Mesures de protection dangers secondaires ISO 12100
Base de connaissances Connaissances

ISO 12100 : quand les mesures de protection génèrent de nouveaux risques

MB
Marcin Bakota Compliance Expert
21 February 2026
15 min de lecture
Aperçu IA

Mesures de protection et risques induits L'article analyse une erreur de conception critique : considérer les mesures de protection comme une solution définitive, alors qu'elles mogą mogą être à l'origine de nouveaux phénomènes dangereux. Principaux risques des solutions "sûres" : Nouvelle mécanique : L'ajout d'un protecteur signifie l'ajout de masse et d'énergie. Un protecteur mal installé crée de nouvelles zones d'écrasement ou de choc. Illusion de protection : Les rideaux lumineux installés sans mesure du temps d'arrêt réel (ISO 13855) donnent un faux sentiment de sécurité – l'opérateur peut atteindre la zone dangereuse avant l'arrêt complet de la machine. Neutralisation intégrée (Bypassing) : Les dispositifs de protection qui entravent l'ergonomie forcent les opérateurs à les shunter ou les bloquer. Il s'agit d'un défaut de conception, et non d'une erreur humaine.

En sécurité des machines, les décisions les plus risquées sont souvent celles que l’on prend en pensant que le sujet est « réglé une fois pour toutes ».

Un danger apparaît en phase projet. Quelqu’un propose une réponse rapide : ajoutons un carter, installons une barrière immatérielle, implémentons une fonction de sécurité dans la commande. Le dossier semble bouclé. Dans la documentation, une mesure de protection est ajoutée, dans le tableau d’évaluation des risques la valeur baisse, et tout le monde passe à la suite.

Puis on se rend compte que :

  • un carter lourd crée une nouvelle zone d’écrasement,
  • un interverrouillage complique l’accès aux réglages et incite au contournement,
  • un dispositif de protection a été positionné sans vérification réelle du temps d’arrêt,
  • l’ajout d’un élément dans la chaîne de sécurité a modifié la dynamique de l’ensemble d’une manière que personne n’a analysée.

Ce ne sont pas des erreurs par ignorance.
Ce sont des erreurs dues à la simplification.

Une mesure de protection est une modification de conception. Elle change la géométrie de la machine, l’accessibilité, la façon d’exploiter l’équipement, les séquences d’intervention en cas de dysfonctionnement, le comportement de la chaîne d’entraînement et la réponse du système de commande. Chaque modification de ce type transforme la structure des dangers — parfois de manière évidente, parfois de façon très subtile.

En environnement industriel, on observe souvent un raisonnement linéaire : il y avait le danger A → on ajoute une protection → le danger A « disparaît ». Or la réalité n’est pas linéaire. Une modification à un endroit peut déplacer le risque vers d’autres zones, moins visibles.

Et c’est précisément cette situation — quand une protection, au lieu de stabiliser l’ensemble, introduit de nouvelles contraintes techniques — qui impose une analyse d’ingénierie rigoureuse, sans automatisme.

La première erreur après « l’ajout d’une protection » est de supposer que le changement est local : qu’il ne concerne qu’un seul danger et qu’il n’a pas d’effet sur le reste du système.

En pratique, toute mesure de protection intervient soit sur la conception de la machine, soit sur sa commande. Et cela signifie qu’elle agit sur :

  • la cinématique,
  • l’accessibilité de la zone de travail,
  • les temps de réaction,
  • la manière de réaliser les opérations de réglage et de maintenance,
  • la façon de gérer les incidents et les dérangements.

Sans une analyse globale de ces modifications, on génère très facilement un effet de « déplacement du risque ».

1. Une protection peut devenir une nouvelle source de dangers mécaniques

L’exemple le plus courant est celui d’un protecteur mécanique. Son rôle est clair : limiter l’accès à la zone dangereuse. Et, bien souvent, il remplit efficacement cette fonction.

