Teknisk resumé
Vigtigste pointer:

Teksten fremhæver den iterative karakter af risikovurderingen og valget af metode i forhold til maskintype, farer og projektfase. Den beskriver også grundprincipperne for risikomatricen som et værktøj, der kombinerer konsekvensens alvorlighed og sandsynligheden for hændelsen.

  • Risikovurdering er afgørende for vurderingen af maskiners overensstemmelse og forberedelsen til CE-mærkning på EU-markedet.
  • ISO 12100 og ISO/TR 14121-2 beskriver rammerne og de praktiske metoder til identifikation af farer samt vurdering af risiko.
  • Processen omfatter: maskinens anvendelsesområde og begrænsninger, identifikation af farer, analyse/estimering, accept og reduktion af risiko.
  • Risikoreduktion i henhold til ISO 12100: iboende sikkert design, tekniske beskyttelsesforanstaltninger, organisatoriske foranstaltninger og personlige værnemidler (PPE).
  • Artiklen gennemgår metoder til risikovurdering: risikomatricer og risikodiagrammer, pointbaserede metoder samt kvalitative og kvantitative tilgange.

Processen for vurdering af maskiners overensstemmelse med de væsentlige krav kræver en grundig risikovurdering i overensstemmelse med gældende standarder. Maskinsikkerhed er et grundelement i både konstruktion og drift af industrielt udstyr – enhver producent skal, før en maskine bringes på EU-markedet, identificere farer og reducere risikoen til et acceptabelt niveau. Standarder som ISO 12100 (Maskinsikkerhed – generelle principper for konstruktion, risikovurdering og risikoreduktion) samt vejledningen ISO/TR 14121-2 (praktiske metoder til risikovurdering) giver en ramme for arbejdet. Branche-/produktspecifikke standarder som DS/EN ISO 13849-1 og DS/EN 62061 fokuserer derimod på sikkerheden i styresystemer og anvender særlige metoder til risikoskøn for at fastlægge de krævede niveauer for sikkerhedsintegritet (Performance Level, SIL).

I denne artikel ser vi nærmere på de vigtigste metoder til risikoanalyse, der anvendes ved vurdering af maskiners overensstemmelse: risikomatricer, risikografer, pointbaserede metoder samt kvalitative og kvantitative tilgange. Vi sammenligner deres forudsætninger, peger på fordele og ulemper ved hver metode og illustrerer praktiske anvendelser (med eksempler inspireret af standardernes dokumentation, men passende tilpasset). Til sidst giver vi anbefalinger til, hvordan man kan kombinere forskellige tilgange og vælge metode ud fra faretyper, designfase og maskintype.

Husk: formålet med risikoanalysen er ikke kun at opfylde de formelle krav til CE-mærkning, men først og fremmest at sikre, at maskinen er sikker gennem hele sin livscyklus – fra konstruktion, over brug, til vedligeholdelse og udfasning. Derfor bør metoderne til risikoanalyse vælges, så alle farer identificeres effektivt, og risikoen vurderes på en systematisk måde, som er forståelig for hele teamet.

ISO/TR 14121-2: Grundlaget for risikovurderingsprocessen

Før vi går videre til de konkrete metoder, genopfrisker vi kort trinene i risikovurderingen i henhold til DS/EN ISO 12100:2012.

  1. Fastlæggelse af maskinens omfang og begrænsninger: Forstå maskinens funktion, anvendelse, systemgrænser og brugere. Afklar, under hvilke betingelser maskinen skal arbejde (fx miljø, belastninger, personalets oplæring).
  2. Identifikation af farer: Oplistning af alle potentielle farekilder i alle faser af maskinens liv (installation, normal drift, rengøring, vedligeholdelse, fejl, demontering). Farer kan være mekaniske, elektriske, termiske, kemiske, strålingsrelaterede, ergonomiske osv. Det er vigtigt at inddrage både konstruktører og de kommende operatører – personalets praktiske viden gør det muligt at opdage mindre oplagte risici.
  3. Analyse og skøn af risiko: For hver identificeret fare analyserer vi mulige ulykkesscenarier: årsagerne til hændelsen, sandsynligheden for at den indtræffer samt konsekvenserne for operatører eller udstyr. Derefter estimerer vi risikoniveauet – her kommer netop de værktøjer ind, som omtales senere (matricer, grafer, pointskalaer osv.). Målet er at tildele hver fare en “vægtning” af risiko baseret på vurderet hyppighed og alvorlighed af potentielle skader.
  4. Vurdering af risikoens acceptabilitet: Vi sammenholder den estimerede risiko med de acceptkriterier, der er fastlagt i virksomheden eller projektet. Fx: er risikoen så lav, at den kan tolereres, eller kræver den reduktion? Mange organisationer arbejder ud fra princippet om, at risiko, der kan medføre dødsfald eller varigt mén, er uacceptabel uanset sandsynlighed – medmindre der implementeres særlige beskyttelsesforanstaltninger.
  5. Risikoreduktion: For risici, der vurderes for høje, implementeres risikoreducerende foranstaltninger i henhold til det såkaldte tretrins-hierarki i ISO 12100: (a) eliminering af farer gennem konstruktion (iboende sikre løsninger), (b) tekniske beskyttelsesforanstaltninger (afskærmninger, sikkerhedsanordninger), (c) organisatoriske foranstaltninger og personlige værnemidler (instruktioner, oplæring, PPE). Efter indførelse af disse tiltag gentages risikoanalysecyklussen iterativt, hvor den resterende risiko vurderes – indtil et acceptabelt niveau er opnået.

