Wie bewertet man Risiken nach ISO 12100 – Analyse der Risikofor­mel und der Methoden

Die Zahl der tödlichen Arbeitsunfälle in den EU-Ländern lag im Jahr 2023 bei 3 298, was etwa 0,1% aller gemeldeten Unfälle entspricht. Im Vergleich zu 2013 ist diese Zahl um ca. 110 (von 3 408) gesunken, gegenüber 2022 wurde jedoch ein minimaler Anstieg (+12 Fälle) verzeichnet. Insgesamt entfallen auf 100 Tsd. Beschäftigte im Durchschnitt 1,63 tödliche Opfer pro Jahr – trotz Fortschritten im Arbeitsschutz kommt es weiterhin zu tödlichen Unfällen, insbesondere im Zusammenhang mit der Bedienung von Maschinen und Anlagen, was kontinuierliche Präventionsmaßnahmen erfordert.

Wie bewertet man Risiken nach ISO 12100: Die Risikobeurteilung ist ein zentrales Element, um die Sicherheit von Maschinen und Arbeitsplätzen zu gewährleisten. Nach Angaben der Internationalen Organisation für Normung ist die grundlegende Norm in diesem Bereich ISO 12100:2010 („Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung“); sie definiert grundlegende Begriffe sowie den Prozess der Gefährdungsidentifikation und der Risikoeinschätzung. ISO/TR 14121-2 ist hingegen ein technischer Bericht (Technical Report), der praxisnahe Hinweise und Beispiele für Methoden zur Risikobeurteilung von Maschinen gemäß ISO 12100 enthält. In dieser Ausarbeitung „zerlegen“ wir die Risikofomel aus ISO 12100 – wir erläutern jede ihrer Komponenten – und analysieren, wie die einzelnen in ISO/TR 14121-2 dargestellten Methoden diese Faktoren berücksichtigen (oder vereinfachen). Außerdem zeigen wir wesentliche Unterschiede zwischen den Ansätzen beider Dokumente auf, veranschaulicht durch statistische Daten und Schlussfolgerungen aus der Praxis.

Wie bewertet man das Risiko nach ISO 12100: Risikofomel nach ISO 12100 (Risikobestandteile)

Die Norm ISO 12100 definiert Risiko als Kombination aus der Wahrscheinlichkeit des Eintritts eines Schadens und der Schwere (Tragweite) dieses Schadens. Anders ausgedrückt: Das Risiko, das mit einer bestimmten Gefährdung verbunden ist, hängt einerseits von der Schwere einer möglichen Verletzung oder eines möglichen Schadens ab und andererseits von der Wahrscheinlichkeit, dass ein solcher Schaden eintritt. Diese allgemeine Definition lässt sich weiter präzisieren, indem man die „Wahrscheinlichkeit des Eintritts eines Schadens“ in konkretere Faktoren aufgliedert. Nach ISO 12100 umfasst diese Wahrscheinlichkeit vier Bestandteile: Häufigkeit und Dauer der Exposition (F), Wahrscheinlichkeit des Auftretens eines gefährlichen Ereignisses (P1), Möglichkeit, den Schaden zu vermeiden oder zu begrenzen (A) sowie gegebenenfalls eine spezifische Dauer der Exposition (T), sofern sie nicht bereits in der Häufigkeit enthalten ist. In der Praxis wird die Dauer häufig mit der Expositionshäufigkeit zusammengeführt und gemeinsam als ein Faktor betrachtet. Im Folgenden beschreiben wir jeden dieser Risikobestandteile gemäß der Norm und der begleitenden Fachliteratur:

