REFLEXIONS SUR LES MODELES DE LA SCIENCE DU DANGER

REFLEXIONS SUR LES MODELES DE LA SCIENCE DU DANGER

Pierre PERILHON
Email : pierre.perilhon@worldnet.fr

Ecole d’été "Gestion Scientifique du risque "
6/10 septembre 1999
ALBI - FRANCE

Lundi 6 septembre
les éléments d’une science du danger par l’approche systémique

1 – INTRODUCTION GENERALE:

Les réflexions ci-après me sont apparues en pratiquant les modèles développés en France concernant le danger et le risque et à la suite d’une première lecture des communications de l’Ecole d’été d’Albi. Elles ne sont que des essais d’ouverture de pistes de développement de pratiques nouvelles et plus cohérentes pouvant aussi faire l’objet d’enseignements.

2 – REFLEXIONS SUR LE MODELE MADS :

2.1. Introduction :

Le modèle MADS a été développé à partir d’une pratique de terrain et d’enseignements. Il se veut essentiellement pédagogique mais sa mise en œuvre donne aussi lieu à des applications opérationnelles intéressantes.

2.2. De la définition du danger et du risque :

A partir du modèle MADS, on peut proposer la définition suivante du Danger :

Le Danger est un état d’équilibre métastable caractérisé par un ensemble de processus potentiels. Son facteur de déclenchement est un événement initiateur issu du Système source de danger lui-même ou de son environnement.

Le Risque n’apparaît que s’il y a entrée d’une cible dans le champ. Il se caractérise alors par l’effet non souhaité des processus de danger sur une ou plusieurs des quatre cibles possibles, par la probabilité d’enchaînement des événements qui constituent les processus de danger et par son acceptabilité individuelle ou sociale. Si effet et probabilité peuvent être définis de manière relativement objective, l’acceptabilité conduit à une construction sociale du risque qui fait aussi appel à la notion de conflit. (J.P PAGES)

2.3. Applications à la modélisation des risques :

2.3.1. Modélisation d’accident :

Si l’on met en œuvre le modèle de manière topologique, on obtient l’enchaînement des événements constitutifs des processus de danger.

Il est alors possible de modéliser des accidents survenus comme par exemple celui de FEYZIN en 1966.

Toutes les caractéristiques du danger se trouvent alors réunies sur un même schéma.
Il est bien sûr tout à fait possible d’appliquer cette modélisation à la prévision dans une analyse à priori des risques, ce qui est pratiqué dans la méthode MOSAR (Méthode Organisée et Systémique d’Analyse de Risques) (3)

Nous reviendrons plus loin sur une modélisation encore plus poussée de cet accident.

2.3.2. Modélisation de risque :

appliquons MADS à la modélisation des principales mesures d’amélioration des conditions de sécurité routière prises ces dernières années.

On constate ici aussi que le modèle permet de regrouper toutes les caractéristiques sur un même schéma et d’explorer les gisements d’améliorations possibles.

2.3.3. Modélisation de scénarios :

Le modèle étant réversible, c’est-à-dire que tout système source de danger pouvant devenir système cible et vice et versa, et d’autre part les systèmes cibles n’étant pas indépendants entre eux, les scénarios d’Evénements Non Souhaités vont apparaître dans les interactions des systèmes cibles et systèmes sources.

Pour le dire d’une autre manière, si l’on s’intéresse à un processus de danger, comment définir les champs dans lesquels il se trouve ?

L’interaction des différents processus fait alors apparaître des scénarios

La mise sous forme de boîte noire de chaque ensemble de processus lié à un système source de danger permet de faire apparaître ces liaisons entre processus qui constituent les scénarios d’Evénements Non Souhaités. Cette technique est aussi développée dans MOSAR.(3)

Les bouclages peuvent ne pas être pas linéaires, ce qui pourrait permettre d’aborder les phénomènes d’amplification dans les interactions.

Remarques :

1 - En généralisant cette approche on retrouve les interactions de réseaux décrits par G.Y. KERVERN dans son ouvrage sur les cindyniques et dans ses applications. La définition des champs y est bien développée.

On peut cependant remarquer que le danger peut aussi provenir d’une ou plusieurs sources de danger qui ne sont pas des acteurs d’un réseau. Ne peut-on pas parler d’acteurs, de matériels, d’idées, d’éléments naturels ? On retrouve les cinq cibles (mais aussi sources) du modèle MADS : individus, populations (réseaux), écosystèmes (réseaux), systèmes matériels et systèmes symboliques (en réseaux ou non).

