Ochranná opatření sekundární nebezpečí ISO 12100
Báze znalostí Znalosti

ISO 12100: když ochranná opatření vytvářejí nová rizika

MB
Marcin Bakota Compliance Expert
21 February 2026
4 min čtení
Přehled AI

Článek analyzuje kritickou konstrukční chybu: považovat ochranná opatření za finální řešení, přestože mohou sama vytvářet nová rizika. Hlavní rizika „bezpečných řešení“: Nová mechanika: přidání krytu znamená přidání hmotnosti a energie. Špatně upevněný kryt vytváří nové zóny skřípnutí nebo nárazu. Iluze ochrany: světelné závory instalované bez ověření skutečné doby doběhu/doby zastavení (ISO 13855) vytvářejí falešný pocit bezpečí – obsluha může dosáhnout do nebezpečné zóny dřív, než se stroj zastaví. Zabudované obcházení (bypassing): ochrany, které zhoršují ergonomii práce, motivují obsluhu k jejich blokování. Jde o konstrukční chybu, nikoli o „lidské selhání“.

Nejrizikovější rozhodnutí v oblasti bezpečnosti strojních zařízení jsou ta, která se dělají s jistotou, že je věc jednou provždy vyřešená.

V projektu se objeví nebezpečí. Někdo navrhne rychlé řešení: přidejme kryt, dejme světelnou závoru, udělejme bezpečnostní funkci ve řízení. Vypadá to uzavřeně. V dokumentaci přibude ochranné opatření, v tabulce posouzení rizika hodnota klesne a tým pokračuje dál.

A pak se ukáže, že:

  • těžký kryt vytvořil novou zónu sevření,
  • blokování ztížilo přístup k seřízení a svádí k obcházení,
  • ochranné zařízení bylo nastaveno bez reálného ověření doběhu a času zastavení,
  • další prvek v bezpečnostním řetězci změnil dynamiku systému způsobem, který nikdo nevyhodnotil.

Nejde o chyby z neznalosti.
Jde o chyby vyplývající ze zjednodušování.

Ochranné opatření je konstrukční zásah. Mění geometrii stroje, dostupnost prostoru, způsob obsluhy, postupy při poruše, chování pohonů i reakce řízení. Každá taková změna přetváří strukturu nebezpečí — někdy zjevně, jindy velmi nenápadně.

V průmyslové praxi se často setkáváme s lineárním uvažováním: bylo nebezpečí A → doplnili jsme zabezpečení → nebezpečí A „zmizelo“. Jenže realita je nelineární. Zásah na jednom místě umí riziko přesunout jinam — do méně nápadných oblastí.

Právě tato situace — kdy zabezpečení místo zklidnění systému vyvolá nové technické napětí — vyžaduje střízlivou, inženýrskou analýzu.

První typická chyba po „doplnění zabezpečení“ je předpoklad, že změna je lokální. Že se týká jen jednoho nebezpečí a nemá dopad na zbytek stroje.

Ve skutečnosti každé ochranné opatření zasahuje do konstrukce stroje nebo do jeho řízení. A tím pádem zasahuje do:

  • kinematiky,
  • dostupnosti pracovního prostoru,
  • reakčních dob,
  • způsobu provádění seřizovacích a servisních činností,
  • způsobu řešení poruch a mimořádných stavů.

Pokud se tyto změny neposoudí komplexně, velmi snadno vznikne tzv. přesun rizika.

1. Kryt jako zdroj nových mechanických nebezpečí

Nejtypičtějším příkladem je mechanický kryt. Jeho účel je zřejmý: omezit přístup do nebezpečného prostoru. A často to dělá účinně.

Potíže začínají ve chvíli, kdy se návrh soustředí jen na „oddělení“ a přehlíží fyzikální vlastnosti samotného krytu.

Těžký výklopný kryt znamená dodatečnou hmotu.
Dodatečná hmota znamená potenciální energii.
Potenciální energie znamená možnost pádu, přimáčknutí nebo nárazu.

