Skyddsåtgärder sekundära faror ISO 12100
Kunskapsbank Kunskap

ISO 12100: när skyddsåtgärder skapar nya risker

MB
Marcin Bakota Compliance Expert
21 February 2026
13 min läsning
AI-översikt

Artikeln analyserar ett kritiskt konstruktionsfel: att se skyddsanordningar som sista utvägen, trots att de i sig kan skapa nya risker. Huvudrisker med ”säkra lösningar”: Ny mekanik: att montera en kåpa/skärm innebär att man tillför massa och energi. En felaktigt infäst skyddskåpa kan skapa nya kläm- eller slagriskzoner. Skyddsillusion: ljusridåer som installeras utan att faktisk stopp-/eftergångstid mäts och verifieras enligt SS-EN ISO 13855 ger en falsk trygghet – operatören kan nå in i riskområdet innan maskinen har stannat. Inbyggt kringgående (bypass): skydd som försämrar ergonomin och arbetsflödet driver operatörer att blockera eller kringgå dem. Det är ett konstruktionsfel, inte ett ”mänskligt fel”.

Riskbedömning för maskiner är en strukturerad process där man identifierar faror, uppskattar och värderar risker samt fastställer lämpliga riskreducerande åtgärder. Arbetet utgör en central del av tillverkarens skyldigheter inför att en maskin släpps ut på marknaden eller tas i drift, och det ska dokumenteras så att det tydligt framgår vilka antaganden som gjorts, vilka risker som bedömts och vilka åtgärder som införts.

Processen omfattar normalt:

  • Fastställande av maskinens avsedda användning samt rimligt förutsebar felanvändning.
  • Identifiering av faror under hela maskinens livscykel, exempelvis vid transport, installation, drift, rengöring, underhåll, felsökning och skrotning.
  • Riskuppskattning med hänsyn till möjlig skadans allvarlighetsgrad och sannolikheten att den inträffar.
  • Riskvärdering för att avgöra om risknivån är acceptabel eller om ytterligare åtgärder krävs.
  • Val och genomförande av riskreducerande åtgärder, samt verifiering att åtgärderna ger avsedd effekt.

Riskreducering tillämpas i första hand genom att eliminera faror eller minska risker genom konstruktionsåtgärder. Om risker kvarstår ska tekniska skyddsåtgärder, såsom skydd och skyddsanordningar, användas. Där det fortfarande finns kvarvarande risker ska dessa hanteras genom information för användning, till exempel varningar, instruktioner och krav på utbildning. Kvarvarande risker ska vara tydligt beskrivna i bruksanvisningen.

En korrekt genomförd riskbedömning ligger till grund för maskinens tekniska dokumentation och för de uppgifter som ska ingå i instruktioner och märkning. Dokumentationen bör vara spårbar och konsekvent, så att det framgår hur varje identifierad fara har hanterats och vilka skyddsåtgärder som kopplats till respektive risk.

De mest riskabla besluten inom maskinsäkerhet är ofta de som tas med övertygelsen att frågan är ”slutligt löst”.

I ett projekt identifieras en riskkälla. Någon föreslår en snabb åtgärd: vi sätter dit en skyddsanordning, installerar en ljusridå eller realiserar en säkerhetsfunktion i styrsystemet. Problemet upplevs som avklarat. I dokumentationen förs en skyddsåtgärd in, värdet i riskbedömningstabellen sjunker och arbetet går vidare.

Och senare visar det sig att:

  • en tung skyddskåpa skapar en ny kläm- eller krosszon,
  • en förregling försvårar åtkomst vid inställning och driver fram kringgående,
  • skyddsutrustningen har placerats utan verklig verifiering av stopp-/bromstid,
  • en extra komponent i säkerhetskedjan har ändrat systemets dynamik på ett sätt som ingen analyserade.

Det här är inte misstag som beror på okunskap.
Det är misstag som beror på förenkling.

