Teknisk resumé
Vigtigste pointer:

Teksten fremhæver den iterative karakter af risikovurderingen og valget af metode i forhold til maskintype, farer og projektfase. Den beskriver også grundprincipperne for en risikomatrix som et værktøj, der kombinerer konsekvensens alvorlighed og sandsynligheden for, at hændelsen indtræffer.

  • Risikovurdering er afgørende ved vurdering af maskiners overensstemmelse og forberedelse til CE-mærkning på EU-markedet.
  • ISO 12100 og ISO/TR 14121-2 beskriver rammerne og de praktiske metoder til identifikation af farer samt vurdering af risiko.
  • Processen omfatter: maskinens omfang og begrænsninger, identifikation af farer, analyse/estimering, accept og risikoreduktion.
  • Risikoreduktion i henhold til ISO 12100: iboende sikker konstruktion, tekniske beskyttelsesforanstaltninger, organisatoriske foranstaltninger og personlige værnemidler (PPE).
  • Artiklen gennemgår metoder til risikovurdering: risikomatricer og risikograf, pointbaserede metoder samt kvalitative og kvantitative tilgange.

Processen for vurdering af maskiners overensstemmelse med de væsentlige krav kræver en grundig risikovurdering i overensstemmelse med gældende standarder. Maskinsikkerhed er et fundament i både konstruktion og drift af industrielt udstyr – enhver producent skal, før en maskine bringes på EU-markedet, identificere farer og reducere risikoen til et acceptabelt niveau. Standarder som ISO 12100 (Maskinsikkerhed – generelle principper for konstruktion, risikovurdering og risikoreduktion) samt vejledningen ISO/TR 14121-2 (praktiske metoder til risikovurdering) giver en ramme for arbejdet. Branchestandarder som DS/EN ISO 13849-1 og DS/EN 62061 fokuserer derimod på sikkerheden i styresystemer og anvender specifikke metoder til risikoskøn for at fastlægge de krævede niveauer for sikkerhedsintegritet (Performance Level, SIL).

I denne artikel ser vi nærmere på de vigtigste metoder til risikoanalyse, der anvendes ved overensstemmelsesvurdering af maskiner: risikomatricer, risikografer, pointbaserede metoder samt kvalitative og kvantitative tilgange. Vi sammenligner deres forudsætninger, peger på fordele og ulemper ved hver metode og illustrerer praktiske anvendelser (med eksempler inspireret af standardernes dokumentation, men passende tilpasset). Til sidst giver vi anbefalinger til, hvordan man kombinerer forskellige tilgange og vælger en metode, der passer til typen af farer, designfasen og maskintypen.

Husk: formålet med risikoanalysen er ikke kun at opfylde de formelle krav til CE-mærkning, men først og fremmest at sikre, at maskinen er sikker gennem hele sin livscyklus – fra konstruktion, over brug, til vedligeholdelse og udfasning. Derfor bør man vælge metoder til risikoanalyse, så alle farer identificeres effektivt, og risikoen vurderes på en systematisk måde, som er forståelig for hele teamet.

ISO/TR 14121-2: Grundlaget for risikovurderingsprocessen

Før vi går videre til de konkrete metoder, genopfrisker vi kort trinene i risikovurderingen i henhold til DS/EN ISO 12100:2012.

  1. Fastlæggelse af maskinens omfang og begrænsninger: Forståelse af maskinens funktion, anvendelse, systemgrænser og brugere. Afklar, under hvilke betingelser maskinen skal arbejde (f.eks. miljø, belastninger, oplæring af personale).
  2. Identifikation af farer: Oplistning af alle potentielle farekilder i alle faser af maskinens livscyklus (installation, normal drift, rengøring, vedligeholdelse, fejl, demontering). Farer kan være mekaniske, elektriske, termiske, kemiske, strålingsrelaterede, ergonomiske osv. Det er vigtigt at inddrage både konstruktører og de kommende operatører – personalets praktiske viden gør det muligt at opdage mindre oplagte risici.
  3. Analyse og estimering af risiko: For hver identificeret fare analyserer vi mulige ulykkesscenarier: årsagerne til hændelsen, sandsynligheden for at den indtræffer samt konsekvenserne for operatører eller udstyr. Derefter estimerer vi risikoniveauet – her kommer netop de værktøjer ind, som omtales senere (matricer, grafer, pointskalaer osv.). Målet er at tildele hver fare en “risikovægt” baseret på vurderet hyppighed og alvorlighed af potentielle skader.
  4. Vurdering af risikoens acceptabilitet: Vi sammenholder den estimerede risiko med de acceptkriterier, der er fastlagt i virksomheden eller projektet. F.eks. om risikoen er så lav, at den kan tolereres, eller om den kræver reduktion. Mange organisationer arbejder ud fra princippet om, at risiko, der kan medføre død eller varigt mén, er uacceptabel uanset sandsynligheden – medmindre der implementeres særlige beskyttelsesforanstaltninger.
  5. Risikoreduktion: For risici, der vurderes for høje, implementeres risikoreducerende foranstaltninger i henhold til det såkaldte tretrins-hierarki fra ISO 12100: (a) eliminering af farer gennem konstruktion (iboende sikre løsninger), (b) tekniske beskyttelsesforanstaltninger (afskærmninger, sikkerhedsanordninger), (c) organisatoriske foranstaltninger og personlige værnemidler (instruktioner, oplæring, PPE). Efter indførelse af disse foranstaltninger gentages risikoanalysecyklussen iterativt, hvor den resterende risiko vurderes – indtil et acceptabelt niveau er opnået.

