Comment évaluer le risque selon l’ISO 12100 – analyse de la formule de risque et des méthodes

Le nombre d’accidents du travail mortels dans les pays de l’UE s’est élevé en 2023 à 3 298, soit env. 0,1 % de l’ensemble des accidents déclarés. Par rapport à 2013, ce chiffre a diminué d’env. 110 (contre 3 408), même si, par rapport à 2022, une légère hausse a été constatée (+12 cas). Au total, on compte en moyenne 1,63 décès par an pour 100 000 travailleurs : malgré les progrès en matière de sécurité au travail, des accidents mortels continuent de survenir, en particulier lors de l’utilisation de machines et d’équipements, ce qui exige des actions de prévention continues.

Comment évaluer le risque selon l’ISO 12100 : l’évaluation des risques est un élément clé pour garantir la sécurité des machines et des postes de travail. Selon l’Organisation internationale de normalisation, la norme de base dans ce domaine est ISO 12100:2010 (« Sécurité des machines – Principes généraux de conception – Appréciation du risque et réduction du risque »), qui définit les notions fondamentales ainsi que le processus d’identification des dangers et d’estimation du risque. De son côté, ISO/TR 14121-2 est un rapport technique (Technical Report) qui fournit des recommandations pratiques et des exemples de méthodes d’évaluation des risques des machines conformément à l’ISO 12100. Dans la présente étude, nous « décomposons » la formule du risque issue de l’ISO 12100 – en examinant chacun de ses composants – et nous analysons comment les différentes méthodes présentées dans l’ISO/TR 14121-2 prennent en compte (ou simplifient) ces facteurs. Nous présentons également les différences importantes entre les approches des deux documents, illustrées par des données statistiques et des enseignements tirés de la pratique.

Comment évaluer le risque selon l’ISO 12100 : formule du risque selon l’ISO 12100 (composantes du risque)

La norme ISO 12100 définit le risque comme la combinaison de la probabilité de survenue d’un dommage et de la gravité (sévérité) de ce dommage. Autrement dit, le risque associé à un danger donné dépend, d’une part, de la gravité de la blessure ou du dommage possible et, d’autre part, de la probabilité qu’un tel dommage se produise. Cette définition générale peut être précisée en décomposant la « probabilité de survenue d’un dommage » en facteurs plus concrets. Selon l’ISO 12100, cette probabilité comprend quatre composantes : la fréquence et la durée d’exposition (F), la probabilité de survenue d’un événement dangereux (P1), la possibilité d’éviter ou de limiter le dommage (A) ainsi que, le cas échéant, une durée d’exposition (T) spécifique si elle n’est pas prise en compte dans la fréquence. En pratique, on associe souvent la durée à la fréquence d’exposition, en les considérant ensemble comme un seul facteur. Ci-dessous, nous décrivons chacun de ces éléments du risque conformément à la norme et à la littérature associée :

