Soutenance mémoire
Télécharger le fichier pdf d’un mémoire de fin d’études
Acceptabilité du risque
La mesure du risque peut rapprocher le degré de nuisance de deux situations dangereuses complètement dissemblables : l’une caractérisée par une pondération de fréquence et l’autre par une pondération de gravité.
L’acceptabilité concerne le risque et non la gravité du dommage ou la probabilité d’occurrence considérés séparément. En effet, la gestion des risques a pour objectif de consigner les aléas à l’intérieur de frontières jugées satisfaisantes. Un risque impossible à supprimer doit donc être réduit à un niveau acceptable fixé préalablement.
Le choix des actions de maîtrise des risques se fait en fonction de la fréquence et de la gravité des dommages relatifs à un accident potentiel. Les actions de protection (sécurité primaire) sont prioritaires par rapport aux actions préventives (sécurité secondaire) ayant objectif de réduire les conséquences d’événements dommageables tandis que ces dernières ont pour but de limiter la possibilité de récidive des événements redoutés.
Risque vs. Danger
Le risque est lié à la prise de décision qui a pour objet à soumettre une cible à un danger. Le danger est une propriété intrinsèque à une source de danger.
Le Groupe de Travail « Méthodologie » (GT Méthodologie, 2003) donne une définition intéressante aux concepts de risque et de danger : « Le risque constitue une potentialité. Il ne se réalise qu’à travers l’événement accidentel, c’est-à-dire à travers la réunion et la réalisation d’un certain nombre de conditions et la conjonction d’un certain nombre de circonstances qui conduisent, d’abord, à l’apparition d’un (ou plusieurs) élément(s) initiateur(s) qui permettent, ensuite, le développement et la propagation de phénomènes permettant au danger de s’exprimer, en donnant lieu d’abord à l’apparition d’effets et ensuite en portant atteinte à un (ou plusieurs) élément(s) vulnérable(s) ».
Risque vs. Gravité
Beaucoup de personnes confondent risque et gravité et ne prennent en compte que les cas pour lesquels la gravité est importante sans aucune considération du facteur probabilité (c’est le cas des Analyses Préliminaires de Danger). Ce phénomène constitue ce que certains appellent « la fascination par le risque maximum ».
Le risque d’un scénario d’accident fréquent et peu grave peut être assimilé à celui d’un scénario rare et grave, quoiqu’il existe une certaine aversion pour ce dernier. Cependant, il convient de rappeler que « 1 x 1 n’est pas équivalent à 10 x 0 .1 ». La perception du risque du grand public vis-à-vis des crashs d’avions est beaucoup plus ferme de ce qu’elle est des accidents de la route, bien que ces derniers se produisent beaucoup plus souvent et fassent largement beaucoup plus de victimes au total.
Risque vs. Probabilité d’occurrence
Dans le domaine médical on définit plus généralement pour un risque la probabilité d’un dommage en exprimant, par exemple, la probabilité qu’il y ait un décès ou des complications ou des effets secondaires. Il convient de préciser que la notion de probabilité est associée aux événements et non pas aux dommages, le décès devrait être considéré comme un événement ayant une gravité et une probabilité d’occurrence estimée en fonction de l’espérance de vie et pondérée au cas par cas. Dans l’analyse de risques appliquée aux systèmes de transport, on ne s’intéresse pas à la probabilité d’un dommage mais plutôt à la probabilité d’occurrence d’un événement redouté. Cette probabilité d’occurrence est associée, au moins, à la gravité des dommages subis pour estimer le risque.
Risque vs. Incertitude
Le risque est inhérent à toute activité décisionnelle car ses racines plongent dans le futur et il se nourrit des décisions du présent (Bergadaà, Chandon, & Chebat, 1984).
Le contexte de toute prise de décision peut être représenté sur deux dimensions (voir FIG. 3): l’axe challenge (objectif à atteindre) et l’axe risque (prise de risque inhérente).
Il est très difficile de spécifier avec certitude les objectifs et le risque d’une prise de décision. En effet, le mot incertitude est généralement employé quand il s’agit de situation non mesurable.
