CHAPITRE V – Les analyses prospectives de risque : une vision systémique à encourager

Prospective risk analyses: a systemic vision to be encouraged

marius laurent

marius laurent

Ancien directeur – Centre hospitalier universitaire Tivoli – La Louvière – Belgique | Ancien attaché auprès du service qualité et sécurité du patient du ministère de la Santé – Bruxelles – Belgique | Consultant – Plateforme pour l’amélioration continue de la qualité des soins et de la sécurité des patients (PAQS) – Rue de Cent-Pieds 99 – B7133 Buvrinnes – Belgique
Autres articles de l'auteur dans Hygiènes Articles dans PubMeb

CHAPITRE V – Les analyses prospectives de risque : une vision systémique à encourager

Figures

Résumé

Analyser après coup pourquoi un accident est survenu est justifié par le souci d’éviter qu’il se reproduise. Analyser la possibilité qu’un risque mène à un accident, analyser le cheminement d’une menace jusqu’à l’événement indésirable permet de le prévenir, de mettre en place les conditions qui éviteront sa survenue, ou qui du moins en atténueront la gravité. Ici encore, les méthodes classiques, l’Amdec entre autres, reposent sur la vision historique de l’accident, vu comme le résultat d’une chaîne linéaire d’événements qui s’enchaînent. D’autres méthodes enrichissent cette démarche en la libérant au moins partiellement des enchaînements de cause à effet. C’est le cas du BowTie, qui associe une approche préventive à une réflexion sur les conséquences potentielles de l’événement redouté. Cette méthode met l’accent sur les barrières que l’on peut mettre en place pour prévenir l’accident, mais aussi pour atténuer ses effets délétères. Enfin, la FRAM s’affranchit de la ligne de temps de ces chaînes d’événement pour étudier les fonctions nécessaires à l’obtention d’un résultat, les manières dont ses fonctions entrent en relation et comment ces relations peuvent éventuellement se modifier, et mener selon le cas, à l’accident ou au succès.

Mots clés: Sécurité du patient - Evènement indésirable - Gestion du risque

Abstract

The rationale for analyzing after the fact why an accident occurred is justified by the aim of preventing it from happening again. Analyzing the potential for a risk to generate an accident, analyzing the route from a threat to an undesirable event, allows us to prevent it, to implement the barriers that will avoid its occurrence, or at least mitigate its severity. Here again, classical methods, such as HFMEA, are based on a historical vision of the accident as resulting from a linear chain of events that follow one another. Other methods enrich this approach by freeing it, at least to some extent, from the sequence of causes and effects. This is the case with Bow-tie, which combines a preventive approach with a reflection on the potential impacts of the feared event. This method emphasizes the barriers that can be built to prevent the accident, but also to mitigate its deleterious effects. Finally, the FRAM leaves the timeline behind this chain of events to study the functions required to achieve a result, how these functions interact, and how these links can eventually be modified, leading to an accident or to a success, depending upon the conditions.

Keywords: Patient safety - Other adverse event - Warning

Article

Introduction

Le but d’une analyse prospective ne vise pas à corriger « après coup » la ou les faiblesses d’un système en tirant les leçons d’une défaillance observée (événement indésirable ou presque accident), mais à prévenir l’occurrence de cette défaillance avant qu’elle se manifeste. Elle consiste à identifier les risques existants partout dans l’organisation, en particulier en ce qui nous concerne dans le trajet de processus de soins, puis à hiérarchiser ces risques afin d’établir des priorités d’action, et enfin à imaginer et à mettre en place des initiatives de réduction ou de suppression du risque et à en évaluer l’efficacité. Cette recherche se base sur la vision mécaniste du déclenchement des accidents, qui seraient dus à une cause identifiable et explicable. Les méthodes utilisées dans les soins sont les filles des méthodes qu’utilisait l’industrie dès la seconde moitié du XXe siècle. Elles visent à explorer, entre la conception et la mise en exploitation d’un processus, les scénarios susceptibles de mener à des conséquences inattendues et indésirables.

L’incertitude est exclue du monde des analyses prospectives. Elle est tout au plus prise en compte dans l’évaluation probabiliste de la survenue de l’événement redouté. La culture dominante veut que le monde soit suffisamment connaissable pour que tous les éléments pouvant mener à un accident puissent être cernés. Rappelons que cette simplification ne tient pas la route dans un système complexe (comme l’est l’activité hospitalière par exemple), où peuvent survenir des événements « émergents », imprévus et éventuellement inexplicables. Ces événements qui échappent à une prise en compte ont été baptisés « black swans » (cygnes noirs). La caractéristique de ces « cygnes noirs » est d’être des outliers (aberrations) : ce sont des événements inattendus et a priori imprévisibles aux conséquences lourdes, qui peuvent être analysés « après coup » et être considérés alors comme explicables et prévisibles. Aven les classe en trois catégories [1] : les événements totalement imprévus et imprévisibles (unknown unknowns) ; les événements inconnus des analystes de risques mais éventuellement connus d’autres personnes (unknown knowns) ; les événements connus, mais dont l’occurrence est jugée à ce point improbable que la possibilité de leur survenue n’est pas prise en compte.

La sécurité d’un système peut également être abordée de deux points de vue, celui du succès et celui de l’échec, les risques identifiés n’étant pas les mêmes. Le point de vue du succès examine le système lorsqu’il fonctionne normalement, celui de l’échec lorsque survient un accident ou un événement inattendu. Prenons l’exemple de l’airbag pour nous faire comprendre. Si nous le voyons du point de vue de l’échec, nous analysons les risques que l’airbag engendre, qui eux-mêmes résultent de deux modes d’échec (failure modes ou modes de défaillance, le vocable sera illustré plus loin : l’airbag ne fonctionne pas alors qu’il devrait, ou l’airbag fonctionne quand il ne doit pas. Ce point de vue ignore le fait que l’airbag protège ou non les occupants, et peut nous mener à la conclusion paradoxale que l’airbag augmente le risque pour les occupants en se déclenchant inopinément. L’autre point de vue nous fait comprendre que, sans airbag, le risque d’être blessé ou tué dans une collision frontale existe. Ce risque est inhérent à la conduite automobile et n’a rien à voir avec l’airbag. C’est bien pour cela que nous pensons à interposer un airbag pour réduire ce risque. Il convient donc de combiner les deux approches : celle du succès où nous évaluons l’effet protecteur de l’airbag quand il fonctionne en estimant à quel point le risque préexistant est réduit par l’action de l’airbag, et celle de l’échec où nous pesons le risque induit par le non-fonctionnement de l’airbag ou par son déclenchement inopiné. De plus l’élément humain ne peut être négligé : le comportement du conducteur peut être altéré par un sentiment d’invulnérabilité conféré par la confiance en l’airbag, cette même confiance poussant éventuellement l’occupant du siège avant à négliger de boucler sa ceinture [2].

