MANAGEMENT DU RISQUE À LA FAA - CONCEPTS

Transcription

1 MANAGEMENT DU RISQUE À LA FAA - CONCEPTS L. ROUSSSEAU Version 1.0 CONDITIONS D UTILISATION : SE RÉFERRER À L AVANT PROPOS LESIA Laboratoire d Etude des Systèmes Informatiques et Automatiques, Institut National des Sciences Appliquées de Toulouse, Département Génie Électrique, 135, avenue de Rangueil, Toulouse cedex 4. Lambert.Rousseau@insa-toulouse.fr url : http ://

2

3 Avant-propos Objectifs initiaux Ce document introduit les éléments fondamentaux relatifs au management du risque pratiqué à la FAA et en général dans les transports aériens civils, militaires et les vols spatiaux aux États-Unis. Il a pour but de positionner les notions utilisées dans ces domaines par rapport au cadre général que nous avons proposé dans "Management du risque - Concepts", Gilles Motet, INSA de Toulouse, 2005, document auquel nous faisons référence sous l appellation : "notre document de référence". Le point de vue sur le risque considéré par le secteur de l avionique aux États-Unis est ainsi clairement identifié. Traduction Ce document a été écrit à partir de différents documents en langue anglaise. Les traductions ont été faites en suivant deux objectifs : la prise en compte du contexte d utilisation et la mise en relation avec des normes existantes. Les choix de traduction étant souvent discutables, nous avons majoritairement conservé parallèlement une version française et une version anglaise du texte, bien que cette présentation puisse rendre la lecture plus difficile. Avertissement Le présent document a été rédigé dans le but d éclairer la question de la gestion des risques. Son contenu n engage que ses auteurs et leur compréhension des documents publiés par la FAA. Aucune validation n a été apportée par une quelconque autorité. Toute utilisation par le lecteur de toute information contenue dans ce document reste donc sous son entière responsabilité. Toulouse, le Lambert Rousseau CONDITIONS D UTILISATION : Ce texte est protégé par les droits d auteur et par la confidentialité. Toute copie, quel qu en soit le support, ne peut être communiquée à une tierce personne qu après autorisation de l auteur ou du directeur du LESIA CONTACT LESIA : gilles.motet@insa-toulouse.fr

4

5 Table des matières 0.1 Origines de la FAA Rôle et activités actuels de la FAA Le cycle de vie proposé par la FAA Activité de gestion du risque à la FAA Choix typographiques Concepts de risque et de management du risque à la FAA Définition du risque à la FAA Cause, effet et conséquence Source, occurrence de l événement et importance des conséquences Notion de risque Dommage et danger Dommage Danger Management du risque Définition Processus de management du risque à la FAA Plan de sécurité intégré Tâches Politique, système, plan et évaluation du management du risque Politique de management du risque à la FAA Processus d évaluation du processus de management du risque Synthèse sur les concepts de risque et de management du risque à la FAA Comparaison avec notre document de référence Organisation des chapitres suivants Identification du risque à la FAA Objectif de l identification des risques Moyen de modélisation de l identification du risque Le modèle arc-nœud Le modèle des 5M Le modèle SHELL Synthèse sur les moyens de modélisation utilisés pour l identification des risques à la FAA Identification des sources Situation à risque et situation dangereuse Relations entre les éléments du modèle

6 2.3 Processus d identification du risque Modèles d identification du risque Synthèse sur l identification du risque à la FAA Estimation du risque à la FAA Objectif Moyen de modélisation de l estimation du risque Attributs d estimation : critères et métriques Estimation de la gravité des conséquences Estimation de l occurrence d un événement Estimation du risque Estimation des sources du risque Processus d estimation du risque Estimation des dangers Estimation des cibles Estimation des conséquences Modèle d estimation du risque Synthèse sur l estimation du risque à la FAA Évaluation du risque à la FAA Objectif Moyen de modélisation de l évaluation du risque Aperçu général Évaluation du risque par facettes Analyse coûts-bénéfices Évaluation du risque dans la gestion de portefeuille Processus d évaluation du risque Modèle d évaluation du risque Les étapes du modèle d évaluation des risques Les produits du modèle d évaluation des risques Synthèse sur l évaluation du risque à la FAA Traitement du risque à la FAA Objectif Les différentes atitudes face au risque dans les projets de la FAA Refus du risque à la FAA Optimisation du risque à la FAA Transfert du risque à la FAA Prise de risque à la FAA Processus de traitemement du risque Synthèse sur le traitemement du risque Annexes Annexe-1 Typologie des sources du risque Annexe-2 Les analyses des dangers Annexe-3 Cycle de vie et gestion des risques Les phases du cycle de vie

7 6.3.2 Synthèse des phases de la gestion du risque Annexe-4 Documents de la FAA Documents disponibles Documents utilisés Définitions en Francais Traductions Definitions in English Translations Concepts du document de référence

8

9 Table des figures 1 Le système de l espace aérien des États-Unis (NAS) Cycle de vie proposé par la FAA Cause, danger, accident Plan de sécurité intégré Management des risques et cycle de vie à la FAA Détail de l étape de décision d investissement du processus d acquisition Recherche systématique des dangers et traitement des risques Le modèle Arc-Noeud Le modèle des 5 M Le modèle SHELL La relation entre les étapes du cycle de vie et les activités de management des risques Matrice de risque / grille de criticité utilisée par la FAA Processus d estimation et d évaluation du risque opérationnel Détail de l étape de décision d investissement du processus d acquisition Management des risques et cycle de vie à la FAA Cette figure décrit la relation entre le cycle de vie et les étapes de la gestion des risques

