Information et gestion des risques.

2 : la phase de quantification des risques

Les risques identifiés, il s'agit maintenant de les quantifier c.à.d. de mesurer les conséquences des événements perturbateurs sur les enjeux de l'entreprise et sur sont environnement humain, matériel, historique, naturel, social ...

L'importance d'un risque est caractérisé par deux paramètres principaux : sa gravité (impact sur les valeurs) et sa fréquence (statistique ou probable). La quantification nécessite donc une étude plus ou moins complexe selon ces deux caractéristiques.

1.2: la démarche

On utilise la liste d'identifications établies lors de la première phase.

En théorie, chacun des risques devrait faire l'objet d'une étude plus ou moins approfondie. En pratique, et fort heureusement, le terrain n'est pas vierge : il apparait très vite qu'un certain nombre de risque ont déjà été bien analysé et ont fait l'objet de traitements convenables.

On procède de la à une hiérarchisation des risques qui peut être réalisée d'après par la méthode des scénarios^92(*) :

ü On établit un état des lieux,

ü On analyse les facteurs d'évolution (tendances lourdes : responsabilité civile, contrainte, etc ),

ü On limite le champ d'étude en définissant les hypothèses (niveau de sécurité souhaité, budget de gestion des risques), la projection dans le futur (plan à un, trois ou cinq ans) et le domaine d'analyse (quelle phase ? quel axe ? quel risque ? )

ü On choisit les scénaristes (technicien, juriste, responsables des ressources humaines, économistes préventionnistes, etc.)

Il s'agit de bâtir un certain nombre de scénarios qui permettent de concilier le passé, le présent et l'avenir,

L'équipe de projet et le comité de pilotage peuvent classer les risques en trois catégories :

- A étudier ou réétudier en profondeur ;

- Analyse précédente à affiner (pour les nouveaux risques jugés a priori peu important) ;

- Risques à analyser ultérieurement.

Le chef de projet établira ensuite son programme de travail en conséquence, c.à.d. choisira la méthode, les outils et les participants qui peuvent être très déférents selon la nature et la complexité des risques à étudier. L'étude peut s'avérer très laborieuse, soit sur l'estimation de la fréquence, soit sur la gravité, soit sur les deux à la fois.

2.2: les méthodes

Il existe différents classements des méthodes d'analyse de risques, nous retiendrons ici trois de ces classements :

§ méthodes qualitatives ou quantitatives,

§ méthodes inductives ou déductives,

§ méthodes statiques ou dynamiques.

1.2.2 : méthodes qualitatives ou quantitatives

Les méthodes quantitatives sont supportées par des outils mathématiques ayant pour but d'évaluer la sûreté de fonctionnement et entre autres la sécurité. Cette évaluation peut se faire par des calculs de probabilités (par exemple lors de l'estimation quantitative de la probabilité d'occurrence d'un événement redouté) ou bien par recours aux modèles différentiels probabilistes tels que les Chaines de Markov, les réseaux de pétri, les automates d'états finis, etc.

§ Les analyses quantitatives ont de nombreux avantages car elles permettent:

§ D'évaluer la probabilité des composantes de la sûreté de fonctionnement ;

§ De fixer des objectifs de sécurité ;

§ De juger de l'acceptabilité des risques en intégrant les notions de périodicité des contrôles, la durée des situations dangereuses, la nature d'exposition, etc.

§ D'apporter une aide précieuse pour mieux juger d u besoin d'améliorer la sécurité ;

§ De hiérarchiser les risques ;

§ De comparer et ensuite ordonner les actions à entreprendre en engageant d'abord celles permettant de significativement.

Les méthodes qualitatives L'APR, l'AMDEC, l'Arbre de Défaillances ou l'Arbre d'Evénements restent des méthodes qualitatives même si certaines mènent parfois aux estimations de fréquences d'occurrence avant la classification des risques.

L'application des méthodes d'analyse de risque qualitatives fait systématiquement appel aux raisonnements par induction et par déduction^93(*).

La plupart des méthodes revêtent un caractère inductif dans une optique de recherche allant des causes aux conséquences éventuelles. En contrepartie, il existe quelques méthodes déductives qui ont pour but de chercher les combinaisons de causes conduisant à des évènements redoutés.

2.2.2 : méthodes inductifs ou déductives

Les méthodes inductives de diagnostic correspondent à une approche "montante" où l'on identifie toutes les combinaisons d'événements élémentaires possibles qui peuvent entraîner la réalisation d'un événement unique indésirable : la défaillance.

Pour les méthodes déductives, la démarche est inversée puisque l'on part de l'événement indésirable, la défaillance, et l'on recherche ensuite par une approche descendante toutes les causes possibles.

