guide pour la redaction des documents de l’etude de … · 1.2 but du présent document c’est...
Post on 16-Nov-2020
0 Views
Preview:
TRANSCRIPT
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 1 sur 30
OACA
GUIDE POUR LA REDACTION DES DOCUMENTS DE L’ETUDE DE SECURITE
Guide DES
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 2 sur 30
OACA
Relevé des modifications
ÉDITION DATE MOTIF DES CHANGEMENTS SECTIONS / PAGES
MODIFIÉES
V 0.1 15 mai 2013 Création – Avant-projet Toutes
V 1.0 16 septembre 2013 Intégration des remarques des unités. Toutes
Approbation du document
La présente version du document a été approuvée comme suit :
Nom et Fonction Signature et Date
Rédaction
Mohamed Amin WALHA
Le Chef de la Division de Suivi de la
Sécurité de la Navigation Aérienne
Vérification
Mohamed REJEB
Le Directeur de la Sécurité de la
Navigation Aérienne
Mohamed Nejib SMIRANI
Le Directeur Central du Trafic Aérien
Approbation Salah GHARSALLAH
Le Président Directeur Général
Responsable du document
Le Directeur de la Sécurité de la Navigation Aérienne
Date d’application du document
16 septembre 2013
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 3 sur 30
OACA
Diffusion
Support Destinataire
Support papier
DCTA
DNA
DCCR
DENA
DSE
DAII
AITC
AIEH
AIMHB
AIDZ
AIST
AITN
AITA
AIGK
AIGM
ABEA
Support électronique (Site Web des commissions
Sécurité) Tous
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 4 sur 30
OACA
Table des matières
Glossaire…………………………………………………………………………..…5
1. Introduction ................................................................................................. 8
1.1 But d’un document de l’étude de sécurité et remarques préliminaires .. 8
1.2 But du présent document ....................................................................... 8
2. Bibliographie ............................................................................................... 9
3. Processus d’élaboration du document de l’étude de sécurité ..................... 9
4. Utilisation du plan type « document de l’étude de sécurité » .................... 13
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 5 sur 30
OACA
Glossaire
Action supplémentaire en réduction de risques: Mesure d’atténuation des risques qui vient en
complément de celles déjà prises en compte.
ADD: Analyse par Arbre De Défaillances.
AdF: Arbre de Fautes.
AMDEC: Analyse des Modes de Défaillances de leurs Effets et de leur Criticité.
APR: Analyse Préliminaire des Risques.
Atténuation du risque. Ensemble des mesures prises pour maitriser ou prévenir un danger et ramener
le risque à un niveau tolérable ou acceptable.
Barrière de sécurité éprouvée: Moyen permettant d’atténuer un risque, dont l’efficacité est reconnue
par des expériences passées.
Danger. Situation, évènement ou circonstance susceptible d’engendrer un accident.
Défaillance: Cessation de l’aptitude d’un système à accomplir une fonction requise.
Degré de gravité: Graduation de G1(maximum) à G5(minimum), de l’ampleur des incidences des
dangers sur l’exploitation des vols.
DES: Document de l’Etude de Sécurité.
Disponibilité: Temps pendant lequel un système fonctionne correctement, exprimé sous forme de
pourcentage du temps total.
Dommage: Blessure physique ou atteinte à la santé des personnes ou atteinte aux biens ou à
l’environnement.
Etude de sécurité: APR ou DES
Evaluation: Appréciation fondée sur des avis et/ou des méthodes d’analyse à caractère technique et
opérationnel.
Evènement: Accidents, incidents graves et incidents ainsi que tout autre défaut ou disfonctionnement
d’un aéronef, de son équipement ou de tout élément du système de navigation aérienne utilisé ou conçu
pour être utilisé aux fins ou dans le cadre de l’exploitation d’un aéronef ou de la fourniture d’un service
de gestion de la circulation aérienne ou d’une aide de la navigation à un aéronef.
Evénement redouté: Danger affectant la fourniture des services ATS, exprimé au plus près des
opérateurs de première ligne. C’est un évènement indésirable au regard des services attendus. Un
évènement redouté peut être de nature technique, procédurale ou humaine. Les évènements redoutés
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 6 sur 30
OACA
de nature technique (resp. procédurale, humaine) sont générées par un système technique (resp.
procédural, humain) et peuvent avoir des causes techniques, procédurales ou humaines.
Exigence de sécurité: Moyens pour diminuer un risque tels que définis par la stratégie de diminution
des risques permettant d’atteindre un objectif de sécurité particulier, y compris les exigences
organisationnelles, opérationnelles, procédurales, fonctionnelles, de performance, les exigences
d’interopérabilité ou les caractéristiques environnementales.
Fiabilité: Probabilité qu’un appareil ou dispositif fonctionne sans défaillance à concurrence d’un laps
de temps ou d’un usage spécifié.
FHA: Functional Hazard Assessment (Evaluation des risques)
Gravité: Expression de l’incidence /de la conséquence des dangers sur la sécurité des vols (combine le
niveau de perte de séparation avec le degré d’aptitude à redresser la situation).
Gravité corrigée: Niveau de gravité associé à l’évènement redouté en tenant compte des moyens en
réduction de risques (éprouvés ou pas).Si certains moyens en réduction de risques sont à effet différé, le
niveau de gravité corrigé tient compte des éventuels dangers liés à cette phase de transition.
Gravité initiale: Niveau de gravité associé à l’évènement redouté sans tenir compte des moyens en
réduction de risques.
Incident: Evènement, autre qu’un accident, lié à l’utilisation d’un aéronef, qui compromet ou pourrait
compromettre la sécurité de l’exploitation.
Intervention programmée sur un système ATS: Action planifiée visant à modifier:
• Le programme du système.
• La configuration matérielle et logicielle du système.
• Les données nécessaires au fonctionnement du système.
Intervention programmée: Intervention sur un équipement, ou susceptible d’impacter un équipement
concernant un service support, en service dans un organisme opérationnel, à l’exception des
interventions en réaction immédiate à des défaillances.
Mode de défaillance: Effet par lequel une défaillance est observée.
Changements du système ATS: Les changements sont étudiés en prenant en compte
l’environnement opérationnel. Ils peuvent concerner tout ou partie des trois domaines.