En skyddsåtgärd är en konstruktionsförändring. Den ändrar maskinens geometri, åtkomligheten till utrymmen, hur operatören arbetar, åtgärdssekvensen vid störningar, drivsystemets beteende och styrningens reaktion. Varje sådan förändring påverkar riskbilden — ibland uppenbart, ibland mycket subtilt.

I industriell praktik ser man ofta ett linjärt synsätt: det fanns risk A → vi lade till ett skydd → risk A ”försvann”. Men verkligheten är inte linjär. En förändring på ett ställe kan flytta risken till andra, mindre synliga områden.

Just det läget — när en skyddslösning i stället för att stabilisera helheten skapar nya tekniska spänningar — kräver en nykter, ingenjörsmässig analys.

Det första felet som ofta uppstår efter att man ”lagt till ett skydd” är antagandet att ändringen är lokal. Att den bara berör en enskild riskkälla och inte påverkar resten av systemet.

I praktiken påverkar varje skyddsåtgärd maskinens konstruktion eller dess styrning. Och det innebär att man samtidigt påverkar:

  • kinematiken,
  • åtkomligheten till arbetsutrymmet,
  • reaktionstider,
  • hur inställnings- och servicearbeten faktiskt utförs,
  • hur man hanterar och reagerar på driftstörningar.

Om dessa förändringar inte bedöms som en helhet uppstår mycket lätt en riskförskjutning.

1. Skydd som källa till nya mekaniska risker

Det mest klassiska exemplet är ett mekaniskt skydd. Syftet är självklart: att begränsa åtkomst till riskområdet. Och ofta gör det också detta effektivt.

Problemet uppstår när konstruktionen enbart fokuserar på avskiljning och samtidigt bortser från skyddets egna fysiska egenskaper.

Ett tungt uppfällbart skydd innebär extra massa.
Extra massa innebär potentiell energi.
Potentiell energi innebär möjlighet till nedfall, klämning eller slag.

Om man inte har analyserat skyddets rörelsebana, infästning/uppstagning samt stabilitet i öppet och stängt läge blir skyddsåtgärden i praktiken ett nytt rörligt objekt i systemet. Och den skapar egna riskzoner.

I verkligheten kan det se trivialt ut: operatören öppnar skyddet, håller det med ena handen och når in med den andra, någon kommer åt det från sidan och det rubbas. Eller så börjar gångjärnet efter ett års drift glappa. Då slutar skyddet att vara en ”barriär” och blir i stället en dynamisk komponent.

Det här är inte ett marginalfall.
Det är en konsekvens av att man missar att skyddsåtgärden i sig kan vara en källa till energi och rörelse.

2. Skyddsanordning utan verifiering av säkerhetsparametrar

I praktiken dyker ofta samma upplägg upp: man monterar en ljusridå, ansluter den till en säkerhetsstyrning, ställer avståndet ”enligt katalogen” och betraktar saken som klar.

Men att en skyddsanordning finns på plats är i sig inte ett bevis på att riskreduceringen faktiskt fungerar.

För att kunna tala om verklig effekt behöver minst tre tekniska villkor vara uppfyllda.

a) Verifiering av verklig stopptid

Avståndet mellan skyddsanordningen och riskområdet kan inte sättas ”utifrån erfarenhet”. Det ska baseras på beräkningar enligt ISO 13855, som utgår från:

  • maskinens faktiska stopptid (inklusive systemets tröghet),
  • reaktionstid för skyddsanordningen och styrningen,
  • människans reaktionstid,
  • fasta geometriska förutsättningar som följer av utrustningens typ.

Nyckelordet är: verkligt.

Stopp-/inbromsningstiden ska fastställas genom mätning under förhållanden som är representativa för värsta fallet: vid maximal belastning, vid högsta hastighet, och med hänsyn till förändringar över tid (slitage i bromskomponenter, toleranser, temperatur). Inte ett katalogvärde. Inte ett uppgivet värde. Inte ett ”typvärde”.

Om en sådan mätning inte har genomförts finns inget underlag som visar att skyddsavståndet har valts korrekt. Och utan korrekt skyddsavstånd finns heller inget belägg för att skyddsanordningen i praktiken förhindrar att någon når riskområdet innan rörelsen har stannat.