Les événements sont généralement hiérarchisés selon une quantification du risque, que l’on appelle sa « criticité ». Elle est évaluée par le produit de deux paramètres au moins : la fréquence ou la probabilité de l’événement redouté et sa gravité. D’autres facteurs peuvent être pris en compte : la facilité de détection de cet événement, ou les mesures déjà prises pour l’éviter, ou enfin le niveau de culture de sécurité de l’organisation où il se manifeste… Ce calcul de criticité donne cependant la fausse impression qu’un risque est une donnée objective et mesurable alors que ni sa probabilité ni sa gravité ne sont absolument connues. Sa probabilité peut être estimée à partir d’un historique, mais se heurte au fait que l’accident est un phénomène rare et que la statistique éprouve des difficultés à tirer des conclusions devant des phénomènes rarement observés. La gravité est une grandeur dont le contenu psychologique et culturel est important et, de plus, le même événement peut avoir des conséquences (une gravité) variable voire aléatoire selon les circonstances. Multiplier l’un par l’autre fait qu’une souris proche occupe la même surface dans notre champ visuel qu’un éléphant lointain. Du point de vue de la sécurité, la gestion d’un événement cataclysmique éminemment improbable doit-elle mobiliser la même énergie qu’un événement fréquent, prévisible et (généralement) bénin ? Les décisions que l’on prend en matière de sécurité ont donc une dimension politique où l’on négocie des compromis. La notion même de risque explicable et quantifiable est très politique et s’inscrit dans le cadre très général de l’« authoritarian high modernism1 » de Scott qui veut que nous favorisions les solutions rationnelles, dans un monde prévisible et ordonné [3]. L’expert, initié rationnel, assène ses certitudes statistiques à un public subjugué par sa science, et le pousse à admettre une conception socialement acceptable de l’existence du risque.

Un risque n’est pas qu’une criticité : il a également une dimension sociologique et culturelle. Son acceptabilité est une donnée individuelle, éventuellement partagée par un groupe social et qui fluctue en fonction des perceptions et de la culture. Un saut en parachute est quelque chose d’effrayant et dangereux pour un observateur candide, et d’un niveau de risque parfaitement acceptable pour le sportif qui maîtrise chaque étape de la préparation de son saut. Une caractéristique essentielle du ressenti social est qu’un risque devient de moins en moins acceptable au fur et à mesure qu’il est mieux contrôlé [4]. La tolérance à l’égard des accidents du travail en est un bon exemple. L’acceptation sociale de l’alcool au volant a évolué avec la possibilité de mesurer objectivement le niveau d’alcoolisation du conducteur (nécessaire pour pouvoir le sanctionner). On est passé d’une estimation qualitative de l’ivresse (être incapable de marcher en ligne droite) à des dosages sanguins, puis des dosages dans l’air expiré, en même temps que la définition de l’acceptable se resserrait. La hiérarchisation des actions à mener dépend également de la culture voire des prescrits réglementaires des pays : la France a des normes extraordinairement pointilleuses sur la qualité de l’atmosphère en salle d’opération (filtration, volume d’air traité et renouvelé) qui dépassent les normes internationales admises ailleurs. Par contre, l’utilisation de panneaux en stratifié de haute densité lisses et non poreux pour en recouvrir les murs, qui est quasiment la norme en Belgique, y est jugée trop chère et peu utile. Le stade ultime est celui du principe de précaution où tout risque résiduel devient inacceptable. Inscrit dans une loi constitutionnelle française2, il institutionnalise la notion de l’existence d’un « risque zéro », qui bien sûr n’existe pas plus que le « paradis perdu » et qui bien souvent est un croc-en-jambe aux efforts de mise en place d’une culture de sécurité dont le blâme doit être absent [5] : si l’accident survient, il ne peut être que le fruit de la culpabilité humaine (le péché originel) [6]. L’application de ce principe de précaution pousse par exemple les architectes en Belgique à suivre les normes françaises quand il s’agit de renouvellement d’air en salle d’opération, même si les recommandations belges et internationales basées sur des éléments probants sont moins exigeantes, et bien sûr à continuer à utiliser les parements muraux en stratifié de haute densité : les coûts augmentent, sans effet démontrable sur la sécurité. Ce type de dérive est typique des systèmes déjà sûrs : les exigences de sécurité venues du public ou des autorités augmentent avec la sécurité du système, jusqu’à rendre insupportable tout accident, si improbable et imprévisible soit-il. N’oublions pas que le principe de précaution repose sur une analyse de risque uniquement du point de vue de l’échec et néglige totalement celui du succès. Ce fut le cas lorsque des pays choisirent de surseoir à la vaccination contre le SARS-CoV-23 avec le vaccin d’Astra-Zeneca (Londres, Royaume-Uni) à la suite de la découverte de cas possibles de maladie thromboembolique qu’aurait pu provoquer le vaccin (risque de l’ordre de 10-5 à 10-6) sans jamais mettre en balance le bénéfice escompté de vies sauvées (bénéfice de l’ordre de 10-2 à 10-3). À partir d’ici, évacuons ces doutes et les critiques (jusqu’à la conclusion du moins) et voyons les étapes des outils retenus pour la gestion anticipative des risques et accidents.

Préliminaires à une analyse

Une analyse de risque est une tâche qui peut s’avérer lourde en ressources et en temps. Un hôpital de taille moyenne ne peut entreprendre par an, au mieux, s’il en a l’expérience et les ressources, que trois à cinq actions de gestion de risque majeur. Il convient également de réexaminer régulièrement les risques déjà analysés. L’analyse n’est donc habituellement entreprise que parce qu’un élément nouveau la justifie. Il peut s’agir d’une demande de l’organisation en prévision d’un audit (accréditation ou certification par exemple), de l’introduction d’un matériel, d’une technologie ou d’un processus nouveau, avec ses interactions possibles avec l’existant, de la nécessité de revoir le fonctionnement de systèmes existants (reengineering), ou de la réponse à un événement indésirable ou à un presque accident pour évaluer des pistes de réduction du risque. Il importe en premier lieu de catégoriser et de décrire ce déclencheur et de le garder à l’esprit, car il guide les questions cherchant une réponse et surtout les mesures de correction à apporter. Même si les certifications et les référentiels d’accréditation imposent des analyses prospectives, leur aspect stratégique mérite que leurs indications soient décrites dans les déclarations de politique « sécurité des patients » de l’hôpital (Encadré 1). Le deuxième point à définir est le but de l’analyse, qui guidera par exemple son périmètre et les méthodes à mettre en œuvre. Ce peut être d’évaluer une probabilité d’occurrence d’un événement, de découvrir les sources potentielles de risque, d’évaluer l’impact de changements programmés, par exemple. Le troisième est de définir le ou les critères de succès ou de complétion de l’analyse, par exemple les délivrables qu’on en attend. Le quatrième est de décrire le système et ses éléments et les liens qu’il entretient avec des systèmes voisins. C’est à ce stade que les limites « territoriales » de l’analyse doivent être posées. Les sources documentaires doivent être énumérées, les personnes dont les connaissances vont être sollicitées identifiées. Le système doit être décrit, si possible de manière graphique, pour en traduire le fonctionnement, les rapports entre les personnes, la circulation de matériel et d’information et les liens avec l’extérieur.


Encadré 1 – Déclencheurs d’une analyse prospective (exemples)

  • Un événement indésirable
  • Un problème local (inquiétude liée à un accident potentiel)
  • Une vérification de routine (l’institution ou un individu souhaite vérifier que tout va bien)
  • Une volonté d’amélioration (des changements sont prévus dans le système ou le service)
  • Un nouveau service (introduction ou suppression d’un service, effet sur l’existant)
  • Une nouvelle technologie (nouvel équipement…)
  • Une nouvelle équipe
  • Une demande extérieure (législation, accréditation, certification, agrément)

