ISO/TR 14121-2 – comment évaluer le risque en pratique

Le processus d’évaluation de la conformité des machines aux exigences essentielles impose de réaliser une analyse de risques rigoureuse, conformément aux normes en vigueur. La sécurité des machines constitue un pilier de la conception et de l’exploitation des équipements industriels : tout fabricant, avant de mettre une machine sur le marché de l’UE, doit identifier les dangers et réduire le risque à un niveau acceptable. Des normes telles que ISO 12100 (Sécurité des machines – Principes généraux de conception, appréciation du risque et réduction du risque) ainsi que le guide ISO/TR 14121-2 (méthodes pratiques d’appréciation du risque) fournissent un cadre de démarche. À l’inverse, des normes sectorielles comme NF EN ISO 13849-1 et NF EN 62061 se concentrent sur la sécurité des systèmes de commande et s’appuient sur des méthodes spécifiques d’estimation du risque afin de déterminer les niveaux d’assurance de sécurité requis (Performance Level, SIL).

Dans cet article, nous passerons en revue les principales méthodes d’analyse de risques utilisées dans l’évaluation de conformité des machines : les matrices de risque, les graphes de risque, les méthodes à points ainsi que les approches qualitatives et quantitatives. Nous comparerons leurs hypothèses, mettrons en évidence les avantages et les limites de chaque méthode, et illustrerons des applications pratiques (à partir d’exemples inspirés de la documentation normative, mais adaptés en conséquence). Enfin, nous proposerons des recommandations sur la manière de combiner différentes approches et de choisir une méthode adaptée au type de dangers, à la phase de conception et au type de machine.

Rappel : l’objectif de l’analyse de risques n’est pas seulement de satisfaire aux exigences formelles liées au marquage CE, mais avant tout de garantir que la machine sera sûre sur l’ensemble de son cycle de vie – de la conception à l’utilisation, jusqu’à la maintenance et au retrait du service. Il est donc pertinent de sélectionner des méthodes d’analyse de risques capables d’identifier efficacement tous les dangers et d’évaluer le risque de façon systématique et compréhensible pour toute l’équipe.

ISO/TR 14121-2: Fondements du processus d’appréciation du risque

Avant de passer aux méthodes concrètes, rappelons brièvement les étapes de l’appréciation du risque selon la norme NF EN ISO 12100:2012.

1. Définition du périmètre et des limites de la machine : Comprendre la fonction de la machine, son usage, les limites du système et les utilisateurs. Déterminez dans quelles conditions la machine fonctionnera (p. ex. environnement, charges, formation du personnel).
2. Identification des dangers : Recenser toutes les sources potentielles de dangers à toutes les phases du cycle de vie de la machine (installation, fonctionnement normal, nettoyage, maintenance, pannes, démontage). Les dangers peuvent être mécaniques, électriques, thermiques, chimiques, liés aux rayonnements, ergonomiques, etc. Il est important d’impliquer à la fois les concepteurs et les futurs opérateurs : l’expérience de terrain du personnel permet de mettre au jour des risques moins évidents.
3. Analyse et estimation du risque : Pour chaque danger identifié, nous analysons les scénarios d’accident possibles : les causes de l’événement, la probabilité de survenue et les effets (conséquences) pour les opérateurs ou l’équipement. Ensuite, nous estimons le niveau de risque – c’est précisément là qu’interviennent les outils présentés plus loin (matrices, graphes, échelles à points, etc.). L’objectif est d’attribuer à chaque danger une « pondération » du risque sur la base de la fréquence et de la gravité des dommages potentiels évaluées.
4. Évaluation de l’acceptabilité du risque : Nous comparons le risque estimé aux critères d’acceptabilité retenus dans l’entreprise ou le projet. Par exemple : le risque est-il suffisamment faible pour être toléré, ou nécessite-t-il une réduction ? De nombreuses organisations appliquent le principe selon lequel un risque entraînant la mort ou une invalidité permanente est inacceptable quelle que soit la probabilité – sauf si des mesures de protection spécifiques sont mises en œuvre.
5. Réduction du risque : Pour les risques jugés trop élevés, on met en place des mesures de réduction conformément à la hiérarchie en trois étapes de l’ISO 12100 : (a) élimination des dangers par la conception (solutions intrinsèquement sûres), (b) mesures techniques de protection (protecteurs, dispositifs de sécurité), (c) mesures organisationnelles et équipements de protection individuelle (instructions, formations, PPE). Après application de ces mesures, le cycle d’analyse de risques est répété de manière itérative, en évaluant le risque résiduel – jusqu’à l’obtention d’un niveau acceptable.

Dans la suite, nous nous concentrerons sur l’étape d’estimation du risque (point 3 ci-dessus), en présentant les méthodes les plus courantes. Il convient de souligner que l’ISO 12100 n’impose pas une technique unique : elle admet aussi bien des approches qualitatives (descriptives) que quantitatives (chiffrées), à condition que le résultat de l’évaluation permette de décider de la nécessité d’une réduction du risque. Conformément à l’ISO/TR 14121-2, il existe de nombreux outils équivalents, et le choix dépend des spécificités de la machine et des préférences des évaluateurs.

