GUIDE DE PRATIQUE PROFESSIONNELLE
Cliquer ici pour voir cette page dans le contexte complet
  1. Accueil >
  2. Travail de l'ingénieur >
  3. Gestion des risques >
  4. Processus global de gestion des risques >
  5. Processus d'analyse et d'évaluation des risques

Publié en mai 2011

Dernière modification en septembre 2024

PROCESSUS D'ANALYSE ET D'ÉVALUATION DES RISQUES

L’analyse et l’évaluation des risques font partie du processus global de gestion des risques. La démarche d’appréciation des risques est composée de 3 parties à exécuter de manière itérative: l'identification des risques, l'analyse des risques et l'évaluation des risques.

Appréciation du risque dans le processus de la gestion des risques (figure tirée de la norme ISO 31000)

Cette démarche d’identification, d’analyse et d’évaluation des risques s’inscrit comme étant la pierre angulaire du processus global de gestion des risques. Sans une bonne connaissance des risques, il est difficile de mettre en œuvre des mesures adéquates afin d’éviter leur occurrence ou bien de gérer les effets lorsque ceux-ci se matérialisent (traitement des risques). Ces mesures présentées sous le nom de « barrières de sécurité » sont présentées plus en détail à la sous-section La gestion et le traitement des risques.

Pour améliorer l’efficacité et l’objectivité d’une analyse de risques ainsi que pour faciliter la comparaison avec d’autres analyses de risque, il est souhaitable de suivre un certain nombre de règles générales.

VÉRIFICATION ET MISE À JOUR DES RÉSULTATS DE L'ANALYSE ET DE L'ÉVALUATION DES RISQUES

Un processus de revue formel, conduit par du personnel non associé au travail initial devrait être utilisé afin de vérifier l’intégrité de l’analyse de risque. Ces revues peuvent être conduites à l’intérieur même de l’organisation qui effectue l’analyse de risque ou bien par des organisations externes. Cette vérification comporte les étapes suivantes :

  • S’assurer que le domaine d’application convient aux objectifs déclarés.
  • Réviser toutes les hypothèses critiques afin de s’assurer qu’elles sont crédibles, à la lumière des informations disponibles.
  • S’assurer que l’analyste a utilisé des méthodes, des modèles et des données appropriés.
  • Vérifier que l’analyse est reproductible par du personnel autre que le ou les analystes initiaux.
  • Vérifier que les résultats de l’analyse ne sont pas affectés par la manière dont les données ou les résultats sont formatés.

Lorsque des expériences pratiques sont disponibles, la vérification est effectuée en comparant les résultats de l’analyse à des observations.

Aussi, si l’analyse de risque est prescrite pour appuyer un processus continu de gestion des risques, elle doit être réalisée et documentée de façon à ce qu’elle puisse être maintenue à jour pendant tout le cycle de vie du système, de l’installation ou de l’activité. L’analyse de risque est remise à jour au fur et à mesure que de nouvelles informations importantes sont disponibles, que des changements surviennent, et ce, conformément au système de gestion des risques dans l’organisation.

Il est également souhaitable d’effectuer le processus d’analyse de risque conformément à une séquence définie d’étapes.

Le processus détaillé d’appréciation des risques est composé de 12 étapes distinctes :

Étapes génériques de l’appréciation des risques (adapté de la norme ISO 31000)

Il est important de bien comprendre que le processus d’appréciation des risques est itératif et qu’il n’est pas nécessaire d’avoir complété la boucle itérative pour analyser et mettre en place des barrières de sécurité pour réduire le risque.

➜ Consulter la section Méthodes d'identification des dangers et d'analyse des risques 

Chacune des étapes du processus est présentée ici d’une façon générale. Peu importe la méthode spécifique d'identification des dangers et d'analyse des risques utilisée, ce processus est applicable.

La section Méthodes d'identification des dangers et d'analyse des risques présente, en détail, les procédures et les outils nécessaires à ce processus pour diverses méthodes spécifiques d’analyse.

Fixer les objectifs et la portée de l'étude

Selon la phase du cycle de vie des équipements, des systèmes, des installations ou des ouvrages à l'étude, des objectifs spécifiques d’analyse de risques peuvent être recherchés. Quelques exemples sont énumérés ci-dessous.

Identification de concept, définition/conception et développement Construction, d’installation, d’exploitation et d’entretien Mise au rebut ou de mise hors service
  • Identifier les principaux éléments qui contribuent au risque ainsi que les facteurs significatifs associés
  • Fixer un ou des critères de conception et estimer l’adéquation de la conception globale
  • Identifier et évaluer les mesures de sécurité possibles au niveau de la conception
  • Fixer un ou des critères pour l’estimation du caractère acceptable des installations, activités ou systèmes potentiellement dangereux
  • Rassembler des informations permettant d’aider le développement de procédures pour les conditions normales et d’urgence
  • Évaluer le risque en termes de prescriptions réglementaires et autres
  • Évaluer d’autres alternatives de conception
  • Surveiller et évaluer l’expérience acquise afin de comparer le niveau de performance réel aux prescriptions pertinentes
  • Fixer un ou des critères pour optimiser les procédures de fonctionnement normal, d’entretien et d’urgence
  • Mettre à jour les principaux éléments qui contribuent au risque ainsi que les facteurs d’influence
  • Documenter le niveau du risque pour une prise de décision opérationnelle.
  • Évaluer les effets des modifications de structure, d’organisation, d’usage, de procédures opérationnelles et de composantes du système
  • Cibler les efforts de formation
  • Évaluer le risque relatif aux activités de mise au rebut du système et s’assurer que les exigences correspondantes peuvent être remplies
  • Fournir des données d’entrée aux procédures de mise au rebut


Définir clairement la portée de l’étude des risques permet de guider le travail d’analyse et réduit ainsi les possibilités que les résultats soient facilement remis en question. Pour ce faire, il est souhaitable de définir et de formuler le domaine d’application de l’analyse du risque afin de produire un plan d’analyse du risque dès le début du projet.

