Auteur moral

France. Direction générale de l'aviation civile

Auteur secondaire

Résumé

Le <strong>Guide DSAC sur la classification du risque des comptes-rendus d'événements de sécurité</strong> (édition 1, juillet 2022) propose des méthodes pour évaluer et classer les risques des événements de sécurité aérienne. Il présente des méthodes telles que la matrice OACI, ARMS, ERCS et RAT, en soulignant leurs avantages et limitations, afin d'aider les organisations à prendre des mesures correctives appropriées.

Descripteur Urbamet

Descripteur écoplanete

Thème

Transports

Texte intégral

GUIDE CLASSIFICATION DU RISQUE DES COMPTES-RENDUS D?EVENEMENTS DE SECURITE Direction de la sécurité de l?Aviation civile Mission Evaluation et Amélioration de la Sécurité Édition no 1 Version no 1 Publiée le mercredi 27 juillet 2022 Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 2/17 Édition 1 du 27/07/22 Gestion documentaire Historique des révisions Edition et version Date Modifications Ed1v1 27/07/22 Création Approbation du document Pour tout commentaire ou suggestion à propos de ce guide, veuillez contacter la direction de la sécurité de l?aviation civile à l?adresse rex@aviation-civile.gouv.fr et en incluant [Guide classification du risque] dans l?objet du courriel. Sommaire Gestion documentaire ............................................................................................................................................ 2 Historique des révisions ............................................................................................................................................ 2 Approbation du document ......................................................................................................................................... 2 Sommaire................................................................................................................................................................. 2 1. Préambule et objet du document ...................................................................................................................... 3 2. Références .......................................................................................................................................................... 3 3. Les processus clés du traitement des événements ....................................................................................... 4 3.1. Analyse de l?événement .................................................................................................................................... 4 3.2. Détermination de la classification du risque de l?événement............................................................................. 6 3.3. Actions correctives/préventives ......................................................................................................................... 6 4. Exemples de méthodes de classification des risques ................................................................................... 7 4.1. Définitions .......................................................................................................................................................... 7 4.2. Classification « matrice OACI » ......................................................................................................................... 8 4.3. La méthode ARMS (Aviation Risk Management Solutions) .............................................................................. 9 4.4. La méthode ERCS (European Risk Classification Scheme) ........................................................................... 11 4.5. La méthode RAT (Risk Analysis Tool) ............................................................................................................. 13 4.6. Comparaison des méthodes ............................................................................................................................ 15 4.7. Méthode par domaine ...................................................................................................................................... 16 4.8. Recommandation de remplissage du champ « Classification du risque » dans les comptes-rendus ............ 16 4.9 Identification des champs de la taxonomie ADREP/OACI et correspondance avec les informations des CRES ...................................................................................................................................................................... 