• Gravité du dommage (S, severity) – gravité prévisible des conséquences d’un accident ou d’un danger. Elle est déterminée en tenant compte de l’issue la plus défavorable possible pour la santé : des blessures mineures (réversibles) jusqu’à des atteintes corporelles graves et irréversibles, voire le décès. Les catégories de gravité peuvent être définies de manière descriptive (p. ex. S1 – blessure légère, S2 – atteinte grave et permanente ou décès). Plus la gravité potentielle des conséquences est élevée, plus le risque est important : même avec une probabilité faible, un accident grave peut nécessiter la mise en place de mesures de prévention.
• Fréquence et durée d’exposition (F, frequency of exposure) – à quelle fréquence et pendant combien de temps une personne est exposée à un danger donné. Une présence plus fréquente et plus longue dans la zone dangereuse augmente la probabilité qu’un accident survienne. Par exemple, F1 peut correspondre à une exposition rare ou de courte durée, et F2 – à une exposition fréquente ou continue/de longue durée. Dans les évaluations des risques, on retient par exemple une échelle allant de « très rarement » à « en continu » – souvent avec un seuil quantitatif (p. ex. plusieurs fois par heure, par jour, par mois, par an, etc.). Si nécessaire, on prend également en compte T (durée d’exposition) – p. ex. un long séjour continu dans la zone de danger est plus risqué qu’une intervention brève et ponctuelle, même à fréquence identique.
• Probabilité d’occurrence de l’événement dangereux (P1, probability of occurrence) – estime à quel point il est probable qu’un événement dangereux spécifique survienne et conduise à un dommage, en tenant compte des conditions d’exploitation de la machine. Cela inclut notamment la fiabilité de la machine et de ses composants, la probabilité d’un endommagement ou d’une défaillance menant à une situation dangereuse, ainsi que la possibilité d’une erreur humaine à l’origine de l’événement. On l’exprime souvent de manière qualitative, par exemple : très probable, possible, peu probable, quasi nul, etc. À titre d’exemple, sur une échelle à cinq niveaux : 1 – négligeable (pratiquement jamais), 3 – possible, 5 – probabilité très élevée. Plus les situations de panne ou dangereuses sont susceptibles de se produire fréquemment (p. ex. pannes récurrentes, absence de protections, taux d’erreurs opérateur élevé), plus le facteur P1 est élevé.
• Possibilité d’éviter ou de limiter le dommage (A, également appelée P ou Q) – indique dans quelle mesure la personne exposée a une chance d’éviter l’accident ou d’en réduire les conséquences lorsqu’un événement dangereux survient. Autrement dit : si le hazard (danger) se concrétise, le travailleur peut-il éviter la blessure (p. ex. s’écarter d’un bond, arrêter la machine, se mettre à l’abri) ou les moyens de protection peuvent-ils en limiter les effets (p. ex. un rideau de sécurité arrête la machine avant qu’un dommage grave ne se produise). La catégorie A est parfois définie de manière binaire : p. ex. A1 (P1) – évitement possible (dans des conditions favorables, l’opérateur a une chance de réagir, de s’échapper ou le dommage restera limité), A2 (P2) – évitement presque impossible (l’événement est soudain, inévitable ou il n’existe pas de possibilité physique de fuite). Si la possibilité d’éviter est nulle (p. ex. en cas d’explosion, d’entraînement soudain par une machine à grande vitesse), le risque est nettement plus élevé que dans une situation où l’opérateur peut percevoir le danger et se retirer.

Il convient de souligner que l’ISO 12100 n’impose pas d’échelles ni de valeurs numériques précises pour les paramètres ci-dessus – elle exige uniquement que, dans l’évaluation des risques, au moins les quatre aspects ci-dessus (S, F, P1, A) soient pris en compte et que le niveau de risque soit estimé sur cette base. La norme laisse aux concepteurs une marge de manœuvre dans le choix des méthodes, afin de les adapter aux spécificités de la machine, à condition que l’évaluation soit systématique et qu’elle prenne en compte tous les facteurs pertinents. Le risque R peut donc être exprimé comme une certaine fonction : R = f(S, F, P1, A). Dans les cas simples, cela est parfois modélisé de manière qualitative (p. ex. de façon descriptive ou sous forme de tableau) et, dans certaines méthodes, également par points (numériquement) en attribuant des rangs/nombres aux différents facteurs puis en les additionnant ou en les multipliant (comme indiqué plus loin).

Au passage, il convient de noter que la norme ISO 12100:2010 a consolidé les normes antérieures (EN ISO 12100-1, 12100-2 ainsi que ISO 14121-1) sans modifications substantielles sur le fond concernant l’approche de l’évaluation des risques. Cela signifie que les facteurs de risque décrits ci-dessus et le processus d’analyse des dangers n’ont, en pratique, pas changé – ils ont simplement été présentés de manière plus claire au sein d’une seule norme harmonisée. Toutefois, ISO 12100 ne fournit pas, à elle seule, de méthode prête à l’emploi indiquant comment calculer ou classer précisément le risque – d’où la nécessité de lignes directrices complémentaires illustrant différentes méthodes d’estimation du risque répondant aux exigences de la norme. C’est précisément ce type de recommandations que contient ISO/TR 14121-2:2007/2012, qui constitue un ensemble d’outils et d’exemples parmi lesquels les personnes chargées d’évaluer les risques des machines peuvent choisir.

Méthodes d’évaluation des risques dans l’ISO/TR 14121-2

Le rapport technique ISO/TR 14121-2 présente diverses méthodes et outils destinés à l’estimation du risque sur les machines, conformément à l’approche ISO 12100. Parmi eux, il décrit notamment la méthode à points (additive/multiplicative), la matrice de risque, le diagramme (graphe) de risque ainsi que des méthodes hybrides combinant les caractéristiques de plusieurs approches. Ci-dessous, ces méthodes sont examinées, en indiquant comment elles prennent en compte (ou simplifient) les facteurs de risque décrits précédemment.