I det følgende fokuserer vi på trinnet risikoskøn (punkt 3 ovenfor) og præsenterer de mest udbredte metoder. Det er værd at understrege, at ISO 12100 ikke foreskriver én bestemt teknik – den tillader både kvalitative (beskrivende) og kvantitative (numeriske) tilgange, så længe resultatet af vurderingen gør det muligt at beslutte, om risikoreduktion er nødvendig. Ifølge ISO/TR 14121-2 findes der mange sidestillede værktøjer, og valget afhænger af maskinens karakteristika og vurderingsteamets præferencer.

Risikomatrice (Risk Matrix)

Risikomatricen er et af de enkleste og mest udbredte værktøjer til visuel risikovurdering. Det er en tabel (matrix), hvor kolonnerne typisk repræsenterer kategorier for sandsynlighed for, at en hændelse indtræffer, og rækkerne – kategorier for konsekvensens alvor (følger). Ved at finde skæringspunktet mellem den række og kolonne, der svarer til vurderingen af den konkrete fare, aflæser man det tilknyttede risikoniveau (fx lavt, middel, højt eller angivet med farve: grøn, gul, rød).

Hvordan opbygger man en risikomatrice? Først definerer man diskrete skalaer for begge dimensioner. For konsekvenser kan man fx anvende: 1 – lette skader (ufarlige skader), 2 – skader, der kræver lægehjælp, 3 – alvorlig personskade eller varigt mén, 4 – dødsfald. For sandsynlighed for hændelsen kan en eksempel-skala være: A – meget sjælden (fx “praktisk talt utænkelig”), B – usandsynlig (én gang på mange år), C – mulig (flere gange i maskinens levetid), D – sandsynlig (kan ske én gang om året eller oftere), E – hyppig (regelmæssigt, fx én gang om måneden eller løbende). I praksis tilpasser virksomheder disse kategorier til deres behov – det vigtige er, at vurderingsteamet i fællesskab fastlægger, hvad kategorierne betyder, så man mindsker subjektivitet.

Dernæst udarbejder man tabellen ved at tildele risikoniveauer til de enkelte kombinationer. Et eksempel på en 4×5-matrice illustreres af tabellen nedenfor (farverne angiver et typisk risikoniveau – grøn acceptabel, gul middel, rød høj):

Konsekvensens alvorSandsynlighed A
meget sjælden		 B
usandsynlig		 C
mulig		 D
sandsynlig		 E
hyppig
1 – Lette skader (ufarlige skader) 🟢
Lav		 🟢
Lav		 🟡
Middel		 🟡
Middel		 🟡
Middel
2 – Skader, der kræver lægehjælp 🟢
Lav		 🟡
Middel		 🟡
Middel		 🔴
Høj		 🔴
Høj
3 – Alvorlig personskade eller varigt mén 🟡
Middel		 🟡
Middel		 🔴
Høj		 🔴
Høj		 🔴
Meget høj
4 – Dødsfald 🟡
Middel		 🔴
Høj		 🔴
Høj		 🔴
Meget høj		 🔴
Ekstremt høj

Forklaring af farver og risikoniveauer:

  • 🟢 Lav risiko (acceptabel) – der kræves ingen handlinger, eller grundlæggende beskyttelsesforanstaltninger er tilstrækkelige.
  • 🟡 Middel risiko (moderat) – yderligere risikoreducerende tiltag bør overvejes, der bør indføres ekstra beskyttelsesforanstaltninger og overvågning.
  • 🔴 Høj/Meget høj/Ekstremt høj risiko – uacceptabel uden yderligere sikring; der kræves hurtige og omfattende risikoreducerende tiltag.

Eksempel på praktisk anvendelse af risikomatricen:

Fare:

Blottet skæreskive på en industrisav.

Vurdering:

  • Konsekvensens alvor: S4 – Dødsfald (katastrofale følger).
  • Sandsynlighed: C – Mulig (flere gange i maskinens levetid).

Resultat af vurderingen i matricen:

Skæringspunktet mellem række S4 og kolonne C viser feltet 🔴 Høj risiko.

Konsekvens af resultatet:

  • Risikoen vurderes som uacceptabel uden yderligere sikring.
  • Producenten skal anvende beskyttelsesforanstaltninger, fx:
    • Afskærmning af skiven.
    • Sikkerhedsafbryder.
    • Et låsesystem, der forhindrer utilsigtet start under rengøring.

Yderligere tiltag:

  • Når beskyttelsesforanstaltningerne er implementeret, skal analysen gennemføres igen.
  • Målet er at opnå et niveau på mindst “Middel” eller helst “Lav”.

Eksempel på en risikomatrice (engelsksproget) med 4 kategorier for konsekvensens alvor (I–IV) og 5 kategorier for sandsynlighed (A–E). Farven angiver den resulterende risikovurdering: fra lav (L) over middel (M) og høj (H) til ekstremt høj (EH). I praksis kan matricer have forskellige størrelser, fx 3×3, 5×5 osv., afhængigt af analysens behov.

Fordele ved risikomatricen:

  • Enkelhed og tydelighed: Matricen er let at forstå og giver et grafisk billede af risikoen, der minder om en intuitiv “trafiklyslogik” (grøn – ok, rød – stop). Derfor kan den være nyttig i kommunikationen med ledelsen og ikke-tekniske personer – den viser hurtigt, hvor de største farer er.
  • Hurtig klassificering: Gør det muligt hurtigt at prioritere – fx hvilke risici der er lave (acceptable), og hvilke der kræver hurtig handling.

Ulemper ved risikomatricen:

  • Subjektivt valg af kategorier: Fastlæggelsen af, hvad der præcist menes med “mindre sandsynligt” eller “alvorlig skade”, beror på teamets vurdering. Forskellige personer kan bedømme det forskelligt, hvilket påvirker resultatet. Standardisering af kategorier i organisationen er afgørende, men en vis grad af skøn vil stadig være til stede.
  • Begrænset præcision: Matricen grupperer risiko i brede intervaller. To forskellige farer kan få samme resultat (fx “middel risiko”), selv om den ene ligger tæt på den nedre grænse og den anden tæt på den øvre. Det kan være en for grovkornet tilgang, hvis der er behov for en mere detaljeret analyse eller for at sammenligne mange farer.

