Eksempel på risikovurdering i henhold til ISO 12100
Vidensbase Viden

Eksempel på risikovurdering i henhold til ISO 12100

MB
Marcin Bakota Compliance Expert
2026-04-14
10 min læsning
CTRL+K
TL;DR
  • Et eksempel på risikovurdering efter ISO 12100 er ikke et flot skema, men en dokumenteret sikkerhedsproces, der kan forklares, spores og forsvares.
  • Excel kan bruges som arbejdsredskab, men det sikrer ikke normens logik, beslutningsspor eller den krævede rækkefølge i risikoreduktionen.
  • Dokumentationen skal vise maskinens begrænsninger, analyserede opgaver, faresituationer, farlige hændelser, risikovurdering og valgte beskyttelser.
  • Risikoreduktion skal følge ISO 12100s tre trin: iboende sikker konstruktion, tekniske beskyttelsesforanstaltninger og til sidst information for brug.
  • Efter hver beskyttelsesforanstaltning skal sekundær risiko og restrisiko vurderes, fordi afskærmning, forrigling eller el-ændringer kan skabe nye farer.

Et godt Eksempel på risikovurdering i henhold til ISO 12100 er ikke et flot regneark. Det er ikke en pæn tabel med farver, score, normhenvisninger og en afsluttende PDF, som får alle til at føle, at sagen er lukket. Det værste ved en dårlig risikovurdering er nemlig ikke kaos. Det værste er, når den ser professionel ud, men i virkeligheden skjuler, at ingen har ført processen ordentligt igennem. ISO 12100 bedømmer ikke dokumentets kosmetik. Den bedømmer, om maskinens sikkerhed faktisk er vurderet, om risikoreduktion er udført i korrekt rækkefølge, og om dokumentation for risikovurdering kan forklares, spores og forsvares bagefter.

Det er her mange falder i. Et Excel-ark holder ikke styr på logikken. Det tvinger dig ikke fra maskinens begrænsninger over konkrete opgaver og faresituationer til faktiske farlige hændelser. Det minder dig ikke om, at en beskyttelsesforanstaltning kan skabe sekundær risiko. Og det opbygger sjældent et brugbart beslutningsspor. Derfor er spørgsmålet ikke, om man kan lave en risikovurdering i Excel. Selvfølgelig kan man det. Spørgsmålet er, om regnearket kan understøtte en proces, der kan forsvares teknisk, logisk og ved audit. Det er forskellen på administration og ingeniørarbejde.

Eksempel på risikovurdering i henhold til ISO 12100: hvor det typisk går galt

Det klassiske fejltrin er enkelt: Man hopper direkte fra fare til afskærmning, procedure eller instruktion, som om den tretrinslogik, ISO 12100 kræver, bare var pynt. Det er den ikke. Den er fundamentet. Hvis teamet ikke først overvejer iboende sikker konstruktion, derefter tekniske beskyttelsesforanstaltninger og til sidst information for brug, så er rækkefølgen brudt. Og når rækkefølgen brydes, bliver risikoreduktion ofte mere kosmetisk end reel.

Det er også her, mange dokumenter bliver farlige på en stille måde. De ser komplette ud. De har fare, vurdering, beskyttelsesforanstaltning og en slutstatus. Men de viser ikke:

  • hvilke forudsætninger vurderingen byggede på,
  • hvilke begrænsninger maskinen havde,
  • hvilke opgaver der faktisk blev analyseret,
  • hvilke farlige hændelser der blev taget med,
  • hvordan risikoen blev estimeret,
  • i hvilken rækkefølge risikoreduktion blev gennemført,
  • om der opstod sekundær risiko,
  • hvordan restrisiko blev vurderet,
  • og hvem der traf hvilke beslutninger.

Hvis de ting ikke kan aflæses, så har du ikke dokumentation for risikovurdering. Så har du arbejdsdata. Måske velordnede arbejdsdata. Måske overbevisende arbejdsdata. Men stadig kun arbejdsdata.

