Le modèle STAMP et l’analyse des dangers STPA

3.2 Des méthodes de première génération aux méthodes de troi-

3.2.1 Le modèle STAMP et l’analyse des dangers STPA

Le modèle STAMP

Le modèle STAMP, pour Systems-Theoretic Accident Modeling and Pro- cesses (Modélisation et processus des accidents systémiques), a été dévelop- pée par Nancy G. Leveson et est inspirée de son premier livre « Safeware : system safety and computers »[109]. La première apparition de STAMP en tant que modèle se fera en 2002. Ce modèle évoluera rapidement, notamment

jusqu’en 2003 où il sera présenté dans l’article « A new accident model for engineering safer systems »[110]. Il est capable de représenter l’ensemble des changements systémiques[83].

STAMP est basée sur deux théories primordiales, présentées dans le chapitre précédent, à savoir la théorie des systèmes et celle du contrôle. L’accident n’est alors plus perçu comme le résultat d’une suite d’évènements, mais plu- tôt comme la conséquent d’un problème de contrôle et comme un processus d’évolution systémique.

STAMP considère que la sécurité est un problème lié au contrôle : les accidents se produisent lorsque les composants sont défaillants, lorsqu’une per- turbation externe apparaît ou encore lorsqu’il y a des dysfonctionnements dans les interactions entre les composants du système. La théorie du contrôle a pour objectif principal de concevoir des outils d’analyse et de contrôle des systèmes. Elle repose sur le concept de rétroaction, dans le but de contrôler le comportement d’un processus dynamique. Après identification des variables d’état, la théorie du contrôle s’applique à identifier les moyens de contrôler ces variables, dans l’unique but de ne pas faire migrer le système dans un état accidentel.

L’hypothèse sous jacente de cette méthode est l’utilisation de la théorie des systèmes comme moyen d’analyse des accidents.

Cette théorie considère que les systèmes sont constitués de différents éléments reliés entre eux et se maintenant dans un état d’équilibre dynamique, grâce à des boucles de contrôle. Elle met en avant le fait qu’un accident se produit lorsque des perturbations extérieures, des défaillances de composants ou des interactions entre composants ne sont pas suffisamment traitées par le sys- tème de contrôle.

L’accident est le résultat d’une mauvaise application des contraintes dans les différents niveaux du système. L’objectif est donc d’identifier les causes du mauvais fonctionnement de la boucle de contrôle, de façon à pouvoir prévenir les accidents. Un système dit sûr, doit être capable de continuer à fonctionner après la réaction du système à son environnement et aux changements dynamiques. C’est pourquoi le retour d’expérience et l’adaptation sont deux notions essentielles.

STAMP ne se limite pas à la dénomination de la défaillance d’un composant mais va plus loin en exigeant que les raisons de cette défaillance soient identi- fiées. L’accident ne survient pas à cause de la défaillance d’un composant du système. Un système n’est pas statique, mais est en perpétuel changement, notamment dû aux entrées ou à l’environnement. Dans le modèle STAMP, les systèmes ne sont pas uniquement vus d’un point de vue statique. En ef-

fet, ces derniers interagissent entre eux, s’adaptent à l’environnement et aux contraintes extérieures. STAMP prend en compte cette notion de dynamisme des systèmes car le système doit être capable de continuer à fonctionner mal- gré les interactions extérieures.

Le domaine du dynamisme des systèmes a été introduit dans les années 1950, par Jay Forrester (MIT University) et fut conçu dans un premier temps, pour aider les décideurs à apprendre la structure et la dynamique des sys- tèmes complexes, et pour favoriser le changement. En utilisant ce modèle, les accidents peuvent alors être compris en répondant à la question suivante : pourquoi le système de contrôle en place n’a-t-il pas été capable de prévenir ou de détecter les changements ? STAMP se refuse à parler d’ « évènements » et préfère introduire la notion de « contraintes ». Les accidents sont donc le résultat d’un contrôle n’imposant pas suffisamment de contraintes au sys- tème ou bien d’une exigence du système qui ne parviendrait pas à identifier une contrainte[110].

La méthode STAMP s’appuie sur les trois notions suivantes :

De la séquence d’évènements à l’importance des contraintes.

Dans les modèles d’analyses classiques, l’accent est mis sur la séquence des évènements. Dans la théorie des systèmes, le contrôle est associé à la notion de contraintes. Dans ce cas, la cause d’un accident est le manque de contraintes sur le système, sur les interactions. Par conséquent, l’objectif est de déterminer en amont les contraintes nécessaires à la sécurité du process, en intégrant les dimensions organisationnelles et sociales, mais aussi de faire respecter ces contraintes. Les systèmes dits socio-techniques peuvent être re- présentés par des hiérarchies de niveaux et des processus de contrôle entre les différents niveaux, permettant ainsi de contrôler le niveau inférieur.

La boucle de contrôle.

Contrairement aux modèles classiques, STAMP réutilise les principes de la théorie des systèmes et décrit un système, non comme une succession d’évè- nements, mais comme une hiérarchie de contrôles basée sur des mécanismes de rétroactions. « Le système de contrôle convertit le but du système en ac- tions devant être contrôlées afin d’atteindre un objectif ou de le maintenir. Pour ce faire, le système utilise des boucles de contrôle »[83]. Il existe deux types de boucles de contrôle :

• les boucles ouvertes : il n’existe aucune influence entre les entrants et les sortants. Le passé n’a pas d’influence sur le futur.

