Beschermende maatregelen secundaire gevaren ISO 12100
Kennisbank Kennis

ISO 12100: wanneer beveiligingsmaatregelen nieuwe gevaren creëren

MB
Marcin Bakota Compliance Expert
21 February 2026
13 min leestijd
AI-overzicht

Het artikel analyseert een kritische ontwerpfout: beveiligingsmaatregelen behandelen als “laatste redmiddel”, terwijl ze zelf nieuwe gevaren kunnen introduceren. Belangrijkste risico’s van ‘veiligheidsoplossingen’: Nieuwe mechanica: het toevoegen van een afscherming betekent het toevoegen van massa en energie. Een slecht bevestigde afscherming creëert nieuwe knel- of impactzones. Schijnveiligheid: lichtschermen die worden geïnstalleerd zonder de werkelijke stop-/nalooptijd te meten (ISO 13855) geven een vals gevoel van veiligheid – de operator kan de gevarenzone bereiken voordat de machine tot stilstand is gekomen. Ingebouwde omzeiling (bypassing): beveiligingen die de ergonomie en werkbaarheid verslechteren, zetten operators ertoe aan ze te overbruggen of buiten werking te stellen. Dat is een ontwerpfout, geen ‘menselijke fout’.

De meest risicovolle besluiten binnen de machineveiligheid zijn vaak juist die beslissingen die worden genomen vanuit de overtuiging dat het onderwerp “definitief is afgevinkt”.

In een project duikt een gevaar op. Iemand stelt een snelle maatregel voor: we plaatsen een afscherming, zetten een lichtscherm neer, of implementeren een veiligheidsfunctie in de besturing. Het lijkt opgelost. In de documentatie staat een beschermingsmaatregel, in de risicobeoordeling daalt de score, en iedereen gaat door naar de volgende stap.

En vervolgens blijkt dat:

  • een zware afscherming een nieuwe beknellings- of knelzone creëert,
  • een vergrendeling de toegang tot afstellen bemoeilijkt en daarmee het omzeilen in de hand werkt,
  • een beveiligingsinrichting is gepositioneerd zonder realistische verificatie van de stop- en uitlooptijd,
  • een extra component in de veiligheidsketen de dynamiek van het systeem verandert op een manier die niemand heeft doorgerekend of beoordeeld.

Dit zijn geen fouten door onwetendheid.
Dit zijn fouten die ontstaan door versimpeling.

Een beschermingsmaatregel is een constructieve wijziging. Ze verandert de machinegeometrie, de bereikbaarheid van ruimtes, de bedieningswijze, de volgorde van handelingen bij storingen, het gedrag van de aandrijving en de respons van de besturing. Elke wijziging beïnvloedt de gevarenstructuur — soms heel zichtbaar, soms juist subtiel.

In de industriële praktijk zie je vaak lineair denken: er was gevaar A → we voegen een beveiliging toe → gevaar A is “weg”. In werkelijkheid werkt het zelden zo. Een ingreep op één plek kan risico verplaatsen naar een ander, minder opvallend deel van de machine of het proces.

Juist dat gebied — wanneer een beveiliging het systeem niet stabiliseert maar nieuwe technische spanningen introduceert — vraagt om nuchtere, engineeringsmatige analyse.

De eerste denkfout na het “toevoegen van een beveiliging” is de aanname dat de wijziging lokaal is. Dat het alleen dat ene gevaar raakt en geen effect heeft op de rest van de installatie.

In de praktijk grijpt elke beschermingsmaatregel in op de machineconstructie of op de besturing. En dat betekent dat je ingrijpt in:

  • de kinematica,
  • de toegankelijkheid van de werkruimte,
  • reactietijden,
  • de manier waarop afstel-, onderhouds- en servicewerkzaamheden worden uitgevoerd,
  • de manier waarop op storingen en afwijkingen wordt gereageerd.

Wanneer zulke wijzigingen niet integraal worden beoordeeld, ontstaat al snel een risicoverplaatsing: het oorspronkelijke gevaar wordt kleiner, maar elders ontstaat een nieuw risico.

1. Een afscherming als bron van nieuwe mechanische gevaren

Het meest klassieke voorbeeld is een mechanische afscherming. De bedoeling is helder: de toegang tot de gevarenzone beperken. En vaak werkt dat ook.