Pokud se neposoudí dráha pohybu krytu, způsob jeho podepření a stabilita v otevřené i zavřené poloze, stává se ochranný prostředek novým pohyblivým prvkem zařízení. A vytváří vlastní nebezpečné zóny.

V praxi to bývá až banální: obsluha otevře kryt, jednou rukou jej drží, druhou sáhne dovnitř a někdo vedle do krytu zavadí. Nebo po roce provozu začne závěs pracovat s vůlí. V tu chvíli kryt přestává být „bariérou“ a stává se dynamickým prvkem.

Nejde o okrajový případ.
Je to důsledek opomenutí toho, že i ochranný prostředek sám o sobě může být zdrojem energie a pohybu.

2. Ochranné zařízení bez ověření bezpečnostních parametrů

V praxi se velmi často opakuje stejný scénář: namontuje se světelná závora, připojí se do bezpečnostního řídicího systému, nastaví se vzdálenost „podle katalogu“ a považuje se to za vyřešené.

Jenže samotné použití ochranného zařízení není důkazem, že riziko bylo skutečně účinně sníženo.

Aby bylo možné mluvit o reálné účinnosti, musí být splněny minimálně tři technické podmínky.

a) Ověření skutečné doby doběhu (zastavení)

Vzdálenost ochranného zařízení od nebezpečné zóny nelze stanovit „od oka“ ani „ze zkušenosti“. Musí vycházet z výpočtů podle ISO 13855, které se opírají o:

  • skutečnou dobu zastavení stroje (včetně doběhu daného setrvačností systému),
  • reakční dobu ochranného zařízení a řízení,
  • reakční době člověka,
  • pevných geometrických parametrech vyplývajících z typu zařízení.

Klíčové slovo: skutečný.

Dobu doběhu (zastavení) je nutné stanovit měřením v podmínkách reprezentujících nejhorší případ: při maximálním zatížení, při nejvyšší rychlosti a se zohledněním změn v čase (opotřebení brzdných prvků, tolerance, teplota). Ne podle katalogu. Ne podle deklarace. Ne „typicky“.

Pokud takové měření neproběhlo, neexistuje důkaz, že bezpečnostní vzdálenost byla stanovena správně. A bez správné vzdálenosti nelze prokázat, že ochranné zařízení reálně zabrání dosažení nebezpečné zóny dříve, než se pohyb zastaví.

V takové situaci může ochrana fungovat logicky správně, ale fyzicky být neúčinná.

b) Ověření bezpečnostní funkce a Performance Level

Druhou částí je ověření bezpečnostní funkce podle ISO 13849-1.

Ochranné zařízení je jen jedním článkem řetězce. Bezpečnostní funkce zahrnuje:

  • snímač (např. bezpečnostní světelnou clonu),
  • logickou část (bezpečnostní řídicí jednotku, bezpečnostní relé),
  • výkonné prvky (stykače, ventily, pohony),
  • architekturu (kategorii),
  • parametry spolehlivosti (MTTFd, DC, CCF).

Pokud nebyl proveden výpočet Performance Level a nebylo doloženo, že dosažený PL ≥ požadovaný PLr vyplývající z posouzení rizik, pak formálně chybí potvrzení, že bezpečnostní funkce poskytuje požadovanou úroveň snížení rizika.

Častou chybou je předpoklad: „clona má PL e, takže je to bezpečné“.
Požadovanou úroveň nemá splnit samotná clona.
Musí ji splnit celá bezpečnostní funkce.

Pokud řetězec zastavení obsahuje prvek s příliš nízkou spolehlivostí, například jediný stykač bez zpětné vazby/monitoringu, nebo chybí diagnostika, skutečný PL může vyjít nižší než požadovaný. Pak je účinnost ochranného opatření jen předpokladem, nikoli prokazatelným faktem.

c) Funkční návaznost — nejen elektrická

Třetí oblastí je integrace bezpečnostních funkcí do technologického procesu.

