Synthèse technique
Points clés :

Le texte met en avant le caractère itératif de l’évaluation des risques et le choix de la technique en fonction du type de machine, des dangers et de l’étape du projet. Il décrit également les principes de base de la matrice de risques en tant qu’outil combinant la gravité des conséquences et la probabilité de l’événement.

  • L’évaluation des risques est essentielle pour l’évaluation de la conformité des machines et la préparation au marquage CE sur le marché de l’UE.
  • ISO 12100 et ISO/TR 14121-2 décrivent le cadre ainsi que des méthodes pratiques d’identification des dangers et d’estimation du risque.
  • Le processus comprend : le périmètre et les limites de la machine, l’identification des dangers, l’analyse/l’estimation, l’acceptation et la réduction du risque.
  • Réduction du risque selon l’ISO 12100 : conception intrinsèquement sûre, mesures techniques de protection, mesures organisationnelles et EPI.
  • L’article présente des méthodes d’estimation du risque : matrices et graphiques de risque, méthodes de cotation, ainsi que des approches qualitatives et quantitatives.

Le processus d’évaluation de la conformité des machines aux exigences essentielles impose de réaliser une analyse de risques rigoureuse, conformément aux normes en vigueur. La sécurité des machines constitue un socle dans la conception et l’exploitation des équipements industriels : tout fabricant, avant de mettre une machine sur le marché de l’UE, doit identifier les dangers et réduire le risque à un niveau acceptable. Des normes telles que ISO 12100 (Sécurité des machines – Principes généraux de conception, appréciation du risque et réduction du risque) ainsi que le guide ISO/TR 14121-2 (méthodes pratiques d’appréciation du risque) fournissent un cadre de démarche. À l’inverse, des normes sectorielles comme NF EN ISO 13849-1 et NF EN 62061 se concentrent sur la sécurité des systèmes de commande et s’appuient sur des méthodes spécifiques d’estimation du risque afin de déterminer les niveaux d’assurance de sécurité requis (Performance Level, SIL).

Dans cet article, nous examinerons les principales méthodes d’analyse de risques utilisées dans l’évaluation de conformité des machines : les matrices de risques, les graphes de risques, les méthodes à points ainsi que les approches qualitatives et quantitatives. Nous comparerons leurs hypothèses, mettrons en évidence les avantages et les limites de chaque méthode, et illustrerons des applications pratiques (à partir d’exemples inspirés de la documentation normative, mais adaptés en conséquence). Enfin, nous proposerons des recommandations sur la manière de combiner différentes approches et de choisir la méthode la plus adaptée au type de dangers, à l’étape de conception et au type de machine.

Rappel : l’objectif de l’analyse de risques n’est pas seulement de satisfaire aux exigences formelles liées au marquage CE, mais avant tout de garantir que la machine sera sûre sur l’ensemble de son cycle de vie – de la conception à l’utilisation, jusqu’à la maintenance et au retrait du service. Il est donc pertinent de choisir des méthodes d’analyse de risques permettant d’identifier efficacement tous les dangers et d’évaluer le risque de façon systématique et compréhensible pour toute l’équipe.

ISO/TR 14121-2: Fondements du processus d’appréciation du risque

Avant de passer aux méthodes concrètes, rappelons brièvement les étapes de l’appréciation du risque selon la norme NF EN ISO 12100:2012.

  1. Définition du périmètre et des limites de la machine : Comprendre la fonction de la machine, son usage, les limites du système et les utilisateurs. Déterminez dans quelles conditions la machine fonctionnera (p. ex. environnement, charges, formation du personnel).
  2. Identification des dangers : Recenser toutes les sources potentielles de danger à toutes les phases de vie de la machine (installation, fonctionnement normal, nettoyage, maintenance, pannes, démontage). Les dangers peuvent être mécaniques, électriques, thermiques, chimiques, liés aux rayonnements, ergonomiques, etc. Il est important d’impliquer à la fois les concepteurs et les futurs opérateurs : l’expérience terrain du personnel permet de mettre en évidence des risques moins évidents.
  3. Analyse et estimation du risque : Pour chaque danger identifié, nous analysons les scénarios d’accident possibles : les causes de l’événement, la probabilité de survenue et les effets (conséquences) pour les opérateurs ou l’équipement. Ensuite, nous estimons le niveau de risque – c’est précisément ici qu’interviennent les outils abordés plus loin (matrices, graphes, échelles à points, etc.). L’objectif est d’attribuer à chaque danger une « pondération » du risque sur la base de l’évaluation de la fréquence et de la gravité des dommages potentiels.
  4. Évaluation de l’acceptabilité du risque : Nous comparons le risque estimé aux critères d’acceptabilité retenus dans l’entreprise ou le projet. Par exemple : le risque est-il suffisamment faible pour être toléré, ou nécessite-t-il une réduction ? De nombreuses organisations appliquent le principe selon lequel un risque entraînant la mort ou une invalidité permanente est inacceptable quelle que soit sa probabilité – sauf si des mesures de protection spécifiques sont mises en œuvre.
  5. Réduction du risque : Pour les risques jugés trop élevés, on met en place des mesures de réduction conformément à la hiérarchie en trois étapes de l’ISO 12100 : (a) élimination des dangers par la conception (solutions intrinsèquement sûres), (b) mesures techniques de protection (protecteurs, dispositifs de sécurité), (c) mesures organisationnelles et équipements de protection individuelle (instructions, formations, PPE). Après application de ces mesures, le cycle d’analyse de risques est répété de manière itérative, en évaluant le risque résiduel – jusqu’à l’obtention d’un niveau acceptable.

Dans la suite, nous nous concentrerons sur l’étape d’estimation du risque (point 3 ci-dessus), en présentant les méthodes les plus courantes. Il convient de souligner que l’ISO 12100 n’impose pas une technique unique : elle admet aussi bien des approches qualitatives (descriptives) que quantitatives (chiffrées), à condition que le résultat de l’évaluation permette de décider de la nécessité d’une réduction du risque. Conformément à l’ISO/TR 14121-2, il existe de nombreux outils équivalents, et le choix dépend des spécificités de la machine et des préférences des évaluateurs.