Risikograf (Risk Graph)

En risikograf er en grafisk metode, ofte vist som et beslutningstræ eller et logisk diagram. Den bygger på en sekventiel vurdering af flere risikoparametre, typisk med binære svar (fx lav/høj, ja/nej), som leder os ad en sti frem til et resultat. Hver knude i en sådan graf forgrener sig i et begrænset antal muligheder (oftest to), hvilket gør metoden overskuelig, om end mindre detaljeret.

Risikografer har fået bred anvendelse i standarder for styresystemer. For eksempel indeholder DS/EN ISO 13849-1 (sikkerhed for maskiners styresystemer) et grafisk skema til risikovurdering, som gør det muligt at fastlægge det krævede Safety Performance Level PLr for sikkerhedsfunktioner. Tilsvarende anvender DS/EN 62061 (vedrørende maskiners funktionelle sikkerhed) en beslægtet tilgang til at bestemme det krævede sikkerhedsintegritetsniveau SIL. I begge tilfælde vurderer vi efter tur følgende faktorer:

  1. S (Severity)alvorligheden af den potentielle skade: fx S1 = let eller reversibel skade, S2 = alvorlig skade (irreversibel) eller død.
  2. F (Frequency/Exposure)hyppighed og varighed af eksponering for faren: fx F1 = sjælden eller kortvarig eksponering, F2 = hyppig eller langvarig eksponering.
  3. P (Possibility of Avoidance)mulighed for at undgå faren eller begrænse skaden: fx P1 = kan undgås under gunstige omstændigheder (operatøren har mulighed for at reagere), P2 = praktisk talt umuligt at undgå (hændelsen er pludselig eller uundgåelig).
  4. (Valgfrit) W/Pr (Probability of occurrence)sandsynlighed for, at en farlig hændelse indtræffer: denne parameter indgår nogle gange eksplicit, fx i IEC 62061, som en selvstændig faktor (betegnet Pr) ved siden af eksponeringshyppighed og mulighed for at undgå. I praksis indgår den i ISO 13849-1 indirekte i vurderingen af F og P.

På baggrund af vurderingerne ovenfor når vi, ved at følge stien i grafen, frem til et resultat – oftest angivet som et risikoniveau eller en kategori for nødvendige beskyttelsesforanstaltninger. For ISO 13849-1 er resultatet det krævede Performance Level (PLr) fra a til e (hvor a angiver det laveste krævede pålidelighedsniveau for styresystemet, og e det højeste). I ISO 14121-2 findes der derimod en graf, som giver en risikoindikator på en numerisk skala, fx fra 1 til 6 – værdierne 1–2 betyder lav risiko, mens højere værdier peger på behovet for yderligere risikoreducerende tiltag.

START
  │
  ├─ Konsekvensens alvor (S)
  │   ├─ S1: let skade (reversibel)
  │   │   └─ Eksponeringshyppighed (F)
  │   │       ├─ F1: sjældent eller kortvarigt
  │   │       │   └─ Mulighed for at undgå (P)
  │   │       │       ├─ P1: kan undgås → PLr = a
  │   │       │       └─ P2: svært at undgå → PLr = b
  │   │       └─ F2: ofte eller langvarigt
  │   │           └─ Mulighed for at undgå (P)
  │   │               ├─ P1: kan undgås → PLr = b
  │   │               └─ P2: svært at undgå → PLr = c
  │   └─ S2: alvorlige skader (irreversible) eller død
  │       └─ Eksponeringshyppighed (F)
  │           ├─ F1: sjældent eller kortvarigt
  │           │   └─ Mulighed for at undgå (P)
  │           │       ├─ P1: kan undgås → PLr = c
  │           │       └─ P2: svært at undgå → PLr = d
  │           └─ F2: ofte eller langvarigt
  │               └─ Mulighed for at undgå (P)
  │                   ├─ P1: kan undgås → PLr = d
  │                   └─ P2: svært at undgå → PLr = e

Eksempel på anvendelse af risikografen: Lad os se på faren for, at en industrrobot rammer en person, hvis vedkommende går ind i robotens arbejdsområde uden passende sikkerhedsforanstaltninger. Vi anvender metoden fra ISO 13849-1 og vurderer i dette scenarie: S = S2 (alvorlige skader eller død), F = F2 (hyppig adgang – fx at operatøren ofte går ind i cellen, og at robotten kører mange timer om dagen), P = P2 (det er usandsynligt at kunne undgå faren – robotten bevæger sig hurtigt og giver ikke tid til at komme væk). Når vi følger risikografen i standarden, fører kombinationen (S2, F2, P2) til det krævede PLr = e – det højeste sikkerhedsniveau. Det betyder, at vi skal implementere meget pålidelige sikkerhedsforanstaltninger (fx lysgitre i højeste kategori eller dør-/låseanordninger med overvågning, redundans i styrekredse osv.) for at reducere risikoen for at blive ramt af robotten til et acceptabelt niveau. Til sammenligning: Hvis scenariet var mindre kritisk – fx en robot med lille kraft, som mennesker sjældent har adgang til – kunne vurderingen (S1, F1, P1) give resultatet PLr = c eller lavere, hvilket betyder mindre krav til sikringernes kompleksitet.