Définition du domaine d'application

Il est souhaitable d’inclure, dans la définition du domaine d’application du risque, les éléments suivants :

  • La description des raisons ou problèmes qui ont donné lieu à l’analyse du risque
  • La formulation des objectifs de l’analyse de risque, sur la base des principales préoccupations identifiées
  • La définition du système à analyser
  • L’identification des sources d’information
  • La définition des conditions de fonctionnement couvertes par l’analyse de risque ainsi que d’éventuelles limites applicables
  • L’identification des sources permettant d’obtenir des détails des aspects techniques, environnementaux, légaux, organisationnels et humains concernant l’activité et le problème à analyser. Il y a lieu, en particulier, de décrire également tout aspect sécuritaire
  • L’analyse des accidents passés
  • La détermination des hypothèses et contraintes régissant l’analyse
  • L’identification des décisions à prendre, des décideurs et du résultat requis de l’étude

Il est également recommandé que la tâche qui consiste à définir le domaine d’application de l’analyse comporte une familiarisation technique approfondie avec le système analysé, en tant qu’activité planifiée. Par exemple, ceci peut se faire par une visite rapide des installations.

La définition précise du système qui fera l’objet de l’analyse est primordiale en vue de mener un travail efficace. Il s’agit d’identifier, sans ambiguïté, les limites de l’étude (la portée). Par exemple, il faut définir si l’analyse du risque est menée à l’échelle du site, d’une installation ou de certains équipements d’une installation. Cette définition permet notamment de limiter la description du système aux informations indispensables et suffisantes au champ de l’étude.

La description générale du système devrait comprendre les éléments suivants :

  • L’identification des fonctions du système étudié par des questions classiques du type « À quoi sert…? ».
  • L’identification parmi ces fonctions de celles permettant de caractériser les défaillances possibles du système. La défaillance d’un système peut être définie comme la cessation de l’aptitude d’une entité à accomplir une fonction requise. Selon le système étudié (unités de procédé, stockages…), une défaillance du système (perte de la fonction) n’induit pas automatiquement la possibilité d’un accident majeur. En revanche, l’identification des fonctions globales du système s’avère utile pour décrire par la suite la structure du système et les fonctions de chacune de ces composantes.
  • La définition de la structure du système visant à décrire les différents éléments qui le composent et plus précisément : leurs fonctions, performances et gammes de fonctionnements; leurs connexions et interactions et leur localisation respective. Cette étape permet également de réunir les plans, schémas de principe, schémas d’écoulement des installations et de s’assurer de leur mise à jour, le cas échéant.
  • La définition des frontières et interfaces à la fois physiques et fonctionnelles avec les systèmes apparentés.
  • Les conditions de fonctionnement du système :
    • Cette description vise à caractériser les états de fonctionnement du système et de ses composantes, soit les états suivants : arrêt, fonctionnement normal, remise en fonction après un arrêt court ou prolongé.
    • Il est aussi primordial de décrire le mode de gestion de transition du système ou de ses composantes depuis un état vers un autre. Il est indispensable d’identifier les procédures de conduite du système et les consignes spécifiques en cas d’événements non désirés.
    • Pour les substances dangereuses, cette étape doit également permettre de définir les conditions (phase, température, pression…) dans lesquelles ces substances se trouvent pour chacun des états de fonctionnement du système.
  • Les conditions d’exploitation du système:
    • Les conditions d’exploitation regroupent les éléments qui concernent les conditions de surveillance du système (alarmes, inspections, vérifications, tests périodiques) ainsi que les conditions d’intervention (entretien préventif, correctif).
    • Les conditions à respecter pour exploiter le système sont énoncées sous forme de consignes d’exploitation.
  • La définition de l’environnement du système, importante pour les raisons suivantes;
    • L’environnement peut être une source d’agression pour le système. Il est nécessaire (si pertinent) d’examiner les points suivants :
      • recenser les possibilités d’agression associées à la présence d’équipements dangereux à proximité immédiate du système étudié, sur le site étudié ou sur des sites voisins (effets domino)
      • repérer la présence de voies de communication (routes, voies ferrées, couloir aérien…)
      • identifier les conséquences sur le système d’événements d’origine naturelle (conditions climatiques extrêmes, inondations, séismes, foudre)
      • caractériser la vulnérabilité des installations vis-à-vis des actes de malveillance
    • L’environnement constitue généralement une cible pouvant être affectée par la défaillance du système étudié. Il convient le plus souvent de :
      • repérer la présence d’infrastructures sensibles (ex. : autres équipements dangereux, hôpitaux, résidences pour aînés, casernes d’incendie, immeubles de bureaux, etc.) à proximité du système étudié
      • collecter les informations relatives à l’environnement naturel du site (données géologiques, hydrologiques, celles de la faune et de la flore)
  • La définition des flux d’énergie, de matière et d’information à travers les limites du système.

Choisir la méthode d'analyse

Il existe plusieurs méthodes dont le choix sera fonction des objectifs et de la portée fixés pour l’étude au point précédent. De manière générale, une méthode appropriée possède les caractéristiques suivantes :

  • elle est scientifiquement défendable et applicable au système considéré
  • les résultats obtenus se présentent sous une forme permettant une meilleure compréhension de la nature des risques et de la manière dont ils peuvent être contrôlés
  • elle peut être utilisée par divers analystes de telle sorte qu’elle soit retraçable, reproductible et vérifiable

Il est aussi souhaitable de justifier le choix de la méthode en tenant compte de sa pertinence et de sa convenance. En cas de doute quant à la pertinence et la convenance d’une méthode, il est recommandé d’en utiliser une autre et de comparer les résultats obtenus. Lorsqu’il s’agit d’intégrer les résultats de diverses études, il est essentiel que les méthodologies et les données obtenues soient compatibles.

➜ Consulter la section Méthodes d'identification des dangers et d'analyse des risques 

Il existe un grand nombre d’outils dédiés à l’identification des dangers et des risques associés à un procédé ou une installation. Voici quelques-uns des outils les plus fréquemment utilisés dans l’analyse de risque. Ces outils, leur domaine d’application ainsi que les critères détaillés pour choisir adéquatement la bonne méthode sont définis à la sous-section Méthodes d'identification des dangers et d'analyse des risques.

