Cours d’introduction au management des risques
Sécurité des systèmes
Depuis de nombreuses décennies, la sûreté de fonctionnement (Dependability) et plus particulièrement la sécurité (Safety) sont devenues des enjeux cruciaux à la survie des sociétés. Cette considération repose essentiellement sur le concept de risque. L’évaluation de la sécurité est un exercice crucial qui ne peut être intègre sans l’apprentissage des mécanismes de matérialisation des risques car la compréhension du risque est une manière forte de consolider la défense et d’optimiser, d’organiser et de mieux orienter les études de management des risques.
Dans ce premier chapitre nous allons bien situer les différents concepts associés à la sécurité en regroupant les concepts en sous-ensembles ayant une forte dépendance causale, à l’image de danger et phénomène dangereux ou bien dommage et conséquence. Nous adopterons une démarche inductive dans la présentation des différents concepts. Chaque concept est présenté de la manière suivante :
§ Présentation des différentes définitions en commençant par le sens littéraire (Larousse, Grand Robert, etc.), ensuite les définitions distinguées proposées par des experts de la sûreté de fonctionnement, suivies de celles proposées par des groupes de recherche (AQS-GT OORS, Mars 1996) (GT 7 - CEI) (GT Aspects sémantiques du risque, 1997) (GTR 55, 2000) (GT Méthodologie, 2003). Nous poursuivons avec les définitions proposées par les normes nationales françaises (NF) ou britanniques (BSI), européennes (NF EN, BSI EN, etc.) ou internationales (CEI, ISO, etc.) et enfin, le cas échéant, nous terminons avec les définitions issues de la réglementation nationale ou communautaire (directive européenne, loi, décret, arrêté, etc.).
§ Synthèse visant à déceler les divergences et les points communs des définitions rapportées. Nous serons parfois amenés à commenter certaines incohérences ou contradictions.
§ Proposition d’une définition si aucune des définitions rapportées ne mérite d’être adoptée pleinement.
1 Sécurité (Safety)
..
Synthèse : D’après les définitions précédentes, la sécurité est en général associée à l’absence de risque inacceptable. Il y a 20 ans, en l’occurrence dans la norme ISO/CEI Guide 2, le concept de sécurité était associé à la gravité des dommages : « La sécurité est l’absence de risque de dommage inacceptable » (ISO/CEI Guide 2, 1986). Cette forte corrélation risque/gravité a été ensuite pondérée avec la probabilité d’occurrence : « La sécurité est l’absence de risque inacceptable » (ISO/CEI Guide 51, 1999). Cependant, nous pouvons constater que la définition donnée par le « GT aspects sémantiques du risque » s’applique à la notion de maîtrise des risques plutôt qu’à la notion de sécurité. Nous y reviendrons par la suite.
Proposition : La sécurité est l’absence de danger ou de conditions susceptibles de créer un risque inacceptable. C’est aussi la mesure d’un niveau de confiance vis-à-vis de l'acceptabilité d'un risque.
Avant de revenir sur les concepts de danger et de risque que nous venons d’introduire, nous proposons de bien cadrer le concept de sécurité et les activités associées par rapport à d’autres et notamment la sûreté de fonctionnement (SdF).
1.1 Sécurité vs. Sûreté de Fonctionnement
Le fonctionnement d’une entité est le succès de la « mission » qui lui a été assignée. Souvent on parle de « fonction requise » qui se définit selon la norme CEI 50(191) (CEI 50(191), 1990) comme une fonction ou un ensemble de fonctions d’une entité dont l’accomplissement est considéré comme nécessaire pour la fourniture d’un service donné.
…
Synthèse: Ces définitions divergent relativement entre deux tendances :
1. On peut dire d’une part que la sûreté de fonctionnement (Dependability) n’est pas un but en soi, mais un moyen ou un ensemble de moyens (démarches, méthodes, outils, etc.) permettant de maitriser les risques. Autrement dit, la maitrise des risques est le but, la sûreté de fonctionnement est un moyen permettant de l’atteindre. Selon Y. Mortureux (Mortureux, 2002): « C’est un atout majeur du concept de la sûreté de fonctionnement de réunir des approches motivées par la fiabilité, la disponibilité, la maintenabilité et la sécurité, mais c’est un piège de vouloir réduire à une valeur le résultat de ces démarches ». Selon Heurtel (Heurtel, 2003), la sûreté de fonctionnement (SdF) se définit comme une activité d’ingénierie qualitative et quantitative, une riche palette de méthodes et de concepts au service de la maitrise des risques.
2. D’autre part et plus formellement elle est présentée comme un ensemble de paramètres mesurables par des approches probabilistes. Parmi les plus connus, citons les espérances mathématiques (E.M) des variables aléatoires temporelles associées aux défaillances et réparations d’un système :
MTTF (Mean Time To Failure) : E.M. de la durée de bon fonctionnement avant l’apparition de la première défaillance, Notons que le taux de défaillance λ (voir § 1.2) lorsqu’il est constant est tel que MTTF = 1/λ
MTTR (Mean Time To Repair): E.M. de la durée de réparation,
MUT (Mean Up Time): E.M. de la durée de bon fonctionnement,
MDT (Mean Down Time): E.M. de la durée d’indisponibilité,
MTBF (Mean Time Between Failures): E.M. de la durée entre deux défaillances consécutives.