Matrice de risque (Risk Matrix)

La matrice de risque est l’un des outils les plus simples et les plus couramment utilisés pour l’évaluation visuelle des risques. Il s’agit d’un tableau (matrice) dont les colonnes représentent généralement des catégories de probabilité de survenue d’un événement, et les lignes – des catégories de gravité des effets (conséquences). En croisant la ligne et la colonne correspondant à l’évaluation d’un danger donné, on lit le niveau de risque attribué (p. ex. faible, moyen, élevé ou par couleur : vert, jaune, rouge).

Comment construire une matrice de risque ? On commence par définir des échelles discrètes pour les deux dimensions. Pour les conséquences, on peut retenir par exemple : 1 – blessures légères (atteintes bénignes), 2 – blessures nécessitant une prise en charge médicale, 3 – lésion corporelle grave ou invalidité permanente, 4 – décès. Pour la probabilité de l’événement, une échelle possible : A – très rare (p. ex. « pratiquement inimaginable »), B – peu probable (une fois tous les nombreuses années), C – possible (quelques fois au cours du cycle de vie de la machine), D – probable (peut se produire une fois par an ou plus souvent), E – fréquent (régulièrement, p. ex. une fois par mois ou en continu). En pratique, les entreprises adaptent ces catégories à leurs besoins – l’essentiel est que l’équipe d’évaluation définisse ensemble la signification des catégories, ce qui réduit la part de subjectivité.

Ensuite, on construit le tableau en attribuant des niveaux de risque aux différentes combinaisons. Un exemple de matrice 4×5 est illustré ci-dessous (les couleurs indiquent un niveau de risque typique – vert acceptable, jaune moyen, rouge élevé) :

Légende des couleurs et des niveaux de risque :

• 🟢 Risque faible (acceptable) – aucune action n’est requise, ou des mesures de protection de base suffisent.
• 🟡 Risque moyen (modéré) – il convient d’envisager des actions de réduction supplémentaires, de mettre en place des mesures de protection additionnelles et une surveillance.
• 🔴 Risque élevé/très élevé/extrêmement élevé – inacceptable sans protections supplémentaires ; des actions de réduction urgentes et complètes sont requises.

Exemple d’application pratique d’une matrice de risque :

Danger :

Lame de coupe non protégée sur une scie industrielle.

Évaluation :

• Gravité des conséquences : S4 – Décès (conséquences catastrophiques).
• Probabilité : C – Possible (quelques fois au cours du cycle de vie de la machine).

Résultat de l’évaluation sur la matrice :

L’intersection de la ligne S4 et de la colonne C indique la case 🔴 Risque élevé.

Conséquence du résultat :

• Risque considéré comme inacceptable sans protections supplémentaires.
• Le fabricant doit appliquer des mesures de protection, p. ex. :
  • Un carter de protection sur la lame.
  • Un interrupteur de sécurité.
  • Un système de verrouillage empêchant tout démarrage accidentel pendant le nettoyage.

Actions ultérieures :

• Après la mise en œuvre des mesures de protection, l’analyse doit être réalisée à nouveau.
• L’objectif est d’atteindre un niveau au moins « Moyen », et idéalement « Faible ».

Exemple de matrice de risque (en anglais) avec 4 catégories de gravité des conséquences (I–IV) et 5 catégories de probabilité (A–E). La couleur indique l’évaluation de risque résultante : de faible (L) à moyen (M) et élevé (H), jusqu’à extrêmement élevé (EH). En pratique, les matrices peuvent avoir des dimensions différentes, p. ex. 3×3, 5×5, etc., selon les besoins de l’analyse.

Avantages de la matrice de risque :

• Simplicité et lisibilité : la matrice est facile à comprendre et fournit une représentation graphique du risque qui renvoie à une « signalisation tricolore » intuitive (vert – ok, rouge – stop). Elle peut donc être utile pour communiquer avec l’encadrement et des personnes non techniques : elle montre rapidement où se situent les dangers les plus importants.
• Classification rapide : elle permet de hiérarchiser rapidement les priorités – p. ex. quels risques sont faibles (acceptables) et lesquels exigent des actions urgentes.

Inconvénients de la matrice de risque :

• Sélection subjective des catégories : La définition de ce que recouvrent exactement « peu probable » ou « dommage grave » dépend de l’appréciation de l’équipe. Différentes personnes peuvent l’évaluer différemment, ce qui influe sur le résultat. La standardisation des catégories au sein de l’organisation est essentielle, mais une part d’appréciation demeure.
• Précision limitée : La matrice regroupe le risque en grandes classes. Deux dangers différents peuvent obtenir le même résultat (p. ex. « risque moyen »), alors que l’un se situe plutôt près de la limite basse et l’autre près de la limite haute. Cela peut constituer une approche trop générale lorsqu’une analyse plus fine est nécessaire ou pour comparer un grand nombre de dangers.

Graphe de risque (Risk Graph)

Le graphe de risque est une méthode graphique, souvent présentée sous forme d’arbre de décision ou de diagramme logique. Elle consiste en une évaluation séquentielle de plusieurs paramètres de risque, généralement avec des réponses binaires (p. ex. faible/élevée, oui/non), qui nous fait suivre un chemin jusqu’au résultat. Chaque nœud d’un tel graphe se ramifie en un nombre limité d’options (le plus souvent deux), ce qui rend la méthode lisible, mais moins détaillée.