De problemen beginnen wanneer het ontwerp uitsluitend op scheiding focust en de fysieke eigenschappen van de afscherming zelf buiten beschouwing laat.

Een zware, scharnierende afscherming brengt extra massa met zich mee.
Extra massa betekent potentiële energie.
Potentiële energie betekent kans op neerkomen, beknelling of een impact.

Als de bewegingsbaan van de afscherming, de wijze van ondersteuning en de stabiliteit in zowel open als gesloten stand niet zijn geanalyseerd, wordt een beschermingsmiddel feitelijk een nieuw bewegend onderdeel in de installatie. En daarmee ontstaan eigen gevarenzones.

In de praktijk gaat het heel simpel mis: een operator opent de afscherming, houdt die met één hand vast en reikt met de andere naar binnen, terwijl iemand erlangs loopt en ertegen stoot. Of een scharnier krijgt na een jaar gebruik speling. Op dat moment is de afscherming niet langer alleen een “barrière”, maar gedraagt zij zich als een dynamisch element.

Dit is geen randgeval.
Het is het gevolg van het negeren van het feit dat een beschermingsmiddel op zichzelf ook een bron van energie en beweging kan zijn.

2. Een beveiligingstoestel zonder verificatie van veiligheidsparameters

In de praktijk zie je vaak hetzelfde patroon: er wordt een lichtscherm geplaatst, aangesloten op een veiligheidscontroller, de afstand wordt “volgens de catalogus” ingesteld en daarmee is het dossier zogenaamd afgerond.

Maar het enkele toepassen van een beveiligingstoestel is geen bewijs dat het risico daadwerkelijk doeltreffend is gereduceerd.

Om van echte effectiviteit te kunnen spreken, moeten minimaal drie technische voorwaarden aantoonbaar zijn ingevuld.

a) Verificatie van de werkelijke stoptijd

De afstand tussen het beveiligingstoestel en de gevarenzone mag niet “op ervaring” worden gekozen. Die moet volgen uit berekeningen conform ISO 13855, gebaseerd op:

  • de werkelijke stoptijd van de machine (inclusief de traagheid van het systeem),
  • de reactietijd van het beveiligingstoestel en de besturing,
  • de reactietijd van de mens,
  • vaste geometrische parameters die voortkomen uit het type beveiligingsinrichting.

Kernwoord: werkelijk.

De stop-/uitlooptijd moet door meting worden vastgesteld onder representatieve worstcasesituaties: bij maximale belasting, bij de hoogste snelheid, en met inachtneming van veranderingen in de tijd (slijtage van remcomponenten, toleranties, temperatuur). Dus niet op basis van cataloguswaarden. Niet op basis van een verklaring. Niet “typisch”.

Als deze meting niet is uitgevoerd, is er geen onderbouwing dat de veiligheidsafstand correct is gekozen. En zonder correcte veiligheidsafstand is er geen onderbouwing dat de beschermende inrichting daadwerkelijk voorkomt dat de gevarenzone wordt bereikt voordat de beweging tot stilstand is gekomen.

In zo’n situatie kan de beveiliging logisch gezien correct werken, maar fysiek alsnog niet effectief zijn.

b) Verificatie van de veiligheidsfunctie en Performance Level

Het tweede element is de verificatie van de veiligheidsfunctie conform ISO 13849-1.

De beschermende inrichting is slechts één schakel in de keten. De veiligheidsfunctie omvat:

  • de sensor (bijv. een lichtscherm),
  • de logica (veiligheidsbesturing, veiligheidsrelais),
  • de uitvoerende elementen (contactors, kleppen, aandrijvingen),
  • de architectuur (categorie),
  • betrouwbaarheidsparameters (MTTFd, DC, CCF).

Als er geen berekening van het Performance Level is uitgevoerd en niet is aangetoond dat PL ≥ de vereiste PLr uit de risicobeoordeling, dan is formeel niet bevestigd dat de veiligheidsfunctie het vereiste niveau van risicoreductie levert.

Een veelgemaakte fout is de aanname: “het lichtscherm heeft PL e, dus het is veilig”.
Niet het lichtscherm op zichzelf moet het vereiste niveau halen.
De volledige veiligheidsfunctie moet daaraan voldoen.