Analyse rapide du risque

Ces préalables sont effectués de manière brève, claire et schématique. C’est le plus souvent le travail d’une seule personne, familiarisée avec la méthode et ses buts et avec l’institution, qui consulte utilement l’un ou l’autre expert. Cela ne doit pas prendre plus de quelques heures et donne lieu à la rédaction d’un document synthétique. Les étapes qui suivent peuvent être le travail d’une personne seule ayant les mêmes compétences, ou d’une équipe réduite travaillant au maximum quelques demi-journées selon la complexité du processus analysé et des événements redoutés envisagés, dont les membres échangent leurs idées après avoir consulté les personnes ressource identifiées dans les préalables. La première étape est effectivement d’énumérer et d’expliciter les « risques » (les défaillances possibles, les événements redoutés) et les déviations (causes) conduisant à ces effets. Cette analyse doit avoir lieu pour chaque élément du système tel qu’il a été décrit à l’étape précédente. L’énumération des défaillances possibles risque rapidement de représenter un tsunami qui menace de submerger toutes les bonnes volontés. Une sélection doit s’opérer très tôt en ne gardant que les défaillances qui représentent une menace vis-à-vis des objectifs de l’organisation. Le risque est évalué en fonction de la probabilité d’apparition de l’effet et de sa gravité, compte tenu des défenses déjà en place si l’analyse porte sur un processus existant. Les échelles utilisées sont discutées plus bas. L’estimation de ce qui est acceptable ou pas s’ensuit et des actions de correction sont proposées. Leur effet sur l’évaluation du risque avant et après est jugé. L’ensemble de l’analyse doit faire l’objet d’une relecture systématique si le risque paraît inacceptable, si des actions sont jugées nécessaires, s’il existe un doute sur la probabilité ou l’impact d’un effet potentiellement délétère, si des défaillances internes provoquent des risques externes, ou si des défaillances naissant en dehors du système y provoquent des risques internes. Dans ces cas, une analyse approfondie est vraisemblablement nécessaire. Si aucun risque inacceptable n’est identifié, ni aucune action jugée utile ou nécessaire et que les données disponibles à l’analyse sont suffisantes, il est probablement inutile de passer à une analyse détaillée.

Amdec : l’analyse approfondie du risque

En ce qui concerne le monde hospitalier, l’analyse approfondie du risque est réalisée selon une méthode prospective dont l’acronyme français est Amdec (analyse des modes de défaillance, de leurs effets et de leur criticité). Il s’agit d’une famille de méthodes qui ont fait leurs preuves dans l’aéronautique et qui ont donné lieu à des adaptations pour les rendre performantes dans la gestion de processus. L’équivalent américain est HFMEA4, adaptation du « processus clinique » du plus générique FMEA. Tant l’Amdec que la HFMEA ont été largement recommandées, voire exigées par les agences d’accréditation. Elles se sont largement implantées dans les hôpitaux dans le but de hiérarchiser les risques et de définir des priorités d’action. Une fois de plus, nous ne disposons que de peu d’éléments probants qui nous convaincraient entièrement de ces qualités supposées [7]. L’Amdec et la HFMEA se heurtent aux mêmes critiques théoriques que les méthodes rétrospectives que nous avons évaluées au chapitre précédent. Le modèle de l’accident est ici aussi un modèle linéaire (ou au mieux multilinéaire) basé sur des relations « mécaniques » de cause à effet [8]. L’Amdec prend toutefois en compte certaines caractéristiques des systèmes complexes. La nécessité de répéter les analyses de risque reconnaît le fait que les barrières mises en place à la suite de la première analyse sont susceptibles de générer elles-mêmes des risques nouveaux qu’il convient d’identifier. La méthode reconnaît la limite « floue » des systèmes complexes, et encourage à analyser tant les conséquences de défaillances externes sur le système étudié que l’effet des défaillances internes sur le monde extérieur. La HFMEA est tout à fait codifiée, ce qui rend sa description plus aisée : celle faite par ses « inventeurs » au sein de la Veteran Administration aux États-Unis [9] la décrit ainsi comme un processus en cinq étapes, impliquant une équipe pluridisciplinaire pour analyser prospectivement un processus de soins. Si le sujet a été correctement délimité par les étapes préliminaires, l’analyse détaillée ne doit pas durer plus de six à huit heures, ce qui reste considérable quand on rappelle que c’est une équipe qui doit travailler.

Première étape : le choix du thème

Le choix du thème peut s’appuyer sur une analyse préalable des risques dans un service, mais il peut aussi être imposé par une autorité extérieure dans le cadre d’un agrément, d’une accréditation ou d’une certification. Le contrat « qualité et sécurité du patient 2012-2017 » du service public fédéral Santé publique belge, par exemple, prévoyait une étude prospective des risques liés à l’utilisation des médicaments à haut risque dans l’hôpital. Les thèmes choisis peuvent être du domaine de l’ingénierie (création ou suppression d’un service, introduction d’un matériel ou d’une technologie nouvelle…) ou du reengineering (revue spontanée ou imposée d’une procédure existante où l’on craint ou décèle des problèmes).

Deuxième étape : la formation de l’équipe

Composition

La composition de l’équipe n’est pas forcément la même que pour une analyse rétrospective : on se réfère à ce sujet au chapitre sur la recherche des causes racines5 (root cause analysis ou RCA). Elle comprend des experts du domaine analysé, mais aussi des personnes « candides », voire des caractères « déviants » qui seront susceptibles de critiquer ce que les premiers considèrent comme des standards. Le but de l’analyse étant le consensus, il peut être rentable didactiquement de mélanger les extrêmes lors de l’analyse : le consensus est plus simple au moment des actions à mener et la culture progresse… La présence de patients dans l’équipe soulève moins de commentaires que lors des analyses rétrospectives. Leur apport peut être considérable et aider à cadrer l’analyse autour de ce qui est essentiel. Les patients sont susceptibles de pousser à élargir la fenêtre temporelle de l’analyse pour y inclure ce qui leur importe : le résultat à court et surtout long terme pour eux [10]. Le leader est choisi pour ses aptitudes à conduire et animer une discussion de groupe et au moins une personne familiarisée à la méthode doit être présente. La présence de représentants des patients pose moins de questions d’ordre éthique que lors des analyses rétrospectives. La défiance naturelle vis-à-vis de la présence de cadres (supérieurs) dans les équipes d’analyse rétrospective n’a pas cours ici : les cadres sont souvent les responsables finaux des conséquences des risques qui ont été acceptés : il est naturel que leur point de vue soit sollicité. La manière de conduire cette équipe est largement discutée dans le chapitre cité.

Implication du management

La HFMEA ou l’Amdec nécessite de la part du management un mandat officiel, son accord et son appui. Une fois le sujet choisi, il doit être avalisé par la direction, qui doit donner accès à toutes les informations qui pourraient être utiles. La direction joue un rôle essentiel pour libérer les membres de l’équipe et accepter que le temps consacré à la HFMEA ne s’ajoute pas à leur occupation professionnelle normale. La direction doit pouvoir intervenir lorsque l’équipe a établi sa liste de défaillances et en a mesuré la criticité. Il faut qu’il existe un consensus avec elle à ce niveau avant d’aller plus loin et de proposer des actions de correction. La direction doit enfin être prête à accueillir les conclusions et les propositions que l’équipe émet lors de son rapport : certaines d’entre elles peuvent la concerner directement et il faut accepter de les entendre. Les règles de confidentialité des informations échangées doivent être clairement énoncées et respectées.