Proposition : Nous proposons de conserver le vocable SdF pour la caractérisation probabiliste et de parler d’ingénierie de la SdF à propos de l’ensemble des activités visant l’amélioration de la SdF.
1.2 Sécurité vs. Fiabilité
L’objectif des études prévisionnelles de fiabilité (Reliability) d’un système est d’évaluer différentes architectures possibles pour ce système en comparant leurs performances au moyen de données statistiques (Sallak, Simon, & Aubry, 2007). Selon la norme CEI 50(191) (CEI 50(191), 1990), la fiabilité est l’« Aptitude d'une entité à accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné ». Ceci en supposant que l’entité est en état d’accomplir la fonction requise au début de l’intervalle de temps donné. La cessation de cette aptitude est l’événement « défaillance » de l’entité.
La fiabilité est généralement mesurée par la probabilité R(t) que l’entité accomplisse ses fonctions requises de l’instant 0 à l’instant t: R(t) = P(E non défaillante sur [0, t]), tel que : E : entité considérée, [0, t] intervalle de temps donné. Par définition, le taux de défaillance est tel que λ.dt est la probabilité pour que la défaillance de l’entité intervienne entre les instants t et t+dt, sachant qu’elle n’est pas encore survenue à l’instant t. Si λ est constant, alors R(t) = exp (-λt). Cependant, le taux de défaillance λ varie en général , pour les composants électroniques, avec le temps dans une forme dite en baignoire (voir FIG. 1) :
…
Jusqu’ici, nous n’avons pas considéré la conséquence de la défaillance. Si la défaillance de l’entité est susceptible de produire un danger, alors on parle de défaillance dangereuse, dans le cas contraire, on parle de défaillance « sûre » (NF EN 61508, Décembre 1998). La sécurité étant l’absence de danger, la probabilité de défaillance sûre peut donc être considérée comme caractérisant la sécurité de l’entité. Ainsi, la sécurité peut être considérée comme la partie de la fiabilité relative aux défaillances sûres. En pratique, on s’attachera plutôt à identifier exhaustivement et à évaluer les défaillances dangereuses.
1.3 Sécurité vs. Disponibilité : ou les effets pervers de l’ultra-sécurité
Selon la norme CEI 50(191) (CEI 50(191), 1990), la disponibilité (Availability) dépend de la fiabilité, de la maintenabilité et de la logistique de maintenance. C’est aussi l’« aptitude d'une entité à être en état d'accomplir une fonction requise dans des conditions données, à un instant donné ou pendant un intervalle de temps donné, en supposant que la fourniture des moyens nécessaires est assurée ». Cette définition est conforme à celle de la norme CEI 61069 (CEI 61069, 1996). Y. Mortureux (Mortureux, 2002) ajoute que : « La disponibilité est une synthèse de la fiabilité et la maintenabilité ; c’est la proportion du temps passé en état de remplir les fonctions requises dans des conditions données ». La disponibilité est généralement mesurée par la probabilité A(t) d’être en état, à l’instant t, d’accomplir les fonctions requises : A(t) = P(E non défaillante à l’instant t).
La sécurité et la disponibilité sont deux concepts souvent difficiles à concilier. En effet, comme il est impossible de garantir une probabilité nulle pour les défaillances dangereuses, on s’efforce de les détecter au plus vite et d’enclencher les moyens visant à empêcher leur propagation. Souvent, ces moyens ont pour effet de réduire la disponibilité de la fonction assurée, voir de l’interrompre (par principe de précaution par exemple). Dans certains domaines tels que les transports guidés, l’application du principe de sécurité « Vision zéro » (voir introduction générale) oppose très souvent les équipes de sécurité et d’exploitation. La première cherchant à éviter le moindre risque, l’autre ayant pour vocation d’éviter les retards provoquant une concentration de masses de voyageurs sur les quais, ce qui peut être à l’origine de mouvements de foules, ou de panique, pouvant causer la chute de passagers sur la voie. Certes, le concept de sécurité ne prime pas d’une manière triviale sur la disponibilité mais il est plutôt perçu comme une approbation ou un gage à une « disponibilité » optimale (respectant la contrainte sécuritaire) et non pas maximale.
1.4 Sécurité vs. Maintenabilité
La maintenabilité (Maintainability) est l’aptitude d’une entité à être remise, par une maintenance donnée, en état d’accomplir des fonctions requises dans des conditions données. Selon la norme CEI 50(191) (CEI 50(191), 1990): « dans des conditions données d'utilisation, aptitude d'une entité à être maintenue ou rétablie dans un état dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données, avec des procédures et des moyens prescrits ». La maintenabilité se mesure par la probabilité M(t) d’être en état, à l’instant t, d’accomplir ses fonctions requises sachant qu’elle était en panne à l’instant 0: M(t) = P (E est réparée sur [0, t]) E : entité considérée, [0, t] intervalle de temps donné.
Si le taux de réparation µ est constant, alors M(t) = exp (-µt). La norme CEI 50(191) (CEI 50(191), 1990) donne une définition relative à la logistique de maintenance (Maintenance support performance) qui est : « Aptitude d’une organisation de maintenance à fournir sur demande, dans des conditions données, les moyens nécessaires à la maintenance d’une entité conformément à une politique de maintenance donnée ». Une meilleure maintenabilité est un gage à une meilleure sécurité. Généralement, les équipements de sécurité sont conçus avec une bonne fiabilité et avec des capacités de tolérance aux fautes par recours à des redondances. Souvent, on retrouve des architectures « 2 parmi 3 » permettant de reconfigurer vers un état relativement moins sûr afin d’assurer un mode dégradé en cas de défaillance ou panne du composant principal. La restauration du mode nominal dépend de la maintenabilité de ce composant. Ainsi le concept d’intégrité de sécurité en sécurité fonctionnelle s’apparente à la disponibilité de la fonction sécurité et est donc largement tributaire de la maintenabilité (NF EN 61508, Décembre 1998).
