guide pour la redaction des documents de l’etude de … · 1.2 but du présent document c’est...

Guide pour la rédaction des documents de l’étude de sécurité

GUI 003/OACA/SMS

Système de Management de la Sécurité (SMS) dans le domaine ATS

V 1.0 – 16 septembre 2013

sur 30

OACA

GUIDE POUR LA REDACTION DES DOCUMENTS DE L’ETUDE DE SECURITE

Guide DES


GUI 003/OACA/SMS



sur 30

OACA

Relevé des modifications

ÉDITION DATE MOTIF DES CHANGEMENTS SECTIONS / PAGES

MODIFIÉES

V 0.1 15 mai 2013 Création – Avant-projet Toutes

V 1.0 16 septembre 2013 Intégration des remarques des unités. Toutes

Approbation du document

La présente version du document a été approuvée comme suit :

Nom et Fonction Signature et Date

Rédaction

Mohamed Amin WALHA

Le Chef de la Division de Suivi de la

Sécurité de la Navigation Aérienne

Vérification

Mohamed REJEB

Le Directeur de la Sécurité de la

Navigation Aérienne

Mohamed Nejib SMIRANI

Le Directeur Central du Trafic Aérien

Approbation Salah GHARSALLAH

Le Président Directeur Général

Responsable du document

Le Directeur de la Sécurité de la Navigation Aérienne

Date d’application du document

16 septembre 2013


GUI 003/OACA/SMS



sur 30

OACA

Diffusion

Support Destinataire

Support papier

DCTA

DNA

DCCR

DENA

DSE

DAII

AITC

AIEH

AIMHB

AIDZ

AIST

AITN

AITA

AIGK

AIGM

ABEA

Support électronique (Site Web des commissions

Sécurité) Tous


GUI 003/OACA/SMS



sur 30

OACA

Table des matières

Glossaire…………………………………………………………………………..…5

1. Introduction ................................................................................................. 8

1.1 But d’un document de l’étude de sécurité et remarques préliminaires .. 8

1.2 But du présent document ....................................................................... 8

2. Bibliographie ............................................................................................... 9

3. Processus d’élaboration du document de l’étude de sécurité ..................... 9

4. Utilisation du plan type « document de l’étude de sécurité » .................... 13


GUI 003/OACA/SMS



sur 30

OACA

Glossaire

Action supplémentaire en réduction de risques: Mesure d’atténuation des risques qui vient en

complément de celles déjà prises en compte.

ADD: Analyse par Arbre De Défaillances.

AdF: Arbre de Fautes.

AMDEC: Analyse des Modes de Défaillances de leurs Effets et de leur Criticité.

APR: Analyse Préliminaire des Risques.

Atténuation du risque. Ensemble des mesures prises pour maitriser ou prévenir un danger et ramener

le risque à un niveau tolérable ou acceptable.

Barrière de sécurité éprouvée: Moyen permettant d’atténuer un risque, dont l’efficacité est reconnue

par des expériences passées.

Danger. Situation, évènement ou circonstance susceptible d’engendrer un accident.

Défaillance: Cessation de l’aptitude d’un système à accomplir une fonction requise.

Degré de gravité: Graduation de G1(maximum) à G5(minimum), de l’ampleur des incidences des

dangers sur l’exploitation des vols.

DES: Document de l’Etude de Sécurité.

Disponibilité: Temps pendant lequel un système fonctionne correctement, exprimé sous forme de

pourcentage du temps total.

Dommage: Blessure physique ou atteinte à la santé des personnes ou atteinte aux biens ou à

l’environnement.

Etude de sécurité: APR ou DES

Evaluation: Appréciation fondée sur des avis et/ou des méthodes d’analyse à caractère technique et

opérationnel.

Evènement: Accidents, incidents graves et incidents ainsi que tout autre défaut ou disfonctionnement

d’un aéronef, de son équipement ou de tout élément du système de navigation aérienne utilisé ou conçu

pour être utilisé aux fins ou dans le cadre de l’exploitation d’un aéronef ou de la fourniture d’un service

de gestion de la circulation aérienne ou d’une aide de la navigation à un aéronef.

Evénement redouté: Danger affectant la fourniture des services ATS, exprimé au plus près des

opérateurs de première ligne. C’est un évènement indésirable au regard des services attendus. Un

évènement redouté peut être de nature technique, procédurale ou humaine. Les évènements redoutés


GUI 003/OACA/SMS



sur 30

OACA

de nature technique (resp. procédurale, humaine) sont générées par un système technique (resp.

procédural, humain) et peuvent avoir des causes techniques, procédurales ou humaines.

Exigence de sécurité: Moyens pour diminuer un risque tels que définis par la stratégie de diminution

des risques permettant d’atteindre un objectif de sécurité particulier, y compris les exigences

organisationnelles, opérationnelles, procédurales, fonctionnelles, de performance, les exigences

d’interopérabilité ou les caractéristiques environnementales.

Fiabilité: Probabilité qu’un appareil ou dispositif fonctionne sans défaillance à concurrence d’un laps

de temps ou d’un usage spécifié.

FHA: Functional Hazard Assessment (Evaluation des risques)

Gravité: Expression de l’incidence /de la conséquence des dangers sur la sécurité des vols (combine le

niveau de perte de séparation avec le degré d’aptitude à redresser la situation).

Gravité corrigée: Niveau de gravité associé à l’évènement redouté en tenant compte des moyens en

réduction de risques (éprouvés ou pas).Si certains moyens en réduction de risques sont à effet différé, le

niveau de gravité corrigé tient compte des éventuels dangers liés à cette phase de transition.

Gravité initiale: Niveau de gravité associé à l’évènement redouté sans tenir compte des moyens en

réduction de risques.

Incident: Evènement, autre qu’un accident, lié à l’utilisation d’un aéronef, qui compromet ou pourrait

compromettre la sécurité de l’exploitation.

Intervention programmée sur un système ATS: Action planifiée visant à modifier:

• Le programme du système.

• La configuration matérielle et logicielle du système.

• Les données nécessaires au fonctionnement du système.

Intervention programmée: Intervention sur un équipement, ou susceptible d’impacter un équipement

concernant un service support, en service dans un organisme opérationnel, à l’exception des

interventions en réaction immédiate à des défaillances.

Mode de défaillance: Effet par lequel une défaillance est observée.