I en sådan situation kan skyddet fungera logiskt korrekt, men vara fysiskt verkningslöst.

b) Verifiering av säkerhetsfunktion och Performance Level

Nästa del är verifiering av säkerhetsfunktionen enligt ISO 13849-1.

En skyddsanordning är bara en del av kedjan. Säkerhetsfunktionen omfattar:

  • sensor (t.ex. en ljusridå),
  • logikdel (säkerhetsstyrning, säkerhetsreläer),
  • utförandeorgan (kontaktorer, ventiler, drivsystem),
  • arkitektur/struktur (kategori),
  • tillförlitlighetsparametrar (MTTFd, DC, CCF).

Om Performance Level inte har beräknats och man inte har visat att uppnådd PL ≥ krävd PLr enligt riskbedömningen, så saknas formell bekräftelse på att säkerhetsfunktionen ger den riskreduktion som krävs.

Ett vanligt misstag är antagandet: ”ljusridån har PL e, alltså är det säkert”.
Det är inte ljusridån i sig som ska uppfylla nivån.
Det är hela säkerhetsfunktionen som måste göra det.

Om stoppkedjan innehåller en komponent med för låg tillförlitlighet, en enkel kontaktor utan övervakning, eller om diagnostik saknas, kan verklig PL bli lägre än kravet. Då blir skyddets effektivitet ett antagande – inte ett verifierat faktum.

c) Funktionell samstämmighet – inte bara elektrisk

Det tredje området är hur säkerhetsfunktionen integreras med den tekniska processen.

Även ett korrekt beräknat skyddsavstånd och en korrekt verifierad Performance Level garanterar inte att skyddet fungerar i praktiken om:

  • återställning (reset) kan göras från en position där man samtidigt kan nå in i riskområdet,
  • omstart sker automatiskt när skyddsanordningen frigörs,
  • övergångstillstånd inte har beaktats (t.ex. kvarvarande rörelser, axlars tröghet),
  • beteendet vid partiellt fel i systemet inte har verifierats.

En säkerhetsfunktion måste inte bara vara “inkopplad”, utan även logiskt korrekt uppbyggd och verifierad för hela maskinens driftscenario.

Om någon av dessa delar (stopp-/stopptid, skyddsavstånd enligt ISO 13855, PL/PLr enligt ISO 13849-1 samt reset- och omstartslogik) inte har kontrollerats och verifierats på ett tillförlitligt sätt, saknas underlag som visar att riskreduktionen faktiskt uppnås.

Och problemet är mer grundläggande än så.

I ett sådant läge har man inte bara misslyckats med att visa skyddets effektivitet. Man riskerar också att skapa nya farosituationer. Operatören får en signal om att området är skyddat. Beteendet anpassas — man närmar sig snabbare, tar kortare marginaler och agerar mer bestämt. Om den verkliga stopptiden i praktiken är längre än vad som antagits i konstruktionen uppstår en situation där personen hinner in i farozonen innan den farliga rörelsen har stoppats.

Detta är en normativ farosituation: en omständighet där en person exponeras för minst en fara.

Detsamma gäller vid bristfälligt verifierad Performance Level: om säkerhetsfunktionen inte uppnår krävd PLr kan en enskild felhändelse eller förlorad diagnostik innebära att stoppfunktionen faller bort. Då hamnar man i en situation där:

  • faran fortfarande finns kvar,
  • människan utgår från att den är reducerad,
  • men systemet utför inte säkerhetsfunktionen som avsett.

Det här är inte “ofullständig dokumentation”.
Det är en strukturellt ny farosituation som införs redan i konstruktionsskedet.

3. När skyddet förändrar arbetssättet — och därmed riskstrukturen

Varje skyddsåtgärd förändrar inte bara maskinens geometri eller stoppets parametrar. Den påverkar också hur arbetet faktiskt utförs.