Méthode par points (additive ou multiplicative)

L’une des méthodes présentées est l’approche par points, dans laquelle des valeurs numériques déterminées sont attribuées à tous les éléments de risque, puis additionnées ou multipliées afin d’obtenir un indice de risque résultant. Par exemple, on peut définir des échelles de points pour S (p. ex. 1 à 4 selon la gravité), pour F (la fréquence d’exposition), pour P1 (la probabilité de survenue) etc., puis calculer R = S + F + P1 + A (addition) ou R = S * F * P1 * A (multiplication).

Dans la pratique, on utilise souvent une formule mixte, par exemple en additionnant certains facteurs et en en multipliant d’autres, afin de refléter correctement leur poids. À titre d’exemple, dans les lignes directrices japonaises (citées par ISO/TR 14121-2), il était suggéré d’additionner S + (F + P1) – c’est-à-dire la gravité plus l’évaluation combinée de l’exposition et de la probabilité de survenue de l’événement. Cette méthode permet de prendre en compte tous les éléments pertinents dans le calcul et fournit un résultat quantitatif que l’on peut comparer entre différents dangers.

Avantages: Permet de structurer l’évaluation – chaque critère est examiné séparément, ce qui réduit le risque d’omettre un aspect. Le résultat chiffré permet de comparer les risques entre différentes machines ou scénarios sur une échelle uniforme.

Défis : La définition des pondérations et de l’échelle de points est souvent subjective – par exemple, faut-il attribuer 3 points ou 4 à une occurrence « fréquente », comment reparamétrer une multiplication pour que les valeurs restent cohérentes – et peut nécessiter une calibration. Le résultat purement numérique est parfois difficile à interpréter sans définir des seuils d’acceptabilité (p. ex., que signifient 15 points : s’agit-il d’un « risque élevé » nécessitant une action, ou d’un risque moyen ?). C’est pourquoi on élabore souvent une table d’évaluation ou une légende, qui convertit le total de points en catégories qualitatives de risque (p. ex., 0–3 pts = risque faible, 4–7 = moyen, >8 = élevé – ce n’est qu’un exemple). La méthode d’agrégation influence aussi le résultat : la multiplication fait qu’une valeur très faible pour l’un des facteurs peut fortement abaisser le score (ce qui peut être souhaitable : p. ex., une probabilité négligeable d’événement réduira le risque presque à zéro, même si la gravité est élevée), tandis que l’addition garantit que chaque facteur ajoute quelque chose au risque (p. ex., avec une somme, même une chance minimale d’événement associée à des conséquences catastrophiques donnera un résultat non nul). Le choix entre somme et produit doit donc refléter la philosophie d’évaluation : considère-t-on qu’un événement très rare aux conséquences tragiques constitue malgré tout un risque nécessitant une maîtrise (l’addition donnera un résultat non nul), ou qu’on peut pratiquement l’ignorer (le produit donnera un résultat proche de zéro) ? ISO/TR 14121-2 présente ces deux approches comme des outils optionnels.

Matrice des risques (risk matrix)

La matrice de risque est un outil très largement utilisé, également décrit dans l’ISO/TR 14121-2. Il s’agit d’un tableau à deux dimensions, où l’on reporte sur un axe la gravité des conséquences (S) et sur l’autre la probabilité globale de survenue d’un dommage (P). Chaque case du tableau — combinaison d’un niveau S et d’un niveau P — est associée à une catégorie de risque (p. ex. faible, moyen, élevé), souvent codée par des couleurs (vert, jaune, rouge) pour faciliter la lecture. Par exemple, une échelle de gravité à quatre niveaux (de blessure légère à mortelle) et une échelle de probabilité à cinq niveaux (de très rare à fréquente) forment une matrice 4×5, comme dans l’exemple ci-dessous issu de la pratique (les couleurs indiquent le niveau de risque — vert : acceptable, rouge : élevé).

Dans la matrice hypothétique ci-dessus (4×5), on voit par exemple que la combinaison d’une probabilité moyenne (C) et d’une conséquence mortelle (4) conduit à une évaluation de risque élevé. Ce type de matrice sert avant tout à la visualisation du risque : on peut rapidement repérer quels dangers se situent dans la zone rouge (inacceptables, nécessitant des actions) et lesquels se trouvent dans la zone verte (acceptables).