La difficulté apparaît quand la conception se concentre uniquement sur la séparation, en négligeant les caractéristiques physiques du protecteur lui-même.

Un protecteur basculant lourd, c’est une masse supplémentaire.
Une masse supplémentaire, c’est une énergie potentielle.
Une énergie potentielle, c’est un risque de chute, d’écrasement, d’impact.

Si la cinématique du protecteur, son mode de support et sa stabilité en position ouverte comme en position fermée n’ont pas été étudiés, le moyen de protection devient un nouvel élément mobile de l’ensemble. Il crée alors ses propres zones dangereuses.

Sur le terrain, le scénario est souvent très simple : l’opérateur ouvre le protecteur, le retient d’une main, intervient de l’autre à l’intérieur, et quelqu’un le heurte latéralement. Ou bien, après un an d’exploitation, la charnière prend du jeu. À ce moment-là, le protecteur cesse d’être une « barrière » et devient un élément dynamique.

Ce n’est pas un cas marginal.
C’est la conséquence directe d’avoir omis qu’un moyen de protection peut, à lui seul, être porteur d’énergie et de mouvement.

2. Dispositif de protection installé sans vérification des paramètres de sécurité

En pratique, on rencontre très souvent le schéma suivant : on installe un rideau immatériel, on le raccorde au contrôleur de sécurité, on fixe une distance « selon le catalogue », puis on considère le sujet comme réglé.

Or, le simple fait d’intégrer un dispositif de protection ne prouve pas, en soi, une réduction de risque effective.

Pour pouvoir parler d’efficacité réelle, au moins trois conditions techniques doivent être remplies.

a) Vérification du temps d’arrêt réel

La distance entre le dispositif de protection et la zone dangereuse ne peut pas être fixée « à l’expérience ». Elle doit résulter de calculs conformes à l’ISO 13855, fondés notamment sur :

  • le temps d’arrêt réel de la machine (inertie du système comprise),
  • le temps de réaction du dispositif de protection et de la chaîne de commande,
  • du temps de réaction de l’opérateur,
  • des constantes géométriques liées au type d’équipement.

Mot-clé : réel.

Le temps d’arrêt doit être déterminé par mesure, dans des conditions représentatives du cas le plus défavorable : à charge maximale, à la vitesse la plus élevée, en tenant compte des évolutions dans le temps (usure des organes de freinage, tolérances, température). Pas une valeur catalogue. Pas une valeur déclarée. Pas une valeur « typique ».

En l’absence de cette mesure, il n’existe pas d’élément probant permettant d’attester que la distance de sécurité a été correctement définie. Or, sans distance correcte, on ne peut pas démontrer que le dispositif de protection empêche effectivement l’accès à la zone dangereuse avant l’arrêt du mouvement.

Dans ce cas, la protection peut être logiquement conforme, tout en étant physiquement inefficace.

b) Vérification de la fonction de sécurité et du Performance Level

Le deuxième point concerne la vérification des fonctions de sécurité conformément à l’ISO 13849-1.

Le dispositif de protection n’est qu’un maillon de la chaîne. La fonction de sécurité comprend :

  • le capteur (p. ex. une barrière immatérielle),
  • la partie logique (automate de sécurité, relais),
  • les éléments de sortie (contacteurs, valves, entraînements),
  • la structure d’architecture (catégorie),
  • les paramètres de fiabilité (MTTFd, DC, CCF).

Si le calcul du Performance Level n’a pas été réalisé et qu’il n’a pas été démontré que le PL atteint ≥ le PLr requis issu de l’appréciation du risque, il n’y a, d’un point de vue formel, aucune confirmation que la fonction de sécurité assure le niveau de réduction du risque attendu.

Une erreur fréquente consiste à supposer : « la barrière a un PL e, donc c’est bon ».
Ce n’est pas le capteur qui doit, à lui seul, satisfaire le niveau requis.
C’est l’ensemble de la fonction de sécurité qui doit l’atteindre.

