Méthodes et Objectifs de sécurité - univ-reims.fr · SECURITE 2004/49 96/48 2001/16 OSC, MSC,...

1

Méthodeset

Objectifs de sécurité

Joffrey CLARHAUT

Interopérabilité de la sécurité ferroviaire

Workshop 3SGS 2010, Reims, 30 Septembre 2010

2

1. Avant propos : vers un réseau ferroviaire unique

2. Les objectifs de sécurité communs (OSC)

3. Les méthodes d'évaluation de la sécurité (MSC)

4. Références

Plan

3

Plusieurs systèmes ferroviaires en Europe

Incompatibilité de ces systèmes entre eux:Coût très élevé, perte de

temps, …

Recherche d’une harmonisation du réseau ferroviaire européen

Interopérabilité et sécurité (1/7)

Constat simple :

4

INTEROPERABILITE

1 GI RECOIT

PLUSIEURSEF

1 EF TRAVERSEPLUSIEURS

INFRASTRUCTURES (GI)

RFF : SNCFTHALYSEUROSTARCONNEXSNCBEWSI…

EUROSTAR : RFF EUROTUNNEL CTRL NETWORKRAIL SNCB (INFRABEL) …

96/482001/16


5

ERTMS (European Rail Traffic Management System)

Objectifs du système ERTMS :- Remédier à la fragmentation du réseau ferroviaire

- Standardiser les multiples systèmes de signalisation

- Apporter une solution économique et technique à l’interopérabilité

Principes du système ERTMS :- Pas d’arrêt des trains aux frontières

- Pas de changement des engins aux frontières

- Pas de changement de conducteur aux frontières

- Utilisation d’actions de conduite normalisées ERTMS


6

INTEROPERABILITE (STI)

Nécessitée de règles communes pour la

sécurité

2004/49SECURITE

96/482001/16

OSC, MSC, Certificat, Agrément, SMS …


7

Principes :

Chaque état membre veille à l’application du principe GAME en matière de sécurité

Chaque GI et chaque EF est responsable de la sécurité

Chaque GI doit être titulaire d’un Agrément délivré par l’Autorité de Sécurité (AS) de l’état membre où il est implanté

Chaque EF doit être en possession d’une Licence délivrée par un des états membres et d’un Certificat de sécurité, pour chaque infrastructure empruntée, délivré par l’AS compétente

Les Agréments, Licences et Certificats sont délivrés sur la base d’un dossier explicitant pour chaque entreprise son Systeme de Management de la Sécurité (SMS)


8

Développer des procédés communs pour l’évaluation du niveau de sécurité et des performances de chaque acteur

au niveau communautaire et dans les états membres

Le SMS permet de clarifier les responsabilités en tenant compte de la gestion des interfaces


9

Interopérabilité SécuritéReconnaissance

mutuelle


10




4. Références

Plan

11

Directive 2004/49, Art. 7(4) : « Objectifs de Sécurité Communs (OSC) »

définissent les niveaux de sécurité qui doivent être au moins atteints par

les différentes parties du système ferroviaire et par le système dans son

ensemble dans chaque état membre, exprimés sous forme de critères

d'acceptation des risques suivants :

a) les risques individuels auxquels sont exposés les passagers,

le personnel (y compris le personnel des contractants), les

utilisateurs des passages à niveau et autres, … et les

personnes non autorisées se trouvant sur les installations

ferroviaires,

b) les risques pour la société.

Les objectifs de sécurité communs (1/12)

12

S'assurer que le niveau de sécurité est maintenu

Améliorer le niveau de sécurité là où c'est nécessaire

Faciliter l'ouverture du marché ferroviaire

Préserver la compétitivité du secteur

Mettre en œuvre dans les états membres


13

Les OSCs sont relatifs aux personnes grièvement blessées et aux personnes tuées par type d'accident et applicables dans chaque catégorie :

1. Passagers

2. Employés, y compris le personnel des contractants

3. Les utilisateurs des passages à niveau

4. Tiers partie (Innocent)

5. Personnes non autorisées se trouvant sur les installations ferroviaires (Intrusion)

6. Pour la société (Total personnes tuées ou grièvement blessées/train.km)

Morts et blessures graves pondérées (MBGP): 1 blessure grave étant considérée comme statistiquement équivalente à 0,1 mort


