Защитни мерки вторични опасности ISO 12100
База знания Знания

ISO 12100: когато защитните мерки създават нови опасности

MB
Marcin Bakota Compliance Expert
21 February 2026
14 min време за четене
AI обзор

Статията анализира критична проектна грешка: третирането на защитните средства като „крайно решение“, при положение че самите те могат да генерират нови опасности. Основни рискове при „безопасните решения“: Нова механика: добавянето на предпазен кожух/ограждение означава добавяне на маса и кинетична енергия. Неправилно закрепен кожух създава нови зони на смачкване или удар. Илюзия за защита: светлинни завеси, монтирани без измерване на реалното време за спиране (ISO 13855), създават фалшиво усещане за безопасност – операторът може да достигне опасната зона, преди машината да е спряла. Вградено заобикаляне (bypassing): защитите, които влошават ергономията на работа, подтикват операторите да ги блокират/обезвреждат. Това е проектна грешка, а не „човешка грешка“.

Оценка на риска

Оценката на риска е основен етап при проектиране, внедряване и експлоатация на машини и оборудване. Целта ѝ е да се идентифицират опасностите, да се оценят рисковете, свързани с тях, и да се определят адекватни мерки за намаляване на риска до приемливо ниво. Процесът следва да бъде документиран и актуализиран при промени в машината, процеса, използваните материали или условията на работа.

Кога се изисква оценка на риска

Оценка на риска се изготвя при:

  • разработване и конструиране на нова машина или линия;
  • въвеждане в експлоатация на оборудване (включително при преместване и повторно пускане);
  • модернизация, реконструкция или съществена промяна на машина, включително промени в системите за управление и безопасност;
  • установени инциденти, почти инциденти или нови опасности по време на експлоатация;
  • промяна в предназначението, режима на работа или работната среда.

Основни етапи

Оценката на риска обичайно включва следните стъпки:

  1. Определяне на границите на машината – предназначение, предвидима неправилна употреба, режими на работа, обслужване, поддръжка, настройки и почистване, както и взаимодействието с оператора и околната среда.
  2. Идентифициране на опасностите – механични, електрически, термични, шум, вибрации, излъчвания, опасности от материали/вещества, ергономични фактори, както и опасности, свързани със системите за управление.
  3. Оценяване на риска – анализ на тежестта на възможните увреждания и вероятността за настъпване, като се отчита честотата и продължителността на излагане, възможността за избягване/ограничаване на вредата и надеждността на защитните мерки.
  4. Намаляване на риска – избор и прилагане на мерки по приоритет: конструктивно безопасни решения, технически предпазни мерки (ограждения, защитни устройства), информация за безопасност (инструкции, предупреждения, маркировки) и организационни мерки.
  5. Проверка и документиране – потвърждаване, че мерките са ефективни и че остатъчният риск е приемлив, с ясно описание на допусканията, резултатите и ограниченията.

Резултат и документация

Резултатът от оценката на риска следва да бъде оформен в отчет/досие, което да съдържа поне:

  • описание на машината и границите на приложимост;
  • списък на идентифицираните опасности и опасни ситуации;
  • оценка на рисковете и обосновка на приетите решения;
  • описание на приложените мерки за намаляване на риска и проверка на тяхната ефективност;
  • описание на остатъчните рискове и указания към потребителя (инструкции за безопасна работа, поддръжка и предупреждения).

Практически подход

Добрата практика е оценката на риска да се извършва от компетентни специалисти с познаване на технологията, конструкцията и реалните условия на експлоатация. При комплексни машини и линии следва да се разглеждат и интерфейсите между отделните модули, както и взаимодействието с периферни устройства, транспортни системи и работните места на операторите.

Най-рисковите решения в областта на безопасността на машините са онези, които се вземат с убеждението, че въпросът е „окончателно приключен“.

В хода на проектирането се идентифицира опасност. Някой предлага бързо решение: да добавим предпазен кожух, да монтираме светлинна завеса, да реализираме функция за безопасност в управлението. На пръв поглед темата е затворена. В документацията се появява защитна мярка, в таблицата за оценка на риска стойността пада и екипът продължава напред.

А после се оказва, че:

  • тежкият предпазен елемент създава нова зона на смачкване,
  • блокировката затруднява достъпа за настройка и провокира заобикаляне,
  • защитното устройство е позиционирано без реална проверка на времето за спиране,
  • добавен елемент във веригата за безопасност е променил динамиката на системата по начин, който никой не е анализирал.

Това не са грешки от невежество.
Това са грешки от прекомерно опростяване.