Právě v tomto místě velmi často vznikají nové nebezpečné situace – ne proto, že by ochranné zařízení „nefungovalo“, ale proto, že návrh nepočítal s tím, jak bude skutečně používáno v provozu.

a) Ztížený přístup = improvizovaný zásah

Pokud kryt výrazně komplikuje přístup k seřízení, čištění nebo přestavbě, obsluha začne zkracovat postupy:

  • ponechá kryt částečně otevřený,
  • zablokuje koncový spínač,
  • provádí úkony při doběhu (zbytkových pohybech),
  • zasahuje při nejistém zastavení.

Nejde o problém „nekázně pracovníka“.
Je to důsledek návrhu, který nezohlednil reálnou četnost a charakter dané činnosti.

V této chvíli vzniká nebezpečná situace: člověk se nachází v prostoru, který měl být podle předpokladů během pohybu nepřístupný, a systém už nedokáže vynutit bezpečné podmínky.

Ochranné zařízení nebylo odstraněno.
Obcházení se stalo součástí procesu.

b) Ochranné zařízení, které narušuje pracovní sled

Každá bezpečnostní funkce zavádí logické podmínky:

  • zastavení při narušení,
  • blokování spuštění,
  • reset,
  • potvrzení výchozích podmínek.

Pokud je návrat do provozu příliš složitý, nelogický nebo pro obsluhu nečitelný, roste pravděpodobnost kroků prováděných mimo předpokládaný scénář.

Typicky například:

  • reset provedený bez vizuální kontroly zóny,
  • opětovné spuštění při probíhajícím doběhu (zbytkových pohybech),
  • zásah v servisním režimu bez úplné deaktivace energie.

Každý z těchto případů představuje nebezpečnou situaci: osoba se nachází v prostoru působení nebezpečí, aniž jsou splněny podmínky bezpečnosti.

Z hlediska posouzení rizik nejde o „chybu obsluhy“.
Jde o to, že nebylo vyhodnoceno, jak ochranné opatření změnilo dynamiku celého systému.

c) Střet mezi bezpečností a ergonomií

Pokud ochranné opatření:

  • omezuje výhled do pracovního prostoru,
  • nutí obsluhu do nepřirozených poloh těla,
  • zvyšuje fyzickou zátěž,
  • provozním způsobem prodlužuje dobu cyklu natolik, že je to pro práci podstatné,

pak se zvyšuje pravděpodobnost nežádoucího chování.

A právě pravděpodobnost je jednou ze dvou složek definice rizika.

V praxi to typicky vypadá takto:

Návrh počítá s bezpečným přístupem při zavřeném krytu.
Obsluha se však kvůli kontrole dílce naklání a zasune ruku pod spodní hranu.
Ochrana fyzicky existuje.
Nebezpečná situace přesto vzniká.

Ochranné opatření riziko neodstranilo.
Pouze změnilo jeho uspořádání.

4. Lineární uvažování versus systémová analýza

Všechny popsané situace mají společný jmenovatel: lineární přístup ke snižování rizika.

Nebezpečí → ochranné opatření → problém vyřešen.

Jenže každá konstrukční změna v technickém systému by se měla posuzovat jako nové uspořádání celku.

Nové uspořádání znamená:

  • nové pracovní podmínky,
  • nová místa přístupu,
  • nové trajektorie pohybu,
  • nové scénáře poruch a odchylek,
  • nové nebezpečné situace.

Pokud se projekt po zavedení ochranného opatření nevrátí zpět k identifikaci nebezpečí, je posouzení neúplné — i když dokumentace na první pohled vypadá bezchybně.

Právě v tom je zásadní rozdíl mezi tím, že „nějaké zabezpečení existuje“, a tím, že je riziko skutečně sníženo.

5. Proč jsou řešení inherentně bezpečná stabilnější

Když se podíváme střízlivě na typickou strukturu konstrukčních chyb, opakuje se jedna věc: nejvíc problémů vzniká tehdy, když se bezpečnost „dodělává“ až dodatečně, místo aby byla součástí návrhu od začátku.

Inherentně bezpečná konstrukční řešení fungují jinak než ochranná opatření. Nejde v nich o to omezit přístup k nebezpečí. Smyslem je snížit, nebo přímo odstranit nebezpečí už u jeho zdroje.