• Les équipements (matériel et logiciel) et les procédures associées (configuration, maintenance,
etc.)
• Installation d’un nouvel équipement/modification ou retrait d’un système existant.
• Intervention programmée.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 7 sur 30
OACA
• Les procédures concernant les dispositifs de la circulation aérienne qui impactent l’espace aérien
(modification de la sectorisation, nouvelles trajectoires avec procédures associées, etc.).
• Les facteurs humains: toute interaction de l’humain avec les systèmes ATS (méthodes de
travail, gestion IHM, application des consignes, etc.).
Moyens en réduction de risques: Mesure d’atténuation qui peut jouer sur l’occurrence d’un
évènement redouté (prévention) ou sur ses conséquences (protection). Il peut être de nature technique,
procédurale ou humaine. Un moyen de réduction de risques doit s’évaluer relativement au risque qu’il
doit atténuer. Sa qualité doit être appréciée en fonction de son effectivité et de son efficacité.
Moyen en réduction de risques de prévention: Les MRRs de prévention s’opposent à
l’enchainement d’évènements susceptibles d’aboutir à l’occurrence d’un ER. Ils contribuent donc à
diminuer la fréquence d’occurrence potentielle de l’ER.
Moyen en réduction de risques de protection: Les MRRs de protection diminuent les conséquences
potentielles de l’ER par atténuation de la gravité. Certains moyens en réduction de risque sont à effet
immédiat, d’autres à effet différé.
Moyen en réduction de risques éprouvé: Moyen en réduction de risques dont l’efficacité est
reconnue par des expériences passées.
Objectif de sécurité: Une déclaration qualitative ou quantitative définissant la fréquence ou la
probabilité maximales auxquelles un risque pourrait se produire.
OED: Operational Environment Description (Description de l’environnement opérationnel)
PS: Plan de sécurité.
PSSA: Preliminary System Safety Assessment (Evaluation préliminaire de la sécurité du système)
Risque: Combinaison de la probabilité ou de la fréquence d’occurrence d’un danger déterminé et de
l’ampleur des effets de son apparition.
SADT: Structured Analysis Design Technique (Technique d’analyse structurée)
SAM: Safety Assessement Methodology. (Méthodologie d’analyse de sécurité).
SdF: Sûreté de fonctionnement.
Sécurité: Protection contre un risque de dommage inacceptable.
SML: Safety Manager Local.
SSA : System Safety Assessment. (Evaluation de la sécurité du système)
Système: Combinaison d’éléments physiques, de procédures et de moyens humains, organisés dans le
but de remplir une fonction.
Système ATS: Système exploité pour la fourniture des services de la circulation aérienne.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 8 sur 30
OACA
1. Introduction
1.1 But d’un document de l’étude de sécurité et remarques préliminaires
Le but d’un document de l’étude de sécurité est de :
- fournir à l’OACA les preuves que tout « changement » que l’on souhaite porter à un « sous-
ensemble du système ATS » offre toutes les garanties de sécurité voulues, permettant ainsi à ses
utilisateurs d’avoir une confiance justifiée dans l’utilisation du système;
- permettre de s’assurer que toutes les analyses de sécurité ont été faites correctement avant
l’utilisation opérationnelle du changement.
Le document de l’étude de sécurité satisfait ainsi les exigences de la décision de monsieur le ministre du
transport n°82 du 16 janvier 2013 relative à la réalisation des études de sécurité dans le domaine ATS
pour l’évaluation et l’atténuation des risques de tout changement du système ATS.
Ces changements concernent un sous-ensemble du système ATS, et on désignera ce sous-ensemble,
dans le présent document, par le terme « Système ». C’est un ensemble borné constitué de
«composantes » reliées entre elles de type équipement, procédures et moyens humains
Figure n°01 : Système ATS
1.2 But du présent document
C’est un guide conseil pour la rédaction des documents de l’étude de sécurité respectant le plan-type de
la décision de monsieur le ministre du transport n°82 du 16 janvier 2013.
Le chapitre 3, qui donne une vue d’ensemble, décrit la démarche globale de l’élaboration du document
de l’étude de sécurité.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 9 sur 30
OACA
Le chapitre 4 s’adresse aux acteurs du document de l’étude de sécurité, ayant de bonnes notions en
Sûreté de Fonctionnement (SdF) et une certaine connaissance du vocabulaire utilisé, de la démarche,
des méthodes et des techniques de SdF et d’études sécurité.
A ce titre :
Il fait le lien entre les différents paragraphes du plan type et une démarche sécurité ;
Il donne des compléments d’information sur le contenu attendu des différents paragraphes du
plan-type.
Les exemples d’outils et méthodes utilisés ne sont là que pour aider à la compréhension de ce qui est
attendu. Ils sont essentiellement dérivés des techniques et démarche « SDF » classiques applicables aux
équipements mais certainement à adapter pour les systèmes à forte composante humaine et
procédurale.
De façon générale, chaque document de l’étude est particulier, et il appartiendra aux personnes
chargées de l’élaboration des document de l’études de sécurité de choisir les méthodes et outils les plus
appropriés en support aux analyses et évaluations demandées dans un document de l’étude de sécurité.
2. Bibliographie
Décision de Monsieur le Ministre du Transport n°464 en date du 14 juillet 2012 relative à la mise en
œuvre du SMS dans le domaine ATS ;
Décision de Monsieur le Ministre du Transport n°82 du 16 janvier 2013 relative à la réalisation des
études de sécurité dans le domaine ATS ;
Procédure de réalisation des études de sécurité dans le domaine de la fourniture des services de la
circulation aérienne (PRO 003/OACA/SMS) ;
Annexe 19 à la Convention de Chicago (Gestion de la Sécurité) ;
Manuel de management de la sécurité de l’OACI (DOC9859).
