Académique Documents
Professionnel Documents
Culture Documents
→ Méthode d’analyse ?
[A. Desroches et al. : La gestion des risques – Principes et pratiques, Hermes Sciences, 2007]
Méthode AMDEC
- AMDEC = Analyse des Modes de Défaillance, de leurs Effets et de leur
Criticité
Synonyme : FMECA = Failure Mode, Effects and Criticality Analysis
But : Optimaliser la fiabilité d’un produit, d’un processus, d’un service, … en
prévenant l’apparition de risques
- Définitions
La défaillance est définie comme la non-réalisation d’une fonction attendue
d’un système
Le mode de défaillance est défini par la manière avec laquelle une fonction
subit une défaillance. Chaque mode de défaillance est qualifié par sa gravité
(G), son occurrence (O) et sa détectabilité (D)
L’effet
effet défini comme les conséquences de la défaillance
La criticité traduit le niveau de danger résultant de la défaillance. Cette criticité
est mesurée par l’indice de priorité du risque (IPR = G x O x D)
Causes du mode
IPR = G x O x D)
Détectabilité (D)
Occurrence (O)
Effets du mode
de défaillance
de défaillance
Gravité (G)
Activité
(IPR
… … … … … … … …
… …
1… … … … … …
… …2 … … … … … …
Qualitatif Quantitatif
Echelles typiques d’évaluation de la fiabilité : 10 niveaux (1 = non-significatif, 10 = vital, certain, non détectable)
Méthode AMDEC+
- La méthode AMDEC+ est dérivée de la méthode AMDEC, à laquelle elle
ajoute les critères de sécurité de l’information
AMDEC : Critères de fiabilité
Gravité / Occurrence / Détectabilité (processus)
- Principe d’analyse
Explicitation des critères de fiabilité en termes de critères de sécurité
Exemple : La gravité d’un mode de défaillance est notée 9/10
Cette gravité est-elle liée à la disponibilité de l’information ? A son intégrité ? A sa
non-divulgation ?
Indice de priorité du
Indice de priorité du
Mode de défaillance
(IPR = D x I x C x A)
Confidentialité (C)
risque de sécurité
risque de fiabilité
(IPR = G x O x D)
Causes du mode
Disponibilité (D)
Détectabilité (D)
Occurrence (O)
Effets du mode
Auditabilité (A)
de défaillance
de défaillance
Intégrité (I)
Gravité (G)
Activité
… … … … … … … … … … … … …
… … 1
… … … … … … … … … … …
… 2
… … … … … … … … … … … …
Qualitatif Quantitatif
Qualité Sécurité
Etape 1 Etape 2
Echelles typiques d’évaluation de la fiabilité : 10 niveaux (1 = non-significatif, 10 = vital, certain, non détectable)
Echelles typiques d’évaluation de la sécurité : 5 niveaux (1 = non-significatif, 5 = critique)
- Objectifs
Qualité : Evaluation des dysfonctionnements critiques potentiels et
identification des mesures d’amélioration
- Planification
Durée du projet : 6 mois
Charge de travail :
6 séance de pilotage du projet (1 heure/séance)
11 séances de travail (2 heures/séance)
GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 9
AMDEC+ : Validation de la méthode
5 Enregistrer la demande Enregistrer la demande Erreur de saisie dans logiciel 360 15 Oui
[G/O/D] [G/O/D]
324 Prescription connectée et contrôle
Enregistrer la demande
486 [9/4/9] simple
1 Erreur de contrôle
Contrôler les 135
[9/6/9] Prescription connectée et contrôle
enregistrements
[9/3/5] double
216
Enregistrer la Lien avec le logiciel des cabinets
demande 360 [9/4/6] privés
Erreur de saisie
5
dans logiciel Le traitement du mode de
Enregistrer la [9/5/8]
- défaillance nécessite la mise en
demande
place d’un groupe de travail
- Prescription connectée : Prescription électronique de l’examen par le requérant au lieu d’une prescription papier
- Chaîne pré-analytique : Automatisation et centralisation de la décantation et de la gestion des tubes secondaires au lieu d’une
décantation et d’une gestion des tubes manuelles faite dans chaque laboratoire
GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 11
AMDEC+ : Validation de la méthode
aService d’informatique médicale et administrative, Institut Central des Hôpitaux Valaisans, Réseau Santé
Valais, Av. Grand-Champsec 86, 1950 Sion, Suisse. Tél +41 27 603 49 80. michel.buri@ichv.ch.