Matrice de risques (Risk Matrix)

La matrice de risque est l’un des outils les plus simples et les plus couramment utilisés pour l’évaluation visuelle du risque. Il s’agit d’un tableau (matrice) dont les colonnes représentent généralement des catégories de probabilité de survenue d’un événement, et les lignes – des catégories de gravité des effets (conséquences). En croisant la ligne et la colonne correspondant à l’évaluation d’un danger donné, on lit le niveau de risque attribué (p. ex. faible, moyen, élevé ou via une couleur : vert, jaune, rouge).

Comment construire une matrice de risque ? On commence par définir des échelles discrètes pour les deux dimensions. Pour les conséquences, on peut adopter par exemple : 1 – blessures légères (atteintes bénignes), 2 – blessures nécessitant une assistance médicale, 3 – atteinte grave à l’intégrité physique ou invalidité permanente, 4 – décès. Pour la probabilité de l’événement, une échelle type : A – très rare (p. ex. « pratiquement inimaginable »), B – peu probable (une fois tous les nombreuses années), C – possible (quelques fois sur le cycle de vie de la machine), D – probable (peut se produire une fois par an ou plus), E – fréquent (régulièrement, p. ex. une fois par mois ou en continu). En pratique, les entreprises adaptent ces catégories à leurs besoins – l’important est que l’équipe d’évaluation définisse ensemble la signification des catégories, ce qui réduit la part de subjectivité.

Ensuite, on construit le tableau en attribuant des niveaux de risque aux différentes combinaisons. Un exemple de matrice 4×5 est illustré ci-dessous (les couleurs indiquent un niveau de risque typique – vert acceptable, jaune moyen, rouge élevé) :

Gravité des conséquencesProbabilité A
très rare		 B
peu probable		 C
possible		 D
probable		 E
fréquent
1 – Blessures légères (atteintes bénignes) 🟢
Faible		 🟢
Faible		 🟡
Moyen		 🟡
Moyen		 🟡
Moyen
2 – Blessures nécessitant une assistance médicale 🟢
Faible		 🟡
Moyen		 🟡
Moyen		 🔴
Élevé		 🔴
Élevé
3 – Atteinte grave à l’intégrité physique ou invalidité permanente 🟡
Moyen		 🟡
Moyen		 🔴
Élevé		 🔴
Élevé		 🔴
Très élevé
4 – Décès 🟡
Moyen		 🔴
Élevé		 🔴
Élevé		 🔴
Très élevé		 🔴
Extrêmement élevé

Légende des couleurs et des niveaux de risque :

  • 🟢 Risque faible (acceptable) – aucune action n’est requise, ou des mesures de protection de base suffisent.
  • 🟡 Risque moyen (modéré) – il convient d’envisager des actions de réduction supplémentaires, de mettre en place des mesures de protection additionnelles et une surveillance.
  • 🔴 Risque élevé / très élevé / extrêmement élevé – inacceptable sans protections supplémentaires ; des actions de réduction urgentes et complètes sont requises.

Exemple d’application pratique d’une matrice de risque :

Danger :

Lame de coupe non protégée sur une scie industrielle.

Évaluation :

  • Gravité des conséquences : S4 – Décès (conséquences catastrophiques).
  • Probabilité : C – Possible (quelques fois sur le cycle de vie de la machine).

Résultat de l’évaluation sur la matrice :

L’intersection de la ligne S4 et de la colonne C indique la case 🔴 Risque élevé.

Conséquence du résultat :

  • Risque considéré comme inacceptable sans protections supplémentaires.
  • Le fabricant doit mettre en œuvre des mesures de protection, p. ex. :
    • Un carter de protection sur la lame.
    • Un interrupteur de sécurité.
    • Un système de verrouillage empêchant tout démarrage accidentel pendant le nettoyage.

Actions complémentaires :

  • Après la mise en place des mesures de protection, l’analyse doit être réalisée à nouveau.
  • L’objectif est d’atteindre un niveau au moins « Moyen », et idéalement « Faible ».

Exemple de matrice de risque (en anglais) avec 4 catégories de gravité des conséquences (I–IV) et 5 catégories de probabilité (A–E). La couleur indique le résultat de l’évaluation du risque : de faible (L) à moyen (M) et élevé (H), jusqu’à extrêmement élevé (EH). En pratique, les matrices peuvent avoir des dimensions différentes, p. ex. 3×3, 5×5, etc., selon les besoins de l’analyse.

Avantages de la matrice de risque :

  • Simplicité et lisibilité : la matrice est facile à comprendre et fournit une représentation graphique du risque qui renvoie à l’intuition d’un « feu tricolore » (vert – ok, rouge – stop). Elle est donc utile pour communiquer avec la direction et des personnes non techniques : elle montre rapidement où se situent les dangers les plus importants.
  • Classification rapide : elle permet de définir rapidement des priorités – p. ex. quels risques sont faibles (acceptables) et lesquels exigent des actions urgentes.

Inconvénients de la matrice de risque :

  • Sélection subjective des catégories : La définition de ce que recouvrent exactement « peu probable » ou « dommage grave » dépend de l’appréciation de l’équipe. Différentes personnes peuvent l’évaluer différemment, ce qui influe sur le résultat. La standardisation des catégories au sein de l’organisation est essentielle, mais une part d’appréciation demeure.
  • Précision limitée : La matrice regroupe le risque en grandes plages. Deux dangers différents peuvent obtenir le même résultat (p. ex. « risque moyen »), alors que l’un se situe plus près de la limite basse et l’autre de la limite haute. Cela peut constituer une approche trop générale si une analyse plus fine ou la comparaison de nombreux dangers est nécessaire.

