Măsuri de protecție pericole secundare ISO 12100
Bază de cunoștințe Cunoștințe

ISO 12100: când măsurile de protecție generează noi riscuri

MB
Marcin Bakota Compliance Expert
21 February 2026
14 min timp de citire
Prezentare AI

Articolul analizează o eroare critică de proiectare: tratarea măsurilor de protecție ca soluție finală, deși ele pot genera, la rândul lor, riscuri noi. Principalele riscuri ale „soluțiilor de siguranță”: Mecanică nouă: adăugarea unui ecran de protecție înseamnă adăugare de masă și energie. Un ecran fixat necorespunzător creează noi zone de strivire sau de impact. Iluzia protecției: barierele fotoelectrice montate fără determinarea timpului real de oprire (ISO 13855) induc un fals sentiment de siguranță – operatorul poate ajunge în zona periculoasă înainte ca utilajul să se oprească. Ocolire încorporată (bypassing): protecțiile care afectează ergonomia muncii îi împing pe operatori să le blocheze. Aceasta este o problemă de proiectare, nu o „eroare umană”.

Evaluarea riscurilor – baza siguranței utilajelor

Evaluarea riscurilor este elementul central al proiectării și exploatării în siguranță a utilajelor. În practică, aceasta înseamnă identificarea sistematică a pericolelor, estimarea și aprecierea nivelului de risc, apoi stabilirea și implementarea măsurilor de reducere a riscurilor, astfel încât utilizarea prevăzută a echipamentului să fie cât mai sigură.

De ce este necesară evaluarea riscurilor

O evaluare corectă a riscurilor permite:

  • identificarea pericolelor pe întreg ciclul de viață al utilajului (transport, montaj, punere în funcțiune, operare, întreținere, curățare, intervenții, scoatere din funcțiune);
  • definirea soluțiilor tehnice și organizatorice adecvate pentru reducerea riscului;
  • documentarea justificată a alegerilor de proiectare și a măsurilor aplicate;
  • asigurarea coerenței între măsuri, instrucțiuni și utilizarea prevăzută a echipamentului.

Etapele uzuale ale evaluării riscurilor

În mod tipic, procesul include:

  • Determinarea limitelor utilajului – utilizare prevăzută, utilizări previzibil greșite, operatori vizați, mediul de lucru, materiale prelucrate, condiții de exploatare.
  • Identificarea pericolelor – pericole mecanice, electrice, termice, legate de zgomot/vibrații, substanțe, ergonomie, control și comandă, energie reziduală etc., după caz.
  • Estimarea riscului – pe baza severității posibile a vătămării și a probabilității apariției evenimentului (inclusiv expunere, posibilitate de evitare/limitare).
  • Aprecierea riscului – stabilirea dacă riscul este acceptabil sau necesită măsuri suplimentare.
  • Reducerea riscului – selectarea și aplicarea măsurilor, apoi reevaluarea până la obținerea unui nivel de risc adecvat.

Principii de reducere a riscului

Măsurile se stabilesc, de regulă, în ordinea logică a eficacității:

  • măsuri inerente de proiectare (eliminarea pericolului prin soluții constructive);
  • măsuri tehnice de protecție (apărători, dispozitive de protecție, interblocări, sisteme de comandă relevante pentru siguranță – după caz);
  • informații pentru utilizare (instrucțiuni, avertizări, proceduri, instruire), ca măsuri complementare.

Documentarea rezultatului

Rezultatele evaluării riscurilor trebuie consemnate într-o formă care să permită urmărirea logicii deciziilor: pericole identificate, scenarii, niveluri de risc, măsuri aplicate și riscul rezidual. Documentarea trebuie să fie coerentă cu soluțiile implementate pe utilaj și cu instrucțiunile de utilizare.

Aplicabilitate

Evaluarea riscurilor se aplică atât utilajelor noi, cât și modificărilor/modernizărilor, atunci când acestea pot influența siguranța. În toate cazurile, abordarea trebuie să fie proporțională cu complexitatea utilajului și cu nivelul de pericol asociat utilizării prevăzute.

Cele mai periculoase decizii în domeniul securității mașinilor sunt cele luate cu convingerea că subiectul a fost „închis” definitiv.

