Analyse des risques

Une analyse de risques est utilisée comme première étape d'un processus d'évaluation des risques. Le résultat d’une analyse des dangers est l’identification de différents types de dangers. Un danger est une condition potentielle et existe ou non (la probabilité est de 1 ou 0). Il peut, en une seule existence ou en combinaison avec d’autres dangers (parfois appelés événements), devenir un véritable échec ou accident fonctionnel (accident). La façon dont cela se passe exactement dans une séquence particulière s'appelle un scénario. Ce scénario a une probabilité d'occurrence (entre 1 et 0). Un système comporte souvent de nombreux scénarios de défaillance potentiels. Une classification lui est également attribuée, en fonction de la pire gravité de la condition finale. Le risque est la combinaison de la probabilité et de la gravité. Des niveaux de risque préliminaires peuvent être fournis dans l’analyse des dangers. La validation, la prédiction plus précise (vérification) et l'acceptation du risque sont déterminées dans l'évaluation du risque (analyse). L’objectif principal de l’un et de l’autre est de fournir la meilleure sélection de moyens permettant de contrôler ou d’éliminer le risque. Le terme est utilisé dans plusieurs spécialités de l'ingénierie, notamment l'avionique, la sécurité des processus chimiques, la sécurité, la fiabilité, la sécurité alimentaire[1].

Les analyses de risques peuvent être menées suivant la norme AMDEC (NF EN IEC 60812), ou suivant la démarche EBIOS pour les études de risques en matière de sécurité informatique. Ces démarches diffèrent d'autres démarches telle la DO-178B (qui n'est pas une norme mais bien une démarche employée dans le secteur de l'aéronautique).

Il faut savoir que l'analyse de risque en général est une démarche récente (datant de la fin du XXe siècle) qui n'a connu à ce jour aucun consensus normatif, seulement des démarches et des guides de recommandations (spécifiques à des secteurs d'activité).

Dangers et risquesModifier

Un danger est défini comme une "condition, un événement ou une circonstance pouvant conduire à ou contribuer à un événement imprévu ou indésirable". Il est rare qu'un seul danger cause un accident ou une défaillance fonctionnelle. Le plus souvent, un accident ou une panne opérationnelle survient à la suite d'une suite de causes. Une analyse des risques prend en compte l'état du système, par exemple l'environnement d'exploitation, ainsi que les défaillances ou les dysfonctionnements.

Bien que dans certains cas, le risque pour la sécurité ou la fiabilité puisse être éliminé, dans la plupart des cas, un certain degré de risque doit être accepté. Afin de quantifier les coûts attendus avant le fait, les conséquences potentielles et la probabilité d'occurrence doivent être prises en compte. L'évaluation du risque est réalisée en combinant la gravité de la conséquence avec la probabilité d'occurrence dans une matrice. Les risques qui entrent dans la catégorie "inacceptable" (par exemple, une gravité élevée et une probabilité élevée) doivent être atténués par un moyen permettant de réduire le niveau de risque pour la sécurité.

Les plans de sécurité logicielle IEEE STD-1228-1994 décrivent les meilleures pratiques de l’industrie en matière d’analyses de danger pour la sécurité des logiciels afin de garantir que les exigences et attributs de sécurité sont définis et spécifiés pour être inclus dans un logiciel qui commande, contrôle ou surveille des fonctions critiques. Lorsqu'un logiciel est impliqué dans un système, l'assurance de développement et de conception de ce logiciel est souvent régie par la démarche DO-178B (particulièrement en aéronautique). La gravité des conséquences identifiée par l'analyse des dangers établit le niveau de criticité du logiciel. Les niveaux de criticité des logiciels vont de A à E, correspondant à la gravité de l’effet Catastrophic to No Safety. Une plus grande rigueur est requise pour les logiciels de niveaux A et B. Les tâches fonctionnelles et les produits de travail correspondants correspondent au domaine de la sécurité du système utilisé comme preuve objective de la conformité aux critères et exigences de sécurité.

Récemment, une norme commerciale de pointe a été promulguée (laquelle ???), basée sur des décennies de processus de sécurité des systèmes éprouvés au DoD et à la NASA. ANSI / GEIA-STD-0010-2009 (Meilleures pratiques standard pour l'élaboration et l'exécution de programmes de sécurité du système) est une meilleure pratique commerciale démilitarisée qui utilise des approches globales, complètes et adaptées et éprouvées pour la prévention, l'élimination et le contrôle des risques. Il est centré sur l'analyse des dangers et le processus de sécurité basé sur les fonctions.

Définitions de gravité - liées à la sécurité (selon la démarche DO-178B )Modifier

Gravité Définition
Catastrophique Entraîne des décès multiples et / ou une perte du système
Dangereux Réduit la capacité du système ou la capacité de l'opérateur à faire face à des conditions défavorables dans la mesure où il y aurait:
  • Réduction importante de la marge de sécurité ou de la capacité fonctionnelle
  • Détresse physique de l'équipage / charge de travail excessive, de sorte que l'on ne puisse pas compter sur les opérateurs pour effectuer les tâches requises de manière précise ou complète
  • Blessures graves ou mortelles subies par un petit nombre d'occupants d'aéronefs (sauf les opérateurs)
  • Blessure mortelle au personnel terrestre et / ou au grand public
Majeur Réduit la capacité du système ou des opérateurs à faire face à des conditions de fonctionnement défavorables dans la mesure où il y aurait:
  • Réduction significative de la marge de sécurité ou de la capacité fonctionnelle
  • Augmentation significative de la charge de travail de l'opérateur
  • Conditions affectant l'efficacité de l'opérateur ou générant un inconfort important
  • Détresse physique des occupants de l'aéronef (sauf l'exploitant), y compris blessures
  • Maladie professionnelle majeure et / ou dommages environnementaux importants, et / ou dommages matériels importants
Mineur Ne réduit pas de manière significative la sécurité du système. Les actions requises par les opérateurs sont bien dans les limites de leurs capacités. Comprendre:
  • Légère réduction de la marge de sécurité ou des capacités fonctionnelles
  • Légère augmentation de la charge de travail telle que les changements de plan de vol de routine
  • Un certain inconfort physique pour les occupants ou les aéronefs (sauf les opérateurs)
  • Maladie professionnelle mineure et / ou dommages environnementaux mineurs, et / ou dégâts matériels mineurs
Aucun effet de sécurité N'a aucun effet sur la sécurité

Probabilité d'occurrence (selon la démarche DO-178B )Modifier

Probabilité Définition
Probable
  • Qualitative: Prévu pour se produire une ou plusieurs fois pendant toute la durée de vie système / opérationnelle d'un élément.
  • Quantitative: La probabilité d'occurrence par heure opérationnelle est supérieure à  
Éloigné
  • Qualitative: Il est improbable que chaque objet se présente pendant toute sa durée de vie. Peut se produire plusieurs fois dans la vie d’un système ou d’une flotte entière.
  • Quantitative: La probabilité d'occurrence par heure opérationnelle est inférieure à  , mais supérieur à  
Extrêmement Distant
  • Qualitative: aucun élément ne devrait survenir au cours de sa durée de vie. Peut se produire plusieurs fois dans la vie d’un système ou d’une flotte entière.
  • Quantitative: La probabilité d'occurrence par heure opérationnelle est inférieure à   mais plus grand que  
Extrêmement Improbable
  • Qualitative: Si improbable que cela ne se produise pas pendant toute la durée de vie opérationnelle d'un système ou d'un parc complet
  • Quantitative: La probabilité d'occurrence par heure opérationnelle est inférieure à  

RéférencesModifier