ANALYSES QUALITATIVES ANALYSES QUANTITATIVES
  • Analyse préliminaire de risque (APR)
  • listes de contrôle
  • Analyse de risque sur schéma type « Et-si? »
  • Analyse de risque sur schémas type HAZOP
  • Analyse des modes de défaillance, de leurs effets et de leur criticité (AMDEC)
  • Analyse par arbre de panne (AAP)
  • Analyse par arbre d’événements (AAE)
  • Risk Management Program, U.S.A Environmental Protection Agency (RMP)/Conseil pour la réduction des risques (CRAIM)
  • Analyse quantitative de risques (QRA)

Constituer l'équipe d'analyse

Les analystes du risque devraient disposer de la compétence nécessaire pour entreprendre la tâche qui leur est confiée. De nombreux systèmes sont trop complexes pour être analysés par une seule personne et dans ce cas, un groupe d’analystes multidisciplinaire est nécessaire pour effectuer le travail.

Il est primordial que l’individu ou le groupe de travail soit familier avec les méthodes utilisées pour l’analyse de risque et dispose de connaissances approfondies du système ou ouvrage considéré. Le cas échéant, il est recommandé d’identifier et d’intégrer à l’analyse les connaissances spécialisées essentielles. Il est recommandé de spécifier et de noter le niveau de compétence du groupe de travail.

De manière générale, la plupart des outils d’analyse de risque sont destinés à être mis en œuvre dans le cadre de groupes de travail. Leur utilisation par une personne seule est possible, mais cela risque néanmoins d’en diminuer la pertinence étant donné que l’intérêt de ces outils réside en partie dans la confrontation d’avis et de remarques de personnes de sensibilités et d’expertises différentes. Cette richesse de points de vue permet un examen aussi exhaustif que possible des situations de dangers.

Les outils d’analyse de risque n’ayant d’autre but que celui de guider la réflexion menée au sein d’un groupe de travail, la véritable richesse d’une analyse de risque réside bel et bien dans les personnes réunies au sein de ce groupe. Au sein de l’équipe, il convient de distinguer les personnes assurant un rôle d’encadrement et d’orientation (chef d’étude, secrétaire…) des autres membres du groupe de travail.

Contribution technique

L’équipe doit être pluridisciplinaire. Pour cela, elle doit être composée de spécialistes ayant la connaissance et l’expérience des systèmes à analyser. Chacun d’eux, malgré des objectifs et des contraintes propres à son domaine d’expertise, doit avoir le souci commun de réaliser et d’exploiter un système ou ouvrage sûr.

À titre d’exemple, voici la composition habituelle des participants contribuant aux aspects techniques :

  • Responsable du projet (dans le cadre d’un projet d’investissement dans un nouveau système ou ouvrage par exemple)
  • Personne chargée de la sécurité des personnes (santé et sécurité au travail)
  • Personne chargée de la protection de l’environnement
  • Personne spécialiste du système, familière avec la conception
  • Personne chargée de l’entretien
  • Spécialiste de l’automation et des systèmes de contrôle (si applicable)
  • Personne travaillant en exploitation du système ou ouvrage
  • Personne en autorité (décideur-gestionnaire) afin que les résultats et recommandations soient réellement mis en œuvre

La composition du groupe de travail est souvent fonction de l’installation étudiée. À ce titre, certains projets nécessitent de faire appel à des gens ayant des expertises particulières. Néanmoins, il faut garder à l’esprit qu’une équipe ne doit pas comporter plus de six ou sept personnes pour être efficace.

Encadrement

Lors des sessions de travail au cours desquelles l’installation est examinée, un chef d’étude intervient à titre d’animateur et de garant de la méthode. Il est souhaitable que le chef d’étude soit accompagné d’une personne, chargée du rôle de scribe, pour assurer la prise de notes.

Le chef d’étude joue un rôle clé durant l’analyse. Il guide l’équipe à travers des questions systématiques durant les sessions. Il veille à faire participer tout le monde et à maintenir une ambiance sereine et une productivité maximale. Il doit avoir le souci permanent d’obtenir un consensus et éviter d’être trop directif.
Enfin, certains membres du groupe de travail craignent parfois que leurs compétences ou savoir-faire soient remis en cause lors des discussions. De ce fait, il est important que le chef d’étude n’hésite pas à souligner les aspects positifs déjà existants (choix d’équipements, mise en place de plans d’entretien, installations de dispositifs de sécurité...).

En pratique, les rôles de chef d’étude ou de scribe ne se limitent pas qu’à l’animation du groupe de travail. Grâce à leur connaissance des situations accidentelles (causes, conséquences…) et des moyens d’y faire face, ces personnes sont souvent à même de participer efficacement à la réflexion. Ainsi, ils peuvent apporter des éléments complémentaires au groupe de travail composé de personnes connaissant bien le système étudié, mais n’étant pas forcément familières avec l’analyse de situations accidentelles (phénomènes physiques, analyse des accidents passés…).

La tâche finale du chef d’étude et du secrétaire est de rédiger le compte rendu de la séance, et de résumer le travail réalisé par le groupe.

Récolter et préparer l'information requise

Il faut prévoir un délai assez important pour cette étape, car beaucoup d’organisations n’ont pas une culture documentaire très forte et même lorsque des documents sont créés, souvent ceux-ci ne sont pas mis à jour au fil du temps. Il s’agit ici de répertorier, récolter, et parfois même, mettre à jour l’information nécessaire pour être en mesure de réaliser une analyse des risques rigoureuse et complète. Les documents à récolter peuvent porter sur :

  • la définition du système à l’étude
  • les descriptions générales : structure, fonctions, interaction, localisation des systèmes, plans, schémas de procédés
  • les conditions de fonctionnement (arrêt, normal, mise en fonction)
  • les conditions d’exploitation
  • la définition de l’environnement (source et cible)
  • les flux d’énergie (incluant les substances), les activités humaines et les équipements
  • les analyses de risque, audits et analyses d’accidents antérieurs
  • le manuel/plan de mesures d’urgence et autres plans de contingence
  • la description des mesures existantes de prévention, préparation, intervention, continuité et rétablissement des activités, sur les plans de communication et sur les divers mécanismes du système de gestion de l’organisation (PPIRGC)
  • les lois, règlements et normes applicables
  • les programmes de formation
  • les procédures d’exploitation, etc.