Par ailleurs, dans un système de production, les procédures de maintenance se déroulent parfois avec précipitation sous l’influence du facteur de disponibilité ; ceci amène à shunter certaines consignes de sécurité et par conséquent prendre délibérément un risque inutile ! Il convient donc de veiller, dans le cadre du Système de Management de la Sécurité, sur le respect des procédures de sécurité de telle sorte que toute transgression soit réprimée.
1.5 Sécurité vs.
Sûreté Il ne faut pas confondre sûreté de fonctionnement et sûreté dans le sens large du terme. Selon la norme CEI 61069 (CEI 61069, 1996) dédiée aux processus industriels, la sûreté est : « l’assurance fournie par le système de sa capacité à refuser toute entrée incorrecte ou tout accès non autorisé et à pouvoir éventuellement en informer ». Pour les systèmes informatiques, J.-L. Laprie (Laprie, 1994) (Laprie, 2002) distingue entre sécurité innocuité (biens et personnes) et sécurité confidentialité. La première se rapproche du sens général de sécurité (Safety en anglais), alors que la seconde se rapproche du terme sûreté de la norme CEI 61069. Dans le cadre des Installations Classées pour la Protection de l’Environnement (ICPE), on parle de sécurité des installations vis-à-vis des accidents et de sûreté vis-à-vis des attaques externes volontaires, des intrusions malveillantes et de la malveillance interne. Selon le GT méthodologie (GT Méthodologie, 2003), l'expression « sûreté de fonctionnement » dans les installations classées, se rapporte plutôt à la maîtrise des risques d'accident, donc à la sécurité des installations. Evidemment, ces nuances peuvent rendre difficile et atypique la définition des objectifs de sécurité et/ou de sûreté de fonctionnement.
Table des matières :
CHAPITRE 1: SECURITE DES SYSTEMES......………………………..…..8
1 Sécurité (Safety)............………….....9
1.1 Sécurité vs. Sûreté de Fonctionnement......…………………..10
1.2 Sécurité vs. Fiabilité ….……………..11
1.3 Sécurité vs. Disponibilité : ou les effets pervers de l’ultra-sécurité …12
1.4 Sécurité vs. Maintenabilité......……………….……………………12
1.5 Sécurité vs. Sûreté............……………………13
2 Notions de danger et de phénomène dangereux ………14
2.1 Danger............…………….14
2.2 Phénomène dangereux. …………..15
3 Notions de dommage et de conséquence d’accident ……15
3.1 Dommage............………..15
3.2 Conséquence............…...16
4 Notions de gravité, de fréquence d’occurrence et d’exposition ……17
4.1 Gravité............………..……………….17
4.2 Fréquence d’occurrence ………..19
4.3 Exposition............……….21
5 Facettes du risque.........……………………...…………….22
5.1 Risque..............……………22
5.2 Classification du risque ........23
5.3 Acceptabilité du risque.........….……………28
5.4 Risque vs. Danger.........…………..…………..28
5.5 Risque vs. Gravité.........…………..…………..28
5.6 Risque vs. Probabilité d’occurrence...…………………....……29
5.7 Risque vs. Incertitude.........……...………….29
5.8 Perception du risque.........………..…………30
5.9 Prise de risque.........………………….………..31
6 Conclusion.........………………......…33
7 Travaux cités............………...………34
CHAPITRE 2 : L’ANALYSE DE RISQUE DANS LE PROCESSUS DE MANAGEMENT DES RISQUES ……….38
1 Management des risques.........………………….……..39
1.1 Analyse de risque.........……………………….40
1.2 Evaluation de l’acceptabilité des risques .…………41
1.3 Maîtrise des risques.........……………………43
2 Classification des méthodes d’analyse de risque...……………..…....…46
2.1 Approche déterministe.........……………….46
2.2 Approche probabiliste.........………………..46
2.3 Méthodes qualitatives vs. Méthodes quantitatives ......…47
3 Panorama des méthodes d’analyse de risque......……………………...50
3.1 L'Analyse Préliminaire de Risque - APR / Analyse Préliminaire de Danger – APD (Preliminary Hazard Analysis –PHA) ……..….50
3.2 Analyse des Modes de Défaillances, de leurs Effets - AMDE /et de leur Criticité - AMDEC
(Failure Modes, and Effects (and Criticality) Analysis – FME(C)A )........….50
3.3 Hazard and Operability Study (HAZOP) ...……………......….51
3.4 What-If Analysis.........……………………..….52
3.5 Analyse par Arbre de Défaillances, Arbre de Causes ou Arbre de Fautes (Fault Tree Analysis - FTA) ...52
3.6 Analyse par Arbre d’Evènements (Event Tree Analysis - ETA) ...……….…53
3.7 Nœud papillon (Bowtie Model) ...........…54
3.8 Analyse de la fiabilité humaine (Human Reliability Analysis) ...……………54
3.9 Modèle de danger MADS .........………….…55
3.10 La méthode MOSAR ………56
4 Propriétés des méthodes d’analyse de risque …..…57
4.1 Avantages généraux des méthodes d’analyse de risques …....57
4.2 Lacunes des méthodes d’analyse de risque......…………….57
4.3 Comparaison des méthodes d’analyse de risques étudiées …….59
4.4 Critères de choix d’une méthode d’analyse de risque......60