Changements du système ATS: Les changements sont étudiés en prenant en compte

l’environnement opérationnel. Ils peuvent concerner tout ou partie des trois domaines.

• Les équipements (matériel et logiciel) et les procédures associées (configuration, maintenance,

etc.)

• Installation d’un nouvel équipement/modification ou retrait d’un système existant.

• Intervention programmée.


GUI 003/OACA/SMS



sur 30

OACA

• Les procédures concernant les dispositifs de la circulation aérienne qui impactent l’espace aérien

(modification de la sectorisation, nouvelles trajectoires avec procédures associées, etc.).

• Les facteurs humains: toute interaction de l’humain avec les systèmes ATS (méthodes de

travail, gestion IHM, application des consignes, etc.).

Moyens en réduction de risques: Mesure d’atténuation qui peut jouer sur l’occurrence d’un

évènement redouté (prévention) ou sur ses conséquences (protection). Il peut être de nature technique,

procédurale ou humaine. Un moyen de réduction de risques doit s’évaluer relativement au risque qu’il

doit atténuer. Sa qualité doit être appréciée en fonction de son effectivité et de son efficacité.

Moyen en réduction de risques de prévention: Les MRRs de prévention s’opposent à

l’enchainement d’évènements susceptibles d’aboutir à l’occurrence d’un ER. Ils contribuent donc à

diminuer la fréquence d’occurrence potentielle de l’ER.

Moyen en réduction de risques de protection: Les MRRs de protection diminuent les conséquences

potentielles de l’ER par atténuation de la gravité. Certains moyens en réduction de risque sont à effet

immédiat, d’autres à effet différé.

Moyen en réduction de risques éprouvé: Moyen en réduction de risques dont l’efficacité est

reconnue par des expériences passées.

Objectif de sécurité: Une déclaration qualitative ou quantitative définissant la fréquence ou la

probabilité maximales auxquelles un risque pourrait se produire.

OED: Operational Environment Description (Description de l’environnement opérationnel)

PS: Plan de sécurité.

PSSA: Preliminary System Safety Assessment (Evaluation préliminaire de la sécurité du système)

Risque: Combinaison de la probabilité ou de la fréquence d’occurrence d’un danger déterminé et de

l’ampleur des effets de son apparition.

SADT: Structured Analysis Design Technique (Technique d’analyse structurée)

SAM: Safety Assessement Methodology. (Méthodologie d’analyse de sécurité).

SdF: Sûreté de fonctionnement.

Sécurité: Protection contre un risque de dommage inacceptable.

SML: Safety Manager Local.

SSA : System Safety Assessment. (Evaluation de la sécurité du système)

Système: Combinaison d’éléments physiques, de procédures et de moyens humains, organisés dans le

but de remplir une fonction.

Système ATS: Système exploité pour la fourniture des services de la circulation aérienne.


GUI 003/OACA/SMS



sur 30

OACA

1. Introduction

1.1 But d’un document de l’étude de sécurité et remarques préliminaires

Le but d’un document de l’étude de sécurité est de :

- fournir à l’OACA les preuves que tout « changement » que l’on souhaite porter à un « sous-

ensemble du système ATS » offre toutes les garanties de sécurité voulues, permettant ainsi à ses

utilisateurs d’avoir une confiance justifiée dans l’utilisation du système;

- permettre de s’assurer que toutes les analyses de sécurité ont été faites correctement avant

l’utilisation opérationnelle du changement.

Le document de l’étude de sécurité satisfait ainsi les exigences de la décision de monsieur le ministre du

transport n°82 du 16 janvier 2013 relative à la réalisation des études de sécurité dans le domaine ATS

pour l’évaluation et l’atténuation des risques de tout changement du système ATS.

Ces changements concernent un sous-ensemble du système ATS, et on désignera ce sous-ensemble,

dans le présent document, par le terme « Système ». C’est un ensemble borné constitué de

«composantes » reliées entre elles de type équipement, procédures et moyens humains

Figure n°01 : Système ATS

1.2 But du présent document

C’est un guide conseil pour la rédaction des documents de l’étude de sécurité respectant le plan-type de

la décision de monsieur le ministre du transport n°82 du 16 janvier 2013.

Le chapitre 3, qui donne une vue d’ensemble, décrit la démarche globale de l’élaboration du document

de l’étude de sécurité.


GUI 003/OACA/SMS



sur 30

OACA

Le chapitre 4 s’adresse aux acteurs du document de l’étude de sécurité, ayant de bonnes notions en

Sûreté de Fonctionnement (SdF) et une certaine connaissance du vocabulaire utilisé, de la démarche,

des méthodes et des techniques de SdF et d’études sécurité.

A ce titre :

Il fait le lien entre les différents paragraphes du plan type et une démarche sécurité ;

Il donne des compléments d’information sur le contenu attendu des différents paragraphes du

plan-type.

Les exemples d’outils et méthodes utilisés ne sont là que pour aider à la compréhension de ce qui est

attendu. Ils sont essentiellement dérivés des techniques et démarche « SDF » classiques applicables aux

équipements mais certainement à adapter pour les systèmes à forte composante humaine et

procédurale.

De façon générale, chaque document de l’étude est particulier, et il appartiendra aux personnes

chargées de l’élaboration des document de l’études de sécurité de choisir les méthodes et outils les plus

appropriés en support aux analyses et évaluations demandées dans un document de l’étude de sécurité.

2. Bibliographie

Décision de Monsieur le Ministre du Transport n°464 en date du 14 juillet 2012 relative à la mise en

œuvre du SMS dans le domaine ATS ;

Décision de Monsieur le Ministre du Transport n°82 du 16 janvier 2013 relative à la réalisation des

études de sécurité dans le domaine ATS ;

Procédure de réalisation des études de sécurité dans le domaine de la fourniture des services de la

circulation aérienne (PRO 003/OACA/SMS) ;

Annexe 19 à la Convention de Chicago (Gestion de la Sécurité) ;

Manuel de management de la sécurité de l’OACI (DOC9859).

3. Processus d’élaboration du document de l’étude de sécurité

La décision de réaliser un document de l’étude de sécurité doit être prise dans les phases amont de la

définition d’un changement. Elle s’inscrit dans le projet support de la réalisation du changement, et le

phasage des activités sécurité est construit avec le phasage des autres activités du projet. Elle

s’accompagne de la nomination d’un «Coordonnateur sécurité» et s’appuie, le cas échéant, sur les

résultats d’une APR.