17 mailto:rex@aviation-civile.gouv.fr Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 3/17 Édition 1 du 27/07/22 1. Préambule et objet du document Le règlement UE n°376/2014 prévoit dans son article 7 que les comptes-rendus des évènements de sécurité doivent contenir un classement de l?événement concerné au regard des risques pour la sécurité. Cette classification constitue un outil d?aide à la décision dans le traitement des évènements de sécurité par les organisations et dans leur choix de prendre des actions correctives en temps utile, le cas échéant. Ce règlement n?impose aucune méthode de classification pour les organisations qui sont libres de choisir la méthode qui est adaptée aux risques qui ont été identifiés et traités par leur système de gestion de la sécurité. L?objectif du guide est de présenter la manière dont s?insère le processus de classification des risques dans le cadre général du traitement des événements de sécurité par les organisations. Ce guide vise également à présenter les méthodes de classification -au regard du risque- les plus communément utilisées par les organisations françaises à ce jour. Ce guide s?adresse à toutes les organisations auxquelles le règlement (UE) n°376/2014 s?applique. Des compléments seront ajoutés ultérieurement pour traiter le cas particulier de l?aviation légère. Ce guide s?inscrit dans le cadre de la mise en oeuvre par l?Autorité du mécanisme européen commun de classification des risques, l?ERCS (European Risk Classification Scheme), tel que défini dans le règlement délégué UE n°2020/2034. 2. Références Règlement (UE) n °376/2014 du Parlement européen et du Conseil du 3 avril 2014 concernant les comptes rendus, l'analyse et le suivi d'événements dans l'aviation civile Easy Access Rules for Occurrence Reporting(Regulation (EU) N° 376/2014), EASA Définition de la méthode ERCS : Règlement délégué (UE) n°2020/2034 de la Commission Européenne Application de la méthode ERCS : Règlement d?exécution (UE) n°2021/2082 de la Commission Européenne Manuel de Gestion de la Sécurité de l?OACI (Doc 9859), Edition 4. 2018 https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32014R0376 https://www.easa.europa.eu/document-library/easy-access-rules/occurrence-reporting-rule-book-easy-access-rules https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32020R2034 https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32020R2034&from=en https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:02021R2082-20211129&from=EN https://store.icao.int/en/safety-management-manual-doc-9859 Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 4/17 Édition 1 du 27/07/22 3. Les processus clés du traitement des événements Les comptes rendus d?événement doivent faire l?objet d?un traitement dans des délais acceptables afin que les mesures nécessaires puissent être prises en temps utile. Les principaux processus qui seront décrits dans la suite sont rappelés dans le schéma simplifié ci-dessous. Figure 1 - Aperçu des processus de traitement des comptes-rendus Note : le délai de 72h pour la notification à l'autorité de la part de l'organisation ne commence qu'une fois que l'organisation a pris connaissance de l'évènement Les termes « danger », « risque pour la sécurité aérienne » ou encore « barrière de sécurité » sont définis dans la section 4.1. 3.1. Analyse de l?événement Pour chaque compte-rendu d?événement de sécurité, l?organisation doit mener une analyse de l?événement afin de déterminer s?il présente un risque réel ou potentiel pour la sécurité. L?objectif de cette analyse est de permettre de comprendre l?enchainement des faits qui ont conduit à l?évènement afin que des mesures adaptées soient prises en temps opportun. Les éléments qui y sont consignés doivent permettre de répondre à la question ?comment et pourquoi l?évènement est-il survenu ??. Au-delà de la détermination des défaillances éventuelles des acteurs de première ligne (défaillances actives), l?analyse doit également s?intéresser à la détermination des causes racines (défaillances latentes). On y trouvera dans le cas général1 : 1 Les termes utilisés sont définis dans la section 4.1 Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 5/17 Édition 1 du 27/07/22 ? Un descriptif du scénario ayant conduit à l?évènement, contenant l?enchainement des faits et permettant de répondre aux trois questions : Quoi ? Comment ? Pourquoi ? l?