Zaščitni ukrepi sekundarne nevarnosti ISO 12100
Baza znanja Znanje

ISO 12100: ko zaščitni ukrepi ustvarijo nova tveganja

MB
Marcin Bakota Compliance Expert
21 February 2026
11 min čas branja
AI povzetek

Članek analizira kritično projektantsko napako: varovala se obravnavajo kot »zadnja rešitev«, čeprav lahko sama ustvarijo nova tveganja. Glavna tveganja »varnih rešitev«: Nova mehanika: dodati zaščitni pokrov pomeni dodati maso in energijo. Slabo pritrjen pokrov ustvari nova mesta uščipa, zmečkanin ali udarca. Iluzija zaščite: svetlobne zavese, vgrajene brez meritve dejanskega časa zaustavitve (ISO 13855), dajejo lažen občutek varnosti – operater lahko seže v nevarno območje, še preden se stroj ustavi. Vgrajeno obhajanje (bypassing): varovala, ki poslabšajo ergonomijo dela, operaterje spodbujajo k blokiranju ali premostitvi. To je projektantska napaka, ne »človeška napaka«.

Najbolj tvegane odločitve na področju varnosti strojev so tiste, ki jih sprejmemo v prepričanju, da je zadeva enkrat za vselej zaključena.

V projektu se pojavi nevarnost. Nekdo predlaga hitro rešitev: dodajmo varovalo, vgradimo svetlobno zaveso, izvedimo varnostno funkcijo v krmilju. Zdi se, da je problem zaprt. V dokumentaciji se pojavi zaščitni ukrep, v tabeli ocene tveganja se vrednost zniža, ekipa pa gre naprej.

Potem pa se izkaže, da:

  • težko varovalo ustvari novo območje stiska,
  • blokada oteži dostop do nastavitev in spodbuja obhode,
  • zaščitna naprava je postavljena brez dejanske preveritve časa zaustavitve,
  • dodatni element v varnostnem tokokrogu spremeni dinamiko sistema na način, ki ga nihče ni analiziral.

To niso napake zaradi neznanja.
To so napake zaradi poenostavljanja.

Zaščitni ukrep je konstrukcijska sprememba. Spremeni geometrijo stroja, dostopnost prostora, način upravljanja, zaporedje ravnanj ob motnjah, obnašanje pogonskega sklopa in odziv krmiljenja. Vsaka takšna sprememba vpliva na strukturo nevarnosti — včasih očitno, včasih zelo subtilno.

V industrijski praksi pogosto srečamo linearno razmišljanje: bila je nevarnost A → dodali smo zaščito → nevarnost A je “izginila”. V resnici pa je sistem nelinearen. Poseg na enem mestu lahko tveganje prestavi drugam, v manj opazne dele procesa.

Prav to področje — ko zaščita namesto stabilizacije sistema vnese nova tehnična trenja — zahteva trezno, inženirsko presojo.

Prva napaka, ki se pogosto pojavi po “dodajanju zaščite”, je predpostavka, da gre za lokalno spremembo. Da zadeva le eno nevarnost in da ne vpliva na preostali del sistema.

V praksi vsak zaščitni ukrep poseže bodisi v konstrukcijo stroja bodisi v njegovo krmiljenje. To pa pomeni, da poseže v:

  • kinematiko,
  • dostopnost delovnega območja,
  • odzivne čase,
  • način izvajanja nastavitvenih in servisnih posegov,
  • način odzivanja na motnje.

Če teh sprememb ne obravnavamo celovito, zelo hitro nastane učinek premika tveganja.

1. Varovalo kot vir novih mehanskih nevarnosti

Najbolj tipičen primer je mehansko varovalo. Njegova naloga je jasna: omejiti dostop do nevarnega območja. In pogosto to tudi učinkovito doseže.

Težave se začnejo, ko se projektiranje osredotoči izključno na ločevanje, pri tem pa zanemari fizikalne lastnosti samega varovala.

Težko preklopno (nagibno) varovalo pomeni dodatno maso.
Dodatna masa pomeni potencialno energijo.
Potencialna energija pomeni možnost padca, zmečkanja, udarca.

Če niso analizirani hod/kinematika gibanja varovala, način vpetja oziroma podpiranja ter stabilnost v odprtem in zaprtem položaju, zaščitni ukrep postane nov gibljiv element v sistemu. In ustvari lastna nevarna območja.

V praksi je scenarij banalno preprost: operater odpre varovalo, ga drži z eno roko, z drugo sega v notranjost, nekdo ga ob strani nehote zadene. Ali pa tečaj po letu uporabe dobi zračnost. Takrat varovalo preneha biti »pregrada« in postane dinamičen element.