Příklady jsou přímočaré:

  • snížení kinetické energie omezením rychlosti nebo hmotnosti,
  • omezení krouticího momentu na úroveň, která je při kolizi bezpečná,
  • snížení přítlačné síly,
  • zaoblení hran místo jejich dodatečného zakrývání,
  • úprava geometrie tak, aby se odstranilo místo drcení,
  • použití pohonu s řízenou charakteristikou zastavení.

V těchto případech riziko klesá proto, že v nebezpečné situaci je k dispozici méně energie, případně se odstraní mechanismus jejího uvolnění.

Je to kvalitativně jiný typ snížení rizika než pouhé vložení bariéry.

Když snížíte rychlost, snižujete energii napříč všemi scénáři.
Když snížíte sílu, snižujete závažnost možné újmy.
Když konstrukčně odstraníte místo drcení, konkrétní mechanismus vzniku poškození přestane existovat.

V řadě případů pak není potřeba „stavět“ bezpečnost na doplňkové logice řízení, resetech a složitých sekvencích. Riziko se snižuje už samotnou strukturou řešení.

Proto jsou tato řešení z principu stabilnější.

6. Mohou inherentně bezpečná řešení vytvářet nové nebezpečné situace?

 Ano. Jen mechanismus je jiný — a zpravidla se vyskytuje méně často.

Příklad: snížení rychlosti nebo síly v procesu, které vede k vyšší míře poruchovosti (prokluz, posun dílu, častější zasekávání). Výsledkem je nárůst počtu ručních zásahů. A čím více zásahů, tím více okamžiků, kdy člověk vstupuje do zóny působení nebezpečí — tedy vznikají nové nebezpečné situace.

Nejde o přímý „vedlejší efekt“ konstrukce.
Je to důsledek změny stability procesu a četnosti zásahů obsluhy.

Rozdíl je ale v tom, že u řešení, která jsou bezpečná už svou podstatou, se změna týká zdroje energie nebo geometrie, nikoli samotného přístupu. Proto je počet nových nebezpečných situací obvykle menší než u opatření doplňovaných dodatečně.

7. Zásadní rozdíl

Ochranné opatření říká:
„Nebezpečí existuje, omezíme k němu přístup.“

Řešení bezpečné svou podstatou říká:
„Nebezpečí změníme, nebo odstraníme.“

První přístup vytváří podmínky.
Druhý mění fyzikální podstatu systému.

Proto je v praxi návrhu nejbezpečnější začínat redukcí energie, úpravou geometrie a odstraněním mechanismu vzniku nebezpečí a teprve následně — pokud je to nutné — sáhnout po technických ochranných prostředcích a doplňkových opatřeních.

Není to otázka filozofie.
Je to otázka stability.

8. Nová nebezpečí jsou součástí procesu. Nesmí se přehlížet.

Hlavní problém tzv. „sekundárních rizik“ je v tom, že se berou jako něco nepodstatného. Jako drobná nepříjemnost po zavedení zabezpečení. Jako něco, co se dá „doladit později“.

Z pohledu metodiky posouzení rizik to ale není detail.
Je to kritický okamžik procesu.

Každé zavedení ochranného opatření mění konfiguraci systému. A změna konfigurace znamená možnost vzniku nových nebezpečných situací.

Pokud se po snížení rizika nevrátíme k identifikaci nebezpečí, proces je přerušený. Není dokončený — zůstává nedovřený.

V praxi právě tady nejčastěji vzniká „mezera“: riziko A je sice formálně sníženo, ale současně se objeví riziko B – méně zjevné, hůře rozpoznatelné, často spojené s obsluhou, resetem, přístupem a dynamikou doběhu při zastavení.

Ignorování tohoto kroku znamená, že snížení rizika zůstane pouze částečné.

9. Iterace, kterou nejde „odklikat“

Proto by v korektně nastaveném procesu snižování rizik měla po každém kroku zaznít jedna zásadní otázka:

Vzniklo v důsledku použitých ochranných opatření nové nebezpečí?