Graphe de risque (Risk Graph)

Le graphe de risque est une méthode graphique, souvent présentée sous forme d’arbre de décision ou de diagramme logique. Elle consiste en une évaluation séquentielle de plusieurs paramètres de risque, généralement avec des réponses binaires (p. ex. faible/élevée, oui/non), qui nous fait suivre un chemin jusqu’au résultat. Chaque nœud d’un tel graphe se ramifie en un nombre limité d’options (le plus souvent deux), ce qui rend la méthode lisible, bien que moins détaillée.

Les graphes de risque sont largement utilisés dans les normes relatives aux systèmes de commande. Par exemple, NF EN ISO 13849-1 (sécurité des systèmes de commande des machines) contient un schéma graphique d’évaluation du risque permettant de déterminer le niveau de performance requis PLr pour les fonctions de sécurité. De même, NF EN 62061 (relative à la sécurité fonctionnelle des machines) s’appuie sur un concept proche pour définir le niveau d’intégrité de sécurité SIL requis. Dans les deux cas, on évalue successivement les facteurs suivants :

  1. S (Severity)gravité du dommage potentiel : p. ex. S1 = blessure légère ou réversible, S2 = blessure grave (irréversible) ou décès.
  2. F (Frequency/Exposure)fréquence et durée d’exposition au danger : p. ex. F1 = exposition rare ou de courte durée, F2 = exposition fréquente ou de longue durée.
  3. P (Possibility of Avoidance)possibilité d’éviter le danger ou de limiter les dommages : p. ex. P1 = évitable dans des circonstances favorables (l’opérateur a une chance de réagir), P2 = pratiquement impossible à éviter (l’événement est soudain ou inévitable).
  4. (Optionnellement) W/Pr (Probability of occurrence)probabilité de survenue d’un événement dangereux : ce paramètre est parfois pris en compte explicitement, p. ex. dans IEC 62061, comme facteur indépendant (noté Pr), en plus de la fréquence d’exposition et de la possibilité d’évitement. En pratique, dans la méthode ISO 13849-1, il est pris en compte indirectement lors de l’évaluation de F et de P.

À partir des évaluations ci-dessus, en suivant le chemin sur le graphe, on aboutit à un résultat – le plus souvent un niveau de risque ou une catégorie de mesures de protection requises. Pour ISO 13849-1, le résultat est le Performance Level (PLr) requis, de a à e (où a correspond au niveau de fiabilité requis le plus faible du système de commande, et e au plus élevé). En revanche, dans ISO 14121-2, on rencontre un graphe fournissant un indice de risque sur une échelle numérique, p. ex. de 1 à 6 – les valeurs 1–2 indiquent un risque faible, et les valeurs plus élevées signalent la nécessité de mesures de réduction supplémentaires.

START
  │
  ├─ Gravité des conséquences (S)
  │   ├─ S1 : blessure légère (réversible)
  │   │   └─ Fréquence d’exposition (F)
  │   │       ├─ F1 : rare ou de courte durée
  │   │       │   └─ Possibilité d’évitement (P)
  │   │       │       ├─ P1 : évitement possible → PLr = a
  │   │       │       └─ P2 : évitement difficile → PLr = b
  │   │       └─ F2 : fréquent ou de longue durée
  │   │           └─ Possibilité d’évitement (P)
  │   │               ├─ P1 : évitement possible → PLr = b
  │   │               └─ P2 : évitement difficile → PLr = c
  │   └─ S2 : blessures graves (irréversibles) ou décès
  │       └─ Fréquence d’exposition (F)
  │           ├─ F1 : rare ou de courte durée
  │           │   └─ Possibilité d’évitement (P)
  │           │       ├─ P1 : évitement possible → PLr = c
  │           │       └─ P2 : évitement difficile → PLr = d
  │           └─ F2 : fréquent ou de longue durée
  │               └─ Possibilité d’évitement (P)
  │                   ├─ P1 : évitement possible → PLr = d
  │                   └─ P2 : évitement difficile → PLr = e

Exemple d’utilisation du graphe de risque : Considérons le danger qu’un robot industriel heurte une personne si celle-ci entre dans la zone de travail du robot en l’absence de protections adaptées. Nous appliquons la méthode de l’ISO 13849-1 en évaluant, pour ce scénario : S = S2 (blessures graves ou décès), F = F2 (accès fréquent – p. ex. l’opérateur entre souvent dans la cellule et le robot fonctionne de nombreuses heures par jour), P = P2 (l’évitement du danger est peu probable – le robot se déplace rapidement et ne laissera pas le temps de s’écarter). En suivant le graphe de risque de la norme, la combinaison (S2, F2, P2) conduit au PLr = e requis – le niveau de protection le plus élevé. Cela signifie que nous devons mettre en œuvre des mesures de sécurité très fiables (p. ex. des barrières immatérielles de la catégorie la plus élevée ou des interverrouillages de portes avec surveillance, de la redondance des systèmes de commande, etc.) afin de ramener le risque de heurt par le robot à un niveau acceptable. À titre de comparaison, si le scénario était moins critique – p. ex. un robot de faible puissance, rarement accessible aux personnes – l’évaluation (S1, F1, P1) pourrait donner PLr = c ou moins, ce qui implique des exigences plus faibles en matière de complexité des protections.

START → S2 → F2 → P2 → PLr = e

Avantages du graphe de risque :

  • Structure d’analyse logique et cadrée : Le graphe guide l’utilisateur pas à pas à travers les questions clés relatives au danger. Cela garantit une approche systématique – aucun facteur important n’est oublié. Cette méthode est souvent élaborée par des experts (p. ex. les auteurs des normes) en tenant compte des machines typiques, ce qui en fait une bonne pratique du secteur.
  • Compréhension partagée des catégories : Comme les valeurs (p. ex. S1/S2, F1/F2, P1/P2) sont définies dans la norme, l’équipe peut s’y référer, ce qui limite les divergences d’interprétation. Ainsi, différentes personnes utilisant le même graphe devraient parvenir à des conclusions similaires pour des dangers analogues.
  • Lien direct avec les exigences de sécurité : Le résultat sous forme de PLr ou de SIL informe immédiatement le concepteur du niveau de mesures techniques à mettre en place. Cela relie l’analyse de risque aux critères de conception (p. ex. choix de l’architecture du système de commande, niveau de fiabilité des composants).