Avantages de la matrice : Elle est simple et lisible – elle rappelle une « signalisation tricolore » (vert–jaune–rouge), compréhensible même pour des personnes non techniciennes. Cela facilite la communication des risques à la direction ou aux employés : on voit immédiatement où se situent les dangers les plus élevés. La matrice permet également une classification rapide des priorités : il est possible de déterminer quels risques sont faibles (et éventuellement les tolérer) et lesquels sont élevés et nécessitent une réduction immédiate.

Limites et simplifications : La matrice de risque, par nature, simplifie l’analyse, car elle ramène l’ensemble des facteurs F, P1, A à un seul axe « probabilité ». L’évaluation de cette probabilité devient alors le résultat d’une appréciation subjective de la fréquence, de la possibilité de survenue et de l’évitement. Ainsi, différents évaluateurs peuvent interpréter différemment, par exemple, ce que signifie « peu probable » — d’où des résultats qui ne sont pas toujours parfaitement reproductibles. La standardisation des catégories au sein de l’entreprise (p. ex. des définitions précises de ce que recouvre B : peu probable — p. ex. « <1 événement sur 10 ans ») peut réduire la part d’arbitraire, mais une certaine subjectivité demeure toujours. Autre inconvénient : une résolution limitée ; la matrice regroupe les risques dans des plages assez larges. Deux dangers différents peuvent recevoir la même note (p. ex. risque moyen), alors que l’un se situe à la limite basse de cette catégorie et l’autre à la limite haute. La matrice ne met pas ces écarts en évidence — pour des analyses plus fines ou pour classer un grand nombre de risques, cette méthode peut s’avérer trop générale.

Malgré les limites évoquées ci-dessus, les matrices sont très populaires, y compris en dehors de l’industrie des machines (p. ex. en BHP au sens large, dans les projets, la finance), en raison de leur simplicité. L’ISO/TR 14121-2 recommande de les utiliser avec prudence, en veillant à définir clairement les catégories et, le cas échéant, à préciser davantage lorsque plus de détails sont nécessaires. Il convient de souligner que la norme ISO 12100 ne s’oppose pas à l’utilisation de matrices, à condition de garder à l’esprit que, au sens de la norme, avant de classer le risque dans une matrice, il faut s’interroger sur l’ensemble des quatre facteurs (S, F, P1, A). Autrement dit, même si la matrice ne manipule explicitement que deux dimensions (S et P au sens général), une analyse qualitative doit précéder le remplissage de la matrice – afin d’évaluer, par exemple, si un faible niveau de P résulte d’une faible exposition ou, au contraire, d’une forte possibilité d’évitement, etc.

Graphique de risque (risk graph)

Le graphe de risque est une méthode graphique qui représente le processus d’évaluation du risque sous la forme d’un arbre de décision ou d’un schéma logique. Elle est notamment utilisée dans les normes relatives à la sécurité des systèmes de commande (p. ex. EN ISO 13849-1, IEC 62061) afin de déterminer le niveau de protection requis (PL ou SIL) à partir de l’estimation du risque. Le graphe consiste à répondre de manière séquentielle à des questions portant sur les facteurs de risque : généralement Gravité (S), Fréquence/exposition (F), Possibilité d’évitement (A/P) – souvent sous forme de choix binaires (p. ex. S1 ou S2 ? F1 ou F2 ? P1 ou P2 ?), ce qui guide l’utilisateur le long des branches de l’arbre jusqu’au résultat final.

Par exemple, un schéma simplifié (inspiré de l’ISO 13849-1) fonctionne ainsi : si S est faible (S1), allez à gauche ; si elle est grave (S2), à droite ; puis vient la question de F : rare/courte (F1) ou fréquente/longue (F2) ; ensuite celle de P (Avoidance) : la possibilité d’évitement est-elle P1 (possible) ou P2 (impossible). Enfin, selon le chemin parcouru (combinaison de S, F, P), un certain niveau de risque est attribué, ou directement le niveau de protection requis (p. ex. PLr a, b, c… pour les systèmes de commande).