Les graphes de risque sont largement utilisés dans les normes relatives aux systèmes de commande. Par exemple, NF EN ISO 13849-1 (sécurité des systèmes de commande des machines) contient un schéma graphique d’évaluation du risque permettant de déterminer le niveau de performance requis PLr pour les fonctions de sécurité. De même, NF EN 62061 (relative à la sécurité fonctionnelle des machines) s’appuie sur un concept proche pour définir le niveau d’intégrité de sécurité requis SIL. Dans les deux cas, on évalue successivement les facteurs suivants :

1. S (Severity) – gravité du dommage potentiel : p. ex. S1 = blessure légère ou réversible, S2 = blessure grave (irréversible) ou décès.
2. F (Frequency/Exposure) – fréquence et durée d’exposition au danger : p. ex. F1 = exposition rare ou de courte durée, F2 = exposition fréquente ou de longue durée.
3. P (Possibility of Avoidance) – possibilité d’éviter le danger ou de limiter les dommages : p. ex. P1 = évitable dans des circonstances favorables (l’opérateur a une chance de réagir), P2 = pratiquement impossible à éviter (l’événement est soudain ou inévitable).
4. (Facultatif) W/Pr (Probability of occurrence) – probabilité de survenue d’un événement dangereux : ce paramètre est parfois pris en compte explicitement, p. ex. dans IEC 62061, comme facteur indépendant (noté Pr), en plus de la fréquence d’exposition et de la possibilité d’évitement. En pratique, dans la méthode ISO 13849-1, il est pris en compte indirectement lors de l’évaluation de F et de P.

Sur la base des évaluations ci-dessus, en suivant le chemin sur le graphe, on aboutit à un résultat – le plus souvent un niveau de risque ou une catégorie de mesures de protection requises. Pour ISO 13849-1, le résultat est le Performance Level (PLr) requis, de a à e (où a correspond au niveau de fiabilité requis le plus faible du système de commande, et e au plus élevé). En revanche, dans ISO 14121-2, on rencontre un graphe fournissant un indice de risque sur une échelle numérique, p. ex. de 1 à 6 : les valeurs 1–2 indiquent un risque faible, et les valeurs plus élevées signalent la nécessité d’actions supplémentaires de réduction.

START
  │
  ├─ Gravité des conséquences (S)
  │   ├─ S1 : blessure légère (réversible)
  │   │   └─ Fréquence d’exposition (F)
  │   │       ├─ F1 : rare ou de courte durée
  │   │       │   └─ Possibilité d’évitement (P)
  │   │       │       ├─ P1 : évitement possible → PLr = a
  │   │       │       └─ P2 : évitement difficile → PLr = b
  │   │       └─ F2 : fréquente ou de longue durée
  │   │           └─ Possibilité d’évitement (P)
  │   │               ├─ P1 : évitement possible → PLr = b
  │   │               └─ P2 : évitement difficile → PLr = c
  │   └─ S2 : blessures graves (irréversibles) ou décès
  │       └─ Fréquence d’exposition (F)
  │           ├─ F1 : rare ou de courte durée
  │           │   └─ Possibilité d’évitement (P)
  │           │       ├─ P1 : évitement possible → PLr = c
  │           │       └─ P2 : évitement difficile → PLr = d
  │           └─ F2 : fréquente ou de longue durée
  │               └─ Possibilité d’évitement (P)
  │                   ├─ P1 : évitement possible → PLr = d
  │                   └─ P2 : évitement difficile → PLr = e

Exemple d’utilisation du graphe de risque : Considérons le danger suivant : un robot industriel heurte une personne si celle-ci pénètre dans la zone de travail du robot en l’absence de protections appropriées. Nous appliquons la méthode de l’ISO 13849-1 en évaluant, pour ce scénario : S = S2 (blessures graves ou décès), F = F2 (accès fréquent – p. ex. l’opérateur entre souvent dans la cellule et le robot fonctionne de nombreuses heures par jour), P = P2 (l’évitement du danger est peu probable – le robot se déplace rapidement et ne laissera pas le temps de s’écarter). En suivant le graphe de risque de la norme, la combinaison (S2, F2, P2) conduit au PLr = e requis – le niveau de protection le plus élevé. Cela signifie que nous devons mettre en œuvre des mesures de sécurité très fiables (p. ex. des barrières immatérielles de la catégorie la plus élevée ou des verrouillages de porte avec surveillance, de la redondance des circuits de commande, etc.) afin de ramener le risque de heurt par le robot à un niveau acceptable. À titre de comparaison, si le scénario était moins critique – p. ex. un robot de faible puissance, rarement accessible aux personnes –, l’évaluation (S1, F1, P1) pourrait donner PLr = c ou moins, ce qui implique des exigences plus faibles quant à la complexité des protections.

START → S2 → F2 → P2 → PLr = e

Avantages du graphe de risque :

• Structure d’analyse logique et imposée : Le graphe guide l’utilisateur pas à pas à travers les questions clés relatives au danger. Cela garantit une approche systématique – aucun facteur important n’est omis. Cette méthode est souvent élaborée par des experts (p. ex. les rédacteurs des normes) en tenant compte des machines typiques, ce qui en fait une bonne pratique du secteur.
• Compréhension commune des catégories : Comme les valeurs (p. ex. S1/S2, F1/F2, P1/P2) sont définies dans la norme, l’équipe peut s’y référer, ce qui limite les divergences d’interprétation. Ainsi, différentes personnes appliquant le même graphe devraient aboutir à des conclusions similaires pour des dangers analogues.
• Lien direct avec les exigences de sécurité : Le résultat sous forme de PLr ou de SIL indique immédiatement au concepteur quelles mesures techniques doivent être mises en œuvre. Cela relie l’analyse de risque aux critères de conception (p. ex. choix de l’architecture du système de commande, niveau de fiabilité des composants).