I det følgende fokuserer vi på trinnet risikoskøn (punkt 3 ovenfor) og præsenterer de mest udbredte metoder. Det er værd at understrege, at ISO 12100 ikke foreskriver én bestemt teknik – den tillader både kvalitative (beskrivende) og kvantitative (numeriske) tilgange, så længe resultatet gør det muligt at beslutte, om der er behov for risikoreduktion. Ifølge ISO/TR 14121-2 findes der mange sidestillede værktøjer, og valget afhænger af maskinens karakteristika og vurderingsteamets præferencer.

Risikomatrice (Risk Matrix)

Risikomatricen er et af de enkleste og mest anvendte værktøjer til visuel risikovurdering. Det er en tabel (matrix), hvor kolonnerne typisk repræsenterer kategorier for sandsynlighed for, at en hændelse indtræffer, og rækkerne – kategorier for konsekvensens alvor (følger). Ved at finde skæringspunktet mellem den række og kolonne, der svarer til vurderingen af den konkrete fare, aflæser man det tildelte risikoniveau (fx lavt, middel, højt eller angivet med farver: grøn, gul, rød).

Hvordan opbygger man en risikomatrice? Først definerer man diskrete skalaer for begge dimensioner. For konsekvens kan man fx vælge: 1 – lette skader (ufarlige skader), 2 – skader, der kræver lægehjælp, 3 – alvorlig personskade eller varigt mén, 4 – dødsfald. For hændelsens sandsynlighed kan en eksempel-skala være: A – meget sjælden (fx “praktisk talt utænkelig”), B – usandsynlig (én gang på mange år), C – mulig (flere gange i maskinens levetid), D – sandsynlig (kan ske én gang om året eller oftere), E – hyppig (regelmæssigt, fx én gang om måneden eller kontinuerligt). I praksis tilpasser virksomheder disse kategorier til deres behov – det vigtige er, at vurderingsteamet i fællesskab fastlægger, hvad kategorierne betyder, så man reducerer subjektivitet.

Dernæst udarbejder man tabellen ved at tildele risikoniveauer til de enkelte kombinationer. Et eksempel på en 4×5-matrice illustreres af tabellen nedenfor (farverne angiver et typisk risikoniveau – grøn acceptabel, gul middel, rød høj):

Konsekvensens alvorSandsynlighed A
meget sjælden		 B
usandsynlig		 C
mulig		 D
sandsynlig		 E
hyppig
1 – Lette skader (ufarlige skader) 🟢
Lav		 🟢
Lav		 🟡
Middel		 🟡
Middel		 🟡
Middel
2 – Skader, der kræver lægehjælp 🟢
Lav		 🟡
Middel		 🟡
Middel		 🔴
Høj		 🔴
Høj
3 – Alvorlig personskade eller varigt mén 🟡
Middel		 🟡
Middel		 🔴
Høj		 🔴
Høj		 🔴
Meget høj
4 – Dødsfald 🟡
Middel		 🔴
Høj		 🔴
Høj		 🔴
Meget høj		 🔴
Ekstremt høj

Farve- og risikoniveau-legend:

  • 🟢 Lav risiko (acceptabel) – der kræves ingen tiltag, eller grundlæggende beskyttelsesforanstaltninger er tilstrækkelige.
  • 🟡 Middel risiko (moderat) – yderligere risikoreducerende tiltag bør overvejes, der bør indføres ekstra beskyttelsesforanstaltninger og overvågning.
  • 🔴 Høj/Meget høj/Ekstremt høj risiko – uacceptabel uden yderligere sikring; der kræves hurtige og omfattende risikoreducerende tiltag.

Eksempel på praktisk anvendelse af risikomatricen:

Fare:

Blottet skæreskive på en industrisav.

Vurdering:

  • Konsekvensens alvor: S4 – Dødsfald (katastrofale følger).
  • Sandsynlighed: C – Mulig (flere gange i maskinens levetid).

Resultat af vurderingen i matricen:

Skæringspunktet mellem række S4 og kolonne C viser feltet 🔴 Høj risiko.

Konsekvens af resultatet:

  • Risikoen vurderes som uacceptabel uden yderligere sikring.
  • Producenten skal anvende beskyttelsesforanstaltninger, fx:
    • Afskærmning af skiven.
    • Sikkerhedsafbryder.
    • Låsesystem, der forhindrer utilsigtet start under rengøring.

Yderligere tiltag:

  • Når beskyttelsesforanstaltningerne er implementeret, skal analysen gennemføres igen.
  • Målet er at opnå et niveau på mindst “Middel” eller helst “Lav”.

Eksempel på en (engelsksproget) risikomatrice med 4 kategorier for konsekvensens alvor (I–IV) og 5 kategorier for sandsynlighed (A–E). Farven markerer den resulterende risikovurdering: fra lav (L) over middel (M) og høj (H) til ekstremt høj (EH). I praksis kan matricer have forskellige størrelser, fx 3×3, 5×5 osv., afhængigt af analysens behov.

Fordele ved risikomatricen:

  • Enkelhed og tydelighed: Matricen er let at forstå og giver et grafisk billede af risikoen, der minder om intuitiv “trafiklyslogik” (grøn – ok, rød – stop). Derfor kan den være nyttig i kommunikationen med ledelsen og ikke-tekniske personer – den viser hurtigt, hvor de største farer er.
  • Hurtig klassificering: Gør det muligt hurtigt at prioritere – fx hvilke risici der er lave (acceptable), og hvilke der kræver hurtige tiltag.

Ulemper ved risikomatricen:

  • Subjektivt valg af kategorier: Hvad der helt præcist forstås ved “mindre sandsynligt” eller “alvorlig skade”, beror på teamets vurdering. Forskellige personer kan bedømme det forskelligt, hvilket påvirker resultatet. Standardisering af kategorier i organisationen er afgørende, men en vis grad af skøn vil stadig være til stede.
  • Begrænset præcision: Matricen samler risiko i brede intervaller. To forskellige farer kan få samme resultat (fx “middel risiko”), selv om den ene ligger tæt på den nedre grænse og den anden tæt på den øvre. Det kan være en for grov tilgang, hvis der er behov for en mere detaljeret analyse eller en sammenligning af mange farer.