Inconvénients du graphe de risque :

  • Niveau de détail limité : Cette méthode ne s’appuie généralement que sur quelques catégories (p. ex. deux options pour S, F, P). Cela signifie que des scénarios variés peuvent être ramenés aux mêmes catégories. Le graphe classe le risque de manière grossière, en donnant p. ex. un résultat « élevé/moyen/faible » ou le niveau de protection requis, mais il ne mettra pas en évidence de faibles différences entre des risques relevant d’une même catégorie.
  • Absence de valeur numérique explicite : Alors qu’une matrice ou une méthode à points peut fournir un « score » relatif, le graphe se termine généralement par une étiquette (p. ex. PLr = d). Il est plus difficile de comparer entre eux de nombreux dangers différents, car les résultats sont qualitatifs et n’indiquent pas « dans quelle mesure » un risque est supérieur à un autre – en dehors d’un chemin différent dans l’arborescence.
  • Spécificité des usages : Les graphes sont souvent dédiés à des normes ou à des secteurs spécifiques. Le graphe de l’ISO 13849-1 concerne principalement le risque lié à un dysfonctionnement du système de commande. Pour évaluer d’autres types de risques (p. ex. ergonomiques, bruit), il peut ne pas être directement pertinent. Il arrive donc que l’on utilise différents graphes selon la nature des dangers.

Méthodes à points (évaluation du risque par notation)

Les méthodes à points, également appelées risk scoring ou méthodes numériques, consistent à attribuer des valeurs numériques aux catégories de risque, puis à calculer à partir de celles-ci un indice de risque. En pratique, il s’agit d’un prolongement de l’idée de la matrice : au lieu de n’utiliser que des descriptions ou des couleurs, on attribue à chaque catégorie (p. ex. probabilité, gravité, exposition) un nombre de points déterminé. Ensuite, on combine ces points – souvent par multiplication ou addition – afin d’obtenir une valeur finale. Cette valeur permet de hiérarchiser les dangers du risque le plus élevé au plus faible et de définir des seuils d’acceptabilité.

La formule la plus couramment utilisée consiste à multiplier plusieurs facteurs, par exemple :

Risk Score=P×S×E

où :

  • P (Probability) – évaluation chiffrée de la probabilité de survenue du danger (p. ex. sur une échelle de 1 à 5, où 1 signifie « presque jamais » et 5 « très souvent »)
  • S (Severity) – évaluation chiffrée de la gravité des conséquences (p. ex. 1 – dommage négligeable, 5 – décès ou catastrophe)
  • E (Exposure) – évaluation chiffrée de l’exposition, c’est-à-dire de la fréquence ou de la durée d’exposition au danger (p. ex. 1 – contact occasionnel, 5 – contact continu/quotidien)

Certaines variantes des méthodes de cotation utilisent d’autres facteurs – par exemple Avoidance (A), c’est-à-dire la prise en compte de la possibilité pour l’opérateur d’éviter l’événement, ou Detectability (D), c’est-à-dire la capacité à détecter le danger avant qu’il ne cause un dommage. L’idée générale reste toutefois la même : le résultat final, le Risk Score, est un nombre (p. ex. dans une plage de 1 à 100 ou de 1 à 1 000) qui, plus il est élevé, plus il indique un risque important.

Pour que la méthode soit utile, il faut définir des plages de résultats correspondant aux niveaux de risque. Par exemple, un site peut fixer : résultat 1–20 = risque faible (acceptable), 21–50 = moyen (nécessite une surveillance et une amélioration si cela est facilement réalisable), >50 = élevé (inacceptable, actions immédiates nécessaires). Ces seuils doivent découler de la politique de sécurité de l’entreprise ainsi que d’une analyse raisonnable (p. ex., ils peuvent être calibrés à partir d’évaluations de risques antérieures).

Exemple d’application d’une méthode de cotation : Prenons le danger de brûlure de la main au contact d’un élément chaud de la machine (p. ex. un bloc chauffant montant à 150°C, que l’opérateur peut toucher accidentellement). Nous appliquons un modèle simple P×S×E :

  • Gravité des conséquences (S) : La brûlure peut être douloureuse, mais ne met généralement pas la vie en danger – nous l’évaluons à 3 sur une échelle de 1 à 5 (lésion modérée, p. ex. brûlure importante nécessitant des soins médicaux, mais sans séquelles permanentes).
  • Probabilité (P) : Le contact avec l’élément chaud peut-il se produire souvent ? Supposons que l’élément soit situé dans une zone difficile d’accès ; le contact accidentel est donc rare, mais reste possible, par exemple lors de la maintenance – nous attribuons 2 (sur une échelle de 1 à 5, correspondant à « peu probable »).
  • Exposition (E) : À quelle fréquence l’opérateur se trouve-t-il à proximité de cet élément ? Si la machine fonctionne tous les jours et que l’opérateur doit remplacer la matière toutes les heures près du chauffage, l’exposition peut être considérée comme fréquente – donnons 4 (sur une échelle de 1 à 5, où 5 correspond à une exposition permanente et 4 à une exposition fréquente, p. ex. plusieurs fois par jour).

Nous calculons Risk Score = 3 × 2 × 4 = 24. Nous interprétons ensuite le résultat : en supposant un seuil, par exemple >20, comme risque élevé, la valeur 24 indique que le risque est inacceptable ou, au minimum, « significatif ». L’entreprise doit donc prendre des mesures – p. ex. ajouter un écran thermique, isoler l’élément chauffant ou équiper l’opérateur de gants adaptés et le former. Après mise en œuvre de ces mesures, une nouvelle cotation pourrait diminuer (p. ex. réduction de l’exposition grâce à un écran – E de 4 à 1, ce qui donnerait un nouveau Risk Score 3×2×1 = 6, soit un risque faible).

