarchiques différents, à des moments différents dans le temps et à des positions géographiques différentes dans le fonctionnement quotidien des systèmes sociotechniques.
On y retrouve 6 niveaux de décideurs, du gouvernement à l’atelier de travail (les niveaux d’abstractions, chacun liés à leurs propres enjeux, et aussi reliés aux niveaux précédents et suivants de l’abstraction hiérarchique par des liens de service, de résultats attendus y compris dans le cadre administratif et juridique).
A l’inverse du diagramme conventionnel de cause à effet, le diagramme proposé ne décrit pas seulement les événements et des actes dans le flux direct des événements, il permet surtout d’identifier toutes les décisions des niveaux de gouvernance qui ont influencé les conditions conduisant à l’accident localement.
Concernant la question managériale
Rasmussen s’attend à ce qu’un certain nombre de caractéristiques soient remplies par les pratiques managériales pour assurer la sécurité. Il a regroupé ces aspects en quatre catégories :
- Information – les limites des performances acceptables devraient être visibles.
- Compétence – les décideurs doivent être compétents.
- Sensibilisation – les décideurs doivent être conscients des implications pour la sécurité de leurs actions.
- Engagement – des ressources adéquates doivent être présentes pour maintenir les défenses.
Il craint particulièrement qu’à des niveaux supérieurs, la compétence soit souvent inadaptée au sujet des accidents majeurs : « C’est en partie parce que les connaissances techniques ne sont pas maintenues dans les postes de direction, et en partie parce que beaucoup de managers et directeurs de haut niveau n’ont pas de bagage technique car ils sortent d’écoles de droit et de commerce ». De plus, il manque à tous une formation en psychologie que Rasmussen juge nécessaire pour être manager de la complexité.