Risikograf (Risk Graph)

En risikograf er en grafisk metode, som ofte præsenteres som et beslutningstræ eller et logisk diagram. Den bygger på en sekventiel vurdering af flere risikoparametre, typisk med binære svar (fx lav/høj, ja/nej), som leder os ad en sti frem til et resultat. Hver knude i en sådan graf forgrener sig i et begrænset antal muligheder (oftest to), hvilket gør metoden overskuelig, om end mindre detaljeret.

Risikografer har fået bred anvendelse i standarder for styresystemer. For eksempel indeholder DS/EN ISO 13849-1 (sikkerhed for maskiners styresystemer) et grafisk skema til risikovurdering, som gør det muligt at fastlægge det krævede Safety Performance Level PLr for sikkerhedsfunktioner. Tilsvarende anvender DS/EN 62061 (vedrørende maskiners funktionelle sikkerhed) en beslægtet tilgang til at bestemme det krævede sikkerhedsintegritetsniveau SIL. I begge tilfælde vurderer vi efter tur følgende faktorer:

  1. S (Severity)alvorligheden af den potentielle skade: fx S1 = let eller reversibel skade, S2 = alvorlig skade (irreversibel) eller død.
  2. F (Frequency/Exposure)hyppighed og varighed af eksponering for faren: fx F1 = sjælden eller kortvarig eksponering, F2 = hyppig eller langvarig eksponering.
  3. P (Possibility of Avoidance)mulighed for at undgå faren eller begrænse skaden: fx P1 = kan undgås under gunstige omstændigheder (operatøren har mulighed for at reagere), P2 = praktisk talt umuligt at undgå (hændelsen er pludselig eller uundgåelig).
  4. (Valgfrit) W/Pr (Probability of occurrence)sandsynligheden for, at en farlig hændelse indtræffer: denne parameter indgår nogle gange eksplicit, fx i IEC 62061, som en selvstændig faktor (betegnet Pr) ved siden af eksponeringshyppighed og mulighed for at undgå. I praksis indgår den i ISO 13849-1 indirekte i vurderingen af F og P.

På baggrund af ovenstående vurderinger, ved at følge stien i grafen, når vi frem til resultatet – oftest angivet som et risikoniveau eller en kategori for nødvendige sikkerhedsforanstaltninger. For ISO 13849-1 er resultatet det krævede Performance Level (PLr) fra a til e (hvor a angiver det laveste krævede pålidelighedsniveau for styresystemet, og e det højeste). I ISO 14121-2 findes der derimod en graf, som giver et risikoindeks på en numerisk skala, fx fra 1 til 6 – værdierne 1–2 betyder lav risiko, mens højere værdier indikerer behov for yderligere risikoreducerende tiltag.

START
  │
  ├─ Konsekvensens alvor (S)
  │   ├─ S1: mindre skade (reversibel)
  │   │   └─ Eksponeringshyppighed (F)
  │   │       ├─ F1: sjældent eller kortvarigt
  │   │       │   └─ Mulighed for at undgå (P)
  │   │       │       ├─ P1: kan undgås → PLr = a
  │   │       │       └─ P2: svært at undgå → PLr = b
  │   │       └─ F2: ofte eller langvarigt
  │   │           └─ Mulighed for at undgå (P)
  │   │               ├─ P1: kan undgås → PLr = b
  │   │               └─ P2: svært at undgå → PLr = c
  │   └─ S2: alvorlige skader (irreversible) eller død
  │       └─ Eksponeringshyppighed (F)
  │           ├─ F1: sjældent eller kortvarigt
  │           │   └─ Mulighed for at undgå (P)
  │           │       ├─ P1: kan undgås → PLr = c
  │           │       └─ P2: svært at undgå → PLr = d
  │           └─ F2: ofte eller langvarigt
  │               └─ Mulighed for at undgå (P)
  │                   ├─ P1: kan undgås → PLr = d
  │                   └─ P2: svært at undgå → PLr = e

Eksempel på anvendelse af risikografen: Lad os betragte faren for, at en industrirrobot rammer et menneske, hvis personen går ind i robotens arbejdsområde uden passende afskærmning. Vi anvender metoden fra ISO 13849-1 og vurderer for dette scenarie: S = S2 (alvorlige skader eller død), F = F2 (hyppig adgang – f.eks. at operatøren ofte går ind i cellen, og at robotten kører mange timer om dagen), P = P2 (det er usandsynligt at kunne undgå faren – robotten bevæger sig hurtigt og giver ikke tid til at komme væk). Når man følger risikografen i standarden, fører kombinationen (S2, F2, P2) til det krævede PLr = e – det højeste sikringsniveau. Det betyder, at vi skal implementere meget pålidelige sikkerhedsforanstaltninger (f.eks. lysgitre i højeste kategori eller dørlåse med overvågning, redundans i styrekredse osv.) for at reducere risikoen for at blive ramt af robotten til et acceptabelt niveau. Til sammenligning: Hvis scenariet var mindre kritisk – f.eks. en robot med lille kraft, som mennesker sjældent har adgang til – kunne vurderingen (S1, F1, P1) give resultatet PLr = c eller lavere, hvilket betyder mindre krav til sikringernes kompleksitet.