En fait, les spécialistes sont de deux avis : les premiers considèrent l’incertitude comme synonyme du risque. Ainsi par exemple, nous avons pris l’habitude de parler de risques naturels compte tenu l’aspect incertain et aléatoire des phénomènes naturels (inondation, foudre, etc.). Pour les autres une situation d’incertitude peut être considérée comme une situation à risque par l’affectation de probabilités subjectives !
Perception du risque
La perception du risque (Risk attitude) n’est nullement une appréciation objective des dangers, mais plutôt la conséquence d’une projection de sens et de valeurs sur certains événements, sur certaines pratiques.
Selon la norme ISO/CEI Guide 51 (ISO/CEI Guide 51, 1999), la perception du risque est l’« ensemble de valeurs ou préoccupations aux travers desquelles une personne, un groupe ou un organisme considère un risque ». Kerven et Rubise (Kerven & Rubise, 2001) soulèvent le paradoxe de la familiarité du danger en soulignant que : « La fréquentation quotidienne d’un danger à forte gravité se traduit par une sous-estimation de ce danger qui décroît avec l’éloignement ».
Perception de risque statique
Le risque statique (dit aussi risque pur) est le degré de vraisemblance que quelque chose de négatif se produise durant une période de temps donnée ou résulte d’une situation particulière. Ce type de risque relève essentiellement des décisions ne pouvant conduire qu’à des conséquences négatives (Flanagan & Norman, 1993).
Le suicide présente un risque purement statique, mais l’euthanasie est perçue différemment, elle est même légalisée dans certains pays Européens comme l’Allemagne et la Grande-Bretagne. Ce qui n’est pas le cas en France ou en Italie.
De même pour les entreprises industrielles, le risque d’incendie, de séisme, de tornade sont des risques statiques.
Perception de risque dynamique
Tous les domaines sociotechniques engendrent des risques dynamiques (dits aussi risques spéculatifs). Généralement, les entreprises dynamiques osent plus de risques dynamiques par la voie de l’innovation et du progrès.
On parle de risque dynamique quand la prise de décision engendre aussi bien une potentialité de gain que de perte (Flanagan & Norman, 1993). Le risque dynamique se présente comme un coup de poker et renvoie au fait de risquer la perte de quelque chose de certain afin de gagner quelque chose d’incertain. Par exemple, malgré les nombreux crashs (Tenerife (1977), etc.) on continue à prendre l’avion, et malgré les nombreuses catastrophes nucléaires (Three Miles Island (1979), Tchernobyl (1986), etc.) on continue à innover, construire et commercialiser des centrales nucléaires.
La typologie du risque (dynamique, statique) dépend de la perception des décisions. Ainsi les mouvements de grève sont perçus différemment par le patronat et le syndicat. La perception du patronat est pondérée essentiellement par les pertes financières engendrées par ces mouvements, ce qui présente un risque statique, tandis que les grévistes sont prêts à prendre un risque dynamique, celui de sacrifier plusieurs jours de salaire afin d’arriver à la satisfaction de leurs revendications. En outre, la perception du risque peut évoluer et changer de cap. Certes, le pire risque qui puisse exister est celui qu’on croirait spéculatif par un arbitrage préliminaire « gains versus pertes », mais qui s’avère avec l’affermissement de notre perception, un risque purement statique.
Prise de risque
Selon la norme ISO/CEI Guide 73 (ISO/CEI Guide 73, 2002) la prise de risque est : « l’acceptation de la charge d’une perte, ou du bénéfice d’un gain, d’un risque particulier.
Risque de ne rien risquer
La prise de risque est nécessaire à la survie d’une entreprise face à la concurrence et aux défis de la mondialisation. Risquer c’est d’abord oser courir le hasard en s’engageant dans une action qui pourrait apporter un avantage, mais qui comporte l’éventualité d’un danger (voir 5.8.2). Marcel PAGNOL aurait dit : « Si vous voulez aller sur la mer, sans aucun risque de chavirer, alors, n’achetez pas un bateau : achetez une île ! », ce qui signifie dans un langage plus clair : « qui ne risque rien n’a rien » !