3.2.2 : méthodes statiques ou dynamiques

Une méthode dynamique permet de prendre en compte l'évolution de la configuration des composants du système au cours du temps, alors qu'une méthode statique étudie un système à différents instants de son cycle de vie, c'est-à-dire pour différents états possibles, sans pour autant s'intéresser aux transitions entre ces états.

4.2.2 : Présentation détaillée des méthodes d'analyse de risques

Il existe nombreux méthodes on peut citer :

· Analyse Préliminaire des Risques / Dangers

L'analyse préliminaire des dangers à pour objectif d'identifier les dangers d'une installation et ses causes, d'évaluer la gravité des conséquences. L'identification des dangers est effectuée grâce à l'expérience et à la connaissance des experts et à des « listes d'éléments et de situations dangereuses en fonction du domaine d'application »^94(*).

Une Analyse Préliminaire des Risques inclue en plus une estimation de la probabilité d'occurrence des situations dangereuses et des accidents potentiels ainsi que leurs effets et conséquences, ce qui permet de proposer des mesures pour les supprimer.

Schématiquement, la méthode que l'on classe en principe parmi les méthodes inductives, consiste à déterminer les accidents potentiels que peuvent provoquer les éléments dangereux tirés d'une liste ad hoc. Ces listes, adaptées au domaine concerné, sont améliorées et complétées au fur et à mesure que des études de ce type sont réalisées sur des systèmes similaires, ce qui permet de mettre plus rapidement en évidence les risques principaux inhérents au système étudié.

D'autres descripteurs sont pris en considération dans l'analyse, comme les dommages causés par les accidents potentiels et leur gravité. Les mesures de prévention ou de protection appropriées sont ensuite décrites en regard des accidents potentiels considérés.

L'analyse préliminaire des risques a pour support un tableau à colonnes dont un exemple est donné au tableau suivant.

Tableau 10 : modèle analyse préliminaire des risques

Les colonnes « gravité » et « conséquences » permettent de hiérarchiser les risques rencontrés et les colonnes « mesures préventives » et « application des mesures » conduisent à s'interroger sur ce qui pourrait être fait pour détecter, maîtriser, voire éliminer le risque mis en évidence. Ces colonnes indiquent les mesures sélectionnées pour être mise en oeuvre et éventuellement leur efficacité.

Dans la pratique, toutefois, une démarche essentiellement déductive est souvent choisie pour élaborer une analyse préliminaire de risques : les accidents potentiels sont le point de départ de l'analyse. Pour chaque accident potentiel, on identifie alors les situations dangereuses qui peuvent précéder celui-ci. La description des mesures de prévention ou de protection demeure néanmoins l'aboutissement habituel de la démarche.

· Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité

L'objectif est d'identifier les effets des modes de défaillance des composants sur le système. Sur la base d'une analyse fonctionnelle (permettant d'identifier les fonctions assurées par les composants d'un système), l'analyse des modes de défaillances et de leurs effets permet d'identifier pour l'ensemble des couples {composant ; fonction}, les modes de dégradation de la fonction considérée, les causes de ces modes de dégradations et leurs conséquences sur le système étudié.

L'analyse de la Criticité permet de hiérarchiser les modes de défaillance identifiés par ordre d'importance. L'analyse des modes de défaillances et de leurs effets seule correspond à une analyse qualitative et devient une analyse quantitative lorsqu'une analyse de la criticité est menée.

« L'AMDEC n'est pas une simple grille ou un formulaire à renseigner, mais il s'agit avant tout d'une méthode, c'est-à-dire une démarche ordonnée et raisonnée, une façon de penser, développée par rapport à un objectif précis ... identifier les modes de défaillance potentiels et traiter ces défaillances avant qu'elles ne surviennent, en vue de les éliminer ou d'en minimiser les conséquences. »^95(*). Les principales caractéristiques de cette méthode sont les suivantes :

ü elle analyse la fiabilité du système : la façon dont il assure (ou non) les fonctions pour lesquelles il a été conçu ;

ü il s'agit d'une analyse exhaustive, de part sa démarche très systématique permettant de lister tous les composants du système, identifier les différents modes de défaillance qui peuvent les affecter et les conséquences sur le système, l'environnement, les personnes ;

ü il s'agit d'une méthode analytique : l'étude du système s'obtient par l'étude de ses composants et de leurs interactions ;

ü il s'agit d'une démarche inductive : partant de l'identification des défaillances qui peuvent affecter un composant du système considéré dans un environnement, elle amène à identifier l'effet de ces défaillances sur le système ;

ü il s'agit d'une analyse uniquement qualitative pour l'AMDE. C'est l'analyse de criticité qui adjoint l'aspect quantitatif à la méthode.

Il est souvent fait référence à des tableaux ou des grilles AMDEC. Il s'agit, en fait, de formaliser dans des tableaux à colonnes la réflexion menée. Il n'existe pas de tableaux standards, il serait en effet peu judicieux d'utiliser indifféremment la même grille dans tous les domaines industriels.