Si la chaîne d’arrêt comporte un élément dont la fiabilité est insuffisante, un contacteur unique sans surveillance, ou si la fonction manque de diagnostic, le PL réel peut être inférieur au niveau requis. Dans ce cas, l’efficacité du moyen de protection relève d’une hypothèse, pas d’un fait démontré.

c) Cohérence fonctionnelle — pas uniquement électrique

Le troisième domaine concerne l’intégration de la fonction de sécurité dans le procédé et son fonctionnement au regard du cycle machine.

Même une distance correctement calculée et un Performance Level (PL) correctement déterminé et vérifié ne garantissent pas l’efficacité si :

  • le réarmement (reset) peut être effectué depuis une position permettant de réaccéder à la zone dangereuse,
  • le redémarrage se fait automatiquement après la libération d’un dispositif de protection,
  • les états transitoires ne sont pas pris en compte (p. ex. mouvements résiduels, inertie des axes),
  • le comportement en cas de défaillance partielle du système n’a pas été vérifié.

Une fonction de sécurité ne doit pas seulement être « câblée » : elle doit être logiquement correcte et vérifiée sur l’ensemble du scénario de fonctionnement de la machine.

Si l’un de ces éléments (temps d’arrêt, distance selon ISO 13855, PL/PLr selon ISO 13849-1, logique de réarmement et de redémarrage) n’a pas été vérifié avec rigueur, il n’existe pas de confirmation d’une réduction effective du risque.

Et le problème est plus profond.

Dans ce cas, non seulement l’efficacité du moyen de protection n’est pas démontrée. À ce stade, on introduit de nouvelles situations dangereuses. L’opérateur reçoit l’information que l’espace est protégé. Le comportement évolue — approche plus rapide, distance réduite, réaction plus engagée. Or, si le temps d’arrêt réel est plus long que celui retenu en conception, on crée une situation où la personne se trouve dans la zone d’influence du danger avant l’arrêt du mouvement dangereux.

C’est une situation dangereuse au sens des normes : une circonstance dans laquelle une personne est exposée à au moins un danger.

De même, en cas de Performance Level insuffisamment vérifié : si la fonction de sécurité n’atteint pas le PLr requis, alors, en condition de défaut unique ou en cas de perte de diagnostic, la fonction d’arrêt peut ne plus être assurée. On se retrouve alors dans une situation où :

  • le danger est toujours présent,
  • la personne suppose qu’il a été réduit,
  • et le système n’exécute pas la fonction de sécurité conformément à l’intention de conception.

Ce n’est pas un « dossier incomplet ».
C’est une situation dangereuse structurellement nouvelle, introduite dès la phase de conception.

3. Quand la protection modifie la manière de travailler — et, avec elle, la structure du risque

Toute mesure de protection ne change pas uniquement la géométrie de la machine ou les paramètres d’arrêt. Elle modifie aussi la façon dont le travail est réalisé.

C’est précisément à ce stade que de nouvelles situations dangereuses apparaissent le plus souvent — non pas parce que le dispositif de protection « ne fonctionne pas », mais parce que la conception n’a pas anticipé les conditions réelles d’utilisation sur le terrain.

a) Accès contraignant = contournement improvisé

Si une protection gêne fortement l’accès pour un réglage, un nettoyage ou un changement de format, l’opérateur finit par raccourcir les procédures :

  • il laisse la protection partiellement ouverte,
  • il neutralise l’interrupteur de position (fin de course),
  • il intervient alors que des mouvements résiduels subsistent,
  • il agit avec un arrêt non garanti.

Ce n’est pas un problème de « salarié indiscipliné ».
C’est la conséquence d’une conception qui n’a pas tenu compte de la fréquence réelle et de la nature de l’opération à effectuer.