Risque de trop risquer
La pratique du « risquer le tout pour le tout » comme un coup de poker, réserve trop souvent de mauvaises surprises. La prise de risque doit être sage, intelligente est réfléchie. A cet effet, trois facteurs clés méritent d’être situés avant toute prise de risque (voir FIG. 4) : les choses qu’on connaît (usage du REX), les choses que l’on ignore (usage des techniques d’analyse, de synthèse, de simulation et de test) et les choses qu’on croit connaître (usage inapproprié du REX) et c’est bien ce dernier facteur qui pose le plus de problèmes possibles:
Le risque est la balance qui permet de mesurer le poids d’une opportunité. Cette balance contient d’un côté le challenge et de l’autre la menace (Flanagan & Norman, 1993). Autrement dit, une opportunité se présente comme une menace pour ceux qui pensent perdre, et comme un challenge pour ceux qui prédisent le contraire.
En effet, le concept de risque permet de concilier les notions de challenge et de menace. Une fois qu’un risque est analysé, il tend à devenir un problème de management, même si on continue à parler de management des risques. Justement, la décision de prendre ou ne pas prendre un risque relève essentiellement du management.
La prise de risque possède naturellement une ligne rouge qu’il ne faut pas franchir. T. Peters (Peters, 1988) l’illustre avec une superbe métaphore « Place your waterline low » ou « Placer votre ligne de flottaison suffisamment en bas » (voir FIG. 5), ce qui signifie, vous pouvez tenter ce que vous voudrez du moment que cela n’affecte pas l’intégrité de votre organisation. R. Flanagan et G. Norman (Flanagan & Norman, 1993) dégagent dix critères permettant de poser un cadre propice à la prise de risque :
1. Ne pas risquer gros pour peu.
2. Ne jamais risquer plus qu’on est disposé à perdre.
3. Planifier avant d’agir.
4. Analyser toujours les sources et les conséquences du risque.
5. Agir, car l’inaction des autres ne justifie pas de rester immobile.
6. Eviter de prendre des risques purement pour des raisons de principe.
7. Eviter la prise de risque inutile juste pour ne pas perdre la face.
8. Prendre en considération les avis d’experts (regards exogènes).
9. Prendre en considération tout avis hétéroclite, qu’il soit basé sur l’intuition ou l’expérience (regards endogènes).
10. Considérer conjointement le côté contrôlable, et le côté incontrôlable du risque.
Identification des facteurs de risque
Un facteur de risque est un paramètre que l’on observe et dont on pense qu’il joue un rôle dans la séquence accidentelle sans qu’il puisse être prouvé qu’il en est une cause directe ou indirecte (ISO/CEI Guide 73, 2002).
L’identification des facteurs de risque est un processus permettant de trouver, recenser et caractériser les phénomènes dangereux (ISO/CEI Guide 51, 1999). Selon le Guide ISO/CEI 73 (ISO/CEI Guide 73, 2002), c’est un « Processus permettant de trouver, lister et caractériser les éléments du risque. Les éléments peuvent inclure les sources, les événements, les conséquences et la probabilité. L’identification des risques peut également concerner les préoccupations des parties prenantes ».
Estimation des risques
L’estimation d’un risque se définit comme un : « Processus utilisé pour affecter des valeurs à la probabilité et aux conséquences d’un risque. L’estimation du risque peut considérer le coût, les avantages, les préoccupations des parties prenantes, et d’autres variables requises selon le cas pour l’évaluation du risque » (ISO/CEI Guide 73, 2002).
Méthodes qualitatives vs. Méthodes quantitatives
Méthodes quantitatives
Les analyses quantitatives sont supportées par des outils mathématiques ayant pour but d’évaluer la sûreté de fonctionnement et entre autres la sécurité. Cette évaluation peut se faire par des calculs de probabilités (par exemple lors de l’estimation quantitative de la probabilité d’occurrence d’un événement redouté) ou bien par recours aux modèles différentiels probabilistes tels que les Chaines de Markov, les réseaux de pétri, les automates d’états finis, etc.
Les analyses quantitatives ont de nombreux avantages car elles permettent:
D’évaluer la probabilité des composantes de la sûreté de fonctionnement.
De fixer des objectifs de sécurité.
De juger de l’acceptabilité des risques en intégrant les notions de périodicité des contrôles, la durée des situations dangereuses, la nature d’exposition, etc.
D’apporter une aide précieuse pour mieux juger du besoin d’améliorer la sécurité.
De hiérarchiser les risques.
De comparer et ensuite ordonner les actions à entreprendre en engageant d’abord celles permettant de réduire significativement les risques.
