Beskyttelsesforanstaltninger sekundære farer ISO 12100
Vidensbase Viden

ISO 12100: når beskyttelsesforanstaltninger skaber nye farer

MB
Marcin Bakota Compliance Expert
21 February 2026
13 min læsning
AI-oversigt

Artiklen analyserer en kritisk konstruktionsfejl: at betragte beskyttelsesforanstaltninger som den endelige løsning, selv om de i sig selv kan skabe nye risici. De væsentligste risici ved “sikre løsninger”: Ny mekanik: at tilføje en afskærmning er at tilføje masse og energi. En forkert fastgjort afskærmning skaber nye klem- eller slagzoner. Illusion af beskyttelse: lysgitre installeret uden måling af den faktiske stop-/efterløbstid (ISO 13855) giver en falsk tryghed – operatøren kan nå ind i farezonen, før maskinen er standset. Indbygget omgåelse (bypassing): sikkerhedsforanstaltninger, der forringer ergonomi og arbejdsgang, får operatører til at blokere eller omgå dem. Det er en konstruktionsfejl, ikke en “menneskelig fejl”.

Maskindirektivet 2006/42/EF fastlægger de grundlæggende krav til sundhed og sikkerhed ved konstruktion og fremstilling af maskiner samt relateret udstyr, der bringes i omsætning og/eller tages i brug på EU-markedet. Direktivet stiller krav om, at producenten gennemfører en risikovurdering og dokumenterer, at maskinen er konstrueret og opbygget, så risici enten fjernes eller reduceres til et acceptabelt niveau gennem tekniske og organisatoriske foranstaltninger.

I praksis anvendes ISO 12100 som den centrale metode til systematisk risikovurdering og risikonedsættelse. Arbejdet omfatter identificering af farer i hele maskinens livscyklus (transport, montage, drift, rengøring, vedligehold og afhjælpning af fejl), vurdering af risici og fastlæggelse af passende beskyttelsesforanstaltninger efter den almindelige prioritering: 1) iboende sikker konstruktion, 2) tekniske beskyttelsesforanstaltninger og beskyttelsesudstyr, 3) information til brugeren i form af advarsler, instruktioner og mærkning.

Den tekniske dokumentation skal understøtte, at kravene i 2006/42/EF er opfyldt. Det omfatter typisk beskrivelse af maskinen, relevante tegninger og beregninger, risikovurdering med begrundelse for valgte foranstaltninger samt en sammenhæng mellem identificerede farer og implementerede løsninger. Brugsanvisningen skal være udarbejdet, så den klart beskriver sikker installation, betjening, rengøring og vedligehold, herunder restfarer og nødvendige kompetencekrav for operatører og vedligeholdelsespersonale.

Når maskinen opfylder de relevante krav, skal den CE-mærkes og ledsages af en EU-overensstemmelseserklæring. CE-mærkningen er en producentens erklæring om, at maskinen opfylder gældende krav, og forudsætter, at den nødvendige dokumentation er til stede og kan fremlægges efter behov.

De mest risikable beslutninger inden for maskinsikkerhed er ofte dem, man træffer i den tro, at sagen nu er endeligt løst.

I et projekt identificeres en fare. Nogen foreslår en hurtig løsning: lad os montere en afskærmning, sætte en lysgardin op eller implementere en sikkerhedsfunktion i styringen. Så virker problemet lukket. I dokumentationen står der et værn, i risikovurderingstabellen falder tallet, og alle går videre.

Senere viser det sig, at:

  • en tung afskærmning skaber en ny klempunkt-/knusningszone,
  • en låseanordning gør adgang til indstilling vanskelig og fremmer omgåelse,
  • værnet er placeret uden reel verifikation af stop-/standsetid,
  • et ekstra element i sikkerhedskæden har ændret systemets dynamik på en måde, som ingen fik analyseret.

Det er ikke fejl, der skyldes uvidenhed.
Det er fejl, der opstår, når man forenkler for meget.

Et værn er en konstruktionsændring. Det ændrer maskinens geometri, pladsforhold og adgang, betjeningsmåden, handlingstrin ved driftsforstyrrelser, drivsystemets opførsel og styringens reaktion. Hver ændring påvirker farebilledet — nogle gange åbenlyst, andre gange meget subtilt.