Excel er ikke dokumentation for risikovurdering

Lad os skære det helt ind til benet. ISO 12100 kræver ikke Excel. ISO 12100 kræver dokumentation for risikovurdering. Det er ikke det samme. Et regneark kan være nyttigt som kladde, noteværktøj eller fælles arbejdsflade for teamet. Det kan samle input. Det kan hjælpe med struktur. Men hvis det ikke kan omsætte en kæde af tekniske beslutninger til et dokument, der kan genskabes og forsvares senere, så er det stadig bare et regneark.

Det afgørende er ikke, om alle felter er udfyldt. Det afgørende er, om man kan se logikken fra start til slut. En stærk dokumentation for risikovurdering viser ikke kun resultatet. Den viser også vejen frem til resultatet. Den svarer på, hvorfor et scenarie blev accepteret, hvorfor et andet krævede risikoreduktion, hvorfor en sikkerhedsfunktion blev valgt, og hvorfor netop PL d blev vurderet som nødvendigt efter ISO 13849 og ikke bare blev skrevet ind af vane.

Det er præcis her, Excel ofte svigter. Celler kan overskrives. Kommentarer kan ændres. Værdier kan justeres. Efter kort tid er det svært at skelne mellem reel udvikling i analysen og ren oprydning i dokumentet. Når det sker, forsvarer du ikke længere processen. Du forsvarer kun den sidste version.

Eksempel på risikovurdering i henhold til ISO 12100: sekundær risiko afslører overfladiske analyser

En beskyttelsesforanstaltning lukker ikke processen. Den ændrer risikobilledet. Det er en af de mest oversete sandheder i maskinsikkerhed. Så snart nogen tilføjer en afskærmning, ændrer styrelogik, indfører en procedure eller laver en elektrisk forbedring, skal spørgsmålet være: Hvad ændrede vi ellers samtidig?

Sekundær risiko er ikke en lille sidebemærkning for pedanter. Den er en af de bedste stresstests af en risikovurdering. Hvis dokumentationen ikke fanger sekundær risiko, beskriver den meget let en verden, der ser sikrere ud end virkeligheden.

Et mekanisk eksempel: afskærmning, der løser ét problem og skaber et værre

Forestil dig en maskine, hvor der ofte er let kontakt med kanten af en bevægelig del. Den oprindelige skade er relativt begrænset: hudafskrabning, mindre stød, overfladiske skader. Teamet tilføjer en afskærmning. På papiret ser alt fint ud. Risikoen for kontakt er reduceret.

Men den nye afskærmning er stor, tung og hængslet. Den kan falde ukontrolleret eller blive sluppet. Pludselig opstår der en ny faresituation: slag fra afskærmningen, klemning eller endda skærende skade mellem afskærmningen og en fast konstruktionsdel. Formelt løste man ét problem. Praktisk kan man have skabt en fare med større alvor end den oprindelige. Hvis det ikke registreres og genvurderes, er analysen kun halvt sand.

Et eksempel fra automatik: korrekt sikkerhedsfunktion, forkert virkning i praksis

En maskine får forrigling på afskærmningen, manuel nulstilling og blokering af automatisk genstart efter åbning. Selve sikkerhedsfunktionen kan være korrekt. Fejlen opstår, når implementeringen ignorerer den virkelige arbejdsmåde. Hvis den nye sekvens forlænger hver intervention, bryder operatørens rytme og kræver flere trin ved genoptagelse, kan resultatet blive helt forudsigeligt: omgåelse.

Så ser man den adfærd, alle kender fra værkstedsgulvet, men som alt for få skriver ind i dokumentationen: nulstilling udført refleksmæssigt, manglende kontrol af farezonen før genstart, forsøg på at brokoble beskyttelsesforanstaltninger og organisatorisk pres for at få processen til at køre hurtigere. Problemet er ikke, at sikkerhedsfunktionen findes. Problemet er, at ingen vurderede, hvad den gjorde ved menneskets adfærd og den faktiske intervention.

