Dossier de sécurité – Argument structuré démontrant la sécurité

Introduction

Un dossier de sécurité est un argument complet, structuré et documenté—soutenu par un ensemble de preuves—qu’un système, produit ou processus est acceptablement sûr à exploiter dans un contexte spécifique. Il s’agit d’un outil central dans les domaines à haute intégrité tels que l’aviation, le nucléaire, le ferroviaire, la défense et les dispositifs médicaux, et il gagne rapidement du terrain dans des domaines nouveaux comme l’intelligence artificielle et les systèmes autonomes.

Un dossier de sécurité est plus qu’un simple rapport ; c’est un ensemble vivant et évolutif d’analyses, justifications et preuves—suivi et mis à jour à mesure que le projet progresse. Son objectif principal est de communiquer, justifier et documenter toutes les décisions pertinentes pour la sécurité, en apportant l’assurance que les risques sont identifiés, évalués et atténués à un niveau “aussi bas que raisonnablement possible” (ALARP).

Concepts clés et structure

Un dossier de sécurité combine plusieurs éléments de base :

• Revendications : Déclarations de haut niveau sur la sécurité du système (ex. : “Tous les dangers sont maîtrisés à un niveau ALARP”).
• Arguments : Raisonnement logique reliant les preuves aux revendications (ex. : “Tous les dangers crédibles ont été identifiés à l’aide de HAZOP, AMDE et des retours d’expérience opérationnelle”).
• Preuves : Données concrètes à l’appui de l’argument (ex. : résultats de tests, rapports d’analyse, matrices de conformité).

Ce cadre Revendications-Arguments-Preuves (CAE) est souvent visualisé à l’aide de la Goal Structuring Notation (GSN), une approche graphique qui décompose les objectifs de haut niveau en sous-objectifs, stratégies, solutions (preuves) et éléments contextuels.

Tableau : Termes clés dans les dossiers de sécurité

Objectifs et justification

L’objectif principal du dossier de sécurité est de démontrer, par un raisonnement structuré et des preuves à l’appui, qu’un système est acceptablement sûr pour son usage et environnement prévus. Les objectifs clés incluent :

• Documenter les preuves : Rassembler toutes les analyses de dangers, données de conception, résultats d’essais et retours d’expérience de manière auditable.
• Justifier la sécurité : Montrer clairement comment les risques sont identifiés, évalués et atténués.
• Soutenir l’approbation réglementaire : Répondre aux exigences de documentation et de raisonnement des organismes de normalisation et régulateurs.
• Faciliter la gestion des risques : Fournir un cadre logique pour tracer et gérer les dangers tout au long du cycle de vie.
• Aider au transfert de connaissances : Garantir la continuité et la traçabilité lors de l’évolution des équipes et des organisations.
• Permettre l’amélioration continue : Mettre à jour le raisonnement de sécurité à mesure que de nouveaux risques ou mesures sont identifiés.

Méthodologie et modèles

Les dossiers de sécurité modernes sont construits selon une structure hiérarchique :

• Revendication de sécurité de haut niveau : Ex. : “L’aéronef est acceptablement sûr pour le transport de passagers.”
• Arguments intermédiaires : Ciblant l’identification des dangers, l’évaluation des risques et l’atténuation.
• Preuves à l’appui : Registres de dangers, résultats d’essais, rapports techniques, déclarations de conformité.

Les modèles de dossier de sécurité (gabarits réutilisables) aident à maintenir la cohérence et l’efficacité. Par exemple, un modèle de décomposition des exigences fait le lien entre les exigences de sécurité du système et les preuves au niveau des composants, tandis qu’un modèle orienté dangers organise les arguments autour des dangers identifiés.