évènement est survenu, ? La détermination des dangers pour la sécurité et des risques associés, ? La détermination du ou des événement(s) ultime(s) associé(s) à l?incident, ? Le cas échéant, une analyse de l?efficacité des barrières de prévention et de récupération : celles qui ont fonctionné, celles qui n?ont pas fonctionné, celles qui n?étaient pas en place au moment de l?évènement (de façon connue ou non de l?organisation). L'analyse réalisée par l'organisation doit lui permettre de déterminer de façon adéquate la classification du risque de l?événement concerné et la pertinence des mesures prises. Si par exemple pour la détermination de la classification du risque, l?organisation utilise un modèle en barrière, l?analyse pourra de façon utile contenir une évaluation de l?efficacité des barrières mises en jeu lors de l?événement. Le niveau d?analyse doit être adapté à la gravité et à la récurrence de l?événement. Transmission à l?autorité des éléments d?analyse Si aucun risque potentiel pour la sécurité n?est identifié, le renseignement du champ dédié au renseignement des éléments d?analyse (Conclusions dans la taxonomie ADREP/ECCAIRS2 et dans les formulaires CRES) n?est pas obligatoire. La classification du risque, qui est à réaliser dans tous les cas, doit refléter cette absence de risque pour la sécurité (voir paragraphe 0 ci-après). Si un risque potentiel pour la sécurité est mis en évidence, le renseignement des éléments d?analyse devient obligatoire selon l?article 13 du règlement (UE) n°376/2014. Ces éléments doivent être transmis au plus tard 1 mois après la transmission du compte-rendu d?événement à l?organisation pour l?analyse préliminaire puis au plus tard 3 mois pour l?analyse finale. Lorsqu?une action corrective est décidée par l?organisation, elle doit être renseignée dans le champs Corrective actions dans la taxonomie ADREP/ECCAIRS ou la section « Actions correctives » des formulaires CRES. La description factuelle de l?événement doit être transmise dans le champ Narrative de la taxonomie ADREP/ECCAIRS ou la section Description de l?événement des formulaires CRES. Elle est complétée par le remplissage des champs obligatoires communs et spécifiques de l?annexe I du règlement (UE) n°376/2014 (notamment catégorie d?événement, type d?événement, marque/modèle/série de l?aéronef le cas échéant). Champ obligatoire 72 heures 1 mois 3 mois Classification du risque X X (si amendement) X (si amendement) Analyse préliminaire X (si risque potentiel sécurité) Analyse finale X 2 La taxonomie ADREP (Accident/Incident Data Reporting), mentionnée dans l?art. 7.1.4 du reg. (UE) 376/2014, sert de structure de données pour les comptes-rendus stockés dans la base de données ECCAIRS (European Coordination Centre for Accident and Incident Reporting Systems). Pour l'ensemble des champs issus de la taxonomie ADREP/ECCAIRS, la section 4.8 regroupe le nom des champs, leur n°ID (utile pour les organisations utilisant l'E5X) et une copie d'écran du CRES. https://www.ecologie.gouv.fr/notifier-incident#scroll-nav__7 https://e2.aviationreporting.eu/taxonomy Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 6/17 Édition 1 du 27/07/22 3.2. Détermination de la classification du risque de l?événement L?organisation doit déterminer un classement au regard du risque pour la sécurité pour chaque événement, selon la méthode de son choix. La classification du risque fait partie des champs obligatoires qui doivent être transmis à l?Autorité. Elle doit donc être renseignée pour tous les événements notifiés, y compris lorsque l'analyse de l?évènement révèle qu?aucun risque pour la sécurité n?est identifié. Une classification du risque initiale est fournie lors de la première transmission du compte-rendu à la DSAC, soit moins de 72 h après la connaissance de l?événement par l?organisation. Cette classification initiale, basée sur les éléments connus à ce stade, sera révélatrice du besoin de prendre des actions correctives immédiates le cas échéant. Elle devra faire l?objet d?une révision en fonction de l?approfondissement de l?analyse de l?événement au fil du temps et d?