În proiect apare un pericol. Cineva propune o soluție rapidă: montăm o apărătoare, instalăm o barieră fotoelectrică, implementăm o funcție de siguranță în sistemul de comandă. Pare că problema este rezolvată. În documentație apare măsura de protecție, în tabelul de evaluare a riscului valoarea scade, echipa merge mai departe.

Iar apoi se constată că:

  • o apărătoare grea creează o nouă zonă de strivire,
  • interblocarea îngreunează accesul pentru reglaje și încurajează ocolirea,
  • dispozitivul de protecție a fost poziționat fără o verificare reală a timpului de oprire,
  • un element suplimentar introdus pe lanțul de siguranță a schimbat dinamica ansamblului într-un mod neanalizat de nimeni.

Nu sunt greșeli din necunoaștere.
Sunt greșeli din simplificare.

O măsură de protecție este o modificare constructivă. Schimbă geometria mașinii, accesibilitatea spațiilor, modul de operare, succesiunea acțiunilor la apariția unei perturbații, comportarea sistemului de acționare și răspunsul comenzii. Orice astfel de schimbare influențează structura pericolelor — uneori evident, alteori foarte subtil.

În practica industrială se întâlnește frecvent o gândire liniară: a existat pericolul A → am adăugat o protecție → pericolul A „a dispărut”. În realitate, lucrurile nu sunt liniare. O schimbare într-un punct poate deplasa riscul către alte zone, mai puțin vizibile.

Iar exact această zonă — când protecția, în loc să stabilizeze ansamblul, introduce tensiuni tehnice noi — cere o analiză inginerească lucidă.

Prima eroare care apare după „adăugarea unei protecții” este presupunerea că modificarea este locală. Că vizează un singur pericol și nu influențează restul mașinii.

În realitate, orice măsură de protecție intervine în construcția mașinii sau în comanda ei. Iar asta înseamnă că intervine în:

  • cinematică,
  • accesibilitatea zonei de lucru,
  • timpii de reacție,
  • modul de efectuare a reglajelor și a operațiunilor de service,
  • modul de reacție la perturbări.

Dacă aceste modificări nu sunt analizate ca ansamblu, apare foarte ușor efectul de „deplasare a riscului”.

1. Apărătoarea ca sursă de noi pericole mecanice

Cel mai clasic exemplu este apărătoarea mecanică. Rolul ei este evident: să limiteze accesul la zona periculoasă. Și, de multe ori, face asta eficient.

Problemele apar atunci când proiectarea se concentrează exclusiv pe separare, ignorând proprietățile fizice ale apărătorii în sine.

O apărătoare basculantă grea înseamnă masă suplimentară.
Masă suplimentară înseamnă energie potențială.
Energia potențială înseamnă posibilitate de cădere, strivire, lovire.

Dacă nu sunt analizate traseul de mișcare al apărătorii, modul de sprijinire și stabilitatea în poziție deschisă și închisă, mijlocul de protecție devine el însuși un element mobil în sistem. Și generează propriile zone periculoase.

În practică scenariul e banal: operatorul deschide apărătoarea, o ține cu o mână, cu cealaltă ajunge în interior, iar cineva o lovește din lateral. Sau, după un an de utilizare, balamaua începe să lucreze cu joc. Din acel moment, apărătoarea nu mai este doar o „barieră”, ci devine un element dinamic.

Nu este un caz marginal.
Este consecința omiterii faptului că mijlocul de protecție poate fi, prin el însuși, o sursă de energie și mișcare.

2. Dispozitiv de protecție fără verificarea parametrilor de siguranță

În practică apare foarte des același tipar: montăm o cortină luminoasă, o conectăm la un controler de siguranță, setăm distanța „conform catalogului” și considerăm subiectul închis.

Doar că simpla utilizare a unui dispozitiv de protecție nu demonstrează că riscul a fost redus eficient.

Pentru a vorbi despre eficacitate reală, trebuie îndeplinite cel puțin trei condiții tehnice.

a) Verificarea timpului real de oprire

Distanța dintre dispozitivul de protecție și zona periculoasă nu poate fi stabilită „din experiență”. Ea trebuie să rezulte din calcule conforme cu ISO 13855, bazate pe:

  • timpul real de oprire al mașinii (inclusiv efectele de inerție ale sistemului),
  • timpul de reacție al dispozitivului de protecție și al sistemului de comandă,
  • timpul de reacție al operatorului,
  • constantele geometrice impuse de tipul echipamentului.