I industripraksis ser man ofte en lineær tankegang: der var fare A → vi tilføjede et værn → fare A er “forsvundet”. Virkeligheden er imidlertid ikke-lineær. En ændring ét sted kan flytte risikoen til andre, mindre synlige områder.

Netop der — når et værn i stedet for at stabilisere løsningen introducerer nye tekniske spændinger — er der behov for en nøgtern, ingeniørmæssig analyse.

Den første typiske fejl efter at have “tilføjet et værn” er antagelsen om, at ændringen er lokal. At den kun vedrører én fare og ikke påvirker resten af systemet.

I praksis griber ethvert værn ind i maskinens konstruktion eller i dens styring. Og det betyder, at det griber ind i:

  • kinematikken,
  • tilgængeligheden af arbejdsområdet,
  • reaktionstider,
  • måden indstillings- og servicearbejde udføres på,
  • måden der reageres på driftsforstyrrelser.

Hvis disse ændringer ikke vurderes samlet, opstår der meget let en forskydning af risikoen.

1. Afskærmning som kilde til nye mekaniske farer

Det mest klassiske eksempel er en mekanisk afskærmning. Formålet er indlysende: at begrænse adgangen til farezonen. Og det lykkes ofte.

Udfordringen opstår, når designet udelukkende fokuserer på adskillelse og samtidig overser afskærmningens egne fysiske egenskaber.

En tung, opklappelig afskærmning tilfører ekstra masse.
Ekstra masse betyder potentiel energi.
Potentiel energi betyder risiko for nedfald, klemning og slag.

Hvis man ikke har analyseret afskærmningens bevægelsesforløb, dens understøtning samt stabiliteten i både åben og lukket position, bliver beskyttelsesforanstaltningen i praksis et nyt bevægeligt element i systemet. Og den skaber sine egne fareområder.

I praksis ser det banalt ud: Operatøren åbner afskærmningen, holder den med den ene hånd og rækker ind med den anden, og nogen kommer forbi og skubber til den. Eller et hængsel får efter et års drift slør. Så holder afskærmningen op med at være en “barriere” og bliver i stedet et dynamisk element.

Det er ikke et marginalt særtilfælde.
Det er en direkte konsekvens af at overse, at en beskyttelsesforanstaltning i sig selv kan være en kilde til energi og bevægelse.

2. Beskyttelsesudstyr uden verifikation af sikkerhedsparametre

I praksis ses ofte samme mønster: Man monterer en lysgitter, kobler den til et sikkerhedsrelæ/sikkerheds-PLC, sætter afstanden “som angivet i kataloget” og betragter opgaven som løst.

Men selve anvendelsen af et beskyttelsesudstyr er ikke dokumentation for, at risikoen reelt er reduceret tilstrækkeligt.

For at kunne tale om faktisk effekt skal mindst tre tekniske betingelser være opfyldt.

a) Verifikation af den reelle stoptid

Afstanden mellem beskyttelsesudstyret og farezonen kan ikke fastlægges “ud fra erfaring”. Den skal baseres på beregninger i henhold til ISO 13855, som tager udgangspunkt i:

  • maskinens faktiske stoptid (inkl. systemets inertie),
  • reaktionstiden for beskyttelsesudstyret og styringen,
  • menneskets reaktionstid,
  • faste geometriske forhold, der følger af udstyrstypen.

Nøgleordet er: faktisk.

Stop-/standsningstiden skal fastlægges ved måling under forhold, der repræsenterer værste tilfælde: ved maksimal belastning, ved højeste hastighed og med hensyntagen til ændringer over tid (slid på bremsekomponenter, tolerancer, temperatur). Ikke en katalogværdi. Ikke en deklareret værdi. Ikke en “typisk” værdi.

Hvis denne måling ikke er udført, findes der ikke dokumentation for, at sikkerhedsafstanden er valgt korrekt. Og uden korrekt sikkerhedsafstand er der heller ikke dokumentation for, at værnet reelt forhindrer adgang til farezonen, inden bevægelsen er standset.