Résumé
Une stratégie d’innovation basée sur un engagement massif des nouvelles technologies de l’information et
de la communication dans le système d’information hospitalier des établissements de santé trouve
aujourd’hui une justification médicale et économique. Un des corollaires de cette stratégie est la création
d’une dépendance critique des activités principales des hôpitaux vis-à-vis de ces technologies. Cette
dépendance soulève une problématique centrale de sûreté de fonctionnement du système d’information
hospitalier, avec une incidence directe sur l’exposition à de nouveaux risques iatrogènes, technologiques et
organisationnels. Pour gérer ces nouveaux risques, une nouvelle méthode d’analyse AMDEC+ a été définie
dans le but d’identifier les points d’interface – ou de collaboration – entre les domaines de la qualité et de la
sécurité du système d’information. Si un projet-pilote, mené dans le domaine de la médecine du laboratoire,
a permis d’effectuer une première validation probante de la méthode AMDEC+, celle-ci devra encore être
affinée et validée à plus large échelle, et notamment dans le domaine clinique.
Mots clés : Interopérabilité et sécurité des systèmes d’information, sûreté de fonctionnement, évaluation
des risques, AMDEC
1. Introduction
Une stratégie d’innovation basée sur un engagement massif des nouvelles technologies de l’information et
de la communication (NTIC ci-après) dans le système d’information hospitalier (SIH ci-après) des
établissements de santé trouve aujourd’hui une justification médicale et économique. La justification
médicale est liée au besoin fondamental de l’activité médicale de disposer d’une quantité importante
d’information d’une part et, d’autre part, au fait que les connaissances dans ce domaine augmentent
exponentiellement, élargissant notre compréhension scientifique des maladies, des traitements et des plans
de soins. Pour répondre à ces besoins croissants de partage de l’information et de la connaissance,
(Fieschi, 2003) suggère que le but de l’utilisation des NTIC dans le secteur de la santé est de favoriser la
coordination des professionnels de la santé et leur coopération étroite pour améliorer la prise en charge des
malades. La justification économique est, quant à elle, liée à la spécificité du secteur de la santé d’être très
intensif en main d’œuvre. Selon (Fieschi, 2003), la mise en place du partage de données de santé
médicales devrait permettre aux hôpitaux de réaliser des économies que certains experts évaluent entre 20
et 30% des coûts totaux.
Les corollaires de cet engagement important des NTIC dans le secteur de la santé sont de plusieurs ordres.
D’une part, il y a la création d’une dépendance critique des activités principales des hôpitaux vis-à-vis de
ces technologies. Cette dépendance soulève une problématique centrale de sûreté de fonctionnement du
SIH, avec une incidence directe sur l’exposition à de nouveaux risques iatrogènes, technologiques,
logistiques et organisationnels liés à son exploitation. D’autre part, avec les évolutions à venir (e.g.
interconnexion des acteurs de la santé, introduction de la carte du professionnel de la santé et de la carte
d’assuré), les organes de régulation et les patients vont probablement encore accentuer la pression sur les
établissements de santé afin de garantir la protection des données personnelles.
Dans ce contexte, la maîtrise des risques liés à une introduction massive des NTIC dans la chaîne de
valeur des hôpitaux devient un enjeu critique dans la gestion de la sûreté de fonctionnement du SIH. Une
gestion appropriée des points d’interface entre la qualité et la sécurité du SIH – et ainsi la collaboration
entres les professionnels de la qualité et de la sécurité de l’information – prend ainsi, dans une perspective
de sécurité du patient, une importance croissante.