START → S2 → F2 → P2 → PLr = e

Fordele ved risikografen:

  • Logisk, tvungen analysesstruktur: Grafen fører brugeren trin for trin gennem de centrale spørgsmål om faren. Det sikrer en systematisk tilgang – man overser ikke en væsentlig faktor. Metoden er ofte udarbejdet af eksperter (fx standardiseringsudvalg) med fokus på typiske maskiner og udgør derfor god branchepraksis.
  • Fælles forståelse af kategorier: Da værdierne (fx S1/S2, F1/F2, P1/P2) er defineret i standarden, kan teamet henvise til dem, hvilket begrænser fortolkningsdiskussioner. Resultatet er, at forskellige personer, der bruger den samme graf, bør nå frem til lignende konklusioner for tilsvarende farer.
  • Direkte kobling til sikkerhedskrav: Resultatet i form af PLr eller SIL fortæller straks konstruktøren, hvor avancerede tekniske foranstaltninger der skal anvendes. Det kobler risikovurderingen til designkriterier (fx valg af styresystemsarkitektur og komponenternes pålidelighedsniveau).

Ulemper ved risikografen:

  • Begrænset detaljeringsgrad: Metoden arbejder som regel kun med få kategorier (fx to muligheder for S, F, P). Det betyder, at mange forskellige scenarier kan blive forenklet til de samme kategorier. Grafen klassificerer risiko groft og giver fx et resultat som “høj/middel/lav” eller et krævet sikringsniveau, men den viser ikke små forskelle mellem risici inden for samme kategori.
  • Ingen eksplicit numerisk værdi: Hvor en matrix eller en pointmetode kan give en relativ “score”, ender grafen typisk med en etiket (fx PLr = d). Det er sværere at sammenligne mange forskellige farer indbyrdes, fordi resultaterne er kvalitative og ikke viser “hvor meget” én risiko er større end en anden – ud over at man følger en anden gren i træet.
  • Anvendelsesspecifik: Grafer er ofte målrettet bestemte standarder eller brancher. Grafen fra ISO 13849-1 vedrører primært risiko forbundet med fejl i styresystemets funktion. Til vurdering af andre typer risici (fx ergonomi, støj) er den ikke nødvendigvis direkte anvendelig. Derfor anvendes der nogle gange forskellige grafer afhængigt af faretypen.

Pointmetoder (pointbaseret risikovurdering)

Pointmetoder, også kaldet risikoscore eller numeriske metoder, går ud på at tildele numeriske værdier til risikokategorier og derefter beregne en risikoindikator ud fra dem. I praksis er det en videreudvikling af matrixideen: I stedet for kun at bruge beskrivelser eller farver tildeler vi hver kategori (fx sandsynlighed, konsekvens, eksponering) et bestemt antal point. Derefter kombinerer vi disse point – ofte ved multiplikation eller addition – for at få en endelig værdi. En sådan værdi gør det muligt at rangordne farer fra størst til mindst risiko og fastsætte acceptkriterier.

Den mest anvendte formel er at multiplicere flere faktorer, for eksempel:

Risk Score=P×S×E

hvor:

  • P (Probability) – en pointbaseret vurdering af sandsynligheden for, at faren indtræffer (fx på en skala fra 1–5, hvor 1 er næsten aldrig, og 5 er meget ofte)
  • S (Severity) – en pointbaseret vurdering af konsekvensens alvor (fx 1 – ubetydelig skade, 5 – død eller katastrofe)
  • E (Exposure) – en pointbaseret vurdering af eksponering, dvs. hyppighed eller varighed af udsættelse for faren (fx 1 – sporadisk kontakt, 5 – kontinuerlig/daglig kontakt)

Nogle varianter af pointmetoder bruger andre faktorer – for eksempel Avoidance (A), dvs. at tage højde for operatørens mulighed for at undgå hændelsen, eller Detectability (D), dvs. muligheden for at opdage faren, før den forårsager skade. Den overordnede idé er dog den samme: det endelige resultat, Risk Score, er et tal (fx i intervallet 1–100 eller 1–1000), som jo højere det er, desto større risiko angiver det.

For at metoden er anvendelig, skal der defineres resultatintervaller, som svarer til risikoniveauer. For eksempel kan en virksomhed fastsætte: resultat 1–20 = lav risiko (acceptabel), 21–50 = middel (kræver overvågning og forbedring, hvis det er let at opnå), >50 = høj (uacceptabel, kræver øjeblikkelige tiltag). Sådanne tærskler bør udspringe af virksomhedens sikkerhedspolitik og en fornuftig analyse (fx kan de kalibreres på baggrund af tidligere risikovurderinger).

Eksempel på anvendelse af en pointmetode: Lad os tage faren for at brænde hånden på en varm maskindel (fx en varmeblok, der opvarmes til 150°C, som operatøren kan komme til at røre ved ved et uheld). Vi bruger den simple pointmodel P×S×E:

  • Konsekvensens alvor (S): En forbrænding kan være smertefuld, men er typisk ikke livstruende – vi vurderer den til 3 på en skala fra 1–5 (moderat skade, fx en alvorlig forbrænding, der kræver lægehjælp, men uden varige mén).
  • Sandsynlighed (P): Kan kontakt med den varme del ske ofte? Antag, at delen sidder et svært tilgængeligt sted, så utilsigtet berøring er sjælden, men stadig mulig, fx under vedligehold – vi giver 2 (på en skala fra 1–5, svarende til “mindre sandsynligt”).
  • Eksponering (E): Hvor ofte er operatøren i nærheden af denne del? Hvis maskinen kører dagligt, og operatøren hver time skal udskifte materiale i nærheden af varmelegemet, kan eksponeringen betragtes som hyppig – vi sætter 4 (på en skala fra 1–5, hvor 5 er konstant eksponering, og 4 er hyppig, fx mange gange om dagen).

Vi beregner Risk Score = 3 × 2 × 4 = 24. Nu fortolker vi resultatet: med en antaget tærskel, fx >20 som høj risiko, viser værdien 24, at risikoen er uacceptabel eller i det mindste “væsentlig”. Virksomheden bør derfor iværksætte tiltag – fx montere en varmeskærm, isolere varmeelementet eller udstyre operatøren med egnede handsker og instruere ham/hende. Efter implementering af disse foranstaltninger kan en ny pointvurdering falde (fx reduceret eksponering takket være afskærmning – E fra 4 til 1, hvilket giver en ny Risk Score 3×2×1 = 6, dvs. lav risiko).

