Ne perdez jamais de vue qu'un désastre n'est jamais la conséquence d'une erreur isolée. Tous les experts du risque s'accordent à dire qu'un accident est le résultat d'une somme d'erreurs non prises en compte. L'exemple qui suit est un cas d'école : le 28 janvier 1986, après 72 secondes de voI, la navette Challenger explose. La commission d'enquête de la Nasa démontre qu'un joint d'étanchéité sur le propulseur auxiliaire droit (SRB) endommagé par le gel à la suite d'une nuit glaciale est à l'origine de l'accident. Mais elle souligne aussi que l'accident se produit à la suite d'un lourd cumul d'erreurs. On découvre alors :

· que depuis 198, 12 problèmes similaires ont été identifiés mais qu'il faudra attendre février 1983, pour que la Nasa classe les joints O-Ring à risque 1 (risque maximum),
· qu'aucun capteur de température ne sera installé sur les joints malgré les recommandations du rapport de 83,
· que la compagnie Norton Thiokol, fabricant des SRB, ne prend pas en compte les avertissements sur les risques mentionnés par la Nasa et ne modifie pas les caractéristiques des joints,
· que le service qualité de la Nasa continue d'autoriser l'utilisation des joints alors qu'ils présentent des risques majeurs connus,
· qu'aucune procédure de sauvegarde ne sera prévue en cas de sinistre,
· que le DDO (Directeur Des Opérations) ne prend pas en compte la température sur le pas de tir, et autorise le décollage de la navette le 28 janvier.

Ce cas est très intéressant car au-delà du fait qu'il démontre qu'un accident est en fait la somme d'un enchaînement continu d'erreurs, il révèle que ce n'est pas la connaissance d'un risque qui permet d'éviter un désastre mais uniquement sa prise en charge.