Au-delà des accidents spectaculaires dont l’opinion publique est informée a posteriori ou en subit les conséquences, des « presque accidents » peuvent avoir lieu et révéler une situation pré-accidentelle.
Outre les accidents, les événements non souhaités peuvent être également des incidents et anomalies. Fort heureusement, les anomalies sont en pratique beaucoup plus fréquentes que les incidents ou les accidents.
Prenons comme exemple le piéton qui est une cible vulnérable car exposé fréquemment à des sources de danger que sont les automobiles (élément mécanique en mouvement doté d’une énergie cinétique). Si l’idée vient au piéton de traverser une rue destinée à la circulation automobile en dehors des passages réservés à cet effet, il s’expose à des sources de danger (automobiles). Suivant le contexte et l’environnement, le scénario des faits peut présenter des différences très significatives.
Un automobiliste circule dans la rue. Il se trouve à une distance suffisamment éloignée du piéton pour qu’il n’ait pas à modifier sa vitesse. Il va seulement noter la situation dangereuse à laquelle est exposé le piéton. Mais cela reste du domaine de l’anomalie. C’est un événement non souhaité : le piéton n’a pas traversé la rue dans les passages qui lui sont réservés. Mais cet événement non souhaité est sans conséquences graves compte tenu de la configuration décrite.
Si l’automobiliste part quelques secondes plus tôt pour le même trajet, il se trouve à proximité du piéton quand celui-ci traverse. Il est obligé de freiner en urgence pour éviter le piéton. Le piéton s’en sort avec seulement quelques frayeurs. Mais si une voiture suit l’automobiliste de trop près, celle-ci ne pourra peut-être pas éviter l’obstacle constitué par la première automobile, provoquant de petits dégâts matériels. Ce scénario est un événement non souhaité de type incident.
Il est facile d’imaginer l’accident aux conséquences beaucoup plus graves qui pourraient résulter du même enchaînement d’événements, dans le cas d’une synchronisation légèrement différente.
L’exemple précédent met en situation une cible qui est le piéton et une source de danger qui est l’automobile en mouvement. La présence simultanée dans l’espace et le temps des deux éléments conduit à l’émergence d’une situation dangereuse. Il est clair que le fait de retirer la source de danger ou la cible conduit à supprimer la situation dangereuse. Il est illusoire de faire disparaître toutes les sources de danger ou toutes les cibles. Il convient donc d’éviter que la situation dangereuse puisse conduire à la réalisation d’un accident. Dans le cas général, les cibles peuvent être de différentes natures : individus, populations, systèmes techniques, eco-système.
Une mesure du danger est le risque. L’ingénieur caractérise le risque comme une entité à deux dimensions :
(Risque)=(Probabilité) x (Gravité)
La probabilité permet de caractériser la facilité avec laquelle se produit l’enchaînement d’événements qui conduit à l’accident (il survient plus ou moins souvent). La gravité mesure les effets sur les cibles de l’accident (il a des conséquences plus ou moins importantes).
Pour obtenir une définition plus complète du risque, deux autres composantes peuvent être ajoutées : danger et acceptabilité.
(Risque) associe (Danger) (Probabilité) (Gravité) (Acceptabilité)
Il n’y a pas de risque si il n’y a pas de danger. L’acceptabilité est une dimension incontournable. Mais c’est également celle qui est la plus subjective. Elle est souvent estimée en appréciant quel bénéfice peut être opposé à la prise de risque. Un déplacement en voiture expose le chauffeur et les personnes transportées à des risques d’accident plus importants en termes de probabilité qu’un déplacement sur une distance similaire par voie de chemin de fer. En dehors de toute considération financière, le bénéfice obtenu par un déplacement en voiture peut se révéler important si le voyage en train nécessite par exemple des correspondances longues ou s’il n’est pas possible d’atteindre directement la destination visée par le train.
Les événements non souhaités sont souvent représentés dans le graphe de Farmer (qui comporte deux dimensions : probabilité et gravité). Le concept d’acceptabilité conduit à distinguer deux régions dans ce graphe. Pour l’une, les événements redoutés sont acceptés, ce qui signifie que le risque associé est connu mais toléré. Pour l’autre, la présence de tout événement redouté est à proscrire. La frontière entre risques acceptable et inacceptable n’est pas évidente à tracer. Elle est négociée par les différents acteurs confrontés aux risques.
