Comment évaluer le risque selon l’ISO 12100 – analyse de la formule de risque et des méthodes

Le nombre d’accidents du travail mortels dans les pays de l’UE s’est élevé à 3 298 en 2023, soit env. 0,1% de l’ensemble des accidents déclarés. Par rapport à 2013, ce chiffre a diminué d’env. 110 (contre 3 408), même si, par rapport à 2022, on observe une légère hausse (+12 cas). Au total, on compte en moyenne 1,63 victime mortelle par an pour 100 000 travailleurs – malgré les progrès en matière de sécurité au travail, des accidents mortels continuent de se produire, en particulier en lien avec l’utilisation de machines et d’équipements, ce qui exige des actions de prévention continues.

Comment évaluer le risque selon l’ISO 12100 : l’évaluation des risques est un élément clé pour garantir la sécurité des machines et des postes de travail. Selon l’Organisation internationale de normalisation, la norme de base dans ce domaine est ISO 12100:2010 (« Sécurité des machines – Principes généraux de conception – Appréciation du risque et réduction du risque »), qui définit les notions fondamentales ainsi que le processus d’identification des dangers et d’estimation du risque. De son côté, ISO/TR 14121-2 est un rapport technique (Technical Report) qui fournit des recommandations pratiques et des exemples de méthodes d’évaluation des risques des machines conformément à l’ISO 12100. Dans la présente étude, nous « décomposons » la formule du risque issue de l’ISO 12100 – en examinant chacun de ses composants – et nous analysons comment les différentes méthodes présentées dans l’ISO/TR 14121-2 prennent en compte (ou simplifient) ces facteurs. Nous présentons également les différences essentielles entre les approches des deux documents, illustrées par des données statistiques et des enseignements tirés de la pratique.

Comment évaluer le risque selon l’ISO 12100 : formule du risque selon l’ISO 12100 (composantes du risque)

La norme ISO 12100 définit le risque comme la combinaison de la probabilité de survenue d’un dommage et de la gravité (sévérité) de ce dommage. Autrement dit, le risque lié à un danger donné dépend, d’une part, de la gravité de la blessure ou du dommage possible et, d’autre part, de la probabilité qu’un tel dommage survienne. Cette définition générale peut être précisée en décomposant la « probabilité de survenue d’un dommage » en facteurs plus concrets. Conformément à l’ISO 12100, cette probabilité comprend quatre éléments constitutifs : la fréquence et la durée d’exposition (F), la probabilité de survenue d’un événement dangereux (P1), la possibilité d’éviter ou de limiter le dommage (A) ainsi que, le cas échéant, une durée d’exposition spécifique (T) si elle n’est pas incluse dans la fréquence. En pratique, on associe souvent la durée à la fréquence d’exposition, en les considérant ensemble comme un seul facteur. Ci-dessous, nous décrivons chacun de ces éléments du risque conformément à la norme et à la littérature associée :