• Schwere des Schadens (S, severity) – die voraussichtliche Schwere der Folgen eines Unfalls oder einer Gefährdung. Sie wird unter Berücksichtigung der schlimmstmöglichen Auswirkung auf die Gesundheit festgelegt: von geringfügigen (reversiblen) Verletzungen bis hin zu schweren, irreversiblen Körperschäden oder Tod. Schweregrade können beschreibend definiert werden (z. B. S1 – leichte Verletzung, S2 – schwerer, dauerhafter Gesundheitsschaden oder Tod). Je höher die potenzielle Schwere der Folgen, desto höher das Risiko – selbst bei geringer Wahrscheinlichkeit kann ein schwerer Unfall vorbeugende Maßnahmen erforderlich machen.
• Häufigkeit und Dauer der Exposition (F, frequency of exposure) – wie oft und wie lange eine Person der jeweiligen Gefährdung ausgesetzt ist. Ein häufigerer und längerer Aufenthalt im Gefahrenbereich erhöht die Wahrscheinlichkeit, dass es zu einem Unfall kommt. Beispielsweise kann F1 eine seltene oder kurzzeitige Exposition bedeuten, F2 hingegen eine häufige oder kontinuierliche/langandauernde. Bei Risikobeurteilungen wird z. B. eine Skala von „sehr selten“ bis „ständig“ verwendet – oft mit einem quantitativen Schwellenwert (z. B. mehrmals pro Stunde, täglich, monatlich, jährlich usw.). Bei Bedarf wird zusätzlich T (Dauer der Exposition) berücksichtigt – z. B. ist ein langer, kontinuierlicher Aufenthalt im Gefahrenbereich risikoreicher als ein kurzes, gelegentliches Ereignis, selbst bei gleicher Häufigkeit.
• Wahrscheinlichkeit des gefährlichen Ereignisses (P1, probability of occurrence) – schätzt ab, wie wahrscheinlich das Auftreten eines konkreten gefährlichen Ereignisses ist, das zu einem Schaden führt, unter Berücksichtigung der Betriebsumstände der Maschine. Dazu zählen u. a. die Zuverlässigkeit der Maschine und ihrer Komponenten, die Wahrscheinlichkeit einer Beschädigung oder eines Ausfalls, der zu einer gefährlichen Situation führt, sowie die Möglichkeit eines menschlichen Fehlers, der das Ereignis auslöst. Häufig wird dies qualitativ beschrieben, z. B. als sehr wahrscheinlich, möglich, wenig wahrscheinlich, verschwindend gering usw. Beispielsweise in einer fünfstufigen Skala: 1 – vernachlässigbar (tritt praktisch nicht auf), 3 – möglich, 5 – sehr hohe Wahrscheinlichkeit. Je häufiger Stör- oder Gefahrensituationen auftreten können (z. B. häufige Defekte, fehlende Schutzeinrichtungen, hohe Bedienfehlerquote), desto höher ist der Faktor P1.
• Möglichkeit, einen Schaden zu vermeiden oder zu begrenzen (A, auch als P oder Q bezeichnet) – beschreibt, inwieweit die gefährdete Person eine Chance hat, einen Unfall zu vermeiden oder seine Folgen zu minimieren, wenn es bereits zu einem gefährlichen Ereignis kommt. Anders gesagt: Wenn sich der Hazard (die Gefährdung) realisiert, kann der Beschäftigte eine Verletzung vermeiden (z. B. zur Seite springen, die Maschine stoppen, sich in Sicherheit bringen) oder können Schutzmaßnahmen die Auswirkungen begrenzen (z. B. stoppt ein Sicherheitslichtvorhang die Maschine, bevor es zu einem schweren Schaden kommt). Die Kategorie A wird mitunter binär angegeben: z. B. A1 (P1) – vermeidbar (unter günstigen Bedingungen hat der Bediener die Möglichkeit zu reagieren, zu entkommen oder der Schaden bleibt gering), A2 (P2) – nahezu nicht vermeidbar (das Ereignis tritt plötzlich ein, ist unabwendbar oder es besteht keine physische Möglichkeit zur Flucht). Ist die Möglichkeit zur Vermeidung gleich null (z. B. bei einer Explosion, einem plötzlichen Einzug durch eine Hochgeschwindigkeitsmaschine), ist das Risiko deutlich höher als in einer Situation, in der der Bediener die Gefährdung erkennen und sich zurückziehen kann.

Hervorzuheben ist, dass ISO 12100 keine konkreten Skalen oder Zahlenwerte für die oben genannten Parameter vorgibt – gefordert wird lediglich, dass bei der Risikobeurteilung mindestens die vier genannten Aspekte (S, F, P1, A) berücksichtigt und auf dieser Grundlage das Risikoniveau abgeschätzt werden. Die Norm lässt den Konstrukteuren Spielraum bei der Wahl der Methoden, um diese an die Besonderheiten der Maschine anzupassen, solange die Beurteilung systematisch erfolgt und alle relevanten Faktoren einbezieht. Das Risiko R lässt sich daher als eine Funktion ausdrücken: R = f(S, F, P1, A). In einfachen Fällen wird dies häufig qualitativ modelliert (z. B. beschreibend oder tabellarisch), in einigen Methoden auch punktbasiert (numerisch), indem den einzelnen Faktoren Ränge/Zahlen zugeordnet und diese anschließend addiert oder multipliziert werden (dazu später mehr).