4.5 Evaluation de la qualité d’une analyse de risque......…….60
5 Conclusion............……………………62
6 Travaux cités ……….63
CHAPITRE 3: L'Analyse Préliminaire des Risques ………...66
1 Méthodologie d’APR dans le domaine des transports terrestres ……..67
1.1 Cadre réglementaire............………………….67
1.2 Méthode d’APR à « Entreprise 1 » .........71
1.3 Méthode d’APR à « Entreprise 2 » .........71
1.4 Méthode d’APR à « Entreprise 3 » .........73
1.5 Méthode d’APR à « Entreprise 4 » .........74
1.6 Méthode d’APR appliquée au « sous-système X » ......…...75
2 Méthode d’APR issue du domaine aéronautique......………………….76
3 Méthode d’APR issue du domaine de l’énergie......…………………….77
4 Conclusion............……………………78
5 Travaux cités.............……………….79
CHAPITRE 4 : 10 ENJEUX PROBLEMATIQUES EN MATIERE DE MANAGEMENT DES RISQUES ..….82
2 Divergence des termes et des concepts......……………….………………82
1 Difficulté de définition du système et de son environnement...………....………...…….84
3 Divergence des Objectifs de Sécurité.........………..84
4 Divergence des Indicateurs de Sécurité.........……86
5 Divergences d’ordre méthodologique des analyses de risque......87
6 Enjeux organisationnels de la maitrise des risques.......………..……88
7 Absence de suivi des risques ………….…..89
8 Non-prise en compte des effets domino …..89
9 Enjeux d’interopérabilité : harmonisation des Analyses au niveau système ...…..90
10 Enjeux d’intégrabilité : harmonisation des Analyses au niveau sous-système .……90
11 Conclusion et perspectives.........………………...……91
12 Travaux cités............………….……93
CHAPITRE 5 : MODELISATION ONTOLOGIQUE DU PROCESSUS ACCIDENTEL ....96
1 Introduction aux ontologies ..….……98
1.1 Ontologie en tant que notion : une origine métaphysique .……98
1.2 Ontologie en tant que concept : un devenir « computationnel » ..………99
1.3 Typologie des ontologies......……………………..….…………..…100
1.4 Représentation des ontologies......……….……………….…….100
1.5 Critères d’évaluation d’une ontologie......…………………...…101
1.6 Conclusion............……….102
2 Ontologie pour la modélisation du processus accidentel......………103
2.1 Entités élémentaires..........………………..….104
2.3 Situations élémentaires......….....…….……….106
2.2 Evénements élémentaires...………………......…………..………...108
2.4 Modélisation de type état/transition du processus accidentel ……109
3 Illustration de l’ontologie. …………...112
3.1 Risque ferroviaire.........…………..………..113
3.2 Risque routier.........………………….………118
3.3 Risque machine.........………………..………120
3.4 Risque manufacturier.........…………….…122
3.5 Risque professionnel.........………………..123
3.6 Risque épidémiologique.........….………..124
3.7 Risque politique.........……………………….124
3.8 Risque médiatique.........………….…………125
3.9 Risque juridique.........…………….………….125
4 Conclusion............……..……………126
5 Travaux cités............………..…………….127
CHAPITRE 6: MANAGEMENT PRELIMINAIRE DES RISQUES...….…………..130
1. Processus de la méthode MPR......………………………..………………….131
1.1 Découpage systémique du système global......……………133
1.2 Management des risques.........………..…140
1. Intégration de la méthode MPR au cycle de vie......……………...….148
2. Adéquation entre la méthode MPR et le SMS......………………….…149
1.3 Evolution de l’analyse technique vers le management organisationnel ….…149
1.4 Eléments de base d’un SMS centré-MPR......……………....151
3. Conclusion............…….……………154
4. Travaux cités.............…………..…155
CHAPITRE 7: OUTIL D’AIDE A LA DECISION EN MATIERE DE MANAGEMENT DES
RISQUES............………………………....…158
1 Besoin d’aide à la décision.........………..……………159
2 Base de données, Système d’Information et Base de Connaissances...……...………..160
3 SIGAR : un outil d’aide au management préliminaire des risques...……………….…162
3.1 Objectifs et motivation.........…..….………..162
3.2 Choix technologiques.........……………..…162
3.3 Propriétés de SIGAR.........………………....164
3.4 Définition des données ..……………..165
3.5 Présentation de l’interface graphique utilisateur(GUI) ……...167
3.6 Manipulation des données......……………..……….…………..…168
3.7 Retour d’expérience.........……………………174
3.8 Fonctionnalités avancées......……....……….175
4 Conclusion.........…….....………………177
5 Travaux cités. ..……………178
ANNEXE A: PANORAMA DES METHODES D’ANALYSE DE RISQUE ………..182
1 AMDE(C) ............………………..…183
2 Hazard and Operability Study (HAZOP) ……...…186
3 L’Analyse par Arbre de Défaillances, Arbre de causes ou Arbre de fautes...…...…188
4 Analyse par Arbre d’Evènements .........…………..190
5 Le nœud papillon............……….192
6 La méthode MOSAR............……194
6.1 MOSAR – module A : Analyse Macroscopique......……….194
6.2 MOSAR – module B : Analyse Microscopique......………..195
6.3 Fonctionnement global de la méthode MOSAR ……………..196