• Gravité du dommage (S, severity) – gravité prévisible des conséquences d’un accident ou d’un danger. Elle est déterminée en considérant l’atteinte la plus défavorable possible pour la santé : des blessures mineures (réversibles) jusqu’à des lésions graves et irréversibles, voire le décès. Les catégories de gravité peuvent être définies de manière descriptive (p. ex. S1 – blessure légère, S2 – atteinte grave et permanente ou décès). Plus la gravité potentielle des conséquences est élevée, plus le risque augmente : même avec une faible probabilité, un accident grave peut imposer la mise en place de mesures de prévention.
• Fréquence et durée d’exposition (F, frequency of exposure) – à quelle fréquence et pendant combien de temps une personne est exposée à un danger donné. Une présence plus fréquente et plus longue dans la zone dangereuse augmente la probabilité qu’un accident survienne. Par exemple, F1 peut correspondre à une exposition rare ou de courte durée, et F2 à une exposition fréquente ou continue/longue. Dans les évaluations des risques, on retient par exemple une échelle allant de « très rarement » à « en continu » – souvent avec un seuil quantitatif (p. ex. plusieurs fois par heure, par jour, par mois, par an, etc.). Si nécessaire, on prend également en compte T (durée d’exposition) – p. ex. un séjour continu prolongé dans la zone de danger est plus risqué qu’un passage bref et occasionnel, même à fréquence identique.
• Probabilité de survenue d’un événement dangereux (P1, probability of occurrence) – estime la probabilité qu’un événement dangereux spécifique conduisant à un dommage se produise, en tenant compte des conditions de fonctionnement de la machine. Cela inclut notamment la fiabilité de la machine et de ses composants, la probabilité d’une détérioration ou d’une défaillance menant à une situation dangereuse, ainsi que la possibilité d’une erreur humaine déclenchant l’événement. On l’exprime souvent de manière qualitative, par exemple très probable, possible, peu probable, quasi nul, etc. À titre d’exemple, sur une échelle à cinq niveaux : 1 – négligeable (pratiquement jamais), 3 – possible, 5 – probabilité très élevée. Plus des situations de panne ou dangereuses peuvent se produire fréquemment (p. ex. pannes récurrentes, absence de protections, taux d’erreurs opérateur élevé), plus le facteur P1 est important.
• Possibilité d’éviter ou de limiter le dommage (A, également désignée P ou Q) – indique dans quelle mesure la personne exposée a une chance d’éviter l’accident ou d’en réduire les conséquences une fois l’événement dangereux survenu. Autrement dit : si le danger se matérialise, le salarié peut-il éviter la blessure (p. ex. s’écarter, arrêter la machine, se mettre à l’abri) ou les moyens de protection peuvent-ils en limiter les effets (p. ex. un rideau immatériel de sécurité arrête la machine avant qu’un dommage grave ne se produise). La catégorie A est parfois définie de façon binaire : p. ex. A1 (P1) – évitement possible (dans des conditions favorables, l’opérateur a la possibilité de réagir, de se dégager ou le dommage restera limité), A2 (P2) – évitement presque impossible (l’événement est soudain, inévitable ou il n’existe pas de possibilité physique de fuite). Si la possibilité d’éviter est nulle (p. ex. en cas d’explosion, d’entraînement soudain par une machine à grande vitesse), le risque est nettement plus élevé que dans une situation où l’opérateur peut percevoir le danger et se retirer.

Il convient de souligner que l’ISO 12100 n’impose pas d’échelles ni de valeurs numériques spécifiques pour les paramètres ci-dessus : elle exige uniquement que l’évaluation des risques prenne en compte au minimum les quatre aspects (S, F, P1, A) et qu’elle permette, sur cette base, d’estimer le niveau de risque. La norme laisse aux concepteurs la liberté de choisir les méthodes, afin de les adapter aux spécificités de la machine, à condition que l’évaluation soit systématique et qu’elle intègre tous les facteurs pertinents. Le risque R peut donc être exprimé comme une fonction : R = f(S, F, P1, A). Dans les cas simples, cela est souvent modélisé de manière qualitative (p. ex. de façon descriptive ou sous forme de tableau) et, dans certaines méthodes, aussi par points (numériquement) en attribuant des rangs/valeurs à chaque facteur puis en les additionnant ou en les multipliant (comme indiqué plus loin).

À titre indicatif, on peut noter que la norme ISO 12100:2010 a consolidé des standards antérieurs (EN ISO 12100-1, 12100-2 ainsi que ISO 14121-1) sans modifications substantielles concernant l’approche de l’évaluation des risques. Cela signifie que les facteurs de risque décrits ci-dessus et le processus d’analyse des dangers n’ont, en pratique, pas changé – ils ont simplement été présentés de manière plus claire dans une seule norme harmonisée. Toutefois, l’ISO 12100 ne fournit pas, en elle-même, de recette prête à l’emploi indiquant comment calculer ou classer précisément le risque – d’où le besoin de lignes directrices complémentaires illustrant différentes méthodes d’estimation du risque conformes aux exigences de la norme. C’est précisément ce type d’indications que contient ISO/TR 14121-2:2007/2012, qui constitue un ensemble d’outils et d’exemples parmi lesquels les évaluateurs des risques machines peuvent choisir.

Méthodes d’évaluation des risques dans ISO/TR 14121-2

Le rapport technique ISO/TR 14121-2 présente diverses méthodes et outils destinés à l’estimation du risque sur les machines, conformément à l’approche de l’ISO 12100. Il décrit notamment la méthode par points (additive/multiplicative), la matrice de risque, le diagramme (graphe) de risque ainsi que des méthodes hybrides combinant les caractéristiques de plusieurs approches. Les méthodes ci-dessous sont présentées en indiquant comment elles prennent en compte (ou simplifient) les facteurs de risque décrits précédemment.