Всяка защитна мярка е конструктивна промяна. Тя променя геометрията на машината, достъпността на пространствата, начина на обслужване, последователността на действията при смущение, поведението на задвижването и реакцията на управлението. Всяка такава промяна влияе върху структурата на опасностите — понякога очевидно, понякога много фино.

В индустриалната практика често се среща линейно мислене: имало е опасност А → добавили сме защита → опасност А „изчезва“. В действителност системата не работи линейно. Промяна на едно място може да прехвърли риска в други, по-слабо видими зони.

И именно тази област — когато защитата вместо да стабилизира решението, въвежда нови технически напрежения — изисква трезв, инженерно обоснован анализ.

Първата типична грешка след „добавяне на защита“ е допускането, че промяната е локална. Че засяга само една опасност и не влияе на останалата част от системата.

На практика всяка защитна мярка се намесва в конструкцията на машината или в нейното управление. А това означава, че влияе върху:

  • кинематиката,
  • достъпността на работната зона,
  • времената за реакция,
  • начина на изпълнение на настройките и сервизните дейности,
  • начина на реагиране при смущения.

Ако тези промени не се разгледат комплексно, много лесно се получава т.нар. „прехвърляне на риска“ – намаляваме един риск, но създаваме друг.

1. Предпазен кожух като източник на нови механични опасности

Най-показателният пример е механичният предпазен кожух. Ролята му е ясна: да ограничи достъпа до опасната зона. И в много случаи го прави ефективно.

Проблемът възниква, когато проектът се фокусира единствено върху „отделянето“ на опасната зона, без да отчете конструктивните и физическите характеристики на самия кожух.

Тежък отваряем (шарнирен) кожух означава допълнителна маса.
Допълнителната маса означава потенциална енергия.
Потенциалната енергия означава възможност за падане, притискане, удар.

Когато не са анализирани траекторията на движение на кожуха, начинът на подпиране и стабилността му в отворено и затворено положение, защитното средство на практика се превръща в нов подвижен елемент на системата. И започва да създава собствени опасни зони.

В реалната експлоатация сценарият е елементарен: операторът отваря кожуха, държи го с едната ръка, с другата посяга навътре, някой минава отстрани и го закача. Или след година работа пантата започва да „играе“ заради луфт. Тогава кожухът спира да е статична „бариера“ и се превръща в динамичен елемент.

Това не е рядък, маргинален случай.
Това е пряка последица от пропускането на простия факт, че защитното средство само по себе си може да е източник на енергия и движение.

2. Предпазно устройство без проверка на параметрите за безопасност

На практика много често се среща следната схема: монтираме светлинна завеса, свързваме я към контролер за безопасност, задаваме разстояние „по каталог“ и считаме темата за приключена.

Самото наличие на предпазно устройство обаче не е доказателство за ефективно намаляване на риска.

За да говорим за реална ефективност, трябва да са изпълнени поне три технически условия.

a) Потвърждаване на действителното време за спиране

Разстоянието между предпазното устройство и опасната зона не може да се определя „по усет“ или „от опит“. То трябва да е резултат от изчисления по ISO 13855, които се базират на:

  • действителното време за спиране на машината (включително инерционните ефекти на системата),
  • времето за реакция на предпазното устройство и управлението,
  • времето за реакция на човека,
  • постоянните геометрични параметри, произтичащи от типа на устройството.

Ключовата дума е: реално.

Времето за спиране трябва да се определи чрез измерване при условия, представителни за най-неблагоприятния случай: при максимално натоварване, при най-висока скорост, с отчитане на измененията във времето (износване на спирачните елементи, допуски, температура). Не по каталог. Не по декларация. Не „типично“.

Ако такова измерване не е направено, няма доказателство, че безопасното разстояние е избрано правилно. А без коректно разстояние няма доказателство, че защитното устройство реално предотвратява достигане до опасната зона преди движението да бъде спряно.

При такава ситуация защитата може да работи логически правилно, но физически да е неефективна.

b) Проверка на функцията за безопасност и Performance Level

Вторият елемент е проверката на функцията за безопасност съгласно ISO 13849-1.

Защитното устройство е само част от веригата. Функцията за безопасност включва:

  • сензор (напр. светлинна завеса),
  • логическа част (предпазен контролер, релета),
  • изпълнителни елементи (контактори, клапани, задвижвания),
  • архитектурна структура (категория),
  • параметри на надеждност (MTTFd, DC, CCF).

Ако не са направени изчисления на Performance Level и не е показано, че постигнатият PL ≥ изисквания PLr от оценката на риска, формално няма потвърждение, че функцията за безопасност осигурява необходимото ниво на редукция на риска.