Notre travail a porté sur l’étude de la sûreté de fonctionnement d’un SIH basée sur l’analyse de deux de ses
paramètres fondamentaux : la fiabilité du système et la sécurité de l’information. Pour réaliser cette étude,
une nouvelle méthode d’analyse AMDEC+ a été définie. L’objectif poursuivi dans ce travail exploratoire est
d’identifier les points d’interface entre deux notions étroitement liées dans le domaine des systèmes
d’information de santé, à savoir la sécurité-innocuité (« Safety ») et la sécurité-confidentialité (« Security »)
(Kluge et al., 2001). Plus largement, il s’agit d’identifier les points d’interface – ou points de collaboration –
entre les domaines de la qualité et de la sécurité sur lesquels les efforts de réduction de risques devraient
être engagés dans une perspective d’amélioration continue de la sûreté de fonctionnement du SIH.
2. Objectifs
Le Réseau Santé Valais (RSV), qui regroupe l’ensemble des hôpitaux publics du Canton du Valais (Suisse),
a entrepris, dès 2004, un important projet d’informatisation des activités hospitalières, avec le
remplacement des dossiers médicaux et administratifs par des dossiers informatisés. Actuellement, ce sont
quelque 2500 médecins et soignants et 1000 collaborateurs administratifs qui réalisent leur mission
quotidienne à l’aide de systèmes de traitement de transactions cliniques et administratives. Un certain
nombre d’autres projets d’informatisation ont été menés, tant au niveau opérationnel (e.g. informatisation de
la saisie des prestations, imagerie médicale) qu’au niveau stratégique (e.g. tableau de bord prospectif),
accroissant encore le niveau de dépendance des métiers de l’hôpital par rapport au SIH.
Parallèlement à cette informatisation massive des activités de l’hôpital, le RSV a initié, dès 2008, une
démarche intégrée d’analyse des risques d’entreprise. La première étape de cette démarche a abouti, fin
2009, avec la publication d’une série de rapports de risques, et notamment celui relatif aux risques
d’entreprise liés au SIH. C’est dans cette étape initiale de la démarche d’analyse des risques que le projet-
pilote AMDEC+ a été mené, avec le mandat d’évaluer la valeur ajoutée de cette nouvelle méthode pour les
parties prenantes et son adéquation aux besoins de l’organisation. Les buts poursuivis avec la réalisation
de ce projet-pilote ont été déclinés selon deux axes :
- Qualité : Il s’agit d’évaluer les dysfonctionnements critiques du processus étudié et d’identifier les
mesures d’amélioration à apporter ;
- Sécurité de l’information : Il s’agit d’évaluer les risques liés à l’information et d’identifier les
éléments d’alignement des prestations informatiques aux besoins des métiers.
Le champ d’application du projet-pilote a été limité au processus de traitement des demandes d’analyses
médicales dont les activités sont détaillées dans le Tableau 1.
Tableau 1 Processus de traitement des demandes d’analyses
Légende :
- Check-Out : Transfert d’un échantillon vers un autre site d’analyse
- Check-In : Réception d’un échantillon provenant d’un autre site d’analyse
Activité Sous-activité
Réception des caisses, cartouches, pochettes
Réception du matériel
Tri du contenu
Enregistrer la demande
Enregistrer la demande Identifier les échantillons
Contrôler les enregistrements
Répartition des échantillons
Traitement de l’échantillon Centrifuger
Décanter
Activité Sous-activité
Distribution dans les places de travail
Imprimer les listes
Préparation des échantillons
Vérifier que les analyses soient terminées sur le site courant
Effectuer le Check-Out
Effectuer le Check-Out
Préparation des caisses
Vérifier que tout le matériel a bien été envoyé
Effectuer le Check-In
Effectuer le Check-In
Imprimer les nouvelles étiquettes
D’un point de vue analytique, AMDEC est une méthode d’analyse inductive, essentiellement qualitative, de
risques a priori de fiabilité. Elle est basée sur le principe de détection des défauts à un stade précoce dans
le but d’éliminer, ou de minimiser, les conséquences négatives pour le système, l’environnement et les
personnes. Elle repose sur les quatre concepts suivants :
- La défaillance qui est définie comme la non-réalisation, ou la cessation, d’une fonction attendue
d’un système ;
- Le mode de défaillance qui est défini par la manière avec laquelle une fonction subit une
défaillance. Chaque mode de défaillance est qualifié par sa gravité (G), son occurrence (O) et sa
détectabilité (D) ;
- L’effet qui est défini comme les conséquences de la défaillance ;
- La criticité qui traduit le niveau de danger résultant de la défaillance. Cette criticité est mesurée par
l’indice de priorité du risque (IPR). Plusieurs méthodes d’évaluation existent pour déterminer cet
indice, la plus fréquente étant une simple multiplication (IPR = G x O x D).