Troisième étape : la description du thème et sa représentation graphique

Le thème choisi à la première étape doit être complètement décrit, ses processus énumérés (et numérotés) et les sous-processus secondaires identifiés (et indexés par des lettres) de sorte que les index soient les mêmes dans la description littérale, dans la représentation graphique et dans tous les documents qui seront générés pendant l’analyse. C’est généralement le moment de concentrer les efforts d’analyse sur une partie du thème, pour éviter de noyer l’équipe dans une entreprise trop vaste et qui ne pourrait être menée à son terme en un temps raisonnable. Si le thème de départ est la dispensation des médicaments, on peut être amené à ne considérer que les médicaments per os par exemple. Si l’on choisit un thème sur les analyses biologiques, on sélectionne par exemple, la transmission des résultats au demandeur et l’assurance de pouvoir vérifier qu’ils ont bien été consultés. Ce sont les objectifs stratégiques de l’entreprise qui doivent guider ces choix, d’où l’importance de l’implication du management. Cette étape de « focalisation » est importante pour garantir la qualité du travail fourni. Il faut parfois prendre garde également à ne pas sortir de certaines frontières géographiques (centrer l’analyse d’un thème sur un service en particulier par exemple). Il faut admettre que c’est cette étape qui met en exergue la faiblesse de l’Amdec dans une majorité de processus cliniques où la complexité systémique intervient. Certains parcours de patient peuvent être aisément modélisés, mais des processus cliniques, où interviennent par exemple des démarches diagnostiques, résisteront opiniâtrement à la modélisation, à la fragmentation en sous-processus et à une représentation schématique. Le guide édité récemment par le National Health Service britannique (NHS) en offre de nombreux exemples [11]. Il faut s’en tenir à quelques types de graphiques et les standardiser pour l’hôpital. Si les acteurs sont accoutumés à une représentation horizontale des processus, les confronter à une représentation verticale peut les désorienter et être source de pertes de temps et de confusion.

Quatrième étape : l’analyse de risque

Pour chaque sous-processus identifié à l’étape précédente, on détermine comment ses processus peuvent échouer (les modes de défaillance) et on énumère ces modes en les indexant. On se base sur des données bibliographiques, sur des données tirées de registres, sur l’expérience locale de la survenue d’événements indésirables dans le passé et sur le brainstorming de l’équipe d’analyse. L’effet (parfois les effets) de chaque mode de défaillance est défini et, pour chaque couple mode-effet, on évalue sa probabilité d’occurrence et sa gravité.

Construction de l’outil de mesure

Il est capital de se mettre d’accord au préalable sur la métrique que l’on va utiliser pour coter aussi bien la fréquence que la gravité, et de le faire au niveau de l’hôpital. Si l’on veut pouvoir comparer différentes analyses réalisées par différentes équipes, au sein de différents services, y compris non cliniques (finance, informatique…) il faut que l’instrument de mesure soit le même. Il faut un accord préalable sur le nombre d’items des catégories de chaque échelle et sur la définition de chaque catégorie. Cet accord doit être valable pour tout l’hôpital et doit par conséquent être validé par la hiérarchie. Si l’hôpital veut à terme, comme c’est souhaitable, étendre l’analyse de risque à d’autres services que les services cliniques, des définitions de gravité spécifiques à chaque département doivent être rédigées, acceptées et approuvées par la hiérarchie. L’expérience montre que les échelles autour de cinq degrés fonctionnent le mieux : moins, elles manquent de spécificité, davantage, elles induisent des interprétations qui en limitent la fiabilité (Tableaux I et II). Quelle gravité prendre en compte lors de la suite de l’analyse ? Cela dépend de son périmètre. Si l’on se place du point de vue des soins au patient, l’échelle financière a peu d’impact. En revanche, l’impact financier intéresse forcément la direction. Par conséquent, si l’on veut sortir d’un périmètre trop étroit, il convient de choisir, parmi les cotations d’impact, celle qui est la plus pessimiste (worst case scenario).RQ_XX_HS_CH5_tab1RQ_XX_HS_CH5_tab2

Utilisation de l’outil

À partir de ce stade, il apparaît une différence entre la HFMEA et l’Amdec. La HFMEA définit la criticité comme le produit de la fréquence et de la gravité. Si, comme dans notre exemple, nous utilisons une échelle à six paliers pour la fréquence et à cinq pour la gravité, notre criticité peut varier de 1 à 30. La décision quant à la limite entre inacceptable et tolérable, et entre tolérable et acceptable sans action correctrice, relève de l’institution et de son management. Il doit être discuté et accepté avant d’entreprendre l’analyse. Nous pouvons considérer comme inacceptable une criticité au-delà de 10 par exemple. La HFMEA établit la nécessité de mettre en place des actions correctrices (étape 5) en fonction de trois critères. Le premier évalue si le mode de défaillance et son effet sont une faiblesse unique (single point weakness) : par exemple, dans la chaîne d’événements qui mène à la dispensation d’un médicament, une prescription n’est pas arrivée à la pharmacie : la fréquence est faible, la gravité aussi, mais l’événement rend le reste du processus inopérant, il faut donc poursuivre avec l’étape 5. Le second évalue si des mesures de contrôle ont déjà été prises de sorte que le mode de défaillance soit suffisamment contrôlé : par exemple, l’utilisation de détrompeurs sur les prises de gaz médicaux empêchant les mauvais branchements (oui/non). Le troisième évalue si le mode de défaillance est détectable et ne peut passer inaperçu. Dès ce moment, la décision de soumettre ou non ce mode de défaillance à la dernière étape se base sur un arbre décisionnel (Figure 1).

L’Amdec en revanche considère la détectabilité ou l’existence de mesures de contrôle comme de nouvelles échelles d’évaluation (Tableau III). On se contente généralement d’ajouter un seul critère. Assez curieusement, le critère que l’on ajoute à la fréquence et à la gravité dans beaucoup d’analyses Amdec est la détectabilité. C’est ce qu’on retrouve dans la plupart des traités qui décrivent la méthode issue, rappelons-le, du monde de l’industrie et du métier d’ingénieur, où la détectabilité est probablement plus souvent évaluable pour ne pas dire mesurable. Les gestionnaires de risque hospitaliers choisissent plus volontiers le niveau de maîtrise, comme dans notre exemple, ou le niveau de contrôle du risque, mesuré par exemple par l’existence de barrières physiques, immatérielles ou organisationnelles, leur nombre et leur vulnérabilité éventuelle. La criticité se définit alors comme un triple produit : celui de la fréquence, de la gravité et de la « non-détectabilité », ou bien celui de la fréquence, de la gravité et de l’existence de mesures de contrôle (Tableau III). Ce triple produit nous permet de construire une matrice de criticité qui nous guide dans nos décisions. On y retrouve en ordonnée la criticité « brute » (celle de la HFMEA : fréquence x gravité), et en abscisse ici le niveau de maîtrise du risque selon notre échelle d’exemple (Tableau IV). Les priorités y sont évidentes : tout ce qui est dans la zone rouge doit être soumis à la cinquième étape, et la zone jaune n’est pas prioritaire, mais doit donner lieu à une prise en charge programmée de mesures simples de protection en attendant mieux. Cette matrice de criticité est elle aussi le fruit d’une décision institutionnelle. Elle est valable pour un risque donné (le risque lié aux soins) mais elle n’est pas forcément transposable au risque financier ou à celui pour la réputation de l’hôpital par exemple. Des matrices spécifiques seront donc nécessaires.RQ_XX_HS_CH5_fig1RQ_XX_HS_CH5_tab3RQ_XX_HS_CH5_tab4

Cinquième étape : les actions et leur suivi

Chaque défaillance sélectionnée, soit par l’arbre décisionnel de la HFMEA, soit par la matrice de criticité étendue, doit donner lieu à des actions visant à maîtriser le risque. L’équipe doit définir ces actions essentiellement afin d’instaurer des barrières6, désigner une personne responsable de la mise en place et fixer les mesures du suivi des actions (délais, efficacité…). Ces barrières sont plus efficaces si elles sont de types variés pour éviter l’alignement de leurs failles éventuelles : elles peuvent s’établir par exemple au niveau organisationnel ou technique, toucher la gestion des ressources humaines (formation continue) ou impliquer des procédures. L’idéal est donc d’avoir « un peu de tout ». Le contrôle ultime s’assure que les mesures mises en place n’ont pas fait apparaître de nouveaux modes de défaillance ni eu d’effet néfaste sur d’autres procédures. Alors que la mise en place d’actions efficaces est le point faible souvent souligné dans les analyses rétrospectives du type RCA (recherche des causes racines), la proportion de propositions utiles après Amdec ou HFMEA est généralement encourageante [12]. Des simplifications des modèles classiques ont été proposées, qui abrègent le processus sans nuire aux résultats : utilisation indifférente des échelles de criticité ou de l’algorithme de décision comme dans la HFMEA, équipes moins nombreuses mais plus expertes, réduction du temps passé à réaliser les analyses et cartographies de processus et à rédiger des conclusions [13].