14

Catégorie de risque Unités de mesure Bases d'étalonnage

1. Passagers 1.1 Nb de MBPG passagers par an / Nb trains voyageurs-km par an1.2 Nb de MBPG passagers par an / Nb voyageurs-km par an

Train de voyageurs-km par an

Voyageurs-km par an

2. Personnel Nb de MBPG personnel par an / Nb de train-km par an

Train-km par an

3. Utilisateurs PN 3.1 Nb de MBPG utilisateurs PN par an / Nb de train-km par an3.2 Nb de MBPG utilisateurs PN par an / Nb de train-km par an x Nb e PN/voie-km

Train-km par an

(Train-km par an x Nb de PN)/voie-km

4. Autres Nb de MBPG « autres » par an / Nb de train-km par an

Train-km par an

5. Personnes non autorisées se trouvant sur les installations ferroviaires

Nb de MBPG personnes non autorisées par an / Nb de train-km par an

Train-km par an

6. Ensemble de la société Nb total de MBPG par an / Nb de train-km par an

Train-km par an


15

Utilisation de Valeurs Nationales de Référence (VNR) pour la détermination des OSCs de chaque catégorie.

Valeurs basées sur des données statistiques sur les accidents / incidents et leur conséquences des quatre plus récentes années et représentant l'état de performance dans chaque état membre. (au 31/01/2011 : six années)

Méthodologie de calcul et d'évaluation de la réalisation des OSCs :

• Calcul des VNR par catégorie de risque :– Calcul des valeurs suivant des unités de mesure prédéfinies

– Analyse des résultats pour vérifier de la présence de valeurs nulles

– Si valeurs nulles ≤ 2 : Calcul de la moyenne pondérée

– Si valeurs nulles > 2 : Valeur discrétionnaire attribuée

• Évaluation de la réalisation des VNR

• Dérivation des OSCs à partir des VNR

Méthode de calcul des OSCs (5/12)

16

Processus d'évaluation de la réalisation des VNR en 4 étapes :

– Vérification des performances par rapport à la moyenne pondérée mobile (MWA)

– Vérification si : MWA≤VNRx1.2

– Vérification si l'étape précédente a renvoyée des résultats négatifs lors des 3 dernières années.

– Vérification si le nombre d'accidents graves par train-km est stable ou à diminué


17

Obtention d'un classement en 3 points :

(a) Acceptable(b) Détérioration possible(c) Détérioration probable


18

(a) Performance acceptable en matière de sécurité. (b) Détérioration possible de la performance en matière de sécurité : exiger que les États membres concernés communiquent une explication écrite des causes probables des résultats obtenus. (c) Détérioration probable de la performance en matière de sécurité : exiger que les États membres concernés communiquent une explication écrite des causes probables des résultats obtenus et soumettent, si nécessaire, un plan d'amélioration de la sécurité.

Obtention d'un classement en 3 points :


19


Dérivation des OSCs à partir des VNR :

• Valeur attribuée à l'OSC par catégorie de risque est égale à la plus faible des valeurs suivantes :

– La valeur de la plus haute VNR de tous les états membres– La valeur égale à dix fois la valeur européenne moyenne du

risque auquelle la VNR se rapporte

• Remarques :– Valeur européenne moyenne : valeur calculée en cumulant les

données pertinentes pour tous les états membres.– OSCs ont la même unité de mesure que les VNR.

20

OSCs = min (VNR, 10 x moyenne européenne)

Valeurs de Référence Nationales (VNR)

Sécurité

Moyenne européenne des VNR

EM1 EM2 EM3 EM4 EMiEM27EM5

10 x moyenne européenne des VNR)


21




4. Références

Plan

22

1) Harmoniser l'approche d'évaluation de la sécurité basée sur les méthodes d'évaluation déjà existantes dans l'U.E. :

Comme le secteur ferroviaire possède déjà une forte culture sécurité, la liberté est laissée à chaque organisation d'utiliser ses propres méthodes / outils / techniques d'évaluation des risques

MSCs fournissent les Principes Communs mais ne fixent pas les outils à utiliser (i.e. AdD, AMDEC).

MSCs privilégient l'utilisation de normes et de systèmes de référence

Le secteur ferroviaire étant organisé en GI et EF, toutes les activités au niveau des interfaces entre les différents acteurs doivent être gérées prudemment

Identification claire des responsabilités des différents acteurs.