GUI 003/OACA/SMS



sur 30

OACA

Ainsi, la réalisation du document de l’étude de sécurité relatif à un changement du système ATS devrait

être planifiée, notamment en termes de moyens humains et/ou financiers et de délais, dès les phases

initiales de développement d’un changement. Par ailleurs, l’élaboration du document de l’étude de sécurité lui-même doit s’inscrire dans une

démarche sécurité telle que présentée dans la figure n°02. Il y a lieu de bien distinguer la structure du

document de l’étude de sécurité de la démarche d’étude qui permettra de « remplir » les différents

chapitres.

La structure du document de l’étude de sécurité vise à avoir en finale une présentation claire des

différentes étapes. Cependant, les chapitres ne seront pas forcément remplis dans l’ordre ni avec le

degré de détail attendu en fin de réalisation (par exemple le § 1.5 Mise en service opérationnelle). La

démarche itérative, inhérente à toute étude de sécurité, peut conduire à compléter, voire à modifier en

cours d’étude certains paragraphes initialement remplis.

Les correspondances avec les phases de la SAM (Safety Assessement Methodology) d’Eurocontrol sont

indiquées ci-après :

Figure n°02 : Démarche sécurité


GUI 003/OACA/SMS



sur 30

OACA

Les résultats des étapes de la démarche sécurité vont se retrouver dans le document de l’étude de

sécurité:

Chapitre 1

Définition du contour du système et de l’environnement opérationnel : Le «système» à évaluer

du point de vue de la sécurité doit être limité aux seules parties du système ATS qu’il est nécessaire

d’étudier, compte tenu du changement envisagé (composantes techniques, humaines, procédurales –

sol et bord). Il est nécessaire de bien identifier les systèmes externes et les relations avec ces

systèmes.

Chapitre 2 : 2.1 ; 2.2

Evaluation des risques (Phase Functional Hazard Assessment (FHA) de la SAM) :

o Analyse technique et fonctionnelle : Il s’agit de décrire techniquement et fonctionnellement

le changement.

o Identification des événements redoutés : Elle s’appuie sur la description technique et

fonctionnelle du système pour identifier et analyser les modes de défaillance et leurs effets (par

exemple au travers d’AMDEC technique ou fonctionnelle), et permettre ainsi l’identification

des événements redoutés.

o Définition des objectifs de sécurité: Une fois les événements redoutés identifiés, il faut

caractériser la gravité de leurs conséquences en fonction des effets opérationnels sur la sécurité

et se fixer des objectifs en particulier en terme de fréquence d’occurrence acceptable de ces

événements (cf les grilles d’acceptabilité des risques, Annexes 4 et 5 de la Décision

Ministérielle).

Chapitre 2 : 2.3

Evaluation préliminaire de la sécurité du système (PSSA : Preliminary System Safety

Assessment)

o Déclinaison des objectifs de sécurité en exigences en fonction de l’architecture du système (i.e

allocation des fonctions à des éléments structurels: composants techniques, humains,

procéduraux), des exigences de sécurité sont dérivées sur les différents éléments du système à

partir des objectifs de sécurités globaux.


GUI 003/OACA/SMS



sur 30

OACA

Chapitres 3, 4,5

Evaluation de la sécurité du système (SSA : System Safety Assessment)

o Evaluation qualitative et quantitative de la sécurité: Il s’agit de démontrer que le système

présente un niveau de sécurité compatible avec les objectifs de sécurité identifiés

précédemment. L’évaluation peut regrouper différentes études de sécurité à différents niveau

du système ;

o Analyse des phases de transition : On désigne par «phases de transition» toutes les périodes

de non utilisation opérationnelle du système, les périodes de passage de l’état opérationnel à

non opérationnel et inversement, dès lors que le système est tout ou partie présent sur son site

opérationnel. Lors de ces phases de transition, des précautions particulières doivent être prises

pour ne pas dégrader le niveau de sécurité de l’ATS (précautions lors de l’arrêt du système,

lors de l’intervention sur le système non opérationnel, préalablement à sa remise en service,

etc.…).

o Détermination des moyens d’assurance sécurité : Il faut définir ou lister les moyens mis

en œuvre pour assurer la pérennité des niveaux de sécurité obtenus.

Chapitre 6

Synthèse : Présentation synthétique des résultats et recommandations issues du document de

l’étude de sécurité.

Notons que le processus d’élaboration du document de l’étude de sécurité, comme celui de la démarche

sécurité peut reboucler sur des phases antérieures. En particulier, la prise en compte de moyens

d’atténuation du risque aux différents niveaux du système peut conduire à réitérer la démarche jusqu’au

respect des objectifs :

Itérations sur l’identification des dangers (cf. chemins (1) de la figure 1) : Lorsqu’on avance

dans la connaissance du système (raffinage de la décomposition fonctionnelle, passage de la

spécification à la conception, etc.) ou que le système est enrichi de moyens d’atténuation du risque ;

Itérations sur tout le processus (cf. chemin (2)) : Jusqu’obtenir l’assurance de l’identification la

plus exhaustive possible des dangers et du respect par le système des objectifs fixés.

Par ailleurs, le document de l’étude de sécurité va vivre tout au long du cycle de vie de l’évolution: il est

important de bien en suivre l’historique. Ce document de l’étude de sécurité devrait donc être référencé


GUI 003/OACA/SMS



sur 30

OACA

dans le système de gestion documentaire de l’organisme concerné afin d’être à même d’identifier en

permanence la ou les versions approuvées.

4. Utilisation du plan type « document de l’étude de sécurité »

§1 Présentation de l’étude de sécurité

§1.1 Objet du changement

Texte du plan type

Ce paragraphe décrit le changement envisagée, avec un niveau de détail permettant d’évaluer la pertinence des analyses

conduites afin :

d’attribuer les exigences aux différentes composantes du système fonctionnel (Cf. §2) ;

d’évaluer le niveau de sécurité (Cf. §3).

Objectif du §

Permettre au lecteur de se faire une idée générale des fonctions (au sens des services rendus), objets de

l’étude, et des conditions dans lesquelles elles seront utilisées (type de trafic, conditions météo …).