Am Rande sei erwähnt, dass die Norm ISO 12100:2010 frühere Standards zusammengeführt hat (EN ISO 12100-1, 12100-2 sowie ISO 14121-1) – ohne wesentliche inhaltliche Änderungen hinsichtlich des Ansatzes zur Risikobeurteilung. Das bedeutet, dass die oben beschriebenen Risikofaktoren und der Prozess der Gefährdungsanalyse im Grunde unverändert geblieben sind – sie wurden lediglich in einer harmonisierten Norm übersichtlicher in einer einzigen Fassung dargestellt. ISO 12100 selbst liefert jedoch kein fertiges Rezept, wie Risiken konkret zu berechnen oder zu klassifizieren sind – daher entstand der Bedarf an zusätzlichen Leitlinien, die verschiedene Methoden zur Risikoschätzung veranschaulichen, die die Anforderungen der Norm erfüllen. Genau solche Hinweise enthält ISO/TR 14121-2:2007/2012, das eine Sammlung von Werkzeugen und Beispielen zur Auswahl für Personen darstellt, die Maschinenrisiken beurteilen.

Methoden zur Risikobeurteilung in ISO/TR 14121-2

Der technische Bericht ISO/TR 14121-2 stellt verschiedene Methoden und Werkzeuge zur Risikoschätzung an Maschinen gemäß dem Ansatz nach ISO 12100 vor. Beschrieben werden unter anderem die Punktemethode (additiv/multiplikativ), die Risikomatrix, das Risikodiagramm (Graf) sowie hybride Methoden, die Merkmale mehrerer Ansätze kombinieren. Im Folgenden werden diese Methoden erläutert, mit dem Hinweis, wie sie die zuvor beschriebenen Risikofaktoren berücksichtigen (oder vereinfachen).

Punktbewertungsmethode (additiv oder multiplikativ)

Eine der vorgestellten Methoden ist der Punkteansatz, bei dem allen Risikoelementen bestimmte Zahlenwerte zugeordnet und anschließend addiert oder multipliziert werden, um einen resultierenden Risikoindex zu erhalten. So lassen sich beispielsweise Punkteskalen für S (z. B. 1 bis 4 je nach Schweregrad), für F (Häufigkeit der Exposition), für P1 (Wahrscheinlichkeit des Ereignisses) usw. festlegen und anschließend R = S + F + P1 + A (Addition) oder R = S * F * P1 * A (Multiplikation) berechnen.

In der Praxis wird häufig eine gemischte Formel verwendet, z. B. indem einige Faktoren addiert und andere multipliziert werden, um ihre Gewichtung korrekt abzubilden. So wurde in japanischen Leitlinien (zitiert durch ISO/TR 14121-2) vorgeschlagen, S + (F + P1) zu addieren – also die Schwere plus die kombinierte Bewertung von Exposition und Ereigniswahrscheinlichkeit. Diese Methode ermöglicht es, alle wesentlichen Elemente in der Berechnung zu berücksichtigen und liefert ein quantitatives Ergebnis, das sich für verschiedene Gefährdungen vergleichen lässt.

Vorteile: Ermöglicht eine systematische Bewertung – jedes Kriterium wird separat betrachtet, wodurch das Risiko sinkt, einen Aspekt zu übersehen. Das numerische Ergebnis erlaubt den Vergleich von Risiken zwischen unterschiedlichen Maschinen oder Szenarien auf einer einheitlichen Skala.

Herausforderungen: Die Festlegung von Gewichtungen und Punkteskalen ist oft subjektiv – z. B. ob „häufig“ 3 oder 4 Punkte bedeutet, wie eine Multiplikation so skaliert wird, dass die Werte sinnvoll bleiben – und kann eine Kalibrierung erfordern. Das reine Zahlenresultat ist ohne definierte Akzeptanzschwellen häufig schwer zu interpretieren (z. B. was bedeuten 15 Punkte – ist das ein „hohes Risiko“, das Maßnahmen erfordert, oder ein mittleres?). Deshalb erstellt man dafür oft eine Bewertungstabelle oder eine Legende, die die Punktesumme in qualitative Risikokategorien übersetzt (z. B. 0–3 Pkt. = niedriges Risiko, 4–7 = mittel, >8 = hoch – das ist nur ein Beispiel). Auch die Art der Aggregation beeinflusst das Ergebnis: Multiplikation führt dazu, dass ein sehr niedriger Wert eines Faktors das Ergebnis stark absenken kann (was erwünscht sein kann, z. B. reduziert eine verschwindend geringe Eintrittswahrscheinlichkeit das Risiko nahezu auf null, selbst bei hoher Schwere), während Addition sicherstellt, dass jeder Faktor dem Risiko etwas hinzufügt (z. B. ergibt bei einer Summe selbst eine minimale Eintrittschance bei katastrophalen Folgen einen gewissen, von null verschiedenen Wert). Die Wahl zwischen Summe und Produkt sollte daher die Bewertungsphilosophie widerspiegeln – ob wir ein sehr seltenes Ereignis mit tragischem Ausgang dennoch als Risiko ansehen, das kontrolliert werden muss (Addition liefert einen von null verschiedenen Wert), oder ob man es praktisch vernachlässigen kann (das Produkt ergibt einen Wert nahe null). ISO/TR 14121-2 stellt beide Ansätze als optionale Werkzeuge dar.