Zalety: Wykresy ryzyka zapewniają usystematyzowaną, powtarzalną procedurę – en posant les mêmes questions dans le même ordre, on réduit la part de subjectivité (p. ex., deux ingénieurs répondant « oui/non » à des questions identiques aboutiront généralement au même résultat). Cette méthode est également rapide pour les utilisateurs expérimentés et se concentre sur les facteurs clés sans fragmenter excessivement l’échelle. Elle fonctionne très bien dans des applications spécifiques, par exemple pour l’évaluation des risques liés aux fonctions de sécurité (comme dans ISO 13849-1) – là où les dangers sont typiques et où l’objectif est de choisir le niveau approprié de protection technique.

Limites : Le graphique (en particulier avec des catégories binaires) est assez grossier. Par exemple, le fait de ne retenir que deux niveaux de S (léger vs grave) écarte les scénarios « intermédiaires » – parfois cela suffit (lorsque l’essentiel est de distinguer : décès possible ou non), mais parfois c’est trop simplificateur. De même, F1/F2 et P1/P2 représentent le nombre minimal de catégories ; en réalité, il existe souvent davantage de nuances. Les graphiques sont aussi généralement spécialisés : un schéma conçu pour une norme/un secteur peut ne pas convenir à un autre. En outre, le graphique de risque ne prend pas explicitement en compte le facteur P1 (probabilité de l’événement) dans une étape distincte – on suppose souvent un scénario « typique » avec une probabilité « typique » pour l’application considérée. Autrement dit, le graphique met l’accent sur la fréquence d’exposition et la possibilité d’évitement, en considérant la survenue de l’événement comme, en quelque sorte, inhérente aux conditions réelles (p. ex., dans l’ISO 13849, on adopte de manière conservatrice l’hypothèse que l’événement peut toujours se produire si une personne est exposée – d’où l’absence d’une branche distincte demandant « la défaillance est-elle probable ? »). Cela simplifie l’analyse (moins de questions), mais implique une certaine conservativité : le risque peut ressortir élevé même si la machine est très fiable, puisque ce point n’est pas interrogé. En pratique, si l’on dispose de données indiquant une probabilité d’événement très faible (p. ex., une défaillance une fois par million d’heures), le graphique de risque n’exploitera pas cette information – il faudrait plutôt recourir à des méthodes à points afin d’intégrer ce facteur P1 de manière chiffrée.

ISO/TR 14121-2 présente les graphes de risque comme l’une des méthodes, en donnant des exemples issus de normes connexes. En appliquant cette méthode, il faut être conscient de ses hypothèses et de ses simplifications : elle convient parfaitement à la vérification des exigences de sécurité (p. ex. quel niveau de PL/SIL doit avoir un protecteur) ainsi qu’à la classification préliminaire du risque, mais, pour l’évaluation globale du risque d’une machine, elle peut être complétée par d’autres analyses si, par exemple, le taux de défaillance de la machine est atypique.

Méthodes hybrides (combinées)

Les méthodes hybrides constituent une tentative de combiner les avantages de l’approche par points et de l’approche graphique. Un exemple de ce type d’approche est présenté dans l’ISO/TR 14121-2 et repris de la norme IEC 62061 (relative à la sécurité des systèmes de commande). En pratique, une méthode hybride peut par exemple additionner certains facteurs afin d’obtenir une « classe de probabilité », puis la confronter à la gravité selon le principe d’une matrice ou d’un graphique. C’est notamment le cas dans la norme IEC 62061 : on évalue successivement Fr (frequency), Pr (probability of occurrence), Av (avoidance) – on attribue à chacun des valeurs de 1 à 5, on les additionne pour obtenir une classe de risque CL (cette somme est parfois appelée class of likelihood. Ensuite, sur une grille bidimensionnelle (semblable à une matrice), on croise le niveau CL obtenu avec la catégorie de gravité S afin d’attribuer le SIL requis du niveau de protection. Ainsi, la méthode hybride associe une estimation quantitative des composantes (comme dans l’approche par points) à un résultat qualitatif lisible (comme dans une matrice/un graphique).

L’avantage de cette solution réside dans une évaluation plus fine de la probabilité (les composantes Fr, Pr, Av sont examinées séparément), tout en conservant une présentation simple du résultat final au moyen de catégories. Une telle méthode est utilisée, par exemple, dans la norme ISO 13849, où les réponses aux questions S, F, P (évitement) conduisent au Performance Level (PLr) requis pour la fonction de sécurité – on peut l’interpréter comme une échelle à cinq niveaux du risque résiduel à atteindre au moyen de mesures appropriées. Point important : dans ce cadre, les niveaux de risque sont directement liés à la fiabilité exigée des mesures de protection (PL a – e). C’est une approche intéressante : risque élevé → nous devons mettre en œuvre un système de protection très fiable (PL e), risque faible → une mesure moins complexe suffit (PL a).

