Dealing with uncertainty in risk analysis : combining safety and security
Traiter l'incertitude dans l'analyse des risques : combinant sureté et sécurité
Résumé
Risk analysis is a critical part for regulatory decision-making related to high-risk risk industries. A systematic risk analysis is made up of three steps: (i) identifying the undesirable risk scenarios. A risk scenario is characterized by referencing to the potential event with its causes and consequences. (ii) Estimating the likelihood of occurrence of risk scenarios. (iii) Calculating the effect of consequences of the identified risk scenarios. Likelihood and effect analysis are carried out with the help of models that depend on several number of input parameters.However, the trustworthiness of risk analysis is limited when inaccuracies in the results can occur, and are due to various sources of uncertainty. Parameter, model and completeness uncertainties are the main sources of uncertainty. Parameter uncertainty arises from the inability to set exact values for certain input parameters used for likelihood and severity analysis. Completeness uncertainty originates from not considering all contributions to risk in the identification process (some initiating events are ignored). Model uncertainty is not considered in this work.The INERIS (French National Institute for Industrial Environment and Risks) has developed an interval semi-quantitative approach that uses both quantitative information if available or qualitative information if not. However, this interval semi-quantitative approach has some drawbacks due to parameter uncertainty.Information regarding model parameters used for effect analysis is often incomplete, vague, imprecise or subjective. Moreover, some of the parameters may be random in nature and have different values. This leads to two different types of parameter uncertainty that need to be accounted for an accurate risk analysis and effective decision-making. Aleatoric uncertainty arises from randomness due to natural variability resulting from the variation of a value in time. Or epistemic uncertainty caused by the lack of information resulting, for example, from measurement errors, subjectivity expert judgment or incompleteness.Moreover, the identification step is incomplete where only safety related scenarios caused by accidental events are considered. The introduction of connected systems and digital technology in process industries creates new cyber-security threats that can lead to undesirable safety accidents. These cyber-security related events should be considered during industrial risk analysis.This research aims to develop uncertainty analysis methodologies to treat uncertainty in the INERIS risk analysis process. In other words, to analyze uncertainty in likelihood analysis, effect analysis and the identification step.In this work, we propose a fuzzy semi-quantitative approach to deal with parameter uncertainty in the likelihood analysis step. We handle the limits of the interval semi-quantitative approach by introducing the concept of fuzzy numbers instead of intervals. Fuzzy numbers are used to represent subjectivity in expert judgments (qualitative data) and covers uncertainty in the quantitative data if this data exists.A hybrid methodology that treat each cause of parameter uncertainty in effect analysis with the right theory is developed. Probability theory is used to represent variability, fuzzy numbers are used to represent imprecision and evidence theory is used to represent vagueness, incompleteness and the lack of consensus.A new risk identification methodology that considers safety and security together during industrial risk analysis is developed. This approach combines Bow-Tie Analysis (BTA), commonly used for safety analysis, with a new extended version of Attack Tree Analysis (ATA), introduced for security analysis of industrial control systems. The combined use of AT-BT provides an exhaustive representation of risk scenarios in terms of safety and security.
L'analyse des risques est un élément essentiel pour la prise de décision réglementaire liée aux industries à haut risques. Une analyse systématique des risques se compose de trois étapes: (i) l’identification des scénarios indésirables de risque. (ii) l’estimation de la probabilité d'occurrence des scénarios des risques. (iii) le calcul d’effet des conséquences des scénarios de risque identifiés. L'analyse de la vraisemblance et de la gravité s'effectue à l'aide de modèles qui dépendent de plusieurs paramètres d'entrée. Cependant, la fiabilité de l'analyse de risque est limitée grâce à diverses sources d'incertitude. L’incertitude des paramètres, du modèle et d'incomplétude sont les principales sources d'incertitude. L’incertitude de paramètres découle de l'incapacité de définir des valeurs exactes à certains paramètres d'entrée utilisés pour l'analyse de la probabilité et de l’effet. L'incertitude de l’incomplétude provient de ne pas tenir compte de l’ensemble des contributions au risque dans le processus d'identification (certains événements initiateurs sont ignorés). L'incertitude du modèle n'est pas prise en compte dans ce travail. L'INERIS (Institut national de l'environnement industriel et des risques) a développé une approche semi-quantitative d'intervalle pour l’évaluation de la probabilité des risques qui utilise des informations quantitatives si disponibles ou des informations qualitatives, sinon. Cependant, cette approche semi-quantitative d'intervalle présente certains inconvénients en raison de l'incertitude des paramètres. L'information concernant les paramètres d’entrée des modèles d’effets est souvent incomplète, vague, imprécise ou subjective. En outre, certains paramètres peuvent être de nature aléatoire et ont des valeurs différentes. Cela conduit à deux différents types d'incertitude des paramètres. L'incertitude aléatoire dû à la variabilité naturelle. L’autre est l’incertitude épistémique, causée par le manque d'informations, par exemple, une imprécision de mesure. De plus, dans les méthodes d'analyse de risque actuelles, l'étape d'identification est incomplète. Juste les scénarios liés à la sûreté causés par des événements accidentels sont pris en compte durant l’analyse. L'introduction de systèmes connectés et de technologies numériques dans l’Industrie crée de nouvelles menaces de cyber-sécurité qui peuvent entraîner des accidents de sûreté indésirables. Ces événements liés à la cyber-sécurité doivent être pris en compte lors de l'analyse des risques industriels. Cette recherche vise à développer des méthodologies d'analyse d'incertitude pour traiter l'incertitude dans le processus d'analyse de risque de l’INERIS. En d'autres termes, analyser l'incertitude dans l'analyse de la probabilité, l'analyse des effets et l'étape d'identification. Dans ce travail, nous traitons les limites de l'approche semi-quantitative d'intervalle en introduisant la notion de nombres flous au lieu d'intervalles. Les nombres flous sont utilisés pour traiter l'incertitude dans les données d’entrée. Une méthodologie hybride qui traite chaque cause de l'incertitude des paramètres dans l'analyse des effets avec la bonne théorie est développée. La théorie de la probabilité est utilisée pour représenter la variabilité, les nombres flous sont utilisés pour représenter l'imprécision et la théorie d’évidence est utilisée pour représenter l'ignorance, l'incomplétude ou le manque de consensus. Une nouvelle méthodologie d'identification des risques qui considère la sûreté et la sécurité ensemble lors de l'analyse des risques industriels est développée. Cette approche combine Nœud-Papillon (BT), utilisé pour l'analyse de sûreté, avec une nouvelle version étendue de l’arbre d’attaque (AT), introduite pour l'analyse de cybersécurité des systèmes de contrôle industriel. L'utilisation combinée d'AT-BT fournit une représentation exhaustive des scénarios de risque en termes de sûreté et de sécurité.
Origine : Version validée par le jury (STAR)