2 – Le temps apparaît de plusieurs manières dans les différents modèles :

il transforme d’où la difficulté de prévoir certains événements et leurs conjonctions et interférences.
il fait apparaître des phénomènes d’émergence d’événements totalement nouveaux ce qui accroît la difficulté précédente.
il pilote la finalité des systèmes artificiels et l’adaptabilité des systèmes naturels.

3 – La complexité mérite une approche plus détaillée que celle habituellement rencontrée. Elle n’est pas un enchevêtrement de réseaux (complication). J.M. PENALVA en donne une bonne définition :

interrelations nombreuses entre éléments
présence d’incertitude et d’indétermination
présence de phénomènes aléatoires
imbrication des niveaux d’organisation
imbrication des niveaux de représentation
recours à la modélisation
hétérogénéité des connaissances et des savoir- faire.

On voit tout de suite que le domaine du risque est complexe.

4 – La finalité se situe aussi à deux niveaux dans les modèles :

au niveau des systèmes (axiome de téléologie des cindyniques)
au niveau du modélisateur qui veut définir une situation de danger ou faire une analyse de risques (concept de situation des cindyniques et axiome de relativité). J.M. PENALVA définit très bien ce niveau et ses outils de modélisation (SAGACE) en facilitent l’appréhension.

2.3.4. D’autres implications du modèle systémique :

Tout système peut être découpé en trois sous-systèmes : un sous-système opérant (SS0), un sous système d’information (SSI) et un sous-système de pilotage (SSP). La démarche systémique permettant de modéliser le réel sous forme de systèmes emboîtés il apparaît immédiatement une sorte de vision fractale très utile comme nous le verrons dans le paragraphe 3 .

2.3.4. Le modèle MADS, l’analyse de risques, méthode et outils :

Nous avons vu que le modèle est opérationnel et permet d’identifier à priori l’enchaînement des événements qui conduit à un Evénement Non Souhaité ( parag. 2-3-1)

Cet enchaînement d’événements est ce qui est recherché dans l’AMDEC, outil semi-empirique d’analyse de risques très utilisé en Sûreté de Fonctionnement (voir 1^er schéma du paragraphe 2-3-1). Le modèle MADS peut ainsi apparaître comme le modèle théorique de la démarche AMDEC. On peut la préciser avec les deux schémas ci-après.

Le premier définit l’approche préventive par barrières.

Le deuxième définit l’approche probabiliste.

La prise en compte du temps dans le modèle MADS permet de définir l’analyse par états du système source de danger et, par symétrie le principe de précaution.

UN SYSTEME TECHNIQUE EST PILOTE PAR SA FINALITE.

Il est donc déterminé. On peut donc évaluer ou quantifier les risques qu’il peut générer, ce que fait la Sûreté de Fonctionnement.

UN SYSTEME NATUREL REPOUSSE SA FINALITE (mort) EN S’ADAPTANT A SON ENVIRONNEMENT CONTINUELLEMENT CHANGEANT.

Il apparaît comme non déterminé, il innove et génère de l’inconnu.

L’homme (système naturel) est toujours à l’interface de systèmes techniques ou artificiels qu’il a construit et d’autres systèmes naturels.

3. REFLEXIONS SUR LES MODELES ‘’CINDYNIQUES’’ (G.Y KERVERN et J.L NICOLLET) (1) et (2)

3.1. INTRODUCTION :

Ces modèles sont des modèles axiomatiques construits sur l’hyperespace du danger et les interactions de réseaux. Une des notions centrales est que dans le temps les réseaux deviennent inadaptés à l’espace du danger qui évolue d’où l’apparition de déficits cindynogènes.

Ils font référence à la systémique et font l’objet de diverses applications.

3.2. REMARQUES :

1 - Les notions d’ambiguïté et de ‘’flou’’ qui enveloppent les espaces (1) peuvent peut-être être précisées en explorant la notion systémique d’adaptation d’un système à son environnement ( fin du parag. 1-3-4). Tout système incluant des systèmes naturels (l’homme notamment) doit s’adapter à son environnement changeant. Pour cela il innove et cherche à acquérir une autonomie en stabilisant sa structure (solidité et solidarité des éléments qui la constituent). S’il innove il génère de l’inconnu, donc des dysfonctionnements et par conséquent des risques. La question se pose de savoir si un système, pour se maintenir doit générer des risques. Autrement dit non seulement le risque zéro n’existe pas mais il ne doit pas exister car sinon c’est condamner le système à disparaître.
2 - La recherche des déficits cindynogènes semble donc consister à identifier, dans les enchaînement des événements qui apparaissent dans l’évolution des réseaux et de leurs relations entre eux et avec leurs espaces de danger, les éléments ou les chaînons manquants qui peuvent conduire à des risques inutiles pour la survie du système.
3 - Le modèle MADS semble à première vue très éloigné des modèles cindyniques mais en fait ne peut-on pas dire que ces derniers modélisent avant tout les champs alors que le premier cherche lui à modéliser les acteurs des réseaux auxquels il faut ajouter les systèmes sources de danger indépendants et leurs relations cindynogènes ?

