Les différents principes méthodologiques

6. Les méthodes d’analyse proposées par

l’ingénierie

De nombreuses méthodes d’analyse des risques a priori ont été développées aux Etats-Unis et en Europe et restent d’actualité dans les industries à risques pour gérer les risques. Celles qui reviennent le plus souvent dans la littérature sont l’Analyse Préliminaire des Risques (APR), l’Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité (AMDEC) (chapitre 6.3), l’arbre des défaillances, le nœud papillon, les Hazard and Operability studies (HAZOP) et la Méthode Organisée Systémique d’Analyse des Risques (MOSAR). D’autres méthodes moins couramment utilisées (Hazard Analysis Critical Control Point, Layer Of Protection Analysis, méthode de la vulnérabilité des sites industriels, approche markovienne, réseaux de Petri) ne seront pas présentées dans ce travail.

L’ensemble de ces méthodes repose sur des principes similaires.

6.1. Les différents principes méthodologiques

Les méthodes d’analyse des risques reposent sur certains principes fondateurs : la simplification de l’analyse par décomposition d’un processus en étapes, la prévision d’événements indésirables pour se préparer à leur survenue et les anticiper, l’identification de modes de défaillance par l’usage de la relation de causalité, une évaluation chiffrée des risques qui permet de les hiérarchiser et d’évaluer la réduction des risques associée à la mise en place de dispositions d’amélioration. Ces principes déterminent à la fois les objectifs de l’analyse (principe de simplification et d’anticipation) et les conditions de son élaboration (usage de la relation de causalité, des notions de risque acceptable et de risque résiduel).

6.1.1. La simplification de l’analyse

Face à l’impossible intelligibilité d’un système complexe dans son ensemble, le principe de simplification vise à délimiter le périmètre d’analyse à certaines de ses parties et à simplifier l’analyse des relations entre ces parties. La méthode AMDEC processus – utilisée dans le domaine médical – propose de segmenter un processus de soin à partir des fonctions assurée par ses acteurs, ce qui revient, en général, à étudier ses étapes. Cette forme de décomposition

64 est un choix pour cadrer l’analyse à partir d’une succession de situations de travail à étudier. Il s’agit d’une méthode réductionniste dont l’objectif est de faciliter la compréhension d’un processus à partir d’événements, voire de permettre une analyse plus en profondeur des risques de l’étape étudiée. Ce principe de simplification est utilisé en gestion des risques dans le domaine médical en France et s’appuie sur la tradition analytique de décomposition des processus. Le choix d’analyser les risques selon les fonctions assurée par l’équipe permet aux analystes d’identifier et d’évaluer des défaillances techniques, humaines et organisationnelles – accessibles par les savoirs opérationnels des membres de l’équipe médicale – dans l’objectif d’améliorer la sécurité de manière globale.

Aux Etats-Unis, le recours à la segmentation est courant dans le domaine médical pour déterminer la partie du processus de soin à étudier, considérée complexe ou risquée (De Rosier & al., 2002 ; Adachi & Lodolce, 2005 ; Habraken & al., 2009 ; Faye & al., 2010 ; Cagliano & al., 2011). La segmentation est généralement construite à partir des incidents survenus dans le passé (analyse d’un problème risqué) ou à partir des défaillances connues des fonctions du système (étapes du traitement). L’analyse de « scénarios » définis à différentes étapes du soin (décomposition) et placés dans des conditions différentes ou à des étapes différentes va permettre aux analystes de prévoir des situations méconnues à risques (latentes ou non).

La décomposition du processus de soin en étapes pour le sécuriser dans son ensemble se base sur l’hypothèse que chaque étape peut présenter une dimension risquée et que son identification permet de limiter sa propagation à l’étape suivante.

6.1.2. L’anticipation d’événements inacceptables

La méthode AMDEC part du principe que la prévention des risques se fonde sur l’anticipation des événements probables aux conséquences inacceptables pour éviter leur survenue et pour limiter leurs conséquences en cas de survenue. Berthoz et Debru (2015) parlent de l’anticipation comme un lien entre le passé et le futur, élaboré par un incessant va et vient autour du présent. Ce lien permettrait la prévision d’événements probables et pourrait se jouer à deux niveaux : lors de l’activité d’une équipe (régulation chaude) ou au moment de l’analyse des risques (régulation froide).