10

11 Introduction : Historique, rôle et activités de la FAA 0.1 Origines de la FAA Le 23 Août 1958, le président Eisenhower signe "the Federal Aviation Act of 1958" (P.L ). Traitant globalement du rôle nourricier et régulateur de l administration fédérale pour l aviation civile et commerciale, le nouveau statut abroge le "Air Commerce Act" de 1926, le "Civil Aeronautics Act" de 1938, le "Airways Modernization Act" de 1957, ansi que les passages des différents plans de réorganisation traitant de l aviation civile émis par la présidence. Le texte assigne les compétences accordées par les différentes lois abrogées et auparavant dispersées sur la structure fédérale à deux agences fédérales indépendantes : L Agence Fédérale de l Aviation (FAA) qui est créée et le conseil de l aéronautique civile ("Civil Aeronautics Board", CAB). La FAA est créée par ce texte mais ne prend ses fonctions que progressivement. Comme noyau de base, la FAA hérite de l organisation et des fonctions du CAA 1 le 31 décembre Plus tard, le 11 août 1960, l "Executive Order" met fin aux fonctions du comité de coordination aérien et transfert ses fonctions à la FAA. La section 103 énumère de façon concise les principaux pouvoirs et responsabilités de l administrateur de la façon suivante : La règlementation du commerce aérien de façon à promouvoir au mieux son développement et la sécurité dans le respect des exigences de défense nationale. La promotion, l encouragement et le développement de l industrie aéronautique civile. Le contrôle de l usage de l espace aérien autorisé des États-Unis et la règlementation tant des vols civils que militaires dans cet espace pour la sécurité et l efficacité de ces deux types de vols. Le renforcement de la recherche et du développement dans le domaine des équipements pour la navigation aérienne, les installations et les vols effectués à partir d elles. Le développement et la mise en œuvre d un système de contrôle aérien commun aux avions civils et militaires. 0.2 Rôle et activités actuels de la FAA En Juillet 1999 [15] la FAA était une organisation faisant travailler personnes, dont pour la certification et s occupait du plus grand système aérien du monde avec par exemple Note[1]: Sigle de "Civil Aeronautics Administration", le précurseur de la FAA

12 Chapitre 0. Introduction licences de pilotes en activité, 149 compagnies aériennes grandes distances, appareils, etc. FIG. 1 Le système de l espace aérien des États-Unis (NAS) Le rôle de la FAA est présenté aujourd hui de la façon suivante : Règlementer l aviation civile pour favoriser la sécurité. Encourager et développer l industrie aéronautique civile, ainsi que les nouvelles technologies de l aviation 2. Développer et mettre en œuvre un système de contrôle aérien commun aux avions civils et militaires. Effectuer la recherche et développer le système de gestion de l espace aérien national et de l industrie aéronautique civile. Développer et mener à bien les programmes de maîtrise du bruit des avions ainsi que des autres effets de l aviation civile sur l environnement. Règlementer les transports spatiaux commerciaux des États-Unis. 2 Note[2]: Par exemple, participation active au projet SpaceShipOne d avion spatial privé. 2 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

13 0.2. Rôle et activités actuels de la FAA Les activités actuelles de la FAA sont décrites comme suit 3 : Règlements de sécurité : La FAA délivre et impose les règlements et les normes minimales dans le domaine de la construction, la maintenance et l exploitation des avions. Elle founit les habilitations des personnels et des aéroports utilisés par les transporteurs aériens. Gestion de l espace et du trafic aériens : L utilisation efficace et sûre de l espace aérien navigable est l un des objectifs premiers de la FAA. Elle exploite les tours de contrôle, les centres de contrôle des couloirs de navigation aérienne et les stations de service en vol 4. La FAA développe des règles de trafic aérien, fournit les autorisations d utilisation de l espace aérien et contrôle le trafic. Moyens d aide à la navigation aérienne : La FAA construit et installe des aides visuelles ou électroniques à la navigation. La FAA assure la maintenance, l exploitation et le contrôle qualité de ces aménagements et soutien d autres aides à la navigation aérienne et au contrôle aérien comme les moyens de communication voix et données, les aménagements radar, les systèmes informatiques et les équipements de visualisation des stations de service en vol. 3 Note[3]: Traduit de : http :// 4 Note[4]: Les stations de service en vol fournissent les points météo, les communications radio en vol, les plans de vol, ainsi que l aide aux moyens de recherche et de sauvetage. L.ROUSSEAU LESIA - INSA - Toulouse 3