Méthode par points (additive ou multiplicative)

L’une des méthodes présentées est l’approche par points, dans laquelle des valeurs numériques sont attribuées à tous les éléments du risque, puis additionnées ou multipliées afin d’obtenir un indice de risque résultant. Par exemple, on peut définir des échelles de points pour S (p. ex. de 1 à 4 selon la gravité), pour F (fréquence d’exposition), pour P1 (probabilité de l’événement), etc., puis calculer R = S + F + P1 + A (addition) ou R = S * F * P1 * A (multiplication).

En pratique, on utilise souvent une formule mixte, par exemple en additionnant certains facteurs et en multipliant d’autres, afin de refléter correctement leur poids. À titre d’exemple, dans des lignes directrices japonaises (citées par l’ISO/TR 14121-2), il était suggéré d’additionner S + (F + P1) – c’est-à-dire la gravité plus l’évaluation combinée de l’exposition et de la probabilité de l’événement. Cette méthode permet d’intégrer tous les éléments pertinents dans le calcul et fournit un résultat quantitatif que l’on peut comparer entre différents dangers.

Avantages : Elle permet de structurer l’évaluation : chaque critère est examiné séparément, ce qui réduit le risque d’omettre un aspect. Le résultat numérique permet de comparer les risques entre différentes machines ou scénarios sur une échelle uniforme.

Difficultés : La définition des pondérations et des échelles de points est souvent subjective : par exemple, une occurrence « fréquente » vaut-elle 3 points ou 4, comment reparamétrer une multiplication pour que les valeurs aient du sens ; cela peut nécessiter une calibration. Le résultat chiffré peut aussi être difficile à interpréter sans définir des seuils d’acceptabilité (p. ex., que signifient 15 points : est-ce un « risque élevé » nécessitant une action, ou un risque moyen ?). C’est pourquoi on élabore souvent une table d’évaluation ou une légende qui convertit la somme de points en catégories qualitatives de risque (p. ex. 0–3 pts = risque faible, 4–7 = moyen, >8 = élevé – ce n’est qu’un exemple). Le mode d’agrégation influence également le résultat : la multiplication fait qu’une valeur très faible d’un facteur peut fortement abaisser le score (ce qui peut être souhaitable : p. ex., une probabilité d’événement négligeable réduira le risque presque à zéro, même en cas de gravité élevée), tandis que l’addition garantit que chaque facteur ajoute quelque chose au risque (p. ex., avec une somme, même une chance minimale d’événement avec des conséquences catastrophiques donnera un résultat non nul). Le choix somme vs. produit doit donc refléter la philosophie d’évaluation : considère-t-on qu’un événement très rare aux conséquences tragiques constitue malgré tout un risque nécessitant une maîtrise (l’addition donnera un résultat non nul), ou qu’on peut pratiquement l’ignorer (le produit donnera un résultat proche de zéro) ? L’ISO/TR 14121-2 présente ces deux approches comme des outils optionnels.

Matrice de risque (risk matrix)

La matrice de risque est un outil très répandu, également décrit dans l’ISO/TR 14121-2. La matrice est un tableau à deux dimensions, où l’on reporte sur un axe la gravité des conséquences (S) et sur l’autre la probabilité globale de survenue d’un dommage (P). Les différentes cases du tableau – combinaisons d’un niveau de S et d’un niveau de P – sont associées à des catégories de risque (p. ex. faible, moyen, élevé), souvent codées par couleurs (vert, jaune, rouge) pour plus de lisibilité. Par exemple, une échelle de gravité à quatre niveaux (de blessure légère à mortelle) et une échelle de probabilité à cinq niveaux (de très rare à fréquent) forment une matrice 4×5, comme dans l’exemple ci-dessous issu de la pratique (les couleurs indiquent le niveau de risque – vert : acceptable, rouge : élevé).

Dans la matrice hypothétique ci-dessus (4×5), on voit par exemple que la combinaison probabilité moyenne (C) et conséquence mortelle (4) conduit à une évaluation Risque élevé. Ce type de matrice sert avant tout à la visualisation du risque : on peut rapidement repérer quels dangers se situent dans la zone rouge (inacceptable, nécessitant des actions) et lesquels se trouvent dans la zone verte (acceptable).