éventuelles actions mises en place par l?organisation. Les éléments d?analyse et la classification du risque potentiellement amendée sont fournies lors des transmissions à la DSAC. Le guide présente dans le chapitre 4 les méthodes de classification du risque les plus communément utilisées par les organisations françaises : matrice OACI, ARMS et RAT. Les principes généraux de chaque méthode y sont décrits et le guide renvoie vers différents documents présentant les modalités précises d?utilisation de chaque méthode. La méthode ERCS, définie dans le règlement délégué (UE) n°2020/2034 et qui deviendra obligatoire pour les autorités à compter du 1er janvier 2023, peut également être utilisée par les organisations qui le souhaitent. Elle est également présentée dans ce guide. Transmission à l?autorité de la classification du risque ? Un score initial de classification du risque doit être fourni au plus tard 72h après la connaissance de l?événement par l?organisation. ? Le score doit être inscrit dans le champ Risk classification de la taxonomie ADREP/ECCAIRS ou dans la section Risque des formulaires CRES. Il doit suivre les consignes de format dans la section 4.8. ? La méthode de classification du risque doit être inscrite dans le champ Risk methodology de la taxonomie ADREP/ECCAIRS ou dans la section « Méthodologie de classification » des formulaires CRES. ? Le score sera révisé en fonction de l?évolution de l?analyse de l?événement par l?organisation. 3.3. Actions correctives/préventives En se basant sur les éléments ci-dessus, dont la classification du risque mais pas uniquement, l?organisation prend des actions correctives ou préventives en temps utile, si elle l?estime nécessaire. Ces actions doivent pouvoir être prises immédiatement pour les événements les plus graves ou si un degré d?urgence vis-à-vis de la sécurité le nécessite. La réalisation des actions en elle-même peut quant à elle être prolongée au-delà de la clôture du compte-rendu de l?événement. Les actions doivent s?attaquer aux causes racines de façon à éviter une récurrence. L?organisation doit contrôler la mise en oeuvre effective des actions prévues et en évaluer leur efficacité. Le fait de formuler de façon répétitive la même action pour plusieurs événements similaires peut alerter sur la faible efficacité de cette action. Transmission à l?autorité ? Les actions correctives/préventives décidées le cas échéant doivent être transmises au plus tard 3 mois après la connaissance de l?événement par l?organisation. ? Elles doivent être renseignées dans le champ actions correctives de la taxonomie ADREP/ECCAIRS et des formulaires CRES Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 7/17 Édition 1 du 27/07/22 4. Exemples de méthodes de classification des risques 4.1. Définitions ? « Danger » : une situation ou un objet qui est susceptible de causer la mort ou des blessures corporelles, des dommages à l'équipement ou aux structures, une perte de matériel, ou une réduction de la capacité à exécuter les fonctions assignées ; ? « Risque pour la sécurité aérienne » : probabilité et gravité prévues des conséquences ou résultats d'un danger ? « Gravité » : l?étendue du dommage (humain ou matériel) qui pourrait raisonnablement se produire ? « Evénement indésirable (EI) » : événement non souhaité au regard des services attendus. L?événement indésirable est une situation dangereuse ou danger, se situant juste avant l?accident ou incident grave dans la chaîne causale. ? « Evénement ultime (EU) » : accident ou incident grave au sens de l?annexe 13 de l?OACI faisant suite à la survenue d?un événement indésirable. ? « Barrière de sécurité ou défense » : Mesure d?atténuation spécifique, contrôle préventif ou mesure de rétablissement mise en place pour empêcher qu?un danger se réalise ou s?accroisse jusqu?à une conséquence indésirable. On distingue généralement les barrières de prévention (avant l?EI) et les barrières de récupération (après l?EI). La barrière de sécurité va agir soit de manière à réduire la probabilité, soit de manière à réduire la gravité des conséquences d?un danger. Figure 2 : représentation de type Bow Tie Les méthodes présentées ci-après sont : - La classification ?matrice OACI? - La méthode ARMS (ERC) - La méthode RAT La méthode ERCS Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 8/17 Édition 1 du 27/07/22 4.2. Classification « matrice OACI » Acteurs concernés : La matrice OACI est une méthode généraliste qui peut être applicable à tout type d?acteur de l?aviation civile. Principe de la méthode : L?OACI présente dans le Manuel de gestion de la sécurité (doc 9859) la façon d?