Et elektrisk eksempel: en potentialudligningsforbindelse kan også forværre situationen

Nogen ser et problem på én del af maskinen og beslutter at forbedre sikkerheden ved at tilføje en potentialudligningsforbindelse netop dér. Intentionen er god: bedre kontinuitet, lavere risiko for elektrisk stød. Men hvis forbedringen udføres fragmenteret og kun for en del af systemet, kan man ende med en mere farlig situation end før.

Hvorfor? Fordi én del af maskinen så kan få et andet referencepotentiale end resten. Ved fejl eller overgangstilstande kan risikoen for potentialforskel stige. Og en person, der samtidig rører ved to forskellige dele af anlægget, kan ramme et værre scenarie end før forbedringen. Det er klassisk sekundær risiko: en beskyttelsesforanstaltning, der ser fornuftig ud isoleret, men bliver problematisk, når man ser på hele systemet menneske-maskine-energi-proces.

Beslutningsspor er ikke pynt. Det er bevis

Mange undervurderer beslutningsspor. Det er en fejl. I praksis er problemet sjældent, at dokumentationen mangler et slutresultat. Resultatet står der som regel. Tabellen er udfyldt. Risikoen er angivet. Beskyttelsesforanstaltningen er listet. Men når man en måned senere spørger, hvorfor vurderingen blev ændret, hvem der accepterede restrisikoen, eller hvorfor PL d blev valgt, bliver der ofte stille.

Et stærkt beslutningsspor viser ikke bare, at noget blev ændret. Det viser hvorfor. Og netop det gør forskellen mellem dokumentation og efterrationalisering.

Tre typiske situationer viser problemet tydeligt:

  • En faresituation ændres fra middel til lav risiko, men ingen kan bagefter forklare, om det skyldtes en ny beskyttelsesforanstaltning, ændrede parametre eller bare et ønske om at lukke dokumentet.
  • Et scenarie markeres som acceptabelt lav risiko, men begrundelsen er uklar. Var eksponeringen sjælden? Var konsekvensen lille? Var opgaven kun for uddannet personale? Eller var tallet bare lavt nok til, at ingen gad grave videre?
  • En sikkerhedsfunktion får kravet PL d, men dokumentationen viser ikke, hvad funktionen præcist overvåger, hvad den afbryder, eller hvorfor pålidelighedsniveauet blev sat netop dér.

Uden beslutningsspor ser dokumentet ordentligt ud, men det er skrøbeligt. Du kan ikke skelne mellem en reel ingeniørmæssig vurdering og senere kosmetik. Det er præcis derfor, dokumentation for risikovurdering skal kunne genskabes, gennemgås, verificeres og forsvares.

Eksempel på risikovurdering i henhold til ISO 12100 for en automatiseret pakkecelle

Lad os tage et konkret eksempel. Ikke en abstrakt maskine, men en automatiseret pakkecelle med farlige bevægelser, operatørinterventioner, fjernelse af fastklemte emner, vedligeholdelsesopgaver, adgang til elektrisk og pneumatisk energi samt sikkerhedsfunktioner, der afhænger af styrelogik.

I en seriøs analyse af sådan en maskine stopper man ikke ved to eller tre brede linjer som mekanisk fare eller elektrisk fare. I eksemplet blev der identificeret seksten særskilte faresituationer: tretten opgavescenarier og tre farlige hændelser efter logikken i ISO 12100. Der blev blandt andet vurderet:

  • mindre interventioner under drift,
  • fjernelse af fastklemte emner,
  • justering af beskyttelsesforanstaltninger,
  • funktionstest,
  • frakobling af energi,
  • udskiftning af sliddele,
  • fejlsøgning på elektrisk udstyr,
  • utilsigtet eller uventet opstart,
  • udkast af emner,
  • frigivelse af pneumatisk energi.

Det niveau af opdeling er ikke bureaukrati. Det er virkeligheden. Man vurderer ikke maskinen generelt. Man vurderer relationen mellem menneske og maskine i konkrete opgaver, konkrete zoner og konkrete driftsforhold. Først dér bliver risikobilledet ærligt.