Définir les critères d'analyse

Afin de pouvoir hiérarchiser les risques et évaluer l’acceptabilité des risques analysés, il est essentiel de définir des échelles de cotation. Le risque étant défini comme étant la combinaison de la probabilité et des conséquences d’un événement, deux échelles de cotations doivent donc être définies dans ce sens :

  • une échelle de cotation des conséquences
  • une échelle de cotation de la probabilité. 

Ces échelles doivent s’adapter à la réalité de chaque organisation.

Un exemple d’échelle de cotation des conséquences est présenté ci-dessous. Différentes catégories de conséquences peuvent être incluses dans l’analyse selon l’objectif et la portée de celle-ci.

NIVEAU DE GRAVITÉ 1-Négligeable 2-Marginal 3-Critique 4-Catastrophique
Employés Blessures traitables par premiers soins Blessures et maladies ne résultant pas en incapacité, perte majeure de la qualité de vie, ou maladies perçues Incapacités permanentes, blessures sévères ou maladies Décès ou blessure
Public Perte mineure de la qualité de vie Blessures et maladies ne résultant pas en incapacité, perte majeure de la qualité de vie, ou maladies perçues Incapacités permanentes, blessures sévères ou maladies Décès ou blessure causées par l'exposition directe
Environnement Déversement mineur de matière dangereuse qui est contenu. Pas d'impact mesurable dans les environs Déversement majeur de matière dangereuse qui est contenu. Une partie des organismes locaux est soumis à un impact négatif Déversement mineur de matière dangereuse non contenu. Dommages locaux ou dommages aux espèces ou sous-espèces locales Déversement majeur de matière dangereuse non contenu. Des espèces régionales ou sous-espèces sont détruites 
Finances Perte mineure de la base financière ne provoquant pas un arrêt des activités de l'entité. Les fonds ne sont pas disponibles en moins de 12h pour remettre en marche les installations et réparer les dégâts Perte mineure de la base financière, incapacitant l'entreprise de façon temporaire. Les fonds ne sont pas disponibles en moins de 24h pour remettre en marche les installations et réparer les dégâts Perte partielle de la base financière, incapacitant l'entreprise de façon temporaire. Les fonds ne sont pas disponibles en moins de 4 jours pour remettre en marche les installations et réparer les dégâts Perte complète de la base économique, déstabilisation de l'entreprise. Les fonds nécessaires pour remettre les installations en marche ne sont pas disponibles en une semaine
Installation Arrêt complet des installations et services critiques pour plus d'une journée Arrêt complet des installations et services critiques pour plus d'une semaine Arrêt complet des installations et services critiques pour plus de 2 semaines Fermeture complète des installations et services critiques pour plus d'un mois
Propriétés Plus de 1% des propriétés situées à proximité sont gravement endommagées Plus de 10% des propriétés situées à proximité sont  gravement endommagées Plus de 25% des propriétés situées à proximité sont gravement endommagées Plus de 50% des propriétés situées à proximité sont très gravement endommagées

Exemple d'échelle de cotation des conséquences

Une échelle de cotation de la probabilité est présentée ci-dessous.

PROBABILITÉ 1-Improbable 2-Éloigné 3-Possible 4-Probable
Description On ne pense pas que cet évènement se produira durant la vie utile de l'installation (récurrence 25 ans et plus) Pourrait se produire une fois durant la vie utile de l'installation (récurrence 10-25 ans) Pourrait se produire plus d'une fois durant la vie utile de l'installation (récurrence 1-10 ans) Pourrait se produire plus d'une fois par année (récurrence 0-1 an)

Exemple d'échelle de cotation de probabilité  

Par la suite, il est nécessaire de définir une matrice de décision qui résulte de la combinaison des deux types d’échelles de cotation (fréquence et conséquence).

La matrice de décision vise à définir à l’avance, avant le début de l’analyse, les zones d’acceptabilité des risques.

Selon chaque organisation ou chaque entreprise, une certaine combinaison de fréquence et de conséquence pourra être jugée inacceptable tandis qu’elle pourrait être acceptable pour une autre. 

Exemple de matrice de décision

Par exemple, un accident avec perte de temps qui survient environ une fois par an pourrait être jugé acceptable par l’entreprise X, tandis que cela pourrait être jugé inacceptable par l’entreprise Y ce qui nécessiterait des investissements afin de réduire le risque à un niveau acceptable.

Le détail de l’utilisation de cette matrice est présenté aux pages Analyser les risques et Évaluer l'acceptabilité des risques.

Identifier les dangers

Il  est important de souligner les facettes qui apparaissent dans la définition de danger : une source de préjudice potentiel ou une situation comportant un préjudice potentiel.

Dans cette définition, la notion de « source de préjudice potentiel » peut être largement interprétée. Pour chacune des « sources de préjudice potentiel » suivantes, il peut potentiellement y avoir des dommages, c’est-à-dire que l’événement peut avoir des conséquences négatives.

Préparation du groupe de travail

Les personnes composant le groupe de travail ont été retenues pour leurs compétences dans des domaines techniques spécifiques. Elles ne sont pas obligatoirement familières avec l’usage d’outils d’analyse de risque.
En conséquence, il est indispensable, avant d’entamer l’application de la méthode de :

  • rappeler les objectifs de la réunion de travail ainsi que le niveau de détails recherché
  • décrire précisément les principes de fonctionnement de l’outil d’analyse de risque qui a été retenu
  • présenter les critères d’analyse et échelles de cotation en gravité et probabilité qui seront utilisées en vue d’estimer les risques.

Ces tâches incombent bien entendu au chef d’étude qui veille à obtenir l’accord de chacun avant d’entamer l’analyse.

Enfin, il est également souhaitable de présenter la description fonctionnelle du système étudié ainsi qu’une revue des accidents survenus sur des installations similaires. Ce dernier point constitue un premier support pour l’estimation des risques et permet également de montrer, le cas échéant, que des installations semblables ont effectivement pu être l’objet d’accidents plus ou moins graves.

À la suite de la définition du système, au choix de la méthode et à la constitution de l’équipe, l’application de la méthode d’identification des dangers peut débuter. Toutes les fonctions identifiées à la suite de la description fonctionnelle du système étudié sont alors systématiquement passées en revue selon le canevas propre à l’outil d’analyse retenu.