ANNEXE B : ELEMENTS DE BASE D’UN SMS CENTRE-MPR....…..……………...198
1. Profil de mission............…………198
2. Politique de la sécurité.........…….…………………….198
3. Assurance de la sécurité.........……………………..…199
4. Gestion des référentiels.........………………………...199
5. Gestion des rôles et affectation des responsabilités......…………..199
6. Gestion des crises............………199
7. Gestion des Bases de Données accidents/incidents......…………...200
8. Retour d’Expérience (REX) .........……………….…..201
9. Maitrise de la communication.........……………..…202
10. Formation et qualification......……………………......203
11. Audit, revue et surveillance......…………………....…203
12. Maitrise de la documentation ……………..203
13. Vers un Système de Management Intégré (SMI) de type QHSE…………………….....204
14. Correspondance avec les exigences de la directive ferroviaire de sécurité...…….205
15. Correspondance avec le SMQ proposé dans la norme 9001 de la série ISO 9000 ...207
16. Correspondance avec le SME proposé dans la norme 14001 de la série ISO 14000…………………..208
17. Correspondance avec le SMS&ST proposé dans la norme 18001 de la série OHSAS 18000……….209
BIBLIOGRAPHIE …………..……211
Cours d’introduction au management des risques
Sécurité des systèmes
Depuis de nombreuses décennies, la sûreté de fonctionnement (Dependability) et plus particulièrement la sécurité (Safety) sont devenues des enjeux cruciaux à la survie des sociétés. Cette considération repose essentiellement sur le concept de risque. L’évaluation de la sécurité est un exercice crucial qui ne peut être intègre sans l’apprentissage des mécanismes de matérialisation des risques car la compréhension du risque est une manière forte de consolider la défense et d’optimiser, d’organiser et de mieux orienter les études de management des risques.
Dans ce premier chapitre nous allons bien situer les différents concepts associés à la sécurité en regroupant les concepts en sous-ensembles ayant une forte dépendance causale, à l’image de danger et phénomène dangereux ou bien dommage et conséquence. Nous adopterons une démarche inductive dans la présentation des différents concepts. Chaque concept est présenté de la manière suivante :
§ Présentation des différentes définitions en commençant par le sens littéraire (Larousse, Grand Robert, etc.), ensuite les définitions distinguées proposées par des experts de la sûreté de fonctionnement, suivies de celles proposées par des groupes de recherche (AQS-GT OORS, Mars 1996) (GT 7 - CEI) (GT Aspects sémantiques du risque, 1997) (GTR 55, 2000) (GT Méthodologie, 2003). Nous poursuivons avec les définitions proposées par les normes nationales françaises (NF) ou britanniques (BSI), européennes (NF EN, BSI EN, etc.) ou internationales (CEI, ISO, etc.) et enfin, le cas échéant, nous terminons avec les définitions issues de la réglementation nationale ou communautaire (directive européenne, loi, décret, arrêté, etc.).
§ Synthèse visant à déceler les divergences et les points communs des définitions rapportées. Nous serons parfois amenés à commenter certaines incohérences ou contradictions.
§ Proposition d’une définition si aucune des définitions rapportées ne mérite d’être adoptée pleinement.
1 Sécurité (Safety)
..
Synthèse : D’après les définitions précédentes, la sécurité est en général associée à l’absence de risque inacceptable. Il y a 20 ans, en l’occurrence dans la norme ISO/CEI Guide 2, le concept de sécurité était associé à la gravité des dommages : « La sécurité est l’absence de risque de dommage inacceptable » (ISO/CEI Guide 2, 1986). Cette forte corrélation risque/gravité a été ensuite pondérée avec la probabilité d’occurrence : « La sécurité est l’absence de risque inacceptable » (ISO/CEI Guide 51, 1999). Cependant, nous pouvons constater que la définition donnée par le « GT aspects sémantiques du risque » s’applique à la notion de maîtrise des risques plutôt qu’à la notion de sécurité. Nous y reviendrons par la suite.
Proposition : La sécurité est l’absence de danger ou de conditions susceptibles de créer un risque inacceptable. C’est aussi la mesure d’un niveau de confiance vis-à-vis de l'acceptabilité d'un risque.
Avant de revenir sur les concepts de danger et de risque que nous venons d’introduire, nous proposons de bien cadrer le concept de sécurité et les activités associées par rapport à d’autres et notamment la sûreté de fonctionnement (SdF).
1.1 Sécurité vs. Sûreté de Fonctionnement
Le fonctionnement d’une entité est le succès de la « mission » qui lui a été assignée. Souvent on parle de « fonction requise » qui se définit selon la norme CEI 50(191) (CEI 50(191), 1990) comme une fonction ou un ensemble de fonctions d’une entité dont l’accomplissement est considéré comme nécessaire pour la fourniture d’un service donné.