14 Chapitre 0. Introduction L aviation civile à l étranger : La FAA partcipe activement à la sécurité de l aviation et encourage l aviation civile en dehors des États-Unis. Elle échange des informations dans le domaine aéronautique avec les autorités étrangères ; certifie les ateliers de réparation, les personnels navigants et les mécaniciens à l étranger, fournit une aide technique et des formations ; négocie des accords bilatéraux de navigabilité avec d autres pays ; et prend part aux conférences internationales. Vols spatiaux commerciaux : La FAA fournit les règlements et encourage l industrie des États-Unis dans le domaine des vols spatiaux commerciaux. Elle fournit les autorisations pour les installations de tir commerciaux et la définition des charges utiles pour les lancements privés sur les lanceurs non réutilisables 5. Recherche, techniques de l ingénieur et développement : La FAA effectue la recherche et le développement sur les systèmes et procédures dont elle a besoin pour disposer d un système de contrôle aérien sûr et efficace. Elle apporte son aide à la construction d avions, de moteurs et d équipements et teste, évalue des systèmes d aviation, des appareillages, matériels et procédures. Elle met aussi en place des recherches en médecine spatiale et aérienne. Autres programmes : La FAA collecte et enregistre les documents portant sur ou ayant un intérêt pour les avions ou leurs constituants. Elle administre un programme d assurance qualité spécifique à l aviation, définit des tableaux de description de matériels, de missions, d incidents et d accidents spécifiques à l aéronautique, publie l information sur les couloirs aériens, les services aéroportuaires et d autres sujets techniques relatifs à l aéronautique. 5 Note[5]: Le 23 décembre 2004, le président Bush a signé la loi " Commercial Space Launch Amendments Act of 2004" (CSLAA). LA CSLAA encourage le développement de l industrie émergente des vols spatiaux commerciaux et confie la responsabilité de la règlementation des vols humains dans les vols spatiaux commerciaux au Département des transports (DOT) et à la FAA, conformément au texte 49 U.S.C. Subtitle IX, Chapter 701 (Chapter 701). 4 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

15 0.3. Le cycle de vie proposé par la FAA Organisation : La FAA est gérée par un administrateur, assisté par un administrateur délégué. Cinq administrateurs adjoints rendent compte à l administrateur et dirigent les sous-entités qui prennent en charge les fonctions principales de l agence (branches d activité ("lines of Business (LOB)")). Les administrateurs adjoints supervisent les autres programmes clés comme les ressources humaines, le budget et la sécurité des systèmes. 0.3 Le cycle de vie proposé par la FAA La FAA est organisée en sept branches d activité. Services du trafic aérien ("Air Traffic Services") Aéroports ("Airports") Règlementation et certification ("Regulation and Certification") Sécurité de l aviation civile ("Civil Aviation Security") Administration ("Administration") Transports spatiaux commerciaux ("Commercial Space Transportation") Recherche et aquisitions ("Research and Acquisitions") Chacune d elles correspond à une activité. Ces activités sont organisées autour d un cycle de vie défini par la FAA, représenté dans la figure 2. Ce cycle de vie décrit comment, à partir de nouveaux besoins de service, l activité est analysée et formalisée, les solutions sont formalisées, évaluées puis implémentées, mises en service, évaluées continûement de façon à pouvoir être mises en cause si nécessaire. Entre chacune de ces phases, des étapes de décision permettent d acter les décisions et de documenter le processus. Ce cycle de vie est valable pour les trois types de programme d acquisition : systèmes et logiciels, services et équipements ("systems and software, services and facilities"). Nous détaillons ces étapes en annexe (voir annexe 6.3), nous en donnons la liste ci-dessous : Analyse de la fonction ("Mission Analysis") Analyse d investissement ("Investment Analysis") Mise en œuvre de la solution ("Solution Implementation") Gestion durant l utilisation ("In-Service Management") Extension de la durée de vie ("Service Life extension") 0.4 Activité de gestion du risque à la FAA En 1998, l "Order " impose la mise en place d un processus explicite de gestion des risques en parallèle aux étapes du cycle de vie, comme nous le détaillons à la fin du premier chapitre. La L.ROUSSEAU LESIA - INSA - Toulouse 5

16 Chapitre 0. Introduction FIG. 2 Cycle de vie proposé par la FAA présentation succincte que nous avons faite des activités de la FAA fait ressortir plusieurs points relatifs à la gestion du risque : C est explicitement une activité centrale de la FAA. Elle s applique d une part aux systèmes techniques et d autre part au système de management. Les systèmes techniques mis en œuvre sont particulièrement compliqués et les risques sont vitaux (au sens premier). Un des objectifs est la formation des personnels. L approche mise en œuvre se doit donc d être particulièrement systématique et claire. La gestion des risques à la FAA est donc un excellent cas d étude pour nous de par l importance des enjeux et la complexité des systèmes étudiés. Cette activité peut-être analysée selon le type de système (technique, humain, statique, volant, composite), le processus en cours (acquisition, maintenance, formation) et le niveau de conceptualisation (concepts, méthodes, techniques). Ce sont les documents supports de cette activié, à usage des employés de la FAA, des professionnels de l industrie et de la maintenance aéronautique, des candidats à la certification de systèmes pour l aéronautique et des opérateurs d exploitation de ces systèmes que nous avons mobilisés pour ce document 6. 6 Note[6]: Rappelons que le présent document n engage que ses auteurs et leur compréhension des documents pu- 6 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

17 0.5. Choix typographiques 0.5 Choix typographiques Dans les chapitres suivants nous avons choisi un style de présentation standard pour les définitions, traductions, remarques éventuelles et concepts correpondant dans notre document de référence, selon le format décrit ci-après. Traduction en Français du mot défini Traduction en Français de la définition Concept correspondant: Concept correspondant dans notre document de référence Remarque: Remarque si nécessaire. La traduction est donnée en note de bas de page Texte original[0] 0 Lorsque les notes de bas de pages contiennent des traductions, elles sont mises en forme de la façon suivante :(voir Note 0 ) bliés par la FAA. Aucune validation n a été apportée par une quelconque autorité. Toute utilisation de toute information contenue dans ce document par le lecteur reste sous son entière responsabilité. 0 Texte original [0]:Mot défini, en Anglais: Définition en Anglais 0 Note[0] : Cette note contient une traduction d un texte en Anglais : Traduction en Français Texte en Anglais L.ROUSSEAU LESIA - INSA - Toulouse 7