Il faut noter qu’il s’agit d’outils visant à guider une réflexion menée au sein d’un groupe de travail. En d’autres termes, ces outils ne garantissent pas de manière automatique la pertinence des résultats de l’analyse, mais ils constituent simplement un support précieux permettant de tendre vers une plus grande exhaustivité.
Comme précisé auparavant, ces outils possèdent des domaines d’application particuliers en rapport avec la nature et la complexité du système étudié. En outre, l’utilisation de ces outils dépend du niveau de détails nécessaire à l’atteinte des objectifs de départ.

Généralement, il est conseillé de débuter l’analyse par la mise en œuvre d’outils simples possédant une maille d’étude relativement large. Si les objectifs sont atteints à la suite de cette première analyse avec le niveau de détails requis, il convient de passer directement à la phase d’estimation du risque. En revanche, si cette première analyse montre que des points particuliers méritent une attention particulière, il est alors nécessaire d’employer des outils de plus en plus fins jusqu’à l’atteinte d’un niveau de détails suffisant.

➜ Consulter la section Méthodes d'identification des dangers et d'analyse des risques 

Il y a lieu d’identifier les dangers qui engendrent un risque dans le système ainsi que les formes qu’ils pourraient prendre. Il faut énoncer clairement les dangers connus, par exemple, ceux qui sont apparus lors d’accidents précédents, mais il faut aussi identifier les dangers non reconnus antérieurement. Pour ce faire, il est recommandé d’utiliser une ou des méthodes formelles d’identification des dangers, applicables à la situation spécifique.

Dans les grandes lignes, les méthodes d’identification des dangers s’inscrivent dans trois catégories :

  • Les méthodes comparatives : par exemple, les listes de contrôle, les indices de danger et les revues de données historiques
  • Les méthodes fondamentales, structurées pour stimuler un groupe d’individus à associer à leur connaissance une certaine optique favorisant l’identification des dangers, par exemple, en posant une série de questions du type « que se passerait-il si?) ». Des exemples de ce type de méthodologie sont les études de dangers « Et-si? », les études de dangers et de faisabilité (HAZOP) ainsi que les analyses des modes de défaillance, de leurs effets et de leur criticité (AMDEC)
  • Les techniques qui utilisent des schémas logiques comme les arbres de panne (AP) ou les arbres d’événements (AE)

Quelles que soient les techniques réellement utilisées, il est important d’admettre, dans le processus global d’identification des dangers, que les erreurs humaines et organisationnelles sont des facteurs importants dans un grand nombre d’accidents. Par conséquent, il convient que les scénarios d’accidents impliquant une erreur humaine ou organisationnelle soient également inclus dans le processus d’identification des dangers. De plus, les événements externes au système étudié (ex. : risques naturels liés à la localisation telle que la présence d’une zone d’inondation ou sismique) doivent aussi être pris en considération.

Lors de l’identification des scénarios, il est primordial d’identifier les barrières de sécurité qui existent qui servent à prévenir l’événement dangereux ou à en diminuer les conséquences.

L’identification des dangers implique une revue systématique du système étudié afin d’identifier le type de dangers inhérents ainsi que la manière dont ils pourraient se concrétiser (scénarios). Les historiques d’accidents (dans l’organisation en question et aussi à l’international pour des systèmes similaires) ainsi que l’expérience acquise lors de précédentes analyses de risque peuvent fournir des données d’entrée utiles au processus d’identification des dangers. Il est nécessaire de reconnaître qu’il existe un élément de subjectivité dans le jugement des dangers qui pourraient menacer le système. Il est important que les dangers identifiés soient revus à la lumière de toute nouvelle donnée pertinente.

Analyser les risques

Le risque est souvent défini comme une combinaison d’une gravité et d’une probabilité ou fréquence. La définition et la détermination des risques se composent des activités suivantes :

  • définition des scénarios d’accidents
  • identification des causes et des conséquences des scénarios d’accidents
  • estimation de la probabilité et de la gravité de ces scénarios

La définition des scénarios d’accidents peut faire intervenir des substances dangereuses, des infrastructures de transmission d’énergie, de communication, de transport, des systèmes informatiques, des chaînes de production, etc. Pour les substances dangereuses, ce sont des libérations indésirables de substances dangereuses et/ou de quantité dangereuse d’énergie hors de l’installation.

L’identification des causes et des conséquences, par exemple des libérations indésirables d’énergie, est nécessaire pour l’évaluation de la probabilité d’occurrence et de la gravité d’une éventuelle libération, d’un éventuel bris ou autres et pour pouvoir prendre les mesures de prévention nécessaires. La connaissance des causes permet de déterminer les mesures de prévention qui rendent ces libérations et ces bris moins probables.

La détermination de la probabilité et de la gravité de ces scénarios est une préparation pour la partie suivante de l’étude de risque : l’évaluation du risque. Il faut noter également que la méthode de détermination choisie pour déterminer et exprimer la probabilité et la gravité influence la manière dont se réalise ensuite l’évaluation du risque.

Dangers, flux agressifs et risques

Le concept de risque est difficile à définir étant donné le grand nombre d’interprétations différentes qui lui sont données, tant dans le langage courant que technique. Toute organisation est confrontée à une multitude de risques :

  • risques liés à l’exploitation d’installations ou d’ouvrages
  • risques commerciaux
  • risques sociaux
  • risques financier
  • risques juridiques
  • risques d’atteintes à l’environnement
  • etc.

Mais face à l’ensemble de ces risques, une même démarche s’applique : identifier, quantifier, hiérarchiser, maîtriser et gérer. Ce sont les méthodes d’identification de dangers appliquées qui sont spécifiques à la nature du risque, à la discipline particulière.

Pour mieux évaluer, quantifier, comparer et hiérarchiser les différents événements redoutés, il est intéressant de définir le risque comme la combinaison de sa probabilité d’occurrence par la gravité de ses conséquences. Ainsi, cette approche permet de comparer des niveaux de risque totalement différents, par exemple le risque du nucléaire à celui de l’aéronautique. Bien que cette approche soit simple, le risque associé à un événement redouté n’est pas pour autant facile à définir.

De nombreuses questions se posent : quelles sont les approches qualitatives? Quelles sont les approches quantitatives? Quels sont les modèles mathématiques à utiliser? Quelles sont leurs limites de confiance?

