Le 28 janvier 1986, Challenger explose 73 secondes après le décollage. Les joints toriques O-ring n'avaient jamais été testés à une température aussi basse que celle du matin du lancement. L'accident n'était pas une défaillance, c'était une prédiction inscrite dans les limites des conditions de test.
Chaque composant critique accepte un taux de défaillance calculé. Le calcul de risque transforme l'accident statistique en événement déterminé. Cette acceptation programme la probabilité que le système s'effondre.
Morton Thiokol avait recommandé de reporter le lancement. NASA a demandé une preuve que les joints fonctionneraient mal, pas une preuve qu'ils fonctionneraient bien. NASA a demandé d'être convaincu de l'échec, pas rassurée sur le succès.
L'accident ne clôt pas la négociation entre optimisation et effondrement, il la documente. Le rapport qui suit programme les tolérances du prochain cycle.
Doctrine
L'accident n'est pas la preuve de l'échec du système. Il est la preuve que le système a fonctionné jusqu'à sa limite contractuelle. Ce qui était toléré devient prescrit.
Vecteur ouvert
Dans une langue morte, qui portait la charge de prouver qu'un compromis syntaxique était inacceptable, et à quel moment ce renversement du fardeau de la preuve a-t-il signé la trajectoire de la langue ?