4. PROPOSITION DE COMPLEMENTARITE DES MODELES :

4.1. L’HYPERESPACE DU DANGER VU COMME UNE MODELISATION FINE DES CHAMPS DU MODELE MADS ?

Il semble particulièrement intéressant de mettre en œuvre l’hyperespace de danger pour modéliser les champs de danger du modèle MADS. Ceci aussi bien pour un système source de danger seul que pour un ensemble de systèmes sources et de systèmes cibles constituant un ou plusieurs réseaux.

4.1.1. Exemple simple d’application à la modélisation de l’accident de FEYZIN :

L’accident, modélisé dans le paragraphe 2 – 3 – 1 avec le modèle MADS s’enrichit beaucoup par la recherche des déficits cyndinogènes. En voici quelques uns : (1)

DSC4 – lE – absence d’une banque de connaissances
DSC4 – lS – absence d’une banque de données
DSC6 – LA – oubli d’une ou plusieurs valeurs
DSC7 – LD – oubli d’une ou plusieurs règles
DSC8 – LE – oubli d’un ou plusieurs modèles
DSC9 – LS – oubli d’une ou plusieurs données opérationnelles

Le modèle MADS se transforme alors de manière importante par l’affinage de ses champs de danger.

On peut donc passer au crible de l’hyperespace du danger chaque élément du modèle et rechercher les réponses :

système source : quels modèles, quelles banques de faits, quelle finalité, quelles règles ?
système cible : quels modèles, quelles banques de faits, quelle finalité, quelles valeurs ?
flux : quels modèles, quelles banques de faits.....etc ?

et ceci dans le type de relation étudié système source – système cible puisque les réponses ne sont pas les mêmes suivant les types de relation (ce qui montre la richesse de l’analyse ainsi possible.

4.1.2. Généralisation :

Le travail de modélisation d’accident entrepris par J.L NICOLLET (2) avec le modèle cindynique peut être appliqué à une généralisation du modèle MADS CINDYNIQUE.

Reprenons la modélisation de l’accident de Ténérife .

L’identification des déficits cindynogènes de chaque hyperespace du danger lié à chaque système ( avion, pilote, technologie, environnement spécifique) et à leurs interactions, permet de construire l’hyperespace de danger des conditions de l’accident et d’en retrouver tous les paramètres.

Ceci peut aussi, bien entendu être appliqué à la prévention.

Remarque :

Dans la communication de M.VEROT, les trois dimensions du retour d’expérience correspondent bien aux trois sous-systèmes d’un système de production industriel :

technique (sous-système opérant)
organisationnelle (sous-système d’information)
managériale ( sous-système de pilotage).

4. ORIENTATIONS :

Indépendamment du traitement complet des exemples amorcés précédemment, il reste à développer les pistes entrouvertes si cela s’avère intéressant.

5. STRUCTURATION D’UN ENSEIGNEMENT :

Le schéma suivant donne une esquisse d’un enseignement de la Science du Danger à partir des concepts développés dans cette école d’été. Les contenus principaux sont en italique. Pour des raisons pédagogiques on part d’analyses d’événements survenus et l’on développe les connaissances par une sorte de parcours à l’envers.

Un tel enseignement est déjà en partie en place dans des DESS , des Ecole

d’ingénieurs et des formations continues.

6. BIBLIOGRAPHIE SOMMAIRE:

pour aller plus loin, se référer à la bibliographie insérée dans la mallette

1 - Eléments fondamentaux des Cindyniques . G.Y KERVERN . EDITIONS Economica
2 - Introduction aux Cindyniques. Ouvrage collectif. Editions ESKA
3 - De la Science du Danger à l’analyse de risques. Support de cours dispensé dans plusieurs structures ( Ecoles d’ingénieurs, DESS......) . P.PERILHON.

Lundi 6 septembre
les éléments d’une science du danger par l’approche systémique