BowTie : une analyse préventive et rétrospective incluant les barrières

La méthode BowTie (bow-tie ou bow tie) – nœud papillon en français – a ceci de particulier qu’elle peut être employée aussi bien comme une analyse de risque préventive que comme une analyse rétrospective d’un événement indésirable [14]. Elle est utilisée dans la gestion de risque d’industries « Seveso » [15]. Elle a été peu diffusée dans le monde de la santé jusqu’à il n’y a guère [16,17]. Elle est employée assez régulièrement en Belgique par une petite dizaine d’hôpitaux. Elle comporte des caractéristiques qui en font une méthode digne d’être popularisée. Le NHS écossais s’emploie à la faire connaître et à la préconiser, en particulier en médecine extrahospitalière [18]. Cette initiative a récemment mené à de nouvelles recommandations pratiques pour faciliter son utilisation dans le monde de la santé [19,20]. Elle associe, à partir d’un événement central, ce qui pourrait ressembler à un arbre des causes (fault tree) à sa gauche, et à un arbre des événements, les conséquences possibles (event tree), à sa droite. Sa représentation graphique évoque dès lors la forme d’un nœud papillon, d’où son nom. Cette représentation permet surtout d’y inclure les barrières existantes, ce qui est sa caractéristique originale (Figure 2).

L’analyse BowTie a deux points d’entrée possibles si on l’applique aux soins de santé. Le premier, le plus évident, est de définir un événement central, la plupart du temps un événement indésirable (une chute par exemple) et non sa conséquence (une fracture). On cherche ensuite à identifier toutes les situations dangereuses, toutes les menaces qui peuvent conduire à cet événement, sans nécessairement chercher un lien de cause à effet. Ces mécanismes ne sont pas toujours des causes résultant par exemple d’une RCA. Ils peuvent être simplement des dangers identifiés, des « menaces » (hazard en anglais) sans que soient explicitées des chaînes causales menant à l’événement central. Le BowTie est donc (en principe) indépendant de toute théorie explicative de l’accident. On établit ensuite la partie droite du schéma en imaginant les conséquences possibles, et surtout les barrières (actives ou passives) que l’on peut leur opposer. Dans la partie gauche, les barrières sont susceptibles d’éviter (prévenir) l’événement central. Elles peuvent être représentées soit par le sigle rectangulaire noir de la barrière, soit par une arborescence introduisant une nouvelle menace : l’échec de la fonction « barrière ». Une défense en profondeur est représentée par un ensemble de barrières successives « en série » sur le chemin entre la menace et l’événement redouté. Il faut dès lors que toutes les barrières soient outrepassées pour que l’accident survienne, à moins qu’une autre menace ait été négligée et n’ait pas été protégée par une barrière ad hoc. Notons que l’ordre de ces barrières peut avoir son importance, la première étant généralement celle dont l’efficacité est supposée la plus générale.

L’autre possibilité est de partir d’une situation dangereuse ou d’une menace et de faire l’inventaire des événements indésirables qu’elle peut engendrer : chacun d’eux mériterait une analyse BowTie, mais il est probable que le schéma se simplifie vite dans la mesure où les barrières entre la menace et l’événement indésirable ont beaucoup de chances d’être les mêmes, et que seules varient les conséquences possibles de l’événement indésirable. Les barrières s’interposent aussi bien entre les causes et l’événement central qu’entre ce dernier et ses conséquences éventuelles, de sorte que le « scénario du pire » imaginé par l’analyse de risque voie éventuellement sa gravité modulée par le travail sur ce qu’il se passe en aval de l’accident. Les barrières peuvent être imparfaites ou incomplètes, ou peuvent échouer pour une cause déterminée. Une alarme peut être débranchée par exemple. On parle alors de « facteur de dégradation » (escalation factor), qui ouvre une nouvelle arborescence : ce facteur de dégradation peut lui-même être combattu par de nouvelles barrières que l’on appelle plutôt « sauvegardes » (la réactivation automatique de l’alarme par exemple) pour réserver le mot barrière aux obstacles placés sur la voie principale menant de la menace à l’événement. Le facteur de dégradation doit être aussi spécifique que possible : « non-fonctionnement de l’alarme » ne suffit pas, « débranchement de l’alarme pendant une intervention de soins » est plus caractéristique et permet d’imaginer une sauvegarde. La partie droite est un arbre des événements (conséquences possibles de l’événement central) où les barrières ne préviennent pas l’accident mais suppriment ses effets ou en atténuent la gravité. C’est ainsi qu’un même événement central peut mener à un presque accident, à un accident bénin ou à un accident grave en fonction des circonstances rencontrées et de la présence de barrières qui ont ou n’ont pas fonctionné. L’accident grave dans ce cas est le « scénario du pire », où aucune des barrières mises en place pour empêcher l’accident ou en atténuer la gravité n’a fonctionné.

Comme souvent, le problème est de bien définir « l’événement central ». Dans une analyse rétrospective, c’est le même que dans une RCA ou une analyse PRISMA7 : la dernière activité réalisée avec ou sur le patient qui a mal tourné et lui a causé (ou aurait pu lui causer) un tort. Dans une analyse prospective, sa définition est plus difficile. À l’échelle d’une industrie, les événements centraux évoqués sont des pannes, des bris de pièce ou des pertes d’étanchéité. Le modèle du mécanisme menant à un accident est celui de la perte de maîtrise d’une énergie potentielle. Les événements qui produisent les meilleures analyses surviennent au moment d’une perte de contrôle de cette libération potentielle d’énergie, là où la conséquence n’a pas encore eu lieu. À l’échelle de l’hôpital, le choix est plus ardu. L’événement indésirable est souvent noyé dans un système complexe de processus et mène rarement à un phénomène « mécanique » dont début et fin sont définissables [21]. La notion d’échange d’énergie ne peut être maintenue que de manière métaphorique. Dans la plupart des cas, l’événement central est simplement l’événement indésirable redouté. Il est décrit avec précision et exhaustivité. Le risque est souvent d’opter pour un choix trop générique, trop à gauche du schéma (p. ex. l’erreur d’identification du patient). L’arbre des conséquences peut alors être interminable. Il est possible de lui fixer des limites (ce qui a trait à la transfusion sanguine, par exemple). Il peut aussi lui être associé une analyse de la criticité des conséquences pour ne retenir par exemple que les plus menaçantes. Dans l’industrie, il est souvent possible d’associer aux conditions des deux arbres des chiffres de probabilité de la survenue de pannes sous diverses formes (durée de vie avant la première panne, proportion de défauts à la mise en route) qui permettent de quantifier les risques. Les diverses trajectoires des arbres des causes et des événements permettent alors le calcul des probabilités d’occurrence. Cet aspect est habituellement absent des évaluations dans le monde de la santé.