START → S2 → F2 → P2 → PLr = e

Fordele ved risikografen:

  • Logisk, tvungen analysesstruktur: Grafen fører brugeren trin for trin gennem de centrale spørgsmål om faren. Det sikrer en systematisk tilgang – man overser ikke en væsentlig faktor. Metoden er ofte udarbejdet af eksperter (f.eks. standardiseringsudvalg) med fokus på typiske maskiner og udgør derfor god branchepraksis.
  • Fælles forståelse af kategorier: Da værdierne (f.eks. S1/S2, F1/F2, P1/P2) er defineret i standarden, kan teamet henvise til dem, hvilket begrænser fortolkningsdiskussioner. Dermed bør forskellige personer, der bruger den samme graf, nå frem til lignende konklusioner for tilsvarende farer.
  • Direkte kobling til sikkerhedskrav: Resultatet i form af PLr eller SIL fortæller straks konstruktøren, hvor avancerede tekniske foranstaltninger der skal anvendes. Det kobler risikovurderingen til designkriterier (f.eks. valg af styresystemarkitektur og komponenternes pålidelighedsniveau).

Ulemper ved risikografen:

  • Begrænset detaljeringsgrad: Metoden arbejder som regel kun med få kategorier (f.eks. to muligheder for S, F, P). Det betyder, at meget forskellige scenarier kan blive forenklet til de samme kategorier. Grafen klassificerer risiko groft og giver f.eks. et resultat som “høj/middel/lav” eller et krævet sikringsniveau, men den viser ikke små forskelle mellem risici i samme kategori.
  • Ingen eksplicit numerisk værdi: Hvor en matrix eller en pointmetode kan give en relativ “score”, ender grafen typisk med en etiket (f.eks. PLr = d). Det er sværere at sammenligne mange forskellige farer indbyrdes, fordi resultaterne er kvalitative og ikke viser “hvor meget” én risiko er større end en anden – ud over at man følger en anden gren i træet.
  • Anvendelsesspecifik: Grafer er ofte målrettet bestemte standarder eller brancher. Grafen fra ISO 13849-1 vedrører primært risiko forbundet med fejl i styresystemets funktion. Til vurdering af andre typer risici (f.eks. ergonomi, støj) er den ikke nødvendigvis direkte anvendelig. Derfor anvender man nogle gange forskellige grafer afhængigt af farens type.

Pointmetoder (pointbaseret risikovurdering)

Pointmetoder, også kaldet risk scoring eller numeriske metoder, går ud på at tildele talværdier til risikokategorier og derefter beregne en risikoindikator ud fra dem. I praksis er det en videreudvikling af matrix-ideen: I stedet for kun at bruge beskrivelser eller farver tildeler man hver kategori (f.eks. sandsynlighed, konsekvens, eksponering) et bestemt antal point. Derefter kombinerer man pointene – ofte ved multiplikation eller addition – for at få en endelig værdi. En sådan værdi gør det muligt at rangordne farer fra størst til mindst risiko og fastsætte acceptkriterier.

Den mest anvendte formel er at multiplicere flere faktorer, for eksempel:

Risk Score=P×S×E

hvor:

  • P (Probability) – pointbaseret vurdering af sandsynligheden for, at faren indtræffer (fx på en skala fra 1–5, hvor 1 er næsten aldrig, og 5 er meget ofte)
  • S (Severity) – pointbaseret vurdering af konsekvensens alvor (fx 1 – ubetydelig skade, 5 – død eller katastrofe)
  • E (Exposure) – pointbaseret vurdering af eksponering, dvs. hyppighed eller varighed af udsættelse for faren (fx 1 – sporadisk kontakt, 5 – kontinuerlig/daglig kontakt)

Nogle varianter af pointmetoder bruger andre faktorer – for eksempel Avoidance (A), dvs. at man medtager operatørens mulighed for at undgå hændelsen, eller Detectability (D), dvs. muligheden for at opdage faren, før den forårsager skade. Den overordnede idé er dog den samme: den endelige Risk Score er et tal (fx i intervallet 1–100 eller 1–1000), som angiver, at jo højere det er, desto større er risikoen.

For at metoden skal være anvendelig, skal der defineres resultatintervaller, som svarer til risikoniveauer. En virksomhed kan fx fastsætte: resultat 1–20 = lav risiko (acceptabel), 21–50 = middel (kræver overvågning og forbedring, hvis det er let at opnå), >50 = høj (uacceptabel, kræver øjeblikkelige tiltag). Sådanne tærskler bør udspringe af virksomhedens sikkerhedspolitik og af en fornuftig analyse (fx kan de kalibreres på baggrund af tidligere risikovurderinger).

Eksempel på anvendelse af en pointmetode: Lad os tage faren for at brænde hånden på en varm maskindel (fx en varmeblok, der bliver opvarmet til 150°C, som operatøren kan komme til at røre ved ved et uheld). Vi bruger en simpel pointmodel P×S×E:

  • Konsekvensens alvor (S): Forbrændingen kan være smertefuld, men er næppe livstruende – vi vurderer den til 3 på en skala fra 1–5 (moderat skade, fx en alvorlig forbrænding, der kræver lægehjælp, men uden varige mén).
  • Sandsynlighed (P): Kan kontakt med den varme del ske ofte? Antag, at delen sidder et svært tilgængeligt sted, så utilsigtet berøring er sjælden, men stadig mulig fx under vedligehold – vi giver 2 (på en skala fra 1–5, svarende til “mindre sandsynligt”).
  • Eksponering (E): Hvor ofte er operatøren i nærheden af denne del? Hvis maskinen kører dagligt, og operatøren hver time skal udskifte materiale tæt ved varmelegemet, kan eksponeringen betragtes som hyppig – vi sætter 4 (på en skala fra 1–5, hvor 5 er konstant eksponering, og 4 er hyppig, fx mange gange dagligt).

Vi beregner Risk Score = 3 × 2 × 4 = 24. Nu fortolker vi resultatet: hvis vi antager en tærskel fx >20 som høj risiko, viser værdien 24, at risikoen er uacceptabel eller i det mindste “væsentlig”. Virksomheden bør derfor iværksætte tiltag – fx tilføje en termisk afskærmning, isolere varmeelementet eller udstyre operatøren med egnede handsker og oplære vedkommende. Efter implementering af disse foranstaltninger kan en ny pointvurdering falde (fx reduceret eksponering pga. afskærmning – E fra 4 til 1, hvilket giver en ny Risk Score 3×2×1 = 6, dvs. lav risiko).