Det er værd at bemærke, at tallet 24 i sig selv ikke har en enhed eller en absolut betydning – det giver først mening i forhold til de fastlagte kriterier (her: 24 overstiger accepttærsklen) og i sammenligning med resultater for andre farer. Hvis andre farer ved denne maskine fx ligger omkring 5–10, og én ligger på 24, ved vi, hvad der skal prioriteres.

Fordele ved pointmetoden:

  • Større relativ præcision: I modsætning til “faste” kategorier i en matrix gør Risk Score det muligt at skelne mellem risici. Et resultat på 24 vs. 18 vs. 36 giver mere information end blot “middel” vs. “høj”. Det gør det lettere at sammenligne farer systematisk og prioritere tiltag
  • Mindre subjektivitet via numeriske kriterier: Selve valget af delvurderinger er subjektivt, men brugen af tal tvinger en vis konsekvens igennem. Hvis vi definerer skalaen tydeligt (fx hvad 1 og 5 betyder for hver faktor) og følger den, bliver vurderingerne mere objektive inden for organisationen. Beslutninger som “er 24 en acceptabel risiko?” er også enklere, fordi man kan henvise til aftalte tærskler – diskussionen bliver mindre følelsespræget og mere saglig.
  • Nyttig ved et stort antal farer: I komplekse projekter, hvor vi identificerer snesevis af potentielle farer, vil en liste sorteret faldende efter Risk Score tydeligt vise, hvad der skal håndteres først. Det letter risikostyringen og fordelingen af ressourcer (tid, penge) til sikkerhedsforanstaltninger dér, hvor behovet er størst.

Ulemper ved pointmetoden:

  • Behov for kalibrering og passende skala: For at metoden kan fungere, skal skalatrin og pointskalaer være gennemtænkte. Derudover bør organisationen tilpasse dem til sin egen kontekst – fx vil skalaen være anderledes for projektrisiko end for maskinsikkerhed. Teamet skal også oplæres, så alle forstår værdierne på samme måde. Det kræver en vis indsats og disciplin i anvendelsen af de fastlagte regler
  • Tilsynekommende nøjagtighed: Selvom tal kan give indtryk af præcision, må vi ikke glemme, at de stadig bygger på eksperters subjektive vurdering. Forskellen mellem en fare vurderet til 15 og 16 point kan i praksis være tvivlsom – det er ikke en fysisk måling, men et skøn. Der er en risiko for, at det at få “ét tal” slører helhedsbilledet – folk kan komme til at tillægge selve tallet for stor vægt og glemme konteksten. Derfor bør en pointscore altid fortolkes kvalitativt og med en vis kritisk sans
  • Kompleksitet ved mange faktorer: Mere omfattende metoder (fx HRN – Hazard Rating Number) kan inddrage 4 eller 5 faktorer og give et meget bredt spænd af resultater. Det giver teoretisk et mere præcist billede, men bliver mindre overskueligt for brugeren. Tilføjelse af flere parametre (fx detekterbarhed, mulighed for at undgå osv.) øger indsatsen ved vurdering af hver fare og kan gøre det sværere at kommunikere resultaterne til udenforstående.
Sandsynlighed (P) Point
Meget sjældent (praktisk talt umuligt) 1
Usandsynligt (én gang på mange år) 2
Muligt (én gang hvert par år) 3
Sandsynligt (én gang om året eller oftere) 4
Meget sandsynligt (ofte) 5
Konsekvensens alvor (S) Point
Ubetydelige, lette skader (uden lægehjælp) 1
Moderate skader (kræver lægehjælp) 2
Alvorlige skader, langvarige følger 3
Meget alvorlige skader, varigt mén 4
Død eller katastrofe 5
Eksponering (E) Point
Meget sjælden kontakt (én gang i maskinens livscyklus) 1
Sjælden kontakt (et par gange i maskinens livscyklus) 2
Sporadisk kontakt (et par gange om året) 3
Hyppig kontakt (ugentligt eller månedligt) 4
Konstant kontakt (dagligt eller kontinuerligt) 5
Risk Score-værdi Risikoniveau Handling
1–20 🟢 Lav (acceptabel) Standard sikkerhedsforanstaltninger er tilstrækkelige.
21–50 🟡 Middel (kræver opmærksomhed) Overvågning, eventuelt supplerende beskyttelsesforanstaltninger.
>50 🔴 Høj (uacceptabel) Der er behov for øjeblikkelige tiltag til risikoreduktion.

Praktisk eksempel på anvendelse

Fare: Forbrænding af operatørens hånd på en varm maskindel (varmeblok 150°C).

Vurdering af faren:

  • P (Sandsynlighed): Delen er svær at komme til, kontakt er kun sporadisk mulig (vedligehold), vurdering: 2
  • S (Konsekvensens alvor): Moderate skader, der kræver lægehjælp, uden varige følger, vurdering: 3
  • E (Eksponering): Operatøren opholder sig ofte i nærheden af delen (dagligt, hver time), vurdering: 4

Risk Score = P × S × E = 2 × 3 × 4 = 24

Fortolkning af resultatet:

  • Risk Score = 24, dvs. middel risiko (🟡), kræver supplerende beskyttelsesforanstaltninger eller overvågning.

Afhjælpende tiltag:

  • Montering af termisk isolering eller afskærmning.
  • Sikring af egnede beskyttelseshandsker.
  • Oplæring af operatører.

Revurdering af risiko efter implementering af tiltag:
Eksponeringen falder fx fra 4 til 1 (sjælden kontakt):

Ny Risk Score = 2 × 3 × 1 = 6, dvs. lav risiko (🟢).