Inconvénients du graphe de risque :

• Niveau de détail limité : Cette méthode ne comporte généralement que quelques catégories (p. ex. deux options pour S, F, P). Cela signifie que des scénarios très variés peuvent être ramenés aux mêmes catégories. Le graphe classe le risque de manière grossière, en fournissant par exemple un résultat « élevé/moyen/faible » ou le niveau de protection requis, mais il ne mettra pas en évidence de faibles écarts entre des risques relevant d’une même catégorie.
• Absence de valeur numérique explicite : Alors qu’une matrice ou une méthode à points peut fournir un « score » relatif, le graphe se termine généralement par une étiquette (p. ex. PLr = d). Il est plus difficile de comparer entre eux de nombreux dangers différents, car les résultats sont qualitatifs : ils n’indiquent pas « dans quelle mesure » un risque est supérieur à un autre – en dehors d’un chemin différent dans l’arborescence.
• Spécificité des usages : Les graphes sont souvent spécifiques à des normes ou à des secteurs. Le graphe de l’ISO 13849-1 concerne principalement le risque lié à une défaillance du système de commande. Pour l’évaluation d’autres types de risques (p. ex. ergonomie, bruit), il peut ne pas être directement utile. Il arrive donc que différents graphes soient utilisés selon la nature des dangers.

Méthodes à points (évaluation du risque par notation)

Les méthodes à points, également appelées risk scoring ou méthodes numériques, consistent à attribuer des valeurs chiffrées aux catégories de risque, puis à en déduire un indice de risque. En pratique, il s’agit d’une extension de l’idée de la matrice : au lieu de s’appuyer uniquement sur des descriptions ou des couleurs, on attribue à chaque catégorie (p. ex. probabilité, gravité, exposition) un nombre de points défini. Ensuite, on combine ces points – souvent par multiplication ou addition – afin d’obtenir une valeur finale. Cette valeur permet de hiérarchiser les dangers du risque le plus élevé au plus faible et de définir des seuils d’acceptabilité.

La formule la plus couramment utilisée consiste à multiplier plusieurs facteurs, par exemple :

Risk Score=P×S×E

où :

• P (Probability) – évaluation chiffrée de la probabilité de survenue du danger (p. ex. sur une échelle de 1 à 5, où 1 signifie « presque jamais » et 5 « très souvent »)
• S (Severity) – évaluation chiffrée de la gravité des conséquences (p. ex. 1 = dommage négligeable, 5 = décès ou catastrophe)
• E (Exposure) – évaluation chiffrée de l’exposition, c’est-à-dire de la fréquence ou de la durée d’exposition au danger (p. ex. 1 = contact occasionnel, 5 = contact continu/quotidien)

Certaines variantes des méthodes de cotation utilisent d’autres facteurs – par exemple Avoidance (A), c’est-à-dire la prise en compte de la possibilité pour l’opérateur d’éviter l’événement, ou Detectability (D), c’est-à-dire la possibilité de détecter le danger avant qu’il ne cause un dommage. L’idée générale reste toutefois la même : le résultat final, le Risk Score, est un nombre (p. ex. dans une plage de 1 à 100 ou de 1 à 1000) qui, plus il est élevé, plus il indique un risque important.

Pour que la méthode soit utile, il faut définir des plages de résultats correspondant à des niveaux de risque. Par exemple, un site peut fixer : score 1–20 = risque faible (acceptable), 21–50 = moyen (nécessite une surveillance et une amélioration si cela est facilement réalisable), >50 = élevé (inacceptable, actions immédiates nécessaires). Ces seuils doivent découler de la politique de sécurité de l’entreprise et d’une analyse raisonnable (p. ex. ils peuvent être calibrés à partir d’évaluations de risques antérieures).

Exemple d’application d’une méthode de cotation : Prenons le danger de brûlure de la main au contact d’un élément chaud de la machine (p. ex. un bloc chauffant montant à 150°C, que l’opérateur peut toucher accidentellement). Nous appliquons un modèle simple P×S×E :

• Gravité des conséquences (S) : La brûlure peut être douloureuse, mais ne met généralement pas la vie en danger – nous l’évaluons à 3 sur une échelle de 1 à 5 (lésion moyenne, p. ex. brûlure sévère nécessitant des soins médicaux, mais sans séquelles permanentes).
• Probabilité (P) : Le contact avec l’élément chaud peut-il se produire souvent ? Supposons que l’élément soit situé dans une zone difficile d’accès ; le contact accidentel est donc rare, mais possible, par exemple lors de la maintenance – nous attribuons 2 (sur une échelle de 1 à 5, correspondant à « peu probable »).
• Exposition (E) : À quelle fréquence l’opérateur se trouve-t-il à proximité de cet élément ? Si la machine fonctionne tous les jours et que l’opérateur doit remplacer le matériau toutes les heures près du chauffage, l’exposition peut être considérée comme fréquente – mettons 4 (sur une échelle de 1 à 5, où 5 correspond à une exposition permanente et 4 à une exposition fréquente, p. ex. plusieurs fois par jour).