Cuvântul-cheie este: real.

Timpul de oprire trebuie determinat prin măsurare, în condiții reprezentative pentru cazul nefavorabil: la sarcina maximă, la viteza maximă, ținând cont de variațiile în timp (uzura elementelor de frânare, toleranțe, temperatură). Nu din catalog. Nu „declarat”. Nu „tipic”.

Dacă această măsurare nu a fost efectuată, nu există dovada că distanța de siguranță a fost aleasă corect. Iar fără o distanță corectă nu există dovada că dispozitivul de protecție împiedică în mod real atingerea zonei periculoase înainte de oprirea mișcării.

Într-o astfel de situație, protecția poate funcționa logic corect, dar poate fi ineficientă fizic.

b) Verificarea funcției de siguranță și a Performance Level

Al doilea element este verificarea funcției de siguranță conform ISO 13849-1.

Dispozitivul de protecție este doar o verigă din lanț. Funcția de siguranță include:

  • senzorul (de ex. cortina optică),
  • partea logică (controler de siguranță, relee),
  • elementele de execuție (contactoare, supape, acționări),
  • structura arhitecturală (categoria),
  • parametrii de fiabilitate (MTTFd, DC, CCF).

Dacă nu s-au făcut calculele de Performance Level și nu s-a demonstrat că s-a obținut PL ≥ PLr cerut din evaluarea riscului, atunci, din punct de vedere formal, nu există confirmarea că funcția de siguranță asigură nivelul necesar de reducere a riscului.

O greșeală frecventă este presupunerea: „cortina are PL e, deci suntem în siguranță”.
Nu cortina, ca produs, trebuie să acopere singură nivelul cerut.
Întreaga funcție de siguranță trebuie să îl îndeplinească.

Dacă lanțul de oprire include un element cu fiabilitate prea mică, un contactor unic fără monitorizare sau lipsește diagnosticul, PL-ul real poate fi sub cel cerut. Iar atunci eficacitatea măsurii de protecție rămâne o ipoteză, nu un fapt demonstrat.

c) Coerență funcțională — nu doar electrică

Al treilea domeniu este integrarea funcțiilor de siguranță în procesul tehnologic.

Chiar și un calcul corect al distanței și un Performance Level verificat aparent corespunzător nu garantează eficiența, dacă:

  • resetarea poate fi efectuată dintr-o poziție care permite re-accesul în zona periculoasă,
  • repornirea are loc automat după eliberarea dispozitivului de protecție,
  • nu au fost luate în calcul stările tranzitorii (de ex. mișcări reziduale, inerția axelor),
  • nu a fost verificat comportamentul în cazul unei defectări parțiale a sistemului.

Funcția de siguranță nu trebuie doar „conectată”, ci implementată logic corect și validată pe întreg scenariul de funcționare al mașinii.

Dacă oricare dintre aceste elemente (timpul de oprire, distanța conform ISO 13855, PL/PLr conform ISO 13849-1, logica de resetare și repornire) nu a fost verificat riguros, nu există confirmarea unei reduceri efective a riscului.

Iar problema este mai profundă.

Într-o astfel de situație, nu doar că nu este demonstrată eficiența măsurii de protecție. În acest punct introducem situații de pericol noi. Operatorul primește semnalul că spațiul este protejat. Comportamentul se schimbă — abordarea este mai rapidă, distanța scade, reacția devine mai hotărâtă. Dacă însă timpul real de oprire este mai mare decât cel asumat în proiect, apare scenariul în care persoana ajunge în zona de influență a pericolului înainte ca mișcarea periculoasă să fie oprită.

Aceasta este, din perspectiva cerințelor de tip normativ, o situație periculoasă: o împrejurare în care o persoană este expusă la cel puțin un pericol.

Similar, în cazul unui Performance Level verificat necorespunzător: dacă funcția de siguranță nu atinge PLr-ul cerut, atunci în condiții de defect unic sau de pierdere a capacității de diagnostic poate apărea pierderea funcției de oprire. Rezultă o situație în care:

  • pericolul există în continuare,
  • persoana presupune că a fost redus,
  • iar sistemul nu realizează funcția de siguranță conform conceptului.