• les boucles fermées : les prises de décisions futures se font en fonction des résultats antérieurs.

En général, un contrôle de système, doit réunir quatre conditions nécessaires : • une condition de but : le contrôleur doit avoir un but, un objectif, • une condition d’action : le contrôleur doit être en mesure d’affecter

l’état du système,

• une condition de modèle : le contrôleur doit être un modèle du système, • une condition d’observabilité : le contrôleur doit être capable de vérifier

l’état du système, notamment grâce au retour d’informations.

Les structures hiérarchiques.

Tout comme la théorie des systèmes, la méthode STAMP repose sur des structures hiérarchiques. Chaque niveau supérieur impose des contraintes au niveau inférieur, ce qui permet de contrôler les niveaux du dessous. Chaque niveau hiérarchique est plus complexe que celui situé en dessous et comprend des composants et leurs interactions. Des processus de contrôle opèrent entre chaque niveau de la hiérarchie. Les contraintes sont amenées par des transitions descendantes entre deux niveaux hiérarchiques alors que les transitions ascendantes permettent la mise en place de rétroaction (satisfaction ou non de la contrainte).

L’analyse des dangers STPA

La technique d’analyse des dangers STPA (STAMP based Analysis) a été développée par Nancy Leveson, et est fondée sur le modèle STAMP. Cette analyse des dangers peut être utilisée selon deux points de vue :

• l’enquête accident (analyse a posteriori), sous forme statique et dyna- mique,

• l’évaluation de la sécurité (analyse a priori).

Dans les deux cas, STPA suit les mêmes étapes de développement, même si la partie dynamique n’est nécessaire que dans le cas d’une enquête accident.

Les différentes étapes sont précisées ci-après :

• la phase statique, qui permet un aperçu de l’organisation générale du système et des différentes interactions les reliant :

– étape 1 : Analyse préliminaire des risques « système » et définition des exigences et contraintes « système »,

– étape 2 : Etablissement de la structure de contrôle de la sécurité (rôles et responsabilités des éléments et mécanismes de rétroaction, – étape 3 : Intégration des exigences « système » et des contraintes

« système » au niveau des éléments,

– étape 4 : Examen de la structure de contrôle et des modèles de processus pour analyse détaillée des contrôles inadéquats,

– étape 5 : Catégorisation (immédiat, long terme, standard) et gestion des risques (défauts des boucles de contrôle).

• la phase dynamique, qui cherche à comprendre le comportement du système au moment de l’accident et les raisons de son passage d’un état sûr vers un état accidentel :

– étape 6 : Modélisation dynamique,

– étape 7 : Résultats et recommandations[83].

Dans le cas de ce manuscrit, nous allons nous intéresser à l’analyse STPA, au niveau de l’évaluation de la sécurité. Nous sommes alors dans une dé- marche de prévention des accidents. L’objectif de l’analyse STPA est alors double : identifier les dangers d’un système et les contraintes de sécurité qui en découlent et déterminer comment ces contraintes peuvent ne pas être res- pectées et donc pousser le système vers un état accidentel. Dans le cas où l’analyse STPA est utilisée en amont du cycle de vie d’une système, c’est à dire lors de sa conception, elle permet de fournir des informations sur l’état du système et son niveau de risque, diminuant ainsi les risques qu’a un système de migrer vers un état accidentel.

Processus industriel

Identifier les objectifs, les hypothèses et les concepts de la mission

Identifier les exigences fonctionnelles

Définir la structure de contrôle du système

Définir le modèle de processus pour les élé- ments du système

Processus d’analyse des dangers Commencer

Etape 1 : Analyse pré- liminaire des risques système + Définition des exigences et des contraintes système Etape 2 : Etablisse- ment de la structure de contrôle de la sécu- rité Etape 3 : Intégra-

tion des exigences et

des contraintes sys-

tèmes au niveau des éléments

Etape 4 : Examiner la structure de contrôle et les modèles de pro-

cessus pour analyse

détaillée des contrôles inadéquats

Etape 5 : Catégori- sation et gestion des risques

Itération lors du cycle de vie

En conclusion, la méthodologie STAMP s’intéresse tout particulièrement et en priorité, au rôle que jouent les contraintes dans un management de la sécurité. Les accidents sont alors vus non comme une succession d’erreurs, mais comme le résultat de contrôles inadéquats. Les accidents sont compris de la façon suivante : pourquoi le système de contrôle mis en place n’a pas pu prévoir ou détecter les changements inadéquats, en quoi les contrôles visant à faire respecter les contraintes de sécurité sont insuffisants et enfin pourquoi le système n’a pas été capable d’exercer un contrôle approprié sur leurs applications ? Les mots clés de la méthode STAMP sont donc associés aux notions de contraintes, boucle de contrôle, modèle de process et niveau de contrôle.

Dans le document Management du risque à l'hôpital : évaluation d'une nouvelle méthode d'analyse du risque appliquée à la prise en charge du patient par chimiothérapie (Page 105-111)