Par exemple, pour un système tel que le SMGCS (Surface Mouvement Guidance and Control System),

on pourra expliquer que le système est une aide au contrôleur pour la visualisation de la circulation des

avions au sol, qu’il n’est utilisé qu’en conditions LVP (par exemple), qu’il est destiné à être mis en

service pour tout aérodrome souffrant d’une visibilité réduite dominante, que tous les mobiles de la

plate-forme sont capables de transmettre leur identification (ou seulement les avions), qu’il a une

fonction d’alerte (ou pas) à proximité des pistes, …

Commentaires

Ainsi, on trouvera notamment dans ce chapitre du document de l’étude de sécurité :

Une description générale du changement ;

Les fonctions opérationnelles réalisées (ou services rendus), en termes généraux ;

Les composantes impliquées (procédures, équipements, etc.…).


GUI 003/OACA/SMS



sur 30

OACA

On peut y synthétiser éventuellement :

Les performances sécurités visées ;

Les dispositions prises pour rendre la mise en œuvre sûre si certaines ont déjà été envisagées.

§1.2 Documents de référence

Texte du plan type

Ce paragraphe comprend :

- la liste des documents applicables ;

- la liste des documents jugés utiles à la compréhension du document de l’étude de sécurité.

Objectif du §

Présenter une bibliographie du document de l’étude de sécurité.

Commentaires

On présente ici les documents applicables (ayant un caractère réglementaire ou non), c'est-à-dire ceux

auxquels doit se conformer le document de l’étude de sécurité (référentiel réglementaire, manuels

qualité/sécurité, etc.), ainsi que tous les documents qui peuvent permettre une bonne compréhension

du document de l’étude de sécurité, qu’ils soient relatifs au changement ou relatifs aux activités

d’analyse, évaluation et atténuation des risques de l’évolution (expression de besoin, cahier des charges,

les différentes contributions au document de l’étude de sécurité dont les résultats sont présentés dans le

document de l’étude de sécurité, etc.).

§1.3 Périmètre de l’étude (FHA2/OED3)

Texte du plan type

Ce paragraphe décrit :

- la définition du périmètre du système fonctionnel sur lequel porte l’étude ;

- les interfaces du système fonctionnel ;

- l’utilisation opérationnelle prévue.


GUI 003/OACA/SMS



sur 30

OACA

Objectif du §

Le but de cette section est de limiter le champ du document de l’étude de sécurité aux seules parties du

système ATS concernées par le changement, dont on juge pertinente l’analyse d’un point de vue

sécurité. Ainsi, il peut ne pas y avoir une totale correspondance entre le contour du changement

et le périmètre de l’étude de sécurité.

Inversement, il peut être décidé d’étendre la couverture de l’étude de sécurité au-delà du périmètre strict

du changement, en particulier lorsque des sous-systèmes en interface n’ont jamais faits l’objet d’analyses

de sécurité. Comme on l’a vu plus haut, le sous-ensemble du système ATS concerné par le changement

constitue lui-même un système dont on va déterminer le contour, les interfaces avec l’extérieur, et

l’utilisation opérationnelle prévue.

Commentaires :

Les contours du système étudié

Il faut identifier ce qui est dans le système objet du document de l’étude de sécurité, ce qui est en

dehors. Les éléments externes seront pris comme tels, c'est-à-dire qu’on ne fixera pas d’exigences

particulières issues de l’étude. Toutefois, on analysera les modes de défaillance sur les échanges avec les

éléments externes, afin d’en déduire l’impact sur le système étudié, les événements redoutés et les

éventuels moyens en réduction de risques à mettre en place. Les éléments externes ne seront donc pas

évalués du point de vue de la sécurité dans le cadre du document de l’étude de sécurité mais les

interfaces le seront.

Les interfaces

Les interfaces avec les systèmes externes doivent être identifiées et décrites car elles rentreront dans

l’analyse de la sécurité du système. Ce sont par exemple : des échanges de données entre un équipement

du système objet du document de l’étude de sécurité et des systèmes hors champ du document de

l’étude de sécurité, des modes de coordination entre organismes de contrôle type lettre d’accord, etc.

Les échanges et le support de ces échanges peuvent faire l’objet de modes de défaillance, à évaluer.

A ce niveau le plus haut de la décomposition fonctionnelle, le système est considéré comme une « boite

noire ». Les systèmes de son environnement et les échanges avec cet environnement sont identifiés

pour bien visualiser le périmètre. Les informations attendues correspondent au niveau « diagramme de


GUI 003/OACA/SMS



sur 30

OACA

contexte » ou « niveau 0 » de méthodes d’analyse structurée de type SADT (Structured Analysis Design

Technique) :

Figure 3 : Les contours d’un système et ses interfaces

L’utilisation opérationnelle

Il faudra définir ou décrire l’utilisation opérationnelle prévue, car celle-ci peut influencer l’évaluation du

risque : par exemple des défaillances relatives à l’utilisation d’une image radar à des fins d’information

n’auront vraisemblablement pas la même criticité que si cette image était utilisée à des fins de guidage

radar (d’un point de vue facteur humain, il conviendra toutefois de s’assurer de l’efficacité des moyens

mis en œuvre pour éviter les dérives du mode d’utilisation opérationnelle initialement prévu, c'est-à-dire

dans le cas présent, l’utilisation pour du guidage radar d’un système « qualifié » pour ne permettre que

de l’information).

§1.4 Organisation

Texte du plan-type

Ce paragraphe décrit :

- le rôle et les responsabilités de chaque acteur dans la réalisation du document de l’étude de sécurité ;


GUI 003/OACA/SMS



sur 30

OACA

- le planning relatif à l’établissement du document de l’étude de sécurité en le situant par rapport au planning

global du projet.

Objectif du §

En terme d’organisation du travail, cette section doit permettre de savoir «qui fait quoi» dans

l’élaboration du document de l’étude de sécurité, mais aussi de connaître le processus: «comment »,

«quand» ; afin de pouvoir estimer si l’organisation choisie offre les garanties souhaitables vis-à-vis du

résultat attendu (le document de l’étude de sécurité).

Commentaires:

Cette section reprend éventuellement tout ou partie de ce qui a déjà été présenté dans le plan de

sécurité. Le niveau de description va dépendre :

de la complexité de l’organisation mise en place pour élaborer le changement,

de la segmentation de l’étude de sécurité en fonction des différentes contributions nécessaires,

impliquant différents acteurs ou entités de l’OACA voire de l’extérieur (sous-traitants par ex).