To ni obrobna situacija.
Gre za neposredno posledico spregleda, da je lahko zaščitni ukrep sam po sebi vir energije in gibanja.

2. Zaščitna naprava brez preveritve varnostnih parametrov

V praksi se zelo pogosto pojavi vzorec: namestimo svetlobno zaveso, jo priključimo na varnostni krmilnik, razdaljo nastavimo »po katalogu« in menimo, da je zadeva zaključena.

Toda že sama uporaba zaščitne naprave še ni dokaz, da je bilo tveganje učinkovito zmanjšano.

Da lahko govorimo o dejanski učinkovitosti, morajo biti izpolnjeni vsaj trije tehnični pogoji.

a) Preveritev dejanskega časa zaustavitve

Razdalje zaščitne naprave do nevarnega območja ni dopustno določiti »po občutku« ali na podlagi izkušenj. Izhajati mora iz izračunov skladno z ISO 13855, ki temeljijo na:

  • dejanskem času zaustavitve stroja (vključno z vztrajnostjo sistema),
  • odzivnem času zaščitne naprave in krmiljenja,
  • reakcijskem času človeka,
  • stalnih geometrijskih razdaljah, ki izhajajo iz vrste naprave.

Ključna beseda: dejanski.

Zaustavitveni čas je treba določiti z meritvijo v pogojih, ki so reprezentativni za najslabši primer: pri največji obremenitvi, pri najvišji hitrosti, ob upoštevanju sprememb skozi čas (obraba zavornih elementov, tolerance, temperatura). Ne kataloško. Ne deklarirano. Ne »tipično«.

Če meritve ni bilo izvedene, ni dokaza, da je varnostna razdalja izbrana pravilno. Brez pravilne razdalje pa ni dokazila, da varovalna naprava v praksi prepreči doseganje nevarnega območja še pred zaustavitvijo gibanja.

V takem primeru je lahko zaščita logično pravilna, vendar fizično neučinkovita.

b) Verifikacija varnostne funkcije in Performance Level

Drugi sklop je preverjanje varnostne funkcije v skladu z ISO 13849-1.

Varovalna naprava je le del celotne verige. Varnostna funkcija zajema:

  • senzor (npr. svetlobno zaveso),
  • logični del (varnostni krmilnik, varnostni releji),
  • izvedbene elemente (kontaktorski sklopi, ventili, pogoni),
  • arhitekturo (kategorijo),
  • parametre zanesljivosti (MTTFd, DC, CCF).

Če izračun Performance Level ni bil izveden in ni bilo dokazano, da je doseženi PL ≥ zahtevani PLr, določen na podlagi ocene tveganja, formalno ni potrditve, da varnostna funkcija zagotavlja zahtevano raven zmanjšanja tveganja.

Pogosta napaka je domneva: »svetlobna zavesa ima PL e, zato smo varni«.
Zahtevane ravni ne mora izpolniti sama zavesa.
Izpolniti jo mora celotna varnostna funkcija.

Če veriga zaustavitve vključuje element s prenizko zanesljivostjo, na primer en sam kontaktor brez nadzora, ali če manjka diagnostika, je lahko dejanski PL nižji od zahtevanega. V takem primeru je učinkovitost varovalnega ukrepa zgolj predpostavka, ne dokazano dejstvo.

c) Funkcionalna skladnost — ne zgolj električna

Tretje področje je integracija varnostne funkcije v tehnološki proces.

Tudi pravilno izračunana varnostna razdalja in korektno verificiran Performance Level še ne pomenita, da bo zaščita učinkovita, če:

  • je reset mogoče iz položaja, ki omogoča ponoven dostop do nevarnega območja,
  • ponovni zagon nastopi samodejno po sprostitvi zaščitne naprave,
  • niso upoštevana prehodna stanja (npr. preostali gibi, inercija osi),
  • ni preverjeno obnašanje sistema pri delni okvari.

Varnostna funkcija ne sme biti zgolj »priključena«, temveč mora biti logično pravilno zasnovana in potrjena v celotnem delovnem scenariju stroja.

Če kateri koli od teh elementov (čas zaustavitve, varnostna razdalja po ISO 13855, PL/PLr po ISO 13849-1, logika reseta in ponovnega zagona) ni zanesljivo verificiran, nimamo potrditve, da je tveganje dejansko učinkovito zmanjšano.

In težava je še globlja.