Eksempel på risikovurdering i henhold til ISO 12100: hvad analysen faktisk viste

For det første blev det hurtigt tydeligt, at hovedproblemet ikke var den blotte tilstedeværelse af farlig bevægelse. Problemet var menneskets adgang til den under intervention, fjernelse af fastklemte emner og fejlsøgning. Det er en vigtig forskel. Mange dokumenter beskriver maskinen som farlig i generelle termer. Gode analyser beskriver præcist, hvornår og hvordan eksponeringen opstår.

For det andet viste eksemplet, at ikke alle faresituationer skulle behandles ens. Nogle scenarier kunne accepteres som lav risiko, men kun fordi analysen tydeligt afgrænsede hyppighed, udførelsesbetingelser og brugerrolle. Det gjaldt for eksempel visse funktionstest, udvalgte justeringsopgaver, skift af sliddele og enkelte ergonomiske situationer. Accepten byggede ikke på et lavt tal alene. Den byggede på begrundelse.

For det tredje var der scenarier, hvor et simpelt felt med afskærmning plus instruktion ville være direkte utroværdigt. Det gjaldt blandt andet mindre interventioner under drift i afskærmet zone, fjernelse af fastklemte emner, utilsigtet opstart, adgang til spændingsførende dele ved energiafbrydelse og fejlsøgning på elektrisk udstyr. Her måtte dokumentationen beskrive:

  • hvilken sikkerhedsfunktion der faktisk reducerede risikoen,
  • hvad funktionen gjorde,
  • hvornår farlig bevægelse blev blokeret,
  • hvordan styrelogik for genstart fungerede,
  • hvornår manuel nulstilling var nødvendig,
  • og hvorfor det valgte pålidelighedsniveau var teknisk begrundet.

For det fjerde viste eksemplet, at god risikovurdering aldrig slutter ved første estimering. Den rigtige sekvens er brutal i sin enkelhed: indledende vurdering, beslutning om accept eller risikoreduktion, valg af beskyttelsesforanstaltning, kontrol af sekundær risiko, ny vurdering og derefter vurdering af restrisiko. Det trin forsvinder alt for ofte i forsimplede dokumenter. Man ser kun slutstatus. Ikke vejen dertil.

Hvad et godt eksempel skal kunne dokumentere

Hvis du vil vurdere, om et dokument reelt er et godt eksempel, så kig ikke først på layoutet. Kig på sporbarheden. Et brugbart Eksempel på risikovurdering i henhold til ISO 12100 skal som minimum kunne vise:

  • hvad maskinen er beregnet til,
  • hvem der bruger den,
  • hvilke begrænsninger der gælder,
  • hvilke opgaver der faktisk udføres,
  • hvilke faresituationer og farlige hændelser der er vurderet,
  • hvilke beskyttelsesforanstaltninger der er valgt,
  • i hvilken rækkefølge risikoreduktion er udført,
  • om der er opstået sekundær risiko,
  • hvordan restrisiko er vurderet,
  • og hvilket beslutningsspor der forklarer de centrale valg.

Kan dokumentet ikke det, så imponerer det måske i et møde. Men det hjælper dig ikke, når nogen senere spørger, hvorfor en risiko blev accepteret, hvorfor en anden krævede teknisk ændring, eller hvorfor en sikkerhedsfunktion blev specificeret som den gjorde.

Det er den praktiske sandhed, som mange helst vil springe over: En risikovurdering er ikke en samling felter. Den er et forsvarligt spor af tekniske beslutninger. Når det spor mangler, får du ikke mere sikkerhed af at eksportere filen til PDF. Du får bare en flottere illusion.

Konklusionen er enkel. Et stærkt eksempel er værdifuldt, når det viser hele processen og ikke kun slutresultatet. Hvis analysen dækker maskinens begrænsninger, konkrete opgaver, faresituationer, risikoreduktion, sekundær risiko, restrisiko og beslutningsspor, så har du noget, der kan bruges. Hvis ikke, så har du ikke dokumentation for risikovurdering. Du har bare en pæn tabel, og pæne tabeller har aldrig stoppet en farlig hændelse.