À ce moment-là, la situation dangereuse est constituée : une personne se retrouve dans une zone qui, par hypothèse, devait rester inaccessible pendant le mouvement, et le système n’est plus en mesure d’imposer les conditions de sécurité.

La protection n’a pas été déposée.
Le contournement a été intégré de fait au processus.

b) Une protection qui déstabilise la séquence de travail

Toute fonction de sécurité introduit des conditions logiques :

  • arrêt en cas d’intrusion/violations de la zone,
  • inhibition du démarrage,
  • réarmement (reset),
  • validation des conditions initiales.

Si la séquence de reprise est trop complexe, peu logique ou peu lisible, la probabilité d’actions réalisées hors du scénario prévu augmente.

Par exemple :

  • réarmement effectué sans contrôle visuel de la zone,
  • redémarrage alors que des mouvements résiduels sont encore présents,
  • intervention en mode maintenance sans mise hors énergie complète.

Chacun de ces cas correspond à une situation dangereuse : une personne se trouve dans la zone d’influence du danger alors que les conditions de sécurité ne sont pas réunies.

Du point de vue de l’évaluation des risques, ce n’est pas une « erreur de l’utilisateur ».
C’est l’absence d’analyse de la manière dont la mesure de protection a modifié la dynamique de l’ensemble.

c) Conflit entre sécurité et ergonomie

Si une mesure de protection :

  • réduit la visibilité de la zone de travail,
  • impose des postures non naturelles,
  • augmente l’effort physique,
  • allonge le temps de cycle de manière significative pour l’exploitation,

alors la probabilité de comportements non souhaités augmente.

Or l’augmentation de cette probabilité est l’un des deux éléments constitutifs de la définition du risque.

Concrètement, cela se traduit ainsi :

La conception prévoit un accès sûr avec un protecteur fermé.
L’opérateur, pour voir la pièce, se penche et passe la main sous le bord inférieur.
La protection existe physiquement.
La situation dangereuse se produit néanmoins.

La protection n’a pas supprimé le risque.
Elle en a modifié la configuration.

4. Pensée linéaire versus analyse systémique

Tous les cas décrits ont une cause commune : une approche linéaire de la réduction du risque.

Danger → mesure de protection → problème résolu.

En réalité, toute modification de conception dans un système technique doit être considérée comme une nouvelle configuration de l’ensemble.

Une nouvelle configuration signifie :

  • de nouvelles conditions de travail,
  • de nouveaux points d’accès,
  • de nouvelles trajectoires de mouvement,
  • de nouveaux scénarios de perturbation,
  • de nouvelles situations dangereuses.

Si, après la mise en place d’une mesure de protection, le projet ne revient pas à l’identification des dangers, l’analyse reste incomplète — même si la documentation paraît formellement correcte.

C’est là la différence essentielle entre « avoir une protection » et obtenir une réduction réelle du risque.

5. Pourquoi les solutions intrinsèquement sûres sont plus robustes

Lorsqu’on analyse de manière factuelle la logique des erreurs de conception, un constat revient souvent : la majorité des difficultés apparaît quand la sécurité est « ajoutée » a posteriori, au lieu d’être intégrée dès la conception.

Les solutions de conception intrinsèquement sûres ne fonctionnent pas comme des mesures de protection. Elles ne se contentent pas d’empêcher l’accès au danger : elles réduisent, voire suppriment, le danger lui-même à la source.

Les exemples sont parlants :

  • réduire l’énergie cinétique en limitant la vitesse ou la masse,
  • limiter le couple à un niveau non dangereux en cas de collision,
  • diminuer la force d’appui,
  • arrondir les arêtes plutôt que de les masquer par un habillage,
  • modifier la géométrie pour supprimer une zone d’écrasement,
  • utiliser un entraînement avec une caractéristique d’arrêt maîtrisée.

Dans ces situations, le risque diminue parce que l’énergie disponible en situation dangereuse baisse, ou parce que le mécanisme de libération de cette énergie est supprimé.