Exemple GSN :

Structure des arguments et confiance

Les dossiers de sécurité utilisent une argumentation inductive, assemblant des preuves pour soutenir les revendications. Le modèle de Toulmin cadre chaque argument comme suit :

• Données/Preuves : Base factuelle (résultats d’essais, analyses)
• Revendication : Affirmation émise
• Garantie : Raisonnement reliant les preuves à la revendication
• Justificatif : Support supplémentaire pour la garantie
• Réfutation : Exceptions ou faiblesses connues
• Qualificateur : Degré de certitude (probabilité, confiance)

Types d’arguments

• Arguments de risque : Montrent que les dangers sont identifiés et les risques ALARP.
• Arguments de confiance : Justifient la robustesse des méthodes, outils, données et personnels.
• Arguments opérationnels : Ciblent la sécurité continue en exploitation, maintenance et facteurs humains.

Les Assurance Claim Points (ACP) servent à signaler les parties de l’argument nécessitant une assurance ou des preuves supplémentaires—telles que les interfaces entre matériel/logiciel ou entre développement et exploitation.

Domaines d’application

Les dossiers de sécurité sont essentiels dans :

• Aéronautique : Pour la certification et la modification des aéronefs (FAA, EASA, ARP4761/4754A).
• Nucléaire : Autorisation et exploitation des installations (ONR, SAP, ALARP).
• Ferroviaire/Automobile : Pour les nouveaux systèmes ferroviaires, la signalisation et l’automatisation des véhicules (EN 50126/8/9, ISO 26262).
• Dispositifs médicaux : Gestion des risques et soumissions réglementaires (FDA, EMA, ISO 14971).
• IA/Systèmes autonomes : Pour l’IA à haut risque, la robotique et les véhicules autonomes.

Exemple : Dossier de sécurité d’un drone autonome

• Revendication de haut niveau : “Le drone est acceptablement sûr pour l’espace aérien contrôlé.”
• Arguments à l’appui : Limites opérationnelles définies ; dangers identifiés ; mesures et preuves fournies (données de vol, évaluation des risques, audits indépendants).

Exemple IA :
Un dossier de sécurité IA peut inclure un “argument d’incapacité”—ex. : “Le système IA ne peut pas effectuer une exfiltration de données non autorisée”, soutenu par une analyse de conception, des tests d’intrusion et une vérification formelle.

Bénéfices, écueils et bonnes pratiques

Bénéfices

Écueils courants

Bonnes pratiques

• Définir les revendications au bon niveau.
• Utiliser des modèles et gabarits d’argumentation.
• Séparer les arguments de risque, de confiance et opérationnels.
• Documenter les réfutations et incertitudes.
• Mettre à jour de façon itérative à mesure que le système évolue.
• Impliquer toutes les parties prenantes, y compris les réviseurs indépendants.
• Structurer pour un audit externe efficace.

Représentations graphiques et tabulaires

Exemple de diagramme GSN (décrit) :
Un diagramme GSN commence par l’objectif “Le système est acceptablement sûr”, décomposé en sous-objectifs pour les contextes opérationnels (croisière, décollage, atterrissage), chacun soutenu par des preuves et relié au contexte et aux hypothèses.

Exemple de tableau CAE :

Contexte réglementaire et normatif

• Def Stan 00-056 (UK MOD) : Rend obligatoire l’utilisation du dossier de sécurité dans les systèmes de défense.
• Principes d’évaluation de sécurité ONR : Définissent les attentes pour les dossiers de sécurité nucléaire.
• OACI Annexe 19, EASA CS-25 : Gestion de la sécurité et certification en aviation.
• IEC 61508, ISO 26262, ISO 14971 : Sécurité fonctionnelle pour l’industrie, l’automobile et les dispositifs médicaux.

Conclusion

Un dossier de sécurité est essentiel pour démontrer, documenter et maintenir la sécurité des systèmes complexes à haute assurance. En fournissant un argument logique et fondé sur des preuves, le dossier de sécurité répond non seulement aux exigences réglementaires, mais favorise aussi les meilleures pratiques en gestion des risques, ingénierie et apprentissage organisationnel.

Pour les organisations visant robustesse, conformité et amélioration continue, investir dans un dossier de sécurité de haute qualité n’est pas seulement une obligation réglementaire—c’est un atout stratégique.