La mise en place de barrières techniques ou d’une autre nature consiste à faire baisser le niveau de probabilité ou la gravité d’un risque. Cette mise en place conduit à la notion de risque résiduel.
Il est impératif d’obtenir des niveaux de risques résiduels les plus faibles possibles en termes de probabilité ou de gravité. Il est illusoire de supprimer les sources de danger. Seuls les niveaux de probabilité et de gravité peuvent être modifiés. Par exemple, pour diminuer les risques d’incendie dans un entrepôt stockant des biens matériels, des mesures de protection peuvent être prises en installant un système d’extinction automatique. Avec la mise en place de cette barrière technique, la gravité du sinistre sera moindre. Les mesures de prévention peuvent aussi être la limitation du nombre de points chauds sources d’inflammation mais également la formation du personnel pour éviter tout départ de feu accidentel. La probabilité de survenance d’un sinistre est ainsi diminuée. La mise en place de moyens de prévention et de protection vont conduire à diminuer la probabilité de survenance de l’événement non souhaité et également sa gravité. En mettant en place ces mesures, le risque associé à cet événement non souhaité passera de l’inacceptable vers l’acceptable. La mise en place de ces moyens doit être appropriée et pertinente. Elle entraîne inévitablement des coûts qui doivent être arbitrés.
Un domaine de tolérance du risque est souvent défini autour de cette ligne d’acceptabilité du risque. Le risque y est tolérable si le risque résiduel n’a pas été considéré comme acceptable mais que des actions de maîtrise des risques et de contrôle ont été prises.
Légende
Diagramme de FARMER : exemple d’effet de la mise en place de barrières de prévention-protection
L’événement non souhaité aux conséquences les plus graves dans le domaine du risque naturel est souvent défini comme ‘catastrophe naturelle’ (Prim.net). Il s’agit de phénomènes ou de conjonction de phénomènes dont les effets sont particulièrement dommageables. L’échelle globale des catastrophes comporte néanmoins plusieurs niveaux : de l’accident (pertes humaines inférieures à 10 personnes et pertes financières inférieures à 15 millions d’euros) à la catastrophe gigantesque (plus de 100000 morts et des pertes financières allant de 100 millions d’euros à 15 milliards d’euros).
La définition usuelle donnée pour le risque naturel est la suivante :
(Risque) = (aléa) x (enjeu)
Le risque est donc la confrontation d’un aléa (phénomène naturel dangereux) et d’une zone géographique où existent des enjeux qui peuvent être humains, économiques ou environnementaux.
L’aléa, ou événement ou processus, doit être défini par une intensité (pourquoi et comment ?), une occurrence spatiale (où ?) et temporelle (quand ?, durée ?). L’intensité traduit l’importance d’un phénomène (Dauphiné, 2001). Elle peut être mesurée (hauteur d’eau pour une inondation, magnitude d’un séisme) ou estimée (durée de submersion, vitesse de déplacement). La probabilité d’occurrence spatiale est conditionnée par des facteurs de prédisposition ou de susceptibilité (géologique par exemple). L’extension spatiale de l’aléa est plus difficile à estimer (avalanche ou mouvement de terrain par exemple). La probabilité d’occurrence temporelle dépend de facteurs déclenchants naturels ou anthropiques. Elle peut être estimée qualitativement (négligeable, faible, forte) ou quantitativement (période de retour de 10 ans, 30 ans, 100 ans). La durée du phénomène doit être également prise en compte (durée considérée pour les précipitations pluvieuses). Il est souvent nécessaire de dresser un tableau à double entrée pour caractériser l’aléa (intensité, durée). Pour l’aléa inondation, ce tableau donne la hauteur d’eau (en ligne) et la durée des précipitations (en colonne).
Les enjeux et la vulnérabilité sont liés à la présence humaine (personnes, habitations, activités économiques, infracstructure, …) et sont difficiles à définir. Il n’existe pas de vulnérabilité intrinsèque mais une vulnérabilité pour chacun des aléas concernés. La vulnérabilité dépend des éléments exposés et de leurs résistances, comportements, etc. Elle est caractéristique d’un site à un moment donné. Elle est modulable et évolutive en fonction de l’activité humaine. Cette définition de la vulnérabilité semble trop restrictive et lui est opposée, depuis une dizaine d’année, une nouvelle définition qui traduit la fragilité d’un système dans son ensemble et sa capacité à surmonter la crise provoquée par l’aléa (Dauphiné, 2001). Dans ce contexte, il est important de caractériser la résistance et la résilience du système. La résilience mesure la capacité du système à absorber le changement et à persister au-delà d’une perturbation (une catastrophe par exemple). La vulnérabilité d’un système sera d’autant plus faible que sa résilience sera grande.