Il convient de noter que le nombre 24, en lui-même, n’a ni unité ni signification absolue – il ne prend sens qu’au regard des critères définis (ici : 24 dépasse le seuil d’acceptation) et en comparaison avec les résultats d’autres dangers. Par exemple, si les autres dangers de cette machine obtiennent des scores de l’ordre de 5 à 10, et qu’un seul atteint 24, on sait à quoi donner la priorité.

Avantages de la méthode de cotation :

  • Meilleure précision relative : Contrairement aux catégories « rigides » d’une matrice, le Risk Score permet de distinguer des écarts entre risques. Un résultat de 24 vs 18 vs 36 apporte plus d’informations que simplement « moyen » vs « élevé ». Cela facilite une comparaison structurée des dangers ainsi que la définition des priorités d’action
  • Réduction de la subjectivité grâce à des critères chiffrés : Le choix des notes partielles reste subjectif, mais l’usage de nombres impose une certaine cohérence. Si l’on définit clairement l’échelle (p. ex. ce que signifie 1 et ce que signifie 5 pour chaque facteur) et qu’on la respecte, les évaluations deviennent plus objectives au sein de l’organisation. Les décisions du type « 24 est-il un risque acceptable ? » sont aussi plus simples, car on peut se référer à des seuils convenus – la discussion est moins émotionnelle et plus factuelle.
  • Utilité en présence d’un grand nombre de dangers : Dans les projets complexes, où l’on identifie des dizaines de dangers potentiels, une liste triée par ordre décroissant de Risk Score indiquera clairement ce qu’il faut traiter en premier. Cela facilite la gestion des risques et l’allocation des ressources (temps, argent) aux mesures de sécurité là où elles sont le plus nécessaires.

Inconvénients de la méthode de cotation :

  • Nécessité d’un étalonnage et d’une échelle adaptée : Pour que la méthode fonctionne, les échelles de points doivent être soigneusement conçues. De plus, l’organisation doit les adapter à ses spécificités – par exemple, l’échelle ne sera pas la même pour un risque de conception que pour la sécurité des machines. Il faut aussi former l’équipe afin que chacun interprète les valeurs de manière comparable. Cela demande un certain effort et de la rigueur dans l’application des règles définies.
  • Précision trompeuse : Même si les chiffres suggèrent de la précision, n’oublions pas qu’ils reposent toujours sur l’appréciation subjective d’experts. La différence entre un danger noté 15 et 16 points peut, en pratique, être discutable – ce n’est pas une mesure physique, mais une estimation. Il existe un risque que l’obtention d’un « petit numéro » brouille la compréhension – on peut accorder trop d’importance au chiffre lui-même en oubliant le contexte. C’est pourquoi le score doit toujours être interprété qualitativement et avec un certain esprit critique.
  • Complexité en présence de nombreux facteurs : Les méthodes plus élaborées (p. ex. HRN – Hazard Rating Number) peuvent prendre en compte 4 ou 5 facteurs et produire une plage de résultats très large. Cela donne, en théorie, une image plus précise, mais devient moins lisible pour l’utilisateur. L’ajout de paramètres supplémentaires (p. ex. détectabilité, possibilité d’évitement, etc.) augmente l’effort nécessaire pour évaluer chaque danger et peut compliquer la communication des résultats à des personnes non spécialistes.
Probabilité (P) Points
Très rare (pratiquement impossible) 1
Peu probable (une fois tous les nombreux ans) 2
Possible (une fois tous les quelques ans) 3
Probable (une fois par an ou plus) 4
Très probable (fréquent) 5
Gravité des conséquences (S) Points
Négligeable, blessures légères (sans prise en charge médicale) 1
Blessures modérées (assistance médicale requise) 2
Blessures graves, effets à long terme 3
Blessures très graves, invalidité permanente 4
Décès ou catastrophe 5
Exposition (E) Points
Contact très rare (une fois sur le cycle de vie de la machine) 1
Contact rare (quelques fois sur le cycle de vie de la machine) 2
Contact occasionnel (quelques fois par an) 3
Contact fréquent (chaque semaine ou chaque mois) 4
Contact permanent (quotidien ou continu) 5
Valeur du Risk Score Niveau de risque Action
1–20 🟢 Faible (acceptable) Les mesures de sécurité standard sont suffisantes.
21–50 🟡 Moyen (nécessite une attention) Surveillance, mesures de protection supplémentaires possibles.
>50 🔴 Élevé (inacceptable) Des mesures immédiates de réduction du risque sont nécessaires.

Exemple pratique d’application

Danger : Brûlure de la main de l’opérateur au contact d’un élément chaud de la machine (bloc chauffant 150°C).

Évaluation du danger :

  • P (Probabilité) : Élément difficile d’accès, contact possible seulement de manière occasionnelle (maintenance), note : 2
  • S (Gravité des conséquences) : Blessures modérées nécessitant une prise en charge médicale, sans séquelles permanentes, note : 3
  • E (Exposition) : L’opérateur se trouve souvent à proximité de l’élément (tous les jours, toutes les heures), note : 4

Risk Score = P × S × E = 2 × 3 × 4 = 24

Interprétation du résultat :

  • Risk Score = 24, soit un risque moyen (🟡), qui nécessite des mesures de protection supplémentaires ou une surveillance.

Mesures correctives :

  • Installation d’une isolation thermique ou d’un carter de protection.
  • Fourniture de gants de protection adaptés.
  • Formation des opérateurs.

Réévaluation du risque après mise en place des mesures :
L’exposition diminue p. ex. de 4 à 1 (contact rare) :

Nouveau Risk Score = 2 × 3 × 1 = 6, soit un risque faible (🟢).