Als de stopketen een component bevat met te lage betrouwbaarheid, bijvoorbeeld één enkele contactor zonder terugkoppeling/monitoring, of als diagnostiek ontbreekt, kan het werkelijke PL lager uitvallen dan vereist. Dan is de effectiviteit van de maatregel een veronderstelling, geen feit.

c) Functionele samenhang — niet alleen elektrisch

Het derde aandachtsgebied is de integratie van de veiligheidsfunctie met het technische proces.

Zelfs een correct berekende veiligheidsafstand en een correct geverifieerd Performance Level zijn geen garantie voor effectieve beveiliging wanneer:

  • reset mogelijk is vanaf een positie van waaruit opnieuw toegang tot de gevarenzone bestaat,
  • herstart automatisch plaatsvindt zodra de beveiliging wordt vrijgegeven,
  • overgangstoestanden niet zijn meegenomen (bijv. naregelbewegingen, restbewegingen, as-inertie),
  • het gedrag bij een gedeeltelijke storing van het systeem niet is beproefd en beoordeeld.

Een veiligheidsfunctie moet niet alleen “aangesloten” zijn, maar ook logisch juist zijn opgezet en aantoonbaar gevalideerd binnen het volledige werk- en gebruiksscenario van de machine.

Als één van deze onderdelen (stoptijd, afstand volgens ISO 13855, PL/PLr volgens ISO 13849-1, reset- en herstartlogica) niet zorgvuldig is geverifieerd, is er geen onderbouwing dat de risicoreductie daadwerkelijk wordt gehaald.

En het probleem gaat dieper.

In zo’n situatie is niet alleen de werking van de beschermingsmaatregel niet aangetoond. In deze fase creëren we zelfs nieuwe gevaarlijke situaties. De operator krijgt het signaal dat de omgeving “veilig” is. Het gedrag past zich daarop aan — men nadert sneller, houdt minder afstand en handelt resoluter. Als de werkelijke stoptijd echter langer is dan in het ontwerp is aangenomen, ontstaat een situatie waarin iemand het invloedsgebied van het gevaar bereikt voordat de gevaarlijke beweging daadwerkelijk tot stilstand is gekomen.

Dat is in normatieve zin een gevaarlijke situatie: een omstandigheid waarin een persoon wordt blootgesteld aan ten minste één gevaar.

Hetzelfde geldt bij een onjuist of onvoldoende onderbouwd Performance Level: als de veiligheidsfunctie het vereiste PLr niet haalt, kan bij een enkelvoudige fout of bij verlies van diagnostiek de stopfunctie wegvallen. Dan ontstaat een situatie waarin:

  • het gevaar nog steeds aanwezig is,
  • de gebruiker ervan uitgaat dat het risico is gereduceerd,
  • maar het systeem de veiligheidsfunctie niet uitvoert zoals bedoeld.

Dit is geen kwestie van “onvolledige documentatie”.
Dit is een structureel nieuwe gevaarlijke situatie die al in de ontwerpfase wordt geïntroduceerd.

3. Wanneer een beveiliging de werkwijze verandert — en daarmee de risicostructuur

Elke beschermingsmaatregel beïnvloedt niet alleen de geometrie van de machine of de stopparameters. Ze verandert ook de manier waarop het werk in de praktijk wordt uitgevoerd.

Juist op dit punt ontstaan in de praktijk vaak nieuwe gevaarlijke situaties — niet omdat de beveiliging “niet werkt”, maar omdat in het ontwerp niet is meegenomen hoe de machine in het echt wordt gebruikt.

a) Moeilijke toegang = geïmproviseerde ingrepen

Als een afscherming de toegang tot afstellen, reinigen of omstellen (ombouwen) merkbaar belemmert, gaat de operator procedures inkorten:

  • de afscherming deels open laten staan,
  • de eindschakelaar blokkeren,
  • handelingen uitvoeren terwijl er nog restbeweging aanwezig is,
  • ingrijpen terwijl de stop niet eenduidig en betrouwbaar is.

Dit is geen kwestie van “een ongedisciplineerde medewerker”.
Dit is een ontwerpeffect: de oplossing houdt geen rekening met de werkelijke frequentie en het karakter van de taak.