Une analyse de causes profondes n’est pas requise pour identifier des « causes » et définir un cheminement causal. La définition des « menaces » suffit pour requérir des barrières. La nature et l’action des barrières doivent être clairement explicitées. Une « action de l’opérateur » n’est pas un intitulé crédible, le réglage des alarmes selon une procédure spécifiée l’est bien. Les barrières peuvent être inefficaces ou insuffisamment efficaces dans certaines situations et, parfois, les causes de cette perte d’efficacité (dégradation, ou escalation dans le jargon « BowTie ») nécessitent la mise en place de nouvelles barrières pour les intercepter. Seules les actions spécifiques doivent être documentées comme étant une barrière. La « maintenance » par exemple est un problème général, qui touche toutes les barrières et qui ne doit pas être documenté dans le schéma (sauf si elle est le motif de l’analyse, bien sûr). Deux axes de coordonnées peuvent définir les qualités princeps des barrières possibles : leur efficacité et leur facilité de mise en œuvre. Une telle représentation permet de choisir ses priorités en fonction de la situation locale. L’erreur humaine n’est pas une menace en soi, il faut chercher plus profondément. La « formation » et les « procédures » sont des réponses « passe-partout » et pas des barrières spécifiques.

En pratique, il n’existe aucune suggestion pratique expliquant comment réaliser une analyse BowTie. Les hôpitaux qui l’utilisent en Belgique y consacrent au plus quelques heures. Les effectifs mis en œuvre sont probablement du même ordre de grandeur que pour PRISMA, la méthodologie suivie en analyse rétrospective étant sensiblement la même. La réflexion, collaborative, tient du « brainstorming ». Dans l’industrie, l’investigation est confiée à un « expert », qui s’entoure de spécialistes du terrain [22,23,24]. Le BowTie peut être utilisé pour étudier un accident particulier ou être appliqué à une analyse de risque plus générale. Dans ce cas, l’événement central s’apparente au « mode de défaillance » de l’Amdec. Par rapport à l’Amdec, le BowTie offre une représentation graphique d’un événement indésirable ou d’une analyse de risque qui peut être claire et didactique. Elle inclut une visualisation des barrières existantes et des mécanismes éventuels qui peuvent en compromettre l’efficacité, ce que ne fait pas l’Amdec. Sa représentation graphique en fait un bon outil pédagogique, tant pour expliquer l’analyse aux acteurs impliqués que pour justifier les interventions auprès d’un public de décideurs.RQ_XX_HS_CH5_fig2

FRAM8 : la prise en compte de la complexité

Les méthodes décrites précédemment dans le cadre de l’analyse des événements indésirables, que ce soit a priori ou a posteriori, s’appuient explicitement ou implicitement sur des conceptions ou des théories de l’accident9. L’outil Accimap est directement inspiré de la vision développée par Rasmussen, la méthode Tripod (non décrite) reprend la notion de facteurs latents, d’éléments déclencheurs et de barrière où l’on n’a aucune peine à reconnaître le modèle de Reason. Tant la RCA que PRISMA reposent sur une vision linéaire de l’accident qui rappelle la chute des dominos de Heinrich : il est le fruit d’un ou de plusieurs enchaînements parallèles de liens de cause à effet. L’importance de la « ligne du temps » dans la reconstitution de l’événement indésirable témoigne de cette vision linéaire. L’Amdec et le BowTie reposent sur la même vision linéaire, et la plupart des solutions proposées visent à rompre ces enchaînements par la mise en place de barrières. Les objections émises au sujet de ces modèles simplificateurs soulignent qu’ils ne fournissent que des réponses peu satisfaisantes quand on les confronte aux systèmes complexes10 que nous sommes appelés à gérer. La notion de résonance fonctionnelle repose sur une série de conceptions parfois inconfortables car elles se heurtent à nos habitudes de pensée [25]. La première est l’équivalence de l’échec et du succès, telle que l’a décrite le physicien Ernst Mach qui rappelait que la connaissance et l’erreur découlent de la même source mentale : seul le succès permet de les départager. En d’autres mots, nous avons besoin de connaître l’avenir pour départager l’échec du succès. La deuxième est la variabilité des performances. Elle est évidente en ce qui concerne la performance humaine, influencée par des facteurs physiologiques ou psychiques (fatigue, niveau d’attention), caractériels (créativité, adaptabilité), organisationnels (ressources limitées), sociaux (jugement des collègues) ou contextuels (bruit ambiant). Elle existe au niveau de l’organisation, non seulement du fait de la variabilité de ses composants humains, mais aussi par exemple des fluctuations temporelles de la qualité des communications, des gradients d’autorité et de la culture. Un système complexe n’étant qu’imparfaitement compris, des ajustements constants sont nécessaires : la variabilité des performances et leur malléabilité sont une force adaptative nécessaire. La troisième est l’existence de facteurs émergents déjà discutés. Contrairement aux systèmes linéaires, où les phénomènes sont explicables et dits « résultants », les systèmes complexes génèrent des propriétés qui ne peuvent être déduites a priori des propriétés de leurs composants : elles sont dites « émergentes » et peuvent parfois rester du domaine de l’incompris. La quatrième est la notion que les composants du système, s’ils ne sont pas liés par des liens de cause à effet, sont néanmoins couplés entre eux, que ces couplages ne peuvent pas tous être définis a priori (du fait de la variabilité du système), que leur force peut fluctuer du fait de la même variabilité, et que les effets de cette fluctuation peuvent connaître des amplifications locales par effet de résonance et donner lieu à des phénomènes émergents.

La méthode FRAM peut être utilisée aussi bien pour analyser un événement indésirable tel qu’il s’est produit que pour réaliser une analyse de risque a priori. Dans le premier cas, on étudie le travail tel qu’il a été effectué (work as done) : c’est probablement une des instances possibles de ce qu’aurait étudié l’étude de risque qui se serait intéressée au travail tel qu’il a été conçu (work as imagined). Comme dans tous les systèmes d’analyse, la première étape préliminaire est de reconnaître l’objet de l’étude, un événement qui s’est déroulé ou qui aurait pu se dérouler ou qui se déroulera possiblement dans le futur. À ce stade, les limites de l’étude doivent être posées : on s’intéresse par exemple à la délivrance à un service par la pharmacie hospitalière d’un traitement individualisé pour un patient (mais ni à l’approvisionnement de la pharmacie, ni à la dispensation au patient). La deuxième étape consiste à identifier les « fonctions » qui sont accomplies pour réaliser la ou les tâches soumises à l’étude. Il s’agit bien de fonctions (lire une ordonnance, vérifier cette ordonnance), et non de structures ou d’une description de tâches. Le point de départ peut être n’importe quelle fonction : on identifie à partir d’elle celles qui sont nécessaires à son accomplissement, et celles qu’elle va influencer. Le « système » se construit de proche en proche, le choix qui subsiste est celui du niveau de détail nécessaire. Une fonction est caractérisée par six attributs (aspects) et est représentée par un hexagone. Notons d’emblée que la méthode n’est pas une méthode graphique, même si la représentation de parties d’activité peut aider à la compréhension : on imagine bien que les liens que l’on peut créer sont à ce point nombreux que le graphique devient rapidement illisible (Figure 3). L’analyse d’une fonction prend donc une forme écrite (Tableau V).