Risikomatrix (risk matrix)

Die Risikomatrix ist ein sehr verbreitetes Werkzeug, das auch in ISO/TR 14121-2 beschrieben wird. Die Matrix ist eine zweidimensionale Tabelle, bei der auf einer Achse die Schwere der Folgen (S) und auf der anderen die Gesamtwahrscheinlichkeit des Schadenseintritts (P) abgetragen wird. Die einzelnen Tabellenfelder – Kombinationen aus S-Stufe und P-Stufe – werden Risikokategorien zugeordnet (z. B. niedrig, mittel, hoch), die zur besseren Übersicht häufig farblich gekennzeichnet sind (grün, gelb, rot). So ergibt beispielsweise eine vierstufige Skala der Schwere (von leichter Verletzung bis tödlich) zusammen mit einer fünfstufigen Skala der Wahrscheinlichkeit (von sehr selten bis häufig) eine 4×5-Matrix, wie im folgenden, aus der Praxis übernommenen Beispiel (Farben zeigen das Risikoniveau – grün: akzeptabel, rot: hoch).

In der oben dargestellten hypothetischen Matrix (4×5) ist z. B. zu sehen, dass die Kombination aus mittlerer Wahrscheinlichkeit (C) und tödlicher Auswirkung (4) zur Einstufung Hohes Risiko führt. Eine solche Matrix dient vor allem der Visualisierung des Risikos – so lässt sich schnell erkennen, welche Gefährdungen im roten Bereich liegen (nicht akzeptabel, erfordern Maßnahmen) und welche im grünen (akzeptabel).

Vorteile der Matrix: Sie ist einfach und übersichtlich – sie erinnert an eine „Ampel” (grün–gelb–rot), die selbst für nichttechnische Personen verständlich ist. Das erleichtert die Risikokommunikation gegenüber der Führungsebene oder Mitarbeitenden – man erkennt sofort, wo die größten Gefährdungen liegen. Die Matrix ermöglicht außerdem eine schnelle Priorisierung: Man kann festlegen, welche Risiken niedrig sind (und gegebenenfalls toleriert werden können) und welche hoch sind und eine sofortige Reduzierung erfordern.

Nachteile und Vereinfachungen: Eine Risikomatrix vereinfacht die Analyse zwangsläufig, weil sie alle Faktoren F, P1, A auf eine einzige Achse „Wahrscheinlichkeit“ verdichtet. Die Bewertung dieser Wahrscheinlichkeit wird damit zu einer Resultierenden aus der subjektiven Einschätzung von Häufigkeit, Eintrittsmöglichkeit und Ausweichmöglichkeit. Unterschiedliche Bewertende können daher z. B. unterschiedlich interpretieren, was „wenig wahrscheinlich“ bedeutet – entsprechend sind die Ergebnisse nicht immer vollständig reproduzierbar. Eine Standardisierung der Kategorien im Unternehmen (z. B. präzise Definitionen, was B: wenig wahrscheinlich bedeutet – etwa „<1 Ereignis in 10 Jahren“) kann den Ermessensspielraum reduzieren, aber eine gewisse Subjektivität bleibt immer. Ein weiterer Nachteil ist die begrenzte Auflösung: Die Matrix fasst Risiken in relativ breite Intervalle zusammen. Zwei unterschiedliche Gefährdungen können dieselbe Bewertung erhalten (z. B. mittleres Risiko), obwohl die eine am unteren Rand dieser Kategorie liegt und die andere am oberen. Diese Unterschiede bildet die Matrix nicht ab – für detailliertere Analysen oder das Ranking vieler Risiken ist diese Methode mitunter zu grob.