Deux considérations majeures prises en compte pour le développement des MSCs :

Les Méthodes de Sécurité Communes (1/12)

23


Deux considérations majeures prises en compte pour le développement des MSCs :

2) Améliorer la reconnaissance mutuelle des résultats des évaluations des risques. Cela nécessite l'harmonisation :

Du processus de gestion du risque,

De l'échange des informations sur la sécurité entre les acteurs afin de gérer la sécurité à travers les différentes interfaces,

Des preuves résultant de l'application du processus de gestion du risque.

24

Objectifs des MSCs : Les MSCs sont élaborées pour décrire comment évaluer :

les niveaux de sécurité,

la réalisation des objectifs de sécurité,

la conformité à d'autres exigences en matière de sécurité.

Les MSCs permettent l'élaboration et la définition : de méthodes d'évaluation des risques,

de méthodes d'évaluation de la conformité aux exigences figurant sur les certificats et les agréments,

dans la mesure où elles ne sont pas encore couvertes par des STI, de méthodes permettant de vérifier que les sous-systèmes structurels des systèmes ferroviaires sont exploités et entretenus conformément aux exigences essentielles les concernant.


25

Processus d'évaluationdes risques

Processus de vérificationde la conformité aux

exigences

Méthode de réalisationdes objectifs de sécurité

MSC décrivent :

Méthodes qualitativeset quantitatives

Méthodes statistiques


26

Critères d'application des MSC (Directive sécurité 2004/49/EC, Annexe III, point (2)(d)) :

– Lors de la mise en oeuvre d'un changement significatif, susceptible d'avoir un impact sur la sécurité du système ferroviaire, depuis la phase de conception jusque l'approbation de la sécurité,

– Lorsqu'un changement significatif, susceptible d'avoir un impact sur la sécurité du système ferroviaire, intervient au cours de la phase d'exploitation, d'entretien ou de mise hors-service du système


Le(s) changement(s) significatif(s) peuvent être d'ordre technique(s), opérationnel(s) ou organisationnel(s).

27


L'article 4 du règlement CE 352/2009 explicite que l'évaluation de l'importance du changement doit être faite en en se basant sur les critères suivants : les conséquences d'une défaillance,

la nouveauté utilisée dans l'implémentation,

la complexité du changement,

la surveillance,

la réversibilité du changement,

de manière additionnelle, l'évaluation de l'importance du changement prenant en compte tous les récentes modifications relatives à la sécurité et qui n'ont pas été jugées comme significatives.

28

Comment évaluer l'importance d'un

changement significatif ? VNR (si elle existe) ou jugement d'experts basé

sur des critères

Article 4 règlement CE 352/2009

Pertinence Sécurité

Est-ce lié à la sécurité ? C: Pas significatif-

Non

Oui

Oui

Non

Changement

Autres critères1. Faibles conséquences ?2. Faible innovation ?3. Complexité réduite ?4. Facilité de suivi ?5. Réversibilité importante ?

B: -

A: Changement significatif Utilisation des MSCs

(Enregistrer la décision)

décision (APR))

Pas significatif


(Enregistrer et justifier la

29


Exemple n°1 : augmentation de la vitesse maximale sur une ligne ferroviaire de 5 km/h après la mise en service d'un matériel roulant

Est-ce un changement significatif du point de vue de la sécurité ?

Point de vue sécurité : Oui

Autres critères :(a) Réversibilité du changement,(b) Manque d’innovation et(c) Facilité de suivi.

Ces critères suggèrent que le changement prévu n'est pas significatif (sous réserve d'une analyse démonstrative).

30


Exemple n°2 : augmentations successives de la vitesse maximale sur une ligne ferroviaire par tranches de 5 km/h après la mise en service d'un matériel roulant

La somme de ces modifications successives (considérées individuellement comme non significatives) pourrait devenir un changement significatif par rapport aux exigences de sécurité initiales du système.


31


Exemple n°3 : modification du système de communication d'un passage à niveau à commande manuelle

Système existant : Les informations relatives à la direction d’un train en approche étaient indiquées automatiquement à l‘opérateur du passage à niveau par la sonnerie du téléphone. La tonalité variait en fonction de l’origine de l’appel.

32



Changement prévu : l'ancien système téléphonique est devenu obsolète et doit être remplacé par un système numérique.

Problème : il n'est techniquement plus possible d'intégrer les informations pertinentes à la sonnerie. La tonalité est exactement la même quel que soit l'opérateur qui passe l’appel.