évaluer le risque issu d?un danger identifié et qui est représenté dans une matrice à deux dimensions : probabilité et gravité du risque (voir figure 3). La méthode consiste donc à évaluer le risque généré par un danger de manière générale et pas spécifiquement à évaluer la gravité d?un événement de sécurité donné. La probabilité des risques de sécurité est définie comme la probabilité d?occurrence d?une conséquence ou d?un résultat en matière de sécurité. Les différents niveaux de probabilité peuvent être définis par des termes qualitatifs mais aussi par des termes quantitatifs permettant une évaluation plus précise. La définition utilisée dépend de la disponibilité de données de sécurité appropriées (comme par exemple les comptes-rendus d?événements de sécurité) et de la taille ou complexité de l?organisation et de l?exploitation. En première approximation, la probabilité peut être estimée avec la fréquence des événements indésirables liés au danger identifié. La gravité du risque de sécurité est définie comme l?étendue du dommage qui pourrait raisonnablement se produire en conséquence ou comme résultat du danger identifié. La classification de la gravité doit prendre en compte les pertes de vies humaines ou les blessures graves ainsi que les dommages matériels sur les aéronefs ou l?infrastructure. L?évaluation de la gravité doit envisager toutes les conséquences possibles d?un danger, en tenant compte de la situation la plus défavorable prévisible. Figure 3 : exemple de matrice OACI Avantages : La matrice des risques OACI présente l?avantage d?être facile d?utilisation et peut être aisément personnalisée pour refléter le contexte de chaque organisme. Limitations : Le score obtenu n?est pas spécifique à un événement de sécurité donné mais aux dangers présents dans cet événement. Ainsi les comptes-rendus d?événement reçoivent en général une classification du risque « forfaitaire » correspondant à un ou plusieurs EI et les dangers associés sans prendre en compte les potentielles spécificités de l?événement analysé. Cette méthode ne fait pas référence directement à des barrières de sécurité. Pour plus de détail sur la méthode, se référer aux paragraphes 2.5.3 à 2.5.5 du Manuel de gestion de la sécurité de l?OACI (doc 9859). Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 9/17 Édition 1 du 27/07/22 4.3. La méthode ARMS (Aviation Risk Management Solutions) La méthode ARMS se décompose en deux grandes étapes : l?ERC (Event Risk Classification) qui détermine la classification du risque d?un événement de sécurité et SIRA (Safety Issue Risk Assessment Tool) utilisée pour l?évaluation du niveau de risque de problématiques de sécurité ainsi que pour l?évaluation de la sécurité lors d?un changement. Le présent document traitera uniquement de la partie ERC qui est plus spécifiquement dédiée à la détermination du niveau de risque d?un unique événement. Acteurs concernés : La méthode ARMS/ERC a été développée par des compagnies aériennes. Elle peut être étendue à d?autres domaines sous réserve qu?un modèle en barrière adapté au domaine soit développé (maintenance, gestion de navigabilité, ATM/ANS par exemple). Principe de la méthode : La méthode ARMS/ERC consiste à répondre dans l?ordre à deux questions : Question 1 : si l?événement avait conduit à un accident (Eu), quelle aurait été la conséquence la plus crédible ? Question 2 : quelle était l?efficacité des barrières restantes entre l?événement et le scénario d?accident le plus crédible ? La réponse à la Question 1 permet d?attribuer un niveau de gravité (choix de la ligne, voir matrice ci-après) en termes de conséquences sur l?aéronef et blessure ou perte potentielle de vie humaine. La réponse à la Question 2 permet d?obtenir un niveau d?évaluation des barrières restantes entre l?événement et l?accident potentiel (choix de la colonne). Le résultat (niveau de risque ERC) se lit à l?intersection de la ligne et de la colonne choisies. Figure 4 : exemple de matrice ARMS-ERC Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 10/17 Édition 1 du 27/07/22 Question 1 : Si cet événement avait conduit à un accident (EU), quelle aurait été la conséquence la plus crédible ? Il convient d?abord de déterminer comment l'événement aurait pu aboutir à un accident (voir les exemples de scénarios d?accidents types à droite de la matrice ARMS/ERC). En général, cette détermination dépend d?actions des personnes impliquées, de la façon dont le danger affecte le vol et du comportement de la barrière. A ce stade, il ne faut pas exclure les scénarios improbables. La question 2 tiendra compte de la probabilité (faible) Parmi les scénarios aboutissant à un accident, la méthode consiste à choisir le scénario d?accident le probable et sélectionner la ligne correspondante dans la matrice. Il s?agit ensuite de déterminer quelles seraient les conséquences potentielles d?un tel accident. Note : On ne s?intéresse à la réponse à la question 2 uniquement lorsque la valeur ERC à la question 1 est différente de la valeur 1 (l?ERC a une valeur à 1 lorsque la sécurité n?est pas mise en jeu dans l?