Avantages de la matrice : Elle est simple et lisible – elle rappelle une « signalisation tricolore » (vert–jaune–rouge) compréhensible même pour des personnes non techniques. Cela facilite la communication du risque à la direction ou aux opérateurs : on voit immédiatement où se situent les dangers les plus importants. La matrice permet également une classification rapide des priorités : on peut déterminer quels risques sont faibles (et éventuellement les tolérer) et lesquels sont élevés et exigent une réduction immédiate.

Inconvénients et simplifications : La matrice de risque simplifie forcément l’analyse, car elle ramène l’ensemble des facteurs F, P1, A à un seul axe « probabilité ». L’évaluation de cette probabilité devient alors le résultat d’une appréciation subjective de la fréquence, de la possibilité de survenue et de l’évitement. Différents évaluateurs peuvent donc interpréter différemment, par exemple, ce que signifie « peu probable » – d’où des résultats pas toujours parfaitement reproductibles. La standardisation des catégories dans l’entreprise (p. ex. des définitions précises de ce que signifie B : peu probable – p. ex. « <1 événement sur 10 ans ») peut limiter la part d’arbitraire, mais une certaine subjectivité demeure toujours. Autre point faible : la résolution limitée ; la matrice regroupe le risque en plages assez larges. Deux dangers différents peuvent recevoir la même évaluation (p. ex. risque moyen), alors que l’un se situe au bas de la catégorie et l’autre en haut. La matrice ne met pas ces écarts en évidence ; pour des analyses plus fines ou pour classer un grand nombre de risques, cette méthode peut s’avérer trop générale.

Malgré les limites ci-dessus, les matrices sont très répandues, y compris en dehors de l’industrie des machines (p. ex. en santé et sécurité au travail au sens large, dans les projets, la finance), en raison de leur simplicité. ISO/TR 14121-2 recommande de les utiliser avec prudence, en veillant à définir clairement les catégories et, le cas échéant, à les préciser lorsqu’un niveau de détail supérieur est nécessaire. Il convient de souligner que la norme ISO 12100 ne s’oppose pas à l’utilisation d’une matrice, à condition de se rappeler que, selon la norme, avant de classer le risque dans la matrice, il faut réfléchir à l’ensemble des quatre facteurs (S, F, P1, A). Autrement dit, même si la matrice n’opère explicitement que sur deux dimensions (S et une probabilité P globale), une analyse qualitative doit précéder le remplissage de la matrice – afin d’évaluer, par exemple, si un faible niveau de P résulte d’une faible exposition ou plutôt d’une forte possibilité d’évitement, etc.

Graphe de risque (risk graph)

Le graphe de risque est une méthode graphique qui représente le processus d’évaluation du risque sous forme d’un arbre de décision ou d’un schéma logique. Elle est utilisée notamment dans les normes relatives à la sécurité des systèmes de commande (p. ex. EN ISO 13849-1, IEC 62061) afin de déterminer le niveau de protection requis (PL ou SIL) à partir de l’estimation du risque. Le graphe consiste à répondre séquentiellement à des questions portant sur les facteurs de risque : généralement Gravité (S), Fréquence/exposition (F), Possibilité d’évitement (A/P) – souvent sous forme de choix binaires (p. ex. S1 ou S2 ? F1 ou F2 ? P1 ou P2 ?), ce qui guide l’utilisateur le long des branches de l’arbre jusqu’au résultat final.

Par exemple, un schéma simplifié (inspiré de l’ISO 13849-1) fonctionne ainsi : si S est légère (S1), aller à gauche ; si elle est grave (S2), aller à droite ; puis vient la question sur F : rare/courte (F1) ou fréquente/longue (F2) ; ensuite sur P (Avoidance) : la possibilité d’éviter est-elle P1 (possible) ou P2 (impossible) ? À la fin, selon le chemin parcouru (combinaison de S, F, P), un certain niveau de risque est attribué ou, directement, le niveau de protection requis (p. ex. PLr a, b, c… pour les systèmes de commande).