18 Chapitre 0. Introduction 8 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

19 Chapitre 1 Concepts de risque et de management du risque à la FAA Ce chapitre présente les aspects génériques des concepts et procédures mis en place actuellement à la FAA [10]. Ce travail de formalisation par la FAA est en cours, il persiste encore quelques incohérences conceptuelles entre documents de la FAA, d autres difficultés viennent de la traduction Anglais-Français. L objectif de ce chapitre et des suivants est donc de dégager les grandes idées sous-jacentes et de les organiser de la même façon que notre document de référence. 1.1 Définition du risque à la FAA La FAA propose une définition du risque basée sur le principe suivant, très proche de celui développé dans notre document de référence : le risque est le résultat d un hypothétique enchaînement de causalités, dans un environnement (contexte) et sur un système. Le caractère hypothètique du risque est traduit en associant une vraisemblance à cet enchaînement de causalités et donc au risque luimême. Son expression est relative à un ensemble de critères qui doivent être définis. Le risque n est pas uniquement externe : les aspects humains et notamment les défauts du système de management du risque, doivent être pris en compte. Par contre, l approche du risque développée peut-être qualifiée de systémique Cause, effet et conséquence L enchaînement de causalités support du raisonnement proposé par la FAA peut-être présenté de la manière suivante : un événement, sur un système et dans un environnement donné, peut résulter en un ensemble de conséquences avec une vraisemblance donnée. Cet enchaînement n est développé que dans le cas de situations potentiellement dangereuses, les définitions de notre document de référence ne correspondent donc pas directement à cette section. Nous pouvons tout de même transcrire la définition de l environnement :

20 Chapitre 1. Concepts de risque et de management du risque à la FAA Environnement Concept correspondant: Environnement Texte original[1] 7 L ensemble des conditions opérationnelles et du contexte incluant les procédures externes, les conditions et les objets qui ont un impact sur le développement, le fonctionnement opérationnel ou la maintenance d un système. Les conditions opérationnelles incluent la densité de trafic, la densité de communication, la charge de travail, etc. [6]. Tout ce qui est externe à un système et qui peut avoir un impact sur lui ou être impacté par lui [6]. Ainsi, tout ce qui doit-être pris en compte dans la réflexion à l extérieur du système est regroupé dans l environnement, que l on peut voir comme un contexte au sens général. Notons de plus que le risque envisagé est un risque système. La définition de la notion de système utilisée est la suivante [6], p.3-16, élaborée à partir 8 du "Standard practice for system safety", MIL-STD-882D du département américain de la défense [2] : Système Concept correspondant: Système Texte original[2] 9 Un ensemble, a tout niveau de complexité, de personnels, procédures, matériels, outils, équipements, et logiciels. Les éléments de cette entité composite sont utilisés ensemble sur un environnement support et/ou dans un environnement opérationnel supposé pour effectuer une tâche donnée ou atteindre des prérequis à une production spécifique, une aide ou une mission [6], p Une composition intégrative de personnes, produits et processus qui permet la statisfaction d un besoin ou d un objectif pré-supposé. [2] 7 Texte original [1]: Environment: The agregate of operational and ambient conditions to include external procedures, conditions and objects that affects the development, operations and maintenance of a system. Operational conditions include traffic density, communication density, workload, etc. [6]. Everything external to a system which can affect or be affected by the system [6]. 8 Note[7]: Du moins, c est ce que prétend le document, nous avons cité les deux définitions car la filliation ne paraît pas évidente, au moins pour la version actuelle de ces deux documents. 9 Texte original [2]: System: A composite, at any level of complexity, of personnel, procedures, material, tools, equipment, facilities, and software. The elements of this composite entity are used together in the intended operation or support environment to perform a given task or achieve a specific production, support or mission requirement [6], p An integrated composite of people, products, and processes that provide a capability to satisfy a stated need or objective. [2] 10 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

21 1.1. Définition du risque à la FAA Source, occurrence de l événement et importance des conséquences Le point de départ de l étude d un enchaînement de causalités spécifique est la notion d événement. Cette notion est utilisée par les documents FAA sans être spécifiquement redéfinie. Nous rappelons donc la définition proposée dans notre document de référence : Événement Un événement est un ensemble particulier de circonstances. Le management du risque proposé par la FAA se décline sur un type particulier d événement, le "Hazard" en Anglais. C est un événement doté d une propriété négative, à un niveau général. Nous le traduirons par danger, événement dangereux ou situation dangereuse, suivant le contexte. La traduction de cette notion n est pas totalement stabilisée. Lorsque par la suite nous serons amenés à transcrire la définition de Danger donnée par la FAA, nous utiliserons "événement dangereux" pour la traduction de "hazard". Danger Concept correspondant: Danger Remarque: Cette condition, événement, etc. est plus générale qu un événement dangereux, nous traduisons donc par danger, en gardant l aspect "non sûr" en tête. La FAA utilise le mot anglais "Danger" dans un sens différent (voir plus loin). Texte original[3] 10 Condition, événement ou circonstance qui peut mener à ou contribuer à un événement non prévu ou non désiré [6]. Toute condition avérée ou potentielle causant la blessure, la maladie ou la mort de personnes ; dégâts ou perte d un système, équipement ou biens ou dégâts à l environnement. Un danger est un prérequis à un accident ou un incident [10]. La propriété de pouvoir causer des dégâts. Un danger n est pas un accident. [6]. Toute chose réelle ou potentielle pouvant rendre possible ou contribuer à rendre possible un accident [6]. 10 Texte origninal [3]: Hazard: Condition, event or circumstance that could lead to or contribute to an unplanned or undesired event [3]. Any real or potential condition that cause injury, illness, or death to people ; damage to, or loss of, a system, equipment or property ; or damage to the environment. A hazard is a condition that is prerequisite to an accident or incident [10]. The potential for harm. A hazard is not an accident. [6]. Anything, real or potential, that could make possible, or contribute to making possible, an accident [6]. L.ROUSSEAU LESIA - INSA - Toulouse 11