Dans le secteur de la santé, un certain nombre de travaux ont été menés sur les méthodes de gestion des
risques a priori. Il ressort de ces travaux (Erbault et al., 2000 ; Vanura et al., 2002) que la méthode AMDEC
est l’une des méthodes industrielles qui peut être appliquée dans le secteur de la santé. Un certain nombre
d’applications pratiques de la méthode AMDEC (Bonnabry et al., 2008 ; Govaerts et al., 2008) ont
également démontré sa pertinence dans l’amélioration de la fiabilité de processus critiques des hôpitaux.
Le Tableau 2 présente une fiche d’analyse typique utilisée dans une démarche AMDEC processus.
Tableau 2 Fiche d’analyse typique AMDEC-processus
Indice de priorité
Causes du mode
Effets du mode
de défaillance
de défaillance
Détectabilité
Occurrence
défaillance
du risque
Mode de
Activité
Gravité
(IPR)
(G)
(O)
(D)
[1] [2] [3] [4] [5] [6] [7] [8]
… … … … … … … …
La fiche d’analyse AMDEC comporte une première zone de description qualitative des modes de
défaillance étudiée (cf. colonnes [1] à [4] ci-dessus) et une seconde zone pour leur évaluation quantitative
(cf. colonnes [5] à [8] ci-dessus).
Confidentialité (C)
Indice de priorité
Indice de priorité
Causes du mode
Disponibilité (D)
Détectabilité (D)
Occurrence (O)
Effets du mode
Auditabilité (A)
de défaillance
de défaillance
(IPR sécurité)
(IPR fiabilité)
Gravité (G)
Intégrité (I)
défaillance
du risque
du risque
Mode de
Activité
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
… … … … … … … … … … … …
Concrètement, les notations des critères de fiabilité (i.e. gravité, occurrence, détectabilité) d’un mode de
défaillance devront être explicitées en termes de critères de sécurité de l’information (i.e. disponibilité,
intégrité, confidentialité, auditabilité). Un exemple de cette déclinaison est présenté dans le Tableau 4. Dans
ce tableau, la ligne 1 met en évidence un mode de défaillance « Erreur de saisie du patient » qualifié d’une
criticité de 360/1000 (G=9, O=5, D=8) pour la fiabilité, et de 15/75 pour la sécurité de l’information (cf.
section 4). La gravité obtient une notation de 9/10 (complication avec séquelles graves) basée sur le risque
iatrogène important induit par le mode de défaillance. Au niveau de l’occurrence, celle-ci est notée 5/10
(occurrence peu fréquente, documentée), avec une cause liée à l’intégrité informationnelle du SIH, qui
obtient une notation maximale de 5/5 (certification a priori). Enfin, la détectabilité est notée 8/10 (probabilité
modérée de détecter l’erreur après qu’elle ait atteint le patient, pendant ou après l’hospitalisation), avec une
cause liée à la qualité de la traçabilité applicative, qui obtient une notation de 3/5 (SIH auditable). On notera
que ni la disponibilité, ni la confidentialité de l’information ne sont des facteurs aggravant la criticité du mode
de défaillance. La ligne 2 du tableau met en évidence que le mode de défaillance « Erreur de saisie du code
d’analyse » justifierait la définition d’une mesure de réduction du risque au niveau de la qualité du
processus (IPR « fiabilité » = 210/1000), mais pas au niveau de la sécurité de l’information (IPR « sécurité »
= 3/75). Le constat inverse peut être fait pour le mode de défaillance « Panne des postes d’enregistrement
(PC) » (cf. ligne 3).