ISO/TR 14121-2: Kvalitativ vs. kvantitativ tilgang i risikovurdering

I risikovurdering af maskiner kan vi skelne mellem to overordnede tilgange: kvalitativ (kvalitativ) og kvantitativ (kvantitativ). I praksis ligger de fleste metoder beskrevet ovenfor et sted imellem disse yderpunkter – men det er værd at forstå, hvad der adskiller dem:

  • Kvalitative metoder bygger på beskrivende kategorier og fagligt skøn. Resultatet er typisk en risikoklasse (fx “lav”, “moderat”, “høj”) eller en nødvendig handling (“acceptabel” vs. “uacceptabel”). Et eksempel på en rent kvalitativ tilgang er følgende beskrivende udsagn: “risikoen for elektrisk stød blev vurderet som høj, fordi konsekvenserne er alvorlige, og eksponeringen er hyppig, selv om sandsynligheden er moderat”. Risikomatricer og risikografer hører i de fleste tilfælde til denne gruppe – man bruger verbale betegnelser eller bogstavsymboler frem for konkrete tal. Fordel: let at forstå for alle deltagere i processen (alle forstår intuitivt, hvad “høj risiko” betyder, langt bedre end fx “risiko = 3,7×10^-5”!). Derudover er den kvalitative tilgang den eneste mulige, når der mangler taldata – hvilket ofte er tilfældet ved nye maskiner eller sjældne hændelser. Ulempe: kvalitative resultater er sværere at sammenligne og kan være subjektive. To eksperter kan beskrive og vurdere den samme risiko forskelligt, hvor et tal ville tvinge en form for gennemsnitliggørelse af deres vurderinger.
  • Kvantitative metoder sigter mod at udtrykke risiko i talværdier, ofte i absolutte enheder (fx sandsynlighed 1 pr. million operationer, forventet ulykkesfrekvens 0,001/år, forventet omkostning ved tab i kr.). En fuldt kvantitativ risikoanalyse forsøger at udnytte data – fejlstatistikker, ulykkesfrekvens i branchen, data om komponenters pålidelighed – til at beregne risikoen objektivt. Et eksempel kan være: “sandsynligheden for sensorfejl og samtidig svigt af sikkerhedsbremsefunktionen er 2,3 × 10^-8 pr. driftstime; med 2000 h drift om året er risikoen for en dødelig ulykke ~4,6 × 10^-5 pr. år, dvs. mindre end kriteriet $10^{-4}$/år – vi vurderer risikoen som acceptabel.” En sådan tilgang ses fx ved analyse af funktionel sikkerhed (beregning af PFH – Probability of a Dangerous Failure per Hour for styresystemer) eller ved procesrisikovurdering med metoder som LOPA, hvor risikoen udtrykkes numerisk. Fordele: giver et indtryk af høj præcision og mulighed for sammenligning med formelle kriterier (fx ALARP-niveauer eller lovkrav, hvis sådanne findes). Den muliggør også optimering af omkostning kontra effekt – man kan estimere, hvad en given risiko statistisk “koster”, og om det kan betale sig at reducere den yderligere. Ulemper: en fuld kvantitativ analyse er tidskrævende og kræver data, som ikke altid er tilgængelige. For mange maskiner mangler der præcise statistikker for fejlhyppighed eller ulykkesforekomst – så kan tallene bygge på gæt, hvilket undergraver meningen med beregningerne. Desuden kan den tilsyneladende objektivitet være misvisende: risikomodellering kræver ofte forenk­lende antagelser, og slutresultatet kan være behæftet med usikkerhed på flere størrelsesordener (selv om der vises mange betydende cifre). Maskinstandarder kræver i langt de fleste tilfælde ikke en fuldt kvantitativ vurdering – de tillader den, men peger på, at en verbal beskrivelse af risikoen som regel er lettere at forstå end at arbejde med numeriske indikatorer.

I praksis anvendes der ved maskiners risikoanalyse ofte en semi-kvantitativ tilgang (semi-quantitative), fx en pointmetode, der tildeler tal til kvalitative kategorier, men uden at påstå, at der er tale om “reelle” sandsynligheder eller omkostninger. Det giver en lidt større opløsning i vurderingen end rent beskrivende kategorier, samtidig med at man undgår en foregivet nøjagtighed. Valg af tilgang bør tage højde for projektets behov: Hvis det er nødvendigt at dokumentere overensstemmelse med standarder (fx beregning af PL eller SIL for et styresystem), skal man bruge de metoder, som standarden angiver (typisk kvalitative eller pointbaserede). Hvis virksomheden derimod lægger vægt på intern risikovurdering i et forretningsmæssigt perspektiv, kan den vælge mere kvantitative analyser for de vigtigste farer.

ISO/TR 14121-2: Kombination af metoder og valg af den rette tilgang

Der findes ikke én universel metode til risikoanalyse, som er god i alle tilfælde. Erfarne sikkerhedsingeniører kombinerer ofte forskellige tilgange for at få et mere komplet billede og træffe bedre beslutninger. Nedenfor er nogle retningslinjer for hvornår man bruger hvilken metode, og hvordan de kan kombineres:

  • Projektets konceptfase (tidlig konstruktion): I starten, når maskinen kun er på skitse- eller prototypestadiet, mangler der typisk detaljerede taldata. Her fungerer hurtige, kvalitative metoder godt – fx brainstorming kombineret med en risikomatrix for de identificerede farer. Matrixen hjælper med at fange de mest kritiske områder allerede fra begyndelsen. Man kan også bruge en tjekliste over farer fra ISO 12100 og for hver fare tilføje en vurdering i kategorierne “lav/middel/høj risiko”. På dette trin er det vigtigere ikke at overse nogen fare end at estimere sandsynligheden præcist – derfor er beskrivende metoder fuldt tilstrækkelige. Resultaterne af en sådan indledende analyse kan påvirke konstruktionsbeslutninger (fx ændring af maskinens layout, indbygning af afskærmning allerede i konstruktionen, reduktion af bevægelseshastighed hvis risikoen er høj).
  • Detaljeret konstruktionsfase: Når vi kender flere data om maskinen – dens tekniske parametre, cyklustider, planlagte sikkerhedsforanstaltninger – er det relevant at gennemføre en mere præcis analyse. Her kan pointmetoden komme i spil. Den egner sig til systematisk analyse af snesevis af konkrete farer. Den gør det også muligt at sammenligne forskellige løsningsvarianter: fx hvis vi overvejer, om vi skal anvende en fast afskærmning eller et lysgitter, kan vi estimere Risk Score for scenarier med begge foranstaltninger – det viser, hvilken der reducerer risikoen bedst. Under den detaljerede konstruktion bruger man også ofte risikografer for sikkerhedsfunktioner. For hver identificeret funktion (fx nødstop, frakobling af drev ved åbning af afskærmningsdør, hastighedsbegrænsning i indstillings-/opsætningsmode) anvender vi grafen fra ISO 13849-1 eller IEC 62061 for at fastlægge det krævede PLr/SIL. Disse oplysninger påvirker derefter valg af komponenter (fx om et sikkerhedsrelæ i kategori 2 PL=c er tilstrækkeligt, eller om der kræves en dual-channel controller PL=e). I praksis anvender vi derfor flere metoder parallelt i samme projekt: en overordnet risikovurdering med matrix/point for hele maskinen og dedikerede grafer for specifikke farer, der kræver kontrollerede sikkerhedssystemer.
  • Maskiner med komplekse, varierede farer: Hvis vi har at gøre med et omfattende anlæg (fx en integreret produktionslinje, samarbejdende robotter, maskiner med mange delsystemer), er én metode måske ikke nok. Eksempel: I en pakkelinje kan der samtidig forekomme alvorlige mekaniske farer (fx knusning fra en robotgriber), elektriske farer (højspændingstavle), ergonomiske farer (manuel løft af tunge emner) og software-/cyberrelaterede farer (fejl i styringssoftwaren). I en sådan situation kan det være hensigtsmæssigt at:
    • For mekaniske/elektriske farer – anvende matrix eller scoring til risikovurdering og til at pege på behov for afskærmninger, låse, lock-out osv. For farer relateret til styresystemet (fx sensorfejl, der fører til kollision) – bruge risikografen fra standarderne til at opnå PLr/SIL, hvilket omsættes til krav til styresystemets arkitektur. For ergonomiske risici – i højere grad basere sig på kvalitativ vurdering (fx bruge ergonomistandarder eller arbejdsmiljøvejledninger, fordi det er svært at få tal her; man kan bruge en risikomatrix, men med fokus på dialog med medarbejdere, belastningsspørgeskemaer osv.). For digitale/IT-risici – overveje særskilte tilgange (cybersecurity-analyse, software-FMEA), fordi klassiske sikkerhedsmatricer måske ikke opfanger fx risikoen for, at systemet bliver hacket. Om nødvendigt kan sådanne risici vurderes separat af IT-specialister, og deres konklusioner indarbejdes i den samlede analyse.

Det endelige resultat vil være et samlet og fuldstændigt risikobillede. Det er vigtigt at samle alle vurderinger i en sammenhængende rapport, f.eks. som en tabeloversigt over farer med kolonnerne: beskrivelse af faren, vurderingsmetode (matrix/diagram/pointscore), vurderingsresultat, risikoreducerende foranstaltninger, risiko efter reduktion. På den måde kan en auditor eller den person, der verificerer maskinens overensstemmelse, se, at ingen risikotype er overset, og at der er anvendt relevante analyseteknikker for hver enkelt.

  • Inddragelse af data og statistik: Når vi har adgang til faktiske data (f.eks. fejlhyppighed for tilsvarende maskiner, ulykkesstatistik fra litteraturen, leverandørdata om komponenters pålidelighed), er det værd at inddrage dem i vurderingen, men med omtanke. Man kan f.eks. bruge tal til at underbygge kvalitative vurderinger: “vi vurderer hændelsesfrekvensen som høj, fordi der i anlæg med en tilsvarende proces er registreret 5 ulykker om året pr. 100 maskiner”. Hvis virksomheden har en ALARP-politik (as low as reasonably practicable) eller fastsatte grænser for tolerabel risiko, kan en kvantitativ analyse være nødvendig for at dokumentere, at sandsynligheden for en katastrofe ligger under f.eks. $10^{-6}$ pr. år. I maskinpraksis arbejder man dog sjældent med så strenge kriterier som f.eks. i den kemiske industri eller luftfarten. Nøglen er sund fornuft: brug data, hvor det er muligt (fordi de gør analysen mere troværdig), men vær ikke bange for at læne dig op ad ekspertvurdering, hvor data mangler. Kombinationen: ingeniørfaglig ekspertise + tilgængelige statistiske oplysninger giver de bedste resultater.
  • Iterativ tilgang og verifikation af resultater: Efter implementering af sikkerhedsforanstaltninger skal du altid vende tilbage til risikanalysen. Ofte anvendes den samme metode, men nu med de nye beskyttelser indregnet. Hvis en pointscore f.eks. indledningsvis gav 60 (høj risiko) og der blev indført tiltag, kan en ny scoring ende på 15 (lav risiko), hvilket dokumenterer effekten af de gennemførte handlinger. Det er også en god idé at bruge mere end én metode for kritiske farer: hvis en matrix viser en risiko på grænsen af accept, kan man uafhængigt beregne en pointscore eller vurdere med et diagram – hvis alle metoder bekræfter, at det er i orden, har man større sikkerhed. Hvis metoderne giver forskellige resultater, skal det analyseres (måske var kategorierne i matrixen valgt forkert, eller pointscoren gav et skævt billede?) og eventuelt bør man vælge den mere konservative konklusion.
  • Maskintype og valg af metode: For enkle maskiner (f.eks. en lille presse, en søjleboremaskine) er en simpel risikomatrix som regel tilstrækkelig, eller endda en tjekliste over farer med beskrivende vurderinger. For prototypemaskiner, unikke løsninger – hvor der ikke findes faste mønstre for sikring – er det bedre at anvende et bredere udvalg af metoder: en matrix til at identificere overordnede problemstillinger, pointscore til at prioritere, og diagrammer til de emner, hvor der skal designes et sikkerhedssystem. Seriefremstillede maskiner (produceret i et stort antal eksemplarer) har ofte allerede gennemarbejdede analyser – her giver det mening at holde sig til en ensartet metode (f.eks. at man i hele virksomheden bruger den samme pointskala), så efterfølgende vurderinger kan sammenlignes. Derimod kan teknologiske linjer (hvor mange maskiner integreres) kræve opdelt analyse: først en risikovurdering på niveauet for hver enkelt maskine, og derefter en supplerende risikaanalyse af hele det integrerede system (som f.eks. tager højde for risici ved overførsel af emner mellem maskiner, robotkollisioner indbyrdes, kaskadefejl). Den sidste udføres ofte som en HAZOP-workshop eller ganske enkelt som endnu en risikomatrix for overordnede scenarier.