3. Processus d’élaboration du document de l’étude de sécurité
La décision de réaliser un document de l’étude de sécurité doit être prise dans les phases amont de la
définition d’un changement. Elle s’inscrit dans le projet support de la réalisation du changement, et le
phasage des activités sécurité est construit avec le phasage des autres activités du projet. Elle
s’accompagne de la nomination d’un «Coordonnateur sécurité» et s’appuie, le cas échéant, sur les
résultats d’une APR.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 10 sur 30
OACA
Ainsi, la réalisation du document de l’étude de sécurité relatif à un changement du système ATS devrait
être planifiée, notamment en termes de moyens humains et/ou financiers et de délais, dès les phases
initiales de développement d’un changement. Par ailleurs, l’élaboration du document de l’étude de sécurité lui-même doit s’inscrire dans une
démarche sécurité telle que présentée dans la figure n°02. Il y a lieu de bien distinguer la structure du
document de l’étude de sécurité de la démarche d’étude qui permettra de « remplir » les différents
chapitres.
La structure du document de l’étude de sécurité vise à avoir en finale une présentation claire des
différentes étapes. Cependant, les chapitres ne seront pas forcément remplis dans l’ordre ni avec le
degré de détail attendu en fin de réalisation (par exemple le § 1.5 Mise en service opérationnelle). La
démarche itérative, inhérente à toute étude de sécurité, peut conduire à compléter, voire à modifier en
cours d’étude certains paragraphes initialement remplis.
Les correspondances avec les phases de la SAM (Safety Assessement Methodology) d’Eurocontrol sont
indiquées ci-après :
Figure n°02 : Démarche sécurité
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 11 sur 30
OACA
Les résultats des étapes de la démarche sécurité vont se retrouver dans le document de l’étude de
sécurité:
Chapitre 1
Définition du contour du système et de l’environnement opérationnel : Le «système» à évaluer
du point de vue de la sécurité doit être limité aux seules parties du système ATS qu’il est nécessaire
d’étudier, compte tenu du changement envisagé (composantes techniques, humaines, procédurales –
sol et bord). Il est nécessaire de bien identifier les systèmes externes et les relations avec ces
systèmes.
Chapitre 2 : 2.1 ; 2.2
Evaluation des risques (Phase Functional Hazard Assessment (FHA) de la SAM) :
o Analyse technique et fonctionnelle : Il s’agit de décrire techniquement et fonctionnellement
le changement.
o Identification des événements redoutés : Elle s’appuie sur la description technique et
fonctionnelle du système pour identifier et analyser les modes de défaillance et leurs effets (par
exemple au travers d’AMDEC technique ou fonctionnelle), et permettre ainsi l’identification
des événements redoutés.
o Définition des objectifs de sécurité: Une fois les événements redoutés identifiés, il faut
caractériser la gravité de leurs conséquences en fonction des effets opérationnels sur la sécurité
et se fixer des objectifs en particulier en terme de fréquence d’occurrence acceptable de ces
événements (cf les grilles d’acceptabilité des risques, Annexes 4 et 5 de la Décision
Ministérielle).
Chapitre 2 : 2.3
Evaluation préliminaire de la sécurité du système (PSSA : Preliminary System Safety
Assessment)
o Déclinaison des objectifs de sécurité en exigences en fonction de l’architecture du système (i.e
allocation des fonctions à des éléments structurels: composants techniques, humains,
procéduraux), des exigences de sécurité sont dérivées sur les différents éléments du système à
partir des objectifs de sécurités globaux.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 12 sur 30
OACA
Chapitres 3, 4,5
Evaluation de la sécurité du système (SSA : System Safety Assessment)
o Evaluation qualitative et quantitative de la sécurité: Il s’agit de démontrer que le système
présente un niveau de sécurité compatible avec les objectifs de sécurité identifiés
précédemment. L’évaluation peut regrouper différentes études de sécurité à différents niveau
du système ;
o Analyse des phases de transition : On désigne par «phases de transition» toutes les périodes
de non utilisation opérationnelle du système, les périodes de passage de l’état opérationnel à
non opérationnel et inversement, dès lors que le système est tout ou partie présent sur son site
opérationnel. Lors de ces phases de transition, des précautions particulières doivent être prises
pour ne pas dégrader le niveau de sécurité de l’ATS (précautions lors de l’arrêt du système,
lors de l’intervention sur le système non opérationnel, préalablement à sa remise en service,
etc.…).
o Détermination des moyens d’assurance sécurité : Il faut définir ou lister les moyens mis
en œuvre pour assurer la pérennité des niveaux de sécurité obtenus.
Chapitre 6
Synthèse : Présentation synthétique des résultats et recommandations issues du document de
l’étude de sécurité.
Notons que le processus d’élaboration du document de l’étude de sécurité, comme celui de la démarche
sécurité peut reboucler sur des phases antérieures. En particulier, la prise en compte de moyens
d’atténuation du risque aux différents niveaux du système peut conduire à réitérer la démarche jusqu’au
respect des objectifs :
Itérations sur l’identification des dangers (cf. chemins (1) de la figure 1) : Lorsqu’on avance
dans la connaissance du système (raffinage de la décomposition fonctionnelle, passage de la
spécification à la conception, etc.) ou que le système est enrichi de moyens d’atténuation du risque ;
Itérations sur tout le processus (cf. chemin (2)) : Jusqu’obtenir l’assurance de l’identification la
plus exhaustive possible des dangers et du respect par le système des objectifs fixés.
Par ailleurs, le document de l’étude de sécurité va vivre tout au long du cycle de vie de l’évolution: il est
important de bien en suivre l’historique. Ce document de l’étude de sécurité devrait donc être référencé
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 13 sur 30
OACA
dans le système de gestion documentaire de l’organisme concerné afin d’être à même d’identifier en
permanence la ou les versions approuvées.
4. Utilisation du plan type « document de l’étude de sécurité »
§1 Présentation de l’étude de sécurité
§1.1 Objet du changement
Texte du plan type
Ce paragraphe décrit le changement envisagée, avec un niveau de détail permettant d’évaluer la pertinence des analyses
conduites afin :
d’attribuer les exigences aux différentes composantes du système fonctionnel (Cf. §2) ;
d’évaluer le niveau de sécurité (Cf. §3).
Objectif du §
Permettre au lecteur de se faire une idée générale des fonctions (au sens des services rendus), objets de
l’étude, et des conditions dans lesquelles elles seront utilisées (type de trafic, conditions météo …).