Avantages : Les graphes de risque offrent une procédure structurée et reproductible : en posant les mêmes questions dans le même ordre, on réduit la part d’arbitraire (p. ex. deux ingénieurs répondant « oui/non » à des questions identiques aboutiront généralement au même résultat). Cette méthode est également rapide pour les utilisateurs expérimentés et se concentre sur les facteurs clés sans fragmenter excessivement l’échelle. Elle convient très bien à des applications spécifiques, p. ex. l’évaluation du risque lié aux fonctions de sécurité (comme dans l’ISO 13849-1) – là où les dangers sont typiques et où l’objectif est de choisir un niveau de protection technique approprié.

Limites : Le graphique (en particulier avec des catégories binaires) reste assez grossier. Par exemple, le fait de ne retenir que deux niveaux de S (léger vs grave) écarte les scénarios « intermédiaires » – parfois cela suffit (quand l’essentiel est de distinguer : décès possible ou non), mais cela peut aussi être trop simplificateur. De même, F1/F2 et P1/P2 représentent un nombre minimal de catégories ; dans la réalité, il existe souvent davantage de nuances. Les graphiques sont aussi généralement spécialisés : un schéma conçu pour une norme/un secteur peut ne pas convenir à un autre. En outre, le graphique de risque ne prend pas explicitement en compte le facteur P1 (probabilité de l’événement) dans une étape distincte : on suppose souvent un scénario « typique » avec une probabilité « typique » pour l’application considérée. Autrement dit, le graphique met l’accent sur la fréquence d’exposition et la possibilité d’évitement, en considérant la survenue de l’événement comme en quelque sorte inhérente aux conditions réelles (par ex., dans l’ISO 13849, on adopte de manière conservatrice l’hypothèse que l’événement peut toujours se produire si une personne est exposée – d’où l’absence d’une branche séparée demandant « la défaillance est-elle probable ? »). Cela simplifie l’analyse (moins de questions), mais implique une certaine approche conservatrice : le risque peut ressortir élevé même si la machine est très fiable, puisque ce point n’est pas interrogé. En pratique, si l’on dispose de données indiquant une probabilité d’événement très faible (par ex. une défaillance une fois par million d’heures), le graphique de risque n’exploitera pas cette information ; il faudrait plutôt recourir à des méthodes à points afin d’intégrer ce facteur P1 de manière chiffrée.

ISO/TR 14121-2 présente les graphiques de risque comme l’une des méthodes, en donnant des exemples issus de normes connexes. En appliquant cette méthode, il faut être conscient de ses hypothèses et de ses simplifications : elle convient parfaitement à la vérification des exigences de sécurité (par ex. quel niveau PL/SIL doit atteindre un protecteur) ainsi qu’à une classification initiale du risque, mais, pour l’évaluation globale du risque d’une machine, elle peut être complétée par d’autres analyses si, par exemple, le taux de défaillance de la machine est atypique.

Méthodes hybrides (combinées)

Les méthodes hybrides visent à combiner les avantages des approches à points et graphiques. Un exemple de ce type d’approche est donné dans l’ISO/TR 14121-2 et repris de la norme IEC 62061 (relative à la sécurité des systèmes de commande). En termes généraux, une méthode hybride peut, par exemple, additionner certains facteurs afin d’obtenir une « classe de probabilité », puis la confronter à la gravité à la manière d’une matrice ou d’un graphique. C’est le cas, par exemple, dans l’IEC 62061 : on évalue successivement Fr (frequency), Pr (probability of occurrence), Av (avoidance) – on attribue à chacun des valeurs de 1–5, on les additionne pour obtenir une classe de risque CL (cette somme est parfois appelée class of likelihood. Ensuite, sur une grille bidimensionnelle (semblable à une matrice), on croise le niveau CL obtenu avec la catégorie de gravité S afin d’attribuer le SIL requis du niveau de protection. Ainsi, la méthode hybride associe une estimation quantitative des composantes (comme dans l’approche à points) à un résultat qualitatif lisible (comme dans une matrice/un graphique).

L’avantage de cette solution est une plus grande finesse dans l’évaluation de la probabilité (les composantes Fr, Pr, Av sont examinées séparément), tout en conservant une présentation simple du résultat final au moyen de catégories. Une méthode de ce type est utilisée, par exemple, dans la norme ISO 13849, où les réponses aux questions S, F, P (évitement) conduisent au Performance Level (PLr) requis pour la fonction de sécurité – on peut l’interpréter comme une échelle à cinq niveaux du risque résiduel à atteindre par des moyens appropriés. Point important : les niveaux de risque y sont directement liés à la fiabilité exigée des mesures de protection (PL a – e). C’est un concept intéressant : risque élevé → il faut mettre en œuvre un système de protection très fiable (PL e), risque faible → une mesure moins complexe suffit (PL a).