De chercher de meilleures coordination et concertation en matière de sécurité entre différents opérateurs (sous systèmes interagissant) ou équipes (exploitation, maintenance, etc.).
Quoique l’utilité des méthodes quantitatives soit indiscutable, ces dernières présentent tout de même un certain investissement en temps, en efforts et également en moyens (logiciels, matériels, financiers, etc.). Il peut s’avérer que cet investissement soit disproportionné par rapport à l’utilité des résultats attendus, le cas échéant l’analyse quantitative est court-circuitée pour laisser la place aux approximations qualitatives (statistiques, retour d’expérience, jugement d’expert, etc.).
Un point très important mérite d’être clarifié, c’est que les résultats de l’analyse quantitative ne sont pas des mesures absolues, mais plutôt des moyens indispensables d’aide au choix des actions pour la maîtrise des risques. Nous citons par exemple l’évaluation par des techniques floues/possibilistes de la subjectivité des experts humains, ou la priorisation de certaines actions de maîtrise par rapport à d’autres par une analyse de type coût/bénéfices.
Méthodes qualitatives
L’APR, l’AMDEC, l’Arbre de Défaillances ou l’Arbre d’Evénements restent des méthodes qualitatives même si certaines mènent parfois aux estimations de fréquences d’occurrence avant la classification des risques.
L’application des méthodes d’analyse de risque qualitatives fait systématiquement appel aux raisonnements par induction et par déduction (Monteau & Favaro, 1990).
La plupart des méthodes revêtent un caractère inductif dans une optique de recherche allant des causes aux conséquences éventuelles. En contrepartie, il existe quelques méthodes déductives qui ont pour but de chercher les combinaisons de causes conduisant à des évènements redoutés.
Panorama des méthodes d’analyse de risque
Nous allons présenter dans cette section un échantillonnage de l’ensemble des méthodes d’analyse de risque. Chacune d’entre elle sera présentée brièvement. Une description plus complète avec les références correspondantes se trouve en annexe A.
L’Analyse Préliminaire de Risque – APR / Analyse Préliminaire de Danger – APD (Preliminary Hazard Analysis –PHA)
L’analyse Préliminaire de Risque (Danger) a été développée au début des années 1960 dans les domaines aéronautique et militaire.
Selon la norme CEI-300-3-9 (CEI 300-3-9, 1995) : « L’APR est une technique d’identification et d’analyse de la fréquence du danger qui peut être utilisée lors des phases amont de la conception pour identifier les dangers et évaluer leur criticité ».
Le but consiste à identifier les entités dangereuses d’un système, puis à regarder pour chacune d’elles comment elles pourraient générer un incident ou un accident plus ou moins grave suite à une séquence d’événements causant une situation dangereuse.
Pour identifier les entités et les situations dangereuses susceptibles d’en découler, l’analyste est aidé par des listes de contrôles (check-lists) d’entités dangereuses, de situations dangereuses et d’événements redoutés. Ces check-lists sont spécifiques au domaine d’étude concerné.
Comme son nom l’indique, cette méthode n’est pas destinée à traiter en détail la matérialisation des scénarios d’accident, mais plutôt à mettre rapidement en évidence les gros problèmes susceptibles d’être rencontrés pendant l’exploitation du système étudié.
Cependant, l’APR peut aussi et même doit être complétée par la plupart des analyses de risques fonctionnelles telles que l’AMDEC ou l’Arbre de Défaillances.
Analyse des Modes de Défaillances, de leurs Effets – AMDE /et de leur Criticité – AMDEC (Failure Modes, and Effects Analysis – FMEA / Failure Modes, Effects, and Criticality Analysis – FMECA)
L’AMDE a été employée pour la première fois dans le domaine de l’industrie aéronautique durant les années 1960. Son utilisation s’est depuis largement répandue à d’autres secteurs industriels. L’AMDEC est l’extension de l’étude AMDE quand il est question d’évaluer la criticité des défaillances.
Selon la norme CEI-300-3-9 (CEI 300-3-9, 1995), l’AMDE est une technique fondamentale d’identification et d’analyse de la fréquence des dangers qui analyse tous les modes de défaillances d’un équipement donné et leurs effets tant sur les autres composants que sur le système lui-même.