Det är ofta just här som nya risksituationer uppstår – inte för att skyddsanordningen ”inte fungerar”, utan för att konstruktionen inte har tagit höjd för hur den faktiskt används i verklig drift.

a) Svår åtkomst = improviserade ingrepp

Om ett skydd tydligt försvårar åtkomst för justering, rengöring eller omställning börjar operatören förkorta arbetssättet:

  • lämnar skyddet delvis öppet,
  • spärrar eller kringgår gränslägesbrytaren,
  • utför åtgärder medan rest-/efterrörelser fortfarande finns kvar,
  • gör ingrepp vid osäker eller ofullständig stoppfunktion.

Det här är inte ett problem med ”odisciplinerad personal”.
Det är en följd av en lösning som inte har beaktat hur ofta och på vilket sätt uppgiften faktiskt behöver utföras.

I det läget uppstår en risksituation: en person befinner sig i ett område som enligt grundantagandet skulle vara oåtkomligt när maskinen rör sig, och systemet kan inte längre säkerställa att säkra villkor upprätthålls.

Skyddet har inte monterats bort.
Kringgåendet har i stället blivit en del av processen.

b) Skydd som destabiliserar arbetssekvensen

Varje säkerhetsfunktion inför logiska villkor, till exempel:

  • stopp vid påverkan/överträdelse,
  • startspärr,
  • återställning (reset),
  • bekräftelse av initialvillkor.

Om återgången till normal drift blir för komplex, ologisk eller svår att förstå ökar sannolikheten för åtgärder som hamnar utanför det avsedda scenariot.

Till exempel:

  • återställning utan visuell kontroll av riskområdet,
  • återstart medan efter-/reströrelser fortfarande pågår,
  • ingrepp i serviceläge utan fullständig frånkoppling av energi.

Var och en av dessa situationer är en risksituation: en person befinner sig inom farans påverkningsområde samtidigt som säkerhetsförutsättningarna inte är uppfyllda.

Ur ett riskbedömningsperspektiv är detta inte ett ”handhavandefel”.
Det är en brist i analysen av hur skyddsåtgärden förändrade systemets dynamik.

c) Konflikt mellan säkerhet och ergonomi

Om en skyddsåtgärd:

  • begränsar insynen i arbetsområdet,
  • tvingar fram onaturliga arbetsställningar,
  • ökar den fysiska belastningen,
  • förlänger cykeltiden på ett sätt som är operativt betydelsefullt,

ökar det sannolikheten för oönskade beteenden.

Och just en ökad sannolikhet är en av de två delarna i riskbegreppet.

I praktiken ser det ofta ut så här:

Konstruktionen utgår från säker åtkomst med stängd avskärmning.
För att kunna se detaljen lutar sig operatören fram och för in handen under nederkanten.
Skyddet finns fysiskt på plats.
Risksituationen uppstår ändå.

Skyddet eliminerade inte risken.
Det ändrade hur risken tar sig uttryck.

4. Linjärt tänkande kontra systemanalys

Samtliga beskrivna exempel har en gemensam grundorsak: ett linjärt angreppssätt för riskreducering.

Fara → skyddsåtgärd → problemet är löst.

I verkligheten bör varje konstruktiv förändring i ett tekniskt system hanteras som en ny systemkonfiguration.

En ny konfiguration innebär:

  • nya driftförutsättningar,
  • nya åtkomstpunkter,
  • nya rörelsebanor,
  • nya störningsscenarier,
  • nya farliga situationer.

Om man i konstruktionsarbetet inte återvänder till faroidentifieringen efter att en skyddsåtgärd har införts blir analysen osäker – även om dokumentationen ser korrekt ut.

Det är också den avgörande skillnaden mellan att ”ha ett skydd” och att faktiskt ha uppnått en verklig riskreduktion.

5. Varför inneboende säkra lösningar är mer robusta

Ser man sakligt på mönstren bakom konstruktionsrelaterade fel framträder en tydlig regel: flest problem uppstår när säkerheten ”läggs på” i efterhand, i stället för att byggas in från början.

Inneboende säkra konstruktionslösningar fungerar annorlunda än skyddsåtgärder. De handlar inte om att begränsa åtkomst till en fara. De minskar eller eliminerar själva faran vid källan.