V takem primeru ne gre le za to, da učinkovitost zaščitnega ukrepa ni dokazana. V tej fazi v projekt vnesemo nove nevarne situacije. Operater dobi signal, da je območje »varno«. Posledično se spremeni vedenje — pristop je hitrejši, razdalja manjša, reakcija odločnejša. Če pa je dejanski čas zaustavitve daljši, kot je bil predviden v zasnovi, nastane situacija, ko se človek znajde v območju delovanja nevarnosti, preden se nevarno gibanje dejansko zaustavi.

To je v normativnem smislu nevarna situacija: okoliščina, v kateri je oseba izpostavljena vsaj eni nevarnosti.

Podobno velja pri neustrezno verificiranem Performance Level: če varnostna funkcija ne dosega zahtevanega PLr, lahko v pogojih posamezne okvare ali izgube diagnostike pride do izgube funkcije zaustavitve. Takrat govorimo o situaciji, v kateri:

  • nevarnost še vedno obstaja,
  • človek predpostavlja, da je zmanjšana,
  • sistem pa varnostne funkcije ne izvede skladno z zasnovo.

To ni »nepopolna dokumentacija«.
To je strukturno nova nevarna situacija, vnesena že v fazi projektiranja.

3. Ko zaščita spremeni način dela — in s tem strukturo tveganja

Vsak zaščitni ukrep ne spremeni le geometrije stroja ali parametrov zaustavitve. Spremeni tudi način izvajanja dela.

Prav na tej točki zelo pogosto nastanejo nove nevarne situacije – ne zato, ker varovalna naprava »ne deluje«, temveč zato, ker projekt ni predvidel, kako se bo oprema v praksi dejansko uporabljala.

a) Otežen dostop = improvizirani posegi

Če varovalo bistveno oteži dostop do nastavitev, čiščenja ali preureditve (prestavitve) stroja, začne upravljavec krajšati postopke:

  • pusti varovalo delno odprto,
  • blokira končno stikalo,
  • izvaja posege ob preostalih gibanjih,
  • posega v delovanje ob negotovem zaustavljanju.

To ni vprašanje »nediscipliniranega delavca«.
Gre za posledico zasnove, ki ni upoštevala realne pogostosti in značaja posamezne naloge.

V tem trenutku nastane nevarna situacija: človek se znajde v območju, ki naj bi bilo po predpostavkah nedostopno med gibanjem, sistem pa ne more več zanesljivo vsiliti varnih pogojev.

Varovalo ni bilo odstranjeno.
Obvod je postal del procesa.

b) Varovanje, ki poruši zaporedje dela

Vsaka varnostna funkcija uvede določene logične pogoje:

  • zaustavitev ob kršitvi,
  • blokada zagona,
  • reset,
  • potrditev začetnih pogojev.

Če je zaporedje povratka v obratovanje preveč zapleteno, nelogično ali nejasno, se poveča verjetnost dejanj, ki se izvajajo mimo predvidenega scenarija.

Na primer:

  • reset brez vizualne kontrole območja,
  • ponovni zagon ob prisotnih preostalih gibanjih,
  • poseg v servisnem načinu brez popolne deaktivacije energije.

Vsak od teh primerov predstavlja nevarno situacijo: oseba se znajde v območju delovanja nevarnosti, pri čemer varnostni pogoji niso izpolnjeni.

Z vidika ocene tveganja to ni »napaka uporabnika«.
Gre za to, da ni bila analizirana sprememba dinamike sistema po uvedbi varovalnega ukrepa.

c) Konflikt med varnostjo in ergonomijo

Če varovalni ukrep:

  • omejuje preglednost delovnega območja,
  • zahteva nenaravne drže telesa,
  • povečuje fizično obremenitev,
  • operativno pomembno podaljšuje čas cikla,

se s tem poveča verjetnost nezaželenih ravnanj.

Povečanje verjetnosti pa je eden od dveh elementov definicije tveganja.

V praksi je to videti takole:

Zasnova predvideva varen dostop ob zaprtem varovalu.
Operater se, da bi videl kos, skloni in potisne roko pod spodnji rob.
Varovalo fizično obstaja.
Nevarna situacija kljub temu nastane.

Varovalni ukrep tveganja ni odpravil.
Spremenil je njegovo razporeditev oziroma konfiguracijo.

4. Linearno razmišljanje proti sistemski analizi

Vsem opisanim primerom je skupen isti vzrok: linearni pristop k zmanjševanju tveganja.

Nevarnost → varovalni ukrep → problem rešen.

V resnici pa je treba vsako konstrukcijsko spremembo v tehničnem sistemu obravnavati kot novo konfiguracijo sistema.

Nova konfiguracija pomeni:

  • nove delovne pogoje,
  • nove točke dostopa,
  • nove trajektorije gibanja,
  • nove scenarije motenj,
  • nove nevarne situacije.