Daarmee ontstaat direct een gevaarlijke situatie: een persoon bevindt zich in een zone die volgens het ontwerp tijdens beweging niet toegankelijk zou zijn, terwijl het systeem de veilige voorwaarden niet (meer) kan afdwingen.

De beveiliging is niet verwijderd.
Het omzeilen ervan is onderdeel van het proces geworden.

b) Beveiliging die de werkvolgorde verstoort

Elke veiligheidsfunctie voegt logische voorwaarden toe, zoals:

  • stop bij onderbreking/activering,
  • startblokkering,
  • reset,
  • bevestiging van de beginvoorwaarden.

Wanneer de terugkeer naar productie te complex, onlogisch of niet inzichtelijk is, neemt de kans toe dat handelingen buiten het bedoelde scenario worden uitgevoerd.

Bijvoorbeeld:

  • een reset uitvoeren zonder visuele controle van de gevarenzone,
  • opnieuw starten terwijl er nog restbewegingen aanwezig zijn,
  • ingrijpen in service-/onderhoudsmodus zonder volledige uitschakeling van energie.

Elk van deze situaties is een gevaarsituatie: een persoon bevindt zich binnen het bereik van het gevaar terwijl niet aan de veiligheidsvoorwaarden is voldaan.

Vanuit het perspectief van de risicobeoordeling is dit geen „gebruikersfout”.
Het is het ontbreken van een analyse van de manier waarop de beschermingsmaatregel de dynamiek van de installatie heeft veranderd.

c) Spanningsveld tussen veiligheid en ergonomie

Wanneer een beschermingsmaatregel:

  • het zicht op de werkzone beperkt,
  • onnatuurlijke werkhoudingen afdwingt,
  • de fysieke belasting verhoogt,
  • de cyclustijd op een operationeel relevante manier verlengt,

dan neemt de kans op ongewenst gedrag toe.

En juist die kans is één van de twee componenten in de definitie van risico.

In de praktijk ziet dat er zo uit:

Het ontwerp gaat uit van veilige toegang met een gesloten afscherming.
De operator buigt voorover om het werkstuk te kunnen zien en steekt een hand onder de onderrand door.
De beveiliging is fysiek aanwezig.
Toch ontstaat er nog steeds een gevaarsituatie.

De beschermingsmaatregel heeft het risico niet weggenomen.
Ze heeft de configuratie van het risico veranderd.

4. Lineair denken versus systeemanalyse

Alle beschreven voorbeelden hebben dezelfde oorzaak: een lineaire benadering van risicoreductie.

Gevaar → beschermingsmaatregel → probleem opgelost.

In werkelijkheid moet elke constructieve wijziging in een technisch systeem worden beschouwd als een nieuwe systeemconfiguratie.

Een nieuwe configuratie betekent:

  • nieuwe bedrijfsomstandigheden,
  • nieuwe toegangspunten,
  • nieuwe bewegingsbanen,
  • nieuwe verstoringsscenario’s,
  • nieuwe gevaarsituaties.

Als het ontwerp na het doorvoeren van een beschermingsmaatregel niet opnieuw teruggaat naar de gevarenidentificatie, blijft de analyse onvolledig — ook wanneer de documentatie er formeel goed uitziet.

Dat is precies het wezenlijke verschil tussen „een beveiliging hebben” en daadwerkelijke risicoreductie.

5. Waarom inherent veilige oplossingen robuuster zijn

Wie nuchter naar de opbouw van ontwerpfouten kijkt, ziet een duidelijk patroon: de meeste problemen ontstaan wanneer veiligheid er „achteraf op gezet” wordt, in plaats van dat het vanaf het begin in het ontwerp is meegenomen.

Inherent veilige ontwerpmaatregelen werken fundamenteel anders dan beschermingsmiddelen. Ze beperken niet alleen de toegang tot een gevaar; ze verminderen of nemen het gevaar zelf weg bij de bron.

Voorbeelden liggen voor de hand:

  • het verlagen van de kinetische energie door beperking van snelheid of massa,
  • het begrenzen van het draaimoment tot een niveau dat bij contact nog veilig is,
  • het verminderen van de drukkracht,
  • randen afronden in plaats van ze af te schermen,
  • een geometriewijziging waardoor een knel- of pletpunt verdwijnt,
  • toepassing van een aandrijving met een gecontroleerde stopkarakteristiek.