Exemplen är okomplicerade:

  • sänka den kinetiska energin genom att begränsa hastighet eller massa,
  • begränsa vridmomentet till en nivå som är säker vid en kollision,
  • minska anpressningskraften,
  • avrunda kanter i stället för att skärma av dem,
  • ändra geometrin så att en klämpunkt elimineras,
  • använda en drivning med kontrollerad stoppkarakteristik.

I sådana fall minskar risken därför att den energi som finns tillgänglig i en farlig situation minskar, eller därför att mekanismen som kan frigöra energin helt försvinner.

Det är en kvalitativt annan typ av riskreduktion än att sätta upp en barriär.

När du sänker hastigheten minskar du energin i varje tänkbart scenario.
När du minskar kraften reducerar du allvarlighetsgraden i en möjlig skada.
När du tar bort en klämpunkt genom geometriändring upphör den specifika skadeuppkomstmekanismen att finnas.

I många fall innebär det att du inte behöver ”bygga” säkerhet med extra styrlogik, återställningar och komplexa sekvenser. Risken sjunker strukturellt, genom konstruktionen.

Därför är den här typen av lösningar i grunden mer robusta och stabila över tid.

6. Kan inneboende säkra lösningar skapa nya farliga situationer?

Det kan det. Men mekanismen ser annorlunda ut – och är i regel mer sällsynt.

Exempel: man sänker hastighet eller kraft i processen, vilket leder till fler driftstörningar (slirning, att detaljen förskjuts, tätare stopp/jam). Resultatet blir att antalet manuella ingripanden ökar. Och när antalet ingripanden ökar, ökar också antalet tillfällen då en person behöver gå in i riskområdet – vilket innebär att nya farliga situationer uppstår.

Det här är inte en direkt ”bieffekt” av konstruktionen i sig.
Det är en följd av att processens stabilitet ändras och att behovet av ingripanden blir mer frekvent.

Skillnaden är dock att i inneboende säkra lösningar handlar förändringen om energikällan eller geometrin, inte om själva åtkomsten. Därför blir antalet nya farliga situationer normalt mindre än vid skyddsåtgärder som läggs till i efterhand.

7. Grundläggande skillnad

En skyddsåtgärd säger:
”Faran finns – vi begränsar åtkomsten till den.”

En inneboende säker lösning säger:
”Vi ändrar faran – eller tar bort den.”

Det första angreppssättet skapar förutsättningar.
Det andra förändrar systemets fysik.

Därför är det i praktiskt konstruktionsarbete säkrast att börja med att reducera energi, ändra geometri och eliminera farans verkningsmekanism, och först därefter – om det behövs – ta till tekniska och kompletterande skyddsåtgärder.

Det här är ingen filosofifråga.
Det är en stabilitetsfråga.

8. Nya faror är en del av processen. De får inte förbises.

Hela problemet med så kallade ”sekundära risker” är att de behandlas som något oväsentligt. Som en mindre olägenhet efter att ett skydd införts. Som något man kan ”finjustera senare”.

Men ur ett riskbedömningsperspektiv är det inte en detalj.
Det är ett kritiskt skede i processen.

Varje införande av en skyddsåtgärd förändrar systemets konfiguration. Och en förändrad konfiguration innebär att nya farliga situationer kan uppstå.

Om man efter riskreduceringen inte går tillbaka till faroidentifieringen, är processen avbruten. Den är inte avslutad – den är inte sluten.

I praktiken är det ofta här gapet uppstår: risk A har formellt reducerats, men i stället har risk B uppkommit – mindre uppenbar, svårare att upptäcka och ofta kopplad till handhavande, återställning, åtkomst och stoppförloppets dynamik.

Om man förbiser detta steg blir riskreduceringen bara delvis genomförd.

9. Iterationen som inte går att ”klicka sig förbi”

Därför ska en korrekt upplagd riskreduceringsprocess, efter varje genomfört steg, alltid landa i en och samma kontrollfråga:

Har de valda skyddsåtgärderna medfört att en ny risk uppstått?