Aceasta nu este „documentație incompletă”.
Este o situație periculoasă nouă, de natură structurală, introdusă încă din etapa de proiectare.

3. Când protecția schimbă modul de lucru — și, odată cu el, structura riscului

Orice măsură de protecție nu modifică doar geometria mașinii sau parametrii de oprire. Modifică și modul în care este executată munca.

Exact aici apar, foarte des, situații noi de pericol — nu pentru că dispozitivul de protecție „nu funcționează”, ci pentru că soluția de proiectare nu a anticipat modul în care va fi folosită în exploatarea reală.

a) Acces dificil = intervenții improvizate

Dacă apărătoarea îngreunează semnificativ accesul la reglaje, curățare sau schimbarea setărilor/formatului, operatorul începe să „scurteze” procedurile:

  • lasă apărătoarea parțial deschisă,
  • blochează întrerupătorul de poziție (limitatorul),
  • execută operații în prezența mișcărilor reziduale,
  • intervine când oprirea nu este sigură/confirmată.

Nu este o problemă de „indisciplină a lucrătorului”.
Este efectul unui proiect care nu a luat în calcul frecvența reală și natura concretă a sarcinii.

În acest moment apare situația de pericol: persoana ajunge într-un spațiu care, conform ipotezelor de proiectare, trebuia să fie inaccesibil în timpul mișcării, iar sistemul nu mai poate impune condiții de lucru sigure.

Protecția nu a fost demontată.
Ocolirea ei a fost, practic, integrată în proces.

b) O protecție care destabilizează secvența de lucru

Orice funcție de siguranță introduce condiții logice:

  • oprire la încălcare/declanșare,
  • blocarea pornirii,
  • resetare,
  • confirmarea condițiilor inițiale.

Dacă secvența de revenire la funcționare este prea complicată, neintuitivă sau neclară, crește probabilitatea ca acțiunile să fie făcute în afara scenariului prevăzut.

De exemplu:

  • resetare fără control vizual al zonei,
  • repornire în prezența mișcărilor reziduale,
  • intervenție în modul service fără dezactivarea completă a energiei.

Fiecare dintre aceste situații este o situație periculoasă: persoana se află în zona de influență a pericolului, în condițiile în care cerințele de siguranță nu sunt îndeplinite.

Din perspectiva evaluării riscului, acesta nu este un „defect al utilizatorului”.
Este o lipsă de analiză privind modul în care măsura de protecție a modificat dinamica ansamblului.

c) Conflict între siguranță și ergonomie

Dacă o măsură de protecție:

  • reduce vizibilitatea zonei de lucru,
  • obligă la poziții nefirești ale corpului,
  • crește solicitarea fizică,
  • prelungește semnificativ, din punct de vedere operațional, timpul de ciclu,

atunci crește probabilitatea apariției unor comportamente nedorite.

Iar creșterea probabilității este unul dintre cele două elemente ale definiției riscului.

În practică, se vede astfel:

Proiectul presupune acces sigur cu apărătoarea închisă.
Operatorul, ca să vadă piesa, se apleacă și își strecoară mâna pe sub marginea inferioară.
Protecția există fizic.
Situația periculoasă tot apare.

Măsura de protecție nu a eliminat riscul.
I-a schimbat configurația.

4. Gândire liniară versus analiză sistemică

Toate cazurile descrise au o cauză comună: abordarea liniară a reducerii riscului.

Pericol → măsură de protecție → problemă rezolvată.

În realitate, orice modificare de proiectare într-un sistem tehnic trebuie tratată ca o nouă configurație a ansamblului.

O configurație nouă înseamnă:

  • condiții noi de funcționare,
  • puncte noi de acces,
  • traiectorii noi de mișcare,
  • scenarii noi de perturbare/defecțiune,
  • situații noi de pericol.

Dacă, după implementarea unei măsuri de protecție, proiectul nu revine la etapa de identificare a pericolelor, analiza rămâne incompletă — chiar dacă, la nivel de documentație, totul pare în regulă.

Aici este diferența esențială dintre „a avea o protecție” și a obține, în mod real, reducerea riscului.