Trotz der oben genannten Einschränkungen sind Matrizen aufgrund ihrer Einfachheit sehr beliebt – auch außerhalb des Maschinenbaus (z. B. allgemein im Arbeitsschutz, in Projekten, im Finanzbereich). ISO/TR 14121-2 empfiehlt, sie mit Vorsicht einzusetzen, auf eine klare Definition der Kategorien zu achten und bei Bedarf nachzuschärfen, wenn mehr Detailtiefe erforderlich ist. Hervorzuheben ist, dass die Norm ISO 12100 der Verwendung von Matrizen nicht widerspricht, sofern wir im Sinne der Norm vor der Einstufung des Risikos in der Matrix über alle vier Faktoren (S, F, P1, A) nachdenken. Anders gesagt: Auch wenn die Matrix ausdrücklich nur mit zwei Dimensionen (S und einem allgemeinen P) arbeitet, sollte eine qualitative Analyse dem Ausfüllen der Matrix vorausgehen – damit sich z. B. beurteilen lässt, ob ein niedriger P-Wert aus einer geringen Exposition resultiert oder vielleicht aus einer hohen Möglichkeit zur Flucht usw.

Risikograph (risk graph)

Der Risikograph ist eine grafische Methode, die den Prozess der Risikobeurteilung als Entscheidungsbaum bzw. logisches Schema darstellt. Er wird u. a. in Normen zur Sicherheit von Steuerungssystemen (z. B. EN ISO 13849-1, IEC 62061) eingesetzt, um auf Basis einer Risikoeinschätzung das erforderliche Sicherheitsniveau (PL oder SIL) festzulegen. Der Risikograph beruht auf dem schrittweisen Beantworten von Fragen zu Risikofaktoren: typischerweise Schweregrad (S), Häufigkeit/Exposition (F), Möglichkeit der Vermeidung (A/P) – häufig in Form binärer Entscheidungen (z. B. S1 oder S2? F1 oder F2? P1 oder P2?), wodurch der Anwender entlang der Verzweigungen des Baums zum Endergebnis geführt wird.

Ein vereinfachtes Schema (angelehnt an ISO 13849-1) funktioniert beispielsweise so: Ist S gering (S1), geht man nach links, ist es schwerwiegend (S2) – nach rechts; anschließend folgt die Frage nach F: selten/kurz (F1) oder häufig/lang (F2); danach zu P (Avoidance): Ist eine Vermeidungsmöglichkeit P1 (möglich) oder P2 (unmöglich). Am Ende wird – abhängig vom durchlaufenen Pfad (Kombination aus S, F, P) – ein bestimmtes Risikoniveau bzw. direkt das erforderliche Sicherheitsniveau zugeordnet (z. B. PLr a, b, c… für Steuerungssysteme).

Vorteile: Risikographen bieten ein systematisches, wiederholbares Verfahren – indem wir dieselben Fragen in derselben Reihenfolge stellen, verringern wir die Subjektivität (z. B. kommen zwei Ingenieure, die auf identische Fragen mit „ja/nein“ antworten, in der Regel zum gleichen Ergebnis). Diese Methode ist für erfahrene Anwender zudem schnell und konzentriert sich auf die Schlüsselfaktoren, ohne die Skala unnötig zu verästeln. Sie eignet sich hervorragend für spezifische Anwendungen, z. B. für die Risikobeurteilung im Zusammenhang mit Sicherheitsfunktionen (wie in ISO 13849-1) – dort, wo die Gefährdungen typisch sind und das Ziel darin besteht, das passende Niveau der technischen Schutzmaßnahme festzulegen.

Einschränkungen: Das Diagramm (insbesondere bei binären Kategorien) ist recht grob. So blendet die Annahme von nur zwei S-Stufen (leicht vs. schwer) „mittlere“ Szenarien aus – manchmal reicht das (wenn es vor allem um die Unterscheidung geht: ob ein tödlicher Ausgang möglich ist oder nicht), manchmal ist es jedoch zu stark vereinfacht. Ähnlich sind F1/F2 und P1/P2 die minimale Anzahl an Kategorien; in der Realität gibt es oft mehr Graustufen. Diagramme sind zudem meist spezialisiert – ein Schema, das für eine bestimmte Norm/Branche entwickelt wurde, passt möglicherweise nicht zu einer anderen. Außerdem berücksichtigt das Risikodiagramm den Faktor P1 (Eintrittswahrscheinlichkeit des Ereignisses) nicht explizit in einem separaten Schritt – häufig wird ein typisches Szenario mit einer für die jeweilige Anwendung typischen Wahrscheinlichkeit unterstellt. Mit anderen Worten: Das Diagramm legt den Schwerpunkt auf Häufigkeit der Exposition und Möglichkeit der Vermeidung und behandelt das Eintreten des Ereignisses gewissermaßen als Teil der Rahmenbedingungen (z. B. wurde in ISO 13849 konservativ angenommen, dass ein Ereignis immer eintreten kann, wenn ein Mensch exponiert ist – daher fehlt ein eigener Zweig mit der Frage „ist ein Ausfall wahrscheinlich?“). Das vereinfacht die Analyse (weniger Fragen), bedeutet aber eine gewisse Konservativität: Das Risiko kann hoch ausfallen, selbst wenn die Maschine sehr zuverlässig ist, weil danach nicht gefragt wird. In der Praxis: Wenn Daten zu einer sehr kleinen Eintrittswahrscheinlichkeit des Ereignisses vorliegen (z. B. ein Ausfall einmal pro Million Stunden), nutzt das Risikodiagramm diese Information nicht – dafür müsste man eher Punktbewertungsmethoden verwenden, um diesen Faktor P1 numerisch zu berücksichtigen.