Om svaret är ”ja” – då måste analysen tillbaka till riskidentifieringen.
Om svaret är ”nej” – då ska det vara ett medvetet ställningstagande, inte ett slentrianmässigt ”vidare”.

secondary risk ISO 12100

Det är precis den här mekanismen som SafetySoftware.eu bevakar explicit: efter riskreduceringssteget kräver systemet ett beslut om huruvida införda skyddsåtgärder har skapat nya risker. Det går inte att fortsätta utan att ta ställning.

Det är ingen kosmetisk funktion.
Det är ett skydd för processen mot att förenklas till ett linjärt flöde.

För de största misstagen beror sällan på att skydd saknas.
De beror på att iterationen uteblir.

Och maskinsäkerhet börjar exakt där tanken tar slut: ”vi satte dit ett skydd, alltså är vi säkra”.

 

Vanliga frågor

Varför kan skyddsmedel skapa nya risker?

Eftersom skyddsåtgärden är en konstruktionsändring eller en förändring i styrningen. Den ändrar geometri, åtkomst, arbetssekvenser, reaktionstider samt drivsystemets beteende och påverkar därmed farostrukturen i den mening som avses i ISO 12100.

Som resultat kan en ”riskförskjutning” uppstå: vi begränsar en fara, men inför en annan (t.ex. klämzoner från skyddet, att kringgå interlocken, felaktigt avstånd för ljusridån).

Vad betyder ”linjärt” risktänkande i ISO 12100?

Detta är ett antagande att: det fanns en fara A → ett skydd har lagts till → fara A försvann och det är slut. I praktiken är maskinen ett icke-linjärt system: en förändring på ett ställe förändrar förutsättningarna för hur faror uppstår i andra områden.

ISO 12100 kräver ett iterativt angreppssätt: efter att en skyddsåtgärd har tillämpats måste faror identifieras på nytt och risken bedömas på nytt (inklusive residualrisk).

Hur kan en mekanisk skyddsanordning bli en källa till mekaniska faror?

Skyddet kan tillföra ny massa och ny rörelse (t.ex. uppfällning), vilket skapar potentiell och kinetisk energi. Om man inte har analyserat rörelsebanan, uppstödning, stabilitet i öppet läge samt kollisionspunkter uppstår nya kläm-, slag- eller skär-/klippzoner.

Typiska problem är: att skyddet faller ner, glapp i gångjärn efter en tids användning, okontrollerad stängning vid påkörning/stöt samt försvårad möjlighet att dra ut handen från arbetsområdet.

Varför kan installation av en ljusridå ”från katalogen” vara ineffektiv?

Enbart användning av en skyddsanordning är inte ett bevis på riskreducering. För effektiviteten är parametrarna för hela säkerhetsfunktionen avgörande, inklusive maskinens faktiska stoppstid och den totala reaktionstiden i säkerhetskretsen.

Utan mätning av stoppstiden under värsta-fall-förhållanden (t.ex. maximal belastning, hastighet, bromsslitage) kan skyddsavståndet väljas felaktigt, och då fungerar anordningen ”logiskt” men stoppar inte rörelsen tillräckligt snabbt i fysisk mening.

När behöver man mäta den faktiska maskinstoppstiden?

Alltid när dess effektivitet avgör skyddsåtgärdens funktion som bygger på avstånd och tid (t.ex. ljusridåer, skannrar, tvåhandsmanöverdon, stoppfunktioner). Mätningen bör återspegla de mest ogynnsamma men representativa driftsförhållandena.

I praktiken beaktar man bl.a. maximal hastighet och belastning, systemets tröghet, toleranser, temperatur samt att parametrarna försämras över tid. Utan detta finns ingen tillförlitlig grund för att välja säkerhetsavstånd i enlighet med EN ISO 13855.

Redo för förändring?

Skapa ett konto och generera compliant dokumentation på 15 minuter.

Starta gratis provperiod Inget kreditkort krävs • 14 dagar gratis