5. De ce soluțiile intrinsec sigure sunt, în mod natural, mai stabile

Dacă privim obiectiv tiparele erorilor de proiectare, se vede clar o regularitate: cele mai multe probleme apar atunci când siguranța este „adăugată” ulterior, în loc să fie integrată de la început.

Soluțiile constructive intrinsec sigure funcționează diferit față de măsurile de protecție. Ele nu se limitează la a restricționa accesul la pericol, ci reduc sau elimină pericolul chiar la sursă.

Exemplele sunt directe:

  • reducerea energiei cinetice prin limitarea vitezei sau a masei,
  • limitarea cuplului la un nivel sigur în cazul unei coliziuni,
  • scăderea forței de apăsare/strângere,
  • rotunjirea muchiilor în locul acoperirii lor cu apărători,
  • modificarea geometriei astfel încât să fie eliminat un punct de strivire,
  • utilizarea unui sistem de acționare cu caracteristică de oprire controlată.

În astfel de situații, riscul scade deoarece scade energia disponibilă în evenimentul periculos sau dispare mecanismul prin care aceasta se poate elibera.

Este o reducere de altă natură decât simpla introducere a unei bariere.

Dacă reduci viteza, reduci energia pentru toate scenariile.
Dacă reduci forța, reduci severitatea potențială a vătămării.
Dacă elimini un punct de strivire prin geometrie, dispare un mecanism concret de producere a vătămării.

În multe cazuri, nu mai este necesar să „construiești” siguranța prin logică suplimentară de comandă, resetări și secvențe complicate. Riscul scade structural.

De aceea, aceste soluții sunt, prin natura lor, mai stabile.

6. Pot soluțiile intrinsec sigure să genereze situații noi de pericol?

Se poate. Însă mecanismul este diferit — și, de regulă, apare mai rar.

Exemplu: reducerea vitezei sau a forței în proces poate genera un număr mai mare de perturbări (alunecări, deplasarea piesei, blocări mai frecvente). În consecință, crește numărul intervențiilor manuale. Iar creșterea intervențiilor înseamnă mai multe momente în care operatorul ajunge în zonele de acțiune ale pericolelor — adică apar situații noi de pericol.

Nu este un „efect secundar” direct al construcției.
Este rezultatul modificării stabilității procesului și al frecvenței de intervenție.

Diferența este însă că, la soluțiile intrinsec sigure, schimbarea vizează sursa de energie sau geometria, nu accesul în sine. De aceea, numărul situațiilor noi de pericol este, de obicei, mai mic decât în cazul măsurilor adăugate ulterior.

7. Diferența fundamentală

O măsură de protecție spune:
„Pericolul există, vom limita accesul la el.”

O soluție intrinsec sigură spune:
„Vom modifica pericolul sau îl vom elimina.”

Prima abordare creează condiții.
A doua modifică fizica sistemului.

De aceea, în practica de proiectare, cea mai sigură cale este să începi cu reducerea energiei, modificarea geometriei și eliminarea mecanismului de pericol, iar abia apoi — dacă este necesar — să recurgi la măsuri tehnice și măsuri complementare.

Nu este o chestiune de filosofie.
Este o chestiune de stabilitate.

8. Pericolele noi sunt parte din proces. Nu trebuie ignorate.

Problema cu așa-numitele „riscuri secundare” este că sunt tratate ca ceva neimportant: ca o mică neplăcere după introducerea unei protecții, ca un detaliu pe care îl „clarificăm mai târziu”.

În realitate, din perspectiva metodei de evaluare a riscului, nu este un amănunt.
Este un moment critic al procesului.

Orice introducere a unei măsuri de protecție schimbă configurația ansamblului. Iar schimbarea configurației înseamnă posibilitatea apariției unor situații noi de pericol.

Dacă după reducerea riscului nu revenim la identificarea pericolelor, procesul este întrerupt. Nu este încheiat — rămâne deschis, incomplet.

În practică, exact aici apare de obicei „golul” din proces: pericolul A a fost redus formal, însă a apărut pericolul B — mai puțin evident, mai greu de identificat, adesea legat de operare, resetare, acces și dinamica opririi.

Ignorarea acestei etape înseamnă că reducerea riscului rămâne doar parțială.