In dit soort gevallen daalt het risico omdat de beschikbare energie in een gevaarlijke situatie afneemt, of omdat het mechanisme waarmee die energie vrijkomt wordt weggenomen.

Dat is een kwalitatief andere vorm van risicoreductie dan simpelweg een barrière plaatsen.

Als je de snelheid verlaagt, verlaag je de energie voor elk scenario.
Als je de kracht verlaagt, beperk je de ernst van mogelijke letselschade.
Als je een pletpunt uit de geometrie ontwerpt, verdwijnt dat specifieke schade-ontstaansmechanisme.

In veel gevallen hoef je dan geen veiligheid „op te bouwen” met extra besturingslogica, resetprocedures en complexe sequenties. Het risico daalt structureel.

Daarom zijn dit soort oplossingen van nature stabieler.

6. Kunnen inherent veilige oplossingen nieuwe gevaarsituaties creëren?

Dat kan. Alleen het mechanisme is anders — en meestal komt het minder vaak voor.

Voorbeeld: het verlagen van snelheid of kracht in het proces kan leiden tot meer verstoringen (slip, verschuiving van het werkstuk, vaker vastlopen). Daardoor neemt het aantal handmatige ingrepen toe. En meer ingrepen betekent: meer momenten waarop iemand de gevarenzone in gaat — en daarmee ontstaan nieuwe gevaarlijke situaties.

Dat is geen rechtstreeks “neveneffect” van de constructie zelf.
Het is het gevolg van een veranderde processtabiliteit en een hogere interventiefrequentie.

Het verschil is wel dat bij inherent veilige oplossingen de ingreep zit in de energiebron of de geometrie, en niet primair in het afschermen van toegang. Daarom is het aantal nieuwe gevaarlijke situaties doorgaans kleiner dan bij achteraf toegevoegde maatregelen.

7. Het fundamentele verschil

Een beschermingsmaatregel zegt:
“Het gevaar is er; we beperken de toegang ertoe.”

Een inherent veilige oplossing zegt:
“We passen het gevaar aan of we nemen het weg.”

De eerste aanpak creëert voorwaarden.
De tweede verandert de fysica van het systeem.

Daarom is het in de ontwerppraktijk het veiligst om te starten met het reduceren van energie, het aanpassen van geometrie en het wegnemen van het gevarenmechanisme, en pas daarna — als dat nodig blijft — technische en aanvullende beschermingsmaatregelen toe te passen.

Dit is geen kwestie van filosofie.
Dit is een kwestie van stabiliteit.

8. Nieuwe gevaren horen bij het proces. Die mag je niet negeren.

Het probleem met zogeheten “secundaire risico’s” is dat ze vaak worden weggezet als iets onbelangrijks. Als een kleine hinder na het aanbrengen van een beveiliging. Als iets dat je “later nog wel aanscherpt”.

Maar vanuit de methodiek van risicobeoordeling is dit geen detail.
Dit is een kritisch moment in het proces.

Elke beschermingsmaatregel verandert de configuratie van het systeem. En een configuratiewijziging betekent dat er nieuwe gevaarlijke situaties kunnen ontstaan.

Als je na risicoreductie niet teruggaat naar de gevarenidentificatie, dan is het proces onderbroken. Het is niet afgerond — het is niet gesloten.

In de praktijk ontstaat hier precies de bekende ‘blinde vlek’: gevaar A is formeel teruggebracht, maar daarmee verschijnt gevaar B — minder vanzelfsprekend, lastiger te herkennen en vaak gekoppeld aan bediening, reset, toegang en de dynamiek van het stoppen.

Wie deze stap overslaat, bereikt dus slechts een gedeeltelijke risicoreductie.

9. Iteratie die je niet ‘even kunt wegklikken’

Daarom hoort in een goed opgezet proces voor risicoreductie na elke stap steeds dezelfde vraag terug te komen:

Hebben de toegepaste beschermingsmaatregelen een nieuw gevaar geïntroduceerd?