ISO/TR 14121-2 stellt Risikografen als eine der Methoden vor und nennt dazu Beispiele aus verwandten Normen. Bei der Anwendung dieser Methode sollte man sich ihrer Annahmen und Vereinfachungen bewusst sein – sie eignet sich hervorragend zur Verifizierung von Sicherheitsanforderungen (z. B. wie hoch der PL/SIL einer Schutzeinrichtung sein muss) sowie zur vorläufigen Risikoklassifizierung, kann jedoch bei der allgemeinen Risikobeurteilung einer Maschine durch weitere Analysen ergänzt werden, wenn z. B. die Ausfallhäufigkeit der Maschine untypisch ist.

Hybride (kombinierte) Methoden

Hybride Methoden sind ein Versuch, die Vorteile des Punkt- und des grafischen Ansatzes zu verbinden. Ein Beispiel für ein solches Vorgehen ist in ISO/TR 14121-2 beschrieben und wird aus der Norm IEC 62061 (zur Sicherheit von Steuerungssystemen) aufgegriffen. Grob gesagt kann eine hybride Methode z. B. einen Teil der Faktoren aufsummieren, um eine „Wahrscheinlichkeitsklasse“ zu erhalten, und diese anschließend – nach Art einer Matrix oder eines Diagramms – zur Schwere in Beziehung setzen. So ist es z. B. in IEC 62061: Bewertet werden nacheinander Fr (frequency), Pr (probability of occurrence), Av (avoidance) – jedem werden Werte von 1–5 zugeordnet, diese werden zu einer bestimmten Risikoklasse CL addiert (mitunter wird diese Summe als class of likelihood bezeichnet). Anschließend wird in einem zweidimensionalen Raster (ähnlich einer Matrix) das ermittelte CL-Niveau mit der Schwerekategorie S gekreuzt, um den erforderlichen SIL des Schutzniveaus festzulegen. Auf diese Weise verbindet die hybride Methode eine quantitative Abschätzung der Teilkomponenten (wie beim Punktansatz) mit einem gut verständlichen qualitativen Ergebnis (wie bei Matrix/Diagramm).

Der Vorteil dieses Ansatzes liegt in der höheren Detailtiefe bei der Bewertung der Eintrittswahrscheinlichkeit (die Komponenten Fr, Pr, Av werden getrennt betrachtet), bei gleichzeitig einfacher Darstellung des Endergebnisses über Kategorien. Eine solche Methode nutzt z. B. die Norm ISO 13849, bei der die Antworten auf die Fragen S, F, P (Vermeidung) zum erforderlichen Performance Level (PLr) für das Sicherheitssystem führen – das lässt sich als fünfstufige Skala des Restrisikos interpretieren, die durch geeignete Maßnahmen zu erreichen ist. Wichtig ist dabei, dass die Risikostufen dort direkt mit der erforderlichen Zuverlässigkeit der Schutzmaßnahmen (PL a – e) verknüpft sind. Das ist ein interessantes Konzept: hohes Risiko → wir müssen ein sehr zuverlässiges Sicherheitssystem einsetzen (PL e), niedriges Risiko → es genügt eine weniger komplexe Maßnahme (PL a).

Hybride Methoden werden häufig bei der Risikobeurteilung von Steuerungssystemen von Maschinen eingesetzt, ihr Grundgedanke lässt sich jedoch auch breiter anwenden – sie ermöglichen eine quantitative Bewertung der Risikoreduktion durch konkrete Maßnahmen. Wenn beispielsweise das Risiko ursprünglich PL d erforderte (was einem bestimmten Wahrscheinlichkeitsniveau für das Ereignis entsprach) und wir eine Schutzmaßnahme einsetzen, die nur PL c erfüllt, dann wissen wir, dass das Risiko um eine bestimmte Anzahl von „Stufen“ sinkt – jedoch weiterhin nicht auf null, sodass möglicherweise zusätzliche Maßnahmen erforderlich sind. Das führt uns zu einem weiteren wichtigen Aspekt: der Risikoevaluierung und den Unterschieden im Ansatz bei den Akzeptanzkriterien.