Mais la méthode ne s’arrête pas là : ce qui fait son originalité et sa puissance est que l’on s’arrête, fonction par fonction, pour en décrire la variabilité, puis définir comment cette variabilité se propage, se renforce ou au contraire s’annule au contact d’autres fonctions, aussi bien dans une structure idéale (comme les choses devraient se passer) que dans une instance du schéma où les choses se sont mal passées (événement indésirable) ou ont particulièrement bien réussi. Selon l’objet de l’étude, on s’intéresse à la variabilité potentielle d’une fonction (work as imagined) ou à sa variabilité observée (work as done : une instanciation de la précédente). Cette variabilité du résultat d’une fonction peut dépendre de la variabilité de la fonction elle-même, de celle des fonctions en amont, et de l’environnement lui-même. On décrit, en gros, trois types de fonctions. Les fonctions techniques ou technologiques sont réputées stables et peu variables, mais peuvent le devenir dans certaines instanciations du modèle. Les fonctions humaines sont liées à un individu ou à un petit groupe d’individus : cette variabilité est significative, elle est inévitable et irréductible et, en outre, elle est le plus souvent utile ou indispensable à la sécurité (capacité à s’adapter aux circonstances, par exemple) ; dans cette conception, aussi bien les réussites que les accidents sont le fait des ajustements de comportement nécessaires pour s’adapter à la variabilité des performances ; ces ajustements sont incontournables mais il faut tenter de comprendre cette variabilité et déterminer où et comment des résonances peuvent survenir. Les fonctions organisationnelles sont accomplies par des groupes parfois importants, où les activités sont explicitement organisées : la variabilité est rare ou lente (changement de législation, par exemple), mais l’amplitude peut être importante. La variabilité peut généralement être décrite selon quatre catégories générales : variabilité, moment et durée ; force, distance, direction ; objet erroné ; séquence (Tableau VI). L’étape suivante évalue comment la variabilité d’une fonction se combine avec celle des fonctions en aval. Cette influence a des conséquences différentes selon que la fonction joue un rôle de déclencheur, de ressource, de précondition…

La méthode a déjà été appliquée au monde médical, en particulier à un accident en salle d’opération [26]. La complexité des procédures médicales se prête bien à ce type de représentation qui évite de ne se focaliser que sur une petite partie du problème. Pour l’exemple, voici la description de la procédure (imaginaire) du départ d’un train en gare : devant le train, un signal lumineux passe automatiquement au vert en fonction d’une grille horaire. Un opérateur peut modifier manuellement cette indication si nécessaire. Le contrôleur du train vérifie visuellement le signal lumineux, puis s’assure que les passagers ont libéré les portes et qu’il peut les fermer. Il ferme les portes s’il est l’heure, ce qui allume un signal dans la cabine du conducteur. Le conducteur vérifie que le feu est vert et démarre (Figure 4). Cette procédure (work as imagined) n’empêche malheureusement pas des départs au feu rouge (une centaine de fois par an en Belgique, habituellement sans conséquence parce qu’immédiatement interceptés par les « barrières » mises en place). Il convient alors d’analyser comment cela se passe. Le contrôleur vérifie effectivement que le feu est au vert, mais il le fait avant la procédure de fermeture des portes : à partir de ce moment, son attention se détourne de l’avant du train, pour se porter sur les quais et sur sa montre. Il se tourne vers l’arrière du train et peut omettre de se retourner pour vérifier que le feu est encore au vert avant de lancer son signal « OK pour le départ ». Ou bien : le conducteur vérifie que le feu est au vert (le passage au rouge par action volontaire de l’opérateur est une occurrence très rare : il se préoccupe avant tout du signal du contrôleur) ; il peut omettre de vérifier l’état du signal avant de démarrer. La position « au vert » de la signalisation, qui est l’input (le déclencheur) de la fonction « le conducteur démarre », devient dans le « work as done » une précondition, alors que le signal « les portes sont fermées » perd son statut de précondition pour devenir le véritable input qui fait démarrer le train (Figure 5).RQ_XX_HS_CH5_tab5RQ_XX_HS_CH5_tab6RQ_XX_HS_CH5_fig3RQ_XX_HS_CH5_fig4RQ_XX_HS_CH5_fig5

Où situer FRAM par rapport à d’autres analyses ?

La méthode FRAM est indépendante du principe de causalité. La RCA s’appuie sur la vision « dominos » de l’accident. Ce dernier est décrit par une ou plusieurs séquences linéaires de liens de cause à effet. Le premier domino à tomber est une cause profonde, le dernier est l’effet final. FRAM remplace les liens de cause à effet et leur analyse par l’étude de la variabilité des diverses fonctions et la manière dont elles sont couplées. La méthode ne nécessite pas d’accident ou de presque accident préalable à l’analyse et se prête donc aussi bien à une analyse a posteriori qu’a priori. Elle est utile pour l’analyse de systèmes HRO (High Reliability Organization, organisation de haute fiabilité), où les accidents sont rares par définition. Comparée à l’Amdec par exemple, elle permet une description plus profonde des systèmes complexes que les liens linéaires des schémas habituellement utilisés pour décrire les processus. Elle ne nécessite pas d’anticiper des échecs ou des accidents, mais simplement de décrire des variabilités, ce que beaucoup d’acteurs des analyses trouvent plus confortable. Elle ne détrône pas toutefois les méthodes classiques de la gestion « Safety-I », qui conviennent toujours dans les analyses d’événements aisés à décrire par un ou des enchaînements linéaires. Elle s’impose là où les interactions humaines et techniques introduisent complexité et perte de linéarité [27]. Elle produit des analyses souvent complexes : des chercheurs proposent des solutions à cette complexité [28,30].

Discussion : pour une vision systémique

Amdec et BowTie sont des méthodes pesantes, exigeantes en temps et en compétences. L’une et l’autre reposent historiquement sur une vision « classique » de l’accident comme étant la suite d’un enchaînement linéaire d’événements dont certains sont déviants. BowTie permet, en théorie du moins, de s’affranchir de ces enchaînements linéaires de causes à effet, mais ce « détachement » est très théorique. Ces méthodes n’encouragent pas intrinsèquement une vision « systémique » du risque qui doit explicitement faire partie des préoccupations des auditeurs pour être rencontrée.

Rasmussen avait énoncé sept principes auxquels une telle analyse de risque devait répondre, et force est d’admettre que peu d’entre eux sont habituellement rencontrés [31] :

  • l’implication de multiples acteurs à différents niveaux d’organisation : nous sommes dans un système complexe, l’analyse ne doit pas se focaliser sur les risques vus du point de vue de l’opérateur final ; les niveaux de direction, voire les niveaux politiques doivent aussi être explorés ;
  • de multiples facteurs contributifs : on ne peut se contenter d’un facteur de risque unique, fût-il catastrophique ;
  • des défauts d’intégration, d’échange d’informations entre les niveaux, qui doivent être explorés ; il ne s’agit pas simplement d’étudier les dysfonctionnements à un niveau donné de l’organisation ;
  • un défaut de feed-back : une caractéristique des systèmes complexes est que les acteurs ne sont pas forcément au courant des conséquences de leurs actes ; l’analyse doit porter sur ce qui permet ou empêche ce feed-back ;
  • les pressions auxquelles le système est soumis : les plus classiques sont celles qui poussent à la performance, souvent malgré des restrictions portant sur les moyens humains ou budgétaires ;
  • les migrations vers un fonctionnement moins sûr à divers niveaux de l’organisation (pas seulement celui de l’opérateur final) sous l’effet de ces pressions ; ces migrations peuvent faire naître des microsignaux qu’il convient de reconnaître à temps, avant la catastrophe ;
  • la migration des pratiques qui érode progressivement les mécanismes de défense et les barrières : cette érosion, jointe à un événement déclenchant parfois fortuit, est à l’origine d’accidents ; ici encore, il est important de ne pas sous-estimer des événements précurseurs même bénins.

Il faudrait recourir à des méthodes plus récentes d’analyse des systèmes pour satisfaire à ces critères. L’une d’entre elles est FRAM telle qu’elle est décrite dans ce chapitre.