Nous calculons Risk Score = 3 × 2 × 4 = 24. Nous interprétons ensuite le résultat : en supposant un seuil, par exemple >20, comme risque élevé, la valeur 24 indique que le risque est inacceptable ou, à tout le moins, « significatif ». L’entreprise doit donc prendre des mesures – p. ex. ajouter un écran thermique, isoler l’élément chauffant ou équiper l’opérateur de gants adaptés et le former. Après la mise en place de ces mesures, une nouvelle cotation pourrait diminuer (p. ex. réduction de l’exposition grâce à un écran – E de 4 à 1, ce qui donnerait un nouveau Risk Score 3×2×1 = 6, soit un risque faible).

Il convient de noter que le nombre 24, en lui-même, n’a ni unité ni signification absolue – il ne prend sens qu’au regard des critères définis (ici : 24 dépasse le seuil d’acceptation) et en comparaison avec les résultats d’autres dangers. Par exemple, si d’autres dangers sur cette machine obtiennent des scores de l’ordre de 5 à 10, et qu’un seul atteint 24, on sait à quoi donner la priorité.

Avantages de la méthode de cotation :

• Meilleure précision relative : Contrairement aux catégories « rigides » d’une matrice, le Risk Score permet de distinguer des différences entre risques. Un score de 24 vs 18 vs 36 apporte plus d’informations que simplement « moyen » vs « élevé ». Cela facilite une comparaison structurée des dangers et la définition des priorités d’action
• Réduction de la subjectivité grâce à des critères chiffrés : Le choix des notes partielles reste subjectif, mais l’usage de valeurs numériques impose une certaine cohérence. Si l’on définit clairement l’échelle (p. ex. ce que signifie 1 et ce que signifie 5 pour chaque facteur) et qu’on la respecte, les évaluations deviennent plus objectives au sein de l’organisation. Les décisions du type « 24 est-il un risque acceptable ? » sont également plus simples, car on peut se référer à des seuils convenus – la discussion est moins émotionnelle et plus factuelle.
• Utilité en présence d’un grand nombre de dangers : Dans des projets complexes, où l’on identifie des dizaines de dangers potentiels, une liste triée par ordre décroissant selon le Risk Score indiquera clairement ce qu’il faut traiter en premier. Cela facilite la gestion des risques et l’allocation des ressources (temps, argent) aux mesures de sécurité là où elles sont le plus nécessaires.

Inconvénients de la méthode de cotation :

• Nécessité d’étalonnage et d’une échelle adaptée : Pour que la méthode fonctionne, les échelles de notation doivent être soigneusement conçues. De plus, l’organisation doit les adapter à ses spécificités – par exemple, l’échelle ne sera pas la même pour un risque de conception que pour la sécurité des machines. Il faut aussi former l’équipe afin que chacun interprète les valeurs de manière cohérente. Cela demande un certain effort et une discipline dans l’application des règles établies
• Précision illusoire : Même si les chiffres suggèrent de la précision, n’oublions pas qu’ils reposent toujours sur l’évaluation subjective d’experts. La différence entre un danger noté 15 et 16 points peut, en pratique, être discutable – ce n’est pas une mesure physique, mais une estimation. Il existe un risque que l’obtention d’un « petit numéro » brouille la compréhension – on peut accorder trop d’importance au chiffre lui-même en oubliant le contexte. C’est pourquoi le score doit toujours être interprété qualitativement et avec un certain esprit critique
• Complexité en présence de nombreux facteurs : Les méthodes plus élaborées (p. ex. HRN – Hazard Rating Number) peuvent prendre en compte 4 ou 5 facteurs et produire une plage de résultats très large. Cela donne, en théorie, une image plus précise, mais devient moins lisible pour l’utilisateur. L’ajout de paramètres supplémentaires (p. ex. détectabilité, possibilité d’évitement, etc.) augmente l’effort nécessaire pour évaluer chaque danger et peut compliquer la communication des résultats aux personnes non concernées.

Exemple pratique d’application

Danger : Brûlure de la main de l’opérateur au contact d’un élément chaud de la machine (bloc chauffant 150°C).

Évaluation du danger :

• P (Probabilité) : Élément difficile d’accès, contact possible uniquement de manière occasionnelle (maintenance), note : 2
• S (Gravité des conséquences) : Blessures modérées nécessitant une prise en charge médicale, sans séquelles permanentes, note : 3
• E (Exposition) : L’opérateur se trouve souvent à proximité de l’élément (tous les jours, toutes les heures), note : 4

Risk Score = P × S × E = 2 × 3 × 4 = 24

Interprétation du résultat :

• Risk Score = 24, soit un risque moyen (🟡), qui nécessite des mesures de protection supplémentaires ou une surveillance.

Mesures correctives :

• Installation d’une isolation thermique ou d’un écran de protection.
• Mise à disposition de gants de protection adaptés.
• Formation des opérateurs.

Nouvelle évaluation du risque après mise en œuvre des mesures :
L’exposition diminue p. ex. de 4 à 1 (contact rare) :

Nouveau Risk Score = 2 × 3 × 1 = 6, soit un risque faible (🟢).