Wie bewertet man Risiken nach ISO 12100: Vergleich der Ansätze und Schlussfolgerungen

ISO 12100 vs. ISO/TR 14121-2 – Rolle von Norm und Leitlinien. Der grundlegende Unterschied zwischen ISO 12100 und ISO/TR 14121-2 liegt in ihrem Charakter: ISO 12100 ist eine Anforderungsnorm (normativ) – sie legt fest, was zu tun ist (eine Gefährdungsanalyse durchführen, das Risiko unter Berücksichtigung von S, F, P1, A usw. abschätzen und anschließend das Risiko reduzieren), während ISO/TR 14121-2 ein technisches Dokument mit Leitlinien ist – es zeigt anhand von Beispielen, wie man das machen kann. Die Norm 12100 lässt dabei viel Spielraum, während der Bericht 14121-2 Werkzeuge bereitstellt, die dabei helfen, diese Norm zu erfüllen. Es gibt hier keinen Widerspruch – vielmehr eine Ergänzung. In der Praxis entwickeln viele Organisationen eigene Verfahren zur Risikobeurteilung auf Basis dieser Leitlinien, angepasst an die Besonderheiten ihrer Maschinen und das akzeptable Risikoniveau.

Berücksichtigung von Risikofaktoren. ISO 12100 stellt eindeutig klar, dass jede Risikobeurteilung zwei Komponenten berücksichtigen muss: die Schwere des Schadens (S) und die Wahrscheinlichkeit seines Eintretens (P), wobei die Wahrscheinlichkeit mindestens Exposition, Eintrittswahrscheinlichkeit und die Möglichkeit der Vermeidung berücksichtigen sollte. Die in ISO/TR 14121-2 beschriebenen Methoden unterscheiden sich vor allem darin, wie sie diese Komponenten einbeziehen. Die Punkte-Methode zerlegt P ausdrücklich in Faktoren und addiert/multipliziert diese und bildet damit die vollständige Formel am genauesten ab (auf Kosten eines höheren Aufwands bei der Bewertung). Die Risikomatrix hingegen fasst die Faktoren F, P1, A zu einem verallgemeinerten P zusammen, was die Beurteilung vereinfacht, aber verdecken kann, welcher Aspekt das Risiko am stärksten beeinflusst. So kann eine Matrix beispielsweise für zwei Situationen dasselbe Ergebnis „mittleres Risiko” liefern: (a) ein sehr seltenes Ereignis mit katastrophalen Folgen und (b) ein häufiges Ereignis mit leichten Folgen – obwohl die Natur dieser Risiken unterschiedlich ist. Daher wird bei der Matrix empfohlen, die Annahmen immer separat zu dokumentieren, warum ein bestimmtes Szenario diese und keine andere P-Kategorie erhält (z. B. „Wahrscheinlichkeit niedrig aufgrund sporadischer Exposition” usw.). Der Risikograph wiederum lässt P1 ausdrücklich weg, erzwingt jedoch eine konservative Annahme zur Ausfallneigung – was oft sicher ist, das Risiko aber mitunter überschätzen kann, wenn die Maschine tatsächlich sehr zuverlässig ist.

Detailgrad vs. Einfachheit. Daraus ergibt sich das klassische Dilemma: komplexere Methoden (Punktbewertung, hybride Ansätze) liefern einen genaueren, stärker quantitativen Einblick in das Risiko, ermöglichen die Unterscheidung von Nuancen, erfordern jedoch mehr Daten und sind schwieriger zu vermitteln. Einfachere Methoden (Matrix, risk graph) sind leicht anzuwenden und gut verständlich, allerdings auf Kosten des Detailgrads – sie können zu gewissen Mittelungen führen. ISO 12100 bevorzugt keine dieser Methoden – es lässt alle zu, sofern sie einer belastbaren Bewertung dienen. In der Praxis wird häufig eine Kombination eingesetzt: z. B. wird das Risiko zunächst mit einer Matrix vorbewertet, um Bereiche mit hohem Risiko zu identifizieren, und anschließend wird für diese kritischen Gefährdungen eine detailliertere Analyse (auch nur halbquantitativ) durchgeführt, um optimale Sicherheitsmaßnahmen zu entwerfen.