Une autre façon de décrire les risques consiste à expliciter leur processus d’apparition et en à identifier les éléments, à savoir : un ou plusieurs dangers de nature différente, qui peuvent être des équipements, un gaz toxique, des matières radioactives, un train en mouvement, un chantier de construction, des conditions météo extrêmes, etc., venant menacer un ou plusieurs récepteurs qui peuvent être des personnes, un barrage, une ligne électrique, un autre train situé en aval, les biens, l’environnement, etc.

Le choix entre ces trois stratégies dépend des possibilités techniques disponibles, de leur facilité de mise en œuvre et de leurs coûts respectifs.

Prenons le cas des séismes. Il est manifestement impossible d’agir sur le danger (l’épicentre et l’onde sismique). Il ne reste qu’une solution : rendre insensibles les récepteurs potentiels au danger lors du dimensionnant des ouvrages (respect des normes antisismiques) et/ou en implantant ces ouvrages dans des zones peu ou pas propices aux séismes.

L’analyse des risques examine les événements ou les circonstances initiales, la séquence d’événements concernée, d’éventuelles circonstances atténuantes (barrières de sécurité) ainsi que la nature et la fréquence des conséquences nuisibles des dangers identifiés pour obtenir une mesure du niveau de risque à analyser. Les mesures de risque peuvent concerner les risques encourus par les personnes, les biens ou l’environnement et comprendre une indication de l’incertitude associée aux estimations.

Les méthodes utilisées pour l’estimation des risques sont souvent quantitatives même si le degré de détails requis pour la préparation des estimations est dépendant de l’application particulière. Cependant, une analyse quantitative complète n’est pas toujours possible étant donné le manque d’informations sur l’activité ou le système analysé, le manque de données sur les défaillances, l’influence des facteurs humains, etc. Dans ces circonstances, une classification comparative, quantitative ou qualitative des risques par des spécialistes compétents dans leur domaine respectif peut tout de même être efficace. Lorsque la classification est qualitative, il convient d’expliquer clairement tous les termes utilisés et d’enregistrer la base de toutes les classifications de probabilités et de conséquences. Lorsqu’une quantification complète est réalisée, il est nécessaire d’admettre que les valeurs de risques calculées sont des estimés et il est souhaitable de vérifier que le niveau d’exactitude et de précision attribué à ces estimés soit cohérent par rapport à la précision des données et des méthodes analytiques utilisées.

Étapes de l’analyse des risques

Les éléments du processus d’analyse des risques sont communs pour tous les dangers. En premier lieu, les causes éventuelles du danger sont analysées pour déterminer leur fréquence d’occurrence, leur durée ainsi que leur nature (quantité, composition, caractéristiques d’émission/d’utilisation, etc.). S’il s’agit d’analyser une installation industrielle, l’analyse de fréquence peut être une activité majeure. L’analyse des conséquences implique une estimation de la sévérité de la ou des conséquences associées au danger. L’analyse peut également nécessiter une estimation de la probabilité du danger ayant engendré la ou les conséquences et impliquer une analyse de la séquence d’événements par laquelle le danger peut avoir une ou des conséquences.

Analyse de fréquence ou de probabilité

L’analyse de fréquence est utilisée pour estimer la probabilité de tout événement dangereux décelé lors de l’étape d’identification des dangers. Trois approches sont communément utilisées pour estimer les fréquences d’événements. Ce sont :

  • l’utilisation de données historiques pertinentes
  • la déduction des fréquences d’événements au moyen de techniques analytiques ou de simulations
  • l’utilisation d’avis d’experts

Toutes ces techniques peuvent être utilisées séparément ou en combinaison. Les deux premières approches sont complémentaires; chacune d’entre elles présente des avantages là où l’autre a des faiblesses. Dans la mesure du possible, les deux techniques s’utilisent conjointement. De cette manière, la fiabilité des résultats est améliorée. Lorsque ces techniques ne peuvent pas être utilisées ou ne sont pas suffisantes, il faut avoir recours à l’avis d’un expert.

Peu importe la technique utilisée, l’analyse de fréquence ou de probabilité peut s’effectuer selon deux approches en fonction du besoin visé :

APPROCHE QUALITATIVE APPROCHE QUANTITATIVE
Cette approche est basée sur l’utilisation de description de fréquence ou de probabilité exprimée en unité de temps. Elle est généralement associée à une matrice de décision. Cette approche est basée sur le développement de fréquences numériques. Il existe des banques de données qui présentent diverses fréquences de bris pour un certain nombre de pièces d’équipements (par exemple, voir Guidelines for Process Equipment Reliability Data, CCPS 1989).

Analyse des conséquences

L’analyse des conséquences est utilisée pour estimer les effets probables d’événements dangereux identifiés. L’analyse des conséquences possède les caractéristiques suivantes :

  • est fondée sur les événements dangereux identifiés
  • décrit toutes les conséquences (effets) des événements dangereux
  • prend en considération les barrières de protection (mesure permettant d’atténuer ou de limiter ces conséquences) ainsi que toutes les conditions applicables pouvant avoir une influence sur les conséquences
  • comporte des critères utilisés pour réaliser l’identification des conséquences
  • tient compte à la fois des effets immédiats et de ceux qui peuvent apparaître après un certain temps, si cela est conforme au domaine d’application de l’étude
  • tient compte des conséquences secondaires, telles que celles associées à des équipements et à des systèmes adjacents

L’analyse de conséquences peut s’effectuer selon deux approches en fonction du besoin visé :

APPROCHE QUALITATIVE APPROCHE QUANTITATIVE
Cette approche est basée sur des descriptions des conséquences. Elle est généralement associée à une matrice de décision. Cette approche prend ses assises sur une estimation des conséquences sur les personnes, les biens ou l’environnement en cas d’apparition de l’événement dangereux. Normalement, pour les calculs de risque relatif à la sécurité (du public ou des travailleurs), elle consiste à estimer le nombre de personnes placées dans différents environnements, à des distances différentes de la source de l’événement, qui peuvent être soit tuées, soit blessées ou gravement affectées si l’événement indésirable a lieu.