L’organisation mise en place devra permettre d’assurer la gestion et le suivi global des analyses de

sécurité effectuées au niveau de chaque acteur.

Rôle et responsabilités

On identifiera notamment :

Les entités (Services, Divisions, Directions, Equipes, Individus, …) concernées et leur

contribution au document de l’étude de sécurité. On trouvera ici le (s) responsable (s) sécurité,

dont le coordonnateur du document de l’étude de sécurité et le(s) chef(s) de projet, mais

également toutes les personnes (ou équipes) dont la contribution est prévue ;

Les processus de validation des différentes contributions (gestion des sous-traitants, processus de

validation interne des analyses..). On pourra se référer ici aux processus qualité des organismes

considérés ;

Les modes éventuels de communication, circulation d’information, traçabilité et capitalisation des

résultats (réunions, gestion du référentiel documentaire lié à l’étude de sécurité, gestion des

recommandations issues des analyses de sécurité etc.).


GUI 003/OACA/SMS



sur 30

OACA

Le planning

Le phasage des activités sécurité doit être présenté en lien d’une part avec les autres activités

d’ingénierie associées au développement du système (définition, spécification, conception, réalisation,

tests etc.), et en lien d’autre part avec les rôles et responsabilités (i.e. identification des responsables des

différentes phases).

Par «activités d’ingénierie » ou de « développement », on entend des activités pouvant s’appliquer aussi

bien au domaine humain et procédural (mise au point et test de nouvelles méthodes de travail par

exemple) qu’au domaine technique.

§1.5 Mise en œuvre opérationnelle (SSA)

Texte du plan-type

Ce paragraphe présente et justifie les dispositions prévues pour la mise en œuvre opérationnelle du changement.

Objectif du §

La mise en service est une phase très particulière de la vie du système, et présente en tant que telle des

risques spécifiques. Il s’agit d’expliciter la «stratégie opérationnelle» de mise en service (par exemple

mise en service progressive sur la salle de contrôle, mise en service programmée de nuit par faible

densité de trafic, etc.), ainsi que la préparation de cette mise en service (élaboration de consignes,

formation …).

Commentaires

On présentera ainsi l’ensemble des dispositions du type :

Réalisation d’analyse des risques liés à la mise en service (ce sont principalement des analyses

qualitatives, on ne s’appuie pas forcément sur les techniques traditionnelles SdF),

Elaboration de consignes spécifiques pour la mise en œuvre opérationnelle,

Elaboration de procédures de repli à mettre en œuvre dans le cas où la mise en service ne se

déroule pas nominalement (régulations par exemple),

Mise à niveau des compétences des personnels : formation, procédures opérationnelles etc.

Ce § pourra n’être dans son état définitif que relativement tard dans le déroulement du projet, certaines

décisions pouvant n’être prises que quelques semaines avant la mise en service. Dans les versions


GUI 003/OACA/SMS



sur 30

OACA

préliminaires du document de l’étude de sécurité, on trouvera ici les idées générales sur les précautions

qui sont envisagées pour la mise en service.

§2 Exigences de sécurité (FHA - PSSA)

§2.1 Exigences et standards nationaux ou internationaux

Texte du plan type

Ce paragraphe rappelle les exigences et/ou standards nationaux et/ou internationaux applicables au système fonctionnel

objet du document de l’étude de sécurité. Ces exigences peuvent avoir un caractère réglementaire ou être exprimées sous la

forme de contraintes dans l’expression du besoin.

Commentaires

On recensera ici les exigences de sécurité pertinentes (quand elles existent) pour le système objet de

l’étude.

§2.2 Objectifs de sécurité (FHA)

Texte du plan-type

Ce paragraphe explique comment sont déterminés les objectifs de sécurité associés au changement considéré.

Plus particulièrement, la détermination des objectifs de sécurité associés au sous-système considéré se fait en trois phases :

1. l’identification des dangers et des modes de défaillance plausibles associés au système fonctionnel ATS, ainsi que

leurs incidences combinées;

2. l’évaluation des incidences potentielles sur la sécurité des aéronefs, ainsi qu’une évaluation de la gravité de ces

incidences, en utilisant le mécanisme de classification de la gravité donné au chapitre 4 de la présente annexe ;

3. la détermination des objectifs de sécurité proprement dit, exprimés comme la probabilité maximale d’occurrence

d’un danger, et déterminés à partir de la gravité et de la probabilité maximale d’occurrence de ses incidences.

Objectif du §

A partir de l’analyse du système objet de l’étude, identifier les dangers (événements redoutés) qu’il peut

engendrer et, pour chacun d’eux, spécifier la fréquence d’occurrence acceptable relativement à la gravité

estimée.


GUI 003/OACA/SMS



sur 30

OACA

On pourra également recenser ici des objectifs de haut niveau sur le temps de séjour acceptable dans

un état dégradé (qui pourra par exemple se traduire par une exigence sur le temps de relance d’une

application logicielle), ou le séquencement de restauration de certaines fonctionnalités du système

(priorité de la restauration de l’image radar sur les informations plan de vol par exemple).

Ces objectifs, exprimés sur le système objet du document de l’étude de sécurité, seront ensuite déclinés

au §2.3 en exigences sur les différents éléments de ce système.

Commentaires

« 1. L’identification des dangers et des modes de défaillance plausibles associés au système

ATS, ainsi que leurs incidences combinées»

On doit retrouver ici les résultats des différentes étapes conduisant à l’identification des événements

redoutés pour le changement (cf. figure 2) :

L’analyse technique et fonctionnelle du système : le niveau de description du système et de ses

interactions avec l’environnement est déterminant pour l’identification des défaillances potentielles.

Typiquement, pour un équipement, on trouvera à ce stade :

o dès la phase de spécification : une analyse fonctionnelle par décomposition fonctionnelle

du système (cf. figure 3), identifiant les fonctions, échanges entre les fonctions, échanges avec

l’extérieur ;

o ultérieurement en phase de conception, ou dès le départ lorsque l’architecture est déjà

disponible (typiquement dans le cas de systèmes existants) : l’analyse du système sera

complétée par la description des composants sur lesquels sont alloués les fonctions et les

supports d’échange (réseaux, liaisons de données..).