I den situation kan beskyttelsen fungere logisk korrekt, men være fysisk ineffektiv.

b) Verifikation af sikkerhedsfunktion og Performance Level

Det næste punkt er verifikation af sikkerhedsfunktionen i henhold til ISO 13849-1.

En beskyttelsesanordning er kun ét led i kæden. En sikkerhedsfunktion omfatter:

  • sensoren (fx en lysgitter/lysbarriere),
  • logikdelen (sikkerhedsstyring, relæer),
  • aktuatorer (kontakter/kontaktorer, ventiler, drev),
  • arkitektur/struktur (kategori),
  • pålidelighedsparametre (MTTFd, DC, CCF).

Hvis der ikke er gennemført beregning af Performance Level og ikke er påvist, at den opnåede PL ≥ den krævede PLr fra risikovurderingen, er der formelt set ingen bekræftelse på, at sikkerhedsfunktionen leverer den nødvendige risikoreduktion.

En typisk fejl er antagelsen: “lysgitteret har PL e, så er vi sikre”.
Det er ikke selve lysgitteret, der skal opfylde niveauet.
Det er hele sikkerhedsfunktionen, der skal opfylde det.

Hvis stopkæden indeholder et element med for lav pålidelighed, fx en enkelt kontaktor uden overvågning, eller hvis der mangler diagnostik, kan den faktiske PL ende lavere end krævet. Så bliver beskyttelsens effektivitet en antagelse – ikke et dokumenteret forhold.

c) Funktionel sammenhæng — ikke kun elektrisk

Det tredje område er samspillet mellem sikkerhedsfunktionen og den teknologiske proces/driften.

Selv en korrekt beregnet sikkerhedsafstand og et korrekt verificeret Performance Level garanterer ikke, at løsningen virker i praksis, hvis:

  • reset kan udføres fra en position, hvor der samtidig er mulighed for at få adgang igen til farezonen,
  • genstart sker automatisk, når den beskyttende anordning frigives,
  • overgangstilstande ikke er medtaget (fx restbevægelser eller aksernes inertimoment/efterløb),
  • systemets adfærd ved delvis fejl ikke er afprøvet og verificeret.

En sikkerhedsfunktion skal ikke blot være “tilsluttet” — den skal være logisk korrekt opbygget og verificeret i hele maskinens reelle driftsscenarie.

Hvis blot ét af disse elementer (stop-/standsningstid, afstand iht. ISO 13855, PL/PLr iht. ISO 13849-1, reset- og genstartslogik) ikke er verificeret tilstrækkeligt grundigt, har vi ikke dokumenteret, at risikoen faktisk er reduceret effektivt.

Og problemet stikker dybere.

I den situation er der ikke blot tale om, at effekten af beskyttelsen ikke er påvist. På dette trin indfører vi nye faresituationer. Operatøren får et signal om, at området er beskyttet. Adfærden ændrer sig — man går hurtigere frem, holder kortere afstand og reagerer mere beslutsomt. Hvis den faktiske stop-/standsningstid imidlertid er længere end den, der er lagt til grund i projekteringen, opstår der en situation, hvor personen kan nå ind i påvirkningsområdet, før den farlige bevægelse er standset.

Det er en normativ faresituation: en omstændighed, hvor en person er udsat for mindst én fare.

Tilsvarende gælder ved et Performance Level, der ikke er verificeret korrekt: Hvis sikkerhedsfunktionen ikke opnår det krævede PLr, kan en enkelt fejl eller tab af diagnostik medføre, at stopfunktionen bortfalder. Så står man med en situation, hvor:

  • faren stadig er til stede,
  • personen forudsætter, at den er reduceret,
  • og systemet udfører ikke sikkerhedsfunktionen som forudsat.

Det er ikke “mangelfuld dokumentation”.
Det er en strukturelt ny faresituation, der bliver indbygget allerede i designfasen.

3. Når en beskyttelse ændrer arbejdsmåden — og dermed risikostrukturen

Enhver beskyttelsesforanstaltning ændrer ikke kun maskinens geometri eller stopparametre. Den ændrer også måden, arbejdet udføres på.