Les méthodes hybrides sont souvent utilisées pour l’évaluation des risques liés aux systèmes de commande des machines, mais leur principe peut être adapté plus largement – elles offrent la possibilité d’une évaluation quantitative de la réduction du risque apportée par des mesures concrètes. Par exemple, si, au départ, le risque exigeait PL d (ce qui correspondait à un certain niveau de probabilité d’événement), et que l’on met en place une protection ne satisfaisant qu’à PL c, on sait que le risque diminuera d’un certain nombre de « niveaux » – sans toutefois tomber à zéro, et peut donc nécessiter des actions complémentaires. Cela nous amène à un autre aspect important : l’évaluation du risque et les différences d’approche concernant les critères d’acceptabilité.

Comment évaluer le risque selon l’ISO 12100 : comparaison des approches et conclusions

ISO 12100 vs ISO/TR 14121-2 – rôle de la norme et des lignes directrices. La différence fondamentale entre l’ISO 12100 et l’ISO/TR 14121-2 tient à leur nature : l’ISO 12100 est une norme d’exigences (normative) – elle précise ce qu’il faut faire (réaliser l’analyse des dangers, estimer le risque en tenant compte de S, F, P1, A, etc., puis réduire le risque), tandis que l’ISO/TR 14121-2 est un document technique de recommandations – il montre comment on peut le faire au travers d’exemples. La norme 12100 laisse une grande latitude, tandis que le rapport 14121-2 fournit des outils qui aident à satisfaire cette norme. Il n’y a pas de contradiction – plutôt un complément. En pratique, de nombreuses organisations élaborent leurs propres procédures d’évaluation des risques sur la base de ces recommandations, adaptées aux spécificités de leurs machines et au niveau de risque acceptable.

Prise en compte des facteurs de risque. L’ISO 12100 indique clairement que toute appréciation du risque doit prendre en compte deux composantes : la gravité des dommages (S) et la probabilité de leur survenue (P), la probabilité devant intégrer au minimum l’exposition, la possibilité de survenue de l’événement et la possibilité d’évitement. Les méthodes décrites dans l’ISO/TR 14121-2 se distinguent principalement par la manière dont elles intègrent ces composantes. La méthode par points décompose explicitement P en facteurs et les additionne/les multiplie ; elle reflète donc le plus fidèlement la formule complète (au prix d’un effort d’évaluation plus important). La matrice de risque, à l’inverse, regroupe les facteurs F, P1, A en un P généralisé, ce qui simplifie l’évaluation, mais peut masquer l’aspect qui pèse le plus sur le risque. Par exemple, une matrice peut donner le même résultat « risque moyen » pour deux situations : (a) un événement très rare aux conséquences catastrophiques et (b) un événement fréquent aux conséquences légères — alors que la nature de ces risques diffère. C’est pourquoi, avec une matrice, il est recommandé de consigner séparément les hypothèses expliquant pourquoi un scénario donné se voit attribuer telle ou telle catégorie de P (p. ex. « probabilité faible en raison d’une exposition sporadique », etc.). Le graphe de risque, quant à lui, omet explicitement P1, mais impose une hypothèse conservatrice sur la propension aux défaillances — ce qui peut être sûr, même si cela peut parfois surestimer le risque lorsque la machine est en réalité très fiable.

Niveau de détail vs simplicité. Il en ressort le dilemme classique : les méthodes plus complexes (par points, hybrides) offrent une vision plus précise et plus quantitative du risque, permettent de distinguer des nuances, mais leur mise en œuvre exige davantage de données et elles sont plus difficiles à communiquer. Les méthodes plus simples (matrice, graphe de risque) sont faciles à utiliser et à comprendre, mais au détriment du niveau de détail — elles peuvent conduire à certains effets de moyenne. L’ISO 12100 ne privilégie aucune de ces méthodes : elle les admet toutes, à condition qu’elles servent une appréciation rigoureuse. En pratique, on recourt souvent à une combinaison : par exemple, une première estimation du risque est réalisée à l’aide d’une matrice pour faire ressortir les zones à risque élevé, puis, pour ces dangers critiques, une analyse plus détaillée (même semi-quantitative) est menée afin de concevoir des mesures de sécurité optimales.