Par exemple, pour un système tel que le SMGCS (Surface Mouvement Guidance and Control System),
on pourra expliquer que le système est une aide au contrôleur pour la visualisation de la circulation des
avions au sol, qu’il n’est utilisé qu’en conditions LVP (par exemple), qu’il est destiné à être mis en
service pour tout aérodrome souffrant d’une visibilité réduite dominante, que tous les mobiles de la
plate-forme sont capables de transmettre leur identification (ou seulement les avions), qu’il a une
fonction d’alerte (ou pas) à proximité des pistes, …
Commentaires
Ainsi, on trouvera notamment dans ce chapitre du document de l’étude de sécurité :
Une description générale du changement ;
Les fonctions opérationnelles réalisées (ou services rendus), en termes généraux ;
Les composantes impliquées (procédures, équipements, etc.…).
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 14 sur 30
OACA
On peut y synthétiser éventuellement :
Les performances sécurités visées ;
Les dispositions prises pour rendre la mise en œuvre sûre si certaines ont déjà été envisagées.
§1.2 Documents de référence
Texte du plan type
Ce paragraphe comprend :
- la liste des documents applicables ;
- la liste des documents jugés utiles à la compréhension du document de l’étude de sécurité.
Objectif du §
Présenter une bibliographie du document de l’étude de sécurité.
Commentaires
On présente ici les documents applicables (ayant un caractère réglementaire ou non), c'est-à-dire ceux
auxquels doit se conformer le document de l’étude de sécurité (référentiel réglementaire, manuels
qualité/sécurité, etc.), ainsi que tous les documents qui peuvent permettre une bonne compréhension
du document de l’étude de sécurité, qu’ils soient relatifs au changement ou relatifs aux activités
d’analyse, évaluation et atténuation des risques de l’évolution (expression de besoin, cahier des charges,
les différentes contributions au document de l’étude de sécurité dont les résultats sont présentés dans le
document de l’étude de sécurité, etc.).
§1.3 Périmètre de l’étude (FHA2/OED3)
Texte du plan type
Ce paragraphe décrit :
- la définition du périmètre du système fonctionnel sur lequel porte l’étude ;
- les interfaces du système fonctionnel ;
- l’utilisation opérationnelle prévue.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 15 sur 30
OACA
Objectif du §
Le but de cette section est de limiter le champ du document de l’étude de sécurité aux seules parties du
système ATS concernées par le changement, dont on juge pertinente l’analyse d’un point de vue
sécurité. Ainsi, il peut ne pas y avoir une totale correspondance entre le contour du changement
et le périmètre de l’étude de sécurité.
Inversement, il peut être décidé d’étendre la couverture de l’étude de sécurité au-delà du périmètre strict
du changement, en particulier lorsque des sous-systèmes en interface n’ont jamais faits l’objet d’analyses
de sécurité. Comme on l’a vu plus haut, le sous-ensemble du système ATS concerné par le changement
constitue lui-même un système dont on va déterminer le contour, les interfaces avec l’extérieur, et
l’utilisation opérationnelle prévue.
Commentaires :
Les contours du système étudié
Il faut identifier ce qui est dans le système objet du document de l’étude de sécurité, ce qui est en
dehors. Les éléments externes seront pris comme tels, c'est-à-dire qu’on ne fixera pas d’exigences
particulières issues de l’étude. Toutefois, on analysera les modes de défaillance sur les échanges avec les
éléments externes, afin d’en déduire l’impact sur le système étudié, les événements redoutés et les
éventuels moyens en réduction de risques à mettre en place. Les éléments externes ne seront donc pas
évalués du point de vue de la sécurité dans le cadre du document de l’étude de sécurité mais les
interfaces le seront.
Les interfaces
Les interfaces avec les systèmes externes doivent être identifiées et décrites car elles rentreront dans
l’analyse de la sécurité du système. Ce sont par exemple : des échanges de données entre un équipement
du système objet du document de l’étude de sécurité et des systèmes hors champ du document de
l’étude de sécurité, des modes de coordination entre organismes de contrôle type lettre d’accord, etc.
Les échanges et le support de ces échanges peuvent faire l’objet de modes de défaillance, à évaluer.
A ce niveau le plus haut de la décomposition fonctionnelle, le système est considéré comme une « boite
noire ». Les systèmes de son environnement et les échanges avec cet environnement sont identifiés
pour bien visualiser le périmètre. Les informations attendues correspondent au niveau « diagramme de
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 16 sur 30
OACA
contexte » ou « niveau 0 » de méthodes d’analyse structurée de type SADT (Structured Analysis Design
Technique) :
Figure 3 : Les contours d’un système et ses interfaces
L’utilisation opérationnelle
Il faudra définir ou décrire l’utilisation opérationnelle prévue, car celle-ci peut influencer l’évaluation du
risque : par exemple des défaillances relatives à l’utilisation d’une image radar à des fins d’information
n’auront vraisemblablement pas la même criticité que si cette image était utilisée à des fins de guidage
radar (d’un point de vue facteur humain, il conviendra toutefois de s’assurer de l’efficacité des moyens
mis en œuvre pour éviter les dérives du mode d’utilisation opérationnelle initialement prévu, c'est-à-dire
dans le cas présent, l’utilisation pour du guidage radar d’un système « qualifié » pour ne permettre que
de l’information).
§1.4 Organisation
Texte du plan-type
Ce paragraphe décrit :
- le rôle et les responsabilités de chaque acteur dans la réalisation du document de l’étude de sécurité ;
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 17 sur 30
OACA
- le planning relatif à l’établissement du document de l’étude de sécurité en le situant par rapport au planning
global du projet.
Objectif du §
En terme d’organisation du travail, cette section doit permettre de savoir «qui fait quoi» dans
l’élaboration du document de l’étude de sécurité, mais aussi de connaître le processus: «comment »,
«quand» ; afin de pouvoir estimer si l’organisation choisie offre les garanties souhaitables vis-à-vis du
résultat attendu (le document de l’étude de sécurité).
Commentaires:
Cette section reprend éventuellement tout ou partie de ce qui a déjà été présenté dans le plan de
sécurité. Le niveau de description va dépendre :
de la complexité de l’organisation mise en place pour élaborer le changement,
de la segmentation de l’étude de sécurité en fonction des différentes contributions nécessaires,
impliquant différents acteurs ou entités de l’OACA voire de l’extérieur (sous-traitants par ex).