…
Synthèse: Ces définitions divergent relativement entre deux tendances :
1. On peut dire d’une part que la sûreté de fonctionnement (Dependability) n’est pas un but en soi, mais un moyen ou un ensemble de moyens (démarches, méthodes, outils, etc.) permettant de maitriser les risques. Autrement dit, la maitrise des risques est le but, la sûreté de fonctionnement est un moyen permettant de l’atteindre. Selon Y. Mortureux (Mortureux, 2002): « C’est un atout majeur du concept de la sûreté de fonctionnement de réunir des approches motivées par la fiabilité, la disponibilité, la maintenabilité et la sécurité, mais c’est un piège de vouloir réduire à une valeur le résultat de ces démarches ». Selon Heurtel (Heurtel, 2003), la sûreté de fonctionnement (SdF) se définit comme une activité d’ingénierie qualitative et quantitative, une riche palette de méthodes et de concepts au service de la maitrise des risques.
2. D’autre part et plus formellement elle est présentée comme un ensemble de paramètres mesurables par des approches probabilistes. Parmi les plus connus, citons les espérances mathématiques (E.M) des variables aléatoires temporelles associées aux défaillances et réparations d’un système :
MTTF (Mean Time To Failure) : E.M. de la durée de bon fonctionnement avant l’apparition de la première défaillance, Notons que le taux de défaillance λ (voir § 1.2) lorsqu’il est constant est tel que MTTF = 1/λ
MTTR (Mean Time To Repair): E.M. de la durée de réparation,
MUT (Mean Up Time): E.M. de la durée de bon fonctionnement,
MDT (Mean Down Time): E.M. de la durée d’indisponibilité,
MTBF (Mean Time Between Failures): E.M. de la durée entre deux défaillances consécutives.
Proposition : Nous proposons de conserver le vocable SdF pour la caractérisation probabiliste et de parler d’ingénierie de la SdF à propos de l’ensemble des activités visant l’amélioration de la SdF.
1.2 Sécurité vs. Fiabilité
L’objectif des études prévisionnelles de fiabilité (Reliability) d’un système est d’évaluer différentes architectures possibles pour ce système en comparant leurs performances au moyen de données statistiques (Sallak, Simon, & Aubry, 2007). Selon la norme CEI 50(191) (CEI 50(191), 1990), la fiabilité est l’« Aptitude d'une entité à accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné ». Ceci en supposant que l’entité est en état d’accomplir la fonction requise au début de l’intervalle de temps donné. La cessation de cette aptitude est l’événement « défaillance » de l’entité.
…
Jusqu’ici, nous n’avons pas considéré la conséquence de la défaillance. Si la défaillance de l’entité est susceptible de produire un danger, alors on parle de défaillance dangereuse, dans le cas contraire, on parle de défaillance « sûre » (NF EN 61508, Décembre 1998). La sécurité étant l’absence de danger, la probabilité de défaillance sûre peut donc être considérée comme caractérisant la sécurité de l’entité. Ainsi, la sécurité peut être considérée comme la partie de la fiabilité relative aux défaillances sûres. En pratique, on s’attachera plutôt à identifier exhaustivement et à évaluer les défaillances dangereuses.
1.3 Sécurité vs. Disponibilité : ou les effets pervers de l’ultra-sécurité
Selon la norme CEI 50(191) (CEI 50(191), 1990), la disponibilité (Availability) dépend de la fiabilité, de la maintenabilité et de la logistique de maintenance. C’est aussi l’« aptitude d'une entité à être en état d'accomplir une fonction requise dans des conditions données, à un instant donné ou pendant un intervalle de temps donné, en supposant que la fourniture des moyens nécessaires est assurée ». Cette définition est conforme à celle de la norme CEI 61069 (CEI 61069, 1996). Y. Mortureux (Mortureux, 2002) ajoute que : « La disponibilité est une synthèse de la fiabilité et la maintenabilité ; c’est la proportion du temps passé en état de remplir les fonctions requises dans des conditions données ». La disponibilité est généralement mesurée par la probabilité A(t) d’être en état, à l’instant t, d’accomplir les fonctions requises : A(t) = P(E non défaillante à l’instant t).
1.4 Sécurité vs. Maintenabilité
La maintenabilité (Maintainability) est l’aptitude d’une entité à être remise, par une maintenance donnée, en état d’accomplir des fonctions requises dans des conditions données. Selon la norme CEI 50(191) (CEI 50(191), 1990): « dans des conditions données d'utilisation, aptitude d'une entité à être maintenue ou rétablie dans un état dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données, avec des procédures et des moyens prescrits ». La maintenabilité se mesure par la probabilité M(t) d’être en état, à l’instant t, d’accomplir ses fonctions requises sachant qu’elle était en panne à l’instant 0: M(t) = P (E est réparée sur [0, t]) E : entité considérée, [0, t] intervalle de temps donné.
Par ailleurs, dans un système de production, les procédures de maintenance se déroulent parfois avec précipitation sous l’influence du facteur de disponibilité ; ceci amène à shunter certaines consignes de sécurité et par conséquent prendre délibérément un risque inutile ! Il convient donc de veiller, dans le cadre du Système de Management de la Sécurité, sur le respect des procédures de sécurité de telle sorte que toute transgression soit réprimée.