Det er netop her, der ofte opstår nye faresituationer — ikke fordi en sikkerhedsanordning „ikke virker”, men fordi konstruktionen ikke har taget højde for, hvordan den faktisk bliver brugt i drift.

a) Besværlig adgang = improviseret indgreb

Hvis en afskærmning i praksis gør det markant sværere at komme til justering, rengøring eller omstilling, begynder operatøren typisk at forkorte procedurerne:

  • lader afskærmningen stå delvist åben,
  • blokerer en endestopkontakt,
  • udfører arbejde, mens der stadig er restbevægelser,
  • griber ind ved usikker/ufuldstændig standsning.

Det handler ikke om en „udisciplineret medarbejder”.
Det er en konsekvens af et design, der ikke har medregnet den reelle hyppighed og karakter af opgaven.

I det øjeblik opstår faresituationen: Personen befinder sig i et område, som i forudsætningerne skulle være utilgængeligt under bevægelse, og systemet kan ikke længere håndhæve sikre betingelser.

Sikringen er ikke fjernet.
Omgåelsen er i stedet blevet en del af processen.

b) Sikkerhedsfunktion, der forstyrrer arbejdssekvensen

Hver sikkerhedsfunktion indfører logiske betingelser, f.eks.:

  • stop ved påvirkning/åbning,
  • startspærring,
  • reset,
  • kvittering for initialbetingelser.

Hvis tilbagevenden til normal drift er for kompleks, ulogisk eller uigennemskuelig, øges sandsynligheden for handlinger, der ligger uden for det tiltænkte scenarie.

Eksempelvis:

  • reset udført uden visuel kontrol af området,
  • genstart, mens der stadig forekommer restbevægelser,
  • indgreb i servicetilstand uden fuld frakobling af energien.

Hver af disse situationer er en faretilstand: Personen befinder sig i farezonens påvirkningsområde, samtidig med at sikkerhedsbetingelserne ikke er opfyldt.

Set fra et risikovurderingsperspektiv er det ikke en “brugerfejl”.
Det er en manglende analyse af, hvordan den valgte beskyttelsesforanstaltning ændrer systemets dynamik.

c) Konflikt mellem sikkerhed og ergonomi

Hvis en beskyttelsesforanstaltning:

  • begrænser udsynet til arbejdsområdet,
  • tvinger operatøren til unaturlige arbejdsstillinger,
  • øger den fysiske belastning,
  • forlænger cyklustiden på en måde, der er operationelt væsentlig,

så øger det sandsynligheden for uønsket adfærd.

Og netop sandsynligheden er den ene af de to centrale komponenter i risikobegrebet.

I praksis ser det typisk sådan ud:

Konstruktionen forudsætter sikker adgang med afskærmningen lukket.
For at kunne se emnet læner operatøren sig frem og fører hånden ind under den nederste kant.
Afskærmningen er fysisk til stede.
Faretilstanden opstår stadig.

Beskyttelsen har ikke fjernet risikoen.
Den har ændret dens “opsætning” og måden, den realiseres på.

4. Lineær tænkning kontra systemisk analyse

Alle de beskrevne eksempler har samme grundårsag: en lineær tilgang til risikoreduktion.

Fare → beskyttelsesforanstaltning → problem løst.

I virkeligheden bør enhver konstruktionsmæssig ændring i et teknisk system behandles som en ny systemkonfiguration.

En ny konfiguration betyder:

  • nye driftsbetingelser,
  • nye adgangspunkter,
  • nye bevægelsesbaner,
  • nye forstyrrelses- og afvigelsesscenarier,
  • nye faresituationer.

Hvis man i designprocessen ikke går tilbage og genbesøger fareidentifikationen efter, at en beskyttelsesforanstaltning er indført, bliver analysen i praksis ufuldstændig — også selv om dokumentationen på papiret ser korrekt ud.

Det er netop den afgørende forskel mellem at „have et værn” og faktisk at have opnået en reel risikoreduktion.

5. Hvorfor iboende sikre løsninger er mere robuste

Ser man nøgternt på typiske designfejl, tegner der sig et klart mønster: flest problemer opstår, når sikkerhed bliver noget, der „bygges på” til sidst, i stedet for at være tænkt ind fra starten.