Les méthodes hybrides sont souvent utilisées pour l’évaluation du risque lié aux systèmes de commande des machines, mais leur principe peut être adapté plus largement : elles permettent une évaluation quantitative de la réduction du risque apportée par des mesures spécifiques. Par exemple, si, au départ, le risque exigeait un PL d (ce qui correspondait à un certain niveau de probabilité d’occurrence de l’événement) et que nous appliquons une mesure de protection ne satisfaisant qu’au PL c, nous savons alors que le risque diminuera d’un nombre déterminé de « niveaux » — sans toutefois tomber à zéro, et il peut donc nécessiter des actions supplémentaires. Cela nous amène à un autre aspect important : l’évaluation du risque et les différences d’approche concernant les critères d’acceptabilité.

Comment évaluer le risque selon l’ISO 12100 : comparaison des approches et conclusions

ISO 12100 vs ISO/TR 14121-2 – rôle de la norme et des lignes directrices. La différence fondamentale entre ISO 12100 et ISO/TR 14121-2 tient à leur nature : ISO 12100 est une norme d’exigences (normative) – elle précise ce qu’il faut faire (réaliser une analyse des dangers, estimer le risque en tenant compte de S, F, P1, A, etc., puis réduire le risque), tandis que ISO/TR 14121-2 est un document technique contenant des lignes directrices – il montre comment on peut le faire au moyen d’exemples. La norme 12100, à elle seule, laisse une grande marge de manœuvre, alors que le rapport 14121-2 fournit des outils qui aident à satisfaire à cette norme. Il n’y a pas de contradiction : il s’agit plutôt d’un complément. En pratique, de nombreuses organisations élaborent leurs propres procédures d’évaluation des risques sur la base de ces lignes directrices, adaptées aux spécificités de leurs machines et au niveau de risque acceptable.

Prise en compte des facteurs de risque. ISO 12100 indique sans ambiguïté que toute évaluation des risques doit prendre en compte deux composantes : la gravité des dommages (S) et la probabilité de leur survenue (P), la probabilité devant intégrer au minimum l’exposition, la chance de survenue de l’événement et la possibilité de l’éviter. Les méthodes décrites dans ISO/TR 14121-2 se distinguent principalement par la manière dont elles intègrent ces composantes. La méthode par points décompose explicitement P en facteurs et les additionne/les multiplie, ce qui reflète le plus fidèlement la formule complète (au prix d’une charge de travail plus importante lors de l’évaluation). La matrice de risques, en revanche, regroupe les facteurs F, P1, A en un P unique et généralisé, ce qui simplifie l’évaluation, mais peut masquer quel aspect influe le plus sur le risque. Par exemple, une matrice peut donner le même résultat « risque moyen » pour deux situations : (a) un événement très rare aux conséquences catastrophiques et (b) un événement fréquent aux conséquences légères — alors que la nature de ces risques est différente. C’est pourquoi, avec une matrice, il est recommandé de consigner séparément les hypothèses expliquant pourquoi un scénario donné se voit attribuer telle catégorie de P plutôt qu’une autre (p. ex. « probabilité faible en raison d’une exposition sporadique », etc.). Le graphe de risques, quant à lui, omet explicitement P1, mais impose une hypothèse conservatrice sur la propension aux défaillances — ce qui peut être sûr, même si, parfois, cela peut surestimer le risque si, en réalité, la machine est très fiable.

Niveau de détail vs simplicité. Il en ressort un dilemme classique : les méthodes plus complexes (à points, hybrides) offrent une vision plus précise et plus quantitative du risque, permettent de distinguer les nuances, mais leur mise en œuvre exige davantage de données et elles sont plus difficiles à communiquer. Les méthodes plus simples (matrice, risk graph) sont faciles à utiliser et à comprendre, mais au détriment du niveau de détail : elles peuvent conduire à certaines moyennes. ISO 12100 ne privilégie aucune de ces méthodes : elle les autorise toutes, à condition qu’elles servent une évaluation fiable. En pratique, on recourt souvent à une combinaison : par exemple, on évalue d’abord le risque à l’aide d’une matrice afin d’identifier les zones à haut risque, puis, pour ces dangers critiques, on réalise une analyse plus détaillée (ne serait-ce que semi-quantitative) afin de concevoir des mesures de sécurité optimales.