Честа грешка е допускането: „светлинната завеса е с PL e, значи сме в безопасност“.
Не светлинната завеса сама трябва да покрие изискването.
Изискването трябва да бъде изпълнено от цялата функция за безопасност.

Ако веригата за спиране съдържа елемент с твърде ниска надеждност, единичен контактор без мониторинг или липсва диагностика, реалният PL може да се окаже по-нисък от изисквания. Тогава ефективността на защитната мярка остава предположение, а не факт.

c) Функционална съгласуваност — не само електрическа

Третата област е интегрирането на функцията за безопасност с технологичния процес.

Дори коректно изчисленото защитно разстояние и правилно потвърденото ниво на работоспособност (Performance Level) не гарантират ефективност, ако:

  • ресетът е възможен от позиция, която позволява повторен достъп до опасната зона,
  • повторното пускане се извършва автоматично при освобождаване/възстановяване на защитното устройство,
  • не са отчетени преходните състояния (напр. остатъчни движения, инерция на осите),
  • не е проверено поведението при частичен отказ на системата.

Функцията за безопасност не е достатъчно само да бъде „свързана“ — тя трябва да е логически коректна и потвърдена за целия сценарий на работа на машината.

Ако който и да е от тези елементи (време за спиране, разстояние по ISO 13855, PL/PLr по ISO 13849-1, логика на ресета и повторното пускане) не е надеждно проверен, нямаме основание да твърдим, че редукцията на риска е действително постигната.

И проблемът е по-съществен.

В такава ситуация не просто не е доказана ефективността на защитната мярка. На този етап реално се създават нови опасни ситуации. Операторът получава сигнал, че пространството е защитено. Поведението се променя — подходът става по-бърз, дистанцията по-малка, реакцията по-решителна. Ако обаче действителното време за спиране е по-дълго от приетото в проекта, се стига до сценарий, при който човекът попада в зоната на действие на опасността, преди опасното движение да е спряло.

Това е типична опасна ситуация по смисъла на стандартите: обстоятелство, при което човек е изложен на поне една опасност.

Същото важи и при неправилно потвърден Performance Level: ако функцията за безопасност не достига изискваното PLr, при единичен отказ или при загуба на диагностичната способност може да се стигне до отпадане на функцията за спиране. Тогава сме в ситуация, в която:

  • опасността продължава да съществува,
  • човекът приема, че тя е редуцирана,
  • а системата не изпълнява функцията за безопасност според заложеното.

Това не е „непълна документация“.
Това е структурно нова опасна ситуация, въведена още на етап проектиране.

3. Когато защитата променя начина на работа — а с това и структурата на риска

Всяка защитна мярка променя не само геометрията на машината или параметрите на спиране. Тя променя и начина, по който се изпълнява работата.

Точно на това място най-често възникват нови опасни ситуации — не защото защитното устройство „не работи“, а защото при проектирането не е предвидено как реално ще се използва в експлоатация.

a) Затруднен достъп = импровизирана намеса

Когато предпазният кожух/ограждение съществено затруднява достъпа за настройки, почистване или пренастройка, операторът започва да „съкращава“ процедурите:

  • оставя предпазителя частично отворен,
  • блокира крайния изключвател,
  • извършва действия при остатъчни движения,
  • намесва се при несигурно спиране.

Това не е въпрос на „недисциплиниран работник“.
Това е резултат от решение в проекта, което не отчита реалната честота и характера на конкретната дейност.

Тогава се формира опасна ситуация: човекът се намира в зона, която по замисъл е трябвало да е недостъпна по време на движение, а системата не може да наложи безопасни условия.

Защитата не е демонтирана.
Обходът ѝ е „вграден“ в процеса.

b) Защита, която разстройва работната последователност

Всяка функция за безопасност въвежда логически условия:

  • спиране при нарушаване,
  • блокировка на старта,
  • ресет,
  • потвърждение на начални условия.

Ако последователността за възстановяване на работа е прекалено сложна, нелогична или неясна, нараства вероятността от действия извън предвидения сценарий.

Например:

  • изпълнение на ресет без визуална проверка на зоната,
  • повторно пускане при наличие на остатъчни движения,
  • намеса в сервизен режим без пълно изключване на енергията.

Всеки от тези случаи представлява опасна ситуация: човекът се намира в зоната на въздействие на опасността при неизпълнени условия за безопасност.