1.5 Sécurité vs.
Sûreté Il ne faut pas confondre sûreté de fonctionnement et sûreté dans le sens large du terme. Selon la norme CEI 61069 (CEI 61069, 1996) dédiée aux processus industriels, la sûreté est : « l’assurance fournie par le système de sa capacité à refuser toute entrée incorrecte ou tout accès non autorisé et à pouvoir éventuellement en informer ». Pour les systèmes informatiques, J.-L. Laprie (Laprie, 1994) (Laprie, 2002) distingue entre sécurité innocuité (biens et personnes) et sécurité confidentialité. La première se rapproche du sens général de sécurité (Safety en anglais), alors que la seconde se rapproche du terme sûreté de la norme CEI 61069. Dans le cadre des Installations Classées pour la Protection de l’Environnement (ICPE), on parle de sécurité des installations vis-à-vis des accidents et de sûreté vis-à-vis des attaques externes volontaires, des intrusions malveillantes et de la malveillance interne. Selon le GT méthodologie (GT Méthodologie, 2003), l'expression « sûreté de fonctionnement » dans les installations classées, se rapporte plutôt à la maîtrise des risques d'accident, donc à la sécurité des installations. Evidemment, ces nuances peuvent rendre difficile et atypique la définition des objectifs de sécurité et/ou de sûreté de fonctionnement.
Table des matières :
CHAPITRE 1: SECURITE DES SYSTEMES......………………………..…..8
1 Sécurité (Safety)............………….....9
1.2 Sécurité vs. Fiabilité ….……………..11
1.3 Sécurité vs. Disponibilité : ou les effets pervers de l’ultra-sécurité …12
1.4 Sécurité vs. Maintenabilité......……………….……………………12
1.5 Sécurité vs. Sûreté............……………………13
2 Notions de danger et de phénomène dangereux ………14
2.1 Danger............…………….14
2.2 Phénomène dangereux. …………..15
3 Notions de dommage et de conséquence d’accident ……15
3.1 Dommage............………..15
3.2 Conséquence............…...16
4 Notions de gravité, de fréquence d’occurrence et d’exposition ……17
4.1 Gravité............………..……………….17
4.2 Fréquence d’occurrence ………..19
4.3 Exposition............……….21
5 Facettes du risque.........……………………...…………….22
5.1 Risque..............……………22
5.2 Classification du risque ........23
5.3 Acceptabilité du risque.........….……………28
5.4 Risque vs. Danger.........…………..…………..28
5.5 Risque vs. Gravité.........…………..…………..28
5.6 Risque vs. Probabilité d’occurrence...…………………....……29
5.7 Risque vs. Incertitude.........……...………….29
5.8 Perception du risque.........………..…………30
5.9 Prise de risque.........………………….………..31
6 Conclusion.........………………......…33
7 Travaux cités............………...………34
CHAPITRE 2 : L’ANALYSE DE RISQUE DANS LE PROCESSUS DE MANAGEMENT DES RISQUES ……….38
1 Management des risques.........………………….……..39
1.1 Analyse de risque.........……………………….40
1.2 Evaluation de l’acceptabilité des risques .…………41
1.3 Maîtrise des risques.........……………………43
2 Classification des méthodes d’analyse de risque...……………..…....…46
2.2 Approche probabiliste.........………………..46
2.3 Méthodes qualitatives vs. Méthodes quantitatives ......…47
3 Panorama des méthodes d’analyse de risque......……………………...50
3.1 L'Analyse Préliminaire de Risque - APR / Analyse Préliminaire de Danger – APD (Preliminary Hazard Analysis –PHA) ……..….50
3.2 Analyse des Modes de Défaillances, de leurs Effets - AMDE /et de leur Criticité - AMDEC
(Failure Modes, and Effects (and Criticality) Analysis – FME(C)A )........….50
3.3 Hazard and Operability Study (HAZOP) ...……………......….51
3.4 What-If Analysis.........……………………..….52
3.5 Analyse par Arbre de Défaillances, Arbre de Causes ou Arbre de Fautes (Fault Tree Analysis - FTA) ...52
3.6 Analyse par Arbre d’Evènements (Event Tree Analysis - ETA) ...……….…53
3.7 Nœud papillon (Bowtie Model) ...........…54
3.8 Analyse de la fiabilité humaine (Human Reliability Analysis) ...……………54
3.9 Modèle de danger MADS .........………….…55
3.10 La méthode MOSAR ………56
4 Propriétés des méthodes d’analyse de risque …..…57
4.1 Avantages généraux des méthodes d’analyse de risques …....57
4.2 Lacunes des méthodes d’analyse de risque......…………….57
4.3 Comparaison des méthodes d’analyse de risques étudiées …….59
4.4 Critères de choix d’une méthode d’analyse de risque......60
4.5 Evaluation de la qualité d’une analyse de risque......…….60
5 Conclusion............……………………62
6 Travaux cités ……….63
CHAPITRE 3: L'Analyse Préliminaire des Risques ………...66
1 Méthodologie d’APR dans le domaine des transports terrestres ……..67
1.1 Cadre réglementaire............………………….67
1.2 Méthode d’APR à « Entreprise 1 » .........71
1.3 Méthode d’APR à « Entreprise 2 » .........71
1.5 Méthode d’APR à « Entreprise 4 » .........74
1.6 Méthode d’APR appliquée au « sous-système X » ......…...75
2 Méthode d’APR issue du domaine aéronautique......………………….76
3 Méthode d’APR issue du domaine de l’énergie......…………………….77
4 Conclusion............……………………78
5 Travaux cités.............……………….79