L’organisation mise en place devra permettre d’assurer la gestion et le suivi global des analyses de
sécurité effectuées au niveau de chaque acteur.
Rôle et responsabilités
On identifiera notamment :
Les entités (Services, Divisions, Directions, Equipes, Individus, …) concernées et leur
contribution au document de l’étude de sécurité. On trouvera ici le (s) responsable (s) sécurité,
dont le coordonnateur du document de l’étude de sécurité et le(s) chef(s) de projet, mais
également toutes les personnes (ou équipes) dont la contribution est prévue ;
Les processus de validation des différentes contributions (gestion des sous-traitants, processus de
validation interne des analyses..). On pourra se référer ici aux processus qualité des organismes
considérés ;
Les modes éventuels de communication, circulation d’information, traçabilité et capitalisation des
résultats (réunions, gestion du référentiel documentaire lié à l’étude de sécurité, gestion des
recommandations issues des analyses de sécurité etc.).
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 18 sur 30
OACA
Le planning
Le phasage des activités sécurité doit être présenté en lien d’une part avec les autres activités
d’ingénierie associées au développement du système (définition, spécification, conception, réalisation,
tests etc.), et en lien d’autre part avec les rôles et responsabilités (i.e. identification des responsables des
différentes phases).
Par «activités d’ingénierie » ou de « développement », on entend des activités pouvant s’appliquer aussi
bien au domaine humain et procédural (mise au point et test de nouvelles méthodes de travail par
exemple) qu’au domaine technique.
§1.5 Mise en œuvre opérationnelle (SSA)
Texte du plan-type
Ce paragraphe présente et justifie les dispositions prévues pour la mise en œuvre opérationnelle du changement.
Objectif du §
La mise en service est une phase très particulière de la vie du système, et présente en tant que telle des
risques spécifiques. Il s’agit d’expliciter la «stratégie opérationnelle» de mise en service (par exemple
mise en service progressive sur la salle de contrôle, mise en service programmée de nuit par faible
densité de trafic, etc.), ainsi que la préparation de cette mise en service (élaboration de consignes,
formation …).
Commentaires
On présentera ainsi l’ensemble des dispositions du type :
Réalisation d’analyse des risques liés à la mise en service (ce sont principalement des analyses
qualitatives, on ne s’appuie pas forcément sur les techniques traditionnelles SdF),
Elaboration de consignes spécifiques pour la mise en œuvre opérationnelle,
Elaboration de procédures de repli à mettre en œuvre dans le cas où la mise en service ne se
déroule pas nominalement (régulations par exemple),
Mise à niveau des compétences des personnels : formation, procédures opérationnelles etc.
Ce § pourra n’être dans son état définitif que relativement tard dans le déroulement du projet, certaines
décisions pouvant n’être prises que quelques semaines avant la mise en service. Dans les versions
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 19 sur 30
OACA
préliminaires du document de l’étude de sécurité, on trouvera ici les idées générales sur les précautions
qui sont envisagées pour la mise en service.
§2 Exigences de sécurité (FHA - PSSA)
§2.1 Exigences et standards nationaux ou internationaux
Texte du plan type
Ce paragraphe rappelle les exigences et/ou standards nationaux et/ou internationaux applicables au système fonctionnel
objet du document de l’étude de sécurité. Ces exigences peuvent avoir un caractère réglementaire ou être exprimées sous la
forme de contraintes dans l’expression du besoin.
Commentaires
On recensera ici les exigences de sécurité pertinentes (quand elles existent) pour le système objet de
l’étude.
§2.2 Objectifs de sécurité (FHA)
Texte du plan-type
Ce paragraphe explique comment sont déterminés les objectifs de sécurité associés au changement considéré.
Plus particulièrement, la détermination des objectifs de sécurité associés au sous-système considéré se fait en trois phases :
1. l’identification des dangers et des modes de défaillance plausibles associés au système fonctionnel ATS, ainsi que
leurs incidences combinées;
2. l’évaluation des incidences potentielles sur la sécurité des aéronefs, ainsi qu’une évaluation de la gravité de ces
incidences, en utilisant le mécanisme de classification de la gravité donné au chapitre 4 de la présente annexe ;
3. la détermination des objectifs de sécurité proprement dit, exprimés comme la probabilité maximale d’occurrence
d’un danger, et déterminés à partir de la gravité et de la probabilité maximale d’occurrence de ses incidences.
Objectif du §
A partir de l’analyse du système objet de l’étude, identifier les dangers (événements redoutés) qu’il peut
engendrer et, pour chacun d’eux, spécifier la fréquence d’occurrence acceptable relativement à la gravité
estimée.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 20 sur 30
OACA
On pourra également recenser ici des objectifs de haut niveau sur le temps de séjour acceptable dans
un état dégradé (qui pourra par exemple se traduire par une exigence sur le temps de relance d’une
application logicielle), ou le séquencement de restauration de certaines fonctionnalités du système
(priorité de la restauration de l’image radar sur les informations plan de vol par exemple).
Ces objectifs, exprimés sur le système objet du document de l’étude de sécurité, seront ensuite déclinés
au §2.3 en exigences sur les différents éléments de ce système.
Commentaires
« 1. L’identification des dangers et des modes de défaillance plausibles associés au système
ATS, ainsi que leurs incidences combinées»
On doit retrouver ici les résultats des différentes étapes conduisant à l’identification des événements
redoutés pour le changement (cf. figure 2) :
L’analyse technique et fonctionnelle du système : le niveau de description du système et de ses
interactions avec l’environnement est déterminant pour l’identification des défaillances potentielles.
Typiquement, pour un équipement, on trouvera à ce stade :
o dès la phase de spécification : une analyse fonctionnelle par décomposition fonctionnelle
du système (cf. figure 3), identifiant les fonctions, échanges entre les fonctions, échanges avec
l’extérieur ;
o ultérieurement en phase de conception, ou dès le départ lorsque l’architecture est déjà
disponible (typiquement dans le cas de systèmes existants) : l’analyse du système sera
complétée par la description des composants sur lesquels sont alloués les fonctions et les
supports d’échange (réseaux, liaisons de données..).