GUI 003/OACA/SMS



sur 30

OACA

Figure n°04 : Décomposition fonctionnelle d’un système (Méthode SADT)

Pour les équipements, on dispose de formalismes d’analyse fonctionnelle (type SADT) qui sert ensuite

directement à l’identification des événements redoutés (voir plus loin).

Pour les composantes humaines et procédurales, il faudra par contre, en fonction du cas traité, trouver

le formalisme adapté qui puisse permettre de faire ressortir à la fois les dangers et les « modes de

défaillance » potentiels.

L’identification des événements redoutés : A partir de l’analyse technique et fonctionnelle

précédemment effectuée, on analysera les différents modes de défaillances pour recenser leurs

effets jusqu’à l’utilisateur, où ils se traduisent par des événements redoutés. Ceci doit être fait pour

chaque phase ou état de fonctionnement du système. Pour les équipements, on s’appuiera sur des

méthodes de type AMDEC, dont un exemple est donné dans la figure n°05. Ce type de méthode

se prête au travail de collaboration entre experts techniques et opérationnels (par exemple sous

forme de groupes de travail). Les premières colonnes pourront être remplies par « l’analyste » alors

que les conséquences opérationnelles et le niveau de gravité devront être plutôt remplis par un

groupe d’utilisateurs (typiquement des contrôleurs de la salle/tour ou de service Etudes), au besoin


GUI 003/OACA/SMS



sur 30

OACA

guidé dans la démarche par « l’analyste ». La mise en œuvre d’AMDEC relative à des équipements

peut amener à traiter la composante humaine pour les aspects en interaction avec l’opérateur. On

peut ainsi trouver l’opérateur en tant que cause de défaillances de composantes techniques et en

tant que moyen en réduction de risques vis à vis de défaillances techniques.

La formulation des modes de défaillance doit permettre de faire le lien avec les travaux préalables

d’analyse technique et fonctionnelle du système, particulièrement pour un équipement (cf. figure

n°05 pour un exemple AMDEC):

o l’identification des modes de défaillance des fonctions techniques (et des échanges entre

fonctions et des échanges avec l’environnement) se fait à partir d’une décomposition

fonctionnelle,

o l’identification des modes de défaillance des composants techniques sur lesquels ont été

alloués les fonctions, ainsi que l’identification des modes de défaillances des supports

d’échange entre composants, des supports d’échange avec l’environnement, se font à partir

d’une décomposition structurelle du système (architecture, conception système) lorsque

celle-ci est disponible,

o Etc.

Figure n°05 : Modèle de tableau AMDEC

On voit donc que les modes de défaillances et donc les événements redoutés qui en découlent,

s’enrichissent au fur et à mesure de la connaissance du système.


GUI 003/OACA/SMS



sur 30

OACA

« 2. L’évaluation des incidences potentielles sur la sécurité des aéronefs, ainsi qu’une évaluation de

la gravité de ces incidences, en utilisant le mécanisme de classification de la gravité donné au

chapitre 4 de la présente annexe»

Evaluation des « incidences potentielles »

Les événements redoutés doivent être caractérisés précisément afin de pouvoir en évaluer les

conséquences potentielles du point de vue de la sécurité :

Conséquences opérationnelles ;

Moyens de détection ;

Moyens en réduction des risques ;

Durée d’exposition au danger ;

Etc.

Plus les événements redoutés seront caractérisés précisément, plus il sera facile au groupe d’utilisateurs

chargé d’évaluer la gravité de s’accorder sur le niveau de gravité. Par exemple, au lieu de « perte de

l’image radar normale », on préfèrera « perte de l’image radar normale dans toute la salle de

contrôle, pendant plus de x minutes »

Evaluation de « la gravité de ces incidences »

Le niveau de gravité, choisi en utilisant le mécanisme de classification préconisé dans la Décision

Ministérielle, doit être déterminé par « l’incidence plausible la plus néfaste raisonnablement

envisageable dans l’environnement opérationnel. ».

Le niveau de gravité tient compte des moyens en atténuation de risques (redondances, méthodes de

travail, moyens de détection…) éprouvés lorsqu’ils existent, et/ou résulte de la spécification de

nouveaux moyens compensatoires (techniques, procéduraux, humains, dont il faudra justifier

l’efficacité, qui donneront lieu éventuellement à des exigences en §2.3). Par exemple, vis-à-vis d’un

événement redouté tel que « perte de l’image radar normale (i.e. issue du FDP) sur une position de

contrôle pendant plus de x minutes », le secours ultime radar et les strips peuvent être considérés

comme des moyens en réduction de risque.

Il est important de préciser que des barrières « ultimes » comme le filet de sauvegarde et le

TCAS ne sont pas utilisables dans le document de l’étude de sécurité pour réduire la gravité ou


GUI 003/OACA/SMS



sur 30

OACA

la fréquence d’occurrence estimée. La réduction de risque doit se faire en amont de tels dispositifs,

censés éviter la collision.

Pour déduire l’incidence d’un danger sur les opérations et en déterminer la gravité, l’approche/la

procédure systématique doit inclure (sans s’y limiter) les incidences des dangers sur les différents

éléments constitutifs du système ATS, telles que :

- Incidence du danger sur l’équipage (charge de travail, aptitude à exercer ses fonctions etc..) ;

- Incidence du danger sur les contrôleurs de la circulation aérienne (charge de travail, aptitude à

exercer ses fonctions etc.) ;

- Incidence du danger sur les capacités fonctionnelles des aéronefs ;

- Incidence du danger sur les capacités fonctionnelles de la composante sol du système ATS ;

- Incidence du danger sur l’aptitude à fournir des services de gestion de la circulation aérienne dans

de bonnes conditions de sécurité (ampleur de la perte/dégradation des services/fonctions ATS). »

On pourra également rajouter dans ces critères le nombre d’avions potentiellement impactés par

l’événement redouté considéré, toujours en raisonnant sur une situation de trafic chargée (ou autre

condition d’environnement « raisonnablement pessimiste » pertinente pour l’étude).