ISO/TR 14121-2: Approche qualitative vs quantitative dans l’analyse des risques

Dans l’analyse des risques liés aux machines, on peut distinguer deux approches générales : qualitative et quantitative. En pratique, la plupart des méthodes décrites ci-dessus se situent quelque part entre ces deux extrêmes – mais il est utile de comprendre ce qui les différencie :

• Les méthodes qualitatives reposent sur des catégories descriptives et sur le jugement d’expert. Le résultat est le plus souvent une classe de risque (p. ex. « faible », « modéré », « élevé ») ou l’action requise (« acceptable » vs « inacceptable »). Un exemple d’approche purement qualitative est l’affirmation descriptive : « le risque d’électrocution a été jugé élevé, car les conséquences sont graves et l’exposition fréquente, même si la probabilité est modérée ». Les matrices de risque et les graphes de risque relèvent, dans la plupart des cas, de ce groupe : on utilise des libellés verbaux ou des symboles alphabétiques, et non des valeurs numériques précises. Avantage : une compréhension facile par l’ensemble des participants au processus (chacun saisit intuitivement ce que signifie « risque élevé » bien plus que, par exemple, « risque = 3,7×10^-5 » !). De plus, l’approche qualitative est la seule possible lorsqu’il n’existe pas de données chiffrées — ce qui est fréquent pour des machines nouvelles ou des événements rares. Inconvénient : les résultats qualitatifs sont plus difficiles à comparer et peuvent être subjectifs. Deux experts peuvent décrire différemment un même risque, alors qu’un chiffre imposerait une forme de mise en commun de leurs avis.
• Les méthodes quantitatives visent à exprimer le risque sous forme de valeurs numériques, souvent en unités absolues (p. ex. probabilité de 1 sur un million d’opérations, fréquence attendue d’accident de 0,001/an, coût attendu des pertes en euros). Une analyse de risque pleinement quantitative cherche à exploiter des données — statistiques de défaillances, fréquence des accidents dans le secteur, données de fiabilité des composants — afin de calculer le risque de manière objective. Par exemple : « la probabilité de défaillance du capteur et, simultanément, de non-déclenchement du frein de sécurité est de 2,3 × 10^-8 par heure de fonctionnement ; en tenant compte de 2000 h de fonctionnement par an, le risque d’accident mortel est de ~4,6 × 10^-5 par an, soit moins que le critère $10^{-4}$/an — nous considérons le risque comme acceptable. » Ce type d’approche apparaît par exemple dans l’analyse de sécurité fonctionnelle (calcul du PFH – Probability of a Dangerous Failure per Hour pour les systèmes de commande) ou dans l’évaluation du risque de procédé par des méthodes de type LOPA, où le risque est exprimé numériquement. Avantages : elle donne une impression de grande précision et offre la possibilité de comparer avec des critères formels (p. ex. des niveaux ALARP, ou des exigences légales si elles existent). Elle permet aussi une optimisation coût/efficacité — on peut estimer combien « coûte » statistiquement un risque donné et déterminer s’il est rentable de le réduire davantage. Inconvénients : une analyse pleinement quantitative est chronophage et nécessite des données qui ne sont pas toujours disponibles. Pour de nombreuses machines, il n’existe pas de statistiques fiables sur les taux de défaillance ou l’accidentologie — dans ce cas, les chiffres peuvent relever de l’estimation, ce qui ôte l’intérêt de tels calculs. En outre, l’objectivité apparente peut être trompeuse : la modélisation du risque exige souvent des hypothèses simplificatrices, et le résultat final peut être entaché d’une incertitude de plusieurs ordres de grandeur (même s’il affiche de nombreux chiffres significatifs). Les normes relatives aux machines n’exigent, dans l’immense majorité des cas, aucune évaluation pleinement quantitative — elles l’autorisent, mais indiquent que la description verbale du risque est généralement plus facile à comprendre que la manipulation d’indicateurs numériques.

En pratique, l’analyse des risques des machines recourt souvent à une approche semi-quantitative (semi-quantitative), par exemple une méthode par points qui attribue des nombres à des catégories qualitatives, sans prétendre qu’il s’agit de « vraies » probabilités ou de coûts réels. Cela apporte une meilleure granularité d’évaluation que des catégories purement descriptives, tout en évitant une précision artificielle. Le choix de l’approche doit tenir compte des besoins du projet : si l’on doit documenter la conformité aux normes (p. ex. calculer le PL ou le SIL pour un système de commande), il faut utiliser les méthodes indiquées par la norme (généralement qualitatives ou par points). En revanche, si l’entreprise privilégie une estimation interne du risque dans une perspective business, elle peut envisager des analyses plus quantitatives pour les dangers clés.