Critères d’acceptation du risque. L’ISO 12100 comme l’ISO/TR 14121-2 soulignent que l’étape clé consiste à déterminer si le risque a été réduit à un niveau acceptable (ce que l’on appelle l’évaluation du risque – risk evaluation – qui intervient après l’estimation). Fait intéressant, aucun de ces documents ne définit précisément ce qui constitue un « niveau tolérable » : cela est laissé aux organisations, éventuellement aux exigences réglementaires ou à des normes spécifiques. Dans les exemples de matrices, l’ISO/TR 14121-2 suppose généralement que la catégorie de risque la plus basse (p. ex. « Negligible »/« Zaniedbywalne ») est acceptable sans action supplémentaire. Autrement dit, la combinaison des valeurs les plus faibles des facteurs (p. ex. blessure mineure, probabilité pratiquement nulle) correspond à une situation où aucune réduction supplémentaire n’est requise. Les niveaux supérieurs (faible, moyen, élevé) peuvent exiger un renforcement proportionnel des moyens de protection.

Dans la pratique, une certaine lacune a été constatée : l’ISO/TR 14121-2 ne fournit pas de méthode stricte pour calculer l’impact des mesures de protection mises en place sur la réduction du risque. En termes simples : on sait que les protecteurs, les interrupteurs de sécurité, les rideaux, etc. réduisent le risque (en diminuant la probabilité ou les conséquences), mais, sur l’échelle d’une matrice ou d’un système à points, cela est souvent apprécié comme une nouvelle évaluation qualitative après mise en œuvre des protections, sans coefficient de conversion formel. Cela peut susciter des interrogations : par exemple, si, avant la mise en place d’un protecteur, la probabilité de l’événement a été évaluée comme C (possible), dans quelle catégorie retombe-t-elle après installation du protecteur ? C’est là que des normes telles que l’ISO 13849-1 apportent un appui : au risque initial est associée la fiabilité requise de la mesure (PLr), et l’atteinte de ce PL atteste que le risque a été réduit à un niveau acceptable. Dans l’approche ISO/TR 14121-2, cela doit être apprécié par expertise — par exemple : « la mise en place d’un protecteur va probablement réduire la fréquence d’exposition de fréquente à rare, donc on passe de la catégorie E à C dans la matrice ». C’est une démarche correcte, mais elle exige de l’expérience.

Résumé. L’analyse de la formule de risque selon l’ISO 12100 met en évidence le nombre de facteurs qui composent le risque – pas seulement la gravité évidente des conséquences, mais aussi des éléments moins intuitifs comme la fréquence d’exposition au danger ou la possibilité d’éviter un accident. L’ISO/TR 14121-2 montre, quant à elle, qu’il existe de nombreuses approches pour estimer et catégoriser le risque : des méthodes de cotation précises aux matrices plus accessibles. Chacune a sa place – et elles sont souvent utilisées de manière complémentaire. L’essentiel est de ne perdre de vue aucun aspect important : une méthode simple ne dispense pas de réfléchir aux détails (par exemple, pourquoi nous évaluons la probabilité comme faible), et une méthode complexe doit aboutir à une décision claire (le risque est-il acceptable, ou que faut-il encore améliorer). Au final, l’objectif reste toujours la réduction du risque à un niveau acceptable – conformément à la « règle ALARP » (as low as reasonably practicable, ramener le risque aussi bas que raisonnablement possible) ainsi qu’aux exigences des directives, par exemple la directive Machines 2006/42/CE. Tant que des accidents surviennent dans les usines et sur les chantiers (et que les statistiques montrent qu’en Pologne seulement, chaque année, des dizaines de personnes meurent lors de l’utilisation de machines et que des milliers subissent des blessures), une évaluation rigoureuse des risques et la mise en œuvre de mesures de protection appropriées resteront une obligation fondamentale pour les fabricants et les utilisateurs de machines. Grâce à des normes comme l’ISO 12100 et aux recommandations de l’ISO 14121-2, nous disposons aujourd’hui d’outils éprouvés pour anticiper, évaluer et réduire ce risque avant qu’un événement malheureux ne se produise.