Is het antwoord “ja” — dan gaat de analyse terug naar de identificatie.
Is het antwoord “nee” — dan moet dat een bewuste, onderbouwde keuze zijn, en niet een automatische “volgende”.

secondary risk ISO 12100

Dat is precies het mechanisme waarop SafetySoftware.eu expliciet stuurt: na de stap risicoreductie dwingt het systeem een beslissing af of de gekozen beschermingsmaatregelen nieuwe gevaren hebben veroorzaakt. Zonder standpunt kun je niet door naar de volgende stap.

Dit is geen cosmetische functie.
Het is een procesborging tegen een lineaire versimpeling.

Want de grootste fouten ontstaan niet doordat beveiligingen ontbreken.
Ze ontstaan doordat iteratie ontbreekt.

Machineveiligheid begint precies op het moment dat de gedachte stopt: “we hebben een beveiliging toegevoegd, dus nu is het veilig”.

 

Veelgestelde vragen

Waarom kunnen beschermingsmiddelen nieuwe gevaren veroorzaken?

Aangezien een beschermingsmaatregel een constructieve wijziging of een wijziging in de besturing is. Zij verandert de geometrie, de toegang, de werksequenties, de reactietijden en het gedrag van het aandrijfsysteem, en beïnvloedt daarmee de gevarenstructuur in de zin van EN ISO 12100.

Daardoor kan het tot een „risicoverschuiving” komen: we beperken één gevaar, maar introduceren een ander (bijv. knel-/pletzones door een afscherming, het uitlokken van het omzeilen van de vergrendeling, een onjuiste afstand van het lichtgordijn).

Wat betekent lineair denken over risico in PN-EN ISO 12100?

Dit is de aanname dat: er was gevaar A → er is een beveiliging toegevoegd → gevaar A is verdwenen en daarmee klaar. In de praktijk is een machine een niet-lineair systeem: een verandering op één plek verandert de voorwaarden voor het ontstaan van gevaren in andere gebieden.

PN-EN ISO 12100 vereist een iteratieve aanpak: na het toepassen van een beschermingsmaatregel moet je de gevaren opnieuw identificeren en het risico opnieuw inschatten (inclusief het restrisico).

Hoe kan een mechanische afscherming een bron van mechanische gevaren worden?

Een afscherming kan een nieuwe massa en een nieuwe beweging (bv. opklappen) introduceren, en dat creëert potentiële en kinetische energie. Als het bewegingspad, de ondersteuning, de stabiliteit in de open stand en de botsingspunten niet zijn geanalyseerd, ontstaan er nieuwe beknellings-, impact- of knip-/schaarzones.

Typische problemen zijn: het naar beneden vallen van de afscherming, speling op de scharnieren na een periode van gebruik, ongecontroleerd sluiten na een stoot, evenals een bemoeilijkte evacuatie van de hand uit het werkgebied.

Waarom is de montage van een lichtgordijn ‘uit de catalogus’ soms ineffectief?

Alleen het toepassen van een beveiligingsinrichting is geen bewijs van risicoreductie. Voor de effectiviteit zijn de parameters van de volledige veiligheidsfunctie cruciaal, waaronder de werkelijke stoptijd van de machine en de totale reactietijd van het circuit.

Zonder meting van de stoptijd onder worstcase-omstandigheden (bijv. maximale belasting, snelheid, remslijtage) kan de veiligheidsafstand verkeerd worden gekozen, en dan werkt de inrichting „logisch”, maar stopt de beweging fysiek niet snel genoeg.

Wanneer moet je de werkelijke stilstandtijd van een machine meten?

Altijd wanneer de effectiviteit afhangt van een op afstand en tijd gebaseerd beschermingsmiddel (bijv. lichtschermen, scanners, tweehandbediening, stopfuncties). De meting moet de meest ongunstige, maar representatieve bedrijfsomstandigheden weerspiegelen.

In de praktijk houdt men o.a. rekening met de maximale snelheid en belasting, de traagheid van het systeem, toleranties, temperatuur en het verslechteren van parameters in de tijd. Zonder dit is er geen betrouwbare basis voor het bepalen van de veiligheidsafstand volgens NEN-EN ISO 13855.

Klaar voor verandering?

Maak een account aan en genereer conforme documentatie in 15 minuten.

Start gratis proefperiode Geen creditcard • 14 dagen gratis