événement ? absence de conséquence potentielle). Question 2 : Quelle était l?efficacité des barrières restantes entre l?événement et le scénario d?accident le plus crédible ? Figure 5 : Une fois le scénario menant à l?EU choisi (flèche rouge) la deuxième étape consiste en l?évaluation des barrières concernées Pour évaluer la marge de sécurité restante, il convient de considérer à la fois le nombre et la robustesse des barrières restantes entre cet événement et le scénario d'accident identifié à la question 1. Les barrières qui n?ont pas fonctionné sont ignorées. Résultat ARMS/ERC: A l?issue du processus ARMS/ERC, l?intersection entre la ligne et la colonne choisies détermine le résultat comprenant : : ? une valeur numérique de score de risque (indice ERC) de l?événement ? une indication sur le type d?action à envisager qui est donnée par la couleur associée à l?indice ERC de la matrice Avantages : ARMS/ERCS prend en compte de l?efficacité des barrières pertinentes à l?exploitation de l?organisation. Elle est applicable à de multiples domaines. Limitations : Nécessite le développement préalable d?un modèle en barrière adapté au domaine/opérateur. Pour plus de détail sur la méthode, voir le Guide ARMS. https://skybrary.aero/bookshelf/arms-illustrated-how-risk-assess Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 11/17 Édition 1 du 27/07/22 4.4. La méthode ERCS (European Risk Classification Scheme) Acteurs concernés : Selon le règlement (UE) 376/2014, la méthode ERCS a été développée pour les besoins des autorités. Les organisations ont également la possibilité d?utiliser cette méthode si elles l?estiment adaptée à leur besoin. Principe général : L?ERCS est une méthode appliquée pour évaluer le risque que présente un événement pour l?aviation civile, sous la forme d?une note de risque pour la sécurité. L?ERCS est fondé sur une matrice composée des deux variables suivantes : ? Gravité : identification du pire accident consécutif qui aurait pu se produire si l?événement évalué avait dégénéré en accident (événement ultime ? Eu) et évaluation des pertes potentielles de vies humaines ? Probabilité : identification de la probabilité que l?événement évalué finisse par causer le pire accident consécutif Gravité Pour ce faire, la méthode prend en compte à la fois la taille de l'aéronef, la proximité de zones habitées et la gravité des conséquences que l?évènement ultime aurait pu entraîner (gravité de l?accident consécutif potentiel). Après avoir sélectionné le pire accident consécutif potentiel, la gravité est déterminée grâce à des tableaux inclus dans l?Annexe du règlement (UE) 2020/2034. Note : L?événement ultime sélectionné en appliquant la méthode ERCS correspond au pire accident consécutif potentiel alors que celui sélectionné en appliquant la méthode ARMS/ERC correspond à l?accident consécutif le plus crédible qui n?est pas systématiquement le pire accident potentiel. Probabilité La probabilité est déterminée par un modèle en barrière permettant de déterminer la proximité de l?événement examiné au pire accident consécutif. Note : les barrières évaluées sont : Conception de l?aéronef, de l?équipement et de l?infrastructure / Planification tactique / Règlements, procédures, processus / Appréciation de la situation et action / Fonctionnement des systèmes d?alerte et action / Intervention tardive permettant d?éviter un accident potentiel / Protections / Événement à faible énergie. Notation du risque pour la sécurité dans la matrice ERCS La note de risque pour la sécurité comporte deux composantes (voir figure 6) : la première correspond à la valeur alphabétique résultant du calcul de la gravité de l?événement (indices de gravité A à X), et la seconde représente la valeur numérique résultant de l?évaluation des barrières (0 à 9). À chaque note de risque pour la sécurité donnée correspond également une note numérique équivalente (voir explication dans la rubrique « note numérique équivalente » de l?annexe au règlement) La matrice ERCS reflète la note de risque pour la sécurité et les valeurs numériques associées d?un événement, comme indiqué ci-après : Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 12/17 Édition 1 du 27/07/22 Figure 6 : matrice ERCS Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 13/17 Édition 1 du 27/07/22 Avantages : la méthode ERCS fournit des résultats harmonisés qui permettent de comparer la gravité d?