9. Iterația pe care nu o poți „da mai departe”

De aceea, într-un proces de reducere a riscului proiectat corect, după fiecare etapă trebuie pusă aceeași întrebare:

În urma măsurilor de protecție aplicate a apărut un pericol nou?

Dacă răspunsul este „da” — analiza se întoarce la etapa de identificare.
Dacă răspunsul este „nu” — trebuie să fie o decizie asumată, nu un „mai departe” din inerție.

secondary risk ISO 12100

Acesta este exact mecanismul pe care SafetySoftware.eu îl urmărește explicit: după etapa de reducere a riscului, sistemul obligă utilizatorul să decidă dacă măsurile de protecție implementate au generat pericole noi. Nu permite continuarea fără o poziționare clară.

Nu este o funcție de „design”.
Este o protecție a procesului împotriva simplificării liniare.

Pentru că cele mai mari erori nu apar din lipsa protecțiilor.
Apar din lipsa iterației.

Iar siguranța mașinilor începe exact acolo unde se termină gândirea de tipul: „am adăugat o protecție, deci suntem în siguranță”.

 

Întrebări frecvente

De ce pot echipamentele de protecție să creeze noi pericole?

Deoarece măsura de protecție este o modificare constructivă sau o modificare în sistemul de comandă. Aceasta schimbă geometria, accesul, secvențele de lucru, timpii de reacție și comportamentul sistemului de acționare, influențând astfel structura pericolelor în sensul ISO 12100.

În consecință, poate apărea „deplasarea riscului”: reducem un pericol, dar introducem altul (de ex. zone de strivire generate de apărătoare, provocarea ocolirii interblocării, distanță incorectă a cortinei luminoase).

Ce înseamnă, în ISO 12100, gândirea „liniară” despre risc?

Aceasta este presupunerea că: a existat pericolul A → s-a adăugat o măsură de protecție → pericolul A a dispărut și atât. În practică, mașina este un sistem neliniar: o modificare într-un loc schimbă condițiile de apariție a pericolelor în alte zone.

ISO 12100 cere o abordare iterativă: după aplicarea măsurii de protecție trebuie identificate din nou pericolele și reevaluat riscul (inclusiv riscul rezidual).

Cum poate deveni o apărătoare mecanică o sursă de pericole mecanice?

Apărătoarea poate introduce o masă nouă și o mișcare nouă (de ex. basculare), iar acest lucru generează energie potențială și cinetică. Dacă nu au fost analizate traiectoria mișcării, sprijinirea, stabilitatea în poziția deschisă și punctele de coliziune, apar noi zone de strivire, lovire sau prindere.

Problemele tipice sunt: căderea apărătorii, jocuri în balamale după o perioadă de exploatare, închiderea necontrolată după o atingere/impact, precum și evacuarea dificilă a mâinii din zona de lucru.

De ce montarea unei perdele de lumină „din catalog” este adesea ineficientă?

Însăși utilizarea unui dispozitiv de protecție nu reprezintă o dovadă a reducerii riscului. Pentru eficacitate sunt esențiali parametrii întregii funcții de siguranță, inclusiv timpul real de oprire al mașinii și timpul total de reacție al circuitului.

Fără măsurarea timpului de oprire în condiții de cel mai nefavorabil caz (de ex. sarcină maximă, viteză, uzura frânei), distanța de siguranță poate fi aleasă greșit, iar atunci dispozitivul funcționează „logic”, dar nu oprește mișcarea suficient de rapid din punct de vedere fizic.

Când trebuie măsurat timpul real de oprire al mașinii?

Întotdeauna atunci când de aceasta depinde eficacitatea unei măsuri de protecție bazate pe distanță și timp (de ex. cortine luminoase, scanere, dispozitive bimanuale, funcții de oprire). Măsurarea trebuie să reflecte cele mai nefavorabile, dar reprezentative condiții de lucru.

În practică se iau în considerare, printre altele, viteza și sarcina maxime, inerția sistemului, toleranțele, temperatura, precum și degradarea parametrilor în timp. Fără aceasta nu există o bază credibilă pentru selectarea distanței de siguranță conform EN ISO 13855.

Pregătit pentru schimbare?

Creează un cont și generează documentație conformă în 15 minute.

Începe testul gratuit Fără card de credit • 14 zile gratuit