Ces exemples d’utilisation de la méthode AMDEC+ montrent que les critères étendus d’évaluation (cf.
colonnes [5] à [13], Tableau 3) constitue une zone d’interface entre la sécurité-innocuité (« Safety ») et la
sécurité-confidentialité (« Security ») du SIH, respectivement entre la qualité et la sécurité du système
d’information hospitalier. La mise en œuvre de la méthode AMDEC+ est également génératrice d’une
quantité importante d’information et de connaissances relatives à la sûreté de fonctionnement du SIH. En
effet, les questions auxquelles le professionnel de la santé sera amené à réfléchir sont typiquement : «Vous
avez évalué la gravité de ce mode de défaillance à 9/10. Est-ce parce qu’il y a des problèmes de
disponibilité de l’information ? Ou est-ce parce que l’intégrité des données n’est pas garantie dans tel
cas d’utilisation ? », ou encore « Vous avez évalué la gravité de ce mode de défaillance à 7/10. Quel serait
cette gravité si la durée maximale d’indisponibilité de l’information passait de 4 heures à 8 heures ?». Tous
ces éléments pourront être exploités par les professionnels de la qualité et de la sécurité de l’information
dans leur domaine respectif, et notamment dans la définition cohérente de plans de traitement des risques.
Les échelles d’évaluation des critères de fiabilité (i.e. gravité, occurrence, détectabilité) utilisées dans le
projet-pilote ont été établies sur la base de travaux menés dans ce domaine (Bonnabry et al., 2008 ; Vanura
et al., 2002), ainsi que sur les recommandations émises par le centre national américain pour la sécurité
des patients (NCPS) dépositaire de la marque « HFMEA ». Chacune des trois échelles comportant un
classement à dix niveaux (1 = non-significatif, 10 = vital, certain, non détectable), l’indice de priorité du
risque de fiabilité (IPR) maximal est de 1'000 (G=10 x O=10 x D=10).
Quant aux échelles d’évaluation des critères de sécurité de l’information (i.e. disponibilité, intégrité,
confidentialité, auditabilité), elles ont été établies sur la base de recommandations spécifiques au secteur
de la santé (GMSIH-PFS, 2004 ; DFE-AEP, 2007), ainsi que sur la base de la politique générale de gestion
des risques du RSV. Chacune des quatre échelles comporte un classement à cinq niveaux (1 = non-
significatif, 5 = critique, vital, catastrophique). L’indice de priorité du risque de sécurité (IPR) maximal
théorique est de 625 (D=5 x I=5 x C=5 x A=5). Toutefois, comme il est relativement peu vraisemblable
qu’un mode de défaillance ne soit induit par un incident de sécurité impactant plus que trois des quatre
paramètres de sécurité de l’information, l’indice de priorité du risque maximal a été artificiellement fixé à 75.