ISO/TR 14121-2: Approche qualitative vs quantitative dans l’analyse des risques

Dans l’analyse des risques liés aux machines, on peut distinguer deux approches générales : qualitative (qualitative) et quantitative (quantitative). En pratique, la plupart des méthodes décrites ci-dessus se situent entre ces deux extrêmes – mais il est utile de comprendre ce qui les différencie :

  • Les méthodes qualitatives reposent sur des catégories descriptives et sur le jugement d’expert. Le résultat est le plus souvent une classe de risque (p. ex. « faible », « modéré », « élevé ») ou l’action à entreprendre (« acceptable » vs « inacceptable »). Un exemple d’approche purement qualitative est l’énoncé descriptif : « le risque d’électrocution a été jugé élevé, car les conséquences sont graves et l’exposition fréquente, même si la probabilité est modérée ». Les matrices de risque et les graphes de risque relèvent, dans la plupart des cas, de cette catégorie : on utilise des libellés verbaux ou des symboles alphabétiques, et non des valeurs numériques précises. Avantage : une compréhension facile par l’ensemble des acteurs du processus (chacun saisit intuitivement ce que signifie « risque élevé » bien plus que, par exemple, « risque = 3,7×10^-5 » !). En outre, l’approche qualitative est la seule possible lorsqu’il n’existe pas de données chiffrées — ce qui est fréquent pour des machines nouvelles ou des événements rares. Inconvénient : les résultats qualitatifs sont plus difficiles à comparer et peuvent être subjectifs. Deux experts peuvent décrire différemment un même risque, alors qu’un chiffre imposerait une forme de mise en commun (moyennage) de leurs avis.
  • Les méthodes quantitatives visent à exprimer le risque sous forme de valeurs numériques, souvent en unités absolues (p. ex. probabilité de 1 sur un million d’opérations, fréquence attendue d’accident 0,001/an, coût attendu des pertes en euros). Une analyse de risque pleinement quantitative cherche à exploiter des données — statistiques de défaillance, fréquence des accidents dans le secteur, données de fiabilité des composants — afin de calculer le risque de manière objective. Par exemple : « la probabilité de défaillance du capteur et, simultanément, de non-déclenchement du frein de sécurité est de 2,3 × 10^-8 par heure de fonctionnement ; en tenant compte de 2000 h de fonctionnement par an, le risque d’accident mortel est d’environ 4,6 × 10^-5 par an, soit moins que le critère $10^{-4}$/an — nous considérons le risque comme acceptable. » Ce type d’approche apparaît notamment en analyse de sécurité fonctionnelle (calcul du PFH – Probability of a Dangerous Failure per Hour pour les systèmes de commande) ou dans l’évaluation des risques de procédé par des méthodes de type LOPA, où le risque est exprimé numériquement. Avantages : donne une impression de grande précision et offre la possibilité de comparer à des critères formels (p. ex. des niveaux ALARP, ou des exigences réglementaires si elles existent). Elle permet aussi une optimisation coût/efficacité — on peut estimer combien « coûte » statistiquement un risque donné et si cela vaut la peine de le réduire davantage. Inconvénients : une analyse pleinement quantitative est chronophage et exige des données qui ne sont pas toujours disponibles. Pour de nombreuses machines, il n’existe pas de statistiques fiables de taux de défaillance ou d’accidentologie — dans ce cas, les chiffres peuvent reposer sur des suppositions, ce qui enlève tout intérêt à ces calculs. De plus, l’objectivité apparente peut être trompeuse : la modélisation du risque nécessite souvent des hypothèses simplificatrices, et le résultat final peut être entaché d’une incertitude de plusieurs ordres de grandeur (même si l’on affiche de nombreux chiffres significatifs). Les normes relatives aux machines n’exigent, dans l’immense majorité des cas, aucune évaluation pleinement quantitative — elles l’autorisent, mais indiquent que la description verbale du risque est généralement plus facile à comprendre que la manipulation d’indicateurs numériques.

En pratique, l’analyse des risques machines recourt souvent à une approche semi-quantitative (semi-quantitative), par exemple une méthode à points qui attribue des valeurs numériques à des catégories qualitatives, sans prétendre qu’il s’agit de « vraies » probabilités ou de coûts réels. Cela apporte une résolution d’évaluation un peu plus fine que des catégories purement descriptives, tout en évitant une précision artificielle. Le choix de l’approche doit tenir compte des besoins du projet : si l’on doit documenter la conformité aux normes (p. ex. calculer un PL ou un SIL pour un système de commande), il faut utiliser les méthodes indiquées par la norme (généralement qualitatives ou à points). En revanche, si l’entreprise privilégie une estimation interne du risque dans une logique métier, elle peut envisager des analyses plus quantitatives pour les dangers clés.

ISO/TR 14121-2: Combiner les méthodes et choisir l’approche appropriée

Il n’existe pas de méthode universelle d’analyse des risques adaptée à tous les cas. Les ingénieurs sécurité expérimentés combinent souvent différentes approches afin d’obtenir une vision plus complète et de prendre des décisions plus pertinentes. Voici quelques indications sur quand utiliser telle ou telle méthode et comment les combiner :