C’est une réduction d’une nature différente de la simple mise en place d’une barrière.

En réduisant la vitesse, on réduit l’énergie dans l’ensemble des scénarios.
En réduisant la force, on diminue la gravité potentielle du dommage.
En supprimant une zone d’écrasement par la géométrie, on fait disparaître un mécanisme concret de survenue du dommage.

Dans de nombreux cas, il n’est alors plus nécessaire de « construire » la sécurité sur une logique de commande additionnelle, des réarmements et des séquences complexes. Le risque baisse de manière structurelle.

C’est pour cette raison que ces solutions sont, par nature, plus robustes.

6. Les solutions intrinsèquement sûres peuvent-elles créer de nouvelles situations dangereuses ?

C’est possible. Mais le mécanisme est différent — et, en pratique, plus rare.

Exemple : une réduction de vitesse ou d’effort dans le procédé peut augmenter le nombre de perturbations (glissements, déplacement de la pièce, bourrages plus fréquents). Au final, les interventions manuelles se multiplient. Or, plus il y a d’interventions, plus il y a de moments où l’opérateur entre dans les zones d’influence des phénomènes dangereux — et donc de nouvelles situations dangereuses apparaissent.

Ce n’est pas un « effet secondaire » direct de la conception.
C’est la conséquence d’une modification de la stabilité du procédé et de la fréquence des interventions.

La différence, c’est que dans une conception intrinsèquement sûre, l’action porte sur la source d’énergie ou sur la géométrie, et non sur le simple accès. C’est pourquoi le nombre de nouvelles situations dangereuses est, le plus souvent, plus faible qu’avec des mesures ajoutées a posteriori.

7. Différence fondamentale

Une mesure de protection dit :
« Le danger existe, nous allons en limiter l’accès. »

Une solution intrinsèquement sûre dit :
« Nous allons modifier le danger, ou l’éliminer. »

La première approche met en place des conditions d’exploitation.
La seconde modifie la physique du système.

C’est pourquoi, en conception, l’approche la plus robuste consiste à commencer par réduire l’énergie, adapter la géométrie et supprimer le mécanisme dangereux, puis seulement — si nécessaire — recourir à des mesures techniques et complémentaires.

Ce n’est pas une question de philosophie.
C’est une question de stabilité.

8. Les nouveaux dangers font partie du procédé. Il ne faut pas les ignorer.

Le problème avec les « risques secondaires », c’est qu’ils sont souvent considérés comme négligeables : une petite contrainte liée à l’ajout d’une protection, quelque chose qu’on pourra « préciser plus tard ».

Pourtant, du point de vue de la méthode d’évaluation des risques, ce n’est pas un détail.
C’est un moment critique du procédé.

Toute mise en place d’une mesure de protection modifie la configuration du système. Et une modification de configuration implique la possibilité de générer de nouvelles situations dangereuses.

Si, après la réduction du risque, on ne revient pas à l’identification des dangers, le processus est rompu. Il n’est pas terminé — il reste ouvert, donc incomplet.

Dans la pratique, c’est précisément à cet endroit qu’apparaît la faille : le danger A a été réduit « sur le papier », mais un danger B émerge — moins évident, plus difficile à détecter, souvent lié à l’exploitation, au réarmement, aux accès et à la dynamique d’arrêt.

Négliger cette étape revient à n’obtenir qu’une réduction de risque partielle.

9. Une itération qu’on ne peut pas « expédier »

C’est pourquoi, dans un processus de réduction du risque correctement construit, une question doit systématiquement être posée après chaque étape :

Les mesures de protection mises en œuvre ont-elles créé un nouveau danger ?

Si la réponse est « oui » — l’analyse revient à l’identification des dangers.
Si la réponse est « non » — cela doit résulter d’une décision assumée, et non d’un « suivant » par défaut.

secondary risk ISO 12100

C’est exactement ce mécanisme que SafetySoftware.eu encadre de manière explicite : après l’étape de réduction du risque, le système impose de statuer sur le fait que les mesures de protection ont — ou non — généré de nouveaux dangers. Impossible de poursuivre sans prise de position.