33



Point de vue sécurité : Oui Le changement semble avoir un impact potentiel sur la sécurité (risque de ne pas baisser la barrière du passage à niveau à temps)

Cependant, les critères de l'Article 4 (2) tels que :(a) la faible complexité,(b) le manque d’innovation et(c) la facilité de suivi.

Ces critères suggèrent que le changement prévu n'est pas significatif (sous réserve d'une analyse démonstrative).

34

(1) Définition du système

(2) Analyse des risques : Identification des

dangers et classification

Trois principes d'acceptation des risques

(3) Evaluation des risques

Démonstration de la conformité aux exigences de sécurité

Définition préliminaire du système

Codes de Pratique

Systèmes de référence similaires

Estimation explicite des

risques

Évalu

ation

ind

ép

end

ante

R

egis

tre

des

dan

ger

s [A

nn

exe III(2

)(g

) ]

Identification des dangers et classification

Analyse des risques

Évaluation des risques(Comparaison critères d'acceptation)

Exigences de sécurité(Mesures de sécurité à mettre en oeuvre)

Définition du système

Évaluation des risques

Changement significatif ?

(1)

(2)

(3)

Processus de gestion du risque :


35

Concept

Définition du systeme Condition d'application

Analyse des risques

Exigences systèmes

Répartition des exigences

Conception et mise en oeuvre

Fabrication

Installation

Validation du système (y

compris mise en service)

Acceptation du système

2

3

4

5

6

7

8

9

10

11

14

Utilisation et Maintenance

Suivi des performances

Démantèlement

Modification

12

13

Evaluation des risques

(MSC)

Définition préliminaire du système (MSC)

Demonstration de la conformité aux exigences

Exigences sécurité

1

Re-application des MSCs


36

A. Démarre par la définition du système

B. Identification des dangers du système en prenant en compte :

Facteurs humains, Conditions environnementales, Tous les modes de fonctionnement.

C. Classification des dangers en se focalisant sur les plus importants (à base de jugements d'experts)

Classification suivant :

Risque largement acceptable, Risque non largement acceptable.

Identification et classification des risques

Changementsignificatif ?


Définition du système(étendue, fonctions, interface, etc.)

Identification des dangersQue peut-il arriver ?

A quel moment ? Où ?Comment ? Etc.

Classification des dangers(Niveau de gravité)

Risquelargement

acceptable ?

Oui

Identificationet classification des

dangers

Oui

Non

Registre d

es dan

gers

Sélection duprincipe d'acceptation

du risque


(A)

(B)

(C)

37


Définition : un risque largement acceptable est un risque nettementinférieur au risque acceptable pour une catégorie de dangers donnée.

Hypothèse : à partir d'une base de données statistiques, il est possible de calculer le niveau de risque actuel des systèmes ferroviaires (NRA).Ce niveau ainsi calculé est déclaré comme acceptable.

Exemple : Définition d'un critère quantitatif pouvant définir un risque largement acceptable (Kurz & Milius, 08)

38


Exemple : Définition d'un critère quantitatif pouvant définir un risque largement acceptable (Kurz & Milius, 08)

Méthode : Soit (N) le nombre de catégories de dangers.

- On divise NRA par N pour obtenir le niveau de risque acceptable par catégories (NRAN).(par exemple, il existe environ N = 100 catégories principales de dangers dans le système ferroviaire)

- On déclare qu'un danger associé à un risque inférieur de deux ordres de grandeur à NRAN serait considéré comme un risque largement acceptable.

39

(I) Codes de Pratique :

STI, Normes EN, Règles et textes Nationaux, etc.

MSCs compatibles avec les règles utilisées actuellement

(II) Systèmes de référence similaires (GAME)

(III) Estimation explicite des risques(quantitative ou qualitative)


Codes de Pratique



risques


Analyse des risques


Principes d'acceptation des risques :

Les MSCs n'imposent pas d'ordre de priorité entre les trois principes d'acceptation des risques

40


Le registre des dangers :

Objectifs :

Enregistre et gère les informations relatives à la sécurité d'un système (dangers identifiés maîtrisés, mesures de sécurité associées et validées, …)

Fait le lien avec les autres acteurs du système pour la gestion des dangers

Sert de document de référence lors de l'évaluation indépendante par un organisme d’évaluation

Doit être tenu à jour pendant tout le cycle de vie du système

41


Le registre des dangers :

Suivant la complexité du système, un acteur peut posséder un ou plusieurs registres des dangers :

(a) un registre des dangers interne pour la gestion de toutes les exigences de sécurité internes applicables au sous-système dont l'acteur est responsable. Ce registre des dangers ne doit pas être communiqué à d'autres acteurs.