Det er værd at bemærke, at tallet 24 i sig selv ikke har en enhed eller en absolut betydning – det giver først mening i forhold til de fastlagte kriterier (her: 24 overskrider accepttærsklen) og i sammenligning med resultaterne for andre farer. Hvis andre farer i denne maskine fx ligger omkring 5–10, og én ligger på 24, ved vi, hvad der skal prioriteres.

Fordele ved pointmetoden:

  • Større relativ præcision: I modsætning til “faste” kategorier i en matrix gør Risk Score det muligt at skelne mellem risici. Et resultat på 24 vs 18 vs 36 giver mere information end blot “middel” vs “høj”. Det gør det lettere at sammenligne farer systematisk og prioritere tiltag
  • Mindre subjektivitet via numeriske kriterier: Selve valget af delvurderinger er subjektivt, men brugen af tal tvinger en vis konsekvens igennem. Hvis vi definerer skalaen tydeligt (fx hvad 1 og 5 betyder for hver faktor) og følger den, bliver vurderingerne mere objektive inden for organisationen. Beslutninger som “er 24 en acceptabel risiko?” er også enklere, fordi man kan henvise til aftalte tærskler – drøftelsen bliver mindre følelsespræget og mere saglig.
  • Nyttig ved et stort antal farer: I komplekse projekter, hvor vi identificerer snesevis af potentielle farer, vil en liste sorteret faldende efter Risk Score tydeligt vise, hvad der skal håndteres først. Det letter risikostyringen og fordelingen af ressourcer (tid, penge) til sikkerhedsforanstaltninger dér, hvor de er mest nødvendige.

Ulemper ved pointmetoden:

  • Behov for kalibrering og passende skala: For at metoden kan fungere, skal skalatrin og pointskalaer være gennemtænkte. Derudover bør organisationen tilpasse dem til sin egen kontekst – fx vil skalaen være anderledes for projektrisiko end for maskinsikkerhed. Teamet skal også oplæres, så alle forstår værdierne på samme måde. Det kræver en vis indsats og disciplin i anvendelsen af de fastlagte regler
  • Tilsynekommende nøjagtighed: Selvom tal kan give indtryk af præcision, må vi ikke glemme, at de stadig bygger på eksperters subjektive vurdering. Forskellen mellem en fare vurderet til 15 og 16 point kan i praksis være tvivlsom – det er ikke en fysisk måling, men et skøn. Der er en risiko for, at det at få “ét tal” slører helhedsbilledet – folk kan komme til at lægge for stor vægt på selve tallet og glemme konteksten. Derfor bør en pointscore altid fortolkes kvalitativt og med en vis kritisk sans
  • Kompleksitet ved mange faktorer: Mere omfattende metoder (fx HRN – Hazard Rating Number) kan inddrage 4 eller 5 faktorer og give et meget bredt spænd af resultater. Det kan teoretisk give et mere præcist billede, men bliver mindre overskueligt for brugeren. Når man tilføjer flere parametre (fx detekterbarhed, mulighed for at undgå osv.), øges den indsats, der kræves for at vurdere hver fare, og det kan gøre det sværere at kommunikere resultaterne til personer udenfor.
Sandsynlighed (P) Point
Meget sjældent (praktisk talt umuligt) 1
Usandsynligt (én gang hvert mange år) 2
Muligt (én gang hvert par år) 3
Sandsynligt (én gang om året eller oftere) 4
Meget sandsynligt (ofte) 5
Konsekvensens alvor (S) Point
Ubetydelige, lette skader (uden lægehjælp) 1
Moderate skader (kræver lægehjælp) 2
Alvorlige skader, langvarige følger 3
Meget alvorlige skader, varigt mén 4
Død eller katastrofe 5
Eksponering (E) Point
Meget sjælden kontakt (én gang i maskinens levetid) 1
Sjælden kontakt (et par gange i maskinens levetid) 2
Lejlighedsvis kontakt (et par gange om året) 3
Hyppig kontakt (ugentligt eller månedligt) 4
Konstant kontakt (dagligt eller kontinuerligt) 5
Risk Score-værdi Risikoniveau Handling
1–20 🟢 Lav (acceptabel) Standard sikkerhedsforanstaltninger er tilstrækkelige.
21–50 🟡 Middel (kræver opmærksomhed) Overvågning, eventuelt supplerende beskyttelsesforanstaltninger.
>50 🔴 Høj (uacceptabel) Der kræves straks foranstaltninger til risikoreduktion.

Praktisk eksempel på anvendelse

Fare: Forbrænding af operatørens hånd på en varm maskindel (varmeblok 150°C).

Vurdering af faren:

  • P (Sandsynlighed): Delen er svær at komme til, kontakt er kun sporadisk mulig (vedligehold), vurdering: 2
  • S (Konsekvensens alvor): Moderate skader, der kræver lægehjælp, uden varige følger, vurdering: 3
  • E (Eksponering): Operatøren befinder sig ofte tæt på delen (dagligt, hver time), vurdering: 4

Risk Score = P × S × E = 2 × 3 × 4 = 24

Fortolkning af resultatet:

  • Risk Score = 24, dvs. middel risiko (🟡), hvilket kræver supplerende beskyttelsesforanstaltninger eller overvågning.

Afhjælpende tiltag:

  • Montering af termisk isolering eller afskærmning.
  • Sikring af egnede beskyttelseshandsker.
  • Oplæring af operatører.

Ny risikovurdering efter implementering af tiltag:
Eksponeringen falder fx fra 4 til 1 (sjælden kontakt):

Ny Risk Score = 2 × 3 × 1 = 6, dvs. lav risiko (🟢).