22 Chapitre 1. Concepts de risque et de management du risque à la FAA L accident est défini de la manière suivante : Accident Concept correspondant: Événement dommageable Un événement ou une série d événements non prévus causant la mort, la blessure, une incapacité à travailler, des dégâts sur ou la perte d équipement ou de bien, ou des dégâts à l environnement [6]. Remarque: Un accident est un événement dommageable d une certaine gravité Texte original[4] 11 Un incident recouvre la même situation qu un accident mais avec des conséquences moins graves [6]. La notion d événement dommageable de notre document de référence est donc divisée en deux notions, l accident et l incident qui diffèrent par leur gravité. Dans le cas particulier d un danger, l événement dangereux, tel que défini dans notre document de référence, est appelé cause (ce qu il ne faut pas confondre avec la notion de cause "atomique" définie dans notre document de référence). Cause Concept correspondant: Événement dangereux Les causes sont des événements qui résultent en l apparition d un danger ou d une défaillance. Les causes peuvent apparaître isolément ou en combinaison [10]. Texte original[5] 12 La FAA introduit un concept complémentaire qui opérationnalise la notion de source en ne retenant que les causes sur lesquelles il faut agir pour empêcher l enchaînement de causalités : 11 Texte origninal [4]: Accident: An unplanned event or series of events resulting in death, injury, occupational illness, damage or loss of equipment or property or damage to environment [6]. 12 Texte original [5]: Cause: Causes are events that result in a hazard or failure. Causes can occur by themselves or in combinations [10]. 12 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

23 1.1. Définition du risque à la FAA Cause première Concept correspondant: Source Texte original[6] 13 Les événements contribuant et initiant la chaîne d événements non désirée sont appelés cause première. Si ces événements pouvaient être éliminés, l événement dangereux n aurait pas lieu. Il faut noter que les accidents ont de nombreuses causes différentes, tout à la fois des actions non sûres et / ou des conditions externes non sûres [6]. FIG. 1.1 Cause, danger, accident Ainsi, les causes premières déclenchent un enchaînement de causalités menant à l apparition d un événement dangereux ("Hazard") pouvant résulter en un événement dommageable ("Incident, failure, accident"). 13 Texte original [6]: Root cause: The contributary events, initiating events, which started the adverse event flow are considered root causes. Should these causes be eliminated, the hazardous event would not have occurred. It should be noted that accident are the result of many contributors, both unsafe acts and / or unsafe conditions [6]. L.ROUSSEAU LESIA - INSA - Toulouse 13

24 Chapitre 1. Concepts de risque et de management du risque à la FAA Effet / Conséquence Concept correspondant: Conséquence C est le pire résultat raisonablement envisageable de l occurrence d un danger dans l état du système le moins favorable [10]. Remarque: Seule la pire conséquence est traitée Texte original[7] 14 La FAA introduit le concept de gravité du risque, qui s applique à la pire conséquence d un danger. Le terme employé pour cette pire conséquence est "effect", qu il ne faut pas confondre avec la notion d effet telle que définie dans notre document de référence. Gravité du risque Concept correspondant: Gravité Remarque: La gravité du risque est définie comme la gravité des pires conséquences de l événement dangereux Le dommage attendu en cas d occurrence de l événement dommageable (i.e. perte, résultat non souhaité, dommage, issue fatale, perte ou dégradation de fonction ou de système, blessure) en fonction du risque associé à l événement dangereux considéré [6]. Texte original[8] Notion de risque Les deux premières sections ont permis de poser les définitions décrivant l enchaînement de causalités proposé par la FAA qui, partant d une cause (source dans le document de référence) et d une cause première, aboutit à un danger ayant un "effet" (pire conséquence), dont l évaluation fournit la gravité du risque correspondant à la notion d importance d une conséquence développée dans notre document de référence. 14 Texte origninal [7]: Effect: This is the worst credible outcome of the hazard occurs in the worst system state [10]. 15 Texte origninal [8]: Risk severity: The harm expected should the hazardous event occur (i.e. loss, adverse outcome, damage, fatality, system loss, degradation, loss of function, injury) considering the risk associated with the hazardous event under evaluation [6]. 14 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