    • Sammenfattende er kombination af metoder bedste praksis, fordi hver metode har sin egen vinkel. En matrix eller et diagram kan vise det overordnede billede og minimumskravene, mens pointscore eller kvantitativ analyse kan præcisere detaljer og støtte økonomiske beslutninger (hvor det bedst kan betale sig at investere i sikkerhed). Det er vigtigt at bevare konsistens i dokumentationen – tydeligt notere, hvilken metode der er brugt til at vurdere den pågældende fare, og hvorfor netop den blev valgt. På den måde kan en auditor ved overensstemmelsesvurderingen (f.eks. en bemyndiget instans, der gennemgår CE-dokumentationen) se, at analysen er udført kompetent og grundigt, i tråd med standardernes ånd og god ingeniørpraksis.

    Risikaanalyse er hjertet i processen for maskinens overensstemmelsesvurdering, obligatorisk i henhold til Maskindirektivet/Maskinforordningen i EU samt harmoniserede standarder. Den gør det muligt for konstruktører at identificere farer, estimere den tilknyttede risiko og iværksætte foranstaltninger, der reducerer risikoen, før der overhovedet sker en ulykke.

    Der findes ikke én “bedste” metode – hver har sine styrker og svagheder. Derfor består sikkerhedsingeniørens kompetence i at vælge det værktøj, der passer til opgaven: nogle gange er en simpel matrix nok, andre gange kræves der en detaljeret pointbaseret vurdering eller en SIL-analyse. Ofte giver en kombination af metoder de bedste resultater, hvor de supplerer hinanden. For eksempel kan vi starte med en kvalitativ identifikation af farer, derefter kvantitativt (pointbaseret) vurdere de vigtigste, og for forhold relateret til styresystemet bruge normative grafer – på den måde overser vi ingen aspekter.

    Til sidst: Husk, at målet ikke er at udfylde en tabel eller en graf for sin egen skyld, men at opnå en reel forbedring af sikkerheden. Risikovurdering er iterativ og kræver kreativitet. Den tilskynder til at stille spørgsmål som “hvad nu hvis …?” og til at finde løsninger, der fjerner farer ved kilden. Metoderne, vi har beskrevet her, er værktøjer, der hjælper med at systematisere dette arbejde. Når vi bruger dem, skal vi holde os til principperne i standarderne (ISO 12100 og relaterede) samt god ingeniørpraksis, og samtidig inddrage flere perspektiver i processen (konstruktører, operatører, vedligehold, arbejdsmiljø). En risikovurdering udført på den måde vil være troværdig, komplet og effektiv, hvilket omsættes til en sikker maskine med CE-mærkning og tryghed for både producenten og slutbrugeren.

    Oceń post

    ISO/TR 14121-2 – hvordan risikovurdering udføres i praksis

    ISO/TR 14121-2 er en vejledning, der beskriver praktiske metoder til risikovurdering. Den supplerer den procesbaserede tilgang i ISO 12100, men pålægger ikke én enkelt obligatorisk teknik.

    Først fastlægges maskinens anvendelsesområde og begrænsninger, derefter identificeres farer i alle faser af livscyklussen. Dernæst analyseres og estimeres risikoen, dens acceptabilitet vurderes, og risikoreduktion implementeres iterativt, indtil der opnås et acceptabelt niveau.

    For hver fare vurderes ulykkesscenarier, deres årsager, sandsynligheden for, at de indtræffer, samt alvorligheden af konsekvenserne. Resultatet af vurderingen skal gøre det muligt at afgøre, om risikoreduktion er nødvendig, og i hvilket omfang.

    En risikomatrix er en tabel, der kombinerer kategorier for sandsynligheden for en hændelse (kolonner) med kategorier for konsekvensens alvorlighed (rækker), hvilket giver et risikoniveau (f.eks. lavt/middel/højt). I praksis er det afgørende, at teamet i fællesskab definerer, hvad kategorierne betyder, for at begrænse subjektive vurderinger.

    Den estimerede risiko sammenlignes med de fastlagte acceptkriterier for at afgøre, om den kan tolereres, eller om der kræves tiltag. Risikoreduktion gennemføres i henhold til hierarkiet i ISO 12100: iboende sikre løsninger, tekniske beskyttelsesforanstaltninger og til sidst organisatoriske foranstaltninger og personlige værnemidler, hvorefter den resterende risiko vurderes.

    Del: LinkedIn Facebook