Lerisque est donc considéré comme une mesure de la situation dangereuse qui résulte de la confrontation de l’aléa et des enjeux. Cette mesure s’exprime souvent en termes de gravité et probabilité et, comme pour le risque technologique, peut être représentée dans le graphe de Farmer.
Pour l’inondation (événement non souhaité), l’aléa est constitué des pluies torrentielles qui ont pour conséquences des inondations et des rivières en crues. L’aléa est défini par un certain nombre de processus naturels qui peuvent donner lieu à des effets dominos. L’effet domino traduit un couplage entre processus : la conséquence d’un processus père est la cause d’un processus fils. Les enjeux sont les structures, les populations et l’environnement directement ou indirectement touchés par l’aléa. Ces derniers constituent donc les cibles impactées par l’aléa.
Face à un risque naturel donné, la société doit répondre à deux questions fondamentales :
-
quel degré de protection est souhaité ?
-
quel niveau de risque peut être accepté ?
L’acceptabilité est donc également une dimension incontournable pour le risque naturel. Comme précédemment mentionné, celle-ci dépend essentiellement des sociétés exposées aux risques.
Toutes les sciences s’appuient sur des modèles qui leurs sont propres. Les sciences physiques par exemple ont pour objet d’étudier la matière, avec des modèles de représentation des phénomènes s’y rapportant et les lois associées. Les modèles ne sont que la représentation de la réalité.
Il est donc important de définir l’objet de l’étude et les modèles se rapportant aux risques et proposer ainsi un cadre théorique à l’étude des risques. En France, des concepts nouveaux ont été proposés dans ce cadre :
-
la Méthodologie d’Analyse des Dysfonctionnements des Systèmes,
-
les Cindyniques.
Cette partie présente une description des modèles de représentations du risque proposés.
Principe de l’approche MADS
Cette approche et le modèle systémique qui lui est associé ont été développés par une équipe de recherche de l’Université de Bordeaux I en collaboration avec des ingénieurs du CEA.
L’approche MADS (Méthodologie d’Analyse des Dysfonctionnements dans les Systèmes) a pour objet d’appréhender les événements non souhaités caractérisés comme les « dysfonctionnements susceptibles de provoquer des effets non souhaités sur l’individu, la population, l’écosystème et l’installation » (Lesbats et al., 1999). La Méthode Organisée Systémique d’Analyse des Risques (MOSAR) développée par Périlhon (Périlhon, 2003 et Donie, 2002) est l’outil qui est associé à cette approche. L’approche s’appuie sur une vision systémique du système considéré (Durand, 1994) (Donnadieu, 2004).
L’approche MADS (Méthodologie d’Analyse des Dysfonctionnements dans les Systèmes) a pour objet d’appréhender les événements non souhaités caractérisés comme les « dysfonctionnements susceptibles de provoquer des effets non souhaités sur l’individu, la population, l’écosystème et l’installation » (Lesbats et al., 1999). La Méthode Organisée Systémique d’Analyse des Risques (MOSAR) développée par Périlhon (Périlhon, 2003 et Donie, 2002) est l’outil qui est associé à cette approche. L’approche s’appuie sur une vision systémique du système considéré (Durand, 1994) (Donnadieu, 2004).
Cette approche est basée sur le modèle de processus de danger, représenté ci-dessous, qui a pour objet de décrire l’enchaînement des événements conduisant à une situation dangereuse. Le processus relie les processus sources de danger aux processus susceptibles d’être affectés au niveau de la cible. La liaison s’effectue par l’intermédiaire d’un flux de danger (matière, énergie, information) orienté de la source vers la cible. Sources, cibles et flux sont immergés dans un champs de danger qui peut influencer l’état du système source mais également l’effet sur les cibles et le flux.
Crédits
Périlhon, 2003
Légende
Modèle du processus de danger
De manière générale, les sources de danger sont systématiquement présentes dans l’environnement. Fort heureusement, il y a beaucoup moins d’accidents qu’il n’y a de sources de danger. Celles-ci sont donc souvent présentes à l’état latent. Seule leur activation peut conduire à une situation accidentelle. L’événement initiateur peut être considéré comme la cause de l’activation de la source de danger qui se traduit par l’occurrence d’un événement initial générateur d’un flux. Ce flux peut être un flux d’énergie, de matière et d’information. Il provoque un événement terminal qui peut avoir un impact sur les cibles exposées (individu, population, système technique, environnement) conduisant à des effets divers. Il faut qu’il y ait présence simultanée dans l’espace et le temps (champ de danger) d’une source de danger, d’un événement initiateur, d’un événement initial et d’une ou plusieurs cibles, pour que le processus de danger puisse se réaliser.