Cette analyse vise d’abord à identifier l’impact de chaque mode de défaillance des composants d’un système sur ses diverses fonctions et ensuite hiérarchiser ces modes de défaillances en fonction de leur facilité de détection et de traitement.
L’AMDE(C) traite des aspects détaillés pour démontrer la fiabilité et la sécurité d’un système. Elle contient 3 (4) parties primaires :
1. Identification des modes de défaillance.
2. Identification des causes potentielles de chaque mode.
3. Estimation des effets engendrés.
4. S’il s’agit d’une AMDEC : Evaluation de la criticité de ces effets.
L’analyse commence toujours par l’identification des défaillances potentielles des modes opérationnels. Elle se poursuit, par des inductions afin d’identifier les effets potentiels de ces défaillances (situation dangereuse, événement dangereux et dommages). Une fois les effets potentiels établis, on estime le risque on spécifie les actions de contrôle.
Hazard and Operability Study (HAZOP)
La méthode HAZOP a été développée par la société « Imperial Chemical Industries (ICI) » au début des années 1970. Elle sert à évaluer les dangers potentiels résultants des dysfonctionnements d’origine humaine ou matérielle et aussi les effets engendrés sur le système.
L’objectif de cette méthode est d’identifier les phénomènes dangereux qui mènent à des évènements dangereux lors d’une déviation des conditions normales de fonctionnement d’un système.
L’HAZOP n’a pas pour but d’observer les modes de défaillances à l’image de l’AMDE mais plutôt les dérives potentielles des principaux paramètres liés à l’exploitation de l’installation.
Lorsqu’une déviation est identifiée, l’analyse tente d’identifier les conséquences qui en découlent. Les déviations potentiellement dangereuses sont ensuite hiérarchisées en leur associant des actions de contrôle allouées. La méthode se termine par l’investigation des causes potentielles des déviations jugées crédibles.
De manière générale, les paramètres sur lesquels porte l’analyse sont observables, quantifiables et comparables. Par exemple la vitesse, la température, la pression, le débit, le niveau, le temps, etc. La combinaison de ces paramètres avec des mots clés prédéfinis (plus que, moins que, pas de, etc.) se fait de la manière suivante :
« Plus de » et « Pression » = « Pression trop haute » / « Pas de » et « Niveau » = « Capacité vide ».
Dans le cas où une estimation de la criticité est nécessaire, HAZOP peut être complétée par une analyse quantitative simplifiée.
What-If Analysis
What-if est une forme dérivée de HAZOP, dont l’objectif est d’identifier les phénomènes dangereux régissant le fonctionnement d’un système.
La méthode consiste à réaliser un brainstorming partant généralement de situations dangereuses ou d’événements dangereux imaginés, en essayant de répondre à la question : « qu’arrive-t-il si tel paramètre ou tel comportement n’est pas nominal ? ». Ceci va permettre d’identifier les effets provoquant des dommages.
Analyse par Arbre de Défaillances, Arbre de Causes ou Arbre de Fautes (Fault Tree Analysis – FTA)
L’analyse par Arbre de Défaillances a été élaborée au début des années 1960 par la compagnie américaine « Bell Téléphone ». Elle fut expérimentée pour l’évaluation de la sécurité des systèmes de tir de missiles. Elle est employée pour identifier les causes relatives aux événements redoutés. En partant d’un événement unique, il s’agit de rechercher les combinaisons d’événements conduisant à la réalisation de ce dernier. L’analyse par Arbre de Défaillances peut également être poursuivie dans le cadre d’une reconstitution des causes d’un accident.
La méthode consiste en une représentation graphique des multiples causes d’un événement redouté. Elle permet de visualiser les relations entre les défaillances d’équipement, les erreurs humaines et les facteurs environnementaux qui peuvent conduire à des accidents. On peut donc éventuellement y inclure des facteurs reliés aux aspects organisationnels.
L’analyse par Arbre de Défaillances se déroule généralement en 3 étapes :
Spécification du système et de ses frontières.
Spécification des événements redoutés préalablement identifiés par exemple par APR.
Construction des arbres de défaillances : On cible les événements redoutés un par un et on essaye d’identifier les successions et les combinaisons d’événements de base permettant de les atteindre.
Toutefois, un événement de base doit répondre à un certain nombre de critères, en l’occurrence :
Il doit être indépendant des autres événements de base.
