Les irrégularités survenues ces dernières semaines remettent en question la capacité de l’ETCS Level 2 à remplir les critères d’exigences de sécurité SIL 4 (Safety Integrity Level – le niveau 4 est le niveau d’exigences SIL le plus élevé et est la norme entre autres pour les centrales nucléaires, les postes d’enclenchement, etc.). Ces derniers mois, deux trains circulant en ETCS Level 2 ont obtenu une autorisation de circuler erronée, alors que le poste d’enclenchement n’avait établi aucun itinéraire à voie libre pour eux.
La sécurité du système ETCS se base sur une localisation exacte à travers l’odométrie du véhicule. Celle-ci est mesurée par le radar (dépendant des conditions climatiques) et/ou par le calcul du chemin parcouru. Cette deuxième méthode est influencée par les données du diamètre de roue, par le patinage et le paramétrage correct lors de l’entretien.
Dans les cas susmentionnés, l’ensemble de la chaîne de sécurité de l’ETCS a été rompu par une simple erreur d’odométrie du véhicule. Il est permis de fortement douter que les critères d’exigences du SIL 4, qui sont autant nécessaires qu’obligatoires, soient encore atteintes à la lumière de ces événements.
L’ETCS pour les utilisateurs
La complexité du système ETCS devient toujours plus grande, étant donné que lors de chaque irrégularité le hardware et les softwares sont modifiés, impliquant du travail supplémentaire pour les agents sur le terrain avec des check-lists accompagnées de nombreuses prescriptions afin de minimiser les risques résiduels.
Dans les modes d’exploitation Shunting ([SH] : Manoeuvre) et Staff Responsible ([SR] : entre autres le premier mouvement, non surveillé par le système), il est possible, après avoir effectué les quittances adéquates dans l’interface ETCS, de franchir des signaux d’arrêts et divers panneaux ETCS sans que le système n’intervienne d’aucune manière. Au niveau de la technique de la sécurité, cela correspond à peine à la manœuvre actuelle dans les installations classiques, qu’on essaye actuellement à grands efforts de sécuriser.
Chaque mauvaise décision et chaque confusion de voie peuvent mener à de gros dommages, car les liens et vérifications de plausibilité avec les signaux optiques ne sont plus possibles. Les comportements ne s’adaptent plus à la logique de la situation – comme celle-ci n’est plus visuelle, mais découlent de nombreux processus avec un potentiel d’erreurs élevé.
Le domaine de l’aviation se situe déjà une étape plus loin dans l’analyse des conséquences sur la sécurité. Après les crashs des Boeing 737 MAX 800/900 se pose la question de savoir jusqu’où un système d’assistance soutient les pilotes et à partir de quand la reprise des tâches par un calculateur devient dangereuse pour la sécurité car la correction d’un ordinateur par les pilotes est simplement trop complexe.
Le prix de ce développement basé sur la confiance à la technique est l’actuel clouage au sol de tous les Boeing 737 MAX 800/900. La complexité du risque résiduel n’autorise plus aucune correction rapide et efficace du système.
Les chemins de fer devraient réfléchir attentivement à leur souhait de suivre cette voie. Dans un tel cas, les coûts pour une couverture complète par l’ETCS L2/L3 avec la modernisation des postes d’enclenchement qui seront encore nécessaires, des véhicules, etc... sont, malgré les doutes persistants sur le besoin, énormes.
De plus, l’ETCS réduit la capacité, pourtant cruciale, des tronçons. Les tronçons nouvellement mis en service en ETCS Level 1 mènent aussi à une conduite très défensive en raison de la logique restrictive de ce système. Dans ce cas aussi, la plausibilité réelle et visible du terrain est transformée en trajets à l’aveugle basés sur des connaissances de règlements et des points qui restent parfois à „deviner“. Le mécanicien qui assure la sécurité en premier, doit et va se comporter de telle manière que cela va, entre autre, conduire à une diminution du nombre de sillons.
Conclusion
SmartRail est un programme d’innovation de la branche ferroviaire suisse et joue un rôle décisif dans la marche forcée vers l’ETCS. Le modèle d’affaires se base avant tout sur des promesses qui n’ont pour l’instant que très peu été tenues et cela mène les entreprises de chemins de fer à un risque non calculable, qui entraînera déjà à moyen terme de l’instabilité et des coûts en hausse. De plus, les gros nœuds ferroviaires ne sont pas encore équipés de ce type de systèmes et l’interopérabilité européenne promise depuis belle lurette n’est encore qu’une douce utopie.
Un autre rôle décisif est joué par l’Office fédéral des Transports (OFT), qui statuera l’année prochaine sur une possible extension de l’ETCS Level 2.
Nous allons voir comment se comporte l’OFT au milieu des divers besoins des acteurs politiques, industriels et des entreprises de transport ferroviaire et combien de temps les contribuables accepteront de financer cela.
La „Schweizer Eisenbahn-Revue“ a effectué le commentaire suivant au sujet des incidents liés à l’ETCS de ces dernières semaines: «De manière assez logique, plus un système est complexe, plus le risque d’erreur est élevé. La digitalisation non plus ne peut pas amener la sécurité absolue. Dans les cas présents [ndlr : susmentionnés dans la NL], si les convois avaient été conduits de manière autonome (GOA 4) et non par un mécanicien, ils seraient partis...»
VSLF N°598, 28 juillet 2019 HG/SG, trad. MJ