Légende :
- Prescription connectée : Prescription électronique de l’examen par le requérant au lieu d’une
prescription sur un support papier
- Chaîne pré-analytique : Automatisation et centralisation de la décantation et de la gestion des tubes
secondaires au lieu d’une décantation et d’une gestion des tubes manuelles faite dans chaque
laboratoire
Les résultats de cette étude (cf. Tableau 5) montrent que les modes de défaillance de criticité élevée sont
principalement liés à des erreurs humaines (e.g. erreur de tri, erreur de saisie). En effet, et de manière
surprenante pour les professionnels des laboratoires, cette analyse AMDEC+ a mis en évidence que les
modes de défaillance portés par des moyens informatiques n'obtiennent pas, d’une manière en générale,
une criticité haute. Ce constat peut certainement être expliqué par le fait que l'application informatique de
support du processus d’analyses médicales (WinDMLab de Datamed SA) est relativement stable et connue
depuis de nombreuses années par les professionnels des laboratoires. Avec des rapports de réduction de
risques allant de 150 à 500%, le second constat est relatif à l’efficacité des mesures basées sur la mise en
œuvre d’une prescription connectée (prescription électronique de l’examen par le requérant au lieu d’une
prescription sur un support papier) et d’une chaîne pré-analytique (automatisation et centralisation de la
décantation et de la gestion des tubes secondaires au lieu d’une décantation et d’une gestion des tubes
manuelles faite dans chaque laboratoire). En effet, ces deux mesures permettent de réduire de manière
significative la criticité de six, respectivement cinq modes de défaillances majeurs liés à des erreurs
humaines. Si ces solutions permettent d’atténuer substantiellement les risques de manipulation, elles
introduiront toutefois un certain nombre de nouveaux risques liés à ces nouvelles technologies. Il y a donc
un transfert de l’origine humaine du risque vers une source technologique. Les résultats de l’analyse
AMDEC+ montrent ainsi qu’en l’état, le processus de traitement des demandes d’analyses est exposé
essentiellement à des risques de fiabilité, sans risques majeurs de sécurité de l’information. Il est probable
qu’avec la mise en œuvre de la prescription connectée et de la chaîne pré-analytique, un certain nombre de
nouveaux risques de sécurité de l’information apparaissent. Enfin, d’un point de vue analytique, les
mesures de réduction des risques identifiées n’ont pas permis de diminuer la gravité des modes de
défaillances. Ce constat est relativement fréquent dans les secteurs d’activité où la sécurité des personnes
est engagée (e.g. santé, aviation civile, nucléaire). En effet, dans ces domaines d’activités, il est
relativement difficile de limiter – ou confiner – la propagation des conséquences négatives liées à la
réalisation d’un événement lorsque les mesures de prévention en place n’ont pas permis d’empêcher sa
survenance.
6. Conclusion
La démarche AMDEC+ a permis d’identifier un certain nombre de modes de défaillance critiques dans le
processus de traitement des demandes d’analyses liés à des erreurs humaines. Cette étude montre que, en
l’état, les principaux risques portent essentiellement sur la fiabilité du processus, sans risques majeurs de
sécurité de l’information. Toutefois, il est probable que cette tendance s’inverse avec une informatisation
accrue du processus (cf. prescription connectée, une chaîne pré-analytique). L’apport principal de la
méthode AMDEC+ est de proposer une analyse combinée des risques de fiabilité et de sécurité, en mettant
en évidence les points d’interface – ou points de collaboration – entre les domaines de la qualité et de la
sécurité. Si ce projet-pilote a permis de faire une première validation probante de cette méthode d’analyse,
elle devra encore être affinée et validée à plus large échelle, et notamment dans le domaine clinique.
7. Références
Bonnabry, P., Despont-Gros, C., & Gauser, D. (2008). A risk analysis method to evaluate the impact of a
computerized provider order entry system on patient safety. JAMIA , 1-27.
DFE-AEP. (2007). Analyse de risques dans la santé publique - Rapport final. Berne: Confédération suisse.
Erbault, M., Glikman, J., & Ravineau, M.-J. (2000). Méthodes et outils des démarches qualité pour les
établissements de santé. Paris: ANAES.
Faucher, J. (2009). Pratique de l'AMDEC. Paris: Dunod.
Fieschi, M. (2003). Les données du patient partagées : La culture du partage et de la qualité des
informations pour améliorer la qualité des soins. Marseille: Faculté de médecine - Université de Marseille.
GMSIH-PFS. (2004). Domaine de sécurité : Système d'information hospitalier. Paris: Groupement pour la
Modernisation du Système d'Information Hospitalier.
Govaerts, D., Courbe, A., & Lequeu, R. (2008). Application de l'AMDEC aux processus du laboratoire
d'analyses de biologie clinique de l'hôpital André Vésale. Gestion et ingénierie des systèmes hospitaliers
(pp. 431-439). Lausanne: EPFL.
Kluge, E.-H., Allaert, F.-A., & Barber, B. (2001). Info-vigilance or safety in health information systems.
MedInfo , 1229-1233.
Vanura, A., Marmet, E., & Donjon, A. (2002). Modèle de gestion des risques en établissements de santé.
Paris: Cap Gemini et Ernst & Young / DHOS - Ministère de l'emploi et de la solidarité.