Ofte stillede spørgsmål

Hvad skal en risikovurdering indeholde i henhold til ISO 12100?

Et godt eksempel på risikovurdering efter ISO 12100 viser ikke kun en tabel over farer, men hele beslutningsforløbet i overensstemmelse med ISO 12100.

  • maskinens begrænsninger og livscyklusfaser
  • operatørens, indstillerens, servicepersonalets og rengøringens opgaver
  • farer, farlige situationer og farlige hændelser
  • risikoestimering, risikoreduktion og restrisiko
  • anvendte beskyttelsesforanstaltninger samt begrundelse for beslutningerne
Er et Excel-ark tilstrækkeligt som dokumentation for risikovurderingen?

Excel alene kan være et arbejdsredskab, men det er ikke automatisk dokumentation for risikovurdering. Kravet i ISO 12100 vedrører en dokumenteret proces, som kan genskabes, spores og verificeres.

Hvis regnearket ikke viser forudsætningerne, de analyserede opgaver, rækkefølgen for valg af beskyttelsesforanstaltninger, sekundær risiko og de personer, der godkender beslutningerne, forbliver det blot en samling arbejdsdata.

Hvilken rækkefølge for risikonedsættelse kræver ISO 12100?

ISO 12100 kræver, at rækkefølgen for risikoreduktion overholdes. Først anvendes iboende sikker konstruktion, derefter tekniske beskyttelsesforanstaltninger, og først til sidst brugsinformation.

  • 1. Iboende sikker konstruktion
  • 2. Tekniske beskyttelsesforanstaltninger og supplerende beskyttelsesforanstaltninger
  • 3. Brugsinformation, herunder advarsler og procedurer

At springe direkte fra farekilden til instruktioner eller alene til en afskærmning uden at kontrollere de foregående trin svækker logikken i risikovurderingen.

Hvad er den sekundære risiko efter anvendelse af en beskyttelsesforanstaltning?

Sekundær risiko er en ny eller ændret risiko, der opstår efter anvendelse af en beskyttelsesforanstaltning. En afskærmning, en forrigling, manuel reset eller en ændring af styrelogikken kan reducere én fare og samtidig forringe adgang, udsyn, ergonomi eller operatørens adfærd.

Derfor skal opgaven vurderes igen efter hver risikoreduktion under reelle arbejdsforhold og ikke blot ved at tilføje en beskyttelsesforanstaltning til tabellen.

Kan man angive PL d uden begrundelse i risikovurderingen?

Det giver ikke mening at angive PL d „af vane”. Hvis risikovurderingen viser behov for en sikkerhedsfunktion i styresystemet, skal det krævede niveau begrundes og fastlægges i overensstemmelse med PN-EN ISO 13849-1 på grundlag af funktionen, anvendelsesscenariet og fejlens konsekvenser.

I dokumentationen er det hensigtsmæssigt at angive, hvem der traf beslutningen, hvilke forudsætninger den byggede på, og hvilken risiko den pågældende sikkerhedsfunktion skulle reducere.

Relaterede artikler

Væsentlig ændring: hvornår er det faktisk tilfældet? 2026-03-24 Maskinrisikovurdering: Risiko i samspillet mellem menneske og maskine 2025-12-16 Revision af ISO 12100: Hvad ændrer sig i 2026 for maskinsikkerhed? 2026-03-08 Maskinens begrænsninger kan vælte risikovurderingen 2026-04-04 ISO 12100: når beskyttelsesforanstaltninger skaber nye farer 2026-02-21 Risikovurdering af maskiner: Sådan anvender du HRN-metoden med omtanke i overensstemmelse med ISO 12100 2026-01-27

Klar til forandring?

Opret en konto og generér compliant dokumentation på 15 minutter.

Start gratis prøveperiode Ingen kreditkort • 14 dage gratis