événements de domaines différents ; la méthode est universelle : elle est applicable à de nombreux types d?événements et domaines. Limitations : L?évaluation des barrières de haut niveau de la méthode ERCS nécessite une évaluation fine des barrières propres à chacun des acteurs, qui n?est pas détaillée dans la méthode. Peu de recul sur l?application de la méthode ERCS. Pour plus de détail sur la méthode, voir le règlement délégué (UE) n°2020/2034 et le règlement d?exécution (UE) n°2021/2082. 4.5. La méthode RAT (Risk Analysis Tool) Le RAT est un outil conçu par Eurocontrol pour évaluer le niveau de gravité d?un événement de sécurité du domaine ATM (Air trafic Management - Gestion du trafic aérien). Cette méthodologie permet de classer en gravité certains événements exploitation et techniques3 spécifiques au domaine ATM/ANS Acteurs concernés : la méthode est exclusivement adaptée aux prestataires de gestion du trafic aérien et de services de navigation aérienne (ATM/ANS) pour évaluer la gravité de certains événements de circulation aérienne (en particulier les incursions sur piste, pertes de séparation, quasi-CFIT) et d?événements techniques. Principe de la méthode pour un événement exploitation : Le niveau de risque d?un événement est calculé en tenant compte de la « gravité » et de la « probabilité de nouvelle occurrence » de l'événement. La composante "gravité" (aussi appelée « Gravité ATM Global ») pour un événement exploitation comprend deux éléments principaux : le risque de collision et le degré de maitrise de l?événement. - Le risque de collision a été défini comme une combinaison de la séparation effective entre aéronefs et du taux de rapprochement. - Le degré de maîtrise de l?événement renvoie au niveau de maîtrise exercé par les contrôleurs aériens et les pilotes impliqués dans l'événement. Elle est déterminée par l?utilisation d?un modèle en barrière sur le principe des plaques de Reason. Note : les barrières évaluées sont : détection du conflit, stratégie de résolution, mise en oeuvre de la stratégie de résolution, filets de sauvegarde sol (STCA, MSAW, RIMCAS, etc.), récupération, filets de sauvegarde bord/ voir et éviter, réaction du pilote/conducteur au RA-TCAS/GPWS/ voir et éviter. Note 2 : la « gravité ATM sol » (ou gravité ATS) représente la composante de la « Gravité ATM global » correspondant au service rendu par le prestataire ATS au moment de l?événement. La composante "gravité" pour un événement technique, consiste à évaluer le Niveau de Dysfonctionnement Technique (NDT) qui caractérise l?impact sur la capacité du système à rendre le service (Ex : incapacité totale à rendre le service, aucune incidence sur le service, etc.) La probabilité de nouvelle occurrence (pour les événements exploitation et techniques) prend en compte l?analyse des causes et facteurs contributifs systémiques et non systémiques de type facteur humain au sein du prestataire de service de navigation aérienne ainsi que le contexte (conditions de trafic et état de l?ATM Sol). La finalité est d?estimer la probabilité qu?un évènement similaire se reproduise. Note : les facteurs systémiques pris en comptes sont : procédures, équipements, gestion des ressources humaines. les facteurs non systémiques pris en compte sont : facteurs humains en lien avec les conditions du poste de travail, les facteurs de personnalité, physiologiques, états émotionnels, erreurs (de collationnement, etc.) 3 Les événements techniques sont classés à l?aide de la méthode nommée RAT FHA (Functional Hazard Assessment) https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32020R2034 https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32020R2034&from=en https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:02021R2082-20211129&from=EN Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 14/17 Édition 1 du 27/07/22 Figure 7 : Modèle d?