25 1.2. Dommage et danger L ensemble de cette chaîne de causalités s applique sur un système donné, dans un environnement donné. Elle est conditionnée à l apparition des causes (occurrence d un événement) qui sont plus ou moins vraisemblables. La FAA définit cette vraisemblance de la manière suivante : Vraisemblance Concept correspondant: Vraisemblance La vraisemblance définit, en termes qualitatifs ou quantitatifs, l estimation de la probabilité de l événement hasardeux étudié. La vraisemblance est un élément de la définition du risque associé [6]. Texte original[9] 16 Ce qui permet à la FAA de donner une définition de la notion de risque : Risque Concept correspondant: Risque Texte original[10] 17 Expression de l impact d un événement non désiré en terme de gravité et de vraisemblance de l événement [3]. Le risque est une expression de la perte potentielle durant un temps donné, ou un nombre de cycles opérationnels. Il peut être décrit par la probabilité d accident par unité de temps, les dégâts en dollars, vies et / ou unités opérationnelles [6]. 1.2 Dommage et danger Seules les conséquences négatives sont abordées. De ce fait, dans les documents de la FAA, il n existe qu une classe de risque au sens de notre document de référence. Un événement dangereux créé les conditions d un danger relativement à un ensemble de précautions prises. Sous réserve de l occurrence des événements dangereux associés, ce danger peut se traduire en dommages corres- 16 Texte original [9]: Likelihood: Likelihood defines in quantitative or qualitative terms, the estimated probability of the specific hazardous event under study. Likelihood is one element of the associated risk [6]. 17 Texte original [10]: Risk: Expression of the impact of an undesired event in terms of event severity and event likelihood [3]. Risk is an expression of possible loss over a specific period of time or number of operational cycles. It may be indicated by the probability of an accident times, the damage in dollars, lives and / or operatings units [6]. L.ROUSSEAU LESIA - INSA - Toulouse 15

26 Chapitre 1. Concepts de risque et de management du risque à la FAA pondants aux effets (pires conséquences). Ces dommages sont humains, financiers, fonctionnels ou autres. Les dommages financiers sont différents des coûts qui sont considérés du point de vue du contribuable américain au sens large Dommage La notion de dommage est utile pour préciser le type de conséquences redoutées. C est un prélude à la classification des conséquences et donc à l estimation. Dommage Concept correspondant: Dommage / Gravité Un dommage est la gravité des blessures et / ou les pertes physiques, et / ou fonctionnelles et / ou financières qui peuvent résulter d un niveau de maîtrise des dangers moindre que nécessaire. [6]. Texte original[11] 18 Cette définition ne sépare pas la description du dommage de l évaluation que l on en fait : la gravité. Cela vient du fait qu il existe une description de l événement dommageable (défaillance, incident, accident) préalable à la définition du dommage, qui en est la conséquence. Par suite, le risque est défini à partir du dommage : bien que la définition de risque parle de gravité et de vraisemblance de l événement, les méthodes utilisées évaluent la vraisemblance et la gravité de ces conséquences : le dommage (voir figure 1.1) Danger La notion de danger sert d interface entre un événement dangereux non maîtrisé (par définition) et la situation après application des éventuels contrôles, c est-à dire des "moyens de maîtrise". Le "hazard" est vu ici comme l exposition à un événement dangereux, c est donc une situation dangereuse au sens de notre document de référence. Notons qu il n y a pas de détail sur ce qui est exposé (la cible). Danger Concept correspondant: Situation dangereuse Un danger exprime une exposition relative à un événement dangereux. Un événement dangereux peutêtre présent bien que le danger soit faible, du fait des précautions prises. [6]. Texte original[12] Texte original [11]: Damage: Damage is the severity of injury, and / or physical, and / or functional, and / or monetary loss that could result if hazard control is less than adequate. [6]. 19 Note[8]: Ce glissement sémantique est classique dans l aide à la décision où l on confond souvent l évaluation d une action avec l estimation de ces conséquences. Dans la plupart des cas, cette confusion n a aucune incidence. 16 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

27 1.3. Management du risque 1.3 Management du risque Cette section décrit la façon dont le management des risques à la FAA est défini comme un processus transformant le risque en le faisant changer de "statut". Ce processus s appuie sur un ensemble d acteurs qui effectuent des tâches dépendant de "l importance" du risque et de son statut. Ces tâches peuvent être techniques et agir directement sur le système risqué (reporting, maintenance, évaluation avant acquisition, etc.) ou managériale (assistance sur l interprétation des normes, legislation et autres textes, définition et gestion des flux d information, définition des entités administratives, de leur rôles, de leurs relations entre-elles et avec les autres acteurs) et enfin prise de responsabilité sur les risques résiduels et les "critères d acceptation" des risques Définition Management du risque Concept correspondant: Management du risque Texte original[13] 21 Activité de management permettant d assurer que les risques sont identifiés et éliminés ou contrôlés suivant des paramètres fournis par des procédures établies [3]. L application de méthodes issues du management pour l identification, l évaluation, l élimination et la maîtrise de toutes formes de risque. Cet effort ne concerne pas uniquement les risques relatifs à la sécurité. Le management du risque comprend deux parties : la maîtrise des risques et le financement du risque. La maîtrise du risque s intéresse à tous les aspects de la sécurité des systèmes, de son management et de son ingénierie. Le financement du risque s intéresse à l assurance, au groupement des risques, et à l auto-assurance [6]. Comme nous le verrons dans la prochaine sous-section, le management des risques proposé par la FAA se base sur un ensemble de procédures qui s appliquent à chaque étape du cycle de vie 20 Texte original [12]: Danger: Danger express a relative exposure to the hazard. A hazard may be present but there may be little danger because of the precautions taken. [6]. 21 Texte original [13]: Risk Management: Management activity ensuring that risk is identified and eliminated or controlled within established risk program parameters [3]. The application of management method for the identification, evaluation, elimination and control of all form of risk. This effort is not confined to safety-related risks. Risk management comprised two parts : Risk control and Risk finance. Risk control considers all aspects in System Safety, Safety Management, Safety Engineering. Risk Finance considers insurance, risk pooling and self insurance [6]. L.ROUSSEAU LESIA - INSA - Toulouse 17