Pokud je odpověď „ano“, analýza se vrací zpět k identifikaci.
Pokud je odpověď „ne“, musí jít o vědomé rozhodnutí – ne o automatické „pokračovat dál“.

secondary risk ISO 12100

Přesně tento mechanismus SafetySoftware.eu výslovně hlídá: po kroku snížení rizika systém vynutí rozhodnutí, zda použitá ochranná opatření nevytvořila nová nebezpečí. Bez jasného stanoviska nepustí uživatele dál.

Není to kosmetická funkce.
Je to pojistka procesu proti zjednodušení na lineární „odškrtávání“ kroků.

Protože největší chyby obvykle nevznikají z toho, že by chyběla ochrana.
Vznikají z toho, že chybí iterace.

A bezpečnost strojních zařízení začíná přesně tam, kde končí zkratka: „doplnili jsme ochranný prvek, takže je to bezpečné“.

 

Nejčastější dotazy

Proč mohou ochranné prostředky vytvářet nová rizika?

Protože ochranné opatření je konstrukční změnou nebo změnou v řízení. Mění geometrii, přístup, pracovní sekvence, reakční časy a chování pohonného systému, a tím ovlivňuje strukturu nebezpečí ve smyslu ČSN EN ISO 12100.

V důsledku toho může dojít k „přesunu rizika“: omezíme jedno nebezpečí, ale zavedeme jiné (např. zóny sevření od krytu, podněcování obcházení blokování, nesprávná vzdálenost světelné závory).

Co znamená v PN‑EN ISO 12100 „lineární“ uvažování o riziku?

Je to předpoklad, že: existovalo nebezpečí A → přidalo se ochranné opatření → nebezpečí A zmizelo a tím to končí. V praxi je však stroj nelineární systém: změna na jednom místě mění podmínky vzniku nebezpečí v jiných oblastech.

EN ISO 12100 vyžaduje iterativní přístup: po použití ochranného opatření je třeba znovu identifikovat nebezpečí a znovu odhadnout riziko (včetně zbytkového rizika).

Jak se může mechanický kryt stát zdrojem mechanických nebezpečí?

Kryt může zavést novou hmotnost a nový pohyb (např. výklop), a tím vytváří potenciální a kinetickou energii. Pokud nebyla analyzována dráha pohybu, opěry, stabilita v otevřené poloze a kolizní body, vznikají nové zóny stlačení, nárazu nebo přiskřípnutí.

Typické problémy jsou: padání krytu, vůle na závěsech po určité době provozu, nekontrolované zavření po nárazu, a také ztížená možnost rychlého vytažení ruky z pracovního prostoru.

Proč bývá montáž světelné závory „z katalogu“ neúčinná?

Samotné použití ochranného zařízení není důkazem snížení rizika. Pro účinnost jsou klíčové parametry celé bezpečnostní funkce, včetně skutečného času zastavení stroje a celkové doby reakce bezpečnostního řetězce.

Bez měření doby zastavení za podmínek nejhoršího případu (např. maximální zatížení, rychlost, opotřebení brzdy) může být ochranná vzdálenost zvolena chybně, a pak zařízení funguje „logicky“, ale nezastaví pohyb dostatečně rychle ve fyzikálním smyslu.

Kdy je třeba měřit skutečný čas odstávky stroje?

Vždy, když na něm závisí účinnost ochranného opatření založeného na vzdálenosti a čase (např. světelné závory, skenery, obouruční ovládání, funkce zastavení). Měření by mělo odrážet nejnepříznivější, ale reprezentativní provozní podmínky.

V praxi se zohledňuje mimo jiné maximální rychlost a zatížení, setrvačnost systému, tolerance, teplota a zhoršování parametrů v čase. Bez toho neexistuje spolehlivý základ pro volbu bezpečnostní vzdálenosti podle EN ISO 13855.

Připraveni na změnu?

Založte účet a vygenerujte dokumentaci v souladu s předpisy za 15 minut.

Začít bezplatnou zkoušku Bez kreditní karty • 14 dní zdarma