évaluation des risques utilisé par la méthode RAT (événement exploitation) Le résultat de l'évaluation d'un événement avec la méthodologie RAT fournit le risque que cet événement a posé sur le système ATM, en particulier sur sa partie sol (centre ATC) mais aussi sur l'ensemble du système ATM (partie sol et partie air, y compris la participation de l'équipage). Avantages : pour les événements exploitation, elle contient des considérations ATM objectivées ainsi qu?une évaluation de barrières, en faisant une méthode reproductible. Limitations : restreintes à certains événements ATM exploitation (incursion sur piste avec conflit, pertes de séparation, quasi-collision avec le sol) et aux événements techniques. Ne prend pas en compte les conséquences en termes de perte potentielle de vie humaine ou dommages matériel. Pour plus de détail sur la méthode, voir le guide RAT : EUROCONTROL Risk Analysis Tool (RAT) Guidance Material Taux de rapprochement (V ou H) https://skybrary.aero/bookshelf/books/3276.pdf https://skybrary.aero/bookshelf/books/3276.pdf Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 15/17 Édition 1 du 27/07/22 4.6. Comparaison des méthodes Matrice OACI ARMS (ERC) ERCS RAT Gravité L?étendue du dommage qui pourrait raisonnablement se produire en conséquence ou comme résultat du danger identifié. Conséquence la plus crédible de l?EU le plus crédible. Conséquence du pire accident consécutif. Ev.Exploitation : Evaluation de la proximité de la collision et du niveau de maîtrise de l?événement par l?ensemble des acteurs (modèle en barrière). Ev. techniques : évaluation du Niveau de Dysfonctionnement Technique. Probabilité La probabilité d?occurrence d?une conséquence ou d?un résultat en matière de sécurité. En général, évaluée de façon approximative par la fréquence de l?EI. Efficacité des barrières restantes. Barrières restantes entre l?événement considéré et le pire accident consécutif. Probabilité de nouvelle occurrence de l?événement (PNO) (facteurs systémiques et non systémiques). Avantage Facile d?utilisation et peut être aisément personnalisée pour refléter le contexte de chaque organisme. Prise en compte de l?efficacité des barrières pertinentes à l?exploitation de l?organisation. Applicable à de multiples domaines. Prise en compte de l?efficacité de barrière génériques Applicable à de multiples domaines Comparaison d?événements de domaines, d?organisations et de pays différents prévue par la réglementation UE. Méthode reproductible Pour les événements exploitation, elle contient des considérations ATM objectivées ainsi qu?une évaluation des barrières. Limitations La méthode permet l?évaluation du risque associé à un danger et non directement à un événement. Pas de référence à des barrières. Nécessite le développement préalable d?un modèle en barrière adapté au domaine/opérateur. L?évaluation des barrières de haut niveau de la méthode ERCS nécessite une évaluation fine des barrières propres à chacun des acteurs, qui n?est pas détaillée dans la méthode. Peu de recul sur l?application de la méthode ERCS La méthode est limitée à certains événements ATM/ANS. Ne prend pas en compte les conséquences en terme de perte potentielle de vie humaine ou dommages matériel. Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 16/17 Édition 1 du 27/07/22 4.7. Méthode par domaine Domaine Méthode courante Méthode avancée Opération aérienne ARMS ARMS + Bow tie Aéroport Matrice OACI ARMS adapté au domaine ATC RAT RAT + ARMS AFIS Arrêté du 26 mars 2004 ERCS Maintenance ARMS ARMS + Bow Tie ATO Méthodes internes ERCS 4.8. Recommandation de remplissage du champ « Classification du risque » dans les comptes-rendus Méthode de classification du risque Recommandation de remplissage Exemple Matrice OACI Gravité = valeur ; Probabilité = valeur (; Autres détails) Gravité = Majeur ; Probabilité = Improbable ARMS Valeur (; Autres détails) 500 ; bow tie XX.2 approche non stabilisée ERCS [Note gravité][Note probabilité] (; Autres détails) X3 ; EU : Collision en vol, [évaluation de chaque barrière] RAT [Gravité ATM Global][ Gravité ATM Sol][Probabilité de Nouvelle Occurrence] (; Autres détails) BB3 Autre Gravité = valeur ; Probabilité = valeur (; Autres détails) Gravité = 10-20 victimes ; Probabilité = 10-6 De plus, il est recommandé d?inscrire le nom de la méthode de classification du risque utilisée sur le compte rendu dans le champ « Méthodologie de classification » des formulaires CRES ou le champ ADREP « Risk methodology » (1066) https://www.legifrance.gouv.fr/loda/id/LEGITEXT000005765597/ Guide DSAC Classification du risque des comptes-rendus d?événements de sécurité Édition 1 Page : 17/17 Édition 1 du 27/07/22 4.9 Identification des champs de la taxonomie ADREP/OACI et correspondance avec les informations des CRES Libellé ADREP ID ECCAIRS CRES Narrative 425 Conclusions 1070 Risk classification 1065 Risk methodology 1066 Correctives actions 1069 Occurrence Category 430 Event Type 390