Il ne doit pas être décomposable en éléments plus simples.
Il doit avoir une fréquence évaluable.
Le calcul de la probabilité de l’événement sommet se fait à travers la propagation des probabilités d’occurrence des événements de base vers le sommet. Le calcul des coupes minimales peut s’effectuer avec le même principe en essayant cette fois-ci de trouver les plus petits ensembles d’événements de base pouvant mener à un événement redouté. Ceci permettrait de hiérarchiser les événements et d’implanter stratégiquement les barrières de défense afin d’améliorer la fiabilité et la sécurité en même temps.
Une coupe minimale représente la plus petite combinaison d’évènements (chemin critique) pouvant conduire à un événement indésirable (intermédiaire) ou redouté (final). Plus l’ordre d’une coupe minimale est petit, plus l’occurrence de l’événement final suivant ce chemin critique peut paraître probable.
L’affectation des probabilités des événements de base se fait par extraction des bases de données, essais, retour d’expérience (REX), jugement d’experts, audits, etc.
Analyse par Arbre d’Evènements (Event Tree Analysis – ETA)
L’analyse par Arbre d’Evènements a été développée au début des années 1970 pour l’évaluation du risque lié aux centrales nucléaires.
C’est une technique d’identification et d’analyse de la fréquence des dangers moyennant un raisonnement inductif pour convertir différents événements initiateurs en conséquences éventuelles relatives au fonctionnement ou à la défaillance des dispositifs techniques/humains/organisationnels de sécurité.
À l’inverse de l’analyse par Arbre de Défaillances, l’analyse par Arbre d’Evènements suppose la défaillance d’un composant ou d’une partie du système et s’attache à déterminer les évènements qui en découlent.
L’analyse par Arbre d’Evènements se déroule en plusieurs étapes préliminaires :
Considération d’un événement initiateur.
Identification des fonctions de sécurité prévues pour contrôler son évolution.
Construction de l’arbre.
Description et exploitation des séquences d’évènements identifiées.
Il serait plus pertinent d’élaborer un Arbre d’Evènements à l’issue d’une première analyse identifiant les accidents potentiels à l’image de l’APR.
Les fonctions de sécurité doivent être assurées par des barrières ayant pour objectif d’empêcher le processus de matérialisation d’un accident provoqué par un événement initiateur.
La construction de l’arbre consiste à envisager soit le bon fonctionnement soit le dysfonctionnement de la première fonction de sécurité en partant de l’événement initiateur.
La suite de la méthode consiste à examiner le développement de chaque branche en considérant systématiquement le fonctionnement ou la défaillance de la fonction de sécurité jusqu’à l’atteinte d’un accident potentiel. La propagation des probabilités d’occurrence des évènements initiateurs permet de calculer la probabilité de l’évènement redouté.
Nœud papillon (Bowtie Model)
Le « Nœud Papillon » est une approche arborescente développée par SHELL. Il permet de considérer une approche probabiliste dans le management du risque.
Le nœud papillon est une connexion d’un Arbre de Défaillances et d’un Arbre d’Evènements, généralement établie lorsqu’il s’agit d’étudier des évènements hautement critiques.
Le point central du Nœud Papillon est l’ « Evénement Redouté Central ». Généralement, ce dernier désigne une perte de confinement ou une perte d’intégrité physique (décomposition). La partie gauche sert à identifier les causes de cette perte de confinement, tandis que la partie droite du nœud s’attache à déterminer les conséquences de cet événement redouté central (INERIS-DRA, 2003) (Joly & Vallee, 2004).
Chaque scénario d’accident est relatif à un évènement redouté central et est représenté à travers un chemin possible allant des évènements indésirables ou courants jusqu’à l’apparition des effets majeurs.
Un Nœud Papillon est généralement précédé par une analyse de risque plus générique de type APR ou What-If.
Analyse de la fiabilité humaine (Human Reliability Analysis)
HRA traite l’impact des facteurs humains sur la qualité de fonctionnement du système. Elle peut être employée afin évaluer l’influence des erreurs humaines sur la sécurité.
L’erreur humaine (Mistake, Human error) est définie dans la norme CEI 50(191) (CEI 50(191), 1990) comme une : « action humaine qui produit un résultat différent de celui qui est recherché ». Selon la même norme: « une erreur est un écart ou discordance entre une valeur ou une condition calculée, observée ou mesurée, et la valeur ou la condition vraie, prescrite ou théoriquement correcte ».