ISO/TR 14121-2: Kvalitativ vs. kvantitativ tilgang i risikoanalyse

I risikoanalyse for maskiner kan vi skelne mellem to overordnede tilgange: kvalitativ (qualitative) og kvantitativ (quantitative). I praksis ligger de fleste af metoderne beskrevet ovenfor et sted mellem disse yderpunkter – men det er værd at forstå, hvad der adskiller dem:

  • Kvalitative metoder bygger på beskrivende kategorier og ekspertvurdering. Resultatet er typisk en bestemt risikoklasse (fx “lav”, “moderat”, “høj”) eller en nødvendig handling (“acceptabel” vs. “uacceptabel”). Et eksempel på en rent kvalitativ tilgang er en beskrivende konklusion: “risikoen for elektrisk stød blev vurderet som høj, fordi konsekvenserne er alvorlige, og eksponeringen er hyppig, selv om sandsynligheden er moderat”. Risikomatricer og risikografer hører for det meste til i denne gruppe – man bruger verbale betegnelser eller bogstavsymboler frem for konkrete tal. Fordel: let at forstå for alle deltagere i processen (alle forstår intuitivt, hvad “høj risiko” betyder, mere end fx “risiko = 3,7×10^-5”!). Derudover er den kvalitative tilgang den eneste mulige, når der mangler taldata – hvilket ofte er tilfældet for nye maskiner eller sjældne hændelser. Ulempe: kvalitative resultater er sværere at sammenligne og kan være subjektive. To eksperter kan beskrive og vurdere den samme risiko forskelligt, mens et tal ville tvinge en form for sammenvejning af deres vurderinger.
  • Kvantitative metoder sigter mod at udtrykke risiko i talværdier, ofte i absolutte enheder (fx sandsynlighed 1 pr. million operationer, forventet ulykkesfrekvens 0,001/år, forventet omkostning ved tab i kr.). En fuldt kvantitativ risikoanalyse forsøger at udnytte data – fejlstatistikker, ulykkesfrekvens i branchen, data om komponenters pålidelighed – til at beregne risikoen objektivt. Et eksempel kan være: “sandsynligheden for sensorfejl og samtidig svigt af sikkerhedsbremsefunktionen er 2,3 × 10^-8 pr. driftstime; med 2000 h drift om året er risikoen for en dødelig ulykke ~4,6 × 10^-5 pr. år, dvs. mindre end kriteriet $10^{-4}$/år – vi vurderer risikoen som acceptabel.” En sådan tilgang ses fx ved analyse af funktionel sikkerhed (beregning af PFH – Probability of a Dangerous Failure per Hour for styresystemer) eller ved procesrisikovurdering med metoder som LOPA, hvor risikoen udtrykkes numerisk. Fordele: giver et indtryk af høj præcision og mulighed for sammenligning med formelle kriterier (fx ALARP-niveauer eller lovkrav, hvis sådanne findes). Den muliggør også optimering af omkostning kontra effekt – man kan estimere, hvad en given risiko statistisk “koster”, og om det kan betale sig at reducere den yderligere. Ulemper: en fuld kvantitativ analyse er tidskrævende og kræver data, som ikke altid er tilgængelige. For mange maskiner mangler der præcise statistikker for fejlhyppighed eller ulykkesforekomst – så kan tallene bygge på gæt, hvilket undergraver meningen med beregningerne. Desuden kan den tilsyneladende objektivitet være misvisende: risikomodellering kræver ofte forenklede antagelser, og slutresultatet kan være behæftet med usikkerhed på flere størrelsesordener (selv om der vises mange betydende cifre). Maskinstandarder kræver i langt de fleste tilfælde ikke en fuldt kvantitativ vurdering – de tillader den, men peger på, at en verbal beskrivelse af risikoen normalt er lettere at forstå end at arbejde med numeriske indikatorer.

I praksis ved maskiners risikoanalyse anvendes ofte en semi-kvantitativ tilgang (semi-quantitative), fx en pointmetode, der tildeler tal til kvalitative kategorier, men uden at påstå, at der er tale om “reelle” sandsynligheder eller omkostninger. Det giver en lidt højere opløsning i vurderingen end rent beskrivende kategorier, samtidig med at man undgår en foregivet nøjagtighed. Valget af tilgang bør tage højde for projektets behov: Hvis det er nødvendigt at dokumentere overensstemmelse med standarder (fx beregning af PL eller SIL for et styresystem), må man bruge de metoder, som standarden angiver (typisk kvalitative eller pointbaserede). Hvis virksomheden derimod fokuserer på intern risikovurdering i et forretningsmæssigt perspektiv, kan den vælge mere kvantitative analyser for de vigtigste farer.

ISO/TR 14121-2: Kombination af metoder og valg af den rette tilgang

Der findes ikke én universel metode til risikoanalyse, som passer til alle situationer. Erfarne sikkerhedsingeniører kombinerer ofte forskellige tilgange for at få et mere komplet billede og træffe bedre beslutninger. Nedenfor er nogle retningslinjer for hvornår man bruger hvilken metode, og hvordan de kan kombineres:

  • Projektets konceptfase (tidlig design): I starten, når maskinen kun er på skitse- eller prototypestadiet, mangler der typisk detaljerede taldata. Her fungerer hurtige, kvalitative metoder godt – fx brainstorming kombineret med en risikomatrix for de identificerede farer. Matrixen hjælper med at fange de mest kritiske områder allerede fra begyndelsen. Man kan også bruge en tjekliste over farer fra ISO 12100 og for hver fare tilføje en vurdering i kategorierne “lav/middel/høj risiko”. På dette trin er det vigtigere ikke at overse nogen fare end at estimere sandsynligheden præcist – derfor er beskrivende metoder helt tilstrækkelige. Resultaterne af en sådan indledende analyse kan påvirke designbeslutninger (fx ændring af maskinens layout, indbygning af en afskærmning allerede i konstruktionen, reduktion af bevægelseshastighed hvis risikoen er høj).
  • Detaljeret konstruktionsfase: Når vi kender flere data om maskinen – dens tekniske parametre, cyklustider, planlagte sikkerhedsforanstaltninger – er det relevant at gennemføre en mere præcis analyse. Her kan en pointbaseret metode komme i spil. Den egner sig til systematisk analyse af snesevis af konkrete farer. Den gør det også muligt at sammenligne forskellige løsningsvarianter: Hvis vi fx overvejer, om vi skal vælge en fast afskærmning eller et lysgitter, kan vi estimere en Risk Score for scenarier med den ene og den anden foranstaltning – og dermed se, hvilken der reducerer risikoen bedst. Under detailkonstruktionen anvender man ofte også risikografer for sikkerhedsfunktioner. For hver identificeret funktion (fx nødstop, frakobling af drev ved åbning af afskærmningsdør, hastighedsbegrænsning i indstillings-/opsætningsmode) anvender vi grafen fra ISO 13849-1 eller IEC 62061 for at fastlægge det krævede PLr/SIL. Disse oplysninger påvirker derefter valg af komponenter (fx om et sikkerhedsrelæ i kategori 2 PL=c er tilstrækkeligt, eller om der kræves en dual-channel controller PL=e). I praksis betyder det, at man i samme projekt bruger flere metoder parallelt: en overordnet risikovurdering med matrix/pointmetode for hele maskinen samt dedikerede grafer for specifikke farer, der kræver kontrollerede sikkerhedssystemer.
  • Maskiner med komplekse og varierede farer: Hvis vi arbejder med et omfattende anlæg (fx en integreret produktionslinje, samarbejdende robotter, maskiner med mange delsystemer), er én metode ikke nødvendigvis nok. Eksempel: I en pakkelinje kan der samtidig forekomme alvorlige mekaniske farer (fx klemning fra robotgriber), elektriske farer (højspændingstavle), ergonomiske farer (manuel løft af tunge emner) og software-/cyberrelaterede farer (fejl i styringssoftwaren). I en sådan situation er det hensigtsmæssigt at:
    • For mekaniske/elektriske farer – anvende en risikomatrix eller scoring til risikovurdering og til at pege på behovet for afskærmninger, låse, lock-out osv. For farer knyttet til styresystemet (fx sensorfejl, der fører til kollision) – bruge risikograf fra standarderne til at fastlægge PLr/SIL, hvilket omsættes til krav til styresystemets arkitektur. For ergonomiske risici – i højere grad basere sig på kvalitativ vurdering (fx bruge ergonomistandarder eller arbejdsmiljøvejledninger, fordi det er svært at kvantificere; man kan bruge en risikomatrix, men med fokus på dialog med medarbejdere, belastningsspørgeskemaer osv.). For digitale/IT-risici – overveje særskilte tilgange (cybersecurity-analyse, software-FMEA), fordi klassiske sikkerhedsmatricer ikke nødvendigvis fanger fx risikoen for hacking af systemet. Hvis det er nødvendigt, kan sådanne risici vurderes separat af IT-specialister, og deres konklusioner kan indarbejdes i den samlede analyse.

Det endelige resultat vil være et samlet og fuldstændigt risikobillede. Det er vigtigt at samle alle vurderinger i en sammenhængende rapport, fx som en tabeloversigt over farer med kolonnerne: beskrivelse af faren, vurderingsmetode (matrix/diagram/pointscore), vurderingsresultat, risikoreducerende foranstaltninger, risiko efter reduktion. På den måde kan en auditor eller den person, der verificerer maskinens overensstemmelse, se, at ingen risikotype er blevet overset, og at der er anvendt relevante analyseteknikker for hver af dem.

  • Inddragelse af data og statistikker: Når vi har adgang til faktiske data (fx fejlhyppighed for tilsvarende maskiner, ulykkesstatistik fra litteraturen, leverandørdata om komponenters pålidelighed), er det værd at inddrage dem i vurderingen, men med omtanke. Man kan fx bruge tal til at underbygge kvalitative vurderinger: “hændelsesfrekvensen vurderes som høj, fordi der i anlæg med en tilsvarende proces er registreret 5 ulykker om året pr. 100 maskiner”. Hvis virksomheden har en ALARP-politik (as low as reasonably practicable) eller fastsatte grænser for tolerabel risiko, kan en kvantitativ analyse være nødvendig for at dokumentere, at sandsynligheden for en katastrofe ligger under fx $10^{-6}$ pr. år. I maskinpraksis arbejder man dog sjældent med så strenge kriterier som fx i den kemiske industri eller luftfarten. Nøglen er sund fornuft: hvor det er muligt, brug data (de gør analysen mere troværdig), men vær ikke bange for at læne dig op ad ekspertvurdering dér, hvor data mangler. Kombinationen: ingeniørfaglig ekspertise + tilgængelige statistiske oplysninger giver de bedste resultater.
  • Iterativ tilgang og verifikation af resultater: Efter implementering af sikkerhedsforanstaltninger skal du altid vende tilbage til risikaanalysen. Ofte anvendes den samme metode, men nu med de nye beskyttelser indregnet. Hvis en pointscore fx i udgangspunktet gav 60 (høj risiko), og der blev indført tiltag, kan en ny scoring ende på 15 (lav risiko), hvilket dokumenterer effekten af de gennemførte handlinger. Det er også en god idé at bruge mere end én metode for kritiske farer: hvis en matrix viser en risiko på grænsen af accept, kan man uafhængigt genberegne pointscoren eller vurdere med et diagram – hvis alle metoder bekræfter, at det er i orden, har man større sikkerhed. Hvis metoderne giver forskellige resultater, skal det analyseres (måske var kategorierne i matrixen dårligt valgt, eller pointscoren forvred billedet?) og eventuelt bør man vælge den mere konservative konklusion.
  • Maskintype og valg af metode: For enkle maskiner (fx en lille presse, en søjleboremaskine) er en simpel risikomatrix som regel tilstrækkelig, eller endda en tjekliste over farer med beskrivende vurderinger. For prototypemaskiner og unikke maskiner – hvor der ikke findes indarbejdede standardløsninger for afskærmning – er det bedre at anvende et bredere udvalg af metoder: en matrix til at identificere overordnede problemer, pointscore til at strukturere prioriteringer og diagrammer til de forhold, hvor sikkerhedssystemet skal dimensioneres. Seriefremstillede maskiner (produceret i et stort antal eksemplarer) har ofte allerede etablerede analyser – her er det en fordel at holde sig til en ensartet metode (fx at man i hele virksomheden bruger den samme pointmodel), så efterfølgende vurderinger kan sammenlignes. Derimod kan teknologiske linjer (hvor mange maskiner integreres) kræve opdelt analyse: først en risikovurdering på niveauet for hver enkelt maskine, og derefter en supplerende risikaanalyse af hele det integrerede system (som fx tager højde for risici ved overførsel af emner mellem maskiner, robotkollisioner indbyrdes, kaskadefejl). Den sidste udføres ofte som en HAZOP-workshop eller ganske enkelt som endnu en risikomatrix for globale scenarier.