Néanmoins, les tableaux AMDEC contiennent généralement, selon (Afnor^96(*)), et (Faucher^97(*)), les colonnes suivantes :

- le nom de l'élément du système analysé ;

- la fonction remplie par l'élément ;

- les modes de défaillance ;

- les causes de défaillance ;

- les effets de défaillance ;

- des remarques ou observations ;

- auxquelles peuvent s'ajouter ;

- le repère d'identification de l'élément ;

- la phase de vie, le mode de fonctionnement ;

- la probabilité d'apparition de la défaillance ;

- les méthodes et moyens de détection des défaillances ;

- la gravité / un jugement qualitatif sur l'importance de la défaillance ;

- la criticité de la défaillance ;

- le suivi / la testabilité / la validation / la vérification.

· Méthode de l'Arbre de Défaillance ou de Défaut ou de Faute

Un arbre de défaillance représente de façon synthétique l'ensemble des combinaisons d'événements qui peuvent conduire à une défaillance. Construire un arbre revient à répondre à la question « comment telle défaillance peut-elle arriver ? », ou « quels sont les scénarios (enchaînements d'événements) possibles qui peuvent aboutir à cette défaillance ? ». Cette recherche des combinaisons de causes pouvant provoquer une défaillance se poursuit par une recherche des coupes minimales (ensembles d'événements de base, ou de conditions, nécessaires et suffisants à produire la défaillance) puis une évaluation de la vraisemblance de la survenue de la défaillance à partir de la combinaison des vraisemblances que les événements élémentaires se produisent.

La méthode consiste en une représentation graphique des multiples causes d'un événement redouté.

Elle permet de visualiser les relations entre les défaillances d'équipement, les erreurs humaines et les facteurs environnementaux qui peuvent conduire à des accidents. On peut donc éventuellement y inclure des facteurs reliés aux aspects organisationnels.

L'analyse par Arbre de Défaillances se déroule généralement en 3 étapes :

v Spécification du système et de ses frontières ;

v Spécification des événements redoutés préalablement identifiés par exemple par APR ;

v Construction des arbres de défaillances : On cible les événements redoutés un par un et on essaye d'identifier les successions et les combinaisons d'événements de base permettant d e les atteindre.

La méthode de l'arbre de défaillance comprend une partie qualitative, qui correspond à la construction de l'arbre et la recherche des coupes minimales, et une partie quantitative qui vise à évaluer les probabilités d'occurrence au niveau des événements élémentaires, des coupes minimales et au niveau de la défaillance.

Un arbre de défaillance est généralement présenté de haut en bas. La ligne la plus haute, ou sommet de l'arbre, comporte uniquement la défaillance (ou événement redouté ou encore événement non souhaité) que l'on cherche à analyser. Chaque ligne détaille la ligne supérieure en présentant la combinaison ou les combinaisons susceptibles de produire l'événement de la ligne supérieure auquel elles sont rattachées. Ces relations sont présentées par des liens logiques OU ou ET. La première étape consiste à définir l'événement sommet, c'est-à-dire la défaillance de façon explicite et précise, afin que l'arbre construite réponde bien aux attentes de l'étude (par exemple les événements suivants ne sont pas équivalents : défaillance de la stabilité d'un bâtiment, ruine d'un bâtiment sous l'action d'un séisme, rupture d'un bâtiment sous l'action de la neige, etc.).

La deuxième étape consiste à décrire l'ensemble des événements, par des combinaisons logiques (conjonction ou disjonction), pouvant engendrer l'événement sommet. Il apparaîtra donc des événements moins globaux que l'événement sommet, que l'on nommera événements intermédiaires, et un connecteur logique qui les relie à l'événement sommet.

Les étapes suivantes consistent à décrire successivement l'ensemble des lignes permettant d'expliquer les lignes supérieures (par des événements et des connecteurs logiques) jusqu'à avoir écrit l'ensemble des causes connues. Il s'agit de répéter la deuxième étape jusqu'à l'obtention des événements de base qui sont des événements qui ne se décompose plus en événements plus fins.

* ⁹² Ibid. P.89-90.

* ⁹³ Monteau, M., & Favaro, M, Bilan des méthodes d'analyse à priori des risque, INRS, 1990.p .32.

* ⁹⁴ ZWINGELSTEIN G. op.cit. P.601.

* ⁹⁵ AUCHER J. Pratique de l'AMDEC. Paris : DUNOD, 2004, p.177.

* ⁹⁶ AFNOR. Techniques d'analyse de la fiabilité des systèmes - Procédures d'analyse des modes de défaillance et de leurs effets (AMDE). NF X60-510, 1986, p.24.

* ⁹⁷ Faucher J. op.cit. p .177 .