Calculs des risques

Il y a lieu d’exprimer les risques en termes appropriés. Certaines des données communément utilisées dans l’analyse des risques sont exprimées comme suit :

  • description qualitative des risques à l’aide d’une matrice de décision
  • fréquence prévue de mortalité pour un individu donné (risque individuel)
  • tracés de courbes de fréquence par rapport aux conséquences désignées par le terme courbe  F-N (ou F est la fréquence et N le nombre cumulé de personnes subissant un niveau spécifié de préjudice ou les coûts cumulés de dommages) : pour les risques sociaux
  • indication du niveau de l’estimation du risque : risque total ou partie du risque total

Lors du calcul de risque, il est nécessaire de tenir compte à la fois de la durée de l’événement indésirable et de la probabilité d’exposition des personnes à ce risque.

Il est recommandé que les données utilisées pour calculer les risques conviennent à l’application étudiée. Dans la mesure du possible, les données doivent être fondées sur les circonstances spécifiques analysées. Lorsque ces circonstances ne sont pas disponibles, il convient d’utiliser des données génériques représentatives de la situation ou de rechercher un avis d’expert.

Les données rassemblées sont organisées de façon à faciliter une récupération convenable des informations afin de les utiliser comme données d’entrée pour la suite de l’analyse de risque et la traçabilité.

Matrice de décision

La matrice de décision sert, de façon simple, à hiérarchiser les risques et à identifier ceux qui sont inacceptables et ceux qui sont tolérables.

Les échelles de probabilité et de gravité des conséquences, utilisées pour une évaluation quantitative simplifiée des risques, peuvent et dans plusieurs cas, doivent être adaptées à l’installation étudiée. À cet égard, les exploitants possèdent la meilleure connaissance de leurs installations et il est donc légitime de retenir les échelles de cotation choisies par l’exploitant lorsque ces dernières sont bien adaptées au système à analyser.

Déroulement de la cotation

La cotation en probabilité/gravité est effectuée par le groupe de travail au moment de l’analyse de risque.
Afin de mesurer le bénéfice apporté par les éventuelles barrières de sécurité mises en place, il est conseillé d’effectuer :
Une première cotation prenant en compte le bénéfice apporté par ces mesures. Cette première cotation permet d’appréhender le niveau de sécurité du site étudié et donc de juger de la maîtrise actuelle des risques.
Une deuxième cotation. Cette cotation devrait être effectuée en intégrant le bénéfice apporté par les propositions d’amélioration retenues par le groupe de travail.

Hiérarchisation des risques

La grille remplie grâce aux numéros identifiant les risques associés au système étudié, constitue un outil d’aide à la décision et à la maîtrise des risques.

L’objet de la maîtrise des risques est précisément de mettre en place des dispositifs ou mesures de sécurité assurant, dans la mesure du possible, que les risques identifiés ne figurent pas dans le domaine des risques jugés inacceptables.

À cette fin, les barrières de protection agissent pour diminuer la probabilité de la situation de danger considérée ou, dans certains cas, à diminuer la gravité des conséquences associées à cette situation.
Les étapes de l’analyse de risque décrites précédemment ont conduit à l’identification des risques associés à un site complet, une installation, un équipement particulier, ainsi qu’à celle des barrières de sécurité (équipements ou tâches organisationnelles) permettant de maîtriser ces risques.

Dans plusieurs cas, l’étape qui est essentiellement qualitative est riche d’enseignements puisqu’elle permet d’aborder de manière systématique les événements pouvant conduire à un accident majeur, et en conséquence, d’identifier les barrières de sécurité à mettre en place, c’est-à-dire, les tâches et les équipements prévus ou à envisager en vue de maîtriser les risques associés.

Dans certains cas, dont les études d’impact, il est souvent indispensable de compléter cette démarche par une approche quantitative visant à estimer le niveau de risque des situations mises en lumière. Cette approche est parfois réglementaire comme dans le cas de certaines lois telles la Loi canadienne sur la protection de l'environnement, la Loi sur la qualité de l'environnement du Québec et la Loi sur la sécurité civile.

Évaluer l'acceptabilité des risques

Lors de l’évaluation des risques, le caractère tolérable du risque est établi à partir de l’analyse des risques et en tenant compte de facteurs tels que les aspects socio-économiques et environnementaux. La matrice de décision peut servir d’outil pour cette évaluation.

La matrice identifie le domaine des risques jugés inacceptables d’après les critères fixés au début de l’étude. Ce domaine est bien entendu fonction des échelles de cotation prises comme référence et des critères considérés par le groupe de travail pour juger de l’acceptabilité du risque.

L’objet de la maîtrise des risques est précisément de mettre en place des mesures de sécurité, ou des barrières de sécurité, assurant autant que possible que les risques identifiés ne figurent pas dans le domaine des risques jugés inacceptables.

À cette fin, les barrières de prévention vont agir en vue de diminuer la probabilité de la situation de danger considérée et les barrières de protection vont agir en vue de diminuer la gravité des conséquences associées à cette situation.

L’évaluation du risque consiste à émettre un jugement sur celui-ci.

Cette évaluation conduit à des décisions. Accepte-t-on le risque? Doit-on le réduire davantage? Si oui, jusqu’où?

L’évaluation d’un risque s’effectue d’une manière conséquente et objective uniquement lorsque les réponses aux questions identifiées ci-dessus sont formulées à l’aide de critères d’évaluation du risque. Sans de tels critères, la détermination des mesures à mettre en place devient une activité totalement subjective et incontrôlée. Certains risques seront « surprotégés », ce qui signifie une perte économique pour l’organisation, et d’autres risques seront « sous protégés », ce qui expose l’organisation à des risques non acceptables.

Réduire les risques (recommander des barrières de sécurité additionnelles)

Si le risque est jugé inacceptable ou du moins requiert une réduction additionnelle, des barrières de sécurité doivent être suggérées. Selon les résultats de l’analyse, les barrières recommandées peuvent permettre de réduire la probabilité d’occurrence (barrières de prévention) ou d’atténuer la gravité des conséquences (barrières de protection). La sous-section La gestion et le traitement des risques pose des balises quant aux principes à employer pour la réduction des risques.

L’objectif fondamental d’une politique de prévention, de préparation, d’intervention, de continuité et de rétablissement des activités consiste à éviter que des événements redoutés surviennent ou à en limiter les conséquences à des valeurs acceptables pour toutes les parties prenantes.