Kriterien für die Risikoakzeptanz. Sowohl ISO 12100 als auch ISO/TR 14121-2 betonen, dass ein entscheidender Schritt darin besteht zu bewerten, ob das Risiko auf ein akzeptables Niveau reduziert wurde (die sogenannte Risikobewertung – risk evaluation – im Anschluss an die Risikoschätzung). Interessant ist, dass keines dieser Dokumente konkret festlegt, was ein „tolerierbares Niveau“ ausmacht – dies wird den Organisationen überlassen, gegebenenfalls auch rechtlichen Vorgaben oder spezifischen Normen. ISO/TR 14121-2 geht in den Beispielen für Matrizen in der Regel davon aus, dass die niedrigste Risikokategorie (z. B. „Negligible“/„vernachlässigbares“ Risiko) ohne zusätzliche Maßnahmen akzeptabel ist. Mit anderen Worten: Die Kombination der niedrigsten Faktorwerte (z. B. eine geringfügige Verletzung, praktisch null Wahrscheinlichkeit) beschreibt eine Situation, in der keine weitere Risikominderung erforderlich ist. Höhere Stufen (niedrig, mittel, hoch) können entsprechend einen zunehmenden Einsatz von Schutzmaßnahmen erfordern.

In der Praxis wurde eine gewisse Lücke festgestellt: ISO/TR 14121-2 liefert keine strenge Methode, wie sich der Einfluss eingesetzter Schutzmaßnahmen auf die Risikominderung berechnen lässt. Vereinfacht gesagt: Wir wissen, dass Schutzeinrichtungen, Sicherheitsschalter, Lichtvorhänge usw. das Risiko senken (weil sie die Wahrscheinlichkeit oder die Auswirkungen reduzieren), aber in einer Matrix- oder Punkteskala wird dies häufig als neue qualitative Bewertung nach Umsetzung der Schutzmaßnahmen eingestuft – ohne formalen Umrechnungsfaktor. Das kann Zweifel aufwerfen: Wenn z. B. vor dem Einsatz einer Schutzeinrichtung die Eintrittswahrscheinlichkeit als C (möglich) bewertet wurde, in welche Kategorie fällt sie nach der Montage der Schutzeinrichtung? Hier helfen Normen wie die erwähnte ISO 13849-1, bei der dem Ausgangsrisiko eine geforderte Zuverlässigkeit der Maßnahme (PLr) zugeordnet wird, und das Erreichen dieses PL belegt, dass das Risiko auf ein akzeptables Niveau reduziert wurde. Im Verständnis von ISO/TR 14121-2 muss dies fachkundig beurteilt werden – etwa indem man sagt: „Der Einsatz einer Schutzeinrichtung wird wahrscheinlich die Häufigkeit der Exposition von häufig auf selten verringern, daher gehen wir in der Matrix von Kategorie E auf C herunter.“ Das ist ein korrektes Vorgehen, erfordert jedoch Erfahrung.

Zusammenfassung. Die Analyse der Risikofomel nach ISO 12100 zeigt, aus wie vielen Faktoren sich Risiko zusammensetzt – nicht nur aus der offensichtlichen Schwere der Folgen, sondern auch aus weniger offensichtlichen Aspekten wie der Häufigkeit des Kontakts mit der Gefährdung oder der Möglichkeit, einen Unfall zu vermeiden. ISO/TR 14121-2 macht zudem deutlich, dass es viele Wege zur Schätzung und Kategorisierung von Risiken gibt: von präzisen Punktbewertungsmethoden bis hin zu leicht verständlichen Matrizen. Jede dieser Methoden hat ihren Platz – häufig werden sie ergänzend eingesetzt. Entscheidend ist, keinen der wesentlichen Aspekte aus dem Blick zu verlieren: Eine einfache Methode entbindet nicht davon, über Details nachzudenken (z. B. warum wir die Wahrscheinlichkeit als niedrig bewerten), und eine komplexe Methode muss zu einer klaren Entscheidung führen (ob das Risiko akzeptabel ist oder was noch zu verbessern ist). Im Ergebnis ist das Ziel immer die Reduzierung des Risikos auf ein akzeptables Niveau – gemäß der sog. ALARP-Prinzip (as low as reasonably practicable, das Risiko so weit wie praktikabel zu senken) sowie den Anforderungen von Richtlinien, z. B. der Maschinenrichtlinie 2006/42/EG. Solange es in Fabriken und auf Baustellen zu Unfällen kommt (und Statistiken zeigen, dass allein in Polen jedes Jahr Dutzende Menschen bei der Bedienung von Maschinen ums Leben kommen und Tausende Verletzungen erleiden), bleiben eine sorgfältige Risikobeurteilung und die Umsetzung geeigneter Schutzmaßnahmen eine grundlegende Pflicht von Herstellern und Anwendern von Maschinen. Dank Normen wie ISO 12100 und den Hinweisen aus ISO 14121-2 stehen uns heute bewährte Werkzeuge zur Verfügung, um dieses Risiko vorherzusehen, zu bewerten und zu senken, bevor es zu einem Unglück kommt.