L’humain est souvent perçu comme le maillon faible d’un système socio-technique malgré que l’action humaine dans certaines situations demeure la meilleure si ce n’est la seule défense permettant d’éviter qu’une défaillance n’entraine un accident.
La technique HRA comporte 3 étapes principales : l’analyse de la tâche, l’identification de l’erreur humaine et la quantification de la fiabilité humaine. La deuxième étape est la plus longue et nécessite le plus d’efforts.
J. Reason, psychologue d’origine, est l’un des précurseurs ayant considéré l’erreur humaine en tant que défaillance organisationnelle. Selon lui, les erreurs humaines peuvent être classées en trois catégories (Reason & Parker, 1993) : niveau comportemental, niveau contextuel et niveau conceptuel,
J. Reason (Reason & Parker, 1993) défend l’idée de focaliser sur la surveillance proactive des barrières de défense afin de traquer les erreurs latentes. Cependant, cette approche est intéressante pour des barrières techniques, car s’agissant de la 1éme catégorie (niveau comportemental), on passe de la psychologie proprement dite à la sociologie des organisations voire même à la psycho-sociologie (INERIS-DRA, 2003).
Modèle de danger MADS
Le modèle MADS (Méthodologie d’Analyse de Dysfonctionnement des Systèmes) est une conceptualisation d’une approche systémique du risque d’accident. Le danger est représenté comme un ensemble de processus conduisant à un processus principal représentant le flux de danger pouvant être généré par un système source de danger.
Selon B. Saoulé (Saoulé, 2002) : « Le flux de danger peut être constitué d’énergie, de matière ou d’information. Il est généré par un événement (ou processus) initiateur d’origine interne ou externe. Ceci se déroule en plusieurs phases, d’abord l’occurrence d’un facteur de déclenchement (événement initiateur) qui génère un flux de danger entre les constituants du système global faisant de l’un d’eux une source et d’un autre une cible de danger. Un Evénement Non Souhaité (ENS) se produit alors et peut générer un dommage subi par la ou les cibles, qui peut être de surcroît accru par un processus renforçateur ».
|
Table des matières
CHAPITRE 1: SECURITE DES SYSTEMES
1 Sécurité (Safety)
1.1 Sécurité vs. Sûreté de Fonctionnement
1.2 Sécurité vs. Fiabilité
1.3 Sécurité vs. Disponibilité : ou les effets pervers de l’ultra-sécurité
1.4 Sécurité vs. Maintenabilité
1.5 Sécurité vs. Sûreté
2 Notions de danger et de phénomène dangereux
2.1 Danger
2.2 Phénomène dangereux
3 Notions de dommage et de conséquence d’accident
3.1 Dommage
3.2 Conséquence
4 Notions de gravité, de fréquence d’occurrence et d’exposition
4.1 Gravité
4.2 Fréquence d’occurrence
4.3 Exposition
5 Facettes du risque
5.1 Risque
5.2 Classification du risque
5.3 Acceptabilité du risque
5.4 Risque vs. Danger
5.5 Risque vs. Gravité
5.6 Risque vs. Probabilité d’occurrence
5.7 Risque vs. Incertitude
5.8 Perception du risque
5.9 Prise de risque
6 Conclusion
7 Travaux cités
CHAPITRE 2 : L’ANALYSE DE RISQUE DANS LE PROCESSUS DE MANAGEMENT DES RISQUES
1 Management des risques
1.1 Analyse de risque
1.2 Evaluation de l’acceptabilité des risques
1.3 Maîtrise des risques
2 Classification des méthodes d’analyse de risque
2.1 Approche déterministe
2.2 Approche probabiliste
2.3 Méthodes qualitatives vs. Méthodes quantitatives
3 Panorama des méthodes d’analyse de risque
3.1 L’Analyse Préliminaire de Risque – APR / Analyse Préliminaire de Danger – APD (Preliminary Hazard Analysis –PHA)