  • Phase conceptuelle du projet (conception préliminaire) : Au début, lorsque la machine n’en est qu’au stade de l’esquisse ou du prototype, il manque généralement des données chiffrées détaillées. C’est là que les méthodes rapides et qualitatives sont les plus pertinentes – par exemple un brainstorming avec une matrice de risques pour les dangers identifiés. La matrice aide à repérer les zones les plus critiques dès le départ. On peut aussi s’appuyer sur la liste de contrôle des dangers de l’ISO 12100 et, pour chaque danger, ajouter une appréciation en catégories « risque faible/moyen/élevé ». À ce stade, il est plus important de ne passer à côté d’aucun danger que d’estimer précisément la probabilité – c’est pourquoi des méthodes descriptives suffisent largement. Les résultats d’une telle analyse préliminaire peuvent influencer les choix de conception (p. ex. modification de l’implantation de la machine, ajout d’un protecteur dès la conception, réduction de la vitesse de mouvement si le risque est élevé).
  • Phase de conception détaillée : Lorsque nous disposons de davantage d’informations sur la machine – ses paramètres techniques, les temps de cycle, les mesures de sécurité prévues – il vaut la peine de réaliser une analyse plus précise. C’est ici qu’une méthode de cotation peut entrer en jeu. Elle convient pour analyser de manière systématique des dizaines de dangers concrets. Elle permet aussi de comparer différentes variantes de solutions : par exemple, si l’on hésite entre un protecteur fixe et un rideau lumineux, on peut estimer le Risk Score pour des scénarios avec l’un et l’autre moyen – ce qui montrera lequel réduit le mieux le risque. Lors de la conception détaillée, on utilise aussi fréquemment des graphes de risque pour les fonctions de sécurité. Pour chaque fonction identifiée (p. ex. arrêt d’urgence, coupure de l’entraînement à l’ouverture de la porte de protection, limitation de vitesse en mode réglage), on applique le graphe de l’ISO 13849-1 ou de l’IEC 62061 afin de déterminer le PLr/SIL requis. Ces informations influencent ensuite le choix des composants (p. ex. un relais de sécurité de catégorie 2 PL=c suffit-il, ou faut-il un contrôleur dual-channel PL=e). Au final, dans un même projet, on utilise plusieurs méthodes en parallèle : une évaluation globale du risque par matrice/cotation pour l’ensemble de la machine et des graphes dédiés pour des dangers spécifiques nécessitant des systèmes de sécurité commandés.
  • Machines présentant des dangers complexes et variés : Si l’on a affaire à une installation étendue (p. ex. une ligne de production intégrée, des robots collaboratifs, des machines avec de nombreux sous-systèmes), une seule méthode peut ne pas suffire. Exemple : sur une ligne de conditionnement, on peut rencontrer simultanément des dangers mécaniques graves (p. ex. écrasement par le préhenseur d’un robot), des dangers électriques (armoire de distribution haute tension), des dangers ergonomiques (manutention manuelle de charges) et des dangers logiciels/cyber (logiciel de commande défectueux). Dans ce cas, il est pertinent de :
    • Pour les dangers mécaniques/électriques – utiliser une matrice ou une cotation pour évaluer le risque et mettre en évidence le besoin de protecteurs, d’interverrouillages, de lock-out, etc. Pour les dangers liés au système de commande (p. ex. défaillance d’un capteur conduisant à une collision) – recourir au graphe de risque des normes afin d’obtenir le PLr/SIL, ce qui se traduit par des exigences relatives à l’architecture du système de commande. Pour les risques ergonomiques – s’appuyer davantage sur une évaluation qualitative (p. ex. utiliser des normes ergonomiques ou des lignes directrices de santé et sécurité au travail, car il est difficile d’obtenir des chiffres ; on peut utiliser une matrice de risques, mais en mettant l’accent sur la consultation du personnel, des questionnaires de charge, etc.). Pour les risques numériques/IT – envisager des approches distinctes (analyse de type cybersécurité, AMDE du logiciel), car les matrices de sécurité classiques peuvent ne pas capter, par exemple, le risque de piratage du système. Si nécessaire, ces risques peuvent être évalués séparément par des spécialistes IT, et leurs conclusions intégrées à l’analyse globale.

Le résultat final sera une vision complète du risque. Il est important de rassembler toutes les évaluations dans un rapport cohérent, par exemple sous forme de tableau listant les dangers avec des colonnes : description du danger, méthode d’évaluation (matrice/graphique/notation), résultat de l’évaluation, mesures de réduction, risque résiduel après réduction. Ainsi, l’auditeur ou la personne chargée de vérifier la conformité de la machine constatera qu’aucun type de risque n’a été omis et que des techniques d’analyse adaptées ont été appliquées à chacun.

  • Prise en compte des données et des statistiques : Lorsque nous disposons de données réelles (p. ex. fréquence de pannes de machines similaires, statistiques d’accidents issues de la littérature, données de fiabilité fournies par les fournisseurs de composants), il est pertinent de les intégrer à l’évaluation, mais avec discernement. On peut, par exemple, utiliser des données chiffrées pour étayer des évaluations qualitatives : « nous évaluons la fréquence de l’événement comme élevée, car dans des sites ayant un procédé similaire, on a recensé 5 accidents par an pour 100 machines ». Si l’entreprise applique une politique ALARP (as low as reasonably practicable) ou des seuils de risque tolérable définis, une analyse quantitative peut alors être requise afin de démontrer que la probabilité d’une catastrophe est inférieure, par exemple, à $10^{-6}$ par an. Dans la pratique des machines, on recourt toutefois rarement à des critères aussi stricts que, par exemple, dans l’industrie chimique ou l’aéronautique. La clé, c’est le bon sens : lorsque c’est possible, utilisons des données (car elles renforcent la crédibilité de l’analyse), mais n’hésitons pas à nous appuyer sur l’avis d’expert là où les données manquent. La combinaison expertise d’ingénierie + informations statistiques disponibles donne les meilleurs résultats.
  • Itération et vérification des résultats : Après la mise en œuvre des mesures de sécurité, revenez toujours à l’analyse de risques. On utilise alors souvent la même méthode, mais en tenant compte des nouvelles protections. Par exemple, si la notation initiale donnait 60 (risque élevé) et que des mesures ont été introduites, une nouvelle notation peut aboutir à 15 (risque faible), ce qui documente l’efficacité des actions menées. Il est également utile d’employer plus d’une méthode pour les dangers critiques : si la matrice indique un risque à la limite de l’acceptabilité, on peut recalculer la notation de manière indépendante ou évaluer via un graphique — si chaque méthode confirme que c’est acceptable, la confiance augmente. Lorsque les résultats divergent, il faut l’analyser (les catégories de la matrice étaient-elles mal définies, ou la notation a-t-elle déformé la réalité ?) et, le cas échéant, retenir une conclusion plus conservatrice.
  • Type de machine et choix de la méthode : Pour les machines simples (p. ex. une petite presse, une perceuse à colonne), une matrice de risque simple suffit généralement, voire une liste de contrôle des dangers avec des évaluations descriptives. Pour les machines prototypes, uniques — lorsqu’il n’existe pas de schémas de protection éprouvés — il est préférable d’appliquer un éventail plus large de méthodes : une matrice pour identifier les problèmes généraux, une notation pour hiérarchiser les priorités et des graphiques pour les sujets nécessitant la conception d’un système de sécurité. Les machines de série (produites en grand nombre) disposent souvent d’analyses déjà établies — il est alors utile de s’en tenir à une méthode cohérente (p. ex. une notation unique utilisée dans toute l’entreprise) afin que les évaluations successives soient comparables. En revanche, les lignes technologiques (où plusieurs machines sont intégrées) peuvent nécessiter une analyse en plusieurs niveaux : d’abord une évaluation des risques au niveau de chaque machine séparément, puis, en complément, une analyse des risques de l’ensemble du système intégré (tenant compte, par exemple, des risques liés au transfert de pièces entre machines, des collisions entre robots, des défaillances en cascade). Cette seconde analyse est souvent réalisée sous la forme d’un atelier HAZOP ou, plus simplement, d’une autre matrice de risque pour des scénarios globaux.