Če se projekt po uvedbi varovalnega ukrepa ne vrne na ponovno identifikacijo nevarnosti, je ocena nepopolna — tudi če je dokumentacija na videz urejena.

To je bistvena razlika med tem, da »imamo zaščito«, in tem, da je tveganje dejansko zmanjšano.

5. Zakaj so inherentno varne rešitve stabilnejše

Če trezno pogledamo strukturo projektnih napak, se pokaže jasen vzorec: največ težav nastane takrat, ko je varnost »dodana naknadno«, namesto da bi bila že vgrajena v zasnovo.

Inherentno varne konstrukcijske rešitve delujejo drugače kot varovalni ukrepi. Ne gre za to, da bi omejevale dostop do nevarnosti, temveč da nevarnost zmanjšajo ali odpravijo pri izvoru.

Primeri so zelo praktični:

  • zmanjšanje kinetične energije z omejitvijo hitrosti ali mase,
  • omejitev vrtilnega momenta na nivo, ki je pri trku še varen,
  • zmanjšanje vpenjalne/pritisne sile,
  • zaokroževanje robov namesto njihovega prekrivanja ali oblaganja,
  • sprememba geometrije, ki odpravi točko zmečkanja,
  • uporaba pogona z nadzorovano karakteristiko ustavljanja.

V takih primerih se tveganje zmanjša zato, ker se zmanjša energija, ki je v nevarni situaciji na voljo, ali pa izgine mehanizem njenega sproščanja.

To je kakovostno drugačna redukcija kot zgolj vgradnja pregrade.

Če zmanjšaš hitrost, zmanjšaš energijo v vsakem scenariju.
Če zmanjšaš silo, zmanjšaš resnost potencialne poškodbe.
Če z geometrijo odpraviš točko zmečkanja, preneha obstajati konkreten mehanizem nastanka škode.

V številnih primerih potem ni treba »graditi« varnosti na dodatni krmilni logiki, ponastavitvah in kompleksnih zaporedjih. Tveganje pade strukturno, že zaradi zasnove.

Zato so takšne rešitve po naravi praviloma bolj stabilne.

6. Ali lahko inherentno varne rešitve ustvarijo nove nevarne situacije?

Lahko. Vendar je mehanizem drugačen – in praviloma redkejši.

Primer: znižanje hitrosti ali sile v procesu lahko poveča število motenj (zdrsi, premiki obdelovanca, pogostejše zagozditve). Posledično se poveča število ročnih posegov. Vsak dodatni ročni poseg pomeni več trenutkov, ko človek vstopa v območje delovanja nevarnosti – in s tem nastajajo nove nevarne situacije.

To ni neposreden »stranski učinek« konstrukcije.
Gre za posledico spremenjene stabilnosti procesa in večje pogostosti poseganja v delovanje.

Ključna razlika je v tem, da pri rešitvah, ki so varne že po zasnovi, sprememba zadeva vir energije ali geometrijo – ne pa zgolj dostopa. Zato je število novih nevarnih situacij praviloma manjše kot pri naknadno dodanih zaščitnih ukrepih.

7. Temeljna razlika

Zaščitni ukrep pove:
»Nevarnost obstaja, omejili bomo dostop do nje.«

Rešitev, varna po zasnovi, pove:
»Nevarnost bomo spremenili ali odpravili.«

Prvi pristop postavi pogoje.
Drugi spremeni fizikalne lastnosti sistema.

Zato je v projektantski praksi najvarneje začeti z zmanjšanjem energije, spremembo geometrije in odpravo mehanizma nevarnosti, šele nato pa – če je potrebno – poseči po tehničnih zaščitnih ukrepih in dopolnilnih rešitvah.

To ni vprašanje filozofije.
To je vprašanje stabilnosti.

8. Nova tveganja so del procesa. Ne smemo jih prezreti.

Osnovni problem t. i. »sekundarnih tveganj« je, da se jih obravnava kot nekaj nepomembnega. Kot manjšo nevšečnost po uvedbi zaščite. Kot nekaj, kar se lahko »doreče kasneje«.

Vendar z vidika metode ocene tveganja to ni podrobnost.
To je kritična točka procesa.

Vsaka uvedba zaščitnega ukrepa spremeni konfiguracijo sistema. Sprememba konfiguracije pa pomeni možnost nastanka novih nevarnih situacij.

Če se po zmanjšanju tveganja ne vrnemo k ponovni identifikaciji nevarnosti, je postopek prekinjen. Ni zaključen – ostane nedokončan.