ISO/TR 14121-2: Combiner les méthodes et choisir l’approche appropriée

Il n’existe pas de méthode d’analyse des risques universelle, adaptée à tous les cas. Les ingénieurs sécurité expérimentés combinent souvent différentes approches afin d’obtenir une vision plus complète et de prendre de meilleures décisions. Voici quelques indications sur quand utiliser telle ou telle méthode et comment les combiner :

• Phase conceptuelle du projet (conception préliminaire) : Au début, lorsque la machine n’en est qu’au stade du croquis ou du prototype, il manque généralement des données chiffrées détaillées. C’est là que les méthodes rapides et qualitatives sont les plus adaptées – par exemple un brainstorming avec une matrice de risque pour les dangers identifiés. La matrice aide à repérer les zones les plus critiques dès le départ. On peut aussi s’appuyer sur une liste de contrôle des dangers issue de l’ISO 12100 et, pour chaque danger, ajouter une appréciation « risque faible/moyen/élevé ». À ce stade, il est plus important de ne passer à côté d’aucun danger que d’estimer précisément la probabilité – des méthodes descriptives suffisent donc largement. Les résultats de cette analyse préliminaire peuvent influencer les choix de conception (p. ex. modification de l’implantation de la machine, ajout d’un protecteur dès la conception, réduction de la vitesse de mouvement si le risque est élevé).
• Phase de conception détaillée : Lorsque nous disposons de davantage d’informations sur la machine – ses paramètres techniques, les temps de cycle, les mesures de sécurité prévues – il est pertinent de réaliser une analyse plus précise. C’est ici qu’une méthode de cotation peut entrer en jeu. Elle convient pour analyser de manière systématique des dizaines de dangers concrets. Elle permet aussi de comparer différentes variantes de solutions : par exemple, si l’on hésite entre un protecteur fixe et un rideau lumineux, on peut estimer le Risk Score pour des scénarios avec l’un et l’autre moyen – cela montrera lequel réduit le mieux le risque. Lors de la conception détaillée, on utilise aussi fréquemment des graphes de risque pour les fonctions de sécurité. Pour chaque fonction identifiée (p. ex. arrêt d’urgence, coupure de l’entraînement à l’ouverture de la porte de protection, limitation de vitesse en mode réglage), on applique le graphe de l’ISO 13849-1 ou de l’IEC 62061 afin de déterminer le PLr/SIL requis. Ces informations influencent ensuite le choix des composants (p. ex. un relais de sécurité de catégorie 2 PL=c suffit-il, ou faut-il un automate à double canal PL=e). En pratique, au sein d’un même projet, plusieurs méthodes sont utilisées en parallèle : une évaluation globale du risque par matrice/cotation pour l’ensemble de la machine et des graphes dédiés pour des dangers spécifiques nécessitant des systèmes de sécurité commandés.
• Machines présentant des dangers complexes et variés : Lorsqu’il s’agit d’une installation étendue (p. ex. une ligne de production intégrée, des robots collaboratifs, des machines avec de nombreux sous-systèmes), une seule méthode peut ne pas suffire. Exemple : sur une ligne de conditionnement, on peut rencontrer simultanément des dangers mécaniques graves (p. ex. écrasement par le préhenseur d’un robot), des dangers électriques (tableau haute tension), des dangers ergonomiques (manutention manuelle de charges) et des dangers logiciels/cyber (logiciel de commande défaillant). Dans ce cas, il est recommandé :
  • Pour les dangers mécaniques/électriques – d’utiliser une matrice ou une cotation pour évaluer le risque et mettre en évidence la nécessité de protecteurs, d’interverrouillages, de consignation, etc. Pour les dangers liés au système de commande (p. ex. défaillance d’un capteur conduisant à une collision) – d’exploiter un graphe de risque issu des normes afin d’obtenir le PLr/SIL, ce qui se traduit par des exigences relatives à l’architecture du système de commande. Pour les risques ergonomiques – de s’appuyer davantage sur une évaluation qualitative (p. ex. recourir à des normes ergonomiques ou à des recommandations en matière de santé et sécurité au travail, car il est difficile d’obtenir des chiffres ; on peut utiliser une matrice de risque, mais en mettant l’accent sur la consultation du personnel, des questionnaires de charge, etc.). Pour les risques numériques/IT – d’envisager des approches distinctes (analyse de type cybersécurité, FMEA logiciel), car les matrices de sécurité classiques peuvent ne pas capter, par exemple, le risque de piratage du système. Si nécessaire, ces risques peuvent être évalués séparément par des spécialistes IT, puis leurs conclusions intégrées à l’analyse globale.

  Le résultat final sera une vision complète du risque. Il est important de rassembler toutes les évaluations dans un rapport cohérent, par exemple sous la forme d’une liste tabulaire des dangers avec des colonnes : description du danger, méthode d’évaluation (matrice/graphique/notation), résultat de l’évaluation, mesures de réduction, risque résiduel après réduction. Ainsi, l’auditeur ou la personne chargée de vérifier la conformité de la machine constatera qu’aucun type de risque n’a été oublié et que des techniques d’analyse adaptées ont été appliquées à chacun.