От гледна точка на оценката на риска това не е „грешка на оператора“.
Това е пропуск в анализа как приложената предпазна мярка е променила динамиката на системата.

c) Конфликт между безопасност и ергономия

Ако предпазната мярка:

  • ограничава видимостта към работната зона,
  • принуждава към неестествени пози на тялото,
  • увеличава физическото натоварване,
  • удължава времето на цикъла по начин, който е съществено неблагоприятен за процеса,

това повишава вероятността от нежелано поведение.

А повишаването на вероятността е единият от двата елемента в определението за риск.

На практика изглежда така:

Проектът предвижда безопасен достъп при затворен предпазен кожух.
За да вижда детайла, операторът се навежда и промушва ръка под долния ръб.
Физическата защита съществува.
Опасната ситуация продължава да възниква.

Защитата не е елиминирала риска.
Тя е променила неговата конфигурация.

4. Линейно мислене срещу системен анализ

Всички описани случаи имат общ корен: линейният подход към намаляване на риска.

Опасност → предпазна мярка → проблемът е решен.

В действителност всяка конструктивна промяна в техническа система следва да се разглежда като нова конфигурация на системата.

Новата конфигурация означава:

  • нови условия на работа,
  • нови точки на достъп,
  • нови траектории на движение,
  • нови сценарии на смущения и отклонения,
  • нови опасни ситуации.

Ако след внедряване на защитна мярка проектът не се връща към идентифицирането на опасностите, оценката остава непълна — дори документацията да изглежда формално изрядна.

Точно тук е съществената разлика между „да има поставено обезопасяване“ и реално намаляване на риска.

5. Защо по същество безопасните решения са по-устойчиви

Когато се погледне трезво към типичната структура на проектантските грешки, се вижда ясна закономерност: най-много проблеми възникват, когато безопасността се „добавя“ впоследствие, вместо да е заложена в конструкцията.

По същество безопасните конструктивни решения работят различно от защитните мерки. Те не „пазят“ чрез ограничаване на достъпа до опасността, а намаляват или премахват самата опасност още при източника.

Примерите са ясни:

  • намаляване на кинетичната енергия чрез ограничаване на скоростта или масата,
  • ограничаване на въртящия момент до ниво, което е безопасно при контакт/сблъсък,
  • намаляване на притискащата сила,
  • заобляне на ръбовете вместо тяхното екраниране/обезопасяване с предпазители,
  • промяна на геометрията така, че да се елиминира зона на притискане,
  • използване на задвижване с контролирана характеристика на спиране/спирачен режим.

В тези случаи рискът намалява, защото намалява енергията, която е налична при опасна ситуация, или отпада механизмът за нейното освобождаване.

Това е качествено различен подход от поставянето на бариера.

Когато намалиш скоростта, намаляваш енергията във всеки сценарий.
Когато намалиш силата, намаляваш тежестта на потенциалната травма/повреда.
Когато премахнеш зона на притискане чрез геометрията, конкретният механизъм за възникване на вреда престава да съществува.

В много случаи тогава не се налага „да надграждаш“ безопасността с допълнителна управляваща логика, ресети и сложни последователности. Рискът спада структурно.

Затова тези решения по природа са по-устойчиви.

6. Могат ли по същество безопасните решения да създават нови опасни ситуации?

Възможно е. Но механизмът е различен — и обикновено се среща по-рядко.

Пример: намаляване на скоростта или усилието в процеса, което води до повече смущения (приплъзвания, разместване на детайла, по-чести заклинвания). В резултат се увеличава броят на ръчните намеси. А увеличаването на намесите означава повече моменти, в които операторът навлиза в зоните на действие на опасностите — т.е. възникват нови опасни ситуации.

Това не е пряк „страничен ефект“ от самата конструкция.
Това е следствие от промяна в устойчивостта на процеса и честотата на вмешателствата.

Разликата е, че при решения, които са безопасни по своята същност, промяната засяга източника на енергия или геометрията, а не единствено достъпа. Затова броят на новите опасни ситуации обикновено е по-малък в сравнение с вторично добавени защитни мерки.

7. Принципната разлика

Защитната мярка казва:
„Опасността съществува, ще ограничим достъпа до нея.“

Решение, безопасно по своята същност, казва:
„Ще променим опасността или ще я премахнем.“

Първият подход изгражда условия.
Вторият променя физиката на системата.

Затова в практиката по проектиране най-сигурният подход е да се започне с намаляване на енергията, промяна на геометрията и отстраняване на механизма на опасността, и едва след това — ако е необходимо — да се прилагат технически и допълващи защитни мерки.

Това не е въпрос на философия.
Това е въпрос на устойчивост.

8. Новите опасности са част от процеса. Не бива да се пренебрегват.