« 3. la détermination des objectifs de sécurité proprement dit, exprimés comme la probabilité

maximale d’occurrence d’un danger, et déterminés à partir de la gravité et de la probabilité

maximale d’occurrence de ses incidences»

Expression de la « probabilité maximale d’occurrence d’un danger »

Il s’agit de fixer, pour chaque événement redouté identifié au travers des analyses précédentes, le seuil

d’acceptabilité opérationnel en terme de fréquence maximale d’occurrence de l’événement redouté.

Le terme « fréquence d’occurrence » s’entend au sens mathématique du terme (i.e un nombre), ou au

sens qualitatif (i.e fréquence du type « improbable », « rare », « probable », etc.) lorsqu’il n’est pas

possible de fixer un objectif chiffré précis (néanmoins, il est souhaitable dans ce cas de viser des «ordres

de grandeur» plutôt que de se fixer des objectifs purement qualitatifs difficiles à appréhender dans

l’analyse).


GUI 003/OACA/SMS



sur 30

OACA

Détermination « de la probabilité maximale d’un danger à partir de la gravité »

Pour déterminer l’objectif de sécurité acceptable, il est recommandé d’utiliser une grille de

correspondance entre les classes de gravité et les seuils d’acceptabilité. Cela permet d’avoir une

démarche d’acceptabilité du risque cohérente pour l’ensemble des événements redoutés du système

considéré.

Dans cette approche, comme la gravité tient déjà compte des incidences potentielles dans

l’environnement considéré, la probabilité d’occurrence acceptable est directement déterminée à partir

de la gravité. Si on prend le cas par exemple d’un événement redouté ayant des causes purement

techniques, en supposant qu’on a attribué à ses conséquences le niveau de gravité G3, on lui attribuera

un objectif de 10-5 par heure opérationnelle, en se servant de la grille suivante :

Objectifs quantitatifs (par heure opérationnelle1)

10-4 10-5 10-6 10-8

Classes de

gravité

G1

G2

G3

G4

G5 Tableau n°01 : Matrice d’acceptabilité des risques pour les ERs de nature technique

En conclusion, le risque s’exprime comme une combinaison de la probabilité d’occurrence et

de la gravité. Le cadrage des objectifs de sécurité est donc un mécanisme itératif visant à

diminuer soit la gravité, soit la probabilité d’occurrence des évènements redoutés pour

atteindre les zones de risque « acceptable ».

§2.3 Exigences de sécurité (PSSA)

Texte du plan-type

Ce paragraphe explique comment, à partir des résultats obtenus aux 2.1 et 2.2, les objectifs de sécurité sont déclinés et

traduits en exigences portant sur les différentes composantes du changement envisagé.

1 A titre indicatif, pour un système fonctionnant H24, une fréquence d’occurrence de 10-4 par heure opérationnelle

(respectivement 10-5, 10-6) signifie une occurrence tous les ans environ (respectivement tous les 10 ans, tous les siècles).


GUI 003/OACA/SMS



sur 30

OACA

Objectif du §

Définir la stratégie d’atténuation des risques, en particulier en dérivant sur les différents éléments du

système les objectifs associés aux événements redoutés (par exemple au moyen d’arbres de défaillance).

On pourra également trouver tout type d’exigences dérivées: exigences en termes de formation des

opérateurs, moyens de détection etc.

Figure n°06 : Allocation d’exigences aux différents éléments du système considéré

Commentaires

Cette section traduit l’impact sur les différents éléments du système de la mise en place des moyens

techniques, procéduraux et/ou humains, qui permettent de « cadrer » et garantir la tenue des objectifs

de sécurité au §2.2 (cadrage en particulier de la gravité et /ou de la fréquence d’occurrence des

événements redoutés). Des mesures ou exigences pourront être par exemple au niveau opérationnel :

Des recommandations dont il faut assurer la traçabilité dans la documentation utilisateurs ;

L’élaboration de consignes ;

L’application de procédures particulières ;

De la formation sur tel ou tel point critique

Pour les événements redoutés d’origine techniques notamment, c’est dans cette section que l’on

va élaborer les exigences de sécurité sur des composants constitutifs du changement. On verra

apparaître les exigences SDF du type disponibilité, fiabilité, maintenabilité des composants techniques. Ces

exigences sont typiquement celles fournies aux industriels pour la réalisation de ces composants, et

qu’ils déclineront éventuellement eux-mêmes sur des composants de plus bas niveau. A ce stade de


GUI 003/OACA/SMS



sur 30

OACA

l’analyse, il est donc nécessaire de disposer d’un certain niveau de découpage structurel du système

identifiant les composants sur lesquels sont allouées les fonctions opérationnelles (architecture

physique, conception système).

Cette démarche peut être itérative, une exigence à un certain niveau pouvant ensuite être déclinée à un

niveau plus détaillé lorsque la définition du système s’affine.

§3 Evaluation de la sécurité (SSA)

Texte du plan-type:

Ce chapitre comprend l’ensemble des analyses de sécurité réalisées dans l’objectif de vérifier que le changement respecte les

objectifs de sécurité qui lui ont été assignés pour la phase d’exploitation opérationnelle.

Dans le cadre de cette évaluation, les analyses peuvent conduire à identifier des points critiques (techniques,

organisationnels, etc.) des recommandations ou encore des modifications de conception.

Objectif du §

Démontrer, par tous les moyens dont on dispose, que le système tel qu’on prévoit de le concevoir est

capable de tenir les objectifs de sécurité qui lui ont été assignés.

Commentaires

Des objectifs ont été assignés au niveau du système objet du document de l’étude, à des événements

redoutés déterminés (§2.2), des exigences dérivées peuvent avoir été spécifiées au niveau des éléments

du système (§2.3). Il faut ensuite fournir, et c’est l’objet de ce §3 :

La démonstration que les objectifs de sécurité sont atteints, comprenant en particulier l’assurance de la

mise en œuvre effective des mesures en atténuation de risques présentées. Il est reconnu qu’un

argumentaire reposant sur une combinaison d’éléments quantitatifs (modèle mathématique, analyses

probabilistes) et qualitatifs (bon processus de travail, jugement professionnel, amélioration de la sécurité

par rapport au système précédemment en service) peut être utilisé pour démontrer, avec un niveau

suffisant de confiance, que certains des objectifs et exigences de sécurité sont atteints.