    • Sammenfattende er kombination af metoder bedste praksis, fordi hver metode har sin egen vinkel. En matrix eller et diagram kan vise det overordnede billede og minimumskravene, mens pointscore eller kvantitativ analyse kan præcisere detaljerne og støtte økonomiske beslutninger (hvor det bedst kan betale sig at investere i sikkerhed). Det er vigtigt at bevare konsistens i dokumentationen – tydeligt notere, med hvilken metode den enkelte fare er vurderet, og hvorfor netop den blev valgt. På den måde kan en auditor for overensstemmelsesvurdering (fx et bemyndiget organ, der gennemgår CE-dokumentationen) se, at analysen er udført kompetent og grundigt, i overensstemmelse med normernes intention og god ingeniørpraksis.

    Risikaanalyse er kernen i processen for maskinens overensstemmelsesvurdering, obligatorisk i henhold til Maskindirektivet/maskinforordningen i EU samt harmoniserede standarder. Den gør det muligt for konstruktører at identificere farer, estimere den tilknyttede risiko og iværksætte foranstaltninger, der reducerer risikoen, før der overhovedet sker en ulykke.

    Der findes ikke én “bedste” metode – hver har sine styrker og svagheder. Derfor består sikkerhedsingeniørens kompetence i at vælge det værktøj, der passer til opgaven: nogle gange er en simpel matrix nok, andre gange kræves der en detaljeret scoring eller en SIL-analyse. Ofte opnås de bedste resultater med en kombination af metoder, hvor de supplerer hinanden. For eksempel kan vi starte med en kvalitativ identifikation af farer, derefter kvantitativt (pointbaseret) vurdere de vigtigste, og for forhold relateret til styresystemet bruge normative grafer – på den måde overser vi ikke noget.

    Til sidst skal vi huske: målet er ikke i sig selv at udfylde en tabel eller en graf, men en reel forbedring af sikkerheden. Risikovurdering er iterativ og kreativ. Den tilskynder til at stille spørgsmål som “hvad nu hvis …?” og til at finde løsninger, der eliminerer farer ved kilden. Metoderne, vi har beskrevet her, er værktøjer, der hjælper med at systematisere dette arbejde. Når vi bruger dem, bør vi holde os til principperne i standarderne (ISO 12100 og relaterede) samt god ingeniørpraksis, og samtidig inddrage flere perspektiver i processen (konstruktører, operatører, vedligehold, arbejdsmiljø). En sådan risikovurdering vil være troværdig, komplet og effektiv, hvilket omsættes til en sikker maskine med CE-mærkning og ro i sindet for både producenten og slutbrugeren.

    Oceń post

    ISO/TR 14121-2 – hvordan risikovurdering gennemføres i praksis

    ISO/TR 14121-2 er en vejledning, der beskriver praktiske metoder til risikovurdering. Den supplerer den procesorienterede tilgang i ISO 12100, men foreskriver ikke én enkelt, obligatorisk metode.

    Først fastlægges maskinens omfang og begrænsninger, derefter identificeres farer i alle faser af livscyklussen. Derefter analyseres og estimeres risikoen, dens acceptabilitet vurderes, og risikoreduktion implementeres iterativt, indtil et acceptabelt niveau er opnået.

    For hver fare overvejes ulykkesscenarier, deres årsager, sandsynligheden for forekomst samt konsekvensernes alvorlighed. Resultatet af vurderingen skal gøre det muligt at afgøre, om risikoreduktion er nødvendig, og i hvilket omfang.

    En risikomatrix er en tabel, der kobler kategorier for sandsynligheden for en hændelse (kolonner) med kategorier for konsekvensens alvorlighed (rækker), hvilket giver et risikoniveau (f.eks. lavt/middel/højt). I praksis er det afgørende, at teamet i fællesskab definerer, hvad kategorierne betyder, for at begrænse subjektive vurderinger.

    Den estimerede risiko sammenlignes med de fastlagte acceptkriterier for at afgøre, om den er tolerabel, eller om der kræves tiltag. Risikoreduktionen gennemføres i henhold til hierarkiet i ISO 12100: iboende sikre løsninger, tekniske beskyttelsesforanstaltninger og til sidst organisatoriske foranstaltninger og personlige værnemidler, hvorefter den resterende risiko vurderes.

    Del: LinkedIn Facebook