Notes :

1- Haut-modernisme autoritaire.
2- « Lorsque la réalisation d’un dommage, bien qu’incertaine en l’état des connaissances scientifiques, pourrait affecter de manière grave et irréversible l’environnement, les autorités publiques veilleront, par application du principe de précaution et dans leurs domaines d’attribution, à la mise en œuvre de procédures d’évaluation des risques et à l’adoption de mesures provisoires et proportionnées afin de parer à la réalisation du dommage. » (Loi constitutionnelle n° 2005-205 du 1er mars 2005 relative à la Charte de l’environnement, art. 5.)
3- Severe acute respiratory syndrome coronavirus 2, coronavirus 2 du syndrome respiratoire aigu sévère.
4- Healthcare failure mode and effect analysis, mode de défaillance et analyse des effets appliqués aux soins de santé (U.S. Department of Veterans Affairs National Center for Patient Safety, Washington DC, États-Unis).
5- https://www.risqual.net/publication-scientifique/chapitre-iv-les-analyses-retrospectives-ou-la-recherche-des-causes-racines (Consulté le 13-02-2023).
6- Chapitre à paraître, voir aussi https://www.risqual.net/publication-scientifique/chapitre-iv-les-analyses-retrospectives-ou-la-recherche-des-causes-racines (Consulté le 13-02-2023).
7- Prevention and recovery information system for monitoring and analysis : système d’information sur la prévention et de rétablissement pour la surveillance et l’analyse. Voir https://www.risqual.net/publication-scientifique/chapitre-iv-les-analyses-retrospectives-ou-la-recherche-des-causes-racines#title5 (Consulté le 13-02-2023).
8- Functional resonance analysis method, méthode d'analyse de résonance fonctionnelle.
9- https://www.risqual.net/publication-scientifique/chapitre-i-une-histoire-de-la-securite-partie-1-de-la-mine-de-charbon-a-la-salle-doperation (Consulté le 13-02-2023).
10- https://www.risqual.net/publication-scientifique/chapitre-i-une-histoire-de-la-securite-partie-2-lirruption-de-la-complexite (Consulté le 13-02-2023).

Informations de l'auteur

Financement : l’auteur déclare ne pas avoir reçu de financement.

Liens d’intérêt : l’auteur déclare ne pas avoir de lien d’intérêt.

Références

1- Aven T. Implications of black swans to the foundations and practice of risk assessment and management. Reliab Eng Syst Saf 2015;134:83-91.

2- Fowler D. Proceduralization of safety assessment: a barrier to rational thinking. In: Bieder C, Bourrier M, eds. Trapping safety into rules: how desirable or avoidable is proceduralization? Boca Raton, FL (US): CRC Press, 2013. p. 87-106.

3- Scott JC. Seeing like a state: how certain schemes to improve the human condition have failed. New Haven, CT (US), and London: Yale University Press, 1998. 464 p.

4- Amalberti R. The paradoxes of almost totally safe transportation systems. Saf Sci 2001;37(2-3):109-126.

5- Carlet J, Fabry J, Amalberti R, et al. The “zero risk” concept for hospital-acquired infections: a risky business! Clin Infect Dis 2009;49(5):747-749.

6- Dekker SWA, Long R, Wybo JL. Zero vision and a western salvation narrative. Saf Sci 2016;88:219-223.

7- Franklin BD, Shebl NA, Barber N. Failure mode and effects analysis: too little for too much? BMJ Qual Saf 2012;21(7):607-611.

8- Card AJ. The problem with ‘5 whys’. BMJ Qual Saf 2017;26(8):671-677.

9- DeRosier J, Stalhandske E, Bagian JP, et al. Using health care failure mode and effect analysis: the VA national center for patient safety’s prospective risk analysis system. Jt Comm J Qual Improv 2002;28(5):248-267.

10- Vincent C, Carthey J, Macrae C, et al. Safety analysis over time: seven major changes to adverse event investigation. Implement Sci 2017;12(1):151.

11- Ward J, Clarkson J, Buckle P, et al. Prospective hazard analysis: tailoring prospective methods to a healthcare context. Cambridge (UK): University of Cambridge, 2010. 280 p.

12- Öhrn A, Ericsson C, Andersson C, et al. High rate of implementation of proposed actions for improvement with the healthcare failure mode effect analysis method: evaluation of 117 analyses. J Patient Saf 2018;14(1):17-20.

13- Vlayen A. Evaluation of time- and cost-saving modifications of HFMEA: an experimental approach in radiotherapy. J Patient Saf 2011;7(3):165-168.

14- Chevreau FR, Wybo JL, Cauchois D. Organizing learning processes on risks by using the bow-tie representation. J Hazard Mater 2006;130(3):276-283.

15- Delvosalle C, Fiévez C, Pipart A, et al. Identification of reference accident scenarios in SEVESO establishments. Reliab Eng Syst Saf 2005;90(2-3):238-246.

16- Moore C, Coleman GC, Chang J, et al. Using safety barrier analysis to facilitate quality improvement in health care: improving venous thromboembolism prophylaxis as a proof of concept. Am J Med Qual 2020;35(2):147-154.

17- Kerckhoffs MC, van der Sluijs AF, Binnekade JM, et al. Improving patient safety in the ICU by prospective identification of missing safety barriers using the bow-tie prospective risk analysis model. J Patient Saf 2013;9(3):154-159.

18- McLeod RW, Bowie P. Bowtie analysis as a prospective risk assessment technique in primary healthcare. Policy Pract Health Saf 2018;16(2):177-193.

19- McLeod RW, Bowie P. Guidance on customising Bowtie Analysis for use in healthcare. Contemp Ergon Hum Factor 2020.

20- McLeod RW, Russell W, Stewart M, et al. Preliminary case report study of training and support needed to conduct bowtie analysis in healthcare. BMJ Open Qual 2021;10(2):e001240.

21- Leclercq S, Morel G, Chauvin C. Process versus personal accidents within sociotechnical systems: loss of control of process versus personal energy? Saf Sci 2018;102:60-67.

22- Khakzad N, Khan F, Amyotte P. Dynamic risk analysis using bow-tie approach. Reliab Eng Syst Saf 2012;104:36-44.

23- Saud YE, Israni KC, Goddard J. Bow-tie diagrams in downstream hazard identification and risk assessment. Process Saf Prog 2014;33(1):26-35.

24- de Ruijter A, Guldenmund F. The bowtie method: a review. Saf Sci 2016;88:211-218.

25- Hollnagel E, Goteman Ö. The functional resonance accident model. Cognitive system engineering in process control, Sendai (Japan), 2004. p. 155-161.

26- Alm H, Woltjer R. Patient safety investigation through the lens of FRAM. In: Waard D, Axelsson A, et al., eds. Human factors: a system view of human, technology and organisation. Maastricht (The Netherlands): Shaker Publishing, 2010. p.153-165.

27- Raben DC, Viskum B, Mikkelsen KL, et al. Application of a non-linear model to understand healthcare processes: using the functional resonance analysis method on a case study of the early detection of sepsis. Reliab Eng Syst Saf 2018;177:1-11.

28- Patriarca R, Del Pinto G, Di Gravio G, et al. FRAM for systemic accident analysis: a matrix representation of functional resonance. Int J Reliab Qual Saf Eng 2018;25(1).

29- Patriarca R, Bergström J, Di Gravio G. Defining the functional resonance analysis space: combining abstraction hierarchy and FRAM. Reliab Eng Syst Saf 2017;165:34-46.

30- Sultana S, Haugen S. An extended FRAM method to check the adequacy of safety barriers and to assess the safety of a socio-technical system. Saf Sci 2023;157:105930.

31- Rasmussen J. Risk management in a dynamic society: a modelling problem. Saf Sci 1997;27(2-3):183-213.

Citation

Culture de sécurité : une approche alternative. Lyon. Health & co, 2022.

Copyright : © Health & Co 2023.