• Prise en compte des données et des statistiques : Lorsque nous disposons de données réelles (p. ex. fréquence de pannes de machines similaires, statistiques d’accidents issues de la littérature, données de fiabilité fournies par les fournisseurs de composants), il est pertinent de les intégrer à l’évaluation, mais avec discernement. On peut, par exemple, utiliser des données chiffrées pour étayer des évaluations qualitatives : « nous évaluons la fréquence de l’événement comme élevée, car dans des sites ayant un procédé similaire, 5 accidents par an ont été enregistrés pour 100 machines ». Si l’entreprise applique une politique ALARP (as low as reasonably practicable) ou des seuils de risque tolérable définis, une analyse quantitative peut alors être requise pour démontrer que la probabilité d’une catastrophe est inférieure, par exemple, à $10^{-6}$ par an. En pratique, dans le domaine des machines, on recourt toutefois rarement à des critères aussi stricts que, par exemple, dans l’industrie chimique ou l’aéronautique. La clé, c’est le bon sens : lorsque c’est possible, utilisons des données (car elles renforcent la crédibilité de l’analyse), mais n’hésitons pas à nous appuyer sur l’avis d’un expert lorsque les données manquent. La combinaison expertise d’ingénierie + informations statistiques disponibles donne les meilleurs résultats.
• Caractère itératif et vérification des résultats : Après la mise en œuvre des mesures de sécurité, revenez toujours à l’analyse de risque. On utilise alors souvent la même méthode, mais en tenant compte des nouvelles protections. Par exemple, si la notation initiale a donné 60 (risque élevé) et que des mesures ont été introduites, une nouvelle notation peut aboutir à 15 (risque faible), ce qui documente l’efficacité des actions menées. Il est également utile d’utiliser plus d’une méthode pour les dangers critiques : si la matrice indique un risque à la limite de l’acceptabilité, on peut recalculer la notation de manière indépendante ou évaluer via un graphique ; si chaque méthode confirme que tout est acceptable, la confiance augmente. Lorsque les résultats divergent, il faut l’analyser (les catégories de la matrice étaient-elles mal choisies, ou la notation a-t-elle déformé la réalité ?) et, le cas échéant, retenir une conclusion plus prudente.
• Type de machine et choix de la méthode : Pour les machines simples (p. ex. une petite presse, une perceuse à colonne), une matrice de risque simple suffit généralement, voire une liste de contrôle des dangers avec des évaluations descriptives. Pour les machines prototypes, uniques – lorsqu’il n’existe pas de schémas de protection éprouvés – il vaut mieux appliquer un éventail plus large de méthodes : une matrice pour identifier les problèmes généraux, une notation pour hiérarchiser les priorités et des graphiques pour les sujets où il faut concevoir le système de sécurité. Les machines de série (produites en grand nombre) disposent souvent d’analyses déjà établies ; il est alors préférable de s’en tenir à une méthode cohérente (p. ex. une notation unique utilisée dans toute l’entreprise) afin que les évaluations successives soient comparables. En revanche, les lignes technologiques (où plusieurs machines sont intégrées) peuvent nécessiter une analyse fractionnée : d’abord une évaluation des risques au niveau de chaque machine séparément, puis, en complément, une analyse des risques de l’ensemble du système intégré (tenant compte, par exemple, des risques liés au transfert de pièces entre machines, aux collisions entre robots, aux défaillances en cascade). Cette seconde analyse est souvent réalisée sous forme d’atelier HAZOP ou simplement d’une autre matrice de risque pour des scénarios globaux.

En résumé, combiner les méthodes constitue la meilleure pratique, car chaque méthode apporte un point de vue légèrement différent. La matrice ou le graphique peuvent donner une vue d’ensemble et les exigences minimales, tandis que la notation ou l’analyse quantitative peuvent préciser les détails et aider aux décisions économiques (où il est le plus rentable d’investir dans la sécurité). Il est important de préserver la cohérence de la documentation : consigner clairement par quelle méthode un danger a été évalué et pourquoi c’est celle-ci qui a été retenue. Ainsi, l’auditeur d’évaluation de conformité (p. ex. un organisme notifié vérifiant la documentation CE) verra que l’analyse a été réalisée de manière compétente et exhaustive, conformément à l’esprit des normes et aux bonnes pratiques d’ingénierie.

L’analyse de risque est le cœur du processus d’évaluation de la conformité d’une machine, obligatoire au titre de la directive Machines / du règlement Machines de l’UE ainsi que des normes harmonisées. Elle permet aux concepteurs d’identifier les dangers, d’estimer les risques associés et de mettre en œuvre des mesures réduisant le risque avant même qu’un accident ne survienne.

Il n’existe pas une seule méthode « meilleure » : chacune a ses points forts et ses limites. C’est pourquoi la compétence de l’ingénieur sécurité consiste à choisir l’outil adapté à l’objectif : parfois, une simple matrice suffit ; d’autres fois, il faut une cotation détaillée ou une analyse SIL. Souvent, les meilleurs résultats viennent d’une combinaison de méthodes, qui se complètent mutuellement. Par exemple, on peut commencer par une identification qualitative des dangers, puis évaluer quantitativement (par points) les plus importants, et, pour les sujets liés au système de commande, s’appuyer sur des graphes normatifs ; ainsi, aucun aspect ne nous échappera.

Enfin, gardons à l’esprit : l’objectif n’est pas de remplir un tableau ou un graphique pour lui-même, mais d’améliorer réellement la sécurité. L’analyse de risques est itérative et créative. Elle encourage à poser des questions du type « et si… ? » et à rechercher des solutions qui éliminent les dangers à la source. Les méthodes décrites ici sont des outils qui aident à structurer ces démarches. En les appliquant, respectons les principes des normes (ISO 12100 et associées) ainsi que les bonnes pratiques d’ingénierie, et impliquons dans le processus plusieurs points de vue (concepteurs, opérateurs, maintenance, santé et sécurité au travail). Une analyse de risques menée de cette manière sera crédible, complète et efficace, ce qui se traduira par une machine sûre avec le marquage CE et la tranquillité d’esprit, tant pour le fabricant que pour l’utilisateur final.