Dans notre thèse, l’anticipation est envisagée en dehors de l’action. En sécurité (chimie, aéronautique, médical) ou en sûreté (nucléaire), la capacité d’anticipation repose sur

65 l’hypothèse que des analystes vont être capables de prédire ce qu’il pourrait arriver et d’élaborer des scénarios d’événements réalistes en imaginant des modes de défaillances à partir de la connaissance du comportement du système (composants techniques et humains). L’identification de dérives ou de défaillances techniques ou humaines survenues dans le passé est mobilisée pour se préparer à la survenue d’un événement potentiel et s’en prémunir. Autrement dit, cette forme d’anticipation va guider la définition de mesures pour se prémunir d’éventuelles défaillances dans une situation en général critique et à dynamique rapide. En sûreté de fonctionnement, il est d’usage de parler de barrières ou de lignes de défense. Cette capacité d’anticipation est fondée pour Berthoz & Debru (2015) sur le changement de points de vue, sur la capacité des analystes à jouer mentalement des scénarios à la première ou à la troisième personne, de manière égocentrée puis allo-centrée.

L’anticipation d’événements probables est un moyen de prémunir ou de préparer l’organisation à leur survenue et de cadrer les pratiques humaines dans la configuration événementielle pour mieux les gérer.

6.1.3. La relation de causalité

L’usage de la relation de causalité est fréquent dans l’activité scientifique, dans les raisonnements experts et quotidiens. Elle est considérée comme une loi quasi naturelle et

universelle qui permet d’expliquer les phénomènes. « Science et philosophie partagent un

attachement et une dépendance envers la relation causale » (p.129) et « c’est une conception qui traversera, avec quelques variations, toute l’époque moderne » (Tonning, 2006, p.130). Elle peut être réduite au principe de causalité et se focaliser sur l’analyse des causes d’un phénomène : tout ce qui arrive suppose quelque chose qui le précède (principe d’antériorité). Elle peut aller au-delà et associer les causes aux effets (principe d’influence). Cette relation part du principe que tout ce qui arrive suppose quelque chose qui le précède et qui lui succédera. Autrement dit, un effet peut devenir une cause au cours d’un phénomène.

La dimension explicative de la relation de causalité en a fait un outil privilégié pour mieux comprendre la survenue d’événements indésirables et analyser les risques d’un processus. L’analyse d’un évènement ou d’un scénario évènementiel à partir de la relation de causalité se fonde sur l’hypothèse qu’elle va permettre d’une part, d’identifier certaines dimensions macroscopiques de l’événement ou de la défaillance, notamment des éléments qui relèvent du contexte, de l’organisation, de la stratégie d’entreprise… et d’autre part, d’imaginer de

66 nouveaux scénarios indésirables à partir des effets de défaillances. L’analyse des effets est utilisée dans l’analyse des risques comme un outil permettant de faire le lien entre un phénomène, une situation ou une défaillance et ses effets - conséquences avérées ou potentielles.

L’analyse d’un évènement ou d’un mode de défaillance à partir de la relation de causalité serait un moyen de mettre à jour des causalités qui sont parfois difficiles à identifier. La dynamique d’un événement ou d’une défaillance – de leurs causes à leurs effets – peut être connue ou méconnue, lente ou rapide, simple ou complexe, modifiée par certains facteurs qui s’intercalent ou par des conditions changeantes de l’environnement. Le succès de l’AMDEC repose sur la possibilité de faire apparaitre une partie de la réalité des situations de travail et d’identifier des éléments, sources de risques ou d’événements.