Iboende sikre konstruktionsløsninger virker grundlæggende anderledes end beskyttelsesforanstaltninger. De handler ikke om at afskærme adgangen til en fare. De reducerer eller fjerner selve faren ved kilden.

Eksemplerne er ligetil:

  • reduktion af kinetisk energi ved at begrænse hastighed eller masse,
  • begrænsning af moment til et niveau, der er sikkert ved en kollision,
  • reduktion af klemkraft/tilspændingskraft,
  • afrunding af kanter frem for at afskærme dem,
  • ændring af geometri, så klem-/knusningspunkter elimineres,
  • valg af et drev med kontrolleret stopkarakteristik.

I de tilfælde falder risikoen, fordi den tilgængelige energi i en farlig situation bliver mindre, eller fordi mekanismen, der kan frigive energien, ganske enkelt fjernes.

Det er en kvalitativt anden type risikoreduktion end at indsætte en barriere.

Når du sænker hastigheden, reducerer du energien i alle relevante scenarier.
Når du sænker kraften, reducerer du alvorligheden af en potentiel skade.
Når du fjerner et klem-/knusningspunkt gennem geometri, forsvinder den konkrete skademekanisme.

I mange tilfælde betyder det også, at du ikke behøver at „konstruere” sikkerhed ved hjælp af ekstra styringslogik, reset-funktioner og komplekse sekvenser. Risikoen falder strukturelt.

Derfor er denne type løsninger i sig selv mere robuste over tid.

6. Kan iboende sikre løsninger i sig selv skabe nye faresituationer?

Det kan ske. Men mekanismen er en anden – og typisk sjældnere.

Eksempel: Man reducerer hastighed eller kraft i processen, og det giver flere driftsforstyrrelser (glidning, emnet flytter sig, hyppigere fastklemninger/jam). Konsekvensen er flere manuelle indgreb. Og flere indgreb betyder flere situationer, hvor en person kommer ind i farens influensområde – altså opstår der nye faresituationer.

Det er ikke en direkte “bivirkning” af konstruktionen.
Det er en følge af ændret processtabilitet og øget indgrebsfrekvens.

Forskellen er dog, at ved iboende sikre løsninger handler ændringen om energikilden eller geometrien – ikke om selve adgangen. Derfor er antallet af nye faresituationer som regel lavere end ved eftermonterede/sekundære beskyttelsesforanstaltninger.

7. Den grundlæggende forskel

En beskyttelsesforanstaltning siger:
“Faren findes – vi begrænser adgangen til den.”

En iboende sikker løsning siger:
“Vi ændrer faren – eller fjerner den.”

Den første tilgang etablerer betingelser og barrierer.
Den anden ændrer systemets fysiske virkemåde.

Derfor er det i praktisk designarbejde mest robust at starte med at reducere energi, ændre geometri og eliminere selve faremekanismen – og først derefter, hvis nødvendigt, anvende tekniske og supplerende beskyttelsesforanstaltninger.

Det handler ikke om filosofi.
Det handler om stabilitet.

8. Nye farer er en del af processen. De må ikke ignoreres.

Hele udfordringen med såkaldte “sekundære risici” er, at de behandles som noget uvæsentligt. Som en mindre gene efter indførelse af en sikring. Som noget, man kan “specificere senere”.

Men set med risikoanalysemetodens briller er det ikke en detalje.
Det er et kritisk punkt i processen.

Hver gang man indfører en beskyttelsesforanstaltning, ændrer man systemets konfiguration. Og en konfigurationsændring betyder, at der kan opstå nye faresituationer.

Hvis man efter risikoreduktion ikke går tilbage og genoptager fareidentifikationen, er forløbet brudt. Det er ikke afsluttet – det er ikke lukket.

I praksis er det netop her, der opstår et hul: Fare A er formelt blevet reduceret, men der dukker en ny fare B op – mindre åbenlys, sværere at opdage og ofte knyttet til betjening, reset/genstart, adgangsforhold og stoppets dynamik.

Hvis man springer dette trin over, bliver risikoreduktionen kun delvis.

9. Iterationen, man ikke bare kan “klikke sig igennem”

Derfor bør der i en korrekt tilrettelagt proces for risikoreduktion efter hvert trin stilles ét grundlæggende spørgsmål:

Har de valgte beskyttelsesforanstaltninger skabt en ny fare?