V praksi prav tu pogosto nastane vrzel: nevarnost A je bila formalno zmanjšana, hkrati pa se pojavi nevarnost B – manj očitna, težje prepoznavna, pogosto povezana z upravljanjem, resetiranjem, dostopom ter dinamiko zaustavitve.

Če ta korak spregledamo, je zmanjšanje tveganja zgolj delno.

9. Iteracija, ki je ni mogoče samo »preklikati«

Zato mora v pravilno zasnovanem postopku zmanjševanja tveganja po vsakem koraku slediti eno ključno vprašanje:

Ali so uvedeni varovalni ukrepi ustvarili novo nevarnost?

Če je odgovor »da« – se analiza vrne na fazo identifikacije.
Če je odgovor »ne« – mora biti to zavestna odločitev, ne privzeti »naprej«.

secondary risk ISO 12100

Prav ta mehanizem SafetySoftware.eu izrecno nadzira: po koraku zmanjšanja tveganja sistem zahteva jasno odločitev, ali so uporabljeni varovalni ukrepi povzročili nova tveganja. Brez opredelitve stališča ne omogoči nadaljevanja.

To ni zgolj »lepotni dodatek«.
Gre za varovalo procesa pred preveč linearnim poenostavljanjem.

Največje napake namreč ne izhajajo iz tega, da varoval ni.
Izhajajo iz tega, da ni iteracije.

Varnost strojev se začne natanko tam, kjer se konča avtomatizem razmišljanja: »dodali smo varovalo, zato smo varni«.

 

Pogosta vprašanja

Zakaj lahko zaščitna sredstva ustvarjajo nove nevarnosti?

Ker je zaščitni ukrep sprememba zasnove ali sprememba nadzora. Spreminja geometrijo, dostop, delovne sekvence, odzivne čase ter obnašanje pogonskega sistema, zato vpliva na strukturo nevarnosti v smislu ISO 12100.

Posledično lahko pride do »premika tveganja«: zmanjšamo eno nevarnost, vendar uvedemo drugo (npr. območja ukleščenja zaradi varovala, spodbujanje obhoda blokade, napačna razdalja svetlobne zavese).

Kaj v ISO 12100 pomeni »linearno« razmišljanje o tveganju?

To je predpostavka, da: obstajala je nevarnost A → dodan je bil zaščitni ukrep → nevarnost A je izginila in s tem je konec. V praksi je stroj nelinearen sistem: sprememba na enem mestu spremeni pogoje nastanka nevarnosti na drugih področjih.

ISO 12100 zahteva iterativen pristop: po uporabi zaščitnega ukrepa je treba nevarnosti ponovno identificirati in ponovno oceniti tveganje (vključno s preostalim tveganjem).

Kako lahko mehanska zaščita postane vir mehanskih nevarnosti?

Zaščita lahko uvede novo maso in novo gibanje (npr. odpiranje na tečajih), kar ustvarja potencialno in kinetično energijo. Če niso analizirani pot gibanja, podpora, stabilnost v odprtem položaju ter točke trka, se pojavijo nova območja zmečkanja, udarca ali priščipa.

Tipične težave so: povešanje zaščite, zračnost na tečajih po obdobju uporabe, nenadzorovano zapiranje po trku, pa tudi otežen umik roke iz delovnega območja.

Zakaj je montaža svetlobne zavese »iz kataloga« pogosto neučinkovita?

Sama uporaba zaščitne naprave ni dokaz zmanjšanja tveganja. Za učinkovitost so ključni parametri celotne varnostne funkcije, vključno z dejanskim časom zaustavitve stroja in celotnim odzivnim časom verige.

Brez merjenja časa zaustavitve v pogojih najslabšega primera (npr. maksimalna obremenitev, hitrost, obraba zavore) je lahko zaščitna razdalja napačno določena, naprava pa deluje »logično«, vendar v fizičnem smislu ne zaustavi gibanja dovolj hitro.

Kdaj je treba meriti dejanski čas zastoja stroja?

Vedno, kadar je od njega odvisna učinkovitost zaščitnega ukrepa, ki temelji na razdalji in času (npr. svetlobne zavese, skenerji, dvoročne naprave, funkcije zaustavitve). Meritev mora odražati najbolj neugodne, vendar reprezentativne delovne pogoje.

V praksi se med drugim upoštevajo največja hitrost in obremenitev, vztrajnost sistema, tolerance, temperatura ter poslabševanje parametrov skozi čas. Brez tega ni verodostojne osnove za določitev varnostne razdalje v skladu s PN-EN ISO 13855.

Pripravljeni na spremembo?

Ustvari račun in v 15 minutah generiraj skladno dokumentacijo.

Začni brezplačno preizkusno obdobje Brez kreditne kartice • 14 dni brezplačno