Exemples de processus de danger
Considérons comme source de danger, une bouteille contenant un gaz toxique : le monoxyde de carbone CO. La finalité du contenant (bouteille) est de maintenir confiné le contenu (gaz monoxyde de carbone). Un des dysfonctionnements redoutés pour cette bouteille est la perte de confinement du CO (non atteinte de la finalité du système). L’événement initial est donc, pour ce système, la rupture de confinement. Les événements initiateurs possibles peuvent être multiples : choc, corrosion interne, corrosion externe, par exemple. Différents flux caractérisent ce processus de danger : flux de matière (gaz), flux d’énergie (énergie cinétique), flux d’information (bruit). L’événement terminal est la présence de CO dans l’atmosphère avec un effet toxique sur les cibles (individu, population).
Un processus de danger qui prend une source de danger de l’environnement naturel est présenté ci-dessous.
Légende
Modèle du processus de danger appliqué à un cours d’eau
Des scénarios couplant plusieurs processus peuvent être construits en utilisant ce modèle. Le couplage entre processus s’effectue entre événements terminaux et événements initiateurs. La conséquence d’un processus peut être la cause d’un autre processus.
Comme décrit sur le schéma précédent, les notions d’aléas et de vulnérabilité peuvent être définies par rapport au modèle du processus de danger. L’aléa est constitué d’une chaîne causale qui va de l’événement initiateur (fortes précipitations dans ce cas) à l’événement terminal (inondation). Les enjeux et la vulnérabilité concernent les cibles exposées (usines dans ce cas).
Quantification des risques
Le processus de danger peut être également évalué quantitativement :
-
en terme de probabilité :
Il est nécessaire d’avoir concomitance des différents événements constituant la chaîne causale entre événement initiateur et événement terminal pour que l’ENS se produise. Pour l’exemple du processus de danger sur le cours d’eau, la probabilité que l’enchaînement des événements conduise à un impact sur les cibles est la suivante si les fortes précipitations peuvent être considérées comme seul événement initiateur :
P(Impact sur les cibles)=P(EI1)xP(SD)xP(ED)xP(F)xP(ET)
Ces niveaux de probabilité sont souvent évalués à partir de l’analyse du retour d’expérience (analyse des événements non souhaités s’étant produits dans des conditions identiques).
-
en terme de gravité :
Des modèles déterministes permettent d’estimer les niveaux de gravité. Ils représentent l’effet sur les cibles des effets terminaux des processus de danger activés. Ces modèles dépendent bien évidemment de la typologie du risque considéré. A titre d’exemple, différents modèles permettent de simuler les effets d’un incendie, d’une explosion ou de dispersion de polluants dans le domaine des risques technologiques.
Dans la plupart des analyses de risque, des niveaux discrets de probabilité et de gravité sont définis. Un exemple de grille de criticité est donné ci-dessous. Le nombre de niveaux de gravité et de fréquence ainsi que les domaines de risques acceptables, tolérables et inacceptables sont définis par les acteurs de l’étude avant de débuter les processus d’identification et d’analyse des risques.
Crédits
Donie, 2002
Légende
Exemple de grille de criticité (rouge=inacceptable, orange=tolérable, vert=acceptable) et niveaux de fréquence
Les niveaux de fréquence sont caractérisés par un indice qui représente une valeur de probabilité ramenée à une unité qui peut être une durée de référence (par an, par jour, par heure) ou à une sollicitation (défaillance dans la mise en fonctionnement d’un système).
Les conséquences de l’ENS sont caractérisées par l’indice de gravité avec, par exemple, pour les deux indices extrêmes :
-
Indice 1 : Conséquences mineures. Pas de blessure de personnes. Inconfort dans le travail (bruit, odeurs, éclairage insuffisant, vibrations, …). Destruction de biens ne mettant pas en cause l’intégrité ou la mission du système.
-
Indice 5 : Conséquences catastrophiques. Plusieurs personnes blessées grièvement, ou mort d’un ou plusieurs individus. Pollution de l’environnement par émission importante ou répétée d’un produit de toxicité élevée. Destruction complète du système.