Critères d’acceptation du risque. ISO 12100 comme ISO/TR 14121-2 soulignent que l’étape clé consiste à évaluer si le risque a été réduit à un niveau acceptable (ce que l’on appelle l’évaluation du risque – risk evaluation – qui intervient après l’estimation). Fait notable, aucun de ces documents ne définit précisément ce qui constitue un « niveau tolérable » – cela est laissé aux organisations, le cas échéant aux dispositions légales ou aux normes spécifiques. Dans les exemples de matrices, ISO/TR 14121-2 part généralement du principe que la catégorie de risque la plus faible (p. ex. risque « Negligible »/« Zaniedbywalne ») est acceptable sans mesures supplémentaires. Autrement dit, la combinaison des valeurs les plus faibles des facteurs (p. ex. blessure mineure, probabilité pratiquement nulle) correspond à une situation où aucune réduction supplémentaire n’est requise. Les niveaux supérieurs (faible, moyen, élevé) peuvent exiger un renforcement proportionnel des mesures de protection.

Dans la pratique, on a constaté une certaine lacune : ISO/TR 14121-2 ne fournit pas de méthode stricte pour calculer l’effet des mesures de protection mises en place sur la réduction du risque. Plus simplement : on sait que les protecteurs, les interrupteurs de sécurité, les rideaux, etc. réduisent le risque (car ils diminuent la probabilité ou les conséquences), mais, sur une échelle de matrice ou de points, on évalue souvent cela comme une nouvelle appréciation qualitative après la mise en œuvre des protections, sans coefficient de conversion formel. Cela peut susciter des doutes : par exemple, si, avant la mise en place d’un protecteur, la probabilité de l’événement a été évaluée comme C (possible), alors dans quelle catégorie descend-elle après l’installation du protecteur ? C’est là que des normes comme la ISO 13849-1 mentionnée viennent en aide : au risque initial, on associe la fiabilité requise de la mesure (PLr), et l’atteinte de ce PL atteste que le risque a été réduit à un niveau acceptable. Dans l’approche ISO/TR 14121-2, il faut l’évaluer de manière experte – par exemple, dire : « l’installation d’un protecteur réduira probablement la fréquence d’exposition de fréquente à rare, donc on passe de la catégorie E à C dans la matrice ». C’est une approche correcte, mais elle exige de l’expérience.

Résumé. L’analyse de la formule de risque selon ISO 12100 met en évidence le grand nombre de facteurs qui composent le risque – pas seulement la gravité évidente des conséquences, mais aussi des éléments moins intuitifs comme la fréquence d’exposition au danger ou la possibilité d’éviter un accident. ISO/TR 14121-2 montre, quant à elle, qu’il existe de nombreuses approches pour estimer et catégoriser le risque : des méthodes de notation précises aux matrices plus accessibles. Chacune a sa place – on les utilise souvent de manière complémentaire. L’essentiel est de ne perdre de vue aucun des aspects importants : une méthode simple ne dispense pas de réfléchir aux détails (par exemple, pourquoi nous évaluons la probabilité comme faible), et une méthode complexe doit aboutir à une décision claire (le risque est-il acceptable, ou que faut-il encore améliorer). Au final, l’objectif reste toujours la réduction du risque à un niveau acceptable – conformément à la dite règle ALARP (as low as reasonably practicable, ramener le risque aussi bas que raisonnablement possible) ainsi qu’aux exigences des directives, par exemple la directive Machines 2006/42/CE. Tant que des accidents surviennent dans les usines et sur les chantiers (et que les statistiques montrent qu’en Pologne seulement, chaque année, des dizaines de personnes meurent lors de l’utilisation de machines et que des milliers subissent des blessures), une évaluation rigoureuse des risques et la mise en œuvre de mesures de protection appropriées resteront une obligation fondamentale pour les fabricants et les utilisateurs de machines. Grâce à des normes telles que ISO 12100 et aux recommandations d’ISO 14121-2, nous disposons aujourd’hui d’outils éprouvés pour anticiper, évaluer et réduire ce risque avant qu’un événement malheureux ne se produise.