Ces démonstrations du respect des exigences à tous niveaux d’une part et des objectifs de plus haut

niveau d’autre part, s’appliquent donc tout particulièrement aux différents éléments critiques du


GUI 003/OACA/SMS



sur 30

OACA

système. Elles peuvent, lorsque c’est pertinent (classiquement pour les équipements) s’appuyer sur des

techniques d’analyses statiques issues du domaine de la SDF du type :

l'Analyse des Modes de Défaillances de leurs Effets et de leur Criticité (AMDEC),

l’analyse par Arbre De Défaillances (ADD) ou Arbre de Fautes (AdF),

l’analyse par diagrammes de fiabilité,

l’analyse des modes ou causes communs,

l’analyse de zones…

Elles peuvent également intégrer la synthèse de résultats de modélisation mathématiques, de mesures de

performances, de tests, d’essais réalisés, de simulations (temps réel ou temps accéléré),

d’expérimentation avec les utilisateurs…

Concernant la modification des sous-ensembles du système ATS qui sont déjà en exploitation, une

analyse fondée sur des données historiques disponibles telles que les statistiques de sécurité (accidents,

incidents, événements spécifiquement liés à l’ATS) ou les chiffres relatifs aux erreurs humaines et aux

pannes d’équipements, généralement fournis par les mécanismes de suivi de la sécurité et de

notification des événements liés à la sécurité, peut apporter des éléments de preuve à l’appui du

processus d’assurance de la sécurité ».

§4 Analyse des phases de transition (SSA)

Texte du plan-type

Ce chapitre contient l’analyse des phases de transition, à savoir :

- l’installation dans un organisme ATS d’un système avant toute mise en service opérationnelle ;

- toutes les opérations de retrait provisoire et de remise en service correspondantes ;

- le retrait d’exploitation dès lors qu’il est envisagé.

Cette analyse doit démontrer que toutes les dispositions nécessaires sont prises afin de ne pas dégrader les niveaux de

performance sécurité lors de chacune des phases de transition. Le cas échéant des procédures de repli sont mises en évidence.

Objectif du §

Fournir l’assurance que les phases de transitions ne dégradent pas les niveaux de sécurité de l’ATS.


GUI 003/OACA/SMS



sur 30

OACA

Ce chapitre s’applique principalement aux équipements. Pour les procédures de Circulation Aérienne, la

seule phase de transition à considérer serait celle de la mise en œuvre opérationnelle, et cette phase

spécifique fait l’objet du §1.5 du document de l’étude de sécurité.

Commentaires

Par « phases de transition », il faut entendre :

Les phases qui vont du début de l’installation sur site et qui précèdent la mise en service

opérationnel (celle-ci étant analysée spécifiquement au §1.5)

Après mise en service, les phases qui vont du retrait de service provisoire (pour maintenance,

réglage, modification …) à la remise en service.

Les phases de retrait du service opérationnel.

On démontrera essentiellement que le système et les interventions éventuelles dont il fait l’objet ne

peuvent entraîner d’effets indésirables sur le fonctionnement opérationnel du système ATS pendant ces

phases. Par exemple, lors du retrait de service d’un équipement opérationnel, on effectue généralement

des travaux en salle technique (dépose de câbles, déplacement de baies techniques, …) ou en salle de

contrôle, pouvant générer des dangers spécifiques (dépose du mauvais câble, chute de baie sur des

équipements en service, nuisance sonore en salle de contrôle, etc.). L’analyse visera ici à maîtriser ces

risques par des procédures adaptées.

Ce chapitre sera complété au fil de la vie du système.

§5 Principes d’assurance sécurité

Texte du plan-type

Ce chapitre présente les moyens mis en œuvre afin de maintenir dans le temps les niveaux de performance de sécurité

atteints en termes de sécurité. Il présente la stratégie d’atténuation des risques appliquée en phase d’exploitation par

l’OACA.

Objectif du §

Exposer l’ensemble des hypothèses, indicateurs, ou autres moyens identifiés au cours de l’étude comme

devant être surveillés pendant la vie opérationnelle du système, afin de garantir son niveau de sécurité.

Au cours d’une étude, il n’est pas rare de s’apercevoir que certaines hypothèses, ou certaines « données»

utilisées pour évaluer les événements redoutés sont dimensionnantes pour la tenue des objectifs. Il faut

donc imaginer des moyens permettant de garantir dans le temps la tenue des objectifs de sécurité.


GUI 003/OACA/SMS



sur 30

OACA

Commentaires

L’assurance sécurité recouvre des mesures de surveillance et de maintien dans le temps des objectifs

de sécurité. Parmi celles-ci, on peut mentionner à titre d’exemples :

le contrôle de la mise en place et de l’efficacité des mesures identifiées de réduction de risques,

le suivi de la mise en œuvre opérationnelle de l'évolution (mise en place d’un processus de retour

d’expérience),

le suivi des hypothèses faites pour l’élaboration du document de l’étude de sécurité sur

l’environnement opérationnel et les conditions d’exploitation du système (dérives dans l’application

d’une procédure ou dans l’utilisation d’un équipement), notamment celles qui peuvent être

considérées comme des exigences de sécurité,

le contrôle de la mise en place et de l’efficacité d’indicateurs pouvant prévenir et détecter les

éventuelles dégradations des performances sécurité ainsi que le non respect des exigences sécurité ;

les audits internes au sein des entités locales et/ou des prestataires extérieurs,

la maîtrise des processus de modifications du système ATS (existence de procédures spécifiques

d’intervention, briefings lors d’évolutions de procédures, …).

§6 Synthèse

Texte du plan type

Ce chapitre présente une synthèse de l’ensemble des résultats prouvant que les niveaux de sécurité évalués correspondent

aux objectifs. L’exposé de ces résultats permet:

la formulation d’un argumentaire complet pour démontrer que le sous-ensemble considéré, de même que l’ensemble du

système ATS offrent et continueront d’offrir un niveau de sécurité conforme aux exigences, cet argumentaire pouvant

être étayé, le cas échéant, par la spécification des techniques de prévision, de suivi, et d’enquêtes utilisées

la traçabilité des indicateurs de sécurité associés à la mise en œuvre d’un changement par rapport à l’exploitation et

aux fonctions.

Objectif du §

Présenter de manière synthétique un résumé justifiant la tenue des objectifs de sécurité, accompagné

des hypothèses, indicateurs ou recommandations à suivre pour garantir dans le temps la pérennité des

résultats.