6.1.4. La réduction des risques à un niveau acceptable

Face à l’impossibilité d’atteindre l’absence de risque (Neboit et al., 1990 ; Sheridan, 2008), un autre objectif de sécurité s’est développé, celui d’atteindre un niveau acceptable de risques. La sécurité n’est plus définie par la négative c’est-à-dire par l’absence de risques mais en référence à des risques acceptables (Aven, 2014). L’OMS définit la sécurité des patients comme la réduction des risques d’événements indésirables à un niveau acceptable. Autrement dit, l’acceptabilité est utilisée dans le domaine de la sécurité comme un critère d’évaluation d’un risque et elle est évaluée à partir de la criticité d’un événement c’est-à-dire selon sa fréquence et sa capacité de dommages à des personnes, des biens ou à l’environnement. C’est donc l’acceptabilité de la criticité d’un risque qui est déterminée, sachant qu’un risque n’est acceptable qu’au regard de la valeur qu’il crée (Hubault, 2004). Deux approches sont utilisées dans la gestion des risques, l’approche déterministe et l’approche probabiliste.

L’approche déterministe permet d’établir une relation causale entre un événement et ses conséquences. Dans le cas où les conséquences sont considérées inacceptables par les analystes, des systèmes de protection et de sauvegarde seront dimensionnés, des moyens d’intervention et des mesures de protection de la population seront définis (INERIS Dho 2002-26824) pour atteindre un niveau acceptable des risques et minimiser les effets de l’événement.

L’approche probabiliste permet d’apprécier la probabilité d’un enchainement d’événements qui constitue un scénario accidentel (INERIS Dho 2002-26824). Pour faciliter l’évaluation, la

67 quantification des risques impulsée par les économistes et permise par l’usage de méthodologies probabilistes a été reprise par les sciences de l’ingénieur. Cette caractérisation probabiliste a conduit à définir des « matrices de criticité », avec des niveaux d’acceptabilité selon les types de risques considérés. Ces matrices sont diffusées dans les normes internationales, européennes (guide ISO/CEI 73, guide ISO/CEI 51) et françaises (NF F 00-101). Plus précisément, les industries utilisent des grilles quantitatives de criticité et d’acceptabilité dans les études de danger (chimie) et dans les analyses de risques (médical). Elles comportent traditionnellement une échelle de fréquence des défaillances, une échelle de gravité de leurs conséquences, parfois une échelle de leur détectabilité. La probabilité d’occurrence dépend de trois paramètres : la fréquence et la durée d’exposition, la probabilité d’occurrence d’un événement dangereux et la possibilité d’éviter ou de limiter le dommage (Ecury, 1999). La quantification du risque s’appuie presque toujours sur le calcul qu’un évènement se produise et que des conséquences particulières découlent de cet événement (Magne & Vasseur, 2006). L’objectif de ces grilles de criticité est d’aider les analystes à définir l’inacceptabilité d’un risque, à décider à partir de ce calcul de la mise en place de mesures de prévention et de protection pour les réduire à un niveau acceptable. Ces grilles sont considérées comme des outils de hiérarchisation.

Une échelle de détectabilité peut être associée aux matrices de criticité dans le domaine de la santé. La détection d’une défaillance peut également aider à définir son acceptabilité dans le

sens où « Ce flux d’erreurs prédit peu les accidents, car la très grande majorité, sinon la

totalité des erreurs sont détectées et récupérées par l’opérateur lui-même » (Amalberti, 2014, p.35). L’évaluation de la criticité d’une défaillance ou d’un risque connu s’appuie généralement sur des données issues des retours d’expérience et d’analyses d’évènements mais peine à être renseignée pour des risques imaginés.

Dans une analyse des risques a priori, en l’absence de données réalistes sur un risque imaginé, la définition de son acceptabilité dépendra de l’expertise des analystes, qu’elle soit qualitative ou qu’elle prenne une valeur mathématique. Elle repose sur la perception de la criticité d’un risque. Il émergera des débats d’experts dont le niveau d’acceptation des risques est en général différent puisqu’il dépend de caractéristiques individuelles, notamment l’identité professionnelle, l’expérience des risques, le niveau d’aversion aux risques, la confiance attribuée à ses collègues, le sentiment de maîtrise… Le compromis collectif est parfois