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 21 sur 30
OACA
Figure n°04 : Décomposition fonctionnelle d’un système (Méthode SADT)
Pour les équipements, on dispose de formalismes d’analyse fonctionnelle (type SADT) qui sert ensuite
directement à l’identification des événements redoutés (voir plus loin).
Pour les composantes humaines et procédurales, il faudra par contre, en fonction du cas traité, trouver
le formalisme adapté qui puisse permettre de faire ressortir à la fois les dangers et les « modes de
défaillance » potentiels.
L’identification des événements redoutés : A partir de l’analyse technique et fonctionnelle
précédemment effectuée, on analysera les différents modes de défaillances pour recenser leurs
effets jusqu’à l’utilisateur, où ils se traduisent par des événements redoutés. Ceci doit être fait pour
chaque phase ou état de fonctionnement du système. Pour les équipements, on s’appuiera sur des
méthodes de type AMDEC, dont un exemple est donné dans la figure n°05. Ce type de méthode
se prête au travail de collaboration entre experts techniques et opérationnels (par exemple sous
forme de groupes de travail). Les premières colonnes pourront être remplies par « l’analyste » alors
que les conséquences opérationnelles et le niveau de gravité devront être plutôt remplis par un
groupe d’utilisateurs (typiquement des contrôleurs de la salle/tour ou de service Etudes), au besoin
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 22 sur 30
OACA
guidé dans la démarche par « l’analyste ». La mise en œuvre d’AMDEC relative à des équipements
peut amener à traiter la composante humaine pour les aspects en interaction avec l’opérateur. On
peut ainsi trouver l’opérateur en tant que cause de défaillances de composantes techniques et en
tant que moyen en réduction de risques vis à vis de défaillances techniques.
La formulation des modes de défaillance doit permettre de faire le lien avec les travaux préalables
d’analyse technique et fonctionnelle du système, particulièrement pour un équipement (cf. figure
n°05 pour un exemple AMDEC):
o l’identification des modes de défaillance des fonctions techniques (et des échanges entre
fonctions et des échanges avec l’environnement) se fait à partir d’une décomposition
fonctionnelle,
o l’identification des modes de défaillance des composants techniques sur lesquels ont été
alloués les fonctions, ainsi que l’identification des modes de défaillances des supports
d’échange entre composants, des supports d’échange avec l’environnement, se font à partir
d’une décomposition structurelle du système (architecture, conception système) lorsque
celle-ci est disponible,
o Etc.
Figure n°05 : Modèle de tableau AMDEC
On voit donc que les modes de défaillances et donc les événements redoutés qui en découlent,
s’enrichissent au fur et à mesure de la connaissance du système.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 23 sur 30
OACA
« 2. L’évaluation des incidences potentielles sur la sécurité des aéronefs, ainsi qu’une évaluation de
la gravité de ces incidences, en utilisant le mécanisme de classification de la gravité donné au
chapitre 4 de la présente annexe»
Evaluation des « incidences potentielles »
Les événements redoutés doivent être caractérisés précisément afin de pouvoir en évaluer les
conséquences potentielles du point de vue de la sécurité :
Conséquences opérationnelles ;
Moyens de détection ;
Moyens en réduction des risques ;
Durée d’exposition au danger ;
Etc.
Plus les événements redoutés seront caractérisés précisément, plus il sera facile au groupe d’utilisateurs
chargé d’évaluer la gravité de s’accorder sur le niveau de gravité. Par exemple, au lieu de « perte de
l’image radar normale », on préfèrera « perte de l’image radar normale dans toute la salle de
contrôle, pendant plus de x minutes »
Evaluation de « la gravité de ces incidences »
Le niveau de gravité, choisi en utilisant le mécanisme de classification préconisé dans la Décision
Ministérielle, doit être déterminé par « l’incidence plausible la plus néfaste raisonnablement
envisageable dans l’environnement opérationnel. ».
Le niveau de gravité tient compte des moyens en atténuation de risques (redondances, méthodes de
travail, moyens de détection…) éprouvés lorsqu’ils existent, et/ou résulte de la spécification de
nouveaux moyens compensatoires (techniques, procéduraux, humains, dont il faudra justifier
l’efficacité, qui donneront lieu éventuellement à des exigences en §2.3). Par exemple, vis-à-vis d’un
événement redouté tel que « perte de l’image radar normale (i.e. issue du FDP) sur une position de
contrôle pendant plus de x minutes », le secours ultime radar et les strips peuvent être considérés
comme des moyens en réduction de risque.
Il est important de préciser que des barrières « ultimes » comme le filet de sauvegarde et le
TCAS ne sont pas utilisables dans le document de l’étude de sécurité pour réduire la gravité ou
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 24 sur 30
OACA
la fréquence d’occurrence estimée. La réduction de risque doit se faire en amont de tels dispositifs,
censés éviter la collision.
Pour déduire l’incidence d’un danger sur les opérations et en déterminer la gravité, l’approche/la
procédure systématique doit inclure (sans s’y limiter) les incidences des dangers sur les différents
éléments constitutifs du système ATS, telles que :
- Incidence du danger sur l’équipage (charge de travail, aptitude à exercer ses fonctions etc..) ;
- Incidence du danger sur les contrôleurs de la circulation aérienne (charge de travail, aptitude à
exercer ses fonctions etc.) ;
- Incidence du danger sur les capacités fonctionnelles des aéronefs ;
- Incidence du danger sur les capacités fonctionnelles de la composante sol du système ATS ;
- Incidence du danger sur l’aptitude à fournir des services de gestion de la circulation aérienne dans
de bonnes conditions de sécurité (ampleur de la perte/dégradation des services/fonctions ATS). »
On pourra également rajouter dans ces critères le nombre d’avions potentiellement impactés par
l’événement redouté considéré, toujours en raisonnant sur une situation de trafic chargée (ou autre
condition d’environnement « raisonnablement pessimiste » pertinente pour l’étude).
« 3. la détermination des objectifs de sécurité proprement dit, exprimés comme la probabilité
maximale d’occurrence d’un danger, et déterminés à partir de la gravité et de la probabilité
maximale d’occurrence de ses incidences»
Expression de la « probabilité maximale d’occurrence d’un danger »
Il s’agit de fixer, pour chaque événement redouté identifié au travers des analyses précédentes, le seuil
d’acceptabilité opérationnel en terme de fréquence maximale d’occurrence de l’événement redouté.