28 Chapitre 1. Concepts de risque et de management du risque à la FAA des systèmes concernés. C est donc un objectif de gestion permanente du risque : quel que soit le système, un ensemble de procédures est mis en place systématiquement. A l opposé, certaines décisions du management du risque sont prises de façon ponctuelle, car elles répondent à un besoin spécifique et ont un impact certain (en probabilité 22 ) et peuvent-être distinguées. Décision de grande conséquence Texte original[14] 23 Décision de grande conséquence : décision qui entraîne ou dont on pourrait raisonnablement penser qu elle entrainera une augmentation ou une baisse statistique des blessures à personnes, et / ou des atteintes à la vie ou à la santé des personnes, le changement dans la valeur d un bien, la perte ou des dégâts sur un bien ou une épargne, des coûts ou tout autre impact économique chiffré à dollars ou plus par an [3]. Les parties prenantes de la gestion sont définies en extension (citées nommément) plutôt que définies généralement. Les parties intéressées sont définies dans un cadre de certification. Elles comprennent par exemple les candidats à la certification, la FAA, le public, le congrès, les industriels Processus de management du risque à la FAA Dans la poursuite de ces grands principes et de façon à implémenter ces étapes, la FAA décline les tâches générales décrites dans la sous-section précédente en tâches opérationnelles, correspondant à la fois aux étapes du cycle de vie et à la structure de management 24 : Évaluation de la sécurité opérationnelle ("Operational Safety Assessment"). Évaluation comparative de la sécurité ("Comparative Safety Assessment"). Analyse préliminaire des dangers ("Preliminary Hazard Analysis"). Définition du plan de sécurité intégré ("Integrated Safety Plan"). Analyse des dangers des sous-systèmes ("Sub-System Hazard Analysis"). Analyse des dangers du système ("System Hazard Analysis"). Analyse des dangers opérationnels et matériels ("Operating and Support Hazard Analysis"). Évaluation sanitaire ("Health Hazard Assessment"). Rapport d évaluation de la sécurité ("System Safety Assessment Report"). Recherche systématique des dangers et traitement du risque ("Hazard Tracking and Risk Resolution"). 22 Note[9]: Un impact certain en probabilité signifie que l on est sûr que les probabilités vont être modifiées. Si l on parle des conséquences d une source extrêmement rare, cet impact peut ne jamais se concrétiser. 23 Texte original [14]: High consequence decision: High-consequence decision : Decision that either creates or could reasonably estimated to result in a statistical increase or decrease in personal injuries and/or loss of life and health, a change in property values, loss or damage to property, costs or savings, or other economic impacts valued at dollars or more per annum[3]. 24 Note[10]: Nous décrivons ici les étapes mises en œuvre pour les activités d acquisition et de maintenance. 18 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

29 1.3. Management du risque Analyse de la sécurité des tests ("Test safety analysis"). L enchaînement des étapes correspondant à ces tâches définit le processus de management du risque. Celui-ci doit de plus être contrôlé par un processus d évaluation. Nous présentons ces étapes en annexe 2 (voir 6.2) et nous les mettons en relation avec le cycle de vie en annexe 3 (voir 6.3). Nous détaillons le contenu et la mise en place d un plan de sécurité intégré ci-dessous (voir 1.3.3) Plan de sécurité intégré 25 Les plans de sécurité intégrés sont les documents regroupant l ensemble des informations importantes pour satisfaire aux exigences de sécurité. Celà concerne donc les aspects techniques, managériaux, organisationnels, financiers et humains. Les tâches et les activités du processus gestion et d ingénierie de sécurité des systèmes sont définies dans le programme de sécurité des systèmes (SSPP 26 ). Un programme de sécurité intégré des systèmes (ISSPP 27 ) est construit à partir des éléments des SSPP, qui sont définis dans le MIL-STD- 882C. Un ISSPP est nécessaire pour les projets ou les systèmes de grande taille La première étape est de construire un programme spécifique à chaque projet, protocole d utilisation ou système. Un ISSPP doit être défini pour chaque entité complexe telle qu une branche d activité, un projet, système, développement, programme de recherche ou test. Le gestionnaire de programme, la structure leader dans le consortium partenaire ou l intégrateur (s il existe) développe l ISSPP. Le plan contient les tâches de sécurité des systèmes appropriées, à mettre en œuvre pendant le projet. Cela comprend les actions de gestion concernant l intégration, les membres de l équipe, les sous-traitants, ainsi que tous les autres participants. L objectif est de mettre en place un intégrateur gestionnaire qui assure que la cordination entre les nombreuses entités impliquées dans la sécurité des systèmes est effective. Les autres participants, partenaires et sous-traitants doivent soumettre des plans de sécurité à l approbation de l intégrateur. Une fois approuvés, ces plans sont inclus dans l ISSPP. Les fonctions et les responsabilités de l équipe d intégration de la sécurité des systèmes et de son responsable sont définies. Chaque sous-entité, tel qu un partenaire ou un sous-traitant doit nommer un gestionnaire ou un ingénieur sénior responsable de sécurité des systèmes pour gérer le SSPP de l entité. La mise en place de ce programme permet une mise en œuvre effective de l estimation par facette présentée en sous-section En effet, le plan de sécurité intégré décrit les processus d estimation de chaque partenaire et donc de chaque facette. Le groupe responsable de l estimation à la FAA peut donc vérifier les estimations faites, les coordonner et construire une analyse par facette. Groupe de travail sur l intégration de la sécurité des systèmes : Un groupe de travail sur la sécurité des système (SSWG 28 ) est formé pour aider à la gestion des tâches du programme et assurer leur pilotage. L ISSWG 29 est formé de personnels réactifs impliqués dans le processus de 25 Note[11]: (Voir [6], p.5-18 et figure 1.2) 26 Note[12]: SSPP : System Safety Program Plan 27 Note[13]: ISSPP : Integrated System Safety Program Plan 28 Note[14]: SSWG : System Safety Working Group 29 Note[15]: ISSWG : Integrated System Safety Working Group L.ROUSSEAU LESIA - INSA - Toulouse 19