CHAPITRE 4 : 10 ENJEUX PROBLEMATIQUES EN MATIERE DE MANAGEMENT DES RISQUES ..….82
2 Divergence des termes et des concepts......……………….………………82
1 Difficulté de définition du système et de son environnement...………....………...…….84
3 Divergence des Objectifs de Sécurité.........………..84
4 Divergence des Indicateurs de Sécurité.........……86
5 Divergences d’ordre méthodologique des analyses de risque......87
6 Enjeux organisationnels de la maitrise des risques.......………..……88
7 Absence de suivi des risques ………….…..89
8 Non-prise en compte des effets domino …..89
9 Enjeux d’interopérabilité : harmonisation des Analyses au niveau système ...…..90
10 Enjeux d’intégrabilité : harmonisation des Analyses au niveau sous-système .……90
11 Conclusion et perspectives.........………………...……91
12 Travaux cités............………….……93
CHAPITRE 5 : MODELISATION ONTOLOGIQUE DU PROCESSUS ACCIDENTEL ....96
1 Introduction aux ontologies ..….……98
1.1 Ontologie en tant que notion : une origine métaphysique .……98
1.2 Ontologie en tant que concept : un devenir « computationnel » ..………99
1.3 Typologie des ontologies......……………………..….…………..…100
1.4 Représentation des ontologies......……….……………….…….100
1.5 Critères d’évaluation d’une ontologie......…………………...…101
1.6 Conclusion............……….102
2.1 Entités élémentaires..........………………..….104
2.3 Situations élémentaires......….....…….……….106
2.2 Evénements élémentaires...………………......…………..………...108
2.4 Modélisation de type état/transition du processus accidentel ……109
3 Illustration de l’ontologie. …………...112
3.1 Risque ferroviaire.........…………..………..113
3.2 Risque routier.........………………….………118
3.3 Risque machine.........………………..………120
3.4 Risque manufacturier.........…………….…122
3.5 Risque professionnel.........………………..123
3.6 Risque épidémiologique.........….………..124
3.7 Risque politique.........……………………….124
3.8 Risque médiatique.........………….…………125
3.9 Risque juridique.........…………….………….125
4 Conclusion............……..……………126
5 Travaux cités............………..…………….127
CHAPITRE 6: MANAGEMENT PRELIMINAIRE DES RISQUES...….…………..130
1. Processus de la méthode MPR......………………………..………………….131
1.1 Découpage systémique du système global......……………133
1.2 Management des risques.........………..…140
1. Intégration de la méthode MPR au cycle de vie......……………...….148
2. Adéquation entre la méthode MPR et le SMS......………………….…149
1.3 Evolution de l’analyse technique vers le management organisationnel ….…149
1.4 Eléments de base d’un SMS centré-MPR......……………....151
3. Conclusion............…….……………154
4. Travaux cités.............…………..…155
CHAPITRE 7: OUTIL D’AIDE A LA DECISION EN MATIERE DE MANAGEMENT DES
RISQUES............………………………....…158
1 Besoin d’aide à la décision.........………..……………159
3 SIGAR : un outil d’aide au management préliminaire des risques...……………….…162
3.1 Objectifs et motivation.........…..….………..162
3.2 Choix technologiques.........……………..…162
3.3 Propriétés de SIGAR.........………………....164
3.4 Définition des données ..……………..165
3.5 Présentation de l’interface graphique utilisateur(GUI) ……...167
3.6 Manipulation des données......……………..……….…………..…168
3.7 Retour d’expérience.........……………………174
3.8 Fonctionnalités avancées......……....……….175
4 Conclusion.........…….....………………177
5 Travaux cités. ..……………178
ANNEXE A: PANORAMA DES METHODES D’ANALYSE DE RISQUE ………..182
1 AMDE(C) ............………………..…183
2 Hazard and Operability Study (HAZOP) ……...…186
3 L’Analyse par Arbre de Défaillances, Arbre de causes ou Arbre de fautes...…...…188
4 Analyse par Arbre d’Evènements .........…………..190
5 Le nœud papillon............……….192
6 La méthode MOSAR............……194
6.1 MOSAR – module A : Analyse Macroscopique......……….194
6.2 MOSAR – module B : Analyse Microscopique......………..195
6.3 Fonctionnement global de la méthode MOSAR ……………..196
ANNEXE B : ELEMENTS DE BASE D’UN SMS CENTRE-MPR....…..……………...198
1. Profil de mission............…………198
2. Politique de la sécurité.........…….…………………….198
3. Assurance de la sécurité.........……………………..…199
4. Gestion des référentiels.........………………………...199
5. Gestion des rôles et affectation des responsabilités......…………..199
6. Gestion des crises............………199
7. Gestion des Bases de Données accidents/incidents......…………...200
8. Retour d’Expérience (REX) .........……………….…..201
10. Formation et qualification......……………………......203
11. Audit, revue et surveillance......…………………....…203
12. Maitrise de la documentation ……………..203
13. Vers un Système de Management Intégré (SMI) de type QHSE…………………….....204
14. Correspondance avec les exigences de la directive ferroviaire de sécurité...…….205
15. Correspondance avec le SMQ proposé dans la norme 9001 de la série ISO 9000 ...207
16. Correspondance avec le SME proposé dans la norme 14001 de la série ISO 14000…………………..208
17. Correspondance avec le SMS&ST proposé dans la norme 18001 de la série OHSAS 18000……….209
BIBLIOGRAPHIE …………..……211