(b) un registre des dangers externe pour le transfert vers d’autres acteurs des dangers et des mesures de sécurité associées (que l’acteur ne peut mettre en œuvre complétement lui-même).

42


Exemple de registre des dangers d'un constructeur : cas d'un sous-système embarqué de contrôle commande

43

Exemple d'utilisation de la MSC pour un changement technique significatif : cas d'un système de contrôle commande


Description du changement :Remplacer une boucle de voie située devant un signal par un sous-système « Radio + GSM »

44


(1) Évaluation de l'importance du changement

Utilisation des critères de complexité et de nouveauté pour montrer que le changement est significatif



Codes de Pratique



risques


Analyse des risques






45


(2) Définition du système

(a) description du système existant : boucle et ses fonctions dans le système de contrôle commande

(b) description du changement prévu par le proposant et le constructeur

(c ) description des interfaces fonctionnelles et physiques de la boucle avec le reste du système



Codes de Pratique



risques


Analyse des risques






46


(3) Identification des dangers

(a) identification des dangers provoqués par le changement prévu et ayant une incidence sur le risque

(b) identifier les action possibles pour maîtriser le risque

Exemple : Il existe un risque de donner une autorité de mouvement non sûre au train en

approche alors que le train précédent occupe encore la section en face du signal.

Ce risque doit être maîtrisé à un risque acceptable



Codes de Pratique



risques


Analyse des risques






47


(4) Principes d'acceptation des risques

(a) Utilisation d'un système de référence

Exemple : Le système antérieur au changement est considéré comme ayant un niveau de

sécurité acceptable.

Dérivation de ses exigences de sécurité pour le système radio + GSM



Codes de Pratique



risques


Analyse des risques






48



(b) Estimation explicite des risques

Exemple : Analyse des différences entre le système à boucle et le système radio.

Les deux dangers suivants sont estimés :

- transmission par des pirates informatiques d'informations non sûres par l'entrefer.- retard de transmission



Codes de Pratique



risques


Analyse des risques






49



(b) Utilisation des codes de pratique

➢ Norme EN 50129-2 fournit les exigences de sécurité nécessaires pour maîtriser les dangers à un niveau acceptable :

- Cryptage et protection des données- Séquencement des messages et

enregistrement de l'heure

➢ Norme EN 50128 pour le développement logiciel du contrôleur radio



Codes de Pratique



risques


Analyse des risques






50


(4) Démonstration de la conformité du système aux exigences

(1) Suivi de la mise en oeuvre des exigences de sécurité lors de la conception du système radio

(2) Vérification que le système tel qu'il a été installé est conforme aux exigences



Codes de Pratique



risques


Analyse des risques






51


(5) Gestion des dangers

(6) Évaluation indépendante effectuée par une partie tierce afin de :

(a) Vérifier que la gestion et l'appréciation des risques ont été effectuées correctement

(b) Vérifier que le changement technique est adéquat et qu'il permet de maintenir un niveau de sécurité identique à celui antérieur au changement



Codes de Pratique



risques


Analyse des risques






52

Références

- Directive 2004/49/CE sur la sécurité des chemins de fer communautaires, L220/16, 26/06/2004

- ERA/REC/01-2008/SAF : Recommendation on the common safety methods for calculation, assessment and enforcement to be used in the framework of the 1st set of CST

- ERA/REC/02/2007/SAF : Recommendation on the 1st set of Common Safety Methods

- ERA/REC/SAF/09-2009 : Recommendation on Common Safety Method on Conformity Assessment

- (Kurz & Milius, 08) : « Die Gehrdungseinstufung im ERA-Risikomanagementprozess », Kurz, Milius, Signal +Draht (100) 9/2008.

53

Méthodes et

Objectifs de sécurité

Merci de votre attention !

[email protected]

Interopérabilité de la sécurité ferroviaire

Workshop 3SGS 2010, Reims, 30 Septembre 2010

Méthodes et Objectifs de sécurité - univ-reims.fr · SECURITE 2004/49 96/48 2001/16 OSC, MSC,...

Documents

Transcript of Méthodes et Objectifs de sécurité - univ-reims.fr · SECURITE 2004/49 96/48 2001/16 OSC, MSC,...