Ce n’est pas une fonctionnalité « cosmétique ».
C’est une garantie contre une simplification linéaire du processus.

Car les erreurs les plus graves ne viennent pas d’un manque de protections.
Elles viennent d’un manque d’itération.

Et la sécurité des machines commence précisément là où s’arrête le réflexe : « on a ajouté une protection, donc c’est sûr ».

 

Questions fréquentes

Pourquoi les équipements de protection peuvent-ils créer de nouveaux dangers ?

Étant donné que la mesure de protection constitue une modification de conception ou une modification de la commande. Elle modifie la géométrie, l’accès, les séquences de travail, les temps de réaction ainsi que le comportement du système d’entraînement, et influence donc la structure des dangers au sens de EN ISO 12100.

En conséquence, il peut se produire un « déplacement du risque » : nous réduisons un danger, mais nous en introduisons un autre (p. ex. zones de pincement dues au protecteur, incitation au contournement du verrouillage, distance incorrecte du rideau lumineux).

Que signifie, dans la norme PN-EN ISO 12100, une approche « linéaire » du risque ?

C’est l’hypothèse selon laquelle : il y avait un danger A → on a ajouté une mesure de protection → le danger A a disparu et c’est tout. En pratique, une machine est un système non linéaire : une modification à un endroit change les conditions d’apparition des dangers dans d’autres zones.

EN ISO 12100 exige une approche itérative : après l’application d’une mesure de protection, il faut ré-identifier les dangers et ré-évaluer le risque (y compris le risque résiduel).

Comment un protecteur mécanique peut-il devenir une source de risques mécaniques ?

Le protecteur peut introduire une nouvelle masse et un nouveau mouvement (p. ex. basculement), ce qui crée une énergie potentielle et cinétique. Si la trajectoire de mouvement, l’appui, la stabilité en position ouverte ainsi que les points de collision n’ont pas été analysés, de nouvelles zones d’écrasement, d’impact ou de pincement apparaissent.

Les problèmes typiques sont : l’affaissement du protecteur, les jeux au niveau des charnières après une période d’exploitation, la fermeture non contrôlée après un choc, ainsi qu’une évacuation difficile de la main hors de la zone de travail.

Pourquoi l’installation d’un rideau lumineux « sur catalogue » est-elle parfois inefficace ?

La seule utilisation d’un dispositif de protection n’est pas une preuve de réduction du risque. Pour l’efficacité, les paramètres de l’ensemble de la fonction de sécurité sont déterminants, y compris le temps d’arrêt réel de la machine et le temps de réponse total de la chaîne.

Sans mesure du temps d’arrêt dans les conditions du pire cas (p. ex. charge maximale, vitesse, usure du frein), la distance de sécurité peut être choisie de manière incorrecte, et alors le dispositif fonctionne « logiquement », mais n’arrête pas le mouvement suffisamment vite au sens physique.

Quand faut-il mesurer le temps réel d’arrêt de la machine ?

Toujours lorsque l’efficacité d’une mesure de protection fondée sur la distance et le temps en dépend (p. ex. barrières immatérielles, scanners, dispositifs de commande bimanuelle, fonctions d’arrêt). La mesure doit refléter les conditions de fonctionnement les plus défavorables, mais représentatives.

En pratique, on prend en compte notamment la vitesse et la charge maximales, l’inertie du système, les tolérances, la température ainsi que la dégradation des performances au fil du temps. Sans cela, il n’existe pas de base fiable pour déterminer la distance de sécurité conformément à la NF EN ISO 13855.

Prêt à changer ?

Créez un compte et générez une documentation conforme en 15 minutes.

Démarrer l'essai gratuit Sans carte bancaire • 14 jours gratuits