Cet objectif, qui peut être qualifié de stratégique, concerne toute l’organisation. Il doit s’appliquer aux processus mis en œuvre tant dans l’organisation que dans celle de ses sous-traitants. Une telle politique doit couvrir toutes les phases de développement et de mise en marché des produits et des services, de la conception à l’arrêt de production, sans oublier les étapes de fabrication, de modification, de distribution, de stockage et de mise au rebut. Cette politique se doit également d’intégrer l’entretien des installations, la formation du personnel, les organisations mises en place, l’ergonomie, etc.

Cette politique de prévention, de préparation, d’intervention et de rétablissement doit, pour être efficace, comporter :

  • un processus de mise en place de protections efficaces, des « barrières de sécurité »;
  • un suivi par des « indicateurs de performance »
  • une culture de la sécurité
  • un retour d’expérience

En d’autres termes, il s’agit de concevoir et de mettre en place des barrières de sécurité de nature technologiques, procédurales, organisationnelles et humaines, puis de les faire connaître à l’ensemble des responsables opérationnels afin qu’elles soient suivies, entretenues et respectées.

Parallèlement, il est indispensable d’analyser et d’organiser les relations existant entre les sous-systèmes, et de souligner un facteur souvent ignoré ou délaissé : les échanges d’informations entre personnes, c’est-à-dire la communication qui peut être une source d’incompréhension, voire d’accidents graves.

L’organisation étant définie, les moyens techniques mis en place et les ressources humaines formées, il s’agit ensuite durant la phase d’exploitation, d’analyser tous les incidents et tous les signes précurseurs d’événements indésirables. Cette analyse est indispensable afin de bien comprendre les causes à l’origine des événements redoutés observés. Un préalable à cette analyse est la mise en place d’un retour d’expérience à caractère systémique en prenant en considérant le facteur humain.

Mais, au-delà des concepts développés et des méthodes utilisées, la maîtrise des risques nécessite, pour être véritablement efficace et opérationnelle, une prise de conscience individuelle et collective du rôle fondamental de chacun. La réduction des risques dans un contexte d’amélioration continue est un aspect primordial de la démarche. Comment baliser cette réduction des risques dans un contexte d’éthique et de ressources limitées? Un bon exemple de démarche est celui du Royaume-Uni, qui a mis en place un concept visant à assurer que les préjudices (que ce soit sur la personne, les biens ou l’environnement) soient maintenus à un niveau aussi bas que raisonnable et pratique « As Low As Reasonably Practicable » (ALARP), tel que présenté à la figure suivante.

Démarche « Aussi bas que raisonnable et pratique »

Évaluer le risque résiduel

Dans cette étape, le risque résiduel est calculé à l’aide de techniques d’analyse quantitative ou qualitative du risque. Le risque résiduel est le risque qui subsiste après que toutes les mesures de prévention et de protection aient été prises en compte. L’évaluation du risque se fait par comparaison avec une « valeur acceptable »,  selon la matrice de décision.

Documenter l'analyse

Le rapport de l’analyse de risque documente le processus suivi et il comprend ou se réfère au plan d’analyse de risque. La présentation des informations techniques qu’il contient est une partie critique du processus d’analyse de risque. Les résultats des analyses de risques doivent y être exprimés en termes compréhensibles. Les points forts, les limites des différentes mesures de risques et les incertitudes qui entourent les estimations du risque doivent aussi y être expliqués en langage compréhensible compte tenu de personnes auxquelles le rapport s’adresse.

La portée du rapport varie selon les objectifs et le domaine de l’analyse. Sauf pour des analyses très simples, la documentation comporte habituellement les sections suivantes :

  • résumé, incluant les conclusions
  • objectifs et le domaine d’application
  • limites, les hypothèses et la justification des hypothèses
  • description des parties pertinentes du système
  • méthodologie d’analyse
  • personnes ayant participé à l’analyse ainsi que leurs fonctions respectives
  • résultats d’identification des dangers
  • modèles utilisés, y compris les hypothèses et la validation
  • données et leurs sources
  • résultats d’estimation du risque
  • analyse de sensibilité et d’incertitude
  • discussion des résultats (y compris une discussion des difficultés analytiques)
  • conclusions
  • références

Mettre en œuvre les recommandations

Une dernière étape importante qui découle d’une analyse et d’une évaluation des risques est évidemment la mise en œuvre des recommandations. Trop souvent, des efforts importants sont investis afin d’analyser les risques et d’identifier des recommandations et celles-ci demeurent sur la tablette par manque de temps ou manque d’organisation interne (imputabilité mal définie). Il est essentiel de comprendre que le fait d’analyser et d’évaluer les risques permet d’obtenir l’information pour gérer les risques par la suite. Si rien n’est fait, si rien n’est mis en œuvre, le niveau de risques demeure le même qu’avant l’analyse.

Ressources

Une partie du contenu de la section Gestion des risques est tirée du cours « Gestion des risques pour ingénieurs et autres professionnels » de l'Université de Sherbrooke.

Naviguer dans la page

  1. Fixer les objectifs et la portée de l'étude
    1. Définition du domaine d'application
  2. Choisir la méthode d'analyse
  3. Constituer l'équipe d'analyse
    1. Contribution technique
    1. Encadrement
  4. Récolter et préparer l'information requise
  5. Définir les critères d'analyse
  6. Identifier les dangers
    1. Préparation du groupe de travail
  7. Analyser les risques
    1. Dangers, flux agressifs et risques
    1. Étapes de l’analyse des risques
    1. Analyse de fréquence ou de probabilité
  8. Évaluer l'acceptabilité des risques
  9. Réduire les risques (recommander des barrières de sécurité additionnelles)
  10. Évaluer le risque résiduel
  11. Documenter l'analyse
  12. Mettre en œuvre les recommandations
  13. Ressources



© Ordre des ingénieurs du Québec

Avertissement : Le Guide de pratique professionnelle constitue un outil de référence et d’accompagnement des ingénieurs au Québec. Il est une source d’information générale et ne constitue aucunement une opinion, un avis ou conseil juridique. Son contenu ne doit pas être interprété pour tenter de répondre à une situation juridique particulière.