Extension de l’application de MADS vers les sphères économiques, juridiques, organisationnelles
Le modèle MADS est essentiellement appliqué aux systèmes techniques. La prise en compte du facteur humain et des défauts d’organisation n’était pas prévue initialement. De récents travaux, qui avaient pour objet de développer une méthode d’analyse globale des risques en entreprise (Dassens, 2007) ont permis d’étendre l’utilisation de la méthode MADS-MOSAR aux sphères économiques, juridiques, organisationnelles et environnementale.
Le concept des cindyniques a été développé essentiellement sous l’impulsion de Kervern (Kervern, 1991). Ce paragraphe décrit les principes fondateurs de ce concept. Les aspects théoriques sont détaillés dans l’ouvrage de référence de Kervern (Kervern, 1994). L’application des cindyniques a été explorée notamment par Verdel (Verdel, 2005) dans le domaine du génie civil.
Cette méthode repose sur la notion d’hyperespace de danger. La situation de danger doit être précisée lors d’une première étape de l’étude. Cette situation doit être limitée dans le temps et dans l’espace. Les réseaux d’acteurs inclus dans l’étude doivent être connus.
Le regard qui est porté sur la situation de danger peut se faire par référence aux 5 dimensions de danger qui constituent l’hyperespace du danger :
-
la dimension des faits de mémoires de l’histoire et des statistiques : il s’agit des informations stockées dans les banques de données qui exploitent le retour d’expérience,
-
la dimension des représentations et modèles élaborés à partir des faits : elle regroupe les connaissances qui servent d’appui aux calculs permettant de quantifier le risque (domaines de la physico-chimie, de la résistance des matériaux, des sciences de la terre,…),
-
la dimension des objectifs qui permet, pour chacun des réseaux (personnes ou groupe de personnes) impliqués dans les situations à risque, d’expliciter ses finalités,
-
la dimension des normes, lois, règlements, standards et codes déontologiques,
-
la dimension des systèmes de valeurs fondamentales.
Légende
Hyperespace du danger
Le danger résulte d’une part des déficits dans chacune de ces dimensions (les déficits systémiques cindynogènes) et des contradictions entre les dimensions (disjonctions) mais également des dissonances entre deux ou plusieurs réseaux d’acteurs.
L’objectif de cette méthode est de rechercher l’ensemble des déficits systémiques cindynogènes de l’organisation qui peuvent générer un danger. Ces déficits sont au nombre de dix. Ils ont été constitués à partir d’enquêtes post-accidentelles). Ces déficits sont regroupés en trois grandes familles :
-
déficits culturels : cultures de l’infaillibilité, du simplisme, de la non communication et du nombrilisme ;
-
déficits organisationnels : la subordination de la sécurité à d’autres fonctions créatrices de risque et la dilution de responsabilités ;
-
déficits managériaux : l’absence d’un système de retour d’expérience, l’absence de procédures écrites, l’absence d’un programme de formation du personnel et l’absence de préparation aux situations de crise.
Kervern (Kervern, 1991) décrit les différentes situations précédent des accidents technologiques majeurs (catastrophe de Bhopal en décembre 1984, accident de la navette Challenger en janvier 1986 et catastrophe de Tchernobyl en avril 1986) et met ainsi en relief de nombreux déficits systémiques cindynogène.
La démarche d’identification des risques à l’aide du concept des cindynique consiste à :
-
définir la situation de danger : préciser le champ de l’étude à savoir les limites de temps et d’espace et les réseaux d’acteurs inclus dans l’étude ;
-
définir l’hyperespace de danger : préciser le « regard » porté sur cet ensemble à travers les cinq dimensions citées précédemment (associer à chaque réseau d’acteurs un état des lieux des cinq dimensions) ;
-
identifier les déficits : pour chaque acteur, identifier les déficits systémiques cindynogènes mentionnés précédemment ;
-
identifier les dissonances : les différences entre les hyperespaces des différents réseaux d’acteurs, les différences entre les hyperespaces tels qu’ils sont, tels qu’ils sont perçus et/ou voulus (entre le réel et la perception que les acteurs en ont).
Verdel (Verdel, 2005) indique que cette démarche offre un fort potentiel pour l’identification des risques au sein des organisations (industrielles, commerciales, administratives ou encore institionnelles). Elle est en effet plus générale et englobante et donc plus facile à mettre en œuvre pour des systèmes non technologiques.