30 Chapitre 1. Concepts de risque et de management du risque à la FAA Cette figure présente, le long du processus de contractualisation, les deux composantes de l ISSPP : les différents SSPP et les analyses de dangers, auxquels il faut ajouter les documents de reporting. FIG. 1.2 Plan de sécurité intégré. sécurité des systèmes. Les activités de l ISSWG doivent comprendre : La surveillance des activités de mise en correspondance des différents plans pour assurer une intégration correcte. L estimation, le pilotage, l analyse et les études adaptées à la sécurité des systèmes. Le pilotage des activités de recherche systématique des dangers et de traitement du risque. Le pilotage des évaluations formelles de la sécurité. L ISSWG regroupe au sein d un même groupe de travail l ensemble des personnes à même de fournir une vision intégrée des problèmes de sécurité. C est notamment exrêmement important pour l identification (voir chapitre 2), l estimation (voir chapitre 3) et l évaluation (voir chapitre 4) correctes des risques. Objectifs d avancement : L échéancier du processus intégré de sécurité des systèmes est défini à l intérieur de l ISSPP. Il indique des événements et des activités dédiés en relation avec des objectifs d avancement du programme. Les objectifs d avancement permettent de séquencer l avancement du projet. Il est en effet particulièrement important de concrétiser les avancées ou les retards en 20 MANAGEMENT DU RISQUE À LA FAA: CONCEPTS

31 1.3. Management du risque les contractualisant et en en prenant acte collectivement. De même, ces objectifs d avancement sont un outil indispensable pour la gestion intégrée des projets. Ils permettent d assurer que les différentes phases de la gestion des risques soient envisagées en temps voulu, plannifiées à l avance en même temps que l ensemble du projet. La possibilité ou non d atteindre ces objectifs et les causes d éventuels échecs sont très importants pour capitaliser l expérience acquise. Exigences de sécurité : Pendant que la conception et l analyse fait évoluer la sécurité spécifique à un système, les normes et les spécifications des systèmes doivent être développées et l ISSPP doit être révisé. À l origine, des exigences de sécurité générales sont définies pour la conception, l implémentation et la mise en œuvre de la sécurité des systèmes au sein d un projet ou processus donné. L intégrateur définit les exigences à respecter pour atteindre les objectifs de l ISSPP. Les exigences de sécurité sont les contre-mesures générales que l on considère devoir appliquer au moment de la définition même du projet. La définition des exigences relève donc du retour d expérience sur l estimation, l évaluation et le traitement des risques. Ce sont les seules informations de sécurité mobilisables lors de l avant projet sommaire (phase d analyse de la mission). Vérification et validation de sécurité intégrée : La vérification de la sécurité est indispensable pour assurer que la sécurité des systèmes est correctement démontrée et que tous les risques identifiés sont éliminés ou contrôlés. La maîtrise des risques (réduction) doit être formellement vérifiée pour pouvoir être mise en œuvre. La validation concerne les tests de sécurité. Documentation du processus : Tout incident, accident, mauvais fonctionnement ou défaillance ayant un effet sur la sécurité des systèmes doit être étudié pour déterminer les causes et pour améliorer l analyse. Les causes identifiées par cette analyse doivent être déterminées précisément et éliminées. Les activités de test et de certification doivent de même être surveillées, les anomalies, mauvais fonctionnement et défaillances qui affectent la sécurité des systèmes doivent être corrigés. Le contractant doit notifier immédiatement tout accident. Tout accident pouvant avoir affecter le système doit être évalué du point de vue de la sécurité des systèmes (Voir [6], p.5-17). L activité de documentation vise à remettre en cause les analyses tout au long du processus lorsque nécessaire. C est principalement une question d identification du risque. Elle permet un retour d expérience, par exemple pour fournir des listes préliminaires de dangers, qu il faut d abord estimer puis documenter. Elle permet de plus l analyse a posteriori du processus de gestion du risque. Inputs : Les entrées du processus de sécurité des systèmes sont les principes de conception du système, les documents formalisés, les notes de fabrication et les discussions de conception durant les communications des réunions formelles et informelles : Principes d utilisation. Documents de spécification. Spécifications des systèmes et sous-systèmes. Programme de gestion et d ingénierie système (par exemple le plan principal de test). Les détails de conception. Naturellement, ces entrées concernent l ensemble des tâches du processus de management du risque. L.ROUSSEAU LESIA - INSA - Toulouse 21