Le terme « fréquence d’occurrence » s’entend au sens mathématique du terme (i.e un nombre), ou au
sens qualitatif (i.e fréquence du type « improbable », « rare », « probable », etc.) lorsqu’il n’est pas
possible de fixer un objectif chiffré précis (néanmoins, il est souhaitable dans ce cas de viser des «ordres
de grandeur» plutôt que de se fixer des objectifs purement qualitatifs difficiles à appréhender dans
l’analyse).
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 25 sur 30
OACA
Détermination « de la probabilité maximale d’un danger à partir de la gravité »
Pour déterminer l’objectif de sécurité acceptable, il est recommandé d’utiliser une grille de
correspondance entre les classes de gravité et les seuils d’acceptabilité. Cela permet d’avoir une
démarche d’acceptabilité du risque cohérente pour l’ensemble des événements redoutés du système
considéré.
Dans cette approche, comme la gravité tient déjà compte des incidences potentielles dans
l’environnement considéré, la probabilité d’occurrence acceptable est directement déterminée à partir
de la gravité. Si on prend le cas par exemple d’un événement redouté ayant des causes purement
techniques, en supposant qu’on a attribué à ses conséquences le niveau de gravité G3, on lui attribuera
un objectif de 10-5 par heure opérationnelle, en se servant de la grille suivante :
Objectifs quantitatifs (par heure opérationnelle1)
10-4 10-5 10-6 10-8
Classes de
gravité
G1
G2
G3
G4
G5 Tableau n°01 : Matrice d’acceptabilité des risques pour les ERs de nature technique
En conclusion, le risque s’exprime comme une combinaison de la probabilité d’occurrence et
de la gravité. Le cadrage des objectifs de sécurité est donc un mécanisme itératif visant à
diminuer soit la gravité, soit la probabilité d’occurrence des évènements redoutés pour
atteindre les zones de risque « acceptable ».
§2.3 Exigences de sécurité (PSSA)
Texte du plan-type
Ce paragraphe explique comment, à partir des résultats obtenus aux 2.1 et 2.2, les objectifs de sécurité sont déclinés et
traduits en exigences portant sur les différentes composantes du changement envisagé.
1 A titre indicatif, pour un système fonctionnant H24, une fréquence d’occurrence de 10-4 par heure opérationnelle
(respectivement 10-5, 10-6) signifie une occurrence tous les ans environ (respectivement tous les 10 ans, tous les siècles).
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 26 sur 30
OACA
Objectif du §
Définir la stratégie d’atténuation des risques, en particulier en dérivant sur les différents éléments du
système les objectifs associés aux événements redoutés (par exemple au moyen d’arbres de défaillance).
On pourra également trouver tout type d’exigences dérivées: exigences en termes de formation des
opérateurs, moyens de détection etc.
Figure n°06 : Allocation d’exigences aux différents éléments du système considéré
Commentaires
Cette section traduit l’impact sur les différents éléments du système de la mise en place des moyens
techniques, procéduraux et/ou humains, qui permettent de « cadrer » et garantir la tenue des objectifs
de sécurité au §2.2 (cadrage en particulier de la gravité et /ou de la fréquence d’occurrence des
événements redoutés). Des mesures ou exigences pourront être par exemple au niveau opérationnel :
Des recommandations dont il faut assurer la traçabilité dans la documentation utilisateurs ;
L’élaboration de consignes ;
L’application de procédures particulières ;
De la formation sur tel ou tel point critique
Pour les événements redoutés d’origine techniques notamment, c’est dans cette section que l’on
va élaborer les exigences de sécurité sur des composants constitutifs du changement. On verra
apparaître les exigences SDF du type disponibilité, fiabilité, maintenabilité des composants techniques. Ces
exigences sont typiquement celles fournies aux industriels pour la réalisation de ces composants, et
qu’ils déclineront éventuellement eux-mêmes sur des composants de plus bas niveau. A ce stade de
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 27 sur 30
OACA
l’analyse, il est donc nécessaire de disposer d’un certain niveau de découpage structurel du système
identifiant les composants sur lesquels sont allouées les fonctions opérationnelles (architecture
physique, conception système).
Cette démarche peut être itérative, une exigence à un certain niveau pouvant ensuite être déclinée à un
niveau plus détaillé lorsque la définition du système s’affine.
§3 Evaluation de la sécurité (SSA)
Texte du plan-type:
Ce chapitre comprend l’ensemble des analyses de sécurité réalisées dans l’objectif de vérifier que le changement respecte les
objectifs de sécurité qui lui ont été assignés pour la phase d’exploitation opérationnelle.
Dans le cadre de cette évaluation, les analyses peuvent conduire à identifier des points critiques (techniques,
organisationnels, etc.) des recommandations ou encore des modifications de conception.
Objectif du §
Démontrer, par tous les moyens dont on dispose, que le système tel qu’on prévoit de le concevoir est
capable de tenir les objectifs de sécurité qui lui ont été assignés.
Commentaires
Des objectifs ont été assignés au niveau du système objet du document de l’étude, à des événements
redoutés déterminés (§2.2), des exigences dérivées peuvent avoir été spécifiées au niveau des éléments
du système (§2.3). Il faut ensuite fournir, et c’est l’objet de ce §3 :
La démonstration que les objectifs de sécurité sont atteints, comprenant en particulier l’assurance de la
mise en œuvre effective des mesures en atténuation de risques présentées. Il est reconnu qu’un
argumentaire reposant sur une combinaison d’éléments quantitatifs (modèle mathématique, analyses
probabilistes) et qualitatifs (bon processus de travail, jugement professionnel, amélioration de la sécurité
par rapport au système précédemment en service) peut être utilisé pour démontrer, avec un niveau
suffisant de confiance, que certains des objectifs et exigences de sécurité sont atteints.