3.2 Analyse des Modes de Défaillances, de leurs Effets – AMDE /et de leur Criticité – AMDEC (Failure Modes, and Effects (and Criticality) Analysis – FME(C)A )
3.3 Hazard and Operability Study (HAZOP)
3.4 What-If Analysis
3.5 Analyse par Arbre de Défaillances, Arbre de Causes ou Arbre de Fautes (Fault Tree Analysis – FTA)
3.6 Analyse par Arbre d’Evènements (Event Tree Analysis – ETA)
3.7 Nœud papillon (Bowtie Model)
3.8 Analyse de la fiabilité humaine (Human Reliability Analysis)
3.9 Modèle de danger MADS
3.10 La méthode MOSAR
4 Propriétés des méthodes d’analyse de risque
4.1 Avantages généraux des méthodes d’analyse de risques
4.2 Lacunes des méthodes d’analyse de risque
4.3 Comparaison des méthodes d’analyse de risques étudiées
4.4 Critères de choix d’une méthode d’analyse de risque
4.5 Evaluation de la qualité d’une analyse de risque
5 Conclusion
6 Travaux cités
CHAPITRE 3: L’Analyse Préliminaire des Risques
1 Méthodologie d’APR dans le domaine des transports terrestres
1.1 Cadre réglementaire
1.2 Méthode d’APR à « Entreprise 1 »
1.3 Méthode d’APR à « Entreprise 2 »
1.4 Méthode d’APR à « Entreprise 3 »
1.5 Méthode d’APR à « Entreprise 4 »
1.6 Méthode d’APR appliquée au « sous-système X »
2 Méthode d’APR issue du domaine aéronautique
3 Méthode d’APR issue du domaine de l’énergie
4 Conclusion
5 Travaux cités
CHAPITRE 4 : 10 ENJEUX PROBLEMATIQUES EN MATIERE DE MANAGEMENT DES RISQUES
2 Divergence des termes et des concepts
1 Difficulté de définition du système et de son environnement
3 Divergence des Objectifs de Sécurité
4 Divergence des Indicateurs de Sécurité
5 Divergences d’ordre méthodologique des analyses de risque
6 Enjeux organisationnels de la maitrise des risques
7 Absence de suivi des risques
8 Non-prise en compte des effets domino
9 Enjeux d’interopérabilité : harmonisation des Analyses au niveau système
10 Enjeux d’intégrabilité : harmonisation des Analyses au niveau sous-système
11 Conclusion et perspectives
12 Travaux cités
CHAPITRE 5 : MODELISATION ONTOLOGIQUE DU PROCESSUS ACCIDENTEL
1 Introduction aux ontologies
1.1 Ontologie en tant que notion : une origine métaphysique
1.2 Ontologie en tant que concept : un devenir « computationnel »
1.3 Typologie des ontologies
1.4 Représentation des ontologies
1.5 Critères d’évaluation d’une ontologie
1.6 Conclusion
2 Ontologie pour la modélisation du processus accidentel
2.1 Entités élémentaires
2.3 Situations élémentaires
2.2 Evénements élémentaires
2.4 Modélisation de type état/transition du processus accidentel
3 Illustration de l’ontologie
3.1 Risque ferroviaire
3.2 Risque routier
3.3 Risque machine
3.4 Risque manufacturier
3.5 Risque professionnel
3.6 Risque épidémiologique
3.7 Risque politique
3.8 Risque médiatique
3.9 Risque juridique
4 Conclusion
5 Travaux cités
CHAPITRE 6: MANAGEMENT PRELIMINAIRE DES RISQUES
1. Processus de la méthode MPR
1.1 Découpage systémique du système global
1.2 Management des risques
1. Intégration de la méthode MPR au cycle de vie
2. Adéquation entre la méthode MPR et le SMS
1.3 Evolution de l’analyse technique vers le management organisationnel
1.4 Eléments de base d’un SMS centré-MPR
3. Conclusion
4. Travaux cités
CHAPITRE 7: OUTIL D’AIDE A LA DECISION EN MATIERE DE MANAGEMENT DES RISQUES
1 Besoin d’aide à la décision
2 Base de données, Système d’Information et Base de Connaissances
3 SIGAR : un outil d’aide au management préliminaire des risques
3.1 Objectifs et motivation
3.2 Choix technologiques
3.3 Propriétés de SIGAR
3.4 Définition des données
3.5 Présentation de l’interface graphique utilisateur(GUI)
Télécharger le rapport complet