    • En résumé, combiner les méthodes constitue la meilleure pratique, car chaque méthode apporte un point de vue légèrement différent. La matrice ou le graphique peuvent donner une vue d’ensemble et les exigences minimales, tandis que la notation ou l’analyse quantitative peuvent préciser les détails et aider aux décisions économiques (où il est le plus rentable d’investir dans la sécurité). Il est important de préserver la cohérence de la documentation — consigner clairement par quelle méthode tel danger a été évalué et pourquoi ce choix a été retenu. Ainsi, l’auditeur de l’évaluation de conformité (p. ex. une unité notifiée vérifiant la documentation CE) verra que l’analyse a été menée de manière compétente et exhaustive, conformément à l’esprit des normes et aux bonnes pratiques d’ingénierie.

    L’analyse de risques est au cœur du processus d’évaluation de la conformité d’une machine, obligatoire selon la directive Machines/le règlement Machines de l’UE ainsi que les normes harmonisées. Elle permet aux concepteurs d’identifier les dangers, d’estimer les risques associés et de mettre en place des mesures réduisant le risque avant même qu’un accident ne survienne.

    Il n’existe pas une « meilleure » méthode unique : chacune a ses points forts et ses limites. C’est pourquoi la compétence de l’ingénieur sécurité consiste à choisir l’outil adapté à la tâche : parfois une simple matrice suffit, d’autres fois il faut un scoring détaillé ou une analyse SIL. Très souvent, les meilleurs résultats viennent d’une combinaison de méthodes, qui se complètent. Par exemple, on peut commencer par une identification qualitative des dangers, puis évaluer quantitativement (par points) les plus importants, et, pour les sujets liés au système de commande, utiliser des graphes normatifs – ainsi, aucun aspect ne nous échappera.

    Enfin, rappelons-le : l’objectif n’est pas de remplir un tableau ou un graphique pour lui-même, mais d’améliorer réellement la sécurité. L’analyse de risques est une démarche itérative et créative. Elle incite à poser des questions du type « et si… ? » et à rechercher des solutions qui éliminent les dangers à la source. Les méthodes décrites ici sont des outils qui aident à structurer ces actions. En les appliquant, respectons les principes des normes (ISO 12100 et normes associées) ainsi que les bonnes pratiques d’ingénierie, et impliquons dans le processus plusieurs points de vue (concepteurs, opérateurs, maintenance, santé et sécurité au travail). Une analyse de risques menée de cette manière sera crédible, complète et efficace, ce qui se traduira par une machine sûre avec marquage CE et la tranquillité d’esprit, tant pour le fabricant que pour l’utilisateur final.

    Oceń post

    ISO/TR 14121-2 – comment évalue-t-on le risque en pratique

    ISO/TR 14121-2 est un guide décrivant des méthodes pratiques d’estimation du risque. Il complète l’approche fondée sur les processus de l’ISO 12100, mais n’impose pas une technique unique obligatoire.

    On définit d’abord le périmètre et les limites de la machine, puis on identifie les dangers à toutes les phases du cycle de vie. Ensuite, on analyse et on estime le risque, on évalue son acceptabilité et l’on met en œuvre la réduction du risque de manière itérative jusqu’à obtenir un niveau acceptable.

    Pour chaque danger, on examine les scénarios d’accident, leurs causes, la probabilité de survenue ainsi que la gravité des conséquences. Le résultat de l’estimation doit permettre de décider si une réduction du risque est nécessaire et de quel ordre.

    La matrice de risques est un tableau qui met en relation les catégories de probabilité de survenue d’un événement (colonnes) avec les catégories de gravité des conséquences (lignes), ce qui permet d’obtenir un niveau de risque (p. ex. faible/moyen/élevé). En pratique, il est essentiel que l’équipe définisse collectivement la signification des catégories afin de limiter la part de subjectivité.

    Oszacowane ryzyko porównuje się z przyjętymi kryteriami akceptowalności, aby ustalić, czy jest tolerowalne, czy wymaga działań. Redukcję prowadzi się wg hierarchii z ISO 12100: rozwiązania bezpieczne z natury, środki techniczne ochronne, a na końcu środki organizacyjne i ochrony indywidualnej, a potem ocenia ryzyko resztkowe.

    Partager : LinkedIn Facebook