Ces démonstrations du respect des exigences à tous niveaux d’une part et des objectifs de plus haut
niveau d’autre part, s’appliquent donc tout particulièrement aux différents éléments critiques du
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 28 sur 30
OACA
système. Elles peuvent, lorsque c’est pertinent (classiquement pour les équipements) s’appuyer sur des
techniques d’analyses statiques issues du domaine de la SDF du type :
l'Analyse des Modes de Défaillances de leurs Effets et de leur Criticité (AMDEC),
l’analyse par Arbre De Défaillances (ADD) ou Arbre de Fautes (AdF),
l’analyse par diagrammes de fiabilité,
l’analyse des modes ou causes communs,
l’analyse de zones…
Elles peuvent également intégrer la synthèse de résultats de modélisation mathématiques, de mesures de
performances, de tests, d’essais réalisés, de simulations (temps réel ou temps accéléré),
d’expérimentation avec les utilisateurs…
Concernant la modification des sous-ensembles du système ATS qui sont déjà en exploitation, une
analyse fondée sur des données historiques disponibles telles que les statistiques de sécurité (accidents,
incidents, événements spécifiquement liés à l’ATS) ou les chiffres relatifs aux erreurs humaines et aux
pannes d’équipements, généralement fournis par les mécanismes de suivi de la sécurité et de
notification des événements liés à la sécurité, peut apporter des éléments de preuve à l’appui du
processus d’assurance de la sécurité ».
§4 Analyse des phases de transition (SSA)
Texte du plan-type
Ce chapitre contient l’analyse des phases de transition, à savoir :
- l’installation dans un organisme ATS d’un système avant toute mise en service opérationnelle ;
- toutes les opérations de retrait provisoire et de remise en service correspondantes ;
- le retrait d’exploitation dès lors qu’il est envisagé.
Cette analyse doit démontrer que toutes les dispositions nécessaires sont prises afin de ne pas dégrader les niveaux de
performance sécurité lors de chacune des phases de transition. Le cas échéant des procédures de repli sont mises en évidence.
Objectif du §
Fournir l’assurance que les phases de transitions ne dégradent pas les niveaux de sécurité de l’ATS.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 29 sur 30
OACA
Ce chapitre s’applique principalement aux équipements. Pour les procédures de Circulation Aérienne, la
seule phase de transition à considérer serait celle de la mise en œuvre opérationnelle, et cette phase
spécifique fait l’objet du §1.5 du document de l’étude de sécurité.
Commentaires
Par « phases de transition », il faut entendre :
Les phases qui vont du début de l’installation sur site et qui précèdent la mise en service
opérationnel (celle-ci étant analysée spécifiquement au §1.5)
Après mise en service, les phases qui vont du retrait de service provisoire (pour maintenance,
réglage, modification …) à la remise en service.
Les phases de retrait du service opérationnel.
On démontrera essentiellement que le système et les interventions éventuelles dont il fait l’objet ne
peuvent entraîner d’effets indésirables sur le fonctionnement opérationnel du système ATS pendant ces
phases. Par exemple, lors du retrait de service d’un équipement opérationnel, on effectue généralement
des travaux en salle technique (dépose de câbles, déplacement de baies techniques, …) ou en salle de
contrôle, pouvant générer des dangers spécifiques (dépose du mauvais câble, chute de baie sur des
équipements en service, nuisance sonore en salle de contrôle, etc.). L’analyse visera ici à maîtriser ces
risques par des procédures adaptées.
Ce chapitre sera complété au fil de la vie du système.
§5 Principes d’assurance sécurité
Texte du plan-type
Ce chapitre présente les moyens mis en œuvre afin de maintenir dans le temps les niveaux de performance de sécurité
atteints en termes de sécurité. Il présente la stratégie d’atténuation des risques appliquée en phase d’exploitation par
l’OACA.
Objectif du §
Exposer l’ensemble des hypothèses, indicateurs, ou autres moyens identifiés au cours de l’étude comme
devant être surveillés pendant la vie opérationnelle du système, afin de garantir son niveau de sécurité.
Au cours d’une étude, il n’est pas rare de s’apercevoir que certaines hypothèses, ou certaines « données»
utilisées pour évaluer les événements redoutés sont dimensionnantes pour la tenue des objectifs. Il faut
donc imaginer des moyens permettant de garantir dans le temps la tenue des objectifs de sécurité.
Guide pour la rédaction des documents de l’étude de sécurité
GUI 003/OACA/SMS
Système de Management de la Sécurité (SMS) dans le domaine ATS
V 1.0 – 16 septembre 2013
Page 30 sur 30
OACA
Commentaires
L’assurance sécurité recouvre des mesures de surveillance et de maintien dans le temps des objectifs
de sécurité. Parmi celles-ci, on peut mentionner à titre d’exemples :
le contrôle de la mise en place et de l’efficacité des mesures identifiées de réduction de risques,
le suivi de la mise en œuvre opérationnelle de l'évolution (mise en place d’un processus de retour
d’expérience),
le suivi des hypothèses faites pour l’élaboration du document de l’étude de sécurité sur
l’environnement opérationnel et les conditions d’exploitation du système (dérives dans l’application
d’une procédure ou dans l’utilisation d’un équipement), notamment celles qui peuvent être
considérées comme des exigences de sécurité,
le contrôle de la mise en place et de l’efficacité d’indicateurs pouvant prévenir et détecter les
éventuelles dégradations des performances sécurité ainsi que le non respect des exigences sécurité ;
les audits internes au sein des entités locales et/ou des prestataires extérieurs,
la maîtrise des processus de modifications du système ATS (existence de procédures spécifiques
d’intervention, briefings lors d’évolutions de procédures, …).
§6 Synthèse
Texte du plan type
Ce chapitre présente une synthèse de l’ensemble des résultats prouvant que les niveaux de sécurité évalués correspondent
aux objectifs. L’exposé de ces résultats permet:
la formulation d’un argumentaire complet pour démontrer que le sous-ensemble considéré, de même que l’ensemble du
système ATS offrent et continueront d’offrir un niveau de sécurité conforme aux exigences, cet argumentaire pouvant
être étayé, le cas échéant, par la spécification des techniques de prévision, de suivi, et d’enquêtes utilisées
la traçabilité des indicateurs de sécurité associés à la mise en œuvre d’un changement par rapport à l’exploitation et
aux fonctions.
Objectif du §
Présenter de manière synthétique un résumé justifiant la tenue des objectifs de sécurité, accompagné
des hypothèses, indicateurs ou recommandations à suivre pour garantir dans le temps la pérennité des
résultats.
top related