Проблемът с т.нар. „вторични рискове“ е, че често се приемат за нещо маловажно. Като дребно неудобство след въвеждане на защита. Като нещо, което „може да се уточни по-късно“.

А всъщност, от гледна точка на метода за оценяване на риска, това не е детайл.
Това е критичен момент в процеса.

Всяко въвеждане на защитна мярка променя конфигурацията на системата. А промяната на конфигурацията означава възможност за възникване на нови опасни ситуации.

Ако след намаляване на риска не се върнем към повторна идентификация на опасностите, процесът се прекъсва. Той не е завършен — остава незатворен.

На практика точно тук най-често се появява „пропускът“: рискът/опасността А е формално намалена, но възниква риск/опасност B – по-неочевиден, по-труден за разпознаване и често свързан с обслужване, ресет, достъп и динамиката на спирането.

Пропускането или подценяването на този етап означава, че намаляването на риска е само частично.

9. Итерацията, която не може да се „прещрака“

Затова в коректно изграден процес за намаляване на риска след всяка стъпка трябва да се зададе един и същ ключов въпрос:

В резултат от приложените защитни мерки възникна ли нова опасност?

Ако отговорът е „да“ – анализът се връща към етапа по идентифициране.
Ако отговорът е „не“ – това трябва да е осъзнато решение, а не автоматично „напред“.

secondary risk ISO 12100

Точно този механизъм SafetySoftware.eu следи пряко: след етапа по намаляване на риска системата изисква изрично решение дали приложените защитни мерки са породили нови опасности. Не позволява да се продължи без ясна позиция.

Това не е „козметична“ функция.
Това е защита на процеса от линейно, опростено минаване през стъпките.

Защото най-сериозните грешки обикновено не идват от липса на защити.
Идват от липса на итерация.

А безопасността на машините започва точно там, където свършва мисленето: „сложихме защита, значи сме в безопасност“.

 

Често задавани въпроси

Защо защитните средства могат да създават нови опасности?

Tъй като защитната мярка представлява конструктивна промяна или промяна в управлението. Тя променя геометрията, достъпа, работните последователности, времената за реакция и поведението на задвижващата система, следователно влияе върху структурата на опасностите по смисъла на ISO 12100.

В резултат може да се стигне до „изместване на риска“: ограничаваме една опасност, но въвеждаме друга (напр. зони на притискане от предпазителя, провокиране на заобикаляне на блокировката, неправилна дистанция на светлинната завеса).

Какво означава „линейно“ мислене за риска в ISO 12100?

Това е предположението, че: имало е опасност A → добавено е защитно средство → опасност A е изчезнала и дотук. На практика машината е нелинейна система: промяната на едно място променя условията за възникване на опасности в други области.

ISO 12100 изисква итеративен подход: след прилагане на защитна мярка е необходимо отново да се идентифицират опасностите и отново да се оцени рискът (включително остатъчния риск).

Как механичната предпазна ограда може да се превърне в източник на механични опасности?

Предпазният капак може да въведе нова маса и ново движение (напр. отваряне на панта), а това създава потенциална и кинетична енергия. Ако не са анализирани траекторията на движението, опорите, стабилността в отворено положение и точките на колизия, се появяват нови зони на смачкване, удар или прищипване.

Типични проблеми са: провисване на предпазния капак, хлабини в пантите след период на експлоатация, неконтролирано затваряне при закачане/удряне, както и затруднено изтегляне на ръката от работната зона.

Защо монтажът на светлинна бариера „по каталог“ често е неефективен?

Самото прилагане на защитно устройство не е доказателство за намаляване на риска. За ефективността ключови са параметрите на цялата функция за безопасност, включително реалното време за спиране на машината и общото време за реакция на веригата.

Без измерване на времето за спиране при условия на най-лошия случай (напр. максимално натоварване, скорост, износване на спирачката) защитното разстояние може да бъде определено неправилно и тогава устройството работи „логически“, но не спира движението достатъчно бързо във физически смисъл.

Кога трябва да се измерва действителното време на спиране на машината?

Винаги когато от него зависи ефективността на защитната мярка, основана на разстояние и време (напр. светлинни завеси, скенери, двуръчни устройства, функции за спиране). Измерването трябва да отразява най-неблагоприятните, но представителни условия на работа.

На практика се отчитат, наред с друго, максималната скорост и натоварване, инерцията на системата, допуските, температурата и влошаването на параметрите с течение на времето. Без това няма надеждна основа за определяне на безопасното разстояние съгласно EN ISO 13855.

Готови ли сте за промяна?

Създайте профил и генерирайте съответстваща документация за 15 минути.

Започнете безплатния тест Без кредитна карта • 14 дни безплатно