Hvis svaret er “ja” – går analysen tilbage til fareidentifikation.
Hvis svaret er “nej” – skal det være en bevidst beslutning, ikke et automatisk “videre”.

secondary risk ISO 12100

Det er præcis den mekanisme, SafetySoftware.eu håndhæver direkte: Efter et trin med risikoreduktion tvinger systemet en stillingtagen til, om de implementerede beskyttelsesforanstaltninger har genereret nye farer. Man kan ikke fortsætte uden at tage stilling.

Det er ikke en kosmetisk funktion.
Det er en sikring af processen mod en lineær forenkling.

For de største fejl skyldes ikke, at der mangler foranstaltninger.
De skyldes, at iterationen mangler.

Og maskinsikkerhed begynder netop dér, hvor tanken stopper: “Vi har tilføjet en beskyttelse, så er vi sikre.”

 

Ofte stillede spørgsmål

Hvorfor kan beskyttelsesforanstaltninger skabe nye farer?

Da foranstaltningen er en konstruktionsændring eller en ændring i styringen. Den ændrer geometri, adgang, arbejdssekvenser, reaktionstider samt drivsystemets adfærd og påvirker dermed farestrukturen i henhold til ISO 12100.

Som følge heraf kan der opstå en „risikoforskydning”: vi begrænser én fare, men introducerer en anden (f.eks. klemzoner fra afskærmningen, tilskyndelse til omgåelse af blokeringen, forkert afstand for lysgardinet).

Hvad betyder “lineær” tænkning om risiko i ISO 12100?

Det er en antagelse om, at: der var en fare A → der blev tilføjet en sikkerhedsforanstaltning → fare A forsvandt, og så er det slut. I praksis er en maskine et ikke-lineært system: en ændring ét sted ændrer betingelserne for, at farer kan opstå i andre områder.

ISO 12100 kræver en iterativ tilgang: efter anvendelse af en beskyttelsesforanstaltning skal farer identificeres igen og risikoen vurderes igen (herunder den resterende risiko).

Hvordan kan en mekanisk afskærmning blive en kilde til mekaniske farer?

En afskærmning kan introducere en ny masse og en ny bevægelse (f.eks. opklapning), og det skaber potentiel og kinetisk energi. Hvis bevægelsesbanen, understøtning, stabilitet i åben position samt kollisionspunkter ikke er analyseret, opstår der nye klem-, slag- eller afskæringszoner.

Typiske problemer er: at afskærmningen falder ned, slør i hængslerne efter en periode i drift, ukontrolleret lukning efter påkørsel/berøring samt vanskelig evakuering af hånden fra arbejdsområdet.

Hvorfor er montering af en lysgitter “fra kataloget” ofte ineffektiv?

Selve anvendelsen af en beskyttelsesanordning er ikke et bevis på risikoreduktion. For effektiviteten er parametrene for hele sikkerhedsfunktionen afgørende, herunder maskinens faktiske stoptid og den samlede reaktionstid for kredsløbet.

Uden måling af stoptiden under worst-case-betingelser (f.eks. maksimal belastning, hastighed, bremse-slid) kan beskyttelsesafstanden blive valgt forkert, og så fungerer enheden „logisk”, men stopper ikke bevægelsen tilstrækkeligt hurtigt i fysisk forstand.

Hvornår skal man måle maskinens faktiske nedetid?

Altid når det er afgørende for effektiviteten af en beskyttelsesforanstaltning baseret på afstand og tid (f.eks. lysgitre, scannere, tohåndsbetjening, stopfunktioner). Målingen bør afspejle de mest ugunstige, men repræsentative driftsforhold.

I praksis medregnes bl.a. maksimal hastighed og belastning, systemets inerti, tolerancer, temperatur samt forringelse af parametre over tid. Uden dette findes der ikke et pålideligt grundlag for valg af sikkerhedsafstand i henhold til EN ISO 13855.

Klar til forandring?

Opret en konto og generér compliant dokumentation på 15 minutter.

Start gratis prøveperiode Ingen kreditkort • 14 dage gratis